Atom Лента - Форум КриптоПро - Тема:КриптоПро browser plug-in не видит ключ из реестра - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:KriptoProbrowserplug-inneviditkljuchizreestra-10:1Copyright 2024 Форум КриптоПро2024-03-29T05:22:32Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.rutwo_oceanshttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=36490&name=two_oceanstwo_oceanshttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=36490&name=two_oceansАндрей *https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=15008&name=Андрей *Alexey1983https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57730&name=Alexey1983Alexey1983https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57730&name=Alexey1983two_oceanshttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=36490&name=two_oceansАндрей *https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=15008&name=Андрей *Alexey1983https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57730&name=Alexey1983two_oceanshttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=36490&name=two_oceansAlexey1983https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57730&name=Alexey1983Андрей *https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=15008&name=Андрей *YetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid120261:1КриптоПро browser plug-in не видит ключ из реестра<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Разве не противоречие? Зачем устанавливать в хранилище локального компьютера?</div></div>Все логично. Для режима компьютера реестр НЕ работает, для режима пользователя реестр работает. Вопрос как сделать чтобы для режима компьютера работало. Хранилище компьютера замечательно для подписания какой-то в службе или для автоустановки сертификата (службой "Распространение сертификатов") всем пользователям сервера (к сожалению, служба не контролирует доступен ли ключ фактически конкретному пользователю).<br /><div class="quote"><span class="quotetitle">Автор: Alexey1983 <a href="/forum2/default.aspx?g=posts&m=120239#post120239"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>как установить ЭЦП в реестр на сервере на компьютер, а не на пользователя?</div></div> Попробовал скопировать в реестр при выборе режима "компьютера" и посмотреть где в реестре это появится. Итак, ветка "для всех пользователей" нашлась. Поясню: обычно в той ветке реестра, в которой КриптоПро CSP хранит ключи в правах доступа выставлена строгая изоляция ключей одного пользователя от ключей другого, но разрешен доступ "системы". В ветке "для всех пользователей" по умолчанию доступ у "Администраторы" и "Система". Таким образом, изначально приложению потребуются права администратора чтобы прочитать ключ из реестра в режиме компьютера.<br /><br />Затем установил сертификат в хранилище "Личные" компьютера и через "Управление закрытыми ключами..." в оснастке "Сертификаты" дал доступ конкретному пользователю к конкретному контейнеру - в реестре добавились права на ветку с контейнером этому пользователю. Проверить видимость от этого пользователя правда нечем - панель управления КриптоПро не дает выбрать режим компьютера без запуска с правами администратора, а с правами администратора доступ заведомо есть.<br /><br />Как вариант, если надо чтобы только служба считала контейнер в реестре без автоустановки всем пользователям, надо именно под тем пользователем, от которого работает служба, установить ключ в реестр в режиме пользователя и в хранилище пользователя. В графическом режиме это не всегда возможно (пользователь только для входа службы, например), но есть утилиты для установки из командной строки (через runas/psexec/планировщик).</td></tr></table>2020-11-03T08:39:42+03:002020-11-03T08:39:42+03:00two_oceans<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Разве не противоречие? Зачем устанавливать в хранилище локального компьютера?</div></div>Все логично. Для режима компьютера реестр НЕ работает, для режима пользователя реестр работает. Вопрос как сделать чтобы для режима компьютера работало. Хранилище компьютера замечательно для подписания какой-то в службе или для автоустановки сертификата (службой "Распространение сертификатов") всем пользователям сервера (к сожалению, служба не контролирует доступен ли ключ фактически конкретному пользователю).<br /><div class="quote"><span class="quotetitle">Автор: Alexey1983 <a href="/forum2/default.aspx?g=posts&m=120239#post120239"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>как установить ЭЦП в реестр на сервере на компьютер, а не на пользователя?</div></div> Попробовал скопировать в реестр при выборе режима "компьютера" и посмотреть где в реестре это появится. Итак, ветка "для всех пользователей" нашлась. Поясню: обычно в той ветке реестра, в которой КриптоПро CSP хранит ключи в правах доступа выставлена строгая изоляция ключей одного пользователя от ключей другого, но разрешен доступ "системы". В ветке "для всех пользователей" по умолчанию доступ у "Администраторы" и "Система". Таким образом, изначально приложению потребуются права администратора чтобы прочитать ключ из реестра в режиме компьютера.<br /><br />Затем установил сертификат в хранилище "Личные" компьютера и через "Управление закрытыми ключами..." в оснастке "Сертификаты" дал доступ конкретному пользователю к конкретному контейнеру - в реестре добавились права на ветку с контейнером этому пользователю. Проверить видимость от этого пользователя правда нечем - панель управления КриптоПро не дает выбрать режим компьютера без запуска с правами администратора, а с правами администратора доступ заведомо есть.<br /><br />Как вариант, если надо чтобы только служба считала контейнер в реестре без автоустановки всем пользователям, надо именно под тем пользователем, от которого работает служба, установить ключ в реестр в режиме пользователя и в хранилище пользователя. В графическом режиме это не всегда возможно (пользователь только для входа службы, например), но есть утилиты для установки из командной строки (через runas/psexec/планировщик).</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid120240:1КриптоПро browser plug-in не видит ключ из реестра<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Alexey1983 <a href="/forum2/default.aspx?g=posts&m=120239#post120239"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Поэкспериментировал на клиентской машине, и получилось, что ключ, установленный в реестр, не работает, когда мы выбираем контейнер компьютера (и в хранилище компьютер же потом устанавливаем личный сертификат). <span class="highlight">А вот когда делаем всё то же самое, но на пользователя - всё прекрасно работает.</span><br /><br />Так что, думаю, вопрс можно переформулировать так - <span class="highlight"><u><em>как установить ЭЦП в реестр на сервере на компьютер</em></u>, а не на пользователя?</span></div></div><br /><br /><br />Разве не противоречие? <br />Зачем устанавливать в хранилище локального компьютера?<br /></td></tr></table>2020-11-02T11:45:52+03:002020-11-02T11:45:52+03:00Андрей *<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Alexey1983 <a href="/forum2/default.aspx?g=posts&m=120239#post120239"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Поэкспериментировал на клиентской машине, и получилось, что ключ, установленный в реестр, не работает, когда мы выбираем контейнер компьютера (и в хранилище компьютер же потом устанавливаем личный сертификат). <span class="highlight">А вот когда делаем всё то же самое, но на пользователя - всё прекрасно работает.</span><br /><br />Так что, думаю, вопрс можно переформулировать так - <span class="highlight"><u><em>как установить ЭЦП в реестр на сервере на компьютер</em></u>, а не на пользователя?</span></div></div><br /><br /><br />Разве не противоречие? <br />Зачем устанавливать в хранилище локального компьютера?<br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid120239:1КриптоПро browser plug-in не видит ключ из реестра<table class="content postContainer_Alt" width="100%"><tr><td>Поэкспериментировал на клиентской машине, и получилось, что ключ, установленный в реестр, не работает, когда мы выбираем контейнер компьютера (и в хранилище компьютер же потом устанавливаем личный сертификат). А вот когда делаем всё то же самое, но на пользователя - всё прекрасно работает.<br /><br />Так что, думаю, вопрс можно переформулировать так - как установить ЭЦП в реестр на сервере на компьютер, а не на пользователя?</td></tr></table>2020-11-02T11:38:29+03:002020-11-02T11:38:29+03:00Alexey1983<table class="content postContainer_Alt" width="100%"><tr><td>Поэкспериментировал на клиентской машине, и получилось, что ключ, установленный в реестр, не работает, когда мы выбираем контейнер компьютера (и в хранилище компьютер же потом устанавливаем личный сертификат). А вот когда делаем всё то же самое, но на пользователя - всё прекрасно работает.<br /><br />Так что, думаю, вопрс можно переформулировать так - как установить ЭЦП в реестр на сервере на компьютер, а не на пользователя?</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid120136:1КриптоПро browser plug-in не видит ключ из реестра<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Сервис\Протестировать\Обзор - сертификат ссылается на какой контейнер? Не в реестре?</div></div><br /><br />Да, он видит сертификат в реестре<br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Попробуйте переустановить, автопоиск включали - нашёлся контейнер в реестре (\\registry\\...)?</div></div><br /><br />Да, адрес контейнера выглядит именно так - \\registry\\...</td></tr></table>2020-10-29T11:21:36+03:002020-10-29T11:21:36+03:00Alexey1983<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Сервис\Протестировать\Обзор - сертификат ссылается на какой контейнер? Не в реестре?</div></div><br /><br />Да, он видит сертификат в реестре<br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Попробуйте переустановить, автопоиск включали - нашёлся контейнер в реестре (\\registry\\...)?</div></div><br /><br />Да, адрес контейнера выглядит именно так - \\registry\\...</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid120127:1КриптоПро browser plug-in не видит ключ из реестра<table class="content postContainer_Alt" width="100%"><tr><td>Так, кажется нашел список соответствий имен. Многоточие замените на Ваш SID пользователя.<br /><div class="code"><strong>Код:</strong><div class="innercode"><pre class="line-numbers"><code class="language-markup">[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\S-1-5-21-...\KeyDevices\passwords]</code></pre>
</div></div>Проще вообще все там очистить если пин-коды известны. Если же действовать мягче, поищите подразделы соответствующие дружественному имени ключа и какое там значение параметра "shortcut". Ну и убрать ту изначальную абракадабру из списка.<br /><br />Судя по моему списку... кнопка очистки пароля и правда не убирает кучу уже ненужных shortcut.</td></tr></table>2020-10-29T06:55:40+03:002020-10-29T06:55:40+03:00two_oceans<table class="content postContainer_Alt" width="100%"><tr><td>Так, кажется нашел список соответствий имен. Многоточие замените на Ваш SID пользователя.<br /><div class="code"><strong>Код:</strong><div class="innercode"><pre class="line-numbers"><code class="language-markup">[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\S-1-5-21-...\KeyDevices\passwords]</code></pre>
</div></div>Проще вообще все там очистить если пин-коды известны. Если же действовать мягче, поищите подразделы соответствующие дружественному имени ключа и какое там значение параметра "shortcut". Ну и убрать ту изначальную абракадабру из списка.<br /><br />Судя по моему списку... кнопка очистки пароля и правда не убирает кучу уже ненужных shortcut.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid120104:1КриптоПро browser plug-in не видит ключ из реестра<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Alexey1983 <a href="/forum2/default.aspx?g=posts&m=120079#post120079"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Да, я с самого начала устанавливал сертификат из контейнера в реестре. Но, по-прежнему, не работает.</div></div><br /><br />Сервис\Протестировать\Обзор - сертификат ссылается на какой контейнер? Не в реестре?<br />Попробуйте переустановить, автопоиск включали - нашёлся контейнер в реестре (\\registry\\...)?</td></tr></table>2020-10-28T16:31:09+03:002020-10-28T16:31:09+03:00Андрей *<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Alexey1983 <a href="/forum2/default.aspx?g=posts&m=120079#post120079"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Да, я с самого начала устанавливал сертификат из контейнера в реестре. Но, по-прежнему, не работает.</div></div><br /><br />Сервис\Протестировать\Обзор - сертификат ссылается на какой контейнер? Не в реестре?<br />Попробуйте переустановить, автопоиск включали - нашёлся контейнер в реестре (\\registry\\...)?</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid120091:1КриптоПро browser plug-in не видит ключ из реестра<table class="content postContainer_Alt" width="100%"><tr><td>Нет, имя не совпадает. Стандартное имя - абракадабра, я при копировании, как обычно, заменил на ФИО + период действия.</td></tr></table>2020-10-28T15:09:35+03:002020-10-28T15:09:35+03:00Alexey1983<table class="content postContainer_Alt" width="100%"><tr><td>Нет, имя не совпадает. Стандартное имя - абракадабра, я при копировании, как обычно, заменил на ФИО + период действия.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid120083:1КриптоПро browser plug-in не видит ключ из реестра<table class="content postContainer" width="100%"><tr><td>Возможно имя контейнера в реестре совпадает с именем на токене и был запомнен пароль?<br />Еще вариант - токен был вставлен когда устанавливали привязку к контейнеру в реестре, в этом случае служба "Распространение сертификатов" могла переписать привязку на токен. Эта медвежья услуга делается совершенно без каких-то уведомлений.<br /><br />Попробуйте указать для копии в реестре другое имя (скопировать еще раз, старую копию удалить), вытащить токен, остановить службу "Распространение сертификатов" и вообще закрыть ПО токена около часов, потом снова привязать к реестру. У меня было такое на одном компьютере, но там мне показалось после часа мучений что проще сделать копию в реестр на другом компьютере (где не просит токена) и оставить токен там, где просит токен. К сожалению, проблема не ограничивается токенами, так что свалить все на службу не выходит, см. ниже.<br /><br />Поэтому действительно интересно как очистить список контейнеров, которые "помнит" КриптоПро. Раньше (на 3.6) помогала кнопка сброса запомненных паролей, но на 4.0 эффекта нет (видимо пароли забывает, но имя остается в списке), приходится просто придумывать новое имя контейнера.<br /><br />Поясню, что я имею ввиду, на примере: 21 числа генерировал контейнер для запроса сертификата в УЦ ФК. Ну там простая схема именования контейнера "Фамилия имя отчество месяцчислоденьчасминутасекунда", потому имя папки автоматически формируется Криптопро CSP от первых 8 символов (то есть фамилии кириллицей), поэтому, во-первых, выходит абракадабра "fwcbjsby.000" (ни разу не похожая на фамилию), во-вторых, каждый год имя одно и тоже. Потом искать на флешке какая папка какого года и какому пользователю соответствует - то еще удовольствие. Поэтому я решил попробовать переименовать папку как "код_пользователя+код_даты_месяца_года+00.000" вышло "01c6xl00.000". КриптоПро CSP увидел эту папку, показал то же дружественное имя, но при установке сертификата выяснилось, что КриптоПро CSP "контейнер, соответсвующий сертификату" уже заполнен и криптопровайдер как заведенный просит предъявить папку именно со старым именем "fwcbjsby.000", выбор контейнера с другим FQCN не катит. Сменил пару цифр в имени контейнера - вместо секунд вписал год и все прекрасно установилось. Вывод в том, что КриптоПро CSP за какой-то надобностью запомнил при генерации (так как больше к контейнеру до установки сертификата не обращались) соответствие дружественного имени и FQCN имени.<br /><br />Для ясности я еще прошерстил запрос на сертификат и сам сертификат - имени контейнера в них не обнаружилось. Удалял запрос из хранилища, тоже эффекта не было. Выходит, дело в CSP и только в нем.<br /><br />Было замечательно если бы сотрудники КриптоПро пояснили как удалить такое соответствие. Полагаю, в случае токена также может быть именно такая упертость.</td></tr></table>2020-10-28T13:13:39+03:002020-10-28T13:13:39+03:00two_oceans<table class="content postContainer" width="100%"><tr><td>Возможно имя контейнера в реестре совпадает с именем на токене и был запомнен пароль?<br />Еще вариант - токен был вставлен когда устанавливали привязку к контейнеру в реестре, в этом случае служба "Распространение сертификатов" могла переписать привязку на токен. Эта медвежья услуга делается совершенно без каких-то уведомлений.<br /><br />Попробуйте указать для копии в реестре другое имя (скопировать еще раз, старую копию удалить), вытащить токен, остановить службу "Распространение сертификатов" и вообще закрыть ПО токена около часов, потом снова привязать к реестру. У меня было такое на одном компьютере, но там мне показалось после часа мучений что проще сделать копию в реестр на другом компьютере (где не просит токена) и оставить токен там, где просит токен. К сожалению, проблема не ограничивается токенами, так что свалить все на службу не выходит, см. ниже.<br /><br />Поэтому действительно интересно как очистить список контейнеров, которые "помнит" КриптоПро. Раньше (на 3.6) помогала кнопка сброса запомненных паролей, но на 4.0 эффекта нет (видимо пароли забывает, но имя остается в списке), приходится просто придумывать новое имя контейнера.<br /><br />Поясню, что я имею ввиду, на примере: 21 числа генерировал контейнер для запроса сертификата в УЦ ФК. Ну там простая схема именования контейнера "Фамилия имя отчество месяцчислоденьчасминутасекунда", потому имя папки автоматически формируется Криптопро CSP от первых 8 символов (то есть фамилии кириллицей), поэтому, во-первых, выходит абракадабра "fwcbjsby.000" (ни разу не похожая на фамилию), во-вторых, каждый год имя одно и тоже. Потом искать на флешке какая папка какого года и какому пользователю соответствует - то еще удовольствие. Поэтому я решил попробовать переименовать папку как "код_пользователя+код_даты_месяца_года+00.000" вышло "01c6xl00.000". КриптоПро CSP увидел эту папку, показал то же дружественное имя, но при установке сертификата выяснилось, что КриптоПро CSP "контейнер, соответсвующий сертификату" уже заполнен и криптопровайдер как заведенный просит предъявить папку именно со старым именем "fwcbjsby.000", выбор контейнера с другим FQCN не катит. Сменил пару цифр в имени контейнера - вместо секунд вписал год и все прекрасно установилось. Вывод в том, что КриптоПро CSP за какой-то надобностью запомнил при генерации (так как больше к контейнеру до установки сертификата не обращались) соответствие дружественного имени и FQCN имени.<br /><br />Для ясности я еще прошерстил запрос на сертификат и сам сертификат - имени контейнера в них не обнаружилось. Удалял запрос из хранилища, тоже эффекта не было. Выходит, дело в CSP и только в нем.<br /><br />Было замечательно если бы сотрудники КриптоПро пояснили как удалить такое соответствие. Полагаю, в случае токена также может быть именно такая упертость.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid120079:1КриптоПро browser plug-in не видит ключ из реестра<table class="content postContainer_Alt" width="100%"><tr><td>Да, я с самого начала устанавливал сертификат из контейнера в реестре. Но, по-прежнему, не работает.</td></tr></table>2020-10-28T11:07:16+03:002020-10-28T11:07:16+03:00Alexey1983<table class="content postContainer_Alt" width="100%"><tr><td>Да, я с самого начала устанавливал сертификат из контейнера в реестре. Но, по-прежнему, не работает.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid120078:1КриптоПро browser plug-in не видит ключ из реестра<table class="content postContainer" width="100%"><tr><td>Здравствуйте.<br /><br />Сертификат сейчас имеет ссылку на контейнер, который на внешнем носителе.<br />Необходимо переустановить сертификат <br />Панель управления КриптоПРО CSP, вкладка <strong>Сервис</strong><br /><br />а) Установить личный сертификат - указать .cer, <br />выбрать опцию автопоиска контейнера (флешку отключить от сервера) - должен найтись контейнер в реестре...<br /><br />б) установить сертификат из контейнера, который в реестре - через просмотр сертификата в контейнере\Обзор...</td></tr></table>2020-10-28T10:46:53+03:002020-10-28T10:46:53+03:00Андрей *<table class="content postContainer" width="100%"><tr><td>Здравствуйте.<br /><br />Сертификат сейчас имеет ссылку на контейнер, который на внешнем носителе.<br />Необходимо переустановить сертификат <br />Панель управления КриптоПРО CSP, вкладка <strong>Сервис</strong><br /><br />а) Установить личный сертификат - указать .cer, <br />выбрать опцию автопоиска контейнера (флешку отключить от сервера) - должен найтись контейнер в реестре...<br /><br />б) установить сертификат из контейнера, который в реестре - через просмотр сертификата в контейнере\Обзор...</td></tr></table>