Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline SAG33  
#1 Оставлено : 27 июля 2021 г. 19:00:52(UTC)
SAG33

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.07.2021(UTC)
Сообщений: 6

Всем привет!

Столкнулся с проблемой бага при создании контейнера ключей на носитель из web-мастера создания сертификатов УЦ Контур.
Мастер создания сертификата на сайте УЦ (по-шагово):
1. Проверка реквизитов - ОК!
2. Выбор носителя - ОК (выбран токен)!
3. Создание ключа и пары - ОК!
4. Создание сертификата - ОК (был доступен в варианте для печати)!
5. Установка сертификата - ОШИБКА: после ввода ПИН-кода носителя отрабатывает с ошибкой: "Не удалось создать ключевую пару...."

Контейнер на токене создался.
Проверка сертификата в контейнере через КриптоПро: "В контейнере закрытого ключа 'SCARD\.....' отсутствуют сертификаты"

++++++++++++++++++
Токен: eSMART
КриптоПро: 5.0.12000 КС1
++++++++++++++++++

Техподдержка УЦ пеняет на носитель, производитель носителя - на УЦ.
Я уверен в том, что проблема на стороне УЦ, т.к. за 5 дней до процедуры на носитель был записан КЭП в налоговой - она работает с токена без проблем.

Подскажите: куда копать проблему?
Offline Grey  
#2 Оставлено : 27 июля 2021 г. 21:44:32(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 692
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 149 раз в 123 постах
Автор: SAG33 Перейти к цитате
Всем привет!

Столкнулся с проблемой бага при создании контейнера ключей на носитель из web-мастера создания сертификатов УЦ Контур.
Мастер создания сертификата на сайте УЦ (по-шагово):
1. Проверка реквизитов - ОК!
2. Выбор носителя - ОК (выбран токен)!
3. Создание ключа и пары - ОК!
4. Создание сертификата - ОК (был доступен в варианте для печати)!
5. Установка сертификата - ОШИБКА: после ввода ПИН-кода носителя отрабатывает с ошибкой: "Не удалось создать ключевую пару...."

Контейнер на токене создался.
Проверка сертификата в контейнере через КриптоПро: "В контейнере закрытого ключа 'SCARD\.....' отсутствуют сертификаты"

++++++++++++++++++
Токен: eSMART
КриптоПро: 5.0.12000 КС1
++++++++++++++++++

Техподдержка УЦ пеняет на носитель, производитель носителя - на УЦ.
Я уверен в том, что проблема на стороне УЦ, т.к. за 5 дней до процедуры на носитель был записан КЭП в налоговой - она работает с токена без проблем.

Подскажите: куда копать проблему?


Добрый день!
Сертификат - большой объект. На токене, например, могло не хватить под него места. Посмотрите через ESmart PKI Client информацию о токене. Если свободно меньше 5 Кб, проблема в этом.
У вас есть возможность скачать выпущенный сертификат в виде .cer-файла?

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline SAG33  
#3 Оставлено : 28 июля 2021 г. 9:43:00(UTC)
SAG33

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.07.2021(UTC)
Сообщений: 6

Автор: Grey Перейти к цитате


Добрый день!
Сертификат - большой объект. На токене, например, могло не хватить под него места. Посмотрите через ESmart PKI Client информацию о токене. Если свободно меньше 5 Кб, проблема в этом.
У вас есть возможность скачать выпущенный сертификат в виде .cer-файла?


ESmart PKI Client выдает только такую инфо, близкую к тому, что Вы обозначили...более ничего не нашел в утилите:
Объем памяти: 80K

Сертификат выслали отдельно, но он не записывается в контейнер через КриптоПро, на финальном шаге Мастера установки выдает сообщение:
"Ошибка записи свойств сертификата из контейнера закрытого ключа..."
Offline Grey  
#4 Оставлено : 28 июля 2021 г. 11:21:15(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 692
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 149 раз в 123 постах
Автор: SAG33 Перейти к цитате

Сертификат выслали отдельно, но он не записывается в контейнер через КриптоПро, на финальном шаге Мастера установки выдает сообщение:
"Ошибка записи свойств сертификата из контейнера закрытого ключа..."


Если вы установите сертификат в хранилище с привязкой к токену, всё будет работать не хуже, чем в случае записи сертификата на токен. Неудобно - да.
Чтобы подтвердить гипотезу о свободном месте, раз штатная утилита не умеет показывать, предлагаю собрать журнал.
1) Установите в реестре в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Debug] значения pcsc, cspi и csp в 0x3f.
2) Скачайте и запустите DbgView: https://docs.microsoft.c...nals/downloads/debugview
3) Перезапустите Панель управления CSP и попробуйте установить сертификат в контейнер.
4) Скопируйте информацию из DbgView и пришлите мне в личные сообщения. Никаких конфиденциальных данных там - нет, только заголовки команд и коды возврата.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline SAG33  
#5 Оставлено : 28 июля 2021 г. 15:07:52(UTC)
SAG33

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.07.2021(UTC)
Сообщений: 6

...отправил выдержку из лога в ЛС
Offline Grey  
#6 Оставлено : 29 июля 2021 г. 13:19:34(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 692
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 149 раз в 123 постах
Для истории.
В журнале нашлась ошибка 0x80090023: The security token does not have storage space available for an additional container. NTE_TOKEN_KEYSET_STORAGE_FULL.
Исходная гипотеза о недостатки места подтвердилась.
С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline SAG33  
#7 Оставлено : 29 июля 2021 г. 13:31:19(UTC)
SAG33

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.07.2021(UTC)
Сообщений: 6

Автор: Grey Перейти к цитате
Для истории.
В журнале нашлась ошибка 0x80090023: The security token does not have storage space available for an additional container. NTE_TOKEN_KEYSET_STORAGE_FULL.
Исходная гипотеза о недостатки места подтвердилась.


Думаю Вы ошибаетесь: сегодня скопировал из реестра на токен другую подпись, которая записалась без проблем.
Обнаруживается на токене...т.е. место на нем есть!
Offline Grey  
#8 Оставлено : 29 июля 2021 г. 14:09:38(UTC)
Grey

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.08.2013(UTC)
Сообщений: 692
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 3 раз
Поблагодарили: 149 раз в 123 постах
Автор: SAG33 Перейти к цитате
Автор: Grey Перейти к цитате
Для истории.
В журнале нашлась ошибка 0x80090023: The security token does not have storage space available for an additional container. NTE_TOKEN_KEYSET_STORAGE_FULL.
Исходная гипотеза о недостатки места подтвердилась.


Думаю Вы ошибаетесь: сегодня скопировал из реестра на токен другую подпись, которая записалась без проблем.
Обнаруживается на токене...т.е. место на нем есть!


Тут может быть значительное количество вариантов уточнения диагноза - файловая система токена устроена чуть сложнее, чем у флешки:

1) На конкретной версии токена нельзя создать отдельный файл большого размера
2) Закончились хэндлы для файлов
3) Другая "подпись" может быть меньше размером
4) Произошла другая непонятная ошибка

Но суть в том, что токен при записи файла возвращает ошибку, которую модуль поддержки, разрабатываемый ISBC, транслирует в NTE_TOKEN_KEYSET_STORAGE_FULL. Я допускаю, что дело в чем-то другом, но диагностика производителя такая. Исходных кодов этого модуля у нас нет, так что приходится верить наслово.

Отредактировано пользователем 29 июля 2021 г. 14:11:52(UTC)  | Причина: Не указана

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline SAG33  
#9 Оставлено : 29 июля 2021 г. 14:56:55(UTC)
SAG33

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.07.2021(UTC)
Сообщений: 6

Записанная сегодня ЭЦП - это вновь созданная сегодня ЭЦП взамен той, что вчера дала сбой при записи сертификата (см. топикстартер).
Только сегодня для создания новой ЭЦП путь хранения контейнера был указан диск D: компа
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.