Статус: Новичок
Группы: Участники
Зарегистрирован: 05.06.2017(UTC)
Сообщений: 2
|
Добрый день!
Наблюдаю проблемы:
1. КриптоПро TLS. Ошибка 0x80090009 при обращении к CSP: Указаны неправильные флаги.
2. Не удалось добавить сертификат в стороннее корневое хранилище центров сертификации. Ошибка: Отказано в доступе.
КриптоПРО 4.0.9842 КС2 (Обновил с 3.6)
ОС MS Windows 2008 R2
Служба запущена от системной учетной записи.
На что обратить внимание? Поиск на форуме по коду ошибки результата не дал.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,396  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
При каких операциях ошибки? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.06.2017(UTC)
Сообщений: 2
|
В том-то и проблема, что не пойму. На сервере нет ПО которое на текущий момент должно использовать КриптоПРО, но планируется его использование.
Хотелось бы для начала устранить ошибку.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 30.03.2018(UTC) Сообщений: 4  Откуда: Nizhny Novgorod
|
Нужна помощь!
Ошибка возникла после обновления КриптоПро CSP v.3.6 до версии 4.0.9842
Операционная система WindowsServer 2008 версия 6.0 (сборка 6002) SP2
Журналы Windows-Приложения
" КриптоПро TLS. Ошибка 0x80090009 при обращении к CSP: Указаны неправильные флаги."
обновление произведено 27.03 вечером,
весь день 28.03 проблем не возникало,
однако утром 29.03 перестали работать очень важные сервисы.
Установка КриптоПро CSP была запущена заново в режиме "Исправление", после перезагрузки сервера работа важных интернет-сервисов восстановилась.
30.03 снова возникла та же ошибка, снова переустановка в режиме "Исправление", доступность сервисов восстановилась.
Интернет сервисы прописаны в регламенты бизнес-процессов версия КриптоПро CSP v.3.6 пять лет не вызывала нареканий в работе.
Просим помощи в утранении проблемы.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,396 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
Решено в ЛС, была проблема с устаревшими сертификатами. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 30.03.2018(UTC) Сообщений: 4 Откуда: Nizhny Novgorod
|
Проблема была решена путем переустановки с КриптоПРО 4.0. 9842 на КриптоПРО 4.0. 9944оказалось, что версия КриптоПРО 4.0.9842 не корректно работает с множеством пользователей,в нашем случае это терминальный сервер. Контейнером сертификата служит реестр сервера. После переустановки ошибка по количеству пользователей КриптоПро в версии 9944 далее не проявлялась, однако возникли проблемы при обращении на сайты бюро кредитных историй в автоматическом режиме B2B. Для обращения на нужные сайты мы использовали утилиту, которую разработали сами.Наш запрос направлялся, а при возвращении расшифровывался ответ. Так , вот, оказалось, что КриптоПро 3.6 игнорировала устаревшие пути размещения контейнера, находила сама и использовала "свежий" актуальный сертификат. В контейнерее "болтались" старые сертификаты и это не мешало работе. Новая версия КриптоПРО 4.0.9944 оказалась более требовательной и отказывалась,на уровне сервера, расшифровывать ответ бюро кредитных историй. Так же это проявилось на уровне пользователя терминального сервера. В профиле одного из пользователей оказался устаревший сертификат, КриптоПро отказалась расшифровывать ответ. После удаления старого сертификата работа наладилась. Эта новая требовательность продукта не очень удобна, тем более, что поставщик информации просит не удалять старые сертификаты, для возможности чтения старых документов. Отредактировано пользователем 9 апреля 2018 г. 15:53:29(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,487 Сказал «Спасибо»: 553 раз
Поблагодарили: 2245 раз в 1751 постах
|
Здравствуйте.
А можете здесь или в ЛС описать более подробно.
Вы удаляли просроченный сертификат из хранилища, чтобы "заработало" расшифрование в вашем приложении?
Или в контейнере был старый сертификат, а на этот же ключ был выпущен новый сертификат (и установлен в хранилище, но не перезаписан в контейнер)?
>что поставщик информации просит не удалять старые сертификаты, для возможности чтения старых документов.
если есть старые сертификаты и контейнеры и есть новые сертификаты с новыми контейнерами - то не должно быть проблем
для доступа к старой информации, если доступен закрытый ключ. Или неправильно понял?
Спасибо. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 30.03.2018(UTC) Сообщений: 4 Откуда: Nizhny Novgorod
|
В случае с пользователем старый сертификат был обнаружен IE-Свойства браузера-Содержание-Сертификаты-Личные получается, что в контейнере пользователя находились два сертификата. У другого пользователя IE-Свойства браузера-Содержание-Сертификаты-Личные был только старый сертификат и не было нового, пришлось добавить.
В случае с утилитой, внимательно изучили пути размещения сертификата и в числе путей нашли не используемый контейнер, т.е. там не один путь был, каждый год просто дописывали новый и всё.
Исключили этот путь и всё заработало. Выходит, что не точно я описал в предыдущем посте.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,487 Сказал «Спасибо»: 553 раз
Поблагодарили: 2245 раз в 1751 постах
|
Автор: acc200acc  В случае с пользователем старый сертификат был обнаружен IE-Свойства браузера-Содержание-Сертификаты-Личные получается, что в контейнере пользователя находились два сертификата. Как Вы связали это в то, что в контейнере 2 сертификата? Вы смотрели в хранилище сертификатов. Контейнеры - это отдельная сущность. И контейнеров и сертификатов - может быть разное количество. На один контейнер можно сгенерировать много сертификатов. Прикладное ПО должно при расшифровании - читать серийные номера получателей, находить сертификаты и проверять наличие ссылки на закрытый ключ у сертификата ( + можно в приоритете использовать еще по датам действия) и только потом обращаться к выбранному контейнеру из контекста найденного сертификата. Как сделано у Вас и зачем еще где-то прописывать пути к контейнерам? |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,396 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
CSP 4.0 контролирует сроки действия секретных ключей. Как этот контроль обойти - написано в документации или в форумеОтредактировано пользователем 9 апреля 2018 г. 17:32:32(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
