Сегодня столкнулся с ошибкой при подписании в СУФД.
Ошибка получения сертификата из хранилища: Объект или свойство не найдено. (0x80092004)
Первое что пробуем, заново ставим сертификат через Крипто Про на этого пользователя. Перезапускаем браузер, пробуем подписать.
В нашем случае проблема была вот в чем.
При беглом взгляде обнаружилось, что у клиента в СУФД подвязаны 2 сертификата. А при нажатии на кнопку подписи этого не видно.
Рядом с подписью есть стрелочка вниз. Нажимаем видим, что тут 8 строчек. А это значит что подвязаны 2 сертификата.
Он по умолчанию подтягивал первый сертификат.
На картинке где цифры 1 и 2 показано, что у пользователя 2 сертификата. Мы благополучно выбрали 5 строчку и подписали документ.
Этот можно уточнить в своем территориальном отделе (казначействе).
Copy link Quote reply
Description of Issue
While running the certutil -verify -urlfetch mypiv_auth.cer command to verify the revocation status of my PIV auth certificate, certutil is throwing the error:
Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
- Using the same certificate and running the same certutil command on a Windows 7 workstation works fine.
- PIV login is working for Windows 10, so don’t think there is any big issue using Windows 10, but may need to update Playbook to specify Windows 10 may throw this error when running certutil command.
Details of Issue
Еще один звонок — «радостно» сообщили о том, что перешли на крипто про 4.0 (стоял Windows 7) и континент версии 3.7.0.799, при попытке подключения, стал показывать веселую ошибку.
Было решено обойтись для начала малой кровью — а именно правкой реестра (удалением ветки) — рецепт, помогший — когда после обновления крипты перестало подписывать в суфд.
Конечно если бы правка реестра не увенчалась успехом, нам бы пришлось ставить другую версию континента.
Не найдены цепочки сертификатов в хранилище PKCS7, присланном сервером 0x80092004 (Объект или свойство не найдено).
Для решения нашей проблемы читаем эту статью — ошибка 0xC000000D — с описанием как зайти в реестр, удалить определенную ветку (в зависимости от разрядности Вашей операционной системы).
Обязательно после удаления ветки в реестре сделайте перезагразку. Иначе он опять будет выдавать эту же ошибку (проверил — когда попробывал подключиться сразу после удаление ветки)
Кстати. Пообщавшись с коллегами подкинули мысль, что ошибки с переходом на Крипто ПРО 4.0 возникают в тех случаях, когда эта программа ставилась путем обновления, а не путем удаления версии 3.6 — перезагрузкой компьютера и установкой 4.0.
в storeman до этого из под root в хранилище root был добавлен
сертификат в DER кодировке полученный из тестового УЦ.
ОС: RedHat 9.0
версия CSP 3.0
От чего может возникать подобная ошибка и какие возможны способы ее
устранения?
2. Как запрос обрабавтывался, в какой кодировке готовый сертификат?
3. Установлен ли сертификат ЦС?
Т.е. он перечисляется при:
csptest -keyset -enum_containers -verifycontext -fqcn -machine
?
Такой вопрос — с помощью storeman не пробовали установить?
В версии 3.6 storeman значительно переделан, и имеется под названием certmgr. Там ошибок быть не должно.
Такой вопрос — а насколько обязательно контейнер и сертификат ставить именно в хранилище компьютера?
Скопировать можно в папку каждого пользователя
/var/CPROcsp/keys/Имя_пользователя
Для пользовательских контейнеров должен работать storeman.
официальный сайт Казначейства Россииwww.roskazna.ru
Часто задаваемые вопросы
После переустановки системы «Континент АП» мы можем попытаться установить в неё сгенерированный ранее сертификат, во время чего и сталкиваемся с сообщением «Ошибка получения криптографического контекста». Проблема может иметь случайный характер, и возникает лишь на данном конкретном ПК, в то же время на других компьютерах всё может устанавливаться без каких-либо проблем. Почему возникает данная ошибка и как её исправить? Расскажем в нашем материале.
Причины появления ошибки криптографического контекста
Причины рассматриваемой дисфункции могут быть следующими:Давайте разберёмся, как исправить ошибку получения криптографического контекста на вашем PC.Перезагрузите ваш компьютерВ данном случае этот тривиальный совет может оказаться весьма эффективным, и поможет избавиться от ошибки получения криптографического контекста на вашем ПК. Поскольку причиной дисфункции может выступать банальный сбой системы, рекомендуем перезагрузить ваш ПК, запустить Континент АП, и установить нужный сертификат.Выберите корректный файл сертификата программы Континент АППомните, что установка сертификатов выполняется на ПК под учётной записью того пользователя, кто в дальнейшем будет выполнять авторизацию на СД Управления.Для установки пользовательского сертификата аутентификации выполните следующее:Используйте подходящий ключевой контейнер
Проверьте целостность системных файловВ некоторых случаях системные файлы на винчестере (флешке) могут быть повреждены вследствие различных факторов программного и аппаратного характера. Рекомендуем проверить целостность файлов, для чего можно воспользоваться системной утилитой SFC. Выполните следующее.Система выполнит проверку целостности файлов, на что уйдёт некоторое время. Возможно, в процессе проверки ваш PC будет необходимо перезагрузить. После окончания процесса вновь попробуйте выполнить выбор нужного сертификата.
ЗаключениеВыше мы разобрали, когда возникает ошибка получения криптографического контекста в аппаратно-программном комплексе Континент АП, и как её можно исправить. Обычно появление данной ошибки вызвано стандартным сбоем в работе системы, а также неверным выбором файла сертификата и ключевого контейнера. Выполните перечисленные выше шаги, это позволить устранить рассмотренную нами проблему на вашем PC.Очередность установки «Континент-АП» и криптопровайдера
Если планируется использовать «Континент-АП» для совместной работы с криптопровайдером другой фирмы-производителя, выполните установку ПО криптопровайдера перед инсталляцией «Континент-АП».В случае нарушения очередности сертификаты стороннего криптопровайдера могут отображаться в поле «Содержит недействительную цифровую подпись», также работа «Континент-АП» может быть некорректной.Если указанная очередность установки ПО нарушена, выполните переустановку ПО:1. Удалите установленное ПО стороннего криптопровайдера, используя средства удаления и изменения программ «Программы и компоненты» ОС Windows.2. Выполните удаление следов установки стороннего криптопровайдера с помощью утилиты очистки (например, СspСlean для «КриптоПро CSP»). Перезагрузите компьютер.3. Удалите ПО «Континент-АП» и «Код Безопасности CSP», перезагрузите компьютер.4. Выполните удаление следов установки криптопровайдера «Код Безопасности CSP» с помощью утилиты очистки CspCleaner. Перезагрузите компьютер.5. Установите ПО стороннего криптопровайдера.6. Установите «Континент-АП».Частые ошибкиОшибка Client-Cert not foundДля устранения данной ошибки:1. Проверьте, что процесс EAPSigner161.exe запущен и добавлен в автозапуск.2. Воспользуйтесь расширенным режимом аутентификации для подключения «Континент-АП».Ошибка при регистрации «Ответ на запрос серийного номера некорректен»Для устранения данной ошибки отключите антивирус на время регистрации или отключите проверку всех портов.Не работает мышь/клавиатура после установки «Континент-АП»Возможное решение проблемы — отключите параметр Secure Boot в настройках BIOS проблемного АРМ.Если отключение параметра Secure Boot не решило проблему или отсутствует возможность отключить этот параметр, выполните следующие действия:1. Перезагрузите АРМ либо в режиме восстановления с доступом к реестру, либо подключившись удаленно (RDP).2. Запустите regedit.3. В ветке реестра для:Из ключа UpperFilters уберите sckcsp;Из ключа UpperFilters уберите sckcsp.Общая рекомендация — выполняйте перезагрузку каждый раз, когда программа установки предлагает ее выполнить.Ошибка «Неизвестный клиент на СД»Ошибка связана с тем, что в базе СД нет сертификата, с которым осуществляется подключение к СД.1. Проверьте адрес СД — к тому ли серверу доступа выполняется подключение.2. Проверьте в программе управления СД наличие данного сертификата в свойствах пользователя. Можно сделать сравнение по серийному номеру сертификата.3. Если ошибка возникает после импорта нового сертификата пользователя, выполните следующие шаги:• удалите все сертификаты пользователя из хранилища сертификатов;• удалите сохраненные ключевые контейнеры из реестра или другого носителя, при условии что ключи будут импортированы из конфигурационного файла;• выполните заново импорт конфигурации или импорт сертификатов.Ошибка «Контроль целостности не пройден»Если данная ошибка возникает каждый раз после установки обновлений ОС Windows, выполните запуск утилиты контроля целостности с ключом «-b» с правами администратора. Для этого в командной строке выполните команду:C:/Program Files/Security Code/Terminal Station/ngc. exe – bЕсли данная ошибка возникла в процессе работы «Континент-АП», запустите утилиту проверки контроля целостности файлов «Континент-АП» и посмотрите, в чем ошибка. Для устранения причины запустите инсталлятор «Континент-АП» в режиме восстановления. Если восстановление не помогло, переустановите «Континент-АП».Ошибка «Не совпадает подпись открытого эфемерного ключа»Возникает ошибка «Сервер отказал в доступе пользователю. Причина: не совпадает подпись открытого эфемерного ключа».Проблема связана с тем, что на запрос предъявить закрытый ключ для пользовательского сертификата предъявляется носитель не с тем ключом. Возможные решения — на носителе оставьте один необходимый ключ или через утилиту «Код Безопасности CSP» выполните перемещение необходимого закрытого ключа с носителя в реестр.Если будет выполнено копирование, сделайте повторный импорт сертификата с привязкой к новому хранилищу контейнера закрытого ключа.Ошибка получения криптографического контекстаОшибка аналогична ошибке «Не совпадает подпись открытого эфемерного ключа». Возможное решение — удалите сертификат и импортируйте заново с привязкой к соответствующему ключу.Ошибка 619: Порт подключения закрытВозможно, ошибка на стороне провайдера — он блокирует необходимые порты. Если в системе установлен антивирус Kaspersky, отключите настройку контроля всех портов. Дополнительно можно сделать проверку утилитой portchecker (поставляется с дополнительными утилитами для АПКШ «Континент»).Ошибка 628: Подключение прервано удаленным компьютером раньше, чем могло быть установленоДанная ошибка указывает на проблемы с сетью на АРМ с установленным «Континент-АП». Выполните проверку сети либо обратитесь к провайдеру. Допускается выполнить проверку утилитой chanelchecker (поставляется с дополнительными утилитами для АПКШ «Континент»).Возможное решение — в свойствах подключения «Континент-АП» измените протокол с UDP на TCP.Ошибка 720: Не удается подключиться к удаленному компьютеруДанная ошибка вызывается средой Windows. «Континент-АП» в данном случае отображает системную ошибку. Для решения данной ошибки просьба обратиться в техническую поддержку компании Microsoft или же к руководствам в сети интернет. Возможные решения:1. Удалите в разделе «Сетевые адаптеры» диспетчера устройств «WAN Miniport (IP)» с последующим обновлением конфигурации оборудования.2. Либо переустановите ОС Windows.Ошибка 721: Удаленный компьютер не отвечаетВозможное решение аналогично решению по ошибке 628. Дополнительно проверьте, что брандмауэр Windows выключен.Ошибка 734: Протокол управления PPP-связью был прерванВозможно, проблема на стороне «Континент-АП». Запустите инсталлятор и выберите режим восстановления «Континент-АП». Перезагрузите компьютер.Ошибка 797: Не удалось подключиться, поскольку модем не найден или занятДля устранения данной ошибки запустите инсталлятор и выберите режим восстановления «Континент-АП», перезагрузите компьютер. Если ошибка не исправлена, удалите «Континент-АП», очистите систему утилитой очистки CspСlean и заново установите «Континент-АП».Ошибка 850: На компьютере не установлен тип протокола EAPДля устранения данной ошибки запустите восстановление или переустановите «Континент-АП».Ошибка 0x80092004 (объект или свойство не найдено)При подключении «Континент-АП» выдает ошибку 0x80092004 (объект или свойство не найдено).Возможно, при установке «Континент-АП» был выбран физический датчик случайных чисел, но ПАК «Соболь» на компьютере отсутствует. Для решения проблемы в панели управления запустите утилиту «Код Безопасности CSP». На главной вкладке нажмите кнопку «Запустить с правами администратора» (необходимо знать пароль администратора). После перезапуска «Код Безопасности CSP» измените тип ДСЧ с физического на биологический. Выполните перезагрузку.Ошибка работы с криптопровайдером 0x80090017. Тип поставщика не определенОшибка возникает при импорте сертификата в «Континент-АП» или при попытке подключения.Возможное решение проблемы:1. Уточните, с использованием какого криптопровайдера был сформирован сертификат:• если «КриптоПро CSP», проверьте, установлен ли данный криптопровайдер на АРМ. В случае отсутствия — установите и выполните повторный импорт сертификата или попытку подключения;2. Если «КриптоПро CSP» установлен в системе, уточните порядок установки продуктов и, при необходимости, переустановите их (см. раздел «Очередность установки «Континент-АП» и криптопровайдера»).3. В пункте «Криптопровайдер по умолчанию» в меню «Континент-АП» установите отметку напротив «КриптоПро CSP» или «Код Безопасности CSP» и повторите импорт сертификата или попытку подключения.Ошибка подписи ключа 0x000000578: Недопустимый дескриптор окнаПроблема может быть в том, что к сертификату привязан не тот закрытый ключ.1. В настройках аутентификации подключения включите использование расширенного сертификата.2. Удалите из хранилища сертификатов текущего пользователя все сертификаты и ключи из системы. На носителе должен быть только один ключ. Выполните повторный импорт сертификата.Ошибка подписи ключа 0x80090019 (Набор ключей не определен)Ошибка может возникать при использовании расширенного режима аутентификации.1. Сохраните пароль на закрытый контейнер. Для этого войдите в систему и выполните подключение. В окне ввода пароля на доступ к контейнеру установите отметку «Сохранить пароль».2. Если контейнер закрытого ключа пользовательского сертификата находится на съемном носителе, лучше переместите его в реестр с помощью утилиты «Код Безопасности CSP».Ошибка создания запроса 0x80090019. Указан неправильный алгоритмЕсли в системе установлен криптопровайдер «КриптоПро CSP», выполните удаление ключа 1.2.643.2.1.3.1.2.1!3 в реестре:Ошибка получения криптографического контекста 0х0000042D (служба не запущена из-за ошибки входа в систему)Проблема с запуском процессов «Континент-АП» — Security Code CSP Service. Возможные решения:Что делать, если не работает КриптоПро ЭЦП Browser plug-inПри использовании КриптоПро ЭЦП Browser plug-in могут возникать ошибки, приводящие к тому, что плагин не работает или работает некорректно, из-за чего электронная подпись не создаётся. Рассмотрим наиболее распространённые варианты ошибок и разберёмся, как их устранить.При проверке отображается статус «Плагин загружен», но нет информации о криптопровайдереЭто значит, что криптопровайдер КриптоПро CSP не установлен. Необходимо загрузить дистрибутив программы с сайта разработчика и установить её на компьютер. В настройках плагина в графу Список доверенных узлов также следует добавить адрес ресурса, с которым работаете (например, nalog. ru).Не удаётся построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)
При этой ошибке плагин не может сформировать запрос на создание ЭЦП. Она возникает, если по каким-то причинам нет возможности проверить статус сертификата. Например, если нет привязки к ключу или доступа к спискам отзыва. Также проблема может воспроизводиться, если не установлены корневые сертификаты.Для устранения этой ошибки нужно привязать сертификат к закрытому ключу.Сначала проверьте, строится ли цепочка доверия. Для этого нужно открыть файл сертификата, а затем вкладку Путь сертификации.
Для установки корневого сертификата необходимо:Установка промежуточных сертификатов выполняется точно так же, как и установка корневых, за исключением того, что в процессе установки вместо пункта Доверенные корневые центры сертификации нужно выбрать пункт Промежуточные центры сертификации.Если вы создаёте ЭЦП таких форматов, как CAdES-T или CAdES-X Long Type 1, ошибка может возникать из-за отсутствия доверия к сертификату оператора службы предоставления штампов времени. В этой ситуации нужно установить корневой сертификат УЦ в доверенные корневые центры.ЭЦП создаётся с ошибкой при проверке цепочки сертификатов
Данная проблема возникает из-за отсутствия доступа к спискам отозванных сертификатов. Списки должны быть доступны для загрузки на сайте удостоверяющего центра, который выпустил сертификат ЭЦП. Установка списков выполняется по той же схеме, что и установка промежуточного сертификата.Ошибка несоответствия версии плагинаПоявляется сообщение «Плагин недоступен»Данная проблема может возникнуть, если ваш браузер не поддерживает установленную версию плагина. Попробуйте воспользоваться другим обозревателем.Ошибки 0x8007064A и 0x8007065B
Ошибка возникает в связи с окончанием срока действия лицензий на КриптоПро CSP (КриптоПро TSP Client 2.0, Криптопро OCSP Client 2.0).Чтобы создать электронную подпись с форматом CAdES-BES, необходима действующая лицензия на КриптоПро CSP. Создание ЭЦП с форматом CAdES-X Long Type 1 потребует наличия действующих лицензий:После приобретения лицензии потребуется её активация.Набор ключей не существует (0x80090016)
Возникает из-за того, что у браузера нет прав для выполнения операции. Для решения проблемы в настройках плагина добавьте сайт в Список доверенных узлов.Отказано в доступе (0x80090010)
Возникает в связи с истечением срока действия закрытого ключа. Чтобы проверить срок действия, запустите Крипто-Про CSP, затем откройте вкладку Сервис. Далее необходимо выбрать пункт Протестировать и указать контейнер с закрытым ключом. Если в результатах тестирования вы увидите, что срок действия закрытого ключа истёк, необходимо получить новый ключ.
Ошибка: Invalid algorithm specified. (0x80090008)Появление такой ошибки означает, что криптопровайдер не поддерживает алгоритм используемого сертификата. Рекомендуется проверить актуальность версии КриптоПро CSP.Если предлагаемые выше способы устранения ошибок не помогут, рекомендуем обратиться в службу поддержки КриптоПро.У вас ещё нет электронной подписи? Её можно заказать у нас на сайте. Выберите подходящий вариант ЭЦП: для участия в электронных торгах, работы с порталами или отчётности. Процедура оформления не займёт больше одного дня.Внутренняя ошибка код ошибки 0x80090020
Узнать разрядность системы можно комбинацией клавиш “Windows+Pause Break”.
Что бы исправить ошибку нужно просмотреть все пункты, но для большинства случаев лечение ошибки сводится к небольшой чистке реестра, о которой мы напишем ниже.Чистим ветки реестраЗапускаем редактор реестра – сделать это можно написав в командной строке Windows “regedit”. И нажимаем Enter. В операционной системе Windows 10 даже будет подсвечена эта программа.
Запускаем редактор реестра regeditДалее идем по пути указанному ниже, открываем папки HKEY_LOCAL_MACHINE, SOFTWARE, Microsoft.
Соблюдайте осторожность выполняя любые действия в реестре операционной системы. Можно удалить необходимые системе записи ключей и повредить работоспособность ПК.
Если ошибка появилась вновь, попробуйте сделать следующее:Заключение и рекомендацииНадеюсь вы знаете как исправить ошибку в КриптоПро при формировании запроса Error: CertEnroll. Если у вас остались вопросы задавайте из в комментариях к этой странице. Рекомендуем держать последнюю версию одной из антивирусных программ типа Касперского, ESET Nod32 или Доктор Веб с актуальными антивирусными базами. В наше время защита информации одна из приоритетных задач в повседневном использовании ПК. Перед установкой программ внимательно читайте список поддерживаемой версии Windows и ее разрядности. Напишите в комментариях помогла ли вам данная инструкция. Так же задавайте другие вопросы по работе программы или ошибках – наша команда постарается в кратчайшие сроки дать вам работоспособные способы решения проблем.
IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.
Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
CertUtil: -verify command FAILED: 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND) CertUtil: Cannot find object or property.
References (Docs, Links, Files)
You have to enable CAPI2 diagnostic logging to see what is happening. Open the Event Viewer, Applications and Services Logs, Microsoft, Windows, CAPI2. Right click Operational and Enable Log. Stepping through the events and examining the details should reveal the problem.
What if you are trying to install .NET Framework 4.7.2 and you get an install error stating “failed with 0x80092004 — Cannot find object or property”.
2. Go to the Microsoft Update Catalog website, search for KB4340558 and download the update files into the folder C:updatefix. You should be downloading the one that says Windows 8.1, Windows Server 2012 R2. As of Dec. 17th 2018 there are 3 files: windows8.1-kb4338415-x64_cc34d1c48e0cc2a92f3c340ad9a0c927eb3ec2d1.msuwindows8.1-kb4338419-x64_4d257a38e38b6b8e3d9e4763dba2ae7506b2754d.msuwindows8.1-kb4338424-x64_e3d28f90c6b9dd7e80217b6fb0869e7b6dfe6738.msu
expand -f:* “C:updatefix*.msu” C:updatefixexpanded
dism /online /add-package /packagepath:C:updatefixexpandedfilename.cab
(filename should be replaced with .cab file located in C:updatefixexpanded)
As of Dec. 17th 2018 these files are named: Windows8.1-KB4338415-x64.cabWindows8.1-KB4338419-x64.cabWindows8.1-KB4338424-x64.cabIgnore WSUSCAN.cab
Reboot when asked
dism /online /remove-package /packagepath:C:updatefixexpandedfilename.cab
(filename should replaced with the one that failed)
6. Go back to step 4 and try to install the CAB again until you have installed all CAB files successfully.
7. When you have installed everything successfully you can delete the folder C:updatefix ( rmdir C:updatefix)
After uninstalling the package in step 5, go back to the .cab file that gave the error and install it again (step 4)
After this, download and run the .NET Framework 4.7.2 installer and it should complete successfully. Restart when prompted.