Статус: Новичок
Группы: Участники
Зарегистрирован: 20.04.2022(UTC) Сообщений: 1  Откуда: Камчатский край
|
В момент, когда должно запуститься формирование контейнера, появляется сообщение:
"Ошибка создания запроса на сертификат
The Keyset parameter is invalid. (0x8009001F)"
Проверки АРМ пользователя и плагина КриптоПро проходят успешно.Используемое ПО:
ОС: Astra Linux SE 1.6 (Smolensk)
КриптоПро: CSP 4.0.9963-5
Браузер: Chromium-Gost 99.0.4844.51 (64 bit)
Плагин: 2.0.14530-1 (расширение: 1.2.8)
Сообщения из /var/log/syslog:
Apr 21 10:07:33 nmcades: cpcsp: carrier_open create_keyset fail (������� ���� ����������� 421100653)
Apr 21 10:07:33 nmcades: cpcsp: CreateContainer CreateContainer: key_carrier_open faild!
Результат команд для отображения считывателей и носителей:
Код:usr@astra:~$ csptest -enum -info -type PP_ENUMREADERS | iconv -f cp1251
CSP (Type:80) v4.0.9019 KC2 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
CryptAcquireContext succeeded.HCRYPTPROV: 24229923
GetProvParam(...PP_ENUMREADERS...) until it returns false
Len Byte NickName/Name
_____________________________
0x012a 0x58 FLASH
FLASH
0x012a 0x18 HDIMAGE
Структура дискеты на жестком диске
Cycle exit when getting data. 2 items found. Level completed without problems.
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,020 sec
[ErrorCode: 0x00000000]
usr@astra:~$ cpconfig -hardware reader -view |iconv -f cp1251
Nick name: FLASH
Connect name:
Reader name: FLASH
Nick name: HDIMAGE
Connect name:
Reader name: Структура дискеты на жестком диске
usr@astra:~$ csptest -keyset -enum_cont -fqcn -verifyc
CSP (Type:80) v4.0.9019 KC2 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 26327075
\\.\FLASH\������� ���� ����������� 210144026
\\.\FLASH\����������� �������� ����������� 1108110519
\\.\FLASH\��������� �������� ���������� 317111249
\\.\FLASH\������ ���� ������� 317113409
OK.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,480 sec
[ErrorCode: 0x00000000]
Список, установленных пакетов:
Код:cprocsp-cpopenssl-64/now 4.0.9963-5 amd64
cprocsp-cpopenssl-base/now 4.0.9963-5 all
cprocsp-cpopenssl-gost-64/now 4.0.9963-5 amd64
cprocsp-curl-64/now 4.0.9963-5 amd64
cprocsp-pki-cades-64/now 2.0.14530-1 amd64
cprocsp-pki-phpcades-64/now 2.0.14530-1 amd64
cprocsp-pki-plugin-64/now 2.0.14530-1 amd64
cprocsp-rdr-emv-64/now 4.0.9963-5 amd64
cprocsp-rdr-gui-gtk-64/now 4.0.9963-5 amd64
cprocsp-rdr-inpaspot-64/now 4.0.9963-5 amd64
cprocsp-rdr-mskey-64/now 4.0.9963-5 amd64
cprocsp-rdr-novacard-64/now 4.0.9963-5 amd64
cprocsp-rdr-pcsc-64/now 4.0.9963-5 amd64
cprocsp-rdr-rutoken-64/now 4.0.9963-5 amd64
cprocsp-rsa-64/now 4.0.9963-5 amd64
cprocsp-stunnel-64/now 4.0.9963-5 amd64
lsb-cprocsp-base/now 4.0.9963-5 all
lsb-cprocsp-ca-certs/now 4.0.9963-5 all
lsb-cprocsp-capilite-64/now 4.0.9963-5 amd64
lsb-cprocsp-kc1-64/now 4.0.9963-5 amd64
lsb-cprocsp-kc2-64/now 4.0.9963-5 amd64
lsb-cprocsp-pkcs11-64/now 4.0.9963-5 amd64
lsb-cprocsp-rdr-64/now 4.0.9963-5 amd64
Отредактировано пользователем 21 апреля 2022 г. 2:16:19(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Добрый день.
Возможно проблема в том, что установлено КС2 исполнение. Исполнение КС2 отключает биологический ДСЧ и для корректной работы в таком исполнении нужен аппаратный ДСЧ, например, "Соболь" (если действительно нужно КС2) либо удалить КС2 и установить КС1 (если КС2 установлено по ошибке).
|
 1 пользователь поблагодарил two_oceans за этот пост.
|
nickm оставлено 22.04.2022(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 27.04.2022(UTC)
Сообщений: 2
Сказал(а) «Спасибо»: 1 раз
|
Добрый день!
Точно такая же проблема, хоть и установлено только КС1. Если устанавливаю версию КриптоПро 5, то проблема пропадает. Но созданные сертификаты в пятой версии не подходят для СБИС.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,272
Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 446 раз в 325 постах
|
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 27.04.2022(UTC)
Сообщений: 2
Сказал(а) «Спасибо»: 1 раз
|
При запросе сертификата через КриптоПро 5 полномочия, связанные с шифрованием есть (о чем видно при создании запроса на сертификат: Использование ключа (Цифровая подпись (digitalSignature), Неотрекаемость (nonRepudiation), Шифрование ключей (keyEncipherment), Шифрование данных (dataEncipherment),Согласование ключей (keyAgreement)) , а в самом выпущенном сертификате - нет, при просмотре полномочий сертификата в СБИС остается только запись "Проверка подлинности". Возможно, это проблема УЦ ФК. В создаваемом сертификате с помощью КриптоПро 4 таких проблем нет.
Но, тем не менее, важно решение ошибки из 1го сообщения темы.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,272
Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 446 раз в 325 постах
|
Автор: chebrovns  При запросе сертификата через КриптоПро 5 полномочия, связанные с шифрованием есть ... а в самом выпущенном сертификате - нет.
...
В создаваемом сертификате с помощью КриптоПро 4 таких проблем нет. Звучит неправдоподобно. Настроить УЦ вести себя таким образом трудно: либо он всегда будет обрезать значения extended key usage, либо никогда. Но не "для КриптоПро CSP 4.0 оставляем", а "для КриптоПро CSP 5.0 обрезаем". Вы точно в одно и то же время выпускали с проблемой на CSP 5.0, а потом с успехом на CSP 4.0? Я скорее поверил бы в то, что "полгода назад на CSP 4.0 всё работало, а теперь на CSP 5.0 ломается" (потому что перенастроили УЦ). По первой проблеме: для КриптоПро CSP 4.0 надо указывать полные имена контейнеров при создании ключей в духе "\\.\FLASH\что-то_там_317113409", а не просто "что-то_там_317113409". Где это должно быть указано в прикладе - придётся поискать самим. Либо надо обеспечить, чтобы была однозначность с носителем (их не должно быть два). Проверить себя можно так: Сперва имеем проблему как у вас: Код:[root@test-x64-alt9 ~]# /opt/cprocsp/bin/amd64/csptest -keyset -containe cont_aaa -keytype exchange -newkeyset
CSP (Type:80) v4.0.9021 KC1 Debug Ver:4.0.9977 OS:Linux CPU:AMD64 FastCode:READY:SSSE3,AVX.
../../../../CSPbuild/CSP/samples/csptest/ctkey.c:1037:AcquireContext("cont_aaa")
Error 0x8009001f: The Keyset parameter is invalid.
Total: SYS: 0.000 sec USR: 0.010 sec UTC: 0.020 sec
Смотрим на считыватели: Код:[root@test-x64-alt9 ~]# /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view
Nick name: FLASH
Connect name:
Reader name: FLASH
Nick name: HDIMAGE
Connect name:
Reader name: HDD key storage
Удаляем лишний, например, FLASH: Код:[root@test-x64-alt9 ~]# /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -del FLASH
Deleting of the device [reader,rndm,media]:
Nick name:FLASH
The device has been deleted successfully.
Теперь создание пройдёт успешно: Код:[root@test-x64-alt9 ~]# /opt/cprocsp/bin/amd64/csptest -keyset -containe cont_aaa -keytype exchange -newkeyset
CSP (Type:80) v4.0.9021 KC1 Debug Ver:4.0.9977 OS:Linux CPU:AMD64 FastCode:READY:SSSE3,AVX.
AcquireContext: OK. HCRYPTPROV: 13794147
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "cont_aaa"
Exchange key is not available.
Attempting to create an exchange key...
CryptoPro CSP: Set password on produced container "cont_aaa".
Password:
You've got 60 seconds to enter the password
Password:
Retype password:
an exchange key created.
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 28.07.2023 15:49:36 (UTC)
Total: SYS: 0.010 sec USR: 0.120 sec UTC: 2.570 sec
[ErrorCode: 0x00000000]
|
|
1 пользователь поблагодарил Русев Андрей за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
