Ошибка 0x8009001f неправильный параметр набора ключей - Решение и исправление самых разных ошибок на TopOshibok.ru

Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 4.0
»
Не могу создать или скопировать контейнеры в локальном хранилище пользователя

Egor Omelyashko	#1 Оставлено : 4 июня 2019 г. 9:02:33(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 04.06.2019(UTC) Сообщений: 5 Откуда: Балаково	Не могу создать или скопировать контейнеры в локальном хранилище пользователя. Цитата: user@35kab:~$ /opt/cprocsp/bin/amd64/csptestf -keycopy -contsrc ‘\\.\FLASH\rasskazovab37ee325-6184-48b0-95d3-f7b1028f14d8’ -contdest ‘\\.\HDIMAGE\rasskazovaev2019’ CSP (Type:80) v4.0.9017 KC1 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:SSSE3. CryptAcquireContext succeeded.HCRYPTPROV: 31966931 An error occurred in running the program. /dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/keycopy.c:193:AcquireContext(destination) Error number 0x8009001f (2148073503). Неправильный параметр набора ключей. Total: SYS: 0,040 sec USR: 0,600 sec UTC: 0,660 sec [ErrorCode: 0x8009001f] что я делаю не так? в локальном хранилище под root создаются, а под пользователем нет( Цитата: root@35kab:/home/user# /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifyc CSP (Type:80) v4.0.9017 KC1 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:SSSE3. AcquireContext: OK. HCRYPTPROV: 22250467 \\.\FLASH\rasskazovab37ee325-6184-48b0-95d3-f7b1028f14d8 \\.\FLASH\kuznecovaed6e258d-10d6-4617-b775-0dff8f06a9c2 \\.\FLASH\�� 1 �. �-25.03.2019-12-05-08 \\.\HDIMAGE\rasskazovaev2019 \\.\HDIMAGE\rasskazovaNew OK. Total: SYS: 0,070 sec USR: 0,650 sec UTC: 1,030 sec [ErrorCode: 0x00000000] Заранее благодарю

Михаил Селезнёв	#2 Оставлено : 4 июня 2019 г. 11:37:40(UTC)
Статус:: Сотрудник Группы: Участники Зарегистрирован: 05.04.2017(UTC) Сообщений: 357 Сказал «Спасибо»: 3 раз Поблагодарили: 49 раз в 49 постах	Добрый день! Вы пытаетесь присвоить копии имя, которое уже существует, измените rasskazovaev2019 на что-то другое. Дополнительно прошу приложить результат выполнения команды: ./csptest -keyset -cont ‘\\.\FLASH\rasskazovab37ee325-6184-48b0-95d3-f7b1028f14d8’ -check -info Отредактировано пользователем 4 июня 2019 г. 11:43:14(UTC) \| Причина: Не указана

Egor Omelyashko	#3 Оставлено : 4 июня 2019 г. 22:04:49(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 04.06.2019(UTC) Сообщений: 5 Откуда: Балаково	Пробовал, видимо дело не в этом. Первая команда не от root и она выдает то что я показал, поэтому я попробовал запустить эту же команду с sudo и команда сработала. во второй цитате это видно. дело в том что в директории /var/opt/cprocsp/keys/root можно создать контейнеры, а вот ~/keys/user нет( отпишусь уже завтра по поводу команды — ./csptest -keyset -cont ‘\\.\FLASH\rasskazovab37ee325-6184-48b0-95d3-f7b1028f14d8’ -check -info Отредактировано пользователем 4 июня 2019 г. 22:19:28(UTC) \| Причина: Не указана

Egor Omelyashko	#4 Оставлено : 7 июня 2019 г. 7:15:09(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 04.06.2019(UTC) Сообщений: 5 Откуда: Балаково	Вот вывод команды Цитата: user@35kab:~$ /opt/cprocsp/bin/amd64/csptest -keyset -cont ‘\\.\FLASH\rasskazovab37ee325-6184-48b0-95d3-f7b1028f14d8’ CSP (Type:80) v4.0.9017 KC1 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:SSSE3. AcquireContext: OK. HCRYPTPROV: 26014691 GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP Container name: «rasskazovab37ee325-6184-48b0-95d3-f7b1028f14d8» Signature key is not available. Exchange key is available. HCRYPTKEY: 0x190e423 uec key is not available. Keys in container: exchange key Extensions: OID: 1.2.643.2.2.37.3.10 OID: 1.2.643.2.2.37.3.3 OID: 1.2.643.2.2.37.3.1 Total: SYS: 0,070 sec USR: 0,560 sec UTC: 0,670 sec [ErrorCode: 0x00000000]

Михаил Селезнёв	#5 Оставлено : 10 июня 2019 г. 10:30:47(UTC)
Статус:: Сотрудник Группы: Участники Зарегистрирован: 05.04.2017(UTC) Сообщений: 357 Сказал «Спасибо»: 3 раз Поблагодарили: 49 раз в 49 постах	Команда не целиком выполнена, Вы забыли добавить флаги -check и -info.

Egor Omelyashko	#6 Оставлено : 12 июня 2019 г. 12:36:21(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 04.06.2019(UTC) Сообщений: 5 Откуда: Балаково	извините, вот полный вывод Цитата: user@35kab:~$ /opt/cprocsp/bin/amd64/csptest -keyset -cont ‘\\.\FLASH\rasskazovab37ee325-6184-48b0-95d3-f7b1028f14d8’ -check -info CSP (Type:80) v4.0.9017 KC1 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:SSSE3. AcquireContext: OK. HCRYPTPROV: 8078307 GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP Container name: «rasskazovab37ee325-6184-48b0-95d3-f7b1028f14d8» Check header passed. Signature key is not available. Exchange key is available. HCRYPTKEY: 0x7eef53 uec key is not available. CSP algorithms info: Type:Encrypt Name:’GOST 28147-89′(14) Long:’GOST 28147-89′(14) DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026142 Type:Hash Name:’GR 34.11-2012 256′(18) Long:’GOST R 34.11-2012 256′(22) DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00032801 Type:Signature Name:’GR 34.10-2012 256′(18) Long:’GOST R 34.10-2012 256′(22) DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00011849 Type:Exchange Name:’DH 34.10-2012 256′(18) Long:’GOST R 34.10-2012 256 DH'(25) DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00043590 Type:Exchange Name:’DH 34.10-2012 256′(18) Long:’GOST R 34.10-2012 256 DH'(25) DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00043591 Type:Hash Name:’HMAC GOST 28147-89′(19) Long:’HMAC GOST 28147-89′(19) DefaultLen:32 MinLen:32 MaxLen:32 Prot:0 Algid:00032799 Status: Provider handles used: 3 Provider handles max: 1048576 CPU Usage: 2 % CPU Usage by CSP: 2 % Measurement interval: 101 ms Virtual memory used: 1004148 KB Virtual memory used by CSP: 80328 KB Free virtual memory: 1220936 KB Total virtual memory: 2225084 KB Physical memory used: 1006128 KB Physical memory used by CSP: 9256 KB Free physical memory: 1024400 KB Total physical memory: 2030528 KB Key pair info: HCRYPTKEY: 0x7eef53 AlgID: CALG_DH_GR3410_12_256_SF = 0x0000aa46 (00043590): AlgClass: ALG_CLASS_KEY_EXCHANGE AlgType: ALG_TYPE_DH AlgSID: 70 KP_HASHOID: 1.2.643.7.1.1.2.2 KP_DHOID: 1.2.643.2.2.36.0 KP_SIGNATUREOID: 1.2.643.2.2.36.0 Permissions: CRYPT_EXPORT CRYPT_READ CRYPT_WRITE CRYPT_IMPORT_KEY CRYPT_ARCHIVE 0x800 0x10000 0x100000 KP_CERTIFICATE: Certificate: 2291 bytes Container version: 2 Check container passed. Check sign passed. Check verify signature on private key passed. Check verify signature on public key passed. Check import passed. Certificate in container matches AT_KEYEXCHANGE key. Keys in container: exchange key Extensions (maxLength: 3315): ParamLen: 47 OID: 1.2.643.2.2.37.3.10 Critical: FALSE Size: 19 ParamLen: 1335 OID: 1.2.643.2.2.37.3.3 Critical: FALSE Size: 1308 ParamLen: 1926 OID: 1.2.643.2.2.37.3.1 Critical: FALSE Size: 1899 Total: SYS: 0,040 sec USR: 0,820 sec UTC: 12,170 sec [ErrorCode: 0x00000000]

Михаил Селезнёв	#7 Оставлено : 13 июня 2019 г. 10:18:58(UTC)
Статус:: Сотрудник Группы: Участники Зарегистрирован: 05.04.2017(UTC) Сообщений: 357 Сказал «Спасибо»: 3 раз Поблагодарили: 49 раз в 49 постах	Прошу приложить результат создания контейнера: $ ./csptestf -keys -newk -cont ‘\\.\HDIMAGE\test’ -keytype exchange А так же создать обращение на Портале технической поддержки: https://support.cryptopro.ru Отредактировано пользователем 13 июня 2019 г. 10:23:32(UTC) \| Причина: Не указана

Анатолий Колкочев	#8 Оставлено : 15 июня 2019 г. 21:22:10(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 05.07.2018(UTC) Сообщений: 454 Сказал(а) «Спасибо»: 42 раз Поблагодарили: 68 раз в 60 постах	Подскажите пожалуйста, что за OID 1.2.643.2.2.37.3.10 ?? Где-то видел проблему, при которой данный идентификатор указывал на дату истечения срока действия ключа… Автор: Egor Omelyashko Вот вывод команды Цитата: user@35kab:~$ /opt/cprocsp/bin/amd64/csptest -keyset -cont ‘\\.\FLASH\rasskazovab37ee325-6184-48b0-95d3-f7b1028f14d8’ CSP (Type:80) v4.0.9017 KC1 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:SSSE3. AcquireContext: OK. HCRYPTPROV: 26014691 GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP Container name: «rasskazovab37ee325-6184-48b0-95d3-f7b1028f14d8» Signature key is not available. Exchange key is available. HCRYPTKEY: 0x190e423 uec key is not available. Keys in container: exchange key Extensions: OID: 1.2.643.2.2.37.3.10 OID: 1.2.643.2.2.37.3.3 OID: 1.2.643.2.2.37.3.1 Total: SYS: 0,070 sec USR: 0,560 sec UTC: 0,670 sec [ErrorCode: 0x00000000]
GithHub: https://github.com/anatolkavassermann/

two_oceans	#9 Оставлено : 17 июня 2019 г. 10:15:47(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,599 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 389 раз в 364 постах	Автор: TolikTipaTut1 Подскажите пожалуйста, что за OID 1.2.643.2.2.37.3.10 ?? Где-то видел проблему, при которой данный идентификатор указывал на дату истечения срока действия ключа… Мне кажется, у Вас проблема не с этим, но все равно отвечу, так как действительно контейнер с истекшим сроком ключа нельзя экспортировать или копировать.

1 пользователь поблагодарил two_oceans за этот пост.	TolikTipaTut1 оставлено 17.06.2019(UTC)

Egor Omelyashko	#10 Оставлено : 10 июля 2019 г. 12:00:07(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 04.06.2019(UTC) Сообщений: 5 Откуда: Балаково	Автор: Михаил Селезнёв Прошу приложить результат создания контейнера: $ ./csptestf -keys -newk -cont ‘\\.\HDIMAGE\test’ -keytype exchange А так же создать обращение на Портале технической поддержки: https://support.cryptopro.ru Прошу прощения за долгое молчание. В ТП еще не обращался сегодня же постараюсь им написать. Вот вывод команды как вы и просили: Цитата: user@35kab:~$ /opt/cprocsp/bin/amd64/csptestf -keys -newk -cont ‘\\.\HDIMAGE\test’ -keytype exchange CSP (Type:80) v4.0.9017 KC1 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:SSSE3. An error occurred in running the program. /dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/ctkey.c:993:AcquireContext(«\\.\HDIMAGE\test») Error number 0x8009001f (2148073503). Неправильный параметр набора ключей. Total: SYS: 0,030 sec USR: 0,590 sec UTC: 0,610 sec [ErrorCode: 0x8009001f]

Пользователи, просматривающие эту тему

Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Источник

Решение проблем с подключением скзи «Континент-ап»

Главная > Решение

Информация о документе
Дата добавления:
Размер:
Доступные форматы для скачивания:

Решение проблем с подключением СКЗИ «Континент-АП»

1. «Ошибка 721» Удаленный компьютер не отвечает….……………….…….……. …. 2

2. «Ошибка 628» Подключение было закрыто……………….……….…………..……….2

3. «Ошибка 629» Подключение было закрыто удаленным компьютером……….…..….2

4. «Ошибка 735» Запрошенный адрес был отвергнут сервером ………..…..….…….….3

5. «Ошибка 703» Подключению требуются некоторые данные от пользователя, но приложение не допускает взаимодействия с пользователем..……………..………….….4

6. «Ошибка 734» Протокол управления PPP-связью был прерван.………………….…..4

7. «Ошибка» Сервер отказал в доступе пользователю. Причина отказа многократный вход пользователя запрещен ……..…………………………………………….………. …4

8. «Ошибка» подписи ключа 0x8009001D (Библиотека поставщика проинициализирована неправильно) ……………………………………………………. 4

9. «Ошибка» подписи ключа 0x80090019 (Набор ключей не определен) ………….…. 5

10. «Ошибка» подписи ключа 0x8009001F (Неправильный параметр набора ключей).…………………………………………………………………….………………. 5

11. «Ошибка» подписи ключа 0x00000002 (Не удается найти указанный файл)………5

12. Сервер отказал в доступе пользователю. Причина отказа: вход пользователя заблокирован. 5

13. Нарушена целостность файлов. Обратитесь к системному администратору………..5

14. «Ошибка 850» На компьютере не установлен тип протокола EAP, необходимый для проверки подлинности подключения удаленного доступа. 5

15. «Ошибка» Вставьте ключевой носитель. Набор ключей не существует……..………5

16. «Ошибка» Вставьте ключевой носитель (Поле «устройства» пустое)……………….6

19. Сервер отказал в доступе пользователю «Client-Cert not found» ……………. ….7

20. «Ошибка» При попытке установить соединение появляется сообщение: «Нарушена целостность файлов Абонентского пункта. Обратитесь к системному администратору»……………………………………………………………………. …….17

Абонентский пункт позволяет устанавливать удаленные защищенные соединения посредством эмулятора модема Continent 3 PPP Adapter. При подключении абонентского пункта Континент-АП могут появляться сообщения об ошибках, перечисленные ниже:

«Ошибка 721» Удаленный компьютер не отвечает (см. рис. 1).

1.1 Возможно, у Вас отсутствует подключение к Интернету.

1.2 Какие-либо программы блокируют порты. Отключите антивирус, брандмауэр.

1.3 Удалите, если установлен, межсетевой экран, идущий с программой Континент-АП.

1.4. Если вы используете проводной Интернет, возможно, провайдер заблокировал порты, необходимые для работы программы Континент-АП. Для проверки установите соединение с Интернетом через usb-модем.

Если Интернет работает, убедитесь, что Континент-АП настроен в соответствии с требованиями разделов « Настройка дополнительного IP-адреса сервера доступа » (стр. 7) и « Подключение к серверу » (стр. 14) в документе « Руководство пользователя по установке и настройке СКЗИ «Континент-АП» версии 3.6 » размещенном на сайте

2. «Ошибка 628» Подключение было закрыто.

3. «Ошибка 629» Подключение было закрыто удаленным компьютером.

4. «Ошибка 735» Запрошенный адрес был отвергнут сервером.

Данная ошибка возникает, когда в свойствах протокола TCP/IP пользователь прописывает вручную IP-адрес, в то время когда сервер должен выдавать их автоматически. Чтобы исправить данную ошибку, необходимо зайти в настройки подключения Континент-АП. (см. рис. 2).

Во вкладке «Сеть», выделить строку «Протокол Интернета TCP/IP» и нажать кнопку «Свойства» (см. рис. 3).

В открывшемся окне (см. рис. 4) поставить следующие переключатели:

«Получить IP-адрес автоматически»;

«Получить адрес DNS-сервера автоматически».

5. «Ошибка 703» Подключению требуются некоторые данные от пользователя, но приложение не допускает взаимодействия с пользователем.

Зайти в настройки Континент-АП — на закладке «безопасность» кнопку «параметры», кнопка — «свойства», «сбросить запомненный сертификат».

6. «Ошибка 734» Протокол управления PPP-связью был прерван.

6.1 Ориентироваться на ошибку, которая появляется до этой.

6.2 Проверить системную дату.

7. «Ошибка» Сервер отказал в доступе пользователю. Причина отказа многократный вход пользователя запрещен.

Подождать несколько минут и заново установить соединение, если соединение не установилось позвонить в РСБИ вашего УФК.

8. «Ошибка» подписи ключа 0x8009001D (Библиотека поставщика проинициализирована неправильно).

Истек срок действия лицензии СКЗИ КриптоПро.

9. «Ошибка» подписи ключа 0x80090019 (Набор ключей не определен).

9.1 Удалить запомненные пароли (Панель Управления=> КриптоПро => Сервис => Удалить запомненные пароли).

9.2 Возможно, истек срок действия сертификата. Проверьте, срок действия, открыв файл user.cer.

10. «Ошибка» подписи ключа 0x8009001F (Неправильный параметр набора ключей).

Установить новую версию Континент-АП.

11. «Ошибка» подписи ключа 0x00000002 (Не удается найти указанный файл).

Установить новую версию Континент-АП.

12. Сервер отказал в доступе пользователю. Причина отказа: «Вход пользователя заблокирован».

Вас заблокировали на сервере УФК. Позвоните в отдел РСБИ и узнайте причину блокировки.

13. Нарушена целостность файлов. Обратитесь к системному администратору.

Необходимо “исправить” программу Континент-АП через Панель Управления=> Установка и удаление программ, или установить новую версию Континент-АП.

14. «Ошибка 850» На компьютере не установлен тип протокола EAP, необходимый для проверки подлинности подключения удаленного доступа.

15. «Ошибка» Вставьте ключевой носитель. Набор ключей не существует.

15.1 Убедитесь, что носитель информации с ключом Континент вставлен.

15.2 При установке соединения на этапе выбора сертификата убедитесь, что выбран правильный сертификат.

15.1.3 Убедитесь, что КриптоПро видит данный ключ.

16. «Ошибка» Вставьте ключевой носитель (Поле «устройства» пустое).

Убедитесь, что носитель информации с ключом Континент вставлен;

Откройте КриптоПро и, на вкладке «Оборудование», выберите «Настроить считыватели»;

В поле «Установлены следующие считыватели» удалите все считыватели, выбирая их по очереди и нажимая кнопку «Удалить»;

Появится окно мастера установки считывателя. Нажмите «Далее»;

На следующем шаге мастера установки считывателя в поле «Производители» выберите «Все производители». А в списке «Доступные считыватели» выберите «Все съемные диски». Нажмите кнопку «Далее»;

В следующем окне нажмите кнопку «Далее»;

В появившемся окне нажмите «Готово»;

Попытайтесь заново установить соединение.

17. «Ошибка» Пропала пиктограмма, расположенная в трее.

17.1 Зайдите «Пуск» => «Все программы» => «Код безопасности» => «Абонентский пункт Континент» и выберите «Программа управления».

17.2 Если пиктограмма не появилась, нажмите правую кнопку мыши на панель задач Windows (либо нажмите ctrl +alt + delete) и выберите «Диспетчер задач».

Перейдите на вкладку «Процессы» и в списке выберите «AP_Mgr.exe» и нажмите кнопку «Завершить процесс».

Затем повторите пункт 17.1.

18. Сервер отказал в доступе пользователю «Неверный тип использования ключа».

18.1 Переустановить сертификат, предварительно очистив в КриптоПро «запомненные пароли». Проверить работу.

18.2 Необходимо “исправить” программу Континент-АП через Панель Управления=> Установка и удаление программ, или установить новую версию Континент-АП.

18.3 Переустановить Континент-АП (перезагрузить компьютер). Установить заново сертификат.

18.4 Переустановить сначала КриптоПро (желательно через cspclean.exe ), потом Континент-АП (перезагрузить компьютер). Установить заново сертификаты.

19. Сервер отказал в доступе пользователю. «Client-Cert not found» (см. рис. 5).

Решение: Проверьте срок действия лицензии на СКЗИ «КриптоПро» версии 3.6. Для этого откройте меню Пуск => Программы => Крипто-Про => Управление лицензиями КриптоПро PKI (см. рис. 6).

Выберите пункт меню «КриптоПро CSP». В правой части окна «Управление лицензиями КриптоПро PKI» указан срок действия лицензии (см. рис. 7).

Если срок действия лицензии истек, щелкните правой кнопкой мыши по строке меню «КриптоПро CSP», выберите пункт строку меню «Все задачи => Ввести серийный номер» (см. рис. 8). Введите серийный номер лицензии, полученный в органе ФК.

Если срок действия лицензии неограничен, закройте окно «Управление лицензиями КриптоПро PKI» и попробуйте установить соединение Континент-АП. Если проблема осталась, то выполните следующие действия.

Требуется удаление сертификата Континент-АП из настроек компьютера и повторная установка этого сертификата. Для этого вызовите меню Континент-АП, кликнув правой кнопкой мыши по значку в правом нижнем углу экрана.

В меню «Настройка аутентификации» активируйте команду «Континент-АП» (см.рис.9).

На экране появится окно «Континент-АП». Нажмите кнопку «Сбросить запомненный сертификат», нажмите кнопку «ОК» (см. рис. 10).

Запустите программу certmgr.msc из папки «Утилиты», входящей в состав дистрибутива «Континент-АП 3.6 с поддержкой Windows7 Дистрибутив и инструкция пользователя». На экране появится окно «Сертификаты». Откройте список «Сертификаты – текущий пользователь», затем список «Личные», затем список «Сертификаты» (см. рис. 11).

Рис.11

Удалите все сертификаты, у которых в графе «Кем выдан» указано «Сервер доступа УФК» или «Сервер доступа ОФК» (см. рис. 12). Закройте окно «Сертификаты».

Вызовите меню Континент-АП, кликнув правой кнопкой мыши по значку в правом нижнем углу экрана.

В меню «Сертификаты» активируйте команду «Установить сертификат пользователя» (см. рис. 13).

На экране появится окно «Открыть». Выберите файл user.cer и нажмите кнопку «Открыть» (см. рис.14). Файл user.cer может находиться на дискете или флэш-носителе.

На экране появится окно «Континент-АП» с предложением «Выберите ключевой контейнер сертификата пользователя». Выберите нужный ключевой контейнер и нажмите кнопку «ОК» (см. рис. 15). Обычно, начальные символы имени ключевого контейнера совпадают с ИНН организации.

В случае появления на экране сообщения, как на рисунке 16, нажмите кнопку «Да, автоматически» (см. рис. 16). Это сообщение не появится при повторной установке сертификата.

Нажмите кнопку «ОК» (см. рис. 18).

Попробуйте установить соединение Континент-АП. Если проблема осталась, переустановите Континент-АП. Для этого откройте меню «Пуск => Настройка => Панель управления» (см. рис. 19).

Откройте ярлык «Установка и удаление программ» (см. рис. 20).

Найдите строку «Континент-АП» в списке установленных программ и нажмите кнопку «Изменить» (см. рис. 21).

На экране появится окно «Континент-АП». Нажмите кнопку «Далее» (см. рис. 22).

Установите отметку в поле «Исправить». Нажмите кнопку «Далее» (см. рис. 23).

Нажмите кнопку «Установить» (см. рис. 24). Дождитесь окончания установки Континент-АП. Это может занять несколько минут.

Рис. 24
Нажмите Кнопку «Готово» (см. рис. 25).

Для перезагрузки компьютера нажмите кнопку «ДА» (см. рис. 26).

После перезагрузки компьютера попробуйте установить соединение Континент-АП.

20. «Ошибка» При попытке установить соединение появляется сообщение « Нарушена целостность файлов Абонентского пункта. Обратитесь к системному администратору » (см. рис. 27).

Запустите файл start.bat из папки setup, которая находится в архиве с дистрибутивом Континент-АП. Попробуйте установить соединение. Если не соединяется, удалите Континент-АП и установите Континент-АП версии 3.6 в соответствии с документом «Руководство пользователя по установке и настройке СКЗИ Континент-АП 3.6.doc».

Источник

Описаны типичные проблемы в работе с Континентом-АП и способы их решения.

1) Ошибка подписи ключа 0x8009001F (Неправильный параметр набора ключей.)

Для решения проблемы нужно:

а) Удалить запомненные пароли Крипто-Про.
б) Переустановить программу Континент-АП.

2) Сервер отказал в доступе пользователю. Причина отказа многократный вход пользователя запрещен.

Для решения проблемы нужно:

а) Если используется одновременное соединение на нескольких компьютерах с помощью одного ключа, то необходимо обращаться к администратору сервера доступа для того, чтобы на сервере включили возможность одновременного подключения (если администратор это допускает).

б) Если не используется одновременное соединение на нескольких компьютерах, то нужно просто подождать некоторое время между попытками соединения (несколько минут).

3) Ошибка 703: Подключению требуются некоторые данные от пользователя, но приложение не допускает взаимодействия с пользователем».

4) Ошибка 735 Запрошенный адрес был отвергнут сервером.

Ошибка возникает, если в свойствах протокола TCP/IP пользователь прописывает вручную IP-адрес, в то время когда сервер должен выдавать их автоматически. Необходимо зайти в настройки подключения Континент-АП. Во вкладке «Сеть», выделить строку «Протокол Интернета TCP/IP» и нажать кнопку «Свойства». В открывшемся окне поставить следующие переключатели:

«Получить IP-адрес автоматически»;
«Получить адрес DNS-сервера автоматически».

5) Ошибка 721 Удаленный компьютер не отвечает.

Эта ошибка означает что ваш компьютер “видит” сервер, но не получает от него ответов. Наиболее частой причиной является наличие на Вашей машине установленного firewall, то есть сетевого экрана, который не дает получать пакеты от сервера. Эта ошибка также может указывать на аппаратные неисправности вашего компьютера, либо удаленного сервера.

Для решения проблемы нужно:

а) Отключить службу «Брандмауэр Windows/Общий доступ к Интернету (ICS)».

б)Добавьте в разрешения антивирусу сам Континент-АП.
Возможно проверить работают ли используемые порты. Проверить можно с помощью команды telnet с указанием порта.
6) Сервер отказал в доступе. нет свободных ip адресов.

Необходимо обращаться к администратору сервера доступа.

7) Ошибка 629 подключение было закрыто удаленным компьютером.

Такой тип ошибки возникает, когда отсутствует связь между вашим компьютером и сервером доступа.

Возможные причины.
а) Нет доступа в интернет.
б) В настройках АП Континент не правильно указан IP адрес сервера доступа.
в) Закрыты порты UDP/4433 и UDP/7500.

Континент обрубает все соединения (например, пропадают сетевые диски после подключения континента).
Для решения проблемы нужно нажать правой кнопкой на значок Континента в трее и убирать галку «Запрещать незащищенные соединения».

Он был верным знаменосцем. Сжимал в руках древко, не отвлекаясь ничем, даже сменой цветов на полотнище. Станислав Ежи Лец
ещё >>

Источник

В событиях на ЦР видно:

Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 14:14:22
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка %2 при обращении к CSP: %1

Так как машина на которой стоит АРМ удаленная, АРМ был установлен также на машину ЦР, ошибка осталась но в событиях ЦР изменилась:

Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 17:37:30
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка 0x80090019 при обращении к CSP: Набор ключей не определен.

==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.

Меня смущает то, что когда в АРМ заходишь вразделы Пользователи, Сертификаты и пр. он выдает окошко с просьбой вставить соответсвующий ключевой носитель (но пароль не спрашивает ибо он запомнен), а когда заходишь в раздел Центр сертификации и выбираешь правой кнопкой любой из пунктов, то ошибка вываливается сразу, даже не спрашивая контейнеров ключей.

Однако если удалить сертификат веб-сервера ЦР из хранилища и перегрузится, то такой ошибки уже нет, если опять прописать туда, то опять появляется. Создание нового контейнера и сертификата веб-сервера ЦР не приводит к улучшению.

На службе IISAdmin стоит галочка разрешить доступ к рабочему столу. Таймауты в CSP стоят по 60 сек.

ООО ТК «Контакт», Воронеж. Договора пока нет, потому что проблем не возникало до этого 🙂

>Версия и билд CSP?
3.0.3293 КС1

>Способ хранения ключей?
Дисковод

>версия ОС, какие обновления?
Windows2000 Server, SP4, 5.0.2195, все обновления

>версия IE, какие обновления?
6.0.2800.1106, SP1, все обновления

>Используется MSDE или SQL-сервер?
MSDE, и клиентская часть MSSQL

Источник

Попытка установить соединение была безуспешной, т. к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4

Алгоритм замены серийного номера сертификата:

с помощью менеджера сертификатов получить серийный номер сертификата, при этом его необходимо отредактировать и удалить все пробелы между буквами и цифрами. К примеру, номер «61 12 92 74 00 00 00 00 03 fb» после редактирования должен выглядеть: «611292740000000003fb»; найти в конфигурационных файлах SmevConfig. local. xml и web. config (см. п. 2.1) с помощью функции поиска серийный номер заменяемого сертификата; заменить старое значение на новое.

Если сертификат с данным или похожим серийным номером существует в хранилище, то следует тщательно сверить его номер с номерами, указанными в конфигурационных файлах SmevConfig. local. xml и web. config. Для этого необходимо провести в данных файлах поиск параметров, содержащих слово «certificate», и проверить все значения найденных параметров.

Данная ошибка может также возникать по причине отсутствия у службы EOS_Cryptographic_Service прав на работу с хранилищем сертификатов. Чтобы предоставить права службе, необходимо:

открыть окно «Службы» (Панель Управления->Администрирование->Службы или через опцию «Выполнить» (сочетание клавиш Windows+R), указав команду «services. msc»); найти службу с именем «EOS cryptographic service»; открыть свойства службы (правая кнопка мыши-> свойства); на вкладке «Вход в систему» активировать опцию «С учетной записью» и ввести в соответствующие поля ввода имя пользователя с административными правами и его пароль; применить настройки и перезапустить службу.

Сертификат с указанным серийным номером неактивен и не может быть использован для подписания по причине окончания его срока годности.

Необходимо произвести поиск просроченного сертификата по указанному в тексте ошибки серийному номеру (см. п. 2.2). Просроченный сертификат следует удалить из хранилища, а вместо него установить новый – активный сертификат. Затем заменить старый серийный номер на новый в конфигурационных файлах (см. п. 1.3.1).

Если в качестве дня просрочки сертификата фигурирует давно прошедшая дата (например, 30.12.1899), то необходимо проверить версии используемого для подписания ПО (Пуск->Панель управления->Программы и компоненты): КАРМА (CARMA) должна быть строго версии 2.92.7, КриптоПро CSP – 3.6.6497. В случае несоответствия текущих версий продуктов рекомендуемым номерам версий, следует переустановить соответствующие программы.

Иногда проблема может быть вызвана конфликтом на при ссылке на одноимённые сертификаты. Таким образом, в случае, если текущий сертификат и вся его цепочка является актуальной и не содержит ошибок, следует обратить внимание на сертификаты в хранилище, имена которых совпадают с одним из сертификатов цепочки, среди них может быть просроченный. Такие сертификаты также следует удалить из всех хранилищ, где они установлены (особенно из доверенных корневых).

1.3.3. Не удалось выполнить подписание, по следующей причине: ERROR. Неправильный параметр набора ключей. (0x8009001f)

Сертификатом, используемым в качестве ЭП, не удается подписать файл по причине его неправильной установк. Возможно, для контейнера сертификата был установлен непустой пароль.

Необходимо заново установить сертификат (см. п. 2.3), предварительно удалив старый контейнер.

1.3.4. Не удалось выполнить подписание, по следующей причине: ERROR. Нет доступа к карте. Введен неправильный PIN-код. (0x8010006b)

Сертификатом, используемым в качестве ЭП, не удается подписать файл по причине неправильного установки сертификата.

Необходимо заново установить сертификат (см. п. 2.3).

1.3.5. Ошибки с указанием просроченного сертификата (когда предыдущие методы испробованы)

Возможно, в системе возникает ошибка по причине путаницы в конфигурационных файлах.

Проверить, не находится ли файл «SmevConfig. local. xml» сразу в двух в двух папках. Например:

C:Program Files (x86)EOSDeloServerDELOWebSMEV-RequestApp_Data

C:Program Files (x86)EOSDeloServerDELOWebSMEV-ReportsApp_Data

В них может быть прописан разный сертификат, в одном месте действующий, в другом просроченный. В Дело при отправке СМЭВ программа может находить файл конфигурации из некорректного источника и использовать просроченный сертификат.

Оставить актуальный файл.

1.3.6. Не удалось подписать данные! Сообщение об ошибке: ERROR Неправильный открытый ключ поставщика. (0x80090015)

Возможно, в КриптоПро присутствует несколько контейнеров одного и того же сертификата, причём для одного из них непустой пароль, что и приводит к ошибке.

Следует зайти в утилиту «КриптоПро CSP», на вкладке «Сервис» нажать кнопку «Удалить». С помощью кнопки «Обзор» выбрать контейнер в реестре, который следует удалить.

1.3.7. Не удалось подписать данные! Сообщение об ошибке: ERROR Отказано в доступе. (0x80090010)

Возможно, в КриптоПро присутствует несколько контейнеров одного и того же сертификата, один из которых содержит ошибку.

Следует зайти в утилиту «КриптоПро CSP», на вкладке «Сервис» нажать кнопку «Удалить». С помощью кнопки «Обзор» выбрать контейнеры проблемного сертификата в реестре, удалить их и попытаться заново правильно установить данный сертификат в контейнер (см. п. 2.3.).

1.3.8. Ошибка подписания на стороне клиента

Сервису подписания не удаётся подписать запрос.

Проверить работоспособность Кармы на сервере, включена ли в ней настройка «HTTP», доступен ли сервис SignRequestService. svc

1.3.9. Ошибка создания хэш-подписи (диспетчер ресурсов смарт-карт не выполнялся)

Сервису подписания не удаётся подписать запрос.

Проверить правильность установки сертификатов и соответствующих контейнеров в КриптоПро. Если все сертификаты установлены корректно и нет лишних контейнеров, которые следует удалить, то, возможно, проблема может быть решена переустановкой КАРМА.

1.3.10. SMEV-100024: При обработке запроса произошла ошибка: Сертификат ЭП-ОВ не зарегистрирован

Ошибка говорит о том, что сертификат ЭП-ОВ, которой подписан запрос, не зарегистрирована в СМЭВ.

Убедитесь, что в файле SmevConfig. local. xml прописан серийный номер актуального сертификата. Проверьте, зарегистрирована ли ЭП-ОВ в СМЭВ.

1.4. Ошибки сервиса конвертации

1.4.1. System. Runtime. Exception (0x80080005): Retrieving the COM class factory for component with CLSID <000209FF-0000-0000-C000-000000000046>failed due to the following error: 80080005 Server execution failed (Exception from HRESULT: 0x80080005 (CO_E_SERVER_EXEC_FAILURE))

Ошибка может быть зафиксирована в логах на стороне сервиса конвертирования. Проявляется в неудачных попытках конвертации файлов – возвращаются файлы в формате docx вместо ожидаемых. Вероятно, происходит в случаях, когда сервис конвертации установлен на удалённом компьютере и взаимодействие со службой осуществляется через сетевую папку.

Скорее всего процессу не хватает разрешений при обращении к конкретному COM-объекту. Алгоритм возможного решения проблемы:

Необходимо открыть окно «Настройка DCOM» (Панель Управления->Администрирование->Службы компонентов->Компьютеры->Мой компьютер->Настройка DCOM или через опцию «Выполнить» (сочетание клавиш Windows+R), указав команду «dcomcnfg» и далее по цепочке, начиная с «Службы компонентов»). В открывшемся списке имён библиотек следует найти приложение, которое вызывает ошибку (в случае службы конвертирования, это «Документ Microsoft Word 97–2003»). Если требуемый компонент отсутствует в списке, то, возможно, в списке указан его GUID вместо имени. GUID соответствующего компонента может быть найден в реестре (через опцию «Выполнить» (сочетание клавиш Windows+R), указав команду «regedit») по поиску ключа из текста ошибки – в данном случае это «000209FF-0000-0000-C000-000000000046». Например, найденный ключ в реестре будет располагаться по пути HKEY_CLASSES_ROOTAppID<00020906-0000-0000-C000-000000000046>, где в параметре «(Default)» будет указано имя искомого компонента. Открыть свойства компонента через контекстное меню, опция «Свойства». Необходимо убедиться, что это именно тот компонент, который вызывает ошибку, сравнив свойство «Код приложения» на вкладке «Общие» с GUID из ошибки – они должны совпадать. На вкладке «Безопасность» должны быть даны все необходимые разрешения для пользователя, от имени которого открывается документ. Дополнительно на вкладке «Удостоверение» следует указать данные пользователя с разрешениями, от имени которого будет запускаться компонент (желательно с правами администратора).

1.5. Другие ошибки

1.5.1. The operation has timed out

Время ожидания ответа службы истекло. Данная ошибка свидетельствует либо о медленной работе службы, либо об ошибках в конфигурационных файлах или службе подписания.

В первую очередь необходимо тщательно проверить web. config Плагина (см. п. 2.1). В частности, следует проверить, чтобы все файловые пути, указанные в конфиге (см. рис. 1.5.1.1), были корректны и не содержали лишних пробелов (например, сразу после знака кавычек)

Рисунок 1.5.1.1 – Примеры файловых путей из web. config Плагина

Данная ошибка может быть также вызвана проблемами с подписанием файлов. Необходимо попробовать подписать любой непустой файл используемым в приложении сертификатом с помощью интерфейса КАРМА. Если возникли проблемы, то следует перезапустить службу КАРМА (см. описание действий по поиску службы в конце п.1.3.1.) и попытаться снова. Если проблема повторяется, то необходимо связаться с ТП.

Если предыдущие варианты решения ошибки не подошли, то следует увеличить timeout для соответствующей привязки вызываемого сервиса. Для этого необходимо:

Источник

Содержание

Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро
Работа с СКЗИ и аппаратными ключевыми носителями в Linux
Причина 1
Причина 2
Причина 3
Причина 4
Руководство по настройке
Установка драйверов и ПО для работы с JaCarta PKI
Установка пакетов КриптоПро CSP
Настройка и диагностика КриптоПро CSP
Работа с токеном JaCarta PKI
Программное извлечение ключей
Результаты
Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро
Подпись ошибка 0x80090010 отказано в доступе КриптоПро; решение
Криптопро код ошибки 0x8009001a
Подпись ошибка 0x80090010 отказано в доступе КриптоПро – решение
Ошибка подписи. CryptSignMessage: Отказано в доступе
Проверяем контейнер
Как подписать документы?
Заключение
Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?
Решение проблемы:

Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро

Создается контейнер так (обработка ошибок опущена):

Пользователь Alice (админ):

HCRYPTPROV prov;
::CryptAcquireContext(&prov, “keyset”, CP_DEF_PROV, CRYPT_NEWKEYSET | CRYPT_MACHINE_KEYSET);
HCRYPTKEY key;
::CryptGenKey(prov, AT_KEYEXCHANGE, CRYPT_EXPORTABLE, &key);
// все ок, закрывает хэндлы

Пользователь Bob (админ):

И еще вопрос.
Если я создам CRYPT_MACHINE_KEYSET и явно разрешу доступ к нему другому пользователю-не-админу прочитав, изменив и установив DACL кейсета при помощи CryptSetProvParam(…,PP_KEYSET_SEC_DESCR, …), то сможет ли этот пользователь-не-админ открыть этот кейсет? MSDN говорит, что это возможно для MS провайдеров. Возможно ли это для КриптоПро?

30.09.2003 14:06:30

Василий

Я проверю приведённый пример.

«СКЗИ КриптоПРО CSP функционирует в следующих операционных системах
(ОС):
• Windows 95 с установленным ПО MS Internet Explorer версии 5.0 и выше;
• Windows 95 OSR2 с установленным ПО MS Internet Explorer версии 5.0 и
выше;
• Windows 98 с установленным ПО MS Internet Explorer версии 5.0 и выше;
• Windows 98 SE с установленным ПО MS Internet Explorer версии 5.0 и выше;
• Windows NT 4.0 SP5 и выше с установленным ПО MS Internet Explorer 5.0 и
выше;
• Windows ME;
• Windows 2000.»

Про ХР, стало быть, речи нет.
Кое-что там может работать, а может и не работать.
В данном случае не живёт флажок CRYPT_SILENT. Если его снести, всё намного лучше.
Но в любом случае все эксперименты с ХР на Ваш страх и риск.
Используйте продукт «Крипто-Про CSP 2.0».

30.09.2003 16:03:35

Maxim Egorushkin

Спасибо за важную информацию.

Источник

Работа с СКЗИ и аппаратными ключевыми носителями в Linux

Хранение ключей на токенах и смарт-картах обеспечивает дополнительную защиту от внешних и внутренних нарушителей, в том числе имеющих определенный уровень доступа к информационной системе и оборудованию.

Сегодня я расскажу, как мы защищаем ключи шифрования и электронной подписи в наших информационных системах, и сделаю это в подробном, хорошо проиллюстрированном руководстве по настройке SUSE Linux Enterprise Server 12 SP3 для работы с токеном Aladdin JaCarta PKI и КриптоПро CSP KC2 4.0.9944.

Опубликовать данное руководство побудило несколько причин:

Причина 1

Причина 2

Лучшая инструкция по настройке взаимодействия с аппаратными носителями в Linux, которую удалось найти, была также от wiki.astralinux.ru — Работа с КриптоПро CSP

Причина 3

UPD 16.04.2019: В процессе настройки среды и оборудования выяснилось, что носитель, первым оказавшийся в распоряжении, был вовсе не JaCarta PKI Nano, как ожидалось, а устройство работающее в режиме SafeNet Authentication Client eToken PRO.

UPD 16.04.2019: Некогда Банку требовалось устройство, которое могло бы работать в той же инфраструктуре, что и eToken PRO (Java). В качестве такого устройства компания “ЗАО Аладдин Р.Д.” предложила токен JaCarta PRO, который был выбран банком. Однако на этапе формирования артикула и отгрузочных документов сотрудником компании была допущена ошибка. Вместо модели JaCarta PRO в артикул и отгрузочные документы случайно вписали JaCarta PKI.

UPD 16.04.2019: Благодарю компанию Аладдин Р.Д., за то что помогли разобраться и установить истину.

В этой ошибке нет никаких политических и скрытых смыслов, а только техническая ошибка сотрудника при подготовке документов. Токен JaCarta PRO является продуктом компании ЗАО “Аладдин Р.Д.”. Апплет, выполняющий функциональную часть, разработан компанией “ЗАО Аладдин Р.Д”.

Этот eToken PRO относился к партии, выпущенной до 1 декабря 2017 года.
После этой даты компания «Аладдин Р.Д.» прекратила продажу устройств eToken PRO (Java).

Забегая немного вперед, нужно сказать, что работа с ним настраивалась через соответствующие драйверы — SafenetAuthenticationClient-10.0.32-0.x86_64, которые можно получить только в поддержке Аладдин Р.Д. по отдельной online заявке.

В КриптоПро CSP для работы с этим токеном требовалось установить пакет cprocsp-rdr-emv-64 | EMV/Gemalto support module.

Данный токен определялся и откликался. При помощи утилиты SACTools из пакета SafenetAuthenticationClient можно было выполнить его инициализацию. Но при работе с СКЗИ он вел себя крайне странно и непредсказуемо.

Проявлялось это следующим образом, на команду:

Выдавался ответ, что все хорошо:

Но сразу после попытки зачитать ключи программно эта же проверка начинала выдавать ошибку:

Согласно перечню кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)

«Невалидный набор ключей» — причина такого сообщения, возможно, кроется либо в старом чипе, прошивке и апплете Gemalto, либо в их драйверах для ОС, которые не поддерживают новые стандарты формирования ЭП и функции хэширования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

В таком состоянии токен блокировался. СКЗИ начинало показывать неактуальное состояние считывателя и ключевого контейнера. Перезапуск службы криптографического провайдера cprocsp, службы работы с токенами и смарт-картами pcscd и всей операционной системы не помогали, только повторная инициализация.

Справедливости ради требуется отметить, что SafeNet eToken PRO корректно работал с ключами ГОСТ Р 34.10-2001 в ОС Windows 7 и 10.

Проблему удалось решить, взяв настоящий токен JaCarta PKI в (XL) обычном корпусе.

Но на попытки заставить работать Safenet eToken PRO времени было потрачено немало. Хотелось обратить на это внимание и, возможно, кого-то оградить от подобного.

Причина 4

Иногда самому требуется вернуться к старым статьям и инструкциям. Это удобно, когда информация размещена во внешнем источнике. Так что спасибо Хабру за предоставленную возможность.

Руководство по настройке

После установки токена JaCarta PKI в USB порт сервера и запуска системы проверяем, что новое устройство обнаружено и появилось в списке:

В нашем случае это Bus 004 Device 003: ID 24dc:0101

Пока не установлены все необходимые пакеты, информация о токене не отобразится.

Установка драйверов и ПО для работы с JaCarta PKI

Согласно Руководству по внедрению «JaCarta для Linux» пункт 4.2., первым делом требуется установить пакеты pcsc-lite, ccid и libusb.

Для работы утилиты управления JaCarta необходимо установить следующие компоненты:

Выполняем проверку наличия этих пакетов и установку:

zypper search pcsc-lite

zypper search libusb

zypper install pcsc-lite

zypper search CCID

zypper install pcsc-ccid

zypper search CCID

zypper install libusb

В итоге пакет pcsc-lite был обновлен, CCID установлен, libusb никаких действия не требовалось.

Следующими двумя командами выполняем установку пакета с драйверами и программным обеспечением непосредственно для работы с JaCarta PKI:

zypper install idprotectclientlib-637.03-0.x86_64.rpm

zypper install idprotectclient-637.03-0.x86_64.rpm

Проверяем, что драйверы и ПО для JaCarta PKI установились:

zypper search idprotectclient

При попытках заставить работать SafeNet eToken PRO я нашел информацию, что предустановленный в SLES пакет openct — Library for Smart Card Readers может конфликтовать с pcsc-lite — PCSC Smart Cards Library, установку которого требует руководство Аладдин Р.Д.

zypper search openct

Поэтому пакет openct удаляем:

Теперь все необходимые драйверы и ПО для работы с токеном установлены.

Выполняем диагностику с помощью утилиты pcsc-tools и убеждаемся, что JaCarta определяется в операционной системе:

Установка пакетов КриптоПро CSP

При установке КриптоПро CSP по умолчанию нужные пакеты для работы с токенами и смарт-картами отсутствуют.

zypper search cprocsp

Выполняем установку в CSP компонента поддержки JaCarta components for CryptoPro CSP

zypper install cprocsp-rdr-jacarta-64-3.6.408.683-4.x86_64.rpm

Некоторые компоненты имеют зависимости. Так, например, если попытаться выполнить установку пакета поддержки SafeNet eToken PRO cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm — EMV/Gemalto support module, то получим сообщение о необходимости сначала установить базовый компонент CSP поддержки считывателей cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm — PC/SC components for CryptoPro CSP readers:

Устанавливаем базовые пакеты поддержки считывателей и ключевых носителей:

zypper install cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm

zypper install lsb-cprocsp-pkcs11-64-4.0.9944-5.x86_64.rpm

Теперь можно установить модули для работы с остальными видами носителей и компонент GUI:

zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm

Проверяем итоговую конфигурацию КриптоПро CSP:

Чтобы применить изменения, выполняем перезапуск службы криптографического провайдера и проверяем ее статус:

Настройка и диагностика КриптоПро CSP

Проверим, видит ли криптографический провайдер наш токен и другие доступные типы носителей следующими командами:

Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00 — это наш носитель.

Следуя инструкции КриптоПро CSP для Linux. Настройка, выполняем его регистрацию в криптографическом провайдере:

В результате выполнения в конфигурационный файл /etc/opt/cprocsp/config64.ini
в раздел linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро будет добавлена запись:

linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро (000000000000) 00 00″Default]

Чтобы выполнить требования Формуляра, Правил пользования и Руководства администратора безопасности КриптоПро CSP:

Использование СКЗИ «КриптоПро CSP» версии 4.0 с выключенным режимом усиленного контроля использования ключей не допускается. Включение данного режима описано в документах ЖТЯИ.00087-01 91 02. Руководство администратора безопасности.

Необходимо включить режим усиленного контроля использования ключей:

Проверяем, что режим включен:

cat /etc/opt/cprocsp/config64.ini | grep StrengthenedKeyUsageControl

Выполняем перезапуск службы криптографического провайдера:

После перезапуска проверяем, что ошибок в работе провайдера с ключевыми носителями нет:

Работа с токеном JaCarta PKI

Запустим программу Xming (X11 forwarding) на своей станции, чтобы по SSH иметь возможность открывать и работать с графическими интерфейсами нужных утилит.

После установки IDProtectClient — программного обеспечения для работы с JaCarta PKI, на сервере в папке /usr/share/applications появились два файла:

Это ярлыки, в которых можно посмотреть параметры запуска утилит Exec=/usr/bin/SACTools

Запустим утилиту IDProtectPINTool.

С помощью нее задаются и меняются PIN-коды доступа к токену.

При первой инициализации токена будет полезна ссылка, содержащая PIN-коды (пароли) ключевых носителей по умолчанию

Программа IDProtect_Manager позволяет просматривать информацию о токене и контейнере с ключами и сертификатом:

Для доступа к контейнеру с ключами нужно ввести пароль:

Для работы с SafeNet Authentication Client eToken PRO существуют аналогичные программы — SafeNet Authentication Client Monitor и SafeNet Authentication Client Tools, которые запускаются так:

Выполнять операции непосредственно с ключевыми контейнерами удобнее в интерфейсе криптографического провайдера КриптоПро JavaCSP:

Для отображения информации о содержимом контейнера с ключами можно выполнить команду:

Для диагностики контейнера используется эта же команда с ключом –check

Потребуется ввести пароль от контейнера:

Программное извлечение ключей

В общем виде пример извлечения закрытого ключа и сертификата открытого ключа из контейнера на токене с помощью КриптоПро Java CSP следующий:

Если действовать так:

то криптографический провайдер будет пытаться в системе отобразить через консоль или GUI окно запрос на ввод пароля к контейнеру.

Результаты

Отторгаемый ключевой носитель-токен установлен во внутренний USB-порт сервера.

Само серверное оборудование опломбировано и размещается в помещении с ограниченным доступом.

Такие меры позволяют повысить уровень защиты наших информационных систем от кражи и компрометации ключей электронной подписи или шифрования, как удаленно по сети, так и физически.

Источник

Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро

В событиях на ЦР видно:

КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.

На службе IISAdmin стоит галочка разрешить доступ к рабочему столу. Таймауты в CSP стоят по 60 сек.

ООО ТК «Контакт», Воронеж. Договора пока нет, потому что проблем не возникало до этого 🙂

>Версия и билд CSP?
3.0.3293 КС1

>Способ хранения ключей?
Дисковод

>версия ОС, какие обновления?
Windows2000 Server, SP4, 5.0.2195, все обновления

>версия IE, какие обновления?
6.0.2800.1106, SP1, все обновления

>Используется MSDE или SQL-сервер?
MSDE, и клиентская часть MSSQL

Источник

Подпись ошибка 0x80090010 отказано в доступе КриптоПро; решение

Криптопро код ошибки 0x8009001a

Подпись ошибка 0x80090010 отказано в доступе КриптоПро – решение

Сегодня разберем проблему с подписью в КриптоПро, а конкретнее строчку в отчете “ошибка 0x80090010 отказано в доступе”. Поговорим чем вызван этот сбой в СУФД, дадим общие рекомендации по обновлению программы. В конце статьи оставим инструкцию как же все такие подписать документы, если ключ просрочен, а отправить отчет нужно.

Ошибка подписи. CryptSignMessage: Отказано в доступе

Отправляясь тестировать контейнер первым делом получаем отчет с ошибкой вот такого содержания:

Ошибка 0x80090010 отказано в доступе

Для начала проверьте версию КриптоПРО CSP. Если версия стабильная и рабочая – оставляем, если помимо этого сбоя присутствую другие ошибки – версию программы лучше обновить на будущее.
Ошибка 0x80090010 отказано в доступе – означает что просрочена версия открытого или закрытого ключа. Создавая запрос на выдачу сертификата для генерации ключей, мы несём необходимые бумаги для выдачи подписи через несколько недель. Контроль будет осуществляться с даты создания запроса. Тут мы используем лайфхак, об этом ниже, а для начала мы протестируем контейнер.

Проверяем контейнер

Для проверки контейнера проделаем стандартные операции перечисленные ниже:

Проверка завершилась с ошибкой

Срок действия закрытого ключа истек

Еще раз – ошибка подписи 0x80090010 всегда означает что истек срок действия закрытого ключа.

Как подписать документы?

Тут придется прибегнуть к маленькой хитрости, которая работала раньше во многих программах схожего типа – поменять системную дату на срок действия системного ключа:

Настройка даты и времени

После этого можно выдохнуть, заварить чашечку крепкого кофе… И начать готовить документы и оформлять заявку для оформления нового сертификата.

Заключение

Напишите нам в комментариях помогла ли вам данная инструкция побороть проблему отказа доступа в КриптоПро. Если статья была полезна – делитесь ссылками в соцсетях, так вы поможете другим пользователям с аналогичной проблемой. Задавайте другие вопросы о других программах, которые работают с ошибками или вызывают вопросы.

Евгений Загорский

IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.

При попытке погуглить информацию в интернете, решить проблему не удавалось. Большинство ссылок ведут на форумы, где обсуждаются проблемы связанные с крипто-приложениями, такими как крипто-про. Но тут дело не в этом, никаких программ не использовалось.

Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?

.Net framework cleanup tool
.Net framework repair tool

Но к сожалению эффекта так же не произошло.

Решение проблемы:

Очень надеемся, что данная статья поможет многим решить проблему (Неправильный зарегистрированный набор ключей,0x80070643) с Windows 8.1 без переустановки. Если у вас остались вопросы, пожалуйста, задайте их в комментариях.

Большое спасибо, Михаил, все сделали оперативно а главное понятно для меня. Так как мы с вами нашли общий язык. хотелось бы в дальнейшем так же продолжить связь именно с вами. Надеюсь на плодотворное сотрудничество.

От имени предприятия ГУП «Севастопольское авиационное предприятие» выражаем благодарность за профессионализм и оперативность вашей компании! Желаем вашей компании дальнейшего процветания!

Спасибо вам, Михаил, большое за помощь в оформлении. Очень квалифицированный сотрудник +5!

От лица компании «АКБ-Авто» и от себя лично выражаю Вам и всем сотрудникам вашей компании благодарность за продуктивную и качественную работу, чуткое отношение к требованиям клиента и оперативность в исполнении заказываемых работ.

Хочу поблагодарить консультанта Михаила за отличную работу, своевременные и полные консультации. Очень внимателен к проблемам клиента и вопросам, оперативное решение самых казалось бы для меня сложных ситуаций. Очень приятно работать с Михаилом. Теперь своим клиентам и знакомым буду рекомендовать Вашу компанию. Да и консультанты в тех. поддержке тоже очень вежливы, внимательны, помогли справится со сложной установкой ключа. Спасибо.

Левицкий Александр Константинович г. Самара

Личная благодарность консультанту Михаилу Владимировичу за оперативную консультацию и работу по ускоренному получению сертификата ЭП. В ходе предварительной консультации подбирается оптимальный набор индивидуальных услуг. Конечный результат получен незамедлительно.

Спасибо за оперативную работу и компетентную помощь! Консультацией остался очень доволен!

ООО «Эксперт Система» благодарит за оперативную работу консультанта Михаила! Желаем Вашей компании роста и процветания!

Спасибо консультанту, представившемуся Михаилом, за оперативность в работе с клиентами.

Пономарев Степан Геннадьевич

Большое спасибо консультанту Михаилу, за оказанную помощь в получении ЭЦП. За оперативную работу и консультирование по вопросам возникающим в процессе оформления.

Компания в лице консультанта Михаила делает невозможное! Ускорение аккредитации менее чем за 1 час! Оплата по факту оказания услуги. Думал, такого не бывает. С полной ответственностью могу советовать связываться с Центром выдачи электронных подписей.

Для решения данной проблемы следует выполнить следующие шаги:

1. Выбрать меню «Пуск» > «Панель управления» > «КриптоПро CSP». Перейти на вкладку «Сервис» и нажать на кнопку «Удалить запомненные пароли». Отметить пункт «Пользователя» и нажать на кнопку «ОК».

2. В окне «Выбор ключевого контейнера» поставить переключатель «Уникальные имена» и повторить выбор контейнера.

3. Если ключевой носитель — дискета или флэш-карта, необходимо просмотреть его содержимое. В корне носителя должна быть папка с шестью файлами с расширением. key.

4. Если ключевой носитель — ruToken или ruToken Lite, то следует переустановить драйвера и модуль поддержки. Для этого необходимо:

5. Сделать копию ключевого контейнера и выполнить установку сертификата с дубликата (см. Как скопировать контейнер с сертификатом на другой носитель?).

Если предложенное решение не помогло устранить ошибку, то необходимо обратиться в службу технической поддержки по адресу [email protected], указав следующие данные:

Чтобы открыть данное окно, следует перейти в меню «Пуск» > «Панель управления» > «Крипто Про CSP» > «Оборудование» > «Настроить типы носителей», выбрать «Rutoken» (либо «Rutoken lite») > «Свойства» > «Информация».

Создание электронной подписи на платформе 1С с помощью СКЗИ КриптоПро CSP можно выполнять как на стороне сервера, так и на стороне клиента. В обоих случаях может появиться довольно неприятная ошибка:
Неправильный параметр набора ключей.

Неприятна данная ошибка тем, что у неё множество причин, и что бы её исправить, нужно провести целый комплекс мероприятий.

Источник

В этой статье будут описаны встречающиеся ошибки при работе с Континент АП и пути их решения. Если вы встретились с ошибкой Континент АП, и вы не знаете как ее решить напишите в комментарии, попробуем помочь вам. Статья с ошибками Континент АП постоянно будет обновляться.

Не настроено подключение к СД

Ошибка Не настроено подключение к СД встречается из-за того, что не настроено соеденинение т.е. не добавлен адрес подключения СД.

Как исправить: Правой кнопкой мыши на Континенте АП, выбрать в меню Настройка соединения -> Континент АП.

Мы видим, что поле Адрес СД указано: 0.0.0.0, что не правильно.

Необходимо указать правильный адрес, например для Москвы используется адрес: 7300-sd-01.roskazna.ru

Для своего региона узнать адрес подключения можно на сайте местного регионального казначейства в розделе СУФД.

После этого ошибка Не настроено подключение к СД исчезнет.

Не совпадает подпись открытого эфемерного ключа

Решение: Ошибка «Не совпадает подпись открытого эфемерного ключа» возникает из-за того, что при установке сертификата пользователя в Континет АП был выбран не правильный закрытый ключ. Необхоимо при установке сертификата пользователя выбрать правильный закрытый ключ в Континент АП.

2 комментария “ Ошибки Континент АП ”

ошибка при создании запроса при выборе носителя контейнера 0х80070002, не найден файл.

Ещё ошибка «Не совпадает подпись открытого эфемерного ключа» может наблюдаться, если сертификат, ключ и настройки соединения Континента-АП правильные, но пользователь забыл подключить носитель (флешку, рутокен, соболь) с самим ключом.

Сообщения об ошибках возникающих при установке связи абонентского пункта Континент-АП.

Ошибка 721 Удаленный компьютер не отвечает.

1) Возможно, у Вас отсутствует подключение к Интернету.

2) Какие-либо программы блокируют порты. Отключите антивирус, брандмауэр.

3) Удалить, если установлен, межсетевой экран, идущий с программой Континент-АП.

4) Если вы используете проводной Интернет, возможно, провайдер заблокировал порты, необходимые для работы программы Континент-АП. Для проверки установите соединение с Интернетом через usb-модем.

Ошибка 628 Подключение было закрыто.

Ошибка 629 Подключение было закрыто удаленным компьютером.

Ошибка 735 Запрошенный адрес был отвергнут сервером.

Во вкладке «Сеть», выделить строку «Протокол Интернета TCP/IP» и нажать кнопку «Свойства».

В открывшемся окне поставить следующие переключатели:

«Получить IP-адрес автоматически»;
«Получить адрес DNS-сервера автоматически».

Ошибка 703: Подключению требуются некоторые данные от пользователя, но приложение не допускает взаимодействия с пользователем».

Зайти в настройки Континента АП — на закладке «безопасность» кнопку «параметры», кнопка — «свойства», «сбросить запомненный сертификат».

Ошибка 734 Протокол управления PPP-связью был прерван.

1. Ориентироваться на ошибку, которая появляется до этой.

2. Проверить системную дату.

Ошибка. Сервер отказал в доступе пользователю. Причина отказа многократный вход пользователя запрещен.

Подождать несколько минут и заново установить соединение.

Сервер отказал в доступе пользователю. Причина отказа: Client-Cert not found.

Необходимо “исправить” программу Континент-АП через установку и удаление программ.

Ошибка подписи ключа 0x8009001D(Библиотека поставщика проинициализирована неправильно).

Истек срок действия лицензии программы КриптоПро

Ошибка подписи ключа 0x80090019(Набор ключей не определен).

Удалить запомненные пароли (КриптоПро => Сервис => Удалить запомненные пароли).
Возможно истек срок действия сертификата. Проверьте, открыв файл user.cer, срок действия.

Ошибка подписи ключа 0x8009001F(Неправильный параметр набора ключей).

Удалить данную версию программы Континент-АП и установить Континент версии 3.5.68.

Ошибка подписи ключа 0x00000002 (Не удается найти указанный файл).

Удалить данную версию программы Континент-АП и установить Континент версии 3.5.68.

Сервер отказал в доступе пользователю. Причина отказа: вход пользователя заблокирован.

Вас заблокировали на сервере УФК. Позвоните и узнайте причину блокировки.

Нарушена целостность файлов. Обратитесь к системному администратору.

Необходимо “исправить” программу Континент-АП через установку и удаление программ

Ошибка 850: На компьютере не установлен тип протокола EAP, необходимый для проверки подлинности подключения удаленного доступа.

Необходимо “исправить” программу Континент-АП через установку и удаление программ

Вставьте ключевой носитель. Набор ключей не существует.

Убедитесь, что флешка с ключом Континент вставлена.
При установке соединения на этапе выбора сертификата убедитесь, что выбран правильный сертификат.

Убедитесь, что КриптоПро видит данный ключ

Вставьте ключевой носитель (Поле «устройства» пустое).

Убедитесь, что флешка с ключом Континент вставлена.
Откройте КриптоПро и, на вкладке «Оборудование», выберите «Настроить считыватели…».

В поле «Установлены следующие считыватели:» удалите все считыватели, выбирая их по очереди и нажимая кнопку «Удалить».

Нажмите «Добавить»
Появится окно мастера установки считывателя. Нажмите «Далее»

На следующем шаге мастера установки считывателя в поле «Производители» выберите «Все производители». А в списке «Доступные считыватели» выберите «Все съемные диски». Нажмите кнопку «Далее».

В следующем окне нажмите кнопку «Далее»

В появившемся окне нажмите «Готово».

Попытайтесь заново установить соединение.

Пропала пиктограмма , расположенная в трее.

Зайдите «Пуск» => «Все программы» => «Код безопасности» => «Абонентский пункт Континент» и выберите «Программа управления».
Если пиктограмма не появилась, нажмите правую кнопку мыши на панель задач Windows (либо нажмите alt + ctrl + delete) и выберите «Диспетчер задач».

Вот и дождались – при подключении континент ап компьютер выдал ошибка 721 удаленный компьютер не отвечает.

Как ее убрать? Прежде чем перейти к ручному устранению, посмотрите, что вам подскажет автоматическая проверка.

Само название «удаленный компьютер не отвечает» говорит, что ваш ПК пытается сделать подключение используя протокол vpn, но соединится с провайдером не может.

Часто ошибка 721 возникает при работе с суфд, но в любом случае выполняйте все рекомендации ниже, пока не решите вопрос – универсального варианта нет.

Для этого перейдя по этой ссылке – выполните инструкцию. Идеально будет, если все самоустранится, если нет – идем другим путем.

Также не забывайте о таком важном и простом способ устранения ошибок, включая 721, как обычная перезагрузка ноутбука или компьютера.

Варианты решения ошибки 721

При прямом кабельном подключении (прямом) ошибка 721 не возникает, а вот если это модемное, то дойдя до пароля и имени уведомление вы можете на экране своего ПК увидеть картинку с надписью – удаленный компьютер не отвечает.

Первым шагом проверьте правильно ли прописаны данные для VPN сервера. Для в панели управления откройте раздел «сетевые подключения».

Потом нажмите правой мышкой на интернет соединения и перейдите в «Свойства».

Там нас интересует вкладка «общие», а в ней строка IP- адрес. Там должно быть vpn.hds. Если обнаружите что другое, замените его на правильное, после чего попробуйте подключится опять.

Также ошибка 721 может всплыть при блокировании сети фаерволом. Чтобы долго не парится просто отключите его на время и посмотрите, что получилось.

Последний вариант устранения ошибки 721

Хотя этот вариант я отнес к последнему, но он может быть и самый первый.

Вам обязательно нужно узнать где находится причина – в вашем компьютере или на стороне провайдера.

Самый простой способ – созвонится с провайдером. Сегодня у всех более-менее известных есть бесплатная телефонная связь.

Операторы при этом имеют хорошие инструменты для сканирования линий связи.

Они увидят доходит ли сигнал к вашему компьютеру и подскажут вам, где искать неисправность. Успехов.

2 комментария

Подскажите,очень важно,обновила криптопро до версии 4, теперь не подключается континент ап.Меня уверяют ,что связи между этими программами нет.Что делать,пробывала переустановить континент,выдаёт ошибки.

v.eremenkoisoit	#1 Оставлено : 29 сентября 2021 г. 11:22:57(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 16.08.2021(UTC) Сообщений: 11	Всем доброго времени суток. Возникает такая ошибка «Неправильный параметр набора ключей. (0x8009001F)», при указании Код: `var PrivateKey = yield cadesplugin.CreateObjectAsync('X509Enrollment.CX509PrivateKey') yield PrivateKey.propset_ProviderName("Infotecs GOST 2012/512 Cryptographic Service Provider") yield PrivateKey.propset_ProviderType(77) yield PrivateKey.propset_ExportPolicy(0x1) yield PrivateKey.propset_KeySpec(1) yield CertificateRequestPkcs10.InitializeFromPrivateKey(0x1, PrivateKey, '')` Отредактировано пользователем 29 сентября 2021 г. 11:23:30(UTC) \| Причина: Не указана

two_oceans	#2 Оставлено : 29 сентября 2021 г. 11:33:03(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,598 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 388 раз в 363 постах	Добрый день. Где собственно имя контейнера? Полагаю использование InitializeFromPrivateKey означает, что контейнер уже есть. Также интересно причем здесь КриптоПро? X509Enrollment компонент от Майкрософт Infotecs GOST 2012/512 Cryptographic Service Provider и тип 77 — сами понимаете чьи.

Андрей *	#3 Оставлено : 29 сентября 2021 г. 11:39:07(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,896 Сказал «Спасибо»: 454 раз Поблагодарили: 1874 раз в 1453 постах	Автор: two_oceans Добрый день. Где собственно имя контейнера? Полагаю использование InitializeFromPrivateKey означает, что контейнер уже есть. Также интересно причем здесь КриптоПро? X509Enrollment компонент от Майкрософт Infotecs GOST 2012/512 Cryptographic Service Provider и тип 77 — сами понимаете чьи. Это интерфейс https://docs.cryptopro.ru/cades/plugin/certenroll плагина, аналогичный MS. Другой вопрос, почему в ветке КриптоПРО.NET, а не плагина (код на js)…
Техническую поддержку оказываем тут Наша база знаний
	WWW

Андрей *	#4 Оставлено : 29 сентября 2021 г. 11:48:29(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,896 Сказал «Спасибо»: 454 раз Поблагодарили: 1874 раз в 1453 постах	Автор: v.eremenkoisoit Всем доброго времени суток. Возникает такая ошибка «Неправильный параметр набора ключей. (0x8009001F)» На странице тестового УЦ работает плагин, успешно получается сертификат? http://testgost2012.cryp….ru/certsrv/certrqma.asp Если Да — смотреть код формирования запроса.
Техническую поддержку оказываем тут Наша база знаний
	WWW

v.eremenkoisoit	#5 Оставлено : 29 сентября 2021 г. 11:49:01(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 16.08.2021(UTC) Сообщений: 11

v.eremenkoisoit	#6 Оставлено : 29 сентября 2021 г. 11:51:00(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 16.08.2021(UTC) Сообщений: 11	Автор: Андрей * Автор: v.eremenkoisoit Всем доброго времени суток. Возникает такая ошибка «Неправильный параметр набора ключей. (0x8009001F)» На странице тестового УЦ работает плагин, успешно получается сертификат? http://testgost2012.cryp….ru/certsrv/certrqma.asp Если Да — смотреть код формирования запроса. Да все работает. Оказалось проблема была в наименовании контейнера

Андрей *	#7 Оставлено : 29 сентября 2021 г. 11:52:59(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,896 Сказал «Спасибо»: 454 раз Поблагодарили: 1874 раз в 1453 постах	Проверил, работает с ViPNet CSP Snimok ehkrana ot 2021-09-29 12-50-15.png (54kb) загружен 6 раз(а). Snimok ehkrana ot 2021-09-29 12-50-52.png (26kb) загружен 6 раз(а). Snimok ehkrana ot 2021-09-29 12-51-01.png (12kb) загружен 5 раз(а). Snimok ehkrana ot 2021-09-29 12-52-42.png (83kb) загружен 4 раз(а).
Техническую поддержку оказываем тут Наша база знаний
	WWW

Андрей *	#8 Оставлено : 29 сентября 2021 г. 11:53:53(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,896 Сказал «Спасибо»: 454 раз Поблагодарили: 1874 раз в 1453 постах	Автор: v.eremenkoisoit Да все работает. Оказалось проблема была в наименовании контейнера Предлагаю дополнить пример с указанием имени.
Техническую поддержку оказываем тут Наша база знаний
	WWW

v.eremenkoisoit	#9 Оставлено : 29 сентября 2021 г. 13:11:03(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 16.08.2021(UTC) Сообщений: 11	Автор: Андрей * Автор: v.eremenkoisoit Да все работает. Оказалось проблема была в наименовании контейнера Предлагаю дополнить пример с указанием имени. Код: `var containerName = "Посланник" yield PrivateKey.propset_ContainerName(containerName)` Насколько я понял он даты не воспринимает в наименовании контейнера

Андрей *	#10 Оставлено : 29 сентября 2021 г. 13:24:11(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,896 Сказал «Спасибо»: 454 раз Поблагодарили: 1874 раз в 1453 постах	Автор: v.eremenkoisoit Автор: Андрей * Автор: v.eremenkoisoit Да все работает. Оказалось проблема была в наименовании контейнера Предлагаю дополнить пример с указанием имени. Код: `var containerName = "Посланник" yield PrivateKey.propset_ContainerName(containerName)` Насколько я понял он даты не воспринимает в наименовании контейнера С датой или временем? Т.е. соответствует ли containerName требованию к имени файла (на диске в профиле пишет, к примеру)?
Техническую поддержку оказываем тут Наша база знаний
	WWW

Пользователи, просматривающие эту тему

Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Содержание

Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро
Работа с СКЗИ и аппаратными ключевыми носителями в Linux
Причина 1
Причина 2
Причина 3
Причина 4
Руководство по настройке
Установка драйверов и ПО для работы с JaCarta PKI
Установка пакетов КриптоПро CSP
Настройка и диагностика КриптоПро CSP
Работа с токеном JaCarta PKI
Программное извлечение ключей
Результаты
Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро
Подпись ошибка 0x80090010 отказано в доступе КриптоПро; решение
Криптопро код ошибки 0x8009001a
Подпись ошибка 0x80090010 отказано в доступе КриптоПро – решение
Ошибка подписи. CryptSignMessage: Отказано в доступе
Проверяем контейнер
Как подписать документы?
Заключение
Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?
Решение проблемы:

Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро

Создается контейнер так (обработка ошибок опущена):

Пользователь Alice (админ):

Пользователь Bob (админ):

30.09.2003 14:06:30

Василий

Я проверю приведённый пример.

30.09.2003 16:03:35

Maxim Egorushkin

Спасибо за важную информацию.

Источник

Работа с СКЗИ и аппаратными ключевыми носителями в Linux

Опубликовать данное руководство побудило несколько причин:

Причина 1

Причина 2

Причина 3

UPD 16.04.2019: Благодарю компанию Аладдин Р.Д., за то что помогли разобраться и установить истину.

В этой ошибке нет никаких политических и скрытых смыслов, а только техническая ошибка сотрудника при подготовке документов. Токен JaCarta PRO является продуктом компании ЗАО “Аладдин Р.Д.”. Апплет, выполняющий функциональную часть, разработан компанией “ЗАО Аладдин Р.Д”.

В КриптоПро CSP для работы с этим токеном требовалось установить пакет cprocsp-rdr-emv-64 | EMV/Gemalto support module.

Проявлялось это следующим образом, на команду:

Выдавался ответ, что все хорошо:

Но сразу после попытки зачитать ключи программно эта же проверка начинала выдавать ошибку:

Согласно перечню кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)

Проблему удалось решить, взяв настоящий токен JaCarta PKI в (XL) обычном корпусе.

Причина 4

Руководство по настройке

В нашем случае это Bus 004 Device 003: ID 24dc:0101

Пока не установлены все необходимые пакеты, информация о токене не отобразится.

Установка драйверов и ПО для работы с JaCarta PKI

Для работы утилиты управления JaCarta необходимо установить следующие компоненты:

Выполняем проверку наличия этих пакетов и установку:

zypper search pcsc-lite

zypper search libusb

zypper install pcsc-lite

zypper search CCID

zypper install pcsc-ccid

zypper search CCID

zypper install libusb

В итоге пакет pcsc-lite был обновлен, CCID установлен, libusb никаких действия не требовалось.

zypper install idprotectclientlib-637.03-0.x86_64.rpm

zypper install idprotectclient-637.03-0.x86_64.rpm

Проверяем, что драйверы и ПО для JaCarta PKI установились:

zypper search idprotectclient

zypper search openct

Поэтому пакет openct удаляем:

Теперь все необходимые драйверы и ПО для работы с токеном установлены.

Выполняем диагностику с помощью утилиты pcsc-tools и убеждаемся, что JaCarta определяется в операционной системе:

Установка пакетов КриптоПро CSP

При установке КриптоПро CSP по умолчанию нужные пакеты для работы с токенами и смарт-картами отсутствуют.

zypper search cprocsp

Выполняем установку в CSP компонента поддержки JaCarta components for CryptoPro CSP

zypper install cprocsp-rdr-jacarta-64-3.6.408.683-4.x86_64.rpm

Устанавливаем базовые пакеты поддержки считывателей и ключевых носителей:

zypper install cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm

zypper install lsb-cprocsp-pkcs11-64-4.0.9944-5.x86_64.rpm

Теперь можно установить модули для работы с остальными видами носителей и компонент GUI:

zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm

Проверяем итоговую конфигурацию КриптоПро CSP:

Настройка и диагностика КриптоПро CSP

Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00 — это наш носитель.

Следуя инструкции КриптоПро CSP для Linux. Настройка, выполняем его регистрацию в криптографическом провайдере:

linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро (000000000000) 00 00″Default]

Использование СКЗИ «КриптоПро CSP» версии 4.0 с выключенным режимом усиленного контроля использования ключей не допускается. Включение данного режима описано в документах ЖТЯИ.00087-01 91 02. Руководство администратора безопасности.

Необходимо включить режим усиленного контроля использования ключей:

Проверяем, что режим включен:

cat /etc/opt/cprocsp/config64.ini | grep StrengthenedKeyUsageControl

Выполняем перезапуск службы криптографического провайдера:

После перезапуска проверяем, что ошибок в работе провайдера с ключевыми носителями нет:

Работа с токеном JaCarta PKI

Это ярлыки, в которых можно посмотреть параметры запуска утилит Exec=/usr/bin/SACTools

Запустим утилиту IDProtectPINTool.

С помощью нее задаются и меняются PIN-коды доступа к токену.

Программа IDProtect_Manager позволяет просматривать информацию о токене и контейнере с ключами и сертификатом:

Для доступа к контейнеру с ключами нужно ввести пароль:

Для отображения информации о содержимом контейнера с ключами можно выполнить команду:

Для диагностики контейнера используется эта же команда с ключом –check

Потребуется ввести пароль от контейнера:

Программное извлечение ключей

Если действовать так:

Результаты

Отторгаемый ключевой носитель-токен установлен во внутренний USB-порт сервера.

Само серверное оборудование опломбировано и размещается в помещении с ограниченным доступом.

Источник

Linux неправильный зарегистрированный набор ключей код ошибки 0x8009001a криптопро

В событиях на ЦР видно:

КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.

На службе IISAdmin стоит галочка разрешить доступ к рабочему столу. Таймауты в CSP стоят по 60 сек.

ООО ТК «Контакт», Воронеж. Договора пока нет, потому что проблем не возникало до этого 🙂

>Версия и билд CSP?
3.0.3293 КС1

>Способ хранения ключей?
Дисковод

>версия ОС, какие обновления?
Windows2000 Server, SP4, 5.0.2195, все обновления

>версия IE, какие обновления?
6.0.2800.1106, SP1, все обновления

>Используется MSDE или SQL-сервер?
MSDE, и клиентская часть MSSQL

Источник

Подпись ошибка 0x80090010 отказано в доступе КриптоПро; решение

Криптопро код ошибки 0x8009001a

Подпись ошибка 0x80090010 отказано в доступе КриптоПро – решение

Ошибка подписи. CryptSignMessage: Отказано в доступе

Отправляясь тестировать контейнер первым делом получаем отчет с ошибкой вот такого содержания:

Ошибка 0x80090010 отказано в доступе

Проверяем контейнер

Для проверки контейнера проделаем стандартные операции перечисленные ниже:

Проверка завершилась с ошибкой

Срок действия закрытого ключа истек

Еще раз – ошибка подписи 0x80090010 всегда означает что истек срок действия закрытого ключа.

Как подписать документы?

Настройка даты и времени

Заключение

Евгений Загорский

Неправильный зарегистрированный набор ключей, код ошибки 0x80070643. Что удалось найти?

.Net framework cleanup tool
.Net framework repair tool

Но к сожалению эффекта так же не произошло.

Решение проблемы:

Спасибо вам, Михаил, большое за помощь в оформлении. Очень квалифицированный сотрудник +5!

Левицкий Александр Константинович г. Самара

Спасибо за оперативную работу и компетентную помощь! Консультацией остался очень доволен!

Спасибо консультанту, представившемуся Михаилом, за оперативность в работе с клиентами.

Пономарев Степан Геннадьевич

Для решения данной проблемы следует выполнить следующие шаги:

Источник

Содержание

Инструкция по настройке и работе с Крипто-Про для государственных порталов
DavidovichDV
Вложения
DavidovichDV
Вложения
Blaze
DavidovichDV
Blaze
DavidovichDV
amotash
Вложения
DavidovichDV
amotash
DavidovichDV
amotash
Вложения
mfc31
DavidovichDV
renbuar
renbuar

Инструкция по настройке и работе с Крипто-Про для государственных порталов

DavidovichDV

New member

# выполняется от суперпользователя «root» или через «sudo»
$ выполняется от обычного пользователя
комментарий
На новых версия Firefox работать скорее всего не будет или часть функционала будет недоступна, можно взять cryptofox с сайта крипто-про
Данные настройки были проверены на встроенном браузере в астру chromium или chromium-gost от крипто-про

Загрузить последнюю версию Крипто-Про с официального сайта

Открыть Пуск->Утилиты->Менеджер файлов mc
перейти в каталог куда загрузили архив

Распакуем архив
$ tar -xf linux-amd64_deb.tgz

Перейдем в каталог
$ cd linux-amd64_deb

получим то что на картинке ниже

Жмем клавишу Enter

Выбираем все пункты нажимая на клавишу «Пробел» переход осуществляется клавишами вниз/вверх

Жмем клавишу Enter

Вводим свой серийный номер. Регистр нужно строго соблюдать.
Жмем клавишу Enter

Жмем выбираем Exit клавишами Tab, жмем клавишу Enter, Выбираем Yes, жмем клавишу Enter

Для USB токенов нужно установить данное ПО
# apt install libpcsclite1 pcscd libccid

они все есть в репозитарии астры, ничего нигде искать дополнительно не надо

Библиотека libccid не ниже 1.4.2

Для rutoken S нужно установить драйвер c сайта производителя, лучше установить более новое
https://www.rutoken.ru/support/download/drivers-for-nix/

# dpkg -i ifd-rutokens_1.0.4_amd64.deb

Проверить USB токены можно командой
$ /opt/cprocsp/bin/amd64/list_pcsc

Если что то не работает пишите возможно я что то упустил, а так же пишите коды ошибок, будем пополнять базу знаний и возможные пути решений

Качаем архив с плагином с официального сайта Крипто-ПРО https://www.cryptopro.ru/products/cades/plugin желательно в отдельный каталог
Заходим в каталог куда скачали архив с плагином и разархивируем

$ tar -xf cades_linux_amd64.tar.gz

Конвертируем в deb пакеты

если вывод команды был «bash: alien: команда не найдена», то вам надо читать внимательней потребности, установить alien

# apt install alien

# dpkg -i lsb-cprocsp-devel_*.deb cprocsp-pki-*.deb

на всякий пожарный установку лучше повторить, т.к. бывали случаи что установка прошла успешно, а библиотек на месте не было

# ln -s /opt/cprocsp/lib/amd64/libnpcades.so /usr/lib/mozilla/plugins/lib/libnpcades.so
# ln -s /opt/cprocsp/lib/amd64/libcppkcs11.so.4.0.4 /usr/lib/mozilla/plugins/lib/libcppkcs11.so

на всякий пожарный что бы было, если вдруг с путями кто-нибудь из программ случайно, обязательно затупит, сделаем симлинки на библиотеки

# ln -s /opt/cprocsp/lib/amd64/libnpcades.so /usr/lib/libnpcades.so
# ln -s /opt/cprocsp/lib/amd64/libcppcades.so /usr/lib/libcppcades.so
# ln -s /opt/cprocsp/lib/amd64/libcppkcs11.so /usr/lib/libcppkcs11.so

создаем симлинк для корректной работы связи расширения браузера с библиотекой установленного плагина

# ln -s /etc/opt/chrome/native-messaging-hosts/ru.cryptopro.nmcades.json /etc/chromium/native-messaging-hosts/ru.cryptopro.nmcades.json

так же желательно сделать симлинки нашел в какой то документации, возможно в них и нет необходимости, эти каталоги это для корректной работы плагинов браузеров и библиотек плагинов,

# ln -s /etc/opt/chrome /etc/opt/chromium
# ln -s /etc/opt/chrome /etc/opt/chromium-gost

Одно из самых главных требований при работе с этим плагином, это нужно при КОПИРОВАНИИ или СОЗДАНИИ контейнера установить пинкод

Качаем прикрепленный архив
или с тындекс диска
https://yadi.sk/d/8VJFh_cFHRGRJA

Разархивируем
$ unzip IFCPlugin-3.0.0-x86_64.deb.zip

Устанавливаем
# dpkg -i IFCPlugin-3.0.0-x86_64.deb

создаем симлинк для корректной работы связи расширения браузера с библиотекой установленного плагина

# ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts/ru.rtlabs.ifcplugin.json

config = <
cert_from_registry = «false»;
set_user_pin = «false»;
>

params =
(
< name = «Криптопровайдер VipNet CSP»;
alias = «VIPNet»;
type = «capi»;
provider_name = «Infotecs Cryptographic Service Provider»;
provider_num = «2»;
skip_pkcs11_list = «true»;
>,

< name = «Криптопровайдер VipNet CSP»;
alias = «VIPNet_linux»;
type = «capi_linux»;
provider_name = «Infotecs Cryptographic Service Provider»;
provider_num = «2»;
skip_pkcs11_list = «true»;
>,

< name = «Криптопровайдер КриптоПро CSP»;
alias = «CryptoPro»;
type = «capi»;
provider_name = «Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider»;
provider_num = «75»;
skip_pkcs11_list = «false»;
>,

< name = «Криптопровайдер КриптоПро Рутокен CSP»;
alias = «CryptoPro_Rutoken»;
type = «capi»;
provider_name = «GOST R 34.10-2001 Rutoken CSP»;
provider_num = «75»;
skip_pkcs11_list = «false»;
>,

< name = «Криптопровайдер Signal-COM CSP»;
alias = «SignalCom»;
type = «capi»;
provider_name = «Signal-COM CPGOST Cryptographic Provider»;
provider_num = «75»;
skip_pkcs11_list = «false»;
>,

< name = «Криптопровайдер LISSI-CSP»;
alias = «LISSI-CSP»;
type = «capi»;
provider_name = «LISSI-CSP»;
provider_num = «75»;
skip_pkcs11_list = «false»;
>,

< name = «JaCarta Криптотокен»;
alias = «JaCarta»;
type = «pkcs11»;
alg = «gost2001»;
lib_win = «jcPKCS11-2.DLL»;
lib_linux = «libjcPKCS11-2.so.2.4.0»;
lib_mac = «jcPKCS11-2»;
>,

< name = «CryptoPro CSP»;
alias = «cryptoprocsp»;
type = «pkcs11»;
alg = «gost2001»;
lib_linux = «libcppkcs11.so»;
>,

< name = «CryptoPro CSP»;
alias = «cryptoprocsp»;
type = «pkcs11»;
alg = «gost2012»;
lib_linux = «libcppkcs11.so»;
>,

< name = «Актив руТокен ЭЦП»;
alias = «ruTokenECP»;
type = «pkcs11»;
alg = «gost2001»;
lib_win = «rtpkcs11ecp.dll»;
lib_linux = «librtpkcs11ecp.so»;
lib_mac = «librtpkcs11ecp.dylib»;
>
);

Заходим в каталог куда скачали архив
$ unzip ifc.cfg.zip

Копируем конфигурационный файл

# cp ifc.cfg /etc/ifc.cfg

Перейти в меню — Дополнительные инструменты — Расширения и включить плагин

На случай диагностики ошибок ifcplugin нужен будет лог /var/log/ifc/engine_logs/engine.log

Вложения

DavidovichDV

New member

Общее описание выводов ошибок
[ErrorCode: 0x00000000]
Код ошибки 0, значит все прошло успешно

Error number 0x8009001f (2148073503).
Неправильный параметр набора ключей.
скорее всего нужно добавить пинкод или другой тип стандарта контейнера если ошибка возникает при копировании ключей
-pinsrc 12345678
-pindest 12345678

ERROR: SCardListReaders(NULL)
если ключ вставлен, то скорее всего либо у вас не установлены требуемые библиотеки/драйвера, либо что то мешает его распознать(какой-то пакет из состава Крипто-Про)

Проверить/отобразить USB токены можно командой
$ /opt/cprocsp/bin/amd64/list_pcsc
Примерный вывод:
Aktiv Co. Rutoken S 00 00

если получили ERROR: SCardListReaders(NULL) , если ключ вставлен, то скорее всего либо у вас не установлены требуемые библиотеки/драйвера, либо что то мешает его распознать(какой-то пакет из состава Крипто-Про)

Вывести список всех ключевых носителей и контейнеров
$ /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fqcn

CSP (Type:80) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 28131731
.Aktiv Co. Rutoken S 00 00key1
OK.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 1,380 sec
[ErrorCode: 0x00000000]

Вывод всех ключевых носителей и контейнеров с отображением уникального имени
$ /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fqcn -uniq

CSP (Type:80) v4.0.9018 KC2 Release Ver:4.0.9958 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 16527635
.HDIMAGEkey0 |.HDIMAGEHDIMAGEkey0.0001174
OK.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 2,130 sec
[ErrorCode: 0x00000000]

Нужная нам информация между строками » AcquireContext: OK. » и » OK . «

Еще возможный вывод .HDIMAGE и .FLASH, где

.HDIMAGE это ключевой носитель сохранен на жестком диске, вроде считывателя реестра в Windows версии. «key0» это имя ключевого контейнера на носителе.

