В криптопро нет сертификата

Иногда при работе с электронной цифровой подписью (ЭЦП) выходит ошибка о том, что ПК не видит сертификат подписи на носителе или о том, что при создании подписи была допущена ошибка. Причина может быть в неустановленном или переставшем работать драйвере, в неисправности токена или в неисправности программной части компьютера.

Возможные причины с определением контейнера

• Во первых, это проблема с драйверами, например, в Windows Server 2012 R2, JaCarta в идеале должна определяться в списке смарт карт как JaCarta Usbccid Smartcard, а не Microsoft Usbccid (WUDF)
• Во вторых если устройство видится как Microsoft Usbccid (WUDF), то версия драйверов может быть устаревшей, и из-за чего ваши утилиты будут не определять защищенный USB носитель.
• Устарелая версия CryptoPRO

Оставлено
:
16 августа 2021 г. 15:12:02(UTC)

Получил сертификат из налоговой. Загрузили на токен ESMART ГОСТ. КриптоПРО 5 не видит содержимое токена вообще, но при просмотре токена через клиентскую программу производителя – контейнер с сертификатом и ключами из налоговой виден. Что посоветуете?

Для обеспечения корректного использования электронной цифровой подписи (далее – ЭЦП) необходимо соблюдать следующие условия:

• ЭЦП должна быть получена в удостоверяющем центре (далее – УЦ).
• Необходимо инсталлировать лицензированное средство криптографической защиты (далее – СКИЗИ).
• Установить на рабочий компьютер промежуточный и корневой сертификаты.
• Произвести необходимые для работы с ЭДО настройки браузера.

Если этого не сделать, то в процессе эксплуатации ЭЦП у пользователя может возникать ряд программных ошибок, в данной статье мы разберём наиболее частые из них.

Добрый день! Уважаемые читатели и гости крупного IT блога рунета pyatilistnik. org. Продолжаем нашу с вами тему с сертификатами и работе с ними. В прошлый раз я вам подробно рассказал, как получить тестовый сертификат криптопро, посмотрите очень интересная заметка. Согласитесь, что для тестирования вам может потребоваться не один сертификат, а гораздо больше, и очень удобно иметь возможность работать с ними, без привязки к физическим токенам, например, на виртуальных машинах Vmware. Для таких задач, есть возможность поместить сертификаты КриптоПРО в реестр Windows, чем мы с вами и займемся.

Проверьте, установлена ли на Вашем рабочем месте «КриптоПро» версии 4. 0 или выше и действительна ли ее лицензия; Необходимо использовать для:

• Windows 11 – версию 5.0 R2 или выше.
• работы с сертификатами на «Рутокене ЭЦП 2.0» или Jacarta SE 2.0 – версию не ниже 5.0 R2 с PKCS#11.

Обновлено 13. 2019

Добрый день! Уважаемые читатели и подписчики IT блога Pyatilistnik. org. Последние два дня у меня была интересная задача по поиску решения на вот такую ситуацию, есть физический или виртуальный сервер, на нем установлена наверняка многим известная КриптоПРО. На сервер подключен USB ключ JaCarta, который используется для подписи документов для ВТБ24 ДБО. Локально на Windows 10 все работает, а вот на серверной платформе Windows Server 2016 и 2012 R2, Криптопро не видит ключ JaCarta. Давайте разбираться в чем проблема и как ее поправить.

Описание окружения

Есть виртуальная машина на Vmware ESXi 6. 5, в качестве операционной системы установлена Windows Server 2012 R2. На сервере стоит КриптоПРО 4. 9944, последней версии на текущий момент. С сетевого USB хаба, по технологии USB over ip, подключен ключ JaCarta. Ключ в системе видится, а вот в КриптоПРО нет.

Что делать, если компьютер не видит флешку с ЭП

Если компьютер не видит ЭП с флешки, нужно проверить, вставлен ли ключевой носитель в компьютер.

Если носитель присутствует, убедитесь, что в «КриптоПро» на вкладке «Оборудование» — «Настроить считыватели» есть пункты «Все съемные диски» и «Все считыватели смарт-карт».

Если они отсутствуют, то необходимо:

— на вкладке «Настроить считыватели» нажать кнопку «Добавить» — «Далее»;

— в открывшемся окне «Выбор считывателя» в левом столбце выбрать «Все производители»;

— справа выбрать «Все считыватели смарт-карт» и нажать кнопку «Далее» — «Готово».

Затем нужно установить драйвер для токена.

Информация о том, где загрузить драйверы для токенов, есть в разделе «Электронная подпись»:

• «JaCarta LT (USB-токен Nano)»;
• «Как настроить компьютер для работы с защищённым носителем JaCarta PKI/ГОСТ/SE»;
• «Rutoken/Rutoken ЭЦП»;
• «eToken».

Имейте в виду!

«КриптоПро» поддерживает следующие носители:

Флэш-карты (USB-флэш). Дискеты. Токены.

КриптоПро не видит ключи на Рутокен

Сертификат на Рутокен не удается просмотреть через КриптоПро CSP

Причина №1. Рутокен пустой

Пустой ли Рутокен можно понять по свободному месту на нем. Эту информацию можно получить в окне «Информация о Рутокен». Полная емкость Рутокен указана в килобайтах в строке «Тип» (8K, 16K, 32K, 64K). Контейнер Крипто-Про занимает около 4 килобайт.

Пустой РутокенРутокен с одним контейнером

Проверьте работоспособность Рутокен через копирования на него ключа с другого носителя.

• Скопируйте ключи на Рутокен.
• Просмотрите сертификат через КриптоПро CSP.

Причина № 2. Не корректный просмотр сертификата

Рутокен вставлен в USB порт, на нем загорелся индикатор. При попытке просмотреть сертификаты в контейнере Рутокен мигает, но сертификат не просматривается.

Убедитесь, что ключи выданы для Вашей версии КриптоПро. Для этого необходимо связаться с менеджером в Вашем регионе.

Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.

В окне «Сертификаты в контейнере закрытого ключа» нажмите кнопку «Обзор», выберите контейнер. После выбора контейнера нажмите на кнопку «Далее».

Важно! Если нужный контейнер отсутствует, действуйте согласно инструкции.

Если при нажатии кнопки «Далее» появится окно выбора носителя с сообщением «Набор ключей не существует», скопируйте ключи с ключевого носителя (резервная копия).

В следующем окне с данными сертификата нажмите кнопку «Установить».

Нажмите «Ок» в ответ на сообщение об успешной установке, затем «Готово».

В случае если сертификат на данном рабочем месте уже был установлен, появится сообщение, что такой сертификат уже есть в хранилище, после этого нажмите «Да», чтобы заменить его, и «Ок» в ответ на сообщение об успешной установке, затем «Готово».

Эти действия необходимо выполнить для каждого сертификата. На этом установка сертификата закончена.

Информацию по установке программы «КриптоПро CSP» на другую операционную систему можно найти на сайте «КриптоПро».

Почему не виден сертификат ЭЦП на носителе

Обычно проблема решается простой перезагрузкой компьютера и объясняется сбоем в работе программных компонентов. Но иногда для исправления ошибки нужно переустановить драйвера или обратиться в службу технической поддержки пользователей.

Драйвер не установлен или устройство отображается в диспетчере устройств с восклицательным знаком

Если на носителе Рутокен ЭЦП не найдено ни одного сертификата, а в диспетчере устройств носитель отображается с восклицательным знаком, то проблема кроется в драйвере.

После установки драйвера нужно снова подключить носитель. Если ошибка повторяется, проверьте корректность работы токена. Для этого подключите его к другому ПК. Если носитель определился системой, то на неисправном компьютере удалите драйвер и установите его заново.

Долгое опознание носителя на Windows 7

При работе в ОС Windows 7 драйверы могут долго назначаться. Решение проблемы — дождитесь окончания процесса или обновите версию ОС.

USB-порт работает некорректно

Убедитесь, что проблема в USB-порте, а не в носителе ЭЦП, для этого переключите токен к другому порту. Если носитель определился системой, то перезагрузите ПК. Обычно это помогает справиться с проблемой и запустить работу всех USB-портов. Если перезагрузка не помогла, то желательно обратиться в техническую поддержку для устранения неисправности.

Носитель неисправен

Если при переключении носителя к другому ПК или USB-порту флешку компьютер не видит, то проблема в носителе. Чтобы устранить неисправность, обратитесь в сервисный центр для выпуска нового токена.

Почему выходит ошибка при создании подписи

Ошибка создания подписи обычно имеет в расшифровке два значения:

• элемент не найден;
• не удалось построить цепочку сертификатов.

Неисправность работы подписи связана с некорректной работой криптопровайдера, неустановленными или необновленными сертификатами.

Решение проблемы зависит от типа ошибки и обычно не требует обращения в техническую поддержку.

Устранение ошибки ненайденного элемента ЭЦП

• перезагрузите компьютер;
• присоедините носитель ключа электронной подписи;
• повторите подписание документа.

Если после проделанной работы ошибка сохраняется, то нужно обратиться в сервисный центр.

Устранение ошибки с построением цепочки сертификатов

Обычно ошибку вызывает отсутствие сертификатов доверенных корневых центров. Чтобы устранить неисправность, нужно открыть список сертификатов и найти проблемный. Он будет иметь отметку о проблеме в проверке отношений:

Затем пользователь скачивает с официальной страницы сертификат Минкомсвязи РФ и сертификат удостоверяющего центра, имеющего проблемы в работе. Устанавливают их в раздел «‎Корневые сертификаты»‎, а пошаговый процесс выглядит так:

В нужном сертификате нажать «‎Установить».

В мастере импорта сертификатов нажать «‎Далее» и в новом окне поставить галочку напротив «‎Поместить все сертификаты в следующем хранилище». Нажать «‎Обзор».

В открывшемся списке выбрать «‎Доверенные корневые центры» и нажать последовательно «‎ОК» и «‎Далее».

Нажать «‎Готово», а затем подтвердить установку.

Дождаться установки и перезагрузить ПК. Если после этого подписание сопровождается ошибкой, то необходимо обратиться за помощью в техническую поддержку.

Ошибки в работе носителя электронной подписи могут быть вызваны как неисправностью самого носителя, так и неисправностями в программном обеспечении. Перезагрузите ПК и переключите токен в другой порт, чтобы убедиться в его исправности. Если проблема вызвана тем, что токен поврежден, то необходимо обратиться в сервисный центр компании, выпустившей USB. При ошибке, возникающей во время подписания документа, нужно убедиться в корректной работе всех сертификатов и криптопровайдера и при необходимости провести их полную переустановку.

Список доступных электронных подписей пуст

При попытке утвердить документ, отправить отчет, зарегистрировать ЭП или включить документооборот в карточке организации появляется сообщение «Выберите электронную подпись», но в окне нет ни одной ЭП.

Если подпись зарегистрирована в СБИС, но недоступна,

, чтобы узнать причину.

Причина №1. Электронная подпись отсутствует на носителе

Вставьте в ПК носитель с ЭП и нажмите.

Если подпись все равно не отобразилась, проверьте, есть ли она на носителе:

• да — переходите к причине №4 и далее;
• нет — проверьте работу носителя на другом ПК. Подписи не отображается и там — сломался носитель или . Обратитесь к менеджеру для приобретения новой ЭП.

Причина №2. Ключ не определяется операционной системой

Вставленный носитель не определяется компьютером, появляется сообщение «Программное обеспечение для устройства не было установлено». Устраните проблему.

Причина №3. Ключ не определяется СКЗИ

Убедитесь, что на ПК не установлено второе СКЗИ. Проверьте работу носителя на другом устройстве с установленными драйверами и СКЗИ. Если носитель определяется, обратитесь в техническую поддержку.

Причина № 4. ЭП уже зарегистрирована в СБИС

Электронные подписи, которые хранятся на доступных носителях, уже зарегистрированы в системе. Дополнительная регистрация не требуется. Закройте окно.

Причина № 5. Отсутствует лицензия на СКЗИ

Нажмите «Пуск», откройте «КРИПТО-ПРО/Управление лицензиями КриптоПро PKI» и перейдите в раздел «КриптоПро CSP».

Если срок действия лицензии истек или данные о ней отсутствуют, обратитесь к менеджеру для приобретения новой. Есть действующее лицензионное соглашение на КриптоПро — введите серийный номер. Если он указан, но не отображается в окне «Управление лицензиями КриптоПро PKI», значит серийный номер заблокирован производителем. Проверить его можно на сайте КриптоПро.

Причина № 6. Доверенность на подписание не оформлена или заполнена неправильно

Убедитесь, что в отчете правильно выбран подписант. Для этого откройте раздел «Титульный лист», «Реквизиты» или кликните ссылку «Кто подписывает» — зависит от формы.

Если подписывает уполномоченный представитель, проверьте доверенность: верно ли выбран доверитель, указаны ли в блоке «Кому» те же ФИО и организация, что и в ЭП.

Причина № 7. ЭП не подходит для подписания текущего отчета

Если рядом с подписью отображается сообщение «Для этого отчета подходят ключи, выпущенные под СКЗИ КриптоПро CSP или VipNet CSP», значит она выпущена на СКЗИ, встроенной в JaCarta-2 SE. Они не поддерживают данных в режиме шифрования CBC, поэтому такой ЭП нельзя подписывать электронные листы нетрудоспособности (ЭЛН), подтверждение основного вида экономической деятельности (ПОВЭД) и сообщение СЭДО. Для отправки этих отчетов используйте ЭП, выпущенную на СКЗИ КриптоПро CSP или VipNet CSP. Если у вас ее нет, обратитесь к менеджеру для приобретения новой подписи.

Причина № 8. Электронная подпись повреждена

Проверьте работоспособность ключа электронной подписи.

Причина № 9. Неисправно устройство (дисковод или USB-разъем), в которое вставлен носитель с сертификатом электронной подписи

Вставьте носитель с электронной подписью в другое устройство или USB-разъем и повторите действие.

Причина № 10. В контейнере электронной подписи отсутствует сертификат

Чтобы проверить так ли это, посмотрите сертификат в контейнере. Если

ошибка «В контейнере закрытого ключа отсутствуют сертификаты»:

• Откройте «Пуск/КРИПТО-ПРО/КриптоПро CSP», перейдите на вкладку «Сервис» и нажмите «Установить личный сертификат».
• В открывшемся окне нажмите «Далее». Кликните «Обзор» и выберите файл сертификата. Дважды нажмите «Далее».
• Установите флаг «Найти контейнер автоматически» и перейдите на следующий шаг кнопкой «Далее».
• Убедитесь, что указано хранилище «Личные». Если нет, нажмите «Обзор» и выберите его. Кликните «Далее», затем «Готово». Если появится запрос на замену существующего сертификата новым, нажмите «Да». Дождитесь сообщения об успешной установке.

Если ни одно из предложенных решений не помогло, обратитесь в техподдержку.

Как исправить ошибку отсутствия в контейнере закрытого ключа сертификата ЭЦПИногда во время установки сертификатов электронной цифровой подписи через КриптоПро после выбора ключевого контейнера возникает ошибка: «В контейнере закрытого ключа отсутствует открытый ключ шифрования». Ее устранение в большинстве случаев не требует обращения в службу поддержки пользователей: достаточно лишь следовать пошаговой инструкции установки в контейнер закрытого ключа подписи. Причины возникновения ошибкиОшибка «В контейнере закрытого ключа отсутствует сертификат открытого ключа» может возникать во время установки нового личного сертификата, а также при попытке просмотра закрытых ключей через контейнеры или при экспорте данных с компьютера на флешку или с электронного носителя на ПК.

Обычно причина неисправности кроется в отсутствии на носителе открытого ключа. Исправить ситуацию можно простой установкой. Пошаговая инструкция установки личного сертификатаЧтобы установить личный сертификат, не записанный на ключевой носитель, нужно:

• Запустить программу КриптоПро: «Пуск»/«Настройка»/«Панель управления»/«КриптоПро CSP».
• Перейти через раздел «Сервис» во вкладку  «Установить личный сертификат».

• Нажать «Далее».
• Указать путь к закрытому ключу электронной цифровой подписи через кнопку «Обзор». Пользователь в открывшейся папке выбирает файл, заканчивающийся расширением .cer.
• После этого пользователю предстоит нажать «Открыть».

• В поле «Имя файла» должен появиться путь доступа к ключу ЭЦП, после чего для продолжения установки нажимают кнопку «Далее».
• В новом окне появляется сервисное сообщение КриптоПро CSP с данными владельца подписи и нового сертификата. Информацию нужно проверить и нажать «Далее».

Следующий шаг — это выбор ключевого контейнера. Пользователь должен:

• Нажать «Далее» после того, как в графе «Имя ключевого контейнера» появится название контейнера.
• При необходимости ввести пин-код ключевого носителя.

Затем нужно выбрать хранилище. Делает это так:

Если выйдет сообщение о том, что сертификат уже есть в хранилище, нужно нажать «Да».

Остается лишь перезагрузить компьютер и попробовать подписать документ. Если ошибка будет повторяться, то необходимо обратиться в сервисный центр для незапланированной замены носителя электронной подписи и закрытого ключа ЭЦП. Проблема может крыться в неисправности токена.

Установка в КриптоПРО версии 3. 62 R2Установка личного сертификата в КриптоПро версии 3. 62 R2 и выше происходит иначе. В окне программы следует выбрать пункт «Установить» и подтвердить замену (если требуется). Если запроса на замену не вышло, нужно открыть вкладку «Сертификат для просмотра» и выбрать «Свойства».

В новом окне выбрать пункт «Установить».

После этого запустится «Мастер установки», в котором нужно нажать кнопку «Далее». После этого следует выбрать пункт «Поместить все сертификаты в хранилище». Для выбора хранилища нужно нажать «Обзор».

Для дальнейшей установки нужно выбрать «Личное хранилище».

В новом окне пользователю предстоит последовательно нажать «Далее» и «Готово». Через несколько секунд появится сообщение об успешной замене (установке) сертификата.

Ошибка отсутствия ключа электронной цифровой подписи в контейнера возникает обычно из-за отсутствия соответствующего сертификата. Решить проблему просто: установить личный сертификат и перезагрузить ПК. Способ установки зависит от версии используемого программного обеспечения КриптоПро и занимает всего несколько минут. Если после замены или установки открытого ключа проблема не исчезла, лучше обратиться в сервисный центр для перевыпуска электронной подписи. Александр Лавник

Оставлено
:
24 января 2022 г. 11:19:24(UTC)

Добрый день! Подскажите, что делаю не так)) в браузере Chromium при попытке зайти в лК юрлица выкидывает меня на страницу проверки; И второй вопрос при добавлении профиля юр. лица на Госуслугах – пишет, что “нет сертификатов”.

1) По входу в ЛК ЮЛ на портале ФНС см. примечание (e) инструкции.

2) По входу на портал Госуслуг см. инструкцию.

Спасибо большое за инструкции. Со второго захода смог настроить и зайти. Правда все это выглядит все равно топорно, что в ФНС только с одного браузера по прямой ссылке надо заходить, а в госуслуги только с яндекса. Сафари так вообще никуда не может зайти, в фнс не подходит из-за TLS, а в госуслуги просто крутится пиктограмма “Обращение к электронной подписи”. И это странно так как саму проверку создания электронной подписи CAdES-BES сафари проходит.

Есть ли информация, будет с этим что-то делаться? Учитывая что маководов достаточно много кто пользуется сафари, хотелось бы чтобы ПО допилили бы для него.

Было бы очень хорошо, чтобы вместе с программой “Инструменты КриптоПро” сразу шли все необходимые пакеты для установки. Сейчас их надо собирать по разным местам форумов и в ручную пихать по каталогам. В идеале чтобы все необходимое было в рамках одного установщика, это сильно бы упростило жизнь.

Инструменты КриптоПро + КриптоПро ЭЦП Browser Plug-in 2. 0 + плагин для работы с порталом государственных услуг (IFCPlugin) + рутокен драйвера. Оптом установил, перезагрузил и тип-топ.

Попробую прокомментировать Ваше сообщение.

1) Для входа в ЛК ИП или в ЛК ЮЛ на портале ФНС используется двусторонний (с аутентификацией сервера и клиента по сертификату) ГОСТ TLS.

По моему мнению (думаю, коллеги меня поддержат), подобный функционал никогда не появится в браузерах, которые разрабатываются не в России.

То есть ожидать появления этого функционала в таких браузерах как Safari, Google Chrome, Opera, Mozilla Firefox, Microsoft Edge не стоит.

До недавнего времени единственным браузером, в котором есть данный функционал на macOS, был Chromium-Gost.

Не так давно Яндекс выпустил сборку своего браузера для macOS (и для Linux) с этим функционалом, но в этой сборке для macOS замечена недоработка – для работы двустороннего TLS с ключевым контейнером на внешнем ключевом носителе (простой флеш накопитель, токен/смарт-карта) необходимо запускать браузер из терминала с параметром –no-sandbox.

При использовании ключевого контейнера на внутреннем диске компьютера такой проблемы в Яндекс. Браузере нет.

Разработчики Яндекс. Браузера в курсе проблемы, надеюсь, в ближайших релизах она будет устранена.

Мне кажется, что в будущем для простого пользователя при работе на macOS с ЭЦП будет оптимальным использование именно Яндекс. Браузера (например, можно будет входит в ЛК ИП или ЛК ЮЛ на портале ФНС через проверку условий, а не только через прямые ссылки).

2) Что касается входа на портал Госуслуг по ЭЦП и плагина IFCPlugin.

Этот плагин заточен для использования с КриптоПро CSP только на Windows, поэтому приходится выполнять манипуляции с подменой конфигурационного файла на macOS (и Linux).

Он работает не только в Яндекс. Браузере, а по крайней мере во всех браузерах, перечисленных в инструкции.

Если проверка работы нашего браузера завершается корректно, то из этого не следует, что с IFCPlugin все ОК, так как это разные плагины и у них разный алгоритм работы.

3) По поводу установки всего комплекта ПО одним установщиком:

– КриптоПро CSP и КриптоПро ЭЦП Browser Plug-in, возможно, в будущем действительно будет решено объединить при установке,

– плагин портала Госуслуг – разработка не ООО “КРИПТО-ПРО”, поэтому включать этот плагин в наш установщик вряд ли будут (да и не факт, что он нужен всем пользователям КриптоПро CSP на macOS),

– драйверы Рутокен и прочее стороннее ПО, относящееся к работе с токенами/смарт-картами, думаю, не будет включено в установщик по тем же причинам, что и предыдущий пункт.

4) Отдельно про браузер Safari.

По опыту, не могу вспомнить порталы, которые корректно работают с ЭЦП через этот браузер.

Поэтому рекомендую для этих целей не пытаться его использовать.

2 пользователей поблагодарили Александр Лавник за этот пост.

оставлено 24. 2022(UTC),

Antoniyvrn
Оставлено
:
16 ноября 2021 г. 16:51:57(UTC)

VadimNPOSPI
Оставлено
:
22 декабря 2021 г. 12:50:35(UTC)

Да, данные строки есть – ru. cryptopro. CPROrdmskey. bom, ru. cryptopro. CPROrdmskey. plist

VadimNPOSPI
Оставлено
:
22 декабря 2021 г. 12:55:55(UTC)

Татьяна П. Оставлено
:
24 января 2022 г. 0:29:44(UTC)

vladimir. kirienko
Оставлено
:
29 января 2022 г. 17:05:26(UTC)

Добрый день. У меня тоже такая проблема. – Apple M1 MacOS Monterey v12. 1- КриптоПро CSP 5. 12330- Rutoken ECP (виден в списке устройств, виден в разделе “управление носителями” в КриптоПро инструментах, но не виден в Finder)Список контейнеров и сертификатов пуст. Результат выполнения Код:
MUSCLE PC/SC Lite Test Program

Testing SCardEstablishContext : Command successful. Testing SCardGetStatusChange
Please insert a working reader : Command successful. Testing SCardListReaders : Command successful. Reader 01: Aktiv Rutoken ECP
Enter the reader number :

Как скопировать сертификат в реестр КриптоПРО

CryptoPRo позволяет производить установку с копирование закрытого ключа (сертификата) в реестр Windows.

Хочу вас сразу предупредить, что с точки зрения безопасности, это очень не надежно и ваши закрытые ключи могут быть похищены, если вы не организовываете надлежащий уровень безопасности

И так, у меня есть USB токен SafeNet, на который я выпустил тестовую ЭЦП, ее я буду переносить вместе с закрытым ключом в реестр Windows. Открываем утилиту CryptoPRO с правами администратора.

Переходите на вкладку “Сервис” и нажимаете “скопировать”

У вас откроется окно “Контейнер закрытого ключа”, тут вам нужно нажать кнопку “Обзор”, что бы выбрать ваш сертификат, который вы хотите скопировать в реестр.

В итоге у вас в поле “Имя ключевого контейнера” отобразиться абракадабровое имя.

Нажимаем далее.

У вас появится окно с вводом пин-кода от вашего USB токена.

Теперь вам необходимо задать имя для копируемого сертификата в реестр Windows, КриптоПРО благо, это позволяет. Я назвал его “Копия сертификата в реестре (Семин Иван)”

Теперь вам необходимо положить сертификаты КриптоПРО в реестр, для этого выбираем соответствующий пункт и нажимаем “Ок”.

На следующем шаге вам предложат установить новый пароль на ваш контейнер с закрытым ключом, советую установить его и желательно посложнее.

Если у Вас сертификат ЕГАИС или «Ключ для маркировки 2.

Чтобы просмотреть информацию о данных сертификатах, необходимо открыть драйвер вашего токена. Если у Вас:

• JaCarta SE, необходимо: Запустить «Единый клиент JaCarta»; Перейти на вкладку «ГОСТ». Чтобы посмотреть информацию: об открытой части сертификата, перейти в раздел «Ключи и сертификаты»; о закрытой части сертификата, нажать «Ввести PIN-код» в правом нижнем углу и ввести PIN-код от ГОСТ части токена (по умолчанию 1234567890). В «Едином клиенте JaCarta» две вкладки «ГОСТ». Чтобы посмотреть информацию о сертификате, необходимо проверить их обе.
• Запустить «Единый клиент JaCarta»;
• Перейти на вкладку «ГОСТ». Чтобы посмотреть информацию: об открытой части сертификата, перейти в раздел «Ключи и сертификаты»; о закрытой части сертификата, нажать «Ввести PIN-код» в правом нижнем углу и ввести PIN-код от ГОСТ части токена (по умолчанию 1234567890).
• об открытой части сертификата, перейти в раздел «Ключи и сертификаты»;
• о закрытой части сертификата, нажать «Ввести PIN-код» в правом нижнем углу и ввести PIN-код от ГОСТ части токена (по умолчанию 1234567890).
• “Рутокена ЭЦП 2.0”: Запустить «Панель управления Рутокен»; Перейти на вкладку «Сертификаты». Чтобы посмотреть информацию: об открытой части сертификата, перейти в раздел «Личные сертификаты»; о закрытой части сертификата, нажать «Ввести PIN-код» в правом верхнем углу и ввести PIN-код пользователя (по умолчанию 12345678).
• Запустить «Панель управления Рутокен»;
• Перейти на вкладку «Сертификаты». Чтобы посмотреть информацию: об открытой части сертификата, перейти в раздел «Личные сертификаты»; о закрытой части сертификата, нажать «Ввести PIN-код» в правом верхнем углу и ввести PIN-код пользователя (по умолчанию 12345678).
• об открытой части сертификата, перейти в раздел «Личные сертификаты»;
• о закрытой части сертификата, нажать «Ввести PIN-код» в правом верхнем углу и ввести PIN-код пользователя (по умолчанию 12345678).

Дополнительно. Зарегистрировать открытую часть сертификата ЕГАИС на “Рутокене ЭЦП 2. 0” можно при помощи драйвера токена. Для этого необходимо:

• Открыть «Панель управления Рутокен» – «Сертификаты».
• Выбрать нужный сертификат и поставить галку в столбце «Зарегистрирован». Если снять галку в столбце «Зарегистрирован», сертификат будет удален из хранилища «Личные».

*Контейнер (ключевой контейнер) – способ хранения закрытых ключей, реализованный продуктом «КриптоПро». Представляет из себя 6 файлов с расширением. key.

Где хранится закрытый ключ в реестре Windows

После процедуры добавления сертификата в реестр КриптоПРО, я бы хотел показать, где вы все это дело можете посмотреть. Ранее я вам рассказывал, о том как добавить оснастку сертификаты. Нас будет интересовать раздел “Сертификаты пользователя – Личное”.

Либо вы можете зайти в свойства Internet Explorer на вкладку “Содержание’. Потом перейти в пункт “Сертификаты”, где у вас будут отображаться все ваши SSL сертификаты, и те, что КриптоПРО скопировал в реестр операционной системы.

Если нужно найти ветку реестра с закрытым ключом, то я вам приводил уже пример в статье, когда я переносил ЭЦП с компьютера на компьютер.

Про копирование ЭЦП с закрытыми ключами мы разобрали, теперь ситуация обратная.

Установка КриптоПРО

После установки JaCarta PKI, нужно установить КриптоПРО, для этого заходите на официальный сайт.

На текущий момент самая последняя версия КриптоПро CSP 4. 9944. Запускаем установщик, оставляем галку “Установить корневые сертификаты” и нажимаем “Установить (Рекомендуется)”

Инсталляция КриптоПРО будет выполнена в фоновом режиме, после которой вы увидите предложение, о перезагрузке браузера, но я вам советую полностью перезагрузиться.

После перезагрузки подключайте ваш USB токен JaCarta. У меня подключение идет по сети, с устройства DIGI, через клиента Anywhere View. В клиенте Anywhere View, мой USB носитель Jacarta, успешно определен, но как Microsoft Usbccid (WUDF), а в идеале должен определиться как JaCarta Usbccid Smartcard, но нужно в любом случае проверить, так как все может работать и так.

Открыв утилиту “Единый клиент Jacarta PKI”, подключенного токена обнаружено не было, значит, что-то с драйверами.

Microsoft Usbccid (WUDF) – это стандартный драйвер Microsoft, который по умолчанию устанавливается на различные токены, и бывает, что все работает, но не всегда. Операционная система Windows по умолчанию, ставит их в виду своей архитектуры и настройки, мне вот лично в данный момент такое не нужно. Что делаем, нам нужно удалить драйвера Microsoft Usbccid (WUDF) и установить драйвера для носителя Jacarta.

Откройте диспетчер устройств Windows, найдите пункт “Считыватели устройств смарт-карт (Smart card readers)” щелкните по Microsoft Usbccid (WUDF) и выберите пункт “Свойства”. Перейдите на вкладку “Драйвера” и нажмите удалить (Uninstall)

Согласитесь с удалением драйвера Microsoft Usbccid (WUDF).

Вас уведомят, что для вступления изменений в силу, необходима перезагрузка системы, обязательно соглашаемся.

После перезагрузки системы, вы можете увидеть установку устройства и драйверов ARDS Jacarta.

Откройте диспетчер устройств, вы должны увидеть, что теперь ваше устройство определено, как JaCarta Usbccid Smartcar и если зайти в его свойства, то вы увидите, что смарт карта jacarta, теперь использует драйвер версии 6. 7601 от ALADDIN R. ZAO, так и должно быть.

Если открыть единый клиент Jacarta, то вы увидите свою электронную подпись, это означает, что смарт карта нормально определилась.

Открываем CryptoPRO, и видим, что криптопро не видит сертификат в контейнере, хотя все драйвера определились как нужно. Есть еще одна фишка.

ОБЯЗАТЕЛЬНО снимите галку “Не использовать устаревшие cipher suite-ы” и перезагрузитесь.

После этих манипуляций у меня КриптоПРО увидел сертификат и смарт карта jacarta стала рабочей, можно подписывать документы.

Еще можете в устройствах и принтерах, увидеть ваше устройство JaCarta,

Если у вас как и у меня, токен jacarta установлен в виртуальной машине, то вам придется устанавливать сертификат, через console виртуальной машины, и так же дать на нее права ответственному человеку. Если это физический сервер, то там придется давать права на порт управления, в котором так же есть виртуальная консоль.

Установка закрытого ключа в реестр

Теперь когда ваш закрытый ключ находится в реестре, давайте установим личный сертификат. Для этого откройте на вкладке “Сервис” кнопку “Посмотреть сертификат в контейнере”

Далее в окне “онтейнер закрытого ключа” нажмите кнопку “Обзор”.

И выберите сертификат из реестра, он будет с тем именем, что вы ему задавали.

После чего производится установка закрытого ключа в реестр, через соответствующую кнопку.

Видим, что сертификат был установлен в хранилище “Личные” текущего пользователя. Как видите, было очень просто скопировать закрытый ключ в реестр операционной системы.

Если контейнер находится на флеш-накопителе или жестком диске

Убедитесь, что папка с контейнером находится в корневой папке. Контейнер должен иметь вид Имя контейнера. XXX, где XXX – произвольный номер из трех цифр.

Если папка с контейнером и резервная копия отсутствуют, Вам необходимо получить новый сертификат. Если вам необходим сертификат:

• Для представления отчетности, действуйте согласно статье.
• Для ЭТ, вам нужно приобрести новый сертификат.

Не возможно подключиться к службе управления смарт-картами

Когда вы установили все драйвера для токенов Jacarta, вы можете увидеть при подключении по RDP и открытии утилиты “Единый клиент Jacarta PKI” вот такое сообщение с ошибкой:

Не возможно подключиться к службе управления смарт-картами

• Не запущена служба смарт-карт на локальной машине. Архитектурой RDP-сессии, разработанной Microsoft, не предусмотрено использование ключевых носителей, подключенных к удалённому компьютеру, поэтому в RDP-сессии удалённый компьютер использует службу смарт-карт локального компьютера. Из этого следует что, запуска службы смарт-карт внутри RDP-сессии недостаточно для нормальной работы.
• Служба управления смарт-картами на локальном компьютере запущена, но недоступна для программы внутри RDP-сессии из-за настроек Windows и/или RDP-клиента.

Как исправить ошибку “Не возможно подключиться к службе управления смарт-картами”.

Вот такой вот был траблшутинг по настройке токена Jacarta, КриптоПРО на терминальном сервере, для подписи документов в ВТБ24 ДБО. Если есть замечания или поправки, то пишите их в комментариях.

Если контейнер находится на токене

Переустановите драйвера для токена:

• RuToken Драйвер можно загрузить из «Личного кабинета» («Управление услугами» – «АРМ» – «Дистрибутивы программ» – Rutoken) или с сайта производителя в разделе «Центр загрузок».
• JaCarta SE 2.0 Необходимо установить: «Единый клиент JaCarta»; Конфигурационную утилиту JaCarta (ЕГАИС). Загрузить файлы можно с сайта производителя. На всех этапах установки необходимо нажимать «Далее»
• «Единый клиент JaCarta»;
• Конфигурационную утилиту JaCarta (ЕГАИС). Загрузить файлы можно с сайта производителя. На всех этапах установки необходимо нажимать «Далее»

Алгоритм решения проблем с JaCarta

КриптоПРО очень часто вызывает различные ошибки в Windows, простой пример (Windows installer service could not be accessed). Вот так вот выглядит ситуация, когда утилита КриптоПРО не видит сертификат в контейнере.

Как видно в утилите UTN Manager ключ подключен, он видится в системе в смарт картах в виде Microsoft Usbccid (WUDF) устройства, но вот CryptoPRO, этот контейнер не определяет и у вас нет возможности установить сертификат. Локально токен подключали, все было то же самое. Стали думать что сделать.

Сообщений с 1 по 15 из 19

Здравствуйте. Получили в ФНС сертификат записанный на Рутокен. Предположили, что не надо будет специально выпускать на основе него Ключ директора, который мы использовали для подписи документов в ЛесЕГАИС. Но, не смогли подписать документы – сайт ЛесЕГАИС просто не видит данный сертификат. При этом мы заходим в ЛесЕГАИС успешно авторизируясь на госуслугах с помощью сертификата ключа проверки электронной подписи с этого токена. Есть предположение, что это из-за того, что КриптоПро (версия продукта: 4. 9944, версия ядра СКЗИ: 4. 9017 КС1) не видит данного сертификата. При этом он виден в Панели управления Рутокен (версия драйверов Рутокен: 4. В чём может быть дело?

#2 Ответ от АлександрК 2022-02-02 15

Изучил предыдущие темы со схожими проблемами. Правильно ли я понял, что нам поможет установка КриптоПро 5. 0 (+ покупка на него лицензии) ?

#3 Ответ от Николай Киблицкий 2022-02-02 15

Здравствуйте, АлександрК, да все правильно. Для работы с данной электронной подписью через программу КриптоПро CSP, вам необходимо установить КриптоПро 5 R2 и новее.

#4 Ответ от АлександрК 2022-02-02 15

Спасибо. Вот только меня смущает то, что ЛесЕГАИС, при попытке подписать документ, выдаёт на выбор список сертификатов (уже просроченных) только тех, что установленны в реестре. Сейчас подключили старый токен (Рутокен S 0) с просроченными сертификатами на нём и ЛесЕГАИС их не отображает в этом списке. То есть такое чувство, что ЛесЕГАИС хочет/может работать только с сертификатами из реестра. Но, это странно, так как изначально же предполагается хранение сертификата на токене. А в поддержку ЛесЕГАИС не дозвонишься

#5 Ответ от Николай Киблицкий 2022-02-02 16

Вам предлагаются на выбор сертификаты которые установлены в локальное хранилище “Личные”. Посмотреть содержимое хранилища “Личные” можно войдя в “Панель управления” – “Свойства браузера” – вкладка “Содержание” – кнопка “Сертификаты”. Установить сертификат в хранилище “Личные” можете по инструкции по ссылке.

#6 Ответ от АлександрК 2022-02-02 16

Да, но сертификат выданный ФНС не экспортируемый – я не могу поставить флаг «Зарегистрирован» напротив этого сертификата (по указанной вами инструкции). Не будет ли это препятствием для работы в ЛесЕГАИС, даже если мы купим КриптоПРО 5. 0 ?Или же после установки КриптоПРО 5. 0 мы сможем установить сертификат с помощью кнопки «Установить личный сертификат» из КриптоПро – вкладка «Сервис» ?

#7 Ответ от Николай Киблицкий 2022-02-02 17

Как я писал ранее, для работы с данной электронной подписью через программу КриптоПро CSP, вам необходимо установить КриптоПро 5 R2 и новее. Возможность установить сертификат появится после обновления КриптПро CSP.

#8 Ответ от АлександрК 2022-02-02 17

Хорошо, понятно. Спасибо ещё раз.

#9 Ответ от Mr@bob 2022-06-22 14

Добрый день. что бы не плодить одинаковые темы. похожая история. крипто про не видит сертификат, который получали в фнспричем панель управления видит только сам рутокен, но сертификатов на нем нет. мне бухгалтер доказывает что именно с этим ключем ходил директор в фнс.

крипто про 5. 12000 КС1

#10 Ответ от Николай Киблицкий 2022-06-22 15

Николай Киблицкий пишет:

прошу прощения, отбой, нашлась потеряшка. спасибо большое!

#12 Ответ от AlUnder 2022-07-18 22

Здравствуйте AlUnder. На вашем Рутокен хранится ключевая пара, это закрытая часть ключа электронной подписи. Вам необходимо назначить сертификат соответствующий ключевой паре хранящейся на Рутокен. Сертификат, это открытая часть ключа электронной подписи, получить файл сертификата вы можете в удостоверяющем центре в котором генерировали ключи электронной подписи.

#14 Ответ от Вечный_студент 2022-08-25 09

Здравствуйте, Вечный_студент, Пришлите пожалуйста скриншот “Панели управления Рутокен” на вкладке Сертификаты.

Страницы 1 2 Далее

Если контейнер записан в реестр

• Нажать «Файл» – «Экспорт»;
• Ввести название резервной копии в поле «Имя файла»;
• Указать путь для сохранения файла с расширением .reg;
• Выбрать «Весь реестр»;
• Нажать «Сохранить».
• Откройте выгруженный файл реестра с помощью «Блокнота»;
• Сохраните изменения;
• Запустите файл реестра;
• Согласитесь с внесением изменений в реестр. Важно! Сертификат ЕГАИС и «Ключ для маркировки 2.0» не отображаются в «КриптоПро».

Установка единого клиента JaCarta PKI

Единый Клиент JaCarta – это специальная утилита от компании “Аладдин”, для правильной работы с токенами JaCarta. Загрузить последнюю версию, данного программного продукта, вы можете с официального сайта, или у меня с облака, если вдруг, не получиться с сайта производителя.

Далее полученный архив вы распаковываете и запускаете установочный файл, под свою архитектуру Windows, у меня это 64-х битная. Приступаем к установке Jacarta драйвера. Единый клиент Jacarta, ставится очень просто (НАПОМИНАЮ ваш токен в момент инсталляции, должен быть отключен). На первом окне мастера установки, просто нажимаем далее.

Принимаем лицензионное соглашение и нажимаем “Далее”

Чтобы драйвера токенов JaCarta у вас работали корректно, достаточно выполнить стандартную установку.

Если выберете “Выборочную установку”, то обязательно установите галки:

• Драйверы JaCarta
• Модули поддержки
• Модуль поддержки для КриптоПРО

Далее нажимаем “Установить”.

Через пару секунд, Единый клиент Jacarta, успешно установлен.

Обязательно произведите перезагрузку сервера или компьютера, чтобы система увидела свежие драйвера.

Как скопировать эцп из реестра на флешку

Предположим, что у вас стоит задача скопировать контейнер из реестра, так как он уже там, то он экспортируемый, для этого открываем криптопро, “Сервис-Скопировать”

Выбираете “Обзор” и ваш сертификат из реестра.

Задаете ему новое имя, удобное для себя.

После чего вас попросят указать флешку, на которую вы будите копировать контейнер с закрытым ключом из реестра.

Обязательно задайте новый пароль.

Ну и собственно теперь открывайте вашу флешку и лицезрейте перенесенный на него контейнер, он будет состоять из файликов с форматом key.

Как видите КриптоПРО, это конвейер, который позволяет легко скопировать сертификат из реестра на флешку или даже дискету, если они еще используются.

Когда нужно копировать сертификаты КриптоПРО в реестр

Существует ряд задач, когда удобно иметь вашу ЭЦП подпись в реестре Windows:

При тестировании настроенного окружения для торговых площадок, для входа на которые используется ЭЦП подпись. Когда у вас виртуальная инфраструктура и нет возможности, произвести проброс USB устройств по локальной сети 3. Ситуации, когда КриптоПРО не видит USB токена 4. Ситуации, когда USB ключей очень много и нужно работать одновременно с 5-ю и более ключами, примером может служить программа по сдачи отчетности СБИС

Как решить проблему, что криптопро не видит USB ключ?

Создали новую виртуальную машину и стали ставить софт все последовательно.

Перед установкой любого программного обеспечения работающего с USB носителями на которых находятся сертификаты и закрытые ключи. Нужно ОБЯЗАТЕЛЬНО отключить токен, если воткнут локально, то отключаем его, если по сети, разрываем сессию

• Первым делом обновляем вашу операционную систему, всеми доступными обновлениями, так как Microsoft исправляет много ошибок и багов, в том числе и драйверами.
• Вторым пунктом является, в случае с физическим сервером, установить все свежие драйвера на материнскую плату и все периферийное оборудование.
• Далее устанавливаете Единый Клиент JaCarta.
• Устанавливаете свежую версию КриптоПРО