Не уверен, что пишу в правильный раздел форума, но более подходящего не нашёл, поэтому сюда.

Продукт - КриптоПро Рутокен CSP, софт версии 3.6.6604 (последняя с сайта). Пытаюсь установить сертификат в контейнер. Выбираю файл сертификата, указываю контейнер, ставлю флажок "Установить сертивикат в контейнер". В конце процедуры появляется окно с запросом пароля контейнера, но само поле ввода пароля запрещено, ввести пароль невозможно. Если нажать "OK", то, конечно, вылезает ошибка. Можно нажать "Cancel". В любом случае сертификат оказывается не установлен ни в контейнер, ни в хранилище.


Если флажок "Установить сертивикат в контейнер" не ставить, то сертификат успешно устанавливается в хранилище (но, конечно, не в контейнер). Проверка контейнера и смена пароля успешно проходят.
Дополнительно: после выбора контейнера, если это первое обращение к контейнеру (например, апплет CryptoPro только что запущен), вылезает окно запроса пароля, где пароль нормально вводится. Если обращение к контейнеру уже было, это окно не вылезает. Окно с запрещённым полем пароля в самом конце процедуры вылезает в любом случае.

На более старых версиях ПО сертификат устанавливася в контейнер без проблем. Собственно, данный контейнер был создан под версией 3.6.5833, а попытка установить сертификат делалась на 3.6.6604.

При нажатии "OK" сначала появляется такое окно (эти скриншоты уже с другим ключом, контейнером и на другом компьютере, т.е. проблема стабильная):


А после нажатия "OK" в нём ещё такое:


После чего сновая появляется финальная страница мастера импорта сертификатов. Где можно либо нажать "Cancel", либо ещё раз "Finish", и тогда процесс повторяется - снова окно смены дружественного имени и т.д. Т.е. способа завершить процесс с установкой сертификатов не видно.

Попытался ещё установить сертификат в контейнер при помощи сsptest.exe, но тоже не преуспел. Установил сертификат в хранилище (с привязкой к секретному ключу), после чего попробовал сделать так:

csptest.exe -property -setcert -store user -storename My -cert "<CN из Subject сертификата>" -container <GUID контейнера>

выдаёт
".\property.c:1385:Error during CryptSetKeyParam.

Error number 0x80090003 (2148073475).
Bad Key."

Т.к. встроенная справка по данной команде говорит, что в ключе "-cert" надо указывать "<DName>", то вначале пытался указать полный DN из Subject, но тогда получал ошибку в CertFindCertificateInStore "Cannot find object or property". С передачей одного CN сертификат, похоже, находит, но прописать в контейнер не может.

Сертификаты выпущены УЦ банка в ответ на мои CSR. Это каждый год делается. Насчёт соответствия - если я ещё мог один раз ошибиться, то два раза вряд ли. Да и один раз не мог, всё однозначно: новые контейнеры содержат срок действия в названии, сертификатов в них ещё нет.

Как проверить, что секретный и публичный ключи соответствуют друг другу? Я попытался через csptest.exe зашифровать и расшифровать пробный файл:

csptest.exe -lowenc -encrypt -my "<Subject CN>" -in <Путь>\test.txt -out <Путь>\test.enc -ask -password "<Пароль>"
csptest.exe -lowenc -decrypt -my "<Subject CN>" -in <Путь>\test.enc -out <Путь>\test.dec -ask -password "<Пароль>"

Вторая команда не проходит, выдаёт ошибку "Error number 0x80091008 (2148077576). The index value is not valid." Но и со старым, гарантированно работающим сертификатом (который к тому же установлен в своём контейнере), происходит то же самое.

Написал в ЛС