Для электронных подписей используйте КриптоПро Diskette и КриптоПро Pro

Возможные причины с определением контейнера

1. Во первых, это проблема с драйверами, например, в Windows Server 2012 R2, JaCarta в идеале должна определяться в списке смарт карт как JaCarta Usbccid Smartcard, а не Microsoft Usbccid (WUDF)
2. Во вторых если устройство видится как Microsoft Usbccid (WUDF), то версия драйверов может быть устаревшей, и из-за чего ваши утилиты будут не определять защищенный USB носитель.
3. Устарелая версия CryptoPRO

Введение

Для того, что бы перенести контейнер закрытого ключа (ключ) и сертификат пользователя (сетрификат) понадобится: – ключевая дискета с ключем и сетрификатом – компьютер с флоппи-дисководом (компьютер 1) – компьютер без флоппи-дисковода (компьютер 2), с которого будет отправляться налоговая отчетность – обычный флеш-накопитель (флешка) – дистрибутив КриптоПро любой версии и считыватель Реестр для него

Первый этап: подготовка компьютера и копирование ключа

Установите дистрибутив КриптоПро на компьютер 1 (пропустите этот пункт, если Крипто-Про уже установлен на нем).

Запустите оснастку КриптоПро CSP из Панели управления. Вставьте в компьютер 1 флешку.

Перейдите на вкладку “Оборудование”, нажмите кнопку “Настроить считыватели”.

В новом окне нажмите кнопку “Добавить…”

Теперь “Далее >”

Отметьте Дисковод ?:, как показано на рисунках.

Буква диска должна соотвествовать букве, присвоенной флешке операционной системой. Нажмите “Далее >”, “Готово” и “Ок”.

Теперь вставьте ключевую дискету.

Перейдите к вкладке “Сервис”, нажмите на кнопку “Скопировать контейнер”. В новом окне нажмите кнопку “Обзор” и укажите “Дисковод А:” в качестве ключевого контейнера, который будет скопирован.

Нажмите “Далее >”.

Теперь укажите имя нового ключевого контейнера и нажмите “Готово”, после чего программа попросит указать устройство для записи ключа. В данному случая это наша флешка (Дисковод ?). Выберите его и нажмите “Ок”, при запросе пароля еще раз нажмите “Ок”.

После этого с дискеты необходимо скопировать файл сертификата (файл с расширением *.cer) на флешку через проводник или любым другим способом.

Второй этап: подготовка компьютера 2 и установка ключа

Установите дистрибутив КриптоПро на компьютер 2 (пропустите этот пункт, если Крипто-Про уже установлен на нем).

Запустите оснастку КриптоПро CSP из Панели управления. Вставьте в компьютер 2 флешку.

Перейдите на вкладку “Оборудование”, нажмите кнопку “Настроить считыватели”.

В новом окне нажмите кнопку “Добавить…”, теперь “Далее >”, отметьте Дисковод ?:, как показано на рисунках.

Буква диска должна соотвествовать букве, присвоенной флешке операционной системой. Нажмите “Далее >”, “Готово” и “Ок”.

Теперь добавьте считыватель Реестр аналогичным способом и через вкладку “Сервис” скопируйте контейнер закрытого ключа с Дисковода ?: в считыватель Реестр (в качестве источника при копировании укажите Дисковод ?:, в качестве получателя: Реестр).

Скопируйте с флешки на компьютер 2 сертификат.

В КриптоПро CSP на вкладке “Сервис” нажмите кнопку “Установить личный сертификат”, следуйте указаниям мастера установки. При выборе ключевого контейнера укажите Реестр.

Подключитесь к сети Интернет и попробуйте воспользоваться системой Контур-Экстерн.

Если система Контур-Экстерн устанавливается на компьютер впервые, обязательно загрузите и запустите сертификаты корневого центра.

1 этап. Прохождение тестирования(взаимодействие с тестовым контуром ГИС ГМП)
#Адрес сервиса ГИС ГМП тестовый:
gisgmp.wsdlLocation=http://213.59.255.182:7777/gateway/services/SID0003663?wsdl
gisgmp.wsdlLocation.endPoint=http://213.59.255.182:7777/gateway/services/SID0003663
Этот адрес прописывается в настройках СП.Дополнительно требуется прописать в файле настроек логгирования, указав значение TRACE.
После внесения указанных значений, требуется запустить СП и клиент АЦК (перезапустить, если уже был запущен)
Далее, из ЗОР или Заявки БУ/АУ на выплату средств требуется выполнить действие “Создать Сведение о платеже”, если будут пройдены системные контроли – то создастся Сведение о платеже. Которое в последствии нужно будет выгрузить.
После выгрузки требуется проверить статус действием “Запрос статуса обработки”. После чего ЭД Сведение о платеже переходит на статус “Принят ГИС ГМП” -…

Дано:

Таблица MSG (сообщения) с большим количеством записей.CREATETABLEmsg(idINTEGERNOTNULLPRIMARYKEY,descriptionCHAR(50)NOTNULL,
date_createDATE);Задача:

Необходимо очистить таблицу от данных/ Решение:

Для решения данной задачи есть несколько способов. Ниже описание и пример каждого из них.
Самый простой способ (первый вариант
) – выполнение оператора удаления записи. При его выполнении вы будете видеть результат (сколько записей удалено). Удобная штука когда необходимо точно знать и понимать правильные ли данные удалены. НО имеет недостатки перед другими вариантами решения поставленной задачи.

DELETE FROMmsg;–Удалит все строки в таблице–Удалит все строки у которых дата создания “2019.02.01”
DELETE FROMmsg WHEREdate_create=”2019.02.01″;

Второй вариант
. Использование оператора

На днях перевел терминальный сервер(windows 2003 server x64 standard) на виртуальную машину. На терминалке бухгалтера работали со СБИС. Сертификаты для сбиса храняться на флэшке, она на виртуалку не пробрасывается. Бухи нервничают, надо что то делать:

1. Попробовал создать диск и скопировать туда сертификаты,но crypto про не видит локальных дисков. Облом 1
2. Перенес Сбис на виртуальную машину под windows server 2012R2,пробросил флэшку(режим расширенного сеанса). Она определилась как локальный диск. Облом 2

Тут я решил позвонить в техподдержку СБИС(при слове виртуальная машина консультант впал с ступор и начал давать странные советы….). На третьем консультанте я получил ответ,что только через реестр(что мне не хотелось делать). Ну да ладно,начал делать через реестр….

И тут меня осенило,есть же возможность подключать дискету.Эврика))))
Создал дискету через HYPER-V MANAGER скинул туда сертификаты. Открыл crypro про и убедился,что сертификаты видны! Вроде на этом должно было закончится,но нет…
При подписи или «отправке получении» получаем ошибку не найден закрытый ключ шифрования…Для решения этой проблемы Идем в ПАНЕЛЬ УПРАВЛЕНИЯ
— КриптоПРО CSP
— СЕРВИС
— УДАЛИТЬ ЗАПОМНЕННЫЕ ПАРОЛИ
— УДАЛИТЬ ИНФОРМАЦИЮ ОБ ИСПОЛЬЗОВАННЫХ СЪЕМНЫХ НОСИТЕЛЯХ
(ставим галку). И наступает счастье,но не у всех…Данную процедуру надо повторить под всеми пользователями,которые пользуются crypto pro(будь то сайты гос закупок или сбис…).

P.S: вариант с реестром вполне рабочий,но не охота его было делать!

Производитель: ООО «КРИПТО-ПРО»

Срок действия лицензии: бессрочная

Цена лицензии КриптоПро CSP 5.0 на сервере: 70 000 руб.

Программное обеспечение КриптоПро CSP 5.0 серверная предназначено для контроля целостности системного и прикладного ПО, управления ключевыми элементами системы в соответствии с регламентом средств защиты, авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями. Он поддерживает стандарты шифрования и электронной подписи ГОСТ, что дает возможность применять КриптоПро CSP 5.0 серверная для сдачи отчетности в гос. органы, построения систем защищенного электронного документооборота и юридически значимой подписи, а также в системах защиты персональных данных.

Назначение КриптоПро CSP

• Формирование и проверка электронной подписи.
• Обеспечение конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты.
• Обеспечение аутентичности, конфиденциальности и имитозащиты соединений по протоколам TLS, и IPsec.
• Контроль целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений доверенного функционирования.

Поддерживаемые технологии хранения ключей:

В криптопровайдере КриптоПро CSP 5.0 серверная впервые появилась возможность использования ключей, хранящихся на облачном сервисе КриптоПро DSS, через интерфейс CryptoAPI. Теперь ключи, хранимые в облаке, могут быть легко использованы как любыми пользовательскими приложениями, так и большинством приложений компании Microsoft. Для тестирования данного сервиса можно воспользоваться открытым сервисом DSS.

Реализуемые алгоритмы:

• Алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».
• Алгоритмы формирования и проверки электронной подписи реализованы в соответствии с требованиями ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
• Алгоритм зашифрования/расшифрования данных и вычисление имитовставки реализованы в соответствии с требованиями ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая».

При генерации закрытых и открытых ключей обеспечена возможность генерации с различными параметрами в соответствии ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012.

При выработке значения хэш-функции и шифровании обеспечена возможность использования различных узлов замены в соответствии с ГОСТ Р 34.11-94 и ГОСТ 28147-89

Поддерживаемые типы ключевых носителей:

• дискеты 3,5;
• смарт-карты с использованием считывателей смарт-карт, поддерживающий протокол PС/SC;
• таблетки Touch-Memory DS1993 – DS1996 с использованием устройств Аккорд 4+, электронный замок «Соболь», «Криптон» или устройство чтения таблеток Touch-Memory DALLAS (только в Windows версии);
• электронные ключи с интерфейсом USB (USB-токены);
• сменные носители с интерфейсом USB;
• реестр ОС Windows;
• файлы ОС Solaris/Linux/FreeBSD.

Операционные системы и аппаратные платформы:

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server 2012

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003 R2

Windows Server 2003

Программное обеспечение «КриптоПро CSP» предназначено для контроля целостности системного и прикладного ПО, управления ключевыми элементами системы в соответствии с регламентом средств защиты, авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями. В «КриптоПро CSP» помимо самого криптопровайдера входят продукты «КриптоПро TLS», «КриптоПро EAP-TLS», «КриптоПро Winlogon» и «КриптоПро Revocation Provider».

Решение предназначено для:

• авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012);
• обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
• обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
• контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
• управления ключевыми элементами системы в соответствии с регламентом средств защиты.

Реализуемые алгоритмы

• Алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».
• Алгоритмы формирования и проверки электронной подписи реализованы в соответствии с требованиями ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
• Алгоритм зашифрования/расшифрования данных и вычисление имитовставки реализованы в соответствии с требованиями ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая».

При генерации закрытых и открытых ключей обеспечена возможность генерации с различными параметрами в соответствии ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012.
При выработке значения хэш-функции и шифровании обеспечена возможность использования различных узлов замены в соответствии с ГОСТ Р 34.11-94 и ГОСТ 28147-89.

Поддерживаемые типы ключевых носителей

• дискеты 3,5;
• смарт-карты с использованием считывателей смарт-карт, поддерживающий протокол PС/SC;
• таблетки Touch-Memory DS1993 – DS1996 с использованием устройств Аккорд 4+, электронный замок «Соболь», «Криптон» или устройство чтения таблеток Touch-Memory DALLAS (только в Windows версии);
• электронные ключи с интерфейсом USB (USB-токены);
• сменные носители с интерфейсом USB;
• реестр ОС Windows;
• файлы ОС Solaris/Linux/FreeBSD.

Лицензию КриптоПРО CSP на бумажном носителе вы можете запросить у своего ответственного менеджера.

✅ Купите Крипто-Про КриптоПро CSP (лицензия на право использования СКЗИ КриптоПро CSP версии 3.9 на сервер), Цена за 1 лицензию на официальном сайте

✅ Лицензия Крипто-Про КриптоПро CSP (лицензия на право использования СКЗИ КриптоПро CSP версии 3.9 на сервер), Цена за 1 лицензию по выгодной цене

✅ Крипто-Про КриптоПро CSP (лицензия на право использования СКЗИ КриптоПро CSP версии 3.9 на сервер), Цена за 1 лицензию, лицензионное программное обеспечение купите в Москве и других городах России

Предлагаем также:

• Лицензии КриптоПро CSP купить по цене от 600 руб.
• Лицензии на продукты категории Защита информации купить по цене от 1350 руб.
• Лицензии на продукты категории Антивирусы и безопасность купить по цене от 1 руб.

КриптоПро JCP – средство криптографической защиты информации, реализующее российские криптографические стандарты, разработанное в соответствии со спецификацией JCA (Java Cryptography Architecture).

Интеграция КриптоПро JCP с архитектурой Java позволяет использовать стандартные процедуры, такие как создание и проверка ЭЦП (в том числе XMLdsig, CAdES, XAdES) , шифрование, генерацию ключей, вычисление кодов аутентификации (Message Authentication Code – MAC) в JavaTM Cryptography Extension (JCE) в соответствии со спецификациями JavaTM Cryptography Extension (JCE) на различных операционных системах и аппаратных платформах.

Реализация КриптоПро JCP совместима с КриптоПро CSP.

Средство криптографической защиты КриптоПро JCP распространяется в двух комплектациях:

• генерация ключей, формирование и проверка ЭЦП, хэширование данных;
• генерация ключей, формирование и проверка ЭЦП, хэширование данных, шифрование.

Назначение: 

КриптоПро JCP предназначен для:

• авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной цифровой подписи (ЭЦП) в соответствии с отечественными стандартами ГОСТ Р 34.11-94/ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2001/ГОСТ Р 34.10-2012;
• обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89 и ГОСТ 34.12-2015;
• обеспечение аутентичности, конфиденциальности и имитозащиты соединений TLS;
• контроля целостности, системного и прикладного программного обеспечения для его защиты от несанкционированного изменения или от нарушения правильности функционирования;
• управления ключевыми элементами системы в соответствии с регламентом средств защиты.

Реализуемые алгоритмы: 

Алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ Р 34.11 94 “Информационная технология. Криптографическая защита информации. Функция хэширования” и ГОСТ Р 34.11 2012 “Информационная технология. Криптографическая защита информации. Функция хэширования”.

Алгоритмы формирования и проверки ЭЦП реализованы в соответствии с требованиями:

• ГОСТ Р 34.10-2001 “Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи”;
• ГОСТ Р 34.10-2012 “Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи”.

Алгоритм зашифрования/расшифрования данных и вычисление имитовставки реализованы в соответствии с требованиями ГОСТ 28147-89 “Системы обработки информации. Защита криптографическая” и ГОСТ 34.12-2015 “Информационная технология. Криптографическая защита информации”.

При генерации закрытых и открытых ключей обеспечена возможность генерации с различными параметрами в соответствии с ГОСТ Р 34.10-2001/ГОСТ Р 34.10-2012.

При выработке значения хэш-функции и шифровании обеспечена возможность использования различных узлов замены в соответствии с ГОСТ Р 34.11-94/ГОСТ Р 34.11-2012 и ГОСТ 28147-89.

Системные требования: 

КриптоПро JCP функционирует в следующем окружении:

• виртуальной машина, удовлетворяющая спецификации Java 7 ™ Virtual Machine;
• требуется Java 7 Runtime Environment версии 7 и выше;

Основные характеристики: 

Длина ключей электронной цифровой подписи (ГОСТ Р 34.10-2001):

• закрытый ключ – 256 бит;
• открытый ключ – 512 бит при использовании алгоритма ГОСТ Р 34.10-2001;

Длина ключей электронной цифровой подписи (ГОСТ Р 34.10-2012, 256 бит):

• закрытый ключ – 256 бит;
• открытый ключ – 512 бит при использовании алгоритма ГОСТ Р 34.10-2012, 256 бит;

Длина ключей электронной цифровой подписи (ГОСТ Р 34.10-2012, 512 бит):

• закрытый ключ – 512 бит;
• открытый ключ – 1024 бит при использовании алгоритма ГОСТ Р 34.10-2012, 512 бит;

Длина ключей, используемых при шифровании:

• закрытый ключ – 256 бит на базе алгоритма ГОСТ Р 34.10-2001;
• закрытый ключ – 256 бит на базе алгоритма ГОСТ Р 34.10-2012, 256 бит;
• закрытый ключ – 512 бит на базе алгоритма ГОСТ Р 34.10-2012, 512 бит;
• открытый ключ – 512 бит на базе алгоритма ГОСТ Р 34.10-2001;
• открытый ключ – 512 бит на базе алгоритма ГОСТ Р 34.10-2012, 256 бит;
• открытый ключ – 1024 бит на базе алгоритма ГОСТ Р 34.10-2012, 512 бит;
• симметричный ключ – 256 бит;

Типы ключевых носителей:

• дискеты 3,5″;
• сменные носители с интерфейсом USB;
• российские интеллектуальные карты (Оскар) с использованием считывателей смарт-карт, поддерживающих интерфейс OpenCard Framework (в том числе протокол PC/SC для Windows): GemPC Twin, Towitoko, Oberthur OCR126 и др.);
• электронные ключи и смарт-карты eToken;
• электронные ключи Rutoken;
• смарт-карты ESMART;
• директория жесткого диска.

Преимущества: 

• Страница для печати

Копирование на профиле Диагностики

1. Зайдите на профиль Диагностики «Копирования» по ссылке.

2. Вставьте носитель, на который необходимо скопировать сертификат.

3. На нужном сертификате нажмите на кнопку «Скопировать».

Если на контейнер был задан пароль — появится сообщение  «Введите пароль для устройства с которого будет скопирован сертификат».

Введите пароль и нажмите на кнопку «Далее».

4. Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».

5. Задайте имя новому контейнеру и нажмите на кнопку «Далее».

6. Должно появиться сообщение об успешном копировании сертификата.

Массовое копирование

1. Скачайте и запустите утилиту. Дождитесь загрузки всего списка контейнеров/сертификатов и отметьте нужные галочками.
2. Выберите меню Массовые действия и нажмите на кнопку Копирование контейнеров

3. Выберите носитель для хранения копии контейнера и нажмите «ОК». При копировании в реестр можно поставить галочку на пункте «Копировать к ключевой контейнер компьютера», тогда после копирования контейнер будет доступен всем пользователям данного компьютера.

4. После копирования нажмите внизу слева кнопку «Обновить».
Если хотите работать со скопированными контейнерами — необходимо установить сертификаты.

3 Comments

1. держу на ESXi 5.5 Windows 2012 R2
   стоит крипто про 3.9
   почему то после закрытия сбиса иногда процесс остается висеть в памяти, не сталкивались с такой проблемой?
   при этом можно запустить еще раз сбис и он откроется нормально, никакие файлы не будут заблокированы предыдущей версией.
   не могу понять в чем дело, отъедает память сильно если несколько копий останутся запущенные весеть..

День первый

На Windows 7 x64 были совместно установлены Virtual Box (версии 4 и 5) с расширением Extension Pack и CryptoPro CSP (КриптоПро CSP 3.6 R4 для Windows).

При запуске виртуальной машины через Virtual Box система падала в синий экран. Причина в невозможности совместной работы КриптоПро CSP и Virtual Box.

Чтобы не было синего экрана при запуске виртуальной машины VirtualBox удалил КриптоПро CSP и перезагрузил компьютер. Решение временное, не сумел разобраться как подружить два продукта, а VirtualBox был нужнее, чем КриптоПро.

Помогло выйти на связь VirtualBox + КриптоПро == BSOD сообщение на форуме:
На форуме Крипто Про также есть обсуждение:
Отчёты из программы blueScreenView :

A problem has been detected and Windows has been shut down to prevent damage
to your computer.
The problem seems to be caused by the following file: ntoskrnl.exe
SYSTEM_SERVICE_EXCEPTION
Technical Information:
*** STOP: 0x0000003b (0x00000000c0000005, 0xfffff800032735af, 0xfffff8800412eb90,
0x0000000000000000)
*** ntoskrnl.exe – Address 0xfffff80003292c40 base at 0xfffff8000321f000 DateStamp
0x5625815c
Вывод – Virtual Box (версии 4 и 5) и CryptoPro CSP (КриптоПро CSP 3.6 R4 для Windows) пока несовместимы на Windows 7 x64 SP1.

================

День второй

Подключил к первому монитору второй монитор, используя USB 3.0 VGA Adapter. Модель устройства – Fresco Logic FL200 USB Display Adapter. Если подключить адаптер до включения виртуальной машины, то порядок. А если подключать адаптер во время работы виртуальной машины Virtual Box, то будет снова синий экран.

A problem has been detected and Windows has been shut down to prevent damage
to your computer.
The problem seems to be caused by the following file: ntoskrnl.exe
IRQL_NOT_LESS_OR_EQUAL
Technical Information:
*** STOP: 0x0000000a (0x0000000000000088, 0x0000000000000002, 0x0000000000000001,
0xfffff800032579e6)
*** ntoskrnl.exe – Address 0xfffff80003276c00 base at 0xfffff80003203000 DateStamp
0x5684191c

Из того, что видно перед ошибкой – диспетчер устройств (HAL) сообщает, что подключено новое USB 2.0 устройство, а затем система падает. Диспетчер устройств не прав, так как подключается USB 3.0 устройство в USB 3.0 порт.

Возможно, просто совпадение, два BSOD-а подряд. И причина BSOD в реализации драйверов для Fresco Logic FL200 USB Display Adapter.

Но есть предположение, что причина ошибок в реализации поддержки USB 2.0 / USB 3.0 в VirtualBox. А особые возможности поддержки USB появляются при установке Oracle VM VirtualBox Extension Pack.

Удалить VirtualBox не хотелось бы, иногда бывает нужен. А удалить Extension Pack могу запросто. Надеюсь, что после удаления VirtualBox Extension Pack синих экранов больше не будет. И можно будет повторно установить КриптоПро CSP 3.6 R4 для Windows и пользоваться двумя мониторами.

Добрый день!. Последние два дня у меня была интересная задача по поиску решения на вот такую ситуацию, есть физический или виртуальный сервер, на нем установлена наверняка многим известная КриптоПРО. На сервер подключен , который используется для подписи документов для ВТБ24 ДБО
. Локально на Windows 10 все работает, а вот на серверной платформе Windows Server 2016 и 2012 R2, Криптопро не видит ключ JaCarta
. Давайте разбираться в чем проблема и как ее поправить.

Описание окружения

Есть виртуальная машина на Vmware ESXi 6.5, в качестве операционной системы установлена Windows Server 2012 R2 . На сервере стоит КриптоПРО 4.0.9944, последней версии на текущий момент. С сетевого USB хаба, по технологии USB over ip , подключен ключ JaCarta. Ключ в системе видится
, а вот в КриптоПРО нет.

Копирование с помощью КриптоПро CSP

Выберите «Пуск» > «Панель управления» > «КриптоПро CSP». Перейдите на вкладку «Сервис» и кликните по кнопке «Скопировать».

В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».

Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее». Если вы копируете с рутокена, то появится окно ввода, в котором следует указать pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.

Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните «Готово».

В окне «Вставьте чистый ключевой носитель» выберите носитель, на который будет помещен новый контейнер.

На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать или подобрать. Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».

Не храните пароль/pin-код в местах, к которым имеют доступ посторонние. В случае утери пароля/pin-кода использование контейнера станет невозможным.

Если вы копируете контейнер на смарт-карту ruToken, сообщение будет звучать иначе. В окне ввода укажите pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.

После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать для работы в Экстерне новый ключевой контейнер,  установите его через Крипто Про.

Как решить проблему, что криптопро не видит USB ключ?

Создали новую виртуальную машину и стали ставить софт все последовательно.

Перед установкой любого программного обеспечения работающего с USB носителями на которых находятся сертификаты и закрытые ключи. Нужно ОБЯЗАТЕЛЬНО
отключить токен, если воткнут локально, то отключаем его, если по сети, разрываем сессию

• Первым делом обновляем вашу операционную систему , всеми доступными обновлениями, так как Microsoft исправляет много ошибок и багов, в том числе и драйверами.
• Вторым пунктом является, в случае с физическим сервером, установить все свежие драйвера на материнскую плату и все периферийное оборудование.
• Далее устанавливаете Единый Клиент JaCarta.
• Устанавливаете свежую версию КриптоПРО

Копирование средствами Windows

Если для работы используется дискета или flash-накопитель, скопировать контейнер с сертификатом можно средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и, если есть, файл сертификата — открытый ключ) поместите в корень дискеты / flash-накопителя (если поместить не в корень, то работа с сертификатом будет невозможна). Название папки при копировании рекомендуется не изменять.

В папке с закрытым ключом должно быть 6 файлов с расширением.key. Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копировать открытый ключ необязательно. Пример закрытого ключа — папки с шестью файлами и открытого ключа — файла с расширением.cer.

Закрытый ключ                                                       Открытый ключ

Установка единого клиента JaCarta PKI

Единый Клиент JaCarta
– это специальная утилита от компании “Аладдин”, для правильной работы с токенами JaCarta. Загрузить последнюю версию, данного программного продукта, вы можете с официального сайта, или у меня с облака, если вдруг, не получиться с сайта производителя.

Далее полученный архив вы распаковываете и запускаете установочный файл, под свою архитектуру Windows , у меня это 64-х битная. Приступаем к установке Jacarta драйвера. Единый клиент Jacarta, ставится очень просто (НАПОМИНАЮ ваш токен в момент инсталляции, должен быть отключен). На первом окне мастера установки, просто нажимаем далее.

Принимаем лицензионное соглашение и нажимаем “Далее”

Чтобы драйвера токенов JaCarta у вас работали корректно, достаточно выполнить стандартную установку.

Если выберете “Выборочную установку”, то обязательно установите галки:

• Драйверы JaCarta
• Модули поддержки
• Модуль поддержки для КриптоПРО

Через пару секунд, Единый клиент Jacarta, успешно установлен.

Обязательно произведите перезагрузку сервера или компьютера, чтобы система увидела свежие драйвера.

После установки JaCarta PKI, нужно установить КриптоПРО, для этого заходите на официальный сайт.

https://www.cryptopro.ru/downloads

На текущий момент самая последняя версия КриптоПро CSP 4.0.9944. Запускаем установщик, оставляем галку “Установить корневые сертификаты” и нажимаем “Установить (Рекомендуется)”

Инсталляция КриптоПРО будет выполнена в фоновом режиме, после которой вы увидите предложение, о перезагрузке браузера, но я вам советую полностью перезагрузиться.

После перезагрузки подключайте ваш USB токен JaCarta. У меня подключение идет по сети, с устройства DIGI, через . В клиенте Anywhere View, мой USB носитель Jacarta, успешно определен, но как Microsoft Usbccid (WUDF), а в идеале должен определиться как JaCarta Usbccid Smartcard, но нужно в любом случае проверить, так как все может работать и так.

Открыв утилиту “Единый клиент Jacarta PKI”, подключенного токена обнаружено не было, значит, что-то с драйверами.

Microsoft Usbccid (WUDF) – это стандартный драйвер Microsoft, который по умолчанию устанавливается на различные токены, и бывает, что все работает, но не всегда. Операционная система Windows по умолчанию, ставит их в виду своей архитектуры и настройки, мне вот лично в данный момент такое не нужно. Что делаем, нам нужно удалить драйвера Microsoft Usbccid (WUDF) и установить драйвера для носителя Jacarta.

Откройте диспетчер устройств Windows, найдите пункт “Считыватели устройств смарт-карт (Smart card readers)” щелкните по Microsoft Usbccid (WUDF) и выберите пункт “Свойства”. Перейдите на вкладку “Драйвера” и нажмите удалить (Uninstall)

Согласитесь с удалением драйвера Microsoft Usbccid (WUDF).

Вас уведомят, что для вступления изменений в силу, необходима перезагрузка системы, обязательно соглашаемся.

После перезагрузки системы, вы можете увидеть установку устройства и драйверов ARDS Jacarta.

Откройте диспетчер устройств, вы должны увидеть, что теперь ваше устройство определено, как JaCarta Usbccid Smartcar и если зайти в его свойства, то вы увидите, что смарт карта jacarta, теперь использует драйвер версии 6.1.7601 от ALADDIN R.D.ZAO, так и должно быть.

Если открыть единый клиент Jacarta, то вы увидите свою электронную подпись, это означает, что смарт карта нормально определилась.

Открываем CryptoPRO, и видим, что криптопро не видит сертификат в контейнере, хотя все драйвера определились как нужно. Есть еще одна фишка.

1. В RDP сессии вы не увидите свой токен, только локально, уж такая работа токена, либо я не нашел как это поправить. Вы можете попробовать выполнить рекомендации по устранению ошибки “Не возможно подключиться к службе управления смарт-картами”.
2. Нужно снять одну галку в CryptoPRO

ОБЯЗАТЕЛЬНО снимите галку “Не использовать устаревшие cipher suite-ы” и перезагрузитесь
.

После этих манипуляций у меня КриптоПРО увидел сертификат и смарт карта jacarta стала рабочей, можно подписывать документы.

Еще можете в устройствах и принтерах, увидеть ваше устройство JaCarta,

Если у вас как и у меня, токен jacarta установлен в виртуальной машине, то вам придется устанавливать сертификат, через console виртуальной машины, и так же дать на нее права ответственному человеку. Если это физический сервер, то там придется давать права на порт управления , в котором так же есть виртуальная консоль.

Когда вы установили все драйвера для токенов Jacarta, вы можете увидеть при подключении по RDP и открытии утилиты “Единый клиент Jacarta PKI” вот такое сообщение с ошибкой:

1. Не запущена служба смарт-карт на локальной машине. Архитектурой RDP-сессии, разработанной Microsoft, не предусмотрено использование ключевых носителей, подключенных к удалённому компьютеру, поэтому в RDP-сессии удалённый компьютер использует службу смарт-карт локального компьютера. Из этого следует что, запуска службы смарт-карт внутри RDP-сессии недостаточно для нормальной работы.
2. Служба управления смарт-картами на локальном компьютере запущена, но недоступна для программы внутри RDP-сессии из-за настроек Windows и/или RDP-клиента.\

Как исправить ошибку “Не возможно подключиться к службе управления смарт-картами”.

• Запустите службу смарт-карт на локальной машине, с которой вы инициируете сеанс удалённого доступа. Настройте её автоматический запуск при старте компьютера.
• Разрешите использование локальных устройств и ресурсов во время удалённого сеанса (в частности, смарт-карт). Для этого, в диалоге “Подключение к удалённому рабочему столу” в параметрах выберите вкладку “Локальные ресурсы”, далее в группе “Локальные устройства и ресурсы” нажмите кнопку “Подробнее…”, а в открывшемся диалоге выберите пункт “Смарт-карты” и нажмите “ОК”, затем “Подключить”.

• Убедитесь в сохранности настроек RDP-подключения. По умолчанию они сохраняются в файле Default.rdp в каталоге “Мои Документы” Проследите, чтобы в данном файле присутствовала строчка “redirectsmartcards:i:1”.
• Убедитесь в том, что на удалённом компьютере, к которому вы осуществляете RDP-подключение, не активирована групповая политика
  -[Конфигурация компьютера\административные шаблоны\компоненты windows\службы удалённых рабочих столов\узел сеансов удалённых рабочих столов\перенаправление устройств и ресурсов\Не разрешать перенаправление устройства чтения смарт-карт]. Если она включена (Enabled), то отключите её, и перегрузите компьютер.
• Если у вас установлена Windows 7 SP1 или Windows 2008 R2 SP1 и вы используете RDC 8.1 для соединения с компьютерами под управлением Windows 8 и выше, то вам необходимо установить обновление для операционной системы https://support.microsoft.com/en-us/kb/2913751

Вот такой вот был траблшутинг по настройке токена Jacarta, КриптоПРО на терминальном сервере, для подписи документов в ВТБ24 ДБО. Если есть замечания или поправки, то пишите их в комментариях.

Установка личного сертификата с дискеты

Чтобы установить личный сертификат с дискеты, выполните следующие действия:

Подготовка к установке сертификата

Вставьте дискету с сертификатом в дисковод.

Вход в мастер установки личного сертификата

Откройте программу КриптоПро (Пуск → Настройка → Панель управления → КриптоПро CSP или Пуск → Панель управления → Крипто Про CSP)

Перейдите во вкладку «Сервис» и нажмите на кнопку «Установить личный сертификат»

Выбор сертификата

В окне «Мастер установки личного сертификата», нажмите кнопку «Далее»

В следующем окне укажите путь к личному сертификату. Для этого, нажмите кнопку «Обзор». Затем выберите файл сертификата (например 00000000_Название фирмы.cer) с дискеты и нажмите кнопку «Открыть»

После токго, как в поле «Имя файла сертификата» появится путь доступа к сертификату, нажмите кнопку «Далее» для продолжения установки

В следующем окне отобразится информация по устанавливаемому сертификату. Проверьте выведенную информацию и нажмите кнопку «Далее»

Выбор контейнера

В окне «Контейнер закрытого ключа» нажмите кнопку «Обзор» и укажите контейнер соответствующий личному сертификату

После того, как имя контейнера появится в поле «Имя ключевого контейнера», нажмите кнопку «Далее»

Выбор хранилища

Для установки сертификата в хранилище нажмите кнопку «Обзор» и выберите хранилище «Личное» («Личные»), затем нажмите кнопку «ОК»

После появления названия хранилища в поле «Имя хранилища сертификатов», нажмите кнопку «Далее»

Завершение установки личного сертификата

Для подтверждения установки сертификата нажмите кнопку «Готово»

Если появится сообщение «Этот сертификат уже присутствует в хранилище сертификатов», нажмите кнопку «Да»

Установка личного сертификата завершена

Алгоритм решения проблем с JaCarta

КриптоПРО очень часто вызывает различные ошибки в Windows, простой пример (Windows installer service could not be accessed). Вот так вот выглядит ситуация, когда утилита КриптоПРО не видит сертификат в контейнере.

Как видно в утилите UTN Manager ключ подключен, он видится в системе в смарт картах в виде Microsoft Usbccid (WUDF) устройства, но вот CryptoPRO, этот контейнер не определяет и у вас нет возможности установить сертификат. Локально токен подключали, все было то же самое. Стали думать что сделать.