Состояние отзыва сертификата смарт карты использованного для проверки подлинности не определено

Сообщение может быть из-за:
1) если это подчинённый ЦС — то недоступен актуальный СОС вышестоящего ЦС
2) неработоспособен выбранный revocation provider.
Посмотрите, какой у Вас используется — это параметр Dll в разделе реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 1CertDllVerifyRevocationDEFAULT

Чтобы поставить сертификат или СОС из файла в хранилище локального компьютера — нужно при выборе названия хранилища поставить галку «Показать физические хранилища», потом раскрыть элемент «Доверенные корневые ЦС» и выбрать там локальный компьютер.

Сейчас практические шаги я делаю такие:
1. Установил RootCA
2. Установил SubCA, сгенерировал запрос в файл
3. Проинсталировал на SubCA сертификат RootCA
4. Подписал сертификат SubCA на RootCA
5. Сделал экспорт сертификата SubCA из списка сертификатов RootCA в формате .P7B
6. Добавил этот сертификата в SubCA
7. Пытаюсь запустить сервер SubCA — Ошибка 80092013 Не могу найти RootCA.

Чтобы пользователи с отозванными пользовательскими сертификатами не могли пройти проверку подлинности, можно настроить проверку отзыва сертификатов. Как правило, сертификаты отзываются, когда пользователь покидает организацию, теряет смарт-карту или переходит из одного отдела в другой.

Поддерживается проверка отзыва сертификатов с использованием списков отозванных сертификатов (CRL) и протокола Online Certificate Status Protocol (OCSP). Список CRL представляет собой список отозванных сертификатов, опубликованный центром сертификации, который выпустил сертификаты. OCSP — протокол проверки сертификатов, который используется для получения статуса отзыва сертификата.

В одной конфигурации адаптера проверки подлинности сертификата можно настроить как CRL, так и OCSP. При настройке обоих типов проверки отзыва сертификатов и установке флажка «Использовать CRL в случае отказа проверки OCSP» сначала для проверки используется OCSP, а в случае ошибки OCSP происходит возврат к проверке с помощью CRL. В случае отказа при проверке отзыва с помощью CRL, возврат к проверке с помощью OCSP не происходит.

Вход в систему с использованием проверки CRL

При включении проверки отзыва сертификата сервер читает CRL, чтобы определить состояние отзыва сертификата пользователя.

Если сертификат отозван, проверка подлинности с его использованием завершится отказом.

Вход в систему с использованием проверки сертификатов по OCSP

Протокол проверки состояния сертификатов (OCSP) — это альтернатива спискам отозванных сертификатов (CRL), используемым для проверки отзыва сертификата.

Если во время настройки проверки подлинности с помощью сертификатов включены параметры «Включить отзыв сертификатов» и «Включить отзыв OCSP», VMware Identity Manager проверяет всю цепочку сертификатов, включая основные, промежуточные и корневые сертификаты. Ошибка во время проверки отзыва возникает в случае сбоя при проверке любого сертификата в цепочке или подаче запроса на URL-адрес OCSP.

URL-адрес OCSP можно настроить вручную в текстовом поле или извлечь из расширения Authority Information Access (AIA) проверяемого сертификата.

Параметр OCSP, выбранный во время настройки проверки подлинности сертификатов, определяет, каким образом VMware Identity Manager использует URL-адрес OCSP.

  • . Выполните проверку отзыва сертификатов с помощью URL-адреса OCSP, предоставленного в текстовом поле, чтобы подтвердить всю цепочку сертификатов. Игнорируйте информацию в расширении AIA сертификата. Текстовое поле URL-адреса OCSP также необходимо настроить с помощью адреса сервера OCSP для проверки отзыва.
  • Только сертификат (обязательно). Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата в цепочке. Настройка в текстовом поле URL-адреса OCSP игнорируется. Каждый сертификат в цепочке должен иметь определенный URL-адрес OCSP, в противном случае произойдет ошибка проверки отзыва сертификата.
  • Только сертификат (необязательно). Выполните проверку отзыва сертификата только с помощью URL-адреса OCSP, который имеется в расширении AIA сертификата. Не выполняйте проверку отзыва, если URL-адрес OCSP отсутствует в расширении AIA сертификата. Настройка в текстовом поле URL-адреса OCSP игнорируется. Эта конфигурация подходит, если требуется проверка отзыва, но некоторые промежуточные или корневые сертификаты не содержат URL-адрес OCSP в расширении AIA.
  • Сертификат с возвратом в основную среду для конфигурации. Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, извлеченного из расширения AIA каждого сертификата в цепочке, при наличии URL-адреса OCSP. Если URL-адрес OCSP отсутствует в расширении AIA, проверьте отзыв с помощью URL-адреса OCSP, настроенного в текстовом поле URL-адреса OCSP. Текстовое поле URL-адреса OCSP должно быть настроено с помощью адреса сервера OCSP.

При включении проверки отзыва сертификата сервер Workspace ONE Access Connector читает CRL, чтобы определить состояние отзыва сертификата пользователя.

Если во время настройки проверки подлинности с помощью сертификатов включены параметры «Включить отзыв сертификатов» и «Включить отзыв OCSP», Workspace ONE Access проверяет всю цепочку сертификатов, включая основные, промежуточные и корневые сертификаты. Ошибка во время проверки отзыва возникает в случае сбоя при проверке любого сертификата в цепочке или подаче запроса на URL-адрес OCSP.

Параметр OCSP, выбранный во время настройки проверки подлинности сертификатов, определяет, каким образом Workspace ONE Access использует URL-адрес OCSP.

  • . Выполните проверку отзыва сертификатов с помощью URL-адреса OCSP, предоставленного в текстовом поле, чтобы подтвердить всю цепочку сертификатов. Игнорируйте информацию в расширении AIA сертификата. Текстовое поле URL-адреса OCSP также необходимо настроить с помощью адреса сервера OCSP для проверки отзыва.
  • Только сертификат (обязательно). Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата в цепочке. Настройка в текстовом поле URL-адреса OCSP игнорируется. Каждый сертификат в цепочке должен иметь определенный URL-адрес OCSP, в противном случае произойдет ошибка проверки отзыва сертификата.
  • Только сертификат (необязательно). Выполните проверку только отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата. Не выполняйте проверку отзыва, если URL-адрес OCSP отсутствует в расширении AIA сертификата. Настройка в текстовом поле URL-адреса OCSP игнорируется. Эта конфигурация подходит, если требуется проверка отзыва, но некоторые промежуточные или корневые сертификаты не содержат URL-адрес OCSP в расширении AIA.
  • Сертификат с возвратом в основную среду для конфигурации. Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, извлеченного из расширения AIA каждого сертификата в цепочке, при наличии URL-адреса OCSP. Если URL-адрес OCSP отсутствует в расширении AIA, проверьте отзыв с помощью URL-адреса OCSP, настроенного в текстовом поле URL-адреса OCSP. Текстовое поле URL-адреса OCSP должно быть настроено с помощью адреса сервера OCSP.
Читать также:  Курсы по эпиляции в москве с сертификатом с нуля

При включении проверки отзыва сертификата сервер VMware Identity Manager читает CRL, чтобы определить состояние отзыва сертификата пользователя.

Эта статья описывает типичные ошибки работы КриптоПро ЭЦП Browser plug-in  в браузерах  и предлагает способы их решения.

Появляется окно КриптоПро CSP Вставьте ключевой носитель

Появление данного окна значит, что у Вас не вставлен носитель с закрытым ключом для выбранного Вами сертификата.

Необходимо вставить ключевой носитель. Убедитесть, что устройство отображается в Диспетчере Устройств Windows. Установите драйверы на устройство с сайта производителя если они не установлены.

Если предыдущие действия не помогли, необходимо переустановить сертификат в хранилище Личное текущего пользователя с привязкой к закрытому ключу. См статью.

Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)

Эта ошибка возникает, когда невозможно проверить статус сертификата (нет доступа к спискам отзыва или OCSP службе), либо не установлены корневые сертификаты.

Скриншоты с примерами сертификатов, у которых не строится цепочка доверия.

Если вы используете квалифицированный сертификат, то попробуйте установить в доверенные корневые эти 2 сертификата. Это сертификаты Головного УЦ Минкомсвязи и Минцифры. От них, при наличии интернета, должна построится цепочка доверия у любого квалифицированного сертификата.

https://e-trust.gosuslugi.ru/#/portal/registry/ufo-certificate-card/34656 — страница сертифката, ссылка с серийным номером скачает файл сертификата

Чтобы установить скачанный сертификат в доверенные корневые центры сертификации, нажмите по нему правой кнопкой-Выберите пункт –Установить сертификат- Локальный компьютер (если такой выбор есть) — Поместить все сертификаты в следующие хранилище-Обзор-Доверенные корневые центры сертификации-Ок- Далее- Готово- когда появится предупреждение системы безопасности об установке сертификата- нажмите Да-Ок.

Если этого недостаточно, обратитесь в УЦ, выдавший вам сертификат, за сертификатом самого УЦ.

Важно: Если вы создаете CAdES-T (доверенное время) или CAdES-XLongType 1 (доверенное время и доказательства подлинности), ошибка цепочки может возникать если нет доверия к сертификату оператора TSP службы. В этом случае необходимо установить в доверенные корневые центры сертификации корневой сертификат УЦ, предоставляющего службу TSP.

При создании подписи появляется окно с ошибкой «Не удается найти сертификат и закрытый ключ для расшифровки. (0x8009200B)», в информации о сесртификате отображается «нет привязки к закрытому ключу»

Выполните привязку сертификата к закрытому ключу.

Важно: На наших демо-страницах подпись будет создана даже если привязки к ЗК нет. При этом сертификат должен находиться в контейнере. Сообщение «нет привязки к закрытому ключу» в данном случае будет носить информационный характер. Однако для обеспечения совместимости со сторонними площадками мы рекомендуем выполнять привязку сертификата к закрытому ключу.

Подпись создается, но также отображается статус «ошибка при проверке цепочки сертификатов».

Это значит, что нет доступа к спискам отозванных сертификатов.

Причина ошибки — истёк срок действия лицензий на КриптоПро CSP и/или КриптоПро TSP Client 2.0 и/или Криптопро OCSP Client 2.0.

Для создания CAdES-BES подписи должна быть действующая лицензия на КриптоПро CSP.

Для создания CAdES-T должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0.

Для создания XLT1 должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0, КриптоПро OCSP Client 2.0

Посмотреть статус лицензий можно через: Пуск- Все программы- КРИПТО-ПРО- Управление лицензиями КриптоПро PKI.

Чтобы активировать имеющуюся лицензию:

— введите в поле информацию о лицензии и нажмите OK чтобы сохранить её.

Отказано в доступе (0x80090010)

Ошибка: Invalid algorithm specified. (0x80090008)

Ошибка возникает, если Вы используете сертификат, алгоритм которого не поддерживается Вашим криптопровайдером.

Пример: У вас установлен КриптоПро CSP 3.9 а сертификат Выпущен по ГОСТ 2012.

Или если используется алгоритм хеширования, не соответствующий сертификату.

Так же проверьте актуальность версии КриптоПро CSP.

Оставлено
:
25 августа 2014 г. 11:46:45(UTC)

Добрый день, не знаю в каком разделе создавать тему, по этому зарание извиняюсь если создал не там.

В PKIVIEW доступны по крайней мере пара CDP со списками отзывов. Сами списки по ссылкам,если вставить в браузер, скачиваются нормально. На рабочей станции установлены все сертификаты и они валидны. Удалял и переустанавливал все сертификаты на контроллерах домена. Фаервол отключен, ICA пингуется с машинки. Прикладываю скрин -как выглядит список точек распространения, и результат выполнения certutil -verify -urlfetch на проблемной машине по сертификату контроллера домена:

Поставщик: CN=easystep-CANEV-CA DC=easystep DC=localСубъект: EMPTY (DNS-имя=AD1.easystep.local)Серийный номер сертификата: 530000016dca326cf513bbf07a00000000016d

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)HCCE_LOCAL_MACHINECERT_CHAIN_POLICY_BASE——— CERT_CHAIN_CONTEXT ———ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

—————- OCSP сертификата —————- Отсутствуют URL «Нет» Время: 0 ———————————

Exclude leaf cert: 1f f2 1c 22 a0 5c 89 4d 0d 5f fb 21 c4 2d bb f6 e6 fb e0 e0Full chain: be cf 50 8e b5 b7 61 c6 d3 f7 99 f9 b7 a7 d7 16 73 42 14 ec Issuer: CN=easystep-CANEV-CA, DC=easystep, DC=local NotBefore: 19.08.2014 15:46 NotAfter: 19.08.2016 15:56 Subject: Serial: 530000016dca326cf513bbf07a00000000016d SubjectAltName: DNS-имя=AD1.easystep.local Template: Domain Controller Authentication 91 0e 39 e7 c4 e0 c1 58 65 2b 2a c6 5d f5 c5 dc ab b0 fb 22Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613)

Читать также:  В каком случае возможно восстановить сертификат находящийся в списке отозванных сертификатов

Проверка списка отзыва пропущена — сервер отключен или вне сетиПроверка отзыва сертификата выполненаCertUtil: -verify — команда успешно выполнена.К слову на проблемной машине Win 7 x86 sp1, брэндмауэр и касперский отключены. Списки отзывов установлены, только я их ставлю,указываю им хранилище «промежуточные центры сертификации», они устанавливаются но в оснастке в списке отзывов их почему-то не видно.

Помогите коллеги! Всё перепробовал! Тупик (

Служба смарт-карт Smart Card service

Проверка того, запущена ли служба смарт-карт To check if Smart Card service is running

Нажмите клавиши CTRL + ALT + DELETE, а затем — запустить диспетчер задач. Press CTRL+ALT+DEL, and then click Start Task Manager.

В диалоговом окне Диспетчер задач Windows откройте вкладку службы . In the Windows Task Manager dialog box, click the Services tab.

Щелкните столбец имя , чтобы отсортировать список по алфавиту, а затем введите s. Click the Name column to sort the list alphabetically, and then type s.

В столбце имя найдите SCardSvrи просмотрите столбец Status (состояние ), чтобы узнать, запущена или остановлена служба. In the Name column, look for SCardSvr, and then look under the Status column to see if the service is running or stopped.

Перезапуск службы смарт-карт To restart Smart Card service

В командной строке введите net stop SCardSvr. At the command prompt, type net stop SCardSvr.

В командной строке введите net start SCardSvr. At the command prompt, type net start SCardSvr.

Ниже приведен пример выходных данных команды. This is an example output from this command:

Устройства чтения смарт-карт Smart card readers

Как и любые устройства, подключенные к компьютеру, диспетчер устройств может использоваться для просмотра свойств и начала процесса отладки. As with any device connected to a computer, Device Manager can be used to view properties and begin the debug process.

Проверка работоспособности устройства чтения смарт-карт To check if smart card reader is working

Перейдите на компьютер. Navigate to Computer.

Щелкните правой кнопкой мыши значок компьютери выберите пункт свойства. Right-click Computer, and then click Properties.

В разделе задачищелкните элемент Диспетчер устройств. Under Tasks, click Device Manager.

В диспетчере устройств разверните узел устройства чтения смарт-карт, выберите имя устройства чтения смарт-карт, которое вы хотите проверить, и нажмите кнопку свойства. In Device Manager, expand Smart card readers, select the name of the smart card reader you want to check, and then click Properties.

Если устройство чтения смарт-карт не отображается в диспетчере устройств, в меню действие выберите пункт Обновить конфигурацию оборудования. If the smart card reader is not listed in Device Manager, in the Action menu, click Scan for hardware changes.

Центр диагностики CryptoAPI 2,0 CryptoAPI 2. 0 Diagnostics

Центр диагностики CryptoAPI 2,0 доступен в версиях Windows, которые поддерживают CryptoAPI 2,0 и могут помочь при устранении проблем инфраструктуры открытых ключей (PKI). CryptoAPI 2.0 Diagnostics is available in Windows versions that support CryptoAPI 2.0 and can help you troubleshoot public key infrastructure (PKI) issues.

Центр диагностики CryptoAPI 2,0 регистрирует события в журнале событий Windows. CryptoAPI 2.0 Diagnostics logs events in the Windows event log. Журналы содержат подробные сведения о проверке цепочки сертификатов, операциях хранилища сертификатов и проверке подписей. The logs contain detailed information about certificate chain validation, certificate store operations, and signature verification. Эта информация упрощает определение причин проблем и сокращает время, необходимое для диагностики. This information makes it easier to identify the causes of issues and reduces the time required for diagnosis.

Команды Certutil

Чтобы получить список сертификатов, доступных на смарт-карте, введите certutil-scinfo. To list certificates that are available on the smart card, type certutil -scinfo.

Ввод ПИН-кода для этой операции не требуется. Entering a PIN is not required for this operation. Если вам будет предложено ввести ПИН-код, вы можете нажать клавишу ESC. You can press ESC if you are prompted for a PIN.

Удаление сертификатов на смарт-карте Delete certificates on the smart card

Каждый сертификат заключен в контейнер. Each certificate is enclosed in a container. При удалении сертификата со смарт-картой удаляется контейнер для сертификата. When you delete a certificate on the smart card, you are deleting the container for the certificate.

Чтобы найти значение контейнера, введите certutil-scinfo. To find the container value, type certutil -scinfo.

Чтобы удалить контейнер, введите certutil-delkey-CSP «базовый поставщик криптографии смарт-карт Microsoft» » «. To delete a container, type certutil -delkey -csp «Microsoft Base Smart Card Crypto Provider» » «.

Отладка и трассировка с помощью WPP Debugging and tracing using WPP

tracelog.exe-KD-RT-Start -GUID # *-f. * ETL-флаги ) -ft 1 tracelog.exe -kd -rt -start -guid # -f . .etl -flags -ft 1

Чтобы включить трассировку для службы SCardSvr, выполните указанные ниже действия. To enable tracing for the SCardSvr service:

Читать также:  Гибкая трубка ПВХ с зондом D=20 (10120-E90) серая

tracelog.exe-KD-RT-startscardsvr-GUID #13038e47-ffec-425d-bc69-5707708075fe-f. ScardSvr. ETL-flags0xffff-FT1 tracelog.exe-kd-rt-startscardsvr-guid#13038e47-ffec-425d-bc69-5707708075fe-f.scardsvr.etl-flags0xffff-ft1

Чтобы включить трассировку для scfilter.sys, выполните указанные ниже действия. To enable tracing for scfilter.sys:

Остановка трассировки Stop the trace

Остановкаtracelog.exe tracelog.exe -stop

Logman — стоп -ETS logman -stop -ets

Examples

Чтобы остановить трассировку, выполните указанные ниже действия. To stop a trace:

tracelog.exe остановки SCardSvr tracelog.exe -stop scardsvr

Logman-Stop SCardSvr-ETS logman -stop scardsvr -ets

Протокол Kerberos, и отладка KDC и проверки подлинности и трассировка NTLM Kerberos protocol, KDC and NTLM debugging and tracing

Ниже приведены ресурсы, которые можно использовать для устранения неполадок с этими протоколами и KDC. You can use these resources to troubleshoot these protocols and the KDC:

Комплект драйверов Windows (WDK) и инструменты для отладки для Windows (WinDbg). Windows Driver Kit (WDK) and Debugging Tools for Windows (WinDbg). Вы можете использовать средство ведения журнала трассировки в пакете SDK для отладки сбоев проверки подлинности Kerberos. You can use the trace log tool in this SDK to debug Kerberos authentication failures.

Протокол NTLM NTLM

Чтобы остановить трассировку для проверки подлинности NTLM, выполните следующую команду: To stop tracing for NTLM authentication, run this command:

Проверка подлинности Kerberos Kerberos authentication

Чтобы включить трассировку для проверки подлинности Kerberos, выполните следующую команду: To enable tracing for Kerberos authentication, run this command:

Чтобы остановить трассировку для проверки подлинности Kerberos, выполните следующую команду: To stop tracing for Kerberos authentication, run this command:

ЦЕНТР KDC

Чтобы остановить трассировку на удаленном компьютере, выполните эту команду: logman.exe-s * *. To stop tracing from a remote computer, run this command: logman.exe -s .

По умолчанию для logman.exe задано расположение% SystemRoot% System32 . The default location for logman.exe is %systemroot%system32. Укажите имя компьютера с помощью параметра -s . Use the -s option to supply a computer name.

Настройка трассировки с помощью реестра Configure tracing with the registry

NTLM:%systemroot% racingmsv1_0 NTLM: %systemroot% racingmsv1_0

Kerberos:%systemroot% racingkerberos Kerberos: %systemroot% racingkerberos

KDC:%systemroot% racingkdcsvc KDC: %systemroot% racingkdcsvc

На этой смарт карте не найдены действительные сертификаты windows 10

Здравствуйте! Возникла следующая проблема.

2 сервера: Windows 2008 standart R2 x64 rus

1) Основной контроллер домена + корневой центр сертификации

2) Дополнительный (Дублирующий) контроллер домена + промежуточный центр сертификации

У обоих серверов есть сертификаты «Контроллер домена» и «Проверка подлинности контроллера домена», и оба входят в группу «Издатели сертификатов».

Пользователю выдан сертификат для входа со смарт-картой и записан на rutoken (через http://server/certsrv) (выдан на промежуточном центре сертификации).

Выдача сертификатов прошла без ошибок.

Для сертификата контроллера домена и сертификата пользователя «CertUtil: -verify — команда успешно выполнена».

Сертификат пользователя записан на токен нормально (проверено с помощью rtCert).

Если токен не подключен отображается сообщение «Вставьте смарт-карту» (вполне логично).

Как только подключаем токен, то сообщение меняется на «Действительные сертификаты не найдены».

Подскажите пожалуйста в чем может быть проблема?

Ответы

1. На всякий случай удалил лишние криптопровайдеры (оставил только от рутокена).

2. Затем перенес 3 файла с сервера с корневым центром сертификации на машину с подчинённым центром сертификации:

  • Файл, содержащий открытый ключ корневого центра сертификации, в нашем случае RootCA_ROOT CA.cer находиться в папке %system root%system32certsrvcertenroll – это должен быть единственный файл сертификата, в имени которого содержится имя компьютера и имя центра сертификации.
  • Файл, содержащий сертификат, выданный подчинённому центру сертификации на основании запроса. Перед этим нужно экспортировать данный сертификат в файл *.cer .
  • И последний файл, это файл, содержащий список отозванных сертификатов. Этот файл находиться в папке %system root%system32certsrvcertenroll и имеет расширение .crl.

3. В центре сертификации (корневого ЦС) — «Отозванные сертификаты» — Действие — Все задачи — Публикация.

После перезагрузки серверов и клиентов всё заработало.

Сообщений 15

Проблема такая. Есть у нас несколько RuToken PKI. Решили мы сделать вход по Smart-карте, руководствуясь статьей https://habr.com/ru/company/aktiv-company/blog/327232/. Все вроде бы хорошо: сертификаты генерируются и записываются в CA и на RuToken. Ни одной ошибки. При генерации используется Aktiv RuToken CSP v 1.0, он же указан в настройках криптопровайдеров.

Но, при попытке использовать RuToken в качестве средства авторизации выводится сообщение «На этой смарт-карте не найдены действительные сертификаты». Соответственно авторизация невозможна.

При просмотре сертификата в Панели управления Рутокен, он отображается как действительный с неизвлекаемой и неэкспортируемой ключевой парой. Сертификат также есть в домене у пользователя на закладке «Опубликованные сертификаты».

При использовании сервиса проверки https://help.rutoken.ru/ на сертификат выдается предупреждение «Точное расположение контейнера определить не удалось».

Помогите пожалуйста разобраться в чем дело.

#2 Ответ от Ксения Шаврова 2019-07-24 13

Подскажите, на той машине, где производится попытка авторизоваться тоже выставлен криптопровайдер Aktiv ruToken CSP v1.0 напротив нужной модели? Попробуйте его поменять, и затем опять установить правильный.Если используется форм фактор USB-токена — Рутокен ЭЦП (2.0 / PKI / BT)Если используется смарт-карта — Рутокен ЭЦП (2.0 / PKI) Смарт-карта

Устранение неполадок со смарт-картой Smart Card Troubleshooting

Применимо к: Windows 10, Windows Server 2016 Applies To: Windows 10, Windows Server 2016

В этой статье рассказывается о средствах и службах, которые могут использоваться разработчиками смарт-карт для выявления проблем с сертификатом при развертывании смарт-карт. This article explains tools and services that smart card developers can use to help identify certificate issues with the smart card deployment.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *