Проверка подписи на сайте «КриптоПРО»
2. Для установки сертификата следует нажать правой кнопкой мыши на значок
4. Далее появится окно с запросом для выбора ключевого контейнера. Необходимо выделить мышкой имя вашего ключевого контейнера и нажать «ОК»
5. Нажмите кнопку «ОК»
6. Если Вы все сделали правильно, то всплывет окно. Нажмите кнопку «ОК»
8. Из выпадающего списка выберите сертификат пользователя и нажмите «ОК»
9. Введите пароль и нажмите «ОК»
10. Возможно будет предложено установить корневой сертификат сервера доступа. Рекомендуется нажать «ДА» После чего будет выдан запрос на установку сертификата. Следует нажать «ДА»
11. Если Вы все сделали правильно, то иконка «Континент-АП 3.7» станет зеленого цвета!!! «»
Наша команда имеет большой опыт в сопровождении казначейских программ. Мы готовы помочь вам в любом вопросе. Рекомендуйте нас своим коллегам.
4. Проблема с Crypto Pro. Часто обновленные версии программы Крипто Про не совсем правильно работают с программами и сертификатами Казначейства. Мы уже писали об этом, например, здесь. Решение — переустановка Крипто Про на более новую или, наоборот, старую версию.
5. Ограниченные права пользователя. Ошибка Континент АП «Не найден корневой сертификат» была замечена в 10 версии Виндовс. Решение — дать пользователю полные права.
6. Неправильная работа программы Континент АП. Решение — полное удаление и установка актуальной версии программы Континент АП по имеющемуся на официальном сайте Руководству.
Ссылка на скачивание корневых сертификатов Казначейства
1. Сертификат Головного удостоверяющего центра Минкомсвязи,
2. Сертификат Удостоверяющего центра Федерального казначейства.
Даты их выпуска могут меняться, как правило, выпускаются они на несколько лет.
Как установить
Перед установкой корневого сертификата УЦ вы должны убедиться, что у вас установлена программа Крипто-Про и её лицензия активна. По скачанному сертификату надо кликнуть правой кнопкой мыши, выбрать в меню Установить сертификат. Далее выбираете расположение хранилища — Пользователь или Локальный компьютер. Мы рекомендуем выбирать второй вариант. Жмете кнопку Далее. Выбираете Поместить сертификаты в следующее хранилище, нажимаете Обзор, кликаете на Доверенные корневые центры сертификации, нажимаете Ок, Далее и Готово. Появится предупреждающая проведение установки табличка:
Наступил 2019 год. Поэтому в соответствии с письмом УФК по Челябинской области «Об изменении порядка получения сертификатов Континента АП», с 01.01.2019 формирование запросов на сертификаты для работы в СКЗИ Континент АП, должно выполняться только с применением криптопровайдера «Код безопасности CSP» и алгоритма открытого ключа по ГОСТ Р 34.10-2012.
В связи с этим, я решил показать как сделать такой запрос на сертификат Континента АП. Первое, что нужно знать, это то, что такой запрос делается на версии программы не ниже чем 3.7.7.651. Если у вас версия другая, то получите нужную в вашем территориальном отделе Федерального казначейства и обновите свой Континент АП.
Кстати, обновить Континент АП до указанной версии очень просто. Не потребуется даже удалять предыдущую. Просто запускаете установку, а дальше установщик всё сделает сам. Правда это относится к версиям, которые используют криптопровайдер «Код безопасности CSP», например версия Континента АП 3.7.5.474. Если же у вас старая версия, какая как 3.5.68.0, то ее придется удалить штатными методами операционной системы, а потом установить новую.
После этого откроется окошко, где нужно будет заполнить все поля. Я заполнил их так, как вы видите на рисунке ниже, вы же заполняйте по своему:
В блоке «Файлы для сохранения запроса на сертификат», можно отредактировать имена этих файлов. Не забудьте поставить галочку «Бумажная форма» и по кнопкам «Обзор» укажите место для сохранения файлов на вашем компьютере. После нажатия на кнопку «Подробно», откроются варианты выбора криптопровайдера и формата запроса (рис. 2). Как уже говорилось в начале статьи выбираем криптопровайдер «Код безопасности CSP» и формат запроса «Запрос для СД» (запрос для сервера доступа). Имя контейнера тоже можно отредактировать. Если все это сделано, жмем «ОК» и приступаем к процессу генерации закрытых ключей и запроса на сертификат (рис. 3):
Как видно из рисунка 3, на вашем экране появится мишень, которая перемещается по экрану. Ваша задача кликать по ней мышкой и смотреть за полоской индикатора в окне «Код безопасности CSP», которая должна двигаться. С такой мишенью вы сталкивались, если сами устанавливали программу на компьютер, я же рассказывал об том тут. В конце всех этих действий надо нажать на кнопку «ОК» и процесс генерации ключей и запроса продолжится дальше:
После ввода пароля на носитель, а тут нас заставляют это сделать, как видно из рис. 4, минимальная длина пароля должна быть 6 символов и выбора ключевого носителя для записи ключей (рис. 5), генерация будет завершена (рис. 6). Теперь осталось посмотреть печатную форму и файл запроса, которые были сгенерированы вместе с закрытыми ключами. Открываем форму и видим, что алгоритм открытого ключа остался старый, т.е. сделанный по ГОСТ Р 34.10-2001. Это видно на рисунке ниже:
На рис. 8 показан алгоритм открытого ключа в том случае, когда у вас на компьютере установлен Континент АП и выше указанная программа. На рис. 9 показан алгоритм открытого ключа, когда у вас не установлен Континент АП. И в том и в другом случае это нормально. Ну а печатную форму необходимо откорректировать, заменив ее шаблон. На этом всё, спасибо за внимание и пока!
