Такая ошибка появилась у RDP-пользователей при работе с Crypto Pro CSP после обновления сервера на новую версию Windows. Установка/удаление Crypto Pro, очистка установки с помощью специальной утилиты cspclean – не помогли и ситуация не поменялась. Поиски решения через интернет ничего не дали.

Решение

Можно было обратиться в поддержку Crypto Pro, но это долго, это несколько дней. Тогда я предположил, что дело не в программе и действительно, если завести нового пользователя – ошибки нет. Можно конечно пересоздать для пользователей профили, но это тоже долго и неправильно – считаю, ошибки нужно бороть “в лоб”. Стал искать в реестре, сначала  запросы по DLL криптопровайдера “cpcsp.dll “,  потом “crypto pro“, затем еще.. понял, что это будет чрезвычайно долго, догадался и стал искать уже по SID’у пользователя и довольно таки быстро нашёл. Это раздел:

Ошибка обращения к указанному CSP

Сначала экспортируем ветку нужного SID’а, потому что в ней хранятся установленные пользователем ключи – на всякий пожарный, затем удаляем. При запуске Crypto Pro пользователем данная ветка пересоздается с новыми, правильными значениями. Ошибка исчезла. Надеюсь кому-то поможет.

Добавление от 05.08.2016

Где этот SID брать? Для меня это очевидно, поэтому ничего и не написал. Посмотреть у какого пользователя какой SID можно также в реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList]
Ошибка обращения к указанному CSP

На чтение 4 мин Опубликовано Обновлено

Ошибка криптопро TLS ошибка 2 при обращении к CSP 1 является достаточно распространенной проблемой, с которой сталкиваются пользователи при работе с КриптоПро CSP. Данная ошибка указывает на проблему с подключением криптографического провайдера (CSP) к TLS слою. В свою очередь, КриптоПро CSP является одной из самых известных и широко используемых систем криптографической защиты информации в России. Ошибка 2 является одной из основных ошибок, возникающих при работе с данной системой.

Проблема возникает, когда при попытке обращения к CSP 1 происходит сбой, в результате которого пользователь получает ошибку криптопро TLS ошибка 2. Возможные причины возникновения данной ошибки могут быть различными. Ошибки могут быть связаны с неправильной установкой КриптоПро CSP, несовместимостью с операционной системой или неправильной конфигурацией системы.

Существует несколько способов решения ошибки криптопро TLS ошибка 2 при обращении к CSP 1. Один из подходов заключается в обновлении версии КриптоПро CSP до последней доступной версии. Также следует убедиться, что установлены все необходимые обновления операционной системы и драйверов. Проверьте наличие конфликтов с другими установленными приложениями или антивирусными программами, которые могут влиять на работу КриптоПро CSP. Если проблема остается, обратитесь к разработчикам КриптоПро CSP или обратитесь за помощью в службу поддержки КриптоПро.

Содержание

  1. Ошибка «Криптопро TLS ошибка 2»
  2. Причины ошибки при обращении к CSP 1
  3. Способы решения проблемы

Ошибка «Криптопро TLS ошибка 2»

Ошибка «Криптопро TLS ошибка 2» возникает при попытке обращения к CSP (Cryptographic Service Provider) 1 в контексте криптографических операций с использованием протокола Криптопро TLS.

Такая ошибка может иметь несколько причин:

  • Некорректные настройки CSP 1
  • Проблемы с установкой и настройкой Криптопро TLS
  • Недостаточные привилегии пользователя для доступа к CSP 1
  • Конфликт с другими установленными криптографическими провайдерами

Для решения проблемы «Криптопро TLS ошибка 2» можно предпринять следующие шаги:

  1. Проверить настройки CSP 1 и убедиться, что они корректно установлены и соответствуют требуемым параметрам.
  2. Обновить или переустановить Криптопро TLS до последней версии, учитывая требования к операционной системе.
  3. Убедиться, что у пользователя, под которым выполняется операция, достаточные привилегии для доступа к CSP 1.
  4. Проверить наличие конфликтов с другими криптографическими провайдерами, установленными на системе, и при необходимости отключить или удалить их.

При возникновении ошибки «Криптопро TLS ошибка 2» рекомендуется обратиться к документации по установке и настройке CSP 1 и Криптопро TLS, а также консультации с поддержкой разработчика или поставщика соответствующего программного обеспечения.

Причины ошибки при обращении к CSP 1

Ошибка 2 при обращении к Cryptographic Service Provider (CSP) 1 в рамках использования Криптопро TLS может возникать по разным причинам. Рассмотрим наиболее распространенные из них:

  1. Отсутствие установленного Cryptographic Service Provider (CSP) 1.

    Ошибка может возникнуть, если на устройстве, на котором происходит обращение к CSP 1, CSP 1 не установлен или не настроен правильно. Чтобы исправить эту проблему, необходимо установить CSP 1 и проверить его корректность настройки.

  2. Несовместимость версий Cryptographic Service Provider (CSP) и Криптопро TLS.

    Возможна ситуация, когда установленная версия CSP несовместима с версией Криптопро TLS, используемой в приложении. Рекомендуется обновить CSP или Криптопро TLS до совместимых версий, чтобы избежать ошибки.

  3. Неправильная настройка прав доступа к CSP 1.

    Ошибка может возникнуть, если у пользователя, под которым выполняется приложение, отсутствуют необходимые права доступа к CSP 1. Чтобы исправить эту проблему, необходимо проверить и изменить права доступа соответствующего пользователя.

  4. Проблемы с установленными сертификатами.

    Ошибка также может быть связана с проблемами в установленных сертификатах. Некорректные, устаревшие или поврежденные сертификаты могут вызывать ошибку при обращении к CSP 1. Рекомендуется проверить установленные сертификаты и при необходимости обновить или заменить их.

  5. Проблемы с криптографическими операциями.

    Ошибка также может возникнуть из-за проблем с выполнением криптографических операций, которые используются при обращении к CSP 1. Неверный формат данных, некорректные параметры или другие ошибки в криптографических операциях могут привести к ошибке. Рекомендуется проверить правильность использования криптографических операций и их параметров.

Способы решения проблемы

Ошибки, возникающие при обращении к CSP 1 в Криптопро TLS могут быть вызваны различными факторами. Выделены основные причины возникновения ошибки 2:

  • Отсутствие или неправильная установка Криптопро CSP. Проверьте, что Криптопро CSP установлен на компьютере и правильно настроен.
  • Конфликт версий Криптопро. Убедитесь, что используется совместимая версия Криптопро CSP и Криптопро TLS.
  • Проблемы с правами доступа. Проверьте, что у пользователя, с которым запущено приложение, есть права доступа на использование Криптопро CSP.
  • Некорректная настройка параметров Криптопро. Проверьте настройки Криптопро CSP и Криптопро TLS, убедитесь, что они корректно настроены и соответствуют требованиям приложения.
  • Проблемы с сертификатами. Проверьте наличие и корректность установки нужных сертификатов на компьютере.
  • Конфликты с другими программами или антивирусом. При наличии других программ, которые могут вмешиваться в работу Криптопро, попробуйте временно отключить их или настроить исключения.

Решение проблемы может потребовать обращения к специалистам Криптопро или получения технической поддержки, чтобы выяснить и устранить причину ошибки.

В протоколе https:// можно использовать криптографию ГОСТ (ГОСТ Р 34.10-2001, ГОСТ Р 34.10-94).

Для этого на Linux сервере есть 2 варианта реализации:

  • Opensource, добавленная в OpenSSL 1.0.* и входящая в комплект его поставки, и отделённая в https://github.com/gost-engine/engine, начиная с OpenSSL 1.1. Реализована компанией КриптоКом, НЕ сертифицирована.
  • Реализация через КриптоПро CSP и gost_capi. КриптоПро сертифицировано ФСБ, есть 3.9 и 4.0, 4.0 отличается дополнительным наличием поддержки чуть более нового стандарта ГОСТ Р 34.10-2012, однако для совместимости со старыми версиями КриптоПро (3.6, 3.9) и opensource реализацией его использовать не надо.

Содержание

  • 1 Настройка OpenSource реализации (КриптоКом)
  • 2 Установка КриптоПро на RHEL 7.2
    • 2.1 Установка пакетов
    • 2.2 Установка сертификата и ключа
    • 2.3 Настройка nginx
    • 2.4 Настройка SELinux и прав доступа
    • 2.5 Проверка работы
      • 2.5.1 Ошибки
      • 2.5.2 Некритичные ошибки
  • 3 Формат ключа

Настройка OpenSource реализации (КриптоКом)

Самая простая в установке реализация ГОСТ — opensource. Установка сводится к 2 пунктам:

  1. Найти в комплекте поставки ИЛИ собрать engine «/usr/lib64/openssl/libgost.so»
  2. Включить её в конфигурации OpenSSL

Если ваша версия OpenSSL 1.0.x, ГОСТ может быть уже в комплекте поставки. Нужно найти директорию с engines OpenSSL (Debian: /usr/lib/x86_64-linux-gnu/openssl*/engines или /usr/lib/x86_64-linux-gnu/engines-1.1, RHEL: /usr/lib64/openssl/engines) и посмотреть, есть ли там файл с именем «libgost.so» или «libgost_engine.so». Если есть — можно переходить к редактированию конфигурации. Если нет — нужно скачать исходные коды вашего пакета OpenSSL и включить gost в его конфигурации сборки.

Если ваша версия OpenSSL 1.1.x, нужно склонировать репозиторий https://github.com/gost-engine/engine, установить пакеты cmake и libssl-dev (Debian) или openssl-devel (RHEL), зайти в склонированную директорию и выполнить команды

mkdir build
cd build
cmake ..
make -j4

После чего взять libgost_engine.so из поддиректории bin клонированного репозитория и скопировать его в папку engines.

Далее отредактировать конфигурацию — добавить перед первой секцией INI-файла openssl.cnf следующий блок:

openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gost = gost_section

[gost_section]
soft_load = 1
dynamic_path = /usr/lib/x86_64-linux-gnu/engines-1.1/libgost_engine.so
engine_id = gost
default_algorithms = ALL
CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet

После этого всё ПО, использующее OpenSSL (в частности, nginx) сможет использовать ГОСТ в протоколе TLS.

Самоподписанный ГОСТ-сертификат можно сгенерировать так:

openssl req -days 3650 -x509 -newkey gost2001 -pkeyopt paramset:A -nodes -keyout gost_test.key -out gost_test.crt

Чтобы сконвертировать ключевой контейнер КриптоПро в нормальный ASN.1/PEM формат, нужно использовать утилиту http://svn.yourcmc.ru/vitalif/trunk/scripts/cryptopro-key-to-openssl.c?view=co (источник: https://habrahabr.ru/post/275039/)

Установка КриптоПро на RHEL 7.2

Инструкция по установке КриптоПро CSP на сервер RHEL 7.2 в nginx.

Установка пакетов

  • Установить nginx >= 1.11 с официального сайта http://nginx.org/
  • Установить пакет redhat-lsb-core
  • Скачать дистрибутив КриптоПро CSP, например, 3.9
  • Установить пакеты КриптоПро: lsb-cprocsp-base, lsb-cprocsp-capilite-64, lsb-cprocsp-kc1-64, lsb-cprocsp-kc2-64, lsb-cprocsp-pkcs11-64, lsb-cprocsp-rdr-64, cprocsp-curl-64, cprocsp-cpopenssl-64, cprocsp-cpopenssl-base, cprocsp-cpopenssl-gost, опционально: lsb-cprocsp-devel, cprocsp-cpopenssl-devel
  • Убедиться, что сервис cryptsrv запущен (ps ax|grep cryptsrv), если нет — запустить (service cprocsp start), убедиться, что включён автозапуск (systemctl enable cprocsp)
  • Выполнить команду
    /opt/cprocsp/sbin/amd64/cpconfig -ini '\config\apppath' -add string libcurl.so /usr/lib64/libcurl.so.4

Установка сертификата и ключа

Вначале устанавливаем закрытый ключ — для этого нужно взять директорию с ключами (см. #Формат ключа) и скопировать в /var/opt/cprocsp/keys/root/ под именем XXXXXXXX.000 (любое имя вида «8 латинских букв, точка, 3 цифры»). «Контейнер ключа/ключей» в терминологии КриптоПро — это и есть ключ.

Далее — установка сертификата.

Если сертификат НЕ в формате X.509/PEM, его нужно сконвертировать в этот формат.

В частности, один из наших тестовых сертификатов был получен в формате PEM (кусок текста в кодировке base64), но без заголовка — в этом случае нужно добавить заголовок, то есть в начало добавить строку —–BEGIN CERTIFICATE—–, а в конец — строку —–END CERTIFICATE—–.

Второй вариант — сертификат может быть в бинарном формате (X509/DER, расширение обычно *.cer) — тогда его надо сконвертировать в PEM командой

/opt/cprocsp/cp-openssl/bin/amd64/openssl x509 -inform der -in file.cer -out file.pem

Получив сертификат в формате PEM, нужно скопировать его в /etc/nginx/ssl-gost.pem и выполнить

/opt/cprocsp/bin/amd64/certmgr -inst -file /etc/nginx/ssl-gost.pem -ask-cont

КриптоПро должно предоставить выбор ключевого контейнера, в списке должен быть 1 элемент (ключ, скопированный на предыдущем шаге). Следует ввести цифру 1 и нажать Enter, таким образом выбрав единственный вариант. Если ключ защищён паролем, будет предложено ввести пароль.

Если ключ защищён паролем (если пароль запрашивался на предыдущем шаге), пароль нужно снять — командой

/opt/cprocsp/bin/amd64/csptest -passwd -container '<ИмяКонтейнера>' -change '' -passwd '<старый_пароль>'

<ИмяКонтейнера> взять с прошлого шага из списка.

Проверить установку сертификата можно командой /opt/cprocsp/bin/amd64/certmgr -list. Должен быть выведен сертификат со строкой PrivateKey Link: Yes и указан ключевой контейнер — это будет означать, что сертификат установлен корректно.

Настройка nginx

Далее добавить в конфигурацию виртуального хоста nginx строки (то, что начинается с # — комментарии/пояснения, можно не добавлять):

listen 443 ssl;
# ГОСТ сертификат
ssl_certificate /etc/nginx/ssl-gost.pem;
# "Иванов" - первое слово (без пробелов) имени сертификата (поля CN) (да, можно и так извратиться)
ssl_certificate_key engine:gost_capi:Иванов;
# RSA сертификат
ssl_certificate /etc/nginx/ssl-rsa.pem;
# RSA ключ
ssl_certificate_key /etc/nginx/ssl-rsa.key;
# шифры, приоритет ГОСТ, потом шифры семейства RSA высокой стойкости
ssl_ciphers GOST2001-GOST89-GOST89:HIGH;
ssl_prefer_server_ciphers on;
# gost_capi работает только с TLS 1.0
ssl_protocols TLSv1;
# параметры сессии
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;

Такая конфигурация говорит о том, что:

  • Для клиентов, поддерживающих ГОСТ — будет использоваться ГОСТ
  • Для остальных — будет использоваться RSA

Далее нужно перенаправить nginx на библиотеку OpenSSL, поставляемую с КриптоПро — для этого надо скопировать файл /usr/lib/systemd/system/nginx.service в /etc/systemd/system/nginx.service и отредактировать его, добавив в секцию [Service] строку

Environment=LD_LIBRARY_PATH=/opt/cprocsp/lib/amd64:/opt/cprocsp/cp-openssl/lib/amd64

Кроме того, нужно выполнить команды:

ln -s libcrypto.so.1.0.0 /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.10
ln -s libssl.so.1.0.0 /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.10

А также

touch /var/opt/cprocsp/tmp/openssl.log
chown nginx:nginx /var/opt/cprocsp/tmp/openssl.log

После этого выполнить команду

systemctl daemon-reload

Примечание: так получается сделать по той причине, что и в КриптоПро, и в RHEL 7.2 используется OpenSSL 1.0.x, то есть версии совместимы. При несовместимости версий нужно будет собирать nginx из исходных кодов, следующими командами:

./configure --user=nginx --group=nginx --prefix=/usr --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --pid-path=/run/nginx.pid --lock-path=/run/lock/subsys/nginx --with-http_ssl_module --with-cc-opt='-I/opt/cprocsp/cp-openssl/include/' --with-ld-opt=-L/opt/cprocsp/cp-openssl/lib/amd64/
make -j4
make install

Однако для RHEL/CentOS 7.2 этого можно не делать.

Настройка SELinux и прав доступа

Далее, если на сервере не отключён SELinux (по умолчанию в RHEL 7.2 включён), нужно установить политику SELinux: http://svn.yourcmc.ru/vitalif/trunk/cryptopro-nginx-rhel7. Команды для установки:

semodule -i cpro_nginx.pp
restorecon -R /var/opt

После этого — перезапустить nginx: systemctl restart nginx.

Альтернативный путь (упрощённый): остановить nginx, если запущен (systemctl stop nginx), установить пакет policycoreutils-python и далее повторять следующие 3 команды до тех пор, пока nginx не стартует:

systemctl start nginx
grep denied /var/log/audit/audit.log | audit2allow -a -M cryptopro-nginx
semodule -i cryptopro-nginx.pp

Проверка работы

Для проверки нужно использовать openssl s_client на сервере.

Для проверки работы RSA: /usr/bin/openssl s_client -connect localhost:443 (с помощью системной OpenSSL без поддержки ГОСТ).

Для проверки работы ГОСТ: /opt/cprocsp/cp-openssl/bin/amd64/openssl s_client -connect localhost:443 (с помощью OpenSSL КриптоПро).

При условии нормальной работы TLS на экран в обоих случаях должен быть выведен сертификат сервера, детали соединения (Cipher — шифр, в первом случае вида …RSA…, во втором GOST2001-GOST89-GOST89), и openssl должен остаться включённым с приглашением ко вводу, то есть, при вводе «GET / <Enter>» должен быть выведен HTTP ответ сервера, а следующую команду должно быть можно ввести только после отправки запроса (GET /) или нажатия Ctrl-C.

Если обе проверки удаются — соединение из клиентского браузера тоже будет работать.

Ошибки

В случае, если первый s_client (RSA) выводит строки «no peer certificate available» и «New, (NONE), Cipher is (NONE)» — следует проверить наличие в конфигурации nginx (/etc/nginx/nginx.conf, /etc/nginx/conf.d/*.conf) строк ssl_certificate и ssl_certificate_key с RSA-сертификатом и ключом.

В случае, если первый s_client (RSA) отрабатывает и выводит приглашение ко вводу, а второй (ГОСТ) выводит детали соединения и шифр GOST2001-GOST89-GOST89, но после этого сразу выходит в терминал — следует проверить права на файл /var/opt/cprocsp/tmp/openssl.log — владельцем файла должен быть пользователь nginx, а права должны стоять 644 (см. выше команду по смене владельца chown). Несмотря на то, что КриптоПро в инструкции по установке требует запускать nginx именно под пользователем root, наличия прав доступа к openssl.log должно быть достаточно для выполнения nginx под пользователем nginx.

Если права корректны, но ГОСТ s_client всё равно сразу выходит в терминал — следует поменять user nginx; на user root; в /etc/nginx/nginx.conf, перезапустить nginx и проверить s_client ещё раз.

Если и после этого ГОСТ s_client сразу выходит в терминал — можно проверить, прописана ли на сервере актуальная лицензия КриптоПро командой: /opt/cprocsp/sbin/amd64/cpconfig -license -view. Если лицензия невалидна, в выводе будет «the license is expired or not yet valid», а сервер тихо откажется работать. Также при этом в syslog/journalctl будут сообщения о невалидности лицензии от cryptsrv. Устанавливается лицензия командой /opt/cprocsp/sbin/amd64/cpconfig -license -set <КЛЮЧ>.

Некритичные ошибки

При запуске или перезапуске nginx возможны сообщения:

/usr/sbin/nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.10: no version information available (required by /usr/sbin/nginx)
/usr/sbin/nginx: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.10: no version information available (required by /usr/sbin/nginx)

— данные ошибки некритичные, работе не мешают.

В журнале ошибок nginx /var/log/nginx/error.log возможно сообщение:

[alert] ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while handshaking

— это известное поведение библиотеки КриптоПро, работе не мешает.

При выполнении s_client в строке «Verify return code», в зависимости от сертификата, допустимы сообщения:

Verify return code: 21 (unable to verify the first certificate)
Verify return code: 18 (self-signed certificate)

— эти ошибки некритичные, означают лишь то, что на сервере не установлены корневые сертификаты, которыми подписаны сертификаты TLS. Но для работы сервера установка корневых сертификатов необязательна.

Формат ключа

Формат ключа КриптоПро — не стандартный ASN1/PEM (—–BEGIN PRIVATE KEY—– … —–END PRIVATE KEY—–), а директория, содержащая файлы header.key, masks.key, masks2.key, name.key, primary.key, primary2.key.

Под Windows ключи хранятся аналогично, но в реестре, в ветке HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\<Пользователь>\Keys и в hex-кодировке. Для конвертации нужно выгрузить эту ветку в файл и подветки превратить в директории, а ключи с именами, аналогичными файлам выше — превратить в файлы путём перекодирования из hex в бинарный формат. Автоматически это можно сделать скриптом http://svn.yourcmc.ru/vitalif/trunk/scripts/convert-cryptopro.sh?view=co (скормив ему выгруженный файл *.reg)

Также под Windows есть поддержка экспорта сертификата и ключей в формат *.pfx. Но такие ключи потом невозможно импортировать в Linux-версию КриптоПро.

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and
privacy statement. We’ll occasionally send you account related emails.

Already on GitHub?
Sign in
to your account

Closed

mevelop opened this issue

May 17, 2023

· 16 comments

Assignees

@Fasjeit

Labels

question

Further information is requested

Comments

@mevelop

Стенд

  • Промежуточная версия КриптоПро CSP 5.0.12800 (Ra) от 8.04.2023.
  • Версия библиотеки LibCore 2023.4.25.1
  • Docker на arm64 (на x64 и локально ситуация повторяется)
  • Сборка с помощью mcr.microsoft.com/dotnet/sdk:6.0.408-bullseye-slim-arm64v8
  • Запуск на mcr.microsoft.com/dotnet/aspnet:6.0.16-bullseye-slim-arm64v8
  • Приложение ASP.NET Core Web Application с пустым шаблоном (по сути только Program.cs)
  • Сертификат RSA, полученный с помощью команды dotnet dev-certs https –export-path
  • Сертификат ГОСТ, полученный с помощью Тестового УЦ Крипто Про для проверки подлинности сервера

Проблема

После вызова
LibCore.Initializer.Initialize();

и выбора сертификата RSA / ГОСТ для Kestrel с помощью
builder.WebHost.UseKestrel(x => x.ConfigureHttpsDefaults(y => y.ServerCertificate = GetCert()));

запросы не проходят с ошибкой после успешного старта приложения:
New password:Unhandled exception. LibCore.Internal.Cryptography.CryptoThrowHelper+WindowsCryptographicException: The keyset is not defined.

или приложение не стартует с ошибкой:
System.ComponentModel.Win32Exception (0x80090307): Unknown error -2146893049

Демо

Прикладываю DemoKestrelSsl.zip с демонстрацией проблемы с 5ю вариациями метода GetCert():

  1. GetCert_1 – RSA сертификат в обычном состоянии дотнета
  2. GetCert_2 – RSA сертификат со включенным LibCore
  3. GetCert_3 – RSA сертификат со включенным LibCore и установкой CspNoPersistKeySet
  4. GetCert_4 – ГОСТ сертификат со включенным LibCore
  5. GetCert_5 – ГОСТ сертификат со включенным LibCore и установкой CspNoPersistKeySet

P.S:

  1. Невозможность выбора ни одного сертификата из RSA/ГОСТ так же наблюдается в вашем проекте corefx, но мы решили проверить еще на этой версии. Если проще или удобнее помочь с данным вопросом в том проекте, то тоже подходит 🙂
  2. Данный функционал в чем-то поможет заменить ваш проект nginx-gost, особенно актуально при использовании YARP.

@Fasjeit

3 и 4 вариант точно не будет работать в текущей архитектуре.
Почему падает 2 – посмотрим.

Не пробовали вариант установки сертификата в хранилище и чтения из него? Не уверен, что сценарий TLS + in memory работает для сертификата….

@Bykiev

А в ARM вообще библиотека работает?

@Fasjeit

А в ARM вообще библиотека работает?

В явном виде не поддерживаем, но может что то работать. Целевые ос – Windows 10-11 + server, Debian (Ubuntu, Astra), x64. Всё остальное – вне текущего приоритета, но смотрим каждый случай. Если можем безболезненно починить – чиним.

В этом году, надеюсь, проведём некоторую переработку и, возможно, расширим число целевых платформ.

@Fasjeit

Сценарий 2 – csp пытается создать контейнер и запрашивает пароль при установке, отсюда и ошибка. Не уверен, что сейчас хотим поддерживать безконтейнерный серверный tls. Стоит попробовать с честной установкой сертификатов в хранилище.

Для RSA я бы не инициализировал исправления для System.Net, если нет гостового взаимодействия по TSL.

@mevelop

В этом и проблема. Мы не можем честно добавить в хранилище сертификатов нужный сертификат автоматически при сборке docker, потому что csp просит новый пароль для контейнера в интерактивном режиме, только если руками поднимать контейнер и вводить с клавиатуры ответы на запросы, но получается в это время kestrel не может стартовать, потому что его потом не перенастроить нормально, поэтому запуск только вручную, а это не путь docker 🙂 Если подскажете способ, как добавить в хранилище скриптами автоматом, то мы проверим взятие оттуда.

Вообще нас 5-й вариант интересует, конечно. Если необходимо работать на х64, без проблем, просто скажите, что дело в arm.

@Fasjeit

Установить сертификаты без окошек можно через контейнеры.

Устанавливаете сертификат на какой либо машине в ручном режиме, указываете установку контейнера в папку. Сертификат, из которого устанавливаете контейнер, также будет добавлен в этот контейнер.

После этого можете копировать указанный контейнер на целевую машину по пути /var/opt/cprocsp/keys/{user}/:

cp -r ./G2001256.000 /var/opt/cprocsp/keys/{user}/

где G2001256.000 – папка с контейнером ключа, {user} – имя пользователя, из под которого стартует сервис

После чего устанавливаете сертификат из контейнера:

/opt/cprocsp/bin/amd64/csptest  -absorb -certs -provtype 80 -pattern "G2012256"

где G2001256 – имя контейнера ключа, 80 – тип провайдера.

В контейнере для CI у нас данный сценарий прекрасно работает.

По поводу пятого сценария – если подразумевается просто гостовый TSL – то пробуйте через установку сертификата, как указанно выше. По поводу загрузки серта для TLS из памяти – скорее всего, как указано выше, не заработает.

@Fasjeit
Fasjeit

changed the title
Проблема при настройке SSL-сертификата в Kestrel

Проблема при настройке SSL-сертификата в Kestrel (чтение из pfx)

May 18, 2023

@mevelop

Пробуем снова исследовать вопрос.

Добавили контейнеры с сертификатами (каталог keys), Dockerfile и docker-compose.yml, дистрибутив csp (каталог csp), перешли на amd64 (на aarch64 ситуация аналогичная)

Теперь новый метод GetCert_6, который использует гост-сертификат из контейнера csp приводит к Stackoverflow. По http приложение работает, по https крашится. Что не так?

Как настраивали окружение:

  1. Как создавался контейнер (если делать с нуля, но сами контейнеры лежат в keys)
    /opt/cprocsp/bin/amd64/certmgr -install -pfx -file certificates/gost.pfx -pin 0123456789 -store uMy
  2. Добавить контейнер сертификатов в докер-контейнер (прописано в Dockerfile)
    /opt/cprocsp/bin/amd64/csptest -absorb -certs -provtype 80 -pattern "20c44e82"
  3. Проверить список установленных сертификатов (в т.ч. с приватными ключами)
    /opt/cprocsp/bin/amd64/certmgr -list

Как пользоваться:
Запустить docker-compose для старта приложения
docker-compose -f docker-compose.yml -p demo-kestrel up -d --build --force-recreate
Остановить docker-compose
docker-compose -f docker-compose.yml -p demo-kestrel down

Обновленный архив со всеми исходниками залил на облако, т.к. из-за дистрибутива csp не влазит по размеру во вложение.

@Fasjeit можете переоткрыть issue?

@Fasjeit

@mevelop

https://github.com/CryptoPro/libcore/releases/tag/v2023.5.30.1

Да, ошибка ушла. Но появилась другая (она же возникает на другом вашем проекте с 3.1 дотнетом):

2023-06-08 14:12:49 fail: Microsoft.AspNetCore.Server.Kestrel[0]
2023-06-08 14:12:49 Unhandled exception while processing 0HMR824VTBVAP.
2023-06-08 14:12:49 System.ComponentModel.Win32Exception (0x80090307): Unknown error -2146893049
2023-06-08 14:12:49 at System.Net.SSPIWrapper.AcquireCredentialsHandle(SSPIInterface secModule, String package, CredentialUse intent, SCHANNEL_CRED scc)
2023-06-08 14:12:49 at System.Net.Security.SslStreamPal.AcquireCredentialsHandle(CredentialUse credUsage, SCHANNEL_CRED secureCredential)
2023-06-08 14:12:49 at System.Net.Security.SslStreamPal.AcquireCredentialsHandle(X509Certificate certificate, SslProtocols protocols, EncryptionPolicy policy, Boolean isServer)
2023-06-08 14:12:49 at System.Net.Security.CpSecureChannel.AcquireServerCredentials(Byte[]& thumbPrint, Byte[] clientHello)
2023-06-08 14:12:49 at System.Net.Security.CpSecureChannel.GenerateToken(Byte[] input, Int32 offset, Int32 count, Byte[]& output)
2023-06-08 14:12:49 at System.Net.Security.CpSecureChannel.NextMessage(Byte[] incoming, Int32 offset, Int32 count)
2023-06-08 14:12:49 at LibCore.Net.Security.CpSslStream.ProcessBlob(Int32 frameSize)
2023-06-08 14:12:49 at LibCore.Net.Security.CpSslStream.ReceiveBlobAsync[TIOAdapter](TIOAdapter adapter)
2023-06-08 14:12:49 at LibCore.Net.Security.CpSslStream.ForceAuthenticationAsync[TIOAdapter](TIOAdapter adapter, Boolean receiveFirst, Byte[] reAuthenticationData, Boolean isApm)
2023-06-08 14:12:49 at Microsoft.AspNetCore.Server.Kestrel.Https.Internal.HttpsConnectionMiddleware.OnConnectionAsync(ConnectionContext context)
2023-06-08 14:12:49 at Microsoft.AspNetCore.Server.Kestrel.Core.Internal.Infrastructure.KestrelConnection`1.ExecuteAsync()

То есть http работает, а https по-прежнему нет

@Fasjeit

В ближайшее время посмотрим проект вне докера.

@Fasjeit

Добрый день.

Попробуйте воспроизвести ошибку, затем посмотреть syslog

tail -n 200 /var/log/syslog

Если в текстовках встречается “CryptoPro TLS. Server license not found. Since CSP5R2 you need an exclusive TLS Server license”
значит не хватает серверной TLS лицензии для CSP (обычной серверной лицензии на CSP недостаточно)

Если же указанной ошибки нет – соберите пожалуйста отладочный лог.

Для этого перед запуском приложения выполните

cpconfig -loglevel ssp -mask 0x1f

для amd64 cpconfig должен находиться по пути /opt/cprocsp/sbin/amd64/.

После чего воспроизведите ошибку и приложите вывод syslog.

Лицензию для ознакомления можно попробовать получить написав на info@cryptopro.ru

Альтернативно можно попробовать использовать nginx для гостового TLS (есть форк от КриптоПро с поддержкой гостов). Т.е. в самом приложении (контейнере) не поднимать TSL силами Kerstrel, а иметь обычный http, который слушает локальный порт, а сам tls сделать через nginx с прокидыванием соединения на http порт. Сертификат клиента, в случае необходимости, также можно прокинуть в приложение через заголовок.

@mevelop

В docker есть проблема с syslog, он не поддерживается нормально из коробки. Нашел логи контейнера, которые предполагаются должны быть заменой syslog, но там нет ваших логов, чисто дотнетовские. Еще старый тестовый сертификат истек, сделал новый. Но ошибки те же.

Лог docker-контейнера прикладываю
docker_log.txt и новый сертификат с рутом
gost_and_root.zip.

Пробовал использовать stunnel, но там та же самая ошибка возникает, с тем же кодом 0x80090307. Как будто что-то не то с сертификатом, но я же у вас в тестовом УЦ их беру. Вот тема на форуме, там так же все тестовое окружение с исходниками есть, может поможет.

@Fasjeit

У вас введена лицензия на серверный TLS?

@mevelop

Удалось добиться ответа от поддержки по почте практически через месяц. Они говорят, что в дистрибутив уже зашита 90-дневная лицензия (я подтверждаю это, так как клиентские запросы у меня работают). Какая тогда еще лицензия требуется для решения моего вопроса, чтобы принимать входящие TLS-запросы?

Ответ команды:
/opt/cprocsp/sbin/aarch64/cpconfig -license -view

License validity:
5050N4003001****
Expires: 71 day(s)
License type: Demo.

@maxdm

Для серверного TLS необходима одна из этих лицензий:
https://cryptopro.ru/order/OrderForm.aspx?catid=e8310f5f-a73f-eb11-80d9-0050569e915b

Лицензию для тестирования. как я понял, вам уже предоставила техподдержка.

Сценарий поддержки серверного TLS в .NET Core для нас не был приоритетным и сертифицированным регулятором этот вариант использования скорее всего не станет. В своих продуктах для организации TLS мы используем КриптоПро NGate или nginx.
Чтобы расставить приоритеты хотелось бы получить подтверждение необходимости этих работ.

@mevelop

Действительно, с Божьей помощью я добрался до сотрудника, кто понял меня и выдал мне тестовую серверную лицензию. Теперь лицензия выглядит так:

License validity:
505002301003***
Expires: 93 day(s)
License type: TLS Server.
Restrictions: 1000

С данным типом лицензии удалось принять запрос по https. Удивительно, что настолько сложно и неочевидно было:

  1. Догадаться до корня всех бед
  2. Получить тестовый ключ

По поводу сертификации мне неизвестно. Но ваш вариант поставки для классического .NET Framework, очевидно, уже отживает свое и будет только на старых проектах. Никаких новых продуктов там не предвидится, выбирать вам. Я свой выбор уже сделал 🙂 Спасибо за помощь! Удачи в разработке)

Labels

question

Further information is requested


Offline

Dmitriy

 


#1
Оставлено
:

19 июля 2010 г. 21:19:36(UTC)

Dmitriy

Статус: Участник

Группы: Участники

Зарегистрирован: 13.03.2008(UTC)
Сообщений: 24
Откуда: Russia

Есть .NET-клиент, который отправляет запросы по HTTPS, используя стандартный WebRequest; и HTTP-сервер на HttpListener’е. Периодически, при обращении к серверу в несколько потоков, клиент впадает в ступор: на каждую попытку запроса к серверу в лог валится следующая ошибка:

Код:

System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a receive. ---> System.ComponentModel.Win32Exception: The Local Security Authority cannot be contacted
   at System.Net.SSPIWrapper.AcquireCredentialsHandle(SSPIInterface SecModule, String package, CredentialUse intent, SecureCredential scc)
   at System.Net.Security.SecureChannel.AcquireCredentialsHandle(CredentialUse credUsage, SecureCredential& secureCredential)
   at System.Net.Security.SecureChannel.AcquireClientCredentials(Byte[]& thumbPrint)
   at System.Net.Security.SecureChannel.GenerateToken(Byte[] input, Int32 offset, Int32 count, Byte[]& output)
   at System.Net.Security.SecureChannel.NextMessage(Byte[] incoming, Int32 offset, Int32 count)
   at System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest)
   at System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)
   at System.Net.TlsStream.CallProcessAuthentication(Object state)
   at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state)
   at System.Net.TlsStream.ProcessAuthentication(LazyAsyncResult result)
   at System.Net.TlsStream.Write(Byte[] buffer, Int32 offset, Int32 size)
   at System.Net.PooledStream.Write(Byte[] buffer, Int32 offset, Int32 size)
   at System.Net.ConnectStream.WriteHeaders(Boolean async)
   --- End of inner exception stack trace ---
   at System.Net.HttpWebRequest.GetResponse()

При этом в Application-логе появляются соответствующие ошибки Крипто-Про:

Код:

КриптоПро TLS. Ошибка 0x8009001a при обращении к CSP: Keyset as registered is invalid.

Type: Error
Source: cpSSPCore
EventID: 300

Лечится только перезапуском клиента.

WinXP SP3, .NET Framework SP2, Crypto-Pro 3.0 SP3.

Ниже — тестовый сервер и клиент, с помощью которых можно воспроизвести ошибку. По-видимому, чем больше потоков, тем больше вероятность падения. На тестовой машинке при 32 потоках — падает стабильно. При этом, если уж работает — то без ошибок до перезапуска.

Клиент:

Код:

using System;
using System.Net;
using System.Security.Cryptography.X509Certificates;
using System.Threading;

namespace Client
{
	internal class Program
	{
		private static void Main(string[] args)
		{
			int threadsCount = int.Parse(args[0]);
			serviceUriString = args[1];
			certCommonName = args[2];
			Thread[] threads = new Thread[threadsCount];
			for(int i = 0; i < threadsCount; i++)
			{
				threads[i] = new Thread(Start);
				threads[i].Start();
			}
			for(int i = 0; i < threadsCount; i++)
				threads[i].Join();
		}

		private static void Start()
		{
			while(true)
			{
				try
				{
					Console.WriteLine("Sending request, thread: {0}", Thread.CurrentThread.ManagedThreadId);
					CreateRequest().GetResponse().Close();
					Thread.Sleep(1);
				}
				catch(Exception exception)
				{
					Console.WriteLine(exception);
				}
			}
		}

		private static HttpWebRequest CreateRequest()
		{
			HttpWebRequest request = (HttpWebRequest)WebRequest.Create(string.Format("{0}?thread={1}", serviceUriString, Thread.CurrentThread.ManagedThreadId));
			request.ClientCertificates.Add(GetCertificate(certCommonName));
			request.ServicePoint.ConnectionLimit = 128;
			request.Timeout = 60000;
			return request;
		}

		private static X509Certificate GetCertificate(string commonName)
		{
			X509Store x509Store = new X509Store(StoreName.My, StoreLocation.CurrentUser);
			x509Store.Open(OpenFlags.ReadOnly);
			foreach(X509Certificate2 x509Certificate in x509Store.Certificates)
			{
				string currentCommonName = x509Certificate.GetNameInfo(X509NameType.SimpleName, false);
				if(currentCommonName == commonName)
					return x509Certificate;
			}
			x509Store.Close();
			throw new Exception("Cert not found");
		}

		private static string serviceUriString;
		private static string certCommonName;
	}
}

Сервер:

Код:

	internal class Program
	{
		private static void Main(string[] args)
		{
			listener.Prefixes.Add(args[0]);
			listener.Start();
			listener.BeginGetContext(BeginProcessRequest, null);
			Thread.Sleep(-1);
		}

		private static void BeginProcessRequest(IAsyncResult asyncResult)
		{
			listener.BeginGetContext(BeginProcessRequest, null);
			HttpListenerContext context = listener.EndGetContext(asyncResult);
			Console.WriteLine("{0}, beginGetClientCert", context.Request.RawUrl);
			X509Certificate2 certificate = context.Request.GetClientCertificate();
			if(certificate == null)
			{
				ShowStatusAndCloseRespose(context, 403);
				return;
			}
			string certName = certificate.GetNameInfo(X509NameType.SimpleName, false);
			Console.WriteLine("Cert: {0}, request: {1}", certName, context.Request.RawUrl);
			context.Response.ContentType = "text/plain";
			context.Response.ContentLength64 = 0;
			ShowStatusAndCloseRespose(context, 204);
		}

		private static void ShowStatusAndCloseRespose(HttpListenerContext context, int statusCode)
		{
			Console.WriteLine("{0}, request: {1}", statusCode, context.Request.RawUrl);
			context.Response.StatusCode = statusCode;
			try
			{
				context.Response.Close();
			}
			catch
			{}
		}

		private static readonly HttpListener listener = new HttpListener();
	}

Отредактировано пользователем 19 июля 2010 г. 21:23:11(UTC)
 | Причина: Не указана


Вверх

Offline

IvanZzz

 


#2
Оставлено
:

19 июля 2010 г. 22:31:19(UTC)

IvanZzz

Статус: Активный участник

Группы: Участники

Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

Если CSP по КС2, то нужно установить SP3 на CSP: http://www.cryptopro.ru/…d/files/SP3/CSP30SP3.msp


Вверх

Offline

Dmitriy

 


#3
Оставлено
:

19 июля 2010 г. 22:40:43(UTC)

Dmitriy

Статус: Участник

Группы: Участники

Зарегистрирован: 13.03.2008(UTC)
Сообщений: 24
Откуда: Russia

IvanZzz написал:

Если CSP по КС2, то нужно установить SP3 на CSP: http://www.cryptopro.ru/…d/files/SP3/CSP30SP3.msp

KC1 3.0.3300.3, зарегистрирован один считыватель — «Реестр».

Отредактировано пользователем 19 июля 2010 г. 22:46:40(UTC)
 | Причина: Не указана


Вверх

Offline

IvanZzz

 


#4
Оставлено
:

19 июля 2010 г. 22:59:55(UTC)

IvanZzz

Статус: Активный участник

Группы: Участники

Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

Попробуйте доставить КриптоПро Winlogon — без лицензии.


Вверх

Offline

Dmitriy

 


#5
Оставлено
:

19 июля 2010 г. 23:19:44(UTC)

Dmitriy

Статус: Участник

Группы: Участники

Зарегистрирован: 13.03.2008(UTC)
Сообщений: 24
Откуда: Russia

IvanZzz написал:

Попробуйте доставить КриптоПро Winlogon — без лицензии.

Забавно, после установки КриптоПро Winlogon, ошибка не повторяется. В чем же состоит такая замечательность Winlogon? Можно ли устранить проблему без его установки?

Отредактировано пользователем 19 июля 2010 г. 23:22:15(UTC)
 | Причина: Не указана


Вверх

Offline

IvanZzz

 


#6
Оставлено
:

20 июля 2010 г. 0:50:20(UTC)

IvanZzz

Статус: Активный участник

Группы: Участники

Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

Для CSP 3.0 по КС1 «КриптоПро Winlogon» исправляет ошибки TLS.


Вверх

Offline

Dmitriy

 


#7
Оставлено
:

20 июля 2010 г. 13:07:22(UTC)

Dmitriy

Статус: Участник

Группы: Участники

Зарегистрирован: 13.03.2008(UTC)
Сообщений: 24
Откуда: Russia

Поторопился, все-таки проблема не исчезла, хотя поведение немного изменилось (не в лучшую сторону). Проделал все еще раз, установил Winlogon, запустил клиента:

Код:

System.Net.WebException: The request was aborted: Could not create SSL/TLS secure channel.
   at System.Net.HttpWebRequest.GetResponse()

При этом, возможны 2 варианта:
1. После перезагрузки запустить IE и через него законнектиться по HTTPS на сервер. После этого клиент в несколько потоков работает нормально.
2. После перезагрузки сразу запустить клиента в 32 потока. После этого даже через IE SSL-соединение не устанавливается. Перезапуск клиента не помогает, только перезагрузка машины.

В Application-логе все то же самое:

Код:

КриптоПро TLS. Ошибка 0x8009001a при обращении к CSP: Keyset as registered is invalid.

Удалил Winlogon, переустановил CSP, теперь, по крайней мере, перезапуск клиента помогает.

Отредактировано пользователем 20 июля 2010 г. 13:13:52(UTC)
 | Причина: Не указана


Вверх

Offline

Максим Коллегин

 


#8
Оставлено
:

20 июля 2010 г. 13:21:23(UTC)

Максим Коллегин

Статус: Сотрудник

Группы: Администраторы

Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,259
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 21 раз
Поблагодарили: 661 раз в 584 постах

А если поставить CSP 3.6 (последнюю сборку 3.6.1)?

Знания в базе знаний, поддержка в техподдержке


Вверх

WWW


Offline

Dmitriy

 


#9
Оставлено
:

20 июля 2010 г. 13:30:11(UTC)

Dmitriy

Статус: Участник

Группы: Участники

Зарегистрирован: 13.03.2008(UTC)
Сообщений: 24
Откуда: Russia

С CSP 3.6.1 таких проблем не возникает, только это не выход.

UPD: если нужно, могу предоставить образ виртуалки.

Отредактировано пользователем 20 июля 2010 г. 22:08:11(UTC)
 | Причина: Не указана


Вверх

Offline

Максим Коллегин

 


#10
Оставлено
:

20 июля 2010 г. 22:15:50(UTC)

Максим Коллегин

Статус: Сотрудник

Группы: Администраторы

Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,259
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 21 раз
Поблагодарили: 661 раз в 584 постах

В 3.0 много проблем с .net — если есть договор техподдержки — можно рассмотреть вариант private patch. Так же должна помочь установка любого из ФКН-дистрибутивов — подсистема TLS полностью заменяется на новую.

Знания в базе знаний, поддержка в техподдержке


Вверх

WWW

Пользователи, просматривающие эту тему

Guest

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Содержание

  1. Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро
  2. Работа с СКЗИ и аппаратными ключевыми носителями в Linux
  3. Причина 1
  4. Причина 2
  5. Причина 3
  6. Причина 4
  7. Руководство по настройке
  8. Установка драйверов и ПО для работы с JaCarta PKI
  9. Установка пакетов КриптоПро CSP
  10. Настройка и диагностика КриптоПро CSP
  11. Работа с токеном JaCarta PKI
  12. Программное извлечение ключей
  13. Результаты
  14. Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро
  15. Подпись ошибка 0x80090010 отказано в доступе КриптоПро; решение
  16. Криптопро код ошибки 0x8009001a
  17. Подпись ошибка 0x80090010 отказано в доступе КриптоПро – решение
  18. Ошибка подписи. CryptSignMessage: Отказано в доступе
  19. Проверяем контейнер
  20. Как подписать документы?
  21. Заключение
  22. Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?
  23. Решение проблемы:

Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро

Создается контейнер так (обработка ошибок опущена):

Пользователь Alice (админ):

HCRYPTPROV prov;
::CryptAcquireContext(&prov, “keyset”, CP_DEF_PROV, CRYPT_NEWKEYSET | CRYPT_MACHINE_KEYSET);
HCRYPTKEY key;
::CryptGenKey(prov, AT_KEYEXCHANGE, CRYPT_EXPORTABLE, &key);
// все ок, закрывает хэндлы

Пользователь Bob (админ):

И еще вопрос.
Если я создам CRYPT_MACHINE_KEYSET и явно разрешу доступ к нему другому пользователю-не-админу прочитав, изменив и установив DACL кейсета при помощи CryptSetProvParam(…,PP_KEYSET_SEC_DESCR, …), то сможет ли этот пользователь-не-админ открыть этот кейсет? MSDN говорит, что это возможно для MS провайдеров. Возможно ли это для КриптоПро?

30.09.2003 14:06:30 Василий

Я проверю приведённый пример.

«СКЗИ КриптоПРО CSP функционирует в следующих операционных системах
(ОС):
• Windows 95 с установленным ПО MS Internet Explorer версии 5.0 и выше;
• Windows 95 OSR2 с установленным ПО MS Internet Explorer версии 5.0 и
выше;
• Windows 98 с установленным ПО MS Internet Explorer версии 5.0 и выше;
• Windows 98 SE с установленным ПО MS Internet Explorer версии 5.0 и выше;
• Windows NT 4.0 SP5 и выше с установленным ПО MS Internet Explorer 5.0 и
выше;
• Windows ME;
• Windows 2000.»

Про ХР, стало быть, речи нет.
Кое-что там может работать, а может и не работать.
В данном случае не живёт флажок CRYPT_SILENT. Если его снести, всё намного лучше.
Но в любом случае все эксперименты с ХР на Ваш страх и риск.
Используйте продукт «Крипто-Про CSP 2.0».

30.09.2003 16:03:35 Maxim Egorushkin

Спасибо за важную информацию.

Источник

Работа с СКЗИ и аппаратными ключевыми носителями в Linux

image loader

Хранение ключей на токенах и смарт-картах обеспечивает дополнительную защиту от внешних и внутренних нарушителей, в том числе имеющих определенный уровень доступа к информационной системе и оборудованию.

Сегодня я расскажу, как мы защищаем ключи шифрования и электронной подписи в наших информационных системах, и сделаю это в подробном, хорошо проиллюстрированном руководстве по настройке SUSE Linux Enterprise Server 12 SP3 для работы с токеном Aladdin JaCarta PKI и КриптоПро CSP KC2 4.0.9944.

Опубликовать данное руководство побудило несколько причин:

Причина 1

Причина 2

Лучшая инструкция по настройке взаимодействия с аппаратными носителями в Linux, которую удалось найти, была также от wiki.astralinux.ru — Работа с КриптоПро CSP

Причина 3

UPD 16.04.2019: В процессе настройки среды и оборудования выяснилось, что носитель, первым оказавшийся в распоряжении, был вовсе не JaCarta PKI Nano, как ожидалось, а устройство работающее в режиме SafeNet Authentication Client eToken PRO.

UPD 16.04.2019: Некогда Банку требовалось устройство, которое могло бы работать в той же инфраструктуре, что и eToken PRO (Java). В качестве такого устройства компания “ЗАО Аладдин Р.Д.” предложила токен JaCarta PRO, который был выбран банком. Однако на этапе формирования артикула и отгрузочных документов сотрудником компании была допущена ошибка. Вместо модели JaCarta PRO в артикул и отгрузочные документы случайно вписали JaCarta PKI.

UPD 16.04.2019: Благодарю компанию Аладдин Р.Д., за то что помогли разобраться и установить истину.

В этой ошибке нет никаких политических и скрытых смыслов, а только техническая ошибка сотрудника при подготовке документов. Токен JaCarta PRO является продуктом компании ЗАО “Аладдин Р.Д.”. Апплет, выполняющий функциональную часть, разработан компанией “ЗАО Аладдин Р.Д”.

Этот eToken PRO относился к партии, выпущенной до 1 декабря 2017 года.
После этой даты компания «Аладдин Р.Д.» прекратила продажу устройств eToken PRO (Java).

Забегая немного вперед, нужно сказать, что работа с ним настраивалась через соответствующие драйверы — SafenetAuthenticationClient-10.0.32-0.x86_64, которые можно получить только в поддержке Аладдин Р.Д. по отдельной online заявке.

В КриптоПро CSP для работы с этим токеном требовалось установить пакет cprocsp-rdr-emv-64 | EMV/Gemalto support module.

Данный токен определялся и откликался. При помощи утилиты SACTools из пакета SafenetAuthenticationClient можно было выполнить его инициализацию. Но при работе с СКЗИ он вел себя крайне странно и непредсказуемо.

Проявлялось это следующим образом, на команду:

Выдавался ответ, что все хорошо:

Но сразу после попытки зачитать ключи программно эта же проверка начинала выдавать ошибку:

Согласно перечню кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)

«Невалидный набор ключей» — причина такого сообщения, возможно, кроется либо в старом чипе, прошивке и апплете Gemalto, либо в их драйверах для ОС, которые не поддерживают новые стандарты формирования ЭП и функции хэширования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

В таком состоянии токен блокировался. СКЗИ начинало показывать неактуальное состояние считывателя и ключевого контейнера. Перезапуск службы криптографического провайдера cprocsp, службы работы с токенами и смарт-картами pcscd и всей операционной системы не помогали, только повторная инициализация.

Справедливости ради требуется отметить, что SafeNet eToken PRO корректно работал с ключами ГОСТ Р 34.10-2001 в ОС Windows 7 и 10.

Проблему удалось решить, взяв настоящий токен JaCarta PKI в (XL) обычном корпусе.

Но на попытки заставить работать Safenet eToken PRO времени было потрачено немало. Хотелось обратить на это внимание и, возможно, кого-то оградить от подобного.

Причина 4

Иногда самому требуется вернуться к старым статьям и инструкциям. Это удобно, когда информация размещена во внешнем источнике. Так что спасибо Хабру за предоставленную возможность.

Руководство по настройке

После установки токена JaCarta PKI в USB порт сервера и запуска системы проверяем, что новое устройство обнаружено и появилось в списке:

image loader

В нашем случае это Bus 004 Device 003: ID 24dc:0101

image loader

Пока не установлены все необходимые пакеты, информация о токене не отобразится.

Установка драйверов и ПО для работы с JaCarta PKI

Согласно Руководству по внедрению «JaCarta для Linux» пункт 4.2., первым делом требуется установить пакеты pcsc-lite, ccid и libusb.

Для работы утилиты управления JaCarta необходимо установить следующие компоненты:

Выполняем проверку наличия этих пакетов и установку:

zypper search pcsc-lite

ez0mn o8

zypper search libusb

image loader

zypper install pcsc-lite

qe6ipldd5fimbo m7j4yrmvtibw

image loader

zypper search CCID

image loader

zypper install pcsc-ccid

image loader

zypper search CCID

zypper install libusb

image loader

В итоге пакет pcsc-lite был обновлен, CCID установлен, libusb никаких действия не требовалось.

Следующими двумя командами выполняем установку пакета с драйверами и программным обеспечением непосредственно для работы с JaCarta PKI:

zypper install idprotectclientlib-637.03-0.x86_64.rpm

uxep1uijp 2kvyix yn6qkg5ing

zypper install idprotectclient-637.03-0.x86_64.rpm

xy32hqxgtmgwpn pocygfs rn3q

Проверяем, что драйверы и ПО для JaCarta PKI установились:

zypper search idprotectclient

7kosnk44 yewdh9i7odevcdzqdc

При попытках заставить работать SafeNet eToken PRO я нашел информацию, что предустановленный в SLES пакет openct — Library for Smart Card Readers может конфликтовать с pcsc-lite — PCSC Smart Cards Library, установку которого требует руководство Аладдин Р.Д.

zypper search openct

image loader

Поэтому пакет openct удаляем:

Теперь все необходимые драйверы и ПО для работы с токеном установлены.

Выполняем диагностику с помощью утилиты pcsc-tools и убеждаемся, что JaCarta определяется в операционной системе:

t 5sgar9ugi z

Установка пакетов КриптоПро CSP

При установке КриптоПро CSP по умолчанию нужные пакеты для работы с токенами и смарт-картами отсутствуют.

zypper search cprocsp

image loader

Выполняем установку в CSP компонента поддержки JaCarta components for CryptoPro CSP

zypper install cprocsp-rdr-jacarta-64-3.6.408.683-4.x86_64.rpm

9duu3e1vs9wu3qotu6dsllot9km

Некоторые компоненты имеют зависимости. Так, например, если попытаться выполнить установку пакета поддержки SafeNet eToken PRO cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm — EMV/Gemalto support module, то получим сообщение о необходимости сначала установить базовый компонент CSP поддержки считывателей cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm — PC/SC components for CryptoPro CSP readers:

Устанавливаем базовые пакеты поддержки считывателей и ключевых носителей:

zypper install cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm

image loader

zypper install lsb-cprocsp-pkcs11-64-4.0.9944-5.x86_64.rpm

Теперь можно установить модули для работы с остальными видами носителей и компонент GUI:

zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm

image loader

image loader

Проверяем итоговую конфигурацию КриптоПро CSP:

S | Name | Summary | Type
—+——————————+—————————————————-+———
i+ | cprocsp-curl-64 | CryptoPro Curl shared library and binaris. Build 9944. | package
i+ | cprocsp-rdr-emv-64 | EMV/Gemalto support module | package
i+ | cprocsp-rdr-gui-gtk-64 | GUI components for CryptoPro CSP readers. Build 9944. | package
i+ | cprocsp-rdr-jacarta-64 | JaCarta components for CryptoPro CSP. Build 683. | package
i+ | cprocsp-rdr-mskey-64 | Mskey support module | package
i+ | cprocsp-rdr-novacard-64 | Novacard support module | package
i+ | cprocsp-rdr-pcsc-64 | PC/SC components for CryptoPro CSP readers. Build 9944.| package
i+ | lsb-cprocsp-base | CryptoPro CSP directories and scripts. Build 9944. | package
i+ | lsb-cprocsp-ca-certs | CA certificates. Build 9944. | package
i+ | lsb-cprocsp-capilite-64 | CryptoAPI lite. Build 9944. | package
i+ | lsb-cprocsp-kc2-64 | CryptoPro CSP KC2. Build 9944. | package
i+ | lsb-cprocsp-pkcs11-64 | CryptoPro PKCS11. Build 9944. | package
i+ | lsb-cprocsp-rdr-64 | CryptoPro CSP readers. Build 9944. | package

f rcadtwgu68ba6ad5wde2zke m

Чтобы применить изменения, выполняем перезапуск службы криптографического провайдера и проверяем ее статус:

vd1athcps5p7fe9cjp ipmvvq a

Настройка и диагностика КриптоПро CSP

Проверим, видит ли криптографический провайдер наш токен и другие доступные типы носителей следующими командами:

2mz1d4m5oyvg9nknwbnci24wcre

image loader

Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00 — это наш носитель.

Следуя инструкции КриптоПро CSP для Linux. Настройка, выполняем его регистрацию в криптографическом провайдере:

image loader

В результате выполнения в конфигурационный файл /etc/opt/cprocsp/config64.ini
в раздел linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро будет добавлена запись:

linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро (000000000000) 00 00″Default]

Чтобы выполнить требования Формуляра, Правил пользования и Руководства администратора безопасности КриптоПро CSP:

Использование СКЗИ «КриптоПро CSP» версии 4.0 с выключенным режимом усиленного контроля использования ключей не допускается. Включение данного режима описано в документах ЖТЯИ.00087-01 91 02. Руководство администратора безопасности.

Необходимо включить режим усиленного контроля использования ключей:

Проверяем, что режим включен:

cat /etc/opt/cprocsp/config64.ini | grep StrengthenedKeyUsageControl

Выполняем перезапуск службы криптографического провайдера:

После перезапуска проверяем, что ошибок в работе провайдера с ключевыми носителями нет:

qo5xv7ayjfqa1ssyuds6dl f ue

Работа с токеном JaCarta PKI

Запустим программу Xming (X11 forwarding) на своей станции, чтобы по SSH иметь возможность открывать и работать с графическими интерфейсами нужных утилит.

image loader

После установки IDProtectClient — программного обеспечения для работы с JaCarta PKI, на сервере в папке /usr/share/applications появились два файла:

Это ярлыки, в которых можно посмотреть параметры запуска утилит Exec=/usr/bin/SACTools

Запустим утилиту IDProtectPINTool.

С помощью нее задаются и меняются PIN-коды доступа к токену.

image loader

При первой инициализации токена будет полезна ссылка, содержащая PIN-коды (пароли) ключевых носителей по умолчанию

Программа IDProtect_Manager позволяет просматривать информацию о токене и контейнере с ключами и сертификатом:

image loader

Для доступа к контейнеру с ключами нужно ввести пароль:

image loader

image loader

Для работы с SafeNet Authentication Client eToken PRO существуют аналогичные программы — SafeNet Authentication Client Monitor и SafeNet Authentication Client Tools, которые запускаются так:

Выполнять операции непосредственно с ключевыми контейнерами удобнее в интерфейсе криптографического провайдера КриптоПро JavaCSP:

Для отображения информации о содержимом контейнера с ключами можно выполнить команду:

Для диагностики контейнера используется эта же команда с ключом –check

Потребуется ввести пароль от контейнера:

image loader

jrvigahwffdkjcmfuwnwij4pdds

Программное извлечение ключей

В общем виде пример извлечения закрытого ключа и сертификата открытого ключа из контейнера на токене с помощью КриптоПро Java CSP следующий:

Если действовать так:

то криптографический провайдер будет пытаться в системе отобразить через консоль или GUI окно запрос на ввод пароля к контейнеру.

Результаты

Отторгаемый ключевой носитель-токен установлен во внутренний USB-порт сервера.

Само серверное оборудование опломбировано и размещается в помещении с ограниченным доступом.

Такие меры позволяют повысить уровень защиты наших информационных систем от кражи и компрометации ключей электронной подписи или шифрования, как удаленно по сети, так и физически.

Источник

Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро

В событиях на ЦР видно:

Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 14:14:22
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка %2 при обращении к CSP: %1

Так как машина на которой стоит АРМ удаленная, АРМ был установлен также на машину ЦР, ошибка осталась но в событиях ЦР изменилась:

Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 17:37:30
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка 0x80090019 при обращении к CSP: Набор ключей не определен.

==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.

Меня смущает то, что когда в АРМ заходишь вразделы Пользователи, Сертификаты и пр. он выдает окошко с просьбой вставить соответсвующий ключевой носитель (но пароль не спрашивает ибо он запомнен), а когда заходишь в раздел Центр сертификации и выбираешь правой кнопкой любой из пунктов, то ошибка вываливается сразу, даже не спрашивая контейнеров ключей.

Однако если удалить сертификат веб-сервера ЦР из хранилища и перегрузится, то такой ошибки уже нет, если опять прописать туда, то опять появляется. Создание нового контейнера и сертификата веб-сервера ЦР не приводит к улучшению.

На службе IISAdmin стоит галочка разрешить доступ к рабочему столу. Таймауты в CSP стоят по 60 сек.

ООО ТК «Контакт», Воронеж. Договора пока нет, потому что проблем не возникало до этого 🙂

>Версия и билд CSP?
3.0.3293 КС1

>Способ хранения ключей?
Дисковод

>версия ОС, какие обновления?
Windows2000 Server, SP4, 5.0.2195, все обновления

>версия IE, какие обновления?
6.0.2800.1106, SP1, все обновления

>Используется MSDE или SQL-сервер?
MSDE, и клиентская часть MSSQL

Источник

Подпись ошибка 0x80090010 отказано в доступе КриптоПро; решение

Криптопро код ошибки 0x8009001a

Подпись ошибка 0x80090010 отказано в доступе КриптоПро – решение

Сегодня разберем проблему с подписью в КриптоПро, а конкретнее строчку в отчете “ошибка 0x80090010 отказано в доступе”. Поговорим чем вызван этот сбой в СУФД, дадим общие рекомендации по обновлению программы. В конце статьи оставим инструкцию как же все такие подписать документы, если ключ просрочен, а отправить отчет нужно.

Ошибка подписи. CryptSignMessage: Отказано в доступе

Отправляясь тестировать контейнер первым делом получаем отчет с ошибкой вот такого содержания:

Ошибка 0x80090010 отказано в доступе

Для начала проверьте версию КриптоПРО CSP. Если версия стабильная и рабочая – оставляем, если помимо этого сбоя присутствую другие ошибки – версию программы лучше обновить на будущее.
Ошибка 0x80090010 отказано в доступе – означает что просрочена версия открытого или закрытого ключа. Создавая запрос на выдачу сертификата для генерации ключей, мы несём необходимые бумаги для выдачи подписи через несколько недель. Контроль будет осуществляться с даты создания запроса. Тут мы используем лайфхак, об этом ниже, а для начала мы протестируем контейнер.

Проверяем контейнер

Для проверки контейнера проделаем стандартные операции перечисленные ниже:

Проверка завершилась с ошибкой

Срок действия закрытого ключа истек

Срок действия закрытого ключа истек

Еще раз – ошибка подписи 0x80090010 всегда означает что истек срок действия закрытого ключа.

Как подписать документы?

Тут придется прибегнуть к маленькой хитрости, которая работала раньше во многих программах схожего типа – поменять системную дату на срок действия системного ключа:

Настройка даты и времени

После этого можно выдохнуть, заварить чашечку крепкого кофе… И начать готовить документы и оформлять заявку для оформления нового сертификата.

Заключение

Напишите нам в комментариях помогла ли вам данная инструкция побороть проблему отказа доступа в КриптоПро. Если статья была полезна – делитесь ссылками в соцсетях, так вы поможете другим пользователям с аналогичной проблемой. Задавайте другие вопросы о других программах, которые работают с ошибками или вызывают вопросы.

Евгений Загорский

IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.

При попытке погуглить информацию в интернете, решить проблему не удавалось. Большинство ссылок ведут на форумы, где обсуждаются проблемы связанные с крипто-приложениями, такими как крипто-про. Но тут дело не в этом, никаких программ не использовалось.

Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?

.Net framework cleanup tool
.Net framework repair tool

Но к сожалению эффекта так же не произошло.

Решение проблемы:

Очень надеемся, что данная статья поможет многим решить проблему (Неправильный зарегистрированный набор ключей,0x80070643) с Windows 8.1 без переустановки. Если у вас остались вопросы, пожалуйста, задайте их в комментариях.

Большое спасибо, Михаил, все сделали оперативно а главное понятно для меня. Так как мы с вами нашли общий язык. хотелось бы в дальнейшем так же продолжить связь именно с вами. Надеюсь на плодотворное сотрудничество.

От имени предприятия ГУП «Севастопольское авиационное предприятие» выражаем благодарность за профессионализм и оперативность вашей компании! Желаем вашей компании дальнейшего процветания!

Спасибо вам, Михаил, большое за помощь в оформлении. Очень квалифицированный сотрудник +5!

От лица компании «АКБ-Авто» и от себя лично выражаю Вам и всем сотрудникам вашей компании благодарность за продуктивную и качественную работу, чуткое отношение к требованиям клиента и оперативность в исполнении заказываемых работ.

Хочу поблагодарить консультанта Михаила за отличную работу, своевременные и полные консультации. Очень внимателен к проблемам клиента и вопросам, оперативное решение самых казалось бы для меня сложных ситуаций. Очень приятно работать с Михаилом. Теперь своим клиентам и знакомым буду рекомендовать Вашу компанию. Да и консультанты в тех. поддержке тоже очень вежливы, внимательны, помогли справится со сложной установкой ключа. Спасибо.

Левицкий Александр Константинович г. Самара

Личная благодарность консультанту Михаилу Владимировичу за оперативную консультацию и работу по ускоренному получению сертификата ЭП. В ходе предварительной консультации подбирается оптимальный набор индивидуальных услуг. Конечный результат получен незамедлительно.

Спасибо за оперативную работу и компетентную помощь! Консультацией остался очень доволен!

ООО «Эксперт Система» благодарит за оперативную работу консультанта Михаила! Желаем Вашей компании роста и процветания!

Спасибо консультанту, представившемуся Михаилом, за оперативность в работе с клиентами.

Пономарев Степан Геннадьевич

Большое спасибо консультанту Михаилу, за оказанную помощь в получении ЭЦП. За оперативную работу и консультирование по вопросам возникающим в процессе оформления.

Компания в лице консультанта Михаила делает невозможное! Ускорение аккредитации менее чем за 1 час! Оплата по факту оказания услуги. Думал, такого не бывает. С полной ответственностью могу советовать связываться с Центром выдачи электронных подписей.

Для решения данной проблемы следует выполнить следующие шаги:

1. Выбрать меню «Пуск» > «Панель управления» > «КриптоПро CSP». Перейти на вкладку «Сервис» и нажать на кнопку «Удалить запомненные пароли». Отметить пункт «Пользователя» и нажать на кнопку «ОК».

2. В окне «Выбор ключевого контейнера» поставить переключатель «Уникальные имена» и повторить выбор контейнера.

3. Если ключевой носитель — дискета или флэш-карта, необходимо просмотреть его содержимое. В корне носителя должна быть папка с шестью файлами с расширением. key.

4. Если ключевой носитель — ruToken или ruToken Lite, то следует переустановить драйвера и модуль поддержки. Для этого необходимо:

5. Сделать копию ключевого контейнера и выполнить установку сертификата с дубликата (см. Как скопировать контейнер с сертификатом на другой носитель?).

Если предложенное решение не помогло устранить ошибку, то необходимо обратиться в службу технической поддержки по адресу [email protected], указав следующие данные:

Чтобы открыть данное окно, следует перейти в меню «Пуск» > «Панель управления» > «Крипто Про CSP» > «Оборудование» > «Настроить типы носителей», выбрать «Rutoken» (либо «Rutoken lite») > «Свойства» > «Информация».

Создание электронной подписи на платформе 1С с помощью СКЗИ КриптоПро CSP можно выполнять как на стороне сервера, так и на стороне клиента. В обоих случаях может появиться довольно неприятная ошибка:
Неправильный параметр набора ключей.

Неприятна данная ошибка тем, что у неё множество причин, и что бы её исправить, нужно провести целый комплекс мероприятий.

Источник

Содержание

  1. Error number 0x8009001a 2148073498 неправильный зарегистрированный набор ключей
  2. Криптопро код ошибки 0x8009001a
  3. Подпись ошибка 0x80090010 отказано в доступе КриптоПро – решение
  4. Ошибка подписи. CryptSignMessage: Отказано в доступе
  5. Проверяем контейнер
  6. Как подписать документы?
  7. Заключение
  8. Неправильный зарегистрированный набор ключей код ошибки 0x8009001a. АРМ ФСС ошибка: набор ключей не определен
  9. Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?
  10. Решение проблемы:
  11. Криптопро код ошибки 0x8009001a
  12. Подпись ошибка 0x80090010 отказано в доступе КриптоПро – решение
  13. Ошибка подписи. CryptSignMessage: Отказано в доступе
  14. Проверяем контейнер
  15. Как подписать документы?
  16. Заключение
  17. Неправильный зарегистрированный набор ключей код ошибки 0x8009001a. АРМ ФСС ошибка: набор ключей не определен
  18. Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?
  19. Решение проблемы:

Error number 0x8009001a 2148073498 неправильный зарегистрированный набор ключей

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • pfaizer
  • —>
  • Не в сети
  • Сообщений: 21
  • Спасибо получено: 0

DJMix27 пишет: Всем привет!
Возможно проблема уже решалась, но найти решение у меня не получилось, ткните носом пожалуйста.
При попытке установки сертификата доступа Континент АП (для работы с СУФД) появляется ошибка
«Ошибка работы с криптопровайдером 0х8009001А. Неправильный зарегистрированный набор ключей».

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Alex_04
  • —>
  • Не в сети
  • ТОФК
  • Сообщений: 2291
  • Спасибо получено: 381

DJMix27 пишет: «Ошибка работы с криптопровайдером 0х8009001А. Неправильный зарегистрированный набор ключей».

4 года назад на форуме «КриптоПро» было про что-то подобное: Windows 10 Неправильный зарегистрированный набор ключей . Тогда » defaber» так вылечил:

РЕШЕНИЕ:
В ветке: HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUSERS есть папки с SID пользователями, так вот владелец папки был другой пользователь, поэтому и не работало, несмотря на то, что права на папку были даны верно.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Подпись ошибка 0x80090010 отказано в доступе КриптоПро – решение

Сегодня разберем проблему с подписью в КриптоПро, а конкретнее строчку в отчете “ошибка 0x80090010 отказано в доступе”. Поговорим чем вызван этот сбой в СУФД, дадим общие рекомендации по обновлению программы. В конце статьи оставим инструкцию как же все такие подписать документы, если ключ просрочен, а отправить отчет нужно.

Ошибка подписи. CryptSignMessage: Отказано в доступе

Отправляясь тестировать контейнер первым делом получаем отчет с ошибкой вот такого содержания:

Ошибка 0x80090010 отказано в доступе

Для начала проверьте версию КриптоПРО CSP. Если версия стабильная и рабочая – оставляем, если помимо этого сбоя присутствую другие ошибки – версию программы лучше обновить на будущее.
Ошибка 0x80090010 отказано в доступе – означает что просрочена версия открытого или закрытого ключа. Создавая запрос на выдачу сертификата для генерации ключей, мы несём необходимые бумаги для выдачи подписи через несколько недель. Контроль будет осуществляться с даты создания запроса. Тут мы используем лайфхак, об этом ниже, а для начала мы протестируем контейнер.

Проверяем контейнер

Для проверки контейнера проделаем стандартные операции перечисленные ниже:

Проверка завершилась с ошибкой

Срок действия закрытого ключа истек

Срок действия закрытого ключа истек

Еще раз – ошибка подписи 0x80090010 всегда означает что истек срок действия закрытого ключа.

Как подписать документы?

Тут придется прибегнуть к маленькой хитрости, которая работала раньше во многих программах схожего типа – поменять системную дату на срок действия системного ключа:

Настройка даты и времени

После этого можно выдохнуть, заварить чашечку крепкого кофе… И начать готовить документы и оформлять заявку для оформления нового сертификата.

Заключение

Напишите нам в комментариях помогла ли вам данная инструкция побороть проблему отказа доступа в КриптоПро. Если статья была полезна – делитесь ссылками в соцсетях, так вы поможете другим пользователям с аналогичной проблемой. Задавайте другие вопросы о других программах, которые работают с ошибками или вызывают вопросы.

Евгений Загорский

IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.

При попытке погуглить информацию в интернете, решить проблему не удавалось. Большинство ссылок ведут на форумы, где обсуждаются проблемы связанные с крипто-приложениями, такими как крипто-про. Но тут дело не в этом, никаких программ не использовалось.

Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?

.Net framework cleanup tool
.Net framework repair tool

Но к сожалению эффекта так же не произошло.

Решение проблемы:

Очень надеемся, что данная статья поможет многим решить проблему (Неправильный зарегистрированный набор ключей,0x80070643) с Windows 8.1 без переустановки. Если у вас остались вопросы, пожалуйста, задайте их в комментариях.

Большое спасибо, Михаил, все сделали оперативно а главное понятно для меня. Так как мы с вами нашли общий язык. хотелось бы в дальнейшем так же продолжить связь именно с вами. Надеюсь на плодотворное сотрудничество.

От имени предприятия ГУП «Севастопольское авиационное предприятие» выражаем благодарность за профессионализм и оперативность вашей компании! Желаем вашей компании дальнейшего процветания!

Спасибо вам, Михаил, большое за помощь в оформлении. Очень квалифицированный сотрудник +5!

От лица компании «АКБ-Авто» и от себя лично выражаю Вам и всем сотрудникам вашей компании благодарность за продуктивную и качественную работу, чуткое отношение к требованиям клиента и оперативность в исполнении заказываемых работ.

Хочу поблагодарить консультанта Михаила за отличную работу, своевременные и полные консультации. Очень внимателен к проблемам клиента и вопросам, оперативное решение самых казалось бы для меня сложных ситуаций. Очень приятно работать с Михаилом. Теперь своим клиентам и знакомым буду рекомендовать Вашу компанию. Да и консультанты в тех. поддержке тоже очень вежливы, внимательны, помогли справится со сложной установкой ключа. Спасибо.

Левицкий Александр Константинович г. Самара

Личная благодарность консультанту Михаилу Владимировичу за оперативную консультацию и работу по ускоренному получению сертификата ЭП. В ходе предварительной консультации подбирается оптимальный набор индивидуальных услуг. Конечный результат получен незамедлительно.

Спасибо за оперативную работу и компетентную помощь! Консультацией остался очень доволен!

ООО «Эксперт Система» благодарит за оперативную работу консультанта Михаила! Желаем Вашей компании роста и процветания!

Спасибо консультанту, представившемуся Михаилом, за оперативность в работе с клиентами.

Пономарев Степан Геннадьевич

Большое спасибо консультанту Михаилу, за оказанную помощь в получении ЭЦП. За оперативную работу и консультирование по вопросам возникающим в процессе оформления.

Компания в лице консультанта Михаила делает невозможное! Ускорение аккредитации менее чем за 1 час! Оплата по факту оказания услуги. Думал, такого не бывает. С полной ответственностью могу советовать связываться с Центром выдачи электронных подписей.

Для решения данной проблемы следует выполнить следующие шаги:

1. Выбрать меню «Пуск» > «Панель управления» > «КриптоПро CSP». Перейти на вкладку «Сервис» и нажать на кнопку «Удалить запомненные пароли». Отметить пункт «Пользователя» и нажать на кнопку «ОК».

2. В окне «Выбор ключевого контейнера» поставить переключатель «Уникальные имена» и повторить выбор контейнера.

3. Если ключевой носитель — дискета или флэш-карта, необходимо просмотреть его содержимое. В корне носителя должна быть папка с шестью файлами с расширением. key.

4. Если ключевой носитель — ruToken или ruToken Lite, то следует переустановить драйвера и модуль поддержки. Для этого необходимо:

5. Сделать копию ключевого контейнера и выполнить установку сертификата с дубликата (см. Как скопировать контейнер с сертификатом на другой носитель?).

Если предложенное решение не помогло устранить ошибку, то необходимо обратиться в службу технической поддержки по адресу [email protected], указав следующие данные:

Чтобы открыть данное окно, следует перейти в меню «Пуск» > «Панель управления» > «Крипто Про CSP» > «Оборудование» > «Настроить типы носителей», выбрать «Rutoken» (либо «Rutoken lite») > «Свойства» > «Информация».

Создание электронной подписи на платформе 1С с помощью СКЗИ КриптоПро CSP можно выполнять как на стороне сервера, так и на стороне клиента. В обоих случаях может появиться довольно неприятная ошибка:
Неправильный параметр набора ключей.

Неприятна данная ошибка тем, что у неё множество причин, и что бы её исправить, нужно провести целый комплекс мероприятий.

Источник

Криптопро код ошибки 0x8009001a

Подпись ошибка 0x80090010 отказано в доступе КриптоПро – решение

Сегодня разберем проблему с подписью в КриптоПро, а конкретнее строчку в отчете “ошибка 0x80090010 отказано в доступе”. Поговорим чем вызван этот сбой в СУФД, дадим общие рекомендации по обновлению программы. В конце статьи оставим инструкцию как же все такие подписать документы, если ключ просрочен, а отправить отчет нужно.

Ошибка подписи. CryptSignMessage: Отказано в доступе

Отправляясь тестировать контейнер первым делом получаем отчет с ошибкой вот такого содержания:

Ошибка 0x80090010 отказано в доступе

Для начала проверьте версию КриптоПРО CSP. Если версия стабильная и рабочая – оставляем, если помимо этого сбоя присутствую другие ошибки – версию программы лучше обновить на будущее.
Ошибка 0x80090010 отказано в доступе – означает что просрочена версия открытого или закрытого ключа. Создавая запрос на выдачу сертификата для генерации ключей, мы несём необходимые бумаги для выдачи подписи через несколько недель. Контроль будет осуществляться с даты создания запроса. Тут мы используем лайфхак, об этом ниже, а для начала мы протестируем контейнер.

Проверяем контейнер

Для проверки контейнера проделаем стандартные операции перечисленные ниже:

Проверка завершилась с ошибкой

Срок действия закрытого ключа истек

Срок действия закрытого ключа истек

Еще раз – ошибка подписи 0x80090010 всегда означает что истек срок действия закрытого ключа.

Как подписать документы?

Тут придется прибегнуть к маленькой хитрости, которая работала раньше во многих программах схожего типа – поменять системную дату на срок действия системного ключа:

Настройка даты и времени

После этого можно выдохнуть, заварить чашечку крепкого кофе… И начать готовить документы и оформлять заявку для оформления нового сертификата.

Заключение

Напишите нам в комментариях помогла ли вам данная инструкция побороть проблему отказа доступа в КриптоПро. Если статья была полезна – делитесь ссылками в соцсетях, так вы поможете другим пользователям с аналогичной проблемой. Задавайте другие вопросы о других программах, которые работают с ошибками или вызывают вопросы.

Евгений Загорский

IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.

Неправильный зарегистрированный набор ключей код ошибки 0x8009001a. АРМ ФСС ошибка: набор ключей не определен

При попытке погуглить информацию в интернете, решить проблему не удавалось. Большинство ссылок ведут на форумы, где обсуждаются проблемы связанные с крипто-приложениями, такими как крипто-про. Но тут дело не в этом, никаких программ не использовалось.

Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?

.Net framework cleanup tool
.Net framework repair tool

Но к сожалению эффекта так же не произошло.

Решение проблемы:

Очень надеемся, что данная статья поможет многим решить проблему (Неправильный зарегистрированный набор ключей,0x80070643) с Windows 8.1 без переустановки. Если у вас остались вопросы, пожалуйста, задайте их в комментариях.

Большое спасибо, Михаил, все сделали оперативно а главное понятно для меня. Так как мы с вами нашли общий язык. хотелось бы в дальнейшем так же продолжить связь именно с вами. Надеюсь на плодотворное сотрудничество.

От имени предприятия ГУП «Севастопольское авиационное предприятие» выражаем благодарность за профессионализм и оперативность вашей компании! Желаем вашей компании дальнейшего процветания!

Спасибо вам, Михаил, большое за помощь в оформлении. Очень квалифицированный сотрудник +5!

От лица компании «АКБ-Авто» и от себя лично выражаю Вам и всем сотрудникам вашей компании благодарность за продуктивную и качественную работу, чуткое отношение к требованиям клиента и оперативность в исполнении заказываемых работ.

Хочу поблагодарить консультанта Михаила за отличную работу, своевременные и полные консультации. Очень внимателен к проблемам клиента и вопросам, оперативное решение самых казалось бы для меня сложных ситуаций. Очень приятно работать с Михаилом. Теперь своим клиентам и знакомым буду рекомендовать Вашу компанию. Да и консультанты в тех. поддержке тоже очень вежливы, внимательны, помогли справится со сложной установкой ключа. Спасибо.

Левицкий Александр Константинович г. Самара

Личная благодарность консультанту Михаилу Владимировичу за оперативную консультацию и работу по ускоренному получению сертификата ЭП. В ходе предварительной консультации подбирается оптимальный набор индивидуальных услуг. Конечный результат получен незамедлительно.

Спасибо за оперативную работу и компетентную помощь! Консультацией остался очень доволен!

ООО «Эксперт Система» благодарит за оперативную работу консультанта Михаила! Желаем Вашей компании роста и процветания!

Спасибо консультанту, представившемуся Михаилом, за оперативность в работе с клиентами.

Пономарев Степан Геннадьевич

Большое спасибо консультанту Михаилу, за оказанную помощь в получении ЭЦП. За оперативную работу и консультирование по вопросам возникающим в процессе оформления.

Компания в лице консультанта Михаила делает невозможное! Ускорение аккредитации менее чем за 1 час! Оплата по факту оказания услуги. Думал, такого не бывает. С полной ответственностью могу советовать связываться с Центром выдачи электронных подписей.

Для решения данной проблемы следует выполнить следующие шаги:

1. Выбрать меню «Пуск» > «Панель управления» > «КриптоПро CSP». Перейти на вкладку «Сервис» и нажать на кнопку «Удалить запомненные пароли». Отметить пункт «Пользователя» и нажать на кнопку «ОК».

2. В окне «Выбор ключевого контейнера» поставить переключатель «Уникальные имена» и повторить выбор контейнера.

3. Если ключевой носитель — дискета или флэш-карта, необходимо просмотреть его содержимое. В корне носителя должна быть папка с шестью файлами с расширением. key.

4. Если ключевой носитель — ruToken или ruToken Lite, то следует переустановить драйвера и модуль поддержки. Для этого необходимо:

5. Сделать копию ключевого контейнера и выполнить установку сертификата с дубликата (см. Как скопировать контейнер с сертификатом на другой носитель?).

Если предложенное решение не помогло устранить ошибку, то необходимо обратиться в службу технической поддержки по адресу [email protected], указав следующие данные:

Чтобы открыть данное окно, следует перейти в меню «Пуск» > «Панель управления» > «Крипто Про CSP» > «Оборудование» > «Настроить типы носителей», выбрать «Rutoken» (либо «Rutoken lite») > «Свойства» > «Информация».

Создание электронной подписи на платформе 1С с помощью СКЗИ КриптоПро CSP можно выполнять как на стороне сервера, так и на стороне клиента. В обоих случаях может появиться довольно неприятная ошибка:
Неправильный параметр набора ключей.

Неприятна данная ошибка тем, что у неё множество причин, и что бы её исправить, нужно провести целый комплекс мероприятий.

