Токены: JaCarta SF/ГОСТ любые
Версия ПО: 3.9.5.395
Проблема:
При попытке создать контейнер пользователя в ПГА выдается ошибка:
Ошибка создания контейнера: UID ключей
В журнале ПГА такие записи:
uptime: 0[23e4] Program is started
uptime: 81[20c0] UNKNOWN Token Role
При этом контейнер администратора загружен, ЭН Администратора подключен и выбран.
Причина:
Подобная проблема может возникнуть в случае, если на вкладке «Безопасность» не выбраны из списка UID ключа авторизации (МКМ) и/или UID ключа аутентификации (МКТ).
Решение:
-
В этом случае следует перейти на вкладку «Безопасность» с подключённым ЭН Администратора и выбрать нужные ключи UID.
На чтение 15 мин. Просмотров 139 Опубликовано 09.11.2022
07 июнь 2018 12:23 – 07 июнь 2018 12:28 #7546
от Alex_04
two_oceans пишет: ничего не мешает убрать “веселые картинки” самим
Если за компом – толковый сисадмин, а не рядовые pressanykey-щики, коих подавляющее большинство. Не знаю как в других регионах, но в сельсоветах нашего фактически 1 главбух = “узкий специалист широкого профиля” (с): и жнец, и спец, и вообще …дец. 
Сисадминов там вообще не было никогда, нет и не будет наверняка. Так что этот вариант – совсем не вариант, к сожалению.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Причина:
Данная ошибка (0х80090020) возникает, если приложение ITCOM запущено не от имени администратора.
Решение:
- Требуется открыть диспетчер задач, для этого нажмите правой кнопкой мыши на панель задач
- Найти процесс отвечающий за приложение ITCOM (Рисунок 1), выбрать его и нажать «снять задачу»
- Открыть Мой компьютер/Этот компьютер, выбрать диск «С»
- Зайти на диск «С», папку «ITCOM» и запустить приложение crmagent.exe от имени администратора (Рисунок 2)
рис. 2
- После проделанных действий провести генерацию повторно.
Остались вопросы? Как мы можем помочь?
/Внутренняя ошибка (CSP). (0x80090020)
Внутренняя ошибка (CSP). (0x80090020)
Текст ошибки:
Произошла ошибка при шифровании сообщения
Произошла ошибка при открытии сообщения для кодирования
Внутренняя ошибка (CSP). (0x80090020)
Как выглядит ошибка:
Решение
Чаще всего проблема возникает из-за конфликта криптопровайдеров КриптоПро CSP и VipNet CSP. При наличии двух этих криптопровайдеров на одном рабочем месте необходимо в настройках VipNet CSP во вкладке “Дополнительно” отключить настройку “Поддержка работы ViPNet CSP через Microsoft CryptoAPI”. После изменения компьютер перезагрузится. Ошибка будет исправлена.
Если конфликтующего криптопровайдера не установлено и используется только КриптоПро CSP, то выполните восстановление настроек реестра утилитой.
Если предложенные действия не помогли, напишите нам на support@trusted.ru.
Ошибка 0х8007065B или «Ошибка исполнения функции» может возникать при работе с сертификатом на торговых площадках или информационных системах из-за отсутствия лицензии на программу Крипто Про CSP.
- Если Ваш сертификат без встроенной лицензии:
Убедитесь, что лицензия на КриптоПро CSP введена и действует.
Для этого найдите «КриптоПро CSP» в программах в меню «Пуск». Во вкладке «Общие» будет указан «Срок действия».
Если лицензия «Истекла» и у Вас есть бланк с актуальной лицензией, введите серийный номер из бланка нажав на кнопку «Ввод лицензии». Подробнее — Как ввести лицензию КриптоПро CSP.
Если лицензии на КриптоПро CSP у Вас нет, Вы можете приобрести её у нас. Для этого позвоните по бесплатному номеру 8 (800) 550-87-19 доб. 2500.
2. Если ваш сертификат со встроенной лицензией:
Убедитесь, что используется КриптоПро не ниже версии 4.0 и сертификат электронной подписи установлен.
В сертификате есть встроенная лицензия, если в открытом ключе сертификата на вкладке «Состав» присутствует поле «Ограниченная лицензия Крипто-Про».
Остались вопросы? Как мы можем помочь?
- Если ваш криптопровайдер КриптоПро CSP и выходит данная ошибка, вам требуется: перезапустить приложение Айтиком и Настройте ДСЧ в КриптоПро CSP
Решение:
Рис.1
- Затем заходите в программу КриптоПро CSP. (Рисунок 2)
Рис.2
- После открытия приложения нажимаем «Запустить с правами администратора» (Рисунок 3)
Рис.3
- Затем входим во вкладку оборудование и выбираем пункт «Настроить ДСЧ…» (Рисунок 4)
Рис. 4
Рис. 5
Рис. 6
- После выполненных действий заходим на Диск (с) в папку ITCOM и запускаем от имени администратора приложение crm-agent (Рис.7)
Рис. 7
2. Если ваш криптопровайдер VipNet CSP и выходит данная ошибка, вам требуется: открыть панель управления ->Программы и компоненты -> Удаление программ -> выбрать программу «VipNet CSP» и нажать «Изменить» в новом окне выбрать «Восстановить»
после восстановления перезагрузите приложение Айтиком:
- После выполненных действий заходим на Диск (с) в папку ITCOM и запускаем от имени администратора приложение crm-agent
После выполненных действий повторяем действия генерации по ссылке из письма
Остались вопросы? Как мы можем помочь?
Отказано в доступе. (0x80090010)
Текст ошибки:
Ошибка сохранения сообщения (0x80004005)
Ошибка сохранения сообщения (0x80004005)
Произошла ошибка при создании подписи
Произошла ошибка при определении размера закодированного сообщения
Отказано в доступе. (0x80090010)
Как выглядит ошибка:
Решение
Переустановите ваш сертификат через КриптоПро CSP так: Перейдите на вкладку Сервис, далее Просмотреть сертификаты в контейнере, затем Обзор, выберите контейнер и нажмите Установить.
Если переустановка не поможет, то проверьте контейнер ключа при помощи кнопки Протестировать на той же вкладке. Если в результате тестирования возникнет ошибка “Использование ключа обмена запрещено. Срок действия закрытого ключа истек. Срок действия закрытого ключа не может превышать 3 года для неизвлекаемых ключей, хранящихся на ФКН и на HSM, и 1 год 3 месяца для прочих ключей”, то подписать этим сертификатом вам не удастся, нужно получить новый сертификат.
Также вероятная причина ошибки это ограничение прав доступа к ресурсу, на котором находится ключевой контейнер. Например в следующей статье описана похожая ошибка на серверной Windows, где причиной было ограничение прав пользователя к флешке на которой находился ключевой контейнер.
Также возможно ограничение прав на ветку реестра с контейнером, так как понадобятся не только права чтения, но и права записи.
Ключи носителя “реестр” КриптоПро CSP хранит в следующей ветке реестра:
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsUsers<SID пользователя>Keys
Пользователю в разрешениях (доступно из контекстного меню для ветки реестра) должен быть предоставлен полный доступ (начиная с раздела ).
Если не получается исправить эту ошибку добавлением прав пользователя для носителя контейнера, то с этим вопросом стоит обратиться в техподдержку компании КриптоПРО.
Указан неправильный алгоритм (0x80090008)
Текст ошибки:
Ошибка сохранения сообщения (0x80004005)
Ошибка сохранения сообщения (0x80004005)
Произошла ошибка при сохранении данных
Ошибка загрузки данных
Произошла ошибка при добавлении данных в сообщение
Указан неправильный алгоритм. (0x80090008)
Как выглядит ошибка:
Решение
В большинстве случаев ошибка Указан неправильный алгоритм (0x80090008) решается переустановкой сертификата подписи. Переустановить сертификат можно несколькими способами:
1. В программе КриптоАРМ так, как показано в видео инструкции.
2. В личном хранилище сертификатов КриптоАРМа найдите ваш сертификат, выделите нажав на него курсором мыши. Нажмите на кнопку Экспорт, в открывшемся окне мастера нажмите Далее, в следующем окне обязательно укажите НЕТ НЕ ЭКСПОРТИРОВАТЬ ЗАКРЫТЫЙ КЛЮЧ, в мастере экспорта выберите кодировку DER, нажав кнопку Обзор поместите его на рабочий стол под любым именем. Удалять сертификат из личного хранилища при этом не нужно. Затем снова импортируйте его в личное хранилище, используя кнопку Импорт на панели инструментов, в мастере импорта сертификатов установите чекбоксы Установить личный сертификат и Поместить сертификат в контейнер. Далее понадобится выбрать криптопровайдер и контейнер вручную. После успешного импорта сертификата повторите подписание.
3.Также переустановку сертификата можно выполнить через КриптоПро CSP. Для этого откройте программу КриптоПро CSP и перейдите во вкладку Сервис. Затем нажмите на кнопки Просмотреть сертификаты в контейнере и Обзор. Выберите нужный контейнер и нажмите кнопку Ok, а после Установить. Снова повторите подписание.
После выполненных переустановок сертификата, если ошибка возникнет снова, войдите в КриптоАРМ в меню Профили, далее Управление профилями, откройте профиль по умолчанию (он помечен зеленой галочкой в списке), перейдите на вкладку Общие. Здесь в поле Владелец сертификата добавьте этот сертификат, нажмите Применить и ОК. После этого повторите подписание.
08 июль 2019 07:38 #12819
от AGVolk
При попытке подисать в ЭБ сильно тупит Jinn
В итоге обычно подписывает, но уже 2 раз при подписании зависает, после чего просит обновить сессию и уже не заходит в ЭБ
Крипта при тестировании выдает картинку:
Проверка завершилась с ошибкой
Контейнер закрытого ключа пользователя
имя Кожевникова Елена Максимовна 327065047
уникальное имя SCARDETOKEN_PRO_54A44A052F27CC0032AC
FQCN .AKS ifdh 0Кожевникова Елена Максимовна 327065047
проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа Ошибка 0x80090003: Плохой ключ.
Ключ подписи отсутствует
загрузка ключей Ошибка 0x8009000A: Указан неправильный тип.
Версия контейнера 2
Расширения контейнера
некритическое Расширение контейнера КриптоПро CSP. Срок действия ключа обмена
действителен по 27 июня 2020 г. 6:51:49
Подлежит ли ключ восстановлению?
PS есть и второй компьютер, там джин просто не видит сертификаты на токенах, длинна названия организации 77 символов. Раньше через один комп хотя бы подписывали, но если он и дальше будет портить ключи…
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
08 июль 2019 09:03 #12820
от Gvinpin
AGVolk пишет: Крипта при тестировании выдает картинку:
Проверка завершилась с ошибкой …
Подлежит ли ключ восстановлению?
Не написано, что экспорт ключа запрещен, вероятно, ключ экспортируемый. Попробуйте скопировать контейнер на флешку и проверить подписание с флешки.
______________________________
Как получилось, так и хотели (c)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
08 июль 2019 09:51 – 08 июль 2019 10:05 #12822
от Wmffre
- Удалите КриптоПро CSP
- Очистите от следов установки Криптопро утилитой
cspclean.exe - Перезагрузитесь
- Установите версию КриптоПро CSP 4.0.9944 (если Windows 7SP1), КриптоПро CSP 4.0.9969 (если Windows 10, скачав с сайта КриптоПро).
- После этого тестируйте контейнер через Криптопро CSP.
Это другая проблема другого компьютера. Посмотрите
это сообщение
.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
09 июль 2019 01:54 #12824
от AGVolk
При копировании: Ошибка 0x80090003: Плохой ключ
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
09 июль 2019 02:12 #12825
от AGVolk
1) по поводу крипты и не только:
У меня с десяток машин с криптой, которые стабильно работают со своими подписями с сбис, крипто арм и просто сайтами через плагины. При проверке контейнера на них итогом тоже самое сообщение о плохом ключе. И вобще все эти чрезвычайно доставляющие ситуации возникают только на машинах для ЭБ и СУФД с джином и континентом тлс, за что так и хочется сказать спасибо тем кто напридумывал такие схемы для работы ЭБ.
Сертификат на токене читается нормально и нормально устанавливается. Целостность контейнера тоже вроде как в норме. Какая в итоге проблема с ключом не понятно. Я грешу на порты, так как машина старая и была взята со склада меньше месяца назад, и данная проблема только на ней.
2) Насчет другой машины: етокены она видит, не видит сертификаты. Причем началось это недели 2 назад до этого все работало.
Я собираюсь снести на ней крипту, тлс и джин и установить по новой. Что из этого выйдет напишу.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
09 июль 2019 02:56 – 09 июль 2019 03:00 #12826
от Wmffre
AGVolk пишет: При копировании: Ошибка 0x80090003: Плохой ключ
Вот в таких случаях сначала переустанавливают КриптоПро CSP, обязательно воспользовавшись утилитой cspclean.exe В этом случае Вы будете уверены, что после установки КриптоПро CSP уже точно исправное.
После этого необходимо создать контейнер без установленного сертификата пользователя внутри – смотрите
инструкцию
(только дату переводить не надо).
Обратите внимание! При установке сертификата пользователя через КриптоПро CSP обязательно
убирайте галочку
“Установить сертификат в контейнер”. При подписании через Jinn-client сертификат пользователя не будет на флешке/токене, его надо будет выбирать в “Сертификаты”.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
09 июль 2019 06:29 #12827
от AGVolk
Крипту переустановил винда 7, версия 4.0.9963. Контейнер оказался защищен от копирования, как и остальные казначейские (раньше не интересовался, сейчас проверил). Тестирование выдает все тоже самое.
На другом компе удалил джин, тлс и хс. Поставил джин, потом тлс, удалил екстендет, поставил хс. Джин начал видеть сертификаты на токенах.
Прикол в том, что обычно этого хватает на 3-4 недели, потом приходится повторять.
Обратите внимание! При установке сертификата пользователя через КриптоПро CSP обязательно убирайте галочку “Установить сертификат в контейнер”. При подписании через Jinn-client сертификат пользователя не будет на флешке/токене, его надо будет выбирать в “Сертификаты”.
Пробовал я в свое время не писать сертификаты на токен, а тянуть их так, безрезультатно.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
09 июль 2019 07:06 – 09 июль 2019 11:09 #12828
от Wmffre
AGVolk пишет: Пробовал я в свое время не писать сертификаты на токен, а тянуть их так, безрезультатно.
Если хотя бы один раз сертификат пользователя был установлен в контейнер, то потом он всегда будет внутри контейнера. Поэтому безрезультатно.
Проблема у Вас с контейнером – проверить это очень просто: на чистом компьютере устанавливаете КриптоПро CSP (все другие программы не устанавливаете), вставляете етокен и нажимаете кнопку “Протестировать”. Если ошибка есть, то проблема в контейнере закрытого ключа.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
12 июль 2019 12:57 #12893
от Alex_04
Wmffre пишет: Обратите внимание! При установке сертификата пользователя через КриптоПро CSP обязательно убирайте галочку “Установить сертификат в контейнер”. При подписании через Jinn-client сертификат пользователя не будет на флешке/токене, его надо будет выбирать в “Сертификаты”.
Или я чего-то пропустил (не получалось в последние месяцы тщательно следить за сообщениями на этом прекрасном форуме), или почему? Связано с особенностями национального госта-2012 для ЭП и “подстроенных” под него СКЗИ?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
12 июль 2019 13:19 #12894
от Wmffre
Wmffre пишет: Обратите внимание! При установке сертификата пользователя через КриптоПро CSP обязательно убирайте галочку “Установить сертификат в контейнер”. При подписании через Jinn-client сертификат пользователя не будет на флешке/токене, его надо будет выбирать в “Сертификаты”.
Или я чего-то пропустил (не получалось в последние месяцы тщательно следить за сообщениями на этом прекрасном форуме), или почему? Связано с особенностями национального госта-2012 для ЭП и “подстроенных” под него СКЗИ?
На основании личного опыта
, которое написал в этом сообщении
:
Wmffre пишет: Единственное, что могу сказать почти наверняка – во всех этих случаях, как тогда, так и сейчас, эти редкие проблемы возникали только у тех, у кого сертификат пользователя был установлен в контейнер закрытого ключа.
А также на основе следующего соображения: так как контейнер закрытого ключа с сертификатом пользователя внутри – это более сложная структура по сравнению с контейнером без сертификата, то потенциально может быть больше проблем в первом случае.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
12 июль 2019 15:55 – 12 июль 2019 16:03 #12895
от Alex_04
Wmffre пишет: Обратите внимание! При установке сертификата пользователя через КриптоПро CSP обязательно убирайте галочку “Установить сертификат в контейнер”. При подписании через Jinn-client сертификат пользователя не будет на флешке/токене, его надо будет выбирать в “Сертификаты”.
Или я чего-то пропустил (не получалось в последние месяцы тщательно следить за сообщениями на этом прекрасном форуме), или почему? Связано с особенностями национального госта-2012 для ЭП и “подстроенных” под него СКЗИ?
На основании личного опыта…
А как же быть с этим в том самом сообщении:
Wmffre пишет: Jinn-client видит сертификаты пользователей, установленные в контейнеры.
Приведенная далее ситуация
Он перестаёт видеть их после установки XC/eXtended Container только в том случае, если длина организации больше 127 символов.
– это исключение из правила, ибо, как Вы правильно заметили, “все эти случаи очень редки.” Поэтому с дальнейшим вполне соглашусь, что
эти редкие проблемы возникали только у тех, у кого сертификат пользователя был установлен в контейнер закрытого ключа.
Но всё с той же оговоркой: в редких случаях, а не у всех поголовно.
Да с переходм на серты по ГОСТ-2012 вся работа в ЭБ и само ПО СКЗИ под него стали потенциально опасными для здоровья, особенно психического!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
16 июль 2019 12:51 #12930
от gurazor
AGVolk пишет: При копировании: Ошибка 0x80090003: Плохой ключ
При установке сертификата еще ругается на неправильный тип?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
16 авг 2019 07:35 – 16 авг 2019 07:37 #13257
от ЭфДиЭй
Столкнулись с такой же проблемой, сначала очень долго подписывались документы в ЭБ, обновили страницу, выкинуло из системы, при входе окошко с бесконечным выбором сертификата, затем появилась ошибка подписи в СУФД, при попытке скопировать ЭП с токена, КриптоПРО (Win10, 4.0.9963) выдало ошибку:
Ошибка копирования контейнера .Aladdin Token JC 0 СУФД 30.04.20:
Ошибка 0x80090003: Плохой ключ.
Результат тестирования:
Проверка завершилась с ошибкой:
Контейнер закрытого ключа пользователя
имя СУФД 30.04.20
уникальное имя SCARDETOKEN_JAVA_00a0a625CC00F8B3
FQCN .Aladdin Token JC 030.04.20
проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа Ошибка 0x80090003: Плохой ключ.
Ключ подписи отсутствует
загрузка ключей Ошибка 0x8009000A: Указан неправильный тип.
Версия контейнера 2
Расширения контейнера
некритическое Расширение контейнера КриптоПро CSP. Срок действия ключа обмена
действителен по 18 апреля 2020 г. 22:30:22
Экспортировать pfx файл не получается:
Мастер экспорта сертификатов
Произошла ошибка при экспорте закрытого ключа. Экспорт этого закрытого ключа невозможен.
Что-то можно ещё сделать или только перевыпуск?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
16 авг 2019 15:20 – 16 авг 2019 15:24 #13267
от Wmffre
ЭфДиЭй пишет: Что-то можно ещё сделать или только перевыпуск?
Удалите установленное Криптопро CSP 4.0.9963, затем запустите командную строку по правой кнопке мыши, выбрав “Запуск от имени администратора”. В командной строке запустите
cspclean.exe
. Затем перезагрузите компьютер и установите более новую версию Криптопро CSP 4.0.9969 (несертифицированная, чтобы скачать необходимо зарегистрироваться на сайте Криптопро) или же туже самую версию Криптопро CSP 4.0.9963 (сертифицированная). После попробуйте экспортировать контейнер закрытого ключа с сертификатом
в файл pfx
. Теперь экспорт должен пройти без ошибок.
При установке сертификата пользователя через Криптопро всегда убирайте галочку “Установить сертификат в контейнер”, также в конце etoken PKI Client также будет предлагать установить сертификат в контейнер – нажимайте кнопку “Cancel” на это предложение. Тогда в Электронном бюджете сертификат пользователя выбирайте не на носителе (так как на нём его не будет), а из “Сертификаты”.
Наличие/отсутсвие сертифката пользователя в контейнере закрытого ключа можно проверить через Критопро CSP 4.0, выбрав “Просмотреть сертификаты в контейнере”.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 авг 2019 11:56 – 19 авг 2019 11:56 #13277
от Alex_04
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Инструменты бухгалтера
Получайте новости от наших экспертов дважды в месяц
#azure #docker #azure-container-instances #ejbca #containerd
#azure #docker #azure-container-instances #ejbca #контейнер
Вопрос:
Когда я пытаюсь создать экземпляр контейнера Azure для EJBCA-ce, я получаю сообщение об ошибке и не вижу никаких журналов.
Я ожидаю следующего результата : 
Но я получаю следующую ошибку :
Failed to start container my-azure-container-resource-name, Error response: to create containerd task: failed to create container e9e48a_________ffba97: guest RPC failure: failed to find user by uid: 10001: expected exactly 1 user matched '0': unknown
Некоторый контекст:
Я запускаю контейнер в экземпляре azure cloud container
Я попытался
- из шаблона ARM
- с портала Azure.
- с подключенным общим файлом
- с переменной env базы данных
- без каких-либо переменных env
Локально он работает нормально, используя ту же переменную env (конфигурация базы данных). Раньше он запускался с той же конфигурацией пару недель назад.
Вот несколько журналов, которые я получаю, когда я подключаю группу контейнеров из командной строки az.
(count: 1) (last timestamp: 2020-11-03 16:04:32 00:00) pulling image "primekey/ejbca-ce:6.15.2.3"
(count: 1) (last timestamp: 2020-11-03 16:04:37 00:00) Successfully pulled image "primekey/ejbca-ce:6.15.2.3"
(count: 28) (last timestamp: 2020-11-03 16:27:52 00:00) Error: Failed to start container aci-pulsy-ccm-ejbca-snd, Error response: to create containerd task: failed to create container e9e48a06807fba124dc29633dab10f6229fdc5583a95eb2b79467fe7cdffba97: guest RPC failure: failed to find user by uid: 10001: expected exactly 1 user matched '0': unknown
Извлечение файла dockerfile из dockerhub
Я подозреваю, что проблема может быть связана с командами USER 0 , и USER 10001 мы несколько раз находили в dockerfile.
COPY dir:89ead00b20d79e0110fefa4ac30a827722309baa7d7d74bf99910b35c665d200 in /
/bin/sh -c rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7
CMD ["/bin/bash"]
USER 0
COPY dir:893e424bc63d1872ee580dfed4125a0bef1fa452b8ae89aa267d83063ce36025 in /opt/primekey
COPY dir:756f0fe274b13cf418a2e3222e3f6c2e676b174f747ac059a95711db0097f283 in /licenses
USER 10001
CMD ["/opt/primekey/wildfly-14.0.1.Final/bin/standalone.sh" "-b" "0.0.0.0"
MAINTAINER PrimeKey Solutions AB
ARG releaseTag
ARG releaseEdition
Шаблон ARM
{
"type": "Microsoft.ContainerInstance/containerGroups",
"apiVersion": "2019-12-01",
"name": "[variables('ejbcaContainerGroupName')]",
"location": "[parameters('location')]",
"tags": "[variables('tags')]",
"dependsOn": [
"[resourceId('Microsoft.DBforMariaDB/servers', variables('ejbcaMariadbServerName'))]",
"[resourceId('Microsoft.DBforMariaDB/servers/databases', variables('ejbcaMariadbServerName'), variables('ejbcaMariadbDatabaseName'))]"
],
"properties": {
"sku": "Standard",
"containers": [
{
"name": "[variables('ejbcaContainerName')]",
"properties": {
"image": "primekey/ejbca-ce:6.15.2.3",
"ports": [
{
"protocol": "TCP",
"port": 443
},
{
"protocol": "TCP",
"port": 8443
}
],
"environmentVariables": [
{
"name": "DATABASE_USER",
"value": "[concat(parameters('mariadbUser'),'@', variables('ejbcaMariadbServerName'))]"
},
{
"name": "DATABASE_JDBC_URL",
"value": "[variables('ejbcaEnvVariableJdbcUrl')]"
},
{
"name": "DATABASE_PASSWORD",
"secureValue": "[parameters('mariadbAdminPassword')]"
}
],
"resources": {
"requests": {
"memoryInGB": 1.5,
"cpu": 2
}
}
,
"volumeMounts": [
{
"name": "certificates",
"mountPath": "/mnt/external/secrets"
}
]
}
}
],
"initContainers": [],
"restartPolicy": "OnFailure",
"ipAddress": {
"ports": [
{
"protocol": "TCP",
"port": 443
},
{
"protocol": "TCP",
"port": 8443
}
],
"type": "Public",
"dnsNameLabel": "[parameters('ejbcaContainerGroupDNSLabel')]"
},
"osType": "Linux",
"volumes": [
{
"name": "certificates",
"azureFile": {
"shareName": "[parameters('ejbcaCertsFileShareName')]",
"storageAccountName": "[parameters('ejbcaStorageAccountName')]",
"storageAccountKey": "[parameters('ejbcaStorageAccountKey')]"
}
}
]
}
}
Он отлично работает на моем локальном компьютере в Linux (ubuntu 20.04)
docker run -it --rm -p 8080:8080 -p 8443:8443 -h localhost -e DATABASE_USER="mymaridbuser@my-db" -e DATABASE_JDBC_URL="jdbc:mariadb://my-azure-domain.mariadb.database.azure.com:3306/ejbca?useSSL=true" -e DATABASE_PASSWORD="my-pwd" primekey/ejbca-ce:6.15.2.3
Комментарии:
1. Похоже, что Azure не использует пользователей для Docker, или, возможно, они используют другую среду выполнения контейнера, а не сам Docker. Возможно, вы можете использовать этот образ из Azure market place, потому что, если это не сработает, вы можете получить поддержку от Bitnami: azuremarketplace.microsoft.com/en-us/marketplace/apps /…
Ответ №1:
Я думаю, что в образе контейнера EJBCA-ce они пытаются предоставить пользователя, отличного от root запуска сервера EJBCA. Согласно документации Docker:
Инструкция ПОЛЬЗОВАТЕЛЯ задает имя пользователя (или UID) и, при необходимости, группу пользователей (или GID) для использования при запуске образа и для любых инструкций RUN, CMD и ENTRYPOINT, которые следуют за ним в файле Dockerfile
В Dockerfile них ссылаются на двух пользователей root , соответствующих UID 0 , и еще одного с UID 10001 .
Как правило, в системах Linux и UNIX UID могут быть организованы в разных диапазонах: это во многом зависит от конкретной операционной системы и практики управления пользователями, но очень вероятно, что первой учетной записи пользователя, созданной в системе Linux, будет присвоен UID 1001 или 10001 , как в этом случае. Пожалуйста, посмотрите, например, Запись UID в Википедии или в этой статье.
AFAIK, USER указанное не обязательно должно существовать в вашем контейнере для его корректного запуска: фактически, если вы запустите его локально, он запустится без дальнейших проблем.
Пользователь с UID 10001 будет фактически настроен в вашем контейнере с помощью скрипта, который запускается в CMD Dockerfile , /opt/primekey/bin/start.sh , с помощью этого фрагмента кода:
if ! whoami amp;> /dev/null; then
if [ -w /etc/passwd ]; then
echo "${APPLICATION_NAME}:x:$(id -u):0:${APPLICATION_NAME} user:/opt:/sbin/nologin" >> /etc/passwd
fi
fi
Пожалуйста, имейте в виду, что APPLICATION_NAME в этом контексте принимает значение ejbca и что пользователь, который запускает этот скрипт, как указано в Dockerfile , является 10001 . Это будет значение, указанное командой id -u в этом коде.
Вы можете проверить это, если запустите свой контейнер локально:
docker run -it -p 8080:8080 -p 8443:8443 -h localhost primekey/ejbca-ce:6.15.2.3
И инициализируйте bash его:
docker exec -it container_name /bin/bash
Если вы запустите whoami , он сообщит вам ejbca .
Если вы запустите id его, он выдаст вам следующий вывод:
uid=10001(ejbca) gid=0(root) groups=0(root)
Вы также можете проверить существование пользователя /etc/passwd в:
bash-4.2$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
ejbca:x:10001:0:ejbca user:/opt:/sbin/nologin
Причина, по которой Пьер не получил этот вывод, заключается в том, что он запустил контейнер, перезаписав предоставленный CMD и, как следствие, не выполнив start.sh сценарий, ответственный за создание пользователя, как упоминалось выше.
По какой-либо причине, и именно здесь мои знания подводят меня, когда Azure пытается запустить ваш контейнер, он терпит неудачу, потому USER 10001 что идентифицированный в Dockerfile не существует.
Я думаю, это может быть связано с использованием containerd вместо docker .
Ошибка, о которой сообщает Azure, похоже, связана с Microsoft project opengcs.
Они говорят о проекте:
Open Guest Compute Service — это проект Linux с открытым исходным кодом для дальнейшей разработки качественной реализации Linux Hyper-V container в Windows (LCOW). Он предназначен для запуска внутри пользовательской ОС Linux для поддержки полезной нагрузки контейнера Linux.
И:
Основное внимание в LCOW v2 в качестве замены LCOW v1 уделяется координации и работе, которая была проделана в containerd / containerd и его интерфейсе Runtime V2. Чтобы увидеть нашу прокладку на стороне хоста контейнера, пожалуйста, посмотрите здесь Microsoft/hcsshim/cmd/containerd-shim-runhcs-v1.
Ошибка, которую вы видите в консоли, вызвана spec.go файлом, который вы можете найти в их базе кода, когда они пытаются установить пользователя, от имени которого должен быть запущен процесс контейнера:
func setUserID(spec *oci.Spec, uid int) error {
u, err := getUser(spec, func(u user.User) bool {
return u.Uid == uid
})
if err != nil {
return errors.Wrapf(err, "failed to find user by uid: %d", uid)
}
spec.Process.User.UID, spec.Process.User.GID = uint32(u.Uid), uint32(u.Gid)
return nil
}
Этот код выполняется другим фрагментом кода — вы можете увидеть полный код функции здесь:
parts := strings.Split(userstr, ":")
switch len(parts) {
case 1:
v, err := strconv.Atoi(parts[0])
if err != nil {
// evaluate username to uid/gid
return setUsername(spec, userstr)
}
return setUserID(spec, int(v))
И getUser функция:
func getUser(spec *oci.Spec, filter func(user.User) bool) (user.User, error) {
users, err := user.ParsePasswdFileFilter(filepath.Join(spec.Root.Path, "/etc/passwd"), filter)
if err != nil {
return user.User{}, err
}
if len(users) != 1 {
return user.User{}, errors.Errorf("expected exactly 1 user matched '%d'", len(users))
}
return users[0], nil
}
Как вы можете видеть, это именно те ошибки, о которых сообщает Azure.
В качестве резюме, я думаю, что они предоставляют решение Windows LCOW, которое соответствует спецификации формата изображения OCI, подходящей для запуска контейнеров containerd .
Как вы указали, если пару недель назад он запускался с той же конфигурацией, мой лучший гость заключается в том, что, возможно, они переключили ваши контейнеры с чистой containerd реализации среды выполнения Linux на реализацию, основанную на Windows и в вышеупомянутом программном обеспечении, и именно поэтому ваши контейнеры теперь выходят из строя.
Возможным обходным путем может быть создание пользовательского образа на основе официального, предоставленного PrimeKey, и создание пользователя 10001 , как также указал Пьер.
Для выполнения этой задачи сначала создайте новый пользовательский Dockerfile интерфейс . Вы можете попробовать, например:
FROM primekey/ejbca-ce:6.15.2.3
USER 0
RUN echo "ejbca:x:10001:0:ejbca user:/opt:/sbin/nologin" >> /etc/passwd
USER 10001
Пожалуйста, обратите внимание, что вам может потребоваться определить некоторые переменные среды из официального образа EJBCA.
С помощью этого Dockerfile вы можете создать свой образ с docker помощью или docker compose с соответствующим docker-compose.yaml файлом, что-то вроде:
version: "3"
services:
ejbca:
image: <your repository>/ejbca
build: .
ports:
- "8080:8080"
- "8443:8443"
Пожалуйста, настройте его так, как считаете нужным.
При такой настройке новый контейнер по-прежнему будет правильно работать в локальной среде так же, как и исходный: я надеюсь, что так будет и в Azure.
Комментарии:
1. @MarcBouvier Я обновил ответ информацией, связанной с кодом, который, как я думаю, Microsoft использует в реализации контейнеров Azure. Как указано в ответе, они, вероятно, переключили ваши контейнеры с реализации среды выполнения Linux containerd на реализацию, основанную на Windows и в указанном программном обеспечении, и именно поэтому ваши контейнеры теперь выходят из строя. Боюсь, что четкого решения вашей проблемы нет. Мой лучший совет — попробуйте некоторые из предложенных обходных путей или обратитесь в службу поддержки Microsoft.
2. Вот ответ от службы поддержки Azure. Похоже, это соответствует вашей гипотезе. «Для изображения требуется несколько пользователей hub.docker.com/layers/primekey/ejbca-ce/6.15.2.3/images/… который не поддерживается во время выполнения контейнера «. Они предлагают «закрепить подписку на развертывание только в контейнерной инфраструктуре» в качестве резолюции.
3. Я углубился в детали ваших новых входных данных. Спасибо за такой подробный ответ. Позвольте мне принять ваш ответ, когда разрешение запроса в службу поддержки подтвердит ваш ответ.
4. @MarcBouvier Большое вам спасибо, я действительно ценю, что вы создали новую награду для присуждения существующего ответа, в этом не было необходимости. Пожалуйста, если вам когда-нибудь понадобится какая-либо помощь, дайте мне знать, я буду рад помочь, если смогу.
5. Все в порядке, @MarcBouvier. Я очень рад слышать, что вы наконец смогли развернуть ejbca. Кстати, отличный продукт!
Ответ №2:
Пользователь с UID 10001 не существует в вашем изображении. Это не мешает USER работе команды в вашем Dockerfile или недопустимости самого изображения, но, похоже, вызывает проблемы с контейнером Azure.
Я не могу найти документ или какую-либо ссылку на то, почему он не работает в Azure (будет обновлен, если это так), но добавление пользователя в изображение должно решить проблему. Попробуйте добавить что-то подобное в свой Dockerfile, чтобы создать пользователя с UID 10001 (это должно быть сделано от имени пользователя root, то есть с пользователем 0 ) :
useradd -u 10001 myuser
Дополнительные примечания для просмотра пользователя 10001 не существует:
# When running container, not recognized by system
$ docker run docker.io/primekey/ejbca-ce:6.15.2.3 whoami
whoami: cannot find name for user ID 10001
# Not present in /etc/passwd
$ docker run docker.io/primekey/ejbca-ce:6.15.2.3 cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
На чтение 15 мин. Просмотров 139 Опубликовано 09.11.2022
07 июнь 2018 12:23 – 07 июнь 2018 12:28 #7546
от Alex_04
two_oceans пишет: ничего не мешает убрать “веселые картинки” самим
Если за компом – толковый сисадмин, а не рядовые pressanykey-щики, коих подавляющее большинство. Не знаю как в других регионах, но в сельсоветах нашего фактически 1 главбух = “узкий специалист широкого профиля” (с): и жнец, и спец, и вообще …дец. Сисадминов там вообще не было никогда, нет и не будет наверняка. Так что этот вариант – совсем не вариант, к сожалению.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Причина:
Данная ошибка (0х80090020) возникает, если приложение ITCOM запущено не от имени администратора.
Решение:
- Требуется открыть диспетчер задач, для этого нажмите правой кнопкой мыши на панель задач
- Найти процесс отвечающий за приложение ITCOM (Рисунок 1), выбрать его и нажать «снять задачу»
- Открыть Мой компьютер/Этот компьютер, выбрать диск «С»
- Зайти на диск «С», папку «ITCOM» и запустить приложение crmagent.exe от имени администратора (Рисунок 2)
рис. 2
- После проделанных действий провести генерацию повторно.
Остались вопросы? Как мы можем помочь?
/Внутренняя ошибка (CSP). (0x80090020)
Внутренняя ошибка (CSP). (0x80090020)
Текст ошибки:
Произошла ошибка при шифровании сообщения
Произошла ошибка при открытии сообщения для кодирования
Внутренняя ошибка (CSP). (0x80090020)
Как выглядит ошибка:
Решение
Чаще всего проблема возникает из-за конфликта криптопровайдеров КриптоПро CSP и VipNet CSP. При наличии двух этих криптопровайдеров на одном рабочем месте необходимо в настройках VipNet CSP во вкладке “Дополнительно” отключить настройку “Поддержка работы ViPNet CSP через Microsoft CryptoAPI”. После изменения компьютер перезагрузится. Ошибка будет исправлена.
Если конфликтующего криптопровайдера не установлено и используется только КриптоПро CSP, то выполните восстановление настроек реестра утилитой.
Если предложенные действия не помогли, напишите нам на support@trusted.ru.
Ошибка 0х8007065B или «Ошибка исполнения функции» может возникать при работе с сертификатом на торговых площадках или информационных системах из-за отсутствия лицензии на программу Крипто Про CSP.
- Если Ваш сертификат без встроенной лицензии:
Убедитесь, что лицензия на КриптоПро CSP введена и действует.
Для этого найдите «КриптоПро CSP» в программах в меню «Пуск». Во вкладке «Общие» будет указан «Срок действия».
Если лицензия «Истекла» и у Вас есть бланк с актуальной лицензией, введите серийный номер из бланка нажав на кнопку «Ввод лицензии». Подробнее — Как ввести лицензию КриптоПро CSP.
Если лицензии на КриптоПро CSP у Вас нет, Вы можете приобрести её у нас. Для этого позвоните по бесплатному номеру 8 (800) 550-87-19 доб. 2500.
2. Если ваш сертификат со встроенной лицензией:
Убедитесь, что используется КриптоПро не ниже версии 4.0 и сертификат электронной подписи установлен.
В сертификате есть встроенная лицензия, если в открытом ключе сертификата на вкладке «Состав» присутствует поле «Ограниченная лицензия Крипто-Про».
Остались вопросы? Как мы можем помочь?
- Если ваш криптопровайдер КриптоПро CSP и выходит данная ошибка, вам требуется: перезапустить приложение Айтиком и Настройте ДСЧ в КриптоПро CSP
Решение:
Рис.1
- Затем заходите в программу КриптоПро CSP. (Рисунок 2)
Рис.2
- После открытия приложения нажимаем «Запустить с правами администратора» (Рисунок 3)
Рис.3
- Затем входим во вкладку оборудование и выбираем пункт «Настроить ДСЧ…» (Рисунок 4)
Рис. 4
Рис. 5
Рис. 6
- После выполненных действий заходим на Диск (с) в папку ITCOM и запускаем от имени администратора приложение crm-agent (Рис.7)
Рис. 7
2. Если ваш криптопровайдер VipNet CSP и выходит данная ошибка, вам требуется: открыть панель управления ->Программы и компоненты -> Удаление программ -> выбрать программу «VipNet CSP» и нажать «Изменить» в новом окне выбрать «Восстановить»
после восстановления перезагрузите приложение Айтиком:
- После выполненных действий заходим на Диск (с) в папку ITCOM и запускаем от имени администратора приложение crm-agent
После выполненных действий повторяем действия генерации по ссылке из письма
Остались вопросы? Как мы можем помочь?
Отказано в доступе. (0x80090010)
Текст ошибки:
Ошибка сохранения сообщения (0x80004005)
Ошибка сохранения сообщения (0x80004005)
Произошла ошибка при создании подписи
Произошла ошибка при определении размера закодированного сообщения
Отказано в доступе. (0x80090010)
Как выглядит ошибка:
Решение
Переустановите ваш сертификат через КриптоПро CSP так: Перейдите на вкладку Сервис, далее Просмотреть сертификаты в контейнере, затем Обзор, выберите контейнер и нажмите Установить.
Если переустановка не поможет, то проверьте контейнер ключа при помощи кнопки Протестировать на той же вкладке. Если в результате тестирования возникнет ошибка “Использование ключа обмена запрещено. Срок действия закрытого ключа истек. Срок действия закрытого ключа не может превышать 3 года для неизвлекаемых ключей, хранящихся на ФКН и на HSM, и 1 год 3 месяца для прочих ключей”, то подписать этим сертификатом вам не удастся, нужно получить новый сертификат.
Также вероятная причина ошибки это ограничение прав доступа к ресурсу, на котором находится ключевой контейнер. Например в следующей статье описана похожая ошибка на серверной Windows, где причиной было ограничение прав пользователя к флешке на которой находился ключевой контейнер.
Также возможно ограничение прав на ветку реестра с контейнером, так как понадобятся не только права чтения, но и права записи.
Ключи носителя “реестр” КриптоПро CSP хранит в следующей ветке реестра:
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsUsers<SID пользователя>Keys
Пользователю в разрешениях (доступно из контекстного меню для ветки реестра) должен быть предоставлен полный доступ (начиная с раздела ).
Если не получается исправить эту ошибку добавлением прав пользователя для носителя контейнера, то с этим вопросом стоит обратиться в техподдержку компании КриптоПРО.
Указан неправильный алгоритм (0x80090008)
Текст ошибки:
Ошибка сохранения сообщения (0x80004005)
Ошибка сохранения сообщения (0x80004005)
Произошла ошибка при сохранении данных
Ошибка загрузки данных
Произошла ошибка при добавлении данных в сообщение
Указан неправильный алгоритм. (0x80090008)
Как выглядит ошибка:
Решение
В большинстве случаев ошибка Указан неправильный алгоритм (0x80090008) решается переустановкой сертификата подписи. Переустановить сертификат можно несколькими способами:
1. В программе КриптоАРМ так, как показано в видео инструкции.
2. В личном хранилище сертификатов КриптоАРМа найдите ваш сертификат, выделите нажав на него курсором мыши. Нажмите на кнопку Экспорт, в открывшемся окне мастера нажмите Далее, в следующем окне обязательно укажите НЕТ НЕ ЭКСПОРТИРОВАТЬ ЗАКРЫТЫЙ КЛЮЧ, в мастере экспорта выберите кодировку DER, нажав кнопку Обзор поместите его на рабочий стол под любым именем. Удалять сертификат из личного хранилища при этом не нужно. Затем снова импортируйте его в личное хранилище, используя кнопку Импорт на панели инструментов, в мастере импорта сертификатов установите чекбоксы Установить личный сертификат и Поместить сертификат в контейнер. Далее понадобится выбрать криптопровайдер и контейнер вручную. После успешного импорта сертификата повторите подписание.
3.Также переустановку сертификата можно выполнить через КриптоПро CSP. Для этого откройте программу КриптоПро CSP и перейдите во вкладку Сервис. Затем нажмите на кнопки Просмотреть сертификаты в контейнере и Обзор. Выберите нужный контейнер и нажмите кнопку Ok, а после Установить. Снова повторите подписание.
После выполненных переустановок сертификата, если ошибка возникнет снова, войдите в КриптоАРМ в меню Профили, далее Управление профилями, откройте профиль по умолчанию (он помечен зеленой галочкой в списке), перейдите на вкладку Общие. Здесь в поле Владелец сертификата добавьте этот сертификат, нажмите Применить и ОК. После этого повторите подписание.
08 июль 2019 07:38 #12819
от AGVolk
При попытке подисать в ЭБ сильно тупит Jinn
В итоге обычно подписывает, но уже 2 раз при подписании зависает, после чего просит обновить сессию и уже не заходит в ЭБ
Крипта при тестировании выдает картинку:
Проверка завершилась с ошибкой
Контейнер закрытого ключа пользователя
имя Кожевникова Елена Максимовна 327065047
уникальное имя SCARDETOKEN_PRO_54A44A052F27CC0032AC
FQCN .AKS ifdh 0Кожевникова Елена Максимовна 327065047
проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа Ошибка 0x80090003: Плохой ключ.
Ключ подписи отсутствует
загрузка ключей Ошибка 0x8009000A: Указан неправильный тип.
Версия контейнера 2
Расширения контейнера
некритическое Расширение контейнера КриптоПро CSP. Срок действия ключа обмена
действителен по 27 июня 2020 г. 6:51:49
Подлежит ли ключ восстановлению?
PS есть и второй компьютер, там джин просто не видит сертификаты на токенах, длинна названия организации 77 символов. Раньше через один комп хотя бы подписывали, но если он и дальше будет портить ключи…
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
08 июль 2019 09:03 #12820
от Gvinpin
AGVolk пишет: Крипта при тестировании выдает картинку:
Проверка завершилась с ошибкой …
Подлежит ли ключ восстановлению?
Не написано, что экспорт ключа запрещен, вероятно, ключ экспортируемый. Попробуйте скопировать контейнер на флешку и проверить подписание с флешки.
______________________________
Как получилось, так и хотели (c)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
08 июль 2019 09:51 – 08 июль 2019 10:05 #12822
от Wmffre
- Удалите КриптоПро CSP
- Очистите от следов установки Криптопро утилитой
cspclean.exe - Перезагрузитесь
- Установите версию КриптоПро CSP 4.0.9944 (если Windows 7SP1), КриптоПро CSP 4.0.9969 (если Windows 10, скачав с сайта КриптоПро).
- После этого тестируйте контейнер через Криптопро CSP.
Это другая проблема другого компьютера. Посмотрите
это сообщение
.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
09 июль 2019 01:54 #12824
от AGVolk
При копировании: Ошибка 0x80090003: Плохой ключ
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
09 июль 2019 02:12 #12825
от AGVolk
1) по поводу крипты и не только:
У меня с десяток машин с криптой, которые стабильно работают со своими подписями с сбис, крипто арм и просто сайтами через плагины. При проверке контейнера на них итогом тоже самое сообщение о плохом ключе. И вобще все эти чрезвычайно доставляющие ситуации возникают только на машинах для ЭБ и СУФД с джином и континентом тлс, за что так и хочется сказать спасибо тем кто напридумывал такие схемы для работы ЭБ.
Сертификат на токене читается нормально и нормально устанавливается. Целостность контейнера тоже вроде как в норме. Какая в итоге проблема с ключом не понятно. Я грешу на порты, так как машина старая и была взята со склада меньше месяца назад, и данная проблема только на ней.
2) Насчет другой машины: етокены она видит, не видит сертификаты. Причем началось это недели 2 назад до этого все работало.
Я собираюсь снести на ней крипту, тлс и джин и установить по новой. Что из этого выйдет напишу.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
09 июль 2019 02:56 – 09 июль 2019 03:00 #12826
от Wmffre
AGVolk пишет: При копировании: Ошибка 0x80090003: Плохой ключ
Вот в таких случаях сначала переустанавливают КриптоПро CSP, обязательно воспользовавшись утилитой cspclean.exe В этом случае Вы будете уверены, что после установки КриптоПро CSP уже точно исправное.
После этого необходимо создать контейнер без установленного сертификата пользователя внутри – смотрите
инструкцию
(только дату переводить не надо).
Обратите внимание! При установке сертификата пользователя через КриптоПро CSP обязательно
убирайте галочку
“Установить сертификат в контейнер”. При подписании через Jinn-client сертификат пользователя не будет на флешке/токене, его надо будет выбирать в “Сертификаты”.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
09 июль 2019 06:29 #12827
от AGVolk
Крипту переустановил винда 7, версия 4.0.9963. Контейнер оказался защищен от копирования, как и остальные казначейские (раньше не интересовался, сейчас проверил). Тестирование выдает все тоже самое.
На другом компе удалил джин, тлс и хс. Поставил джин, потом тлс, удалил екстендет, поставил хс. Джин начал видеть сертификаты на токенах.
Прикол в том, что обычно этого хватает на 3-4 недели, потом приходится повторять.
Обратите внимание! При установке сертификата пользователя через КриптоПро CSP обязательно убирайте галочку “Установить сертификат в контейнер”. При подписании через Jinn-client сертификат пользователя не будет на флешке/токене, его надо будет выбирать в “Сертификаты”.
Пробовал я в свое время не писать сертификаты на токен, а тянуть их так, безрезультатно.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
09 июль 2019 07:06 – 09 июль 2019 11:09 #12828
от Wmffre
AGVolk пишет: Пробовал я в свое время не писать сертификаты на токен, а тянуть их так, безрезультатно.
Если хотя бы один раз сертификат пользователя был установлен в контейнер, то потом он всегда будет внутри контейнера. Поэтому безрезультатно.
Проблема у Вас с контейнером – проверить это очень просто: на чистом компьютере устанавливаете КриптоПро CSP (все другие программы не устанавливаете), вставляете етокен и нажимаете кнопку “Протестировать”. Если ошибка есть, то проблема в контейнере закрытого ключа.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
12 июль 2019 12:57 #12893
от Alex_04
Wmffre пишет: Обратите внимание! При установке сертификата пользователя через КриптоПро CSP обязательно убирайте галочку “Установить сертификат в контейнер”. При подписании через Jinn-client сертификат пользователя не будет на флешке/токене, его надо будет выбирать в “Сертификаты”.
