Криптопровайдер — различия между версиями

Материал из Корпоративная wiki Администрации города Волгодонски
Перейти к: навигация, поиск
(Новая страница: «== Крипто-Про CSP == На контейнеры можно ставить пин-код. А при вводе этого пин-кода можно по…»)
 
(КриптоПро CSP)
 
(не показано 5 промежуточных версий этого же участника)
Строка 1: Строка 1:
== Крипто-Про CSP ==
+
== КриптоПро CSP ==
 +
=== Административная установка ===
 +
msiexec /a csp-win32-kc2-rus.msi TARGETDIR=\\install.server.ru\admininstall\cryptopro_csp\4.0.4499\ NOFLOPPY=1 REGPNPFLOPPY=1
  
 +
=== Перенос контейнера с неизвестным пин-кодом ===
 
На контейнеры можно ставить пин-код. А при вводе этого пин-кода можно поставить галочку «сохранить» — и в дальнейшем его вводить не придётся. После этого пин-код благополучно забывают.
 
На контейнеры можно ставить пин-код. А при вводе этого пин-кода можно поставить галочку «сохранить» — и в дальнейшем его вводить не придётся. После этого пин-код благополучно забывают.
  
Строка 7: Строка 10:
 
(Выбираем нужный контейнер (кнопка «Обзор» или «По сертификату»)) -> Далее -> "Название нового контейнера" -> далее -> устанавливаем на него новый пароль'''. Или не устанавливаем.
 
(Выбираем нужный контейнер (кнопка «Обзор» или «По сертификату»)) -> Далее -> "Название нового контейнера" -> далее -> устанавливаем на него новый пароль'''. Или не устанавливаем.
 
И вот после этого уже копируем ветку реестра на новый комп.
 
И вот после этого уже копируем ветку реестра на новый комп.
Кстати, что бы не мучаться с подменой SID — можно копировать сертификаты в контейнер компьютера, а не пользователя, тогда они будут храниться в:
+
Кстати, что бы не мучаться с подменой SID — можно копировать сертификаты в контейнер компьютера, а не пользователя.
 +
Хранятся они по путям, если в контейнере пользователя, то
 +
HKLM\SOFTWARE\Crypto Pro\Settings\Users\[SID пользователя]\Keys
 +
и для компьютера в целом в
 +
HKLM\SOFTWARE\Crypto Pro\Settings\Keys
  
Win32
+
 
  HKLM\SOFTWARE\CryptoPro\Settings\Keys\
+
В случае 64-битной ОС пути будут немного другими,
Win64
+
  HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\[SID пользователя]\Keys
  HKLM\SOFTWARE\Wow6432Node\CryptoPro\Settings\Keys\
+
и
 +
  HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Keys
 +
соответственно.
 +
 
 +
=== Решение проблем ===
 +
При работе КриптоПро на терминальном сервере у пользователя может не хватить прав на запись ключа в эти ветви, поскольку они находятся не в профиле пользователя. Эту ситуацию можно исправить назначением соответствующих прав на ветви через утилиту Regedit.
 +
 
 +
КриптоПро ищет контейнеры ключей на дисках, которые имеют атрибут “съемный”, то есть флеш-диск или, прости господи, дискета будут считаться контейнерами ключей, а сетевой диск или диск, проброшенный через RDP — нет.
  
 
Была одна крутая подлянка. Сайт закупок перестал загружаться, то есть его закрытая часть.
 
Была одна крутая подлянка. Сайт закупок перестал загружаться, то есть его закрытая часть.
Строка 18: Строка 32:
 
Когда брякнулось одно из последних обновлений Microsoft сайт закупок и вырубился. Но стоило обновиться до 3.9 как все заработало.
 
Когда брякнулось одно из последних обновлений Microsoft сайт закупок и вырубился. Но стоило обновиться до 3.9 как все заработало.
 
Поскольку лицензия от 3.9 для 3.6 не подходит вернул на 3.6sp4. Но видимо что-то в компе сделалось в результате этих трюков и сайт закупок продолжает работать.
 
Поскольку лицензия от 3.9 для 3.6 не подходит вернул на 3.6sp4. Но видимо что-то в компе сделалось в результате этих трюков и сайт закупок продолжает работать.
 +
 +
Если файлы контейнера имеют атрибут файловой системы "'''только для чтения'''" (r) то скопировать его из интерфейса апплета не удастся. Выскакивает ошибка доступа.
  
 
TODO:
 
TODO:
 
# Переписать на человеческий.
 
# Переписать на человеческий.
 
# Требуются ли к.-л. права доступа к ветке реестра для группы "Пользователи домена"?
 
# Требуются ли к.-л. права доступа к ветке реестра для группы "Пользователи домена"?
 +
 +
'''В:''' Если на все сертификаты ГОСТ 2012, в том числе удостоверяющие пишет, что сертификат поврежден или содержит неправильную ЭП. КриптоПро CSP 4 переустановили, обновили на R3, результат тот же. ГОСТ 2001 работает.
 +
 +
'''О:''' Удалить
 +
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
 +
и
 +
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
 +
командами в командной строке запущенной с повышенными правами:
 +
reg delete "HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1" /f
 +
reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1" /f
 +
 +
-----
 +
*[https://www.altlinux.org/%D0%9A%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%9F%D1%80%D0%BE Статья на wiki.altlinux.org о настройке КриптоПро CSP]
 +
*[https://habrahabr.ru/post/326718/ Заходим в личный кабинет на zakupki.gov.ru без Internet Explorer и другие полезные советы при работе с КриптоПро]
 +
 +
=== КриптоПро ЭЦП Browser Plug-in ===
 +
 +
Настройка осуществляется либо через web страницу запускаемую ярлыком "Пуск\Все программы\КРИПТО-ПРО\Настройки ЭЦП Browser Plug-in". Либо в реестре, по пути:
 +
 +
HKCU\Software\Crypto Pro\CAdESplugin
 +
 +
в параметре "TrustedSites" формата REG_MULTI_SZ
  
 
== VipNet CSP ==
 
== VipNet CSP ==
  
 
Требует ключей в собственном формате. М.б. есть обходной путь. Выгрузить открытые+закрытые ключи в '''.pfx''' + '''.cer'''. Импортировать '''.pxf'''. Только криптопровайдер похоже нужен экспорт=импорт. Установить '''.cer''' в контейнер с перепростановкой ссылки на открытый ключ. М.б. так же сработает для Крипто-Про.
 
Требует ключей в собственном формате. М.б. есть обходной путь. Выгрузить открытые+закрытые ключи в '''.pfx''' + '''.cer'''. Импортировать '''.pxf'''. Только криптопровайдер похоже нужен экспорт=импорт. Установить '''.cer''' в контейнер с перепростановкой ссылки на открытый ключ. М.б. так же сработает для Крипто-Про.

Текущая версия на 14:15, 21 апреля 2020

КриптоПро CSP

Административная установка

msiexec /a csp-win32-kc2-rus.msi TARGETDIR=\\install.server.ru\admininstall\cryptopro_csp\4.0.4499\ NOFLOPPY=1 REGPNPFLOPPY=1

Перенос контейнера с неизвестным пин-кодом

На контейнеры можно ставить пин-код. А при вводе этого пин-кода можно поставить галочку «сохранить» — и в дальнейшем его вводить не придётся. После этого пин-код благополучно забывают.

При копировании данным методом, контейнер остаётся защищён пин-кодом — а вот «сохранение» этого пин-кода не переносится на новый компьютер. Выход: Если исходный компьютер ещё жив — заходим в Панель управления -> КриптоПро CSP -> Сервис -> Скопировать (Выбираем нужный контейнер (кнопка «Обзор» или «По сертификату»)) -> Далее -> "Название нового контейнера" -> далее -> устанавливаем на него новый пароль. Или не устанавливаем. И вот после этого уже копируем ветку реестра на новый комп. Кстати, что бы не мучаться с подменой SID — можно копировать сертификаты в контейнер компьютера, а не пользователя. Хранятся они по путям, если в контейнере пользователя, то

HKLM\SOFTWARE\Crypto Pro\Settings\Users\[SID пользователя]\Keys

и для компьютера в целом в

HKLM\SOFTWARE\Crypto Pro\Settings\Keys


В случае 64-битной ОС пути будут немного другими,

HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\[SID пользователя]\Keys

и

HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Keys

соответственно.

Решение проблем

При работе КриптоПро на терминальном сервере у пользователя может не хватить прав на запись ключа в эти ветви, поскольку они находятся не в профиле пользователя. Эту ситуацию можно исправить назначением соответствующих прав на ветви через утилиту Regedit.

КриптоПро ищет контейнеры ключей на дисках, которые имеют атрибут “съемный”, то есть флеш-диск или, прости господи, дискета будут считаться контейнерами ключей, а сетевой диск или диск, проброшенный через RDP — нет.

Была одна крутая подлянка. Сайт закупок перестал загружаться, то есть его закрытая часть. У нас была 3.6sp4, то есть обновления Microsoft продолжали ставиться (3.6sp2 блокирует обновления Microsoft). Когда брякнулось одно из последних обновлений Microsoft сайт закупок и вырубился. Но стоило обновиться до 3.9 как все заработало. Поскольку лицензия от 3.9 для 3.6 не подходит вернул на 3.6sp4. Но видимо что-то в компе сделалось в результате этих трюков и сайт закупок продолжает работать.

Если файлы контейнера имеют атрибут файловой системы "только для чтения" (r) то скопировать его из интерфейса апплета не удастся. Выскакивает ошибка доступа.

TODO:

  1. Переписать на человеческий.
  2. Требуются ли к.-л. права доступа к ветке реестра для группы "Пользователи домена"?

В: Если на все сертификаты ГОСТ 2012, в том числе удостоверяющие пишет, что сертификат поврежден или содержит неправильную ЭП. КриптоПро CSP 4 переустановили, обновили на R3, результат тот же. ГОСТ 2001 работает.

О: Удалить

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

и

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

командами в командной строке запущенной с повышенными правами:

reg delete "HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1" /f
reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1" /f

КриптоПро ЭЦП Browser Plug-in

Настройка осуществляется либо через web страницу запускаемую ярлыком "Пуск\Все программы\КРИПТО-ПРО\Настройки ЭЦП Browser Plug-in". Либо в реестре, по пути:

HKCU\Software\Crypto Pro\CAdESplugin

в параметре "TrustedSites" формата REG_MULTI_SZ

VipNet CSP

Требует ключей в собственном формате. М.б. есть обходной путь. Выгрузить открытые+закрытые ключи в .pfx + .cer. Импортировать .pxf. Только криптопровайдер похоже нужен экспорт=импорт. Установить .cer в контейнер с перепростановкой ссылки на открытый ключ. М.б. так же сработает для Крипто-Про.