| ||||
| ||||
| Установил сертификат веб сервера, выданный собсвенным ЦС (изолированный ЦС). На сервере IIS установил в безопасность каталога. При обращении по URL (HTTPS) происходит ошибка с кодом 500. А в журнале событий на сервере следующее: КриптоПро TLS. Ошибка 0x80090016 при обращении к CSP: Набор ключей не существует Как быть? Сертификат привязан к контейнеру ключей (носитель Реестр). Версия КриптоПро CSP KC1 3.0.3300.1. OS - Win2003sp1 | ||||
| Ответы: | ||||
| ||||
| IIS 6.0 (на Win2003) по умолчанию работает под уч. записью NETWORK SERVICE, которой не разрешён доступ на чтение-запись раздела реестра с ключами КриптоПро CSP (для всего компьютера): HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Keys Поэтому просто добавьте прав на этот раздел и подразделы для NETWORK SERVICE. | ||||
| ||||
| Плюс ко всему неоходимо сделать экспорт из реестра ветка HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS\S-х-хх--х---ххх (В этой ветке должны быть дочерние с наименованием контейнера ключей) Открыть файл экспорта блокнотом и заменить S-х-хх--х---ххх на S-1-5-18. Затем сохранить и запустить. Короче продублировать всё из ветки S-х-хх--х---ххх в ветку S-1-5-18. | ||||
| ||||
| Ключ от сертификата веб-сервера должен сразу создаваться как ключ локального компьютера. Если, например, Вы делаете запрос на сертификат на нашем тестовом УЦ, то там есть такой специальный флажок. Если контейнер будет создан как контейнер компьютера, то в копировании веток реестра необходимости не будет. Кроме того, контейнеры компьютера в реестре располагаются чуть выше уровнем, не в подразделе ..\USERS\S-1-5-18, а прямо в разделе ..\Settings появляются ветки Keys и KeyDevices. | ||||
Сергей