Источник

Содержание

  1. Инструкция по настройке и работе с Крипто-Про для государственных порталов
  2. DavidovichDV
  3. Вложения
  4. DavidovichDV
  5. Вложения
  6. Blaze
  7. DavidovichDV
  8. Blaze
  9. DavidovichDV
  10. amotash
  11. Вложения
  12. DavidovichDV
  13. amotash
  14. DavidovichDV
  15. amotash
  16. Вложения
  17. mfc31
  18. DavidovichDV
  19. renbuar
  20. renbuar

Инструкция по настройке и работе с Крипто-Про для государственных порталов

DavidovichDV

New member

# выполняется от суперпользователя «root» или через «sudo»
$ выполняется от обычного пользователя
комментарий
На новых версия Firefox работать скорее всего не будет или часть функционала будет недоступна, можно взять cryptofox с сайта крипто-про
Данные настройки были проверены на встроенном браузере в астру chromium или chromium-gost от крипто-про

Загрузить последнюю версию Крипто-Про с официального сайта

Открыть Пуск->Утилиты->Менеджер файлов mc
перейти в каталог куда загрузили архив

Распакуем архив
$ tar -xf linux-amd64_deb.tgz

Перейдем в каталог
$ cd linux-amd64_deb

получим то что на картинке ниже

Жмем клавишу Enter

Выбираем все пункты нажимая на клавишу «Пробел» переход осуществляется клавишами вниз/вверх

Жмем клавишу Enter

Жмем клавишу Enter

Жмем клавишу Enter

Жмем клавишу Enter

Вводим свой серийный номер. Регистр нужно строго соблюдать.
Жмем клавишу Enter

Жмем выбираем Exit клавишами Tab, жмем клавишу Enter, Выбираем Yes, жмем клавишу Enter

Для USB токенов нужно установить данное ПО
# apt install libpcsclite1 pcscd libccid

они все есть в репозитарии астры, ничего нигде искать дополнительно не надо

Библиотека libccid не ниже 1.4.2

Для rutoken S нужно установить драйвер c сайта производителя, лучше установить более новое
https://www.rutoken.ru/support/download/drivers-for-nix/

# dpkg -i ifd-rutokens_1.0.4_amd64.deb

Проверить USB токены можно командой
$ /opt/cprocsp/bin/amd64/list_pcsc

Если что то не работает пишите возможно я что то упустил, а так же пишите коды ошибок, будем пополнять базу знаний и возможные пути решений

Качаем архив с плагином с официального сайта Крипто-ПРО https://www.cryptopro.ru/products/cades/plugin желательно в отдельный каталог
Заходим в каталог куда скачали архив с плагином и разархивируем

$ tar -xf cades_linux_amd64.tar.gz

Конвертируем в deb пакеты

если вывод команды был «bash: alien: команда не найдена», то вам надо читать внимательней потребности, установить alien

# apt install alien

# dpkg -i lsb-cprocsp-devel_*.deb cprocsp-pki-*.deb

на всякий пожарный установку лучше повторить, т.к. бывали случаи что установка прошла успешно, а библиотек на месте не было

# ln -s /opt/cprocsp/lib/amd64/libnpcades.so /usr/lib/mozilla/plugins/lib/libnpcades.so
# ln -s /opt/cprocsp/lib/amd64/libcppkcs11.so.4.0.4 /usr/lib/mozilla/plugins/lib/libcppkcs11.so

на всякий пожарный что бы было, если вдруг с путями кто-нибудь из программ случайно, обязательно затупит, сделаем симлинки на библиотеки

# ln -s /opt/cprocsp/lib/amd64/libnpcades.so /usr/lib/libnpcades.so
# ln -s /opt/cprocsp/lib/amd64/libcppcades.so /usr/lib/libcppcades.so
# ln -s /opt/cprocsp/lib/amd64/libcppkcs11.so /usr/lib/libcppkcs11.so

создаем симлинк для корректной работы связи расширения браузера с библиотекой установленного плагина

# ln -s /etc/opt/chrome/native-messaging-hosts/ru.cryptopro.nmcades.json /etc/chromium/native-messaging-hosts/ru.cryptopro.nmcades.json

так же желательно сделать симлинки нашел в какой то документации, возможно в них и нет необходимости, эти каталоги это для корректной работы плагинов браузеров и библиотек плагинов,

# ln -s /etc/opt/chrome /etc/opt/chromium
# ln -s /etc/opt/chrome /etc/opt/chromium-gost

Одно из самых главных требований при работе с этим плагином, это нужно при КОПИРОВАНИИ или СОЗДАНИИ контейнера установить пинкод

Качаем прикрепленный архив
или с тындекс диска
https://yadi.sk/d/8VJFh_cFHRGRJA

Разархивируем
$ unzip IFCPlugin-3.0.0-x86_64.deb.zip

Устанавливаем
# dpkg -i IFCPlugin-3.0.0-x86_64.deb

создаем симлинк для корректной работы связи расширения браузера с библиотекой установленного плагина

# ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/ru.rtlabs.ifcplugin.json

config = <
cert_from_registry = «false»;
set_user_pin = «false»;
>

params =
(
< name = «Криптопровайдер VipNet CSP»;
alias = «VIPNet»;
type = «capi»;
provider_name = «Infotecs Cryptographic Service Provider»;
provider_num = «2»;
skip_pkcs11_list = «true»;
>,

< name = «Криптопровайдер VipNet CSP»;
alias = «VIPNet_linux»;
type = «capi_linux»;
provider_name = «Infotecs Cryptographic Service Provider»;
provider_num = «2»;
skip_pkcs11_list = «true»;
>,

< name = «Криптопровайдер КриптоПро CSP»;
alias = «CryptoPro»;
type = «capi»;
provider_name = «Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider»;
provider_num = «75»;
skip_pkcs11_list = «false»;
>,

< name = «Криптопровайдер КриптоПро Рутокен CSP»;
alias = «CryptoPro_Rutoken»;
type = «capi»;
provider_name = «GOST R 34.10-2001 Rutoken CSP»;
provider_num = «75»;
skip_pkcs11_list = «false»;
>,

< name = «Криптопровайдер Signal-COM CSP»;
alias = «SignalCom»;
type = «capi»;
provider_name = «Signal-COM CPGOST Cryptographic Provider»;
provider_num = «75»;
skip_pkcs11_list = «false»;
>,

< name = «Криптопровайдер LISSI-CSP»;
alias = «LISSI-CSP»;
type = «capi»;
provider_name = «LISSI-CSP»;
provider_num = «75»;
skip_pkcs11_list = «false»;
>,

< name = «JaCarta Криптотокен»;
alias = «JaCarta»;
type = «pkcs11»;
alg = «gost2001»;
lib_win = «jcPKCS11-2.DLL»;
lib_linux = «libjcPKCS11-2.so.2.4.0»;
lib_mac = «jcPKCS11-2»;
>,

< name = «CryptoPro CSP»;
alias = «cryptoprocsp»;
type = «pkcs11»;
alg = «gost2001»;
lib_linux = «libcppkcs11.so»;
>,

< name = «CryptoPro CSP»;
alias = «cryptoprocsp»;
type = «pkcs11»;
alg = «gost2012»;
lib_linux = «libcppkcs11.so»;
>,

< name = «Актив руТокен ЭЦП»;
alias = «ruTokenECP»;
type = «pkcs11»;
alg = «gost2001»;
lib_win = «rtpkcs11ecp.dll»;
lib_linux = «librtpkcs11ecp.so»;
lib_mac = «librtpkcs11ecp.dylib»;
>
);

Заходим в каталог куда скачали архив
$ unzip ifc.cfg.zip

Копируем конфигурационный файл

# cp ifc.cfg /etc/ifc.cfg

Перейти в меню — Дополнительные инструменты — Расширения и включить плагин

На случай диагностики ошибок ifcplugin нужен будет лог /var/log/ifc/engine_logs/engine.log

Вложения

DavidovichDV

New member

Общее описание выводов ошибок
[ErrorCode: 0x00000000]
Код ошибки 0, значит все прошло успешно

Error number 0x8009001f (2148073503).
Неправильный параметр набора ключей.
скорее всего нужно добавить пинкод или другой тип стандарта контейнера если ошибка возникает при копировании ключей
-pinsrc 12345678
-pindest 12345678

ERROR: SCardListReaders(NULL)
если ключ вставлен, то скорее всего либо у вас не установлены требуемые библиотеки/драйвера, либо что то мешает его распознать(какой-то пакет из состава Крипто-Про)

Проверить/отобразить USB токены можно командой
$ /opt/cprocsp/bin/amd64/list_pcsc
Примерный вывод:
Aktiv Co. Rutoken S 00 00

если получили ERROR: SCardListReaders(NULL) , если ключ вставлен, то скорее всего либо у вас не установлены требуемые библиотеки/драйвера, либо что то мешает его распознать(какой-то пакет из состава Крипто-Про)

Вывести список всех ключевых носителей и контейнеров
$ /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fqcn

CSP (Type:80) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 28131731
.Aktiv Co. Rutoken S 00 00key1
OK.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 1,380 sec
[ErrorCode: 0x00000000]

Вывод всех ключевых носителей и контейнеров с отображением уникального имени
$ /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fqcn -uniq

CSP (Type:80) v4.0.9018 KC2 Release Ver:4.0.9958 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 16527635
.HDIMAGEkey0 |.HDIMAGEHDIMAGEkey0.0001174
OK.

Total: SYS: 0,000 sec USR: 0,000 sec UTC: 2,130 sec
[ErrorCode: 0x00000000]

Нужная нам информация между строками » AcquireContext: OK. » и » OK . «

Еще возможный вывод .HDIMAGE и .FLASH, где

.HDIMAGE это ключевой носитель сохранен на жестком диске, вроде считывателя реестра в Windows версии. «key0» это имя ключевого контейнера на носителе.

$ /opt/cprocsp/bin/amd64/csptest -keycopy -contsrc ‘.HDIMAGEkey0’ -contdest ‘.Aktiv Co. Rutoken S 00 00key1’ -typesrc 75 -typedest 75 -pinsrc 12345678 -pindest 12345678

csptest -keycopy Запуск копирования
-contsrc ‘.HDIMAGEkey0’

Указываем откуда копируем «.HDIMAGE» это указатель откуда брать ключ в данном случае из локального расположения,

навроде считывателя реестра в Windows версии. «key0» это имя ключевого контейнера на носителе

-contdest ‘.Aktiv Co. Rutoken S 00 00key1’

Указываем куда копируем ‘.Aktiv Co. Rutoken S 00 00key1’ это указатель на устройство

ОБЯЗАТЕЛЬНО . Имя ключей должно отличаться
ОБЯЗАТЕЛЬНО . Имя ключей должно быть на латинице,
КАТЕГОРИЧЕСКИ не рекомендуется использовать кириллицу или любой другой алфавит отличный от латиницы

-typesrc 75 Тип сформированного контейнера откуда копируется по ГОСТУ где 75(ГОСТ-2001), 80(ГОСТ-2012)

-typedest 75 Тип сформированного контейнера куда копируется
-pinsrc 12345678 Пинкод источника ключевого носителя
-pindest 12345678 Пинкод ключевого носителя

*** Загрузка личного сертификата в хранилище в данном случае из локального считывателя
$ /opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ‘HDIMAGE’

*** Загрузка личного сертификата в хранилище в данном случае из рутокена
$ /opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ‘rutoken’

*** Загрузка личного сертификата в хранилище в данном случае из Флэш накопителя
$ /opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ‘FLASH’

*** Вывод личных сертификатов в личном хранилище
$ /opt/cprocsp/bin/amd64/certmgr -list -cert -store uMy

*** Вывод субъекта и серийного номера загруженных личных сертификатов в личном хранилище
$ /opt/cprocsp/bin/amd64/certmgr -list -cert -store uMy | grep -iE «^Serial|^Subject»

*** Полный вывод загруженных сертификатов корневых удостоверяющих центров в личном хранилище
$/opt/cprocsp/bin/amd64/certmgr -list -cert -store uroot

*** Вывод субъекта и серийного номера загруженных сертификатов корневых удостоверяющих центров в личном хранилище
$ /opt/cprocsp/bin/amd64/certmgr -list -cert -store root | grep -iE «^Serial|^Subject»

*** Полный вывод загруженных сертификатов промежуточных серверов в личном хранилище
$ /opt/cprocsp/bin/amd64/certmgr -list -cert -store uca

*** Вывод субъекта и серийного номера загруженных сертификатов промежуточных серверов в личном хранилище
$ /opt/cprocsp/bin/amd64/certmgr -list -cert -store uca | grep -iE «^Serial|^Subject»

*** Загрузка личного сертификата в личное хранилище сертификатов, в данном случае из всех считывателей rutoken
/opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ‘rutoken’

Match: SCARDrutoken_32b56458B007E72
OK.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 1,760 sec
[ErrorCode: 0x00000000]

Match: SCARDrutoken_32b56458B007E72
Match это означает что он нашел ключевые носители удовлетворяющие условию и загрузил с него все сертификаты
Skip это значит что этот считыватель и контейнер не соответствует запросу и будет проигнорирован

/opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file 48b19fb33bb637c88a54d19650730b67e42db121.cer

файл сертификата прикреплен

*** Экспорт в файл сертификата из хранилища
$ /opt/cprocsp/bin/amd64/certmgr -export -cert -dn «CN=» -dest ‘cert.crt’
Сначала выведет список всех имеющихся личных сертификатов, затем нужно ввести порядковый номер сертификата

— Эспорт в файл закрытого ключа из хранилища
/opt/cprocsp/bin/amd64/certmgr -export -file 1234.pfx
Сначала выведет список всех имеющихся личных сертификатов, затем нужно ввести порядковый номер сертификата

Вложения

Blaze

New member

и за что отвечают эти параметры?

P.S. С госзакупками проблем со входом не возникло. Спасибо.

DavidovichDV

New member

и за что отвечают эти параметры?

P.S. С госзакупками проблем со входом не возникло. Спасибо.

1. Да может.
2. нет, можно воспользоваться любым контейнером
3. Это либо от старого функционала который в новой версии не работает, либо планируемый на будущее и сейчас тестируется у разработчика

лучше оставить так как работает, любы изобретения могут привести к сбоям в работе

Blaze

New member

личный сертификат установлен в хранилище -store uMy с привязкой к контейнеру закрытого ключа, в локальном ридере HDIMAGE

В Astra Linux применяется какая версия пакета pcsc-lite ?

У меня вечно, пока не закроешь страницу, висит на обращении к средству электронной подписи и бесконечно бегает анимация

DavidovichDV

New member

У вас плагин версии 3.0.3 он не работает, нужен 3.0.0, проверено на многих дистрибутивах

pcsc-1.8.20, но это существенной роли не сыграет главное это версия плагина.

amotash

New member

Вложения

DavidovichDV

New member

amotash

New member

DavidovichDV

New member

amotash

New member

Вложения

mfc31

New member

DavidovichDV

New member

renbuar

New member

По данной инструкции зашел на площадки и госуслуги. Спасибо.

renbuar

New member

]# /opt/cprocsp/bin/amd64/csptestf -tlsc -server zakupki.gov.ru -v -nosave -savecert /tmp/t.p7b
[root@test-x64-centos7

]# /opt/cprocsp/bin/amd64/certmgr -list -file /tmp/t.p7b
=============================================================================
1——-
Issuer : E=uc_fk@roskazna.ru, S=г. Москва, INN=007710568760, OGRN=1047797019830, STREET=»улица Ильинка, дом 7″, L=Москва, C=RU, O=Федеральное казначейство, CN=Федеральное казначейство
Subject : INN=007710568760, OGRN=1047797019830, STREET=»ул. Проспект Мира, 105″, E=777@roskazna.ru, C=RU, S=г. Москва, L=Москва, O=Федеральное казначейство, CN=zakupki.gov.ru
Serial : 0x6F064FA71C24CD7E2CE6FAAEA927D8C7EC69A35F
SHA1 Hash : c369b560ce239beddb2fc12b4884dee1cfc923aa
SubjKeyID : 10c6d12e7cd886d022bcdfea4cbe10e32acf82bc
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Public key : 04 40 1b ce 0b 15 6a 4a 57 e0 1b d8 39 ee 86 83
32 70 ea db fd f5 39 c1 e6 de 3c c8 be 10 81 03
5d da 0b 3b 09 7a d3 0d 46 33 58 11 3b 20 94 99
fe 04 fe 8e e6 bc 32 53 ff 2e 71 10 8e e2 12 a1
52 cf
Not valid before : 21/12/2017 06:06:33 UTC
Not valid after : 21/03/2019 06:06:33 UTC
PrivateKey Link : No
Subject Alt Names
UPN : ▒㌴ (2.5.4.12)
URL : 0
CDP : http://crl.roskazna.ru/crl/ucfk.crl
CDP : http://crl.fsfk.local/crl/ucfk.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
.

При наличии расширения Subject Alt Names RFC требует сверять имя сервера с ним, а не с полем CN. Поэтому CN=zakupki.gov.ru отброшен, а в Subject Alt Names хрень.

Andrey, [05.10.18 11:35]
Но мы сделали параметр для отключения требований RFC6125, который может подвергнуть систему опасности для атак с подменой сертификатов:
[root@test-x64-centos7

]# /opt/cprocsp/sbin/amd64/cpconfig -ini ‘configparameters’ -add long Rfc6125_NotStrict_ServerName_Check 1
[root@test-x64-centos7

Источник

Сегодня разберем проблему с подписью в КриптоПро, а конкретнее строчку в отчете “ошибка 0x80090010 отказано в доступе”. Поговорим чем вызван этот сбой в СУФД, дадим общие рекомендации по обновлению программы. В конце статьи оставим инструкцию как же все такие подписать документы, если ключ просрочен, а отправить отчет нужно.

Ошибка подписи. CryptSignMessage: Отказано в доступе

Отправляясь тестировать контейнер первым делом получаем отчет с ошибкой вот такого содержания:

Ошибка 0x80090010 отказано в доступе

Для начала проверьте версию КриптоПРО CSP. Если версия стабильная и рабочая – оставляем, если помимо этого сбоя присутствую другие ошибки – версию программы лучше обновить на будущее.
Ошибка 0x80090010 отказано в доступе – означает что просрочена версия открытого или закрытого ключа. Создавая запрос на выдачу сертификата для генерации ключей, мы несём необходимые бумаги для выдачи подписи через несколько недель. Контроль будет осуществляться с даты создания запроса. Тут мы используем лайфхак, об этом ниже, а для начала мы протестируем контейнер.

Проверяем контейнер

Для проверки контейнера проделаем стандартные операции перечисленные ниже:

Проверка завершилась с ошибкой

Проверка завершилась с ошибкой

Срок действия закрытого ключа истек

Срок действия закрытого ключа истек

Срок действия закрытого ключа истек

Срок действия закрытого ключа истек

Еще раз – ошибка подписи 0x80090010 всегда означает что истек срок действия закрытого ключа.

Как подписать документы?

Тут придется прибегнуть к маленькой хитрости, которая работала раньше во многих программах схожего типа – поменять системную дату на срок действия системного ключа:

Настройка даты и времени

Настройка даты и времени

После этого можно выдохнуть, заварить чашечку крепкого кофе… И начать готовить документы и оформлять заявку для оформления нового сертификата.

Заключение

Напишите нам в комментариях помогла ли вам данная инструкция побороть проблему отказа доступа в КриптоПро. Если статья была полезна – делитесь ссылками в соцсетях, так вы поможете другим пользователям с аналогичной проблемой. Задавайте другие вопросы о других программах, которые работают с ошибками или вызывают вопросы.

Евгений Загорский

Евгений Загорский

IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.

Неправильный зарегистрированный набор ключей код ошибки 0x8009001a. АРМ ФСС ошибка: набор ключей не определен

При попытке погуглить информацию в интернете, решить проблему не удавалось. Большинство ссылок ведут на форумы, где обсуждаются проблемы связанные с крипто-приложениями, такими как крипто-про. Но тут дело не в этом, никаких программ не использовалось.

Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?

.Net framework cleanup tool
.Net framework repair tool

Но к сожалению эффекта так же не произошло.

Решение проблемы:

Очень надеемся, что данная статья поможет многим решить проблему (Неправильный зарегистрированный набор ключей,0x80070643) с Windows 8.1 без переустановки. Если у вас остались вопросы, пожалуйста, задайте их в комментариях.

Большое спасибо, Михаил, все сделали оперативно а главное понятно для меня. Так как мы с вами нашли общий язык. хотелось бы в дальнейшем так же продолжить связь именно с вами. Надеюсь на плодотворное сотрудничество.

От имени предприятия ГУП «Севастопольское авиационное предприятие» выражаем благодарность за профессионализм и оперативность вашей компании! Желаем вашей компании дальнейшего процветания!

Спасибо вам, Михаил, большое за помощь в оформлении. Очень квалифицированный сотрудник +5!

От лица компании «АКБ-Авто» и от себя лично выражаю Вам и всем сотрудникам вашей компании благодарность за продуктивную и качественную работу, чуткое отношение к требованиям клиента и оперативность в исполнении заказываемых работ.

Хочу поблагодарить консультанта Михаила за отличную работу, своевременные и полные консультации. Очень внимателен к проблемам клиента и вопросам, оперативное решение самых казалось бы для меня сложных ситуаций. Очень приятно работать с Михаилом. Теперь своим клиентам и знакомым буду рекомендовать Вашу компанию. Да и консультанты в тех. поддержке тоже очень вежливы, внимательны, помогли справится со сложной установкой ключа. Спасибо.

Левицкий Александр Константинович г. Самара

Личная благодарность консультанту Михаилу Владимировичу за оперативную консультацию и работу по ускоренному получению сертификата ЭП. В ходе предварительной консультации подбирается оптимальный набор индивидуальных услуг. Конечный результат получен незамедлительно.

Спасибо за оперативную работу и компетентную помощь! Консультацией остался очень доволен!

ООО «Эксперт Система» благодарит за оперативную работу консультанта Михаила! Желаем Вашей компании роста и процветания!

Спасибо консультанту, представившемуся Михаилом, за оперативность в работе с клиентами.

Пономарев Степан Геннадьевич

Большое спасибо консультанту Михаилу, за оказанную помощь в получении ЭЦП. За оперативную работу и консультирование по вопросам возникающим в процессе оформления.

Компания в лице консультанта Михаила делает невозможное! Ускорение аккредитации менее чем за 1 час! Оплата по факту оказания услуги. Думал, такого не бывает. С полной ответственностью могу советовать связываться с Центром выдачи электронных подписей.

Для решения данной проблемы следует выполнить следующие шаги:

1. Выбрать меню «Пуск» > «Панель управления» > «КриптоПро CSP». Перейти на вкладку «Сервис» и нажать на кнопку «Удалить запомненные пароли». Отметить пункт «Пользователя» и нажать на кнопку «ОК».

2. В окне «Выбор ключевого контейнера» поставить переключатель «Уникальные имена» и повторить выбор контейнера.

3. Если ключевой носитель — дискета или флэш-карта, необходимо просмотреть его содержимое. В корне носителя должна быть папка с шестью файлами с расширением. key.

4. Если ключевой носитель — ruToken или ruToken Lite, то следует переустановить драйвера и модуль поддержки. Для этого необходимо:

5. Сделать копию ключевого контейнера и выполнить установку сертификата с дубликата (см. Как скопировать контейнер с сертификатом на другой носитель?).

Если предложенное решение не помогло устранить ошибку, то необходимо обратиться в службу технической поддержки по адресу [email protected], указав следующие данные:

Чтобы открыть данное окно, следует перейти в меню «Пуск» > «Панель управления» > «Крипто Про CSP» > «Оборудование» > «Настроить типы носителей», выбрать «Rutoken» (либо «Rutoken lite») > «Свойства» > «Информация».

Создание электронной подписи на платформе 1С с помощью СКЗИ КриптоПро CSP можно выполнять как на стороне сервера, так и на стороне клиента. В обоих случаях может появиться довольно неприятная ошибка:
Неправильный параметр набора ключей.

Неприятна данная ошибка тем, что у неё множество причин, и что бы её исправить, нужно провести целый комплекс мероприятий.

Постановка задачи

Решение проблемы

Источники:

https://itpen. ru/podpis-oshibka-0x80090010-otkazano-v-dostupe-kriptopro-reshenie/

https://phocs. ru/nepravilnyi-zaregistrirovannyi-nabor-klyuchei-kod-oshibki-0x8009001a/

Решение проблем с подключением скзи «Континент-ап»

Главная > Решение

Информация о документе
Дата добавления:
Размер:
Доступные форматы для скачивания:

Решение проблем с подключением СКЗИ «Континент-АП»

1. «Ошибка 721» Удаленный компьютер не отвечает….……………….…….……. …. 2

2. «Ошибка 628» Подключение было закрыто……………….……….…………..……….2

3. «Ошибка 629» Подключение было закрыто удаленным компьютером……….…..….2

4. «Ошибка 735» Запрошенный адрес был отвергнут сервером ………..…..….…….….3

5. «Ошибка 703» Подключению требуются некоторые данные от пользователя, но приложение не допускает взаимодействия с пользователем..……………..………….….4

6. «Ошибка 734» Протокол управления PPP-связью был прерван.………………….…..4

7. «Ошибка» Сервер отказал в доступе пользователю. Причина отказа многократный вход пользователя запрещен ……..…………………………………………….………. …4

8. «Ошибка» подписи ключа 0x8009001D (Библиотека поставщика проинициализирована неправильно) ……………………………………………………. 4

9. «Ошибка» подписи ключа 0x80090019 (Набор ключей не определен) ………….…. 5

10. «Ошибка» подписи ключа 0x8009001F (Неправильный параметр набора ключей).…………………………………………………………………….………………. 5

11. «Ошибка» подписи ключа 0x00000002 (Не удается найти указанный файл)………5

12. Сервер отказал в доступе пользователю. Причина отказа: вход пользователя заблокирован. 5

13. Нарушена целостность файлов. Обратитесь к системному администратору………..5

14. «Ошибка 850» На компьютере не установлен тип протокола EAP, необходимый для проверки подлинности подключения удаленного доступа. 5

15. «Ошибка» Вставьте ключевой носитель. Набор ключей не существует……..………5

16. «Ошибка» Вставьте ключевой носитель (Поле «устройства» пустое)……………….6

19. Сервер отказал в доступе пользователю «Client-Cert not found» ……………. ….7

20. «Ошибка» При попытке установить соединение появляется сообщение: «Нарушена целостность файлов Абонентского пункта. Обратитесь к системному администратору»……………………………………………………………………. …….17

Абонентский пункт позволяет устанавливать удаленные защищенные соединения посредством эмулятора модема Continent 3 PPP Adapter. При подключении абонентского пункта Континент-АП могут появляться сообщения об ошибках, перечисленные ниже:

«Ошибка 721» Удаленный компьютер не отвечает (см. рис. 1).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

1.1 Возможно, у Вас отсутствует подключение к Интернету.

1.2 Какие-либо программы блокируют порты. Отключите антивирус, брандмауэр.

1.3 Удалите, если установлен, межсетевой экран, идущий с программой Континент-АП.

1.4. Если вы используете проводной Интернет, возможно, провайдер заблокировал порты, необходимые для работы программы Континент-АП. Для проверки установите соединение с Интернетом через usb-модем.

Если Интернет работает, убедитесь, что Континент-АП настроен в соответствии с требованиями разделов « Настройка дополнительного IP-адреса сервера доступа » (стр. 7) и « Подключение к серверу » (стр. 14) в документе « Руководство пользователя по установке и настройке СКЗИ «Континент-АП» версии 3.6 » размещенном на сайте

2. «Ошибка 628» Подключение было закрыто.

3. «Ошибка 629» Подключение было закрыто удаленным компьютером.

4. «Ошибка 735» Запрошенный адрес был отвергнут сервером.

Данная ошибка возникает, когда в свойствах протокола TCP/IP пользователь прописывает вручную IP-адрес, в то время когда сервер должен выдавать их автоматически. Чтобы исправить данную ошибку, необходимо зайти в настройки подключения Континент-АП. (см. рис. 2).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Во вкладке «Сеть», выделить строку «Протокол Интернета TCP/IP» и нажать кнопку «Свойства» (см. рис. 3).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

В открывшемся окне (см. рис. 4) поставить следующие переключатели:

«Получить IP-адрес автоматически»;

«Получить адрес DNS-сервера автоматически».

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

5. «Ошибка 703» Подключению требуются некоторые данные от пользователя, но приложение не допускает взаимодействия с пользователем.

Зайти в настройки Континент-АП — на закладке «безопасность» кнопку «параметры», кнопка — «свойства», «сбросить запомненный сертификат».

6. «Ошибка 734» Протокол управления PPP-связью был прерван.

6.1 Ориентироваться на ошибку, которая появляется до этой.

6.2 Проверить системную дату.

7. «Ошибка» Сервер отказал в доступе пользователю. Причина отказа многократный вход пользователя запрещен.

Подождать несколько минут и заново установить соединение, если соединение не установилось позвонить в РСБИ вашего УФК.

8. «Ошибка» подписи ключа 0x8009001D (Библиотека поставщика проинициализирована неправильно).

Истек срок действия лицензии СКЗИ КриптоПро.

9. «Ошибка» подписи ключа 0x80090019 (Набор ключей не определен).

9.1 Удалить запомненные пароли (Панель Управления=> КриптоПро => Сервис => Удалить запомненные пароли).

9.2 Возможно, истек срок действия сертификата. Проверьте, срок действия, открыв файл user.cer.

10. «Ошибка» подписи ключа 0x8009001F (Неправильный параметр набора ключей).

Установить новую версию Континент-АП.

11. «Ошибка» подписи ключа 0x00000002 (Не удается найти указанный файл).

Установить новую версию Континент-АП.

12. Сервер отказал в доступе пользователю. Причина отказа: «Вход пользователя заблокирован».

Вас заблокировали на сервере УФК. Позвоните в отдел РСБИ и узнайте причину блокировки.

13. Нарушена целостность файлов. Обратитесь к системному администратору.

Необходимо “исправить” программу Континент-АП через Панель Управления=> Установка и удаление программ, или установить новую версию Континент-АП.

