psa_stas89 |
|
|
Статус: Новичок Группы: Участники
|
Добрый день! Наблюдаю проблемы: 1. КриптоПро TLS. Ошибка 0x80090009 при обращении к CSP: Указаны неправильные флаги. КриптоПРО 4.0.9842 КС2 (Обновил с 3.6) На что обратить внимание? Поиск на форуме по коду ошибки результата не дал. |
 |
|
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы Сказал «Спасибо»: 21 раз |
При каких операциях ошибки? |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
|
psa_stas89 |
|
|
Статус: Новичок Группы: Участники
|
В том-то и проблема, что не пойму. На сервере нет ПО которое на текущий момент должно использовать КриптоПРО, но планируется его использование. |
|
|
|
|
acc200acc |
|
|
Статус: Новичок Группы: Участники
|
Нужна помощь! Журналы Windows-Приложения однако утром 29.03 перестали работать очень важные сервисы. 30.03 снова возникла та же ошибка, снова переустановка в режиме «Исправление», доступность сервисов восстановилась. Интернет сервисы прописаны в регламенты бизнес-процессов версия КриптоПро CSP v.3.6 пять лет не вызывала нареканий в работе. |
|
|
|
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы Сказал «Спасибо»: 21 раз |
Решено в ЛС, была проблема с устаревшими сертификатами. |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
|
acc200acc |
|
|
Статус: Новичок Группы: Участники
|
Проблема была решена путем переустановки с КриптоПРО 4.0.9842 на КриптоПРО 4.0.9944 После переустановки ошибка по количеству пользователей КриптоПро в версии 9944 далее не проявлялась, Отредактировано пользователем 9 апреля 2018 г. 15:53:29(UTC) |
|
|
|
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 457 раз |
Здравствуйте. А можете здесь или в ЛС описать более подробно. Вы удаляли просроченный сертификат из хранилища, чтобы «заработало» расшифрование в вашем приложении? >что поставщик информации просит не удалять старые сертификаты, для возможности чтения старых документов. Спасибо. |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
acc200acc |
|
|
Статус: Новичок Группы: Участники
|
В случае с пользователем старый сертификат был обнаружен IE-Свойства браузера-Содержание-Сертификаты-Личные получается, что в контейнере пользователя находились два сертификата. У другого пользователя IE-Свойства браузера-Содержание-Сертификаты-Личные был только старый сертификат и не было нового, пришлось добавить. В случае с утилитой, внимательно изучили пути размещения сертификата и в числе путей нашли не используемый контейнер, т.е. там не один путь был, каждый год просто дописывали новый и всё. |
|
|
|
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 457 раз |
Автор: acc200acc В случае с пользователем старый сертификат был обнаружен IE-Свойства браузера-Содержание-Сертификаты-Личные получается, что в контейнере пользователя находились два сертификата. Как Вы связали это в то, что в контейнере 2 сертификата? Вы смотрели в хранилище сертификатов. Прикладное ПО должно при расшифровании — читать серийные номера получателей, находить сертификаты и проверять наличие ссылки на закрытый ключ у сертификата ( + можно в приоритете использовать еще по датам действия) и только потом обращаться к выбранному контейнеру из контекста найденного сертификата. Как сделано у Вас и зачем еще где-то прописывать пути к контейнерам? |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы Сказал «Спасибо»: 21 раз |
CSP 4.0 контролирует сроки действия секретных ключей. Как этот контроль обойти — написано в документации или в форуме Отредактировано пользователем 9 апреля 2018 г. 17:32:32(UTC) |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
| Пользователи, просматривающие эту тему |
|
Guest |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Указаны неправильные флаги. Ошибка копирования контейнера.
|
AlexeyP |
|
|
Статус: Новичок Группы: Участники
Зарегистрирован: 25.06.2018(UTC) Сказал(а) «Спасибо»: 1 раз |
Добрый день. Для работы в ЛК ЮЛ налоговой службы на сайте удостоверяющего центра был создан контейнер. При связывании его с контейнером произошла ошибка установки, связанная с отсутствием необходимого места на токене. При повторной попытке выходит ошибка: При попытке скопировать контейнер на другой токен так же выходит, уже иная, ошибка: Что можно сделать кроме новой генерации ключа? Отредактировано пользователем 25 июня 2018 г. 9:37:36(UTC) |
|
|
|
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сказал «Спасибо»: 451 раз |
Здравствуйте. Уточните: Протестируйте контейнер через панель управления КриптоПРО CSPСервисПротестироватьОбзор Есть ошибка? Пробовали вручную связать сертификат с контейнером? Инструкция раздел 2.5.3 с автопоиском контейнера |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
|
AlexeyP
оставлено 27.06.2018(UTC) |
1 пользователь поблагодарил Андрей * за этот пост.|
AlexeyP |
|
|
Статус: Новичок Группы: Участники
Зарегистрирован: 25.06.2018(UTC) Сказал(а) «Спасибо»: 1 раз |
Информация от коллеги, который занимался этим вопросом: |
|
|
|
| Пользователи, просматривающие эту тему |
|
Guest |
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Указаны неправильные флаги. Ошибка копирования контейнера.
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
 Aphex_TV |
|
|
Статус: Новичок Группы: Участники Зарегистрирован: 03.04.2019(UTC) |
Не удаётся работать с сертификатом в версии 3,9 (куплена пожизненно) НА ВЕРСИИ 3,9 (КУПЛЕНА ПОЖИЗНЕННО) НА ВЕРСИИ 4,0 (НЕ КУПЛЕНА) |
 |
|
|
Александр Лавник |
|
|
Статус: Сотрудник Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сказал «Спасибо»: 51 раз |
Автор: Aphex_TV Не удаётся работать с сертификатом в версии 3,9 (куплена пожизненно) НА ВЕРСИИ 3,9 (КУПЛЕНА ПОЖИЗНЕННО) НА ВЕРСИИ 4,0 (НЕ КУПЛЕНА) Здравствуйте. Предположу, что сертификат и ключ приобретены 25 февраля 2019 года в аккредитованном удостоверяющем центре. С 1 января 2019 года все аккредитованные удостоверяющие центры выпускают сертификаты по ГОСТ Р 34.10-2012, который поддерживается в КриптоПро CSP 4.0, но не поддерживается в КриптоПро CSP 3.9. Следовательно, для работы с данным сертификатом нужно купить и активировать обновление лицензии до версии КриптоПро CSP 4.0. По данному вопросу Вы можете обратиться дилеру, у которого была приобретена лицензия на КриптоПро CSP 3.9, или в наш коммерческий отдел (наши контакты). |
|
Техническую поддержку оказываем тут |
|
|
|
|
|
Aphex_TV |
|
|
Статус: Новичок Группы: Участники Зарегистрирован: 03.04.2019(UTC) |
|
|
|
|
|
ТахаАТ |
|
|
Статус: Новичок Группы: Участники
Зарегистрирован: 05.08.2015(UTC) |
Такая же ошибка как и у Aphex_TV: |
|
|
|
|
ТахаАТ |
|
|
Статус: Новичок Группы: Участники
Зарегистрирован: 05.08.2015(UTC) |
Это было при тестировании. При попытке установить личный сертификат, пишет, что нет ключа((( |
|
|
|
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сказал «Спасибо»: 451 раз |
Автор: ТахаАТ Такая же ошибка как и у Aphex_TV: Здравствуйте. Основное: > надо покупать обновление до 4.0? |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
| Пользователи, просматривающие эту тему |
|
Guest (3) |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Версия ПО: JMS 3.0 — 3.5
Токены: eToken
Проблема:
В процессе выпуска ключевого носителя модели eToken возникает ошибка (на этапе «Создание аутентификатора»), а также возникает при выпуске на данный ключевой носитель сертификата при следующих настройках:
- На рабочей станции, где выпускается ключевой носитель, установлен программный пакет SafeNet Authentication Client (SAC) версии 10.5 или более поздней.
- (В случае выпуска сертификата) использование криптопровайдера «eToken Base Cryptogogaphic Provider» в профиле выпуска сертификата (вкладка «Ключевой контейнер», поле «Криптопровайдер для генерации ключевой пары«).
Причина:
В настройках криптопровайдера «eToken Base Cryptogogaphic Provider» (в составе SAC) установлено ограничение (запрет) на использование ключа RSA длиной менее 2048 бит. Для решения проблемы необходимо снять данное ограничение.
Решение:
На рабочей станции, где выпускается ключевой носитель, следует внести следующие изменения в настройки реестра:
- Создать (если отсутствует) раздел HKEY_LOCAL_MACHINESOFTWARESafeNetAuthenticationSACCrypto
- Создать (если отсутствует) в данном разделе строковый параметр Disable-Crypto
- Присвоить параметру Disable-Crypto значение None
- Remove From My Forums
-
Question
-
We have a central site (SRVSC00) and two primary child sites (SRVSC01/02) in our SCCM structure. All clients (3700) are connected to the child sites and reports to central site. All SU deployments are being deployed from central site. WSUS server (3.0 Sp2) is installed on each site (port 8530).
I’ve deployed a patch (for the first time to all workstations) and over 130 clients failes.
WUAHandler.log:
«Failed to download updates to the WUAgent datastore (error = 0x8009000)»windowsupdate.log:
.
.
.
2010-02-26 10:19:28:571 2304 b90 COMAPI WARNING: ISusInternal::GetEulaText failed, hr=80240033
2010-02-26 10:19:28:571 2304 b90 COMAPI WARNING: ISusInternal::GetEulaText failed, hr=80240033
2010-02-26 10:19:28:571 2304 b90 COMAPI WARNING: ISusInternal::GetEulaText failed, hr=80240033
2010-02-26 10:19:28:571 2304 b90 COMAPI WARNING: ISusInternal::GetEulaText failed, hr=80240033
2010-02-26 10:19:28:571 2304 b90 COMAPI WARNING: ISusInternal::GetEulaText failed, hr=80240033
2010-02-26 10:19:28:571 2304 b90 COMAPI WARNING: ISusInternal::GetEulaText failed, hr=80240033
2010-02-26 10:19:28:571 2304 b90 COMAPI WARNING: ISusInternal::GetEulaText failed, hr=80240033
2010-02-26 10:19:28:571 2304 b90 COMAPI WARNING: ISusInternal::GetEulaText failed, hr=80240033
2010-02-26 10:19:28:571 2304 b90 COMAPI WARNING: ISusInternal::GetEulaText failed, hr=80240033
2010-02-26 10:19:28:586 2304 b90 COMAPI WARNING: ISusInternal::GetEulaText failed, hr=80240033
2010-02-26 10:19:28:586 2304 b90 COMAPI WARNING: ISusInternal::GetEulaText failed, hr=80240033
2010-02-26 10:19:30:086 1816 1494 DnldMgr *********** DnldMgr: Copy update to cache [UpdateId = {A9E325EF-3002-4D74-9CC4-2CE1967678FB}.104] ***********
2010-02-26 10:19:30:086 1816 1494 DnldMgr WARNING: CryptAcquireContext failed with 0x80090009.
2010-02-26 10:19:30:086 1816 1494 DnldMgr WARNING: GenerateHash failed with 0x80090009.
2010-02-26 10:19:30:086 1816 1494 DnldMgr WARNING: GenerateDownloadDirName failed with 0x80090009.
2010-02-26 10:19:30:086 1816 1494 DnldMgr * WARNING: Copy update to cache failed with exit code = 0x80090009
2010-02-26 10:19:30:086 2304 45c COMAPI WARNING: ISusInternal::CopyUpdateToCache2 failed, hr=80090009
2010-02-26 10:19:30:196 2304 45c COMAPI ————-
2010-02-26 10:19:30:196 2304 45c COMAPI — START — COMAPI: Search [ClientId = CcmExec]
2010-02-26 10:19:30:196 2304 45c COMAPI ———
2010-02-26 10:19:30:196 1816 173c Agent *************
2010-02-26 10:19:30:196 1816 173c Agent ** START ** Agent: Finding updates [CallerId = CcmExec]
2010-02-26 10:19:30:196 1816 173c Agent *********
2010-02-26 10:19:30:196 1816 173c Agent * Include potentially superseded updates
2010-02-26 10:19:30:196 2304 45c COMAPI <<— SUBMITTED — COMAPI: Search [ClientId = CcmExec]
2010-02-26 10:19:30:196 1816 173c Agent * Online = No; Ignore download priority = Yes
2010-02-26 10:19:30:196 1816 173c Agent * Criteria = «UpdateID = ‘0848ac63-ce07-4477-bc79-dae121d6bdda’ AND DeploymentAction = *»
2010-02-26 10:19:30:196 1816 173c Agent * ServiceID = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7} Managed
2010-02-26 10:19:30:196 1816 173c Agent * Search Scope = {Machine}
2010-02-26 10:19:33:446 1816 173c Agent * Added update {0848AC63-CE07-4477-BC79-DAE121D6BDDA}.104 to search result
2010-02-26 10:19:33:446 1816 173c Agent * Found 1 updates and 48 categories in search; evaluated appl. rules of 167 out of 2088 deployed entities
2010-02-26 10:19:33:602 1816 173c Agent *********
.
.
.I’ve tried wsusutil reset in case the problem was eula. But this doesn’t seem to have resolved the problem — if I did it correct
Can anyone help me?
Answers
-
- Marked as answer by
Friday, March 26, 2010 9:42 AM
- Marked as answer by
Мне постоянно приходится иметь дело
с сертификатами, токенами, закрытыми ключами, криптопровайдерами и
прочим. Сейчас все завязано на это — банкинг, сдача отчетности в разные
гос органы, обращения опять же в эти органы, в том числе и физ лиц. В
общем, с этой темой рано или поздно придется познакомиться многим. Для
того, чтобы перенести все это хозяйство с одного компьютера на другой,
иногда приходится прилично повозиться, особенно тем, кто не в теме.
by zerox https://serveradmin.ru/perenos-konteynerov-zakryityih-klyuchey-i-sertifikatov-cryptopro/
Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:
- Перенести
или скопировать контейнер закрытого ключа через стандартную оснастку
CryptoPro в панели управления. Это самый простой и быстрый способ, если у
вас не много сертификатов и ключей. Если же их несколько десятков, а
это не такая уж и редкость, то такой путь вам не подходит. - Скопировать
сертификаты и ключи непосредственно через перенос самих исходных файлов
и данных, где все это хранится. Объем работы одинаков и для 5 и для
50-ти сертификатов, но требуется больше усилий и знаний.
Я
опишу оба этих способа, но подробно остановлюсь именно на втором
способе. В некоторых ситуациях он является единственно возможным.
Важное замечание. Я буду переносить контейнеры закрытого ключа, которые
хранятся в реестре. Если вы храните их только на токене, то переносить
контейнеры вам не надо, только сертификаты.
Копирование закрытого ключа через оснастку КриптоПро
Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.
Далее
вы выбираете текущий контейнер, который хотите скопировать. Это может
быть либо токен, либо реестр компьютера. Затем новое имя и новое
расположение контейнера. Опять же, это может быть как реестр, так и
другой токен.
Ошибка копирования контейнера
Но
тут есть важный нюанс. Если во время создания закрытого ключа он не был
помечен как экспортируемый, скопировать его не получится. У вас будет
ошибка:
Ошибка
копирования контейнера. У вас нет разрешений на экспорт ключа, потому
что при создании ключа не был установлен соответствующий флаг. Ошибка
0x8009000B (-2146893813) Ключ не может быть использован в указанном
состоянии.
Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему.
Отдельно
расскажу, как скопировать сертификат и закрытый ключ к нему в файл,
чтобы перенести на другой компьютер без использования токена. Штатные
возможности CryptoPro не позволяют скопировать закрытый ключ в файл.
Запускаем Internet Explorer, открываем его настройки и переходим на вкладку Содержание. Там нажимаем на Сертификаты.
Выбираем нужный сертификат и нажимаем Экспорт.
Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ «Да, экспортировать закрытый ключ«,
значит он не помечен как экспортируемый и перенести его таким способом
не получится. Можно сразу переходить к другому способу, который описан
ниже.
Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее.
В следующем меню ставьте все галочки, так вам будет удобнее и проще в
будущем, если вдруг опять понадобится копировать ключи уже из нового
места.
Укажите
какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В
завершении укажите имя файла, куда вы хотите сохранить закрытый ключ.
Теперь вам нужно скопировать сам сертификат. Только что мы копировали
закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять
выбираете этот же сертификат в списке, жмите Экспорт и выберите файл
формата .CER.
Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него.
В итоге у вас должны получиться 2 файла с расширениями:
- .pfx
- .cer
Вам
достаточно перенести эти 2 файла на другой компьютер и кликнуть по
каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам
достаточно будет выбрать все параметры по-умолчанию и понажимать Далее.
Сертификат и контейнер закрытого ключа к нему будут перенесены на другой
компьютер.
Я описал первый способ
переноса в ручном режиме. Им можно воспользоваться, если у вас немного
сертификатов и ключей. Если их много и руками по одному переносить
долго, то переходим ко второму способу.
Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер
В
интернете достаточно легко находится способ переноса контейнеров
закрытых ключей КриптоПро через копирование нужной ветки реестра, где
это все хранится. Я воспользуюсь именно этим способом. А вот с массовым
переносом самих сертификатов у меня возникли затруднения и я не сразу
нашел рабочий способ. Расскажу о нем тоже.
Для
дальнейшей работы нам надо узнать SID текущего пользователя, у которого
мы будем копировать или переносить сертификаты с ключами. Для этого в
командной строке выполните команду:
wmic useraccount where name='zerox' get sid
В данном случай zerox — имя учетной записи, для которой узнаем SID.
Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра и переходим в ветку:
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsUsersS-1-5-21-4126079715-2548991747-1835893097-1000Keys
где S-1-5-21-4126079715-2548991747-1835893097-1000
— SID пользователя, у которого копируем сертификаты. Выбираем папку
Keys и экспортируем ее.
Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи.
Теперь нам нужно скопировать сразу все сертификаты. В Windows 7, 8 и 10 они живут в директории — C:UserszeroxAppDataRoamingMicrosoftSystemCertificatesMy. Сохраняйте эту директорию.
Для
переноса ключей и сертификатов нам надо скопировать на другой компьютер
сохраненную ветку реестра и директорию с сертификатами My.
Открываем файл с веткой реестра в текстовом редакторе и меняем там SID
пользователя со старого компьютера на SID пользователя нового
компьютера. Можно прям в блокноте это сделать поиском с заменой.
После
этого запускаем .reg файл и вносим данные из файла в реестр. Теперь
скопируйте папку My с сертификатами в то же место в профиле нового
пользователя. На этом перенос сертификатов и контейнеров закрытых ключей
КриптоПро завершен. Можно проверять работу.
Я
не раз пользовался этим методом, на текущий момент он 100% рабочий.
Написал статью,чтобы помочь остальным, так как сам не видел в интернете
подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя
таковой получилась.
Я пытаюсь создать сертификат, который позже буду использовать для подписи других сертификатов в процессе разработки. Я использую командлет Powershell New-SelfSignedCertificate.
Ниже приведена команда:
New-SelfSignedCertificate -CertStoreLocation Cert:CurrentUserMy -Container In4mRootCATest* -DnsName in4monline-test.com -FriendlyName "In4m Test Root CA Cert" -KeyExportPolicy Exportable -KeyFriendlyName "In4m Test Root CA Cert Private Key" -KeyLocation "C:scratch" -KeyProtection None -KeySpec Signature -KeyUsage CertSign,CRLSign,DigitalSignature -KeyUsageProperty All -NotAfter (Get-Date).AddMonths(72) -Provider "Microsoft Base DSS Cryptographic Provider" -Type Custom
Я получаю следующую ошибку:
New-SelfSignedCertificate : CertEnroll::CX509Enrollment::_CreateRequest: Invalid flags specified. 0x80090009 (-2146893815 NTE_BAD_FLAGS)
At line:1 char:1
+ New-SelfSignedCertificate -CertStoreLocation Cert:CurrentUserMy -Co ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [New-SelfSignedCertificate], Exception
+ FullyQualifiedErrorId : System.Exception,Microsoft.CertificateServices.Commands.NewSelfSignedCertificateCommand
Может ли кто-нибудь помочь мне понять, какие значения я могу комбинировать / отправлять по ошибке?
У меня Windows 10.
Помощь приветствуется.
1 ответ
Я не эксперт по сертификатам, но это может продвинуть вас вперед. Я бы предложил попробовать с другим провайдером из списка, который вы получите с:
certutil -csplist
https://social.technet.microsoft.com/wiki/contents/articles/7573.active-directory-certificate-services-pki-key-archival-and-management.aspx
Клиент CSP не разрешает экспорт ключейЧтобы процесс регистрации клиента генерировал и отправлял закрытый ключ в ЦС, ключ должен быть помечен как экспортируемый при создании ключа. Если в шаблоне сертификата не разрешено экспортировать ключ или сторонний CSP (если применимо) не поддерживает экспортируемые ключи, регистрация завершится неудачно, и мастер регистрации выдаст ошибку, что ключ не экспортируется. Сторонние CSP могут сообщать о различных ошибках, таких как «катастрофический сбой», когда это происходит. Если клиент Windows 2000 или Windows Millennium Edition выполняет регистрацию с архивированием ключа, может появиться следующая ошибка, если ключ не помечен для экспорта. 0x80090009 — NTE_BAD_FLAGS Примечание. Если CSP поддерживает одноразовый флаг для архивации ключей, известный как (CRYPT_ARCHIVABLE), флаг экспорта ключей не требуется. Программные CSP по умолчанию Microsoft поддерживают этот флаг. Однако клиенты Windows 2000 и Windows Millennium Edition не поддерживают этот флаг и должны разрешать экспорт ключа для регистрации для работы с архивированием ключей.
1
Matthew Wetmore
29 Янв 2017 в 04:33
Привет ребята, клиент хочет сохранить на флэйшку сертификат через КриптоПро, но появляется ошибка: «Ошибка копирования контейнера. У вас нет разрешения на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг»
Перенести ключ можно как минимум, двумя путями:
1.Зайти в Пуск->Все программы->Крипто-Про -> Сертификаты -> Сертификаты текущего пользователя -> Личные -> Реестр -> Сертификаты. Здесь выбрать Ваши сертификаты, которые Вы хотите перенести. Кликаем правой кнопкой мыши по ним и выбираем «Экспортировать». В мастере указываем, что необходимо так же перенести и закрытую часть ключа.
2.Зайти в Пуск->Все программы->Крипто-Про->Крипто-Про CSP, перейти на вкладку «Сервис», здесь выбрать «Скопировать» и следуя мастеру, скопировать ваши ключи на съемный носитель.
Установить ключ:
1.Запустить полученный на первом этапе файл, указать хранилище «Личные». Далее, проверить, строиться ли цепочка. Открываем Пуск->Все программы->КриптоПро->Сертификаты. В левой части открываем Сертификаты — текущий пользователь -> Личное -> Реестр-> Сертификаты. Теперь в правой части находим и открываем свой сертификат. Переходим на вкладку «Путь сертификации». Здесь должна строиться цепочка до корневого УЦ без всяких красных крестиков и т.п. Если здесь отображается только один, Ваш, сертификат, то необходимо обратиться в УЦ, выдавший Вам этот сертификат и узнать, где можно скачать корневой сертификат, и как его установить.
2.Если выбрали второй вариант, то:
Вставьте Вашу подпись в компьютер. Зайдите в Пуск->Все программы(все приложения)->КриптоПро->Крипто-Про CSP. Перейдите на вкладку Сервис. Выберите «Просмотреть сертификаты в контейнере». Далее «Обзор». Выбираем свой контейнер, жмём «Далее». Здесь нажимаем кнопку «Установить», соглашаемся со всем. Далее завершаем работу с установщиком, закрываем КриптоПро CSP
Открываем Пуск->Все программы->КриптоПро->Сертификаты. В левой части открываем Сертификаты — текущий пользователь -> Личное -> Реестр-> Сертификаты. Теперь в правой части находим и открываем свой сертификат. Переходим на вкладку «Путь сертификации». Здесь должна строиться цепочка до корневого УЦ без всяких красных крестиков и т.п. Если здесь отображается только один, Ваш, сертификат, то необходимо обратиться в УЦ, выдавший Вам этот сертификат и узнать, где можно скачать корневой сертификат, и как его установить.
|
psa_stas89 |
|
|
Статус: Новичок Группы: Участники
Зарегистрирован: 05.06.2017(UTC) |
Добрый день! Наблюдаю проблемы: 1. КриптоПро TLS. Ошибка 0x80090009 при обращении к CSP: Указаны неправильные флаги. КриптоПРО 4.0.9842 КС2 (Обновил с 3.6) На что обратить внимание? Поиск на форуме по коду ошибки результата не дал. |
|
|
|
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сказал «Спасибо»: 21 раз |
При каких операциях ошибки? |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
|
psa_stas89 |
|
|
Статус: Новичок Группы: Участники
Зарегистрирован: 05.06.2017(UTC) |
В том-то и проблема, что не пойму. На сервере нет ПО которое на текущий момент должно использовать КриптоПРО, но планируется его использование. |
|
|
|
|
acc200acc |
|
|
Статус: Новичок Группы: Участники
Зарегистрирован: 30.03.2018(UTC) |
Нужна помощь! Журналы Windows-Приложения однако утром 29.03 перестали работать очень важные сервисы. 30.03 снова возникла та же ошибка, снова переустановка в режиме «Исправление», доступность сервисов восстановилась. Интернет сервисы прописаны в регламенты бизнес-процессов версия КриптоПро CSP v.3.6 пять лет не вызывала нареканий в работе. |
|
|
|
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сказал «Спасибо»: 21 раз |
Решено в ЛС, была проблема с устаревшими сертификатами. |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
|
acc200acc |
|
|
Статус: Новичок Группы: Участники
Зарегистрирован: 30.03.2018(UTC) |
Проблема была решена путем переустановки с КриптоПРО 4.0.9842 на КриптоПРО 4.0.9944 После переустановки ошибка по количеству пользователей КриптоПро в версии 9944 далее не проявлялась, Отредактировано пользователем 9 апреля 2018 г. 15:53:29(UTC) |
|
|
|
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сказал «Спасибо»: 457 раз |
Здравствуйте. А можете здесь или в ЛС описать более подробно. Вы удаляли просроченный сертификат из хранилища, чтобы «заработало» расшифрование в вашем приложении? >что поставщик информации просит не удалять старые сертификаты, для возможности чтения старых документов. Спасибо. |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
acc200acc |
|
|
Статус: Новичок Группы: Участники
Зарегистрирован: 30.03.2018(UTC) |
В случае с пользователем старый сертификат был обнаружен IE-Свойства браузера-Содержание-Сертификаты-Личные получается, что в контейнере пользователя находились два сертификата. У другого пользователя IE-Свойства браузера-Содержание-Сертификаты-Личные был только старый сертификат и не было нового, пришлось добавить. В случае с утилитой, внимательно изучили пути размещения сертификата и в числе путей нашли не используемый контейнер, т.е. там не один путь был, каждый год просто дописывали новый и всё. |
|
|
|
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сказал «Спасибо»: 457 раз |
Автор: acc200acc В случае с пользователем старый сертификат был обнаружен IE-Свойства браузера-Содержание-Сертификаты-Личные получается, что в контейнере пользователя находились два сертификата. Как Вы связали это в то, что в контейнере 2 сертификата? Вы смотрели в хранилище сертификатов. Прикладное ПО должно при расшифровании — читать серийные номера получателей, находить сертификаты и проверять наличие ссылки на закрытый ключ у сертификата ( + можно в приоритете использовать еще по датам действия) и только потом обращаться к выбранному контейнеру из контекста найденного сертификата. Как сделано у Вас и зачем еще где-то прописывать пути к контейнерам? |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сказал «Спасибо»: 21 раз |
CSP 4.0 контролирует сроки действия секретных ключей. Как этот контроль обойти — написано в документации или в форуме Отредактировано пользователем 9 апреля 2018 г. 17:32:32(UTC) |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
| Пользователи, просматривающие эту тему |
|
Guest |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Для корректной работы с электронной подписью (ЭП, ранее — ЭЦП) достаточно соблюсти четыре условия. Во-первых, приобрести средства ЭП в удостоверяющем центре (УЦ). Во-вторых, установить лицензионное средство криптозащиты (СКЗИ, криптопровайдер). В-третьих, загрузить на рабочее место личный, промежуточный и корневой сертификаты. И, в-четвертых, настроить браузер для подписания электронных файлов на веб-порталах. Если хотя бы одно из условий не соблюдено, в процессе использования ЭП возникают различные ошибки: КриптоПро не видит ключ, недействительный сертификат, отсутствие ключа в хранилище и другие. Самые распространенные сбои и способы их устранения рассмотрим в статье.
Поможем получить электронную подпись. Установим и настроим за 1 час.
Оставьте заявку и получите консультацию.
Почему КриптоПро не видит ключ ЭЦП
КриптоПро CSP — самый популярный криптографический софт на российском рынке. Большинство торговых площадок и автоматизированных госсистем работают только с этим криптопровайдером. Программное обеспечение распространяется на безвозмездной основе разработчиком и через дистрибьюторскую сеть, а за лицензию придется платить. При покупке квалифицированной ЭП (КЭП) клиенты получают набор средств:
- закрытый и открытый ключи;
- сертификат ключа проверки электронной подписи (СКПЭП, СЭП) — привязан к открытому ключу;
- физический носитель, на который записываются все перечисленные средства.
Каждый раз, когда владельцу СЭП нужно подписать цифровой файл, он подключает USB-носитель к ПК и вводит пароль (двухфакторная идентификация). Возможен и другой путь — записать все компоненты в реестр ПК и пользоваться ими без физического криптоключа. Второй способ не рекомендован, так как считается небезопасным.
В работе с ЭП возникают такие ситуации, когда пользователь пытается заверить документ в интернете или в специальном приложении, открывает список ключей и не видит СЭП. Проблема может быть спровоцирована следующими факторами:
| Ошибка | Решение |
| Не подключен носитель | Подсоединить токен к ПК через USB-порт (об успешном подключении свидетельствует зеленый индикатор на флешке) |
| Не установлено СКЗИ | Установить криптопровайдер, следуя инструкции |
| Не установлен драйвер носителя | Чтобы компьютер «увидел» устройство, нужно установить специальную утилиту. Как правило, она предоставляется удостоверяющим центром при выдаче подписи. Руководство по инсталляции можно найти на портале разработчика |
| На ПК не загружены сертификаты | Установить корневой, промежуточный и личный сертификаты (как это сделать, рассмотрим далее) |
| Не установлен плагин для браузера | Скачать ПО на сайте www.cryptopro.ru |
Ошибка КриптоПро «0x80090008»: указан неправильный алгоритм
Если версия CryptoPro не соответствует новым условиям сдачи отчетности, пользователь увидит на экране уведомление с кодом ошибки «0x80090008». Это значит, что на ПК установлен устаревший релиз программы, и его необходимо обновить. Для начала проверьте сертификат:
- В меню «Пуск» выберите пункт «Все программы» → «КриптоПро».
- Откройте «КриптоПро CSP сервис» и выберите команду «Протестировать».
- Нажмите кнопку «По сертификату» и укажите нужный файл.
При наличии ошибки в СЭП система на нее укажет.
Удаление программы
Если никаких проблем не обнаружено, ошибку неправильного алгоритма поможет устранить переустановка СКЗИ:
- Найти криптопровайдер через «Пуск».
- Выбрать команду «Удалить».
- Перезагрузить ПК.
Чтобы новая программа работала корректно, перед установкой требуется удалить все следы старой версии с помощью фирменной утилиты cspclean от CryptoPro:
- Запустить файл cspclean.exe на рабочем столе.
- Подтвердить удаление продукта клавишей «ДА».
- Перезагрузить компьютер.
Контейнеры, сохраненные в реестре, удалятся автоматически.
Установка актуального релиза
Дистрибутивы для скачивания СКЗИ размещены в разделе «Продукты» и доступны для скачивания всем авторизованным пользователям. Создание ЛК занимает не более 5 минут:
- Нажмите кнопку «Регистрация».
- Введите личные данные и подтвердите согласие на доступ к персональной информации.
В каталоге продуктов выберите версию криптопровайдера с учетом ОС, загрузите установщик на ПК, запустите его и следуйте подсказкам. При установке ПО требуется указать серийный номер лицензии (если срок действия еще не истек). Эту информацию можно уточнить в приложении к договору.
По отзывам пользователей, переустановка ПК почти всегда помогает в устранении ошибки «0x80090008». Если проблема не решена, рекомендуется написать в техподдержку разработчика или обратиться к официальному дистрибьютору, у которого вы купили лицензию.
КриптоПро вставлен другой носитель: как исправить
Ошибка «Вставьте ключевой носитель» или «Вставлен другой носитель» возникает при попытке подписания электронного документа. Сначала следует убедиться, что USB-токен с сертификатом подключен к ПК (в качестве носителя используются защищенные криптоключи или обычные флешки). Токен должен соответствовать сертификату. Если носитель подсоединен к ПК, но сообщение об ошибке все равно появляется, следует переустановить сертификат через CryptoPro:
- Открыть меню «Пуск» → «Панель управления» → «КриптоПро CSP».
- Зайти во вкладку «Сервис» → «Посмотреть сертификаты в контейнере» → «Обзор».
- Выбрать из списка ключевой контейнер, нажать ОК и «Далее».
- Нажать «Установить». Если появится предупреждение о том, что сертификат уже присутствует в хранилище, дать согласие на его замену.
- Дождаться загрузки сертификата в хранилище «Личное» и нажать ОК.
После переустановки рекомендуется перезагрузить ПК. Для первичной инсталляции СКПЭП применим аналогичный алгоритм действий.
Мы готовы помочь!
Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариям
Недостаточно прав для выполнения операции в КриптоПро
Ошибка сопровождается уведомлением «У компонента недостаточно прав для доступа к сертификатам». Чаще всего возникает в двух ситуациях:
- При попытке авторизоваться в ЛК, например, на портале контролирующего органа, куда нужно отправить отчет (при нажатии на пиктограмму «Вход по сертификату»).
- При проверке КЭП (при нажатии кнопки «Проверить» в разделе «Помощь»).
Если система уведомила пользователя, что у него недостаточно прав для выполнения операции в КриптоПро, проблема может иметь следующие причины:
- не установлен КриптоПро ЭЦП Browser plug-in 2.0 (или стоит его старая сборка);
- сайт, куда пытается войти клиент, не добавлен в каталог доверенных (надежных) ресурсов.
Browser plug-in — обязательный компонент для применения ЭП на веб-страницах. Он расширяет возможности криптопровайдера, позволяет формировать и проверять электронную подпись на интернет-ресурсах. Без этой программы, КриптоПро не сможет связаться с веб-страницей и реализовать на ней функции КЭП. Пользователи ничего не платят за этот модуль, он размещен в свободном доступе на сайте и совместим с любыми операционными системами. Как установить:
- Сохранить дистрибутив cadesplugin.exe.
- Запустить инсталляцию, кликнув по значку установщика.
- Разрешить программе внесение изменений клавишей «Да».
Появится уведомление об успешном результате. Нажмите ОК и перезагрузите браузер, чтобы коррективы вступили в силу.
Для работы с сертификатом ЭП рекомендуется использовать браузер Microsoft Internet Explorer (MIE) — для него не требуются дополнительные настройки. На завершающем этапе необходимо добавить сайт в список доверенных:
- Через меню «Пуск» (CTRL+ESC) найти продукт КриптоПро CSP.
- Зайти в настройки плагина ЭЦП Browser.
- В разделе «Список доверенных узлов» ввести адреса всех ресурсов, принимающих ваш сертификат.
Если после перезагрузки ПК проблема не решена, рекомендуется удалить плагин и выполнить повторную инсталляцию.
Подберем подходящий вид электронной подписи для вашего бизнеса за 5 минут!
Оставьте заявку и получите консультацию.
Ошибка исполнения функции при подписании ЭЦП
Ошибка свидетельствует об отсутствии лицензии на продукт КриптоПро CSP. Зачастую она возникает при попытке подписать документ на торговых площадках или в информационных системах (ЕГАИС, ЖКХ, Росреестр, Госуслуги и др.).
Лицензия на криптопровайдер может быть привязана к АРМ или встроена в сертификат ЭП. В первом случае необходимо убедиться, что лицензия введена на рабочем ПК и актуальна. Срок действия можно уточнить на вкладке «Общее» в меню запущенного криптопровайдера. Если он истек, необходимо обратиться к разработчику или официальному дистрибьютору для продления или покупки новой лицензии. Во втором случае ошибка исполнения функции при подписании ЭЦП возникает при отсутствии установленного на ПК сертификата.
Ошибка при проверке цепочки сертификатов в КриптоПро
Юридически значимую документацию можно заверить электронной подписью только в том случае, если СКЗИ подтвердит надежность (доверенность) сертификата. Для этого программа проверяет цепочку сертификации (ЦС), состоящую из таких элементов:
- корневой сертификат от Минкомсвязи (начальное звено цепи), выданный УЦ;
- промежуточный сертификат УЦ (ПС);
- СКПЭП.
Правильно построенная ЦС подтверждает, что СКПЭП (конечное звено) имеет доверенный путь (от Минкомсвязи к УЦ, от УЦ к пользователю). Ошибка при проверке цепочки сертификатов в КриптоПро свидетельствует о том, что минимум один элемент в этой системе искажен. ЭП при этом считается недействительной и не принимается для подписания файлов.
| Причина | Решение |
| Один из сертификатов поврежден или некорректно установлен | Переустановить сертификат |
| Неправильно установлено СКЗИ (или стоит устаревшая версия) | Удалить и заново установить программу |
| Устаревшая версия веб-браузера | Обновить браузер |
| На ПК не актуализированы дата и время | Указать в настройках компьютера правильные значения |
На первой причине остановимся подробнее. Чтобы проверить состояние ЦС, откройте папку криптопровайдера, выберите раздел «Сертификаты» → «Личное». Если цепочка нарушена, во вкладке «Общее» будет сообщение о том, что СКПЭП не удалось проверить на надежность.
Устранение сбоя следует начинать с верхнего звена (КС). Файл предоставляется клиенту в удостоверяющем центре вместе с остальными средствами: ключи, СКПЭП, промежуточный сертификат и физический носитель. Кроме того, его можно скачать бесплатно на сайте Казначейства (КС для всех одинаковый). Как загрузить КС:
- Открыть документ от Минкомсвязи на компьютере.
- В разделе «Общее» выбрать команду установки.
- Установить галочку напротив пункта «Поместить в хранилище».
- Из списка выбрать папку «Доверенные корневые центры».
- Нажать «Далее» — появится уведомление об успешном импорте.
По завершении процедуры рекомендуется перезагрузить ПК. Если сбой не устранен, переходим к промежуточному компоненту. При утере ПС его можно загрузить с официального сайта УЦ. Процесс установки такой же, как и для КС, но в качестве хранилища должно быть указано «Промежуточные центры».
После перезагрузки ПК снова зайдите в папку «Личное» и откройте СКПЭП. Если во вкладке «Путь сертификации» будет статус «Сертификат действителен» — ошибка устранена.
Электронная подпись описи содержания пакета недействительна
Одной КЭП можно сразу заверить несколько файлов. В одном письме адресат может отправлять комплект документации и отдельно к нему опись, где перечислены все файлы. Перечень документов тоже нужно визировать ЭП.
Если при попытке заверить ведомость пользователь увидит сообщение о недействительности сертификата, значит подписать основной комплект тоже не удастся. Эта ошибка распространяется на все типы файлов, а не на какой-то конкретный документ.
Причина сбоя — нарушение доверенной цепочки, о которой было сказано ранее. В первую очередь следует проверить наличие и корректность КС и ПС. Если они установлены, удалите эти файлы и загрузите снова.
Проблемы с браузером
Для заверки электронных файлов в интернете разработчик СКЗИ рекомендует использовать встроенный веб-обозреватель MIE. Но даже с ним бывают сбои. Если это произошло, зайдите в браузер под ролью администратора:
- Кликните по значку браузера на рабочем столе.
- В контекстном меню выберите соответствующую роль.
Чтобы всякий раз не предпринимать лишние действия, в настройках можно задать автоматический доступ под нужными правами. Неактуальную версию браузера необходимо обновить до последнего релиза. Также следует отключить антивирусные программы, так как многие из них блокируют работу СКЗИ, воспринимая как вредоносное ПО.
Не работает служба инициализации
Если работа сервиса инициализации Crypto Pro приостановлена, СКПЭП тоже не будет работать. Запустите командную строку клавишами Win+R:
- Введите команду services.msc.
- В разделе «Службы» выберите «Службу инициализации» и проверьте в свойствах ее активность.
Если сервис отключен, запустите его и нажмите ОК. После перезапуска ПК электронная подпись должна снова работать корректно.
Сертификаты не отвечают критериям КриптоПро
Ошибка всплывает при попытке авторизоваться в информационной госсистеме (например, «Электронный Бюджет» и др.). Пользователь видит сообщение следующего содержания:
Первый способ устранения сбоя — «снести» СКЗИ и поставить заново, как описано выше. Если это вариант не сработал, значит проблема кроется в неправильном формировании ЦС. Рассмотрим на примере. Отправитель зашел в СКПЭП и в подразделе «Общее» увидел статус «Недостаточно информации для проверки этого сертификата». В первую очередь рекомендуется проверить наличие корневого сертификата в цепочке и при его отсутствии выполнить установку (алгоритм описан ранее). Если этот метод не помог, на форуме разработчика приводится еще один способ: от имени администратора вызвать «Пуск» → «Выполнить» → «regedit». Далее необходимо удалить ветки:
Не все бывают в наличии, поэтому удаляйте те, что есть. Процедура не вредит системе и сохраненным файлам, но помогает не в каждом случае (обычно ошибку удается устранить при установке корневого сертификата).
«1С-ЭДО» — программа для обмена электронными документами, интегрированная в учетную базу «1С». Сервис позволяет удаленно взаимодействовать с контрагентами и отправлять отчетность в надзорные органы (ФНС, ПФР, ФСС, Росстат и др.). Чтобы документы приобрели юридическую силу, их необходимо заверить квалифицированной ЭП. Если сервис «1С-ЭДО» «не видит» ключ в КриптоПро CSP, рекомендованы следующие действия:
- проверить, установлена ли на компьютере актуальная версия криптопровайдера;
- при наличии СКЗИ уточнить, соответствует ли оно той программе, которая была указана в настройках обмена с «1С».
Как проверить настройки криптопровайдера:
- Запустить сервис «1С-ЭДО».
- Перейти в раздел «Отчеты» → «Регламентированные отчеты».
- Нажать кнопку «Настройки».
- В подразделе «Документооборот с контролирующими органами» нажать кнопку «Здесь».
Если в поле «Криптопровайдер» указана не та программа, которая установлена на ПК (например, VipNet), поменяйте ее в настройках и сохраните клавишей ОК. Для правильной работы сервиса ЭДО рекомендуется использовать на одном АРМ только один из сертифицированных провайдеров.
Оформим электронную подпись для вашего бизнеса. Установим и настроим в день подачи заявки!
Оставьте заявку и получите консультацию в течение 5 минут.
Оцените, насколько полезна была информация в статье?
Наш каталог продукции
У нас Вы найдете широкий ассортимент товаров в сегментах
кассового, торгового, весового, банковского и офисного оборудования.
Посмотреть весь каталог
Мне постоянно приходится иметь дело
с сертификатами, токенами, закрытыми ключами, криптопровайдерами и
прочим. Сейчас все завязано на это — банкинг, сдача отчетности в разные
гос органы, обращения опять же в эти органы, в том числе и физ лиц. В
общем, с этой темой рано или поздно придется познакомиться многим. Для
того, чтобы перенести все это хозяйство с одного компьютера на другой,
иногда приходится прилично повозиться, особенно тем, кто не в теме.
by zerox https://serveradmin.ru/perenos-konteynerov-zakryityih-klyuchey-i-sertifikatov-cryptopro/
Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:
- Перенести
или скопировать контейнер закрытого ключа через стандартную оснастку
CryptoPro в панели управления. Это самый простой и быстрый способ, если у
вас не много сертификатов и ключей. Если же их несколько десятков, а
это не такая уж и редкость, то такой путь вам не подходит. - Скопировать
сертификаты и ключи непосредственно через перенос самих исходных файлов
и данных, где все это хранится. Объем работы одинаков и для 5 и для
50-ти сертификатов, но требуется больше усилий и знаний.
Я
опишу оба этих способа, но подробно остановлюсь именно на втором
способе. В некоторых ситуациях он является единственно возможным.
Важное замечание. Я буду переносить контейнеры закрытого ключа, которые
хранятся в реестре. Если вы храните их только на токене, то переносить
контейнеры вам не надо, только сертификаты.
Копирование закрытого ключа через оснастку КриптоПро
Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.
Далее
вы выбираете текущий контейнер, который хотите скопировать. Это может
быть либо токен, либо реестр компьютера. Затем новое имя и новое
расположение контейнера. Опять же, это может быть как реестр, так и
другой токен.
Ошибка копирования контейнера
Но
тут есть важный нюанс. Если во время создания закрытого ключа он не был
помечен как экспортируемый, скопировать его не получится. У вас будет
ошибка:
Ошибка
копирования контейнера. У вас нет разрешений на экспорт ключа, потому
что при создании ключа не был установлен соответствующий флаг. Ошибка
0x8009000B (-2146893813) Ключ не может быть использован в указанном
состоянии.
Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему.
Отдельно
расскажу, как скопировать сертификат и закрытый ключ к нему в файл,
чтобы перенести на другой компьютер без использования токена. Штатные
возможности CryptoPro не позволяют скопировать закрытый ключ в файл.
Запускаем Internet Explorer, открываем его настройки и переходим на вкладку Содержание. Там нажимаем на Сертификаты.
Выбираем нужный сертификат и нажимаем Экспорт.
Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ «Да, экспортировать закрытый ключ«,
значит он не помечен как экспортируемый и перенести его таким способом
не получится. Можно сразу переходить к другому способу, который описан
ниже.
Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее.
В следующем меню ставьте все галочки, так вам будет удобнее и проще в
будущем, если вдруг опять понадобится копировать ключи уже из нового
места.
Укажите
какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В
завершении укажите имя файла, куда вы хотите сохранить закрытый ключ.
Теперь вам нужно скопировать сам сертификат. Только что мы копировали
закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять
выбираете этот же сертификат в списке, жмите Экспорт и выберите файл
формата .CER.
Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него.
В итоге у вас должны получиться 2 файла с расширениями:
- .pfx
- .cer
Вам
достаточно перенести эти 2 файла на другой компьютер и кликнуть по
каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам
достаточно будет выбрать все параметры по-умолчанию и понажимать Далее.
Сертификат и контейнер закрытого ключа к нему будут перенесены на другой
компьютер.
Я описал первый способ
переноса в ручном режиме. Им можно воспользоваться, если у вас немного
сертификатов и ключей. Если их много и руками по одному переносить
долго, то переходим ко второму способу.
Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер
В
интернете достаточно легко находится способ переноса контейнеров
закрытых ключей КриптоПро через копирование нужной ветки реестра, где
это все хранится. Я воспользуюсь именно этим способом. А вот с массовым
переносом самих сертификатов у меня возникли затруднения и я не сразу
нашел рабочий способ. Расскажу о нем тоже.
Для
дальнейшей работы нам надо узнать SID текущего пользователя, у которого
мы будем копировать или переносить сертификаты с ключами. Для этого в
командной строке выполните команду:
wmic useraccount where name='zerox' get sid
В данном случай zerox — имя учетной записи, для которой узнаем SID.
Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра и переходим в ветку:
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsUsersS-1-5-21-4126079715-2548991747-1835893097-1000Keys
где S-1-5-21-4126079715-2548991747-1835893097-1000
— SID пользователя, у которого копируем сертификаты. Выбираем папку
Keys и экспортируем ее.
Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи.
Теперь нам нужно скопировать сразу все сертификаты. В Windows 7, 8 и 10 они живут в директории — C:UserszeroxAppDataRoamingMicrosoftSystemCertificatesMy. Сохраняйте эту директорию.
Для
переноса ключей и сертификатов нам надо скопировать на другой компьютер
сохраненную ветку реестра и директорию с сертификатами My.
Открываем файл с веткой реестра в текстовом редакторе и меняем там SID
пользователя со старого компьютера на SID пользователя нового
компьютера. Можно прям в блокноте это сделать поиском с заменой.
После
этого запускаем .reg файл и вносим данные из файла в реестр. Теперь
скопируйте папку My с сертификатами в то же место в профиле нового
пользователя. На этом перенос сертификатов и контейнеров закрытых ключей
КриптоПро завершен. Можно проверять работу.
Я
не раз пользовался этим методом, на текущий момент он 100% рабочий.
Написал статью,чтобы помочь остальным, так как сам не видел в интернете
подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя
таковой получилась.
- Remove From My Forums
-
Общие обсуждения
-
Возникает при шифровании файлов, выборе сертификата. Помогите найти хотя бы описание. Где можно посмотреть?
-
Изменен тип
Igor Leyko
30 сентября 2010 г. 8:17
-
Изменен тип
Все ответы
Для корректной работы с электронной подписью (ЭП, ранее — ЭЦП) достаточно соблюсти четыре условия. Во-первых, приобрести средства ЭП в удостоверяющем центре (УЦ). Во-вторых, установить лицензионное средство криптозащиты (СКЗИ, криптопровайдер). В-третьих, загрузить на рабочее место личный, промежуточный и корневой сертификаты. И, в-четвертых, настроить браузер для подписания электронных файлов на веб-порталах. Если хотя бы одно из условий не соблюдено, в процессе использования ЭП возникают различные ошибки: КриптоПро не видит ключ, недействительный сертификат, отсутствие ключа в хранилище и другие. Самые распространенные сбои и способы их устранения рассмотрим в статье.
Настроим вашу электронную подпись под ключ за 30 минут!
Оставьте заявку и получите консультацию.
Почему КриптоПро не видит ключ ЭЦП
КриптоПро CSP — самый популярный криптографический софт на российском рынке. Большинство торговых площадок и автоматизированных госсистем работают только с этим криптопровайдером. Программное обеспечение распространяется на безвозмездной основе разработчиком и через дистрибьюторскую сеть, а за лицензию придется платить. При покупке квалифицированной ЭП (КЭП) клиенты получают набор средств:
- закрытый и открытый ключи;
- сертификат ключа проверки электронной подписи (СКПЭП, СЭП) — привязан к открытому ключу;
- физический носитель, на который записываются все перечисленные средства.
Каждый раз, когда владельцу СЭП нужно подписать цифровой файл, он подключает USB-носитель к ПК и вводит пароль (двухфакторная идентификация). Возможен и другой путь — записать все компоненты в реестр ПК и пользоваться ими без физического криптоключа. Второй способ не рекомендован, так как считается небезопасным.
В работе с ЭП возникают такие ситуации, когда пользователь пытается заверить документ в интернете или в специальном приложении, открывает список ключей и не видит СЭП. Проблема может быть спровоцирована следующими факторами:
| Ошибка | Решение |
| Не подключен носитель | Подсоединить токен к ПК через USB-порт (об успешном подключении свидетельствует зеленый индикатор на флешке) |
| Не установлено СКЗИ | Установить криптопровайдер, следуя инструкции |
| Не установлен драйвер носителя | Чтобы компьютер «увидел» устройство, нужно установить специальную утилиту. Как правило, она предоставляется удостоверяющим центром при выдаче подписи. Руководство по инсталляции можно найти на портале разработчика |
| На ПК не загружены сертификаты | Установить корневой, промежуточный и личный сертификаты (как это сделать, рассмотрим далее) |
| Не установлен плагин для браузера | Скачать ПО на сайте www.cryptopro.ru< и установить по инструкции |
Ошибка КриптоПро «0x80090008»: указан неправильный алгоритм
Если версия CryptoPro не соответствует новым условиям сдачи отчетности, пользователь увидит на экране уведомление с кодом ошибки «0x80090008». Это значит, что на ПК установлен устаревший релиз программы, и его необходимо обновить. Для начала проверьте сертификат:
- В меню «Пуск» выберите пункт «Все программы» → «КриптоПро».
- Откройте «КриптоПро CSP сервис» и выберите команду «Протестировать».
- Нажмите кнопку «По сертификату» и укажите нужный файл.
При наличии ошибки в СЭП система на нее укажет.
Удаление программы
Если никаких проблем не обнаружено, ошибку неправильного алгоритма поможет устранить переустановка СКЗИ:
- Найти криптопровайдер через «Пуск».
- Выбрать команду «Удалить».
- Перезагрузить ПК.
Чтобы новая программа работала корректно, перед установкой требуется удалить все следы старой версии с помощью фирменной утилиты cspclean от CryptoPro:
- Запустить файл cspclean.exe на рабочем столе.
- Подтвердить удаление продукта клавишей «ДА».
- Перезагрузить компьютер.
Контейнеры, сохраненные в реестре, удалятся автоматически.
Установка актуального релиза
Дистрибутивы для скачивания СКЗИ размещены в разделе «Продукты» и доступны для скачивания всем авторизованным пользователям. Создание ЛК занимает не более 5 минут:
- Нажмите кнопку «Регистрация».
- Введите личные данные и подтвердите согласие на доступ к персональной информации.
В каталоге продуктов выберите версию криптопровайдера с учетом ОС, загрузите установщик на ПК, запустите его и следуйте подсказкам. При установке ПО требуется указать серийный номер лицензии (если срок действия еще не истек). Эту информацию можно уточнить в приложении к договору.
По отзывам пользователей, переустановка ПК почти всегда помогает в устранении ошибки «0x80090008». Если проблема не решена, рекомендуется написать в техподдержку разработчика или обратиться к официальному дистрибьютору, у которого вы купили лицензию.
КриптоПро вставлен другой носитель: как исправить
Ошибка «Вставьте ключевой носитель» или «Вставлен другой носитель» возникает при попытке подписания электронного документа. Сначала следует убедиться, что USB-токен с сертификатом подключен к ПК (в качестве носителя используются защищенные криптоключи или обычные флешки). Токен должен соответствовать сертификату. Если носитель подсоединен к ПК, но сообщение об ошибке все равно появляется, следует переустановить сертификат через CryptoPro:
- Открыть меню «Пуск» → «Панель управления» → «КриптоПро CSP».
- Зайти во вкладку «Сервис» → «Посмотреть сертификаты в контейнере» → «Обзор».
- Выбрать из списка ключевой контейнер, нажать ОК и «Далее».
- Нажать «Установить». Если появится предупреждение о том, что сертификат уже присутствует в хранилище, дать согласие на его замену.
- Дождаться загрузки сертификата в хранилище «Личное» и нажать ОК.
После переустановки рекомендуется перезагрузить ПК. Для первичной инсталляции СКПЭП применим аналогичный алгоритм действий.
Мы готовы помочь!
Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариям
Недостаточно прав для выполнения операции в КриптоПро
Ошибка сопровождается уведомлением «У компонента недостаточно прав для доступа к сертификатам». Чаще всего возникает в двух ситуациях:
- При попытке авторизоваться в ЛК, например, на портале контролирующего органа, куда нужно отправить отчет (при нажатии на пиктограмму «Вход по сертификату»).
- При проверке КЭП (при нажатии кнопки «Проверить» в разделе «Помощь»).
Если система уведомила пользователя, что у него недостаточно прав для выполнения операции в КриптоПро, проблема может иметь следующие причины:
- не установлен КриптоПро ЭЦП Browser plug-in 2.0 (или стоит его старая сборка);
- сайт, куда пытается войти клиент, не добавлен в каталог доверенных (надежных) ресурсов.
Browser plug-in — обязательный компонент для применения ЭП на веб-страницах. Он расширяет возможности криптопровайдера, позволяет формировать и проверять электронную подпись на интернет-ресурсах. Без этой программы, КриптоПро не сможет связаться с веб-страницей и реализовать на ней функции КЭП. Пользователи ничего не платят за этот модуль, он размещен в свободном доступе на сайте и совместим с любыми операционными системами. Как установить:
- Сохранить дистрибутив cadesplugin.exe.
- Запустить инсталляцию, кликнув по значку установщика.
- Разрешить программе внесение изменений клавишей «Да».
Появится уведомление об успешном результате. Нажмите ОК и перезагрузите браузер, чтобы коррективы вступили в силу.
Для работы с сертификатом ЭП рекомендуется использовать браузер Microsoft Internet Explorer (MIE) — для него не требуются дополнительные настройки. На завершающем этапе необходимо добавить сайт в список доверенных:
- Через меню «Пуск» (CTRL+ESC) найти продукт КриптоПро CSP.
- Зайти в настройки плагина ЭЦП Browser.
- В разделе «Список доверенных узлов» ввести адреса всех ресурсов, принимающих ваш сертификат.
Если после перезагрузки ПК проблема не решена, рекомендуется удалить плагин и выполнить повторную инсталляцию.
Выпустим и настроим электронную подпись для сотрудника прямо в день обращения!
Оставьте заявку и получите консультацию.
Ошибка исполнения функции при подписании ЭЦП
Ошибка свидетельствует об отсутствии лицензии на продукт КриптоПро CSP. Зачастую она возникает при попытке подписать документ на торговых площадках или в информационных системах (ЕГАИС, ЖКХ, Росреестр, Госуслуги и др.).
Лицензия на криптопровайдер может быть привязана к АРМ или встроена в сертификат ЭП. В первом случае необходимо убедиться, что лицензия введена на рабочем ПК и актуальна. Срок действия можно уточнить на вкладке «Общее» в меню запущенного криптопровайдера. Если он истек, необходимо обратиться к разработчику или официальному дистрибьютору для продления или покупки новой лицензии. Во втором случае ошибка исполнения функции при подписании ЭЦП возникает при отсутствии установленного на ПК сертификата.
Ошибка при проверке цепочки сертификатов в КриптоПро
Юридически значимую документацию можно заверить электронной подписью только в том случае, если СКЗИ подтвердит надежность (доверенность) сертификата. Для этого программа проверяет цепочку сертификации (ЦС), состоящую из таких элементов:
- корневой сертификат от Минкомсвязи (начальное звено цепи), выданный УЦ;
- промежуточный сертификат УЦ (ПС);
- СКПЭП.
Правильно построенная ЦС подтверждает, что СКПЭП (конечное звено) имеет доверенный путь (от Минкомсвязи к УЦ, от УЦ к пользователю). Ошибка при проверке цепочки сертификатов в КриптоПро свидетельствует о том, что минимум один элемент в этой системе искажен. ЭП при этом считается недействительной и не принимается для подписания файлов.
| Причина | Решение |
| Один из сертификатов поврежден или некорректно установлен | Переустановить сертификат |
| Неправильно установлено СКЗИ (или стоит устаревшая версия) | Удалить и заново установить программу |
| Устаревшая версия веб-браузера | Обновить браузер |
| На ПК не актуализированы дата и время | Указать в настройках компьютера правильные значения |
На первой причине остановимся подробнее. Чтобы проверить состояние ЦС, откройте папку криптопровайдера, выберите раздел «Сертификаты» → «Личное». Если цепочка нарушена, во вкладке «Общее» будет сообщение о том, что СКПЭП не удалось проверить на надежность.
Устранение сбоя следует начинать с верхнего звена (КС). Файл предоставляется клиенту в удостоверяющем центре вместе с остальными средствами: ключи, СКПЭП, промежуточный сертификат и физический носитель. Кроме того, его можно скачать бесплатно на сайте Казначейства (КС для всех одинаковый). Как загрузить КС:
- Открыть документ от Минкомсвязи на компьютере.
- В разделе «Общее» выбрать команду установки.
- Установить галочку напротив пункта «Поместить в хранилище».
- Из списка выбрать папку «Доверенные корневые центры».
- Нажать «Далее» — появится уведомление об успешном импорте.
По завершении процедуры рекомендуется перезагрузить ПК. Если сбой не устранен, переходим к промежуточному компоненту. При утере ПС его можно загрузить с официального сайта УЦ. Процесс установки такой же, как и для КС, но в качестве хранилища должно быть указано «Промежуточные центры».
После перезагрузки ПК снова зайдите в папку «Личное» и откройте СКПЭП. Если во вкладке «Путь сертификации» будет статус «Сертификат действителен» — ошибка устранена.
Электронная подпись описи содержания пакета недействительна
Одной КЭП можно сразу заверить несколько файлов. В одном письме адресат может отправлять комплект документации и отдельно к нему опись, где перечислены все файлы. Перечень документов тоже нужно визировать ЭП.
Если при попытке заверить ведомость пользователь увидит сообщение о недействительности сертификата, значит подписать основной комплект тоже не удастся. Эта ошибка распространяется на все типы файлов, а не на какой-то конкретный документ.
Причина сбоя — нарушение доверенной цепочки, о которой было сказано ранее. В первую очередь следует проверить наличие и корректность КС и ПС. Если они установлены, удалите эти файлы и загрузите снова.
Проблемы с браузером
Для заверки электронных файлов в интернете разработчик СКЗИ рекомендует использовать встроенный веб-обозреватель MIE. Но даже с ним бывают сбои. Если это произошло, зайдите в браузер под ролью администратора:
- Кликните по значку браузера на рабочем столе.
- В контекстном меню выберите соответствующую роль.
Чтобы всякий раз не предпринимать лишние действия, в настройках можно задать автоматический доступ под нужными правами. Неактуальную версию браузера необходимо обновить до последнего релиза. Также следует отключить антивирусные программы, так как многие из них блокируют работу СКЗИ, воспринимая как вредоносное ПО.
Не работает служба инициализации
Если работа сервиса инициализации Crypto Pro приостановлена, СКПЭП тоже не будет работать. Запустите командную строку клавишами Win+R:
- Введите команду services.msc.
- В разделе «Службы» выберите «Службу инициализации» и проверьте в свойствах ее активность.
Если сервис отключен, запустите его и нажмите ОК. После перезапуска ПК электронная подпись должна снова работать корректно.
Сертификаты не отвечают критериям КриптоПро
Ошибка всплывает при попытке авторизоваться в информационной госсистеме (например, «Электронный Бюджет» и др.). Пользователь видит сообщение следующего содержания:
Первый способ устранения сбоя — «снести» СКЗИ и поставить заново, как описано выше. Если это вариант не сработал, значит проблема кроется в неправильном формировании ЦС. Рассмотрим на примере. Отправитель зашел в СКПЭП и в подразделе «Общее» увидел статус «Недостаточно информации для проверки этого сертификата». В первую очередь рекомендуется проверить наличие корневого сертификата в цепочке и при его отсутствии выполнить установку (алгоритм описан ранее). Если этот метод не помог, на форуме разработчика приводится еще один способ: от имени администратора вызвать «Пуск» → «Выполнить» → «regedit». Далее необходимо удалить ветки:
Не все бывают в наличии, поэтому удаляйте те, что есть. Процедура не вредит системе и сохраненным файлам, но помогает не в каждом случае (обычно ошибку удается устранить при установке корневого сертификата).
«1С-ЭДО» — программа для обмена электронными документами, интегрированная в учетную базу «1С». Сервис позволяет удаленно взаимодействовать с контрагентами и отправлять отчетность в надзорные органы (ФНС, ПФР, ФСС, Росстат и др.). Чтобы документы приобрели юридическую силу, их необходимо заверить квалифицированной ЭП. Если сервис «1С-ЭДО» «не видит» ключ в КриптоПро CSP, рекомендованы следующие действия:
- проверить, установлена ли на компьютере актуальная версия криптопровайдера;
- при наличии СКЗИ уточнить, соответствует ли оно той программе, которая была указана в настройках обмена с «1С».
Как проверить настройки криптопровайдера:
- Запустить сервис «1С-ЭДО».
- Перейти в раздел «Отчеты» → «Регламентированные отчеты».
- Нажать кнопку «Настройки».
- В подразделе «Документооборот с контролирующими органами» нажать кнопку «Здесь».
Если в поле «Криптопровайдер» указана не та программа, которая установлена на ПК (например, VipNet), поменяйте ее в настройках и сохраните клавишей ОК. Для правильной работы сервиса ЭДО рекомендуется использовать на одном АРМ только один из сертифицированных провайдеров.
Подберем USB-носитель для ЭП. Доставка — в любую точку России!
Оставьте заявку и получите консультацию в течение 5 минут.
Александр Киреев
Эксперт отдела автоматизации и развития бизнеса Online-kassa.ru. Бизнес-тренер и аналитик, отвечает за работу с ключевыми клиентами.
Оцените, насколько полезна была информация в статье?
Наш каталог продукции
У нас Вы найдете широкий ассортимент товаров в сегментах
кассового, торгового, весового, банковского и офисного оборудования.
Посмотреть весь каталог
Мне постоянно приходится иметь дело
с сертификатами, токенами, закрытыми ключами, криптопровайдерами и
прочим. Сейчас все завязано на это — банкинг, сдача отчетности в разные
гос органы, обращения опять же в эти органы, в том числе и физ лиц. В
общем, с этой темой рано или поздно придется познакомиться многим. Для
того, чтобы перенести все это хозяйство с одного компьютера на другой,
иногда приходится прилично повозиться, особенно тем, кто не в теме.
by zerox https://serveradmin.ru/perenos-konteynerov-zakryityih-klyuchey-i-sertifikatov-cryptopro/
Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:
- Перенести
или скопировать контейнер закрытого ключа через стандартную оснастку
CryptoPro в панели управления. Это самый простой и быстрый способ, если у
вас не много сертификатов и ключей. Если же их несколько десятков, а
это не такая уж и редкость, то такой путь вам не подходит. - Скопировать
сертификаты и ключи непосредственно через перенос самих исходных файлов
и данных, где все это хранится. Объем работы одинаков и для 5 и для
50-ти сертификатов, но требуется больше усилий и знаний.
Я
опишу оба этих способа, но подробно остановлюсь именно на втором
способе. В некоторых ситуациях он является единственно возможным.
Важное замечание. Я буду переносить контейнеры закрытого ключа, которые
хранятся в реестре. Если вы храните их только на токене, то переносить
контейнеры вам не надо, только сертификаты.
Копирование закрытого ключа через оснастку КриптоПро
Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.
Далее
вы выбираете текущий контейнер, который хотите скопировать. Это может
быть либо токен, либо реестр компьютера. Затем новое имя и новое
расположение контейнера. Опять же, это может быть как реестр, так и
другой токен.
Ошибка копирования контейнера
Но
тут есть важный нюанс. Если во время создания закрытого ключа он не был
помечен как экспортируемый, скопировать его не получится. У вас будет
ошибка:
Ошибка
копирования контейнера. У вас нет разрешений на экспорт ключа, потому
что при создании ключа не был установлен соответствующий флаг. Ошибка
0x8009000B (-2146893813) Ключ не может быть использован в указанном
состоянии.
Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему.
Отдельно
расскажу, как скопировать сертификат и закрытый ключ к нему в файл,
чтобы перенести на другой компьютер без использования токена. Штатные
возможности CryptoPro не позволяют скопировать закрытый ключ в файл.
Запускаем Internet Explorer, открываем его настройки и переходим на вкладку Содержание. Там нажимаем на Сертификаты.
Выбираем нужный сертификат и нажимаем Экспорт.
Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ «Да, экспортировать закрытый ключ«,
значит он не помечен как экспортируемый и перенести его таким способом
не получится. Можно сразу переходить к другому способу, который описан
ниже.
Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее.
В следующем меню ставьте все галочки, так вам будет удобнее и проще в
будущем, если вдруг опять понадобится копировать ключи уже из нового
места.
Укажите
какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В
завершении укажите имя файла, куда вы хотите сохранить закрытый ключ.
Теперь вам нужно скопировать сам сертификат. Только что мы копировали
закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять
выбираете этот же сертификат в списке, жмите Экспорт и выберите файл
формата .CER.
Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него.
В итоге у вас должны получиться 2 файла с расширениями:
- .pfx
- .cer
Вам
достаточно перенести эти 2 файла на другой компьютер и кликнуть по
каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам
достаточно будет выбрать все параметры по-умолчанию и понажимать Далее.
Сертификат и контейнер закрытого ключа к нему будут перенесены на другой
компьютер.
Я описал первый способ
переноса в ручном режиме. Им можно воспользоваться, если у вас немного
сертификатов и ключей. Если их много и руками по одному переносить
долго, то переходим ко второму способу.
В
интернете достаточно легко находится способ переноса контейнеров
закрытых ключей КриптоПро через копирование нужной ветки реестра, где
это все хранится. Я воспользуюсь именно этим способом. А вот с массовым
переносом самих сертификатов у меня возникли затруднения и я не сразу
нашел рабочий способ. Расскажу о нем тоже.
Для
дальнейшей работы нам надо узнать SID текущего пользователя, у которого
мы будем копировать или переносить сертификаты с ключами. Для этого в
командной строке выполните команду:
wmic useraccount where name='zerox' get sid
В данном случай zerox — имя учетной записи, для которой узнаем SID.
Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра и переходим в ветку:
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsUsersS-1-5-21-4126079715-2548991747-1835893097-1000Keys
где S-1-5-21-4126079715-2548991747-1835893097-1000
— SID пользователя, у которого копируем сертификаты. Выбираем папку
Keys и экспортируем ее.
Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи.
Теперь нам нужно скопировать сразу все сертификаты. В Windows 7, 8 и 10 они живут в директории — C:UserszeroxAppDataRoamingMicrosoftSystemCertificatesMy. Сохраняйте эту директорию.
Для
переноса ключей и сертификатов нам надо скопировать на другой компьютер
сохраненную ветку реестра и директорию с сертификатами My.
Открываем файл с веткой реестра в текстовом редакторе и меняем там SID
пользователя со старого компьютера на SID пользователя нового
компьютера. Можно прям в блокноте это сделать поиском с заменой.
После
этого запускаем .reg файл и вносим данные из файла в реестр. Теперь
скопируйте папку My с сертификатами в то же место в профиле нового
пользователя. На этом перенос сертификатов и контейнеров закрытых ключей
КриптоПро завершен. Можно проверять работу.
Я
не раз пользовался этим методом, на текущий момент он 100% рабочий.
Написал статью,чтобы помочь остальным, так как сам не видел в интернете
подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя
таковой получилась.
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
Windows 7 x64 — Ошибка копирования контейнера
|
romantim |
|
|
Статус: Новичок Группы: Участники
|
Добрый день. |
|
|
|
|
Писинин Алексей |
|
|
Статус: Активный участник Группы: Участники
|
Не истек ли срок действия лицензии для КриптоПро CSP, и не заблокирован ли носитель? Отредактировано пользователем 17 февраля 2010 г. 15:54:47(UTC) |
|
|
|
|
romantim |
|
|
Статус: Новичок Группы: Участники
|
Лицензия триальная, еще живая. |
|
|
|
|
Василий Дементьев |
|
|
Статус: Администратор Группы: Администраторы, Участники Поблагодарили: 5 раз в 4 постах |
В ближайшее время на сайт выложим новый билд 3.6.1. В его составе новый модуль поддержки етовенов от Аладдина. |
|
|
WWW |
|
romantim |
|
|
Статус: Новичок Группы: Участники
|
Копировал с етокена в реестр, пин-код не менял — с каким выдали, тот и использую. |
|
|
|
| Пользователи, просматривающие эту тему |
|
Guest |
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
Windows 7 x64 — Ошибка копирования контейнера
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
zheka |
|
|
Статус: Новичок Группы: Участники
|
Добрый день. На отдельном сервере, под управлением Windows 2003 R2 Standart Edition SP2 стоит КриптоПро УЦ версии 1.05.1072. Понадобилось перевыпустить (продлить) ключи Центра Сертификации. УЦ подчиненный. По инструкции делаю «Все задачи»-«Обновить сертификат ЦС…». Выдает ошибку после выбора ключевого носителя. В качестве ключевого носителя используется смарт-карта eToken PRO SmartCard. Когда на сервере стоял КриптоПро CSP 3.6.6497 КС2 выходило сообщение об ошибке «Внутренняя ошибка. 0х80090020 (-2146893792). Воспользовался утилитой container_util.exe. Не помогло. Обновил КриптоПро CSP до версии 3.6.7777 КС2. Теперь выходит сообщение об ошибке «Указаны неправильные флаги. 0х80090009 (-2146893815)». В чем может быть дело? Пользователь zheka прикрепил следующие файлы:
У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться. |
 |
|
Ошибка генерации ключа.JPG |
Molostvov |
|
|
Статус: Сотрудник Группы: Участники Сказал(а) «Спасибо»: 2 раз |
Добрый день. Проблема актуальна? |
|
|
|
|
rus77 |
|
|
Статус: Активный участник Группы: Участники Сказал(а) «Спасибо»: 2 раз |
проблема актуальна |
|
|
|
|
Molostvov |
|
|
Статус: Сотрудник Группы: Участники Сказал(а) «Спасибо»: 2 раз |
Есть в ошибки в EventViewer? |
|
|
|
|
Executer |
|
|
Статус: Активный участник Группы: Участники Сказал «Спасибо»: 32 раз |
Автор: Molostvov Есть в ошибки в EventViewer? Встряну и я. При выполнении инструкции по переводу в режим подчинённого всё прерывается на такой же ошибке. В Эвенте ошибок, связанных с таким событием нет. Отредактировано пользователем 22 июля 2016 г. 16:28:18(UTC) |
|
|
|
|
Executer |
|
|
Статус: Активный участник Группы: Участники Сказал «Спасибо»: 32 раз |
Проблема актуальна! Отредактировано пользователем 1 августа 2016 г. 19:33:41(UTC) |
|
|
|
|
Станислав Королёв |
|
|
Статус: Сотрудник Группы: Участники Поблагодарили: 27 раз в 27 постах |
Автор: Executer Проблема актуальна! Какую длину ключа выбираете при создании запроса? На вопрос об увеличении ключа отвечаете — «нет» ? |
|
|
|
|
Executer |
|
|
Статус: Активный участник Группы: Участники Сказал «Спасибо»: 32 раз |
Автор: skorolev Автор: Executer Проблема актуальна! Какую длину ключа выбираете при создании запроса? На вопрос об увеличении ключа отвечаете — «нет» ? Длина ключа 1024 , на вопрос об увеличении ответ «да». В инструкции так. А надо как? |
|
|
|
|
chikory |
|
|
Статус: Активный участник Группы: Участники
|
Добрый день. |
|
|
WWW |
|
Станислав Королёв |
|
|
Статус: Сотрудник Группы: Участники Поблагодарили: 27 раз в 27 постах |
Автор: Executer Автор: skorolev Какую длину ключа выбираете при создании запроса? На вопрос об увеличении ключа отвечаете — «нет» ? Длина ключа 1024 , на вопрос об увеличении ответ «да». В инструкции так. А надо как? В какой инструкции? Если Вы выпускали ключи ЦС по алгоритмам ГОСТ, то длина открытого ключа 512 бит, длина закрытого — 256 бит. |
|
|
|
| Пользователи, просматривающие эту тему |
|
Guest |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.