Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
Запись контейнера ключей на носитель при создании в сервисе УЦ Контур
Статус: Новичок
Группы: Участники
Зарегистрирован: 27.07.2021(UTC)
Сообщений: 6
|
Всем привет! Столкнулся с проблемой бага при создании контейнера ключей на носитель из web-мастера создания сертификатов УЦ Контур. Мастер создания сертификата на сайте УЦ (по-шагово): 1. Проверка реквизитов - ОК! 2. Выбор носителя - ОК (выбран токен)! 3. Создание ключа и пары - ОК! 4. Создание сертификата - ОК (был доступен в варианте для печати)! 5. Установка сертификата - ОШИБКА: после ввода ПИН-кода носителя отрабатывает с ошибкой: "Не удалось создать ключевую пару...." Контейнер на токене создался. Проверка сертификата в контейнере через КриптоПро: "В контейнере закрытого ключа 'SCARD\.....' отсутствуют сертификаты" ++++++++++++++++++ Токен: eSMARTКриптоПро: 5.0.12000 КС1 ++++++++++++++++++ Техподдержка УЦ пеняет на носитель, производитель носителя - на УЦ. Я уверен в том, что проблема на стороне УЦ, т.к. за 5 дней до процедуры на носитель был записан КЭП в налоговой - она работает с токена без проблем. Подскажите: куда копать проблему?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834   Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
|
Автор: SAG33  Всем привет! Столкнулся с проблемой бага при создании контейнера ключей на носитель из web-мастера создания сертификатов УЦ Контур. Мастер создания сертификата на сайте УЦ (по-шагово): 1. Проверка реквизитов - ОК! 2. Выбор носителя - ОК (выбран токен)! 3. Создание ключа и пары - ОК! 4. Создание сертификата - ОК (был доступен в варианте для печати)! 5. Установка сертификата - ОШИБКА: после ввода ПИН-кода носителя отрабатывает с ошибкой: "Не удалось создать ключевую пару...." Контейнер на токене создался. Проверка сертификата в контейнере через КриптоПро: "В контейнере закрытого ключа 'SCARD\.....' отсутствуют сертификаты" ++++++++++++++++++ Токен: eSMARTКриптоПро: 5.0.12000 КС1 ++++++++++++++++++ Техподдержка УЦ пеняет на носитель, производитель носителя - на УЦ. Я уверен в том, что проблема на стороне УЦ, т.к. за 5 дней до процедуры на носитель был записан КЭП в налоговой - она работает с токена без проблем. Подскажите: куда копать проблему? Добрый день! Сертификат - большой объект. На токене, например, могло не хватить под него места. Посмотрите через ESmart PKI Client информацию о токене. Если свободно меньше 5 Кб, проблема в этом. У вас есть возможность скачать выпущенный сертификат в виде .cer-файла? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 27.07.2021(UTC)
Сообщений: 6
|
Автор: Grey
Добрый день!
Сертификат - большой объект. На токене, например, могло не хватить под него места. Посмотрите через ESmart PKI Client информацию о токене. Если свободно меньше 5 Кб, проблема в этом.
У вас есть возможность скачать выпущенный сертификат в виде .cer-файла?
ESmart PKI Client выдает только такую инфо, близкую к тому, что Вы обозначили...более ничего не нашел в утилите: Объем памяти: 80K Сертификат выслали отдельно, но он не записывается в контейнер через КриптоПро, на финальном шаге Мастера установки выдает сообщение: "Ошибка записи свойств сертификата из контейнера закрытого ключа..."
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
|
Автор: SAG33
Сертификат выслали отдельно, но он не записывается в контейнер через КриптоПро, на финальном шаге Мастера установки выдает сообщение:
"Ошибка записи свойств сертификата из контейнера закрытого ключа..."
Если вы установите сертификат в хранилище с привязкой к токену, всё будет работать не хуже, чем в случае записи сертификата на токен. Неудобно - да. Чтобы подтвердить гипотезу о свободном месте, раз штатная утилита не умеет показывать, предлагаю собрать журнал. 1) Установите в реестре в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Debug] значения pcsc, cspi и csp в 0x3f. 2) Скачайте и запустите DbgView: https://docs.microsoft.com/en-us/sysinternals/downloads/debugview 3) Перезапустите Панель управления CSP и попробуйте установить сертификат в контейнер. 4) Скопируйте информацию из DbgView и пришлите мне в личные сообщения. Никаких конфиденциальных данных там - нет, только заголовки команд и коды возврата. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 27.07.2021(UTC)
Сообщений: 6
|
...отправил выдержку из лога в ЛС
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
|
Для истории.
В журнале нашлась ошибка 0x80090023: The security token does not have storage space available for an additional container. NTE_TOKEN_KEYSET_STORAGE_FULL.
Исходная гипотеза о недостатки места подтвердилась. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 27.07.2021(UTC)
Сообщений: 6
|
Автор: Grey Для истории.
В журнале нашлась ошибка 0x80090023: The security token does not have storage space available for an additional container. NTE_TOKEN_KEYSET_STORAGE_FULL.
Исходная гипотеза о недостатки места подтвердилась. Думаю Вы ошибаетесь: сегодня скопировал из реестра на токен другую подпись, которая записалась без проблем. Обнаруживается на токене...т.е. место на нем есть!
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.08.2013(UTC) Сообщений: 834 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 215 раз в 174 постах
|
Автор: SAG33 Автор: Grey Для истории.
В журнале нашлась ошибка 0x80090023: The security token does not have storage space available for an additional container. NTE_TOKEN_KEYSET_STORAGE_FULL.
Исходная гипотеза о недостатки места подтвердилась. Думаю Вы ошибаетесь: сегодня скопировал из реестра на токен другую подпись, которая записалась без проблем. Обнаруживается на токене...т.е. место на нем есть! Тут может быть значительное количество вариантов уточнения диагноза - файловая система токена устроена чуть сложнее, чем у флешки: 1) На конкретной версии токена нельзя создать отдельный файл большого размера 2) Закончились хэндлы для файлов 3) Другая "подпись" может быть меньше размером 4) Произошла другая непонятная ошибка Но суть в том, что токен при записи файла возвращает ошибку, которую модуль поддержки, разрабатываемый ISBC, транслирует в NTE_TOKEN_KEYSET_STORAGE_FULL. Я допускаю, что дело в чем-то другом, но диагностика производителя такая. Исходных кодов этого модуля у нас нет, так что приходится верить наслово. Отредактировано пользователем 29 июля 2021 г. 14:11:52(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 27.07.2021(UTC)
Сообщений: 6
|
Записанная сегодня ЭЦП - это вновь созданная сегодня ЭЦП взамен той, что вчера дала сбой при записи сертификата (см. топикстартер).
Только сегодня для создания новой ЭЦП путь хранения контейнера был указан диск D: компа
|
|
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
Запись контейнера ключей на носитель при создании в сервисе УЦ Контур
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
