Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Alexey1983  
#1 Оставлено : 28 октября 2020 г. 10:39:21(UTC)
Alexey1983

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 5
Российская Федерация

Здравствуйте.

На сервер (Windiws 2012 r2) установлен КриптоПро 4.0 серверная лицензия.
Установил ключ, скопировал в реестр (ключ должен быть именно в реестре, т.к. его оттуда читает Бизнес Про).

Пытаюсь протестировать. Поставил в хром плагин, зашёл на страничку проверки на сайте крипто-про. На страничке виден сертификат из реестра - но при попытке подписать, требует воткнуть физический ключ, из реестра не читает.

Подскажите, как сделать, чтобы читало из реестра. Спасибо.
Offline Андрей *  
#2 Оставлено : 28 октября 2020 г. 10:46:36(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Здравствуйте.

Сертификат сейчас имеет ссылку на контейнер, который на внешнем носителе.
Необходимо переустановить сертификат
Панель управления КриптоПРО CSP, вкладка Сервис

а) Установить личный сертификат - указать .cer,
выбрать опцию автопоиска контейнера (флешку отключить от сервера) - должен найтись контейнер в реестре...

б) установить сертификат из контейнера, который в реестре - через просмотр сертификата в контейнере\Обзор...
Техническую поддержку оказываем тут
Наша база знаний
Offline Alexey1983  
#3 Оставлено : 28 октября 2020 г. 11:07:16(UTC)
Alexey1983

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 5
Российская Федерация

Да, я с самого начала устанавливал сертификат из контейнера в реестре. Но, по-прежнему, не работает.
Offline two_oceans  
#4 Оставлено : 28 октября 2020 г. 12:32:36(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Возможно имя контейнера в реестре совпадает с именем на токене и был запомнен пароль?
Еще вариант - токен был вставлен когда устанавливали привязку к контейнеру в реестре, в этом случае служба "Распространение сертификатов" могла переписать привязку на токен. Эта медвежья услуга делается совершенно без каких-то уведомлений.

Попробуйте указать для копии в реестре другое имя (скопировать еще раз, старую копию удалить), вытащить токен, остановить службу "Распространение сертификатов" и вообще закрыть ПО токена около часов, потом снова привязать к реестру. У меня было такое на одном компьютере, но там мне показалось после часа мучений что проще сделать копию в реестр на другом компьютере (где не просит токена) и оставить токен там, где просит токен. К сожалению, проблема не ограничивается токенами, так что свалить все на службу не выходит, см. ниже.

Поэтому действительно интересно как очистить список контейнеров, которые "помнит" КриптоПро. Раньше (на 3.6) помогала кнопка сброса запомненных паролей, но на 4.0 эффекта нет (видимо пароли забывает, но имя остается в списке), приходится просто придумывать новое имя контейнера.

Поясню, что я имею ввиду, на примере: 21 числа генерировал контейнер для запроса сертификата в УЦ ФК. Ну там простая схема именования контейнера "Фамилия имя отчество месяцчислоденьчасминутасекунда", потому имя папки автоматически формируется Криптопро CSP от первых 8 символов (то есть фамилии кириллицей), поэтому, во-первых, выходит абракадабра "fwcbjsby.000" (ни разу не похожая на фамилию), во-вторых, каждый год имя одно и тоже. Потом искать на флешке какая папка какого года и какому пользователю соответствует - то еще удовольствие. Поэтому я решил попробовать переименовать папку как "код_пользователя+код_даты_месяца_года+00.000" вышло "01c6xl00.000". КриптоПро CSP увидел эту папку, показал то же дружественное имя, но при установке сертификата выяснилось, что КриптоПро CSP "контейнер, соответсвующий сертификату" уже заполнен и криптопровайдер как заведенный просит предъявить папку именно со старым именем "fwcbjsby.000", выбор контейнера с другим FQCN не катит. Сменил пару цифр в имени контейнера - вместо секунд вписал год и все прекрасно установилось. Вывод в том, что КриптоПро CSP за какой-то надобностью запомнил при генерации (так как больше к контейнеру до установки сертификата не обращались) соответствие дружественного имени и FQCN имени.

Для ясности я еще прошерстил запрос на сертификат и сам сертификат - имени контейнера в них не обнаружилось. Удалял запрос из хранилища, тоже эффекта не было. Выходит, дело в CSP и только в нем.

Было замечательно если бы сотрудники КриптоПро пояснили как удалить такое соответствие. Полагаю, в случае токена также может быть именно такая упертость.

Отредактировано пользователем 28 октября 2020 г. 13:13:39(UTC)  | Причина: Не указана

Offline Alexey1983  
#5 Оставлено : 28 октября 2020 г. 15:09:35(UTC)
Alexey1983

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 5
Российская Федерация

Нет, имя не совпадает. Стандартное имя - абракадабра, я при копировании, как обычно, заменил на ФИО + период действия.
Offline Андрей *  
#6 Оставлено : 28 октября 2020 г. 16:31:09(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Автор: Alexey1983 Перейти к цитате
Да, я с самого начала устанавливал сертификат из контейнера в реестре. Но, по-прежнему, не работает.


Сервис\Протестировать\Обзор - сертификат ссылается на какой контейнер? Не в реестре?
Попробуйте переустановить, автопоиск включали - нашёлся контейнер в реестре (\\registry\\...)?
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#7 Оставлено : 29 октября 2020 г. 6:44:22(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Так, кажется нашел список соответствий имен. Многоточие замените на Ваш SID пользователя.
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\S-1-5-21-...\KeyDevices\passwords]
Проще вообще все там очистить если пин-коды известны. Если же действовать мягче, поищите подразделы соответствующие дружественному имени ключа и какое там значение параметра "shortcut". Ну и убрать ту изначальную абракадабру из списка.

Судя по моему списку... кнопка очистки пароля и правда не убирает кучу уже ненужных shortcut.

Отредактировано пользователем 29 октября 2020 г. 6:55:40(UTC)  | Причина: Не указана

Offline Alexey1983  
#8 Оставлено : 29 октября 2020 г. 11:21:36(UTC)
Alexey1983

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 5
Российская Федерация

Цитата:
Сервис\Протестировать\Обзор - сертификат ссылается на какой контейнер? Не в реестре?


Да, он видит сертификат в реестре

Цитата:
Попробуйте переустановить, автопоиск включали - нашёлся контейнер в реестре (\\registry\\...)?


Да, адрес контейнера выглядит именно так - \\registry\\...
Offline Alexey1983  
#9 Оставлено : 2 ноября 2020 г. 11:38:29(UTC)
Alexey1983

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 5
Российская Федерация

Поэкспериментировал на клиентской машине, и получилось, что ключ, установленный в реестр, не работает, когда мы выбираем контейнер компьютера (и в хранилище компьютер же потом устанавливаем личный сертификат). А вот когда делаем всё то же самое, но на пользователя - всё прекрасно работает.

Так что, думаю, вопрс можно переформулировать так - как установить ЭЦП в реестр на сервере на компьютер, а не на пользователя?
Offline Андрей *  
#10 Оставлено : 2 ноября 2020 г. 11:45:52(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Автор: Alexey1983 Перейти к цитате
Поэкспериментировал на клиентской машине, и получилось, что ключ, установленный в реестр, не работает, когда мы выбираем контейнер компьютера (и в хранилище компьютер же потом устанавливаем личный сертификат). А вот когда делаем всё то же самое, но на пользователя - всё прекрасно работает.

Так что, думаю, вопрс можно переформулировать так - как установить ЭЦП в реестр на сервере на компьютер, а не на пользователя?



Разве не противоречие?
Зачем устанавливать в хранилище локального компьютера?
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.