Раздел III. Установка транспортного сертификата.
Полученный в ТОФК транспортный сертификат необходимо скопировать на носитель куда был сформирован закрытый ключ.
Для установки сертификата в Континент-АП необходимо вызвать контекстное меню пиктограммы Абонентского пункта. Для этого необходимо нажать правой клавишей мыши на пиктограмме и в меню «Сертификаты» выбрать «Установить сертификат пользователя» (Рисунок 12).
Рисунок 12 – Установка сертификата пользователя
Рисунок 13 – выбор сертификата пользователя
В появившемся окне необходимо выбрать контейнер закрытого ключа, находящийся на соответствующем ключевом носителе и нажать «ОК» (Рисунок 14).
Рисунок 14 – выбор контейнера
В том случае, если в хранилище сертификатов на компьютере отсутствует корневой сертификат, подтверждающий зарегистрированный сертификат пользователя, на экране появится запрос на его установку (Рисунок 15).
Рисунок 15 – подтверждение автоматической установки сертификата
Для регистрации корневого сертификата необходимо выбрать «Да, автоматически». На экране появится сообщение Windows о том, что будет выполнена регистрация корневого сертификата (Рисунок 16).
Рисунок 16 – предупреждение о безопасности
На предупреждение необходимо ответить «ДА». Корневой сертификат будет зарегистрирован. На экране появится сообщение о том, что регистрация сертификата пользователя завершена (Рисунок 17). Установка сертификатов завершена.
Рисунок 17 – сообщение об успешном завершении
Раздел V. Добавление альтернативных серверов доступа.
Для добавления альтернативных серверов доступа необходимо вызвать контекстное меню пиктограммы Абонентского пункта. Для этого необходимо нажать правой клавишей мыши на пиктограмме и в меню «Создать соединение» выбрать «Ручная настройка» (Рисунок 21).
Рисунок 21 – Создание нового соединения.
В появившемся окне необходимо указать имя нового соединения и указать адрес сервера доступа и нажать «Создать»
Адреса серверов доступа:
Рисунок 22 – Создание нового соединения.
Таким образом можно добавить все доступные адреса серверов доступа.
Для подключения к альтернативным серверам доступа необходимо открыть контекстное меню пиктограммы Абонентского пункта. Для этого необходимо нажать правой клавишей мыши на пиктограмме и в меню «Установить/разорвать соединение» выбрать соединение через которое необходимо осуществить подключение (Рисунок 24).
Рисунок 24 – Выбор соединения для подключения.
Как скопировать контейнер закрытых ключей типа «Код безопасности CSP»
При создании запроса на сертификат Континента АП по ГОСТ Р 34.10-2012, ключи генерируются не программой «КриптоПро», а программой «Код безопасности CSP». Поэтому и копировать ключи необходимо с помощью этой программы. Ведь контейнеры закрытых ключей «Код безопасности CSP» не видны через КриптоПро.
Для того, чтобы в этом убедиться, достаточно сгенерировать запрос на сертификат для Континента АП версии 3.7 и попробовать увидеть получившиеся ключи через КриптоПро. У вас ничего не выйдет.
Когда вы устанавливали к себе на компьютер программу Континент АП версии 3.7, то вместе с ней установился и криптопровайдер «Код безопасности CSP». Увидеть его можно через панель управления. Открываем её и видим:
Заходим в программу (рис. 1) и переходим на вкладку «Ключевые контейнеры» (рис. 2). Затем выбираем ключевой контейнер, который нужно скопировать и жмем кнопку «Копировать» (рис. 3):
После этого нам предлагается ввести пароль к контейнеру, который мы устанавливали при создании запроса. Он состоит как минимум из шести символов (рис. 4). Введите пароль а потом, когда появится окно (рис. 5), придумайте имя для копии контейнера, или оставьте так, как предлагает программа (рис. 5):
Затем необходимо будет выбрать ключевой носитель куда копировать копию закрытых ключей (рис. 6). После этого, когда контейнер скопируется (рис. 7), можно будет убедиться, что контейнеров стало два (рис. 8):
Как видите ничего сложного нет, на этом всё, удачи!
Раздел VI. Часто задаваемые вопросы.
Вопрос: Какой срок действия сертификата?
Ответ: Срок действия транспортного сертификата составляет 1 год и 3 месяца с даты его издания. Срок действия сертификата необходимо отслеживать самостоятельно с момента его получения в ТОФК.
Вопрос: Есть ли дополнительные адреса серверов доступа?
Ответ: Всего существует 3 сервера доступа:
- 2400-SD-01.roskazna.ru
- 2400-SD-02.roskazna.ru
- 2400-SD-03.roskazna.ru
В один момент времени на один сервер можно подключится одним транспортным сертификатом.
Вопрос: При попытке создать новое подключение выходит ошибка «Необходимо запустить программу с правами Администратора».
Ответ: Необходимо закрыть «Континент-АП» нажав на него правой кнопкой мыши и выбрав пункт «Выход». Далее необходимо в меню Пуск найти «Все программы» — «Код Безопасности» – «Континент-АП 3.7» – «VPN Сlient» и нажать по значку правой кнопкой мыши, выбрать пункт «Запуск от имени администратора».
Вопрос: Что делать если в организации предусмотрено больше рабочих мест?
Ответ: Необходимо получить новый сертификат. Для этого необходимо создать запрос на новый сертификат в формате «КодТОФК_КодУБП_#» где # — порядковый номер вашего дополнительного сертификата. (например, 2400_55555_1).
Вопрос: При подключении возникает ошибка «Многократный вход пользователя запрещен». Что делать?
Ответ: Ошибка возникает если вы пытаетесь подключится к серверу, к которому уже совершено подключение вашим сертификатом. За редким исключением ваше предыдущее подключение может быть не сброшено сервером, в таком случае подключитесь на другой сервер или обратитесь в Управления с просьбой сбросить повисшее подключение.
Вопрос: При подключении возникает ошибка «Превышено максимальное количество подключений» Что делать?
Ответ: Ошибка возникает если сервер на который вы подключаетесь перегружен. Воспользуетесь разделом V настоящей инструкции для подключения на другой сервер.
Вопрос: При подключении возникает ошибка «Client-cert not found» Что делать?
Ответ: Ошибка возникает при некорректной работе взаимодействующих приложений КриптоПро CSP и Континент-АП. Рекомендуем последовательно:
Вопрос: После получения нового сертификата, он был установлен, но Континент-АП не подключается с ошибкой «Вставьте ключевой носитель». Окно выбора сертификата не появляется после нажатия «Установить подключение» Что делать?
Ответ: Открыть меню континента-АП – Настройка аутентификации – Континент-АП как показано на рисунке. В разделе «Сертификаты по умолчанию» выбрать пункт «Запрашивать сертификат при подключении». Нажать «ОК» и попробовать подключиться вновь.
Вопрос: При подключении возникает ошибка «Неизвестный клиент» Что делать?
Ответ: Обратиться в Управление по телефону 46-26-16 или написать нам на ящик отдела ufk24_ и сообщить информацию о том какой сертификат вы используете и на какой конкретно сервер вы подключаетесь.
Вопрос: При попытке установить сертификат в Континент-АП возникает ошибка «Неизвестная ошибка импорта сертификатов» Как решить?
Ответ: Ошибка возникает при наличии на рабочей станции в хранилище личных сертификатов, сертификатов в составе полей, которых имеются кавычки «”» или знак «+». Для решения проблемы необходимо удалить такие сертификаты из личного хранилища. Для просмотра хранилища личных сертификатов выберите в меню «Пуск» — «Все программы» — «Крипто-Про» — «Сертификаты пользователя». Чаще всего проблема возникает из-за истекших сертификатов иных удостоверяющих центров (например, «Тензор» (TENSOR CA) или «Эксперт-Центр»).
Вопрос: После установки Континента-АП версии 3.7.5.474 пропадает соединение с сетью организации/интернет.
Ответ: Необходимо открыть свойства локального подключения к вашей сети и снять галочку с «Continent 3 MSE Filter», после чего нажать кнопку ОК.
Сообщения об ошибках возникающих при установке связи абонентского пункта Континент-АП.
Абонентский пункт позволяет устанавливать удаленные защищенные соединения посредством эмулятора модема Continent 3 PPP Adapter. При подключении абонентского пункта Континент-АП могут появляться сообщения об ошибках их решениях, перечисленные ниже.
Ошибка 721 Удаленный компьютер не отвечает.
1) Возможно, у Вас отсутствует подключение к Интернету.
2) Какие-либо программы блокируют порты. Отключите антивирус, брандмауэр.
3) Удалить, если установлен, межсетевой экран, идущий с программой Континент-АП.
4) Если вы используете проводной Интернет, возможно, провайдер заблокировал порты, необходимые для работы программы Континент-АП. Для проверки установите соединение с Интернетом через usb-модем.
Ошибка 628 Подключение было закрыто.
Ошибка 629 Подключение было закрыто удаленным компьютером.
Во вкладке «Сеть», выделить строку «Протокол Интернета TCP/IP» и нажать кнопку «Свойства».
В открывшемся окне поставить следующие переключатели:
Ошибка 703: Подключению требуются некоторые данные от пользователя, но приложение не допускает взаимодействия с пользователем».
Зайти в настройки Континента АП — на закладке «безопасность» кнопку «параметры», кнопка — «свойства», «сбросить запомненный сертификат».
Ошибка 734 Протокол управления PPP-связью был прерван.
1. Ориентироваться на ошибку, которая появляется до этой.
2. Проверить системную дату.
Ошибка. Сервер отказал в доступе пользователю. Причина отказа многократный вход пользователя запрещен .
Подождать несколько минут и заново установить соединение.
Сервер отказал в доступе пользователю. Причина отказа: Client-Cert not found.
Ошибка подписи ключа 0x8009001D(Библиотека поставщика проинициализирована неправильно).
Истек срок действия лицензии программы КриптоПро
Ошибка подписи ключа 0x80090019(Набор ключей не определен).
Ошибка подписи ключа 0x8009001 F(Неправильный параметр набора ключей).
Ошибка подписи ключа 0x00000002 (Не удается найти указанный файл).
Сервер отказал в доступе пользователю. Причина отказа: вход пользователя заблокирован.
Вас заблокировали на сервере УФК. Позвоните и узнайте причину блокировки.
Нарушена целостность файлов. Обратитесь к системному администратору.
Необходимо “исправить” программу Континент-АП через установку и удаление программ
Ошибка 850: На компьютере не установлен тип протокола EAP, необходимый для проверки подлинности подключения удаленного доступа.
Вставьте ключевой носитель. Набор ключей не существует.
- Континент вставлена.
- При установке соединения на этапе выбора сертификата убедитесь, что выбран правильный сертификат.
Вставьте ключевой носитель (Поле «устройства» пустое).
- Нажмите «Добавить»
- Появится окно мастера установки считывателя. Нажмите «Далее»
Пропала пиктограмма, расположенная в трее.
Сертификат Континента АП.
В одной из своих статей я рассказывал как установить программу Континент АП на Windows 7. Дело в том, что эта программа использует в своей работе сертификаты, с помощью которых создается защищенное соединение и обмен данными с сервером доступа Континента АП. В этой статье я постараюсь рассказать как создать запрос на издание сертификата для Континента АП, а также как установить этот сертификат в программу.
После установки Континента АП, у вас в трее должен появиться значёк «серый щит». Если кликнуть этот «щит» правой кнопкой мышки, то появится контекстное меню, как показано на картинке ниже:
Тут надо выбрать пункт меню «Сертификаты», а затем «Создать запрос на пользовательский сертификат». Откроется следующее окошко (рис.2):
Эту форму необходимо заполнить. Перед этим не забудьте вставить чистый ключевой носитель. Ведь после заполнения этой формы начнется генерация закрытых ключей, которая происходит на отторгаемый ключевой носитель. Это может быть, например, флешка. Если вы используете на своём компьютере программу Крипто ПРО 3.6 и выше, то там флешки включены по умолчанию. А если быть более точным, то «Все съёмные носители». Генерацию на ключевой носитель типа «Реестр» не рассматриваю, т.к. это запрещено в нашем УФК.
Итак, вернемся к заполнению формы (рис.2). Как можно видеть, она состоит как бы из двух блоков. Я их обвел желтым контуром. Если с верхним блоком все интуитивно понятно (надо заполнить все поля), то на нижнем остановлюсь подробнее. Сразу необходимо установить галку «бумажная форма». По умолчанию она не установлена. По кнопкам «Обзор» можно выбрать место для сохранения файлов. А их будет два. *.reg и *.html. Имена файлов можно отредактировать так, как вам будет удобно, не меняя, конечно же, расширения файлов.
По умолчанию программа предлагает сохранить под следующим именем: имя компьютера в сети (я обвёл синим контуром), дата и время создания запроса. Как видно из рисунка, запрос создавался 10.12.2015 в 9 часов 51 минуту 46 секунд на компьютере с именем «imyacompa». Последние 3 символа добавляются случайным образом. Они всегда состоят из трёх цифр и какой-то системы в их генерации я не заметил.
Стоит отметить, что если вы скачали у меня с сайта программу Континент АП версии 3.5.68.0, то скорее всего там старый шаблон печатной формы. После установки данной программы, вам необходимо поменять этот шаблон. Это актуально для нашего региона, а именно Челябинской области. Изменение шаблона печатной формы затронет только печатную форму в формате *.html, на *.req файл это не окажет никакого влияния.
Итак, определившись с именем файлов, можно запустить генерацию запроса на сертификат, нажав кнопку «ОК». Как уже было сказано выше, мы получим 2 файла *.req и *.html, а также закрытые ключи на флешке или любом другом носителе.
Дальше необходимо действовать в соответствии с порядком предоставления запросов на сертификат, который действует в вашем УФК. У нас мы распечатываем *.html файл на бумажном носителе, подписываем владельцем сертификата и руководителем организации. Затем передаем в казначейство бумажный экземпляр и *.req файл на съёмном носителе и взамен получаем сертификат.
Итак, запрос отправлен в УФК, мы получили сертификат. Кстати, между отправкой запроса и получением сертификата может пройти время, у всех по разному, но главное дождаться сертификата. Что же дальше? А дальше кликаем правой кнопкой мыши на «щите» Континента АП и делаем то, что показано на рисунке ниже:
А именно: идем опять на «Сертификаты», а потом «Установить сертификат пользователя». Стрелочки на рисунке 3 показывают, что надо делать. Перед этим вставьте ключевой носитель с закрытыми ключами, полученными в результате генерации, а также подготовьте полученный из УФК сертификат. Я его переписал на ключевой носитель, чтобы он всегда был под рукой. Вы можете поступить по своему: переписать его куда угодно, главное, чтобы при установке Вы смогли до него добраться. Кстати, вместе с пользовательским сертификатом, наше УФК выдает также и корневой сертификат Континента АП. Этот сертификат, при установке, должен быть расположен в том же каталоге, что и пользовательский. В общем, на рисунке ниже всё это показано:
Корневой сертификат Континента АП — это файл root. Этот сертификат нужен при установке Континента АП в первый раз. После установки пользовательского сертификата, программа устанавливает корневой, если он не установлен. В противном случае — ничего не делает. Но если в первый раз программа не найдет корневой, то будут проблемы. Поэтому лучше пусть будет всегда вместе с сертификатом пользователя в одном каталоге.
Здесь, рисунок 4, при установке надо выбирать, конечно же, сертификат пользователя. Он подчеркнут мною на картинке. А желтая папка — это закрытые ключи, полученные при генерации запроса. Там шесть файлов с расширением *.key. Кстати, ключи стандартные для программы Крипто Про 3.6. Ведь именно она генерирует эти ключи. Итак, выбрав сертификат пользователя, нажимаем кнопку «Открыть» и попадаем на следующую картинку:
- закрытый ключ — это ключевой контейнер, получаемый при генерации;
- открытый ключ — это сертификат, полученный из казначейства.
Эти части соединяются (опять же, с помощью Крипто Про) только в том случае, если они соответствуют друг другу. Не составляет труда сделать вывод: если одна из частей утеряна или повреждена, то перестаёт работать всё ЭЦП. И исправить эту ситуацию невозможно, кроме генерации новой ЭЦП. Есть способы сделать копию ЭЦП, но в этой статье я касаться этого не буду.
Итак, возвращаемся к «нашим баранам». На рисунке 5 надо обязательно кликнуть по верхней строчке с ключевым контейнером, а потом нажать «ОК». После того как всё это будет проделано, Вы получите следующее окно:
Нажмем туда, куда показывает красная стрелка (рис. 8). Если на предыдущих этапах Вы следовали этой инструкции, то у Вас выскочит как минимум один сертификат. Вы должны выбрать именно тот, который только что установили (см. рис 9):
Выбрав его, отметьте галочкой «всегда использовать данный сертификат при подключении». В этом случае Ваш Континент АП будет подключаться к серверу используя указанный сертификат. В противном случае (если галка не установлена), он будет предлагать выбрать сертификат при каждом подключении. Чтобы узнать правильно ли был выбран сертификат, можно воспользоваться кнопкой «Свойства». Она покажет всё о выбранном сертификате. В конце, как всегда кнопка «ОК». Начнется процесс подключения Континента АП к серверу доступа. Если все сделано правильно, то в результате вы увидите в трее, как «щит» сменил цвет с серого на синий:
Если у Вас получилось то же, что и у меня, то я рад поздравить Вас с удачной установкой сертификата для континента АП. После того, как Вы подключились к серверу доступа, можете загружать СУФД и начинать в ней работать.
Раздел IV. Установка соединения с сервером доступа.
Перед установкой соединения с сервером доступа необходимо удостоверится что для подключения используется крипто провайдер «Крипто Про CSP» (Рисунок 18). Крипто провайдер «Код Безопасности CSP» нельзя использовать для подключения.
Рисунок 18 – Выбор крипто провайдера
Для установки соединения с сервером доступа, необходимо вызвать контекстное меню пиктограммы Абонентского пункта. Для этого необходимо нажать правой клавишей мыши на пиктограмме и выбрать «Подключить ‘2400-SD-01.roskazna.ru’. Откроется следующее окно, в котором необходимо выбрать сертификат в формате «КодТОФК_КодУБП и нажать «ОК» (Рисунок 19).
Рисунок 19 – выбор сертификата для подключения
При первом подключении к серверу доступа будет предложено установить корневой сертификат сервера доступа в список разрешенных. Необходимо ответить «Да» (Рисунок 20).
Рисунок 20 – сообщение о добавлении сервера доступа.
При удачном подключении к серверу доступа, пиктограмма Континент-АП смениться с бесцветной на цветную .
Для разрыва соединения с сервером доступа, необходимо вызвать контекстное меню пиктограммы Абонентского пункта и выбрать «Отключить Континент АП» Соединение с сервером доступа будет разорвано. Цвет пиктограммы изменится с цветного на бесцветный.
Не найден контейнер для закрытого ключа
Проблема в установке сертификата. Выдает ошибку Не найден контейнер соответствующий открытому ключу. Хотя контейнер на флешке есть. Пробовал скопировать на другую флешку и в реестр, не помогает.
На компе с которого выполнялась генерация устанавливается.
В чем может быть причина?
king_lion пишет: Добрый день. Проблема в установке сертификата. Выдает ошибку Не найден контейнер соответствующий открытому ключу. Хотя контейнер на флешке есть. Пробовал скопировать на другую флешку и в реестр, не помогает. На компе с которого выполнялась генерация устанавливается. В чем может быть причина?
Проверьте на компьютере без Континент-АП. Устанавливается?
king_lion пишет: На компьютере без Континент-АП устанавливается. Но нужно именно на том, иначе на других конфликты с другими программами.
Это понятно. По непроверенной информации мешает установленный криптопровайдер Код безопасности. Говорят, помогает его удаление: после этого контейнер находится без проблем.
В то же время передо мной компьютер: при инсталляции Континент-АП был установлен криптопровайдер Код безопасности, при инсталляции Континент TLS он был переустановлен. Сертификаты по ГОСТ-2012 устанавливались без проблем в обоих случаях.
КриптоПро CSP Окно «Выбор ключевого контейнера» пустое либо в нем не отображается нужный контейнер
Ключевой носитель (Электронный идентификатор) — это компактное устройство в виде USB-брелка, которое служит для авторизации пользователя в сети или на локальном компьютере, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения персональных данных.
Защищенный носитель — это компактное устройство, предназначенное для безопасного хранения электронной подписи. Представляет собой устройство в виде USB-флешки с защищенной паролем картой памяти, на которой хранится информация для создания электронной подписи. Обеспечивает двухфакторную аутентификацию пользователя: для работы необходимо вставить токен в USB-разъем компьютера и ввести пароль.
Рекомендации по решению проблемы зависят от типа ключевого носителя, на котором расположен контейнер:
Если в качестве ключевого носителя используется flash-накопитель, необходимо выполнить следующие шаги:
1. Убедиться, что в что в корне носителя находится папка, содержащая файлы: header, masks, masks2, name, primary, primary2. Файлы должны иметь расширение.key, а формат названия папки должен быть следующим: xxxxxx.000
Если каких-либо файлов не хватает или их формат неверен, то, возможно, контейнер закрытого ключа был поврежден или удален.
Если в качестве ключевого носителя используется защищённый носитель Rutoken, необходимо выполнить следующие шаги:
1. Убедиться, что на рутокене горит лампочка. Если лампочка не горит, то следует воспользоваться следующими рекомендациями.
2. Обновить драйвер Rutoken (см. Как обновить драйвер Rutoken?).
3. Следует убедиться, что на Rutoken содержатся ключевые контейнеры. Для этого необходимо проверить количество свободной памяти на носителе, выполнив следующие шаги:
Если рутокен не виден в пункте «Считыватели» или при нажатии на кнопку «Информация» появляется сообщение «Состояние памяти ruToken не изменилось», значит, носитель был поврежден, необходимо обратиться к вашему менеджеру
В качестве ключевого носителя в сервисных центрах выдаются рутокены объемом памяти около 30000 байт. Один контейнер занимает объем порядка 4 Кб. Объем свободной памяти рутокена, содержащего один контейнер, составляет порядка 26 000 байт, двух контейнеров — 22 000 байт и т д.
Если объем свободной памяти рутокена составляет более 29-30 000 байт, то ключевые контейнеры на нем отсутствуют.
Если в качестве ключевого носителя используется считыватель Реестр, необходимо выполнить следующие действия:
Убедиться, что в КриптоПро CSP настроен считыватель «Реестр». Для этого:
Если считыватель отсутствует, его необходимо добавить.
В качестве считывателей (устройств — носителей ключевой информации) могут использоваться flash-накопители, реестр, смарт-карты
Иногда некоторые считыватели могут быть отключены в КриптоПро CSP. Чтобы работать с такими носителями, нужно добавить соответствующие считыватели.
Чтобы добавить считыватели: 1. Запустите КриптоПро CSP от имени администратора.
2. На вкладке «Оборудование» нажмите кнопку «Настроить считыватели».
3. В появившемся окне нажмите «Добавить».
4. В Мастере установки считывателей выберите, какой считыватель добавить: «Все съемные диски», «Реестр», «Все считыватели смарт-карт».
5. Нажмите «Далее», задайте имя считывателя при необходимости, нажмите «Готово».
В некоторых случаях для корректной работы добавленного считывателя потребуется перезагрузка.
Если ни одно из предложенных выше решений не поможет устранить проблему, возможно, ключевой носитель был поврежден, вам необходимо будет обратиться к вашему менеджеру. Восстановить данные с поврежденного защищенного носителя или реестра невозможно.
Отдел технической поддержки
Чистка реестра Windows после удаления КриптоПРО CSP при ошибке 0x80090008
Когда процесс очистки утилиты CSPClean завершится:
Реестр отобразит все файлы, которые находятся в нём с указанным именем. Вам нужно удалить те, в которых есть имена КриптоПРО CSP. Если так названа целая папка конфигурационных файлов — смело удаляйте её.
После этого для решения ошибки с кодом 0x80090008:
- Закройте реестр и снова перезагрузите компьютер;
- Далее вам нужно перейти на сайте и загрузить новую версию КриптоПРО CSP. Сделать это можно на странице https://www.cryptopro.ru/downloads ;
Другие способы устранить проблему, если указан неверный алгоритм
Подобная ошибка часто появляется при работе с ФНС.
Пользователям помогает в этом случае:
- Сохранить все электронные документы и перезапустить ПО ФНС;
- Затем выбрать необходимые сертификаты и снова попытаться совершить подпись;
- Если было замечено, что какой-то сертификат не подписан во время работы и запущенной ФНС, не пытайтесь установить его сразу же. Снова сохранитесь, перезагрузите сервис, а уже после чего продолжайте работу.
В такой последовательности у вас не возникнет проблем с вышеописанной программой. И вы сможете легко решить ошибку при создании запроса 0x80090008, когда указан неправильный алгоритм.
Раздел I. Установка Континент-АП
Перед установкой Континент-АП необходимо убедиться, что на рабочей станции установлено СКЗИ КриптоПро CSP имеющее сертификат соответствия ФСБ (например, СКЗИ КриптоПро CSP 4.0.9842).
Для установки Континент-АП версии 3.7.5.474 (КС1/КС2) необходимо в полученном дистрибутиве найти и запустить исполняемый файл – ts_setup.exe(Setup/ts_setup.exe). В открывшемся окне необходимо нажать кнопку Далее» (Рисунок 1).
Рисунок 1 – окно установки Континент-АП
Установите отметку о принятии лицензионного соглашения и нажмите кнопку «Далее» (Рисунок 2).
Рисунок 2 – Лицензионное соглашение
В следующем окне «Компоненты устанавливаемой программы» необходимо снять отметку «Брэндмауэр» и нажать кнопку «Далее» (Рисунок 3).
Внимание: При наличии отметки «Брэндмауэр» невозможно подключится к серверу доступа.
Рисунок 3 – Компоненты устанавливаемой программы
На следующем шаге «Выбор папки установки» выберите папку установки программы. По умолчанию программа установки копирует файлы в каталог C:Program FilesSecurity CodeTerminal Station. Необходимо нажать кнопку «Далее» не меняя место расположения предложенного каталога установки (Рисунок 4).
Рисунок 4 – Выбор папки установки
На следующем шаге в разделе «Конфигурация АП» задайте (Рисунок 5):
- Имя RAS соединения – 2400-SD-01.roskazna.ru
- IP адрес сервера доступа – 2400-SD-01.roskazna.ru
ПРИМЕЧАНИЕ: После завершения установки необходимо добавить другие адреса для подключения, см. стр 17 (V раздел инструкции)
В разделе «Уровень безопасности» необходимо:
- выбрать «Низкий» (для защиты по классу КС1)
- выбрать «Средний» (для защиты по классу КС2, при наличии ПО ПАК ‘Соболь’)
Рисунок 5 – Конфигурация АП
После заполнения полей и выбора уровня безопасности нажмите «Установить» (Рисунок 5).
Рисунок 6 – Установка завершена
Для использования Континента-АП необходимо перезагрузить компьютер. Для этого выберите пункт «Да, перезагрузить ПК сейчас». Либо перезагрузите компьютер позже выбрав пункт «Нет, я перезагружу ПК позже».
Установка Континент-АП завершена.
Сообщений 6
#2 Ответ от Ксения Шаврова 2014-01-15 13
Ответьте, пожалуйста, на следующие вопросы:1. Виден ли носитель в Панели управления Рутокен? 2. Укажите, пожалуйста, модель используемого Рутокена. (https://forum.rutoken.ru/topic/1515/)3. Для каких целей должен использоваться данный носитель?
#3 Ответ от Roman Ph 2014-02-05 07
Аналогичная проблема.На некоторых компьютерах содержимое рутокена отображается нормально, на некоторых и КриптоПро не видит контейнеры, и Панель управления Рутокен не находит сертификатов, хотя видит сам рутокен и количество свободной памяти на нём.
Тип Rutoken lite 64KВерсия 51.02.09.02Св.пам. 53760
Рутокен приобретён для работы с торговыми площадками.
Подтверждает удаленному компьютеру идентификацию вашего компьютера
Защищает сообщения электронной почты
Класс средства ЭП КС1
Пользователь Центра Регистрации, HTTP, TLS клиент
КриптоПро и драйвера рутокен установлены последних версий.
#4 Ответ от Ксения Шаврова 2014-02-05 09
Аналогичная проблема.На некоторых компьютерах содержимое рутокена отображается нормально, на некоторых и КриптоПро не видит контейнеры, и Панель управления Рутокен не находит сертификатов, хотя видит сам рутокен и количество свободной памяти на нём.Тип Rutoken lite 64KВерсия 51.02.09.02Св.пам. 53760Рутокен приобретён для работы с торговыми площадками.КриптоПро и драйвера рутокен установлены последних версий.
Добрый день, Roman Ph.
Для работы с носителем Рутокен Lite в связке с Крипто ПРО установите, пожалуйста, Модули поддержки с нашего сайта https://www.rutoken.ru/support/download/rutoken-for-cp/После установки перезагрузите компьютер.
#5 Ответ от Roman Ph 2014-02-05 10
Спасибо, установка модулей для КриптоПро помогла. Теперь содержимое рутокена отображается.
#6 Ответ от Ксения Шаврова 2014-02-05 10
Для создания запроса на получение сертификата необходимо вызвать контекстное меню пиктограммы Абонентского пункта. Для этого необходимо нажать правой клавишей мыши на пиктограмме и в меню «Сертификаты» выбрать «Создать запрос на пользовательский сертификат». На экране появится диалоговое окно для создания запроса (Рисунок 7).
Рисунок 7 – Создание запроса на сертификат
Следующие поля обязательны для заполнения (Рисунок 8):
- В поле «Организация» указывается полное или краткое наименование организации без кавычек, тире и подчеркиваний.
- В поле «Подразделение» указывается подразделение организации.
Рисунок 8 – Параметры сертификата
Остальные поля необязательны для заполнения. После заполнения полей необходимо выбрать место сохранения файла запроса в формате *.req путем заполнения поля «Электронная форма» и нажать «ОК».
В появившемся окне выберете носитель на который будет сформирован закрытый ключ и нажать «ОК» (Рисунок 9).
Рисунок 9 – КриптоПро CSP
С следующем окне необходимо нажимать клавиши или перемещать указатель мыши над окном, до тех пор, пока ключ не будет создан. После заполнения полосы прогресса переход к следующему окну будет выполнен автоматически (Рисунок 10).
Рисунок 10 – Биологический датчик случайных чисел
При необходимости можно задать пароль на создаваемый ключевой контейнер. При пустом пароле – пароль запрашиваться не будет. Установленный пароль на контейнер не восстанавливается. Нажмите «ОК» (Рисунок 11).
Рисунок 11 — установка пароля на контейнер
Программа создаст ключевой контейнер, разместит файл запроса с расширением *.req по указанному Вами пути, с указанным Вами именем.
Необходимо предоставить сформированный файл запроса в РЦР Управления или УРЦР территориального отдела ТОФК по месту открытия лицевого счета.
Переименовывать файл запроса и предоставлять в РЦР и УРЦР заявление в бумажном виде не нужно.
Континент-АП
bubenchikov пишет: помогите решить вопрос. 1. На машине установлен Континент АП 3.6.79. На нем был сформирован сертификат пользователя. Контейнер закрытого ключа сохранен в реестре.
2. При попытке установить соединение. получаю ошибку: сервер отказал в доступе пользователю unknown cert signature algoritm.
bubenchikov пишет: На машине установлен Континент АП 3.6.79. На нем был сформирован сертификат пользователя. Контейнер закрытого ключа сохранен в реестре. Крипто про 3.6 не видит этот контейнер.
Допустим проблему с переносом контейнера на другой пк я решил. Но новые версии не видят их. ***на версии 3.7 есть программа криптопровайдера (пускпрограммыкод безопасностикод безопасности CSP) на версии 3.6.79 такой нет чтобы посмотреть и выгрузить как то по людски контейнеры.
Что сделать чтобы свежие версии увидели контейнеры созданные кодом безопасности CSP?
two_oceans пишет: 3) (маловероятно, но все же стоит проверить) проверил бы какой алгоритм в сертификате. Тут дело в том, что SecurityCode CSP входящий в К-АП поддерживает гост-2012, а КриптоПро 3.6/3.8/3.9 не поддерживает. Поэтому если в К-АП указан КриптоПро, а сертификат каким-то чудом сделан на гост-2012, то зашифровать соединение им скорее всего не выйдет. В таком случае, как раз надо по умолчанию поставить SecurityCode CSP либо обновить КриптоПро до 4.0. Аналогично, УФК тоже может быть еще не настроено на гост-2012. Ну и в целом, пока нет УЦ с гост-2012 и мало кто может гарантировать что получится если сертификат УЦ гост-2001, а сертификат конечного пользователя гост-2012.
Перебрасывал ветки HKEY_LOCAL_MACHINESOFTWAREWow6432NodeSecurityCodeCSPcspkeys HKEY_LOCAL_MACHINESOFTWARESecurityCodeCSPcspkeys
Ключи созданные в 3.7 имеют другую длину, чем старые в 3.6 возможно поэтому не видит. На компьютере Win 7 64. Ключи перенес с win 7 32. На версии 3.6.79 не менял даже пути реестра, все увидел старые ключи.
Может быть просто не создан ярлык на программу? В 3.7 находится в «C:Program FilesSecurity CodeTerminal Stationcspcspconfig.exe».
К сожалению 3.6.79 не создает папку Terminal Station соответственно cspconfig.exe тоже нет. Поиск по диске экзешника тоже ничего не дал.
Похоже самый правильный вариант установить свежую версию которое дает казначейство и сформировать новый ключ через криптопро. =((
bubenchikov пишет: Похоже самый правильный вариант установить свежую версию которое дает казначейство и сформировать новый ключ через криптопро. =((
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicessccspservice Такая ветка есть и указывает она на C:Program FilesSecurity CodeTerminal Stationcspcspconfig.exe но такой папки не существует Есть такой файл C:Program FilesSecurity CodeContinent Clientcspservice.exe Но при запуске он на секунду открывает командную строку и пропадает. Попробую заменить путь на существующий файл. не знаю как оценить через Far в реестре контейнер. выложу содержимое На скрине что поменьше контейнер 3.6.79 На скрене что побольше 3.7
*могу выложить свой дистибутив 3.6.79, может в нем проблема. Переустанавливал не раз, все так же. Контроль целостности проходит успешно, в отчете есть файл cspservice.exe, на него не ругается
Вложения
Переустановка программы КриптоПРО
Некоторым пользователям, которые сталкивались с ошибкой создания запроса с кодом 0x80090008 помогла переустановка КриптоПРО . Сразу же после переустановки программа заработала стабильно. Вам необходимо удалить текущую КриптоПРО с ПК , после чего перейти на сайт https://www.cryptopro.ru/ и загрузить новую версию. Если вы используете КриптоПРО CSP — его также необходимо переустановить. Он часто является причиной проблемы.
Процесс переустановки КриптоПРО CSP отличается тем, что после её удаления, вам необходимо почистить компьютер от предыдущей версии.
Загрузка расширения для очистки ПК
Она устанавливается как расширение для браузера. После выбора кнопки загрузки, необходимо разрешить её установку в ваш браузер. По указанному адресу есть и другие полезные утилиты. Например, автоматическая настройка IE для работы с КриптоПРО.
В пункте « Что ещё можно сделать » есть ссылки на другие браузеры.
Дополнительные инструменты на странице загрузки утилиты
А также автоматический мастер установки. Единственный недостаток данной утилиты — она не удаляет данных из реестра Windows . Поэтому нам придётся чистить его вручную.