aleksey s |
|
|
Статус: Новичок Группы: Участники
|
Использую КриптоПро 2.0 (2104) При шифровании сообщения, производится импорт открытого ключа из сертификата получателя // получаю контекст ….. // импортирую ключ из сертификата …. if (!CryptExportKey (hPublicKey, 0, PUBLICKEYBLOB, 0, pbRcpPublicKey, &key_len)) { Так вот, извлеченый открытый ключ (100 байт) из сертификата на моем компьютере, на моем компьютере: на компьютере клиента Значения представлены в шестнадцатеричном виде. |
 |
|
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы Сказал «Спасибо»: 21 раз |
скиньте ветку реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOID Отредактировано пользователем 5 марта 2010 г. 23:20:58(UTC) |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
|
aleksey s |
|
|
Статус: Новичок Группы: Участники
|
Вот ветка из реестра клиента: Клиент подтверждает, что в system32 у него находятся файлы: Но я пока не понимаю, что это за файлы, и как с этим бороться. Буду очень признателен Вам, если поделитесь информацией. |
|
|
|
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы Сказал «Спасибо»: 21 раз |
Это криптопровайдер FTC GPK — некорректно кодирующий открытые ключи, чтобы все работало — нужно удалить ветки реестра CryptDllExportPublicKeyInfoEx и CryptDllImportPublicKeyInfoEx |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
|
wildvano |
|
|
Статус: Эксперт Группы: Участники Сказал(а) «Спасибо»: 1 раз |
Ведется ли какая нибудь работа по обеспечению совместимости с криптопровайдером FTC GPK? Я думаю вам как разработчикам будет легче понять и договориться о решении. Разработчик криптопровайдера FTC GPK Центр Финансовых Технологий насколько я понял. Отредактировано пользователем 18 мая 2010 г. 19:50:26(UTC) |
|
|
|
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы Сказал «Спасибо»: 21 раз |
С трудом с ними связались — клянутся, что исправили в новых версиях. |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
|
wildvano |
|
|
Статус: Эксперт Группы: Участники Сказал(а) «Спасибо»: 1 раз |
Если есть информация, последние версии это какие? Есть образ системы с установленным банком-клиентом и клиент желающий сдавать отчетность с помощью криптопро. Если был свежий криптопровайдер от них можно было бы протестировать. Ну или хотя бы затребовать с их банка обновления. |
|
|
|
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы Сказал «Спасибо»: 21 раз |
Отвечу в ПМ |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
|
wildvano |
|
|
Статус: Эксперт Группы: Участники Сказал(а) «Спасибо»: 1 раз |
В Такскоме решили эту проблему утилитой, которая «переключает» реестр в режим «Спринтер(Cryptopro)» или в «Банк-Клиент». Утилита сопровождается примерно таким текстом: Ошибка: У абонентов переведенных на технологию «141 приказа» при отправке почты референт показывает ошибку «Не удалось создать ключ согласования» Отредактировано пользователем 29 июля 2010 г. 17:38:29(UTC) |
|
|
|
| Пользователи, просматривающие эту тему |
|
Guest |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.9
»
проверка контейнера ошибка 0x80090006 (-2146893818) Неправильная подпись
|
IgorDID |
|
|
Статус: Участник Группы: Участники
Зарегистрирован: 05.04.2012(UTC) Поблагодарили: 1 раз в 1 постах |
Подскажите, в чем проблема с контейнером? выдает крипто-про 3.9 при тестировании контейнера: Проверка завершилась с ошибкой Контейнер закрытого ключа имя 4IPF5KOX5KO3JIK4 уникальное имя FAT12318D2DE8_VTB4IPF5KOX.000175F FQCN .FAT12_F4IPF5KOX5KO3JIK4 проверка целостности контейнера успешно Ключ обмена доступен экспорт открытого ключа успешно импорт открытого ключа успешно подпись успешно проверка Ошибка 0x80090006 (-2146893818) Неправильная подпись. создание ключа обмена успешно экспорт ключа разрешен алгоритм ГОСТ Р 34.10-2001 DH ГОСТ Р 34.10-2001, параметры обмена по умолчанию ГОСТ Р 34.11-94, параметры по умолчанию сертификат в контейнере соответствует закрытому ключу сертификат в хранилище My ИНН=00хххххххххх, C=RU, L=хххххххххх, S=42 ххххххххххххх, E=хххх@хххх.ru, O=»ххххххххх», T=ххххххххх, CN=ххххххххх, SN=хххххх, G=хххххххх, STREET=»ххххххххх», ОГРН=хххххххххх, СНИЛС=ххххххххх FAT12318D2DE8_VTB4IPF5KOX.000175F; Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider#75; dwFlags: 0x00000000; dwKeySpec: 1 имя сертификата Тимошенко Михаил Анатольевич субъект ИНН=00хххххххххх, C=RU, L=хххххххххх, S=42 ххххххххххххх, E=хххх@хххх.ru, O=»ххххххххх», T=ххххххххх, CN=ххххххххх, SN=хххххх, G=хххххххх, STREET=»ххххххххх», ОГРН=хххххххххх, СНИЛС=ххххххххх поставщик ИНН=000000000000, C=RU, L=xxxxxxxxxx, S=42 xxxxxxxx, E=xx@xxxxx.ru, O=»xxxxxx», OU=Удостоверяющий центр, CN=xxxxxxxxx, STREET=»xxxxxxxxx», ОГРН=xxxxxx действителен с 16 июня 2015 г. 15:50:42 действителен по 25 мая 2016 г. 15:50:42 серийный номер 0201 0B02 1B74 0101 0221 AD Ключ подписи отсутствует загрузка ключей успешно |
|
|
|
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сказал «Спасибо»: 21 раз |
Очень интересно. Похоже на то, что сертификат от другого контейнера. А другие контейнеры пробовали? |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
|
IgorDID |
|
|
Статус: Участник Группы: Участники
Зарегистрирован: 05.04.2012(UTC) Поблагодарили: 1 раз в 1 постах |
К сожалению подробностей получить не удалось. Подскажите, что в теории могло вызвать данные симптомы ? |
|
|
|
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сказал «Спасибо»: 21 раз |
Пока только предположения, точных диагнозов нет. |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
|
Птаха |
|
|
Статус: Активный участник Группы: Участники
Зарегистрирован: 28.06.2013(UTC) Сказал(а) «Спасибо»: 29 раз |
Столкнулись с такой же проблемой: ключ работал. Сейчас при тестировании в 3.6.7777 выдает ошибку Ошибка 0x80090006. Проверка завершилась с ошибкой контейнер один на рутокене. в панели управления рутокена эп просматривается, цепь сертификатов строится. драйвера рутокена последние. Помогите, пожалуйста, разобраться. |
|
|
|
Screenshot_9.png |
Птаха |
|
|
Статус: Активный участник Группы: Участники Зарегистрирован: 28.06.2013(UTC) Сказал(а) «Спасибо»: 29 раз |
Также добавлю, что проверяли привязанность открытой части к контейнеру (в крипто про автоматически определился для этой открытой части именно этот контейнер). |
|
|
|
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сказал «Спасибо»: 21 раз |
Сделайте тестирование в последней версии 4.0. Скорее всего сертификат поврежден в контейнере. |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
|
Птаха |
|
|
Статус: Активный участник Группы: Участники Зарегистрирован: 28.06.2013(UTC) Сказал(а) «Спасибо»: 29 раз |
Автор: maxdm Сделайте тестирование в последней версии 4.0. Скорее всего сертификат поврежден в контейнере. В 4.0 ошибка повторилась. Это говорит о том, что контейнер поврежден? |
|
|
|
|
Птаха |
|
|
Статус: Активный участник Группы: Участники
Зарегистрирован: 28.06.2013(UTC) Сказал(а) «Спасибо»: 29 раз |
И снова столкнулись с такой проблемой у другого клиента. Т.е.. таких уже как минимум 3: пользовались-пользовались, вдруг такая ошибка. |
|
|
|
|
Русев Андрей |
|
|
Статус: Сотрудник Группы: Администраторы, Участники Сказал(а) «Спасибо»: 10 раз |
Пришлите, пожалуйста, что выдаёт команда: Код: |
|
Официальная техподдержка. Официальная база знаний. |
|
|
|
|
| Пользователи, просматривающие эту тему |
|
Guest |
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.9
»
проверка контейнера ошибка 0x80090006 (-2146893818) Неправильная подпись
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
When copying files from Windows Server 2019 to a Windows 10 client, I get the following error:
error 0x80090006 «Invalid signature»
The data set I have been working with is about 50 GB of data, many of these files are ~500 MB each in size.
This likely happens with other data sets, but this was the first large transfer that I can reliably recreate the issue with on every attempt.
I have done many tests copying this same data set:
- From the server in question to my Windows 10 workstation
- To the server in question from my Windows 10 workstation
- From the server in question to another Windows 2016 server
- From the Windows 2016 server to my Windows 10 workstation
The only time I see this error is the first scenario (Windows 2019 > Windows 10).
Sometimes this error occurs within the first few seconds of my data copy, other times it doesn’t occur until 85%-90% of the data has transferred. Often it occurs multiple times (as much as 10-15) during the whole transfer. In testing this close
to 20 times it has produced this error at least once on transfer of this data set *every single time*.
The error seems recoverable. If I click «Try Again» the data appears to copy correctly, although I may receive the error again on the same file later in the copy or on another file later in the transfer. It seems completely random when
it occurs, but does appear to be happening more on the larger files.
I have researched this error and have found several references to it being possibly caused by Symantec products or VMWare/ESX network adapters. Neither of those is relevant in my case. I also saw some reference so UNC path issues, which let me
to research UNC path hardening. This led me down the path of investigating the SMB connection. What I have determined is this issue
does not occur when using SMB3 encryption.
I believe this is because when using SMB3 encryption, signing is disabled as per
this article:
When requiring SMB Encryption, SMB Signing is not used, regardless of settings. SMB Encryption implicitly provides the same integrity
guarantees as SMB Signing
Using UNC Path Hardening and setting RequirePrivacy=1, I am able to turn on SMB3 encryption on the share from the client and the issue goes away. However I do not wish to be required to use SMB encryption and should not have to in order to deal with
what is clearly a signing error. I have also attempted to turn of SMB 3.1.1 signing, but I have been unsuccessful in doing that (I detail that issue
here).
I should not however even have to disable SMB signing as this error should simply not be happening for a core function like file copy between two windows systems.
This appears to be the same issued outlined here:
https://support.microsoft.com/en-in/help/2686098/system-error-2148073478-extended-error-or-invalid-signature-error-mess
That still exists years later. That MS article however discusses issues between 3rd party products, not 2 modern Microsoft OSes.
Additionally, the workaround of disabling Secure Negotiate does not seem to work for Server 2019 and/or Windows 10 (again I detail that issue
here).
When copying files from Windows Server 2019 to a Windows 10 client, I get the following error:
error 0x80090006 «Invalid signature»
The data set I have been working with is about 50 GB of data, many of these files are ~500 MB each in size.
This likely happens with other data sets, but this was the first large transfer that I can reliably recreate the issue with on every attempt.
I have done many tests copying this same data set:
- From the server in question to my Windows 10 workstation
- To the server in question from my Windows 10 workstation
- From the server in question to another Windows 2016 server
- From the Windows 2016 server to my Windows 10 workstation
The only time I see this error is the first scenario (Windows 2019 > Windows 10).
Sometimes this error occurs within the first few seconds of my data copy, other times it doesn’t occur until 85%-90% of the data has transferred. Often it occurs multiple times (as much as 10-15) during the whole transfer. In testing this close
to 20 times it has produced this error at least once on transfer of this data set *every single time*.
The error seems recoverable. If I click «Try Again» the data appears to copy correctly, although I may receive the error again on the same file later in the copy or on another file later in the transfer. It seems completely random when
it occurs, but does appear to be happening more on the larger files.
I have researched this error and have found several references to it being possibly caused by Symantec products or VMWare/ESX network adapters. Neither of those is relevant in my case. I also saw some reference so UNC path issues, which let me
to research UNC path hardening. This led me down the path of investigating the SMB connection. What I have determined is this issue
does not occur when using SMB3 encryption.
I believe this is because when using SMB3 encryption, signing is disabled as per
this article:
When requiring SMB Encryption, SMB Signing is not used, regardless of settings. SMB Encryption implicitly provides the same integrity
guarantees as SMB Signing
Using UNC Path Hardening and setting RequirePrivacy=1, I am able to turn on SMB3 encryption on the share from the client and the issue goes away. However I do not wish to be required to use SMB encryption and should not have to in order to deal with
what is clearly a signing error. I have also attempted to turn of SMB 3.1.1 signing, but I have been unsuccessful in doing that (I detail that issue
here).
I should not however even have to disable SMB signing as this error should simply not be happening for a core function like file copy between two windows systems.
This appears to be the same issued outlined here:
https://support.microsoft.com/en-in/help/2686098/system-error-2148073478-extended-error-or-invalid-signature-error-mess
That still exists years later. That MS article however discusses issues between 3rd party products, not 2 modern Microsoft OSes.
Additionally, the workaround of disabling Secure Negotiate does not seem to work for Server 2019 and/or Windows 10 (again I detail that issue
here).
31 окт 2019 00:43 #14180
от nick_e
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
31 окт 2019 01:38 #14181
от Petrovich
Спасибо сказали: nick_e, vizartron
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
13 нояб 2019 23:06 #14313
от proJIog
с Континентом АП устанавливается Код безопасности CSP (пуск-Все программы-Код безопасности) так вот, запускаешь, 2 вкладка «Ключевые контейнеры» водишь пин код Токена, после в АП закрытый контейнер появляется, только в моем случае потом выдает ошибку что НЕ НАЙДЕН КОРНЕВОЙ СЕРТИФИКАТ!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
18 нояб 2019 12:34 #14360
от Mr.ZEV
Здравствуйте! Столкнулся с проблемой при создании запроса на сертификат по гост — 2012. Появляется ошибка создания запроса 0x80090006 неправильная подпись. Стоит Континент версии 3.7.7.651. Подскажите пожалуйста, что делать?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
18 нояб 2019 12:49 #14361
от gurazor
Mr.ZEV пишет: Здравствуйте! Столкнулся с проблемой при создании запроса на сертификат по гост — 2012. Появляется ошибка создания запроса 0x80090006 неправильная подпись. Стоит Континент версии 3.7.7.651. Подскажите пожалуйста, что делать?
Добрый день!
Пуск/все программы/код безопасности/Континент-АП/Код безопасности CSP работает?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 нояб 2019 04:16 #14366
от Mr.ZEV
Что-то нет его. Переустановить континент?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 нояб 2019 05:57 #14369
от Mr.ZEV
Переустановка Континента ничего не дала. Код безопасности так и не появился. Помогите плиз!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 нояб 2019 07:29 #14371
от Mr.ZEV
Удаление из реестра папки HKEY_LOCAL_MACHINESOFTWARESecurityCodeCSP решило проблему.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 нояб 2019 07:38 #14372
от Alex67
Mr.ZEV пишет: Удаление из реестра папки HKEY_LOCAL_MACHINESOFTWARESecurityCodeCSP решило проблему.
Континент TLS от ЭБ на машине был? Он видимо свой CSP от КБ поставил.
«Кто людям помогает — лишь тратит время зря. Хорошими делами прославиться нельзя» (с) Шапокляк
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
28 нояб 2019 02:59 #14413
от Sherkhan
Ещё вчера всё работало, а сегодня с утра: ошибка подписи ключа 0x00000578 недопустимый дескриптор окна. В списке ошибок Континента такую не нашёл. Что это может быть?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
28 нояб 2019 05:37 — 28 нояб 2019 05:48 #14415
от Alex67
Sherkhan пишет: Ещё вчера всё работало,
А ключ то у вас какой был ещё вчера? ГОСТ 2001 или ГОСТ 2012? Версия КАП? А ОС какая? Не обновлялась ли?
Что вы как партизан на допросе……….. 
