Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Невозможно подписать файл используя планировщик задач - ошибка 8009001a
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline SeriousDanil  
#1 Оставлено : 17 марта 2023 г. 16:32:18(UTC)
SeriousDanil

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.03.2023(UTC)
Сообщений: 5
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Добрый день. Есть проблема в подписании файлов через планировщик задач. По итогу утомительных поисков всё свелось к тому что не работает даже нижеприведенная команда:
csptest.exe -keyset -check -cont SCARD\pkcs11_rutoken_ecp_3b385168\2207061154-165910065560 >> c:\temp\123.txt

при выполнении этой команды в консоли получается следующее:
CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 OS:Windows CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 1090052976
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Container name: "2207061154-165910065560"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x40ffccd0
Symmetric key is not available.
UEC key is not available.
License: Cert without license
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed.
Certificate in container matches AT_KEYEXCHANGE key.
Keys in container:
exchange key
Total: SYS: 0,219 sec USR: 0,063 sec UTC: 3,565 sec
[ErrorCode: 0x00000000]
т.е. она отрабатывает корректно

а при запуске через планировщик задач под этим же пользователем (на самом деле без разницы под каким)
CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 OS:Windows CPU:AMD64 FastCode:READY:AVX.
Total: SYS: 0,016 sec USR: 0,031 sec UTC: 0,574 sec
[ErrorCode: 0x8009001a]

Почему так, можете подсказать?

ОС WS2012R2, Крипто-Про CSP 5.0.12000 KC1, Рутокен ЭЦП 2.0 с неизвлекаемой закрытой частью.
До этого стоял крипто-про 4, а ключ с закрытой частью был скопирован в реестр и всё работало.

ЗЫ. Если это вдруг важно, то на ЭЦП два сертификата. Один выданный Минцифрой с неизвлекаемой закрытой частью. Второй это RSA ключ (2048 bit) выданный другим ЦС (ключ ЕГАИС).

Отредактировано пользователем 17 марта 2023 г. 16:49:29(UTC)  | Причина: Добавлени PS
Вверх
thanks 1 пользователь поблагодарил SeriousDanil за этот пост.
TeraByte оставлено 23.03.2023(UTC)

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline SeriousDanil  
#2 Оставлено : 22 марта 2023 г. 14:32:42(UTC)
SeriousDanil

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.03.2023(UTC)
Сообщений: 5
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Обновлю информацию.
Планировщик заданий просто не видит аппаратный токен.
если выполнить следующую команду в консоли:

csptest -keyset -enum_cont -verifycontext -fqcn -machine
то её вывод будет таким:

CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 OS:Windows CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 840229280
\\.\PKCS11 Aktiv Rutoken ECP 0 0\2207061154-165910065560
OK.
Total: SYS: 0,047 sec USR: 0,047 sec UTC: 0,762 sec
[ErrorCode: 0x00000000]

А если эту же команду выполнить из планировщика:
CSP (Type:80) v5.0.10008 KC1 Release Ver:5.0.12000 OS:Windows CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 3840336432
OK.
Total: SYS: 0,188 sec USR: 0,016 sec UTC: 0,744 sec
[ErrorCode: 0x00000000]

Почему такое различие в поведении?
Вверх
Offline TolikTipaTut1  
#3 Оставлено : 22 марта 2023 г. 14:34:16(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
А чисто ради интереса: с повышенными привилегиями работает вывод контейнеров?
GithHub: https://github.com/anatolkavassermann/
Вверх
Offline SeriousDanil  
#4 Оставлено : 22 марта 2023 г. 14:41:34(UTC)
SeriousDanil

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.03.2023(UTC)
Сообщений: 5
Российская Федерация

Поблагодарили: 1 раз в 1 постах
И консоль и задача выполняются с наивысшими правами.
С пониженными правами из консоли аппаратный контейнер виден. C пониженными правами из планировщика также нет (как и с наивысшими).
Вверх
Offline TolikTipaTut1  
#5 Оставлено : 22 марта 2023 г. 15:47:31(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
Попробуйте поставить opensc на винду и вывести список токенов как через консоль, так и через планировщик. Если не заработает, то возможно что-то со службой работы со смарт картами
GithHub: https://github.com/anatolkavassermann/
Вверх
Offline TeraByte  
#6 Оставлено : 23 марта 2023 г. 15:42:27(UTC)
TeraByte

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.11.2014(UTC)
Сообщений: 2
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Очень актуальная проблема как оказалось после замены сертификата подписи руководителя на новый, не корректно подписывает через планировщик электронные уведомления, ранее все было нормально, сейчас головная боль именно через планировщик, ситуация идентичная помогите решить вопрос.
Вверх
Online nickm  
#7 Оставлено : 23 марта 2023 г. 15:58:41(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 1,844

Сказал(а) «Спасибо»: 455 раз
Поблагодарили: 312 раз в 294 постах
Автор: SeriousDanil Перейти к цитате
Почему такое различие в поведении?

Смотрите параметры задачи.

Выполняю интерактивно и всё работает (как вариант - загляните в журнал задачи, может там увидите подсказку?) Think

Задание такое:
Код:
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2023-03-23T17:48:48.8108207</Date>
    <Author>nickm</Author>
    <URI>\TestToken</URI>
  </RegistrationInfo>
  <Triggers />
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-21-415333798-4034333655-2525224522-1001</UserId>
      <LogonType>InteractiveToken</LogonType>
      <RunLevel>LeastPrivilege</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\3\test.cmd</Command>
    </Exec>
  </Actions>
</Task>


Сценарий такой:
Код:
"C:\Program Files (x86)\Crypto Pro\CSP\csptest.exe" -keyset -enum_cont -verifycontext -fqcn -machine
pause

Отредактировано пользователем 23 марта 2023 г. 16:02:17(UTC)  | Причина: Не указана
Вверх
Offline SeriousDanil  
#8 Оставлено : 29 марта 2023 г. 11:51:32(UTC)
SeriousDanil

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.03.2023(UTC)
Сообщений: 5
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Установил сертификат в хранилище локального компьютера и запустил задание от пользователя система. Сертификат виден. Теперь само ПО не подписывает. Продолжаю разборки. Если запускать задачу от другого пользователя, то проблема сохраняется.
Вверх
Offline SeriousDanil  
#9 Оставлено : 3 апреля 2023 г. 11:55:39(UTC)
SeriousDanil

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.03.2023(UTC)
Сообщений: 5
Российская Федерация

Поблагодарили: 1 раз в 1 постах
По итогу проблема была решена следующим обходным путем. Планировщик запускается от пользователя SYSTEM. Этому пользователю был установлен сертификат в личное хранилище с привязкой к закрытому ключу находящемуся на токене. Всё подписывается.

Вопрос почему от имени обычного пользователя планировщик не имеет доступа к аппаратному хранилищу на токене остается открытым.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET