Добрый вечер.

Имеется проект на C# и ЭП Rutoken S (закрытый ключ, как я понимаю, заблокирован для экспорта). Сертификат установлен в хранилище локальной машины через КриптоПро CSP 4. Делаю обмен данными с порталом госзакупок, с проверкой ЭП - все ок. Переношу проект на боевой сервер с IIS 7, пытаюсь сделать обмен - при получении ответа от сервера возникает ошибка "Запрос был прерван: Не удалось создать защищенный канал SSL/TLS". Падает на:



Создал чистую виртуалку с Win8.1, развернул Visual Studio, перенес проект, подключил ЭП, установил сертификат, запустил - работает.
На ней же установил IIS 8, развернул на нем проект - падает там же.

Прошла неделя, перерыт весь интернет, перепробовано все что можно (что нашел), только одно проверить не получается - англоязычные коллеги советуют установить права доступа для IIS на закрытый ключ в сертификате. И тут возникает проблема: захожу в сертификаты локальной машины, открываю менеджер управления ключами сертификата, добавляю права (ставлю галки на полный доступ), жму применить и галки снимаются обратно. Пробовал делать через утилиту майкрософт в командной строке. Пишет, что права добавились, но когда смотрю данные о сертификате (этой же утилитой) - этих прав нет.

Есть какие-либо идеи? Буду рад любой помощи.

Доброе утро.

В эвент-логе последовательно 4 ошибки при попытке обмена данными (под IIS):
КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.
КриптоПро TLS. Ошибка %2 при обращении к CSP: %1
КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.
КриптоПро TLS. Ошибка %2 при обращении к CSP: %1

По поводу faq, если Вы имели в виду форум (https://www.cryptopro.ru/forum2/default.aspx?g=topics&f=13&name=FAQ), то ничего конкретного не нашел.
Что касается раздела faq на основном сайте КриптоПро (https://support.cryptopro.ru/index.php?/Knowledgebase/List), там есть раздел "Использование секретных ключей в службах Windows (IIS, etc)". К сожалению, все это уже делал. Но, как описал в первом сообщении - у меня не выставляются галочки на права. Я выбираю пользователя или группу, назначаю права, жму "применить" и через секунду галочки снимаются.
IIS запускается под пользователем с правами администратора, параметр Load User Profile установлен в True.
В КриптоПро CSP (Сервис - Протестировать - По сертификату) говорится, что экспорт ключа запрещен, и не видно флага "CRYPT_MACHINE_KEYSET".

Отредактировано пользователем 5 октября 2015 г. 10:21:12(UTC)  | Причина: Не указана

Он как раз установлен в хранилище локального компьютера (КриптоПро CSP - Сервис - Посмотреть сертификаты в контейнере.. - Выбран чекбокс "компьютер", Обзор - выбрана флешка (ЭП) - Далее - Установить).
Проверяю через mmc, оснастка "Сертификаты (локальный компьютер)" - сертификат находится в папке Личное/Сертификаты.

Версия продукта 4.0.9630, ядра - 4.0.9003 КС1.
С контейнером по прежнему не работает (если я правильно понимаю, что подразумевается под контейнером).

Сертификат устанавливал двумя способами (оба в хранилище компьютера):
1. Сервис - Посмотреть сертификаты в контейнере.. - Ключевой контейнер (выбран чекбокс "компьютер"), Обзор - выбрана флешка (ЭП) - Далее - Установить.
2. Сервис - Установить личный сертификат.. - Выбираю файл сертификата - Далее - Далее - Ключевой контейнер (выбран чекбокс "компьютер"), Обзор - выбираю флешку (ЭП) - Далее - галочка "Установить сертификат в контейнер" стоит - Далее - Готово. Выводится окно "Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?" - Выбираю "Да".

Извиняюсь, все-таки понял неправильно. Не получается установить контейнер в реестр. КриптоПро CSP - Сервис - Скопировать - Обзор - Выбор флешки (ЭП) - Далее - Ошибка "У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x800900B (-2146893813) Ключ не может быть использован в указанном состоянии."


Выбираю действие "Сформировать ключи и отправить запрос на сертификат", перехожу на страницу, заполняю поля, жму "Выдать", появляется окно КриптоПро CSP, выбираю Реестр, в новом окне задаю пароль, далее появляется еще окно с надписью "вставьте ключевой носитель для очистки":

FileNotFound.png (10kb) загружен 40 раз(а).

Отсутствует носитель. Как можно его создать?