Криптопро не видит реестр как считыватель
Перейти к содержимому

Криптопро не видит реестр как считыватель

  • автор:

Рутокен отображается как реестр в КритоПро CSP

https://forum.rutoken.ru/uploads/transfer/0/8500/8613/thumb/p19rg58pusi9f1h49gregql11c13.jpg https://forum.rutoken.ru/uploads/transfer/0/8500/8613/thumb/p19rg58pus1dfj2si5mak39ib34.jpg

Рутокен в КриптоПро отображается как считыватель Реестр, а дальше он его не видит. Не понимаю в чем проблема, просьба помочь разобраться.

#2 Ответ от Ксения Шаврова 2015-07-31 10:06:09

  • Ксения Шаврова
  • Администратор
  • Неактивен
Re: Рутокен отображается как реестр в КритоПро CSP

Сергей1213 пишет:

Рутокен в КриптоПро отображается как считыватель Реестр, а дальше он его не видит. Не понимаю в чем проблема, просьба помочь разобраться.

Реестр виден потому, что один из контейнеров лежит в реестре компьютера.
Чтобы понять есть ли какая-либо информация на Рутокене, приложите скриншот: «Панель управления Рутокен» — вкладка «Администрирование» — кнопка «Информация».

#3 Ответ от Сергей1213 2015-07-31 14:30:43

Re: Рутокен отображается как реестр в КритоПро CSP

https://forum.rutoken.ru/uploads/transfer/0/8500/8619/thumb/p19rhu142lqij1hdb597fcipke1.jpg

Ксения Климанова пишет:
Сергей1213 пишет:

Рутокен в КриптоПро отображается как считыватель Реестр, а дальше он его не видит. Не понимаю в чем проблема, просьба помочь разобраться.

Реестр виден потому, что один из контейнеров лежит в реестре компьютера.
Чтобы понять есть ли какая-либо информация на Рутокене, приложите скриншот: «Панель управления Рутокен» — вкладка «Администрирование» — кнопка «Информация».

С рутокеном вроде все в порядке

Криптопро не видит реестр как считыватель

Сабж! Хелп! Говорит «контейнер не найден» — и всё тут! Флешку видеть не хочет, если нажать «обзор» и найти там флешку — говорит «файл не найден». Сам сертификат видит. Куда копать? Антивирус отключили.

флешка хана, бывает

(1) Флешка новая, потом я на всякий случай отформатировал её, везде она видна и сертификат с неё читается, только как контейнер не видна. ((

Через сайт залогинься
(3) Через какой сайт?
(4) Диадок или через что у вас там
(5) Да не, 1С ЭДО обычный.

1. срок действия лицензии крипто-про?
2. если срок действия в порядке — переустановить ТУ ЖЕ САМУЮ версию крипто-про (а кстати, какая точно версия?) при этом инсталлятор спросит — исправить? — скажешь — да, будут исправлены все косяки, в реестре, со считывателями и т.п.
Если не ту же самую — он просто спросит — Обновить. Тогда обновить, потом перезагрузить комп, потом еще раз запускаешь инсталлятор — спросит Исправить — исправляешь.

(2) эээ наймите кого нить кто в теме
сертификат и приватный ключ это разные вещи
и таки , интересно, какая версия крипто-то ?
(8)+ гадать удаленно что у вас там творится бесполезно
если даже описать понятно не можешь
(9) пофиг там может от випнет ключ в контейнера а пытается криптопроподцепить ))

на контуре раздел техподдержка — Инструменты диагностики и помощи — диагностика.
запусти она проверит все и предложит доставить, исправить косяки.
после нее всегда вроде все работало

(2) ты отформатировал флэшку и после этого хочешь найти на ней контейнер закрытого ключа?
Или что?
выплюнь жвачку изо рта и скажи четко и внятно — где у тебя лежит контейнер и что у тебя лежит на флэшке после того, как ты ее отформатировал.
И да, это вопрос без подковырок, тупо для школьника пятого класса, я не имею ввиду что-то сложное под вопросом «что у тебя находится на флэшке после форматирования»? Тупо открой проводником и тупо скажи, что видно в проводнике.

(12) не-а, не все, именно переустановка крипто-про именно с галочкой исправить эта диагностика не дает в рекомендациях.
Иными словами — диагностика диагностирует не все косяки в реестре в установке самого крипто-про.
Диагностика видит, установлен крипто-про или нет, и, на этом все.

(11) кстати, хочу сказать, чисто для информации может пригодится — конвертировал из випнет в крипто про. Если в в випнет ключ помечен, как экспортируемый, то из випнет в pfx (#p12), а оттуда в крипто-про (причем в самом криптопро 5, там есть Инструменты крипто-про, без всяких сторонних ssl приблуд).

Правда, из 10 попыток было 8 удачных, а два раза так не получилось. Сильно не разбирался, но кажется не та версия vipnetcsp была, но обновлять поленился, ибо было некритично нужно.

(9) 4
(12) Спасибо, попробую!
(13) На флешке после форматирования записал файл .cer
(9) оп-па, и с 5 та же фигня! ((

(16) мда.. тяжелый случай. Не, я понимаю, что последствия ДЦП не лечатся, но.. надеялся на лучшее. Твое 4 — ни о чем. Твое 5 — ровно о том же. Вот у меня, например — 5.0.12000 КС1 — это понятно, а
у тебя .. хм.. точно наглядная демонстрация анекдота — «Петька, прибор? 4-!! Чего 4? А чего прибор?»

(16) На флешке после форматирования записал файл <многобукв>.cer

это у вас не контейнер. Контейнер — выглядит как папка, помеченная как скрытая. Т.е. со стандартными настройками проводника его вообще не увидишь.
Создать его на флешке можно, например, скопировав на нее другой с помощью сервисных утилит Крипто-Про или какими-либо другими сервисными средствами крипто-про.
Просто копировать эту папку средствами проводника бесполезно, контейнер так не скопируется, там идет привязка к носителю.

(16) >> На флешке после форматирования записал файл <многобукв>.cer

to all, расходимся.
Ветка на пятничную не тянет, ибо грешно смеяться над больным человеком.

PS: Автор, а ты медитируй над (8) до полного посинения.

ps: ps: И да, если копию флэшки перед форматированием не делал, то все.
Генерируй ЭЦП заново. сочувствую.

<многобукв>.cer — это экспортированный публичный сертификата который в реестра ставится
сам приватный ключик в контейнере выглядит не так, там от криптовайдера зависит как, обычно папочка с разными файликами
если экспортировать ключик через ослика то будет .pfx

(20) брешешь. :)))
а) нифига она не скрытая.
б) копируется аж бегом.
с) б) верно в случае, есть ключ помечен как экспортируемый.

(23)+
д) если не помечен как экспортируемый, можно перевыпустить (никуда не ездя) и будет экспортируемый

(20) Что-то мне мой эффект манделы подсказывает, что в старых версиях криптпро привязка ключа к носителю таки была, и просто так его было не скопировать, не распознавался.

(23) может быть, сейчас что-то поменялось. Я пробовал когда-то копировать лет 10 назад — оно копируется, да.
Но контейнер потом крипто-про не видит.

(25) дык была конечно и в новых есть
имеется в виду — тот что скопировали на новый носитель
(28) там если флешка надо просто ид со старой

а средствами крипто-про копируешь — тогда все норм. Только папка уже на новом носителе по-другому называется 🙂

(29)+ по сути клон флешки — прекрасно работает

(27) Ну, последнее время эту папку с именем из букв и цифр просто копируешь куда попало на диск, который винда считает сменным — и этот ключ криптопро видит и позволяет привязать его к сертификату

я сертификат из 1сфреш сохраняю потому что кто-то его туда установил, а он не «облачный».
(33) сертификат и контейнер разные вещи

(25) начиная с крипто про 3.0 (раньше я просто не пробовал, потому насчет криптопро 2 сказать не могу), можно было копировать (при условии, что ключ помечен, как экспортируемый).
Просто надо убить в хранилище сертификатов старый сертификат с привязкой к старому носителю и установить в хранилище его же заново, с привязкой к новому носителю. И все.

(35) на другой машине пробовали, где такого серта точно нет и никогда не устанавливался. Крипто-про просто не видит этого контейнера, пока не скопируешь его средствами через копирование контейнера.

(35) Не канает. Даже если принудительно задать путь к хранилищу сертификатов «F:\» — он его не видит, хотя на других уже вставленных флешках с другими буквами старые контейнеры видит.

(35) Даже и убивать старый не надо, просто переустановить сертификат, он найдет новый ключевой носитель и предложит привязаться к нему.

(36) Да. Но контейнера нет! Есть только сертификат.
(38) Не хочет, гад! ((
(39) О, спасибо!

(39) Уже много лет копируем просто как папку, и всё работает. Когда-то, действительно было так, что криптопро «не свою» копию не видел.

(40) Только сертификат без контейнера бесполезен. Это в контейнере закрытого ключа может быть интегрирован сертификат. Но не наоборот..

(39) это сообщение 2011 года! давать не заниматься некрофилией :)) Ни разу не возражаю, что 10 лет назад копировать было нельзя,
Более того, я прямо честно скажу — я копировал еще дискеты через WINIMAGE.40P, потому что напрямую проводником копировать было именно что нельзя.
И таки да — насчет крипто про 3.0 — что-то я сейчас засомневался уже. Давно было..
Но я точно уверен, что просто копировал и копирую флэшки (правда, не проводником, а Total cmd) когда юзал крипто про 3.6, 3.9, 4.0 5.0.

(44) если помечен как экспортный то можно и просто копировать

(45) Не, ну это были еще дискеты, крипто про наверно еще 2, а какие были ключи (экспортируемые или нет) сейчас уже и не скажу. Но WINIMAGE, тогда еще 4-й, все это замечательно обходил 🙂
Сейчас WINIMAGE уже 10-й, но давно не пользуюсь, возможности нынешние не знаю.

(45) Так неэкспортируемый и средствами криптопро нельзя копировать

(37) >> Даже если принудительно задать путь к хранилищу сертификатов «F:\»
хранилище сертификатов не бывает «F:\»
:))
хранилище может быть личное, доверенные корневые, промежуточные и еще куча мала . Кроме того, хранилище может быть на пользователя или на компьютер.

(47) прикинь, а любой программулькой, которая делает точный дубликат носителя, можно 🙂 Тем же WINIMAGE, если это дискетка или флэшка.
А если этот неэкспортируемый ключ в реестре, то прекрасно копируется тупо ветка реестра. На другой комп.:)

Единственное, что я не поборол, это как скопировать неэкспортируемый ключ из ru-токена. Других токенов (e-token, Ja-carta, под рукой для экспериментов нет, но, полагаю, тоже нельзя).

(49) В виде образа конечно скопировать можно. А у токенов не у всех версий неизвлекаемость «железная», на большинстве такой же флажок «не копировать», и через апи его можно прочитать, а значит и скопировать при необходимости. Но есть токены, которые ключ наружу не отдают вообще, в них встроен криптопроцессор, наружу выдают только результат подписи или шифрования.. вот с них ключ никак не вытащить.

(50) вот-вот.
Сейчас получил ключик для себя как ИП, в ФНС, на простой ru-token лайт, без криптопроцессора, и теперь вот, как будет время, хочу попытаться его вытащить оттуда. Так то не особо горит, но чисто любопытства ради. Свой ключик, свой ру-токен, своя подпись, даже если испорчу, никому хуже не сделаю. 🙂 Специально сделал себе пораньше, одним из первых, в ФНС, для эксперимента. 🙂

У меня, если что, для ИП меня еще от контура ключик имеется 🙂

Кстати. Хочу сказать, что недостоверно они на сайте ФНС пишут. Там на сайте сказано, что поддерживают почти все виды ru-токенов, а на практике вышло, что мне инспектор не смогла сгенерировать ЭЦП на Rutoken-S, зато смогла на Rutoken Lite.

Подозреваю, что драйвер ru-токена хоть и универсальный, но при первом втыкании каждого типа рутокена доустанавливается что-то конкретно под этот тип, а у инспектора права юзера ограничены. Так что в разных инспекциях (даже на разных компах) инспекторы наверно могут писать ЭЦП на разные ру-токены, имейте это ввиду.
В нашей я точно убедился, что на Rutoken-S НЕ пишут.
Сертификат соответствия ФСТЭК России в комплекте (с голограммой и номером экземпляра) — сказала и наф ей не нужен. Поэтому обошелся я б/ушным рутокеном, завалялись у меня с пяток разных, благо как кто под руку шепнул, взял все с собой в ИФНС, кога шел ЭЦП делать.

(51) мне вот интересно, как это все для юриков будет работать. У меня сейчас на тех компах, где отчетность отправляют, ключ гендира стоит. Я так понимаю, что теперь все, придется хоронить эту тему? Или нет?

Континент-АП

bubenchikov пишет: помогите решить вопрос.
1. На машине установлен Континент АП 3.6.79. На нем был сформирован сертификат пользователя. Контейнер закрытого ключа сохранен в реестре.

Скорей всего это Ваш случай: в этой же теме пост #7242 tda от 23.04.2018 в 08:12.
Если нет, то возможно найдете решение здесь со слов: «Если нект бэкапа закрытого ключа. «?

2. При попытке установить соединение. получаю ошибку:
сервер отказал в доступе пользователю unknown cert signature algoritm.

В настройках К-АП случаем не 2 провайдера — «КриптоПро CSP» и «Код Безопасности»? Если да — попробуйте галку в «КриптоПро CSP» (чтоб этот был по умолчанию).

«Мы будем жить плохо, но недолго.» (© Черномырдин В.С.)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Меньше Больше

  • Сообщений: 742
  • Спасибо получено: 226

08 июнь 2018 00:07 #7548 от Wmffre
Wmffre ответил в теме Континент-АП

bubenchikov пишет: На машине установлен Континент АП 3.6.79. На нем был сформирован сертификат пользователя. Контейнер закрытого ключа сохранен в реестре. Крипто про 3.6 не видит этот контейнер.

  1. КриптоПро CSP неисправен или не настроен (считыватель «Реестр» должен быть добавлен в КриптоПро CSP)
  2. Неисправен или создан с ошибкой сам контейнер закрытого ключа
  3. Контейнер закрытого ключа создан НЕ с помощью криптопровайдера КриптоПро CSP. Посмотреть через SecurityCode CSP можно: ПУСК —> Программы —> Код безопасности —> Континент-АП 3.6 —> Код безопасности CSP —> вкладка «Ключевые контейнеры»

Auto screen capture + mencoder — бесплатные(GPL) программы для создания видео действий пользователя для техподдержки.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Меньше Больше

  • Сообщений: 183
  • Спасибо получено: 36

08 июнь 2018 02:16 #7549 от two_oceans
two_oceans ответил в теме Континент-АП

У меня тоже сложилось впечатление, что контейнер сформирован не КриптоПро, а SecurityCode CSP. В пользу этого «При попытке установить соединение, выбираю нужный сертификат», то есть Континент-АП похоже сертификат видит, в отличие от КриптоПро.
Насчет отказа сервера, кроме уже названных я бы проверил еще несколько пунктов — 1) что корневой сертификат Континента установлен (ну мало ли может не установился) в доверенные корневые центры сертификации и какой у него алгоритм;
2) что выбираемый сертификат пользователя присутствует в «Личные» пользователя с пометкой (при просмотре из «Личные», внизу) «Есть закрытый ключ соответствующий сертификату» и отсутствует во всех остальных хранилищах (был случай когда 1С цепляла сертификат из «Личные» компьютера, где он был без закрытого ключа, хотя в «Личные» пользователя был с ключом — умаялились выяснять что же не так);
3) (маловероятно, но все же стоит проверить) проверил бы какой алгоритм в сертификате. Тут дело в том, что SecurityCode CSP входящий в К-АП поддерживает гост-2012, а КриптоПро 3.6/3.8/3.9 не поддерживает. Поэтому если в К-АП указан КриптоПро, а сертификат каким-то чудом сделан на гост-2012, то зашифровать соединение им скорее всего не выйдет. В таком случае, как раз надо по умолчанию поставить SecurityCode CSP либо обновить КриптоПро до 4.0. Аналогично, УФК тоже может быть еще не настроено на гост-2012. Ну и в целом, пока нет УЦ с гост-2012 и мало кто может гарантировать что получится если сертификат УЦ гост-2001, а сертификат конечного пользователя гост-2012.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Меньше Больше

  • Сообщений: 8
  • Спасибо получено: 0

08 июнь 2018 02:40 — 08 июнь 2018 02:41 #7550 от bubenchikov
bubenchikov ответил в теме Континент-АП

2. При попытке установить соединение. получаю ошибку:
сервер отказал в доступе пользователю unknown cert signature algoritm.

В настройках К-АП случаем не 2 провайдера — «КриптоПро CSP» и «Код Безопасности»? Если да — попробуйте галку в «КриптоПро CSP» (чтоб этот был по умолчанию).

В настройках КАП 1 провайдер Код безопасности. Сертификат похоже оформлялся через него. Пробовал ставить версию 3.7.0.799. Там 2 криптопровайдера. Но моих контейнеров не видно.
Даже если я в 3.7.0.799 создаю сертификат с контейнером в реестре я и его не вижу.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\SecurityCode\CSP\cspkeys (ветка для 3.7 тут появляются записи о контейнере)
[HKEY_LOCAL_MACHINE\SOFTWARE\SecurityCode\CSP\cspkeys (ветка для 3.6, если перенести ветку на другой пк версия 3.6.79 увидит эти ключи)

Допустим проблему с переносом контейнера на другой пк я решил. Но новые версии не видят их.
***на версии 3.7 есть программа криптопровайдера (пуск\программы\код безопасности\код безопасности CSP)
на версии 3.6.79 такой нет чтобы посмотреть и выгрузить как то по людски контейнеры.

Что сделать чтобы свежие версии увидели контейнеры созданные кодом безопасности CSP?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Меньше Больше

  • Сообщений: 183
  • Спасибо получено: 36

08 июнь 2018 03:06 — 08 июнь 2018 03:20 #7552 от two_oceans
two_oceans ответил в теме Континент-АП

Может быть просто не создан ярлык на программу? В 3.7 находится в «C:\Program Files\Security Code\Terminal Station\csp\cspconfig.exe». Может быть в Program Files (x86). Судя по путям в реестре — проблема скорее всего в разной разрядности версий программ и/или разрядности операционной системы на двух компьютерах HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\SecurityCode\CSP\cspkeys появляется разрядность программы и операционной системы НЕ совпадает (программа 32, ОС 64), а HKEY_LOCAL_MACHINE\SOFTWARE\SecurityCode\CSP\cspkeys появляется когда программа и ОС имею одинаковую разрядность (либо обе 32, либо обе 64). Программа 32-разрядная не найдет ключи в ветке для 64-разрядных программ и наоборот. Допишите либо удалите «Wow6432Node\» в файле реестра который переносите на другую разрядность и вероятно увидите добавленные ключи. Это стоит проверить в первую очередь.

Еще может быть проблема с Windows 10 насчет разрешений разделов реестра — если вносите под администратором в HKEY_LOCAL_MACHINE разделы иногда нельзя прочитать без админских прав. Также важно знать о «виртуализации» — если включен «контроль учетных записей» и вносите в HKEY_LOCAL_MACHINE не под администратором, то операционная система может данные перенаправить в другое место, они будут прекрасно видны из программы под пользователем, который их вносил, но недоступны для другой программы и других пользователей.

Например, можно удалить «Wow6432Node\» в файле реестра и перенести на 32-разрядную машину с К-АП 3.7 (у меня как раз такой случай), для надежности отключить временно контроль учетных записей и зайти под администратором перед внесением файла реестра — тогда уж точно должны увидеться ключи.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Меньше Больше

  • Сообщений: 8
  • Спасибо получено: 0

08 июнь 2018 03:07 #7553 от bubenchikov
bubenchikov ответил в теме Континент-АП

two_oceans пишет: 3) (маловероятно, но все же стоит проверить) проверил бы какой алгоритм в сертификате. Тут дело в том, что SecurityCode CSP входящий в К-АП поддерживает гост-2012, а КриптоПро 3.6/3.8/3.9 не поддерживает. Поэтому если в К-АП указан КриптоПро, а сертификат каким-то чудом сделан на гост-2012, то зашифровать соединение им скорее всего не выйдет. В таком случае, как раз надо по умолчанию поставить SecurityCode CSP либо обновить КриптоПро до 4.0. Аналогично, УФК тоже может быть еще не настроено на гост-2012. Ну и в целом, пока нет УЦ с гост-2012 и мало кто может гарантировать что получится если сертификат УЦ гост-2001, а сертификат конечного пользователя гост-2012.

Алгоритм в сертификате пользователя выданный казначейством ГОСТ Р 34.11/34.10-2001. Судя по контейнеру закрытому он создавался SecurityCode CSP.
Первые пол года действия сертификата проблем не было, подключались. Теперь ошибка при входе. В ближайшее время казначейство просит обновиться до 3.7. Возможен вариант что их сервер обновлен и нас не пускает с такими ключами?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Меньше Больше

  • Сообщений: 8
  • Спасибо получено: 0

08 июнь 2018 03:18 #7554 от bubenchikov
bubenchikov ответил в теме Континент-АП

two_oceans пишет: Может быть просто не создан ярлык на программу? В 3.7 находится в «C:\Program Files\Security Code\Terminal Station\csp\cspconfig.exe». Может быть в Program Files (x86). Судя по путям в реестре — проблема скорее всего в разной разрядности версий программ и/или разрядности операционной системы на двух компьютерах HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\SecurityCode\CSP\cspkeys появляется разрядность программы и операционной системы НЕ совпадает (программа 32, ОС 64), а HKEY_LOCAL_MACHINE\SOFTWARE\SecurityCode\CSP\cspkeys появляется когда программа и ОС имею одинаковую разрядность (либо обе 32, либо обе 64). Программа 32-разрядная не найдет ключи в ветке для 64-разрядных программ и наоборот. Допишите либо удалите «Wow6432Node\» в файле реестра который переносите на другую разрядность и увидите добавленные ключи. Это стоит проверить в первую очередь.

Еще может быть проблема с Windows 10 насчет разрешений разделов реестра — если вносите под администратором в HKEY_LOCAL_MACHINE разделы иногда нельзя прочитать без админских прав. Также важно знать о «виртуализации» — если включен «контроль учетных записей» и вносите в HKEY_LOCAL_MACHINE не под администратором, то операционная система может данные перенаправить в другое место, они будут прекрасно видны из программы под пользователем, который их вносил, но недоступны для другой программы и других пользователей.

Перебрасывал ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\SecurityCode\CSP\cspkeys
HKEY_LOCAL_MACHINE\SOFTWARE\SecurityCode\CSP\cspkeys

Ключи созданные в 3.7 имеют другую длину, чем старые в 3.6 возможно поэтому не видит. На компьютере Win 7 64. Ключи перенес с win 7 32.
На версии 3.6.79 не менял даже пути реестра, все увидел старые ключи.

Может быть просто не создан ярлык на программу? В 3.7 находится в «C:\Program Files\Security Code\Terminal Station\csp\cspconfig.exe».

К сожалению 3.6.79 не создает папку Terminal Station соответственно cspconfig.exe тоже нет. Поиск по диске экзешника тоже ничего не дал.

Похоже самый правильный вариант установить свежую версию которое дает казначейство и сформировать новый ключ через криптопро. =((

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Меньше Больше

  • Сообщений: 183
  • Спасибо получено: 36

08 июнь 2018 04:39 — 08 июнь 2018 04:46 #7555 от two_oceans
two_oceans ответил в теме Континент-АП

Похоже самый правильный вариант установить свежую версию которое дает казначейство и сформировать новый ключ через криптопро. =((

Ну я тоже мнения, что лучше без экзотики. Однако хотелось бы все же решить проблему для накопления базы знаний в чем подвох. Еще тут нужно отметить, что SecurityCode CSP требует менять пин-коды каждые полгода. Поэтому настоящая паника начинается когда пользователь сменил пароль и никуда не записал.

К сожалению 3.6.79 не создает папку Terminal Station соответственно cspconfig.exe тоже нет. Поиск по диске экзешника тоже ничего не дал.

Не может быть, Terminal Station — это папка по умолчанию в которую установлен сам Континент-АП. В подпапке vpn — тот самый «синий щит» (AP_Mgr.exe, программа управления VPN клиентом). Не из воздуха же он работает? Рядом подпапка csp. Если у Вас установлен по другому пути, то поищите в папке, где установлен Континент или на уровень выше, папку csp. Можно отследить путь службы CSP в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sccspservice параметр ImagePath или через Службы имя службы «Security Code CSP Service», поле «исполняемый файл». Рядом с ним ищите другой экзешник.

Решил тоже попробовать с генерацией ключей через SecurityCode CSP — собственно даже создать запрос не получилось, пишет что не найден такой файл, но в процессе попыток сохранить хоть куда-то появились контейнеры и в реестре и на флешке. Поэтому могу сказать как они соотносятся — на флешке в корне создалась папка topsecretkeys в ней файл без расширения с именем точно таким же как подраздел с ключом под cspkeys в реестре, содержимое параметра blob из реестра равно шестнадцатиричной записи содержимого файла, длина 440 байт (проверил Far). Открытый на просмотр файл не нашелся CSP, когда закрыл — появился. Для справки — какая длина у старых?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Меньше Больше

  • Сообщений: 97
  • Спасибо получено: 12

08 июнь 2018 05:03 — 08 июнь 2018 05:05 #7556 от Beck
Beck ответил в теме Континент-АП

bubenchikov пишет: Похоже самый правильный вариант установить свежую версию которое дает казначейство и сформировать новый ключ через криптопро. =((

Наши клиенты так и сделали, даже не на новой версии, а просто сгенерировали новый ключ с использованием КриптоПро CSP. Теперь всё ОК)))

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Меньше Больше

  • Сообщений: 8
  • Спасибо получено: 0

08 июнь 2018 05:08 — 08 июнь 2018 05:35 #7557 от bubenchikov
bubenchikov ответил в теме Континент-АП

Похоже самый правильный вариант установить свежую версию которое дает казначейство и сформировать новый ключ через криптопро. =((

Ну я тоже мнения, что лучше без экзотики. Однако хотелось бы все же решить проблему для накопления базы знаний в чем подвох. Еще тут нужно отметить, что SecurityCode CSP требует менять пин-коды каждые полгода. Поэтому настоящая паника начинается когда пользователь сменил пароль и никуда не записал.

К сожалению 3.6.79 не создает папку Terminal Station соответственно cspconfig.exe тоже нет. Поиск по диске экзешника тоже ничего не дал.

Не может быть, Terminal Station — это папка по умолчанию в которую установлен сам Континент-АП. В подпапке vpn — тот самый «синий щит» (AP_Mgr.exe, программа управления VPN клиентом). Не из воздуха же он работает? Рядом подпапка csp. Если у Вас установлен по другому пути, то поищите в папке, где установлен Континент или на уровень выше, папку csp. Можно отследить путь службы CSP в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sccspservice параметр ImagePath или через Службы имя службы «Security Code CSP Service», поле «исполняемый файл». Рядом с ним ищите другой экзешник.

Решил тоже попробовать с генерацией ключей через SecurityCode CSP — собственно даже создать запрос не получилось, пишет что не найден такой файл, но в процессе попыток сохранить хоть куда-то появились контейнеры и в реестре и на флешке. Поэтому могу сказать как они соотносятся — на флешке в корне создалась папка topsecretkeys в ней файл без расширения с именем точно таким же как подраздел с ключом под cspkeys в реестре, содержимое параметра blob из реестра равно шестнадцатиричной записи содержимого файла, длина 440 байт (проверил Far). Открытый на просмотр файл не нашелся CSP, когда закрыл — появился. Для справки — какая длина у старых?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sccspservice
Такая ветка есть и указывает она на C:\Program Files\Security Code\Terminal Station\csp\cspconfig.exe
но такой папки не существует
Есть такой файл C:\Program Files\Security Code\Continent Client\cspservice.exe
Но при запуске он на секунду открывает командную строку и пропадает.
Попробую заменить путь на существующий файл.
не знаю как оценить через Far в реестре контейнер. выложу содержимое
На скрине что поменьше контейнер 3.6.79
На скрене что побольше 3.7

*могу выложить свой дистибутив 3.6.79, может в нем проблема.
Переустанавливал не раз, все так же. Контроль целостности проходит успешно, в отчете есть файл cspservice.exe, на него не ругается

Руководства

Руководство пользователя для ESMART PKI Client, который предназначен для работы со смарт-картами или USB- ключами ESMART Token и ESMART Token ГОСТ. Программа позволяет выполнить все необходимые операции со смарт-картами или USB-ключами в удобном графическом интерфейсе
СКАЧАТЬ

ESMART PKI Client — Руководство администратора

Руководство администратора для ESMART PKI Client, который предназначен для работы со смарт-картами или USB- ключами ESMART Token и ESMART Token ГОСТ. Программа позволяет выполнить все необходимые операции со смарт-картами или USB-ключами в удобном графическом интерфейсе
СКАЧАТЬ

Общие вопросы
Я купил новый USB-токен или смарт-карту ESMART Token и не знаю PIN-код

По умолчанию на устройствах ESMART Token заданы следующие значения:
— PIN-код пользователя — 12345678
— SO-PIN (PIN-код администратора) — 12345678

Я забыл PIN-код

При наличии SO-PIN (PIN-кода администратора) Вы можете разблокировать PIN-код пользователя при помощи программного обеспечения ESMART PKI Client.
Если утерян SO-PIN (PIN-код администратора), но имеется PIN-код пользователя, Вы можете продолжить использование ESMART Token как пользователь (удаление, запись, просмотр).
При утере SO-PIN и PIN-кода пользователя, использование или возврат к заводским настройкам невозможны!

На токене/смарт-карте имеются контейнеры, созданные при помощи СКЗИ «КриптоПРО CSP», они отображаются в ESMART PKI Client, но я ничего не могу подписать

СКЗИ «КриптоПРО CSP» использует для хранения информации на токенах и смарт-картах отдельные области и работает с ними через собственные библиотеки. В последних версиях ESMART PKI Client реализована возможность отображения контейнеров, созданных при помощи СКЗИ «КриптоПРО CSP» (в имени таких контейнеров стоит отметка [CRYPTO-PRO]), однако эта функция имеет лишь информационный характер. Произвести какие-либо операции с такими контейнерами с помощью ESMART PKI Client или приложений, работающих через PKCS#11, не представляется возможным.

Решения для Windows
Записанный в УЦ ФНС России контейнер с сертификатом не отображается в КриптоПро CSP

Данная особенность связана с переводом поддержки носителей с неизвлекаемыми ключами ESMART Token ГОСТ с интерфейса READER на PKCS#11. Для регистрации поддержки PKCS#11 необходимо переподключить модуль PKCS#11:
Панель управления — КриптоПро CSP — Запустить с правами администратора — Оборудование — Настроить считыватели — Считыватель смарт-карт PKCS#11 — Удалить — Добавить — Считыватель смарт-карт PKCS#11.
Рекомендуем отмечать галочками только те носители, которые Вы действительно планируете использовать на данной рабочей станции, иначе в системном журнале будут множество ошибок загрузки библиотек.
Краткая видеоинструкция по добавлению считывателя в КриптоПро CSP 5.0.
Более подробная инструкция приведена на сайте компании КриптоПро

При попытке записать контейнер КриптоПро на ESMART Token 64K в КриптПро CSP возникает ошибка: «Ошибка 0х80090023: Токен безопасности не имеет доступного места для хранения дополнительного контейнера.»

Данная ошибка может возникнуть при записи на токен контейнера, содержащего цепочку из трёх и более сертификатов. Сначала убедитесь, что на токене отсутствуют контейнеры КриптоПро, при необходимости инициализируйте токен. Запустите от имени Администратора (обязательно!) КриптоПро CSP. Во вкладке «Оборудование» нажмите «Настроить типы носителей. «, найдите в списке «ESMART Token 64K». Нажмите «Свойства» и перейдите во вкладку «Свойства». Установите параметр «Максимальное число контейнеров» — 4. Данная настройка уменьшит максимальное количество контейнеров, хранимых на токене, но пропорционально увеличит их возможный размер.

При установке ESMART PKI Client возникает ошибка 26352

Для решения проблемы запустите оснастку «Сертификаты пользователя» (certmgr). Перейдите в «Доверенные издатели» -> «Сертификаты». Удалите все сертификаты «ISBC Ltd». Запустите setup.x64.exe (либо setup.exe в зависимости от вашей системы) от имени администратора. Программа установки автоматически добавит корректные сертификаты.

При запуске ESMART PKI Client появляется сообщение «The requested security protocol is not supported»

Данная ошибка может проявиться на ОС Windows Vista SP2 и Windows Server 2008 SP2. Для решения проблемы установите соответствующий патч из статьи на сайте Microsoft

При запуске ПО ESMART PKI Client появляется сообщение: «Ошибка при инициализации PKCS #11. Возможно, в системе не установлены соответствующие библиотеки». ESMART PKI Client запускается, но не определяются смарт-карты и ESMART Token

Переустановите ESMART PKI Client, запустив установщик от имени администратора или установите библиотеки вручную.
Также возможно возникновение данной ошибки при установке PKI Client посредством Windows Remote Desktop (RDP). Для установки PKI Client рекомендуем использовать иное ПО для удалённого доступа к компьютеру

На удаленном рабочем столе не отображаются ESMART Token и смарт-карты. КриптоПРО CSP не определяет сертификаты на ESMART Token. В запущенном ESMART PKI Client не отображаются подключенные ESMART Token

Особенность работы со смарт-картами в терминальной сессии заключается в том, что использовать можно только смарт-карты, подключенные к клиентской станции. Смарт-карты, подключенные непосредственно к терминальному серверу в терминальной сессии использовать нельзя. Это ограничение службы терминалов.
ESMART Token, подключенный к удаленной машине при работе через RDP, работать не будет. Необходимо или подключать его к машине, с которой заходит клиент, или воспользоваться иным ПО для удалённого доступа к компьютеру

При подключении ESMART Token в ПО КриптоПро CSP не отображаются установленные на этом ESMART Token сертификаты. При работе с ESMART Token отображается предупреждение: «Некорректный тип носителя или носитель не отформатирован.»

Необходимо зайти в КриптоПро CSP на вкладку «Оборудование» — строка «Типы ключевых носителей», нажать на кнопку «Настроить типы носителей». В ключевых носителях должны быть установлены следующие носители: ESMART Token 64K, ESMART Token GOST (3 шт.). При отсутствии данных об этих ESMART Tokenах работать с КриптоПро CSP будет невозможно.
Поддержка ESMART Token 64K в КриптоПро начинается с версии 3.6 R2, ESMART Token ГОСТ с версии 3.9. Если версия старше, то следует установить «Модуль поддержки КриптоПро CSP для Windows» для ESMART Token 64K и/или ESMART Token GOST. В ином случае следует переустановить КриптоПро CSP. Если переустановка не помогает, то следует установить «Модуль поддержки КриптоПро CSP для Windows»

Не удается записать контейнеры VipNet на ESMART Token при использовании профиля «По умолчанию»
Необходимо установить профиль VipNet, VipNet2 или VipNet3
На компьютерах с ОС Windows XP не удается авторизоваться при помощи смарт-карт

Необходимо установить Microsoft Base Smart Card Cryptographic Service Provider Package (KB909520). А также драйвера для устройств чтения смарт-карт.
Если неработающее устройство это ESMART Token, а не смарт-карта (то есть ридер и смарт-карта в одной сборке), то необходимо установить обновление с драйверами — Microsoft Usbccid (WUDF).
Так как поддержка Windows XP прекращена, необходимое для работы ESMART Token ПО не устанавливается в автоматическом режиме

Kaspersky Free блокирует окна ввода PIN и выбора сертификата
Перевести Kaspersky Free в неактивный режим
При запуске *.exe файла, не находится файл*.msi, хотя оба помещены в одну папку

Убедиться, что архив с файлами распакован и запуск установки осуществляется не из этого архива.
Возможно, потребуется отключение SmartScreen для файлов в панели настроек.

При переключении режима работы Службы смарт-карт (на авто или ручной режим) возникает ошибка: «Невозможно создать файл, т.к. он уже существует»

Необходимо вручную изменить значения в реестре, выполняющие ту же функцию: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardSvr для параметра Start поменять с 4 на 2
Примечание:
Automatic (Delayed Start) — 2
Manual — 3
Disabled — 4

При извлечении карты не блокируется АРМ

Необходимо включить политику блокировки при извлечении локально в gpedit.msc (Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности — Интерактивный вход в систему: поведение при извлечении смарт-карты — выставить опцию «Блокировка рабочей станции»). Также необходимо убедиться, что служба «Политика удаления смарт-карт» запущена, тип запуска установлен Автоматический

После установки ПО на Windows XP ESMART Token не определяется клиентом, а также в разделе «Оборудование» отображается как неверно установленный

Установить обновление безопасности KB909520 и, если требуется, стандартный драйвер для считывателей
При перенаправлении ESMART через RDP. Ошибка библиотек PKCS #11
Проблема заключается в одном из обновлений Windows. Решение на сайте Microsoft
При работе через RDP из внешней сети возникает ошибка Kerberos

Особенность заключается в том, что аутентификация по смарт-картам является надстройкой (расширением) аутентификации Kerberos, но никак не заменяет его. Т.е. аутентификация по смарт-карте без Kerberos невозможна. Когда вбивается IP адрес (\\192.168.1.1\share) используется NTLM, а не Kerberos. Описание на сайте Microsoft.
Решение: использовать VPN-соединение.

При попытке обратиться к контейнеру КриптоПро через ACR3901U мигает окно, соединение сбрасывается
Проявляется с прошивкой v.110, необходимо обновить прошивку до v.111

Ошибка: «Данная реализация не является частью протестированных криптографических алгоритмов Windows Platform FIPS»

Необходимо отключить политику «Системная криптография: использовать FIPS совместимые алгоритмы для шифрования, хеширования и подписывания»

Ручная установка драйверов

Скачайте и распакуйте архив.
Для ридера драйвера не требуются — используются стандартные драйвера CCID в составе ОС. Драйвера смарт-карты находятся в директориях ESMART CSP и ESMART GOST CSP для ESMART Token 64K и ESMART Token ГОСТ соответственно, устанавливаются стандартным образом.
Добавление библиотек на x86 системе:
— скопировать библиотеки из SystemFolder в C:\Windows\System32
Добавление библиотек на x64 системе:
— скопировать библиотеки из System64Folder в C:\Windows\System32
— скопировать библиотеки из SystemFolder в C:\Windows\SysWow64
Внесите изменения в реестр.
Для этого скачайте и распакуйте архив. Запустите файлы изменения реестра из архива (с названием remove — для удаления).
Перезагрузите компьютер.

Решения для Linux / MacOS
ESMART PKI Client не запускается

Должна быть установлена среда Mono.
В Linux для запуска программы из командной строки необходимо набрать команду, указав действительный путь к исполняемому файлу:
> sudo mono ESMARTPkiClient.exe
В некоторых ОС, в т.ч. с установленным Mono, PKI Client может не запускаться, или не будут отображаться все графические элементы. Это связано с индивидуальными особенностями ОС Linux и работы в них программ. В таком случае следует сообщать разработчикам

При запуске ПО ESMART PKI Client появляется сообщение: «Ошибка при инициализации PKCS#11. Возможно в системе не установлены соответствующие библиотеки»

Проверить, установлены ли пакеты для работы со смарт-картами (pcsclite, usb-ccid), проверить, запущена ли служба pcscd.
Установить библиотеки. Это можно сделать с помощью .rpm пакета командой:
> rpm -Uvh isbc_pkcs11-****.rpm (или подобной).
Выяснить значение DISPLAY для суперпользователя (> sudo -i) командой:
> echo $DISPLAY
Если значение пусто, то задать его самостоятельно командой:
> export DISPLAY=»*»
Вместо «*» должно быть некое значение, выяснить которое можно у других пользователей системы

При запуске ПО ESMART PKI Client появляется окно с сообщением: «Unable to load library: libisbc_pkcs11_main.so»

Установить/обновить соответствующие пакеты: pcsc-lite, CCID драйвер, ISBC PKCS#11, mono, libgdiplus.
Дополнительно убедиться, что в нужных папках есть символьные ссылки на следующие библиотеки: libdl.so, libgdiplus.so. Как правило, после установки пакетов есть только библиотеки с номером версии, например: /usr/lib64/libgdiplus.so.0, но ссылки /usr/lib64/libgdiplus.so нет. Её необходимо создать командой
> sudo ln -s /usr/lib64/libgdiplus.so.0 /usr/lib64/libgdiplus.so

ПО ESMART PKI Client не запускается. В терминале отображается ошибка с текстом «System.DllNotFoundException: libgdiplus.so»

В папке /usr/lib64 или /usr/lib (в зависимости от разрядности ОС) нет файла libgdiplus.so
Установить пакет libgdiplus необходимой разрядности. Создать символьную ссылку libgdiplus.so в папке /usr/lib64 или /usr/lib (в зависимости от разрядности ОС).
Как правило, после установки пакетов есть только библиотеки с номером версии, например /usr/lib64/libgdiplus.so.0, но ссылки /usr/lib64/libgdiplus.so нет. Её необходимо создать командой
> sudo ln -s /usr/lib64/libgdiplus.so.0 /usr/lib64/libgdiplus.so

На удаленном рабочем столе не отображаются ESMART Token и смарт-карты. КриптоПРО CSP не определяет сертификаты на ESMART Token. В запущенном ESMART PKI Client не отображаются подключенные ESMART Token

Особенность работы со смарт-картами в терминальной сессии заключается в том, что использовать можно только смарт-карты, подключенные к клиентской станции. Смарт-карты, подключенные непосредственно к терминальному серверу в терминальной сессии использовать нельзя. Это ограничение службы терминалов.
ESMART Token, подключенный к удаленной машине при работе через RDP, работать не будет. Необходимо или подключать его к машине, с которой заходит клиент, или воспользоваться другим ПО для подключения к машине (TeamViewer и др.)

Не удается записать контейнеры VipNet на ESMART Token при использовании профиля «По умолчанию»
Необходимо установить профиль для ESMART Token VipNet, VipNet2 или VipNet3
В VirtualBox на MacOS не определяется ESMART Token, возникает ошибка: «Used by someone else»

Привязать ESMART Token в настройках виртуальной машины (если есть запись с этим устройством, удалить её и привязать заново). Извлечь ESMART Token, выключить виртуальную машину, включить заново, подключить ESMART Token

При установке модулей поддержки КриптоПро возникает ошибка: «Error Code: -2146435049»

Ошибка возникает при установке модулей поддержки ESMART Token для КриптоПро в случае, если данные модули не соответствуют установленной версии КриптоПро.
Необходимо установить модули, соответствующие версии КриптоПро.

Если Вам не удалось найти описание и решение Вашей проблемы, Вы можете направить её подробное описание в адрес нашей технической поддержки:
E-mail: help@esmart.ru

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *