Поддержка криптопро фкн нет что делать

Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP (Страница 1 из 3)

В моей системе CSP не обнаруживает Рутокен. А именно: в панели управления КриптоПро Рутокен CSP в разделе "ключевые носители" ни у одного из носителей в "свойствах" не активна вкладка "информация". Сравниваю с КриптоПро CSP на той же системе (версия 3.9.8353).
Если я правильно понимаю, то "поддержка КриптоПро ФКН" была важна для КриптоПро Рутокен CSP 3.6 и Рутокен ЭЦП "1.0".

Что можно сделать для использования имеющегося токена?

#2 Ответ от Ксения Шаврова 2016-06-21 11:49:33

Ксения Шаврова
Администратор
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Правильно ли мы понимаем, что у вас на компьютере одновременно установлены "Крипто ПРО CSP" и "Крипто ПРО Рутокен CSP"?
Если это так, то есть предположение, что обе версии криптопровайдеров пытаются обратиться к ключу Рутокен и возникает проблема.
Попробуйте удалить "Крипто ПРО CSP" и переустановите "Крипто ПРО Рутокен CSP", после чего, проверьте работоспособность ключевого идентификатора Рутокен.

#3 Ответ от ettavolt 2016-06-21 20:50:44

ettavolt
Посетитель
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Попробовал с дополнительно очисткой Revo.
Видимых изменений, к сожалению, нет.

#4 Ответ от Ксения Шаврова 2016-06-22 12:34:22

Ксения Шаврова
Администратор
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Укажите, пожалуйста, версию ядра и версию продукта установленного у вас "Крипто ПРО Рутокен CSP".

#5 Ответ от ettavolt 2016-06-22 14:33:34

ettavolt
Посетитель
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

3.9.8003 КС1 и 3.9.8366. (Как на снимке из первого сообщения).

#6 Ответ от Ксения Шаврова 2016-06-22 15:14:54

Ксения Шаврова
Администратор
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

В программном продукте "Крипто ПРО Рутокен CSP" на вкладке "Оборудование" — кнопка "Настроить типы носителей" — свойства носителя — есть только 2 вкладки: "Общие" и "Настройки" (вне зависимости от наличия носителя):

Подробную информацию о ключевом идентификаторе можно увидеть в "Панели управления Рутокен".

#7 Ответ от ettavolt 2016-06-22 15:22:50

ettavolt
Посетитель
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Спасибо.
А есть какие-нибудь идеи, как проверить взаимодействие аппаратной и программной частей без выпуска полноценного сертификата КЭП? Сейчас на токене есть ключевая пара и сертификат, созданные через ra.rutoken.ru, но CSP не обнаруживает их.

#8 Ответ от Ксения Шаврова 2016-06-22 16:48:11

Ксения Шаврова
Администратор
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

На тестовом удостоверяющем центре ООО "Крипто ПРО" через Internet Explorer http://www.cryptopro.ru/certsrv/certrqma.asp (адрес сайта добавить в надежные) выписать сертификат, используя криптопровайдер Rutoken CSP и установить сертификат на Рутокен.

Просмотреть сертификат через "Крипто ПРО Рутокен CSP" — вкладка "Сервис" — "Просмотреть сертификаты в контейнере"

#9 Ответ от ettavolt 2016-06-22 19:42:40

ettavolt
Посетитель
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Спасибо, работает.
Оказывается "Крипто ПРО Рутокен CSP" тоже не PKCS#11-совместимый.

#10 Ответ от vadjunik 2016-12-12 11:27:04 (2016-12-12 11:27:24 отредактировано vadjunik)

vadjunik
Посетитель
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Имею похожу проблему, потому пишу в эту тему. Задача — использование СКЗ для электронных подписей в банковском ПО. Одна из поддерживаемых СКЗ — КриптоПро, есть задача — использовать аппаратный токен для подписи документов. Для начала, хотел понять, понадобится ли какая-то доработка клиентского ПО для этого или существующее, позволит осуществлять процесс подписи автоматически.

Никак не получается "увидеть" токены в КриптоПро CSP, сам по себе он работает — сертификаты сохраняются по умолчанию в реестре.

В наличии несколько токенов:
— Рутокен ЭЦП: Версия 16.00.09.00 (02), поддержка КриптоПро ФКН — Нет;
— Рутокен КП: Версия 20.04.18.02 (13), поддержка КриптоПро ФКН — Да;

В панеле управления Рутокен все железки видно, но заставить их работать с КриптоПро никак не получается.
Пробовал разные ОС — Вин 7 (правда через вирутальную машину), Вин 8.1 х64.

По ссылке http://www.cryptopro.ru/certsrv/certrqma.asp из IE 11 в Вин 8.1 выбрать криптопровайдер невозможно.

Пробовал ставить КриптоПро Rutoken CSP (3.9.8425), КриптоПро CSP 3.9 (R2), КриптоПро CSP 4.0 c самой свежей поддержкой Рутокен — v.2.43.00.0164.

#11 Ответ от ettavolt 2016-12-12 12:24:41

ettavolt
Посетитель
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Мне известны три способа работы с Рутокеном ЭЦП (возможно это верно и для других производителей):
* флэшка —

60К под паролем, связывается, мне кажется, с любым CSP,
* PKCS#11 — plain-text API over USB, закрытый ключ не извлекается, связывается с InfoTecs CSP, но коряво (этому CSP нужны проприетарные объекты с данными о сертификате и пары ключей, потому работает только с парами им же и созданными),
* ФКН — типа TLS over USB, закрытый ключ не извлекается, пароль непосредственно в устройство не передаётся (?), связывается с КриптоПро Rutoken CSP.
Мог наврать про особенности, детально знаком только с PKCS#11.
Интеграция подписи прямо в веб-приложение — очень муторный процесс, который требует дополнительные компоненты в дополнение к CSP. Для IE там идёт порядка полудесятка ActiveX-объектов, NPAPI — парочка плагинов.

На мой взгляд, проще разместить приложение за GOST-ciphered TLS с проверкой подлинности клиента. Так делает nalog.ru. Для IE будет достаточно общесистемного CSP.

#12 Ответ от vadjunik 2016-12-12 13:36:59

vadjunik
Посетитель
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Ситуация проще, а может и сложнее ) УЖЕ есть работающая клиент-серверная система ДБО (дистанционного банковского обслуживания). Она может работать с произвольным количеством СКЗ — путем создания соответствующего стандартизованного плагина (запросить сертификат, подписать документ и пр.).
В данном конкретном случае речь о СКЗ КриптоПро — все работает — сертификат запрашивается, выдается и доки подписываются. Но сертификат сохраняется в локальном хранилище на ПК пользователя. Собственно задача — сохранять сертификат и подпись в токене (ну или сразу генерить подпись им, не суть важно).
Для начала хотелось бы понять почему КриптоПро в упор не видет токен. Хотя, судя по изученой документации должен.

При запросе сертификата, существующая реализация плагина системы ДБО предлагает пользователю диалог для формирования ключей, вот у меня и есть предположение (не нашел в доках ответа), что при сохранении сертификата будет автоматически использоваться токен, если КриптоПро на него настроен изначально. Проверить сие никак не получается (

#13 Ответ от vadjunik 2016-12-12 13:38:38

vadjunik
Посетитель
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Как считаете, местная техподдержка заглядывает в темы или нужно создавать новую?

#14 Ответ от Антон Тихиенко 2016-12-12 17:25:40

Антон Тихиенко
Администратор
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Как считаете, местная техподдержка заглядывает в темы или нужно создавать новую?

Здравствуйте. Ещё тему делать не надо. В нормальном случае Рутокен должен находиться в CSP. Проверьте, пожалуйста, на другом компьютере определятся ли токены (в ФКН и обычном КрипоПро)?

#15 Ответ от vadjunik 2016-12-12 17:50:57

vadjunik
Посетитель
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Ещё тему делать ненадо. В нормальном случае Рутокен должен находиться в CSP. Проверьте, пожалуйста, на другом компьютере определятся ли токены (в ФКН и обычном КрипоПро)?

Проверяли. Точно так же глухо. НО! Есть особенность — все машины под Вин 8.1, по словам коллег из других офисов у кого работает, там Вин 7. В виртуальной машине с Вин7 (ВМваре) также токен не виден, ну тут особо и не надеялся ) Хотя, было бы удобно.

Токены ВЕЗДЕ видны родной контрольной панелью, на одном видно и содержащиеся в нем сертификаты.

КриптоПро не видит Токен (Рутокен)

вопросы

Ключ сертификата электронной подписи (ЭП) записывают на физический носитель — токен. При его взаимодействии с персональным компьютером могут возникать ошибки. В том числе ситуации, когда КриптоПро не видит токен. В статье расскажем про причины данной неисправности и как их устранить.

КриптоПро не видит ключи на Рутокен

Рутокен — это отечественная марка физических носителей для электронной подписи. КриптоПро CSP — это одно из самых популярных в России средств криптографической защиты информации (СКЗИ). Если через КриптоПро CSP не виден сертификат подписи на Рутокен, значит, носитель пустой или сертификат просматривается некорректно. Ниже рассмотрим, что делать, если КриптоПро не видит сертификат на Рутокен и как это исправить.

Пустой Рутокен

Чтобы проверить пустой Рутокен или нет, необходимо посмотреть на его заполненность. Сведения о свободном месте получают в разделе «Информация о Рутокен». Ёмкость рутокена показана в строке «Тип» и указывается в килобайтах. Сертификат занимает около 4 килобайт памяти носителя.

Рассмотрим пример на модели Rutoken S 8K:

В строке «Тип» указан общий объём памяти носителя — 8 кб. В строке свободная память — 7,1 кб. Так как ключ ЭП не может весить 900 байт, значит на носитель не записан сертификат ключа электронной подписи.

Пример Рутокена без сертификата ЭП

В строке «Тип» указан общий объём памяти носителя — 8 кб. В строке свободная память — 3,1 кб. Так как ключ ЭП весит около 4 кб, на данный носитель записан сертификат ключа электронной подписи.

Пример Рутокена, содержащего в себе сертификат ЭП

Некорректный просмотр сертификата

Чтобы просмотреть сертификат в контейнере требуется:

Открыть панель «Пуск», выбрать папку «КриптоПро», далее «КриптоПро CSP».
Перейти во вкладку «Сервис» и нажать «Просмотреть сертификаты в контейнере».
Нажать «Обзор», выбрать необходимую электронную подпись, затем «ОK» и «Далее».

Когда носитель вставлен в ПК, на нём горит индикатор, при просмотре сертификата диод мигает, но сертификат не просматривается, следует выполнить одно из следующих действий:

перезагрузить ПК;
убедится, что ключ ЭП соответствует ГОСТ;
переустановить драйверы;
обратиться в службу технической поддержки удостоверяющего центра, выпустившего сертификат ЭП.

Если индикатор не горит, необходимо проверить работоспособность разъёма USB.

Переустановка драйвера, значок токена с восклицательным знаком

Если носитель отображается в диспетчере устройств с восклицательным знаком, значит, требуется переустановить драйвер. Его скачивают только из официальных источников:

Рутокен — https://www.rutoken.ru/support/download/windows/;
eToken — https://erim.ru/gde-skachat-i-kak-ustanovit-drayvery-etoken.html;
JaCarta — https://www.aladdin-rd.ru/support/downloads/jacarta.

Для переустановки требуется:

Вытащить носитель из ПК.
Установить драйвер.
Вставить токен и проверить работоспособность.
Если проблема не исчезла, проверить работу носителя на другом ПК или переустановить драйвер.

Устранение ошибки при создании электронной подписи

Сертификат подписи просматривается некорректно в двух значениях:

элемент не найден;
не удалось построить цепочку сертификатов.

Следствием таких ошибок являются некорректная работа криптопровайдера, не установленный или не обновлённый сертификат ЭП. Для этого достаточно выполнить следующие действия:

Переустановить СКЗИ, при этом очистить кеш браузера и Java.
Удалить личные сертификаты и сертификаты УЦ.
Установить новые сертификаты согласно имени контейнера.
Перезагрузить ПК.
Присоединить носитель ключа ЭП.
Подписать электронный документ заново.
При повторной ошибке обратиться в сервисный центр.

Также ошибка возникает из-за проблемного корневого доверенного сертификата. Чтобы это исправить потребуется:

Не установлен драйвер для аппаратного ключа ЕГАИС

Драйвер ключа ЭП для ЕГАИС может быть ещё не установлен. Автоматическая установка драйвера происходит при первом подключении в течение трёх-пяти минут. Подписью можно пользоваться только после уведомления об успешной установке драйверов.

Компьютер не видит Рутокен, что делать

Ошибки возникают не только при неисправности программного обеспечения или ключа электронной подписи. КриптоПро не видит Рутокен и при поломке порта или самого носителя.

Чтобы удостовериться в том, что именно USB-порт работает неправильно, необходимо переставить носитель в другой разъём. Если подпись определяется компьютером, то предыдущий USB-порт неисправен или не подключён. Когда токен не работает ни на одном ПК, значит, дело в нём и следует обратиться в сервисный центр для выпуска нового носителя.

Извлечение ключа из токена с неизвлекаемым ключом

Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них СКЗИ КриптоПРО CSP и токен с неизвлекаемым ключом (Рутокен ЭЦП или JaCarta ГОСТ), мы получим сертифицированные СКЗИ, обеспечивающие 100%-ную защиту от кражи ключей с токена. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент…

Конфигурация тестового стенда

ОС MS Windows 7 SP1
СКЗИ КриптоПРО CSP 3.9.8423
Драйверы Рутокен для Windows (x86 и x64). Версия: v.4.1.0.0 от 20.06.2016, WHQL-certified
Единый Клиент JaCarta и JaCarta SecurLogon. Версия 2.9.0 сборка 1531
КриптоАРМ Стандарт Плюс 5. Версия 5.2.0.8847.

Рутокен ЭЦП. Версия 19.02.14.00 (02)
JaCarta ГОСТ. Номер модели JC001-2.F09 v2.1

Методика тестирования

генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;
после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;
сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом;
с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям;
после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.

Проведение тестирования

Для этого с помощью КриптоАРМ создадим в реестре контейнер закрытого ключа test-key-reestr, содержащий самоподписанный сертификат (CN=test)

С помощью штатных средств СКЗИ КриптоПРО CSP (Пуск—>Панель управления—>КриптоПро CSP) скопируем ключевой контейнер test-key-reestr на ключевые носители Рутокен ЭЦП и JaCarta ГОСТ. Ключевым контейнерам на ключевых носителях присвоим имена test-key-rutoken и test-key-jacarta соответственно.
Описание приведено применительно к JaCarta ГОСТ (для Рутокен ЭЦП действия аналогичны):

Таким образом получили рабочие ключевые документы на JaCarta ГОСТ (контейнер test-key-jacarta) и Рутокен ЭЦП (контейнер test-key-rutoken).
Попробуем скопировать ключевые контейнеры test-key-rutoken и test-key-jacarta обратно в реестр.
Описание приведено для JaCarta ГОСТ (для Рутокен ЭЦП действия аналогичны).

Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.

Матчасть

То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется функциональным ключевым носителем (ФКН) (доп. инфо).

Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.

Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).

Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.

По-новому взглянем на наш тестовый стенд

В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:

В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.

Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.

Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.

Как сделать, чтобы все было хорошо?

Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:

1. Купить специальную версию библиотеки СКЗИ:
— для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP.
— для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.

2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.

Получается, что Рутокен ЭЦП и JaCarta ГОСТ не являются токенами с неизвлекаемым ключом?

Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть КриптоАРМ Стандарт 5 Плюс. Он это умеет. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.

Поддержка криптопро фкн нет что делать

Трудности валидации на сайте «РТС-Тендер» возникают из-за того, что ЭЦП browser Plug-In не видит ключ RuToken или только сертификат на подпись. Узнать, почему ПК не видит ключ электронной подписи, помогут инструкция от поставщика специализированного ПО, тематический форум на сайте ФНС или ресурсах, посвящённых ЭЦП, а также специалисты из службы технической поддержки производителя крипто-ПО.

Как должно работать

Почему не видит ЭЦП компьютер? Вроде и ключ в виде флешки есть (тот же RuToken), и утилита «Крипто-Про» установлена, а проверка ЭП не выполняется. Основная причина — ПК изначально не видит флешку ЭЦП. Это возникает обычно, потому что ключ пытаются запустить на устройстве с неподдерживаемой ОС. Ведь каждый ключик-флешка делается под свою среду, и банальное обновление ОС может привести к потере совместимости с имеющимся ключом ЭЦП (флешкой). Когда установка криптопровайдера выполнена на поддерживаемом аппарате, по инструкции, но всё равно компьютер не видит ЭЦП, проблема может быть и в самом ключе. Чтобы разобраться, свяжитесь с поддержкой. Там у вас запросят скриншоты:

версии/сборки CSP (вкладка «Общие»);
ошибок при подключении контейнера ЭЦП.

Кроме того, укажите специалистам, где получали ЭЦП, на каком носителе у вас установлен контейнер (рутокен, етокен, флешка или реестр) и какая используется ОС (разрядность, сборка).

Компьютер не видит сертификат ЭЦП: первые шаги

Если компьютер не видит сертификат электронной подписи, то в операционной системе Windows нужно пройти по адресу: Пуск — Панель управления — КриптоПРО CSP — Сервис — Протестировать — По сертификату. Так можно понять, установлен ли сертификат в Личное хранилище пользователя с привязкой к RuToken-у. Если же у пользователя браузер не видит ЭЦП и он не может пройти регистрацию на сайте или подключить цифровую подпись, нужно установить, добавлен ли в доверенные интересующий сайт: Пуск — Все программы —КРИПТО-ПРО — Настройки ЭЦП browser Plug-In. Лучше использовать браузер Internet Explorer, так как java script может некорректно работать в других браузерах. Если компьютер не видит ЭЦП, то в первую очередь необходимо посетить тематический форум компании КриптоПро. Если вопрос не будет решён собственными силами, тогда обратиться в службу поддержки (прислать туда евент-логи системы и приложений, указать версию/сборку CSP, ОС).

Не ставится ключ/сертификат

Почему «КриптоПро» CSP может не видеть ключей на Рутокен? Следует проверить такие параметры:

корректно ли установлена программа (запущена ли служба Windows Installer);
есть доступ в сеть;
выдан корректный ключ в сертифицированном центре.

В принципе нужно диагностировать две причины, почему «КриптоПро» не видит Рутокен. Первая — это отсутствие ключей на Рутокене. Чтобы проверить, не пустой ли Рутокен, нужно понять, есть ли свободное место на нем. Для этого в окне «Информация о Рутокене» посмотрите объем занятого места. Контейнер Крипто-про занимает примерно 4 килобайта. Второй причиной, почему «КриптоПро» не видит ключи на Рутокен, является некорректный просмотр. Т.е. вы не можете просмотреть сертификат подписи. В этом случае вам необходимо обратиться в УЦ, который выдавал подпись.

Извлечение ключа из токена с неизвлекаемым ключом

Конфигурация тестового стенда

ОС MS Windows 7 SP1
СКЗИ КриптоПРО CSP 3.9.8423
Драйверы Рутокен для Windows (x86 и x64). Версия: v.4.1.0.0 от 20.06.2016, WHQL-certified
Единый Клиент JaCarta и JaCarta SecurLogon. Версия 2.9.0 сборка 1531
КриптоАРМ Стандарт Плюс 5. Версия 5.2.0.8847.

Рутокен ЭЦП. Версия 19.02.14.00 (02)
JaCarta ГОСТ. Номер модели JC001-2.F09 v2.1

Методика тестирования

генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;
после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;
сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом;
с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям;
после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.

Проведение тестирования

Матчасть

По-новому взглянем на наш тестовый стенд

Как сделать, чтобы все было хорошо?

Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:

Получается, что Рутокен ЭЦП и JaCarta ГОСТ не являются токенами с неизвлекаемым ключом?

Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP (Страница 2 из 3)

с Вин7 (ВМваре) также токен не виден, ну тут особо и не надеялся ) Хотя, было бы удобно.

При использовании Рутокен ЭЦП (без ФКН) ситуация аналогична.

Токены ВЕЗДЕ видны родной контрольной панелью, на одном видно и содержащиеся в нем сертификаты.

Приложите, пожалуйста, скриншот панели управления Рутокен\вкладка сертификаты и диалогового окна своиств сертификата для данного идентификатора.

#17 Ответ от vadjunik 2016-12-13 11:17:44

vadjunik
Посетитель
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Да, сработало! Дело было в версии IE- 11-й, просто не позволяет выбрать криптопровайдер.

Но это уже не к вам вопрос )

Спасибо за помощь! Токен увиделся в Вин7 с 8-м IE.

#18 Ответ от Антон Тихиенко 2016-12-13 11:22:59

Антон Тихиенко
Администратор
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Спасибо за помощь! Токен увиделся в Вин7 с 8-м IE.

Спасибо за обращение.

#19 Ответ от vadjunik 2016-12-13 13:10:16 (2016-12-13 13:11:32 отредактировано vadjunik)

vadjunik
Посетитель
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Рано обрадовался, не все так кучеряво ) Проблем в том, что существующая ДБО не опознала КриптоПро Рутокен CPS, как поддерживаемый ей КриптоПро. При установке полной версии КриптоПро CPS 3.9.8495, при запросе сертификата выдается диалог с выбором носителя (как я и предполагал), однако, ни один токен не распознался как подходящий:

Конфликт КриптоПро Рутокен CPS и КриптоПро CPS?

Контрольная панель токен видит, как и его содержимое, а тут же КриптоПро — нет.

Т.е. я вернулся к исходной проблеме — не ясно, возможно ли использование Рутокена для хранения сертификатов и ЭЦП КриптоПро без какой-то доработки. Вопрос, что именно нужно доделывать.

#20 Ответ от Антон Тихиенко 2016-12-13 15:38:00

Антон Тихиенко
Администратор
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

возможно ли использование Рутокена для хранения сертификатов и ЭЦП КриптоПро без какой-то доработки.

Возможно. Обычно дополнительно ничего настраивать не требуется.
На последнем скриншоте запущена обычная версия КриптоПро CSP без поддержки ФКН?

#21 Ответ от vadjunik 2016-12-13 17:01:14

vadjunik
Посетитель
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Возможно. Обычно дополнительно ничего настраивать не требуется.

Отлично, теперь бы выработать точные требования к аппаратуре и ПО для этого )

На последнем скриншоте запущена обычная версия КриптоПро CSP без поддержки ФКН?

Без разницы — все имеющиеся в наличии токены (3 штуки) ведут себя одинаково. Какой ТОЧНО нужен? Ссылку бы на описание.

Такое поведение нормально если подсоединен КриптоПро Рутокен CSP и запушена обычная версия КриптоПро.

Что значит "подсоединен КриптоПро Рутокен CSP" ? У меня сейчас в системе установлено:
— КриптоПро CSP 3.9.8495
— Модуль поддержки Rutoken для CryptoPro CSP v.2.43.00.0164
— КриптоПро Рутокен CSP 3.9.8425
— Драйверы Рутокен

С обычным Рутокен ЭЦП все корректно работает.

Что такое "обычный" Рутокен? Вот сейчас подключен этот:

КриптоПро его не видит, хотя на токене написано именно "КриптоПро Рутокен CSP", вот такой внешне

Как видно, поддержка КриптоПро ФКН есть. Со вторым типом токенов "Рутокен ЭЦП":

Точно такая же картина — КриптоПро его не видит, но, как я понимаю, и не должен, судя по отсутствию поддержки.

Так понимаю, что мне достались какие-то несовместимые с актуальным ПО железки, можно получить краткое резюме — какое ТОЧНО оборудование подойдет для моего варианта использования?

Стандартная схема такая:
— на сервере стоит УЦ КриптоПро
— клиент запрашивает сертификат на подпись документов
— полученный в итоге электронная подпись ставится при помощи токена.

В настоящий момент все работает, но сертификат и подпись, соответственно, сохраняются на ПК клиента.

#22 Ответ от Антон Тихиенко 2016-12-13 22:34:55

Антон Тихиенко
Администратор
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Что значит "подсоединен КриптоПро Рутокен CSP" ? У меня сейчас в системе установлено:
— КриптоПро CSP 3.9.8495
— Модуль поддержки Rutoken для CryptoPro CSP v.2.43.00.0164
— КриптоПро Рутокен CSP 3.9.8425
— Драйверы Рутокен

А вот тут много лишнего:

Модули ставить не надо

CSP надо оставить какой то один, какой нужен

Что такое "обычный" Рутокен? Вот сейчас подключен этот:

Обычный Рутокен ЭЦП — в данном случае, имеется ввиду любой из его подвидов (например,Рутокен ЭЦП, Рутокен ЭЦП 2.0) не поддерживающих технологию ФКН.

КриптоПро его не видит, хотя на токене написано именно "КриптоПро Рутокен CSP", вот такой внешне

Вообщем то только одна модель Рутокен поддерживает ФКН — это как раз модель КриптоПро Рутокен CSP (он же Рутокен КП) и работает он с одноименной версией криптопровайдера (тоже называется КриптоПро Рутокен CSP).

Если на компьютере установлен просто КриптоПро CSP (без Рутокен в названии), то с ним "из коробки" работаю неФКН идентификаторы Рутокен. Причем аппаратная криптография при генерации ключей тут не не используется.

Если установлен КриптоПро Рутокен CSP, то подойдет Рутокен КП с поддержкой технологии ФКН.

Попробуйте развернуть две "новые" установки виртуальных ОС, к одной подключите просто Рутокен ЭЦП и установите соответствующую версию CSP, ко второй подключите КриптоПро Рутокен CSP и также нужный CSP.

Если возможно, то идентификаторы нужно сначала отформатировать, а потом выпустить на них ключи и сертификаты при помощи этого тестового УЦ.

#23 Ответ от vadjunik 2016-12-14 10:01:08 (2016-12-14 10:38:08 отредактировано vadjunik)

vadjunik
Посетитель
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Оставил только
— Драйверы Рутокен
Переставил
— КриптоПро CSP 3.9.8495

Попробуйте развернуть две "новые" установки виртуальных ОС, к одной подключите просто Рутокен ЭЦП и установите соответствующую версию CSP, ко второй подключите КриптоПро Рутокен CSP и также нужный CSP.

Ситуация такова, что на данный момент мне актуально добиться работоспособнсти связки только конкретно КриптоПро CSP (т.к. он не требует доработки существуюшего собственного ПО) и Рутокен (с выводом о требуемой модификации).

Токен отформатировал. С тестовым УЦ картина точно такая же как и с моим :

Что еще не делал — не ставил на совсем чистую ОС. Может какие-то особые настройки USB (попробовал установить версию 1.1 — эффект тот же)?

#24 Ответ от Антон Тихиенко 2016-12-14 10:24:19

Антон Тихиенко
Администратор
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Что еще не делал — не ставил на совсем чистую ОС. Может какие-то особые настройки USB?

Особых настроек USB нет.
Поскольку Рутокен корректно определяется через Панель управления Рутокен, то похоже что то с самим CSP.

Удалить запомненные пароли (меню Пуск\Панель управления\КриптоПро CSP\вкладка "Сервис"\кнопка "Удалить запомненные пароли". Далее выбрать пункт "Пользователя" в разделе "Удалить все запомненные пароли закрытых ключей" и нажать на кнопку "ОК") и переподключить Рутокен ЭЦП;

Если удаление запомненных паролей не помогло, то удалите КриптоПро CSP\пройдитесь утилитой очистки следов установки "cspclean.exe"\перезагрузите компьютер и установите КриптоПро CSP (на всякий случай лучше повторно скачать дистрибутив).

Ситуация такова, что на данный момент мне актуально добиться работоспособнсти связки только конкретно КриптоПро CSP (т.к. он не требует доработки существуюшего собственного ПО) и Рутокен (с выводом о требуемой модификации).

При использовании криптопровайдера КриптоПро Рутокен CSP 3.9 необходимости в доработках также не должно возникнуть. Главное чтобы на рабочей станции был установлен только этот CSP. Версия 3.9 поддерживает как Рутокен КП так и Рутокен ЭЦП.

#25 Ответ от vadjunik 2016-12-14 11:33:37

vadjunik
Посетитель
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Никак (( Все то же самое — "Некорректный тип носителя или носитель не отформатирован". Пробовал и с 4-й версией КриптоПро.

#26 Ответ от Антон Тихиенко 2016-12-14 12:00:06

Антон Тихиенко
Администратор
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Никак (( Все то же самое — "Некорректный тип носителя или носитель не отформатирован". Пробовал и с 4-й версией КриптоПро.

Тогда надо пробовать новую установку ОС.
После установки ОС нужно установить только КриптоПро Рутокен CSP версии 3.9 (именно такую версию надо установить), подключить Рутокен ЭЦП или Рутокен КП (и больше ничего устанавливать не надо), выпустить на тестовом УЦ ключи и сертификат.

#27 Ответ от vadjunik 2016-12-14 12:52:37

vadjunik
Посетитель
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

После установки ОС нужно установить только КриптоПро Рутокен CSP версии 3.9 (именно такую версию надо установить), подключить Рутокен ЭЦП или Рутокен КП (и больше ничего устанавливать не надо), выпустить на тестовом УЦ ключи и сертификат.

Так как раз КриптоПро Рутокен CSP — работает штатно, к нему нет претензий (тут нужно свой софт подпиливать). Хотелось бы чтобы заработал "обычный" КриптоПро . На их форум сейчас хочу написать.

#28 Ответ от Антон Тихиенко 2016-12-14 13:13:19

Антон Тихиенко
Администратор
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Так как раз КриптоПро Рутокен CSP — работает штатно, к нему нет претензий (тут нужно свой софт подпиливать). Хотелось бы чтобы заработал "обычный" КриптоПро . На их форум сейчас хочу написать.

Если в системе установлен только один "обычный" КриптоПро, то должно работать и модули ставить не нужно.
Поведение странное, если возможно получить удаленный доступ к тестовой машине, то пришлите нам на e-mail ( hotline@rutoken.ru ) данные для подключения. В письме укажите ссылку на данный пост.

#29 Ответ от vadjunik 2016-12-14 17:39:24

vadjunik
Посетитель
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

Если в системе установлен только один "обычный" КриптоПро, то должно работать и модули ставить не нужно.
Поведение странное, если возможно получить удаленный доступ к тестовой машине, то пришлите нам на e-mail ( hotline@rutoken.ru ) данные для подключения. В письме укажите ссылку на данный пост.

По результатам общения с поддрежкой КриптоПро на их форуме, выяснилось, что токен, на котором написано "Рутокен ЭЦП" имеет точно такой же ATR как и токены "КриптоПро Рутокен СSP", потому "обычный" КриптоПро и отказывается его считать подходящим.

#30 Ответ от Антон Тихиенко 2016-12-15 13:21:04

Антон Тихиенко
Администратор
Неактивен

Re: Рутокен ЭЦП 2.0 + КриптоПро Рутокен CSP

По результатам общения с поддрежкой КриптоПро на их форуме, выяснилось, что токен, на котором написано "Рутокен ЭЦП" имеет точно такой же ATR как и токены "КриптоПро Рутокен СSP", потому "обычный" КриптоПро и отказывается его считать подходящим.