«Кто людям помогает — лишь тратит время зря. Хорошими делами прославиться нельзя» (с) Шапокляк
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
28 нояб 2019 05:49 #14416
от Sherkhan
На новом ГОСТЕ 2 недели работал нормально. Ничего не менялось. Обновления Windows отключены.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
28 нояб 2019 05:50 — 28 нояб 2019 05:56 #14417
от Sherkhan
Windows 7 х64, АП 3.7.7.625, на вирусы проверил — чисто. В журнале:
— Provider
[ Name] eap
— EventID 51
[ Qualifiers] 49154
Level 2
Task 0
Keywords 0x80000000000000
Контроль целостности прошёл, ошибок нет.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
28 нояб 2019 06:51 #14419
от Alex67
Sherkhan пишет: [ Name] eap
В процессах EAPSigner161.exe (c:Program FilesSecurity CodeTerminal StationvpnEAPSigner161.exe) есть? (должен быть)
«Кто людям помогает — лишь тратит время зря. Хорошими делами прославиться нельзя» (с) Шапокляк
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
28 нояб 2019 07:30 #14422
от Sherkhan
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Последние 2 недели я бился головой о стену, пытаясь создать и проверить подписи CMS в Swift 4 с помощью OpenSSL. Мой код в конечном итоге предназначен для запуска в Linux, поэтому я не могу использовать среду безопасности macOS. Я полагать Я наконец-то добился правильной работы создания подписи CMS. Мой код для этого выглядит так:
let testBundle = Bundle(for: type(of: self))
guard let textUrl = testBundle.url(forResource: "test_message", withExtension: "txt"),
let signingKeyUrl = testBundle.url(forResource: "signing_key", withExtension: "pem"),
let signingCertUrl = testBundle.url(forResource: "signing_cert", withExtension: "pem") else {
exit(1)
}
let certFileObject = signingCertUrl.path.withCString { filePtr in
return fopen(filePtr, "rb")
}
defer {
fclose(certFileObject)
}
let keyFileObject = signingKeyUrl.path.withCString { filePtr in
return fopen(filePtr, "rb")
}
defer {
fclose(keyFileObject)
}
guard let key = PEM_read_PrivateKey(keyFileObject, nil, nil, nil),
let cert = PEM_read_X509(certFileObject, nil, nil, nil) else {
exit(1)
}
OpenSSL_add_all_ciphers()
OpenSSL_add_all_digests()
OPENSSL_add_all_algorithms_conf()
guard let textData = FileManager.default.contents(atPath: textUrl.path) else {
exit(1)
}
guard let textBIO = BIO_new(BIO_s_mem()) else {
print("Unable to create textBIO")
exit(1)
}
_ = textData.withUnsafeBytes({dataBytes in
BIO_write(textBIO, dataBytes, Int32(textData.count))
})
guard let cms = CMS_sign(cert, key, nil, textBIO, UInt32(CMS_BINARY)) else {
exit(1)
}
Когда я отлаживаю этот код, я вижу, что объект cms устанавливается после вызова CMS_sign, поэтому я считаю, что подпись была сгенерирована правильно. Сразу после этого я пытаюсь проверить только что созданную подпись. Этот код выглядит так:
let store = X509_STORE_new()
X509_STORE_add_cert(store, cert)
let outBIO = BIO_new(BIO_s_mem())
let result = CMS_verify(cms, nil, store, nil, outBIO, 0)
print("result : (result)")
if result != 1 {
let errorCode: UInt = ERR_get_error()
print("ERROR : (String(format: "%2X", errorCode))")
}
Однако, когда я запускаю этот код, result == 0, что указывает на ошибку. Код ошибки, возвращаемый OpenSSL, — 0x2E099064. Я выполнил эту команду:
openssl errstr 0x2E099064
Что дало мне эту информацию об ошибке:
error:2E099064:CMS routines:func(153):reason(100)
Еще немного покопавшись, я считать, что ошибка соответствует PKCS7_R_DECRYPTED_KEY_IS_WRONG_LENGTH. Я получил это от pkcs7.h здесь., однако я не на 100% уверен, что это правильное сообщение об ошибке.
У меня вопрос: почему не проходит проверка моей подписи? Я использую тот же сертификат для проверки подписи. Весь этот код является встроенным, поэтому ничего нигде не теряется. Может ли кто-нибудь из вас дать мне представление о том, где что-то идет не так?
Область применения электронной подписи (ЭП или ЭЦП) довольно широка. Например, многие специальные сервисы требуют верификации пользователя с её помощью: Госуслуги, онлайн-сервисы для управления средствами в банке, электронные площадки и другие. Поэтому любые технические неполадки, возникающие при использовании ЭЦП, могут вызвать различные серьёзные: от упущенной выгоды до материальных убытков.
Какие бывают ошибки
Проблемы при использовании ЭП, с которыми пользователи встречаются чаще всего, можно условно разделить на три группы:
- Проблемы с сертификатом. Они появляются, когда сертификат не выбран, не найден или не верен.
- Проблемы с подписанием документа. Ошибки возникают при попытке подписать документ.
- Проблема при авторизации на торговых площадках.
Рассмотрим неполадки подробнее и разберёмся, как их решать.
Сертификат не найден
Иногда при попытке подписать электронный документ с помощью ЭП пользователь может столкнуться с ошибкой «Не удалось найти ни одного сертификата, пригодного для создания подписи».
У подобных ошибок могут быть следующие причины:
- На компьютере не установлены корневые сертификаты Удостоверяющего Центра (УЦ), в котором была получена ЭП. Необходимо установить либо обновить корневой сертификат. Установка корневых сертификатов удостоверяющего центра подробно описана в нашей инструкции.
- На ПК не установлено ни одного личного сертификата ЭП. Для применения ЭП необходимы и личные сертификаты. Об их установке мы писали в другой статье.
- Установленные на компьютере необходимые сертификаты не валидны. Сертификаты отозваны или просрочены. Уточните статус сертификата в УЦ. Ошибка с текстом «Ваш сертификат ключа подписи включён в список отозванных» возникает, если у сертификата закончился срок действия или на ПК нужно обновить список сертификатов. В последней ситуации следует вручную загрузить перечень отозванных сертификатов.
Для установки списка отозванных сертификатов:
- Откройте личный сертификат пользователя в окне Свойства браузера. Чтобы открыть его, наберите «Свойства браузера» в поисковой строке меню Пуск. Перейдите во вкладку Содержание и нажмите кнопку «Сертификаты».
- Во вкладке Состав выберите из списка пункт «Точки распространения списков отзыва».
- В блоке Имя точки распространения скопируйте ссылку на загрузку файла со списком отзыва.
- Скачайте по указанной ссылке файл. Нажмите по нему правой кнопкой мыши и выберите в контекстном меню «Установить список отзыва (CRL)».
- Следуйте указаниям «Мастера импорта сертификатов».
Не виден сертификат на носителе
Как правило, причина такой проблемы — сбой в работе программных компонентов. Для её решения достаточно перезагрузить компьютер. Однако иногда этого бывает недостаточно, поэтому требуется переустановка драйверов или обращение в службу техподдержки.
К наиболее распространённым причинам такой проблемы относятся следующие случаи:
- Драйвер носителя не установлен или установлен некорректно. Для решения проблемы необходимо извлечь носитель электронной подписи из ПК и скачать последнюю версию драйвера носителя с официальных ресурсов. Если переустановка драйвера не помогла, подключите носитель к другому ПК, чтобы убедиться в исправности токена. Если токен определится другой системой, попробуйте удалить на неисправном компьютере драйвер носителя и установить его заново.
- Долгое опознание носителя. Для решения проблемы необходимо дождаться завершения процесса или обновить версию операционной системы.
- Некорректная работа USB-порта. Подключите токен к другому USB-порту, чтобы убедиться, что проблема не в носителе ЭП. Если система определила токен, перезагрузите компьютер. Если это не поможет, следует обратиться службу технической поддержки.
- Неисправность носителя. Если при подключении токена к другому компьютеру или USB-порту система не определяет его, значит, проблема в самом носителе. Устранение неисправности возможно в данном случае лишь одним путём — нужно обратиться в сервисный центр для выпуска нового носителя.
ЭП не подписывает документ
Причин у подобной проблемы множество. Каждый случай требует отдельной проверки. Среди самых распространённых можно выделить следующие неполадки:
- Закрытый ключ на используемом контейнере не соответствует открытому ключу сертификата. Возможно, был выбран не тот контейнер, поэтому следует проверить все закрытые контейнеры на компьютере. Если необходимый контейнер по тем или иным причинам отсутствует, владельцу придётся обращаться в удостоверяющий центр для перевыпуска ЭП.
- Ошибка «Сертификат недействителен» (certificate is not valid). Следует повторно установить сертификат ЭП по инструкциям УЦ в зависимости от используемого криптопровайдера — КриптоПро CSP, ViPNet CSP или другого.
- Сертификат ЭП определяется как непроверенный. В этом случае необходимо переустановить корневой сертификат удостоверяющего центра.
- Истёк срок действия криптопровайдера. Для решения этой проблемы необходим новый лицензионный ключ к программе-криптопровайдеру. Для его получения необходимо обращаться к специалистам УЦ или к ответственным сотрудникам своей организации.
- Подключён носитель с другим сертификатом. Убедитесь, что подключён правильный токен. Проверьте также, не подключены ли носители других сертификатов. Отключите другие носители в случае их обнаружения.
В момент подписания электронных документов или формирования запроса в различных может возникнуть ошибка «Невозможно создание объекта сервером программирования объектов».
В этой ситуации помогает установка и регистрация библиотеки Capicom:
- Скачайте файл архива.
- Распакуйте и переместите файлы capicom.dll и capicom.inf в каталог syswow64, находящийся в корневой папке ОС.
- Откройте командную строку от имени администратора — для этого в меню Пуск наберите «Командная строка», нажмите по найденному приложению правой кнопкой мыши и выберите Запуск от имени администратора.
- Введите «c:windowssyswow64regsvr32.exe capicom.dll» (без кавычек) и нажмите ENTER. Должно появиться уведомление о том, что команда выполнена успешно.
Выбранная подпись не авторизована
Подобная ошибка возникает при попытке авторизации в личном кабинете на электронных торговых площадках. Например, при входе на площадку ZakazRF отображается сообщение «Выбранная ЭЦП не авторизована».
Эта ошибка возникает из-за того, что пользователь не зарегистрирован на площадке, либо не зарегистрирован новый сертификат ключа ЭП. Решением проблемы будет регистрация нового сертификата.
Процесс запроса на авторизацию ЭП на разных торговых площадках может отличаться: часто нужно отправлять запрос оператору системы на авторизацию, иногда рабочее место настраивается автоматически.
Если ошибка сохраняется, возможно, следует отключить защитное ПО или добавить сайт электронной площадки в исключения.
Часто задаваемые вопросы
Почему компьютер не видит ЭЦП?
Причина кроется в несовместимости программного обеспечения и физического носителя ЭЦП. Необходимо проверить версию операционной системы и переустановить её до нужной версии. Если токен повреждён, возможно, понадобится обратиться в удостоверяющий центр для перевыпуска электронной подписи.
О том, что делать, если компьютер не видит ЭЦП и о способах проверки настроек, мы подробно писали в нашей статье.
Почему КриптоПро не отображает ЭЦП?
Если КриптоПро не отображает ЭЦП, следует проверить настройки браузера. Также исправляет ошибку добавление программы в веб-обозреватель и загрузка недостающих сертификатов электронной подписи.
Подробнее ознакомиться, как устранить данную неисправность можно в нашей статье.
Где на компьютере искать сертификаты ЭЦП?
Сертификат ЭЦП позволяет проверить подлинность подписи, содержит в себе срок её действия и информацию о владельце. Он автоматически загружается в папку с системными файлами. В операционной системе Windows от 7 версии и выше ЭЦП хранится по адресу:
C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates. Вместо ПОЛЬЗОВАТЕЛЬ требуется указать наименование используемого компьютера.
Что такое сертификат ЭЦП и зачем он нужен мы рассказали в нашей статье.
Проблема:
При попытке добавления удостоверяющего центра КриптоПро в политику использования смарт-карт в Indeed CM появляется ошибка:
Ошибка при обращении к УЦ: Не удалось установить безопасный канал для SSL/TLS с полномочиями «<имя Центра Регистрации>»
или
Could not establish secure channel for SSL/TLS with authority <имя Центра Регистрации>
При этом в журнале приложений регистрируется событие:
КриптоПро TLS. Ошибка 0x8010006b при импорте открытого ключа: Нет доступа к карте. Введен неправильный PIN-код.
Решение 1:
Ошибка может быть связана с тем, что на сервере Indeed CM установлен КриптоПро CSP с уровнем безопасности КС1, и при копировании контейнера закрытого ключа со смарт-карты в хранилище машины был задан PIN-код на копию контейнера переносимого ключа. Для решения проблемы необходимо не задавать PIN-код при создании контейнера закрытого ключа (больше сведений на форуме КриптоПро).
