не установлены драйвера или не запущена служба Smart Card Ibank2 Windows 10

Установка криптопро

После установки JaCarta PKI, нужно установить КриптоПРО, для этого заходите на официальный сайт.

На текущий момент самая последняя версия КриптоПро CSP 4.0.9944. Запускаем установщик, оставляем галку «Установить корневые сертификаты» и нажимаем «Установить (Рекомендуется)»

Инсталляция КриптоПРО будет выполнена в фоновом режиме, после которой вы увидите предложение, о перезагрузке браузера, но я вам советую полностью перезагрузиться.

После перезагрузки подключайте ваш USB токен JaCarta. У меня подключение идет по сети, с устройства DIGI, через клиента Anywhere View. В клиенте Anywhere View, мой USB носитель Jacarta, успешно определен, но как Microsoft Usbccid (WUDF), а в идеале должен определиться как JaCarta Usbccid Smartcard, но нужно в любом случае проверить, так как все может работать и так.

Открыв утилиту «Единый клиент Jacarta PKI», подключенного токена обнаружено не было, значит, что-то с драйверами.

Microsoft Usbccid (WUDF) – это стандартный драйвер Microsoft, который по умолчанию устанавливается на различные токены, и бывает, что все работает, но не всегда. Операционная система Windows по умолчанию, ставит их в виду своей архитектуры и настройки, мне вот лично в данный момент такое не нужно. Что делаем, нам нужно удалить драйвера Microsoft Usbccid (WUDF) и установить драйвера для носителя Jacarta.

Откройте диспетчер устройств Windows, найдите пункт «Считыватели устройств смарт-карт (Smart card readers)» щелкните по Microsoft Usbccid (WUDF) и выберите пункт «Свойства». Перейдите на вкладку «Драйвера» и нажмите удалить (Uninstall)

Согласитесь с удалением драйвера Microsoft Usbccid (WUDF).

Вас уведомят, что для вступления изменений в силу, необходима перезагрузка системы, обязательно соглашаемся.

После перезагрузки системы, вы можете увидеть установку устройства и драйверов ARDS Jacarta.

Откройте диспетчер устройств, вы должны увидеть, что теперь ваше устройство определено, как JaCarta Usbccid Smartcar и если зайти в его свойства, то вы увидите, что смарт карта jacarta, теперь использует драйвер версии 6.1.7601 от ALADDIN R.D.ZAO, так и должно быть.

Если открыть единый клиент Jacarta, то вы увидите свою электронную подпись, это означает, что смарт карта нормально определилась.

Открываем CryptoPRO, и видим, что криптопро не видит сертификат в контейнере, хотя все драйвера определились как нужно. Есть еще одна фишка.

ОБЯЗАТЕЛЬНО снимите галку «Не использовать устаревшие cipher suite-ы» и перезагрузитесь.

После этих манипуляций у меня КриптоПРО увидел сертификат и смарт карта jacarta стала рабочей, можно подписывать документы.

Еще можете в устройствах и принтерах, увидеть ваше устройство JaCarta,

Если у вас как и у меня, токен jacarta установлен в виртуальной машине, то вам придется устанавливать сертификат, через console виртуальной машины, и так же дать на нее права ответственному человеку. Если это физический сервер, то там придется давать права на порт управления, в котором так же есть виртуальная консоль.

Вопрос

1) Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID <6b3b8d23-fa8d-40b9-8dbd-b950333e2c52>и APPID <4839ddb7-58c2-48f5-8283-e1d1807d0d7d>пользователю NT AUTHORITYLOCAL SERVICE с ИД безопасности (S-1-5-19)

2) Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID и APPID <316cded5-e4ae-4b15-9113-7055d84dcc97>пользователю NT AUTHORITYLOCAL SERVICE с ИД безопасности (S-1-5-19)

и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.

3) Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID <6b3b8d23-fa8d-40b9-8dbd-b950333e2c52>и APPID <4839ddb7-58c2-48f5-8283-e1d1807d0d7d>пользователю NT AUTHORITYLOCAL SERVICE с ИД безопасности (S-1-5-19)

4) Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID и APPID <316cded5-e4ae-4b15-9113-7055d84dcc97>пользователю NT AUTHORITYLOCAL SERVICE с ИД безопасности (S-1-5-19)

и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.

Что делал для решения проблемы:

1) Обновил Windows до последней сборки

2) Пробовал решения по аналогичным событиям- 10016. Решения связанные с разрешениями на разделы в реесте и разрешениями DCOM

Проблема очень актуальна, т.к. из-за этой службы не работает ПО «Алладин Единый клиент Jacarta» необходимое для клиент-банк.

Источник

Не установлены драйвера или не запущена служба smart card что делать

При запуске Панели управления Рутокен на вкладке Администрирование отображается сообщение: «Нет доступа к системной службе «Смарт-карты». Дальнейшая работа невозможна. Если вы подключены через службу Удаленных рабочих столов (RDP), смотрите подробности здесь«

Существует две причины отображения этого сообщения:

1. Подключение производится через «Удаленный рабочий стол» (RDP). Рутокен вставлен в компьютер, к которому подключаются удаленно.

Эта схема является неправильной. С подробным описанием можно ознакомиться в этой статье.

2. Проблема со службой «Смарт-карта».

При локальном подключении (или при правильном подключении по RDP) эта ошибка указывает на проблемы со службой «Смарт-карта».

Для решения воспользуйтесь следующим алгоритмом:

1. Убедитесь, что у веток реестра (Пуск — Выполнить — regedit)

есть полный доступ у двух пользователей: Local Service и текущий пользователь (под которым осуществлен вход): щелкните правой кнопкой мыши по необходимой ветке, выберите пункт Разрешения, выберите нужного пользователя(*) и установите внизу галочку Полный доступ.

(*) Если нужного пользователя в выборе нет — нужно его добавить:

Нажмите Добавить.

В поле Введите имена выбираемых объектов введите LO.

Нажмите Проверить имена.

Выберите Local Service.

2. Убедитесь, что Служба «Смарт-карта» запущена от имени NT AUTHORITYLocalService (Пуск — Панель управления — Администрирование — Службы).

Попробуйте Запустить/Перезапустить службу.

3. Если служба не работает/не запускается/не перезапускается — может понадобиться ее переустановка (Только системным администраторам!).

1) Win7, Vista, Win8/8.1, Win10

•Запустите файл (smart-card-7) из вложения.

•Переустановите службу смарт-карт согласно инструкции из вложения (Smart-Card-XP).

4. Возможно какое-либо ПО может блокировать службу «Смарт-карта». Совместно с системным администратором произведите поиск ПО, которое может вызывать проблемы со службой «Смарт-карта».

5. Иногда ошибка может быть в самой ОС. Порой приходится переустанавливать сервис пак, или саму ОС .

Источник

Включить трассировка

С помощью WPP используйте одну из следующих команд, чтобы включить отслеживание:

tracelog.exe -kd-rt-start-guid #-f ..etl-flags-ft 1

Начало журнала-ets-p <</strong>> —-ft 1 -rt -o .**.etl-mode 0x00080000 **

Параметры можно использовать в следующей таблице.

Чтобы включить трассировку для службы SCardSvr:

tracelog.exe -kd-rt-start scardsvr -guid #13038e47-ffec-425d-bc69-5707708075fe-f .scardsvr.etl-flags 0xffff -ft 1

logman start scardsvr -ets-p <13038e47-ffec-425d-bc69-5707708075fe>0xffff -ft 1 -rt -o .scardsvr.etl-mode 0x00080000

Чтобы включить трассировку для scfilter.sys:

• tracelog.exe-kd-rt-start scfilter-guid #eed7f3c9-62ba-400e-a001-658869df9a91 -f .scfilter.etl-flags 0xffff-ft 1

Настройка отслеживания с помощью реестра

Вы также можете настроить трассировку, редактировать значения реестра Kerberos, показанные в следующей таблице.

Если вы использовали, посмотрите следующий файл журнала в текущем Tracelog каталоге: kerb.etl/kdc.etl/ntlm.etl.

Если вы использовали параметры ключей реестра, показанные в предыдущей таблице, посмотрите на файлы журнала трассировки в следующих расположениях:

Для расшифровки файлов трассировки событий можно использовать Tracefmt (tracefmt.exe). Tracefmt — это средство командной строки, которое форматы и отображение сообщений трассировки из файла журнала трассировки событий (.etl) или сеанса трассировки в режиме реального времени.

Служба смарт-карт

Служба диспетчера ресурсов смарт-карт работает в контексте локальной службы. Он реализуется в качестве общей службы процесса хост-службы (svchost).

Чтобы проверить, запущена ли служба Смарт-карты

Нажмите кнопку CTRL ALT DEL, а затем выберите start Task Manager.

В диалоговом окне Windows Диспетчер задач выберите вкладку Services.

Выберите столбец Name для сортировки списка в алфавитном порядке, а затем введите s.

В столбце Имя посмотрите на SCardSvr, а затем посмотрите в столбце Состояние, чтобы узнать, запущена или остановлена служба.

Перезапуск службы смарт-карт

Запустите в качестве администратора в командной подсказке.

Если появится диалоговое окно «Управление учетной записью пользователя», подтвердите, что отображаемая в нем акция является нужным, а затем выберите Да.

В командной подсказке введите net stop SCardSvr .

В командной подсказке введите net start SCardSvr .

Вы можете использовать следующую команду в командной подсказке, чтобы проверить, запущена ли служба: sc queryex scardsvr .

В следующем примере кода приводится пример вывода из этой команды:

Установка единого клиента jacarta pki

Единый Клиент JaCarta – это специальная утилита от компании «Аладдин», для правильной работы с токенами JaCarta. Загрузить последнюю версию, данного программного продукта, вы можете с официального сайта, или у меня с облака, если вдруг, не получиться с сайта производителя.

Далее полученный архив вы распаковываете и запускаете установочный файл, под свою архитектуру Windows, у меня это 64-х битная. Приступаем к установке Jacarta драйвера. Единый клиент Jacarta, ставится очень просто (НАПОМИНАЮ ваш токен в момент инсталляции, должен быть отключен). На первом окне мастера установки, просто нажимаем далее.

Принимаем лицензионное соглашение и нажимаем «Далее»

Чтобы драйвера токенов JaCarta у вас работали корректно, достаточно выполнить стандартную установку.

Если выберете «Выборочную установку», то обязательно установите галки:

Далее нажимаем «Установить».

Через пару секунд, Единый клиент Jacarta, успешно установлен.

Обязательно произведите перезагрузку сервера или компьютера, чтобы система увидела свежие драйвера.

Проверка подлинности kerberos

Чтобы включить трассировку для проверки подлинности Kerberos, запустите эту команду:

• tracelog.exe-kd-rt-start kerb-guid #6B510852-3583-4e2d-AFFE-A67F9F223438 -f .kerb.etl-flags 0x43-ft 1

Чтобы остановить отслеживание проверки подлинности Kerberos, запустите эту команду:

Чтобы включить трассировку для KDC, запустите следующую команду в командной строке:

• tracelog.exe-kd-rt-start kdc-guid #1BBA8B19-7F31-43c0-9643-6E911F79A06B -f .kdc.etl-flags 0x803-ft 1

Чтобы остановить отслеживание для KDC, запустите следующую команду в командной строке:

Чтобы остановить отслеживание с удаленного компьютера, запустите эту команду: logman.exe -s * *.

Расположение по умолчанию для logman.exe % systemroot%system32. Используйте параметр -s для поставки имени компьютера.

Криптопро не видит ключ jacarta, решаем за минуту

Добрый день! Уважаемые читатели и подписчики IT блога Pyatilistnik.org. Последние два дня у меня была интересная задача по поиску решения на вот такую ситуацию, есть физический или виртуальный сервер, на нем установлена наверняка многим известная КриптоПРО. На сервер подключен

USB ключ JaCarta

, который используется для подписи документов для

ВТБ24 ДБО

. Локально на Windows 10 все работает, а вот на серверной платформе Windows Server 2022 и 2022 R2,

Криптопро не видит ключ JaCarta

. Давайте разбираться в чем проблема и как ее поправить.

Считыватели смарт-карт

Как и любое устройство, подключенное к компьютеру, диспетчер устройств можно использовать для просмотра свойств и начала процесса отлаговки.

Чтобы проверить, работает ли считыватель смарт-карт

Перейдите к компьютеру.

Щелкните правой кнопкой мыши Компьютер, а затем выберите Свойства.

В статье Задачивыберите диспетчер устройств.

В диспетчере устройств раздайте считывателисмарт-карт, выберите имя считывателей смарт-карт, которые необходимо проверить, а затем выберите Свойства.

Если считыватель смарт-карт не указан в диспетчере устройств, в меню Action выберите scan для изменения оборудования.

Ошибка: сертификат ненадежен/не удалось проверить статус отзыва

Ошибку можно заметить на вкладке «Сертификаты» непосредственно в панели управления Рутокен. Проблема возникает во время установки ЭЦП и связана с неполной настройкой. Речь про отсутствие специального корневого доверенного сертификата, который выдает удостоверяющий центр.

Первым шагом к устранению ошибки остается обновление комплекта драйверов. Если проблема не исчезла или последние у вас имеют актуальную версию, выполните действия по следующему алгоритму:

• выберите ваш сертификат в панели управления;
• нажмите кнопку «Свойства»;
• выберите вкладку «Путь сертификации».

Если в открывшемся дереве вы видите лишь ваш личный сертификат, то надо установить еще один, который был выдан в удостоверяющем центре, и сделать доверенным.

Диагностика cryptoapi 2.0

Диагностика CryptoAPI 2.0 доступна в Windows версиях, которые поддерживают CryptoAPI 2.0 и могут помочь устранить проблемы с инфраструктурой ключей общего ключевых (PKI).

CryptoAPI 2.0 Диагностика регистрит события в журнале Windows событий. Журналы содержат подробные сведения о проверке цепочки сертификатов, операциях хранения сертификатов и проверке подписи. Эта информация упрощает определение причин проблем и сокращает время, необходимое для диагностики.

Дополнительные сведения о диагностике CryptoAPI 2.0 см. в Enterprise PKI.

Источник

Настройка считывателя в криптопро

Откроется окно со списком установленных считывателей. Если в списке нет считывателя Все считыватели смарт-карт, нажмите кнопку «Добавить»

Если кнопка «Добавить» не активна, то нужно перейти на вкладку «Общие» и нажать на ссылку «Запустить с правами администратора».

Для продолжения установки считывателя нажмите кнопку «Далее»

В следующем окне выберите считыватель Все считыватели смарт-карт и нажмите кнопку «Далее»

Для продолжения установки нажмите кнопку «Далее»

Проблемы с jakarta. работа над ошибками, или какие у джакарта отзывы. только пользовательский опыт. стандартные коды ошибок

Описание проблемы. Для работы с ЕГАИС используется носитель JaCarta PKI/ГОСТ/SE. Часто один из разделов блокируется (раздел PKI). В этом случае дальнейшая работа с ЕГАИС невозможна.

Причина блокировки – частое обращение универсального транспортного модуля к носителю JaCarta. При десяти неудачных попытках авторизации, носитель блокирует раздел и исключает дальнейшую работу.

Решить проблему можно двумя способами:

1. Обратиться в удостоверяющий центр, который выдал носитель.
2. Самостоятельно разблокировать носитель JaCarta по инструкции.

Не возможно подключиться к службе управления смарт-картами

Когда вы установили все драйвера для токенов Jacarta, вы можете увидеть при подключении по RDP и открытии утилиты «Единый клиент Jacarta PKI» вот такое сообщение с ошибкой:

Как исправить ошибку «Не возможно подключиться к службе управления смарт-картами».

Вот такой вот был траблшутинг по настройке токена Jacarta, КриптоПРО на терминальном сервере, для подписи документов в ВТБ24 ДБО. Если есть замечания или поправки, то пишите их в комментариях.

Источник

Реестр

Если в качестве ключевого носителя используется считыватель Реестр, необходимо выполнить следующие шаги:

1. Убедиться, что в КриптоПро CSP настроен считыватель «Реестр». Для этого:

• Выбрать меню «Пуск» > «Панель управления» > «КриптоПро CSP»;
• Перейти на вкладку «Оборудование» и нажать на кнопку «Настроить считыватели».

Если считыватель отсутствует, его необходимо добавить (см. Как настроить считыватели в КриптоПро CSP ?).

2. В окне «Выбор ключевого контейнера» установить переключатель «Уникальные имена».

Алгоритм решения проблем с jacarta

КриптоПРО очень часто вызывает различные ошибки в Windows, простой пример (Windows installer service could not be accessed). Вот так вот выглядит ситуация, когда утилита КриптоПРО не видит сертификат в контейнере.

Как видно в утилите UTN Manager ключ подключен, он видится в системе в смарт картах в виде Microsoft Usbccid (WUDF) устройства, но вот CryptoPRO, этот контейнер не определяет и у вас нет возможности установить сертификат. Локально токен подключали, все было то же самое. Стали думать что сделать.

Протокол kerberos, kdc и отладка и отслеживание ntlm

Эти ресурсы можно использовать для устранения неполадок этих протоколов и KDC:

Windows (WDK)и средства отладки для Windows (WinDbg) . Вы можете использовать средство журнала трассировки в этом SDK для отладки сбоев проверки подлинности Kerberos.

Чтобы начать трассировку, можно использовать Tracelog . Различные компоненты используют различные GUID-интерфейсы управления, как это объясняется в этих примерах. Дополнительные сведения Tracelog см. в .

Подготовка

• Все описанные ниже действия необходимо выполнять под учетной записью администратора
• На время установки драйверов закройте все приложения
• Rutoken нельзя подключать во время установки драйверов

Для установки драйверов необходимо:

1. Сохраните на компьютер один файл с драйверами для носителя:
2. rtDrivers
3. Запустите установку драйвера rtDrivers
4. Перезагрузите компьютер

Устранение неполадок смарт-карт

Применяется к: Windows 10, Windows 11, Windows Server 2022 и выше

В этой статье рассказывается о средствах и службах, которые разработчики смарт-карт могут использовать для выявления проблем с сертификатами при развертывании смарт-карт.

Отладка и отслеживание проблем смарт-карт требуют различных средств и подходов. В следующих разделах указаны инструменты и подходы, которые можно использовать.

При установке желательно делать так:

Если когда-то были неправильно установлены предыдущие ключи и новый носитель не устанавливается, то нужно очистить реестр (Windows). Для этого в панели CSP есть кнопка «Удалить запомненные пароли».

Если в событиях приложений ошибок не было, а в системе евент-логи их показали, необходимо проверить файлы Sfc/scannow, а после перерегистрировать компоненты MSIExec/unregister, потом — MSIExec/regserver.

Протокол ntlm

Чтобы включить трассировку для проверки подлинности NTLM, запустите следующую команду в командной строке:

• tracelog.exe -kd-rt-start ntlm -guid #5BBB6C18-AA45-49b1-A15F-085F7ED0AA90 -f .ntlm.etl-flags 0x15003-ft 1

Чтобы остановить отслеживание для проверки подлинности NTLM, запустите эту команду:

Компьютер не видит сертификат эцп: первые шаги

Если компьютер не видит сертификат электронной подписи, то в операционной системе Windows нужно пройти по адресу:

Пуск — Панель управления — КриптоПРО CSP — Сервис — Протестировать — По сертификату. Так можно понять, установлен ли сертификат в Личное хранилище пользователя с привязкой к RuToken-у.

Отладка и отслеживание с помощью wpp

WPP упрощает отслеживание работы поставщика трассировки. Он предоставляет поставщику трассировки механизм для входа двоичных сообщений в режиме реального времени. Зарегистрированные сообщения можно преобразовать в понятный для человека след операции.

Описание окружения

Есть виртуальная машина на Vmware ESXi 6.5, в качестве операционной системы установлена Windows Server 2022 R2. На сервере стоит КриптоПРО 4.0.9944, последней версии на текущий момент. С сетевого USB хаба, по технологии USB over ip, подключен ключ JaCarta. Ключ в системе видится, а вот в КриптоПРО нет.

Удаление сертификатов на смарт-карте

Каждый сертификат заключен в контейнер. При удалении сертификата на смарт-карте удаляется контейнер для сертификата.

Чтобы найти значение контейнера, введите certutil -scinfo .

Чтобы удалить контейнер, введите certutil-delkey-csp «Microsoft Base Smart Card Crypto Provider»

Сертификаты списка, доступные на смарт-карте

Чтобы перечислить сертификаты, доступные на смарт-карте, введите certutil -scinfo .

Ввод ПИН-кода не требуется для этой операции. Вы можете нажать ESC, если вам будет предложен ПИН-код.

Остановка трассировки

С помощью WPP используйте одну из следующих команд, чтобы остановить трассировку:

tracelog.exe -stop

logman -stop-ets

Почему «криптопро» csp может не видеть ключей? следует проверить такие параметры:

• корректно ли установлена программа (запущена ли служба Windows Installer);
• есть доступ в сеть;
• выдан корректный ключ в сертифицированном центре.

Примеры:

Чтобы остановить след:

tracelog.exe -stop scardsvr

logman -stop scardsvr -ets

Certutil

Полное описание Certutil, включая примеры, которые показывают, как его использовать, см. в примере Certutil [W2022].

Как решить проблему, что криптопро не видит usb ключ?

Создали новую виртуальную машину и стали ставить софт все последовательно.