Или я чего-то пропустил (не получалось в последние месяцы тщательно следить за сообщениями на этом прекрасном форуме), или почему? Связано с особенностями национального госта-2012 для ЭП и “подстроенных” под него СКЗИ?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
12 июль 2019 13:19 #12894
от Wmffre
Wmffre пишет: Обратите внимание! При установке сертификата пользователя через КриптоПро CSP обязательно убирайте галочку “Установить сертификат в контейнер”. При подписании через Jinn-client сертификат пользователя не будет на флешке/токене, его надо будет выбирать в “Сертификаты”.
Или я чего-то пропустил (не получалось в последние месяцы тщательно следить за сообщениями на этом прекрасном форуме), или почему? Связано с особенностями национального госта-2012 для ЭП и “подстроенных” под него СКЗИ?
На основании личного опыта
, которое написал в этом сообщении
:
Wmffre пишет: Единственное, что могу сказать почти наверняка – во всех этих случаях, как тогда, так и сейчас, эти редкие проблемы возникали только у тех, у кого сертификат пользователя был установлен в контейнер закрытого ключа.
А также на основе следующего соображения: так как контейнер закрытого ключа с сертификатом пользователя внутри – это более сложная структура по сравнению с контейнером без сертификата, то потенциально может быть больше проблем в первом случае.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
12 июль 2019 15:55 – 12 июль 2019 16:03 #12895
от Alex_04
Wmffre пишет: Обратите внимание! При установке сертификата пользователя через КриптоПро CSP обязательно убирайте галочку “Установить сертификат в контейнер”. При подписании через Jinn-client сертификат пользователя не будет на флешке/токене, его надо будет выбирать в “Сертификаты”.
Или я чего-то пропустил (не получалось в последние месяцы тщательно следить за сообщениями на этом прекрасном форуме), или почему? Связано с особенностями национального госта-2012 для ЭП и “подстроенных” под него СКЗИ?
На основании личного опыта…
А как же быть с этим в том самом сообщении:
Wmffre пишет: Jinn-client видит сертификаты пользователей, установленные в контейнеры.
Приведенная далее ситуация
Он перестаёт видеть их после установки XC/eXtended Container только в том случае, если длина организации больше 127 символов.
– это исключение из правила, ибо, как Вы правильно заметили, “все эти случаи очень редки.” Поэтому с дальнейшим вполне соглашусь, что
эти редкие проблемы возникали только у тех, у кого сертификат пользователя был установлен в контейнер закрытого ключа.
Но всё с той же оговоркой: в редких случаях, а не у всех поголовно.
Да с переходм на серты по ГОСТ-2012 вся работа в ЭБ и само ПО СКЗИ под него стали потенциально опасными для здоровья, особенно психического!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
16 июль 2019 12:51 #12930
от gurazor
AGVolk пишет: При копировании: Ошибка 0x80090003: Плохой ключ
При установке сертификата еще ругается на неправильный тип?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
16 авг 2019 07:35 – 16 авг 2019 07:37 #13257
от ЭфДиЭй
Столкнулись с такой же проблемой, сначала очень долго подписывались документы в ЭБ, обновили страницу, выкинуло из системы, при входе окошко с бесконечным выбором сертификата, затем появилась ошибка подписи в СУФД, при попытке скопировать ЭП с токена, КриптоПРО (Win10, 4.0.9963) выдало ошибку:
Ошибка копирования контейнера .Aladdin Token JC 0 СУФД 30.04.20:
Ошибка 0x80090003: Плохой ключ.
Результат тестирования:
Проверка завершилась с ошибкой:
Контейнер закрытого ключа пользователя
имя СУФД 30.04.20
уникальное имя SCARDETOKEN_JAVA_00a0a625CC00F8B3
FQCN .Aladdin Token JC 030.04.20
проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа Ошибка 0x80090003: Плохой ключ.
Ключ подписи отсутствует
загрузка ключей Ошибка 0x8009000A: Указан неправильный тип.
Версия контейнера 2
Расширения контейнера
некритическое Расширение контейнера КриптоПро CSP. Срок действия ключа обмена
действителен по 18 апреля 2020 г. 22:30:22
Экспортировать pfx файл не получается:
Мастер экспорта сертификатов
Произошла ошибка при экспорте закрытого ключа. Экспорт этого закрытого ключа невозможен.
Что-то можно ещё сделать или только перевыпуск?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
16 авг 2019 15:20 – 16 авг 2019 15:24 #13267
от Wmffre
ЭфДиЭй пишет: Что-то можно ещё сделать или только перевыпуск?
Удалите установленное Криптопро CSP 4.0.9963, затем запустите командную строку по правой кнопке мыши, выбрав “Запуск от имени администратора”. В командной строке запустите
cspclean.exe
. Затем перезагрузите компьютер и установите более новую версию Криптопро CSP 4.0.9969 (несертифицированная, чтобы скачать необходимо зарегистрироваться на сайте Криптопро) или же туже самую версию Криптопро CSP 4.0.9963 (сертифицированная). После попробуйте экспортировать контейнер закрытого ключа с сертификатом
в файл pfx
. Теперь экспорт должен пройти без ошибок.
При установке сертификата пользователя через Криптопро всегда убирайте галочку “Установить сертификат в контейнер”, также в конце etoken PKI Client также будет предлагать установить сертификат в контейнер – нажимайте кнопку “Cancel” на это предложение. Тогда в Электронном бюджете сертификат пользователя выбирайте не на носителе (так как на нём его не будет), а из “Сертификаты”.
Наличие/отсутсвие сертифката пользователя в контейнере закрытого ключа можно проверить через Критопро CSP 4.0, выбрав “Просмотреть сертификаты в контейнере”.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 авг 2019 11:56 – 19 авг 2019 11:56 #13277
от Alex_04
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Инструменты бухгалтера
Получайте новости от наших экспертов дважды в месяц
Содержание
- Почему компьютер не видит сертификат ЭЦП
- Почему компьютер не видит сертификат электронной подписи – основные причины
- Пошаговая инструкция решения проблемы
- Почему «КриптоПро CSP» может не видеть ключей
- Что делать при отсутствии своего сертификата в списке на странице «Ваши сертификаты»
- Что делать при возникновении ошибки «Ваша электронная подпись не прошла проверку на сервере»
- Исправление ошибки отсутствия в контейнере закрытого ключа сертификата ЭП
- Что может послужить причиной такой ошибки
- Решение ошибки: отсутствие электронного сертификата в контейнере закрытого ключа
- Особенности версий КриптоПро
- КриптоПро CSP Окно «Выбор ключевого контейнера» пустое либо в нем не отображается нужный контейнер
- ОСНОВНЫЕ ПОНЯТИЯ (если есть аббревиатуры, понятия и т.д.)
- Как исправить ошибку, если сертификат ЭЦП не виден на носителе
- Почему не виден сертификат ЭЦП на носителе
- Причина 1: драйвер не установлен или устройство отображается в диспетчере устройств с восклицательным знаком
- Причина 2: долгое опознание носителя на Windows 7
- Причина 3: USB-порт работает некорректно
- Причина 4: носитель неисправен
- Почему выходит ошибка при создании подписи
- Устранение ошибки ненайденного элемента ЭЦП
- Устранение ошибки с построением цепочки сертификатов
- КриптоПро не видит ключ: как исправить эту и другие ошибки в работе с ЭП
- Почему КриптоПро не видит ключ ЭЦП
- Ошибка КриптоПро «0x80090008»: указан неправильный алгоритм
- Удаление программы
- Установка актуального релиза
- КриптоПро 5.0
- КриптоПро PDF
- Техническое сопровождение
- КриптоПро вставлен другой носитель: как исправить
- Недостаточно прав для выполнения операции в КриптоПро
- Ошибка исполнения функции при подписании ЭЦП
- Ошибка при проверке цепочки сертификатов в КриптоПро
Почему компьютер не видит сертификат ЭЦП
При попытках заверения личных документов могут возникать ситуации, при которых система не видит сертификат электронной подписи. Это вызывает неудобства, т. к. для получения той или иной услуги требуется посещение учреждений. Устранить ошибку помогает правильная настройка системы, внесение некоторых изменений в реестр Windows.
Почему компьютер не видит сертификат электронной подписи – основные причины
Возникновению такой ошибки способствуют следующие факторы:
Пошаговая инструкция решения проблемы
Если флеш-накопитель с ЭЦП не работает, выполняют такие действия:
.jpg "компьютер не видит контейнер с эцп")
Почему «КриптоПро CSP» может не видеть ключей
В таком случае проверяют следующие параметры:
При установке плагина выполняют следующие действия:
Если ранее файлы были установлены неправильно и перенос на новый носитель не выполняется, очищают реестр операционной системы.
Для этого в меню CSP предусмотрена клавиша «Удалить пароли». Если приложения и надстройки работают без ошибок, а Event Log выдает ложную информацию, нужно сканировать файлы с помощью функции Sfc/scannow.
.jpg "компьютер не видит контейнер с эцп")
После этого выполняют повторную регистрацию компонентов посредством MSIExec/regserver.
Что делать при отсутствии своего сертификата в списке на странице «Ваши сертификаты»
Если подобный объект не был установлен, переходят на интернет-страницу удостоверяющего центра, скачивают и устанавливают компоненты личной электронной подписи. Если сертификат скачан ранее, проверяют правильность его загрузки. Для этого выполняют следующие действия:
Что делать при возникновении ошибки «Ваша электронная подпись не прошла проверку на сервере»
Необходимо получить открытый ключ цифровой подписи и направить в службу технической поддержки АТИ. Для извлечения объекта устанавливают «КриптоПро», выполняют следующие действия:
При правильном выполнении действий появляется сообщение о завершении переноса.
Источник
Исправление ошибки отсутствия в контейнере закрытого ключа сертификата ЭП
ЭЦП — довольно сложный цифровой продукт, обращение с которым в определенных ситуациях может потребовать некоторых навыков и знаний. Например, в ходе установки сертификатов ЭП посредством «КриптоПро» после выбора соответствующего ключевого контейнера нередко выдаются неприятные сообщения об ошибке вследствие отсутствия открытого шифровочного ключа, который необходим для обеспечения информационной безопасности, без чего система не будет принимать ЭЦП.
Такую ошибку несложно устранить без вызова специалиста или обращения в службу поддержки. Алгоритм действий, направленных на решение этой проблемы, приводится ниже.
Что может послужить причиной такой ошибки
Всплывающее окно со злополучным сообщением об ошибке появляется на экранах пользователей в тех случаях, если система не смогла обнаружить соответствующий ключ на носителе. Такая ситуация происходит при следующих действиях пользователей:
В целях устранения ошибки обычно бывает достаточно произвести корректную ручную переустановку сертификата.
Решение ошибки: отсутствие электронного сертификата в контейнере закрытого ключа
Для начала запускаем «КриптоПро» нажатием кнопки «Пуск». Затем выбираем «Настройку», в возникающем на мониторе окне заходим в опцию панели управления, далее «сервис – установить личный сертификат».
Далее, через кнопку «обзор» указываем путь, где сохранен открытый ключ – файл с расширением *.cert или *.crt
Жмём «Далее», в мастере установки сертификата мы увидим путь, который указывали до нашего сертификата.
Нам отображается информация, содержащаяся в открытом ключе на пользователя, жмём «далее»
В следующем окне можно воспользоваться двумя путями поиска нужного контейнера закрытого ключа:
В первом случае КриптоПро на основе данных из открытого ключа подберет закрытый, в случае с ручным поиском нужно будет знать название закрытого ключа, чтобы выбрать его для установки
Самый простой вариант выбрать автоматический поиск, затем после «обнаружения» необходимого контейнера, мы увидим заполненную строчку с его именем и после жмём «Далее»
Личный сертификат пользователя всегда устанавливается в хранилище «Личное», можно выбрать как вручную, так и КриптоПро может сделать это за вас по умолчанию, затем подтверждаем установку цепочки сертификатов и жмём «Далее»
В случае успешной установки КриптоПро выдаст окно с информацией об окончании процедуры и жмём «Готово»
Затем появится окно с подтверждением данной операции, жмём «ДА»
В следующем окне увидим информацию о том, что процесс окончен успешно. Сертификат установлен в контейнер закрытого ключа.
Особенности версий КриптоПро
С января 2019 года квалифицированные сертификаты могут выпускаться только по ГОСТ 2012, выпуск по другому ГОСТу прекращен. Мы об этом писали ранее в статье. Важно помнить, что версии криптопро на ГОСТ 2012 работают только с версии 4.0 и выше. Все старые версии КриптоПро, для нормальной работы, потребуется обновить или заменить на актуальную. Сделать это нужно не позднее 31 декабря 2019 года.
Источник
КриптоПро CSP Окно «Выбор ключевого контейнера» пустое либо в нем не отображается нужный контейнер
ОСНОВНЫЕ ПОНЯТИЯ (если есть аббревиатуры, понятия и т.д.)
Ключевой носитель (Электронный идентификатор) — это компактное устройство в виде USB-брелка, которое служит для авторизации пользователя в сети или на локальном компьютере, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения персональных данных.
Защищенный носитель — это компактное устройство, предназначенное для безопасного хранения электронной подписи. Представляет собой устройство в виде USB-флешки с защищенной паролем картой памяти, на которой хранится информация для создания электронной подписи. Обеспечивает двухфакторную аутентификацию пользователя: для работы необходимо вставить токен в USB-разъем компьютера и ввести пароль.
Рекомендации по решению проблемы зависят от типа ключевого носителя, на котором расположен контейнер:
Flash-накопитель
Если в качестве ключевого носителя используется flash-накопитель, необходимо выполнить следующие шаги:
1. Убедиться, что в что в корне носителя находится папка, содержащая файлы: header, masks, masks2, name, primary, primary2. Файлы должны иметь расширение.key, а формат названия папки должен быть следующим: xxxxxx.000
Если каких-либо файлов не хватает или их формат неверен, то, возможно, контейнер закрытого ключа был поврежден или удален.
Rutoken
Если в качестве ключевого носителя используется защищённый носитель Rutoken, необходимо выполнить следующие шаги:
1. Убедиться, что на рутокене горит лампочка. Если лампочка не горит, то следует воспользоваться следующими рекомендациями.
2. Обновить драйвер Rutoken (см. Как обновить драйвер Rutoken?).
3. Следует убедиться, что на Rutoken содержатся ключевые контейнеры. Для этого необходимо проверить количество свободной памяти на носителе, выполнив следующие шаги:
Если рутокен не виден в пункте «Считыватели» или при нажатии на кнопку «Информация» появляется сообщение «Состояние памяти ruToken не изменилось», значит, носитель был поврежден, необходимо обратиться к вашему менеджеру
В качестве ключевого носителя в сервисных центрах выдаются рутокены объемом памяти около 30000 байт. Один контейнер занимает объем порядка 4 Кб. Объем свободной памяти рутокена, содержащего один контейнер, составляет порядка 26 000 байт, двух контейнеров — 22 000 байт и т д.
Если объем свободной памяти рутокена составляет более 29-30 000 байт, то ключевые контейнеры на нем отсутствуют.
Реестр
Если в качестве ключевого носителя используется считыватель Реестр, необходимо выполнить следующие действия:
Убедиться, что в КриптоПро CSP настроен считыватель «Реестр». Для этого:
Если считыватель отсутствует, его необходимо добавить.
В качестве считывателей (устройств — носителей ключевой информации) могут использоваться flash-накопители, реестр, смарт-карты
Иногда некоторые считыватели могут быть отключены в КриптоПро CSP. Чтобы работать с такими носителями, нужно добавить соответствующие считыватели.
Чтобы добавить считыватели:
1. Запустите КриптоПро CSP от имени администратора.
2. На вкладке «Оборудование» нажмите кнопку «Настроить считыватели».
3. В появившемся окне нажмите «Добавить».
4. В Мастере установки считывателей выберите, какой считыватель добавить: «Все съемные диски», «Реестр», «Все считыватели смарт-карт».
5. Нажмите «Далее», задайте имя считывателя при необходимости, нажмите «Готово».
В некоторых случаях для корректной работы добавленного считывателя потребуется перезагрузка.
Если ни одно из предложенных выше решений не поможет устранить проблему, возможно, ключевой носитель был поврежден, вам необходимо будет обратиться к вашему менеджеру. Восстановить данные с поврежденного защищенного носителя или реестра невозможно.
Остались вопросы?
Отдел технической поддержки
Источник
Как исправить ошибку, если сертификат ЭЦП не виден на носителе
Иногда при работе с электронной цифровой подписью (ЭЦП) выходит ошибка о том, что ПК не видит сертификат подписи на носителе или о том, что при создании подписи была допущена ошибка. Причина может быть в неустановленном или переставшем работать драйвере, в неисправности токена или в неисправности программной части компьютера.
Почему не виден сертификат ЭЦП на носителе
Обычно проблема решается простой перезагрузкой компьютера и объясняется сбоем в работе программных компонентов. Но иногда для исправления ошибки нужно переустановить драйвера или обратиться в службу технической поддержки пользователей.
Причина 1: драйвер не установлен или устройство отображается в диспетчере устройств с восклицательным знаком
Если на носителе Рутокен ЭЦП не найдено ни одного сертификата, а в диспетчере устройств носитель отображается с восклицательным знаком, то проблема кроется в драйвере.
Для исправления ситуации нужно извлечь носитель ЭЦП из компьютера и скачать последнюю версию драйвера. Скачивание нужно производить только с официальных ресурсов:
После установки драйвера нужно снова подключить носитель. Если ошибка повторяется, проверьте корректность работы токена. Для этого подключите его к другому ПК. Если носитель определился системой, то на неисправном компьютере удалите драйвер и установите его заново.
Причина 2: долгое опознание носителя на Windows 7
При работе в ОС Windows 7 драйверы могут долго назначаться. Решение проблемы — дождитесь окончания процесса или обновите версию ОС.
Причина 3: USB-порт работает некорректно
Убедитесь, что проблема в USB-порте, а не в носителе ЭЦП, для этого переключите токен к другому порту. Если носитель определился системой, то перезагрузите ПК. Обычно это помогает справиться с проблемой и запустить работу всех USB-портов. Если перезагрузка не помогла, то желательно обратиться в техническую поддержку для устранения неисправности.
Причина 4: носитель неисправен
Если при переключении носителя к другому ПК или USB-порту флешку компьютер не видит, то проблема в носителе. Чтобы устранить неисправность, обратитесь в сервисный центр для выпуска нового токена.
Почему выходит ошибка при создании подписи
Ошибка создания подписи обычно имеет в расшифровке два значения:
Неисправность работы подписи связана с некорректной работой криптопровайдера, неустановленными или необновленными сертификатами.
Решение проблемы зависит от типа ошибки и обычно не требует обращения в техническую поддержку.
Устранение ошибки ненайденного элемента ЭЦП
Переустановите криптопровайдер на неисправном ПК с официального портала КриптоПро (https://www.cryptopro.ru/downloads). После этого очистите кэш и временные файлы в используемом браузере, а также кэш Java. Затем удалите личные сертификаты и сертификаты главного удостоверяющего центра. Используйте КриптоПро и заново установите новые в соответствии с именем контейнера. После установки корневых сертификатов:
Если после проделанной работы ошибка сохраняется, то нужно обратиться в сервисный центр.
Устранение ошибки с построением цепочки сертификатов
Обычно ошибку вызывает отсутствие сертификатов доверенных корневых центров. Чтобы устранить неисправность, нужно открыть список сертификатов и найти проблемный. Он будет иметь отметку о проблеме в проверке отношений:
Затем пользователь скачивает с официальной страницы сертификат Минкомсвязи РФ и сертификат удостоверяющего центра, имеющего проблемы в работе. Устанавливают их в раздел «Корневые сертификаты», а пошаговый процесс выглядит так:
В нужном сертификате нажать «Установить».
В мастере импорта сертификатов нажать «Далее» и в новом окне поставить галочку напротив «Поместить все сертификаты в следующем хранилище». Нажать «Обзор».
В открывшемся списке выбрать «Доверенные корневые центры» и нажать последовательно «ОК» и «Далее».
Нажать «Готово», а затем подтвердить установку.
Дождаться установки и перезагрузить ПК. Если после этого подписание сопровождается ошибкой, то необходимо обратиться за помощью в техническую поддержку.
Ошибки в работе носителя электронной подписи могут быть вызваны как неисправностью самого носителя, так и неисправностями в программном обеспечении. Перезагрузите ПК и переключите токен в другой порт, чтобы убедиться в его исправности. Если проблема вызвана тем, что токен поврежден, то необходимо обратиться в сервисный центр компании, выпустившей USB. При ошибке, возникающей во время подписания документа, нужно убедиться в корректной работе всех сертификатов и криптопровайдера и при необходимости провести их полную переустановку.
Источник
КриптоПро не видит ключ: как исправить эту и другие ошибки в работе с ЭП
Для корректной работы с электронной подписью (ЭП, ранее — ЭЦП) достаточно соблюсти четыре условия. Во-первых, приобрести средства ЭП в удостоверяющем центре (УЦ). Во-вторых, установить лицензионное средство криптозащиты (СКЗИ, криптопровайдер). В-третьих, загрузить на рабочее место личный, промежуточный и корневой сертификаты. И, в-четвертых, настроить браузер для подписания электронных файлов на веб-порталах. Если хотя бы одно из условий не соблюдено, в процессе использования ЭП возникают различные ошибки: КриптоПро не видит ключ, недействительный сертификат, отсутствие ключа в хранилище и другие. Самые распространенные сбои и способы их устранения рассмотрим в статье.
Почему КриптоПро не видит ключ ЭЦП
КриптоПро CSP — самый популярный криптографический софт на российском рынке. Большинство торговых площадок и автоматизированных госсистем работают только с этим криптопровайдером. Программное обеспечение распространяется на безвозмездной основе разработчиком и через дистрибьюторскую сеть, а за лицензию придется платить. При покупке квалифицированной ЭП (КЭП) клиенты получают набор средств:
Каждый раз, когда владельцу СЭП нужно подписать цифровой файл, он подключает USB-носитель к ПК и вводит пароль (двухфакторная идентификация). Возможен и другой путь — записать все компоненты в реестр ПК и пользоваться ими без физического криптоключа. Второй способ не рекомендован, так как считается небезопасным.
В работе с ЭП возникают такие ситуации, когда пользователь пытается заверить документ в интернете или в специальном приложении, открывает список ключей и не видит СЭП. Проблема может быть спровоцирована следующими факторами:
| Ошибка | Решение |
| Не подключен носитель | Подсоединить токен к ПК через USB-порт (об успешном подключении свидетельствует зеленый индикатор на флешке) |
| Не установлено СКЗИ | Установить криптопровайдер, следуя инструкции |
| Не установлен драйвер носителя | Чтобы компьютер «увидел» устройство, нужно установить специальную утилиту. Как правило, она предоставляется удостоверяющим центром при выдаче подписи. Руководство по инсталляции можно найти на портале разработчика |
| На ПК не загружены сертификаты | Установить корневой, промежуточный и личный сертификаты (как это сделать, рассмотрим далее) |
| Не установлен плагин для браузера | Скачать ПО на сайте www.cryptopro.ru и установить по инструкции |
Ошибка КриптоПро «0x80090008»: указан неправильный алгоритм
Если версия CryptoPro не соответствует новым условиям сдачи отчетности, пользователь увидит на экране уведомление с кодом ошибки «0x80090008». Это значит, что на ПК установлен устаревший релиз программы, и его необходимо обновить. Для начала проверьте сертификат:
При наличии ошибки в СЭП система на нее укажет.
Удаление программы
Если никаких проблем не обнаружено, ошибку неправильного алгоритма поможет устранить переустановка СКЗИ:
Чтобы новая программа работала корректно, перед установкой требуется удалить все следы старой версии с помощью фирменной утилиты cspclean от CryptoPro:
Контейнеры, сохраненные в реестре, удалятся автоматически.
Установка актуального релиза
Дистрибутивы для скачивания СКЗИ размещены в разделе «Продукты» и доступны для скачивания всем авторизованным пользователям. Создание ЛК занимает не более 5 минут:
В каталоге продуктов выберите версию криптопровайдера с учетом ОС, загрузите установщик на ПК, запустите его и следуйте подсказкам. При установке ПО требуется указать серийный номер лицензии (если срок действия еще не истек). Эту информацию можно уточнить в приложении к договору.
По отзывам пользователей, переустановка ПК почти всегда помогает в устранении ошибки «0x80090008». Если проблема не решена, рекомендуется написать в техподдержку разработчика или обратиться к официальному дистрибьютору, у которого вы купили лицензию.
КриптоПро 5.0
КриптоПро PDF
Техническое сопровождение
КриптоПро вставлен другой носитель: как исправить
Ошибка «Вставьте ключевой носитель» или «Вставлен другой носитель» возникает при попытке подписания электронного документа. Сначала следует убедиться, что USB-токен с сертификатом подключен к ПК (в качестве носителя используются защищенные криптоключи или обычные флешки). Токен должен соответствовать сертификату. Если носитель подсоединен к ПК, но сообщение об ошибке все равно появляется, следует переустановить сертификат через CryptoPro:
После переустановки рекомендуется перезагрузить ПК. Для первичной инсталляции СКПЭП применим аналогичный алгоритм действий.
1. Задай вопрос нашему специалисту в конце статьи.
2. Получи подробную консультацию и полное описание нюансов!
3. Или найди уже готовый ответ в комментариях наших читателей.
Недостаточно прав для выполнения операции в КриптоПро
Ошибка сопровождается уведомлением «У компонента недостаточно прав для доступа к сертификатам». Чаще всего возникает в двух ситуациях:
Если система уведомила пользователя, что у него недостаточно прав для выполнения операции в КриптоПро, проблема может иметь следующие причины:
Browser plug-in — обязательный компонент для применения ЭП на веб-страницах. Он расширяет возможности криптопровайдера, позволяет формировать и проверять электронную подпись на интернет-ресурсах. Без этой программы, КриптоПро не сможет связаться с веб-страницей и реализовать на ней функции КЭП. Пользователи ничего не платят за этот модуль, он размещен в свободном доступе на сайте и совместим с любыми операционными системами. Как установить:
Появится уведомление об успешном результате. Нажмите ОК и перезагрузите браузер, чтобы коррективы вступили в силу.
Для работы с сертификатом ЭП рекомендуется использовать браузер Microsoft Internet Explorer (MIE) — для него не требуются дополнительные настройки. На завершающем этапе необходимо добавить сайт в список доверенных:
Если после перезагрузки ПК проблема не решена, рекомендуется удалить плагин и выполнить повторную инсталляцию.
Ошибка исполнения функции при подписании ЭЦП
Ошибка свидетельствует об отсутствии лицензии на продукт КриптоПро CSP. Зачастую она возникает при попытке подписать документ на торговых площадках или в информационных системах (ЕГАИС, ЖКХ, Росреестр, Госуслуги и др.).
Лицензия на криптопровайдер может быть привязана к АРМ или встроена в сертификат ЭП. В первом случае необходимо убедиться, что лицензия введена на рабочем ПК и актуальна. Срок действия можно уточнить на вкладке «Общее» в меню запущенного криптопровайдера. Если он истек, необходимо обратиться к разработчику или официальному дистрибьютору для продления или покупки новой лицензии. Во втором случае ошибка исполнения функции при подписании ЭЦП возникает при отсутствии установленного на ПК сертификата.
Ошибка при проверке цепочки сертификатов в КриптоПро
Юридически значимую документацию можно заверить электронной подписью только в том случае, если СКЗИ подтвердит надежность (доверенность) сертификата. Для этого программа проверяет цепочку сертификации (ЦС), состоящую из таких элементов:
Правильно построенная ЦС подтверждает, что СКПЭП (конечное звено) имеет доверенный путь (от Минкомсвязи к УЦ, от УЦ к пользователю). Ошибка при проверке цепочки сертификатов в КриптоПро свидетельствует о том, что минимум один элемент в этой системе искажен. ЭП при этом считается недействительной и не принимается для подписания файлов.
| Причина | Решение |
| Один из сертификатов поврежден или некорректно установлен | Переустановить сертификат |
| Неправильно установлено СКЗИ (или стоит устаревшая версия) | Удалить и заново установить программу |
| Устаревшая версия веб-браузера | Обновить браузер |
| На ПК не актуализированы дата и время | Указать в настройках компьютера правильные значения |
На первой причине остановимся подробнее. Чтобы проверить состояние ЦС, откройте папку криптопровайдера, выберите раздел «Сертификаты» → «Личное». Если цепочка нарушена, во вкладке «Общее» будет сообщение о том, что СКПЭП не удалось проверить на надежность.
Устранение сбоя следует начинать с верхнего звена (КС). Файл предоставляется клиенту в удостоверяющем центре вместе с остальными средствами: ключи, СКПЭП, промежуточный сертификат и физический носитель. Кроме того, его можно скачать бесплатно на сайте Казначейства (КС для всех одинаковый). Как загрузить КС:
По завершении процедуры рекомендуется перезагрузить ПК. Если сбой не устранен, переходим к промежуточному компоненту. При утере ПС его можно загрузить с официального сайта УЦ. Процесс установки такой же, как и для КС, но в качестве хранилища должно быть указано «Промежуточные центры».
После перезагрузки ПК снова зайдите в папку «Личное» и откройте СКПЭП. Если во вкладке «Путь сертификации» будет статус «Сертификат действителен» — ошибка устранена.
Источник