Решено – Рутокен не читается | Форум ИТ специалистов

Решено - Рутокен не читается | Форум ИТ специалистов Электронная цифровая подпись

Что такое не установлены драйвера или не запущена служба smart card

Возможно, эта информация будет интересна

При открытии Панели управления Рутокен на вкладке Администрирование отображается ошибка: «Системная служба «Смарт-карты» не отвечает на запросы. Операции с по этой причине невозможны. Проверьте состояние и настройки службы».

Существуют разные причины возникновения этой ошибки, в зависимости от схемы работы:

1. Убедитесь, что служба Смарт-карта на компьютере, с которого осуществляется подключение (на клиенте), запущена от имени NT AUTHORITYLocalService (Пуск — Панель управления — Администрирование — Службы).

2. Попробуйте запустить или перезапустить службу.

3. Если служба не работает (не запускается или не перезапускается), то может понадобиться ее переустановка (это могут сделать только системным администраторы).

1) Win7, Vista, Win8/8.1, Win10

•Запустите файл (smart-card-7) из вложения

•Переустановите службу смарт-карт согласно инструкции из вложения (Smart-Card-XP)

4. Возможно, какое-либо ПО может блокировать службу Смарт-карта. Совместно с системным администратором произведите поиск ПО, которое может вызывать проблемы.

Если Рутокен вставлен в компьютер (в сервер), а к нему пытаются обратиться удаленно, такая схема работать не будет.

Протокол RDP (Remote Desktop Protocol) не позволяет удаленно работать со смарт-картами, так как это противоречит безопасности.

Рекомендуем подключать Рутокен в компьютер, с которого будет осуществляться удаленное подключение (в клиент).

Certutil

Полное описание Certutil, включая примеры, которые показывают, как его использовать, см. в примере Certutil [W2022].

Включить трассировка

С помощью WPP используйте одну из следующих команд, чтобы включить отслеживание:

tracelog.exe -kd-rt-start-guid #-f ..etl-flags-ft 1

Начало журнала-ets-p <</strong>> —-ft 1 -rt -o .**.etl-mode 0x00080000 **

Читайте также:  Плагин не установлен: Личный кабинет налоговой что делать

Параметры можно использовать в следующей таблице.

Понятное имяКод GUIDФлажки
scardsvr13038e47-ffec-425d-bc69-5707708075fe0xffff
winscard3fce7c5f-fb3b-4bce-a9d8-55cc0ce1cf010xffff
basecsp133a980d-035d-4e2d-b250-94577ad8fced0x7
scksp133a980d-035d-4e2d-b250-94577ad8fced0x7
msclmdfb36caf4-582b-4604-8841-9263574c4f2c0x7
credprovdba0e0e0-505a-4ab6-aa3f-22f6f743b4800xffff
certprop30eae751-411f-414c-988b-a8bfa8913f490xffff
scfiltereed7f3c9-62ba-400e-a001-658869df9a910xffff
wudfusbccida3c09ba3-2f62-4be5-a50f-8278a646ac9d0xffff

Чтобы включить трассировку для службы SCardSvr:

tracelog.exe -kd-rt-start scardsvr -guid #13038e47-ffec-425d-bc69-5707708075fe-f .scardsvr.etl-flags 0xffff -ft 1

logman start scardsvr -ets-p <13038e47-ffec-425d-bc69-5707708075fe>0xffff -ft 1 -rt -o .scardsvr.etl-mode 0x00080000

Чтобы включить трассировку для scfilter.sys:

  • tracelog.exe-kd-rt-start scfilter-guid #eed7f3c9-62ba-400e-a001-658869df9a91 -f .scfilter.etl-flags 0xffff-ft 1

Диагностика cryptoapi 2.0

Диагностика CryptoAPI 2.0 доступна в Windows версиях, которые поддерживают CryptoAPI 2.0 и могут помочь устранить проблемы с инфраструктурой ключей общего ключевых (PKI).

CryptoAPI 2.0 Диагностика регистрит события в журнале Windows событий. Журналы содержат подробные сведения о проверке цепочки сертификатов, операциях хранения сертификатов и проверке подписи. Эта информация упрощает определение причин проблем и сокращает время, необходимое для диагностики.

Дополнительные сведения о диагностике CryptoAPI 2.0 см. в Enterprise PKI.

Источник

Настройка отслеживания с помощью реестра

Вы также можете настроить трассировку, редактировать значения реестра Kerberos, показанные в следующей таблице.

ЭлементПараметр ключа реестра
Протокол NTLMHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaMSV1_0
Имя значения: NtLmInfoLevel
Тип значения: DWORD
Данные значения: c0015003
KerberosHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaKerberos
Имя значения: LogToFile
Тип значения: DWORD
Данные значения: 00000001

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaKerberosParameters
Имя значения: KerbDebugLevel
Тип значения: DWORD
Данные значения: c0000043

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaKerberosParameters
Имя значения: LogToFile
Тип значения: DWORD
Данные значения: 00000001

KDCHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesKdc
Имя значения: KdcDebugLevel
Тип значения: DWORD
Данные значения: c0000803

Если вы использовали, посмотрите следующий файл журнала в текущем Tracelog каталоге: kerb.etl/kdc.etl/ntlm.etl.

Если вы использовали параметры ключей реестра, показанные в предыдущей таблице, посмотрите на файлы журнала трассировки в следующих расположениях:

Для расшифровки файлов трассировки событий можно использовать Tracefmt (tracefmt.exe). Tracefmt — это средство командной строки, которое форматы и отображение сообщений трассировки из файла журнала трассировки событий (.etl) или сеанса трассировки в режиме реального времени.

Остановка трассировки

С помощью WPP используйте одну из следующих команд, чтобы остановить трассировку:

Читайте также:  ЭЦП для физических лиц в Москве

tracelog.exe -stop

logman -stop-ets

Отладка и отслеживание с помощью wpp

WPP упрощает отслеживание работы поставщика трассировки. Он предоставляет поставщику трассировки механизм для входа двоичных сообщений в режиме реального времени. Зарегистрированные сообщения можно преобразовать в понятный для человека след операции.

Примеры:

Чтобы остановить след:

tracelog.exe -stop scardsvr

logman -stop scardsvr -ets

Проверка подлинности kerberos

Чтобы включить трассировку для проверки подлинности Kerberos, запустите эту команду:

  • tracelog.exe-kd-rt-start kerb-guid #6B510852-3583-4e2d-AFFE-A67F9F223438 -f .kerb.etl-flags 0x43-ft 1

Чтобы остановить отслеживание проверки подлинности Kerberos, запустите эту команду:

Чтобы включить трассировку для KDC, запустите следующую команду в командной строке:

  • tracelog.exe-kd-rt-start kdc-guid #1BBA8B19-7F31-43c0-9643-6E911F79A06B -f .kdc.etl-flags 0x803-ft 1

Чтобы остановить отслеживание для KDC, запустите следующую команду в командной строке:

Чтобы остановить отслеживание с удаленного компьютера, запустите эту команду: logman.exe -s * *.

Расположение по умолчанию для logman.exe % systemroot%system32. Используйте параметр -s для поставки имени компьютера.

Протокол kerberos, kdc и отладка и отслеживание ntlm

Эти ресурсы можно использовать для устранения неполадок этих протоколов и KDC:

Windows (WDK)и средства отладки для Windows (WinDbg) . Вы можете использовать средство журнала трассировки в этом SDK для отладки сбоев проверки подлинности Kerberos.

Чтобы начать трассировку, можно использовать Tracelog . Различные компоненты используют различные GUID-интерфейсы управления, как это объясняется в этих примерах. Дополнительные сведения Tracelog см. в .

Протокол ntlm

Чтобы включить трассировку для проверки подлинности NTLM, запустите следующую команду в командной строке:

  • tracelog.exe -kd-rt-start ntlm -guid #5BBB6C18-AA45-49b1-A15F-085F7ED0AA90 -f .ntlm.etl-flags 0x15003-ft 1

Чтобы остановить отслеживание для проверки подлинности NTLM, запустите эту команду:

Сертификаты списка, доступные на смарт-карте

Чтобы перечислить сертификаты, доступные на смарт-карте, введите certutil -scinfo .

Ввод ПИН-кода не требуется для этой операции. Вы можете нажать ESC, если вам будет предложен ПИН-код.

Служба смарт-карт

Служба диспетчера ресурсов смарт-карт работает в контексте локальной службы. Он реализуется в качестве общей службы процесса хост-службы (svchost).

Читайте также:  Перенос СБиС на другой компьютер (с установкой СКЗИ КриптоПро)

Чтобы проверить, запущена ли служба Смарт-карты

Нажмите кнопку CTRL ALT DEL, а затем выберите start Task Manager.

В диалоговом окне Windows Диспетчер задач выберите вкладку Services.

Выберите столбец Name для сортировки списка в алфавитном порядке, а затем введите s.

В столбце Имя посмотрите на SCardSvr, а затем посмотрите в столбце Состояние, чтобы узнать, запущена или остановлена служба.

Перезапуск службы смарт-карт

Запустите в качестве администратора в командной подсказке.

Если появится диалоговое окно «Управление учетной записью пользователя», подтвердите, что отображаемая в нем акция является нужным, а затем выберите Да.

В командной подсказке введите net stop SCardSvr .

В командной подсказке введите net start SCardSvr .

Вы можете использовать следующую команду в командной подсказке, чтобы проверить, запущена ли служба: sc queryex scardsvr .

В следующем примере кода приводится пример вывода из этой команды:

Считыватели смарт-карт

Как и любое устройство, подключенное к компьютеру, диспетчер устройств можно использовать для просмотра свойств и начала процесса отлаговки.

Чтобы проверить, работает ли считыватель смарт-карт

Перейдите к компьютеру.

Щелкните правой кнопкой мыши Компьютер, а затем выберите Свойства.

В статье Задачивыберите диспетчер устройств.

В диспетчере устройств раздайте считывателисмарт-карт, выберите имя считывателей смарт-карт, которые необходимо проверить, а затем выберите Свойства.

Если считыватель смарт-карт не указан в диспетчере устройств, в меню Action выберите scan для изменения оборудования.

Удаление сертификатов на смарт-карте

Каждый сертификат заключен в контейнер. При удалении сертификата на смарт-карте удаляется контейнер для сертификата.

Чтобы найти значение контейнера, введите certutil -scinfo .

Чтобы удалить контейнер, введите certutil-delkey-csp «Microsoft Base Smart Card Crypto Provider»

Устранение неполадок смарт-карт

Применяется к: Windows 10, Windows 11, Windows Server 2022 и выше

В этой статье рассказывается о средствах и службах, которые разработчики смарт-карт могут использовать для выявления проблем с сертификатами при развертывании смарт-карт.

Отладка и отслеживание проблем смарт-карт требуют различных средств и подходов. В следующих разделах указаны инструменты и подходы, которые можно использовать.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector