Что такое криптопродукт Certutil2 и как с ним работать?

Что такое криптопродукт Certutil2 и как с ним работать? Электронная цифровая подпись

Kirillius
Оставлено
:
11 августа 2010 г. 19:58:44(UTC)

Kirill Sobolev
Оставлено
:
11 августа 2010 г. 20:07:11(UTC)

И как они в дампе выглядят, хотя бы один пример?

Kirill Sobolev
Оставлено
:
11 августа 2010 г. 20:58:48(UTC)

По расширениям фильтр можно установить, только если указать бинарное значение, что в случае с EKU представляется весьма нетривиальной задачей.

Kirill Sobolev
Оставлено
:
12 августа 2010 г. 15:02:53(UTC)

Цитата:А может быть есть какой-то другой способ решения задачи? Посоветуйте куда копать?Написать собственную утилитку, которая бы шерстила БД ЦС на предмет наличия сертификатов с заданными условиями либо анализировала вывод certutil. Цитата:А что бы значил вот этот пример с сайта technet. microsoft. com:Чтобы отобразить числовые коды запроса сертификатов на основе шаблона идентификатора объекта 1. 6, введите:certutil -view -restrict “Certificate Template=1. 6” -out requestid Под числовым кодом, видимо, подразумевается идентификатор запроса.

Kirillius
Оставлено
:
12 августа 2010 г. 15:12:50(UTC)

“Под числовым кодом, видимо, подразумевается идентификатор запроса. “Это я понял. Идентификатор запроса выводится в результате, но обратите внимания у них идентификатора объекта 1. 6 вводится не в бинаре. Или я не понимаю чего?

Kirill Sobolev
Оставлено
:
13 августа 2010 г. 17:15:10(UTC)

Если сертификат выдан по шаблону (заполнено поле Certificate Template в БД ЦС – это видно в полном дампе сертификата), то задать фильр по этому шаблону можно не только именем, но и с помощью OID.

kvazer13
Оставлено
:
9 февраля 2015 г. 10:05:54(UTC)

Добрый день. Есть аналогичная задача, только вытащить нужно не все сертификаты, а только действующие на данный момент. Подскажите, пожалуйста, каким запросом certutil можно это сделать?

Не установлены драйвера или не запущена служба smart card ibank2 windows 10

Возможно, эта информация будет интересна

При открытии Панели управления Рутокен на вкладке Администрирование отображается ошибка: «Системная служба «Смарт-карты» не отвечает на запросы. Операции с по этой причине невозможны. Проверьте состояние и настройки службы».

Что такое криптопродукт Certutil2 и как с ним работать?

Существуют разные причины возникновения этой ошибки, в зависимости от схемы работы:

Попробуйте запустить или перезапустить службу.

Что такое криптопродукт Certutil2 и как с ним работать?

Если служба не работает (не запускается или не перезапускается), то может понадобиться ее переустановка (это могут сделать только системным администраторы).

1) Win7, Vista, Win8/8. 1, Win10

•Запустите файл (smart-card-7) из вложения

•Переустановите службу смарт-карт согласно инструкции из вложения (Smart-Card-XP)

Возможно, какое-либо ПО может блокировать службу Смарт-карта. Совместно с системным администратором произведите поиск ПО, которое может вызывать проблемы.

Если Рутокен вставлен в компьютер (в сервер), а к нему пытаются обратиться удаленно, такая схема работать не будет.

Протокол RDP (Remote Desktop Protocol) не позволяет удаленно работать со смарт-картами, так как это противоречит безопасности.

Рекомендуем подключать Рутокен в компьютер, с которого будет осуществляться удаленное подключение (в клиент).

Попробуйте Запустить/Перезапустить службу.

Возможно, какое-либо ПО может блокировать службу «Смарт-карта». Совместно с системным администратором произведите поиск ПО, которое может вызывать проблемы со службой «Смарт-карта».

Алгоритм решения проблем с JaCarta

КриптоПРО очень часто вызывает различные ошибки в Windows, простой пример (Windows installer service could not be accessed). Вот так вот выглядит ситуация, когда утилита КриптоПРО не видит сертификат в контейнере.

Что такое криптопродукт Certutil2 и как с ним работать?

Как видно в утилите UTN Manager ключ подключен, он видится в системе в смарт картах в виде Microsoft Usbccid (WUDF) устройства, но вот CryptoPRO, этот контейнер не определяет и у вас нет возможности установить сертификат. Локально токен подключали, все было то же самое. Стали думать что сделать.

Не возможно подключиться к службе управления смарт-картами

Когда вы установили все драйвера для токенов Jacarta, вы можете увидеть при подключении по RDP и открытии утилиты «Единый клиент Jacarta PKI» вот такое сообщение с ошибкой:

Читайте также:  Доверенность на получение электронной подписи (ЭЦП) для юридических и физических лиц - образец

Что такое криптопродукт Certutil2 и как с ним работать?

Как исправить ошибку «Не возможно подключиться к службе управления смарт-картами».

Что такое криптопродукт Certutil2 и как с ним работать?

Вот такой вот был траблшутинг по настройке токена Jacarta, КриптоПРО на терминальном сервере, для подписи документов в ВТБ24 ДБО. Если есть замечания или поправки, то пишите их в комментариях.

Считыватели смарт-карт

Как и любое устройство, подключенное к компьютеру, диспетчер устройств можно использовать для просмотра свойств и начала процесса отлаговки.

Чтобы проверить, работает ли считыватель смарт-карт

Перейдите к компьютеру.

Щелкните правой кнопкой мыши Компьютер, а затем выберите Свойства.

В статье Задачивыберите диспетчер устройств.

В диспетчере устройств раздайте считывателисмарт-карт, выберите имя считывателей смарт-карт, которые необходимо проверить, а затем выберите Свойства.

Если считыватель смарт-карт не указан в диспетчере устройств, в меню Action выберите scan для изменения оборудования.

Криптопро не видит ключ JaCarta, решаем за минуту

Добрый день! Уважаемые читатели и подписчики IT блога Pyatilistnik. org. Последние два дня у меня была интересная задача по поиску решения на вот такую ситуацию, есть физический или виртуальный сервер, на нем установлена наверняка многим известная КриптоПРО. На сервер подключен USB ключ JaCarta, который используется для подписи документов для ВТБ24 ДБО. Локально на Windows 10 все работает, а вот на серверной платформе Windows Server 2016 и 2012 R2, Криптопро не видит ключ JaCarta. Давайте разбираться в чем проблема и как ее поправить.

Описание окружения

Есть виртуальная машина на Vmware ESXi 6. 5, в качестве операционной системы установлена Windows Server 2012 R2. На сервере стоит КриптоПРО 4. 9944, последней версии на текущий момент. С сетевого USB хаба, по технологии USB over ip, подключен ключ JaCarta. Ключ в системе видится, а вот в КриптоПРО нет.

Certutil

Ввод ПИН-кода не требуется для этой операции. Вы можете нажать ESC, если вам будет предложен ПИН-код.

Удаление сертификатов на смарт-карте

Каждый сертификат заключен в контейнер. При удалении сертификата на смарт-карте удаляется контейнер для сертификата.

Чтобы удалить контейнер, введите certutil-delkey-csp «Microsoft Base Smart Card Crypto Provider»

Служба смарт карта не запускается windows 10

Иногда при добавлении смарт-карты может появиться ошибка. Эта ошибка связана с определением устройств на компьютере и установкой для него драйвера. Самостоятельно компьютер не сможет найти подходящий драйвер так как почти все смарт карты снабжаются специальным программным обеспечением куда входит и драйвер для них.

Однако некоторые смарт карты могут работать на компьютере даже с не установленным программным обеспечением. В таком случае можно отключить сообщение об ошибке. Для этого находите в Windows 10 смарт карты в диспетчере устройств. Наводите курсор на этот пункт и нажимаете правую кнопку мыши, откроется контекстное меню в котором выбираете пункт Другие устройства — Отключить. После этого появится окно Смарт-карта в котором нужно нажать Да.

Проблема: При добавлении новой карты в систему Indeed CM появляется сообщение об ошибке:

Диспетчер ресурсов смарт-карт не выполняется

Решение 1: Убедитесь в том, что на рабочей станции, к которой подключена добавляемая смарт-карта, запущена и работает служба Смарт-карта. Для управления работой служб необходимо обладать правами Локального администратора.

Чтобы просмотреть состояние службы Смарт-карта выполните следующие действия (для русскоязычных ОС):Откройте меню Панель управления – Администрирование – Службы, найдите в списке службу Смарт-карта

Что такое криптопродукт Certutil2 и как с ним работать?

Решение 2:Убедитесь в том, что адрес сервера Indeed CM добавлен в зону Местная интрасеть (Local Intranet) браузера рабочей станции, к которой подключена смарт-карта.

Служба смарт-карт

Служба диспетчера ресурсов смарт-карт работает в контексте локальной службы. Он реализуется в качестве общей службы процесса хост-службы (svchost).

Чтобы проверить, запущена ли служба Смарт-карты

Нажмите кнопку CTRL+ALT+DEL, а затем выберите start Task Manager.

В диалоговом окне Windows Диспетчер задач выберите вкладку Services.

Выберите столбец Name для сортировки списка в алфавитном порядке, а затем введите s.

В столбце Имя посмотрите на SCardSvr, а затем посмотрите в столбце Состояние, чтобы узнать, запущена или остановлена служба.

Перезапуск службы смарт-карт

Запустите в качестве администратора в командной подсказке.

Если появится диалоговое окно «Управление учетной записью пользователя», подтвердите, что отображаемая в нем акция является нужным, а затем выберите Да.

Читайте также:  Забыли пароль от «Личного кабинета налогоплательщика»: что делать?

В следующем примере кода приводится пример вывода из этой команды:

Диагностика CryptoAPI 2

Диагностика CryptoAPI 2. 0 доступна в Windows версиях, которые поддерживают CryptoAPI 2. 0 и могут помочь устранить проблемы с инфраструктурой ключей общего ключевых (PKI).

CryptoAPI 2. 0 Диагностика регистрит события в журнале Windows событий. Журналы содержат подробные сведения о проверке цепочки сертификатов, операциях хранения сертификатов и проверке подписи. Эта информация упрощает определение причин проблем и сокращает время, необходимое для диагностики.

Дополнительные сведения о диагностике CryptoAPI 2. 0 см. в Enterprise PKI.

Отладка и отслеживание с помощью WPP

WPP упрощает отслеживание работы поставщика трассировки. Он предоставляет поставщику трассировки механизм для входа двоичных сообщений в режиме реального времени. Зарегистрированные сообщения можно преобразовать в понятный для человека след операции. Дополнительные сведения см. в блоге Diagnostics with WPP — блог NDIS.

Включить трассировка

С помощью WPP используйте одну из следующих команд, чтобы включить отслеживание:

Параметры можно использовать в следующей таблице.

Понятное имяКод GUIDФлажки scardsvr13038e47-ffec-425d-bc69-5707708075fe0xffff winscard3fce7c5f-fb3b-4bce-a9d8-55cc0ce1cf010xffff basecsp133a980d-035d-4e2d-b250-94577ad8fced0x7 scksp133a980d-035d-4e2d-b250-94577ad8fced0x7 msclmdfb36caf4-582b-4604-8841-9263574c4f2c0x7 credprovdba0e0e0-505a-4ab6-aa3f-22f6f743b4800xffff certprop30eae751-411f-414c-988b-a8bfa8913f490xffff scfiltereed7f3c9-62ba-400e-a001-658869df9a910xffff wudfusbccida3c09ba3-2f62-4be5-a50f-8278a646ac9d0xffff

Чтобы включить трассировку для службы SCardSvr:

Чтобы включить трассировку для scfilter. sys:

Остановка трассировки

С помощью WPP используйте одну из следующих команд, чтобы остановить трассировку:

Примеры

Чтобы остановить след:

Установка КриптоПРО

После установки JaCarta PKI, нужно установить КриптоПРО, для этого заходите на официальный сайт.

Что такое криптопродукт Certutil2 и как с ним работать?

На текущий момент самая последняя версия КриптоПро CSP 4. 9944. Запускаем установщик, оставляем галку «Установить корневые сертификаты» и нажимаем «Установить (Рекомендуется)»

Что такое криптопродукт Certutil2 и как с ним работать?

Инсталляция КриптоПРО будет выполнена в фоновом режиме, после которой вы увидите предложение, о перезагрузке браузера, но я вам советую полностью перезагрузиться.

Что такое криптопродукт Certutil2 и как с ним работать?

После перезагрузки подключайте ваш USB токен JaCarta. У меня подключение идет по сети, с устройства DIGI, через клиента Anywhere View. В клиенте Anywhere View, мой USB носитель Jacarta, успешно определен, но как Microsoft Usbccid (WUDF), а в идеале должен определиться как JaCarta Usbccid Smartcard, но нужно в любом случае проверить, так как все может работать и так.

Что такое криптопродукт Certutil2 и как с ним работать?

Открыв утилиту «Единый клиент Jacarta PKI», подключенного токена обнаружено не было, значит, что-то с драйверами.

Что такое криптопродукт Certutil2 и как с ним работать?

Microsoft Usbccid (WUDF) – это стандартный драйвер Microsoft, который по умолчанию устанавливается на различные токены, и бывает, что все работает, но не всегда. Операционная система Windows по умолчанию, ставит их в виду своей архитектуры и настройки, мне вот лично в данный момент такое не нужно. Что делаем, нам нужно удалить драйвера Microsoft Usbccid (WUDF) и установить драйвера для носителя Jacarta.

Откройте диспетчер устройств Windows, найдите пункт «Считыватели устройств смарт-карт (Smart card readers)» щелкните по Microsoft Usbccid (WUDF) и выберите пункт «Свойства». Перейдите на вкладку «Драйвера» и нажмите удалить (Uninstall)

Что такое криптопродукт Certutil2 и как с ним работать?

Согласитесь с удалением драйвера Microsoft Usbccid (WUDF).

Что такое криптопродукт Certutil2 и как с ним работать?

Вас уведомят, что для вступления изменений в силу, необходима перезагрузка системы, обязательно соглашаемся.

Что такое криптопродукт Certutil2 и как с ним работать?

После перезагрузки системы, вы можете увидеть установку устройства и драйверов ARDS Jacarta.

Что такое криптопродукт Certutil2 и как с ним работать?

Откройте диспетчер устройств, вы должны увидеть, что теперь ваше устройство определено, как JaCarta Usbccid Smartcar и если зайти в его свойства, то вы увидите, что смарт карта jacarta, теперь использует драйвер версии 6. 7601 от ALADDIN R. ZAO, так и должно быть.

Что такое криптопродукт Certutil2 и как с ним работать?

Если открыть единый клиент Jacarta, то вы увидите свою электронную подпись, это означает, что смарт карта нормально определилась.

Что такое криптопродукт Certutil2 и как с ним работать?

Открываем CryptoPRO, и видим, что криптопро не видит сертификат в контейнере, хотя все драйвера определились как нужно. Есть еще одна фишка.

Что такое криптопродукт Certutil2 и как с ним работать?

ОБЯЗАТЕЛЬНО снимите галку «Не использовать устаревшие cipher suite-ы» и перезагрузитесь.

Что такое криптопродукт Certutil2 и как с ним работать?

После этих манипуляций у меня КриптоПРО увидел сертификат и смарт карта jacarta стала рабочей, можно подписывать документы.

Что такое криптопродукт Certutil2 и как с ним работать?

Еще можете в устройствах и принтерах, увидеть ваше устройство JaCarta,

Что такое криптопродукт Certutil2 и как с ним работать?

Если у вас как и у меня, токен jacarta установлен в виртуальной машине, то вам придется устанавливать сертификат, через console виртуальной машины, и так же дать на нее права ответственному человеку. Если это физический сервер, то там придется давать права на порт управления, в котором так же есть виртуальная консоль.

Протокол Kerberos, KDC и отладка и отслеживание NTLM

Эти ресурсы можно использовать для устранения неполадок этих протоколов и KDC:

Читайте также:  Как установить сертификат ЭЦП на Рутокен с компьютера

Протокол NTLM

Чтобы включить трассировку для проверки подлинности NTLM, запустите следующую команду в командной строке:

Чтобы остановить отслеживание для проверки подлинности NTLM, запустите эту команду:

Проверка подлинности Kerberos

Чтобы включить трассировку для проверки подлинности Kerberos, запустите эту команду:

Чтобы остановить отслеживание проверки подлинности Kerberos, запустите эту команду:

Чтобы включить трассировку для KDC, запустите следующую команду в командной строке:

Чтобы остановить отслеживание для KDC, запустите следующую команду в командной строке:

Настройка отслеживания с помощью реестра

Вы также можете настроить трассировку, редактировать значения реестра Kerberos, показанные в следующей таблице.

ЭлементПараметр ключа реестра Протокол NTLMHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaMSV1_0Имя значения: NtLmInfoLevelТип значения: DWORDДанные значения: c0015003 KerberosHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaKerberosИмя значения: LogToFileТип значения: DWORDДанные значения: 00000001 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaKerberosParametersИмя значения: KerbDebugLevelТип значения: DWORDДанные значения: c0000043HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaKerberosParametersИмя значения: LogToFileТип значения: DWORDДанные значения: 00000001 KDCHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesKdcИмя значения: KdcDebugLevelТип значения: DWORDДанные значения: c0000803

Если вы использовали, посмотрите следующий файл журнала в текущем Tracelog каталоге: kerb. etl/kdc. etl/ntlm. etl.

Если вы использовали параметры ключей реестра, показанные в предыдущей таблице, посмотрите на файлы журнала трассировки в следующих расположениях:

Устранение неполадок смарт-карт

Применяется к: Windows 10, Windows 11, Windows Server 2016 и выше

В этой статье рассказывается о средствах и службах, которые разработчики смарт-карт могут использовать для выявления проблем с сертификатами при развертывании смарт-карт.

Отладка и отслеживание проблем смарт-карт требуют различных средств и подходов. В следующих разделах указаны инструменты и подходы, которые можно использовать.

Установка единого клиента JaCarta PKI

Единый Клиент JaCarta – это специальная утилита от компании «Аладдин», для правильной работы с токенами JaCarta. Загрузить последнюю версию, данного программного продукта, вы можете с официального сайта, или у меня с облака, если вдруг, не получиться с сайта производителя.

Что такое криптопродукт Certutil2 и как с ним работать?

Далее полученный архив вы распаковываете и запускаете установочный файл, под свою архитектуру Windows, у меня это 64-х битная. Приступаем к установке Jacarta драйвера. Единый клиент Jacarta, ставится очень просто (НАПОМИНАЮ ваш токен в момент инсталляции, должен быть отключен). На первом окне мастера установки, просто нажимаем далее.

Что такое криптопродукт Certutil2 и как с ним работать?

Принимаем лицензионное соглашение и нажимаем «Далее»

Что такое криптопродукт Certutil2 и как с ним работать?

Чтобы драйвера токенов JaCarta у вас работали корректно, достаточно выполнить стандартную установку.

Что такое криптопродукт Certutil2 и как с ним работать?

Если выберете «Выборочную установку», то обязательно установите галки:

Что такое криптопродукт Certutil2 и как с ним работать?

Далее нажимаем «Установить».

Что такое криптопродукт Certutil2 и как с ним работать?

Через пару секунд, Единый клиент Jacarta, успешно установлен.

Что такое криптопродукт Certutil2 и как с ним работать?

Обязательно произведите перезагрузку сервера или компьютера, чтобы система увидела свежие драйвера.

Что такое криптопродукт Certutil2 и как с ним работать?

Вопрос

1) Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID <6b3b8d23-fa8d-40b9-8dbd-b950333e2c52> и APPID <4839ddb7-58c2-48f5-8283-e1d1807d0d7d> пользователю NT AUTHORITYLOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.

2) Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID и APPID <316cded5-e4ae-4b15-9113-7055d84dcc97> пользователю NT AUTHORITYLOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.

3) Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID <6b3b8d23-fa8d-40b9-8dbd-b950333e2c52> и APPID <4839ddb7-58c2-48f5-8283-e1d1807d0d7d> пользователю NT AUTHORITYLOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.

4) Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID и APPID <316cded5-e4ae-4b15-9113-7055d84dcc97> пользователю NT AUTHORITYLOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.

Что делал для решения проблемы:

1) Обновил Windows до последней сборки

2) Пробовал решения по аналогичным событиям- 10016. Решения связанные с разрешениями на разделы в реесте и разрешениями DCOM

Проблема очень актуальна, т. из-за этой службы не работает ПО «Алладин Единый клиент Jacarta» необходимое для клиент-банк.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector