Ошибка импорта сертификата в Панели Управления Рутокен
При импорте pfx-файла, содержащего сертификат и закрытый ключ может возвращаться «Ошибка импорта Подробности 0x80090014 CSP name: Microsoft Software Key Storage Provider»
Эта ошибка возникает из-за того, что изначальный сертификат был выписан через Microsoft Software Key Storage Provider, который невозможно импортировать через Aktiv Rutoken CSP 1.0.
Столкнулся лично с непонятной ошибкой при импорте в Windows обычного сертификата с закрытым ключом. Получал сообщение: «Произошла внутренняя ошибка. Либо профиль пользователя недоступен, либо для импорта закрытого ключа требуется поставщик служб шифрования, который не установлен.» Не смог воспользоваться им на другом компьютере, когда возникла необходимость. Ошибка была совершенно неинформативная, так что пришлось разбираться с проблемой.
Научитесь обеспечивать безопасность в непрерывном процессе разработки и продакшена на онлайн курсе «Внедрение и работа в DevSecOps.» в OTUS. Курс не для новичков, для успешного поступления пройдите вступительный тест.
Как я уже сказал во вступлении, нужно было воспользоваться сертификатом, который изначально выпущен для работы с сервисами Контур. На другом компьютере нужно было зайти в личный кабинет ИП в налоговой. Для этого с исходного компьютера сначала экспортировали закрытый ключ в файл формата .pfx и сам сертификат в виде файла с расширением .cer.
По неизвестной причине на другом компьютере не получалось импортировать закрытый ключ. При попытке это сделать, получал ошибку:
Доступа к исходному компьютеру уже не было. Нужно было разбираться на месте. Не буду рассказывать про всё то, что пробовал. Скажу сразу, в чём была причина ошибки конкретно у меня. Либо кончилась лицензия на Крипто ПРО, либо не совпадала версия с той, что была изначально. Так как я почти одновременно выполнил оба действия — установил лицензию и обновил версию, не знаю, что в итоге произошло.
Сертификаты, выпущенные Контуром, уже содержат в себе лицензию Крипто ПРО, так что специально с ней что-то делать не надо. Когда ты постоянно пользуешься сервисами с сертификатами, следить за лицензией и что-то делать с ней не обязательно. Проблема возникает конкретно при импорте.
В итоге решил проблему с ошибкой импорта pfx сертификата просто. Зашёл на сервис help.kontur.ru и выполнил диагностику компьютера. Одним из рекомендуемых действий было обновление Крипто ПРО и установка лицензии. Выполнил оба действия и после этого сертификат был успешно импортирован.
После этого смог воспользоваться личным кабинетом ИП в налоговой. Сразу могу сказать, что причин упомянутой ошибки может быть очень много. Я натыкался в процессе поиска на разные варианты исправления. Кому-то помогала переустановка Windows, кому то новый экспорт и импорт, кому-то ещё что-то.
Онлайн курс Внедрение и работа в DevSecOps
Научитесь обеспечивать безопасность в непрерывном процессе разработки и продакшена. Выбирайте и интегрируйте инструменты ИБ под свои процессы. Изучайте всё это на онлайн курсе Внедрение и работа в DevSecOps в OTUS. Обучение длится 4 месяца.
В рамках курса будут рассмотрены особенности защиты следующих видов приложений:
- Традиционные монолитные 2/3-Tier приложения.
- Kubernetes приложения — в собственном ДЦ, Public Cloud (EKS, AKS, GKE).
- Мобильные iOS и Android приложения.
- Приложения c REST API back-end.
Будет рассмотрена интеграция и использование наиболее популярных open source и коммерческих инструментов ИБ. В курсе делается упор на практику Scrum / Kanban, но подходы и инструменты могут также использоваться в традиционной Waterfall модели ведения проектов.
Смотрите подробнее программу по ссылке.
Убедитесь, что у вас установлена последняя версия Драйверов Рутокен для ЕГАИС. При необходимости — обновите ее.
Генерация RSA-ключей на устаревших версиях Драйверов Рутокен может привести к проблемам с целостностью сертификатов на носителе.
Вход в личный кабинет ЕГАИС
Нажмите кнопку «Ознакомиться с условиями и проверить их выполнение»
Проверьте, что Рутокен ЭЦП 2.0 вставлен и нажмите кнопку «Начать проверку»
Если во время проверки выполнения условий для подключения к личному кабинету возникла ошибка «Не установлен программный компонент для работы с электронной подписью с использованием Web-браузера Internet Explorer (Фсрар-Крипто 3)», выполните действия, указанные в инструкции ниже:
Перед установкой ФСРАР Крипто 3 закройте все окна браузера Internet Explorer.
После успешной установки повторно зайдите на сайт http://egais.ru/ и повторно пройдите проверку выполнения условий доступа к личному кабинету.
Если ошибка сохранилась, воспользуйтесь рекомендациями, описанными в этой статье.
— в USB-порт вставлен ключевой идентификатор модели Рутокен ЭЦП 2.0
— светодиод на ключе Рутокен ЭЦП 2.0 горит
— ключевой идентификатор Рутокен определяется в «Панели управления Рутокен» в поле «Подключенные Рутокен»
Проверка условий должна завершиться успехом.
Нажмите кнопку «Перейти в Личный кабинет».
Получение RSA-ключа
- Выберите пункт «Получить ключ доступа», найдите необходимое подразделение и нажмите кнопку «Сформировать ключ»
- Введите PIN-код для Рутокен ЭЦП 2.0 (по умолчанию 12345678) и нажмите кнопку «Сформировать ключ»
Как исправить ошибку при генерации RSA ключа для ЕГАИС?
При генерации RSA ключа (транспортного ключа) в личном кабинете ЕГАИС алкоголь могут возникать ошибки. Разобраться в этих ошибках непросто специалисту, не говоря уже о рядовом пользователе.
Попробуем разобрать типовые ошибки, которые возникают при генерации транспортных RSA ключей ЕГАИС.
Почему возникает ошибка при генерации ключа ЕГАИС?
Ошибка при генерации транспортного ключа для ЕГАИС иногда возникает из-за неполадок на сайте ЕГАИС. Но это происходит крайне редко.
В основном ошибки при генерации связаны с некорректными настройками компьютера.
Общие рекомендации для успешной генерации транспортного RSA ключа ЕГАИС
Для успешной генерации транспортных ключей на сайте ЕГАИС необходимо соблюсти некоторые требования и рекомендации:
- Операционная система должна быть MS Windows и свежее чем XP (подойдет Vista/7/8/8/1/10, серверные ОС тоже поддерживаются, начиная с 2008). Крайне желательно наличие установленных актуальных обновлений.
- Браузер Internet Explorer версии не ниже, чем 9. Но мы рекомендуем использовать актуальную версию — 11. Установить или обновить можно из этого источника.
- Установлена актуальная версия крипто плагина ФСРАР Крипто (версия не ниже чем 2.00).
- Установлены и настроены драйвера для защищенного носителя для ЕГАИС.
- Во время работы в личном кабинете ЕГАИС и при работе УТМ ЕГАИС должен быть вставлен только один ключик для ЕГАИС.
Ошибка при генерации RSA ключа «Выберете устройство чтения смарт карт
Если при генерации ключа ЕГАИС вместо окна запроса пин-кода Вы увидели окно «Выберете устройство чтения смарт карт» или «Обнаружена смарт-карта, но она не может использоваться для текущей операции. » или «Смарт-карта не может выполнить запрошенную операцию либо операция требует другой смарт-карты», значит нужно скорректировать настройки компьютера.
Такая ошибка возникает из-за того, что настройки вашего компьютера не позволяют сформировать ключи, необходимые для работы УТМ ЕГАИС.
Если Вы используете носитель Рутокен ЭЦП, то вам необходимо сделать следующее:
Откройте Панель управления Рутокен (запускается ярлыком на рабочем столе или через меню Пуск — Программы (или Все программы) — Рутокен — Панель управления Рутокен), перейдите на вкладку «Настройки» и нажмите на кнопку «Настройка» в разделе «Настройки криптопровайдера«. Установите напротив строки Рутокен ЭЦП значение Microsoft Base Smart Card Crypto Provider.
Пробуйте сгенерировать транспортный ключ ЕГАИС еще раз.
Если не получилось — сделайте перенастройку еще раз. Выберете другой криптопровайдер, нажмите ОК, и снова выберете Microsoft Base Smart Card Crypto Provider.
В крайне редких случаях, если генерация ключа не проходит, помогает утилита восстановления работоспособности Рутокен (позволяет правильно определить драйвера носителя в системе).
Все должно получиться!
Если Вы самостоятельно не можете справится с генерацией транспортного ключа ЕГАИС — обратитесь к нашим специалистам. Обычно мы справляемся с этой задачей за 5-15 минут.
В этой ошибке прямым текстом, правда по иностранному, написано, что неверно введен пин-код.
Проверьте правильность ввода пин-кодов. Если на вашем носителе установлен пин-код по умолчанию. и Вы его не помните, то напоминаем:
- для JaCrata пин RSA — 11111111, пин ГОСТ — 0987654321
- для Рутокен пин RSA — 12345678, пин ГОСТ — 12345678
Если не подходят стандартные пин-коды и пин-код, который установили Вы, то скорее всего носитель заблокировался. Для разблокировки носителя обратитесь к тому, у кого получали ключи, должны помочь.
Если Вы самостоятельно не можете справится с пин-кодом для ключа ЕГАИС — обратитесь к нашим специалистам (достаточно просто написать в чат на сайте). Обычно мы справляемся с этой задачей за 5-15 минут.
Такая ошибка была нами зафиксирована при использовании ключа JaCarta SE.
Для исправления ошибки необходимо инициализировать раздел PKI на носителе. Для этого откройте Единый клиент JaCarta желательно включить интерфейс Администратора (снизу слева кнопка «Переключиться в режим администрирования»). Перейдите вверху во вкладку PKI и нажмите «Инициализировать». При запросе пин-кода введите пин-код Администратора 00000000, пин-код Пользователя 11111111.
После успешной инициализации попробуйте снова сгенерировать транспортный ключ.
Также не забывайте о том, что для нормальной работы вашего защищенного носителя для ЕГАИС должен быть установлен свежий драйвер ключа!
Если Вы самостоятельно не можете справится с генерацией транспортного ключа ЕГАИС — обратитесь к нашим специалистам (достаточно просто написать в чат на сайте). Обычно мы справляемся с этой задачей за 5-15 минут.
ЕГАИС 5. Как сформировать RSA-ключ на каждое подразделение (Рутокен ЭЦП 2
Чтобы соединение с ЕГАИС было защищено, используется RSA-ключ. Он должен быть записан на тот же носитель, на котором расположен сертификат КЭП для работы с ЕГАИС. Формирование RSA-ключа производится пользователями самостоятельно в Личном кабинете ЕГАИС. Перед этим следует убедиться, что работа с системой настроена, а также в ней корректно отображаются все подразделения организации (обратите внимание на возможность формирования ключа).
Для получения ключа подразделения и записи его на устройство Рутокен ЭЦП 2.0 необходимо:
- Появилось сообщение «Вставьте смарт-карту»:В этом случае нужно проделать дополнительные действия:
- Откройте программу Единый клиент Jacarta и в левом нижнем углу выберите режим администрирования.
- Выберите раздел PKI, пункт «Инициализировать».
- Введите пин-код администратора (если не меняли, по умолчанию 0000 0000) и нажмите «Выполнить».
- После появления уведомления об очистке раздела нажмите «Продолжить». Старый сертификат будет удален, а раздел очищен.
- Откройте программу «Панель управления Рутокен», выберите устройство и перейдите во вкладку «Сертификаты».
- Найдите строку с именем RSA-ключа, щелкните по ней левой кнопкой мыши и выберите «Удалить».
- Программа запросит подтверждение операции, а затем пин-код пользователя (по умолчанию 12345678).
- После ввода пин-кода нажмите ОК, и RSA-сертификат будет удален.
Копирование средствами Windows
Если для работы используется дискета или flash-накопитель, скопировать контейнер с сертификатом можно средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и, если есть, файл сертификата — открытый ключ) поместите в корень дискеты / flash-накопителя (если поместить не в корень, то работа с сертификатом будет невозможна). Название папки при копировании рекомендуется не изменять.
В папке с закрытым ключом должно быть 6 файлов с расширением.key. Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копировать открытый ключ необязательно. Пример закрытого ключа — папки с шестью файлами и открытого ключа — файла с расширением.cer.
Закрытый ключ Открытый ключ
Копирование на профиле Диагностики
1. Зайдите на профиль Диагностики «Копирования» по ссылке.
2. Вставьте носитель, на который необходимо скопировать сертификат.
3. На нужном сертификате нажмите на кнопку «Скопировать».
Если на контейнер был задан пароль — появится сообщение «Введите пароль для устройства с которого будет скопирован сертификат».
Введите пароль и нажмите на кнопку «Далее».
4. Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».
5. Задайте имя новому контейнеру и нажмите на кнопку «Далее».
6. Должно появиться сообщение об успешном копировании сертификата.
Массовое копирование
4. После копирования нажмите внизу слева кнопку « Обновить ». Если хотите работать со скопированными контейнерами — необходимо установить сертификаты.
Копирование с помощью КриптоПро CSP
В окне « Копирование контейнера закрытого ключа » нажмите на кнопку « Обзор » .
Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее». Если вы копируете с рутокена, то появится окно ввода, в котором следует указать pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.
В окне « Вставьте чистый ключевой носитель » выберите носитель, на который будет помещен новый контейнер.
На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать или подобрать. Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».
Не храните пароль/pin-код в местах, к которым имеют доступ посторонние. В случае утери пароля/pin-кода использование контейнера станет невозможным.
После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать для работы в Экстерне новый ключевой контейнер, установите его через Крипто Про.
Экспорт PFX-файла и его установка
Экспорт сертификата с закрытым ключом
1. Откройте оснастку работы с сертификатами:
2. Откройте сертификат, который нужно скопировать. На вкладке «Состав» нажмите «Копировать в файл».
3. В «Мастере экспорта сертификтов» нажмите «Далее» и выберите пункт «Да, экспортировать закрытый ключ». Нажмите «Далее».
4. На следующем этапе поставьте галочки у пунктов «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства», остальные галочки необходимо убрать. Нажмите «Далее».
5. Обязательно задайте пароль для экспортируемого файла. Данный пароль не рекомендуется сообщать по электронной почте. Нажмите «Далее».
6. Укажите имя файла, выберите путь сохранения и нажмите «Далее», затем нажмите «Готово».
7. Экспортируйте открытый ключ сертификата (см. Экспорт открытого ключа).
Установка сертификата с закрытым ключом
2. Укажите хранилище «Текущий пользователь» и нажмите «Далее», затем снова «Далее».
4. Выберите пункт «Поместить все сертификаты в следующее хранилище», нажмите на кнопку «Обзор», выберите «Личное» и нажмите на кнопку «ОК». Нажмите «Далее», а затем «Готово».
5. В окне КриптоПро выберите носитель, на который хотите сохранить контейнер. При необходимости задайте пароль.
6. Для корректной работы сертификата со встроенной лицензией переустановите сертификат в контейнер (см. Как установить личный сертификат в КриптоПро).
Копирование контейнера из реестра другого пользователя
1. Необходимо найти ветку реестра с нужным контейнером. Ветки реестра, в которых может быть контейнер закрытого ключа:
2. После того, как нашли нужную ветку, нажмите правой кнопкой мыши на ветку с контейнером и выберите «Экспортировать».
3. Введите имя файла и нажмите на кнопку «Сохранить».
4. Скопируйте файл на тот компьютер, где будете работать с электронной подписью обычными средствами Windows.
6. Как диагностика закончится, нажмите на ссылку «Показать результаты».
7. В списке результатов выберите «Информация о Windows». Скопируйте оттуда SID текущего пользователя.
8. Откройте экспортированный файл реестра с помощью «Блокнота».
9. Замените SID пользователя на скопированный ранее.
Если ветка реестра экспортируется из 32-битной ОС в 64-битную ОС, добавьте в путь ветки реестра параметр Wow6432Node как на скриншоте:
10. Сохраните изменения и закройте файл.
11. Снова нажмите на файл правой кнопкой мыши и выберите «Слияние». В появившемся окне нажмите «Да».
Должно появиться сообщение о том, что данные успешно внесены в реестр. Нажмите «ОК».
Если появляется сообщение «Ошибка при доступе к реестру», необходимо еще раз проверить все пути в файле на корректность. Также проверьте, чтобы в пути не было лишних пробелов, знаков.
12. После того, как данные будут внесены в реестр, необходимо вручную установить сертификат (см. Как установить личный сертификат).
Инструкция по копированию ЭЦП с дискеты или флэшки на Рутокен
ИНСТРУКЦИЯ по копированию ЭЦП
с дискеты или флэшки на Рутокен
В соответствии с законом «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» владелец закрытого ключа ЭЦП несет персональную ответственность за его хранение!
Почему ключи раздают на дискетах
Дискета была и пока остается самым доступным и самым дешевым носителем, на который можно записать достаточно длинную ключевую комбинацию символов. Именно в силу своей дешевизны и простоты использования многие компании продолжают раздавать ключевую информацию, в т. ч. ключи ЭЦП, именно на дискетах, не смотря на то, что надежность дискет по современным меркам ниже удовлетворительной, а дисководы уже почти не встречаются.
Зачем нужен токен, зачем копировать ключи на токен
USB-токены гораздо надежнее, чем дискеты, защищены от воздействия физических факторов. Помимо этого, токены обеспечивают криптографическую защиту хранимой информации. В отличие от дискет для доступа к информации в памяти токена необходимо знать специальный pin-код. Еще одним существенным отличием USB-токенов от дискет является установка в системе специального драйвера.
Так зачем же копировать ключ ЭЦП с привычной дискеты на непривычный токен?
Причин несколько. Во-первых, это отсутствие дисковода на том компьютере, на котором будет работать обладатель ключа ЭЦП. Если еще можно найти оставшийся от давних времен компьютер, оснащенный дисководом, то ожидать, что на таком допотопном оборудовании осуществляются серьезные работы, уже будет чересчур смелым предположением.
Во-вторых, любой, кто сталкивался в своей жизни с дискетами, знает, что информацию на дискете лучше сразу же продублировать, ввиду крайней ненадежности этих самых дискет!
Ну и, в-третьих, украсть ключ ЭЦП с дискеты у неосторожного пользователя сможет даже школьник, в то время как считать информацию из памяти токена, не зная секретного pin-кода, практически невозможно.
Что нам для этого потребуется
Для копирования ключа ЭЦП с дискеты на токен необходимо, чтобы на компьютере присутствовали дисковод и usb-порт. Была установлена операционная система Windows XP, Vista, 7. Так же необходимо, чтобы был установлен КриптоПро CSP.
Как узнать версию КриптоПро CSP
Для начала необходимо определить версию установленного КриптоПро CSP. Для этого необходимо зайти в Панель управления и запустить плагин КриптоПро CSP. На закладке Общие будет указана версия продукта.
В зависимости от того, какая версия КриптоПро CSP (КриптоПро 3.6 или КриптоПро 3.0) установлена, дальнейшие действия по настройке КриптоПро CSP для копирования контейнера на токен будут несколько отличаться.
1. Очень важно правильно определить версию КриптоПро CSP!
В зависимости от того, какая версия КриптоПро CSP (3.0 или 3.6) установлена у пользователя, дальней-шие действия по настройке системы будут существенно отличаться!
2. При работе с контейнерами КриптоПро CSP на любых видах носителей во время операций с содержи-мым контейнеров ЗАПРЕЩАЕТСЯ отключать носитель от компьютера до завершения операции! В против-ном случае возможны необратимые повреждения содержимого контейнера!
Первый шаг зависит от версии КриптоПро CSP
a) Для КриптоПро 3.6 необходимо установить драйверы Рутокен: (http://**/hotline/instruction/drivers/).
b) Для КриптоПро 3.0 необходимо установить решение Рутокен для КриптоПро CSP:
(http://**/download/software/rtSup_CryptoPro. exe. zip).
Дальнейшие шаги инструкции не зависят от версии КриптоПро CSP
Скопировать контейнер с дискеты на Рутокен средствами КриптоПро CSP:
· В Панели управления компьютером запустите плагин КриптоПро CSP
· На закладке Сервис нажмите на кнопку Скопировать контейнер:
· В появившемся окне выбора контейнера нажмите на кнопку Обзор:
· В списке контейнеров укажите тот, который находится на дискете или флешке. Нажмите на кнопку ОК:
· В появившемся окне запроса введите пароль для выбранного контейнера, если он был назначен. Нажмите на кнопку ОК:
· Введите имя контейнера, который будет создан при копировании ваших данных на Рутокен. Нажмите на кнопку ОК:
· Подключите Рутокен к компьютеру.
· В появившемся окне выбора считывателей необходимо указать тот, к которому подключен Рутокен и нажать на кнопку ОК:
· В появившемся окне запроса введите Pin-код подключенного устройства Рутокен (по умолчанию: ). Нажмите на кнопку ОК:
· Дождитесь, пока произойдет копирование контейнера на токен (во время копирования индикатор на токене будет мерцать).
Зарегистрировать сертификат в локальном хранилище сертификатов
· Чтобы убедиться в том, что контейнер с сертификатом скопирован на Рутокен, в плагине управления КриптоПро CSP на закладке Сервис нажмите Просмотреть сертификаты в контейнере:
· В появившейся форме нажмите на кнопку Обзор и выберите контейнер на Рутокен, скопированный туда ранее, как описано в предыдущем разделе, нажмите на кнопку ОК:
· Нажмите на кнопку Далее:
· В открывшемся окне сертификата убедитесь, что данные верны и нажмите на кнопку Свойства:
· В открывшемся окне сертификата нажмите на кнопку Установить сертификат:
· Откроется мастер установки сертификата, в котором необходимо указать хранилище, в которое будет помещен ваш сертификат. Как правило, это Личное хранилище. Выберите нужные параметры и нажмите на кнопку Готово:
· Должно появиться сообщение об успешной установке сертификата.
· Закройте окно свойств сертификата:
Теперь вы можете пользоваться ключевой информацией, хранящейся на Рутокен, указывая соответствующий сертификат в хранилище.
Не устанавливается драйвер или решение Рутокен для КриптоПро CSP
Как скопировать ЭЦП с рутокена
Сертификат электронной цифровой подписи — электронный либо бумажный документ, дающий право проконтролировать достоверность текстового или иного файла, принадлежность операции конкретному владельцу. Его выдает специализированный удостоверяющий центр (УЦ), где идет оформление ЭЦП. В обязательном порядке в нем есть следующая информация:
Также в состав сертификата входит информация о владельце ЭЦП. Для физического (частного) лица — это фамилия имя и отчество, номер СНИЛС, ИНН при наличии. Для юрлица — это наименование компании, адрес расположения, ИНН. Дополнительно в сертификате могут находиться сведения о сфере применения, данные об издателе и иные данные.
В общем случае сертификат ЭЦП состоит из трех компонентов:
Как правило, срок действия сертификата составляет 1 год с момента выдачи, по истечение которого надо повторно получать новый. Сделано это для повышения общей надежности и предотвращения компрометации конфиденциальных данных.
Как произвести копирование сертификата с Рутокен
На одном накопителе Рутокен может находиться до 28 сертификатов ЭЦП (зависит от объема встроенной памяти). Этого достаточно для решения задач даже с учетом постепенного копирования на имеющийся носитель дополнительных ключей. На практике иногда приходится сталкиваться с необходимостью копирования сертификата с токена для переноса на другой или временного хранения на жестком диске, в облаке. Также актуальна обратная операция, позволяющая создать копию ЭЦП на другом носителе для передачи ее коллеге, который также получил право на использование.
Перед выполнением копирования необходимо понимать, что сделать это традиционным способом с локального диска компьютера невозможно. Подобная операция доступна при наличии одного из следующих считывателей:
Если в качестве исходного носителя используется USB-накопитель, то контейнер с размещенным сертификатом должен находиться в корневой папке. Параллельно на нем может располагаться другая информация любой степени вложенности, которая не будет мешать работе с контейнером во время подписи документации.
Обратим внимание, что использование обычного USB-накопителя стоит рассматривать исключительно в качестве временной меры для хранения сертификатов и ключей из-за риска их хищения злоумышленниками. Исключением будет случай, когда подобное копирование используется для получения дополнительного комплекта файлов на случай выхода из строя Рутокен.
Как выполнить копирование сертификата с Рутокена через КриптоПРО
Для решения задачи понадобится программа КриптоПРО CSP. Непосредственно копирование ЭЦП с токена идет следующим образом:
В указанном нами месте на жестком диске или USB-носителе появится новая папка с ключами, которую далее можно копировать «традиционным» способом.
Обратим внимание, что если вы планируете далее использовать скопированную ЭЦП по прямому назначению, то находиться указанная папка должна в корневой директории диска.
Проведение копирования контейнера с помощью встроенных средств операционной системы Windows
Файл primary.key включает в себя 32 байта ключа, представленного в формате ASN1. При этом данное значение представляет собой только 50% искомого ключа, так как полная его версия может быть получена при делении на маску с учетом модуля Q.
Файл masks.key включает 32 байта маски ключа, которая также представлена в формате ASN1. Также здесь есть 12 байт данных для генерации ключа при условии, что криптографический контейнер защищен от несанкционированного доступа паролем (последний также принимает участие при генерации уникального ключа хранения). Завершает перечень информации в файле контрольная сумма, занимающая 4 байта.
Файл header.key представляет собой набор параметров ЭЦП и другую общую информацию.
Как выполнить копирование ЭП из реестра
Рекомендуется использовать данный способ в тех случаях, когда выполнение штатными средствами СКЗИ копирование не удалось.
Если вы желаете скопировать криптографический контейнер с требуемым нам сертификатом непосредственно из реестра компьютера, то сначала необходимо найти папку, где он располагается. В зависимости от версии Windows необходимо перейти по следующему адресу в ветке реестра:
Теперь достаточно для копирования выполнить действия в соответствии со следующим алгоритмом:
*Примечание
Если все действия были выполнены верно, то должно на экране появиться сообщение об успешных изменениях в реестре. Если есть ошибки, то появится с ошибкой и вам нужно проконтролировать корректность указанного пути к файлу. После завершения процедуры все данные о контейнере будут находиться в реестре операционной системы, а вам понадобится для работы только установить вручную личный сертификат. Сделать это можно с помощью стандартных инструментов КриптоПро CSP.
Выгрузка личного сертификата с исходного компьютера: Для начала на ПК (исходный), с которого идет установка, выполняем его экспорт следующим образом:
В случае успеха будет выдано окно о завершении операции. Нажмите кнопку «ОК»
Как перенести нужный контейнер на Рутокен из другого источника
В идеальном случае, контейнер с действующим сертификатом должен храниться в реестре либо на токене, где обеспечен максимальный уровень защиты. Для копирования его на Рутокен необходимо предварительно подключить считыватель и проконтролировать его доступность через КриптоПро. Если ее нет, то настраиваем, а в противном случае, выполняем действия в соответствии со следующим алгоритмом:
Для использования обновленного контейнера для подписи различных документов необходимо переместить сертификат с токена непосредственно в хранилище. В зависимости от вашей версии КриптоПро необходимо либо нажать на кнопку «Установить» либо сначала нажать «Свойства» и затем выбрав соответствующую операцию по установке нужного сертификата. В дальнейшем достаточно соблюдать рекомендации специального мастера.
Обратим внимание, что если уже этим сертификатом пользовались на компьютере с использованием другого носителя, то старый необходимо удалить из хранилища. Для этого можно использовать несколько способов. Если вы планируете это сделать на компьютере под управлением Windows, то придерживайтесь следующего алгоритма:
Удалить также можно с помощью программы КриптоПро CSP, которое значительно упрощает действия с контейнерами. Для проведения операции сделайте ряд действий:
Подобным образом рекомендовано также удалять ненужные уже сертификаты или иные электронные подписи, которые уже недействительны, или если обновление ЭЦП запланировано в другом удостоверяющем центре. В этих случаях старый корневой сертификат больше не нужен, но одновременно вы не сможете открывать зашифрованные «старыми» ЭЦП документы.
При необходимости решить вопросы с копированием, организацией рабочих мест, где понадобится использование ЭЦП Рутокен любого типа, обращайтесь в компанию «Астрал-М». Мы специализируемся на внедрении в компаниях IT-решений по автоматизации электронного документооборота, выпуске электронных цифровых подписей любой степени сложности. Вы получите высокое качество услуг по доступной цене. Дополнительно мы предлагаем возможность оформления ЭЦП в ускоренном формате, когда заявка будет выполнена в течение 1-2 часов при наличии пакета документов.
Проблематика
Ещё совсем недавно многие не знали, как это — работать из дома. Пандемия резко изменила ситуацию в мире, все начали адаптироваться к сложившимся обстоятельствам, а именно к тому, что выходить из дома стало просто небезопасно. И многим пришлось быстро организовывать работу из дома для своих сотрудников.
Однако отсутствие грамотного подхода в выборе решений для удалённой работы может привести к необратимым потерям. Пароли пользователей могут быть украдены, а это даст возможность злоумышленнику бесконтрольно подключаться к сети и ИТ-ресурсам предприятия.
Именно поэтому сейчас выросла потребность в создании надёжных корпоративных VPN сетей. Я расскажу вам о надёжной, безопасной и простой в использовании VPN сети.
Она работает по схеме IPsec/L2TP, использующей для аутентификации клиентов неизвлекаемые ключи и сертификаты, хранящиеся на токенах, а также передает данные по сети в зашифрованном виде.
Описание системы
VPN будет работать по схеме IPSec + L2TP + PPP. Протокол Point-to-Point Protocol (PPP) работает на канальном уровне модели OSI и обеспечивает аутентификацию пользователя и шифрование передаваемых данных. Его данные инкапсулируются в данные протокола L2TP, который собственно обеспечивает создание соединения в VPN сети, но не обеспечивает аутентификацию и шифрование.
Данные L2TP инкапсулируются в протокол IPSec, который тоже обеспечивает аутентификацию и шифрование, но в отличие от протокола PPP аутентификация и шифрование происходит на уровне устройств, а не на уровне пользователей.
Данная особенность позволяет обеспечить аутентификацию пользователей только с определённых устройств. Мы же будем использовать протокол IPSec как данное и позволим производить аутентификацию пользователей с любого устройства.
Аутентификация пользователя с помощью смарт-карт будет производиться на уровне протокола PPP с помощью протокола EAP-TLS.
Более подробную информации о работе данной схемы можно найти в этой статье.
Почему данная схема отвечает всем трём требованиям хорошей VPN сети
- Надёжность данной схемы проверена временем. Она используется для развёртывания VPN сетей с 2000 года.
- Ещё совсем недавно данную сеть могли использовать только пользователи Windows, но наши коллеги из МГУ Василий Шоков и Александр Смирнов нашли старый проект L2TP клиента для Linux и доработали его. Совместными усилиями мы исправили множество багов и недочетов в работе клиента, упростили установку и настройку системы, даже при сборке из исходников. Наиболее существенными из них являются:
Исправлены проблемы совместимости старого клиента с интерфейсом новых версий openssl и qt.Удалена передача pppd PIN-кода токена через временный файл.Исправлен некорректный запуск программы запроса пароля через графический интерфейс. Это было сделано за счет установки корректного окружения для xl2tpd сервиса.Сборка демона L2tpIpsecVpn теперь осуществляется совместно со сборкой самого клиента, что облегчает процесс сборки и настройки.Для удобства разработки подключена система Azure Pipelines для тестирования корректности сборки.Добавлена возможность принудительно понижать security level в контексте openssl. Это полезно для корректной поддержки новых операционных систем, где стандартный security level установлен на 2, с VPN сетями, в которых используются сертификаты, не удовлетворяющие требованиям безопасности данного уровня. Данная опция будет полезна для работы с уже существующими старыми VPN сетями. - Исправлены проблемы совместимости старого клиента с интерфейсом новых версий openssl и qt.
- Удалена передача pppd PIN-кода токена через временный файл.
- Исправлен некорректный запуск программы запроса пароля через графический интерфейс. Это было сделано за счет установки корректного окружения для xl2tpd сервиса.
- Сборка демона L2tpIpsecVpn теперь осуществляется совместно со сборкой самого клиента, что облегчает процесс сборки и настройки.
- Для удобства разработки подключена система Azure Pipelines для тестирования корректности сборки.
- Добавлена возможность принудительно понижать security level в контексте openssl. Это полезно для корректной поддержки новых операционных систем, где стандартный security level установлен на 2, с VPN сетями, в которых используются сертификаты, не удовлетворяющие требованиям безопасности данного уровня. Данная опция будет полезна для работы с уже существующими старыми VPN сетями.
Исправленную версию можно найти в данном репозитории.
Данный клиент поддерживает использование смарт-карт для аутентификации, а также максимально скрывает все тяготы и невзгоды настройки данной схемы под Linux, делая настройку клиента максимально простой и быстрой.
Конечно, для удобной связи PPP и GUI клиента не обошлось и без дополнительных правок каждого из проектов, но тем не менее их удалось минимизировать и свести к минимуму:
Теперь можно приступить к настройке.
Настройка сервера
Установим все необходимые пакеты.
Установка strongswan (IPsec)
В первую очередь, настроим firewall для работы ipsec
Затем приступим к установке
sudo yum install epel-release ipsec-tools dnf
sudo dnf install strongswan
После установки необходимо задать конфигурацию для strongswan (одну из реализаций IPSec). Для этого отредактируем файл /etc/strongswan/ipsec.conf :
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=%any
leftprotoport=udp/1701
right=%any
rightprotoport=udp/%any
ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
Также зададим общий пароль для входа. Общий пароль должен быть известен всем участникам сети для аутентификации. Данный способ и является заведомо ненадёжным, т.к. данный пароль с лёгкостью может стать известным личностям, которым мы не хотим предоставлять доступ к сети.
Тем не менее, даже этот факт не повлияет на безопасность организации сети, т.к. основное шифрование данных и аутентификация пользователей осуществляется протоколом PPP. Но справедливости ради стоит заметить, что strongswan поддерживает более безопасные технологии для аутентификации, например, с помощью приватных ключей. Так же в strongswan имеется возможность обеспечить аутентификацию с помощью смарт-карт, но пока поддерживается ограниченный круг устройств и поэтому аутентификация с помощью токенов и смарт-карт Рутокен пока затруднительна. Зададим общий пароль через файл /etc/strongswan/ipsec.secrets:
# ipsec.secrets — strongSwan IPsec secrets file
%any %any : PSK «SECRET_PASSPHRASE»
sudo systemctl enable strongswan
sudo systemctl restart strongswan
Установка xl2tp
sudo dnf install xl2tpd
Сконфигурируем его через файл /etc/xl2tpd/xl2tpd.conf:
sudo systemctl enable xl2tpd
sudo systemctl restart xl2tpd
Настройка PPP
UPD: предложенные нами изменения были приняты начиная с версии pppd 2.4.9. Поэтому пакет pppd можно взять из репозиториев.
Желательно поставить последнюю версию pppd. Для этого выполним следующую последовательность команд:
sudo yum install git make gcc openssl-devel
git clone «https://github.com/jjkeijser/ppp»
cd ppp
./configure —prefix /usr
make -j4
sudo make install
Впишите в файл /etc/ppp/options.xl2tpd следующее (если там присутствуют какие-то значения, то их можно удалить):
ipcp-accept-local
ipcp-accept-remote
ms-dns 8.8.8.8
ms-dns 1.1.1.1
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000
Выписываем корневой сертификат и сертификат сервера:
#директория с сертификатами пользователей, УЦ и сервера
sudo mkdir /etc/ppp/certs
#директория с закрытыми ключами сервера и УЦ
sudo mkdir /etc/ppp/keys
#запрещаем любой доступ к этой дирректории кроме администатора
sudo chmod 0600 /etc/ppp/keys/
#генерируем ключ и выписываем сертификат УЦ
sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048
sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj «/C=RU/CN=L2TP CA»
#генерируем ключ и выписываем сертификат сервера
sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048
sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj «/C=RU/CN=centos.vpn.server.ad»
sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial
Таким образом, мы закончили с основной настройкой сервера. Остальная часть конфигурации сервера связана с добавлением новых клиентов.
Добавление нового клиента
Чтобы добавить нового клиента в сеть, необходимо записать его сертификат в список доверенных для данного клиента.
Если пользователь хочет стать участником VPN сети, он создаёт ключевую пару и заявку на сертификат для данного клиента. Если пользователь доверенный, то данную заявку можно подписать, а получившийся сертификат записать в директорию сертификатов:
sudo openssl x509 -req -in client.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/client.pem -CAcreateserial
Добавим строчку в файл /etc/ppp/eaptls-server для сопоставления имени клиента и его сертификата:
«client» * /etc/ppp/certs/client.pem /etc/ppp/certs/server.pem /etc/ppp/certs/ca.pem /etc/ppp/keys/server.pem *
NOTE
Чтобы не запутаться, лучше чтобы: Common Name, имя файла с сертификатом и имя пользователя были уникальными.
Также стоит проверить, что в других файлах аутентификации нигде не фигурирует имя пользователя, которого мы добавляем, иначе возникнут проблемы со способом аутентификации пользователя.
Этот же сертификат необходимо отправить пользователю обратно.
Генерация ключевой пары и сертификата
Для успешной аутентификации клиенту необходимо:
- сгенерировать ключевую пару;
- иметь корневой сертификат УЦ;
- иметь сертификат для своей ключевой пары, подписанный корневым УЦ.
Для клиента на Linux
Для начала сгенерируем ключевую пару на токене и создадим заявку на сертификат:
Появившуюся заявку client.req отправьте в УЦ. После того как вы получите сертификат для своей ключевой пары, запишите его на токен с тем же id, что и у ключа:
pkcs11-tool —module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem —id 45
Для клиентов Windows и Linux (более универсальный способ)
Данный способ является более универсальным, т.к. позволяет сгенерировать ключ и сертификат, который будет успешно распознаваться у пользователей Windows и Linux, но он требует наличие машины на Windows для проведения процедуры генерации ключей.
Перед генерацией запросов и импортом сертификатов необходимо добавить корневой сертификат VPN сети в список доверенных. Для этого откроем его и в открывшемся окне выберем опцию «Установить сертификат»:
В открывшемся окне выберем установку сертификата для локального пользователя:
Установим сертификат в хранилище доверенных корневых сертификатов УЦ:
После всех этих действий соглашаемся со всеми дальнейшими пунктами. Теперь система настроена.
Создадим файл cert.tmp со следующим содержимым:
После этого сгенерируем ключевую пару и создадим заявку на сертификат. Для этого откроем powershell и введём следующую команду:
certreq.exe -new -pin $PIN .cert.tmp .client.req
Отправьте созданную заявку client.req в ваш УЦ и дождитесь получения сертификата client.pem. Его можно записать на токен и добавить в хранилище сертификатов Windows с помощью следующей команды:
certreq.exe -accept .client.pem
Стоит заметить, что аналогичные действия можно воспроизвести с помощью графического интерфейса программы mmc, но данный способ является более времязатратным и менее программируемым.
Настройка клиента Ubuntu
NOTE
Настройка клиента на Linux в данный момент является достаточно длительной по времени, т.к. требует сборки отдельных программ из исходников. Мы постараемся в ближайшее время добиться, чтобы все изменения попали в официальные репозитории.
Для обеспечения подключения на уровне IPSec к серверу — используется пакет strongswan и демон xl2tp. Для упрощения подключения к сети с помощью смарт-карт – будем использовать пакет l2tp-ipsec-vpn, обеспечивающий графическую оболочку для упрощенной настройки подключения.
Начнём сборку элементов поэтапно, но перед этим установим все необходимые пакеты для непосредственной работы VPN:
sudo apt-get install xl2tpd strongswan libp11-3
Установка ПО для работы с токенами
Установите последнюю версию библиотеки librtpkcs11ecp.so с сайта, также библиотеки для работы со смарт-картами:
sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl
Подключите Рутокен и проверьте, что он распознается системой:
pkcs11-tool —module /usr/lib/librtpkcs11ecp.so -O -l
Установка пропатченного ppp
sudo apt-get -y install git make gcc libssl-dev
git clone «https://github.com/jjkeijser/ppp»
cd ppp
./configure —prefix /usr
make -j4
sudo make install
Установка клиента L2tpIpsecVpn
В данный момент клиента тоже нужно собирать из исходников. Делается это с помощью следующей последовательности команд:
sudo apt-get -y install git qt5-qmake qt5-default build-essential libctemplate-dev libltdl-dev
git clone «https://github.com/Sander80/l2tp-ipsec-vpn»
cd l2tp-ipsec-vpn
make -j4
sudo make install
Настройка клиента L2tpIpsecVpn
Запускаем установленный клиент:
После запуска у вас должен открыться апплет L2tpIpsecVPN. Нажмём на него правой кнопкой мыши и произведём настройку соединения:
Для работы с токенами, в первую очередь, укажем путь opensc движка OpenSSL и PKCS#11 библиотеки. Для этого откройте вкладку «Preferences» для настройки параметров openssl:
После этого данная сеть станет доступна в панели настроек. Дважды кликнем правой кнопкой мыши по новой сети, чтобы настроить её. На первой вкладке необходимо произвести настройки IPsec. Зададим адрес сервера и общий ключ:
После этого переходим на вкладку настройки PPP и укажем там имя пользователя, под которым мы хотим зайти в сеть:
После этого откроем вкладку Properties и укажем путь до ключа, сертификата клиента и УЦ:
Закроем данную вкладку и выполним финальную настройку, для этого откроем вкладку «IP settings» и поставим галочку напротив опции «Obtain DNS server address automatically»:
После всех настроек закроем все вкладки и перезагрузим клиент:
Подключение к сети
После настроек можно произвести подключение к сети. Для этого откроем вкладку апплета и выберем сеть, к которой мы хотим подключиться:
В процессе установки соединения клиент попросит ввести нас PIN-код Рутокен:
Если в статус-баре появится оповещение о том, что соединение успешно установлено, значит, настройка была произведена успешно:
В противном случае стоит разобраться, почему соединение не было установлено. Для этого стоит посмотреть лог программы, выбрав в апплете команду «Connection information»:
Настройка клиента Windows
Настройка клиента в Windows осуществляется гораздо проще, чем в Linux, т.к. весь необходимый софт уже встроен в систему.
Настройка системы
Установим все необходимые драйверы для работы с Рутокенами скачав их c оф. сайта.
Импорт корневого сертификата для аутентификации
Скачаем корневой сертификат сервера и установим в систему. Для этого откроем его и в открывшемся окне выберем опцию «Установить сертификат»:
В открывшемся окне выберем установку сертификата для локального пользователя. Если хочется, чтобы сертификат был доступен всем пользователям на компьютере, то тогда следует выбрать установку сертификата на локальный компьютер:
Настройка VPN соединения
Для настройки VPN соединения перейдите в панель управления и выберите пункт для создания нового соединения.
Во всплывшем окне выберите опцию создания соединения для подключения к рабочему месту:
В следующем окне выберете подключение по VPN:
и введите данные VPN соединения, а также укажите опцию для использования смарт-карты:
На этом настройка не закончена. Осталось указать общий ключ для протокола IPsec, для этого перейдём на вкладку “Настройки сетевых подключений” и затем перейдём на вкладку “Свойства для данного соединения”:
В открывшемся окне перейдём на вкладку «Безопасность», укажем в качестве типа сети «Сеть L2TP/IPsec» и выберем «Дополнительные параметры»:
В открывшемся окне укажем общий ключ IPsec:
После завершения настройки можно попробовать подключиться к сети:
В процессе подключения от нас потребуют ввести PIN-код токена:
Мы с вами настроили безопасную VPN сеть и убедились в том, что это несложно.
Благодарности
Хотелось бы ещё раз поблагодарить наших коллег Василия Шокова и Александра Смирнова за совместно проделанную работу для упрощения создания VPN соединений для клиентов Linux.
КриптоПро 3. 6 — 4. 0, eToken Client 5. x, 8. x — 9
При установке сертификата в личное хранилище средствами КриптоПро возникает окно eToken Certificate Import с сообщением: «Новый сертификат добавлен в хранилище сертификатов. Нажмите ОК для установки сертификата на eToken».
Если нажать ОК, то возникает ошибка: «Ошибка импорта сертификата. Нажмите ОК для удаления сертификата из хранилища».
Если нажать ОК, то установленный сертификат из хранилища удалится.
Причина
Когда пользователь устанавливает сертификат ГОСТ в личное хранилище, программное обеспечение (клиент) для работы с ключевыми носителями eToken предлагает установить сертификат на ключевой носитель (при наличии подключенного ключевого носителя eToken PRO). Этот процесс завершается ошибкой, т.к. данный клиент поддерживает работу только с сертификатами RSA, сертификаты ГОСТ этим ПО не поддерживаются.
Решение
После импорта сертификата в хранилище в окне с сообщением eToken Certificate Import — «Новый сертификат добавлен в хранилище сертификатов. Нажмите ОК для установки сертификата на eToken» нажмите «Отмена».
Checking if the site connection is secure
www.yaplakal.com needs to review the security of your connection before proceeding.
Из нашей статьи вы узнаете:
Помимо открытого и закрытого ключа электронной подписи, в ЕГАИС пользователю понадобится RSA-ключ. Он защищает соединение между пользователем и информационной системой. Генерируется на сайте egais.ru. Случается, что при его создании возникает ошибка: «Вставьте смарт-карту» или «Подключите смарт-карту».
Расскажем пошагово, как убрать ошибки Рутокен: Вставьте смарт-карту или Подключите смарт-карту на примере Рутокен ЭЦП 2.0.
Описание ошибок Рутокен
Если при генерации уведомление сообщает, что смарт-карту нужно вставить, текст ошибки содержит следующее:
«Обнаружена смарт-карта, но она не может использоваться для текущей операции. Возможно, для используемой смарт-карты нет драйвера или сертификата»
Если предлагается выбрать устройство чтения смарт-карт, то в описании изложен данный текст:
«Подключите смарт-карту. Выберите устройство чтения смарт-карт. Смарт-карта не может выполнить запрошенную операцию либо операция требует другой смарт-карты».
Чтобы решить проблему, необходимо проверить настройки и выполнить определённые действия.
Решение ошибки Рутокен: Вставьте или подключите смарт-карту
Чтобы решить проблему, необходимо сделать следующее:
- Включить поддержку ЕГАИС на Рутокен.
- Удалить следы RSA-ключей.
- Проверить Диспетчер устройств на наличие ошибки 28.
- Удалить Единый клиент JaCarta.
- Переназначить криптопровайдер.
- Переустановить минидрайвер.
Далее подробное описание действий по каждому пункту.
Включение поддержки ЕГАИС на Рутокен
В настройках Рутокен ЭЦП 2.0 должен быть выбран и активирован криптопровайдер Microsoft Base Smart Card Crypto Provider.
Для этого необходимо:
- Открыть меню «Пуск». Перейти в «Настройки», далее «Панель управления» и «Панель управления Рутокен».
- Во вкладке «Настройки», в поле «Настройки криптопровайдера» нажать «Настроить криптопровайдер».
- В окне «Настройки криптопровайдера» напротив «Семейство Рутокен ЭЦП» выбрать «Microsoft Base Smart Card Provider».
- Нажать «ОК», чтобы сохранить изменения.
Удаление следов RSA-ключей
При предыдущей неудачной попытке генерации RSA-ключа носитель Рутокен может содержать его следы. Чтобы решить проблему, в первую очередь нужно скачать архив DeleteRSA1.0.3.1.zip.
Далее пользователь должен:
- Разархивировать содержимое.
- Убедиться, что на компьютере не установлены другие ключи Рутокен, кроме проблемного.
- Запустить утилиту DeleteRSA1.0.3.1.zip. Программа удалит все RSA-ключи. После этого она автоматически закроется.
- Выполнить новую генерацию RSA-ключа.
Важно! Представленную утилиту нельзя включать, если на компьютере установлен криптопровайдер Валидата CSP. Если другого ПК нет, то перед запуском необходимо экспортировать файл сертификата ГОСТ, а после работы утилиты импортировать сертификат обратно на Рутокен.
Проверка Диспетчера устройств на наличие ошибки 28
Чтобы установить наличие ошибки, нужно перейти в «Диспетчер устройств». В разделе «Другие устройства» проверить наличие «Смарт-карта», которая содержит ошибку «Для устройства не установлены драйверы (Код 28)».
Чтобы решить проблему, нужно назначить драйвер смарт-карте:
- Нажать правой кнопкой мыши на «Смарт-карта».
- Выбрать «Обновить драйверы».
- Далее нажать «Выполнить поиск драйверов на этом компьютере (Поиск и установка драйверов вручную)».
- Нажать на «Выбрать драйвер из списка уже установленных драйверов».
- Выбрать «Фильтр смарт-карт» и нажать два раза «Далее», потом «Да».
- Пользователь получит уведомление по завершению операции. Нажать «Закрыть».
После данных действий необходимо произвести попытку генерации RSA-ключа.
Удаление Единого клиента JaCarta
Установленный на ПК «Единый Клиент JaCarta» может внести изменения в настройках криптопровайдера. В связи с этим и появляется некорректная генерация RSA-сертификата для Рутокен ЭЦП 2.0. Для решения проблемы нужно удалить данный компонент. А после генерации RSA-ключа можно установить его заново.
Переназначение криптопровайдера
Переназначение криптопровайдера осуществляется в программе «Панель управления Рутокен». Требуется выполнить следующее:
- Во вкладке «Настройки», в разделе «Настройки криптопровайдера» нажать «Настройка».
- Напротив Рутокен ЭЦП (2.0 / PKI / BT) выбрать любой криптопровайдер, кроме «Microsoft Base Smart Card Crypto Provider». Например, «Aktiv ruToken CSP v1.0» или «CryptoPRO CSP».
- Нажать «Применить».
- После этого поставить обратно «Microsoft Base Smart Card Crypto Provider» и нажать «Применить».
После этого можно попробовать сгенерировать новый RSA-сертификат.
Переустановка минидрайвера
Одним из путей решения может являться переустановка минидрайвера. Для этого необходимо:
- Открыть «Диспетчер устройств» и выбрать раздел «Смарт-карта».
- Удалить строку «Aktiv Co. Rutoken Minidriver». Если строки с таким названием нет, она может отображаться как «Неизвестная смарт-карта».
- Потом перейти во вкладку «Действие» и нажать «Обновить конфигурацию оборудования».
Если предложенные способы решения не помогли, следует обратиться в службу технической поддержки ЕГАИС.
Статус: Участник
Группы: Участники
Зарегистрирован: 12.02.2016(UTC)
Сообщений: 19
Откуда: самара
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Спасибо огромное помогло!! — но путь был более длинный и витееватый =) рассказываю
с win крипто про — у меня скопировать не удалось — вспомнил о debian крипто про , скопировал оттуда папку с ключами на suse криптопро ..
после чего сделал
Код:
./csptest -keyset -enum_cont -verifycontext -fqcn
CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:DISABLED (EncryptECB; DecryptECB; DecryptCBC; GammaCNT; DecryptCFB; ).
AcquireContext: OK. HCRYPTPROV: 25840803
\\.\HDIMAGE\NTS-134434-001-201201-1209-006315700007-00000000000-D9800BBC - ▒▒▒▒▒
OK.
Total: SYS: 0.010 sec USR: 0.010 sec UTC: 0.090 sec
[ErrorCode: 0x00000000]при попытке установить этот контейнер… мне показали кукиш
Код:
./certmgr -install -provname "Crypto-Pro GOST R 34.10-2012 KC1 CSP" -provtype 80 -cont '\\.\HDIMAGE\NTS-134434-001-201201-1209-006315700007-00000000000-D9800BBC - ▒▒▒▒▒'
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores
Cannot open container
The keyset is not defined.
[ErrorCode: 0x80090019]
а теперь самое витиеватое
на win компьютере переименовываю контейнер в удобоваримое — например cert
пытался его импортировать на suse ( думаю вдруг изза русских букв или кракозяблов проблема была) — опять тоже самое при импорте было
далее вот так делаю импорт на deb компьютере
Код:
root@Debian-test:/opt/cprocsp/bin/amd64# /opt/cprocsp/bin/amd64/certmgr -install -pfx -file /opt/cert.pfx -pin 12345678
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores
КриптоПро CSP: Задайте пароль для создаваемого контейнера "cert".
Password:
Retype password:
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Subject : OGRN=1086670040808, INN=006670237020, E=ca@ntssoft.ru, C=RU, S=66 Свердловская область, L=Екатеринбург, STREET="ул. Чебышева, д. 4, оф. 308", O=ООО «НТСсофт», CN=ООО «НТСсофт»
Serial : 0x00B79BB09900000000049C
SHA1 Hash : ccb40b4f8b330c5427ca4dd628e746f36e9d7082
SubjKeyID : 23a1e1e35429729a3c0eb7411dc4a78ff0f90110
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 15/10/2020 11:42:51 UTC
Not valid after : 15/10/2035 11:42:51 UTC
PrivateKey Link : No
CA cert URL : http://reestr-pki.ru/cdp/guc2020.crt
CDP : http://reestr-pki.ru/cdp/guc2020.crl
CDP : http://company.rt.ru/cdp/guc2020.crl
CDP : http://rostelecom.ru/cdp/guc2020.crl
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Subject : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Serial : 0x4E6D478B26F27D657F768E025CE3D393
SHA1 Hash : 4bc6dc14d97010c41a26e058ad851f81c842415a
SubjKeyID : c254f1b46bd44cb7e06d36b42390f1fec33c9b06
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 06/07/2018 12:18:06 UTC
Not valid after : 01/07/2036 12:18:06 UTC
PrivateKey Link : No
Issuer : OGRN=1086670040808, INN=006670237020, E=ca@ntssoft.ru, C=RU, S=66 Свердловская область, L=Екатеринбург, STREET="ул. Чебышева, д. 4, оф. 308", O=ООО «НТСсофт», CN=ООО «НТСсофт»
Subject : удалил
Serial : удалил
SHA1 Hash : удалил
SubjKeyID : удалил
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 01/12/2020 08:04:55 UTC
Not valid after : 01/03/2022 08:09:55 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\cert.000\1094
Provider Name : Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0
OCSP URL : http://ocsp.ntssoft.ru/ocsp12-02/ocsp.srf
OCSP URL : http://ocsp2.ntssoft.ru/ocsp12-02/ocsp.srf
CA cert URL : http://ca.ntssoft.ru/cdp/ntssoft12-02.crt
CA cert URL : http://cb.ntssoft.ru/cdp/ntssoft12-02.crt
CA cert URL : http://ca.ents.ru/cdp/ntssoft12-02.crt
CDP : http://ca.ntssoft.ru/cdp/ntssoft12-02.crl
CDP : http://cb.ntssoft.ru/cdp/ntssoft12-02.crl
CDP : http://ca.ents.ru/cdp/ntssoft12-02.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.4
1.2.643.2.2.34.6
1.2.643.2.2.34.25
1.2.643.2.2.34.26
1.2.643.2.23.3
1.2.643.3.41.1.3.4
1.2.643.5.3.40.1
1.2.643.5.3.48.1
1.2.643.5.3.18.1
1.2.643.5.3.18.2
1.2.643.5.3.59.1
1.2.643.5.3.59.2
1.2.643.3.4.3.3.2
1.2.643.100.2.2
=============================================================================
1-------
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Subject : OGRN=1086670040808, INN=006670237020, E=ca@ntssoft.ru, C=RU, S=66 Свердловская область, L=Екатеринбург, STREET="ул. Чебышева, д. 4, оф. 308", O=ООО «НТСсофт», CN=ООО «НТСсофт»
Serial : 0x00B79BB09900000000049C
SHA1 Hash : ccb40b4f8b330c5427ca4dd628e746f36e9d7082
SubjKeyID : 23a1e1e35429729a3c0eb7411dc4a78ff0f90110
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 15/10/2020 11:42:51 UTC
Not valid after : 15/10/2035 11:42:51 UTC
PrivateKey Link : No
CA cert URL : http://reestr-pki.ru/cdp/guc2020.crt
CDP : http://reestr-pki.ru/cdp/guc2020.crl
CDP : http://company.rt.ru/cdp/guc2020.crl
CDP : http://rostelecom.ru/cdp/guc2020.crl
2-------
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Subject : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Serial : 0x4E6D478B26F27D657F768E025CE3D393
SHA1 Hash : 4bc6dc14d97010c41a26e058ad851f81c842415a
SubjKeyID : c254f1b46bd44cb7e06d36b42390f1fec33c9b06
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 06/07/2018 12:18:06 UTC
Not valid after : 01/07/2036 12:18:06 UTC
PrivateKey Link : No
3-------
Issuer : OGRN=1086670040808, INN=006670237020, E=ca@ntssoft.ru, C=RU, S=66 Свердловская область, L=Екатеринбург, STREET="ул. Чебышева, д. 4, оф. 308", O=ООО «НТСсофт», CN=ООО «НТСсофт»
Subject : удалил
Serial : удалил
SHA1 Hash : удалил
SubjKeyID : удалил
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 01/12/2020 08:04:55 UTC
Not valid after : 01/03/2022 08:09:55 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\cert.000\1094
Provider Name : Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0
OCSP URL : http://ocsp.ntssoft.ru/ocsp12-02/ocsp.srf
OCSP URL : http://ocsp2.ntssoft.ru/ocsp12-02/ocsp.srf
CA cert URL : http://ca.ntssoft.ru/cdp/ntssoft12-02.crt
CA cert URL : http://cb.ntssoft.ru/cdp/ntssoft12-02.crt
CA cert URL : http://ca.ents.ru/cdp/ntssoft12-02.crt
CDP : http://ca.ntssoft.ru/cdp/ntssoft12-02.crl
CDP : http://cb.ntssoft.ru/cdp/ntssoft12-02.crl
CDP : http://ca.ents.ru/cdp/ntssoft12-02.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.4
1.2.643.2.2.34.6
1.2.643.2.2.34.25
1.2.643.2.2.34.26
1.2.643.2.23.3
1.2.643.3.41.1.3.4
1.2.643.5.3.40.1
1.2.643.5.3.48.1
1.2.643.5.3.18.1
1.2.643.5.3.18.2
1.2.643.5.3.59.1
1.2.643.5.3.59.2
1.2.643.3.4.3.3.2
1.2.643.100.2.2
=============================================================================
3/3 certificates imported successfullyвставляется вообще без каких либо танцев с бубнами
копирую отсюда папку с ключами — вставляю на компьютер suse
Код:
linux-xycg:/opt/cprocsp/bin/amd64 # ./csptest -keyset -enum_cont -verifycontext -fqcn
CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:DISABLED (EncryptECB; DecryptECB; DecryptCBC; GammaCNT; DecryptCFB; ).
AcquireContext: OK. HCRYPTPROV: 35282083
\\.\HDIMAGE\cert
OK.
Total: SYS: 0.000 sec USR: 0.010 sec UTC: 0.090 sec
[ErrorCode: 0x00000000]контейнер увиделся..
делаем вот так
Код:
./certmgr -install -provname "Crypto-Pro GOST R 34.10-2012 KC1 CSP" -provtype 80 -cont '\\.\HDIMAGE\cert'
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores
Installing:
=============================================================================
1-------
Issuer : OGRN=1086670040808, INN=006670237020, E=ca@ntssoft.ru, C=RU, S=66 Свердловская область, L=Екатеринбург, STREET="ул. Чебышева, д. 4, оф. 308", O=ООО «НТСсофт», CN=ООО «НТСсофт»
Subject : удалил
Serial : удалил
SHA1 Hash : удалил
SubjKeyID : удалил
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 01/12/2020 08:04:55 UTC
Not valid after : 01/03/2022 08:09:55 UTC
PrivateKey Link : No
OCSP URL : http://ocsp.ntssoft.ru/ocsp12-02/ocsp.srf
OCSP URL : http://ocsp2.ntssoft.ru/ocsp12-02/ocsp.srf
CA cert URL : http://ca.ntssoft.ru/cdp/ntssoft12-02.crt
CA cert URL : http://cb.ntssoft.ru/cdp/ntssoft12-02.crt
CA cert URL : http://ca.ents.ru/cdp/ntssoft12-02.crt
CDP : http://ca.ntssoft.ru/cdp/ntssoft12-02.crl
CDP : http://cb.ntssoft.ru/cdp/ntssoft12-02.crl
CDP : http://ca.ents.ru/cdp/ntssoft12-02.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.4
1.2.643.2.2.34.6
1.2.643.2.2.34.25
1.2.643.2.2.34.26
1.2.643.2.23.3
1.2.643.3.41.1.3.4
1.2.643.5.3.40.1
1.2.643.5.3.48.1
1.2.643.5.3.18.1
1.2.643.5.3.18.2
1.2.643.5.3.59.1
1.2.643.5.3.59.2
1.2.643.3.4.3.3.2
1.2.643.100.2.2
=============================================================================
[ErrorCode: 0x00000000]
смотрю — PrivateKey Link : No — думаю криво установился.. но когда сделал
./certmgr -list
Тут все красиво пишет PrivateKey Link : Yes
после чего делаю контрольный выстрел в голову
Код:
/opt/cprocsp/bin/amd64/cryptcp -sign -dn 'CN=название cert=)' test.txt test.txt.sign
CryptCP 4.0 (c) "Crypto-Pro", 2002-2018.
Command prompt Utility for file signature and encryption.
The following certificate will be used:
RDN:"название cert=)
Valid from 01.12.2020 08:04:55 to 01.03.2022 08:09:55
Certificate chains are checked.
Folder './':
test.txt... Signing the data... 0%CryptoPro CSP: Type password for container "cert"
Password:
Signed message is created.
[ErrorCode: 0x00000000]
Получается с opensuse какието проблемы при работе с установкой ключей ГОСТ Р 34.11-2012/34.10-2012
СПАСИБО ОГРОМНОЕ
Отредактировано пользователем 9 декабря 2020 г. 21:20:49(UTC)
| Причина: Не указана
Из нашей статьи вы узнаете:
После установки драйверов и во время использования цифровой подписи потенциально могут возникнуть ошибки. Причины часто кроются в программных ошибках, неправильных действиях пользователя. На практике большинство проблем можно решить самостоятельно, без обращения за помощью в удостоверяющий центр или к специалистам по обслуживанию компьютерной техники. Рассмотрим основные ошибки, с которыми приходится сталкиваться пользователям и которые реально решить своими силами.
Ошибка: Сертификат ненадежен/Не удалось проверить статус отзыва
Ошибку можно заметить на вкладке «Сертификаты» непосредственно в панели управления Рутокен. Проблема возникает во время установки ЭЦП и связана с неполной настройкой. Речь про отсутствие специального корневого доверенного сертификата, который выдает удостоверяющий центр.
Первым шагом к устранению ошибки остается обновление комплекта драйверов. Если проблема не исчезла или последние у вас имеют актуальную версию, выполните действия по следующему алгоритму:
- выберите ваш сертификат в панели управления;
- нажмите кнопку «Свойства»;
- выберите вкладку «Путь сертификации».
Если в открывшемся дереве вы видите лишь ваш личный сертификат, то надо установить еще один, который был выдан в удостоверяющем центре, и сделать доверенным.
Ошибка: Rutoken перестает определяться (Windows 10)
Потенциально могут возникать периодические ошибки из-за недоступности сертификатов, невозможности запустить панель управления. Одновременно светодиод на токене горит, а сам Рутокен имеется в Диспетчере устройств. Подобная ситуация может быть связана со спецификой работы материнской платы компьютера, когда при переходе из энергосберегающего режима в штатный не происходит «пробуждения» токена. Выходом здесь станет его отключение либо повторное подключение Рутокена (для этого достаточно достать USB-токен из разъема и подключить опять).
В случае если ошибка не исчезла, обратитесь за консультацией в удостоверяющий центр, где вы оформили ЭЦП и приобрели Рутокен.
Ошибка: Рутокен плагин недоступен
Если у вас появляется ошибка «Плагин недоступен» при входе в личный кабинет сервиса Честный Знак, то это значит, что на компьютере не установлены криптографический плагин Рутокен Плагин или КриптоПро ЭЦП Browser plug-in.
Чтобы исправить данную ошибку вы можете воспользоваться нашей инструкцией по установке плагина RuToken.
Ошибка: Панель управления не видит Рутокен ЭЦП 2.0
Для решения проблемы выполните следующие действия:
- подключите токен к другому USB-разъему или компьютеру для оценки работоспособности;
- определите наличие устройства через «Диспетчер устройств» в разделе «Контроллеры USB»;
- проконтролируйте наличие доступа к веткам реестра
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalais и
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalaisReaders у текущего пользователя и Local Service (если необходимо, то добавьте), также убедитесь, что Служба «Смарт-карта» запущена от имени NT AUTHORITYLocalService («Пуск» — «Панель управления» — «Администрирование» — «Службы»).;
- проверьте количество считывателей в настройках панели управления (должно быть значение 1);
- переустановите комплект драйверов для исключения сбоя программного обеспечения.
Если ничего не помогло и ошибка осталась, обращайтесь в удостоверяющий центр «Астрал». Мы предлагаем услуги по генерации ЭЦП любых типов на выгодных условиях, а также комплексное техническое сопровождение. Для решения проблем мы готовы проконсультировать по телефону либо найти выход с помощью удаленного подключения к вашему компьютеру. Получить дополнительную информацию можно по телефону либо оставив заявку на сайте. Мы оперативно ответим и предоставим консультацию.
Любые технические неполадки, возникающие при использовании ЭЦП, могут вызвать различные серьёзные: от упущенной выгоды до материальных убытков
Область применения электронной подписи (ЭП или ЭЦП) довольно широка. Например, многие специальные сервисы требуют верификации пользователя с её помощью: Госуслуги, онлайн-сервисы для управления средствами в банке, электронные площадки и другие. Поэтому любые технические неполадки, возникающие при использовании ЭЦП, могут вызвать различные серьёзные: от упущенной выгоды до материальных убытков.
Какие бывают ошибки
Проблемы при использовании ЭП, с которыми пользователи встречаются чаще всего, можно условно разделить на три группы:
- Проблемы с сертификатом. Они появляются, когда сертификат не выбран, не найден или не верен.
- Проблемы с подписанием документа. Ошибки возникают при попытке подписать документ.
- Проблема при авторизации на торговых площадках.
Рассмотрим неполадки подробнее и разберёмся, как их решать.
Сертификат не найден
Иногда при попытке подписать электронный документ с помощью ЭП пользователь может столкнуться с ошибкой «Не удалось найти ни одного сертификата, пригодного для создания подписи».
У подобных ошибок могут быть следующие причины:
- На компьютере не установлены корневые сертификаты Удостоверяющего Центра (УЦ), в котором была получена ЭП. Необходимо установить либо обновить корневой сертификат. Установка корневых сертификатов удостоверяющего центра подробно описана в нашей инструкции.
- На ПК не установлено ни одного личного сертификата ЭП. Для применения ЭП необходимы и личные сертификаты. Об их установке мы писали в другой статье.
- Установленные на компьютере необходимые сертификаты не валидны. Сертификаты отозваны или просрочены. Уточните статус сертификата в УЦ. Ошибка с текстом «Ваш сертификат ключа подписи включён в список отозванных» возникает, если у сертификата закончился срок действия или на ПК нужно обновить список сертификатов. В последней ситуации следует вручную загрузить перечень отозванных сертификатов.
Для установки списка отозванных сертификатов:
Не виден сертификат на носителе
Как правило, причина такой проблемы — сбой в работе программных компонентов. Для её решения достаточно перезагрузить компьютер. Однако иногда этого бывает недостаточно, поэтому требуется переустановка драйверов или обращение в службу техподдержки.
К наиболее распространённым причинам такой проблемы относятся следующие случаи:
- Драйвер носителя не установлен или установлен некорректно. Для решения проблемы необходимо извлечь носитель электронной подписи из ПК и скачать последнюю версию драйвера носителя с официальных ресурсов. Если переустановка драйвера не помогла, подключите носитель к другому ПК, чтобы убедиться в исправности токена. Если токен определится другой системой, попробуйте удалить на неисправном компьютере драйвер носителя и установить его заново.
- Долгое опознание носителя. Для решения проблемы необходимо дождаться завершения процесса или обновить версию операционной системы.
- Некорректная работа USB-порта. Подключите токен к другому USB-порту, чтобы убедиться, что проблема не в носителе ЭП. Если система определила токен, перезагрузите компьютер. Если это не поможет, следует обратиться службу технической поддержки.
- Неисправность носителя. Если при подключении токена к другому компьютеру или USB-порту система не определяет его, значит, проблема в самом носителе. Устранение неисправности возможно в данном случае лишь одним путём — нужно обратиться в сервисный центр для выпуска нового носителя.
ЭП не подписывает документ
Причин у подобной проблемы множество. Каждый случай требует отдельной проверки. Среди самых распространённых можно выделить следующие неполадки:
- Закрытый ключ на используемом контейнере не соответствует открытому ключу сертификата. Возможно, был выбран не тот контейнер, поэтому следует проверить все закрытые контейнеры на компьютере. Если необходимый контейнер по тем или иным причинам отсутствует, владельцу придётся обращаться в удостоверяющий центр для перевыпуска ЭП.
- Ошибка «Сертификат недействителен» (certificate is not valid). Следует повторно установить сертификат ЭП по инструкциям УЦ в зависимости от используемого криптопровайдера — КриптоПро CSP, ViPNet CSP или другого.
- Сертификат ЭП определяется как непроверенный. В этом случае необходимо переустановить корневой сертификат удостоверяющего центра.
- Истёк срок действия криптопровайдера. Для решения этой проблемы необходим новый лицензионный ключ к программе-криптопровайдеру. Для его получения необходимо обращаться к специалистам УЦ или к ответственным сотрудникам своей организации.
- Подключён носитель с другим сертификатом. Убедитесь, что подключён правильный токен. Проверьте также, не подключены ли носители других сертификатов. Отключите другие носители в случае их обнаружения.
В момент подписания электронных документов или формирования запроса в различных может возникнуть ошибка «Невозможно создание объекта сервером программирования объектов».
В этой ситуации помогает установка и регистрация библиотеки Capicom:
- Скачайте файл архива.
- Распакуйте и переместите файлы capicom.dll и capicom.inf в каталог syswow64, находящийся в корневой папке ОС.
- Откройте командную строку от имени администратора — для этого в меню Пуск наберите «Командная строка», нажмите по найденному приложению правой кнопкой мыши и выберите Запуск от имени администратора.
- Введите «c:windowssyswow64regsvr32.exe capicom.dll» (без кавычек) и нажмите ENTER. Должно появиться уведомление о том, что команда выполнена успешно.
Выбранная подпись не авторизована
Подобная ошибка возникает при попытке авторизации в личном кабинете на электронных торговых площадках. Например, при входе на площадку ZakazRF отображается сообщение «Выбранная ЭЦП не авторизована».
Эта ошибка возникает из-за того, что пользователь не зарегистрирован на площадке, либо не зарегистрирован новый сертификат ключа ЭП. Решением проблемы будет регистрация нового сертификата.
Процесс запроса на авторизацию ЭП на разных торговых площадках может отличаться: часто нужно отправлять запрос оператору системы на авторизацию, иногда рабочее место настраивается автоматически. Если ошибка сохраняется, возможно, следует отключить защитное ПО или добавить сайт электронной площадки в исключения.
Часто задаваемые вопросы
Почему компьютер не видит ЭЦП?
Причина кроется в несовместимости программного обеспечения и физического носителя ЭЦП. Необходимо проверить версию операционной системы и переустановить её до нужной версии. Если токен повреждён, возможно, понадобится обратиться в удостоверяющий центр для перевыпуска электронной подписи.
О том, что делать, если компьютер не видит ЭЦП и о способах проверки настроек, мы подробно писали в нашей статье.
Почему КриптоПро не отображает ЭЦП?
Если КриптоПро не отображает ЭЦП, следует проверить настройки браузера. Также исправляет ошибку добавление программы в веб-обозреватель и загрузка недостающих сертификатов электронной подписи.
Подробнее ознакомиться, как устранить данную неисправность можно в нашей статье.
Где на компьютере искать сертификаты ЭЦП?
Сертификат ЭЦП позволяет проверить подлинность подписи, содержит в себе срок её действия и информацию о владельце. Он автоматически загружается в папку с системными файлами. В операционной системе Windows от 7 версии и выше ЭЦП хранится по адресу:
C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates. Вместо ПОЛЬЗОВАТЕЛЬ требуется указать наименование используемого компьютера.
Что такое сертификат ЭЦП и зачем он нужен мы рассказали в нашей статье.
-
Опубликовано: 02 апреля 2020
-
Просмотров: 103240
Ошибка при запуске токена Сбербанк Бизнес Онлайн
Столкнулся с очередным глюком при работе с «флешкой» Сбербанка. Делюсь решением.
Хочу сразу извиниться, что не сделал скриншотов и не сохранил картинки. Но, думаю, все понятно будет и без них.
Итак, проблема:
Компьютер новый, бодрый, вирусов нет, система установлена – Windows 10. Какое-то время Сбербанк Бизнес Онлайн нормально запускался на нем и работал. Что случилось потом – одному бухгалтеру известно! И то, судя по проведенному опросу, и ему неизвестно.
При подключении сберовского USB-ключа (токена) к компьютеру он нормально определяется, файлы видно, но при запуске start.exe вываливается ошибка:
«Ошибка при открытии или инициализации устройства чтения смарт-карт (HWDSSL DEVICE). Программа завершает свою работу».
Из ответов в поиске находится только один более-менее вменяемый совет:
«Запустите диагностическую утилиту ICDIAG, вышлите на vpnkey @infocrypt.ru 3 файла с отчетами о диагностике и описание проблемы».
Но через час гугления и экспериментов проблему удается решить при помощи случайно увиденного комментария некоего Сергея (дай ему бог здоровья и всяческого благополучия!).
Решение:
Ошибку вызывает отключенная служба «Смарт — карта». Её необходимо запустить, а Тип запуска установить в «Автоматический».
P.S. Давно уже не писал ничего на своем сайте, но тут не выдержал. Может быть кому-то ещё этот совет поможет.
Для корректной работы с электронной подписью (ЭП, ранее — ЭЦП) достаточно соблюсти четыре условия. Во-первых, приобрести средства ЭП в удостоверяющем центре (УЦ). Во-вторых, установить лицензионное средство криптозащиты (СКЗИ, криптопровайдер). В-третьих, загрузить на рабочее место личный, промежуточный и корневой сертификаты. И, в-четвертых, настроить браузер для подписания электронных файлов на веб-порталах. Если хотя бы одно из условий не соблюдено, в процессе использования ЭП возникают различные ошибки: КриптоПро не видит ключ, недействительный сертификат, отсутствие ключа в хранилище и другие. Самые распространенные сбои и способы их устранения рассмотрим в статье.
Поможем получить электронную подпись. Установим и настроим за 1 час.
Оставьте заявку и получите консультацию.
Почему КриптоПро не видит ключ ЭЦП
КриптоПро CSP — самый популярный криптографический софт на российском рынке. Большинство торговых площадок и автоматизированных госсистем работают только с этим криптопровайдером. Программное обеспечение распространяется на безвозмездной основе разработчиком и через дистрибьюторскую сеть, а за лицензию придется платить. При покупке квалифицированной ЭП (КЭП) клиенты получают набор средств:
- закрытый и открытый ключи;
- сертификат ключа проверки электронной подписи (СКПЭП, СЭП) — привязан к открытому ключу;
- физический носитель, на который записываются все перечисленные средства.
Каждый раз, когда владельцу СЭП нужно подписать цифровой файл, он подключает USB-носитель к ПК и вводит пароль (двухфакторная идентификация). Возможен и другой путь — записать все компоненты в реестр ПК и пользоваться ими без физического криптоключа. Второй способ не рекомендован, так как считается небезопасным.
В работе с ЭП возникают такие ситуации, когда пользователь пытается заверить документ в интернете или в специальном приложении, открывает список ключей и не видит СЭП. Проблема может быть спровоцирована следующими факторами:
| Ошибка | Решение |
| Не подключен носитель | Подсоединить токен к ПК через USB-порт (об успешном подключении свидетельствует зеленый индикатор на флешке) |
| Не установлено СКЗИ | Установить криптопровайдер, следуя инструкции |
| Не установлен драйвер носителя | Чтобы компьютер «увидел» устройство, нужно установить специальную утилиту. Как правило, она предоставляется удостоверяющим центром при выдаче подписи. Руководство по инсталляции можно найти на портале разработчика |
| На ПК не загружены сертификаты | Установить корневой, промежуточный и личный сертификаты (как это сделать, рассмотрим далее) |
| Не установлен плагин для браузера | Скачать ПО на сайте www.cryptopro.ru |
Ошибка КриптоПро «0x80090008»: указан неправильный алгоритм
Если версия CryptoPro не соответствует новым условиям сдачи отчетности, пользователь увидит на экране уведомление с кодом ошибки «0x80090008». Это значит, что на ПК установлен устаревший релиз программы, и его необходимо обновить. Для начала проверьте сертификат:
- В меню «Пуск» выберите пункт «Все программы» → «КриптоПро».
- Откройте «КриптоПро CSP сервис» и выберите команду «Протестировать».
- Нажмите кнопку «По сертификату» и укажите нужный файл.
При наличии ошибки в СЭП система на нее укажет.
Удаление программы
Если никаких проблем не обнаружено, ошибку неправильного алгоритма поможет устранить переустановка СКЗИ:
- Найти криптопровайдер через «Пуск».
- Выбрать команду «Удалить».
- Перезагрузить ПК.
Чтобы новая программа работала корректно, перед установкой требуется удалить все следы старой версии с помощью фирменной утилиты cspclean от CryptoPro:
- Запустить файл cspclean.exe на рабочем столе.
- Подтвердить удаление продукта клавишей «ДА».
- Перезагрузить компьютер.
Контейнеры, сохраненные в реестре, удалятся автоматически.
Установка актуального релиза
Дистрибутивы для скачивания СКЗИ размещены в разделе «Продукты» и доступны для скачивания всем авторизованным пользователям. Создание ЛК занимает не более 5 минут:
- Нажмите кнопку «Регистрация».
- Введите личные данные и подтвердите согласие на доступ к персональной информации.
В каталоге продуктов выберите версию криптопровайдера с учетом ОС, загрузите установщик на ПК, запустите его и следуйте подсказкам. При установке ПО требуется указать серийный номер лицензии (если срок действия еще не истек). Эту информацию можно уточнить в приложении к договору.
По отзывам пользователей, переустановка ПК почти всегда помогает в устранении ошибки «0x80090008». Если проблема не решена, рекомендуется написать в техподдержку разработчика или обратиться к официальному дистрибьютору, у которого вы купили лицензию.
КриптоПро вставлен другой носитель: как исправить
Ошибка «Вставьте ключевой носитель» или «Вставлен другой носитель» возникает при попытке подписания электронного документа. Сначала следует убедиться, что USB-токен с сертификатом подключен к ПК (в качестве носителя используются защищенные криптоключи или обычные флешки). Токен должен соответствовать сертификату. Если носитель подсоединен к ПК, но сообщение об ошибке все равно появляется, следует переустановить сертификат через CryptoPro:
- Открыть меню «Пуск» → «Панель управления» → «КриптоПро CSP».
- Зайти во вкладку «Сервис» → «Посмотреть сертификаты в контейнере» → «Обзор».
- Выбрать из списка ключевой контейнер, нажать ОК и «Далее».
- Нажать «Установить». Если появится предупреждение о том, что сертификат уже присутствует в хранилище, дать согласие на его замену.
- Дождаться загрузки сертификата в хранилище «Личное» и нажать ОК.
После переустановки рекомендуется перезагрузить ПК. Для первичной инсталляции СКПЭП применим аналогичный алгоритм действий.
Мы готовы помочь!
Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариям
Недостаточно прав для выполнения операции в КриптоПро
Ошибка сопровождается уведомлением «У компонента недостаточно прав для доступа к сертификатам». Чаще всего возникает в двух ситуациях:
- При попытке авторизоваться в ЛК, например, на портале контролирующего органа, куда нужно отправить отчет (при нажатии на пиктограмму «Вход по сертификату»).
- При проверке КЭП (при нажатии кнопки «Проверить» в разделе «Помощь»).
Если система уведомила пользователя, что у него недостаточно прав для выполнения операции в КриптоПро, проблема может иметь следующие причины:
- не установлен КриптоПро ЭЦП Browser plug-in 2.0 (или стоит его старая сборка);
- сайт, куда пытается войти клиент, не добавлен в каталог доверенных (надежных) ресурсов.
Browser plug-in — обязательный компонент для применения ЭП на веб-страницах. Он расширяет возможности криптопровайдера, позволяет формировать и проверять электронную подпись на интернет-ресурсах. Без этой программы, КриптоПро не сможет связаться с веб-страницей и реализовать на ней функции КЭП. Пользователи ничего не платят за этот модуль, он размещен в свободном доступе на сайте и совместим с любыми операционными системами. Как установить:
- Сохранить дистрибутив cadesplugin.exe.
- Запустить инсталляцию, кликнув по значку установщика.
- Разрешить программе внесение изменений клавишей «Да».
Появится уведомление об успешном результате. Нажмите ОК и перезагрузите браузер, чтобы коррективы вступили в силу.
Для работы с сертификатом ЭП рекомендуется использовать браузер Microsoft Internet Explorer (MIE) — для него не требуются дополнительные настройки. На завершающем этапе необходимо добавить сайт в список доверенных:
- Через меню «Пуск» (CTRL+ESC) найти продукт КриптоПро CSP.
- Зайти в настройки плагина ЭЦП Browser.
- В разделе «Список доверенных узлов» ввести адреса всех ресурсов, принимающих ваш сертификат.
Если после перезагрузки ПК проблема не решена, рекомендуется удалить плагин и выполнить повторную инсталляцию.
Подберем подходящий вид электронной подписи для вашего бизнеса за 5 минут!
Оставьте заявку и получите консультацию.
Ошибка исполнения функции при подписании ЭЦП
Ошибка свидетельствует об отсутствии лицензии на продукт КриптоПро CSP. Зачастую она возникает при попытке подписать документ на торговых площадках или в информационных системах (ЕГАИС, ЖКХ, Росреестр, Госуслуги и др.).
Лицензия на криптопровайдер может быть привязана к АРМ или встроена в сертификат ЭП. В первом случае необходимо убедиться, что лицензия введена на рабочем ПК и актуальна. Срок действия можно уточнить на вкладке «Общее» в меню запущенного криптопровайдера. Если он истек, необходимо обратиться к разработчику или официальному дистрибьютору для продления или покупки новой лицензии. Во втором случае ошибка исполнения функции при подписании ЭЦП возникает при отсутствии установленного на ПК сертификата.
Ошибка при проверке цепочки сертификатов в КриптоПро
Юридически значимую документацию можно заверить электронной подписью только в том случае, если СКЗИ подтвердит надежность (доверенность) сертификата. Для этого программа проверяет цепочку сертификации (ЦС), состоящую из таких элементов:
- корневой сертификат от Минкомсвязи (начальное звено цепи), выданный УЦ;
- промежуточный сертификат УЦ (ПС);
- СКПЭП.
Правильно построенная ЦС подтверждает, что СКПЭП (конечное звено) имеет доверенный путь (от Минкомсвязи к УЦ, от УЦ к пользователю). Ошибка при проверке цепочки сертификатов в КриптоПро свидетельствует о том, что минимум один элемент в этой системе искажен. ЭП при этом считается недействительной и не принимается для подписания файлов.
| Причина | Решение |
| Один из сертификатов поврежден или некорректно установлен | Переустановить сертификат |
| Неправильно установлено СКЗИ (или стоит устаревшая версия) | Удалить и заново установить программу |
| Устаревшая версия веб-браузера | Обновить браузер |
| На ПК не актуализированы дата и время | Указать в настройках компьютера правильные значения |
На первой причине остановимся подробнее. Чтобы проверить состояние ЦС, откройте папку криптопровайдера, выберите раздел «Сертификаты» → «Личное». Если цепочка нарушена, во вкладке «Общее» будет сообщение о том, что СКПЭП не удалось проверить на надежность.
Устранение сбоя следует начинать с верхнего звена (КС). Файл предоставляется клиенту в удостоверяющем центре вместе с остальными средствами: ключи, СКПЭП, промежуточный сертификат и физический носитель. Кроме того, его можно скачать бесплатно на сайте Казначейства (КС для всех одинаковый). Как загрузить КС:
- Открыть документ от Минкомсвязи на компьютере.
- В разделе «Общее» выбрать команду установки.
- Установить галочку напротив пункта «Поместить в хранилище».
- Из списка выбрать папку «Доверенные корневые центры».
- Нажать «Далее» — появится уведомление об успешном импорте.
По завершении процедуры рекомендуется перезагрузить ПК. Если сбой не устранен, переходим к промежуточному компоненту. При утере ПС его можно загрузить с официального сайта УЦ. Процесс установки такой же, как и для КС, но в качестве хранилища должно быть указано «Промежуточные центры».
После перезагрузки ПК снова зайдите в папку «Личное» и откройте СКПЭП. Если во вкладке «Путь сертификации» будет статус «Сертификат действителен» — ошибка устранена.
Электронная подпись описи содержания пакета недействительна
Одной КЭП можно сразу заверить несколько файлов. В одном письме адресат может отправлять комплект документации и отдельно к нему опись, где перечислены все файлы. Перечень документов тоже нужно визировать ЭП.
Если при попытке заверить ведомость пользователь увидит сообщение о недействительности сертификата, значит подписать основной комплект тоже не удастся. Эта ошибка распространяется на все типы файлов, а не на какой-то конкретный документ.
Причина сбоя — нарушение доверенной цепочки, о которой было сказано ранее. В первую очередь следует проверить наличие и корректность КС и ПС. Если они установлены, удалите эти файлы и загрузите снова.
Проблемы с браузером
Для заверки электронных файлов в интернете разработчик СКЗИ рекомендует использовать встроенный веб-обозреватель MIE. Но даже с ним бывают сбои. Если это произошло, зайдите в браузер под ролью администратора:
- Кликните по значку браузера на рабочем столе.
- В контекстном меню выберите соответствующую роль.
Чтобы всякий раз не предпринимать лишние действия, в настройках можно задать автоматический доступ под нужными правами. Неактуальную версию браузера необходимо обновить до последнего релиза. Также следует отключить антивирусные программы, так как многие из них блокируют работу СКЗИ, воспринимая как вредоносное ПО.
Не работает служба инициализации
Если работа сервиса инициализации Crypto Pro приостановлена, СКПЭП тоже не будет работать. Запустите командную строку клавишами Win+R:
- Введите команду services.msc.
- В разделе «Службы» выберите «Службу инициализации» и проверьте в свойствах ее активность.
Если сервис отключен, запустите его и нажмите ОК. После перезапуска ПК электронная подпись должна снова работать корректно.
Сертификаты не отвечают критериям КриптоПро
Ошибка всплывает при попытке авторизоваться в информационной госсистеме (например, «Электронный Бюджет» и др.). Пользователь видит сообщение следующего содержания:
Первый способ устранения сбоя — «снести» СКЗИ и поставить заново, как описано выше. Если это вариант не сработал, значит проблема кроется в неправильном формировании ЦС. Рассмотрим на примере. Отправитель зашел в СКПЭП и в подразделе «Общее» увидел статус «Недостаточно информации для проверки этого сертификата». В первую очередь рекомендуется проверить наличие корневого сертификата в цепочке и при его отсутствии выполнить установку (алгоритм описан ранее). Если этот метод не помог, на форуме разработчика приводится еще один способ: от имени администратора вызвать «Пуск» → «Выполнить» → «regedit». Далее необходимо удалить ветки:
Не все бывают в наличии, поэтому удаляйте те, что есть. Процедура не вредит системе и сохраненным файлам, но помогает не в каждом случае (обычно ошибку удается устранить при установке корневого сертификата).
«1С-ЭДО» не видит КриптоПро CSP
«1С-ЭДО» — программа для обмена электронными документами, интегрированная в учетную базу «1С». Сервис позволяет удаленно взаимодействовать с контрагентами и отправлять отчетность в надзорные органы (ФНС, ПФР, ФСС, Росстат и др.). Чтобы документы приобрели юридическую силу, их необходимо заверить квалифицированной ЭП. Если сервис «1С-ЭДО» «не видит» ключ в КриптоПро CSP, рекомендованы следующие действия:
- проверить, установлена ли на компьютере актуальная версия криптопровайдера;
- при наличии СКЗИ уточнить, соответствует ли оно той программе, которая была указана в настройках обмена с «1С».
Как проверить настройки криптопровайдера:
- Запустить сервис «1С-ЭДО».
- Перейти в раздел «Отчеты» → «Регламентированные отчеты».
- Нажать кнопку «Настройки».
- В подразделе «Документооборот с контролирующими органами» нажать кнопку «Здесь».
Если в поле «Криптопровайдер» указана не та программа, которая установлена на ПК (например, VipNet), поменяйте ее в настройках и сохраните клавишей ОК. Для правильной работы сервиса ЭДО рекомендуется использовать на одном АРМ только один из сертифицированных провайдеров.
Оформим электронную подпись для вашего бизнеса. Установим и настроим в день подачи заявки!
Оставьте заявку и получите консультацию в течение 5 минут.
Оцените, насколько полезна была информация в статье?
Наш каталог продукции
У нас Вы найдете широкий ассортимент товаров в сегментах
кассового, торгового, весового, банковского и офисного оборудования.
Посмотреть весь каталог
Не удаётся обнаружить токен или смарт-карту
Сообщений 6
#1 Тема от Kenjikan 2021-07-27 11:29:18
Не удаётся обнаружить токен или смарт-карту
Пытаюсь зарегистрироваться в ЛК налоговой для ЮЛ.
Все проверки на сайте прошёл, но при переходе в ЛК получаю сообщение «Не удаётся обнаружить токен или смарт-карту»
Сам рутокен в панели управления виден, КриптоПро установлен и лицензирован.
#2 Ответ от Николай Киблицкий 2021-07-27 11:39:41
Re: Не удаётся обнаружить токен или смарт-карту
Здравствуйте.
Эта ошибка возникает в приложении Рутокен Коннект, установленном на компьютер, если не выполняются условия для успешного входа или выбран неверный вариант входа.
Для решения, воспользуйтесь инструкцией по ссылке.
#3 Ответ от Kenjikan 2021-07-27 12:25:40
Re: Не удаётся обнаружить токен или смарт-карту
Добрый день, Николай.
К сожалению, предложенное вами решение привело к тому, что проверка готовности стала выдавать ошибку на этапе «Проверка защищённого соединения с сервером Личного кабинета юридического лица».
То есть, при установленном РутокенКоннект или включенном сайте lkul.nalog.ru проверку я прохожу, но сайт не определяет Рутокен.
Если отключить сайт ЛКЮЛ или удалить РутокенКоннект (или плагин) я просто не прохожу финальную фазу проверки.
#4 Ответ от Николай Киблицкий 2021-07-27 12:37:08
Re: Не удаётся обнаружить токен или смарт-карту
Расширение Рутокен Коннект должно использоваться для входа на сайт nalog.ru только если используется модель Рутокен ЭЦП 2.0 с записанным на него сертификатом формата PKCS#11 (как для ЕГАИС).
Если используется другая модель Рутокен и/или на Рутокене содержится сертификат формата «КриптоПро CSP», то на портале lkul.nalog.ru, необходимо выбирать вход: «Диагностика подключения по сертификату ключа проверки ЭП».
#5 Ответ от Андрей777 2021-09-08 22:11:03
Re: Не удаётся обнаружить токен или смарт-карту
Добрый день, регистрируюсь на сайте налоговой для входа в ЛК Юрлица, прохожу «Диагностика подключения по сертификату ключа проверки ЭП», прохожу проверку на сайте, но не могу зайти в ЛК (токен не обнаружен). Использую рутокен S. Рутокен работает, система видит его.
#6 Ответ от Николай Киблицкий 2021-09-09 10:41:06
Re: Не удаётся обнаружить токен или смарт-карту
Здравствуйте, Андрей777.
Если у вас установлена программа Рутокен Коннект, вам необходимо удалить ее и соответствующее расширение из браузера.
Источник
Не удается обнаружить токен или смарт карту что делать
После прохождения проверки условий подключения по сертификату ключа проверки ЭЦП и выбора сертификата в личном кабинете юридического лица на сайте nalog.ru через Yandex браузер возникает одно из двух сообщений:
«Не удается обнаружить токен или смарт-карту. Подключите Рутокен в любой USB-порт компьютера или к картридеру» или «На Рутокене нет сертификатов. Для доступа к сайту запишите на Рутокен сертификат«.
Эти ошибки возникают в приложении Рутокен Коннект, установленном на компьютер, если не выполняются условия для успешного входа или выбран неверный вариант входа.
Необходимо определить нужно ли расширение Рутокен Коннект и какой вариант входа нужно использовать.
Расширение Рутокен Коннект должно использоваться для входа на сайт nalog.ru только если используется модель Рутокен ЭЦП 2.0 с записанным на него сертификатом формата PKCS#11 (как для ЕГАИС).
Проверка условий подключения должна завершиться успешно.
2. Если используется другая модель Рутокен и/или на Рутокене содержится сертификат формата «КриптоПро CSP», то выбран правильный вариант:
нужно выполнить одно из трех действий:
a) Удалите адрес lkul.nalog.ru:443 из настроек Рутокен Коннект
b) Или удалите Адаптер Рутокен Коннект
с) Или удалите приложение Рутокен Коннект
После выполнения одного из трех действий повторите Проверку условий подключения по сертификату ЭЦП.
Источник
Не удается обнаружить токен или смарт карту что делать
После прохождения проверки условий подключения по сертификату ключа проверки ЭЦП и выбора сертификата в личном кабинете юридического лица на сайте nalog.ru через Yandex браузер возникает одно из двух сообщений:
«Не удается обнаружить токен или смарт-карту. Подключите Рутокен в любой USB-порт компьютера или к картридеру» или «На Рутокене нет сертификатов. Для доступа к сайту запишите на Рутокен сертификат«.
RU1074 > image2019-9-5_16-7-19.png» data-location=»База знаний > RU1074 > image2019-9-5_16-7-19.png» data-image-height=»662″ data-image-width=»852″> RU1074 > image2019-9-5_16-8-6.png» data-location=»База знаний > RU1074 > image2019-9-5_16-8-6.png» data-image-height=»614″ data-image-width=»847″>
Эти ошибки возникают в приложении Рутокен Коннект, установленном на компьютер, если не выполняются условия для успешного входа или выбран неверный вариант входа.
Необходимо определить нужно ли расширение Рутокен Коннект и какой вариант входа нужно использовать.
Расширение Рутокен Коннект должно использоваться для входа на сайт nalog.ru только если используется модель Рутокен ЭЦП 2.0 с записанным на него сертификатом формата PKCS#11 (как для ЕГАИС).
Проверка условий подключения должна завершиться успешно.
2. Если используется другая модель Рутокен и/или на Рутокене содержится сертификат формата «КриптоПро CSP», то выбран правильный вариант:
нужно выполнить одно из трех действий:
a) Удалите адрес lkul.nalog.ru:443 из настроек Рутокен Коннект
RU1074 > image2019-9-5_17-32-40.png» data-location=»База знаний > RU1074 > image2019-9-5_17-32-40.png» data-image-height=»198″ data-image-width=»443″>
RU1074 > image2019-9-5_17-37-4.png» data-location=»База знаний > RU1074 > image2019-9-5_17-37-4.png» data-image-height=»379″ data-image-width=»847″>
b) Или удалите Адаптер Рутокен Коннект
RU1074 > image2019-9-5_17-41-56.png» data-location=»База знаний > RU1074 > image2019-9-5_17-41-56.png» data-image-height=»198″ data-image-width=»343″>
с) Или удалите приложение Рутокен Коннект
RU1074 > image2019-9-5_18-2-17.png» data-location=»База знаний > RU1074 > image2019-9-5_18-2-17.png» data-image-height=»339″ data-image-width=»584″>
После выполнения одного из трех действий повторите Проверку условий подключения по сертификату ЭЦП.
Источник
Как исправить ошибку, если сертификат ЭЦП не виден на носителе
Иногда при работе с электронной цифровой подписью (ЭЦП) выходит ошибка о том, что ПК не видит сертификат подписи на носителе или о том, что при создании подписи была допущена ошибка. Причина может быть в неустановленном или переставшем работать драйвере, в неисправности токена или в неисправности программной части компьютера.
Почему не виден сертификат ЭЦП на носителе
Обычно проблема решается простой перезагрузкой компьютера и объясняется сбоем в работе программных компонентов. Но иногда для исправления ошибки нужно переустановить драйвера или обратиться в службу технической поддержки пользователей.
Причина 1: драйвер не установлен или устройство отображается в диспетчере устройств с восклицательным знаком
Если на носителе Рутокен ЭЦП не найдено ни одного сертификата, а в диспетчере устройств носитель отображается с восклицательным знаком, то проблема кроется в драйвере.
Для исправления ситуации нужно извлечь носитель ЭЦП из компьютера и скачать последнюю версию драйвера. Скачивание нужно производить только с официальных ресурсов:
После установки драйвера нужно снова подключить носитель. Если ошибка повторяется, проверьте корректность работы токена. Для этого подключите его к другому ПК. Если носитель определился системой, то на неисправном компьютере удалите драйвер и установите его заново.
Причина 2: долгое опознание носителя на Windows 7
При работе в ОС Windows 7 драйверы могут долго назначаться. Решение проблемы — дождитесь окончания процесса или обновите версию ОС.
Причина 3: USB-порт работает некорректно
Убедитесь, что проблема в USB-порте, а не в носителе ЭЦП, для этого переключите токен к другому порту. Если носитель определился системой, то перезагрузите ПК. Обычно это помогает справиться с проблемой и запустить работу всех USB-портов. Если перезагрузка не помогла, то желательно обратиться в техническую поддержку для устранения неисправности.
Причина 4: носитель неисправен
Если при переключении носителя к другому ПК или USB-порту флешку компьютер не видит, то проблема в носителе. Чтобы устранить неисправность, обратитесь в сервисный центр для выпуска нового токена.
Почему выходит ошибка при создании подписи
Ошибка создания подписи обычно имеет в расшифровке два значения:
Неисправность работы подписи связана с некорректной работой криптопровайдера, неустановленными или необновленными сертификатами.
Решение проблемы зависит от типа ошибки и обычно не требует обращения в техническую поддержку.
Устранение ошибки ненайденного элемента ЭЦП
Переустановите криптопровайдер на неисправном ПК с официального портала КриптоПро (https://www.cryptopro.ru/downloads). После этого очистите кэш и временные файлы в используемом браузере, а также кэш Java. Затем удалите личные сертификаты и сертификаты главного удостоверяющего центра. Используйте КриптоПро и заново установите новые в соответствии с именем контейнера. После установки корневых сертификатов:
Если после проделанной работы ошибка сохраняется, то нужно обратиться в сервисный центр.
Устранение ошибки с построением цепочки сертификатов
Обычно ошибку вызывает отсутствие сертификатов доверенных корневых центров. Чтобы устранить неисправность, нужно открыть список сертификатов и найти проблемный. Он будет иметь отметку о проблеме в проверке отношений:
Затем пользователь скачивает с официальной страницы сертификат Минкомсвязи РФ и сертификат удостоверяющего центра, имеющего проблемы в работе. Устанавливают их в раздел «Корневые сертификаты», а пошаговый процесс выглядит так:
В нужном сертификате нажать «Установить».
В мастере импорта сертификатов нажать «Далее» и в новом окне поставить галочку напротив «Поместить все сертификаты в следующем хранилище». Нажать «Обзор».
В открывшемся списке выбрать «Доверенные корневые центры» и нажать последовательно «ОК» и «Далее».
Нажать «Готово», а затем подтвердить установку.
Дождаться установки и перезагрузить ПК. Если после этого подписание сопровождается ошибкой, то необходимо обратиться за помощью в техническую поддержку.
Ошибки в работе носителя электронной подписи могут быть вызваны как неисправностью самого носителя, так и неисправностями в программном обеспечении. Перезагрузите ПК и переключите токен в другой порт, чтобы убедиться в его исправности. Если проблема вызвана тем, что токен поврежден, то необходимо обратиться в сервисный центр компании, выпустившей USB. При ошибке, возникающей во время подписания документа, нужно убедиться в корректной работе всех сертификатов и криптопровайдера и при необходимости провести их полную переустановку.
Источник
Ошибки Рутокен
Из нашей статьи вы узнаете:
После установки драйверов и во время использования цифровой подписи потенциально могут возникнуть ошибки. Причины часто кроются в программных ошибках, неправильных действиях пользователя. На практике большинство проблем можно решить самостоятельно, без обращения за помощью в удостоверяющий центр или к специалистам по обслуживанию компьютерной техники. Рассмотрим основные ошибки, с которыми приходится сталкиваться пользователям и которые реально решить своими силами.
Ошибка: Сертификат ненадежен/Не удалось проверить статус отзыва
Ошибку можно заметить на вкладке «Сертификаты» непосредственно в панели управления Рутокен. Проблема возникает во время установки ЭЦП и связана с неполной настройкой. Речь про отсутствие специального корневого доверенного сертификата, который выдает удостоверяющий центр.
Первым шагом к устранению ошибки остается обновление комплекта драйверов. Если проблема не исчезла или последние у вас имеют актуальную версию, выполните действия по следующему алгоритму:
Если в открывшемся дереве вы видите лишь ваш личный сертификат, то надо установить еще один, который был выдан в удостоверяющем центре, и сделать доверенным.
Ошибка: Rutoken перестает определяться (Windows 10)
Потенциально могут возникать периодические ошибки из-за недоступности сертификатов, невозможности запустить панель управления. Одновременно светодиод на токене горит, а сам Рутокен имеется в Диспетчере устройств. Подобная ситуация может быть связана со спецификой работы материнской платы компьютера, когда при переходе из энергосберегающего режима в штатный не происходит «пробуждения» токена. Выходом здесь станет его отключение либо повторное подключение Рутокена (для этого достаточно достать USB-токен из разъема и подключить опять).
В случае если ошибка не исчезла, обратитесь за консультацией в удостоверяющий центр, где вы оформили ЭЦП и приобрели Рутокен.
Ошибка: Панель управления не видит Рутокен ЭЦП 2.0
Для решения проблемы выполните следующие действия:
Если ничего не помогло и ошибка осталась, обращайтесь в удостоверяющий центр «Астрал». Мы предлагаем услуги по генерации ЭЦП любых типов на выгодных условиях, а также комплексное техническое сопровождение. Для решения проблем мы готовы проконсультировать по телефону либо найти выход с помощью удаленного подключения к вашему компьютеру. Получить дополнительную информацию можно по телефону либо оставив заявку на сайте. Мы оперативно ответим и предоставим консультацию.
Источник
Интернет-банкинг вошёл в наш быт не так давно, но уже успел прочно закрепить свои позиции. И это совсем неудивительно, ведь теперь для совершения любых финансовых операций не требуется даже выходить из дому. Больше нет необходимости идти в отделение банка, чтобы оплатить коммунальные услуги, осуществить денежный перевод или проконтролировать баланс карты. Одновременно с потребительской выгодой этот подход удобен и для банков. Он позволяет уменьшить штат сотрудников и площади аренды для отделений. Сэкономленные средства направляются на модернизацию приложений онлайн-банкинга, делая их работу прозрачной и максимально безопасной для каждого клиента.
Специально для дистанционного обслуживания малого бизнеса Сбербанк внедрил особую систему «Бизнес Онлайн», которая позволяет при помощи обычного браузера вести работу с платёжными документами, получать экспресс-информацию о движении финансов, коммуницировать с сотрудниками банка и многое другое. Для безопасности клиентов вход в эту систему происходит исключительно после ввода специального электронного ключа. Но в некоторых случаях вход становится невозможным, а пользователю выводится «Ошибка инициализации токена 4».
Как правильно войти в систему Бизнес Онлайн от Сбербанка
Ключ безопасности (токен) для входа в систему интернет-банкинга сохранён на Flash-накопитель.
Для корректного входа в систему необходимо:
- Вставить токен в USB-порт.
- Открыть всплывающее окно накопителя.
- Запустить файл start.exe.
- Ввести личный код и выбрать опцию «Войти».
Когда появляется ошибка
Если с токеном возникают какие-либо проблемы и компьютер не может распознать информацию с носителя он выдаёт системное сообщение с текстом об ошибке в системе Сбербанка.
Бывает и так, что при попытке запустить программу через файл автозагрузки start.exe пользователь видит текст: «Ошибка! Не удаётся открыть Infocrypt HWDSSL Device». Это указывает на невозможность подключения устройства.
Ошибка может появится по нескольким причинам
Причины «Ошибки инициализации токена 4» и способы её устранения
Причины возникновения подобных проблем могут быть весьма разнообразны. Но для каждой из них существуют персональные рекомендации по устранению. Объединяющим их фактором является только возможность, в большинстве случаев, устранить проблему без привлечения узкоспециализированных специалистов. В первую очередь рекомендуется удостовериться, что при запуске загрузчика скорось интернет-соединения стабильная, и выключены все антивирусные программы.
- Пользователь пытается запустить программу в профиле, у которого нет прав администратора компьютера. В этом случае ошибка обусловлена требованиями системы безопасности банка. То же самое может происходить, если профиль был перемещён в локальную учётную запись. Решение очевидно — вход в систему нужно осуществлять только через учётную запись с правами администратора.
- Службы безопасности ПК блокируют доступ к содержимому ключа, не позволяя распознать и инициализировать его. Проблема наблюдается при использовании токена в портах сервера, во время попытки активации его через протокол удалённого доступа RDP. В этом случае оптимальным решением станет использование вспомогательных систем, использующих другие протоколы (к примеру, RFB) или программ, обеспечивающих удалённый доступ (таких как TeamViewer или AeroAdmin).
- К USB-портам компьютера одновременно подключены два и более токенов, что препятствует нормальному распознаванию их системой. При получении уведомления о втором токене ОС сразу сигнализирует о появлении неизвестного идентификатора в сети. Если наблюдается нечто подобное необходимо перезагрузить ПК и возобновить работу со вторым ключом безопасности.
- Ещё одной причиной ошибки может быть устаревшая прошивка токена. Для её обновления необходимо скачать архив с обновлениями с сайта «Сбербанка», выбрать и открыть из него файл token_upd.exe при подключённом к компьютеру накопителе. Во всплывающем окне необходимо будет кликнуть по кнопке «Обновить».
- Отсутствие необходимых драйверов. В этом случае решение одно — их установка. USB Smart Card reader рекомендуется скачивать исключительно с официального сайта Microsoft, обходя стороной все остальные порталы, так как программа служит для работы с финансами, а поэтому требует к себе максимально ответственного и внимательного отношения. Важно, что это решение актуально только для версий Windows XP, Vista и более ранних. Для Windows 7 и ОС, вышедших после неё, драйверы не нужны по умолчанию.
Скачивать драйверы нужно исключительно с проверенных ресурсов
- Драйвер устарел или был установлен с ошибкой. Если есть подозрения, что проблема в этом — обновите программное обеспечение. Для этого откройте «Диспетчер устройств», выберете необходимое устройство, зайдите во вкладку «свойства» и выберете действие «Обновить драйвер». Система произведёт поиск новой версии ПО без вмешательства пользователя и заменит драйвер обновлённой версией.
Обновление драйвера возможно проверсти через диспетчер устройств
Если на компьютере не выявлено ни одной из вышеперечисленных проблем, обратитесь в службу поддержки Сбербанка по номеру: +7 (800) 555–57–77.
Проблема может быть также связана с механическими повреждениями токена. Тогда вам придётся заказывать новый ключ у сертифицированных компаний, специализирующихся на информационной безопасности и криптографии.
- Распечатать
Оцените статью:
- 5
- 4
- 3
- 2
- 1
(17 голосов, среднее: 3.6 из 5)
Поделитесь с друзьями!
Содержание
- Ошибки Рутокен
- Ошибка: Сертификат ненадежен/Не удалось проверить статус отзыва
- Ошибка: Rutoken перестает определяться (Windows 10)
- Ошибка: Панель управления не видит Рутокен ЭЦП 2.0
- Почему компьютер не видит носитель рутокен
- Первичная диагностика неисправности Рутокен
- 1. Повреждение/разлом корпуса или USB-разъема Рутокена
- 3. Рутокен со следами оплавления и/или почернения корпуса изнутри носителя, отпаявшаяся микросхема или вспученная поверхность микросхемы
- 1. Рутокен не определяется в «Панели управления Рутокен»
- 2. Рутокен определяется панелью управления, кнопка «Ввести PIN-код…» активна, но авторизация с PIN-кодом пользователя/администратора выполняется с ошибкой. Дальнейшие действия зависят от формулировки возникающей ошибки:
- 2.1 Ошибка “Не удалось получить всю информацию о токене Код ошибки: 0x6a82 Описание ошибки: Файл/ RSF не найден”
- 2.2 Ошибка “Не удалось получить всю информацию о токене код ошибки: 0х6400 Описание ошибки: Состояние памяти Rutoken не изменилось”
- 2.3 Ошибка “Не удалось получить всю информацию о токене Код ошибки 0xF003 Описание ошибки Неверное значение”
- 2.4 Ошибка «Обнаружено повреждение системной области памяти (ошибка CRC)» код ошибки 0x6F20
- 2.5 Референсные данные не найдены
- 2.6 «PIN-код заблокирован»
- 1. Проверка целостности контейнера с сертификатом “КриптоПро CSP” или “VipNet CSP”
- 2. Проверка целостности сертификата с неизвлекаемыми ключами
- Почему компьютер не видит носитель рутокен
- Почему компьютер не видит рутокен
- Установка драйвера для Windows Vista Windows Seven
- Установка драйвера для Windows XP
- Подготовка
- Установка драйверов и модулей ruToken
- Настройка считывателя в КриптоПро
- Установка сертификатов
- Почему не виден сертификат ЭЦП на носителе
- Причина 1: драйвер не установлен или устройство отображается в диспетчере устройств с восклицательным знаком
- Причина 2: долгое опознание носителя на Windows 7
- Причина 3: USB-порт работает некорректно
- Причина 4: носитель неисправен
- Почему выходит ошибка при создании подписи
- Устранение ошибки ненайденного элемента ЭЦП
- Устранение ошибки с построением цепочки сертификатов
Ошибки Рутокен
Из нашей статьи вы узнаете:
После установки драйверов и во время использования цифровой подписи потенциально могут возникнуть ошибки. Причины часто кроются в программных ошибках, неправильных действиях пользователя. На практике большинство проблем можно решить самостоятельно, без обращения за помощью в удостоверяющий центр или к специалистам по обслуживанию компьютерной техники. Рассмотрим основные ошибки, с которыми приходится сталкиваться пользователям и которые реально решить своими силами.
Ошибка: Сертификат ненадежен/Не удалось проверить статус отзыва
Ошибку можно заметить на вкладке «Сертификаты» непосредственно в панели управления Рутокен. Проблема возникает во время установки ЭЦП и связана с неполной настройкой. Речь про отсутствие специального корневого доверенного сертификата, который выдает удостоверяющий центр.
Первым шагом к устранению ошибки остается обновление комплекта драйверов. Если проблема не исчезла или последние у вас имеют актуальную версию, выполните действия по следующему алгоритму:
Если в открывшемся дереве вы видите лишь ваш личный сертификат, то надо установить еще один, который был выдан в удостоверяющем центре, и сделать доверенным.
Ошибка: Rutoken перестает определяться (Windows 10)
Потенциально могут возникать периодические ошибки из-за недоступности сертификатов, невозможности запустить панель управления. Одновременно светодиод на токене горит, а сам Рутокен имеется в Диспетчере устройств. Подобная ситуация может быть связана со спецификой работы материнской платы компьютера, когда при переходе из энергосберегающего режима в штатный не происходит «пробуждения» токена. Выходом здесь станет его отключение либо повторное подключение Рутокена (для этого достаточно достать USB-токен из разъема и подключить опять).
В случае если ошибка не исчезла, обратитесь за консультацией в удостоверяющий центр, где вы оформили ЭЦП и приобрели Рутокен.
Ошибка: Панель управления не видит Рутокен ЭЦП 2.0
Для решения проблемы выполните следующие действия:
Если ничего не помогло и ошибка осталась, обращайтесь в удостоверяющий центр «Астрал». Мы предлагаем услуги по генерации ЭЦП любых типов на выгодных условиях, а также комплексное техническое сопровождение. Для решения проблем мы готовы проконсультировать по телефону либо найти выход с помощью удаленного подключения к вашему компьютеру. Получить дополнительную информацию можно по телефону либо оставив заявку на сайте. Мы оперативно ответим и предоставим консультацию.
Источник
Почему компьютер не видит носитель рутокен
Рутокен при подключении к компьютеру не отображается в Панели управления Рутокен, кнопка «Ввести PIN-код» неактивна.
Если используется Подключение к удаленному рабочему столу, подробную информацию можно прочитать в этой статье.
Определите модель Рутокен по маркировке на самом ключе, воспользовавшись этой инструкцией.
Возможно, не хватает питания для Рутокена. Попробуйте подключить Рутокен в другой USB-порт.
Если используется удлинитель, подключите Рутокен напрямую.
Проверьте работают ли флешки, другие токены или смарт-карты.
Модель Рутокен S должна отображаться в разделе Контроллеры USB.
Модели Рутокен ЭЦП 2.0, Рутокен Lite должны отображаться в разделе Устройства чтения смарт-карт.
*Иногда могут отображаться как «USB Smart Card reader», «Rutoken ECP» или «Rutoken Lite»
Откройте Панель управления Рутокен и перейдите на вкладку Настройки.
Проверьте значение в раскрывающемся списке Количество считывателей Рутокен S. Если установлен «0», то увеличьте это значение до 1 и примените изменения
Если на другом компьютере Рутокен так же не определяется, скорее всего, он вышел из строя. Обратитесь в компанию, где приобретался Рутокен для его замены.
Источник
Первичная диагностика неисправности Рутокен
В соответствии с правилами эксплуатации и хранения электронных идентификаторов Рутокен, пользователь имеет право бесплатно заменить неисправный носитель Рутокен в течение срока гарантийного обслуживания, если, в ходе проведения экспертизы, случай будет признан гарантийным.
Отправка токена на экспертизу производится через ту компанию, с которой у компании «Актив» имеются договорные отношения.
Таким образом, если вы приобретали Рутокен у одного из наших партнеров, вам нужно передать Рутокен партнеру. Если договор между вашей организацией и компанией «Актив» напрямую не заключался, и вы направите Рутокен нам, мы не сможем принять его на экспертизу.
Узнать срок гарантии на устройство Рутокен можно в той компании, в которой он приобретался.
В случае обнаружения пользователем неисправности Рутокена, советуем провести первичную диагностику носителя, прежде чем обратиться в компанию, где приобретался носитель Рутокен.
Самые частые ошибки мы собрали в этой статье.
Первичная диагностика состоит из 3 этапов:
При первичном осмотре Рутокена выявляются механические повреждения, при которых носитель не подлежит замене.
Можно выделить следующие виды механических повреждений:
1. Повреждение/разлом корпуса или USB-разъема Рутокена
3. Рутокен со следами оплавления и/или почернения корпуса изнутри носителя, отпаявшаяся микросхема или вспученная поверхность микросхемы
Рутокен со следами оплавления и/или почернения можно направить на дополнительную экспертизу. Если в ходе экспертизы будет выявлено умышленное повреждение или превышение допустимого напряжения, подаваемого в USB-порт, гарантийная замена Рутокена на новый произведена не будет.
Если при визуальном осмотре Рутокена никаких видимых повреждений не выявлено, необходимо проверить Рутокен на компьютере.
Подключите Рутокен к компьютеру и запустите «Панель управления Рутокен».
Запуск панели управления Рутокен выполняется через меню Пуск / Панель управления / Панель управления Рутокен.
Если Рутокен определяется в «Панели управления Рутокен», активна кнопка «Ввести PIN-код…»
Нажмите на кнопку «Информация» на вкладке «Администрирование». Ошибок возникать не должно.
Попробуйте авторизоваться с PIN-кодом пользователя и/или администратора.
Если при нажатии на кнопку «Информация» ошибок не возникает, а авторизация выполняется успешно, следует перейти к третьему этапу диагностики носителя Рутокен
(Рутокен работает корректно, необходимо проверить целостность ключевой информации на Рутокене).
После подключения Рутокена к компьютеру возможны следующие ошибки в Панели управления Рутокен:
1. Рутокен не определяется в «Панели управления Рутокен»
Рутокен не определяется в «Панели управления Рутокен» (список «Подключенные Рутокен» пустой) и, как следствие, неактивны кнопки «Ввести PIN-код…» и «Информация…». В данном случае необходимо воспользоваться инструкцией.
2. Рутокен определяется панелью управления, кнопка «Ввести PIN-код…» активна, но авторизация с PIN-кодом пользователя/администратора выполняется с ошибкой. Дальнейшие действия зависят от формулировки возникающей ошибки:
2.1 Ошибка “Не удалось получить всю информацию о токене Код ошибки: 0x6a82 Описание ошибки: Файл/ RSF не найден”
Подключите Рутокен к другому USB порту. Повторите попытку ввода PIN-кода. По возможности, установите Драйверы Рутокен на другой компьютер, подключите токен и попробуйте ввести PIN-код.
Если и на другом компьютере ошибка повторяется, значит возникло нарушение файловой системы Рутокен. Его можно отформатировать и записать ключи заново.
2.2 Ошибка “Не удалось получить всю информацию о токене код ошибки: 0х6400 Описание ошибки: Состояние памяти Rutoken не изменилось”
Подключите Рутокен к другому USB порту. Повторите попытку ввести PIN-код. По возможности, установите Драйверы Рутокен на другой компьютер, подключите токен и попробуйте ввести PIN-код.
Если и на другом компьютере ошибка повторяется, значит возникло нарушение файловой системы Рутокен. Его можно отформатировать и записать ключи заново.
2.3 Ошибка “Не удалось получить всю информацию о токене Код ошибки 0xF003 Описание ошибки Неверное значение”
Подключите Рутокен к другому USB порту. Повторите попытку ввести PIN-код. По возможности, установите Драйверы Рутокен на другой компьютер, подключите токен и попробуйте ввести PIN-код.
Если и на другом компьютере ошибка повторяется, значит возникло нарушение файловой системы Рутокен. Его можно отформатировать и записать ключи заново.
2.4 Ошибка «Обнаружено повреждение системной области памяти (ошибка CRC)» код ошибки 0x6F20
Ошибка означает, что память на носителя Рутокен была повреждена. Форматирование Рутокена не поможет. Рутокен необходимо передать в ту компанию, в которой приобретался данный носитель для отправки на экспертизу в компанию Актив.
2.5 Референсные данные не найдены
Подключите Рутокен к другому USB порту. Повторите попытку ввести PIN-код. По возможности, установите Драйверы Рутокен на другой компьютер, подключите токен и попробуйте ввести PIN-код.
Если и на другом компьютере ошибка повторяется, значит возникло нарушение файловой системы Рутокен. Его можно отформатировать и записать ключи заново.
Более подробная информация об ошибке есть в статье нашей Базы Знаний.
2.6 «PIN-код заблокирован»
Ошибка «PIN-код заблокирован» означает, что Рутокен был заблокирован в результате превышения количества попыток ввода PIN-кода.
Если заблокирован PIN-код пользователя, воспользуйтесь инструкцией.
Если заблокирован PIN-код Администратора, воспользуйтесь инструкцией.
На третьем этапе проверяется целостность ключевой информации, которая содержится на Рутокене.
Определите модель Рутокена по инструкции.
Если используется носитель из семейства Рутокен ЭЦП, проверьте формат ключей по инструкции.
1. Проверка целостности контейнера с сертификатом “КриптоПро CSP” или “VipNet CSP”
Выполнить такую проверку можно через программу криптопровайдера, с помощью которой была сгенерирована электронная подпись пользователя, например программа «КриптоПро CSP» или «VipNet CSP»
Тестирование целостности контейнера через «КриптоПро CSP» необходимо проводить по инструкции.
Тестирование целостности контейнера через «VipNet CSP» необходимо проводить по инструкции.
Если операция по проверке ключевого контейнера выполняется без ошибок, значит ключевая информация на носителе Рутокен не повреждена.
2. Проверка целостности сертификата с неизвлекаемыми ключами
Тестирование носителей Рутокен ЭЦП 2.0 с записанными на него неизвлекаемыми ключами ЭП (PKCS#11) пользователями самостоятельно не производится. Удаленная диагностика выполняется сотрудниками технической поддержки компании Актив.
Источник
Почему компьютер не видит носитель рутокен
После прохождения проверки условий подключения по сертификату ключа проверки ЭЦП и выбора сертификата в личном кабинете юридического лица на сайте nalog.ru через Yandex браузер возникает одно из двух сообщений:
«Не удается обнаружить токен или смарт-карту. Подключите Рутокен в любой USB-порт компьютера или к картридеру» или «На Рутокене нет сертификатов. Для доступа к сайту запишите на Рутокен сертификат«.
Эти ошибки возникают в приложении Рутокен Коннект, установленном на компьютер, если не выполняются условия для успешного входа или выбран неверный вариант входа.
Необходимо определить нужно ли расширение Рутокен Коннект и какой вариант входа нужно использовать.
Расширение Рутокен Коннект должно использоваться для входа на сайт nalog.ru только если используется модель Рутокен ЭЦП 2.0 с записанным на него сертификатом формата PKCS#11 (как для ЕГАИС).
Проверка условий подключения должна завершиться успешно.
2. Если используется другая модель Рутокен и/или на Рутокене содержится сертификат формата «КриптоПро CSP», то выбран правильный вариант:
нужно выполнить одно из трех действий:
a) Удалите адрес lkul.nalog.ru:443 из настроек Рутокен Коннект
b) Или удалите Адаптер Рутокен Коннект
с) Или удалите приложение Рутокен Коннект
После выполнения одного из трех действий повторите Проверку условий подключения по сертификату ЭЦП.
Источник
Почему компьютер не видит рутокен
1. Возможно, на токене перегорел светодиод (лампочка). Для проверки следует:
2. Подключить Rutoken к другому USB-порту.
3. Запустить / перезапустить службу «Смарт-карта». Для этого:
4. Переустановить драйвер Rutoken, предварительно отключив носитель от компьютера.
Для этого открыть меню «Пуск» > «Панель управления» > «Установка и удаление программ» (для ОС Windows Vista Windows Seven меню «Пуск» > «Панель управления» > «Программы и компоненты»). В списке найти пункт «Rutoken Drivers» и выбрать «Удалить». После удаления необходимо перезагрузить компьютер и установить драйвер Rutoken заново.
5. В случае, если переустановка драйвера не помогла решить ошибку, необходимо установить драйвер с помощью меню «Диспетчер устройств». Порядок установки зависит от используемой операционной системы. Ниже приведены настройки для:
Установка драйвера для Windows Vista Windows Seven
1. Кликнуть по значку «Мой компьютер» правой кнопкой мыши и выбрать элемент «Свойства».
2. В открывшемся меню выбрать «Диспетчер устройств».
3. В открывшемся окне проверить, нет ли в списке элемента «Другие устройства», обозначенного желтым значком.
4. Необходимо выделить строку «ruToken» и выбрать «Обновить драйверы».
5. Далее выбрать «Выполнить поиск драйверов на этом компьютере».
6. Нажать на кнопку «Обзор», указать каталог C:WindowsSystem32Aktiv Co и нажать на кнопку «Далее». Указанный каталог может быть скрытым. В таком случае необходимо выбрать меню «Сервис» > «Параметры папок» > «Вид», установить переключатель «Показывать скрытые файлы, папки и диски» и повторить выбор каталога.
7. Дождаться окончания установки и нажать на кнопку «Закрыть».
8. После установки драйвера устройство будет отображаться в разделе «Контроллеры USB». На токене также должен загореться диод.
Установка драйвера для Windows XP
1. Кликнуть по значку «Мой компьютер» правой кнопкой мыши и выбрать элемент «Свойства».
2. В окне «Свойства системы» перейти на вкладку «Оборудование» и нажать на кнопку «Диспетчер устройств».
3. В открывшемся окне проверить, нет ли в списке элемента «ruToken» (либо «Неизвестное устройство»), обозначенного желтым значком. Необходимо кликнуть по нему правой кнопкой мыши и выбрать «Обновить драйвер».
4. В окне «Мастер обновления оборудования» установить переключатель «Установка из указанного места».
5. В открывшемся окне нажать на кнопку «Обзор», указать путь к каталогу C:Windowssystem32Aktiv Co
t USB и нажать на кнопку «Далее». Указанный каталог может быть скрытым. В таком случае необходимо выбрать меню «Сервис» > «Параметры папок» > «Вид», установить переключатель «Показывать скрытые файлы, папки и диски» и повторить выбор каталога
6. Дождаться окончания установки и нажать на кнопку «Готово».
7. По завершении установки драйвера устройство будет отображаться в разделе «Контроллеры универсальной последовательной шины USB». На токене также должен загореться диод.
6. В случае если выполнение инструкций не помогло исправить ошибку, токен, скорее всего, неисправен. Чтобы в этом убедиться, следует присоединить Rutoken к компьютеру, на котором никогда не устанавливался драйвер. Если носитель работает корректно, то должен запуститься «Мастер установки нового оборудования». Если при присоединении рутокена ничего не происходит, то носитель, вероятнее всего, неисправен, и его необходимо сменить.
Если сохранилась копия сертификата, следует использовать ее для работы в системе Контур.Экстерн, предварительно установив сертификат. Если копий не сохранилось, необходимо обратиться в сервисный центр для незапланированной замены ключа.
Подготовка
Установка драйверов и модулей ruToken
Для установки драйверов необходимо:
Настройка считывателя в КриптоПро
Откроется окно со списком установленных считывателей. Если в списке нет считывателя Все считыватели смарт-карт, нажмите кнопку «Добавить»
Если кнопка «Добавить» не активна, то нужно перейти на вкладку «Общие» и нажать на ссылку «Запустить с правами администратора».
Для продолжения установки считывателя нажмите кнопку «Далее»
В следующем окне выберите считыватель Все считыватели смарт-карт и нажмите кнопку «Далее» 
Для продолжения установки нажмите кнопку «Далее» 
Установка сертификатов
Для того, чтобы система стала запрашивать ruToken при входе, с него нужно установить сертификат. Чтобы узнать, как это сделать, перейдите по данной ссылке (нажмите здесь чтобы перейти).
Иногда при работе с электронной цифровой подписью (ЭЦП) выходит ошибка о том, что ПК не видит сертификат подписи на носителе или о том, что при создании подписи была допущена ошибка. Причина может быть в неустановленном или переставшем работать драйвере, в неисправности токена или в неисправности программной части компьютера.
Почему не виден сертификат ЭЦП на носителе
Обычно проблема решается простой перезагрузкой компьютера и объясняется сбоем в работе программных компонентов. Но иногда для исправления ошибки нужно переустановить драйвера или обратиться в службу технической поддержки пользователей.
Причина 1: драйвер не установлен или устройство отображается в диспетчере устройств с восклицательным знаком
Если на носителе Рутокен ЭЦП не найдено ни одного сертификата, а в диспетчере устройств носитель отображается с восклицательным знаком, то проблема кроется в драйвере.
Для исправления ситуации нужно извлечь носитель ЭЦП из компьютера и скачать последнюю версию драйвера. Скачивание нужно производить только с официальных ресурсов:
После установки драйвера нужно снова подключить носитель. Если ошибка повторяется, проверьте корректность работы токена. Для этого подключите его к другому ПК. Если носитель определился системой, то на неисправном компьютере удалите драйвер и установите его заново.
Причина 2: долгое опознание носителя на Windows 7
При работе в ОС Windows 7 драйверы могут долго назначаться. Решение проблемы — дождитесь окончания процесса или обновите версию ОС.
Причина 3: USB-порт работает некорректно
Убедитесь, что проблема в USB-порте, а не в носителе ЭЦП, для этого переключите токен к другому порту. Если носитель определился системой, то перезагрузите ПК. Обычно это помогает справиться с проблемой и запустить работу всех USB-портов. Если перезагрузка не помогла, то желательно обратиться в техническую поддержку для устранения неисправности.
Причина 4: носитель неисправен
Если при переключении носителя к другому ПК или USB-порту флешку компьютер не видит, то проблема в носителе. Чтобы устранить неисправность, обратитесь в сервисный центр для выпуска нового токена.
Почему выходит ошибка при создании подписи
Ошибка создания подписи обычно имеет в расшифровке два значения:
Неисправность работы подписи связана с некорректной работой криптопровайдера, неустановленными или необновленными сертификатами.
Решение проблемы зависит от типа ошибки и обычно не требует обращения в техническую поддержку.
Устранение ошибки ненайденного элемента ЭЦП
Переустановите криптопровайдер на неисправном ПК с официального портала КриптоПро (https://www.cryptopro.ru/downloads). После этого очистите кэш и временные файлы в используемом браузере, а также кэш Java. Затем удалите личные сертификаты и сертификаты главного удостоверяющего центра. Используйте КриптоПро и заново установите новые в соответствии с именем контейнера. После установки корневых сертификатов:
Если после проделанной работы ошибка сохраняется, то нужно обратиться в сервисный центр.
Устранение ошибки с построением цепочки сертификатов
Обычно ошибку вызывает отсутствие сертификатов доверенных корневых центров. Чтобы устранить неисправность, нужно открыть список сертификатов и найти проблемный. Он будет иметь отметку о проблеме в проверке отношений:
Затем пользователь скачивает с официальной страницы сертификат Минкомсвязи РФ и сертификат удостоверяющего центра, имеющего проблемы в работе. Устанавливают их в раздел «Корневые сертификаты», а пошаговый процесс выглядит так:
В нужном сертификате нажать «Установить».
В мастере импорта сертификатов нажать «Далее» и в новом окне поставить галочку напротив «Поместить все сертификаты в следующем хранилище». Нажать «Обзор».
В открывшемся списке выбрать «Доверенные корневые центры» и нажать последовательно «ОК» и «Далее».
Нажать «Готово», а затем подтвердить установку.
Дождаться установки и перезагрузить ПК. Если после этого подписание сопровождается ошибкой, то необходимо обратиться за помощью в техническую поддержку.
Ошибки в работе носителя электронной подписи могут быть вызваны как неисправностью самого носителя, так и неисправностями в программном обеспечении. Перезагрузите ПК и переключите токен в другой порт, чтобы убедиться в его исправности. Если проблема вызвана тем, что токен поврежден, то необходимо обратиться в сервисный центр компании, выпустившей USB. При ошибке, возникающей во время подписания документа, нужно убедиться в корректной работе всех сертификатов и криптопровайдера и при необходимости провести их полную переустановку.
Источник
Ошибка: не удается обнаружить токен или смарт-карту
Ошибка: На Рутокене нет сертификатов
После прохождения проверки условий подключения с помощью сертифицированного криптопровайдера и выбора сертификата в личном кабинете юридического лица на сайте https://www.nalog.gov.ru/ через Яндекс.Браузер отобразился текст одной из ошибок:
Ошибка 1
Не удалось обнаружить токен или смарт-карту
Ошибка 2
На Рутокене нет сертификатов
Причина
Не выполняются все условия, необходимые для успешного входа, или выбран некорректный вариант входа.
Решение
Шаг 1. Определите название модели вашего Рутокена
- Подключите Рутокен к компьютеру или картридеру.
- Откройте Панель управления Рутокен.
- На вкладке Администрирование нажмите Информация. Откроется окно Информация о Рутокен.
- В поле Модель отображается название модели Рутокена.
Шаг 2. Проверьте наличие сертификата на Рутокене и определите его тип
- Откройте Панель управления Рутокен.
- Перейдите на вкладку Сертификаты. Здесь отображаются все сертификаты и ключи, сохраненные на Рутокене.
-
Для определения типа сертификата щелкните мышью по его строке.
-
Если рядом с сертификатом в столбце Зарегистрирован не установлена галочка, то установите её (такая возможность есть не всегда). Над таблицей с сертификатами отобразится информация о выделенном сертификате.
Описание сертификата Тип сертификата 
Контейнер с сертификатом КриптоПро CSP 
Контейнер с PKCS#11 сертификатом 
Контейнер с PKCS#11 сертификатом 
Контейнер с PKCS#11 сертификатом - Если на Рутокене нет сертификата одного из этих типов, то значит его необходимо получить в удостоверяющем центре.
Шаг 3. Выберите корректный вариант входа в личный кабинет юридического лица
| Название устройства + тип сертификата | Вариант входа в ЛК ЮЛ | Доп. действия |
| Рутокен ЭЦП 2.0/3.0 + PKCS#11 сертификат |
|
не нужны |
|
Рутокен Lite + сертификат КриптоПро CSP Рутокен S + сертификат КриптоПро CSP Рутокен ЭЦП 2.0/3.0 + сертификат КриптоПро CSP |
|
отключите расширение Адаптер Рутокен Коннект или отключите адрес сайта в настройках Рутокен Коннекта |
Отключение расширения Адаптер Рутокен Коннект
Чтобы отключить расширение:
- Перейдите в меню браузера.
- Выберите пункт Дополнения. Откроется страница со всеми установленными в браузере расширениями.
Найдите расширение Адаптер Рутокен Коннект и рядом с ним выключите переключатель.
Отключение адреса сайта в настройках Рутокен Коннекта
Чтобы отключить адрес сайта:
- В правом верхнем углу окна браузера найдите значок Рутокен Коннекта и щелкните по нему правой кнопкой мыши.
- Выберите пункт Параметры. Откроется страница Настройки Рутокен Коннект.
- Найдите адрес сайта lkul.nalog.ru:443 и выключите рядом с ним переключатель.