14. «Ошибка 850» На компьютере не установлен тип протокола EAP, необходимый для проверки подлинности подключения удаленного доступа.

Необходимо “исправить” программу Континент-АП через Панель Управления=> Установка и удаление программ, или установить новую версию Континент-АП.

15. «Ошибка» Вставьте ключевой носитель. Набор ключей не существует.

15.1 Убедитесь, что носитель информации с ключом Континент вставлен.

15.2 При установке соединения на этапе выбора сертификата убедитесь, что выбран правильный сертификат.

15.1.3 Убедитесь, что КриптоПро видит данный ключ.

16. «Ошибка» Вставьте ключевой носитель (Поле «устройства» пустое).

Убедитесь, что носитель информации с ключом Континент вставлен;

Откройте КриптоПро и, на вкладке «Оборудование», выберите «Настроить считыватели»;

В поле «Установлены следующие считыватели» удалите все считыватели, выбирая их по очереди и нажимая кнопку «Удалить»;

Появится окно мастера установки считывателя. Нажмите «Далее»;

На следующем шаге мастера установки считывателя в поле «Производители» выберите «Все производители». А в списке «Доступные считыватели» выберите «Все съемные диски». Нажмите кнопку «Далее»;

В следующем окне нажмите кнопку «Далее»;

В появившемся окне нажмите «Готово»;

Попытайтесь заново установить соединение.

17. «Ошибка» Пропала пиктограмма, расположенная в трее.

17.1 Зайдите «Пуск» => «Все программы» => «Код безопасности» => «Абонентский пункт Континент» и выберите «Программа управления».

17.2 Если пиктограмма не появилась, нажмите правую кнопку мыши на панель задач Windows (либо нажмите ctrl +alt + delete) и выберите «Диспетчер задач».

Перейдите на вкладку «Процессы» и в списке выберите «AP_Mgr.exe» и нажмите кнопку «Завершить процесс».

Затем повторите пункт 17.1.

18. Сервер отказал в доступе пользователю «Неверный тип использования ключа».

18.1 Переустановить сертификат, предварительно очистив в КриптоПро «запомненные пароли». Проверить работу.

18.2 Необходимо “исправить” программу Континент-АП через Панель Управления=> Установка и удаление программ, или установить новую версию Континент-АП.

18.3 Переустановить Континент-АП (перезагрузить компьютер). Установить заново сертификат.

18.4 Переустановить сначала КриптоПро (желательно через cspclean.exe ), потом Континент-АП (перезагрузить компьютер). Установить заново сертификаты.

19. Сервер отказал в доступе пользователю. «Client-Cert not found» (см. рис. 5).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Решение: Проверьте срок действия лицензии на СКЗИ «КриптоПро» версии 3.6. Для этого откройте меню Пуск => Программы => Крипто-Про => Управление лицензиями КриптоПро PKI (см. рис. 6).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Выберите пункт меню «КриптоПро CSP». В правой части окна «Управление лицензиями КриптоПро PKI» указан срок действия лицензии (см. рис. 7).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Если срок действия лицензии истек, щелкните правой кнопкой мыши по строке меню «КриптоПро CSP», выберите пункт строку меню «Все задачи => Ввести серийный номер» (см. рис. 8). Введите серийный номер лицензии, полученный в органе ФК.

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Если срок действия лицензии неограничен, закройте окно «Управление лицензиями КриптоПро PKI» и попробуйте установить соединение Континент-АП. Если проблема осталась, то выполните следующие действия.

Требуется удаление сертификата Континент-АП из настроек компьютера и повторная установка этого сертификата. Для этого вызовите меню Континент-АП, кликнув правой кнопкой мыши по значку Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключейв правом нижнем углу экрана.

В меню «Настройка аутентификации» активируйте команду «Континент-АП» (см.рис.9).Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

На экране появится окно «Континент-АП». Нажмите кнопку «Сбросить запомненный сертификат», нажмите кнопку «ОК» (см. рис. 10).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Запустите программу certmgr.msc из папки «Утилиты», входящей в состав дистрибутива «Континент-АП 3.6 с поддержкой Windows7 Дистрибутив и инструкция пользователя». На экране появится окно «Сертификаты». Откройте список «Сертификаты – текущий пользователь», затем список «Личные», затем список «Сертификаты» (см. рис. 11).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей
Рис.11

Удалите все сертификаты, у которых в графе «Кем выдан» указано «Сервер доступа УФК» или «Сервер доступа ОФК» (см. рис. 12). Закройте окно «Сертификаты».

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Вызовите меню Континент-АП, кликнув правой кнопкой мыши по значку Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключейв правом нижнем углу экрана.

В меню «Сертификаты» активируйте команду «Установить сертификат пользователя» (см. рис. 13).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

На экране появится окно «Открыть». Выберите файл user.cer и нажмите кнопку «Открыть» (см. рис.14). Файл user.cer может находиться на дискете или флэш-носителе.

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

На экране появится окно «Континент-АП» с предложением «Выберите ключевой контейнер сертификата пользователя». Выберите нужный ключевой контейнер и нажмите кнопку «ОК» (см. рис. 15). Обычно, начальные символы имени ключевого контейнера совпадают с ИНН организации.

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

В случае появления на экране сообщения, как на рисунке 16, нажмите кнопку «Да, автоматически» (см. рис. 16). Это сообщение не появится при повторной установке сертификата.

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Нажмите кнопку «ОК» (см. рис. 18).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Попробуйте установить соединение Континент-АП. Если проблема осталась, переустановите Континент-АП. Для этого откройте меню «Пуск => Настройка => Панель управления» (см. рис. 19).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Откройте ярлык «Установка и удаление программ» (см. рис. 20).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Найдите строку «Континент-АП» в списке установленных программ и нажмите кнопку «Изменить» (см. рис. 21).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

На экране появится окно «Континент-АП». Нажмите кнопку «Далее» (см. рис. 22).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Установите отметку в поле «Исправить». Нажмите кнопку «Далее» (см. рис. 23).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Нажмите кнопку «Установить» (см. рис. 24). Дождитесь окончания установки Континент-АП. Это может занять несколько минут.

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей
Рис. 24
Нажмите Кнопку «Готово» (см. рис. 25).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Для перезагрузки компьютера нажмите кнопку «ДА» (см. рис. 26).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

После перезагрузки компьютера попробуйте установить соединение Континент-АП.

20. «Ошибка» При попытке установить соединение появляется сообщение « Нарушена целостность файлов Абонентского пункта. Обратитесь к системному администратору » (см. рис. 27).

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Запустите файл start.bat из папки setup, которая находится в архиве с дистрибутивом Континент-АП. Попробуйте установить соединение. Если не соединяется, удалите Континент-АП и установите Континент-АП версии 3.6 в соответствии с документом «Руководство пользователя по установке и настройке СКЗИ Континент-АП 3.6.doc».

Источник

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Описаны типичные проблемы в работе с Континентом-АП и способы их решения.


1) Ошибка подписи ключа 0x8009001F (Неправильный параметр набора ключей.)

Для решения проблемы нужно:

а) Удалить запомненные пароли Крипто-Про.
б) Переустановить программу Континент-АП.

2) Сервер отказал в доступе пользователю. Причина отказа многократный вход пользователя запрещен.

Для решения проблемы нужно:

а) Если используется одновременное соединение на нескольких компьютерах с помощью одного ключа, то необходимо обращаться к администратору сервера доступа для того, чтобы на сервере включили возможность одновременного подключения (если администратор это допускает).

б) Если не используется одновременное соединение на нескольких компьютерах, то нужно просто подождать некоторое время между попытками соединения (несколько минут).

3) Ошибка 703: Подключению требуются некоторые данные от пользователя, но приложение не допускает взаимодействия с пользователем».

4) Ошибка 735 Запрошенный адрес был отвергнут сервером.

Ошибка возникает, если в свойствах протокола TCP/IP пользователь прописывает вручную IP-адрес, в то время когда сервер должен выдавать их автоматически. Необходимо зайти в настройки подключения Континент-АП. Во вкладке «Сеть», выделить строку «Протокол Интернета TCP/IP» и нажать кнопку «Свойства». В открывшемся окне поставить следующие переключатели:

«Получить IP-адрес автоматически»;
«Получить адрес DNS-сервера автоматически».

5) Ошибка 721 Удаленный компьютер не отвечает.

Эта ошибка означает что ваш компьютер “видит” сервер, но не получает от него ответов. Наиболее частой причиной является наличие на Вашей машине установленного firewall, то есть сетевого экрана, который не дает получать пакеты от сервера. Эта ошибка также может указывать на аппаратные неисправности вашего компьютера, либо удаленного сервера.

Для решения проблемы нужно:

а) Отключить службу «Брандмауэр Windows/Общий доступ к Интернету (ICS)».

б)Добавьте в разрешения антивирусу сам Континент-АП.
Возможно проверить работают ли используемые порты. Проверить можно с помощью команды telnet с указанием порта.
6) Сервер отказал в доступе. нет свободных ip адресов.

Необходимо обращаться к администратору сервера доступа.

7) Ошибка 629 подключение было закрыто удаленным компьютером.

Такой тип ошибки возникает, когда отсутствует связь между вашим компьютером и сервером доступа.

Возможные причины.
а) Нет доступа в интернет.
б) В настройках АП Континент не правильно указан IP адрес сервера доступа.
в) Закрыты порты UDP/4433 и UDP/7500.

Континент обрубает все соединения (например, пропадают сетевые диски после подключения континента).
Для решения проблемы нужно нажать правой кнопкой на значок Континента в трее и убирать галку «Запрещать незащищенные соединения».

Он был верным знаменосцем. Сжимал в руках древко, не отвлекаясь ничем, даже сменой цветов на полотнище. Станислав Ежи Лец
ещё >>

Источник

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

В событиях на ЦР видно:

Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 14:14:22
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка %2 при обращении к CSP: %1

Так как машина на которой стоит АРМ удаленная, АРМ был установлен также на машину ЦР, ошибка осталась но в событиях ЦР изменилась:

Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 17:37:30
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка 0x80090019 при обращении к CSP: Набор ключей не определен.

==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.

Меня смущает то, что когда в АРМ заходишь вразделы Пользователи, Сертификаты и пр. он выдает окошко с просьбой вставить соответсвующий ключевой носитель (но пароль не спрашивает ибо он запомнен), а когда заходишь в раздел Центр сертификации и выбираешь правой кнопкой любой из пунктов, то ошибка вываливается сразу, даже не спрашивая контейнеров ключей.

Однако если удалить сертификат веб-сервера ЦР из хранилища и перегрузится, то такой ошибки уже нет, если опять прописать туда, то опять появляется. Создание нового контейнера и сертификата веб-сервера ЦР не приводит к улучшению.

На службе IISAdmin стоит галочка разрешить доступ к рабочему столу. Таймауты в CSP стоят по 60 сек.

ООО ТК «Контакт», Воронеж. Договора пока нет, потому что проблем не возникало до этого 🙂

>Версия и билд CSP?
3.0.3293 КС1

>Способ хранения ключей?
Дисковод

>версия ОС, какие обновления?
Windows2000 Server, SP4, 5.0.2195, все обновления

>версия IE, какие обновления?
6.0.2800.1106, SP1, все обновления

>Используется MSDE или SQL-сервер?
MSDE, и клиентская часть MSSQL

Источник

Попытка установить соединение была безуспешной, т. к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Алгоритм замены серийного номера сертификата:

с помощью менеджера сертификатов получить серийный номер сертификата, при этом его необходимо отредактировать и удалить все пробелы между буквами и цифрами. К примеру, номер «61 12 92 74 00 00 00 00 03 fb» после редактирования должен выглядеть: «611292740000000003fb»; найти в конфигурационных файлах SmevConfig. local. xml и web. config (см. п. 2.1) с помощью функции поиска серийный номер заменяемого сертификата; заменить старое значение на новое.

Если сертификат с данным или похожим серийным номером существует в хранилище, то следует тщательно сверить его номер с номерами, указанными в конфигурационных файлах SmevConfig. local. xml и web. config. Для этого необходимо провести в данных файлах поиск параметров, содержащих слово «certificate», и проверить все значения найденных параметров.

Данная ошибка может также возникать по причине отсутствия у службы EOS_Cryptographic_Service прав на работу с хранилищем сертификатов. Чтобы предоставить права службе, необходимо:

открыть окно «Службы» (Панель Управления->Администрирование->Службы или через опцию «Выполнить» (сочетание клавиш Windows+R), указав команду «services. msc»); найти службу с именем «EOS cryptographic service»; открыть свойства службы (правая кнопка мыши-> свойства); на вкладке «Вход в систему» активировать опцию «С учетной записью» и ввести в соответствующие поля ввода имя пользователя с административными правами и его пароль; применить настройки и перезапустить службу.

Сертификат с указанным серийным номером неактивен и не может быть использован для подписания по причине окончания его срока годности.

Необходимо произвести поиск просроченного сертификата по указанному в тексте ошибки серийному номеру (см. п. 2.2). Просроченный сертификат следует удалить из хранилища, а вместо него установить новый – активный сертификат. Затем заменить старый серийный номер на новый в конфигурационных файлах (см. п. 1.3.1).

Если в качестве дня просрочки сертификата фигурирует давно прошедшая дата (например, 30.12.1899), то необходимо проверить версии используемого для подписания ПО (Пуск->Панель управления->Программы и компоненты): КАРМА (CARMA) должна быть строго версии 2.92.7, КриптоПро CSP – 3.6.6497. В случае несоответствия текущих версий продуктов рекомендуемым номерам версий, следует переустановить соответствующие программы.

Иногда проблема может быть вызвана конфликтом на при ссылке на одноимённые сертификаты. Таким образом, в случае, если текущий сертификат и вся его цепочка является актуальной и не содержит ошибок, следует обратить внимание на сертификаты в хранилище, имена которых совпадают с одним из сертификатов цепочки, среди них может быть просроченный. Такие сертификаты также следует удалить из всех хранилищ, где они установлены (особенно из доверенных корневых).

1.3.3. Не удалось выполнить подписание, по следующей причине: ERROR. Неправильный параметр набора ключей. (0x8009001f)

Сертификатом, используемым в качестве ЭП, не удается подписать файл по причине его неправильной установк. Возможно, для контейнера сертификата был установлен непустой пароль.

Необходимо заново установить сертификат (см. п. 2.3), предварительно удалив старый контейнер.

1.3.4. Не удалось выполнить подписание, по следующей причине: ERROR. Нет доступа к карте. Введен неправильный PIN-код. (0x8010006b)

Сертификатом, используемым в качестве ЭП, не удается подписать файл по причине неправильного установки сертификата.

Необходимо заново установить сертификат (см. п. 2.3).

1.3.5. Ошибки с указанием просроченного сертификата (когда предыдущие методы испробованы)

Возможно, в системе возникает ошибка по причине путаницы в конфигурационных файлах.

Проверить, не находится ли файл «SmevConfig. local. xml» сразу в двух в двух папках. Например:

C:Program Files (x86)EOSDeloServerDELOWebSMEV-RequestApp_Data

C:Program Files (x86)EOSDeloServerDELOWebSMEV-ReportsApp_Data

В них может быть прописан разный сертификат, в одном месте действующий, в другом просроченный. В Дело при отправке СМЭВ программа может находить файл конфигурации из некорректного источника и использовать просроченный сертификат.

Оставить актуальный файл.

1.3.6. Не удалось подписать данные! Сообщение об ошибке: ERROR Неправильный открытый ключ поставщика. (0x80090015)

Возможно, в КриптоПро присутствует несколько контейнеров одного и того же сертификата, причём для одного из них непустой пароль, что и приводит к ошибке.

Следует зайти в утилиту «КриптоПро CSP», на вкладке «Сервис» нажать кнопку «Удалить». С помощью кнопки «Обзор» выбрать контейнер в реестре, который следует удалить.

1.3.7. Не удалось подписать данные! Сообщение об ошибке: ERROR Отказано в доступе. (0x80090010)

Возможно, в КриптоПро присутствует несколько контейнеров одного и того же сертификата, один из которых содержит ошибку.

Следует зайти в утилиту «КриптоПро CSP», на вкладке «Сервис» нажать кнопку «Удалить». С помощью кнопки «Обзор» выбрать контейнеры проблемного сертификата в реестре, удалить их и попытаться заново правильно установить данный сертификат в контейнер (см. п. 2.3.).

1.3.8. Ошибка подписания на стороне клиента

Сервису подписания не удаётся подписать запрос.

Проверить работоспособность Кармы на сервере, включена ли в ней настройка «HTTP», доступен ли сервис SignRequestService. svc

1.3.9. Ошибка создания хэш-подписи (диспетчер ресурсов смарт-карт не выполнялся)

Сервису подписания не удаётся подписать запрос.

Проверить правильность установки сертификатов и соответствующих контейнеров в КриптоПро. Если все сертификаты установлены корректно и нет лишних контейнеров, которые следует удалить, то, возможно, проблема может быть решена переустановкой КАРМА.

1.3.10. SMEV-100024: При обработке запроса произошла ошибка: Сертификат ЭП-ОВ не зарегистрирован

Ошибка говорит о том, что сертификат ЭП-ОВ, которой подписан запрос, не зарегистрирована в СМЭВ.

Убедитесь, что в файле SmevConfig. local. xml прописан серийный номер актуального сертификата. Проверьте, зарегистрирована ли ЭП-ОВ в СМЭВ.

1.4. Ошибки сервиса конвертации

1.4.1. System. Runtime. Exception (0x80080005): Retrieving the COM class factory for component with CLSID <000209FF-0000-0000-C000-000000000046>failed due to the following error: 80080005 Server execution failed (Exception from HRESULT: 0x80080005 (CO_E_SERVER_EXEC_FAILURE))

Ошибка может быть зафиксирована в логах на стороне сервиса конвертирования. Проявляется в неудачных попытках конвертации файлов – возвращаются файлы в формате docx вместо ожидаемых. Вероятно, происходит в случаях, когда сервис конвертации установлен на удалённом компьютере и взаимодействие со службой осуществляется через сетевую папку.

Скорее всего процессу не хватает разрешений при обращении к конкретному COM-объекту. Алгоритм возможного решения проблемы:

Необходимо открыть окно «Настройка DCOM» (Панель Управления->Администрирование->Службы компонентов->Компьютеры->Мой компьютер->Настройка DCOM или через опцию «Выполнить» (сочетание клавиш Windows+R), указав команду «dcomcnfg» и далее по цепочке, начиная с «Службы компонентов»). В открывшемся списке имён библиотек следует найти приложение, которое вызывает ошибку (в случае службы конвертирования, это «Документ Microsoft Word 97–2003»). Если требуемый компонент отсутствует в списке, то, возможно, в списке указан его GUID вместо имени. GUID соответствующего компонента может быть найден в реестре (через опцию «Выполнить» (сочетание клавиш Windows+R), указав команду «regedit») по поиску ключа из текста ошибки – в данном случае это «000209FF-0000-0000-C000-000000000046». Например, найденный ключ в реестре будет располагаться по пути HKEY_CLASSES_ROOTAppID<00020906-0000-0000-C000-000000000046>, где в параметре «(Default)» будет указано имя искомого компонента. Открыть свойства компонента через контекстное меню, опция «Свойства». Необходимо убедиться, что это именно тот компонент, который вызывает ошибку, сравнив свойство «Код приложения» на вкладке «Общие» с GUID из ошибки – они должны совпадать. На вкладке «Безопасность» должны быть даны все необходимые разрешения для пользователя, от имени которого открывается документ. Дополнительно на вкладке «Удостоверение» следует указать данные пользователя с разрешениями, от имени которого будет запускаться компонент (желательно с правами администратора).

1.5. Другие ошибки

1.5.1. The operation has timed out

Время ожидания ответа службы истекло. Данная ошибка свидетельствует либо о медленной работе службы, либо об ошибках в конфигурационных файлах или службе подписания.

В первую очередь необходимо тщательно проверить web. config Плагина (см. п. 2.1). В частности, следует проверить, чтобы все файловые пути, указанные в конфиге (см. рис. 1.5.1.1), были корректны и не содержали лишних пробелов (например, сразу после знака кавычек)

Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей

Рисунок 1.5.1.1 – Примеры файловых путей из web. config Плагина

Данная ошибка может быть также вызвана проблемами с подписанием файлов. Необходимо попробовать подписать любой непустой файл используемым в приложении сертификатом с помощью интерфейса КАРМА. Если возникли проблемы, то следует перезапустить службу КАРМА (см. описание действий по поиску службы в конце п.1.3.1.) и попытаться снова. Если проблема повторяется, то необходимо связаться с ТП.

Если предыдущие варианты решения ошибки не подошли, то следует увеличить timeout для соответствующей привязки вызываемого сервиса. Для этого необходимо:

Источник

Содержание

  1. Проблема установки сертификата Континент АП
  2. КриптоПро CSP: сообщение «Набор ключей не определен» или «Набор ключей не существует»
  3. Криптопро код ошибки 0x8009001a
  4. Подпись ошибка 0x80090010 отказано в доступе КриптоПро – решение
  5. Ошибка подписи. CryptSignMessage: Отказано в доступе
  6. Проверяем контейнер
  7. Как подписать документы?
  8. Заключение
  9. Неправильный зарегистрированный набор ключей код ошибки 0x8009001a. АРМ ФСС ошибка: набор ключей не определен
  10. Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?
  11. Решение проблемы:
  12. КриптоПро не видит ключ: как исправить эту и другие ошибки в работе с ЭП
  13. Почему КриптоПро не видит ключ ЭЦП
  14. Ошибка КриптоПро «0x80090008»: указан неправильный алгоритм
  15. Удаление программы
  16. Установка актуального релиза
  17. КриптоПро 5.0
  18. КриптоПро PDF
  19. Техническое сопровождение
  20. КриптоПро вставлен другой носитель: как исправить
  21. Недостаточно прав для выполнения операции в КриптоПро
  22. Ошибка исполнения функции при подписании ЭЦП
  23. Ошибка при проверке цепочки сертификатов в КриптоПро

Проблема установки сертификата Континент АП

  • Сообщений: 4
  • Спасибо получено: 0
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • pfaizer
  • —>
  • Не в сети
  • Сообщений: 16
  • Спасибо получено: 0

DJMix27 пишет: Всем привет!
Возможно проблема уже решалась, но найти решение у меня не получилось, ткните носом пожалуйста.
При попытке установки сертификата доступа Континент АП (для работы с СУФД) появляется ошибка
«Ошибка работы с криптопровайдером 0х8009001А. Неправильный зарегистрированный набор ключей».

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Alex_04
  • —>
  • Не в сети
  • ТОФК
  • Сообщений: 1914
  • Репутация: 45
  • Спасибо получено: 295

DJMix27 пишет: «Ошибка работы с криптопровайдером 0х8009001А. Неправильный зарегистрированный набор ключей».

4 года назад на форуме «КриптоПро» было про что-то подобное: Windows 10 Неправильный зарегистрированный набор ключей . Тогда » defaber» так вылечил:

РЕШЕНИЕ:
В ветке: HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUSERS есть папки с SID пользователями, так вот владелец папки был другой пользователь, поэтому и не работало, несмотря на то, что права на папку были даны верно.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

КриптоПро CSP: сообщение «Набор ключей не определен» или «Набор ключей не существует»

При установке личного сертификата через КриптоПро CSP появляется сообщение «Набор ключей не определен» или «Набор ключей не существует».

Для решения данной проблемы следует выполнить следующие шаги:

1. В меню Пуск выберите пункт «КРИПТО-ПРО», запустите приложение «КриптоПро CSP».

2. Перейдите на вкладку «Сервис» и нажмите на кнопку «Удалить запомненные пароли». Отметьте пункт «Пользователя» и нажмите на кнопку ОК.

3. Нажмите «Просмотреть сертификаты в контейнере» – Обзор, в окне «Выбор ключевого контейнера» отметьте «Уникальные имена» и повторите установку сертификата. Если ключевой носитель – флэш-карта, необходимо просмотреть его содержимое. В корне носителя должна быть папка с шестью файлами с расширением .key.

4. Если ключевой носитель — ruToken или ruToken Lite, то следует переустановить драйвера и модуль поддержки. Для этого необходимо:

  • Отсоединить токен от компьютера (в момент отключения светодиод на токене не должен мигать).
  • Открыть меню «Пуск» > «Панель управления» > «Программы и компоненты».
  • В списке найти элемент «Rutoken Support Modules», «Rutoken Drivers» (либо «Драйверы Рутокен») и выбрать «Удалить».
  • Перезагрузить компьютер.

5. Сделать копию ключевого контейнера и выполнить установку сертификата с дубликата (см. Как скопировать контейнер/закрытую часть ключа?).

Остались вопросы?

Отдел технической поддержки

Источник

Криптопро код ошибки 0x8009001a

Подпись ошибка 0x80090010 отказано в доступе КриптоПро – решение

Сегодня разберем проблему с подписью в КриптоПро, а конкретнее строчку в отчете “ошибка 0x80090010 отказано в доступе”. Поговорим чем вызван этот сбой в СУФД, дадим общие рекомендации по обновлению программы. В конце статьи оставим инструкцию как же все такие подписать документы, если ключ просрочен, а отправить отчет нужно.

Ошибка подписи. CryptSignMessage: Отказано в доступе

Отправляясь тестировать контейнер первым делом получаем отчет с ошибкой вот такого содержания:

Ошибка 0x80090010 отказано в доступе

Для начала проверьте версию КриптоПРО CSP. Если версия стабильная и рабочая – оставляем, если помимо этого сбоя присутствую другие ошибки – версию программы лучше обновить на будущее.
Ошибка 0x80090010 отказано в доступе – означает что просрочена версия открытого или закрытого ключа. Создавая запрос на выдачу сертификата для генерации ключей, мы несём необходимые бумаги для выдачи подписи через несколько недель. Контроль будет осуществляться с даты создания запроса. Тут мы используем лайфхак, об этом ниже, а для начала мы протестируем контейнер.

Проверяем контейнер

Для проверки контейнера проделаем стандартные операции перечисленные ниже:

Проверка завершилась с ошибкой

Срок действия закрытого ключа истек

Срок действия закрытого ключа истек

Еще раз – ошибка подписи 0x80090010 всегда означает что истек срок действия закрытого ключа.

Как подписать документы?

Тут придется прибегнуть к маленькой хитрости, которая работала раньше во многих программах схожего типа – поменять системную дату на срок действия системного ключа:

Настройка даты и времени

После этого можно выдохнуть, заварить чашечку крепкого кофе… И начать готовить документы и оформлять заявку для оформления нового сертификата.

Заключение

Напишите нам в комментариях помогла ли вам данная инструкция побороть проблему отказа доступа в КриптоПро. Если статья была полезна – делитесь ссылками в соцсетях, так вы поможете другим пользователям с аналогичной проблемой. Задавайте другие вопросы о других программах, которые работают с ошибками или вызывают вопросы.

Евгений Загорский

IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.

Неправильный зарегистрированный набор ключей код ошибки 0x8009001a. АРМ ФСС ошибка: набор ключей не определен

При попытке погуглить информацию в интернете, решить проблему не удавалось. Большинство ссылок ведут на форумы, где обсуждаются проблемы связанные с крипто-приложениями, такими как крипто-про. Но тут дело не в этом, никаких программ не использовалось.

Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?

.Net framework cleanup tool
.Net framework repair tool

Но к сожалению эффекта так же не произошло.

Решение проблемы:

Очень надеемся, что данная статья поможет многим решить проблему (Неправильный зарегистрированный набор ключей,0x80070643) с Windows 8.1 без переустановки. Если у вас остались вопросы, пожалуйста, задайте их в комментариях.

Большое спасибо, Михаил, все сделали оперативно а главное понятно для меня. Так как мы с вами нашли общий язык. хотелось бы в дальнейшем так же продолжить связь именно с вами. Надеюсь на плодотворное сотрудничество.

От имени предприятия ГУП «Севастопольское авиационное предприятие» выражаем благодарность за профессионализм и оперативность вашей компании! Желаем вашей компании дальнейшего процветания!

Спасибо вам, Михаил, большое за помощь в оформлении. Очень квалифицированный сотрудник +5!

От лица компании «АКБ-Авто» и от себя лично выражаю Вам и всем сотрудникам вашей компании благодарность за продуктивную и качественную работу, чуткое отношение к требованиям клиента и оперативность в исполнении заказываемых работ.

Хочу поблагодарить консультанта Михаила за отличную работу, своевременные и полные консультации. Очень внимателен к проблемам клиента и вопросам, оперативное решение самых казалось бы для меня сложных ситуаций. Очень приятно работать с Михаилом. Теперь своим клиентам и знакомым буду рекомендовать Вашу компанию. Да и консультанты в тех. поддержке тоже очень вежливы, внимательны, помогли справится со сложной установкой ключа. Спасибо.

Левицкий Александр Константинович г. Самара

Личная благодарность консультанту Михаилу Владимировичу за оперативную консультацию и работу по ускоренному получению сертификата ЭП. В ходе предварительной консультации подбирается оптимальный набор индивидуальных услуг. Конечный результат получен незамедлительно.

Спасибо за оперативную работу и компетентную помощь! Консультацией остался очень доволен!

ООО «Эксперт Система» благодарит за оперативную работу консультанта Михаила! Желаем Вашей компании роста и процветания!

Спасибо консультанту, представившемуся Михаилом, за оперативность в работе с клиентами.

Пономарев Степан Геннадьевич

Большое спасибо консультанту Михаилу, за оказанную помощь в получении ЭЦП. За оперативную работу и консультирование по вопросам возникающим в процессе оформления.

Компания в лице консультанта Михаила делает невозможное! Ускорение аккредитации менее чем за 1 час! Оплата по факту оказания услуги. Думал, такого не бывает. С полной ответственностью могу советовать связываться с Центром выдачи электронных подписей.

Для решения данной проблемы следует выполнить следующие шаги:

1. Выбрать меню «Пуск» > «Панель управления» > «КриптоПро CSP». Перейти на вкладку «Сервис» и нажать на кнопку «Удалить запомненные пароли». Отметить пункт «Пользователя» и нажать на кнопку «ОК».

2. В окне «Выбор ключевого контейнера» поставить переключатель «Уникальные имена» и повторить выбор контейнера.

3. Если ключевой носитель — дискета или флэш-карта, необходимо просмотреть его содержимое. В корне носителя должна быть папка с шестью файлами с расширением. key.

4. Если ключевой носитель — ruToken или ruToken Lite, то следует переустановить драйвера и модуль поддержки. Для этого необходимо:

5. Сделать копию ключевого контейнера и выполнить установку сертификата с дубликата (см. Как скопировать контейнер с сертификатом на другой носитель?).

Если предложенное решение не помогло устранить ошибку, то необходимо обратиться в службу технической поддержки по адресу [email protected], указав следующие данные:

Чтобы открыть данное окно, следует перейти в меню «Пуск» > «Панель управления» > «Крипто Про CSP» > «Оборудование» > «Настроить типы носителей», выбрать «Rutoken» (либо «Rutoken lite») > «Свойства» > «Информация».

Создание электронной подписи на платформе 1С с помощью СКЗИ КриптоПро CSP можно выполнять как на стороне сервера, так и на стороне клиента. В обоих случаях может появиться довольно неприятная ошибка:
Неправильный параметр набора ключей.

Неприятна данная ошибка тем, что у неё множество причин, и что бы её исправить, нужно провести целый комплекс мероприятий.

Источник

КриптоПро не видит ключ: как исправить эту и другие ошибки в работе с ЭП

Для корректной работы с электронной подписью (ЭП, ранее — ЭЦП) достаточно соблюсти четыре условия. Во-первых, приобрести средства ЭП в удостоверяющем центре (УЦ). Во-вторых, установить лицензионное средство криптозащиты (СКЗИ, криптопровайдер). В-третьих, загрузить на рабочее место личный, промежуточный и корневой сертификаты. И, в-четвертых, настроить браузер для подписания электронных файлов на веб-порталах. Если хотя бы одно из условий не соблюдено, в процессе использования ЭП возникают различные ошибки: КриптоПро не видит ключ, недействительный сертификат, отсутствие ключа в хранилище и другие. Самые распространенные сбои и способы их устранения рассмотрим в статье.

Почему КриптоПро не видит ключ ЭЦП

КриптоПро CSP — самый популярный криптографический софт на российском рынке. Большинство торговых площадок и автоматизированных госсистем работают только с этим криптопровайдером. Программное обеспечение распространяется на безвозмездной основе разработчиком и через дистрибьюторскую сеть, а за лицензию придется платить. При покупке квалифицированной ЭП (КЭП) клиенты получают набор средств:

  • закрытый и открытый ключи;
  • сертификат ключа проверки электронной подписи (СКПЭП, СЭП) — привязан к открытому ключу;
  • физический носитель, на который записываются все перечисленные средства.

Каждый раз, когда владельцу СЭП нужно подписать цифровой файл, он подключает USB-носитель к ПК и вводит пароль (двухфакторная идентификация). Возможен и другой путь — записать все компоненты в реестр ПК и пользоваться ими без физического криптоключа. Второй способ не рекомендован, так как считается небезопасным.

В работе с ЭП возникают такие ситуации, когда пользователь пытается заверить документ в интернете или в специальном приложении, открывает список ключей и не видит СЭП. Проблема может быть спровоцирована следующими факторами:

Ошибка Решение
Не подключен носитель Подсоединить токен к ПК через USB-порт (об успешном подключении свидетельствует зеленый индикатор на флешке)
Не установлено СКЗИ Установить криптопровайдер, следуя инструкции
Не установлен драйвер носителя Чтобы компьютер «увидел» устройство, нужно установить специальную утилиту. Как правило, она предоставляется удостоверяющим центром при выдаче подписи. Руководство по инсталляции можно найти на портале разработчика
На ПК не загружены сертификаты Установить корневой, промежуточный и личный сертификаты (как это сделать, рассмотрим далее)
Не установлен плагин для браузера Скачать ПО на сайте www.cryptopro.ru и установить по инструкции

Ошибка КриптоПро «0x80090008»: указан неправильный алгоритм

Если версия CryptoPro не соответствует новым условиям сдачи отчетности, пользователь увидит на экране уведомление с кодом ошибки «0x80090008». Это значит, что на ПК установлен устаревший релиз программы, и его необходимо обновить. Для начала проверьте сертификат:

  1. В меню «Пуск» выберите пункт «Все программы» → «КриптоПро».
  2. Откройте «КриптоПро CSP сервис» и выберите команду «Протестировать».
  3. Нажмите кнопку «По сертификату» и укажите нужный файл.

При наличии ошибки в СЭП система на нее укажет.

Удаление программы

Если никаких проблем не обнаружено, ошибку неправильного алгоритма поможет устранить переустановка СКЗИ:

  1. Найти криптопровайдер через «Пуск».
  2. Выбрать команду «Удалить».
  3. Перезагрузить ПК.

Чтобы новая программа работала корректно, перед установкой требуется удалить все следы старой версии с помощью фирменной утилиты cspclean от CryptoPro:

  1. Запустить файл cspclean.exe на рабочем столе.
  2. Подтвердить удаление продукта клавишей «ДА».
  3. Перезагрузить компьютер.

Контейнеры, сохраненные в реестре, удалятся автоматически.

Установка актуального релиза

Дистрибутивы для скачивания СКЗИ размещены в разделе «Продукты» и доступны для скачивания всем авторизованным пользователям. Создание ЛК занимает не более 5 минут:

  1. Нажмите кнопку «Регистрация».
  2. Введите личные данные и подтвердите согласие на доступ к персональной информации.

В каталоге продуктов выберите версию криптопровайдера с учетом ОС, загрузите установщик на ПК, запустите его и следуйте подсказкам. При установке ПО требуется указать серийный номер лицензии (если срок действия еще не истек). Эту информацию можно уточнить в приложении к договору.

По отзывам пользователей, переустановка ПК почти всегда помогает в устранении ошибки «0x80090008». Если проблема не решена, рекомендуется написать в техподдержку разработчика или обратиться к официальному дистрибьютору, у которого вы купили лицензию.

КриптоПро 5.0

КриптоПро PDF

Техническое сопровождение

КриптоПро вставлен другой носитель: как исправить

Ошибка «Вставьте ключевой носитель» или «Вставлен другой носитель» возникает при попытке подписания электронного документа. Сначала следует убедиться, что USB-токен с сертификатом подключен к ПК (в качестве носителя используются защищенные криптоключи или обычные флешки). Токен должен соответствовать сертификату. Если носитель подсоединен к ПК, но сообщение об ошибке все равно появляется, следует переустановить сертификат через CryptoPro:

  1. Открыть меню «Пуск» → «Панель управления» → «КриптоПро CSP».
  2. Зайти во вкладку «Сервис» → «Посмотреть сертификаты в контейнере» → «Обзор».

  • Выбрать из списка ключевой контейнер, нажать ОК и «Далее».
  • Нажать «Установить». Если появится предупреждение о том, что сертификат уже присутствует в хранилище, дать согласие на его замену.

  • Дождаться загрузки сертификата в хранилище «Личное» и нажать ОК.
  • После переустановки рекомендуется перезагрузить ПК. Для первичной инсталляции СКПЭП применим аналогичный алгоритм действий.

    1. Задай вопрос нашему специалисту в конце статьи.
    2. Получи подробную консультацию и полное описание нюансов!
    3. Или найди уже готовый ответ в комментариях наших читателей.

    Недостаточно прав для выполнения операции в КриптоПро

    Ошибка сопровождается уведомлением «У компонента недостаточно прав для доступа к сертификатам». Чаще всего возникает в двух ситуациях:

    1. При попытке авторизоваться в ЛК, например, на портале контролирующего органа, куда нужно отправить отчет (при нажатии на пиктограмму «Вход по сертификату»).
    2. При проверке КЭП (при нажатии кнопки «Проверить» в разделе «Помощь»).

    Если система уведомила пользователя, что у него недостаточно прав для выполнения операции в КриптоПро, проблема может иметь следующие причины:

    • не установлен КриптоПро ЭЦП Browser plug-in 2.0 (или стоит его старая сборка);
    • сайт, куда пытается войти клиент, не добавлен в каталог доверенных (надежных) ресурсов.

    Browser plug-in — обязательный компонент для применения ЭП на веб-страницах. Он расширяет возможности криптопровайдера, позволяет формировать и проверять электронную подпись на интернет-ресурсах. Без этой программы, КриптоПро не сможет связаться с веб-страницей и реализовать на ней функции КЭП. Пользователи ничего не платят за этот модуль, он размещен в свободном доступе на сайте и совместим с любыми операционными системами. Как установить:

    1. Сохранить дистрибутив cadesplugin.exe.
    2. Запустить инсталляцию, кликнув по значку установщика.
    3. Разрешить программе внесение изменений клавишей «Да».

    Появится уведомление об успешном результате. Нажмите ОК и перезагрузите браузер, чтобы коррективы вступили в силу.

    Для работы с сертификатом ЭП рекомендуется использовать браузер Microsoft Internet Explorer (MIE) — для него не требуются дополнительные настройки. На завершающем этапе необходимо добавить сайт в список доверенных:

    1. Через меню «Пуск» (CTRL+ESC) найти продукт КриптоПро CSP.
    2. Зайти в настройки плагина ЭЦП Browser.
    3. В разделе «Список доверенных узлов» ввести адреса всех ресурсов, принимающих ваш сертификат.

    Если после перезагрузки ПК проблема не решена, рекомендуется удалить плагин и выполнить повторную инсталляцию.

    Ошибка исполнения функции при подписании ЭЦП

    Ошибка свидетельствует об отсутствии лицензии на продукт КриптоПро CSP. Зачастую она возникает при попытке подписать документ на торговых площадках или в информационных системах (ЕГАИС, ЖКХ, Росреестр, Госуслуги и др.).

    Лицензия на криптопровайдер может быть привязана к АРМ или встроена в сертификат ЭП. В первом случае необходимо убедиться, что лицензия введена на рабочем ПК и актуальна. Срок действия можно уточнить на вкладке «Общее» в меню запущенного криптопровайдера. Если он истек, необходимо обратиться к разработчику или официальному дистрибьютору для продления или покупки новой лицензии. Во втором случае ошибка исполнения функции при подписании ЭЦП возникает при отсутствии установленного на ПК сертификата.

    Ошибка при проверке цепочки сертификатов в КриптоПро

    Юридически значимую документацию можно заверить электронной подписью только в том случае, если СКЗИ подтвердит надежность (доверенность) сертификата. Для этого программа проверяет цепочку сертификации (ЦС), состоящую из таких элементов:

    • корневой сертификат от Минкомсвязи (начальное звено цепи), выданный УЦ;
    • промежуточный сертификат УЦ (ПС);
    • СКПЭП.

    Правильно построенная ЦС подтверждает, что СКПЭП (конечное звено) имеет доверенный путь (от Минкомсвязи к УЦ, от УЦ к пользователю). Ошибка при проверке цепочки сертификатов в КриптоПро свидетельствует о том, что минимум один элемент в этой системе искажен. ЭП при этом считается недействительной и не принимается для подписания файлов.

    Причина Решение
    Один из сертификатов поврежден или некорректно установлен Переустановить сертификат
    Неправильно установлено СКЗИ (или стоит устаревшая версия) Удалить и заново установить программу
    Устаревшая версия веб-браузера Обновить браузер
    На ПК не актуализированы дата и время Указать в настройках компьютера правильные значения

    На первой причине остановимся подробнее. Чтобы проверить состояние ЦС, откройте папку криптопровайдера, выберите раздел «Сертификаты» → «Личное». Если цепочка нарушена, во вкладке «Общее» будет сообщение о том, что СКПЭП не удалось проверить на надежность.

    Устранение сбоя следует начинать с верхнего звена (КС). Файл предоставляется клиенту в удостоверяющем центре вместе с остальными средствами: ключи, СКПЭП, промежуточный сертификат и физический носитель. Кроме того, его можно скачать бесплатно на сайте Казначейства (КС для всех одинаковый). Как загрузить КС:

    1. Открыть документ от Минкомсвязи на компьютере.
    2. В разделе «Общее» выбрать команду установки.
    3. Установить галочку напротив пункта «Поместить в хранилище».
    4. Из списка выбрать папку «Доверенные корневые центры».
    5. Нажать «Далее» — появится уведомление об успешном импорте.

    По завершении процедуры рекомендуется перезагрузить ПК. Если сбой не устранен, переходим к промежуточному компоненту. При утере ПС его можно загрузить с официального сайта УЦ. Процесс установки такой же, как и для КС, но в качестве хранилища должно быть указано «Промежуточные центры».

    После перезагрузки ПК снова зайдите в папку «Личное» и откройте СКПЭП. Если во вкладке «Путь сертификации» будет статус «Сертификат действителен» — ошибка устранена.

    Источник

    Содержание

    1. Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро
    2. Работа с СКЗИ и аппаратными ключевыми носителями в Linux
    3. Причина 1
    4. Причина 2
    5. Причина 3
    6. Причина 4
    7. Руководство по настройке
    8. Установка драйверов и ПО для работы с JaCarta PKI
    9. Установка пакетов КриптоПро CSP
    10. Настройка и диагностика КриптоПро CSP
    11. Работа с токеном JaCarta PKI
    12. Программное извлечение ключей
    13. Результаты
    14. Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро
    15. Подпись ошибка 0x80090010 отказано в доступе КриптоПро; решение
    16. Криптопро код ошибки 0x8009001a
    17. Подпись ошибка 0x80090010 отказано в доступе КриптоПро – решение
    18. Ошибка подписи. CryptSignMessage: Отказано в доступе
    19. Проверяем контейнер
    20. Как подписать документы?
    21. Заключение
    22. Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?
    23. Решение проблемы:

    Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро

    Создается контейнер так (обработка ошибок опущена):

    Пользователь Alice (админ):

    HCRYPTPROV prov;
    ::CryptAcquireContext(&prov, “keyset”, CP_DEF_PROV, CRYPT_NEWKEYSET | CRYPT_MACHINE_KEYSET);
    HCRYPTKEY key;
    ::CryptGenKey(prov, AT_KEYEXCHANGE, CRYPT_EXPORTABLE, &key);
    // все ок, закрывает хэндлы

    Пользователь Bob (админ):

    И еще вопрос.
    Если я создам CRYPT_MACHINE_KEYSET и явно разрешу доступ к нему другому пользователю-не-админу прочитав, изменив и установив DACL кейсета при помощи CryptSetProvParam(…,PP_KEYSET_SEC_DESCR, …), то сможет ли этот пользователь-не-админ открыть этот кейсет? MSDN говорит, что это возможно для MS провайдеров. Возможно ли это для КриптоПро?

    30.09.2003 14:06:30 Василий

    Я проверю приведённый пример.

    «СКЗИ КриптоПРО CSP функционирует в следующих операционных системах
    (ОС):
    • Windows 95 с установленным ПО MS Internet Explorer версии 5.0 и выше;
    • Windows 95 OSR2 с установленным ПО MS Internet Explorer версии 5.0 и
    выше;
    • Windows 98 с установленным ПО MS Internet Explorer версии 5.0 и выше;
    • Windows 98 SE с установленным ПО MS Internet Explorer версии 5.0 и выше;
    • Windows NT 4.0 SP5 и выше с установленным ПО MS Internet Explorer 5.0 и
    выше;
    • Windows ME;
    • Windows 2000.»

    Про ХР, стало быть, речи нет.
    Кое-что там может работать, а может и не работать.
    В данном случае не живёт флажок CRYPT_SILENT. Если его снести, всё намного лучше.
    Но в любом случае все эксперименты с ХР на Ваш страх и риск.
    Используйте продукт «Крипто-Про CSP 2.0».

    30.09.2003 16:03:35 Maxim Egorushkin

    Спасибо за важную информацию.

    Источник

    Работа с СКЗИ и аппаратными ключевыми носителями в Linux

    image loader

    Хранение ключей на токенах и смарт-картах обеспечивает дополнительную защиту от внешних и внутренних нарушителей, в том числе имеющих определенный уровень доступа к информационной системе и оборудованию.

    Сегодня я расскажу, как мы защищаем ключи шифрования и электронной подписи в наших информационных системах, и сделаю это в подробном, хорошо проиллюстрированном руководстве по настройке SUSE Linux Enterprise Server 12 SP3 для работы с токеном Aladdin JaCarta PKI и КриптоПро CSP KC2 4.0.9944.

    Опубликовать данное руководство побудило несколько причин:

    Причина 1

    Причина 2

    Лучшая инструкция по настройке взаимодействия с аппаратными носителями в Linux, которую удалось найти, была также от wiki.astralinux.ru — Работа с КриптоПро CSP

    Причина 3

    UPD 16.04.2019: В процессе настройки среды и оборудования выяснилось, что носитель, первым оказавшийся в распоряжении, был вовсе не JaCarta PKI Nano, как ожидалось, а устройство работающее в режиме SafeNet Authentication Client eToken PRO.

    UPD 16.04.2019: Некогда Банку требовалось устройство, которое могло бы работать в той же инфраструктуре, что и eToken PRO (Java). В качестве такого устройства компания “ЗАО Аладдин Р.Д.” предложила токен JaCarta PRO, который был выбран банком. Однако на этапе формирования артикула и отгрузочных документов сотрудником компании была допущена ошибка. Вместо модели JaCarta PRO в артикул и отгрузочные документы случайно вписали JaCarta PKI.

    UPD 16.04.2019: Благодарю компанию Аладдин Р.Д., за то что помогли разобраться и установить истину.

    В этой ошибке нет никаких политических и скрытых смыслов, а только техническая ошибка сотрудника при подготовке документов. Токен JaCarta PRO является продуктом компании ЗАО “Аладдин Р.Д.”. Апплет, выполняющий функциональную часть, разработан компанией “ЗАО Аладдин Р.Д”.

    Этот eToken PRO относился к партии, выпущенной до 1 декабря 2017 года.
    После этой даты компания «Аладдин Р.Д.» прекратила продажу устройств eToken PRO (Java).

    Забегая немного вперед, нужно сказать, что работа с ним настраивалась через соответствующие драйверы — SafenetAuthenticationClient-10.0.32-0.x86_64, которые можно получить только в поддержке Аладдин Р.Д. по отдельной online заявке.

    В КриптоПро CSP для работы с этим токеном требовалось установить пакет cprocsp-rdr-emv-64 | EMV/Gemalto support module.

    Данный токен определялся и откликался. При помощи утилиты SACTools из пакета SafenetAuthenticationClient можно было выполнить его инициализацию. Но при работе с СКЗИ он вел себя крайне странно и непредсказуемо.

    Проявлялось это следующим образом, на команду:

    Выдавался ответ, что все хорошо:

    Но сразу после попытки зачитать ключи программно эта же проверка начинала выдавать ошибку:

    Согласно перечню кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)

    «Невалидный набор ключей» — причина такого сообщения, возможно, кроется либо в старом чипе, прошивке и апплете Gemalto, либо в их драйверах для ОС, которые не поддерживают новые стандарты формирования ЭП и функции хэширования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

    В таком состоянии токен блокировался. СКЗИ начинало показывать неактуальное состояние считывателя и ключевого контейнера. Перезапуск службы криптографического провайдера cprocsp, службы работы с токенами и смарт-картами pcscd и всей операционной системы не помогали, только повторная инициализация.

    Справедливости ради требуется отметить, что SafeNet eToken PRO корректно работал с ключами ГОСТ Р 34.10-2001 в ОС Windows 7 и 10.

    Проблему удалось решить, взяв настоящий токен JaCarta PKI в (XL) обычном корпусе.

    Но на попытки заставить работать Safenet eToken PRO времени было потрачено немало. Хотелось обратить на это внимание и, возможно, кого-то оградить от подобного.

    Причина 4

    Иногда самому требуется вернуться к старым статьям и инструкциям. Это удобно, когда информация размещена во внешнем источнике. Так что спасибо Хабру за предоставленную возможность.

    Руководство по настройке

    После установки токена JaCarta PKI в USB порт сервера и запуска системы проверяем, что новое устройство обнаружено и появилось в списке:

    image loader

    В нашем случае это Bus 004 Device 003: ID 24dc:0101

    image loader

    Пока не установлены все необходимые пакеты, информация о токене не отобразится.

    Установка драйверов и ПО для работы с JaCarta PKI

    Согласно Руководству по внедрению «JaCarta для Linux» пункт 4.2., первым делом требуется установить пакеты pcsc-lite, ccid и libusb.

    Для работы утилиты управления JaCarta необходимо установить следующие компоненты:

    Выполняем проверку наличия этих пакетов и установку:

    zypper search pcsc-lite

    ez0mn o8

    zypper search libusb

    image loader

    zypper install pcsc-lite

    qe6ipldd5fimbo m7j4yrmvtibw

    image loader

    zypper search CCID

    image loader

    zypper install pcsc-ccid

    image loader

    zypper search CCID

    zypper install libusb

    image loader

    В итоге пакет pcsc-lite был обновлен, CCID установлен, libusb никаких действия не требовалось.

    Следующими двумя командами выполняем установку пакета с драйверами и программным обеспечением непосредственно для работы с JaCarta PKI:

    zypper install idprotectclientlib-637.03-0.x86_64.rpm

    uxep1uijp 2kvyix yn6qkg5ing

    zypper install idprotectclient-637.03-0.x86_64.rpm

    xy32hqxgtmgwpn pocygfs rn3q

    Проверяем, что драйверы и ПО для JaCarta PKI установились:

    zypper search idprotectclient

    7kosnk44 yewdh9i7odevcdzqdc

    При попытках заставить работать SafeNet eToken PRO я нашел информацию, что предустановленный в SLES пакет openct — Library for Smart Card Readers может конфликтовать с pcsc-lite — PCSC Smart Cards Library, установку которого требует руководство Аладдин Р.Д.

    zypper search openct

    image loader

    Поэтому пакет openct удаляем:

    Теперь все необходимые драйверы и ПО для работы с токеном установлены.

    Выполняем диагностику с помощью утилиты pcsc-tools и убеждаемся, что JaCarta определяется в операционной системе:

    t 5sgar9ugi z

    Установка пакетов КриптоПро CSP

    При установке КриптоПро CSP по умолчанию нужные пакеты для работы с токенами и смарт-картами отсутствуют.

    zypper search cprocsp

    image loader

    Выполняем установку в CSP компонента поддержки JaCarta components for CryptoPro CSP

    zypper install cprocsp-rdr-jacarta-64-3.6.408.683-4.x86_64.rpm

    9duu3e1vs9wu3qotu6dsllot9km

    Некоторые компоненты имеют зависимости. Так, например, если попытаться выполнить установку пакета поддержки SafeNet eToken PRO cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm — EMV/Gemalto support module, то получим сообщение о необходимости сначала установить базовый компонент CSP поддержки считывателей cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm — PC/SC components for CryptoPro CSP readers:

    Устанавливаем базовые пакеты поддержки считывателей и ключевых носителей:

    zypper install cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm

    image loader

    zypper install lsb-cprocsp-pkcs11-64-4.0.9944-5.x86_64.rpm

    Теперь можно установить модули для работы с остальными видами носителей и компонент GUI:

    zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm

    image loader

    image loader

    Проверяем итоговую конфигурацию КриптоПро CSP:

    S | Name | Summary | Type
    —+——————————+—————————————————-+———
    i+ | cprocsp-curl-64 | CryptoPro Curl shared library and binaris. Build 9944. | package
    i+ | cprocsp-rdr-emv-64 | EMV/Gemalto support module | package
    i+ | cprocsp-rdr-gui-gtk-64 | GUI components for CryptoPro CSP readers. Build 9944. | package
    i+ | cprocsp-rdr-jacarta-64 | JaCarta components for CryptoPro CSP. Build 683. | package
    i+ | cprocsp-rdr-mskey-64 | Mskey support module | package
    i+ | cprocsp-rdr-novacard-64 | Novacard support module | package
    i+ | cprocsp-rdr-pcsc-64 | PC/SC components for CryptoPro CSP readers. Build 9944.| package
    i+ | lsb-cprocsp-base | CryptoPro CSP directories and scripts. Build 9944. | package
    i+ | lsb-cprocsp-ca-certs | CA certificates. Build 9944. | package
    i+ | lsb-cprocsp-capilite-64 | CryptoAPI lite. Build 9944. | package
    i+ | lsb-cprocsp-kc2-64 | CryptoPro CSP KC2. Build 9944. | package
    i+ | lsb-cprocsp-pkcs11-64 | CryptoPro PKCS11. Build 9944. | package
    i+ | lsb-cprocsp-rdr-64 | CryptoPro CSP readers. Build 9944. | package

    f rcadtwgu68ba6ad5wde2zke m

    Чтобы применить изменения, выполняем перезапуск службы криптографического провайдера и проверяем ее статус:

    vd1athcps5p7fe9cjp ipmvvq a

    Настройка и диагностика КриптоПро CSP

    Проверим, видит ли криптографический провайдер наш токен и другие доступные типы носителей следующими командами:

    2mz1d4m5oyvg9nknwbnci24wcre

    image loader

    Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00 — это наш носитель.

    Следуя инструкции КриптоПро CSP для Linux. Настройка, выполняем его регистрацию в криптографическом провайдере:

    image loader

    В результате выполнения в конфигурационный файл /etc/opt/cprocsp/config64.ini
    в раздел linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро будет добавлена запись:

    linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро (000000000000) 00 00″Default]

    Чтобы выполнить требования Формуляра, Правил пользования и Руководства администратора безопасности КриптоПро CSP:

    Использование СКЗИ «КриптоПро CSP» версии 4.0 с выключенным режимом усиленного контроля использования ключей не допускается. Включение данного режима описано в документах ЖТЯИ.00087-01 91 02. Руководство администратора безопасности.

    Необходимо включить режим усиленного контроля использования ключей:

    Проверяем, что режим включен:

    cat /etc/opt/cprocsp/config64.ini | grep StrengthenedKeyUsageControl

    Выполняем перезапуск службы криптографического провайдера:

    После перезапуска проверяем, что ошибок в работе провайдера с ключевыми носителями нет:

    qo5xv7ayjfqa1ssyuds6dl f ue

    Работа с токеном JaCarta PKI

    Запустим программу Xming (X11 forwarding) на своей станции, чтобы по SSH иметь возможность открывать и работать с графическими интерфейсами нужных утилит.

    image loader

    После установки IDProtectClient — программного обеспечения для работы с JaCarta PKI, на сервере в папке /usr/share/applications появились два файла:

    Это ярлыки, в которых можно посмотреть параметры запуска утилит Exec=/usr/bin/SACTools

    Запустим утилиту IDProtectPINTool.

    С помощью нее задаются и меняются PIN-коды доступа к токену.

    image loader

    При первой инициализации токена будет полезна ссылка, содержащая PIN-коды (пароли) ключевых носителей по умолчанию

    Программа IDProtect_Manager позволяет просматривать информацию о токене и контейнере с ключами и сертификатом:

    image loader

    Для доступа к контейнеру с ключами нужно ввести пароль:

    image loader

    image loader

    Для работы с SafeNet Authentication Client eToken PRO существуют аналогичные программы — SafeNet Authentication Client Monitor и SafeNet Authentication Client Tools, которые запускаются так:

    Выполнять операции непосредственно с ключевыми контейнерами удобнее в интерфейсе криптографического провайдера КриптоПро JavaCSP:

    Для отображения информации о содержимом контейнера с ключами можно выполнить команду:

    Для диагностики контейнера используется эта же команда с ключом –check

    Потребуется ввести пароль от контейнера:

    image loader

    jrvigahwffdkjcmfuwnwij4pdds

    Программное извлечение ключей

    В общем виде пример извлечения закрытого ключа и сертификата открытого ключа из контейнера на токене с помощью КриптоПро Java CSP следующий:

    Если действовать так:

    то криптографический провайдер будет пытаться в системе отобразить через консоль или GUI окно запрос на ввод пароля к контейнеру.

    Результаты

    Отторгаемый ключевой носитель-токен установлен во внутренний USB-порт сервера.

    Само серверное оборудование опломбировано и размещается в помещении с ограниченным доступом.

    Такие меры позволяют повысить уровень защиты наших информационных систем от кражи и компрометации ключей электронной подписи или шифрования, как удаленно по сети, так и физически.

    Источник

    Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро

    В событиях на ЦР видно:

    Тип события: Ошибка
    Источник события: cpSSPCore
    Категория события: Отсутствует
    Код события: 300
    Дата: 10.05.2006
    Время: 14:14:22
    Пользователь: Нет данных
    Компьютер: CA
    Описание:
    КриптоПро TLS. Ошибка %2 при обращении к CSP: %1

    Так как машина на которой стоит АРМ удаленная, АРМ был установлен также на машину ЦР, ошибка осталась но в событиях ЦР изменилась:

    Тип события: Ошибка
    Источник события: cpSSPCore
    Категория события: Отсутствует
    Код события: 300
    Дата: 10.05.2006
    Время: 17:37:30
    Пользователь: Нет данных
    Компьютер: CA
    Описание:
    КриптоПро TLS. Ошибка 0x80090019 при обращении к CSP: Набор ключей не определен.

    ==
    Он в реестре или на съёмном носителе?
    ==
    Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

    ==
    Он в реестре или на съёмном носителе?
    ==
    Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

    ==
    Он в реестре или на съёмном носителе?
    ==
    Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

    КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.

    Меня смущает то, что когда в АРМ заходишь вразделы Пользователи, Сертификаты и пр. он выдает окошко с просьбой вставить соответсвующий ключевой носитель (но пароль не спрашивает ибо он запомнен), а когда заходишь в раздел Центр сертификации и выбираешь правой кнопкой любой из пунктов, то ошибка вываливается сразу, даже не спрашивая контейнеров ключей.

    Однако если удалить сертификат веб-сервера ЦР из хранилища и перегрузится, то такой ошибки уже нет, если опять прописать туда, то опять появляется. Создание нового контейнера и сертификата веб-сервера ЦР не приводит к улучшению.

    На службе IISAdmin стоит галочка разрешить доступ к рабочему столу. Таймауты в CSP стоят по 60 сек.

    ООО ТК «Контакт», Воронеж. Договора пока нет, потому что проблем не возникало до этого 🙂

    >Версия и билд CSP?
    3.0.3293 КС1

    >Способ хранения ключей?
    Дисковод

    >версия ОС, какие обновления?
    Windows2000 Server, SP4, 5.0.2195, все обновления

    >версия IE, какие обновления?
    6.0.2800.1106, SP1, все обновления

    >Используется MSDE или SQL-сервер?
    MSDE, и клиентская часть MSSQL

    Источник

    Подпись ошибка 0x80090010 отказано в доступе КриптоПро; решение

    Криптопро код ошибки 0x8009001a

    Подпись ошибка 0x80090010 отказано в доступе КриптоПро – решение

    Сегодня разберем проблему с подписью в КриптоПро, а конкретнее строчку в отчете “ошибка 0x80090010 отказано в доступе”. Поговорим чем вызван этот сбой в СУФД, дадим общие рекомендации по обновлению программы. В конце статьи оставим инструкцию как же все такие подписать документы, если ключ просрочен, а отправить отчет нужно.

    Ошибка подписи. CryptSignMessage: Отказано в доступе

    Отправляясь тестировать контейнер первым делом получаем отчет с ошибкой вот такого содержания:

    Ошибка 0x80090010 отказано в доступе

    Для начала проверьте версию КриптоПРО CSP. Если версия стабильная и рабочая – оставляем, если помимо этого сбоя присутствую другие ошибки – версию программы лучше обновить на будущее.
    Ошибка 0x80090010 отказано в доступе – означает что просрочена версия открытого или закрытого ключа. Создавая запрос на выдачу сертификата для генерации ключей, мы несём необходимые бумаги для выдачи подписи через несколько недель. Контроль будет осуществляться с даты создания запроса. Тут мы используем лайфхак, об этом ниже, а для начала мы протестируем контейнер.

    Проверяем контейнер

    Для проверки контейнера проделаем стандартные операции перечисленные ниже:

    Проверка завершилась с ошибкой

    Срок действия закрытого ключа истек

    Срок действия закрытого ключа истек

    Еще раз – ошибка подписи 0x80090010 всегда означает что истек срок действия закрытого ключа.

    Как подписать документы?

    Тут придется прибегнуть к маленькой хитрости, которая работала раньше во многих программах схожего типа – поменять системную дату на срок действия системного ключа:

    Настройка даты и времени

    После этого можно выдохнуть, заварить чашечку крепкого кофе… И начать готовить документы и оформлять заявку для оформления нового сертификата.

    Заключение

    Напишите нам в комментариях помогла ли вам данная инструкция побороть проблему отказа доступа в КриптоПро. Если статья была полезна – делитесь ссылками в соцсетях, так вы поможете другим пользователям с аналогичной проблемой. Задавайте другие вопросы о других программах, которые работают с ошибками или вызывают вопросы.

    Евгений Загорский

    IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.

    При попытке погуглить информацию в интернете, решить проблему не удавалось. Большинство ссылок ведут на форумы, где обсуждаются проблемы связанные с крипто-приложениями, такими как крипто-про. Но тут дело не в этом, никаких программ не использовалось.

    Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?

    .Net framework cleanup tool
    .Net framework repair tool

    Но к сожалению эффекта так же не произошло.

    Решение проблемы:

    Очень надеемся, что данная статья поможет многим решить проблему (Неправильный зарегистрированный набор ключей,0x80070643) с Windows 8.1 без переустановки. Если у вас остались вопросы, пожалуйста, задайте их в комментариях.

    Большое спасибо, Михаил, все сделали оперативно а главное понятно для меня. Так как мы с вами нашли общий язык. хотелось бы в дальнейшем так же продолжить связь именно с вами. Надеюсь на плодотворное сотрудничество.

    От имени предприятия ГУП «Севастопольское авиационное предприятие» выражаем благодарность за профессионализм и оперативность вашей компании! Желаем вашей компании дальнейшего процветания!

    Спасибо вам, Михаил, большое за помощь в оформлении. Очень квалифицированный сотрудник +5!

    От лица компании «АКБ-Авто» и от себя лично выражаю Вам и всем сотрудникам вашей компании благодарность за продуктивную и качественную работу, чуткое отношение к требованиям клиента и оперативность в исполнении заказываемых работ.

    Хочу поблагодарить консультанта Михаила за отличную работу, своевременные и полные консультации. Очень внимателен к проблемам клиента и вопросам, оперативное решение самых казалось бы для меня сложных ситуаций. Очень приятно работать с Михаилом. Теперь своим клиентам и знакомым буду рекомендовать Вашу компанию. Да и консультанты в тех. поддержке тоже очень вежливы, внимательны, помогли справится со сложной установкой ключа. Спасибо.

    Левицкий Александр Константинович г. Самара

    Личная благодарность консультанту Михаилу Владимировичу за оперативную консультацию и работу по ускоренному получению сертификата ЭП. В ходе предварительной консультации подбирается оптимальный набор индивидуальных услуг. Конечный результат получен незамедлительно.

    Спасибо за оперативную работу и компетентную помощь! Консультацией остался очень доволен!

    ООО «Эксперт Система» благодарит за оперативную работу консультанта Михаила! Желаем Вашей компании роста и процветания!

    Спасибо консультанту, представившемуся Михаилом, за оперативность в работе с клиентами.

    Пономарев Степан Геннадьевич

    Большое спасибо консультанту Михаилу, за оказанную помощь в получении ЭЦП. За оперативную работу и консультирование по вопросам возникающим в процессе оформления.

    Компания в лице консультанта Михаила делает невозможное! Ускорение аккредитации менее чем за 1 час! Оплата по факту оказания услуги. Думал, такого не бывает. С полной ответственностью могу советовать связываться с Центром выдачи электронных подписей.

    Для решения данной проблемы следует выполнить следующие шаги:

    1. Выбрать меню «Пуск» > «Панель управления» > «КриптоПро CSP». Перейти на вкладку «Сервис» и нажать на кнопку «Удалить запомненные пароли». Отметить пункт «Пользователя» и нажать на кнопку «ОК».

    2. В окне «Выбор ключевого контейнера» поставить переключатель «Уникальные имена» и повторить выбор контейнера.

    3. Если ключевой носитель — дискета или флэш-карта, необходимо просмотреть его содержимое. В корне носителя должна быть папка с шестью файлами с расширением. key.

    4. Если ключевой носитель — ruToken или ruToken Lite, то следует переустановить драйвера и модуль поддержки. Для этого необходимо:

    5. Сделать копию ключевого контейнера и выполнить установку сертификата с дубликата (см. Как скопировать контейнер с сертификатом на другой носитель?).

    Если предложенное решение не помогло устранить ошибку, то необходимо обратиться в службу технической поддержки по адресу [email protected], указав следующие данные:

    Чтобы открыть данное окно, следует перейти в меню «Пуск» > «Панель управления» > «Крипто Про CSP» > «Оборудование» > «Настроить типы носителей», выбрать «Rutoken» (либо «Rutoken lite») > «Свойства» > «Информация».

    Создание электронной подписи на платформе 1С с помощью СКЗИ КриптоПро CSP можно выполнять как на стороне сервера, так и на стороне клиента. В обоих случаях может появиться довольно неприятная ошибка:
    Неправильный параметр набора ключей.

    Неприятна данная ошибка тем, что у неё множество причин, и что бы её исправить, нужно провести целый комплекс мероприятий.

    Источник

    Содержание

    1. Инструкция по настройке и работе с Крипто-Про для государственных порталов
    2. DavidovichDV
    3. Вложения
    4. DavidovichDV
    5. Вложения
    6. Blaze
    7. DavidovichDV
    8. Blaze
    9. DavidovichDV
    10. amotash
    11. Вложения
    12. DavidovichDV
    13. amotash
    14. DavidovichDV
    15. amotash
    16. Вложения
    17. mfc31
    18. DavidovichDV
    19. renbuar
    20. renbuar

    Инструкция по настройке и работе с Крипто-Про для государственных порталов

    DavidovichDV

    New member

    # выполняется от суперпользователя «root» или через «sudo»
    $ выполняется от обычного пользователя
    комментарий
    На новых версия Firefox работать скорее всего не будет или часть функционала будет недоступна, можно взять cryptofox с сайта крипто-про
    Данные настройки были проверены на встроенном браузере в астру chromium или chromium-gost от крипто-про

    Загрузить последнюю версию Крипто-Про с официального сайта

    Открыть Пуск->Утилиты->Менеджер файлов mc
    перейти в каталог куда загрузили архив

    Распакуем архив
    $ tar -xf linux-amd64_deb.tgz

    Перейдем в каталог
    $ cd linux-amd64_deb

    получим то что на картинке ниже

    Жмем клавишу Enter

    Выбираем все пункты нажимая на клавишу «Пробел» переход осуществляется клавишами вниз/вверх

    Жмем клавишу Enter

    Жмем клавишу Enter

    Жмем клавишу Enter

    Жмем клавишу Enter

    Вводим свой серийный номер. Регистр нужно строго соблюдать.
    Жмем клавишу Enter

    Жмем выбираем Exit клавишами Tab, жмем клавишу Enter, Выбираем Yes, жмем клавишу Enter

    Для USB токенов нужно установить данное ПО
    # apt install libpcsclite1 pcscd libccid

    они все есть в репозитарии астры, ничего нигде искать дополнительно не надо

    Библиотека libccid не ниже 1.4.2

    Для rutoken S нужно установить драйвер c сайта производителя, лучше установить более новое
    https://www.rutoken.ru/support/download/drivers-for-nix/

    # dpkg -i ifd-rutokens_1.0.4_amd64.deb

    Проверить USB токены можно командой
    $ /opt/cprocsp/bin/amd64/list_pcsc

    Если что то не работает пишите возможно я что то упустил, а так же пишите коды ошибок, будем пополнять базу знаний и возможные пути решений

    Качаем архив с плагином с официального сайта Крипто-ПРО https://www.cryptopro.ru/products/cades/plugin желательно в отдельный каталог
    Заходим в каталог куда скачали архив с плагином и разархивируем

    $ tar -xf cades_linux_amd64.tar.gz

    Конвертируем в deb пакеты

    если вывод команды был «bash: alien: команда не найдена», то вам надо читать внимательней потребности, установить alien

    # apt install alien

    # dpkg -i lsb-cprocsp-devel_*.deb cprocsp-pki-*.deb

    на всякий пожарный установку лучше повторить, т.к. бывали случаи что установка прошла успешно, а библиотек на месте не было

    # ln -s /opt/cprocsp/lib/amd64/libnpcades.so /usr/lib/mozilla/plugins/lib/libnpcades.so
    # ln -s /opt/cprocsp/lib/amd64/libcppkcs11.so.4.0.4 /usr/lib/mozilla/plugins/lib/libcppkcs11.so

    на всякий пожарный что бы было, если вдруг с путями кто-нибудь из программ случайно, обязательно затупит, сделаем симлинки на библиотеки

    # ln -s /opt/cprocsp/lib/amd64/libnpcades.so /usr/lib/libnpcades.so
    # ln -s /opt/cprocsp/lib/amd64/libcppcades.so /usr/lib/libcppcades.so
    # ln -s /opt/cprocsp/lib/amd64/libcppkcs11.so /usr/lib/libcppkcs11.so

    создаем симлинк для корректной работы связи расширения браузера с библиотекой установленного плагина

    # ln -s /etc/opt/chrome/native-messaging-hosts/ru.cryptopro.nmcades.json /etc/chromium/native-messaging-hosts/ru.cryptopro.nmcades.json

    так же желательно сделать симлинки нашел в какой то документации, возможно в них и нет необходимости, эти каталоги это для корректной работы плагинов браузеров и библиотек плагинов,

    # ln -s /etc/opt/chrome /etc/opt/chromium
    # ln -s /etc/opt/chrome /etc/opt/chromium-gost

    Одно из самых главных требований при работе с этим плагином, это нужно при КОПИРОВАНИИ или СОЗДАНИИ контейнера установить пинкод

    Качаем прикрепленный архив
    или с тындекс диска
    https://yadi.sk/d/8VJFh_cFHRGRJA

    Разархивируем
    $ unzip IFCPlugin-3.0.0-x86_64.deb.zip

    Устанавливаем
    # dpkg -i IFCPlugin-3.0.0-x86_64.deb

    создаем симлинк для корректной работы связи расширения браузера с библиотекой установленного плагина

    # ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/ru.rtlabs.ifcplugin.json

    config = <
    cert_from_registry = «false»;
    set_user_pin = «false»;
    >

    params =
    (
    < name = «Криптопровайдер VipNet CSP»;
    alias = «VIPNet»;
    type = «capi»;
    provider_name = «Infotecs Cryptographic Service Provider»;
    provider_num = «2»;
    skip_pkcs11_list = «true»;
    >,

    < name = «Криптопровайдер VipNet CSP»;
    alias = «VIPNet_linux»;
    type = «capi_linux»;
    provider_name = «Infotecs Cryptographic Service Provider»;
    provider_num = «2»;
    skip_pkcs11_list = «true»;
    >,

    < name = «Криптопровайдер КриптоПро CSP»;
    alias = «CryptoPro»;
    type = «capi»;
    provider_name = «Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider»;
    provider_num = «75»;
    skip_pkcs11_list = «false»;
    >,

    < name = «Криптопровайдер КриптоПро Рутокен CSP»;
    alias = «CryptoPro_Rutoken»;
    type = «capi»;
    provider_name = «GOST R 34.10-2001 Rutoken CSP»;
    provider_num = «75»;
    skip_pkcs11_list = «false»;
    >,

    < name = «Криптопровайдер Signal-COM CSP»;
    alias = «SignalCom»;
    type = «capi»;
    provider_name = «Signal-COM CPGOST Cryptographic Provider»;
    provider_num = «75»;
    skip_pkcs11_list = «false»;
    >,

    < name = «Криптопровайдер LISSI-CSP»;
    alias = «LISSI-CSP»;
    type = «capi»;
    provider_name = «LISSI-CSP»;
    provider_num = «75»;
    skip_pkcs11_list = «false»;
    >,

    < name = «JaCarta Криптотокен»;
    alias = «JaCarta»;
    type = «pkcs11»;
    alg = «gost2001»;
    lib_win = «jcPKCS11-2.DLL»;
    lib_linux = «libjcPKCS11-2.so.2.4.0»;
    lib_mac = «jcPKCS11-2»;
    >,

    < name = «CryptoPro CSP»;
    alias = «cryptoprocsp»;
    type = «pkcs11»;
    alg = «gost2001»;
    lib_linux = «libcppkcs11.so»;
    >,

    < name = «CryptoPro CSP»;
    alias = «cryptoprocsp»;
    type = «pkcs11»;
    alg = «gost2012»;
    lib_linux = «libcppkcs11.so»;
    >,

    < name = «Актив руТокен ЭЦП»;
    alias = «ruTokenECP»;
    type = «pkcs11»;
    alg = «gost2001»;
    lib_win = «rtpkcs11ecp.dll»;
    lib_linux = «librtpkcs11ecp.so»;
    lib_mac = «librtpkcs11ecp.dylib»;
    >
    );

    Заходим в каталог куда скачали архив
    $ unzip ifc.cfg.zip

    Копируем конфигурационный файл

    # cp ifc.cfg /etc/ifc.cfg

    Перейти в меню — Дополнительные инструменты — Расширения и включить плагин

    На случай диагностики ошибок ifcplugin нужен будет лог /var/log/ifc/engine_logs/engine.log

    Вложения

    DavidovichDV

    New member

    Общее описание выводов ошибок
    [ErrorCode: 0x00000000]
    Код ошибки 0, значит все прошло успешно

    Error number 0x8009001f (2148073503).
    Неправильный параметр набора ключей.
    скорее всего нужно добавить пинкод или другой тип стандарта контейнера если ошибка возникает при копировании ключей
    -pinsrc 12345678
    -pindest 12345678

    ERROR: SCardListReaders(NULL)
    если ключ вставлен, то скорее всего либо у вас не установлены требуемые библиотеки/драйвера, либо что то мешает его распознать(какой-то пакет из состава Крипто-Про)

    Проверить/отобразить USB токены можно командой
    $ /opt/cprocsp/bin/amd64/list_pcsc
    Примерный вывод:
    Aktiv Co. Rutoken S 00 00

    если получили ERROR: SCardListReaders(NULL) , если ключ вставлен, то скорее всего либо у вас не установлены требуемые библиотеки/драйвера, либо что то мешает его распознать(какой-то пакет из состава Крипто-Про)

    Вывести список всех ключевых носителей и контейнеров
    $ /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fqcn

    CSP (Type:80) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
    AcquireContext: OK. HCRYPTPROV: 28131731
    .Aktiv Co. Rutoken S 00 00key1
    OK.
    Total: SYS: 0,000 sec USR: 0,000 sec UTC: 1,380 sec
    [ErrorCode: 0x00000000]

    Вывод всех ключевых носителей и контейнеров с отображением уникального имени
    $ /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fqcn -uniq

    CSP (Type:80) v4.0.9018 KC2 Release Ver:4.0.9958 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
    AcquireContext: OK. HCRYPTPROV: 16527635
    .HDIMAGEkey0 |.HDIMAGEHDIMAGEkey0.0001174
    OK.

    Total: SYS: 0,000 sec USR: 0,000 sec UTC: 2,130 sec
    [ErrorCode: 0x00000000]

    Нужная нам информация между строками » AcquireContext: OK. » и » OK . «

    Еще возможный вывод .HDIMAGE и .FLASH, где

    .HDIMAGE это ключевой носитель сохранен на жестком диске, вроде считывателя реестра в Windows версии. «key0» это имя ключевого контейнера на носителе.

    $ /opt/cprocsp/bin/amd64/csptest -keycopy -contsrc ‘.HDIMAGEkey0’ -contdest ‘.Aktiv Co. Rutoken S 00 00key1’ -typesrc 75 -typedest 75 -pinsrc 12345678 -pindest 12345678

    csptest -keycopy Запуск копирования
    -contsrc ‘.HDIMAGEkey0’

    Указываем откуда копируем «.HDIMAGE» это указатель откуда брать ключ в данном случае из локального расположения,

    навроде считывателя реестра в Windows версии. «key0» это имя ключевого контейнера на носителе

    -contdest ‘.Aktiv Co. Rutoken S 00 00key1’

    Указываем куда копируем ‘.Aktiv Co. Rutoken S 00 00key1’ это указатель на устройство

    ОБЯЗАТЕЛЬНО . Имя ключей должно отличаться
    ОБЯЗАТЕЛЬНО . Имя ключей должно быть на латинице,
    КАТЕГОРИЧЕСКИ не рекомендуется использовать кириллицу или любой другой алфавит отличный от латиницы

    -typesrc 75 Тип сформированного контейнера откуда копируется по ГОСТУ где 75(ГОСТ-2001), 80(ГОСТ-2012)

    -typedest 75 Тип сформированного контейнера куда копируется
    -pinsrc 12345678 Пинкод источника ключевого носителя
    -pindest 12345678 Пинкод ключевого носителя

    *** Загрузка личного сертификата в хранилище в данном случае из локального считывателя
    $ /opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ‘HDIMAGE’

    *** Загрузка личного сертификата в хранилище в данном случае из рутокена
    $ /opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ‘rutoken’

    *** Загрузка личного сертификата в хранилище в данном случае из Флэш накопителя
    $ /opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ‘FLASH’

    *** Вывод личных сертификатов в личном хранилище
    $ /opt/cprocsp/bin/amd64/certmgr -list -cert -store uMy

    *** Вывод субъекта и серийного номера загруженных личных сертификатов в личном хранилище
    $ /opt/cprocsp/bin/amd64/certmgr -list -cert -store uMy | grep -iE «^Serial|^Subject»

    *** Полный вывод загруженных сертификатов корневых удостоверяющих центров в личном хранилище
    $/opt/cprocsp/bin/amd64/certmgr -list -cert -store uroot

    *** Вывод субъекта и серийного номера загруженных сертификатов корневых удостоверяющих центров в личном хранилище
    $ /opt/cprocsp/bin/amd64/certmgr -list -cert -store root | grep -iE «^Serial|^Subject»

    *** Полный вывод загруженных сертификатов промежуточных серверов в личном хранилище
    $ /opt/cprocsp/bin/amd64/certmgr -list -cert -store uca

    *** Вывод субъекта и серийного номера загруженных сертификатов промежуточных серверов в личном хранилище
    $ /opt/cprocsp/bin/amd64/certmgr -list -cert -store uca | grep -iE «^Serial|^Subject»

    *** Загрузка личного сертификата в личное хранилище сертификатов, в данном случае из всех считывателей rutoken
    /opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ‘rutoken’

    Match: SCARDrutoken_32b56458B007E72
    OK.
    Total: SYS: 0,000 sec USR: 0,000 sec UTC: 1,760 sec
    [ErrorCode: 0x00000000]

    Match: SCARDrutoken_32b56458B007E72
    Match это означает что он нашел ключевые носители удовлетворяющие условию и загрузил с него все сертификаты
    Skip это значит что этот считыватель и контейнер не соответствует запросу и будет проигнорирован

    /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file 48b19fb33bb637c88a54d19650730b67e42db121.cer

    файл сертификата прикреплен

    *** Экспорт в файл сертификата из хранилища
    $ /opt/cprocsp/bin/amd64/certmgr -export -cert -dn «CN=» -dest ‘cert.crt’
    Сначала выведет список всех имеющихся личных сертификатов, затем нужно ввести порядковый номер сертификата

    — Эспорт в файл закрытого ключа из хранилища
    /opt/cprocsp/bin/amd64/certmgr -export -file 1234.pfx
    Сначала выведет список всех имеющихся личных сертификатов, затем нужно ввести порядковый номер сертификата

    Вложения

    Blaze

    New member

    и за что отвечают эти параметры?

    P.S. С госзакупками проблем со входом не возникло. Спасибо.

    DavidovichDV

    New member

    и за что отвечают эти параметры?

    P.S. С госзакупками проблем со входом не возникло. Спасибо.

    1. Да может.
    2. нет, можно воспользоваться любым контейнером
    3. Это либо от старого функционала который в новой версии не работает, либо планируемый на будущее и сейчас тестируется у разработчика

    лучше оставить так как работает, любы изобретения могут привести к сбоям в работе

    Blaze

    New member

    личный сертификат установлен в хранилище -store uMy с привязкой к контейнеру закрытого ключа, в локальном ридере HDIMAGE

    В Astra Linux применяется какая версия пакета pcsc-lite ?

    У меня вечно, пока не закроешь страницу, висит на обращении к средству электронной подписи и бесконечно бегает анимация

    DavidovichDV

    New member

    У вас плагин версии 3.0.3 он не работает, нужен 3.0.0, проверено на многих дистрибутивах

    pcsc-1.8.20, но это существенной роли не сыграет главное это версия плагина.

    amotash

    New member

    Вложения

    DavidovichDV

    New member

    amotash

    New member

    DavidovichDV

    New member

    amotash

    New member

    Вложения

    mfc31

    New member

    DavidovichDV

    New member

    renbuar

    New member

    По данной инструкции зашел на площадки и госуслуги. Спасибо.

    renbuar

    New member

    ]# /opt/cprocsp/bin/amd64/csptestf -tlsc -server zakupki.gov.ru -v -nosave -savecert /tmp/t.p7b
    [root@test-x64-centos7

    ]# /opt/cprocsp/bin/amd64/certmgr -list -file /tmp/t.p7b
    =============================================================================
    1——-
    Issuer : E=uc_fk@roskazna.ru, S=г. Москва, INN=007710568760, OGRN=1047797019830, STREET=»улица Ильинка, дом 7″, L=Москва, C=RU, O=Федеральное казначейство, CN=Федеральное казначейство
    Subject : INN=007710568760, OGRN=1047797019830, STREET=»ул. Проспект Мира, 105″, E=777@roskazna.ru, C=RU, S=г. Москва, L=Москва, O=Федеральное казначейство, CN=zakupki.gov.ru
    Serial : 0x6F064FA71C24CD7E2CE6FAAEA927D8C7EC69A35F
    SHA1 Hash : c369b560ce239beddb2fc12b4884dee1cfc923aa
    SubjKeyID : 10c6d12e7cd886d022bcdfea4cbe10e32acf82bc
    Signature Algorithm : ГОСТ Р 34.11/34.10-2001
    PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
    Public key : 04 40 1b ce 0b 15 6a 4a 57 e0 1b d8 39 ee 86 83
    32 70 ea db fd f5 39 c1 e6 de 3c c8 be 10 81 03
    5d da 0b 3b 09 7a d3 0d 46 33 58 11 3b 20 94 99
    fe 04 fe 8e e6 bc 32 53 ff 2e 71 10 8e e2 12 a1
    52 cf
    Not valid before : 21/12/2017 06:06:33 UTC
    Not valid after : 21/03/2019 06:06:33 UTC
    PrivateKey Link : No
    Subject Alt Names
    UPN : ▒㌴ (2.5.4.12)
    URL : 0
    CDP : http://crl.roskazna.ru/crl/ucfk.crl
    CDP : http://crl.fsfk.local/crl/ucfk.crl
    Extended Key Usage : 1.3.6.1.5.5.7.3.1
    .

    При наличии расширения Subject Alt Names RFC требует сверять имя сервера с ним, а не с полем CN. Поэтому CN=zakupki.gov.ru отброшен, а в Subject Alt Names хрень.

    Andrey, [05.10.18 11:35]
    Но мы сделали параметр для отключения требований RFC6125, который может подвергнуть систему опасности для атак с подменой сертификатов:
    [root@test-x64-centos7

    ]# /opt/cprocsp/sbin/amd64/cpconfig -ini ‘configparameters’ -add long Rfc6125_NotStrict_ServerName_Check 1
    [root@test-x64-centos7

    Источник

    Добрый день друзья!

    На прошлой неделе к нам обратился один из посетителей со странной проблемой. Пользователь рассказывает: при попытке установить любое приложение в Windows 8.1,
    предустановленной на ноутбуке, у него
    возникала ошибка — неправильный зарегистрированный набор ключей
    .

    Причем установить программы он пытался самые обычные, к примеру iTunes, различные игры, такие как Sims, Need For Speed и так далее. В большинстве случаев на моменте установки вылетала ошибка неправильный зарегистрированный набор ключей
    и
    дистрибутив, (установщик) завершал свою работу
    .
    Иногда вылетала ошибка
    0x80070643
    , вместо той, например при установке компонента Microsoft Visual C++.

    При попытке погуглить информацию в интернете, решить проблему не удавалось. Большинство ссылок ведут на форумы, где обсуждаются проблемы связанные с крипто-приложениями, такими как крипто-про. Но тут дело не в этом, никаких программ не использовалось.

    Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?

    • Некоторые форумы ссылаются на проблему с защитником Windows (Windows Defender) — пробовали отключать, не помогает.
    • Возможная причина ошибки — антивирус Avast. Антивирус у пользователя был установлен, удалили полностью, на всякий случай прошлись утилитой для полного удаления антивируса (avastclear.exe)
    • Был полностью переустановлен Microsoft .NET Framework с помощью отключения его, как компонента Windows.
    • Пробовали вычистить остатки с утилит:

    .Net framework cleanup tool

    .Net framework repair tool

    Но к сожалению эффекта так же не произошло.

    • Естественно, пробовали устанавливать все последние обновления на Windows 8.1.
    • Проверяли полностью антивирусом.

    Решение проблемы:

    1. Необходимо удалить каталог (папку), которая находится по следующему пути C:UsersВАШ ПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftCryptoRSA (имеется ввиду саму папку RSA). После удаления — перезагрузить компьютер, после перезагрузки, Windows должен пересоздать эту папку заново. (папка appdata может быть скрыта и переходить к ней нужно скопировав полностью путь, или поставив галочку отображать скрытые файлы в настройках проводника).
    2. Можно попробовать создать нового пользователя Windows 8 и проверить, работает ли установка под новым пользователем (пользователь должен находится в группе администраторы).

    Очень надеемся, что данная статья поможет многим решить проблему (Неправильный зарегистрированный набор ключей,0x80070643) с Windows 8.1 без переустановки. Если у вас остались вопросы, пожалуйста, задайте их в комментариях.

    Для решения данной проблемы следует выполнить следующие шаги:

    1. Выбрать меню «Пуск» > «Панель управления» > «КриптоПро CSP». Перейти на вкладку «Сервис» и нажать на кнопку «Удалить запомненные пароли». Отметить пункт «Пользователя» и нажать на кнопку «ОК».

    2. В окне «Выбор ключевого контейнера» поставить переключатель «Уникальные имена» и повторить выбор контейнера.

    3. Если ключевой носитель — дискета или флэш-карта, необходимо просмотреть его содержимое. В корне носителя должна быть папка с шестью файлами с расширением.key.

    3. Если ключевой носитель — дискета или флэш-карта, необходимо просмотреть его содержимое. В корне носителя должна быть папка с шестью файлами с расширением.key.

    4. Если ключевой носитель — ruToken или ruToken Lite, то следует переустановить драйвера и модуль поддержки. Для этого необходимо:

    • Отсоединить токен от компьютера (в момент отключения светодиод на токене не должен мигать).
    • Открыть меню «Пуск» > «Панель управления» > «Установка и удаление программ» (для операционных систем Windows Vista и Windows Seven «Пуск» > «Панель управления» > «Программы и компоненты».
    • В списке найти элемент «Rutoken Support Modules», «Rutoken Drivers» (либо «Драйверы Рутокен») и выбрать «Удалить».
    • Перезагрузить компьютер.
    • Установить новые драйвера и модуль поддержки, а также выполнить все остальные рекомендуемые действия с помощью сервиса диагностики .

    5. Сделать копию ключевого контейнера и выполнить установку сертификата с дубликата (см. Как скопировать контейнер с сертификатом на другой носитель?).

    Если предложенное решение не помогло устранить ошибку, то необходимо обратиться в службу технической поддержки по адресу [email protected], указав следующие данные:

    • ИНН и КПП организации;
    • скриншот возникающей ошибки;
    • номер диагностики;

    Необходимо повторно зайти на портал диагностики по адресу https://help.kontur.ru , нажать на кнопку «Начать диагностику». Как только процесс проверки закончится, на экране отобразиться номер диагностики. Присвоенный номер обращения указать в письме.

    • Если используется дискета или флэш-карта, то сообщить, какие файлы и папки содержатся в корне носителя.
    • Если ключевой носитель — ruToken или ruToken Lite, то скриншот окна свойств ruToken;

    Чтобы открыть данное окно, следует перейти в меню «Пуск» > «Панель управления» > «Крипто Про CSP» > «Оборудование» > «Настроить типы носителей», выбрать «Rutoken» (либо «Rutoken lite») > «Свойства» > «Информация».

    Сообщение не соответствует формату XML Encryption.
    Обратитесь к разработчику программного обеспечения, на котором осуществлялось шифрование данных.
    Сообщите следующую информацию: Отсутствует элемент EncryptedData class ru.ibs.cryptopro.jcp.crypt.CryptoException

    Причины:

      Неправильные настройки АРМ ЛПУ в части подписания;

      Неправильные настройки криптопровайдера;

      Истечение срока действия сертификата, закрытого ключа или лицензии КриптоПро CSP.

    Что делать:

    1. Выполните настройку АРМ ЛПУ

    Внимание! Поддержка алгоритма ГОСТ 2012 в АРМ ЛПУ добавлена в версии 2.0.21. Если у вас более ранняя версия, обновите ее на актуальную.


    В меню Администрирование – Настройка подписей для сервисов установите флаг «Шифровать сообщение». После этого Вам необходимо указать Имя сертификата ФСС и Тип контейнера.
    Данный сертификат можно скачать на сайте https://lk.fss.ru/eln.html (если Вы настраиваете сервисы для тестирования, то Вам необходимо скачать ТЕСТОВЫЙ сертификат ФСС).
    После скачивания установите его на компьютер.
    Обратите внимание, Сертификаты МО (должен иметь закрытый ключ) и ФСС должны быть установлены в хранилище «Личное», соответственно тип контейнера выбран «Личные». Вся цепочка вышестоящих сертификатов в папку «Доверенные корневые центры сертификации». Все сертификаты должны быть актуальными и не отозванными.

    2. Проверьте настройки криптопровайдера

    При использовании криптопровайдера Vipnet CSP
    рабочей версией является 4.4.
    При использовании криптопровайдера КриптоПро CSP
    рабочей версией является 4.0 и выше. Рекомендуется сборка 4.0.9963.
    Через «Панель управления» в КриптоПро CSP зайдите на вкладку «Сервис», нажмите кнопку «Удалить запомненные пароли…». В окне «Удаление запомненных паролей» выбрать «Удалить все запомненные пароли закрытых ключей: Пользователя».
    Если используются сертификаты подписи по ГОСТ 2012 проверьте настройки на вкладке «Алгоритмы». В выпадающем списке «Выберите тип CSP» выберите GOST R 34.10-2012. Должны быть установлены следующие параметры:

    Ниже приведен образец настроек в КриптоПро CSP 5.0

    Если вы не можете изменить параметры на вкладке «Алгоритмы» (даже запустив КриптоПро CSP от лица администратора), необходимо сделать следующее:
    В реестре Windows открыть ключ HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProCryptographyCurrentVersionParameters и изменть значение EnableOIDModify на 1. После чего необходимо перезагрузиться.

    После изменения настроек криптопровайдера необходимо перезапустить АРМ ЛПУ.

    3. Проверьте сертификаты и лицензии

    С помощью системной утилиты certmgr.msc (кнопка Пуск — Выполнить (Найти программы и файлы)) откройте ваш сертификат. Срок действия сертификата не должен быть просрочен.
    Запустите КриптоПро CSP. На вкладке «Общие» проверьте срок действия лицензии криптопровайдера.
    Откройте вкладку «Сервис» и нажмите кнопку «Протестировать». Выберите контейнер закрытого ключа вашего сертификата. В открывшемся окне тестирования не должно быть ошибок, сообщений об истечении срока действия ключа итп.

    2. ORA-20015: Не удалось определить состояние ЭЛН:

    Для перехода в статус «Продлен» необходимо добавить период нетрудоспособности;
    Для перехода в статус «Закрыт» необходимо заполнить поля: «Приступить к работе с: дата» или «Иное: код»;
    Для перехода в статус «Направление на МСЭ» необходимо заполнить поле «Дата направления в бюро МСЭ»

    Причина:

    1. В системе существует ЭЛН с таким же номером и такими же данными, которые Вы присылаете (дублирование данных);

    2. Присылаемые данные в ЭЛН не соответствуют этапу оформления (заполнения) ЭЛН:

    • недостаточно данных для определения состояния ЭЛН;
    • внесенные данные относятся к разным этапам оформления (заполнения) ЭЛН.

    Что делать:

    3. ORA-20013: Не удалось обновить данные. Обновляемая запись потеряла актуальность

    Причина:

    Вы пытаетесь изменить ЭЛН, который ранее уже был кем-то изменен.

    Что делать:

    1. Запросите актуальное состояние ЭЛН из системы, тем самым Вы исключите повторную отправку тех же данных;

    2. Выполните необходимую дальнейшую операцию с ЭЛН в соответствии с порядком 624н:

    • продление (добавить новый период нетрудоспособности);
    • закрытие (добавить информацию о закрытии);
    • направление на МСЭ (добавить информацию о направлении на МСЭ).

    4. ORA-20001: Доступ к ЭЛН с №_________, СНИЛС_________, статусом _________ — ограничен

    Причина:

    Вы пытаетесь получить данные ЭЛН, который находится в статусе, ограничивающем Ваш доступ. Например, страхователь пытается получить данные ЭЛН, который еще не закрыт медицинской организацией. Согласно процессной модели, страхователь может получить данные ЭЛН для редактированиня только на статусе 030 — Закрыт. Другой пример — бюро МСЭ не может получить данные ЭЛН, который не направлен в бюро МСЭ (статус 040 — Направление на МСЭ)

    Что делать:

    1. Удостоверьтесь, что номер ЭЛН, данные которого вы хотите получить, введен верно.

    2. Дождитесь перехода ЭЛН на статус, который позволит Вам получить данные ЭЛН.

    5. Ошибка вызова сервиса передачи / получения данных. Не удалось расшифровать сообщение.

    Возможно сообщение было зашифровано на ключе, отличном от ключа уполномоченного лица ФСС.

    Проверьте правильность и актуальность ключа уполномоченного лица ФСС.

    Причины:

      В настройках подписания и шифрования в используемом пользователем ПО, в поле «Сертификат уполномоченного лица ФСС» указан неверный сертификат;

      Используется криптопровайдер Vipnet CSP определенной сборки.

    Что делать:

    Укажите верный сертификат уполномоченного лица ФСС:

    • Определите направление отправки запросов — тестовое или продуктивное;
    • Скачайте сертификат уполномоченного лица ФСС в разделе ЭЛН на сайте Фонда;
      Сертификат для тестовой отправки опубликован на сайте https://lk-test.fss.ru/cert.html
      Сертификат для продуктива опубликован на сайте https://lk.fss.ru/cert.html ;
    • Закройте используемое ПО. Удалите из хранилища «Личное» установленные сертификаты ФСС с помощью системной утилиты certmgr.msc (кнопка Пуск — Выполнить (Найти программы и файлы)). Установите скачанный сертификат на компьютер в хранилище «Личное» для текущего пользователя;
    • Укажите данный сертификат в соответствующих настройках используемого ПО.

    При использовании криптопровайдера Vipnet CSP — рабочей версией является 4.4.

    6. Ошибка вызова сервиса передачи/получения данных.

    Ошибка шифрования сообщения для получателя. Client received SOAP Fault from server: Fault occurred while processing. Please see the log to find more detail regarding exact cause of the failure.null

    Причина:

    Вы указали неверный сертификат для шифрования сообщения в поле «Имя сертификата МО»: указанный сертификат может быть использован только для подписания, но не шифрования.

    Что делать:

    Закажите и установите сертификат, который поддерживает не только операцию подписания, но и операцию шифрования.

    7.

    Ошибка при установке АРМ ЛПУ: Unable to build entity manager factory.

    Возникла ошибка при попытке загрузки данных из базы данных. Сообщите администратору следующую информацию:

    Unable to build entity manager factory.

    Причина:

    • Приложение было установлено некорректно (некорректно установлена БД);
    • База данных приложения установлена, но не доступна.

    Что делать:

    1. Запустите установку с правами администратора;

    2. Выполните установку программы по шагам инструкции (путь, где лежит инструкция: http://lk.fss.ru/eln.html).

    Если установка приложения выполнена в соответствии с инструкцией, но ошибка повторяется, необходимо проверить:

    • На компьютере отключена служба postgresql-9.5. Правой кнопкой на значке «Мой компьютер» — Управление — Службы и приложения — Службы, postgresql-9.5 должна быть запущена, запуск — автоматически. Для настройки запуска и работы службы Windows обратитесь к вашему системному администратору;
    • В настройках подключения к базе данных указан неправильный пароль для пользователя fss. Проверьте, что в БД этот пароль не менялся, пароль по умолчанию — fss;
    • Проверьте каталог установки БД PostgreSQL, по умолчанию — C:postgresql;
    • Подключение к БД PostgreSQL осуществляется по умолчанию по порту 5432. Этот порт должен быть открыт и доступен. Для проверки обратитесь к вашему системному администратору;
    • Приложение на клиентской машине не может связаться с сервером т.к. установлено какое либо сетевое ограничение. Проверьте, настройки антивирусов, файерволов, прочего сетевого ПО, для клиентской машины должны быть прописаны разрешения подключения к серверу по порту 5432.

    8. Ошибка при попытке загрузки данных из базы данных.

    Возникла ошибка при попытке загрузки данных из базы данных.

    Сообщите следующую информацию: org.hibernate.exception.SQLGrammarException: could not extract ResultSet.

    Причина:

    Приложение АРМ ЛПУ не может получить данные из базы данных PostgreSQL. Эта ошибка возникает чаще всего после установки обновления, когда приложение обновлено, а база данных PostgreSQL по какой либо причине не обновлена.

    Что делать:

    • Если приложение установлено на компьютере пользователя, а база данных PostgreSQL — на сервере. Необходимо запустить обновление приложение не только на клиенте, но и на серверной машине;
    • Если и приложение, и база данных PostgreSQL установлены на одной машине. Проверьте каталог установки приложения. По умолчанию, приложение АРМ ЛПУ ставится в каталог C:FssTools, а база данных PostgreSQL в каталог C:postgresql. Если при первичной установке была выбрана другая директория для установки приложения — то при обновлении вы должны указать именно эту директорию.

    9. Ошибка при попытке зайти в настройки подписи в ПО АРМ ЛПУ.

    При попытке зайти в настройки подписи в ПО АРМ ЛПУ выходит ошибка «Internal error. Reason: java.lang.ExceptionInInitializerError» или

    «Internal Error. Reason: java.lang.NoClassDefFoundError: Could not initialize class ru.ibs.fss.common.security.signature.COMCryptoAPIClient»

    Причина:

    Приложение было установлено некорректно (не зарегистрирована библиотека GostCryptography.dll).

    Что делать:

    1. Необходимо убедиться, что разрядность ОС совпадает с разрядностью установщика приложения.

    2. Проверить, установлены ли в системе компоненты Microsoft.Net Framework версии 4 и выше (по умолчанию данные компоненты устанавливаются в C:WindowsMicrosoft.NETFramework). Данные компоненты можно скачать с сайта microsoft.com .

    3. Проверить, что в папке, куда установлено приложение, имеется файл GostCryptography.dll (по умолчанию данный файл устанавливается в C:FssTools). Если данного файла нет, попробуйте переустановить приложение.

    4. Если все верно, в командной строке выполнить:

    Cd C:FssTools — переходим в папку, в которой находится файл GostCryptography.dll

    C:WindowsMicrosoft.NETFrameworkv4.0.30319RegAsm.exe /registered GostCryptography.dll — с указанием вашего адреса установки компонентов Microsoft.NET

    5. Перезапустить приложение.

    10. Ошибка вызова сервиса передачи/получения данных. Invalid element in ru.ibs.fss.eln.ws.FileOperationsLn_wsdl.ROW — SERV1_DT1.

    Ошибка: «Ошибка вызова сервиса передачи/получения данных. Invalid element in ru.ibs.fss.eln.ws.FileOperationsLn_wsdl.ROW — SERV1_DT1»

    Причина:

    Поле «SERV1_DT1» было исключено в новой спецификации 1.1 (14 версия и выше АРМ ЛПУ), изменена строка соединения.

    Что делать:

    Поменять строку соединения в настройках.

    В меню Администрирование – Настройки сервисов ФСС – Строка соединения, укажите следующий адрес сервиса:

    • Для работы https://docs.fss.ru/WSLnCryptoV11/FileOperationsLnPort?WSDL
    • Для тестирования:
    • 13. АРМ Подготовки расчетов для ФСС, ошибка «Набор ключей не определен»

      Причина:

      ГОСТ сертификата ФСС не соответствует выбранному в настройках криптопровайдеру, либо криптопровайдер не может получить закрытый ключ из контейнера закрытого ключа для выбранного сертификата.

      Что делать:

      • В настройках АРМ Подписания и шифрования проверить, что указанный криптопровайдер соответствует реально установленному у пользователя;
      • В настройках АРМ Подписания и шифрования проверить, что ГОСТы сертификата подписания и сертификата ФСС одинаковы и соответствуют выбранному криптопровайдеру;
      • Если используется сертификат ЭП по ГОСТ 2012, откройте сертификат, вкладка «Состав», параметр «Средство электронной подписи».
        Необходимо проверить, что средство ЭП соответствует криптопровайдеру, установленному у пользователя;
      • Если используется сертификат ЭП по ГОСТ 2012 и криптопровайдер КриптоПро, проверьте настройки на вкладке «Алгоритмы». В выпадающем списке «Выберите тип CSP» выберите GOST R 34.10-2012 (256). Должны быть установлены следующие параметры:

          «Параметры алгоритма шифрования» — ГОСТ 28147-89, параметры алгоритма шифрования TK26 Z

          «Параметры алгоритма подписи» — ГОСТ 34.10-2001, параметры по умолчанию

          «Параметры алгоритма Диффи-Хеллмана» — ГОСТ 34.10-2001, параметры обмена по умолчанию

      • В сертификате отсутствует закрытый ключ. С помощью системной утилиты certmgr.msc откройте сертификат, на вкладке «Общие» должно быть написано «Есть закрытый ключ для этого сертификата»;
      • Криптопровайдер не видит контейнер закрытого ключа для этого сертификата. В криптопровайдере КриптоПро CSP перейдите на вкладку «Сервис» и нажмите «Удалить запомненные пароли» — для пользователя;
      • Возможно, контейнер поврежден сторонним ПО. Переустановите сертификат заново, с обязательным указанием контейнера;
      • Переустановите криптопровайдер.

      Создание электронной подписи на платформе 1С с помощью СКЗИ КриптоПро CSP можно выполнять как на стороне сервера, так и на стороне клиента. В обоих случаях может появиться довольно неприятная ошибка:
      Неправильный параметр набора ключей.

      Неприятна данная ошибка тем, что у неё множество причин, и что бы её исправить, нужно провести целый комплекс мероприятий.

      Постановка задачи

      Допустим, имеется информационная база, с которой платформа 1С работает в клиент-серверном варианте. Создание электронной подписи будем выполнять на стороне сервера, в этом случае рекомендуется использовать сертификаты и ключи, находящиеся в хранилище локального компьютера, так как они будут доступны любому пользователю Windows. А так же имеется установленный сертификат в хранилище локального компьютера в разделе Личное (см. рисунок 1) с привязкой к закрытому ключу (см. рисунок 2).
      При выполнении создания ЭП происходит исключительная ошибка, сообщающая о неправильном параметре набора ключей.

      Решение проблемы

      Создание ЭП на стороне сервера означает, что данная операция будет выполняться от имени пользователя сервера 1С (USR1CV82 или USR1CV83, в зависимости от версии платформы). Одна из причин появления ошибки неправильного параметра набора ключей — это отсутствие у пользователя доступа к закрытому(секретному) ключу сертификата.

      Что бы пользователя наделить необходимыми правами для работы с закрытым ключом сертификата, откройте оснастку Сертификаты
      (подключается автоматически при установке КриптоПро CSP) и найдите сертификат, который используется для создания ЭП. Нажмите правой кнопкой мыши на него и выберите пункт Все задачи -> Управление закрытыми ключами
      (см. рисунок 3).
      В открывшемся окне добавьте пользователя и установите полный доступ к закрытому ключу.
      Ошибка должна исчезнуть.

    Сегодня разберем проблему с подписью в КриптоПро, а конкретнее строчку в отчете “ошибка 0x80090010 отказано в доступе”. Поговорим чем вызван этот сбой в СУФД, дадим общие рекомендации по обновлению программы. В конце статьи оставим инструкцию как же все такие подписать документы, если ключ просрочен, а отправить отчет нужно.

    Ошибка подписи. CryptSignMessage: Отказано в доступе

    Отправляясь тестировать контейнер первым делом получаем отчет с ошибкой вот такого содержания:

    Ошибка 0x80090010 отказано в доступе

    Для начала проверьте версию КриптоПРО CSP. Если версия стабильная и рабочая – оставляем, если помимо этого сбоя присутствую другие ошибки – версию программы лучше обновить на будущее.
    Ошибка 0x80090010 отказано в доступе – означает что просрочена версия открытого или закрытого ключа. Создавая запрос на выдачу сертификата для генерации ключей, мы несём необходимые бумаги для выдачи подписи через несколько недель. Контроль будет осуществляться с даты создания запроса. Тут мы используем лайфхак, об этом ниже, а для начала мы протестируем контейнер.

    Проверяем контейнер

    Для проверки контейнера проделаем стандартные операции перечисленные ниже:

    Проверка завершилась с ошибкой

    Проверка завершилась с ошибкой

    Срок действия закрытого ключа истек

    Срок действия закрытого ключа истек

    Срок действия закрытого ключа истек

    Срок действия закрытого ключа истек

    Еще раз – ошибка подписи 0x80090010 всегда означает что истек срок действия закрытого ключа.

    Как подписать документы?

    Тут придется прибегнуть к маленькой хитрости, которая работала раньше во многих программах схожего типа – поменять системную дату на срок действия системного ключа:

    Настройка даты и времени

    Настройка даты и времени

    После этого можно выдохнуть, заварить чашечку крепкого кофе… И начать готовить документы и оформлять заявку для оформления нового сертификата.

    Заключение

    Напишите нам в комментариях помогла ли вам данная инструкция побороть проблему отказа доступа в КриптоПро. Если статья была полезна – делитесь ссылками в соцсетях, так вы поможете другим пользователям с аналогичной проблемой. Задавайте другие вопросы о других программах, которые работают с ошибками или вызывают вопросы.

    Евгений Загорский

    Евгений Загорский

    IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.

    Подпись Ошибка 0x80090010: Отказано в доступе в Континент АП

    При работе с аппаратно-программным комплексом «Континент АП» и попытке выполнить подписание документов (или другие смежные операции) мы можем столкнуться с подписью « Ошибка 0x80090010: Отказано в доступе ». После появления уведомления нормальный функционал системы бывает нарушен, и использование сертификатов для подписи и отправки документов может быть заблокировано. Ниже разберём, в чём причины данной дисфункции, и как её можно исправить.

    Ошибка создания запроса

    Причины ошибки с кодом 0x80090010: Отказано в доступе в Континент АП

    Как известно, АП « Континент » — это аппаратно-программный комплекс, обеспечивающий защиту информационных сетей от вторжений со стороны Интернета. Комплекс гарантирует конфиденциальность передачи данных по открытым каналам связи с помощью VPN, и имеет высокую степень доверия со стороны государственных структур Российской Федерации, а также различных бизнес-структур.

    Иллюстрация работы АП Континент

    Причины для этого могут быть следующие:

    Причины: Особенности:
    Отсутствуют необходимые права для доступа к файловой системе закрытого ключа на флешке (если на последней используется файловая система NTFS) Обычно такое случается в ситуации, когда контейнер с файлами создавался на одном ПК, а используется на другом. Это наиболее распространённая причина появления проблемы.
    Отсутствуют необходимые права для доступа к нужным файлам на жёстком диске Обычно это происходит в ситуации, когда у учётной записи пользователя на данном компьютере отсутствуют необходимые права.
    Истёк срок действия закрытого ключа Особенно это актуально в случае Крипто-ПРО 4, которая считает закрытые ключи сроком более 15 месяцев утратившими свой статус. При этом при просмотре открытого ключа электронно-цифровой подписи он может быть вполне действителен и актуален.

    Также причиной может быть использование устаревшей версии системы Крипто-Про. Давайте разберём способы, позволяющие исправить подпись с кодом 0x80090010, когда может быть отказано в доступе в программе Континент АП.

    Использование флеш-накопителя с файловой системой FAT32

    Отсутствие необходимых прав доступа к файловой системе флешки – наиболее частая причина появления ошибки 0x80090010. Потому первым делом рекомендуем проверить, какая файловая система используется в вашем флеш-накопитель – FAT32 или NTFS.

    Свойства диска С

    Если у вас файловая система NTFS, то рекомендуем переформатировать флешку на FAT32, и уже затем использовать её для записи служебных файлов.

    Конвертация NTFS в FAT32

    Также рекомендуем перейти в указанном окне « Свойства », выбрать там вкладку « Безопасность », и при необходимости открыть доступ к нужным служебным файлам.

    Ещё может помочь внесение флешки в исключения антивируса, который может блокировать корректный доступ к накопителю.

    Обновление закрытого ключа для устранения проблемы в подписи

    Во многих случаях причиной дисфункции в «Континент» АП может стать истёкший срок действия закрытого ключа. Для определения статуса ключа запустите КриптоПро, далее выберите вкладку « Сервис », найдите там подпункт « Контейнер закрытого ключа », и выберите в нём « Протестировать ».

    Кнопка "Протестировать" в Крипто Про

    Если во время процедуры тестинга система выдаст вам соответствующую ошибку, будет необходимо обновить ваш закрытый ключ.

    Ошибка Крипто Про

    Это позволит избавиться от ошибки с кодом 0x80090010, когда отказано в доступе в программе «Континент» АП.

    Также может помочь следующая процедура, особенно актуальная в случае Крипто-Про 4.0:

    Сертификат Континент АП будет необходимо установить с привязкой к данному контейнеру с новым именем, и дисфункция 0x80090010 (отказано в доступе) исчезнет.

    Также некоторые пользователи используют нестандартный ход, и меняют системное время ПК на время, когда системный ключ был действителен. После этого выполняются все нужные операции. Подойдёт ли вам данный вариант – решать лишь вам.

    Проверка права учётной записи пользователя в ОС Windows, если отказано в доступе

    Также рекомендуем проверить права доступа учётной записи пользователя в реестре ОС Виндовс.

    Для этого выполните следующее:

    HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUsers Keys

    Проверьте здесь наличие соответствующих прав.

    Установка актуальной версии системы КриптоПро в Континент АП при ошибке 0x80090010

    Также рекомендуем обновить вашу версию «Крипто-Про» до самой актуальной. Это может помочь устранить ошибку с кодом 0x80090010.

    Упаковка КриптоПро

    Заключение

    В нашей статье мы разобрали, почему появляется подпись с ошибкой 0x80090010 и текстом «Отказано в доступе» в программе Континент АП, и как её исправить. Наиболее часто причиной проблемы является отсутствие прав при доступе к флешь-накопителю, с использующейся на нём системой NTFS. Переформатируйте флешку на FAT32, или предоставьте права доступа к файлам с помощью вкладки «Безопасность», и проблема перестанет вам досаждать.

    Источники:

    https://itpen. ru/podpis-oshibka-0x80090010-otkazano-v-dostupe-kriptopro-reshenie/

    https://rusadmin. biz/oshibki/podpis-oshibka-0x80090010-otkazano-v-dostupe-v-kontinent-ap/

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *