Cryptopro em uma máquina virtual. Cryptopro não vê a chave JaCarta, resolvemos em um minuto

Outro dia transferi um servidor de terminal (padrão windows 2003 server x64) para uma máquina virtual. Os contadores trabalharam com a VLSI no terminal. Os certificados do SBIS são armazenados em uma unidade flash e não são encaminhados para a máquina virtual. Os boogies estão nervosos, algo precisa ser feito:

1. Tentei criar um disco e copiar os certificados lá, mas o Crypto Pro não vê discos locais. Que chatice 1
2. Transferi o Sbis para uma máquina virtual no Windows Server 2012R2, encaminhei um pen drive (modo de sessão estendida). Foi detectado como um disco local. Que chatice 2

Resolvi então ligar para o suporte técnico da VLSI (ao ouvir a palavra máquina virtual, o consultor caiu em estupor e começou a dar conselhos estranhos...). Na terceira consultora recebi a resposta que só através do cadastro (o que eu não queria fazer). Bem, ok, comecei a fazer isso através do registro....

E então me dei conta de que é possível conectar um disquete Eureka))))
Criei um disquete usando o HYPER-V MANAGER e joguei os certificados lá. Abri o crypro pro e verifiquei se os certificados estavam visíveis! Parece que isso deveria ter acabado, mas não...
Ao assinar ou “enviar recibo” obtemos o erro: a chave de criptografia privada não foi encontrada... Para resolver este problema, vá para PAINEL DE CONTROLE — CryptoPRO CSP — SERVIÇO — EXCLUIR SENHAS ARMAZENADAS — EXCLUIR INFORMAÇÕES SOBRE MÍDIA REMOVÍVEL USADA(marque a caixa). E a felicidade vem, mas não para todos... Este procedimento deve ser repetido para todos os usuários que utilizam o crypto pro (sejam sites de compras governamentais ou SBIS...).

P.S: a opção com registro funciona muito bem, mas eu não queria!

3 comentários

1. Eu executo no ESXi 5.5 Windows 2012 R2
   custa criptografia pro 3.9
   por algum motivo, depois de fechar o sbisa, às vezes o processo fica travado na memória, você encontrou esse problema?
   Neste caso, você pode executar o SBIS novamente e ele abrirá normalmente, nenhum arquivo será bloqueado pela versão anterior.
   Não consigo descobrir o que há de errado, consome muito memória se várias cópias forem deixadas em execução.

Boa tarde!. Nos últimos dois dias tive a tarefa interessante de encontrar uma solução para esta situação, quer haja um problema físico ou servidor virtual, provavelmente possui o conhecido CryptoPRO instalado. Conectado ao servidor , que é usado para assinar documentos para VTB24 DBO. Tudo funciona localmente no Windows 10, mas na plataforma do servidor Servidor Windows 2016 e 2012 R2, Cryptopro não vê a chave JaCarta. Vamos descobrir qual é o problema e como corrigi-lo.

Descrição do ambiente

Existe uma máquina virtual no VMware ESXi 6.5, como sistema operacional Windows Server 2012 R2 instalado. O servidor está executando o CryptoPRO 4.0.9944, a versão mais recente no momento. Da rede Hub USB, usando tecnologia USB sobre IP, um dongle JaCarta é conectado. Digite o sistema parece, mas não no CryptoPRO.

Algoritmo para resolução de problemas com JaCarta

O CryptoPRO muitas vezes causa vários erros no Windows, um exemplo simples (o serviço de instalação do Windows não pôde ser acessado). Esta é a situação quando o utilitário CryptoPRO não vê o certificado no contêiner.

Como visto no utilitário UTN chave do gerente conectado, ele é visto no sistema em cartões inteligentes como um dispositivo Microsoft Usbccid (WUDF), mas o CryptoPRO não detecta esse contêiner e você não tem a oportunidade de instalar um certificado. O token estava conectado localmente, tudo igual. Começamos a pensar no que fazer.

Possíveis razões com definição de contêiner

1. Em primeiro lugar, este é um problema com os drivers, por exemplo, no Windows Server 2012 R2, o JaCarta deveria idealmente ser definido na lista de cartões inteligentes como JaCarta Usbccid Smartcard, e não Microsoft Usbccid (WUDF)
2. Em segundo lugar, se o dispositivo for visto como Microsoft Usbccid (WUDF), a versão do driver pode estar desatualizada, e é por isso que seus utilitários não detectarão uma unidade USB protegida.
3. Versão desatualizada do CryptoPRO

Como resolver o problema do CryptoPro não ver a chave USB?

Criamos uma nova máquina virtual e começamos a instalar o software sequencialmente.

Antes de instalar qualquer software que funcione com unidades USB que contenham certificados e chaves privadas. Precisa NECESSARIAMENTE desabilitar o token, se inserido localmente, depois desabilitar, se estiver na rede, encerrar a sessão

• Em primeiro lugar, atualizamos seu sistema operacional com todas as atualizações disponíveis, pois a Microsoft corrige muitos erros e bugs, inclusive drivers.
• O segundo ponto é, no caso de um servidor físico, instalar todos os drivers mais recentes na placa-mãe e em todos os equipamentos periféricos.
• Em seguida, instale o cliente Unified JaCarta.
• Instale a versão mais recente do CryptoPRO

Instalando um único cliente JaCarta PKI

Cliente JaCarta Único- Esse utilitário especial da empresa Aladdin, por operação adequada com tokens JaCarta. Baixe a versão mais recente deste produto de software, você pode fazer isso no site oficial ou na nuvem, se de repente não conseguir obtê-lo no site do fabricante.

Em seguida, você descompacta o arquivo resultante e o executa arquivo de instalação, para minha arquitetura Windows, a minha é de 64 bits. Vamos começar a instalar o driver Jacarta. Cliente Jacarta único, é muito fácil de instalar (Lembro que seu token deve estar desabilitado no momento da instalação). Na primeira janela do assistente de instalação, basta clicar em Avançar.

Nós aceitamos contrato de licença e clique em "Avançar"

Para garantir que os drivers do token JaCarta funcionem corretamente para você, você só precisa realizar uma instalação padrão.

Se você escolher "Instalação personalizada", marque as seguintes caixas:

• Drivers JaCarta
• Módulos de suporte
• Módulo de suporte para CryptoPRO

Após alguns segundos, o Jacarta Unified Client foi instalado com sucesso.

Certifique-se de reiniciar o servidor ou computador para que o sistema veja os drivers mais recentes.

Após a instalação JaCarta PKI, você precisa instalar o CryptoPRO, para isso acesse o site oficial.

https://www.cryptopro.ru/downloads

Atualmente o mais versão mais recente CryptoPro CSP 4.0.9944. Execute o instalador, deixe a caixa de seleção "Instalar" certificados raiz" e clique em "Instalar (recomendado)"

A instalação do CryptoPRO será realizada em fundo, após o qual você verá uma proposta para reiniciar o navegador, mas aconselho que reinicie completamente.

Após a reinicialização, conecte seu token USB JaCarta. Minha conexão é via rede, de um dispositivo DIGI, via . No cliente Anywhere View, meu drive USB Jacarta foi detectado com sucesso, mas como Microsoft Usbccid (WUDF), e idealmente deveria ser definido como JaCarta Usbccid Smartcard, mas você precisa verificar mesmo assim, pois tudo pode funcionar assim.

Quando abri o utilitário Jacarta PKI Unified Client, nenhum token conectado foi encontrado, o que significa que há algo errado com os drivers.

Microsoft Usbccid (WUDF) é um driver padrão da Microsoft instalado por padrão em vários tokens e às vezes funciona, mas nem sempre. sala de cirurgia Sistema Windows por padrão, os define de acordo com sua arquitetura e configurações, eu pessoalmente gosto no momento isso não é necessário. O que fazemos é remover os drivers Microsoft Usbccid (WUDF) e instalar os drivers para a mídia Jacarta.

Abra o gerenciador Dispositivos Windows, encontre o item "Leitores de cartão inteligente", clique em Microsoft Usbccid (WUDF) e selecione "Propriedades". Vá para a guia "Drivers" e clique em Desinstalar

Concorde em remover o driver Microsoft Usbccid (WUDF).

Você será notificado de que é necessária uma reinicialização do sistema para que as alterações tenham efeito;

Após reiniciar o sistema, você poderá ver a instalação do dispositivo ARDS Jacarta e dos drivers.

Abra o gerenciador de dispositivos, você verá que seu dispositivo agora está identificado como JaCarta Usbccid Smartcar e se você for em suas propriedades, verá que o cartão inteligente jacarta agora está usando o driver versão 6.1.7601 da ALADDIN R.D.ZAO, é assim deveria ser.

Se você abrir o cliente Jacarta único, verá seu assinatura eletrônica, isso significa que o cartão inteligente é detectado normalmente.

Abrimos o CryptoPRO e vemos que o CryptoPRO não vê o certificado no contêiner, embora todos os drivers tenham sido identificados conforme necessário. Existe mais um truque.

1. Na sessão RDP você não verá seu token, apenas localmente, é assim que o token funciona, ou não descobri como consertar. Você pode tentar seguir as recomendações para resolver o erro “Não é possível conectar-se ao serviço de gerenciamento de cartão inteligente”.
2. Você precisa desmarcar uma caixa no CryptoPRO

CERTIFIQUE-SE de desmarcar a caixa de seleção "Não usar conjuntos de criptografia desatualizados" e reinício.

Após essas manipulações, o CryptoPRO viu meu certificado e o cartão inteligente Jacarta começou a funcionar, você pode assinar documentos.

Você também pode ver seu dispositivo JaCarta em dispositivos e impressoras,

Se você for como eu, o token jacarta está definido como máquina virtual, então você terá que instalar o certificado através do console da máquina virtual, e também ceder os direitos sobre ele ao responsável. Se isso servidor físico, então você terá que conceder direitos à porta de gerenciamento, que também possui um console virtual.

Depois de instalar todos os drivers para tokens Jacarta, você poderá ver a seguinte mensagem de erro ao conectar via RDP e abrir o utilitário Jacarta PKI Unified Client:

1. O serviço de cartão inteligente não está em execução na máquina local. A arquitetura da sessão RDP desenvolvida pela Microsoft não prevê o uso de mídia chave conectada ao computador remoto, portanto, na sessão RDP o computador remoto utiliza o serviço de cartão inteligente do computador local. Conclui-se que executar o serviço de cartão inteligente dentro de uma sessão RDP não é suficiente para operação normal.
2. Serviço de gerenciamento de cartão inteligente ativado computador local lançado, mas não está acessível ao programa dentro da sessão RDP devido a Configurações do Windows e/ou cliente RDP.\

Como corrigir o erro “Não é possível conectar-se ao serviço de gerenciamento de cartão inteligente”.

• Inicie o serviço de cartão inteligente na máquina local com a qual você está iniciando a sessão acesso remoto. Configure início automático quando o computador é iniciado.
• Permitir o uso de dispositivos e recursos locais durante a sessão remota (principalmente cartões inteligentes). Para fazer isso, na caixa de diálogo "Conexão de Área de Trabalho Remota", selecione a guia "Recursos Locais" nos parâmetros, a seguir no grupo "Dispositivos e recursos locais", clique no botão "Mais detalhes...", e na caixa de diálogo que abre, selecione "Cartões inteligentes" e clique em "OK" e depois em "Conectar".

• Certifique-se de que suas configurações de conexão RDP estejam seguras. Por padrão, eles são salvos no arquivo Default.rdp no diretório "Meus Documentos". este arquivo havia uma linha "redirectsmartcards:i:1".
• Certifique-se de que o computador remoto, ao qual você está fazendo uma conexão RDP, não está ativado política de grupo
  -[Configuração do computador\Modelos administrativos\Componentes do Windows\Serviços de área de trabalho remota\Host de sessão de área de trabalho remota\Redirecionamento de dispositivos e recursos\Não permitir redirecionamento de leitor de cartão inteligente]. Se estiver ativado, desative-o e reinicie o computador.
• Se você tiver o Windows 7 SP1 ou o Windows 2008 R2 SP1 instalado e estiver usando o RDC 8.1 para conectar-se a computadores que executam Controle de janelas 8 e superior, então você precisa instalar uma atualização para o sistema operacional https://support.microsoft.com/en-us/kb/2913751

Esta foi a solução de problemas para configuração do token Jacarta, CryptoPRO no servidor de terminal, para assinatura de documentos no VTB24 RBS. Se você tiver algum comentário ou correção, escreva-o nos comentários.

Etapa 1. Passando no teste (interação com o circuito de teste GIS GMP) Endereço do serviço de teste #GIS GMP:
gisgmp.wsdlLocation=http://213.59.255.182:7777/gateway/services/SID0003663?wsdl
gisgmp.wsdlLocation.endPoint=http://213.59.255.182:7777/gateway/services/SID0003663
Este endereço está registrado nas configurações do SP. Além disso, você precisa registrá-lo no arquivo de configurações de log, especificando o valor. TRAÇO. Após inserir os valores especificados, é necessário iniciar o SP e o cliente ACC (reiniciar se já tiver sido lançado. A seguir, a partir do ROR ou do Aplicativo de Contabilidade/AU para pagamento de fundos, é necessário realizar a ação). “Criar Informações de Pagamento”, se os controles do sistema forem aprovados, serão criadas as Informações sobre o pagamento. Que mais tarde precisará ser descarregado.
Após o upload, você precisa verificar o status usando a ação “Solicitar status de processamento”. Depois disso, as informações de pagamento ED mudam para o status “Aceito pelo GIS GMP” -…

Dado: Tabela MSG (mensagens) com muitas entradas.
CREATETABLEmsg(idINTEGERNOTNULLPRIMARYKEY,descriçãoCHAR(50)NOTNULL, date_createDATE);
Tarefa:
É necessário limpar a tabela de dados/
Solução: Existem várias maneiras de resolver esse problema. Abaixo está uma descrição e exemplo de cada um deles.
A maneira mais fácil ( primeira opção) - execução do operador de exclusão de registro. Ao executá-lo, você verá o resultado (quantos registros foram deletados). Uma coisa útil quando você precisa ter certeza e entender se os dados corretos foram excluídos. MAS tem desvantagens em comparação com outras opções para resolver o problema.

DELETE FROMmsg;--Exclui todas as linhas da tabela --Exclui todas as linhas com data de criação "2019.02.01" DELETE FROMmsg WHEREdate_create="2019.02.01";

Segunda opção. Usando o operador