Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline SerBo  
#1 Оставлено : 12 ноября 2010 г. 18:22:03(UTC)
SerBo

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.11.2010(UTC)
Сообщений: 7

Да простят меня модераторы и гуру - не нашел близкий топик, а проблему никак не могу понять.
Пользуем: Windows XP SP2, СКЗИ Континент-АП (3.3.15.2); КриптоПро CSP 2.0 (Build 2104).
Пытаемся сменить считыватель FDD на флэшку и использовать ее в дальнейшем для подключения к серверу доступа СКЗИ Континент-АП.
Для этого:
1. В КриптоПро добавил новый считыватель – дисковод F: (USB-Флэшка)
2. Скопировал средствами Windows содержимое дискеты (действующего считывателя) на флэшку (новый считыватель).
3. В оснастке консоли Сертификаты удалил соответствующие сертификаты из папок Личные и Доверенные корневые центры сертификации.
4. В КриптоПро удалил запомненные пароли.
5. В СКЗИ Континент-АП выбрал Установить сертификат пользователя, предложив сертификат с нового считывателя (флэшки) user.cer.
В результате получил одобрительное сообщение "Импорт пользовательского сертификата успешно завершен".
Однако при попытке установить соединение СКЗИ Континент-АП с использованием вновь установленного считывателя (флэшки) выдается сообщение:
Ошибка подписи ключа 0x8009001F (Неправильный параметр набора ключей).
Где копать, подскажите, пожалуйста. Pray
Offline SerBo  
#2 Оставлено : 17 ноября 2010 г. 21:27:33(UTC)
SerBo

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.11.2010(UTC)
Сообщений: 7

Странно, мой топик в этом разделе форума не нашел ответа из-за:
1. Устаревшей версии КриптоПро ?
2. Сложности темы?
3. Решенной темы?
4. Отсутствия знатоков?
Жаль, а я думал ... :-(
Offline Максим Коллегин  
#3 Оставлено : 18 ноября 2010 г. 0:18:11(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
А мастер установки личного сертификата из панели CSP запускали?
Знания в базе знаний, поддержка в техподдержке
Offline SerBo  
#4 Оставлено : 18 ноября 2010 г. 3:15:33(UTC)
SerBo

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.11.2010(UTC)
Сообщений: 7

maxdm написал:
А мастер установки личного сертификата из панели CSP запускали?


Запускал, но шаге "Выберите CSP для поиска ключевых контейнеров", предложив из обзора носителей нужный - содержащий необходимый контейнер (на флэшке), выводится окно с запросом "Вставьте ключевой носитель" - хотя все зарегистрированные носители предлагаются

Спасибо, что откликнулись!
Offline Максим Коллегин  
#5 Оставлено : 18 ноября 2010 г. 11:13:06(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
А пароли запомненные перед этим очищали?
Знания в базе знаний, поддержка в техподдержке
Offline SerBo  
#6 Оставлено : 21 ноября 2010 г. 20:38:31(UTC)
SerBo

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.11.2010(UTC)
Сообщений: 7

Регулярно Angel
Offline Максим Коллегин  
#7 Оставлено : 22 ноября 2010 г. 11:40:16(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Нет идей, а флэшка не readonly?
Знания в базе знаний, поддержка в техподдержке
Offline SerBo  
#8 Оставлено : 23 ноября 2010 г. 1:03:35(UTC)
SerBo

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.11.2010(UTC)
Сообщений: 7

Флэшка в норме.
Кстати, сегодня пришла мысль проверить предположение - такое сообщение выводится всегда, когда не найдено считывателя с ключами.
Для этого:
1. Удалил считыватель A: (FDD).
2. Скопировал сертификат user.cer и контейнер с ключами с флэшки G: на флэшку F:, где уже находились контейнеры с ЭЦП (для подписей в СЭД).
3. Переустановил сертификат с привязкой к флэшке F: (в СКЗИ Континент-АП выбрал Установить сертификат пользователя, предложив сертификат с флэшки F:) предварительно удалив, есесено, запомненные пароли в КриптоПро.
В результате все заработало - связь в СКЗИ Континент-АП была установлена!
Резюме: Континент-АП не умеет читать более, чем с одного носителя, а если носитель не один - читает только с первого по алфавиту!?
Но ведь это лажа!Shame on you
Ключи должны быть на разных носителях - безопасность! А так можно все забросить в реестр.
Что не так делаю? Есть соображения?
Offline Максим Коллегин  
#9 Оставлено : 23 ноября 2010 г. 12:17:12(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Похоже он читает в silent. В старых CSP требовался показ окошек при нескольких считывателях.
Знания в базе знаний, поддержка в техподдержке
Offline SerBo  
#10 Оставлено : 8 декабря 2010 г. 21:02:26(UTC)
SerBo

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.11.2010(UTC)
Сообщений: 7

Ответ на свой же вопрос и решение нашел – хотя радости от создавшегося положения не испытываю.
Зная, что в том или ином виде этим вопросом приходится заниматься всем, кто устал кувыркаться с дискетами и захотел перейти к флэшкам, как наиболее распространенным и доступным носителям, решил поделиться найденным решением.
Может пригодится для пользователей КриптоПро 2.0, потому как в следующих версиях по слухам форума (не проверял) эта проблема решается проще.
Все дело в том, что в КриптоПро 2.0 опрос считывателей при подписи ЭЦП и установлении соединения (в СКЗИ Континент-АП) ограничивается первым по букве носителем, хотя регистрирует сколько есть свободных букв (нонсенс! И безобразие!).
Поэтому все из всех флэшек будет читаться одна – у которой самая ранняя буква. При этом дисковод А:, по понятным причинам, должен быть исключен из списка считывателей!

Итак, условие задачи:
1. Перейти с дискет на флэшки.
2. Каждый контейнер с ЭЦП и сертификатами должен находится на отдельной флэшке, как и в случае с дискетами.
3. Все флэшки должны читаться КриптоПро.

Решение:
1. В КриптоПро (Оборудование->Настроить считыватели) добавить новый считыватель – дисковод с любой буквой, например F: (USB-Флэшка).
2. Далее в зависимости от назначения сертификатов и ключей.
2.1. Для сертификата СКЗИ Континент-АП:
2.1.1. Скопировать средствами Windows содержимое дискеты (действующего считывателя) на флэшку (новый считыватель).
2.1.2. В оснастке консоли Сертификаты удалить соответствующие сертификаты из папок Личные и Доверенные корневые центры сертификации.
2.1.3. В КриптоПро (Сервис) удалить запомненные пароли.
2.1.4. В СКЗИ Континент-АП выбрать «Установить сертификат пользователя», предложив сертификат с нового считывателя (флэшки) user.cer.
2.2. Для ЭЦП клиента СЭД (проделать с каждой дискетой):
В КриптоПро (Сервис):
- Удалить запомненные пароли;
- Скопировать контейнер (с очередной дискеты на очередную флэшку).

2.3. Решить проблему присвоения одной и той же буквы всем флэшкам с использованием каких-либо утилиток или скриптов.
Например, с помощью ReMount (http://www.uwe-sieber.de/drivetools_e.html), позволяющей менять букву флэшке с текущей на нужную, например remount h: f: в командной строке.
А для её запуска в момент подключения флэшки в USB использовать какую-нить программульку автозапуска.

Если у гуру нет других решений, то тема, к сожалению, может быть закрыта.
Спасибо за участие!Anxious
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.