Для этого пересоздайте контейнер с пустым PIN-кодом и затем повторите попытку добавить КриптоПро УЦ в политику использования смарт-карт Indeed CM либо при указании пароля выставите опцию «Запомнить PIN-код».
В случае использования КриптоПро CSP с уровнями безопасности КС2 и КС3 ошибка не проявляется, но в этом случае необходимо установить опцию «Запомнить PIN-код», в противном случае его придется вводить каждый раз при обращении сервера Indeed CM к КриптоПро УЦ.
Решение 2:
Проверьте права доступа пула приложений Indeed CM к закрытому ключу сертификата для работы с УЦ КриптоПро и задайте права на Полный доступ и Чтение, если их нет.
Для этого:
- В оснастке Сертификаты (Certificates) компьютера, на котором установлен сервер Indeed CM кликните правой кнопкой мыши на сертификате, выберите Все задачи (All tasks) – Управление закрытыми ключами… (Manage
Private Keys…) - Нажмите Добавить (Add), укажите локальную группу IIS_IUSRS (если используется IIS 7.0) или локальную учетную запись IIS AppPoolIndeedCM (если используется IIS 7.5 и более поздние версии).
- Выставите права Полный доступ (Full Control) и Чтение (Read).
- Нажмите Применить (Apply).
Для корректной работы с электронной подписью (ЭП, ранее — ЭЦП) достаточно соблюсти четыре условия. Во-первых, приобрести средства ЭП в удостоверяющем центре (УЦ). Во-вторых, установить лицензионное средство криптозащиты (СКЗИ, криптопровайдер). В-третьих, загрузить на рабочее место личный, промежуточный и корневой сертификаты. И, в-четвертых, настроить браузер для подписания электронных файлов на веб-порталах. Если хотя бы одно из условий не соблюдено, в процессе использования ЭП возникают различные ошибки: КриптоПро не видит ключ, недействительный сертификат, отсутствие ключа в хранилище и другие. Самые распространенные сбои и способы их устранения рассмотрим в статье.
Настроим вашу электронную подпись под ключ за 30 минут!
Оставьте заявку и получите консультацию.
Почему КриптоПро не видит ключ ЭЦП
КриптоПро CSP — самый популярный криптографический софт на российском рынке. Большинство торговых площадок и автоматизированных госсистем работают только с этим криптопровайдером. Программное обеспечение распространяется на безвозмездной основе разработчиком и через дистрибьюторскую сеть, а за лицензию придется платить. При покупке квалифицированной ЭП (КЭП) клиенты получают набор средств:
- закрытый и открытый ключи;
- сертификат ключа проверки электронной подписи (СКПЭП, СЭП) — привязан к открытому ключу;
- физический носитель, на который записываются все перечисленные средства.
Каждый раз, когда владельцу СЭП нужно подписать цифровой файл, он подключает USB-носитель к ПК и вводит пароль (двухфакторная идентификация). Возможен и другой путь — записать все компоненты в реестр ПК и пользоваться ими без физического криптоключа. Второй способ не рекомендован, так как считается небезопасным.
В работе с ЭП возникают такие ситуации, когда пользователь пытается заверить документ в интернете или в специальном приложении, открывает список ключей и не видит СЭП. Проблема может быть спровоцирована следующими факторами:
| Ошибка | Решение |
| Не подключен носитель | Подсоединить токен к ПК через USB-порт (об успешном подключении свидетельствует зеленый индикатор на флешке) |
| Не установлено СКЗИ | Установить криптопровайдер, следуя инструкции |
| Не установлен драйвер носителя | Чтобы компьютер «увидел» устройство, нужно установить специальную утилиту. Как правило, она предоставляется удостоверяющим центром при выдаче подписи. Руководство по инсталляции можно найти на портале разработчика |
| На ПК не загружены сертификаты | Установить корневой, промежуточный и личный сертификаты (как это сделать, рассмотрим далее) |
| Не установлен плагин для браузера | Скачать ПО на сайте www.cryptopro.ru< и установить по инструкции |
Ошибка КриптоПро «0x80090008»: указан неправильный алгоритм
Если версия CryptoPro не соответствует новым условиям сдачи отчетности, пользователь увидит на экране уведомление с кодом ошибки «0x80090008». Это значит, что на ПК установлен устаревший релиз программы, и его необходимо обновить. Для начала проверьте сертификат:
- В меню «Пуск» выберите пункт «Все программы» → «КриптоПро».
- Откройте «КриптоПро CSP сервис» и выберите команду «Протестировать».
- Нажмите кнопку «По сертификату» и укажите нужный файл.
При наличии ошибки в СЭП система на нее укажет.
Удаление программы
Если никаких проблем не обнаружено, ошибку неправильного алгоритма поможет устранить переустановка СКЗИ:
- Найти криптопровайдер через «Пуск».
- Выбрать команду «Удалить».
- Перезагрузить ПК.
Чтобы новая программа работала корректно, перед установкой требуется удалить все следы старой версии с помощью фирменной утилиты cspclean от CryptoPro:
- Запустить файл cspclean.exe на рабочем столе.
- Подтвердить удаление продукта клавишей «ДА».
- Перезагрузить компьютер.
Контейнеры, сохраненные в реестре, удалятся автоматически.
Установка актуального релиза
Дистрибутивы для скачивания СКЗИ размещены в разделе «Продукты» и доступны для скачивания всем авторизованным пользователям. Создание ЛК занимает не более 5 минут:
- Нажмите кнопку «Регистрация».
- Введите личные данные и подтвердите согласие на доступ к персональной информации.
В каталоге продуктов выберите версию криптопровайдера с учетом ОС, загрузите установщик на ПК, запустите его и следуйте подсказкам. При установке ПО требуется указать серийный номер лицензии (если срок действия еще не истек). Эту информацию можно уточнить в приложении к договору.
По отзывам пользователей, переустановка ПК почти всегда помогает в устранении ошибки «0x80090008». Если проблема не решена, рекомендуется написать в техподдержку разработчика или обратиться к официальному дистрибьютору, у которого вы купили лицензию.
КриптоПро вставлен другой носитель: как исправить
Ошибка «Вставьте ключевой носитель» или «Вставлен другой носитель» возникает при попытке подписания электронного документа. Сначала следует убедиться, что USB-токен с сертификатом подключен к ПК (в качестве носителя используются защищенные криптоключи или обычные флешки). Токен должен соответствовать сертификату. Если носитель подсоединен к ПК, но сообщение об ошибке все равно появляется, следует переустановить сертификат через CryptoPro:
- Открыть меню «Пуск» → «Панель управления» → «КриптоПро CSP».
- Зайти во вкладку «Сервис» → «Посмотреть сертификаты в контейнере» → «Обзор».
- Выбрать из списка ключевой контейнер, нажать ОК и «Далее».
- Нажать «Установить». Если появится предупреждение о том, что сертификат уже присутствует в хранилище, дать согласие на его замену.
- Дождаться загрузки сертификата в хранилище «Личное» и нажать ОК.
После переустановки рекомендуется перезагрузить ПК. Для первичной инсталляции СКПЭП применим аналогичный алгоритм действий.
Мы готовы помочь!
Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариям
Недостаточно прав для выполнения операции в КриптоПро
Ошибка сопровождается уведомлением «У компонента недостаточно прав для доступа к сертификатам». Чаще всего возникает в двух ситуациях:
- При попытке авторизоваться в ЛК, например, на портале контролирующего органа, куда нужно отправить отчет (при нажатии на пиктограмму «Вход по сертификату»).
- При проверке КЭП (при нажатии кнопки «Проверить» в разделе «Помощь»).
Если система уведомила пользователя, что у него недостаточно прав для выполнения операции в КриптоПро, проблема может иметь следующие причины:
- не установлен КриптоПро ЭЦП Browser plug-in 2.0 (или стоит его старая сборка);
- сайт, куда пытается войти клиент, не добавлен в каталог доверенных (надежных) ресурсов.
Browser plug-in — обязательный компонент для применения ЭП на веб-страницах. Он расширяет возможности криптопровайдера, позволяет формировать и проверять электронную подпись на интернет-ресурсах. Без этой программы, КриптоПро не сможет связаться с веб-страницей и реализовать на ней функции КЭП. Пользователи ничего не платят за этот модуль, он размещен в свободном доступе на сайте и совместим с любыми операционными системами. Как установить:
- Сохранить дистрибутив cadesplugin.exe.
- Запустить инсталляцию, кликнув по значку установщика.
- Разрешить программе внесение изменений клавишей «Да».
Появится уведомление об успешном результате. Нажмите ОК и перезагрузите браузер, чтобы коррективы вступили в силу.
Для работы с сертификатом ЭП рекомендуется использовать браузер Microsoft Internet Explorer (MIE) — для него не требуются дополнительные настройки. На завершающем этапе необходимо добавить сайт в список доверенных:
- Через меню «Пуск» (CTRL+ESC) найти продукт КриптоПро CSP.
- Зайти в настройки плагина ЭЦП Browser.
- В разделе «Список доверенных узлов» ввести адреса всех ресурсов, принимающих ваш сертификат.
Если после перезагрузки ПК проблема не решена, рекомендуется удалить плагин и выполнить повторную инсталляцию.
Выпустим и настроим электронную подпись для сотрудника прямо в день обращения!
Оставьте заявку и получите консультацию.
Ошибка исполнения функции при подписании ЭЦП
Ошибка свидетельствует об отсутствии лицензии на продукт КриптоПро CSP. Зачастую она возникает при попытке подписать документ на торговых площадках или в информационных системах (ЕГАИС, ЖКХ, Росреестр, Госуслуги и др.).
Лицензия на криптопровайдер может быть привязана к АРМ или встроена в сертификат ЭП. В первом случае необходимо убедиться, что лицензия введена на рабочем ПК и актуальна. Срок действия можно уточнить на вкладке «Общее» в меню запущенного криптопровайдера. Если он истек, необходимо обратиться к разработчику или официальному дистрибьютору для продления или покупки новой лицензии. Во втором случае ошибка исполнения функции при подписании ЭЦП возникает при отсутствии установленного на ПК сертификата.
Ошибка при проверке цепочки сертификатов в КриптоПро
Юридически значимую документацию можно заверить электронной подписью только в том случае, если СКЗИ подтвердит надежность (доверенность) сертификата. Для этого программа проверяет цепочку сертификации (ЦС), состоящую из таких элементов:
- корневой сертификат от Минкомсвязи (начальное звено цепи), выданный УЦ;
- промежуточный сертификат УЦ (ПС);
- СКПЭП.
Правильно построенная ЦС подтверждает, что СКПЭП (конечное звено) имеет доверенный путь (от Минкомсвязи к УЦ, от УЦ к пользователю). Ошибка при проверке цепочки сертификатов в КриптоПро свидетельствует о том, что минимум один элемент в этой системе искажен. ЭП при этом считается недействительной и не принимается для подписания файлов.
| Причина | Решение |
| Один из сертификатов поврежден или некорректно установлен | Переустановить сертификат |
| Неправильно установлено СКЗИ (или стоит устаревшая версия) | Удалить и заново установить программу |
| Устаревшая версия веб-браузера | Обновить браузер |
| На ПК не актуализированы дата и время | Указать в настройках компьютера правильные значения |
На первой причине остановимся подробнее. Чтобы проверить состояние ЦС, откройте папку криптопровайдера, выберите раздел «Сертификаты» → «Личное». Если цепочка нарушена, во вкладке «Общее» будет сообщение о том, что СКПЭП не удалось проверить на надежность.
Устранение сбоя следует начинать с верхнего звена (КС). Файл предоставляется клиенту в удостоверяющем центре вместе с остальными средствами: ключи, СКПЭП, промежуточный сертификат и физический носитель. Кроме того, его можно скачать бесплатно на сайте Казначейства (КС для всех одинаковый). Как загрузить КС:
- Открыть документ от Минкомсвязи на компьютере.
- В разделе «Общее» выбрать команду установки.
- Установить галочку напротив пункта «Поместить в хранилище».
- Из списка выбрать папку «Доверенные корневые центры».
- Нажать «Далее» — появится уведомление об успешном импорте.
По завершении процедуры рекомендуется перезагрузить ПК. Если сбой не устранен, переходим к промежуточному компоненту. При утере ПС его можно загрузить с официального сайта УЦ. Процесс установки такой же, как и для КС, но в качестве хранилища должно быть указано «Промежуточные центры».
После перезагрузки ПК снова зайдите в папку «Личное» и откройте СКПЭП. Если во вкладке «Путь сертификации» будет статус «Сертификат действителен» — ошибка устранена.
Электронная подпись описи содержания пакета недействительна
Одной КЭП можно сразу заверить несколько файлов. В одном письме адресат может отправлять комплект документации и отдельно к нему опись, где перечислены все файлы. Перечень документов тоже нужно визировать ЭП.
Если при попытке заверить ведомость пользователь увидит сообщение о недействительности сертификата, значит подписать основной комплект тоже не удастся. Эта ошибка распространяется на все типы файлов, а не на какой-то конкретный документ.
Причина сбоя — нарушение доверенной цепочки, о которой было сказано ранее. В первую очередь следует проверить наличие и корректность КС и ПС. Если они установлены, удалите эти файлы и загрузите снова.
Проблемы с браузером
Для заверки электронных файлов в интернете разработчик СКЗИ рекомендует использовать встроенный веб-обозреватель MIE. Но даже с ним бывают сбои. Если это произошло, зайдите в браузер под ролью администратора:
- Кликните по значку браузера на рабочем столе.
- В контекстном меню выберите соответствующую роль.
Чтобы всякий раз не предпринимать лишние действия, в настройках можно задать автоматический доступ под нужными правами. Неактуальную версию браузера необходимо обновить до последнего релиза. Также следует отключить антивирусные программы, так как многие из них блокируют работу СКЗИ, воспринимая как вредоносное ПО.
Не работает служба инициализации
Если работа сервиса инициализации Crypto Pro приостановлена, СКПЭП тоже не будет работать. Запустите командную строку клавишами Win+R:
- Введите команду services.msc.
- В разделе «Службы» выберите «Службу инициализации» и проверьте в свойствах ее активность.
Если сервис отключен, запустите его и нажмите ОК. После перезапуска ПК электронная подпись должна снова работать корректно.
Сертификаты не отвечают критериям КриптоПро
Ошибка всплывает при попытке авторизоваться в информационной госсистеме (например, «Электронный Бюджет» и др.). Пользователь видит сообщение следующего содержания:
Первый способ устранения сбоя — «снести» СКЗИ и поставить заново, как описано выше. Если это вариант не сработал, значит проблема кроется в неправильном формировании ЦС. Рассмотрим на примере. Отправитель зашел в СКПЭП и в подразделе «Общее» увидел статус «Недостаточно информации для проверки этого сертификата». В первую очередь рекомендуется проверить наличие корневого сертификата в цепочке и при его отсутствии выполнить установку (алгоритм описан ранее). Если этот метод не помог, на форуме разработчика приводится еще один способ: от имени администратора вызвать «Пуск» → «Выполнить» → «regedit». Далее необходимо удалить ветки:
Не все бывают в наличии, поэтому удаляйте те, что есть. Процедура не вредит системе и сохраненным файлам, но помогает не в каждом случае (обычно ошибку удается устранить при установке корневого сертификата).
«1С-ЭДО» не видит КриптоПро CSP
«1С-ЭДО» — программа для обмена электронными документами, интегрированная в учетную базу «1С». Сервис позволяет удаленно взаимодействовать с контрагентами и отправлять отчетность в надзорные органы (ФНС, ПФР, ФСС, Росстат и др.). Чтобы документы приобрели юридическую силу, их необходимо заверить квалифицированной ЭП. Если сервис «1С-ЭДО» «не видит» ключ в КриптоПро CSP, рекомендованы следующие действия:
- проверить, установлена ли на компьютере актуальная версия криптопровайдера;
- при наличии СКЗИ уточнить, соответствует ли оно той программе, которая была указана в настройках обмена с «1С».
Как проверить настройки криптопровайдера:
- Запустить сервис «1С-ЭДО».
- Перейти в раздел «Отчеты» → «Регламентированные отчеты».
- Нажать кнопку «Настройки».
- В подразделе «Документооборот с контролирующими органами» нажать кнопку «Здесь».
Если в поле «Криптопровайдер» указана не та программа, которая установлена на ПК (например, VipNet), поменяйте ее в настройках и сохраните клавишей ОК. Для правильной работы сервиса ЭДО рекомендуется использовать на одном АРМ только один из сертифицированных провайдеров.
Подберем USB-носитель для ЭП. Доставка — в любую точку России!
Оставьте заявку и получите консультацию в течение 5 минут.
Александр Киреев
Эксперт отдела автоматизации и развития бизнеса Online-kassa.ru. Бизнес-тренер и аналитик, отвечает за работу с ключевыми клиентами.
Оцените, насколько полезна была информация в статье?
Наш каталог продукции
У нас Вы найдете широкий ассортимент товаров в сегментах
кассового, торгового, весового, банковского и офисного оборудования.
Посмотреть весь каталог
Hello,
I have a public key with the extension .cer that I am trying to import.
const key = new NodeRSA(public_key, 'pkcs8-public')
But I keep getting InvalidAsn1Error: encoding too long
If I put the type 'pkcs8-public-der I get Error: Unsupported key format
The certificate has the following structure and props
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Signature Algorithm: md5WithRSAEncryption
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
Am I doing something wrong or the certificate is not supported?