$ /opt/cprocsp/bin/amd64/csptest -keycopy -contsrc ‘.HDIMAGEkey0’ -contdest ‘.Aktiv Co. Rutoken S 00 00key1’ -typesrc 75 -typedest 75 -pinsrc 12345678 -pindest 12345678

csptest -keycopy Запуск копирования
-contsrc ‘.HDIMAGEkey0’

Указываем откуда копируем «.HDIMAGE» это указатель откуда брать ключ в данном случае из локального расположения,

навроде считывателя реестра в Windows версии. «key0» это имя ключевого контейнера на носителе

-contdest ‘.Aktiv Co. Rutoken S 00 00key1’

Указываем куда копируем ‘.Aktiv Co. Rutoken S 00 00key1’ это указатель на устройство

ОБЯЗАТЕЛЬНО . Имя ключей должно отличаться
ОБЯЗАТЕЛЬНО . Имя ключей должно быть на латинице,
КАТЕГОРИЧЕСКИ не рекомендуется использовать кириллицу или любой другой алфавит отличный от латиницы

-typesrc 75 Тип сформированного контейнера откуда копируется по ГОСТУ где 75(ГОСТ-2001), 80(ГОСТ-2012)

-typedest 75 Тип сформированного контейнера куда копируется
-pinsrc 12345678 Пинкод источника ключевого носителя
-pindest 12345678 Пинкод ключевого носителя

*** Загрузка личного сертификата в хранилище в данном случае из локального считывателя
$ /opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ‘HDIMAGE’

*** Загрузка личного сертификата в хранилище в данном случае из рутокена
$ /opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ‘rutoken’

*** Загрузка личного сертификата в хранилище в данном случае из Флэш накопителя
$ /opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ‘FLASH’

*** Вывод личных сертификатов в личном хранилище
$ /opt/cprocsp/bin/amd64/certmgr -list -cert -store uMy

*** Вывод субъекта и серийного номера загруженных личных сертификатов в личном хранилище
$ /opt/cprocsp/bin/amd64/certmgr -list -cert -store uMy | grep -iE «^Serial|^Subject»

*** Полный вывод загруженных сертификатов корневых удостоверяющих центров в личном хранилище
$/opt/cprocsp/bin/amd64/certmgr -list -cert -store uroot

*** Вывод субъекта и серийного номера загруженных сертификатов корневых удостоверяющих центров в личном хранилище
$ /opt/cprocsp/bin/amd64/certmgr -list -cert -store root | grep -iE «^Serial|^Subject»

*** Полный вывод загруженных сертификатов промежуточных серверов в личном хранилище
$ /opt/cprocsp/bin/amd64/certmgr -list -cert -store uca

*** Вывод субъекта и серийного номера загруженных сертификатов промежуточных серверов в личном хранилище
$ /opt/cprocsp/bin/amd64/certmgr -list -cert -store uca | grep -iE «^Serial|^Subject»

*** Загрузка личного сертификата в личное хранилище сертификатов, в данном случае из всех считывателей rutoken
/opt/cprocsp/bin/amd64/csptestf -absorb -cert -pattern ‘rutoken’

Match: SCARDrutoken_32b56458B007E72
OK.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 1,760 sec
[ErrorCode: 0x00000000]

Match: SCARDrutoken_32b56458B007E72
Match это означает что он нашел ключевые носители удовлетворяющие условию и загрузил с него все сертификаты
Skip это значит что этот считыватель и контейнер не соответствует запросу и будет проигнорирован

/opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file 48b19fb33bb637c88a54d19650730b67e42db121.cer

файл сертификата прикреплен

*** Экспорт в файл сертификата из хранилища
$ /opt/cprocsp/bin/amd64/certmgr -export -cert -dn «CN=» -dest ‘cert.crt’
Сначала выведет список всех имеющихся личных сертификатов, затем нужно ввести порядковый номер сертификата

— Эспорт в файл закрытого ключа из хранилища
/opt/cprocsp/bin/amd64/certmgr -export -file 1234.pfx
Сначала выведет список всех имеющихся личных сертификатов, затем нужно ввести порядковый номер сертификата

Вложения

Blaze

New member

и за что отвечают эти параметры?

P.S. С госзакупками проблем со входом не возникло. Спасибо.

DavidovichDV

New member

и за что отвечают эти параметры?

P.S. С госзакупками проблем со входом не возникло. Спасибо.

1. Да может.
2. нет, можно воспользоваться любым контейнером
3. Это либо от старого функционала который в новой версии не работает, либо планируемый на будущее и сейчас тестируется у разработчика

лучше оставить так как работает, любы изобретения могут привести к сбоям в работе

Blaze

New member

личный сертификат установлен в хранилище -store uMy с привязкой к контейнеру закрытого ключа, в локальном ридере HDIMAGE

В Astra Linux применяется какая версия пакета pcsc-lite ?

У меня вечно, пока не закроешь страницу, висит на обращении к средству электронной подписи и бесконечно бегает анимация

DavidovichDV

New member

У вас плагин версии 3.0.3 он не работает, нужен 3.0.0, проверено на многих дистрибутивах

pcsc-1.8.20, но это существенной роли не сыграет главное это версия плагина.

amotash

New member

Вложения

DavidovichDV

New member

amotash

New member

DavidovichDV

New member

amotash

New member

Вложения

mfc31

New member

DavidovichDV

New member

renbuar

New member

По данной инструкции зашел на площадки и госуслуги. Спасибо.

renbuar

New member

]# /opt/cprocsp/bin/amd64/csptestf -tlsc -server zakupki.gov.ru -v -nosave -savecert /tmp/t.p7b
[root@test-x64-centos7

]# /opt/cprocsp/bin/amd64/certmgr -list -file /tmp/t.p7b
=============================================================================
1——-
Issuer : E=uc_fk@roskazna.ru, S=г. Москва, INN=007710568760, OGRN=1047797019830, STREET=»улица Ильинка, дом 7″, L=Москва, C=RU, O=Федеральное казначейство, CN=Федеральное казначейство
Subject : INN=007710568760, OGRN=1047797019830, STREET=»ул. Проспект Мира, 105″, E=777@roskazna.ru, C=RU, S=г. Москва, L=Москва, O=Федеральное казначейство, CN=zakupki.gov.ru
Serial : 0x6F064FA71C24CD7E2CE6FAAEA927D8C7EC69A35F
SHA1 Hash : c369b560ce239beddb2fc12b4884dee1cfc923aa
SubjKeyID : 10c6d12e7cd886d022bcdfea4cbe10e32acf82bc
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Public key : 04 40 1b ce 0b 15 6a 4a 57 e0 1b d8 39 ee 86 83
32 70 ea db fd f5 39 c1 e6 de 3c c8 be 10 81 03
5d da 0b 3b 09 7a d3 0d 46 33 58 11 3b 20 94 99
fe 04 fe 8e e6 bc 32 53 ff 2e 71 10 8e e2 12 a1
52 cf
Not valid before : 21/12/2017 06:06:33 UTC
Not valid after : 21/03/2019 06:06:33 UTC
PrivateKey Link : No
Subject Alt Names
UPN : ▒㌴ (2.5.4.12)
URL : 0
CDP : http://crl.roskazna.ru/crl/ucfk.crl
CDP : http://crl.fsfk.local/crl/ucfk.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
.

При наличии расширения Subject Alt Names RFC требует сверять имя сервера с ним, а не с полем CN. Поэтому CN=zakupki.gov.ru отброшен, а в Subject Alt Names хрень.

Andrey, [05.10.18 11:35]
Но мы сделали параметр для отключения требований RFC6125, который может подвергнуть систему опасности для атак с подменой сертификатов:
[root@test-x64-centos7

]# /opt/cprocsp/sbin/amd64/cpconfig -ini ‘configparameters’ -add long Rfc6125_NotStrict_ServerName_Check 1
[root@test-x64-centos7

Источник

Неправильный параметр набора ключей при создании ЭП на стороне сервера

Постановка задачи

Допустим, имеется информационная база, с которой платформа 1С работает в клиент-серверном варианте. Создание электронной подписи будем выполнять на стороне сервера, в этом случае рекомендуется использовать сертификаты и ключи, находящиеся в хранилище локального компьютера, так как они будут доступны любому пользователю Windows. А так же имеется установленный сертификат в хранилище локального компьютера в разделе Личное (см. рисунок 1) с привязкой к закрытому ключу (см. рисунок 2).

Рисунок 1. Сертификат локального хранилища

Рисунок 2. Сертификат, привязанный к закрытому ключу

При выполнении создания ЭП происходит исключительная ошибка, сообщающая о неправильном параметре набора ключей.

Решение проблемы

Создание ЭП на стороне сервера означает, что данная операция будет выполняться от имени пользователя сервера 1С (USR1CV82 или USR1CV83, в зависимости от версии платформы). Одна из причин появления ошибки неправильного параметра набора ключей — это отсутствие у пользователя доступа к закрытому(секретному) ключу сертификата.

Что бы пользователя наделить необходимыми правами для работы с закрытым ключом сертификата, откройте оснастку Сертификаты (подключается автоматически при установке КриптоПро CSP) и найдите сертификат, который используется для создания ЭП. Нажмите правой кнопкой мыши на него и выберите пункт Все задачи -> Управление закрытыми ключами (см. рисунок 3).

Рисунок 3. Управление закрытыми ключами

В открывшемся окне добавьте пользователя и установите полный доступ к закрытому ключу.

Рисунок 4. Установка доступа к закрытому ключу

Ошибка должна исчезнуть.

Ошибка 0x8010006c нет доступа к карте число попыток ввести правильный pin код исчерпано

Решение проблем с подключением скзи «Континент-ап»
Объект crypts ошибка при шифровании 0x8009001f 8009001f неправильный параметр набора ключей
Попытка установить соединение была безуспешной, т. к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера Из за большого объема этот материал размещен на нескольких страницах: 1 2 3 4
1.3.3. Не удалось выполнить подписание, по следующей причине: ERROR. Неправильный параметр набора ключей. (0x8009001f)
1.3.4. Не удалось выполнить подписание, по следующей причине: ERROR. Нет доступа к карте. Введен неправильный PIN-код. (0x8010006b)
1.3.5. Ошибки с указанием просроченного сертификата (когда предыдущие методы испробованы)
1.3.6. Не удалось подписать данные! Сообщение об ошибке: ERROR Неправильный открытый ключ поставщика. (0x80090015)
1.3.7. Не удалось подписать данные! Сообщение об ошибке: ERROR Отказано в доступе. (0x80090010)
1.3.8. Ошибка подписания на стороне клиента
1.3.9. Ошибка создания хэш-подписи (диспетчер ресурсов смарт-карт не выполнялся)
1.3.10. SMEV-100024: При обработке запроса произошла ошибка: Сертификат ЭП-ОВ не зарегистрирован
1.4. Ошибки сервиса конвертации
1.5. Другие ошибки
1.5.1. The operation has timed out

Что такое пароль и пин-код электронной подписи

На электронную подпись устанавливают один из типов защиты: пароль или пин-код. Разберемся, чем они отличаются.

Пароль от контейнера электронной подписи

Пароль используют для подписи, сохраненной в память компьютера. Он защищает контейнер ЭП — папку с файлами подписи: сертификатом, закрытым и открытым ключами.

Впервые с паролем владелец ЭП встречается, когда выпускает сертификат ЭП и записывает его в реестр компьютера или на обычную флешку (не токен). Придумать пароль нужно самостоятельно — при записи программа КриптоПро CSP покажет окошко, в которое нужно ввести комбинацию чисел, символов и латинских и русских букв.

Далее этот пароль будет запрашиваться при установке подписи на компьютер, ее копировании и при каждом использовании — подписании документов, работе на электронной торговой площадке или входе в сервисы. Если, конечно, не установить галочку «Запомнить пароль».

Пин-код от токена электронной подписи

Пин-код используется для электронной подписи, которая записана на носитель в виде usb-флешки — на токен. Пин защищает токен, поэтому, если мошенники украдут носитель ЭП, то самой подписью они воспользоваться не смогут.

Впервые владелец ЭП должен ввести пин-код при выпуске подписи — когда ее записывают на токен. Если носитель новый, то нужно ввести «заводское» стандартное значение, например, 12345678 для Рутокена. «Заводское» значение лучше сразу изменить на собственное, чтобы его не смогли подобрать злоумышленники.

После этого пин-код понадобится вводить, чтобы установить сертификат подписи на компьютер, использовать и копировать ЭП, работать с ней за новым компьютером. Чтобы не вводить комбинацию каждый раз, можно нажать галочку «Запомнить пароль». Главное в таком случае самим не забыть последовательность символов.

Меры безопасности при работе с ПИН-кодом

,В процессе проведения различных операций через банкомат, клиенты иногда получают уведомление на экране о, Сегодня сложно себе представить современную жизнь без интернета и всевозможных онлайн-сервисов. Для полноценного использования, Налогоплательщикам РФ предлагаются комфортные условия для того, чтобы выполнять свои обязанности и права. В, Для удобного взаимодействия населения с представителями исполнительной власти был создан специальный портал Добродел. Официальный

Ошибки сервиса конвертации

Описаны типичные проблемы в работе с Континентом-АП и способы их решения.

1) Ошибка подписи ключа 0x8009001F (Неправильный параметр набора ключей.)

Для решения проблемы нужно:

а) Удалить запомненные пароли Крипто-Про. б) Переустановить программу Континент-АП.

2) Сервер отказал в доступе пользователю. Причина отказа многократный вход пользователя запрещен.

4) Ошибка 735 Запрошенный адрес был отвергнут сервером.

5) Ошибка 721 Удаленный компьютер не отвечает.

а) Отключить службу «Брандмауэр Windows/Общий доступ к Интернету (ICS)».

б)Добавьте в разрешения антивирусу сам Континент-АП. Возможно проверить работают ли используемые порты. Проверить можно с помощью команды telnet с указанием порта. 6) Сервер отказал в доступе. нет свободных ip адресов.

Необходимо обращаться к администратору сервера доступа.

7) Ошибка 629 подключение было закрыто удаленным компьютером.

Такой тип ошибки возникает, когда отсутствует связь между вашим компьютером и сервером доступа.

Возможные причины. а) Нет доступа в интернет. б) В настройках АП Континент не правильно указан IP адрес сервера доступа. в) Закрыты порты UDP/4433 и UDP/7500.

Континент обрубает все соединения (например, пропадают сетевые диски после подключения континента). Для решения проблемы нужно нажать правой кнопкой на значок Континента в трее и убирать галку «Запрещать незащищенные соединения».

Что происходит при неправильном вводе ПИН-кода 3 раза?

Если три раза неверно введён ПИН-код карты, то система заблокирует карту или задержит ее внутри аппарата.

Сбербанк предусмотрел возможность ошибок при пользовании системой, поэтому допускает одно и два неправильных ввода кода. При трёхкратной ошибке банкомат считает, что карточкой завладел посторонний и сразу же блокирует её.

Что делать, если забыл пароль к сертификату электронной подписи?

Пароль или пин-код электронной подписи (ЭП или ЭЦП) схож с пин-кодом банковской карты. Он защищает подпись от мошенников, его нужно запомнить или записать на листочек и хранить подальше от самой подписи. Но, в отличие от пин-кода карточки, пароль ЭП редко используют и часто забывают.

Возьмем экономиста Василия. Он получил электронную подпись, установил ее на компьютер, задал пароль, поставил галочку «Запомнить» — и все, больше никогда эту комбинацию не вводил. Но через полгода Василий переехал в другой кабинет и сел за новый компьютер. Попытался установить на него свою подпись, но не получилось — он забыл пароль электронной подписи, а листочек, на который записывал символы, потерял.

В своей беде Василий не одинок — многие владельцы ЭП не могут вспомнить или не знают, где взять пароль электронной подписи. В этой статье расскажем, что делать в подобной ситуации и когда нужно получать новую ЭП.

Другие ошибки

Рисунок 1.5.1.1 – Примеры файловых путей из web. config Плагина

ПИН-код, как технология защиты счёта

Для пользования банкоматами, терминалами и другими устройствами, принимающими карточки, нужно знать ПИН-код. Его выдают одновременно с получением карты в отделении. Сотрудники банка предупреждают, что недопустимо разглашать его посторонним лицам и насколько важно аккуратно хранить конверт. Кроме клиента, код не знает никто. При оплате услуг или различных товаров в Сети карточкой, его значение не вводится в форму. Ввести ПИН-код при оплате просят только мошенники.

Конфиденциальные данные нужно хранить в недоступном месте и соблюдать все возможные меры предосторожности. Банкоматы также могут стать объектом получения секретных данных, поэтому стоит познакомиться с таким понятием, как «скиммеры». О них есть ряд статей с фотографиями, которые помогут распознать опасные устройства.

Если в процессе использования банкоматом ввести неправильный ПИН-код, то произойдёт следующее:

Если нет с собой документа из банка с записью кода, то лучше отложить процедуру проверки дома.

В событиях на ЦР видно:

== Он в реестре или на съёмном носителе? == Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.

ООО ТК «Контакт», Воронеж. Договора пока нет, потому что проблем не возникало до этого 🙂

Попытка установить соединение была безуспешной, т. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера Из за большого объема этот материал размещен на нескольких страницах

Алгоритм замены серийного номера сертификата:

Необходимо заново установить сертификат (см. п. 2.3), предварительно удалив старый контейнер.

Необходимо заново установить сертификат (см. п. 2.3).

Ошибки с указанием просроченного сертификата (когда предыдущие методы испробованы)

Возможно, в системе возникает ошибка по причине путаницы в конфигурационных файлах.

Проверить, не находится ли файл «SmevConfig. local. xml» сразу в двух в двух папках. Например:

C:Program Files (x86)EOSDeloServerDELOWebSMEV-RequestApp_Data

C:Program Files (x86)EOSDeloServerDELOWebSMEV-ReportsApp_Data

Оставить актуальный файл.

Ошибка подписания на стороне клиента

Сервису подписания не удаётся подписать запрос.

Ошибка создания хэш-подписи (диспетчер ресурсов смарт-карт не выполнялся)

При обработке запроса произошла ошибка

Ошибка говорит о том, что сертификат ЭП-ОВ, которой подписан запрос, не зарегистрирована в СМЭВ.

Неверно введён ПИН-код карты

Несмотря на огромные удобства безналичных расчётов, часто приходится носить с собой наличные деньги. При снятии нужной суммы в банкомате можно допустить ошибку. Ниже будет рассмотрено, каковы должны быть действия, если неверно введён ПИН-код карты.

ПИН-код правильный, а банкомат его не принимает

При использовании системы банкоматов от Сбербанка возникают и технические ошибки, например, выдается ошибка «Неверно введён ПИН-код карты». При повторной ошибке нужно прекратить дальнейшие попытки и сразу обратиться в отделение Сбербанка. Там работник учреждения проверит информацию.

Дальше возможно следующее:

Чтобы избежать неприятностей с пластиковыми картами при использовании банкоматов, нужно внимательней относиться к вводу ПИН-кода.

Как разблокировать карту?

Если с возвращением карточки есть проблемы, то намного проще заблокировать её и получить другую. Например, если она застряла в картоприёмнике и повредилась.

Если после блокировки не получается лично посетить отделение для проведения денежных операций, то можно запросить активацию карты удалённо. Для этого нужно позвонить по номеру 8 800 555 55 50. Звонки с любых телефонов по всей территории России бесплатны.

Системы защиты счёта карты постепенно дополняются новыми технологиями с совершенствованием сервисов восстановления доступа. Теперь системы банков проводят временную суточную блокировку. Она является предохранительным действием от возможного использования карты посторонними лицами.

Как восстановить пароль электронной подписи

Если пароль и пин-код подписи не удается вспомнить, то восстановить его не получится. В этом не поможет даже удостоверяющий центр, выпустивший сертификат, — он не хранит пароли ЭП. Поэтому нужно пытаться вспомнить заветную комбинацию или подобрать ее.

Забыл пароль подписи

Пароль от контейнера ЭП можно вводить неограниченное количество раз. Поэтому можно спокойно подбирать к подписи все знакомые комбинации: важные даты или код из смс, которую при выпуске сертификата присылал удостоверяющий центр. Возможно, именно этот код случайно установили на контейнер в качестве защиты.

Если подобрать пароль не удается, то доступ к сертификату можно вернуть в некоторых случаях. Если раньше пароль сохраняли на компьютере — нажимали галочку «Запомнить», то иногда такой контейнер можно скопировать без ввода пароля. Попытайтесь скопировать папку со всеми файлами подписи на другое устройство или токен. Если в процессе у вас не спросят пароль, то можно продолжать работать с ЭП.

Если не получается ни скопировать подпись, ни вспомнить пароль ЭЦП, то остается только одно — получить новый сертификат ЭП. Для этого нужно отозвать старый в удостоверяющем центре и подать документы и заявку на выпуск нового. На контейнер новой подписи стоит установить пароль, который легко запомнить, но который не угадают мошенники.

Забыл пин-код токена

Восстановить забытый пин-код токена тоже невозможно. Именно из-за этого токен — надежный носитель ЭП: если его украдут мошенники, то пин-код защитит подпись от них.

Однако для владельца ЭП есть два способа, которые помогут подобрать нужную комбинацию.

Решение №1. Заводской пароль.

По умолчанию на новом токене установлен стандартный пин-код от производителя. Можно ввести его, чтобы вернуть доступ к сертификату ЭП. Для разных носителей подойдут разные значения:

Если «заводская» комбинация к токену не подходит, значит ее сменили при записи сертификата. Тогда вернуть доступ к ЭП можно только одним способом — подобрать правильные символы.

Решение №2. Подбор пин-кода и права администратора

На то, чтобы подобрать пин-код к токену, есть десять попыток. После десятого неверного ввода символов заблокируется.

Иногда количество попыток ввода можно увеличить. Для этого нужно зайти на токен в качестве администратора и разблокировать пин-код:

Также, если пин-код администратора известен, то можно сбросить попытки ввода другим способом — через КриптоПро CSP:

После разблокировки счетчик попыток ввода сбросится. Но даже тогда, пока правильную комбинацию к токену не введут, доступ будет закрыт и использовать подпись не получится.

Если вспомнить или изменить нужную комбинацию не удалось, придется получать новый сертификат подписи в УЦ: отозвать старый сертификат и получить новый. Токен можно использовать старый — можете отформатировать носитель, тогда старый пин-код и сертификат удалятся. Отметим, что отформатировать токены марок Рутокен, eToken, JaCarta LT можно без прав администратора. Но для форматирования носителя Jacarta SE нужно знать администраторский пин.

При записи подписи на новый токен советуем поменять стандартный пин-код носителя на собственный. Это, конечно, может привести к тому, что комбинация вновь потеряется. Но лучше получить новый сертификат, чем пострадать от мошенников, которые смогли взломать «заводское» значение на токене и подписали украденной ЭП важные документы.

Обнаружен просроченный сертификат <Серийный номер сертификата>, действителен по <Дата просрочки сертификата>

Если деньги с карточки нужны срочно, то их можно получить в отделении банка, предоставив документ, удостоверяющий личность.

Решение проблем с подключением скзи «Континент-ап»

Решение проблем с подключением СКЗИ «Континент-АП»

12. Сервер отказал в доступе пользователю. Причина отказа: вход пользователя заблокирован. 5

«Ошибка 721» Удаленный компьютер не отвечает (см. рис. 1).

1.1 Возможно, у Вас отсутствует подключение к Интернету.

1.2 Какие-либо программы блокируют порты. Отключите антивирус, брандмауэр.

1.3 Удалите, если установлен, межсетевой экран, идущий с программой Континент-АП.

2. «Ошибка 628» Подключение было закрыто.

3. «Ошибка 629» Подключение было закрыто удаленным компьютером.

4. «Ошибка 735» Запрошенный адрес был отвергнут сервером.

Во вкладке «Сеть», выделить строку «Протокол Интернета TCP/IP» и нажать кнопку «Свойства» (см. рис. 3).

В открывшемся окне (см. рис. 4) поставить следующие переключатели:

«Получить адрес DNS-сервера автоматически».

6. «Ошибка 734» Протокол управления PPP-связью был прерван.

6.1 Ориентироваться на ошибку, которая появляется до этой.

6.2 Проверить системную дату.

7. «Ошибка» Сервер отказал в доступе пользователю. Причина отказа многократный вход пользователя запрещен.

8. «Ошибка» подписи ключа 0x8009001D (Библиотека поставщика проинициализирована неправильно).

Истек срок действия лицензии СКЗИ КриптоПро.

9. «Ошибка» подписи ключа 0x80090019 (Набор ключей не определен).

10. «Ошибка» подписи ключа 0x8009001F (Неправильный параметр набора ключей).

Установить новую версию Континент-АП.

11. «Ошибка» подписи ключа 0x00000002 (Не удается найти указанный файл).

12. Сервер отказал в доступе пользователю. Причина отказа: «Вход пользователя заблокирован».

Вас заблокировали на сервере УФК. Позвоните в отдел РСБИ и узнайте причину блокировки.

13. Нарушена целостность файлов. Обратитесь к системному администратору.

15. «Ошибка» Вставьте ключевой носитель. Набор ключей не существует.

15.1 Убедитесь, что носитель информации с ключом Континент вставлен.

15.2 При установке соединения на этапе выбора сертификата убедитесь, что выбран правильный сертификат.

15.1.3 Убедитесь, что КриптоПро видит данный ключ.

16. «Ошибка» Вставьте ключевой носитель (Поле «устройства» пустое).

Убедитесь, что носитель информации с ключом Континент вставлен;

Откройте КриптоПро и, на вкладке «Оборудование», выберите «Настроить считыватели»;

Появится окно мастера установки считывателя. Нажмите «Далее»;

В следующем окне нажмите кнопку «Далее»;

В появившемся окне нажмите «Готово»;

Попытайтесь заново установить соединение.

17. «Ошибка» Пропала пиктограмма, расположенная в трее.

Перейдите на вкладку «Процессы» и в списке выберите «AP_Mgr.exe» и нажмите кнопку «Завершить процесс».

Затем повторите пункт 17.1.

18. Сервер отказал в доступе пользователю «Неверный тип использования ключа».

18.1 Переустановить сертификат, предварительно очистив в КриптоПро «запомненные пароли». Проверить работу.

18.3 Переустановить Континент-АП (перезагрузить компьютер). Установить заново сертификат.

19. Сервер отказал в доступе пользователю. «Client-Cert not found» (см. рис. 5).

В меню «Настройка аутентификации» активируйте команду «Континент-АП» (см.рис.9).

в правом нижнем углу экрана.

В меню «Сертификаты» активируйте команду «Установить сертификат пользователя» (см. рис. 13).

Нажмите кнопку «ОК» (см. рис. 18).

Откройте ярлык «Установка и удаление программ» (см. рис. 20).

Найдите строку «Континент-АП» в списке установленных программ и нажмите кнопку «Изменить» (см. рис. 21).

На экране появится окно «Континент-АП». Нажмите кнопку «Далее» (см. рис. 22).

Установите отметку в поле «Исправить». Нажмите кнопку «Далее» (см. рис. 23).

Для перезагрузки компьютера нажмите кнопку «ДА» (см. рис. 26).

После перезагрузки компьютера попробуйте установить соединение Континент-АП.

При генерации подписи, в момент записи сертификата электронной подписи на защищенный носитель, происходит данная ошибка из-за установленной версии vipnet CSP 4.2.

Способы решения ошибки:

1. Запись сертификата электронной подписи вручную через vipnet CSP.

Закройте окно с ошибкой.

Будет осуществлен возврат на обратную страницу, обновите ее и нажмите на скачать сертификат.

Сохраните сертификат на рабочий стол.

Откройте VipNet CSP

1 – выберите защищенной носитель.

2 – выберите подпись, на которую требуется запись сертификата.

3 – Выберите установить сертификат.

Выберите сертификат, который ранее сохранили на рабочий стол, нажмите открыть.

В появившемся окне нажмите 2 раза «далее» и готово.

Открывшееся окно само закроется.
Необходимо проверить установился ли сертификат в контейнер подписи, вновь выбираем подпись, после нажимаем на «свойства».

В открывшемся окне, если в поле «Сертификат» указана данная информация, значит сертификат подписи установлен успешно.

2. Переустановить версию Vip net CSP минимум на 4.4.

Внимание:

1. Прежде чем изменять версию Vip net CSP, уточните у технической поддержки Вашего программного обеспечения поддерживаемость версий выше 4.2.

2. Возможны случаи, что выпушенные электронные подписи на версии 4.4, не работали на версии 4.2. Если Вам критично использовать версию 4.2, то используйте 1 пункт данной инструкции.

Остались вопросы? Как мы можем помочь?

Как мы можем помочь?

Ошибка (sun.security.pkcs11.wrapper.PKCS11Exception CKR_FUNCTION_FAILED)Ошибка создания ключевой пары (0X3)

Источник

Решение проблем с подключением скзи «Континент-ап»

Главная > Решение

Информация о документе
Дата добавления:
Размер:
Доступные форматы для скачивания: