Криптопровайдер

Материал из Корпоративная wiki Администрации города Волгодонски
Версия от 14:15, 21 апреля 2020; Litvinyuk (обсуждение | вклад) (КриптоПро CSP)

(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск

КриптоПро CSP

Административная установка

msiexec /a csp-win32-kc2-rus.msi TARGETDIR=\\install.server.ru\admininstall\cryptopro_csp\4.0.4499\ NOFLOPPY=1 REGPNPFLOPPY=1

Перенос контейнера с неизвестным пин-кодом

На контейнеры можно ставить пин-код. А при вводе этого пин-кода можно поставить галочку «сохранить» — и в дальнейшем его вводить не придётся. После этого пин-код благополучно забывают.

При копировании данным методом, контейнер остаётся защищён пин-кодом — а вот «сохранение» этого пин-кода не переносится на новый компьютер. Выход: Если исходный компьютер ещё жив — заходим в Панель управления -> КриптоПро CSP -> Сервис -> Скопировать (Выбираем нужный контейнер (кнопка «Обзор» или «По сертификату»)) -> Далее -> "Название нового контейнера" -> далее -> устанавливаем на него новый пароль. Или не устанавливаем. И вот после этого уже копируем ветку реестра на новый комп. Кстати, что бы не мучаться с подменой SID — можно копировать сертификаты в контейнер компьютера, а не пользователя. Хранятся они по путям, если в контейнере пользователя, то 

HKLM\SOFTWARE\Crypto Pro\Settings\Users\[SID пользователя]\Keys

и для компьютера в целом в 

HKLM\SOFTWARE\Crypto Pro\Settings\Keys


В случае 64-битной ОС пути будут немного другими, 

HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\[SID пользователя]\Keys

и 

HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Keys

соответственно.

Решение проблем

При работе КриптоПро на терминальном сервере у пользователя может не хватить прав на запись ключа в эти ветви, поскольку они находятся не в профиле пользователя. Эту ситуацию можно исправить назначением соответствующих прав на ветви через утилиту Regedit.

КриптоПро ищет контейнеры ключей на дисках, которые имеют атрибут “съемный”, то есть флеш-диск или, прости господи, дискета будут считаться контейнерами ключей, а сетевой диск или диск, проброшенный через RDP — нет.

Была одна крутая подлянка. Сайт закупок перестал загружаться, то есть его закрытая часть. У нас была 3.6sp4, то есть обновления Microsoft продолжали ставиться (3.6sp2 блокирует обновления Microsoft). Когда брякнулось одно из последних обновлений Microsoft сайт закупок и вырубился. Но стоило обновиться до 3.9 как все заработало. Поскольку лицензия от 3.9 для 3.6 не подходит вернул на 3.6sp4. Но видимо что-то в компе сделалось в результате этих трюков и сайт закупок продолжает работать.

Если файлы контейнера имеют атрибут файловой системы "только для чтения" (r) то скопировать его из интерфейса апплета не удастся. Выскакивает ошибка доступа.

TODO:

  1. Переписать на человеческий.
  2. Требуются ли к.-л. права доступа к ветке реестра для группы "Пользователи домена"?

В: Если на все сертификаты ГОСТ 2012, в том числе удостоверяющие пишет, что сертификат поврежден или содержит неправильную ЭП. КриптоПро CSP 4 переустановили, обновили на R3, результат тот же. ГОСТ 2001 работает.

О: Удалить 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

и 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

командами в командной строке запущенной с повышенными правами: 

reg delete "HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1" /f
reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1" /f

КриптоПро ЭЦП Browser Plug-in

Настройка осуществляется либо через web страницу запускаемую ярлыком "Пуск\Все программы\КРИПТО-ПРО\Настройки ЭЦП Browser Plug-in". Либо в реестре, по пути: 

HKCU\Software\Crypto Pro\CAdESplugin

в параметре "TrustedSites" формата REG_MULTI_SZ

VipNet CSP

Требует ключей в собственном формате. М.б. есть обходной путь. Выгрузить открытые+закрытые ключи в .pfx + .cer. Импортировать .pxf. Только криптопровайдер похоже нужен экспорт=импорт. Установить .cer в контейнер с перепростановкой ссылки на открытый ключ. М.б. так же сработает для Крипто-Про.

Источник — «http://vlgd61.ru/index.php?title=Криптопровайдер&oldid=595»