Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Нюансы работы КриптоПро 3.6 в домене
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline asokolov  
#1 Оставлено : 8 июня 2012 г. 20:02:24(UTC)
asokolov

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.06.2012(UTC)
Сообщений: 4
Откуда: Санкт-Петерубрг
Сначало опишу ситуацию, хотя очень может быть, что проблем (даже скорее всего) в КриптоПРО нет, но может тогда направите в правильное направление.
Итак, есть программа Банк-клиент (от Газпромбанка), естественно, для отправки платежек и т.п. необходимо их подписывать ЭЦП. Когда формируется письмо, выбираю из списка подпись и система выдает вот такую ошибку:
"Ошибка подписи документа. CryptoPro toolkit library error code: -2146885628System Last Error message:
Объект или свойство не найдено"
Версия КриптоПРО - 3.6.5402
Windows 7 Professional
Сразу оговорюсь, что во время своих "шаманских бубнов" (вместе с тех.поддержкой Газпромбанка) ставил рекомендованную для Win7 версию КриптоПРО, шаманил с драйверами на рутокен. Эффекта не имело.
Попробовал на машинке без домена, и все сразу же заработало, после выбора подписи их списка выскочило окно с вводом pin-кода, его ввел и все подписалось.
Тогда я попробовал запустить клиент-банк от имени ДОМЕННОГО администратора и тоже без проблем все подписалось, однако от пользователя не работает, хоть он и обладает правами локального администратра. Да и запуск файла "от имени администратора", для обхода политики безопасности UAC тоже не помогло.
Поэтому логичным предположить, что какие-то доменные политики блокируют вызов/запуск авторизации КриптоПРО. Я конечно понимаю, что скорее всего проблема в Банк-клиенте, но может есть какие-то нюансы, связанные с вызовом и работой КриптоПРО в домене.
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Ivanov-aa  
#2 Оставлено : 8 июня 2012 г. 20:11:52(UTC)
Ivanov-aa

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 01.08.2011(UTC)
Сообщений: 674
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 38 раз в 36 постах
Для работы с Win7 необходимо КритоПро CSP 3.6.6497, с 5402 работает не корректно.

Личный сертификат должен быть установлен в хранилище Личное, от пользователя с которого производиться работа.
Возможно, клиент банк, который использует сертификат, установлен от доменного администратора.
Вверх
Offline asokolov  
#3 Оставлено : 8 июня 2012 г. 20:34:05(UTC)
asokolov

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.06.2012(UTC)
Сообщений: 4
Откуда: Санкт-Петерубрг
Ivanov-aa написал:
Для работы с Win7 необходимо КритоПро CSP 3.6.6497, с 5402 работает не корректно.


Эту версию я пробовал, эффект тот же был. Я даже криптоПРО 4 ставил. Везде одинаковая ошибка. К тому же под доменным админом и на этой же машине выписанной из домена, даже "неправильная" версия КриптоПРО заработала. Так что не думаю, что проблема тут, хотя соглашусь, что когда разберусь надо будет ее ставить. Ну и естественно тех.поддержка банк-клиента настаивала на версии КриптоПРО, которая поставлялась в дистрибутиве, то есть та самая "неправильная", уверяя что под win7 все прекрасно работает.

Ivanov-aa написал:
Личный сертификат должен быть установлен в хранилище Личное, от пользователя с которого производиться работа.


Из под доменного админа ничего не устанавливалось, только от локального пользователя, он же обладает достаточными правами (лок.админ), чтобы ПО устанавливать.

Ivanov-aa написал:
Возможно, клиент банк, который использует сертификат, установлен от доменного администратора.


А вот интересный нюанс есть... Когда я нажал подписать под доменным админом, мне предложили установить сертификат банка, а до этого таких предложений не было, может затык происходил именно на этом этапе. Хотя сертификаты с тех.поддержкой мы ручками ставили, может правда не туда. Надо будет проверить.

Да, разумеется я пробовал установить личные сертификаты с помощью КриптоПРО (просмотр сертификатов в контейнере - установить).
И все-таки я склоняюсь к блокировкам на уровне доменных политик.

Отредактировано пользователем 8 июня 2012 г. 20:36:42(UTC)  | Причина: Не указана
Вверх
Offline Ivanov-aa  
#4 Оставлено : 8 июня 2012 г. 20:59:56(UTC)
Ivanov-aa

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 01.08.2011(UTC)
Сообщений: 674
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 38 раз в 36 постах
Еще раз повторюсь
Ivanov-aa написал:
Для работы с Win7 необходимо КритоПро CSP 3.6.6497, с 5402 работает не корректно.


asokolov написал:
... Я даже криптоПРО 4 ставил.

Про какой продукт и какой версией идет речь?

asokolov написал:
Когда я нажал подписать под доменным админом, мне предложили установить сертификат банка,

А где происходит подписание и с помощью чего? Нельзя как то "подписать под пользователем"?
Вверх
Offline Андрей Писарев  
#5 Оставлено : 8 июня 2012 г. 21:09:27(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,523
Мужчина
Российская Федерация

Сказал «Спасибо»: 555 раз
Поблагодарили: 2252 раз в 1757 постах

asokolov написал:
... Я даже криптоПРО 4 ставил.


Может быть КриптоАРМ 4 ?

Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline asokolov  
#6 Оставлено : 9 июня 2012 г. 11:59:54(UTC)
asokolov

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.06.2012(UTC)
Сообщений: 4
Откуда: Санкт-Петерубрг
Андрей * написал:

asokolov написал:
... Я даже криптоПРО 4 ставил.


Может быть КриптоАРМ 4 ?



Да, каюсь - наврал. Вот эту имел ввиду: КриптоПро CSP 3.6 R3. Несертифицированную и как я понимаю нерекомендованную.
Вверх
Offline asokolov  
#7 Оставлено : 9 июня 2012 г. 12:11:06(UTC)
asokolov

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.06.2012(UTC)
Сообщений: 4
Откуда: Санкт-Петерубрг
Все... Всем спасибо. Тему можно закрывать.

Вообщем проблема была действительно в домене, и с Вашей подачи, проверил наличие сертификата банка.
Как выяснилось он должен находиться (подсмотрел у доменного админа) в папке Доверенные корневые центры сертификации, но под пользователем в эту папку сертификат добавить НЕЛЬЗЯ (пробовал разными способами). Это можно сделать только через групповую политику домена:
Цитата:

1. Нажмите кнопку Пуск, наведите указатель мыши на пункт Администрирование и выберите пункт Управление групповой политикой.
2. В дереве консоли дважды щелкните узел Объекты групповой политики в лесу и домене, содержащем изменяемый объект групповой политики Политика домена по умолчанию.
3. Щелкните правой кнопкой мыши объект групповой политики Политика домена по умолчанию и выберите команду Изменить.
4. В консоли управления групповой политикой перейдите в раздел Конфигурация компьютера, Параметры Windows, Настройка безопасности и щелкните Политики открытого ключа.
5. Щелкните правой кнопкой мыши хранилище Доверенные корневые центры сертификации.
6. Нажмите кнопку Импорт и выполните инструкции мастера импорта сертификатов, чтобы импортировать сертификаты


Ну и после добавления сертификата банка через эту оснастку в доверенные корневые центры сертификации и обновления доменных политик на ПК (или простой перезагрузки ПК), сертификат банка появился в списке и все заработало без каких-либо дополнительных настроек.

Отредактировано пользователем 9 июня 2012 г. 12:13:54(UTC)  | Причина: Не указана
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET