Криптопро 4.0 пробная версия. Криптопро не видит ключ JaCarta, решаем за минуту

Добрый день!. Последние два дня у меня была интересная задача по поиску решения на вот такую ситуацию, есть физический или виртуальный сервер, на нем установлена наверняка многим известная КриптоПРО. На сервер подключен , который используется для подписи документов для ВТБ24 ДБО . Локально на Windows 10 все работает, а вот на серверной платформе Windows Server 2016 и 2012 R2, Криптопро не видит ключ JaCarta . Давайте разбираться в чем проблема и как ее поправить.

Описание окружения

Есть виртуальная машина на Vmware ESXi 6.5, в качестве операционной системы установлена Windows Server 2012 R2 . На сервере стоит КриптоПРО 4.0.9944, последней версии на текущий момент. С сетевого USB хаба, по технологии USB over ip , подключен ключ JaCarta. Ключ в системе видится , а вот в КриптоПРО нет.

Алгоритм решения проблем с JaCarta

КриптоПРО очень часто вызывает различные ошибки в Windows, простой пример (Windows installer service could not be accessed). Вот так вот выглядит ситуация, когда утилита КриптоПРО не видит сертификат в контейнере.

Как видно в утилите UTN Manager ключ подключен, он видится в системе в смарт картах в виде Microsoft Usbccid (WUDF) устройства, но вот CryptoPRO, этот контейнер не определяет и у вас нет возможности установить сертификат. Локально токен подключали, все было то же самое. Стали думать что сделать.

Возможные причины с определением контейнера

1. Во первых, это проблема с драйверами, например, в Windows Server 2012 R2, JaCarta в идеале должна определяться в списке смарт карт как JaCarta Usbccid Smartcard, а не Microsoft Usbccid (WUDF)
2. Во вторых если устройство видится как Microsoft Usbccid (WUDF), то версия драйверов может быть устаревшей, и из-за чего ваши утилиты будут не определять защищенный USB носитель.
3. Устарелая версия CryptoPRO

Как решить проблему, что криптопро не видит USB ключ?

Создали новую виртуальную машину и стали ставить софт все последовательно.

Перед установкой любого программного обеспечения работающего с USB носителями на которых находятся сертификаты и закрытые ключи. Нужно ОБЯЗАТЕЛЬНО отключить токен, если воткнут локально, то отключаем его, если по сети, разрываем сессию

• Первым делом обновляем вашу операционную систему , всеми доступными обновлениями, так как Microsoft исправляет много ошибок и багов, в том числе и драйверами.
• Вторым пунктом является, в случае с физическим сервером, установить все свежие драйвера на материнскую плату и все периферийное оборудование.
• Далее устанавливаете Единый Клиент JaCarta.
• Устанавливаете свежую версию КриптоПРО

Установка единого клиента JaCarta PKI

Единый Клиент JaCarta - это специальная утилита от компании "Аладдин", для правильной работы с токенами JaCarta. Загрузить последнюю версию, данного программного продукта, вы можете с официального сайта, или у меня с облака, если вдруг, не получиться с сайта производителя.

Далее полученный архив вы распаковываете и запускаете установочный файл, под свою архитектуру Windows , у меня это 64-х битная. Приступаем к установке Jacarta драйвера. Единый клиент Jacarta, ставится очень просто (НАПОМИНАЮ ваш токен в момент инсталляции, должен быть отключен). На первом окне мастера установки, просто нажимаем далее.

Принимаем лицензионное соглашение и нажимаем "Далее"

Чтобы драйвера токенов JaCarta у вас работали корректно, достаточно выполнить стандартную установку.

Если выберете "Выборочную установку", то обязательно установите галки:

• Драйверы JaCarta
• Модули поддержки
• Модуль поддержки для КриптоПРО

Через пару секунд, Единый клиент Jacarta, успешно установлен.

Обязательно произведите перезагрузку сервера или компьютера, чтобы система увидела свежие драйвера.

После установки JaCarta PKI, нужно установить КриптоПРО, для этого заходите на официальный сайт.

https://www.cryptopro.ru/downloads

На текущий момент самая последняя версия КриптоПро CSP 4.0.9944. Запускаем установщик, оставляем галку "Установить корневые сертификаты" и нажимаем "Установить (Рекомендуется)"

Инсталляция КриптоПРО будет выполнена в фоновом режиме, после которой вы увидите предложение, о перезагрузке браузера, но я вам советую полностью перезагрузиться.

После перезагрузки подключайте ваш USB токен JaCarta. У меня подключение идет по сети, с устройства DIGI, через . В клиенте Anywhere View, мой USB носитель Jacarta, успешно определен, но как Microsoft Usbccid (WUDF), а в идеале должен определиться как JaCarta Usbccid Smartcard, но нужно в любом случае проверить, так как все может работать и так.

Открыв утилиту "Единый клиент Jacarta PKI", подключенного токена обнаружено не было, значит, что-то с драйверами.

Microsoft Usbccid (WUDF) - это стандартный драйвер Microsoft, который по умолчанию устанавливается на различные токены, и бывает, что все работает, но не всегда. Операционная система Windows по умолчанию, ставит их в виду своей архитектуры и настройки, мне вот лично в данный момент такое не нужно. Что делаем, нам нужно удалить драйвера Microsoft Usbccid (WUDF) и установить драйвера для носителя Jacarta.

Откройте диспетчер устройств Windows, найдите пункт "Считыватели устройств смарт-карт (Smart card readers)" щелкните по Microsoft Usbccid (WUDF) и выберите пункт "Свойства". Перейдите на вкладку "Драйвера" и нажмите удалить (Uninstall)

Согласитесь с удалением драйвера Microsoft Usbccid (WUDF).

Вас уведомят, что для вступления изменений в силу, необходима перезагрузка системы, обязательно соглашаемся.

После перезагрузки системы, вы можете увидеть установку устройства и драйверов ARDS Jacarta.

Откройте диспетчер устройств, вы должны увидеть, что теперь ваше устройство определено, как JaCarta Usbccid Smartcar и если зайти в его свойства, то вы увидите, что смарт карта jacarta, теперь использует драйвер версии 6.1.7601 от ALADDIN R.D.ZAO, так и должно быть.

Если открыть единый клиент Jacarta, то вы увидите свою электронную подпись, это означает, что смарт карта нормально определилась.

Открываем CryptoPRO, и видим, что криптопро не видит сертификат в контейнере, хотя все драйвера определились как нужно. Есть еще одна фишка.

1. В RDP сессии вы не увидите свой токен, только локально, уж такая работа токена, либо я не нашел как это поправить. Вы можете попробовать выполнить рекомендации по устранению ошибки "Не возможно подключиться к службе управления смарт-картами".
2. Нужно снять одну галку в CryptoPRO

ОБЯЗАТЕЛЬНО снимите галку "Не использовать устаревшие cipher suite-ы" и перезагрузитесь .

После этих манипуляций у меня КриптоПРО увидел сертификат и смарт карта jacarta стала рабочей, можно подписывать документы.

Еще можете в устройствах и принтерах, увидеть ваше устройство JaCarta,

Если у вас как и у меня, токен jacarta установлен в виртуальной машине, то вам придется устанавливать сертификат, через console виртуальной машины, и так же дать на нее права ответственному человеку. Если это физический сервер, то там придется давать права на порт управления , в котором так же есть виртуальная консоль.

Когда вы установили все драйвера для токенов Jacarta, вы можете увидеть при подключении по RDP и открытии утилиты "Единый клиент Jacarta PKI" вот такое сообщение с ошибкой:

1. Не запущена служба смарт-карт на локальной машине. Архитектурой RDP-сессии, разработанной Microsoft, не предусмотрено использование ключевых носителей, подключенных к удалённому компьютеру, поэтому в RDP-сессии удалённый компьютер использует службу смарт-карт локального компьютера. Из этого следует что, запуска службы смарт-карт внутри RDP-сессии недостаточно для нормальной работы.
2. Служба управления смарт-картами на локальном компьютере запущена, но недоступна для программы внутри RDP-сессии из-за настроек Windows и/или RDP-клиента.\

Как исправить ошибку "Не возможно подключиться к службе управления смарт-картами".

• Запустите службу смарт-карт на локальной машине, с которой вы инициируете сеанс удалённого доступа. Настройте её автоматический запуск при старте компьютера.
• Разрешите использование локальных устройств и ресурсов во время удалённого сеанса (в частности, смарт-карт). Для этого, в диалоге "Подключение к удалённому рабочему столу" в параметрах выберите вкладку "Локальные ресурсы", далее в группе "Локальные устройства и ресурсы" нажмите кнопку "Подробнее…", а в открывшемся диалоге выберите пункт "Смарт-карты" и нажмите "ОК", затем "Подключить".

• Убедитесь в сохранности настроек RDP-подключения. По умолчанию они сохраняются в файле Default.rdp в каталоге "Мои Документы" Проследите, чтобы в данном файле присутствовала строчка "redirectsmartcards:i:1".
• Убедитесь в том, что на удалённом компьютере, к которому вы осуществляете RDP-подключение, не активирована групповая политика
  -[Конфигурация компьютера\административные шаблоны\компоненты windows\службы удалённых рабочих столов\узел сеансов удалённых рабочих столов\перенаправление устройств и ресурсов\Не разрешать перенаправление устройства чтения смарт-карт]. Если она включена (Enabled), то отключите её, и перегрузите компьютер.
• Если у вас установлена Windows 7 SP1 или Windows 2008 R2 SP1 и вы используете RDC 8.1 для соединения с компьютерами под управлением Windows 8 и выше, то вам необходимо установить обновление для операционной системы https://support.microsoft.com/en-us/kb/2913751

Вот такой вот был траблшутинг по настройке токена Jacarta, КриптоПРО на терминальном сервере, для подписи документов в ВТБ24 ДБО. Если есть замечания или поправки, то пишите их в комментариях.

ООО ВТБ Капитал Брокер (ВТБК Брокер), Лицензия профессионального участника рынка ценных бумаг на осуществление брокерской деятельности №045-12014-100000, выдана: 10 февраля 2009 г., Лицензия профессионального участника рынка ценных бумаг на осуществление дилерской деятельности №045-12021-010000, выдана: 10 февраля 2009 г., Лицензия профессионального участника рынка ценных бумаг на осуществление депозитарной деятельности №045-12027-000100, выдана: 10 февраля 2009 г.

1. Содержание сайта и любых страниц сайта («Сайт») предназначено исключительно для информационных целей. Сайт не рассматривается и не должен рассматриваться как предложение ВТБК Брокер о покупке или продаже каких- либо финансовых инструментов или оказание услуг какому-либо лицу. Информация на Сайте не может рассматриваться в качестве рекомендации к инвестированию средств, а также гарантий или обещаний в будущем доходности вложений.

   Никакие положения информации или материалов, представленных на Сайте, не являются и не должны рассматриваться как индивидуальные инвестиционные рекомендации и/или намерение ВТБК Брокер предоставить услуги инвестиционного советника, кроме как на основании заключаемых между Банком и клиентами договоров. ВТБК Брокер не может гарантировать, что финансовые инструменты, продукты и услуги, описанные на Сайте, подходят всем лицам, которые ознакомились с такими материалами, и/или соответствуют их инвестиционному профилю. Финансовые инструменты, упоминаемые в информационных материалах Сайта, также могут быть предназначены исключительно для квалифицированных инвесторов. ВТБК Брокер не несёт ответственности за финансовые или иные последствия, которые могут возникнуть в результате принятия Вами решений в отношении финансовых инструментов, продуктов и услуг, представленных в информационных материалах.

   Прежде чем воспользоваться какой-либо услугой или приобретением финансового инструмента или инвестиционного продукта, Вы должны самостоятельно оценить экономические риски и выгоды от услуги и/или продукта, налоговые, юридические, бухгалтерские последствия заключения сделки при пользовании конкретной услугой, или перед приобретением конкретного финансового инструмента или инвестиционного продукта, свою готовность и возможность принять такие риски. При принятии инвестиционных решений, Вы не должны полагаться на мнения, изложенные на Сайте, но должны провести собственный анализ финансового положения эмитента и всех рисков, связанных с инвестированием в финансовые инструменты.

   Ни прошлый опыт, ни финансовый успех других лиц не гарантирует и не определяет получение таких же результатов в будущем. Стоимость или доход от любых инвестиций, упомянутых на Сайте, могут изменяться и/или испытывать воздействие изменений рыночной конъюнктуры, в том числе процентных ставок.

   ВТБК Брокер не гарантирует доходность инвестиций, инвестиционной деятельности или финансовых инструментов. До осуществления инвестиций необходимо внимательно ознакомиться с условиями и/или документами, которые регулируют порядок их осуществления. До приобретения финансовых инструментов необходимо внимательно ознакомиться с условиями их обращения.

2. Никакие финансовые инструменты, продукты или услуги, упомянутые на Сайте, не предлагаются к продаже и не продаются в какой-либо юрисдикции, где такая деятельность противоречила бы законодательству о ценных бумагах или другим местным законам и нормативно-правовым актам или обязывала бы ВТБК Брокер выполнить требование регистрации в такой юрисдикции. В частности, доводим до Вашего сведения, что ряд государств ввел режим ограничительных мер, которые запрещают резидентам соответствующих государств приобретение (содействие в приобретении) долговых инструментов, выпущенных Банком ВТБ (ПАО). ВТБК Брокер предлагает Вам убедиться в том, что Вы имеете право инвестировать средства в упомянутые в информационных материалах финансовые инструменты, продукты или услуги. Таким образом, ВТБК Брокер не может быть ни в какой форме привлечен к ответственности в случае нарушения Вами применимых к Вам в какой-либо юрисдикции запретов.
3. Все цифровые и расчетные данные на Сайте приведены без каких-либо обязательств и исключительно в качестве примера финансовых параметров.
4. Настоящий Сайт не является консультацией и не предназначен для оказания консультационных услуг по правовым, бухгалтерским, инвестиционным или налоговым вопросам, в связи с чем не следует полагаться на содержимое Сайта в этом отношении.
5. ВТБК Брокер прилагает разумные усилия для получения информации из надежных, по его мнению, источников. Вместе с тем, ВТБК Брокер не делает каких-либо заверений в отношении того, что информация или оценки, содержащиеся в информационном материале, размещенном на Сайте, являются достоверными, точными или полными. Любая информация, представленная в материалах Сайта, может быть изменена в любое время без предварительного уведомления. Любая приведенная на Сайте информация и оценки не являются условиями какой-либо сделки, в том числе потенциальной.
6. ВТБК Брокер настоящим информирует Вас о возможном наличии конфликта интересов при предложении рассматриваемых на Сайте финансовых инструментов. Конфликт интересов возникает в следующих случаях: (i) ВТБК Брокер может являться эмитентом одного или нескольких рассматриваемых финансовых инструментов (получателем выгоды от распространения финансовых инструментов) и участником группы лиц ВТБ (далее - участник группы) и одновременно участник группы оказывает брокерские услуги и/или услуги доверительного управления (ii) участник группы представляет интересы одновременно нескольких лиц при оказании им брокерских, консультационных или иных услуг и/или (iii) участник группы имеет собственный интерес в совершении операций с финансовым инструментом и одновременно оказывает брокерские, консультационные услуги и/или (iv) участник группы, действуя в интересах третьих лиц или интересах другого участника группы, осуществляет поддержание цен, спроса, предложения и (или) объема торгов с ценными бумагами и иными финансовыми инструментами, действуя, в том числе в качестве маркет-мейкера. Более того, участники группы могут состоять и будут продолжать находиться в договорных отношениях по оказанию брокерских, депозитарных и иных профессиональных услуг с отличными от инвесторов лицами, при этом (i) участники группы могут получать в свое распоряжение информацию, представляющую интерес для инвесторов, и участники группы не несут перед инвесторами никаких обязательств по раскрытию такой информации или использованию ее при выполнении своих обязательств; (ii) условия оказания услуг и размер вознаграждения участников группы за оказание таких услуг третьим лицам могут отличаться от условий и размера вознаграждения, предусмотренного для инвесторов. При урегулировании возникающих конфликтов интересов ВТБК Брокер руководствуется интересами своих клиентов.
7. Любые логотипы, иные чем логотипы ВТБК Брокер, если таковые приведены в материалах Сайта, используются исключительно в информационных целях, не имеют целью введение клиентов в заблуждение о характере и специфике услуг, оказываемых ВТБК Брокером, или получение дополнительного преимущества за счет использования таких логотипов, равно как продвижение товаров или услуг правообладателей таких логотипов, или нанесение ущерба их деловой репутации.
8. Термины и положения, приведенные в материалах Сайта, должны толковаться исключительно в контексте соответствующих сделок и операций и/или ценных бумаг и/или финансовых инструментов и могут полностью не соответствовать значениям, определенным законодательством РФ или иным применимым законодательством.
9. ВТБК Брокер не гарантирует, что работа Сайта или любого контента будет бесперебойной и безошибочной, что дефекты будут исправлены или что серверы, с которых эта информация предоставляется, будут защищены от вирусов, троянских коней, червей, программных бомб или подобных предметов и процессов или других вредных компонентов.
10. Любые выражения мнений, оценок и прогнозов на сайте, являются мнениями авторов на дату написания. Они не обязательно отражают точку зрения ВТБК Брокер и могут быть изменены в любое время без предварительного предупреждения.

ВТБК Брокер не несет ответственности за какие-либо убытки (прямые или косвенные), включая реальный ущерб и упущенную выгоду, возникшие в связи с использованием информации на Сайте, за невозможность использования Сайта или любых продуктов, услуг или контента, купленных, полученных или хранящихся на Сайте.

Внимание! С 01.01.2020 в системе электронного документооборота ЗАО ВТБ Специализированный депозитарий следует использовать квалифицированные сертификаты только в соответствии с ГОСТ Р 34.10-2012

1. Требования по организации и обеспечению безопасности эксплуатации СКЗИ и криптографических ключей

Перед использованием СКЗИ, ключей электронных подписей и сертификатов ключей проверки электронных подписей следует внимательно ознакомиться с требованиями по организации и обеспечению безопасности эксплуатации СКЗИ и ключей электронных подписей

2. Сертификаты Удостоверяющих центров

3. Реестр сертификатов ключей проверки электронных подписей Удостоверяющего центра ЗАО ВТБ Специализированный депозитарий

4. Сертификаты ключей проверки электронных подписей Уполномоченных представителей ЗАО ВТБ Специализированный депозитарий и Пенсионного фонда Российской Федерации

Сертификаты ключей проверки электронных подписей Уполномоченных представителей ЗАО ВТБ Специализированный депозитарий

Сертификаты ключей проверки электронных подписей Уполномоченных представителей Пенсионного фонда Российской Федерации