05.10.2004 14:39:52Действительность корневого сертификата и права администратора Ответов: 7
Катерина
Здравствуйте! Возникла следующая проблема. Сертификат ЦС установлен в хранилице "Доверенные корневые центры сертификации". Если пользователь, являющийся локальным администратором, просматривает этот сертификат, все в порядке - сертификат действителен. А вот если пользователь не является локальным администратором (пользователь тот же самый, просто его вывели из группы администраторов), то появляется сообщение "Целостность этого сертификата не гарантирована. Возможно, он был поврежден или изменен." Также указано, что сертификат "содержит недействительную цифровую подпись". В чем тут дело?
 
Ответы:
05.10.2004 17:30:39Василий
Вообще-то, это неправильно - менять права у уже существующего пользователя.
Обычно аккаунт пользователя создается сразу с нужными правами. Исходя из этого факта, такие же права устанавливаются на ветку реестра, содержащую персональные настройки CSP. Теперь, если часть прав у пользователя отнять, он не сможет получить доступ к своей ветке реестра. Создайте новый аккаунт пользователя и залогиньтесь под ним. И второе. Проверьте, работают ли под этим аккаунтом службы "Защищенное хранилище", "Служба инициализации Крипто-Про CSP"
05.10.2004 17:44:41Катерина
Ну я пробовала делать и так - сертификат ЦС и список отзыва сертификатов ставятся под пользователем, не являющимся локальным админом. Результат - тот же. Заходишь под админом - сертификат действителен, заходишь под обычным юзером - недействителен. Т.е. доступ к своей ветке реестра юзер имеет - ставился то сертификат из-под него, а вот результат тот же. Сам же cpcsp ставился естественно под админом.
Службы работают.
05.10.2004 18:45:03Василий
Тогда сообщите более подробную информацию о версиях:
- Windows
- IE
- КриптоПро CSP
а также, какие установлены обновления (на Win и IE) и какие ещё программы установлены на компьютере.
Кроме того, есть ли сообщения об ошибках в журналах (Системы и Приложений) при перезагрузке.
06.10.2004 11:48:27Катерина
Windows 2000 SP 4, стоят все обновления, IE6 тоже все обновления (могу список привести, но вообще, я пробовала сносить все обновления - результат тот же, так что думаю, дело не в этом).
Крипто Про 1.2.236.1.
В принципе других программ установлено довольно много. Думаете, это может быть вызвано какой-то сторонней программой? Но с сертификатами больше никто не работает...
Ошибок нет.
Сейчас попробовала создать нового локального пользователя - под ним все работает нормально. И если логиниться под другим пользователем домена (не являющимся локальным админом) - тоже все нормально. Пробовала удалить профиль пользователя, с которым существует проблема - проблема осталась
06.10.2004 15:55:43Василий
Понятно, спасибо.
Вообще-то, CSP 1.2 - промежуточный демонстрационный вариант, рабочий сертифицированный - 2.0 (дистрибутив можно получить на http://www.cryptopro.ru/CryptoPro/products/csp1.asp).
Но, в любом случае, проблема с правами на ветку реестра именно этого пользователя. Удалите (под локальным админом) все подразделы реестра в HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS, кроме S-1-5-18. Для этого потребуется изменить права на эти подразделы (используйте regedt32.exe). Потом перезагрузитесь. Должно быть ок.
07.10.2004 13:12:11Катерина
Да, помогло. Спасибо.
А что содержится в этих ветках реестра?
07.10.2004 13:38:25Василий
Там записаны
1. Личные ключи (если они делались на носитель "Реестр")
2. Список всех имен контейнеров (на съемных носителях)и их размещение
3. Пароли на контейнеры (для которых была выбрана опция "Запомнить пароль")
4. Текущее состояние вектора инициализации датчика случайных чисел