Криптопровайдер — различия между версиями
(Новая страница: «== Крипто-Про CSP == На контейнеры можно ставить пин-код. А при вводе этого пин-кода можно по…») |
Litvinyuk (обсуждение | вклад) (→КриптоПро CSP) |
||
| (не показано 5 промежуточных версий этого же участника) | |||
| Строка 1: | Строка 1: | ||
| − | == | + | == КриптоПро CSP == |
| + | === Административная установка === | ||
| + | msiexec /a csp-win32-kc2-rus.msi TARGETDIR=\\install.server.ru\admininstall\cryptopro_csp\4.0.4499\ NOFLOPPY=1 REGPNPFLOPPY=1 | ||
| + | === Перенос контейнера с неизвестным пин-кодом === | ||
На контейнеры можно ставить пин-код. А при вводе этого пин-кода можно поставить галочку «сохранить» — и в дальнейшем его вводить не придётся. После этого пин-код благополучно забывают. | На контейнеры можно ставить пин-код. А при вводе этого пин-кода можно поставить галочку «сохранить» — и в дальнейшем его вводить не придётся. После этого пин-код благополучно забывают. | ||
| Строка 7: | Строка 10: | ||
(Выбираем нужный контейнер (кнопка «Обзор» или «По сертификату»)) -> Далее -> "Название нового контейнера" -> далее -> устанавливаем на него новый пароль'''. Или не устанавливаем. | (Выбираем нужный контейнер (кнопка «Обзор» или «По сертификату»)) -> Далее -> "Название нового контейнера" -> далее -> устанавливаем на него новый пароль'''. Или не устанавливаем. | ||
И вот после этого уже копируем ветку реестра на новый комп. | И вот после этого уже копируем ветку реестра на новый комп. | ||
| − | Кстати, что бы не мучаться с подменой SID — можно копировать сертификаты в контейнер компьютера, а не пользователя, | + | Кстати, что бы не мучаться с подменой SID — можно копировать сертификаты в контейнер компьютера, а не пользователя. |
| + | Хранятся они по путям, если в контейнере пользователя, то | ||
| + | HKLM\SOFTWARE\Crypto Pro\Settings\Users\[SID пользователя]\Keys | ||
| + | и для компьютера в целом в | ||
| + | HKLM\SOFTWARE\Crypto Pro\Settings\Keys | ||
| − | + | ||
| − | HKLM\SOFTWARE\ | + | В случае 64-битной ОС пути будут немного другими, |
| − | + | HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\[SID пользователя]\Keys | |
| − | HKLM\SOFTWARE\Wow6432Node\ | + | и |
| + | HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Keys | ||
| + | соответственно. | ||
| + | |||
| + | === Решение проблем === | ||
| + | При работе КриптоПро на терминальном сервере у пользователя может не хватить прав на запись ключа в эти ветви, поскольку они находятся не в профиле пользователя. Эту ситуацию можно исправить назначением соответствующих прав на ветви через утилиту Regedit. | ||
| + | |||
| + | КриптоПро ищет контейнеры ключей на дисках, которые имеют атрибут “съемный”, то есть флеш-диск или, прости господи, дискета будут считаться контейнерами ключей, а сетевой диск или диск, проброшенный через RDP — нет. | ||
Была одна крутая подлянка. Сайт закупок перестал загружаться, то есть его закрытая часть. | Была одна крутая подлянка. Сайт закупок перестал загружаться, то есть его закрытая часть. | ||
| Строка 18: | Строка 32: | ||
Когда брякнулось одно из последних обновлений Microsoft сайт закупок и вырубился. Но стоило обновиться до 3.9 как все заработало. | Когда брякнулось одно из последних обновлений Microsoft сайт закупок и вырубился. Но стоило обновиться до 3.9 как все заработало. | ||
Поскольку лицензия от 3.9 для 3.6 не подходит вернул на 3.6sp4. Но видимо что-то в компе сделалось в результате этих трюков и сайт закупок продолжает работать. | Поскольку лицензия от 3.9 для 3.6 не подходит вернул на 3.6sp4. Но видимо что-то в компе сделалось в результате этих трюков и сайт закупок продолжает работать. | ||
| + | |||
| + | Если файлы контейнера имеют атрибут файловой системы "'''только для чтения'''" (r) то скопировать его из интерфейса апплета не удастся. Выскакивает ошибка доступа. | ||
TODO: | TODO: | ||
# Переписать на человеческий. | # Переписать на человеческий. | ||
# Требуются ли к.-л. права доступа к ветке реестра для группы "Пользователи домена"? | # Требуются ли к.-л. права доступа к ветке реестра для группы "Пользователи домена"? | ||
| + | |||
| + | '''В:''' Если на все сертификаты ГОСТ 2012, в том числе удостоверяющие пишет, что сертификат поврежден или содержит неправильную ЭП. КриптоПро CSP 4 переустановили, обновили на R3, результат тот же. ГОСТ 2001 работает. | ||
| + | |||
| + | '''О:''' Удалить | ||
| + | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1 | ||
| + | и | ||
| + | HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1 | ||
| + | командами в командной строке запущенной с повышенными правами: | ||
| + | reg delete "HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1" /f | ||
| + | reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1" /f | ||
| + | |||
| + | ----- | ||
| + | *[https://www.altlinux.org/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%9F%D1%80%D0%BE Статья на wiki.altlinux.org о настройке КриптоПро CSP] | ||
| + | *[https://habrahabr.ru/post/326718/ Заходим в личный кабинет на zakupki.gov.ru без Internet Explorer и другие полезные советы при работе с КриптоПро] | ||
| + | |||
| + | === КриптоПро ЭЦП Browser Plug-in === | ||
| + | |||
| + | Настройка осуществляется либо через web страницу запускаемую ярлыком "Пуск\Все программы\КРИПТО-ПРО\Настройки ЭЦП Browser Plug-in". Либо в реестре, по пути: | ||
| + | |||
| + | HKCU\Software\Crypto Pro\CAdESplugin | ||
| + | |||
| + | в параметре "TrustedSites" формата REG_MULTI_SZ | ||
== VipNet CSP == | == VipNet CSP == | ||
Требует ключей в собственном формате. М.б. есть обходной путь. Выгрузить открытые+закрытые ключи в '''.pfx''' + '''.cer'''. Импортировать '''.pxf'''. Только криптопровайдер похоже нужен экспорт=импорт. Установить '''.cer''' в контейнер с перепростановкой ссылки на открытый ключ. М.б. так же сработает для Крипто-Про. | Требует ключей в собственном формате. М.б. есть обходной путь. Выгрузить открытые+закрытые ключи в '''.pfx''' + '''.cer'''. Импортировать '''.pxf'''. Только криптопровайдер похоже нужен экспорт=импорт. Установить '''.cer''' в контейнер с перепростановкой ссылки на открытый ключ. М.б. так же сработает для Крипто-Про. | ||
Текущая версия на 14:15, 21 апреля 2020
Содержание
КриптоПро CSP
Административная установка
msiexec /a csp-win32-kc2-rus.msi TARGETDIR=\\install.server.ru\admininstall\cryptopro_csp\4.0.4499\ NOFLOPPY=1 REGPNPFLOPPY=1
Перенос контейнера с неизвестным пин-кодом
На контейнеры можно ставить пин-код. А при вводе этого пин-кода можно поставить галочку «сохранить» — и в дальнейшем его вводить не придётся. После этого пин-код благополучно забывают.
При копировании данным методом, контейнер остаётся защищён пин-кодом — а вот «сохранение» этого пин-кода не переносится на новый компьютер. Выход: Если исходный компьютер ещё жив — заходим в Панель управления -> КриптоПро CSP -> Сервис -> Скопировать (Выбираем нужный контейнер (кнопка «Обзор» или «По сертификату»)) -> Далее -> "Название нового контейнера" -> далее -> устанавливаем на него новый пароль. Или не устанавливаем. И вот после этого уже копируем ветку реестра на новый комп. Кстати, что бы не мучаться с подменой SID — можно копировать сертификаты в контейнер компьютера, а не пользователя. Хранятся они по путям, если в контейнере пользователя, то
HKLM\SOFTWARE\Crypto Pro\Settings\Users\[SID пользователя]\Keys
и для компьютера в целом в
HKLM\SOFTWARE\Crypto Pro\Settings\Keys
В случае 64-битной ОС пути будут немного другими,
HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\[SID пользователя]\Keys
и
HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Keys
соответственно.
Решение проблем
При работе КриптоПро на терминальном сервере у пользователя может не хватить прав на запись ключа в эти ветви, поскольку они находятся не в профиле пользователя. Эту ситуацию можно исправить назначением соответствующих прав на ветви через утилиту Regedit.
КриптоПро ищет контейнеры ключей на дисках, которые имеют атрибут “съемный”, то есть флеш-диск или, прости господи, дискета будут считаться контейнерами ключей, а сетевой диск или диск, проброшенный через RDP — нет.
Была одна крутая подлянка. Сайт закупок перестал загружаться, то есть его закрытая часть. У нас была 3.6sp4, то есть обновления Microsoft продолжали ставиться (3.6sp2 блокирует обновления Microsoft). Когда брякнулось одно из последних обновлений Microsoft сайт закупок и вырубился. Но стоило обновиться до 3.9 как все заработало. Поскольку лицензия от 3.9 для 3.6 не подходит вернул на 3.6sp4. Но видимо что-то в компе сделалось в результате этих трюков и сайт закупок продолжает работать.
Если файлы контейнера имеют атрибут файловой системы "только для чтения" (r) то скопировать его из интерфейса апплета не удастся. Выскакивает ошибка доступа.
TODO:
- Переписать на человеческий.
- Требуются ли к.-л. права доступа к ветке реестра для группы "Пользователи домена"?
В: Если на все сертификаты ГОСТ 2012, в том числе удостоверяющие пишет, что сертификат поврежден или содержит неправильную ЭП. КриптоПро CSP 4 переустановили, обновили на R3, результат тот же. ГОСТ 2001 работает.
О: Удалить
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
и
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
командами в командной строке запущенной с повышенными правами:
reg delete "HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1" /f reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1" /f
- Статья на wiki.altlinux.org о настройке КриптоПро CSP
- Заходим в личный кабинет на zakupki.gov.ru без Internet Explorer и другие полезные советы при работе с КриптоПро
КриптоПро ЭЦП Browser Plug-in
Настройка осуществляется либо через web страницу запускаемую ярлыком "Пуск\Все программы\КРИПТО-ПРО\Настройки ЭЦП Browser Plug-in". Либо в реестре, по пути:
HKCU\Software\Crypto Pro\CAdESplugin
в параметре "TrustedSites" формата REG_MULTI_SZ
VipNet CSP
Требует ключей в собственном формате. М.б. есть обходной путь. Выгрузить открытые+закрытые ключи в .pfx + .cer. Импортировать .pxf. Только криптопровайдер похоже нужен экспорт=импорт. Установить .cer в контейнер с перепростановкой ссылки на открытый ключ. М.б. так же сработает для Крипто-Про.
