Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Медников Александр  
#1 Оставлено : 21 сентября 2020 г. 17:56:24(UTC)
Медников Александр

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2019(UTC)
Сообщений: 45
Российская Федерация
Откуда: Калининград

Сказал(а) «Спасибо»: 1 раз
Добрый день.
csp 9975
vipnet csp 4.2 (2/36190)
Плагин последней версии
на тестовой странице CADES сертификат действителен, тестовая подпись успешна
крипто переставил с клинером, понизил до 4499 (эта версия работает на всех машинах без випнета), ошибка при подписи осталась. Подскажите, куда смотреть, что настраивать? csp ponizil do 9944.jpg (275kb) загружен 3 раз(а). vipnet csp.jpg (216kb) загружен 13 раз(а). licenzii.jpg (233kb) загружен 13 раз(а). testovaja stranica.jpg (293kb) загружен 3 раз(а). ukazan nepravil'nyjj algoritm.jpg (228kb) загружен 12 раз(а). 1.txt (3kb) загружен 2 раз(а). csp.jpg (285kb) загружен 3 раз(а).
Offline two_oceans  
#2 Оставлено : 22 сентября 2020 г. 1:08:20(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Добрый день.
К сожалению, по совместимости криптопровайдеров 100% верной инструкции как обеспечить работу нет. Такая ошибка действительно может означать неправильную регистрацию криптопровайдера в системе. Тем не менее, с Vipnet проблемы должны решаться с отключением от Microsoft CryptoAPI. Версия випнета также может иметь значение. На снимке видно, что Vipnet уже отключен от Microsoft CryptoAPI, то есть помех создавать не должен и скорее всего влияют какие-то еще факторы (антивирус, еще какие-то криптопровайдеры). Антивирус может блокировать внесение изменений в реестр, а криптопровайдеры регистрировать гост-2012 на себя. Если есть возможность - разнести разные криптопровайдеры на отдельные компьютеры будет гораздо надежнее.

На всякий случай можно попробовать восстановить КриптоПро csp, желательно выключить антивирус на момент установки или добавить установщик криптопро в исключения. Или даже временно удалить антивирус - не все компоненты антивирусной защиты действительно отключаемы.

Если не исправится восстановлением, то можно вручную проверить ветки реестра с оидами гост-2012, привязаны ли они все на криптопро csp. В текстовом файле немного другая ошибка с построением цепочки.
Offline Медников Александр  
#3 Оставлено : 22 сентября 2020 г. 6:54:08(UTC)
Медников Александр

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2019(UTC)
Сообщений: 45
Российская Федерация
Откуда: Калининград

Сказал(а) «Спасибо»: 1 раз
То что построение цепочки не оказывает влияния на возникновение ошибки я понимаю. И cades цепочку построил на тестовой странице, сертификат действителен. Но, к примеру, если удалить крипто про, certutil при верификации такую же ошибку даст. Даю максимум информации, что могу придумать. По крайней мере видно, что certutil работает. А у НИИАСа просто цепь кривая, но на подписании это не сказывается.
Разнести випнет и крипто про не получится. Без випнета они не смогут зайти в программу - нечего будет подписывать. Возможно, есть еще какой-то криптопровайдер. Что конкретно нужно проверить в реестре?
Offline two_oceans  
#4 Оставлено : 22 сентября 2020 г. 8:06:37(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Лучше бы это конечно осветили сотрудники, но попробую своими словами.
Снимок экрана (перечень зарегистрированных криптопровайдеров здесь, для каждого свой подраздел реестра - если випнет отключен его не должно там быть). Для 32-разрядных систем без Wow6432Node.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider

Дерево HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID здесь в подразделах поискать
1) оиды начинающиеся с 1.2.643.2 (это компании связанные со СКЗИ) кроме начинающихся с 1.2.643.2.2 (это КриптоПро)
так можно обнаружить если есть какие-то следы сторонних криптопровайдеров
2) оиды начинающиеся с 1.2.643.7.1 (ветки связанные с ТК26 и в частности с гост-2012)

нормальная регистрация в Encoding Type 1 имеет параметр Dll с путем вроде такого C:\Program Files (x86)\Common Files\Crypto Pro\Shared\cpext.dll (разные версии КриптоПро хранят немного в разных местах).

Что касается необходимости випнет клиента, то на самом деле привязка не такая жесткая - на компьютер с випнет клиентом можно установить прокси и в защитном экране випнета разрешить подключение из локальной сети к порту, на котором прокси. После этого со всех адресов, которым разрешено подключаться к прокси можно будет заходить на закрытый ресурс. Понятно, что толпой так работать не получится, но пару мест организовать легко. Если важна сертифицированность рабочего места, то прокси также должен быть с сертификатом фстэк. Нашим коллегам рекомендовали UserGate.
Offline Медников Александр  
#5 Оставлено : 22 сентября 2020 г. 10:38:03(UTC)
Медников Александр

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2019(UTC)
Сообщений: 45
Российская Федерация
Откуда: Калининград

Сказал(а) «Спасибо»: 1 раз
Provider.jpg (311kb) загружен 3 раз(а). OID.jpg (222kb) загружен 8 раз(а).
Вот два скриншота. что с этим делать я не знаю. И машина эта совсем не под руками.
Ни каких оидов начающихся с 1.2.643.2 я не вижу.
Offline two_oceans  
#6 Оставлено : 22 сентября 2020 г. 13:06:38(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Странно, випнетовские криптопровайдеры в списке есть, хотя в первом сообщение снимок со снятой галочкой. Может быть 2 версии випнета? Или изменения не сохраняются? Если есть версия випнета с гост-2012, то там насколько помню должно быть 3 галочки которые можно снять, что дает вопрос откуда вообще снимок в первом сообщении.

Отредактировано пользователем 22 сентября 2020 г. 13:25:05(UTC)  | Причина: Не указана

Offline Медников Александр  
#7 Оставлено : 22 сентября 2020 г. 13:20:20(UTC)
Медников Александр

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2019(UTC)
Сообщений: 45
Российская Федерация
Откуда: Калининград

Сказал(а) «Спасибо»: 1 раз
Вероятно, есть какой-то признак включения\выключения провайдера? Снятие галки в випнете не означает удаление ветки в реестре.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.