Cryptopro na virtuálním počítači. Cryptopro nevidí klíč JaCarta, řešíme to za minutu

Onehdy jsem přenesl terminálový server (Windows 2003 server x64 standard) na virtuální počítač. Účetní pracovali s VLSI na terminálu. Certifikáty pro SBIS jsou uloženy na flash disku, nejsou předávány virtuálnímu počítači. Boogies jsou nervózní, je třeba něco udělat:

1. Zkoušel jsem vytvořit disk a zkopírovat tam certifikáty, ale crypto pro to nevidí lokální disky. Smutek 1
2. Přenesl jsem Sbis na virtuální počítač pod Windows server 2012R2, přeposlal flash disk (režim rozšířené relace). Byl detekován jako místní disk. Smutek 2

Pak jsem se rozhodl zavolat na technickou podporu VLSI (při slovu virtuální stroj konzultant upadl do strnulosti a začal dávat podivné rady...). U třetího poradce jsem dostal odpověď, že pouze přes registr (což jsem nechtěl). No dobře, začal jsem to dělat přes registr....

A pak mi došlo, že je možné připojit disketu Eureka))))
Vytvořil jsem disketu pomocí HYPER-V MANAGER a hodil tam certifikáty. Otevřel jsem crypro pro a ujistil se, že jsou vidět certifikáty! Zdá se, že to mělo skončit, ale ne...
Při podepisování nebo „odesílání potvrzení“ se zobrazí chyba: soukromý šifrovací klíč nebyl nalezen... Chcete-li tento problém vyřešit, přejděte na OVLÁDACÍ PANEL — CryptoPRO CSP — SERVIS — SMAŽTE ULOŽENÁ HESLA — ODSTRANĚTE INFORMACE O POUŽITÝCH VYJÍMATELNÝCH MÉDIÍCH(zaškrtněte políčko). A štěstí přichází, ale ne pro každého... Tento postup je nutné opakovat pro všechny uživatele, kteří používají crypto pro (ať už jde o stránky státních zakázek nebo SBIS...).

P.S: možnost s registrem funguje docela dobře, ale nechtěl jsem to udělat!

3 komentáře

1. Spouštím to na ESXi 5.5 Windows 2012 R2
   stojí crypto pro 3,9
   z nějakého důvodu po zavření sbisa někdy proces zůstane viset v paměti, setkali jste se s takovým problémem?
   V tomto případě můžete SBIS spustit znovu a otevře se normálně, předchozí verze nebude blokovat žádné soubory.
   Nemohu přijít na to, co je špatně, hodně to zabírá paměť, pokud zůstane spuštěno několik kopií.

Dobré odpoledne!. Poslední dva dny jsem měl zajímavý úkol najít řešení této situace, ať už dochází k fyzickému resp virtuální server, pravděpodobně má nainstalované známé CryptoPRO. Připojeno k serveru , který se používá k podepisování dokumentů pro VTB24 DBO. Vše funguje lokálně na Windows 10, ale na serverové platformě Windows Server 2016 a 2012 R2, Cryptopro nevidí klíč JaCarta. Pojďme zjistit, v čem je problém a jak jej opravit.

Popis prostředí

Na Vmware ESXi 6.5, as, je virtuální stroj operační systém Nainstalovaný Windows Server 2012 R2. Na serveru běží CryptoPRO 4.0.9944, aktuálně nejnovější verze. Ze sítě USB hub, pomocí technologie USB over ip je připojen dongle JaCarta. Zadejte systém zdá se, ale ne v CryptoPRO.

Algoritmus pro řešení problémů s JaCartou

CryptoPRO velmi často způsobuje různé chyby ve Windows, jednoduchý příklad (nebylo možné získat přístup k instalační službě Windows). Takto vypadá situace, kdy utilita CryptoPRO certifikát v kontejneru nevidí.

Jak je vidět v nástroji UTN manažerský klíč připojeno, je v systému vidět v čipových kartách jako zařízení Microsoft Usbccid (WUDF), ale CryptoPRO tento kontejner nedetekuje a nemáte možnost certifikát nainstalovat. Token byl připojen lokálně, vše bylo při starém. Začali jsme přemýšlet, co dělat.

Možné důvody s definicí kontejneru

1. Za prvé se jedná o problém s ovladači, například ve Windows Server 2012 R2 by JaCarta měla být v seznamu čipových karet ideálně definována jako JaCarta Usbccid Smartcard, a ne Microsoft Usbccid (WUDF)
2. Za druhé, pokud je zařízení považováno za Microsoft Usbccid (WUDF), pak může být verze ovladače zastaralá, a proto vaše nástroje nezjistí chráněnou jednotku USB.
3. Zastaralá verze CryptoPRO

Jak vyřešit problém, že cryptopro nevidí USB klíč?

Vytvořili jsme nový virtuální stroj a začali postupně instalovat software.

Před instalací jakéhokoli softwaru, který pracuje s jednotkami USB, které obsahují certifikáty a soukromé klíče. Je potřeba NUTNĚ deaktivujte token, pokud je vložen lokálně, pak jej deaktivujte, pokud je přes síť, ukončete relaci

• Nejprve aktualizujeme váš operační systém všemi dostupnými aktualizacemi, protože Microsoft opravuje mnoho chyb a chyb, včetně ovladačů.
• Druhým bodem je v případě fyzického serveru instalace všech nejnovějších ovladačů na základní desku a všechna periferní zařízení.
• Dále nainstalujte Unified JaCarta Client.
• Nainstalujte nejnovější verzi CryptoPRO

Instalace jednoho klienta JaCarta PKI

Jeden klient JaCarta- Tohle speciální utilita od firmy Aladdin, pro řádný provoz s tokeny JaCarta. Stáhněte si nejnovější verzi tohoto softwarový produkt, můžete z oficiálního webu nebo z cloudu, pokud ho najednou nemůžete získat z webu výrobce.

Poté výsledný archiv rozbalíte a spustíte instalační soubor, pro moji architekturu Windows je moje 64bitová. Začněme s instalací ovladače Jacarta. Jediný klient Jacarta, jeho instalace je velmi snadná (PŘIPOMÍNÁM, že váš token musí být v době instalace deaktivován). V prvním okně průvodce instalací jednoduše klikněte na Další.

přijímáme licenční smlouva a klikněte na "Další"

Aby vám ovladače tokenů JaCarta fungovaly správně, stačí provést standardní instalaci.

Pokud zvolíte "Vlastní instalace", nezapomeňte zaškrtnout následující políčka:

• Ovladače JaCarta
• Podpůrné moduly
• Podpůrný modul pro CryptoPRO

Po několika sekundách je sjednocený klient Jacarta úspěšně nainstalován.

Nezapomeňte restartovat server nebo počítač, aby systém viděl nejnovější ovladače.

Po instalaci JaCarta PKI, musíte nainstalovat CryptoPRO, přejděte na oficiální webovou stránku.

https://www.cryptopro.ru/downloads

Aktuálně nejvíce nejnovější verzi CryptoPro CSP 4.0.9944. Spusťte instalační program, ponechte zaškrtávací políčko „Instalovat“. kořenové certifikáty“ a klikněte na „Instalovat (doporučeno)“

Instalace CryptoPRO bude provedena v pozadí, po kterém uvidíte návrh na restartování prohlížeče, ale doporučuji vám restartovat úplně.

Po restartu připojte USB token JaCarta. Moje připojení je přes síť, ze zařízení DIGI, přes . V klientovi Anywhere View je můj USB disk Jacarta úspěšně detekován, ale jako Microsoft Usbccid (WUDF) a v ideálním případě by měl být definován jako JaCarta Usbccid Smartcard, ale musíte to stejně zkontrolovat, protože vše může fungovat.

Když jsem otevřel nástroj Jacarta PKI Unified Client, nebyl nalezen žádný připojený token, což znamená, že je něco v nepořádku s ovladači.

Microsoft Usbccid (WUDF) je standardní ovladač společnosti Microsoft, který je standardně nainstalován na různé tokeny a někdy funguje, ale ne vždy. operační sál systém Windows ve výchozím nastavení je nastavuje s ohledem na svou architekturu a nastavení, které se mi osobně líbí momentálně to není nutné. Musíme odstranit ovladače Microsoft Usbccid (WUDF) a nainstalovat ovladače pro médium Jacarta.

Otevřete správce Zařízení Windows, najděte položku "Čtečky chytrých karet" klikněte na Microsoft Usbccid (WUDF) a vyberte "Vlastnosti". Přejděte na kartu "Ovladače" a klikněte na Odinstalovat

Souhlaste s odebráním ovladače Microsoft Usbccid (WUDF).

Budete upozorněni, že je třeba restartovat systém, aby se změny projevily, musíme souhlasit.

Po restartu systému můžete vidět instalaci zařízení ARDS Jacarta a ovladačů.

Otevřete správce zařízení, měli byste vidět, že vaše zařízení je nyní identifikováno jako JaCarta Usbccid Smartcar a pokud přejdete do jeho vlastností, uvidíte, že čipová karta jacarta nyní používá verzi ovladače 6.1.7601 od ALADDIN R.D.ZAO, takto mělo by to být.

Pokud otevřete jediného klienta Jacarta, uvidíte svůj elektronický podpis, to znamená, že čipová karta je detekována normálně.

Otevřeme CryptoPRO a vidíme, že CryptoPRO nevidí certifikát v kontejneru, ačkoli všechny ovladače byly identifikovány podle potřeby. Je tu ještě jeden trik.

1. V relaci RDP neuvidíte svůj token, pouze lokálně, tak token funguje, nebo jsem nenašel, jak to opravit. Můžete se pokusit podle doporučení vyřešit chybu „Nelze se připojit ke službě správy čipových karet“.
2. V CryptoPRO musíte zrušit zaškrtnutí jednoho políčka

UJISTĚTE SE, že zrušíte zaškrtnutí políčka „Nepoužívat zastaralé šifrovací sady“ a restartovat.

Po těchto manipulacích CryptoPRO vidělo můj certifikát a čipová karta Jacarta začala fungovat, můžete podepisovat dokumenty.

Své zařízení JaCarta můžete také vidět v zařízeních a tiskárnách,

Pokud jste jako já, je token jacarta nastaven na virtuální stroj, pak budete muset nainstalovat certifikát přes konzolu virtuálního stroje a také k němu udělit práva odpovědné osobě. Pokud toto fyzický server, pak budete muset udělit práva k portu pro správu, který má také virtuální konzoli.

Když jste nainstalovali všechny ovladače pro tokeny Jacarta, může se při připojování přes RDP a otevření nástroje Jacarta PKI Unified Client zobrazit následující chybová zpráva:

1. Služba čipových karet není spuštěna na místním počítači. Architektura relace RDP vyvinutá společností Microsoft neumožňuje použití klíčových médií připojených ke vzdálenému počítači, takže v relaci RDP vzdálený počítač používá službu čipové karty místního počítače. Z toho vyplývá, že spuštění služby čipové karty v rámci relace RDP nestačí normální provoz.
2. Služba správy čipových karet je zapnutá místní počítač spuštěn, ale není přístupný programu uvnitř relace RDP kvůli Nastavení Windows a/nebo klienta RDP.\

Jak opravit chybu "Nelze se připojit ke službě správy čipových karet."

• Spusťte službu čipové karty na místním počítači, se kterým zahajujete relaci vzdálený přístup. Nastavte to automatický start při spuštění počítače.
• Povolit používání místních zařízení a zdrojů během vzdálené relace (zejména čipové karty). Chcete-li to provést, v dialogovém okně „Připojení ke vzdálené ploše“ vyberte v parametrech kartu „Místní zdroje“, poté ve skupině „Místní zařízení a zdroje“ klikněte na tlačítko „Další podrobnosti...“ a v dialogu který se otevře, vyberte „Smart karty“ a klikněte na „OK“ a poté na „Připojit“.

• Ujistěte se, že nastavení připojení RDP je bezpečné. Standardně jsou uloženy v souboru Default.rdp v adresáři "My Documents" Ujistěte se, že v tento soubor byl tam řádek "redirectsmartcards:i:1".
• Ujistěte se, že vzdálený počítač, ke kterému vytváříte připojení RDP, není aktivován skupinová politika
  -[Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Služby vzdálené plochy\Hostitel relace vzdálené plochy\Přesměrování zařízení a prostředků\Nepovolit přesměrování čtečky čipových karet]. Pokud je povoleno, deaktivujte jej a restartujte počítač.
• Pokud máte nainstalovaný systém Windows 7 SP1 nebo Windows 2008 R2 SP1 a používáte RDC 8.1 pro připojení k počítačům se systémem Ovládání Windows 8 a vyšší, pak je potřeba nainstalovat aktualizaci pro operační systém https://support.microsoft.com/en-us/kb/2913751

Toto bylo řešení problémů s nastavením tokenu Jacarta, CryptoPRO na terminálovém serveru, pro podepisování dokumentů ve VTB24 RBS. Pokud máte nějaké připomínky nebo opravy, napište je prosím do komentářů.

Fáze 1. Úspěšné testování (interakce s testovacím okruhem GIS GMP) # Adresa služby testu GIS GMP:
gisgmp.wsdlLocation=http://213.59.255.182:7777/gateway/services/SID0003663?wsdl
gisgmp.wsdlLocation.endPoint=http://213.59.255.182:7777/gateway/services/SID0003663
Tato adresa je registrována v nastavení SP Kromě toho ji musíte zaregistrovat v souboru nastavení protokolování a zadat hodnotu STOPA. Po zadání zadaných hodnot je třeba spustit SP a klienta ACC (restartovat, pokud již byl spuštěn). „Vytvořit informace o platbě“, pokud projdou systémové kontroly, vytvoří se informace o platbě. Který bude později potřeba vyložit.
Po nahrání je třeba zkontrolovat stav pomocí akce „Stav zpracování žádosti“. Poté se informace o platbě ED přepnou do stavu „Přijato GIS GMP“ -…

Vzhledem k tomu: Tabulka MSG (zprávy) s mnoha položkami.
CREATETABLEmsg(idINTEGERNOTNULLPRIMARYKEY,descriptionCHAR(50)NOTNULL, date_createDATE);
Úkol:
Je nutné vymazat tabulku dat/
Řešení: Existuje několik způsobů, jak tento problém vyřešit. Níže je uveden popis a příklad každého z nich.
Nejjednodušší způsob ( první možnost) - provedení operátoru mazání záznamu. Když jej spustíte, uvidíte výsledek (kolik záznamů bylo smazáno). Užitečná věc, když potřebujete mít jistotu a pochopit, zda byla smazána správná data. VUT má oproti jiným možnostem řešení problému nevýhody.

DELETE FROMmsg; -- Smaže všechny řádky v tabulce – Smaže všechny řádky s datem vytvoření "2019.02.01" DELETE FROMmsg WHEREdate_create="2019.02.01";

Druhá možnost. Pomocí operátora