Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline yamaoto  
#1 Оставлено : 9 октября 2014 г. 12:36:14(UTC)
yamaoto

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.10.2014(UTC)
Сообщений: 3
Российская Федерация
Откуда: Якутск

При попытке получения доступа к секретному ключу происходит ошибка:
System.Security.Cryptography.CryptographicException: Неправильный параметр набора ключей.
at CryptoPro.Sharpei.CPUtils.CreateProvHandle(CspParameters parameters, Boolean randomKeyContainer)


А именно в том случае если код запущен в сервисе WCF внутри ASP.NET сайта.

Тот же код запущенный от имени пользователя с консоли работает прекрасно

Пробовал получить доступ как из хранилища сертификатов стандартными как средствами

Код:

var store = new X509Store(StoreName.My, location);
store.Open(OpenFlags.ReadOnly);
var certs = store.Certificates.Cast<X509Certificate2>().Where(crt =>crt.SerialNumber ==serialNumber.Trim()).ToList();
var cert = certs[0];
if (!CryptoHelper.IsGostCertificate(cert))
	throw new SecurityException(string.Format("Certificate '{0}' is cant' use for GOST algorithms", cert.Subject));
if (!cert.HasPrivateKey)
{
	throw new SecurityException(string.Format("Certificate '{0} has no private key", cert.Subject));
}
var gostCert = cert.PrivateKey as Gost3410CryptoServiceProvider;


так и через Gost3410CryptoServiceProvider
Код:

var parameters = new CspParameters(75, cryptoProviderName, containerName);
parameters.Flags = CspProviderFlags.UseExistingKey | CspProviderFlags.NoPrompt | CspProviderFlags.UseMachineKeyStore;
parameters.KeyPassword = password;

var provider = new Gost3410CryptoServiceProvider(parameters);


Сертификаты установлены в хранилище компьютера (проверял кучу раз)
Ключ лежит в eToken Java (так же пробовал скопировать его в хранилище реестра криптопро - тот же эффект)
Пробовал запуск пула приложений IIS от имени администратора которым заходил сам, от имени NETWORK_SERVICE, и стандартным пользователем пула

в ветке реестра нет чего-либо
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Keys

а в ветке
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Users\S-1-5-21-***-500

есть разделы KeyDevices и Random
Третий день уже разбираюсь в чем суть, голова уже не варит d'oh!


Параметры системы:

  • Приложение работает на .Net 4.0
  • Windows Server 2008R2 Standard x64
  • IIS 7.5
  • КриптоПро CSP 3.6.7777 (версия ядра СКЗИ 3.6.5365 КС1)
  • КриптоПро .Net 1.0.5320.0
  • Лицензии КриптоПро все тестовые, до декабря
  • На сервере присутствует VipNet и SecretNet

Offline Андрей Писарев  
#2 Оставлено : 9 октября 2014 г. 13:15:47(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,357
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
Криптопровайдер от ОАО «Информационные Технологии и Коммуникационные Системы» - обязателен?
Техническую поддержку оказываем тут
Наша база знаний
Offline yamaoto  
#3 Оставлено : 9 октября 2014 г. 17:35:43(UTC)
yamaoto

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.10.2014(UTC)
Сообщений: 3
Российская Федерация
Откуда: Якутск

Автор: Андрей * Перейти к цитате
Криптопровайдер от ОАО «Информационные Технологии и Коммуникационные Системы» - обязателен?


Да, обязателен.

Проблемы могут быть из-за его несовместимости с КриптоПро?
Offline yamaoto  
#4 Оставлено : 13 октября 2014 г. 11:16:31(UTC)
yamaoto

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.10.2014(UTC)
Сообщений: 3
Российская Федерация
Откуда: Якутск

Попробовали запустить на новой машине MS WS2008R2 Standard x64 en без VipNet'a SecretNet
выходит таже самая ошибка

Код:

System.Security.Cryptography.CryptographicException: Keyset does not exist
at CryptoPro.Sharpei.CPUtils.CreateProvHandle(CspParameters parameters, Boolean randomKeyContainer)
at CryptoPro.Sharpei.CPUtils.GetKeyPairHelper(CPCspAlgorithmType keyType, CspParameters parameters, Boolean randomKeyContainer, Int32 dwKeySize, SafeProvHandleCP& safeProvHandle, SafeKeyHandleCP& safeKeyHandle)
at CryptoPro.Sharpei.Gost3410CryptoServiceProvider.GetKeyPair()


ключ находится в реестре компьютера, сертификат тоже установлен в "личное" компьютера
ну и как было в предыдущей машине - этот же код запущенный вне IIS работает безупречно.

скриншот сертификатов:
скрин

проверка сертификата:
скрин2

Код:

Check container succeed        	no errors were detected
Private key container          	
  name                         	websrv3
  unique name                  	REGISTRY\\websrv3
  FQCN                         	\\.\REGISTRY\websrv3
  container integrity check    	succeed
Exchange key                   	available
  public key export            	succeed
  public key import            	succeed
  signing                      	succeed
  verifying                    	succeed
  exchange key agreement       	succeed
  key export                   	allowed
  algorithm                    	GOST R 34.10-2001 DH
                               	GOST R 34.10-2001, default exchange parameters
                               	GOST R 34.11-94, default parameters
  certificate in container     	match private key
  certificate in store         	My
                               	  E=websrv3, CN=websrv3, OU=websrv3, O=websrv3, L=websrv3, S=websrv3, C=RU
                               		    REGISTRY\\websrv3; Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider; 75
                               	REQUEST
                               	  E=websrv3, CN=websrv3, OU=websrv3, O=websrv3, L=websrv3, C=RU
                               		    REGISTRY\\websrv3; Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider; 75
  certificate name             	websrv3
  subject                      	E=websrv3, CN=websrv3, OU=websrv3, O=websrv3, L=websrv3, S=websrv3, C=RU
  issuer                       	E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
  valid from                   	Sunday, October 12, 2014 11:07:33 PM
  valid to                     	Monday, October 12, 2015 11:17:33 PM
  serial number                	1200 005E 3F83 E3E1 9085 A458 8F00 0000 005E 3F
Signature key                  	not available
  keys loading                 	succeed
Offline Максим Коллегин  
#5 Оставлено : 16 октября 2014 г. 12:45:12(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,395
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Дайте учетке IIS полный доступ к контейнеру ключей. Обсуждалось неоднократно.
Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#6 Оставлено : 13 июля 2015 г. 14:14:59(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,395
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Написал статью в FAQ
Знания в базе знаний, поддержка в техподдержке
Offline STP  
#7 Оставлено : 24 февраля 2016 г. 10:36:23(UTC)
STP

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.02.2016(UTC)
Сообщений: 2
Российская Федерация
Откуда: Москва

Коллеги, у меня аналогичная проблема
При попытке доступа из webAPP получаю ошибку "Неправильный параметр набора ключей"
Всё настроено по FAQ

ПО:
Win2008R2
КП CSP 3.6.6497 КС2
Rutoken

Замечания:
Поигравшись выяснил, что есть баг в КП CSP 3.6 КС2 при назначении прав на закрытые ключи.
Так как КС2 хранит ключи в службе хранения ключей, назначаю права через оснастку Сертифиакты-ЛокальныйКомпьютер-сертификат-"управление закрытыми ключами". Но после нажатия кнопок "Применить" или "ок" слетают заданные права (при повторном открытии окна с параметрами доступа там дефолтные настройки). При этом если не закрывать оснастку Сертификаты, то webApp начинает работать как должен.

Какие могут быть мыли как это исправить?
Offline Максим Коллегин  
#8 Оставлено : 24 февраля 2016 г. 11:53:57(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,395
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Автор: STP Перейти к цитате

Поигравшись выяснил, что есть баг в КП CSP 3.6 КС2 при назначении прав на закрытые ключи.
Так как КС2 хранит ключи в службе хранения ключей, назначаю права через оснастку Сертифиакты-ЛокальныйКомпьютер-сертификат-"управление закрытыми ключами". Но после нажатия кнопок "Применить" или "ок" слетают заданные права (при повторном открытии окна с параметрами доступа там дефолтные настройки). При этом если не закрывать оснастку Сертификаты, то webApp начинает работать как должен.

Какие могут быть мыли как это исправить?

Какая версия CSP 3.6? В 3.9 пробовали?
Знания в базе знаний, поддержка в техподдержке
Offline STP  
#9 Оставлено : 24 февраля 2016 г. 12:31:31(UTC)
STP

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.02.2016(UTC)
Сообщений: 2
Российская Федерация
Откуда: Москва

Версия КП CSP 3.6.6497 КС2 (СКЗИ 3.6.5359), данная версия нам задана в рамках большего проекта по внедрению уц.
В 3.9 не пробовали.
На предыдущей инсталляции win2003R2 стоит КП 3.6.6497 KC1, там такой проблемы нет.
Offline alexvg75  
#10 Оставлено : 14 июня 2016 г. 11:19:09(UTC)
alexvg75

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.06.2016(UTC)
Сообщений: 1
Российская Федерация

Доброго дня!
Столкнулись с той же проблемой. При запуске вебсервера от локального пользователя подписи успешно добавляются, но если настроить запуск вебсервера как службы, то выдает ошибку.
При попытке следовать по шагам описанным для IIS, на этапе установки прав для доступа к закрытым ключам получаем тоже, что описал STP - права сбрасываются.
Windows 7
КриптоПРО 3.9.8001 КС1
Установлен xampp и приложение, которое должно подписывать документы. Нужен запуск приложения через службу, при этом не важно будет ли это апач или IIS.
Было бы очень замечательно, если бы кто-то смог поделился мыслями, опытом, путями обхода. Как я понимаю вся проблема в правах на закрытый ключ.
Заранее большое спасибо за любые идеи.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.