Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход. Новые регистрации запрещены.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Demonix  
#1 Оставлено : 10 июля 2009 г. 21:40:20(UTC)
Demonix

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Добрый день.
Не можем разобраться со следующей проблемой.

Мы пытаемся найти закрытый ключ по сертификату не используя хранилища сертификатов, выскакивает окно с просьбой вставить носитель F26176EA. В поле "Состояние" написано "Вставлен другой носитель".
При этом в дисковод вставлена дискета именно с этим серийным номером. На дискете папка с контейнером называется copy1.000.
Сертификат, для которого мы пытаемся найти ключ также установлен в хранилище "Личные" и связан с ключом на этой дискете. На сервер по https с этим сертификатом заходится без проблем.
Файл из папки C:\Documents and Settings\логин пользователя\Application Data\Microsoft\SystemCertificates\My\Certificates приложен к посту (больше в папке ничего нет, ее чистили перед установкой личного сертификата).
Раздел HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS\USER-SID\KeyDevices\passwords отсутствует (удаляли также перед установкой личного сертификата, вообще, нет даже раздела KeyDevices).

Это одна проблема.

Другая, похожая (при тех же действиях возникает, но в состоянии - "Набор ключей не существует").
Что пытались делать:
1. Удаляли КриптоПро и ставили заново (3-я версия).
2. Удаляли все имеющиеся сертификаты (папка C:\Documents and Settings\user\Application Data\Microsoft\SystemCertificates\My\Certificates стала пустая).
3. Ставили рабочий сертификат с привязкой к контейнеру на дискете (оригинальный носитель).

Ошибка не проходит. Все равно просит вставить носитель с идентификатором B4FF558E, хотя именно этот носитель и вставлен (в реестре этот идентификатор указан в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS\USER-SID\KeyDevices\passwords). Никаких других упоминаний B4FF558E в реестре не обнаружено. Скриншоты к этой проблеме тоже в аттаче.

Собственно, вопрос, почему не находится контейнер и что еще можно сделать, куда поглядеть?
Вложение(я):
9A7758BCA0C12C635F74522A9E88F8870A4EDDAB (2kb) загружен 53 раз(а).
Screenshots.doc (269kb) загружен 81 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline Demonix  
#2 Оставлено : 15 июля 2009 г. 12:52:57(UTC)
Demonix

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Есть какой-нибудь совет?
Offline IvanZzz  
#3 Оставлено : 15 июля 2009 г. 15:07:10(UTC)
IvanZzz

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

Пока читал немного запутался). Давайте попробуем выполнить стандартные тесты:

1. Подпишите тестовый файл с помощью например Cryptcp: http://www.cryptopro.ru/...ucts/cryptcp/default.htm (документация и тестовая лицензия доступны для скачивания с этой страницы)

2. Попробуйте проверить контейнер обращаясь к нему напрямую: "С:\Program Files\Crypto Pro\CSP\csptest.exe" -keyset -check -cont "Имя_проверяемого_контейнера"

Посмотрите, нет ли в каталоке C:\Documents and Settings\логин пользователя\Application Data\Microsoft\SystemCertificates\My\Keys файла с именем по "Идентификатору субьекта" используемого сертификата?

Отредактировано пользователем 30 июля 2009 г. 21:40:40(UTC)  | Причина: Не указана

Offline Demonix  
#4 Оставлено : 15 июля 2009 г. 18:00:48(UTC)
Demonix

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Подписать попробуем.
Проверить контейнер - тоже попробуем, хотя я не знаю, на сколько это поможет: если искать ключ с использованием сертификата, установленного в хранилище и привязанного к этому контейнеру - то все нормально находится.
Для первого случая в C:\Documents and Settings\логин пользователя\Application Data\Microsoft\SystemCertificates\My\Keys лежит один файл, я его приложил к сообщению. Его имя соответствует отпечатку нужного сертификата.

Для второго случая - неизвестно, но, думаю, тоже один - для того сертификата, который привязали к контейнеру в пункте 3 из моего сообщения.
Offline Demonix  
#5 Оставлено : 15 июля 2009 г. 21:46:57(UTC)
Demonix

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Попробовали подписать.
Пока сотрудник техподдержки писал инструкцию для пользователя, выяснилось что на компьютере сотрудника проблема тоже повторяется.
Для простоты и скорости я буду на этом компьютере все делать и параллельно транслировать пользователям, что делать - они будут медленнее отвечать.

Ошибка такая же: вставьте носитель с идентифкатором таким-то. Предлагает устройство - дисковод А, в состоянии написано - "отсутствует носитель".
Код:

C:\...nia\Рабочий стол\Новая папка (2)>cryptcp.exe -sign -f сертификат.cer 1.txt 1.txt.s
CryptCP 3.16 (c) "Крипто-Про", 2002-2006.
Утилита командной строки для защиты данных.
 -sign      - Подписать данные и создать сообщение.

Будет использован следующий сертификат:
Субъект:Михайлищева Евгения Михайловна, 0000000000-000000000-667351604016, Михай
лищева Евгения Михайловна, ЛИТ, ЗАО ПФ СКБ Контур, Екатеринбург, Свердловская об
ласть, RU, email@here.ru
Действителен с 09.04.2009 08:56:00 по 09.04.2010 09:05:00

Цепочки сертификатов проверены.
Подпись данных...
              //В этот момент возникает окошко с предложением вставить носитель. Нажимаем "отмена":
Ошибка: Действие было отменено пользователем.
 (0x8010006E)
[ErrorCode: 0x8010006e]




Код:
C:\Program Files\Crypto Pro\CSP>csptest.exe -keyset -check -cont "evgenia 09-10"

CSP (Type:75) v3.6.4071 KC1 Release Ver:3.6.5141 OS:Windows CPU:IA32 FastCode:RE
ADY,ENABLED.
AcquireContext: OK. HCRYPTPROV: 1413368
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provid
er
Container name: "evgenia 09-10"

Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x151fb8
Check key passed.
Everything is OK.
Keys in container:
  exchange key
Total: SYS: 0.188 sec USR: 0.109 sec UTC: 0.359 sec
[ErrorCode: 0x00000000]


В C:\Documents and Settings\логин пользователя\Application Data\Microsoft\SystemCertificates\My\Keys такого файла нет. Но он есть в C:\Documents and Settings\user\Application Data\Microsoft\SystemCertificates\My\Certificates. Файл в аттаче.
Вложение(я):
615C350F2262C225A302F7BE4E0FE72073CA50A5 (2kb) загружен 27 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline Demonix  
#6 Оставлено : 15 июля 2009 г. 22:16:11(UTC)
Demonix

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Воспользовался procmon'ом - увидел, что утилитка, которой я подписываю лезет к одному из файлов в C:\Documents and Settings\логин пользователя\Application Data\Microsoft\SystemCertificates\My\Keys. Только имя у него равно идентификатору ключа субъекта нужного сертификата.
И вот как раз в нем-то и есть ссылка на контейнер, который запрашивается.
Убрал его, но все равно подписать не могу:

Код:
Цепочки сертификатов проверены.
Подпись данных...
Ошибка: Не удается найти сертификат и закрытый ключ для расшифровки.
 (0x8009200B)
[ErrorCode: 0x8009200b]


Upd: повторно привязал серт к контейнеру - заработало. При этом в папке снова появился файл с именем, равным идентификатору ключа субъекта. Но в этот раз со ссылкой на нужный контейнер.

Upd2: Т.е. проблема вроде как решена (+мы со своей стороны еще решили ее тоже - сертификат выбираем из хранилища, а не по открытому ключу :))

Итого, вопросы:
Почему ссылка на старый контейнер остается даже после привязки сертификата к новому контейнеру?
В какой момент) создаются файлы со ссылками в папке \keys и когда они обновляются?
Можно ли найти контейнер по открытом ключу, если нужный сертификат никогда не привязывался к контейнеру?

Upd3: Чуть не забыл, у сотрудника техподдержки КриптоПро версии 3.6.5141.

Отредактировано пользователем 15 июля 2009 г. 22:46:16(UTC)  | Причина: Не указана

Offline IvanZzz  
#7 Оставлено : 16 июля 2009 г. 15:49:01(UTC)
IvanZzz

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

Demonix написал:
Только имя у него равно идентификатору ключа субъекта нужного сертификата.
да, действительно, для \keys по идентификатору - исправлю сообщение, что бы не путались.

Demonix написал:

Итого, вопросы:
Почему ссылка на старый контейнер остается даже после привязки сертификата к новому контейнеру?
В какой момент) создаются файлы со ссылками в папке \keys и когда они обновляются?
Можно ли найти контейнер по открытом ключу, если нужный сертификат никогда не привязывался к контейнеру?


Вопросы правильные, но я на них ответить не смогу. Продублируйте их во Встраивании, может быть, наши программисты подскажут.

Demonix написал:
Upd3: Чуть не забыл, у сотрудника техподдержки КриптоПро версии 3.6.5141.

С CSP пробема очень косвенно связана.

Отредактировано пользователем 16 июля 2009 г. 16:17:33(UTC)  | Причина: Не указана

Offline Demonix  
#8 Оставлено : 16 июля 2009 г. 16:11:34(UTC)
Demonix

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Цитата:
Вопросы правильный, но я на них ответить не смогу. Продублируйте их во Встраивании, может быть, наши программисты подскажут.

Ок.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.