Компьютер не видит рутокен с сертификатом

Обновлено: 21.11.2024

В этой статье рассматриваются шаги, необходимые для успешного начала использования смарт-карты в Chrome OS на личном неуправляемом устройстве. Если вы являетесь администратором и хотите развернуть смарт-карты на управляемых устройствах в вашей организации, см. статью Развертывание смарт-карт в Chrome OS.

Прежде чем начать

  • Chrome OS поддерживает только ограниченный набор сценариев использования смарт-карт:
    • Аутентификация TLS с использованием коннектора смарт-карт и промежуточного ПО.
    • Сценарии использования смарт-карт персонального компьютера (PCSC) с использованием коннектора смарт-карт и приложений, таких как Citrix.
    • Ограниченная поддержка SSH. Дополнительные сведения см. в разделе Использование смарт-карт и аппаратных токенов с Secure Shell.
    • Другие криптографические операции на основе смарт-карт, например подпись почты в Office 365, чтение зашифрованной почты и приложений Java.
    • Смарт-карты в Android на Chrome OS.

    Шаг 1. Установите приложение Smart Card Connector

    Приложение Smart Card Connector предоставляет Chromebook поддержку PCSC. Затем этот PCSC API может использоваться другими приложениями, такими как промежуточное ПО для смарт-карт и Citrix, для обеспечения дополнительных функций, например. интеграция с браузером и перенаправление виртуального сеанса. Вы можете установить приложение, перейдя к записи в Интернет-магазине Chrome и нажав Добавить в Chrome.

    Шаг 2. Установите промежуточное ПО для смарт-карт

    Примечание. Приложение-коннектор предлагает общедоступный API, который также могут использовать приложения промежуточного слоя, отличные от Drivelock. Вы можете установить промежуточное ПО других поставщиков, например CACKey, прямо из Интернет-магазина Chrome.

    Шаг 3. Установите все необходимые корневые и промежуточные сертификаты

    В зависимости от того, к каким сайтам вы пытаетесь получить доступ, вам может потребоваться установить на Chromebook доверительные корни и посредники. Как только эти сертификаты будут идентифицированы, вы можете установить их, перейдя по URL-адресу chrome://certificate-manager, а затем выбрав Полномочия > Импорт… После выбора файла Chrome попросит вас настроить доверие. настройки для определенного рута. Установите все соответствующие флажки и нажмите OK.

    Примечание. Установка корневого сертификата на устройство — это очень важная операция, связанная с конфиденциальностью и безопасностью. Убедитесь, что вы устанавливаете только корни доверия, полученные и проверенные из источников, которым вы доверяете.

    Шаг 4. Разрешите промежуточному ПО обмениваться данными с коннектором смарт-карт

    Таким приложениям, как Citrix и Drivelock, потребуется подключиться к коннектору смарт-карт для связи с вашими картами и считывателями. Поскольку карты и устройства чтения содержат конфиденциальную информацию о пользователе, приложение-коннектор покажет пользователям диалоговое окно с разрешениями, прежде чем предоставить доступ к какому-либо приложению. Если вы видите диалоговое окно разрешения, запрашиваемое сторонним приложением, которому вы доверяете, нажмите РАЗРЕШИТЬ, чтобы продолжить.

    Дополнительная информация

    Поддерживаемые устройства чтения смарт-карт

    Следующие устройства чтения соответствуют требованиям Google. Этот список создан из файлов проекта с открытым исходным кодом «CCID Free Software driver». Подробнее см. в разделе об авторских правах и лицензировании.

    Chrome не соответствует сертификату на карте

    Скорее всего, проблема связана с настройкой корневого и промежуточного сертификатов. Пожалуйста, убедитесь, что вы следовали инструкциям, чтобы установить их правильно. Если эта проблема не исчезнет, ​​возможно, лучше отправить отчет об ошибке с дополнительной информацией.

    Chrome сохраняет соединение открытым после удаления карты

    Если пользователь удалит свою карту, Chrome не завершит сеанс связи с этим сервером. Это работает по назначению (и это поведение по умолчанию в Chrome на других платформах). Chrome попытается пройти повторную аутентификацию только при запросе сервера; это параметр безопасности, установленный вашим администратором. Если вы проводите тестирование и вам необходимо принудительно выполнить повторную аутентификацию на сервере, попробуйте использовать окно в режиме инкогнито, которое не будет использовать предыдущий сеанс и не будет сохраняться в последующих запросах.

    Нет обратной связи интерфейса при неправильном PIN-коде

    Если пользователи вводят неправильный PIN-код, Drivelock не предлагает прямой обратной связи в диалоговом окне. Пользователю нужно будет перейти на сайт, чтобы снова запросить PIN-код.

    Предоставленные сертификаты не фильтруются

    Все сертификаты предоставляются системе независимо от их типа. сертификаты для подписи электронной почты также отображаются в раскрывающемся диалоговом окне. Вы должны знать, какой сертификат необходим для определенного веб-сайта, чтобы выбрать его из раскрывающегося списка. Это может означать эксперименты по выбору первого, второго или даже третьего явно идентичного сертификата с вашей карты при аутентификации на некоторых сайтах. Порядок остается стабильным при разных попытках, поэтому это нужно сделать только один раз.

    Поддерживается ли ваш кард-ридер?

    Поддерживается ли ваш тип смарт-карты или Yubikey?

    • Проверьте свою смарт-карту или Yubikey:
    • Войдите на устройство с Chrome OS.
    • Установите приложение для подключения смарт-карт.
    • Установите промежуточное ПО для смарт-карт CSSI.
    • Вставьте Yubikey в разъем USB или смарт-карту в устройство чтения.
    • Приложение CSSI должно иметь следующий статус:
      • Готово
      • Считыватель и смарт-карта готовы к запросам

      Примечание: для ключей Yubikey убедитесь, что используется слот Yubikey 9a/аутентификация.

      Является ли ваш сертификат смарт-карты читаемым и поддерживается?

      • Проверьте свою смарт-карту или Yubikey:
      • Войдите на устройство с Chrome OS.
      • Установите приложение для подключения смарт-карт.
      • Установите промежуточное ПО для смарт-карт CSSI.
      • Вставьте Yubikey в USB-разъем или смарт-карту в считывающее устройство. Считыватель и смарт-карта готовы к запросам.
      • Нажмите кнопку "Тест" в приложении CSSI.
      • Приложение CSSI должно иметь следующий статус:
        • Подписание выполнено успешно
        • Операция подписания успешно выполнена

        Примечание. Если ваша смарт-карта не читается, но поддерживается, проверьте конфигурацию смарт-карты.

        Если у вас возникнут проблемы во время развертывания, вы можете отправить отчет об ошибке. Отчеты об ошибках должны содержать:

        Описание проблемы и инструкции по ее воспроизведению, желательно включая скринкаст.

        Веб-сайт, к которому вы пытаетесь подключиться. Создавайте отдельные отчеты об ошибках для разных веб-сайтов.

        Информация о системе, карте и считывателе.

        Версия Chrome OS

        Тип устройства чтения смарт-карт

        Информация о смарт-карте – поставщик, тип и профиль смарт-карты

        Журналы соединителя смарт-карт. Внизу экрана коннектора смарт-карт есть ссылка, позволяющая пользователю экспортировать журналы. Это копирует все журналы в буфер обмена. Используйте любое приложение для редактирования текста, чтобы сохранить эти журналы и добавить в отчет об ошибке.

        Журналы приложения промежуточного слоя. У каждого приложения промежуточного слоя есть собственный метод извлечения журналов. Например, в приложении DriveLock журналы можно извлечь из консоли разработчика.

        Перейдите на страницу chrome://extensions.

        В правом верхнем углу выберите Режим разработчика.

        Прокрутите до расширения DriveLock и выберите фоновую страницу.

        Вверху выберите Консоль.

        Щелкните правой кнопкой мыши в любом месте списка и выберите Сохранить как…, чтобы экспортировать журналы.

        Сетевые журналы. Некоторые проблемы могут быть связаны с тем, как Chrome обрабатывает клиентские подключения. На устройствах с Chrome 85 или более поздней версии вы можете экспортировать журналы в заархивированный файл .tgz. Подробнее читайте в разделе Как собирать журналы устройств Chrome.
        Примечание. Поскольку журналы могут быть очень подробными, попробуйте ограничить сбор журналов только тем сценарием, который вызывает проблему. Например, не выполняйте поиск в Google во время записи журналов.

        Заполнив отчет об ошибке, обратитесь в службу поддержки.

        Отправить отзыв

        Если вы решите отправить нам отзыв, например, предложить улучшить функции, мы можем принять меры на основании вашего отзыва.

        Google и соответствующие знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.

        <р>1. Возможно, на жетоне перегорел светодиод (лампочка). Для проверки необходимо:

        • Откройте "Пуск" > "Панель управления" > "Панель управления Рутокен" (если этот пункт отсутствует, то следует обновить драйвер Рутокена).
        • В открывшемся окне «Панель управления Рутокен» проверьте, отображается ли токен в пункте «Читатели», а также активны ли кнопки «Ввести PIN-код» (или «Войти») и «Информация». Если кнопки активны, то лампочка просто перегорела (на работу Рутокена это не повлияет). Если кнопки неактивны, перейдите к шагу 2.
        <р>2. Подключите Рутокен к другому USB-порту.

        <р>3. Запустить/перезапустить службу «Смарт-карта». Для этого:

        • Выберите «Пуск» > «Панель управления» > «Администрирование» > «Службы». Найдите в списке службу "Смарт-карта" и проверьте значение в столбце "Статус".
        • Если служба запущена, перезапустите ее. Нужно щелкнуть правой кнопкой мыши по строке с названием службы и выбрать «Перезапустить».
        • Если служба остановлена, ее необходимо запустить. Для этого щелкните правой кнопкой мыши строку с названием службы и выберите «Запустить».
        <р>4. Переустановите драйвер Рутокен, предварительно отключив носитель от компьютера.
        Для этого откройте меню «Пуск» > «Панель управления» > «Установка и удаление программ» (для Windows Vista\Windows Seven меню «Пуск» > «Панель управления» > «Программы и компоненты»). В списке найдите пункт «Драйвера Рутокен» и выберите «Удалить». После удаления необходимо перезагрузить компьютер и заново установить драйвер Рутокен.

        <р>5. Если переустановка драйвера не устранила ошибку, необходимо установить драйвер с помощью меню «Диспетчер устройств». Процедура установки зависит от операционной системы. Ниже приведены настройки для:

        Установка драйвера для Windows Vista\Windows Seven

        <р>2.В открывшемся меню выберите «Диспетчер устройств».

        <р>3. В открывшемся окне проверьте наличие в списке пункта «Другие устройства», отмеченного желтым значком.

        <р>4. Необходимо выделить строку «ruToken» и выбрать «Обновить драйверы».

        <р>6. Нажмите на кнопку «Обзор», укажите каталог C:\Windows\System32\Aktiv Co и нажмите на кнопку «Далее». Указанный каталог может быть скрыт. В этом случае нужно выбрать меню «Инструменты» > «Параметры папок» > «Вид», установить переключатель «Показывать скрытые файлы, папки и диски» и повторно выбрать каталог.

        <р>7. Дождитесь окончания установки и нажмите кнопку "Закрыть".

        <р>8. После установки драйвера устройство отобразится в разделе «Контроллеры USB». Также должен загореться диод на жетоне.

        Установка драйвера для Windows XP

        <р>1. Щелкните правой кнопкой мыши значок "Мой компьютер" и выберите пункт "Свойства".

        <р>2. В окне "Свойства системы" перейдите на вкладку "Оборудование" и нажмите кнопку "Диспетчер устройств".

        <р>3. В открывшемся окне проверьте наличие в списке элемента «ruToken» (или «Неизвестное устройство»), отмеченного желтым значком. Вам нужно щелкнуть по нему правой кнопкой мыши и выбрать «Обновить драйвер».

        <р>4. В окне «Мастер обновления оборудования» выберите переключатель «Установить из списка или определенного места».

        <р>5. В открывшемся окне нажмите кнопку «Обзор», укажите путь к каталогу C:\Windows\system32\Aktiv Co\rt USB и нажмите кнопку «Далее». Указанный каталог может быть скрыт. В этом случае необходимо выбрать меню «Инструменты» > «Параметры папок» > «Вид», установить переключатель «Показывать скрытые файлы, папки и диски» и повторить выбор каталога

        <р>6. Дождитесь окончания установки и нажмите кнопку "Готово".

        <р>7. Когда установка драйвера будет завершена, устройство отобразится в разделе Универсальные контроллеры. последовательная шина USB. Также должен загореться диод на жетоне.

        <р>6. Если выполнение инструкций не помогло исправить ошибку, скорее всего, токен неисправен. Чтобы убедиться в этом, следует подключить Рутокен к компьютеру, на котором никогда не устанавливался драйвер. Если носитель работает правильно, должен запуститься мастер нового оборудования. Если при подключении рутокена ничего не происходит, то скорее всего носитель неисправен и требует замены.

        Если копия сертификата была сохранена, ее следует использовать для работы в системе Контур.Экстерн, предварительно установив сертификат. Если копии не сохраняются, необходимо обратиться в сервисный центр для внеплановой замены ключа.

        Для корректной работы в системе ЕГАИС вам необходимо зайти в личный кабинет организации на официальном сайте. Уже на этом этапе многие пользователи сталкиваются с серьезными проблемами. Одна из них — сайт ЕГАИС не видит ключ.

        Наиболее вероятные причины

        Причин возникновения этой проблемы может быть несколько. Чаще всего токен не удается найти из-за технических проблем с компьютером, отсутствия драйверов или необходимых надстроек. Как решить каждую из этих проблем?

        Вставлен не тот носитель

        Многие предприниматели путают ключ jacarta с электронной подписью для подачи деклараций в ФСРАР, и пытаются войти в личный кабинет с помощью последней.Есть несколько способов проверить, правильно ли вы вставили носитель.

        • Изучите сертификат электронной подписи, выданный центром сертификации. Он должен содержать тип серийного номера JC-xxxxxxxxx и тип носителя Jacarta PKI/GOST.
        • открыть " Единый клиент Jakarta. Если флешка определяется, но подключенные токены не отображаются в окне программы, возможно, вы используете не тот носитель.

        Если вы еще не приобрели egais, где взять jacarta с электронной подписью? Обратитесь в удостоверяющий центр в вашем регионе, который уполномочен продавать этот тип ЦИК.

        Драйвер для аппаратного ключа egais не установлен

        Возможно, вы пытаетесь использовать ключ egais, драйвер которого еще не установлен. При первом подключении jacarta происходит автоматическая установка основных программ. Это стандартная процедура для любого нового флэш-накопителя, которая занимает от 1 до 5 минут.

        После завершения установки в правом нижнем углу появится уведомление об успешном завершении.

        Не пытайтесь войти в личный кабинет до появления драйверов - в этот момент ваш компьютер еще не установил соединение с электронной подписью!

        Jacarta Unified Client не установлен

        Программа выпускается разработчиком токена и требует установки. Скачать его и другие драйверы для защищенных носителей можно на сайте производителя токена Aladdin-RD.

        USB-порт не работает

        Есть два решения:

        • Вставьте токен в другой порт и снова запустите проверку;
        • проверьте, работает ли порт USB.

        Для проверки подключите любую другую рабочую флешку к USB. Если он тоже не определяется, то проблема в USB. Поговорите с техническим специалистом вашей организации или ремонтником.

        Когда носитель Jacarta правильно вставлен в компьютер, загорится индикатор на носителе. В зависимости от модели он может быть зеленым или оранжевым. Если индикатор не горит, то ключ не может быть найден ЕГАИСом, так как он не подключен.

        Отключена надстройка Рутокен ЭЦП 2.0

        При попытке входа в систему внизу экрана браузера может появиться сообщение о надстройке библиотеки веб-аутентификации Рутокен. Это программное обеспечение, предоставленное ФСРАР, является безопасным и необходимым для корректной работы сайта. Для начала нажмите «разрешить» во всплывающем окне, а затем повторите проверку еще раз.

        Как правильно пользоваться аппаратным ключом ЕГАИС?

        Итак, первые проблемы решены, и вы успешно вошли в личный кабинет. Как избежать повторения подобных ситуаций? Вставляйте CEC только для работы и не используйте его в другое время, чтобы предотвратить перегрев носителя. Перед началом всегда проверяйте индикатор - он сигнализирует о том, что токен работает корректно.

        Для того, чтобы проверить готовность идентификатора ключа Рутокен к настройке для работы с ЕГАИС, откройте «Панель управления Рутокен» - вкладка «Администрирование» - кнопка «Информация» - и проверьте статус напротив «Microsoft Поле «Базовый криптопровайдер смарт-карты»:

        Поддерживается

        Этот статус означает, что электронный идентификатор Рутокена уже готов к настройке криптопровайдера по умолчанию. Перейти ко второму пункту этой инструкции - "Сменить криптопровайдера по умолчанию"

        Если статус поддерживается, перейдите к

        Если в поле "Основной криптопровайдер смарт-карт Майкрософт" указано состояние "Активировать" или "Не поддерживается", перейдите к шагу 2.

        2. Включение поддержки криптопровайдера для Рутокен ЭЦП

        Для проверки готовности идентификатора ключа Рутокен к настройке для работы с ЕГАИС откройте "Панель управления Рутокен" - вкладка "Администрирование" - кнопка "Информация" - и проверьте статус напротив "Microsoft Base Smart". Поле Card Crypto Provider:

        Активировать

        Если у пользователя или администратора установлен нестандартный PIN-код, его нужно будет ввести во время активации.

        Обратите внимание, что если оба PIN-кода не соответствуют значениям по умолчанию, для активации необходимо будет ввести PIN-код Администратора, затем последовательно Пользователя.

        Если один или оба PIN-кода неизвестны, вы должны связаться с компанией, которая предоставила вам идентификатор ключа, чтобы получить PIN-коды.

        Если нет возможности узнать текущие значения ПИН-кода, остается только отформатировать идентификатор Рутокен для установки новых значений ПИН-кода. Обратите внимание, что при форматировании идентификатора ключа весь контент безвозвратно удаляется.

        После процедуры активации статус в поле "Основной криптографический поставщик смарт-карт Microsoft" должен измениться на "Поддерживается"

        для продолжения настройки идентификатора ключа Рутокен перейдите к пункту 2.

        Не поддерживается

        Статус «Не поддерживается» отображается при попытке настройки модели Рутокен, не предназначенной для работы с ЕГАИС, например, или . Только модель подходит для работы с ЕГАИС

        3. Изменение поставщика криптографии по умолчанию

        Откройте "Пуск" - ("Настройка") - "Панель управления" - "Панель управления Рутокен" - вкладка "Настройка" - в пункте "Настройка криптопровайдера" нажмите кнопку "Настройка".

        В окне "Настройки криптопровайдера" для электронного идентификатора Рутокен ЭЦП 2.0 выберите "Microsoft Base Smart Card Provider".

        Если компьютер будет генерировать пару ключей RSA, установите в нижнем поле значение Microsoft Enhanced RSA and AES Cryptographic Provider

        Чтобы сохранить изменения, нажмите кнопку "ОК".

        4. Настройка рабочего места для работы с порталом ЕГАИС.

        подробную инструкцию по генерации транспортного ключа в личном кабинете ЕГАИС и установке универсального транспортного модуля можно посмотреть.

        Сложности валидации на сайте РТС-Тендер возникают из-за того, что браузерная Плагин ЭЦП не видит ключ РуТокен или только сертификат подписи. Выяснить, почему ПК не видит ключ электронной подписи, поможет инструкция поставщика специализированного ПО, тематического форума на сайте ФНС или ресурсах ЭЦП, а также специалисты службы технической поддержки производителя крипто-ПО. .

        Как это должно работать

        Почему компьютер не видит ЭЦП? Вроде ключ в виде флешки (тот же РуТокен) есть, и утилита Крипто-Про установлена, но ЭЦП не проверяется. Основная причина в том, что ПК изначально не видит флешку ЭЦП. Обычно это происходит из-за попытки запуска ключа на устройстве с неподдерживаемой ОС. Ведь каждый ключ-флешка делается для своей среды, и банальное обновление ОС может привести к потере совместимости с имеющимся ключом ЭЦП (флешкой).

        Когда провайдер шифрования установлен на поддерживаемом устройстве, согласно инструкции, но компьютер все равно не видит ЭЦП, проблема может быть в самом ключе. Обратитесь в службу поддержки, чтобы разобраться. Там вас попросят скриншоты:

        • Версии/сборки CSP (вкладка "Общие");
        • ошибки при подключении контейнера ЭЦП.

        Кроме того, сообщите специалистам, где вы получили ЭЦП, на какой носитель у вас установлен контейнер (рутокен, этокен, флешка или реестр) и какая ОС используется (разрядность, сборка).

        Компьютер не видит сертификат ЭЦП: первые шаги

        Если компьютер не видит сертификат электронной подписи, то в операционной системе Windows нужно зайти по адресу:

        Пуск - Панель управления - КриптоПРО CSP - Сервис - Тест - По сертификату. Так вы сможете понять, установлен ли сертификат в личном хранилище пользователя с привязкой к RuToken.

        Если браузер пользователя не видит ЭЦП и он не может зарегистрироваться на сайте или подключить ЭЦП, необходимо установить, занесен ли интересующий сайт в доверенные:
        Пуск - Все программы - КРИПТО-ПРО - Плагин для браузера настроек ЭЦП.

        Лучше использовать браузер Internet Explorer, так как в других браузерах java-скрипт может работать некорректно.

        Если компьютер не видит ЭЦП, то в первую очередь необходимо посетить тематический форум компании КриптоПро. Если вопрос не решается самостоятельно, то обратитесь в службу поддержки (отправить туда журналы событий системы и приложений, указать версию/сборку CSP, ОС).

        Ключ/сертификат не ставится

        Почему КриптоПро CSP может не видеть ключи? Вы должны проверить следующие параметры:

        • правильно ли установлена ​​программа (работает ли служба установщика Windows);
        • есть доступ к сети;
        • правильный ключ был выпущен в сертифицированном центре.

        При установке желательно сделать так:

        установите личный сертификат, следуя указаниям мастера установки

        указать через "Обзор" расположение файла сертификата с расширением .cer

        выбрать контейнер закрытого ключа (через "Обзор" выбрать сертификат на считывателе - флешке/дискете)

        Если предыдущие ключи когда-то были неправильно установлены, а новый носитель не устанавливается, то необходимо очистить реестр (Windows). Для этого в панели CSP есть кнопка «Удалить запомненные пароли».

        Если ошибок в событиях приложений не было, но журналы событий показали их в системе, необходимо проверить файлы Sfc/scannow, а затем перерегистрировать компоненты MSIExec/unregister, затем - MSIExec/regserver.

        Трудный случай

        Если для работы используется флешка или дискета, копирование можно выполнить средствами Windows (данный способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с приватным ключом (и файл сертификата, если он есть) необходимо поместить в корень флешки (дискеты). Не рекомендуется изменять имя папки при копировании.

        Папка с закрытым ключом должна содержать 6 файлов с расширением .key. Ниже приведен пример содержимого такой папки.

        Копирование контейнера также можно выполнить с помощью провайдера шифрования КриптоПро CSP. Для этого выполните следующие действия:

        <р>1. Выберите Пуск/Панель управления/КриптоПро CSP.

        <р>2. Перейдите на вкладку «Сервис» и нажмите кнопку «Копировать». (см. рис. 1).

        Рис. 1. Окно "Свойства КриптоПро CSP"

        <р>3. В окне Копирование контейнера закрытого ключа нажмите кнопку Обзор (см. рис. 2).

        Рис. 2. Копирование контейнера закрытого ключа

        <р>4. Выберите контейнер из списка, нажмите кнопку ОК, затем Далее.

        Рис. 3. Имя контейнера ключей

        <р>6. В окне «Вставить и выбрать носитель для контейнера закрытого ключа» необходимо выбрать носитель, на котором будет размещен новый контейнер (см. рис. 4).

        Рис. 4. Выбор чистого ключевого носителя

        <р>7. Новому контейнеру будет предложено установить пароль. Установка пароля не обязательна, можно оставить поле пустым и нажать на кнопку ОК (см. рис. 5).

        Рис. 5. Установка пароля на контейнер

        При копировании на носитель Рутокен сообщение будет звучать иначе (см. рис. 6)

        Рис. 6. Пин-код контейнера

        Обратите внимание: если вы потеряете пароль/пин-код, использование контейнера станет невозможным.

        <р>8. После завершения копирования система вернется к Сервису в окно КриптоПро CSP. Копирование завершено. Если вы планируете использовать новый ключевой контейнер для работы в системе Контур-Экстерн, необходимо установить персональный сертификат (см. Как установить персональный сертификат?).

        Для массового копирования загрузите и запустите утилиту Certfix.

        Если ни одно из предложенных ниже решений не устраняет проблему, возможно, ключевой носитель поврежден и нуждается в ремонте (см. ). Невозможно восстановить данные с поврежденной смарт-карты или реестра.

        Если есть копия ключевого контейнера на другом носителе, то необходимо использовать его для работы, предварительно установив сертификат.

        Диска

        Если в качестве контейнера для ключей используется дискета, необходимо выполнить следующие шаги:


        1. Убедитесь, что папка с файлами находится в корне дискеты: header, masks, masks2, name, primary, primary2. Файлы должны иметь расширение . ключ xxxxxx.000.

        контейнер закрытого ключа был поврежден или удален


        2. Диск X (для КриптоПро CSP 3.6 - Все съемные диски), где X - буква диска. Для этого:

        • Выберите меню;
        • Перейдите на вкладку Оборудование и нажмите кнопку Настроить считыватели.


        3. В окне Выбор ключевого контейнера установите переключатель Уникальные имена (см. рис. 1).

        Рис. 1.Выбор ключевого контейнера

        • Выберите меню Пуск/Панель управления/КриптоПро CSP;
        • Перейдите на вкладку Сервис и нажмите кнопку Удалить запомненные пароли;
        • Отметьте пункт Пользователь и нажмите кнопку ОК (см. рис. 2).

        Рис. 2. Окно «Удалить запомненные пароли»

        <р>5. Как скопировать контейнер с сертификатом на другой носитель?).


        Флешка

        Если в качестве ключевого носителя используется флешка, необходимо выполнить следующие действия:


        1. Убедитесь, что в корне носителя находится папка с файлами: header, masks, masks2, name, primary, primary2. Файлы должны иметь расширение .key, а формат имени папки должен быть следующим: xxxxxx.000.

        Если какие-либо файлы отсутствуют или неправильно отформатированы, возможно, контейнер закрытого ключа был поврежден или удален. Также необходимо проверить, не содержится ли эта папка с шестью файлами на другом носителе.


        2. Убедитесь, что ридер настроен в КриптоПро CSP Drive X (для КриптоПро CSP 3.6 - Все съемные диски), где X - буква диска. Для этого:

        • Выберите меню Пуск/Панель управления/КриптоПро CSP;
        • Перейдите на вкладку Оборудование и нажмите кнопку Настроить считыватели.

        Если считывателя нет, его необходимо добавить (см. Как настроить считыватели в КриптоПро CSP?).


        3. В окне Выбор ключевого контейнера установите переключатель Уникальные имена.


        4. Удалить запомненные пароли. Для этого:

        Рис. 3. Окно «Удалить запомненные пароли»

        <р>5. Сделайте копию ключевого контейнера и используйте его для работы (см. Как скопировать контейнер с сертификатом на другой носитель?).


        6. Если на рабочем месте установлена ​​версия КриптоПро CSP 2.0 или 3.0, а в списке ключевых носителей есть Диск А (Б), то его необходимо удалить. Для этого:

        • Выберите меню Пуск/Панель управления/КриптоПро CSP;
        • Перейдите на вкладку «Оборудование» и нажмите кнопку «Настроить считыватели»;
        • Выберите диск A или диск B для чтения и нажмите кнопку Удалить.

        После удаления этого ридера работа с дискетой будет невозможна.


        Рутокен

        Если в качестве ключевого носителя используется смарт-карта Рутокен, необходимо выполнить следующие действия:

        <р>1. Убедитесь, что лампочка на рутокене горит. Если свет не горит, то следует воспользоваться следующими рекомендациями.

        <р>2. Убедитесь, что считыватель настроен в КриптоПро CSP Рутокен (для КриптоПро CSP 3.6 - Все считыватели смарт-карт). Для этого:

        • Выберите меню Пуск/Панель управления/КриптоПро CSP;
        • Перейдите на вкладку Оборудование и нажмите кнопку Настроить считыватели.

        Если считывателя нет, его необходимо добавить (см. Как настроить считыватели в КриптоПро CSP?).

        <р>3. В окне Выбор ключевого контейнера установите переключатель Уникальные имена.

        <р>4. Удалить запомненные пароли. Для этого:

        Рис. 4. Окно «Удалить запомненные пароли»

        <р>5. Обновите модули поддержки, необходимые для работы Рутокена. Для этого:

        • Отключите смарт-карту от компьютера.
        • Выберите меню Пуск/Панель управления/Установка и удаление программ amm (для Windows Vista\Seven Пуск/Панель управления/Программы и компоненты);
        • Выберите из открывшегося списка Модули поддержки Рутокен и нажмите кнопку Удалить.

        После удаления модулей необходимо перезагрузить компьютер.

        • Загрузите и установите последние модули поддержки. Дистрибутив доступен для скачивания на сайте компании «Актив».

        После установки модулей необходимо перезагрузить компьютер.

        <р>6. Увеличить количество отображаемых контейнеров в КриптоПро CSP на Рутокен следует по следующей инструкции.

        <р>7. Обновите драйвер Рутокен (см. Как обновить драйвер Рутокен?).

        <р>8. Убедитесь, что Рутокен содержит контейнеры ключей. Для этого вам необходимо проверить объем свободной памяти на носителе, выполнив следующие действия:

        • Откройте Пуск (Настройки)/Панель управления/Панель управления Рутокен (если этот пункт отсутствует, то следует обновить драйвер Рутокена).
        • В открывшемся окне Панели управления Рутокен в пункте Читатели необходимо выбрать Activ Co. ruToken 0 (1,2) и нажать кнопку Информация (см. рис. 5).

        Если рутокен не виден в пункте Читатели или по нажатию кнопки Информация Появляется сообщение Состояние памяти РуТокен не изменилось, значит носитель поврежден, необходимо обратиться в сервисный центр за незапланированная замена ключа.

        Рис. 5. Окно программы Панель управления Рутокен.

        • Проверьте, какое значение находится в строке Free memory (bytes).

        В качестве ключевого носителя в сервисных центрах выпускаются роутокены с объемом памяти около 30 000 байт. Один контейнер занимает около 4 Кб.Свободная память руткена, содержащего один контейнер, составляет около 26 000 байт, два контейнера — 22 000 байт и т. д.

        Если объем свободной памяти руткена больше 29-30 000 байт, то контейнеров ключей на нем нет (см. рис. 6). Поэтому сертификат содержится на другом носителе.

        Рис. 6. Окно «Информация о Рутокен».


        Реестр

        Если средство чтения реестра используется в качестве носителя ключей, необходимо выполнить следующие действия:


        1. Убедитесь, что считыватель настроен в КриптоПро CSP Registry. Для этого:

        • Выберите меню Пуск/Панель управления/КриптоПро CSP;
        • Перейдите на вкладку Оборудование и нажмите кнопку Настроить считыватели.

        Если считывателя нет, его необходимо добавить (см. Как настроить считыватели в КриптоПро CSP?).


        2. В окне Выбор ключевого контейнера установите переключатель Уникальные имена.

        Довольно часто при выдаче сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с невосстановимым ключом. Вендоры удостоверяющих центров уверяют, что купив у них СКЗИ КриптоПРО CSP и токен с несъемным ключом (Рутокен ЭЦП или JaCarta ГОСТ), мы получим сертифицированные сертификаты СКЗИ, обеспечивающие 100% защиту от кражи ключа с токена . Но так ли это на самом деле? Чтобы ответить на этот вопрос, проведем простой эксперимент.

        Конфигурация испытательного стенда

        1. ОС Windows 7 SP1
        2. Инструмент защиты криптовалюты Crypto PRO CSP 3.9.8423
        3. Драйверы рутокена для Windows (x86 и x64). Версия: v.4.1.0.0 от 20.06.2016, WHQL-сертифицировано
        4. Единый клиент JaCarta и JaCarta SecurLogon. Версия 2.9.0, сборка 1531
        5. CryptoARM Standard Plus 5. Версия 5.2.0.8847.
          1. Рутокен ЭЦП. Версия от 19.02.14.00 (02)
          2. JaCarta ГОСТ. Номер модели JC001-2.F09 v2.1

          Методология тестирования

          1. генерируются контейнер закрытого ключа и запрос сертификата открытого ключа;
          2. после прохождения процедуры сертификации в удостоверяющем центре сертификат получен по запросу;
          3. сертификат вместе с контейнером закрытого ключа формирует ключевую информацию, готовую к использованию. Эта ключевая информация, записанная на носителе, будет называться исходным ключевым документом ;
          4. с оригинального ключевого документа делаются копии, которые записываются на одноразовые носители (далее мы будем называть их рабочими ключевыми документами) и передаются авторизованным пользователям;
          5. после подготовки необходимого количества документов с рабочим ключом исходный документ с ключом уничтожается или сдается на хранение в орган криптографической защиты информации.

          Тестирование

          Для этого с помощью CryptoARM создайте в реестре контейнер закрытого ключа test-key-reestr, содержащий самоподписанный сертификат (CN = test)









          С помощью стандартных средств криптографической защиты информации КриптоПро CSP (Пуск -> Панель управления -> КриптоПро CSP) скопировать контейнер ключей test-key-reest на ключевые носители Рутокен ЭЦП и JaCarta ГОСТ. Контейнерам ключей на ключевых носителях мы присвоим имена test-key-rutoken и test-key-jacarta соответственно.
          Описание дано применительно к JaCarta ГОСТ (действия аналогичны для Рутокен ЭЦП):





          Итак, мы получили рабочие ключевые документы для JaCarta ГОСТ (контейнер test-key-jacarta) и Рутокен ЭЦП (контейнер test-key-rutoken).

          Стандартными средствами КриптоПРО CSP удалим из реестра ключевой контейнер test-key-reestr.

          Попробуем скопировать контейнеры ключей test-key-rutoken и test-key-jacarta обратно в реестр.
          Описание дано для JaCarta ГОСТ (для Рутокен ЭЦП действия аналогичны).







          Как мы видим, ключевая информация была успешно скопирована или, выражаясь другим языком, извлечена из токенов с невосстановимым ключом. Получается, что производители токенов и криптовалют врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Изучаем матчасть на жетоны.

          Материал

          То, что на рынке обычно называют токеном с неизвлекаемым ключом, правильно называется носителем функционального ключа (FCN) (доп. информация).

          Основное отличие FCN от обычных токенов (Рутокен S, JaCarta PKI, . ) заключается в том, что при выполнении криптографических преобразований (например, генерации электронной подписи) закрытый ключ не покидает устройство.При использовании обычных токенов закрытый ключ копируется с токена в память компьютера.

          Использование СКЗИ требует специальной организации взаимодействия между прикладным криптографическим программным обеспечением и библиотекой СКЗИ (криптопровайдером или, другими словами, CSP).

          Здесь важно видеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографическую функциональность (например, генерацию ключа, подпись данных и т. д.), и иметь возможность работать с ним.

          Взгляните на наш тестовый стенд свежим взглядом.

          В качестве одного из ключевых носителей использовалась ЭЦП Рутокен. Через «Панель управления Рутокен» о нем можно получить следующую информацию:

          Последняя строка содержит фразу «Поддержка КриптоПРО FCN: Нет», что означает, что у токена нет апплета, с которым может работать КриптоПРО CSP. Таким образом, реализация технологии FCN с использованием средств криптографической защиты информации и токенов, описанных в тестовой конфигурации, невозможна.

          Похожая ситуация и с JaCarta ГОСТ. Более того, КриптоПро ПРО CSP, по крайней мере та версия, которая использовалась на тестовом стенде, использует эти ключевые носители как «обычные токены», которые, в свою очередь, являются просто ключевыми носителями.

          Это утверждение очень просто подтвердить. Для этого нужно поставить КриптоПро ПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. Windows 7 обнаружит токен JaCarta GOST как «устройство чтения смарт-карт Microsoft Usbccid (WUDF)». Теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ будет успешно работать.

          Как сделать все хорошо?

          Для реализации технологии ФКН с использованием продукции ООО «Крипто-ПРО» необходимо:

          <р>1. Купить специальную версию библиотеки СКЗИ:
          - для Рутокен ЭЦП - Система СКЗИ КриптоПро Рутокен CSP.
          - для JaCarta ГОСТ - КриптоПро FCN CSP.

          <р>2. Одновременно с библиотекой CPSI необходимо приобрести специально подготовленные токены, содержащие программные части (апплеты), с которыми может работать КриптоПро Rootoken CSP или КриптоПро FKN CSP соответственно.

          Получается, что Рутокен ЭЦП и JaCarta ГОСТ не являются токенами с невосстановимым ключом?

          Опять нет. Эти устройства могут реализовать функционал СКН (но, возможно, в меньшей степени, чем при использовании их совместно с КриптоПРО КИП), но для этого необходимо программное обеспечение, способное работать с апплетами, размещенными на токенах. Таким программным обеспечением может быть CryptoARM Standard 5 Plus. Он знает как. При генерации пары ключей в мастере КриптоАРМ вы можете выбрать криптопровайдера, который будет использоваться, например, Рутокен ECP или eToken ГОСТ. Это позволит использовать токен в качестве FCN.

          Некоторое время назад в рамках проекта возникла необходимость ограничить одновременное количество компьютеров, имеющих доступ к веб-приложению, работающему в локальной сети заказчика.

          Решение использовать аппаратные USB-токены для идентификации компьютера пришло само собой. Выбор остановился на Рутокен ЭЦП: работает без драйверов, для работы в Web-приложении нужен только плагин для браузера, выпущенный разработчиком. Так как токен должен идентифицировать компьютер, а не пользователя, работа с ним должна быть полностью «прозрачной»: если он есть, то система просто молча работает, не задавая пользователю лишних вопросов.

          Принято решение: при входе в систему подписать учетные данные пользователя неквалифицированной подписью сертификата, хранящегося на Рутокен, с помощью плагина Рутокен, и проверить на сервере. После успешного входа в систему с помощью плагина проверьте физическое наличие того же токена, а при его отсутствии выйдите из системы. В рамках упомянутого проекта этого было достаточно.

          Необходимо создать собственный центр сертификации (ЦС) для обмена подписанными сообщениями, а точнее, для отправки подписанных сообщений от клиента на сервер. Клиентские сертификаты должны располагаться на USB-токенах в контейнерах с закрытыми ключами, а проверка подписи должна выполняться на сервере с помощью инструментов OpenSSL.

          Итак, задача: установка и настройка на линукс-сервере УЦ. Разверните клиентские сертификаты, которые идентифицируют компьютеры на USB-токенах.

          Для ее решения вам потребуется:

          a) Добавьте директивы для подключения механизма токенов в начало файла:


          б) раскомментировать строку


          в) в секции [v3_req] указать следующие параметры:


          d) в секции [v3_ca] уберите критическую опцию из параметра basicConstraints:

          Для чего? Честный ответ: не знаю. Однако все примеры корневых сертификатов, которые я скачал, пытаясь разобраться в теме, были без признака критичности. Я задаюсь вопросом «за что?» более опытные коллеги.

          д) дополнительно установить значения по умолчанию, которые будут предлагаться при выдаче самозаверяющих сертификатов и формировании запросов на выдачу клиентских сертификатов. Эти параметры находятся в разделе [req_distinguished_name] .

          Параметр с постфиксом _default является значением по умолчанию. Пример:

          Когда система попросит вас ввести параметр countryName , в квадратных скобках будет указано, что она оставит значение AU по умолчанию.

          На этом настройка конфигурации OpenSSL завершена. Осталось указать OpenSSL, что необходимо его использовать. Для этого установите переменную среды OPENSSL_CONF:

          а) создать в нем подкаталоги:

          demoCA
          demoCA/private
          demoCA/newcerts

          Примечание: имя demoCA записывается в разделе [CA_default] файла openssl.cnf. Вы можете изменить его (на шаге 2) и затем работать с ним вместо demoCA.

          Алгоритм действий в целом прост:

          а) выдаем корневой сертификат удостоверяющего центра по алгоритму ГОСТ:

          • сгенерировать закрытый ключ для выдачи самозаверяющего сертификата ЦС
          • создайте самозаверяющий сертификат X509, используя сгенерированный ключ
          • создать пару ключей (так называемый контейнер закрытого ключа)
          • создайте запрос на подпись сертификата, используя сгенерированный токен-ключ
          • выдать сертификат для этого запроса
          • сохраните сертификат токена в контейнере закрытого ключа

          Генерация закрытого ключа для сертификата ЦС (используем алгоритм ГОСТ):

          Мы выпускаем самозаверяющий сертификат ЦС:


          Обратите внимание: мы указали в командной строке, что необходимо использовать расширения v3_ca из конфига openssl_cnf. Именно там находится наш ЦС. Срок действия 10 лет. Обычное дело для ЦА. Но возможно и большее.

          В процессе выдачи сертификата система попросит ввести значения параметров, которые находятся в секции [req_distinguished_name] нашего файла openssl.cnf.

          Теперь мы приступаем к операциям с токенами. Если токен новый или отформатирован со значениями по умолчанию, то ПИН пользователя на нем 12345678. Я исхожу из предположения, что это именно так. В противном случае необходимо указать правильный PIN-код пользователя и вообще постараться, чтобы в приведенных ниже примерах имена уже существующих на токене объектов не пересекались с введенными.

          В первую очередь мы сгенерируем пару ключей. OpenSSL не умеет выполнять эту операцию на Рутокен, поэтому воспользуемся утилитой pkcs11-tool из пакета OpenSC:

          Важное примечание: мы указали id 303030303031. Каждые две цифры этого id не что иное, как ASCII-код символов «0» и «1» соответственно. Для операций с OpenSSL это будет иметь вид "id=000001" Мы

          формируем запрос сертификата:


          Если все сделано правильно, то система

          • запросить PIN-код
          • будет запрашивать параметры имени сертификата (из раздела [req_distinguished_name])
          • выдаст файл запроса на подпись сертификата


          Система отобразит сертификат, спросит о решении подписать его (ответьте «y») и о решении сохранить новый сертификат (снова ответьте «y»).

          Сохраняем полученный сертификат для токена:

          Тестирование созданного «чуда». Для этого подписываем и проверяем подпись фразы «Hello, world!»:


          Если все сделано правильно, система запросит PIN-код, подпишет сообщение, затем проверит подпись и в случае успеха выведет исходное сообщение и результат проверки («успех»)

          Примечание . Возвращаясь к заглавной задаче и подписанию с помощью плагина, следует отметить, что по умолчанию плагин выдает результат подписания не в формате PEM, а в формате DER, закодированном в base64. Поэтому для проверки подписи нужно сначала декодировать из base64, а при проверке указать входной формат DER.

          Читайте также: