Alex_randomsufix |
|
|
Статус: Новичок Группы: Участники Сказал(а) «Спасибо»: 3 раз |
Добрый день. Мы пытаемся проимпортировать p12 в ключевой контейнер CSP4 с использованием команды: p12util.x64.exe -p12tocp -rdrfolder E: -contname myContainer -ex -passcp 123 -passp12 123 -infile c:…signalCom.from_signalCom_pem.engine_gost_gost89.pass123.p12 Получаем ошибку: p12 получен командой: openssl pkcs12 -engine gost -gost89 -export -inkey ./signalCom.pem -in ./stend2012.pem -out ./signalCom.from_signalCom_pem.engine_gost_gost89.pass123.p12 пароль p12: 123 Чем вызвана ошибка? Прикладываю исходные приватный ключ + публичный сертификат и p12. |
 |
|
signalCom.key.zip |
Винтик |
|
|
Статус: Активный участник Группы: Участники Сказал(а) «Спасибо»: 6 раз |
https://www.cryptopro.ru…aspx?g=posts&t=16062 Что то темы дублируются. |
|
|
|
|
Alex_randomsufix |
|
|
Статус: Новичок Группы: Участники Сказал(а) «Спасибо»: 3 раз |
Автор: Винтик https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=16062 Что то темы дублируются. Возможно это влияет. У нас 4я. Но вероятнее всего дело в p12 — в каком либо не поддерживаемом сочетании параметров. |
|
|
|
|
Alex_randomsufix |
|
|
Статус: Новичок Группы: Участники Сказал(а) «Спасибо»: 3 раз |
Добрый день. В signalCom.from_signalCom_pem.engine_gost_gost89.pass123.p12: ( В stend2012.pem: Что из этого не импортируется с помощью p12util? |
|
|
|
|
nikolaev |
|
|
Статус: Сотрудник Группы: Участники Поблагодарили: 5 раз в 5 постах |
Добрый день. В Вашем контейнере для шифрования секретных ключей используются иностранные алгоритмы, не поддерживаемые нашей утилитой. openssl -engine gost -export -inkey seckey.pem -in cert.pem -out pkcs12.p12 -password pass:12345 -keypbe gost89 -certpbe gost89 -macalg md_gost12_256 Полученный таким образом контейнер должен приниматься нашей утилитой. |
|
|
|
|
|
Alex_randomsufix
оставлено 02.07.2019(UTC) |
1 пользователь поблагодарил nikolaev за этот пост.|
Alex_randomsufix |
|
|
Статус: Новичок Группы: Участники Сказал(а) «Спасибо»: 3 раз |
Не сработало. Автор: nikolaev openssl -engine gost -export -inkey seckey.pem -in cert.pem -out pkcs12.p12 -password pass:12345 -keypbe gost89 -certpbe gost89 -macalg md_gost12_256 Полученный таким образом контейнер должен приниматься нашей утилитой. C:UsersuserDesktopКриптоПРОp12tocp>p12util.x64.exe -p12tocp -rdrfolder D: -contname myContainer -ex -passcp 123 -passp12 123 -infile signalCom.from_signalCom_pem.engine_gost.keypbe_gost89.certpbe_gost89.macalg_md_gost12_256.pass123.p12 В винду он теперь так же не импортится, говорит что не подходит пароль Файл p12 создан командой: Приложен p12: Просьба проверить файлик… |
|
|
|
|
nikolaev |
|
|
Статус: Сотрудник Группы: Участники Поблагодарили: 5 раз в 5 постах |
Добрый день! Прошу прощения, допустил небольшую ошибку в команде для openssl — последний параметр должен быть -macalg md_gost12_512. Также Вы можете импортировать и приложенный Вами контейнер, добавив флаг -noMACVerify. |
|
|
|
|
|
Alex_randomsufix
оставлено 02.07.2019(UTC) |
|
Alex_randomsufix |
|
|
Статус: Новичок Группы: Участники Сказал(а) «Спасибо»: 3 раз |
Продолжу в этой же теме: Импорт p12 прошёл успешно командой: Результат: /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifycontext Получаю вот такую ошибку при попытке потрогать контейнер: /opt/cprocsp/bin/amd64/csptest -keyset -check -cont ‘\.HDIMAGEmyContainer’ Получившийся контейнер: |
|
|
|
|
nikolaev |
|
|
Статус: Сотрудник Группы: Участники Поблагодарили: 5 раз в 5 постах |
С контейнером всё в порядке, но срок действия ключа истёк 2 мая, из-за чего не прошла тестовая подпись. |
|
|
|
|
|
Alex_randomsufix
оставлено 02.07.2019(UTC) |
| Пользователи, просматривающие эту тему |
|
Guest |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Из нашей статьи вы узнаете:
ЭЦП — довольно сложный цифровой продукт, обращение с которым в определенных ситуациях может потребовать некоторых навыков и знаний. Например, в ходе установки сертификатов ЭП посредством «КриптоПро» после выбора соответствующего ключевого контейнера нередко выдаются неприятные сообщения об ошибке вследствие отсутствия открытого шифровочного ключа, который необходим для обеспечения информационной безопасности, без чего система не будет принимать ЭЦП.
Такую ошибку несложно устранить без вызова специалиста или обращения в службу поддержки. Алгоритм действий, направленных на решение этой проблемы, приводится ниже.
Что может послужить причиной такой ошибки
Всплывающее окно со злополучным сообщением об ошибке появляется на экранах пользователей в тех случаях, если система не смогла обнаружить соответствующий ключ на носителе. Такая ситуация происходит при следующих действиях пользователей:
- установка сертификата впервые;
- экспортирование данных на внешний носитель;
- попытка просмотра ключей в контейнерах ключей;
- загрузка информации на компьютер извне.
В целях устранения ошибки обычно бывает достаточно произвести корректную ручную переустановку сертификата.
Решение ошибки: отсутствие электронного сертификата в контейнере закрытого ключа
Для начала запускаем «КриптоПро» нажатием кнопки «Пуск». Затем выбираем «Настройку», в возникающем на мониторе окне заходим в опцию панели управления, далее «сервис – установить личный сертификат».
Далее, через кнопку «обзор» указываем путь, где сохранен открытый ключ – файл с расширением *.cert или *.crt
Жмём «Далее», в мастере установки сертификата мы увидим путь, который указывали до нашего сертификата.
Нам отображается информация, содержащаяся в открытом ключе на пользователя, жмём «далее»
В следующем окне можно воспользоваться двумя путями поиска нужного контейнера закрытого ключа:
- «найти контейнер автоматически
- вручную через «обзор»
В первом случае КриптоПро на основе данных из открытого ключа подберет закрытый, в случае с ручным поиском нужно будет знать название закрытого ключа, чтобы выбрать его для установки
Самый простой вариант выбрать автоматический поиск, затем после «обнаружения» необходимого контейнера, мы увидим заполненную строчку с его именем и после жмём «Далее»
Личный сертификат пользователя всегда устанавливается в хранилище «Личное», можно выбрать как вручную, так и КриптоПро может сделать это за вас по умолчанию, затем подтверждаем установку цепочки сертификатов и жмём «Далее»
>
В случае успешной установки КриптоПро выдаст окно с информацией об окончании процедуры и жмём «Готово»
Затем появится окно с подтверждением данной операции, жмём «ДА»
В следующем окне увидим информацию о том, что процесс окончен успешно. Сертификат установлен в контейнер закрытого ключа.
Особенности версий КриптоПро
С января 2019 года квалифицированные сертификаты могут выпускаться только по ГОСТ 2012, выпуск по другому ГОСТу прекращен. Мы об этом писали ранее в статье. Важно помнить, что версии криптопро на ГОСТ 2012 работают только с версии 4.0 и выше. Все старые версии КриптоПро, для нормальной работы, потребуется обновить или заменить на актуальную. Сделать это нужно не позднее 31 декабря 2019 года.
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
Экспорт PFX (p12) из СКЗИ ViPNet CSP в соответствии с требованиями ТК26 импорт этого PFX в КриптоПро
gubaidulin.rinat |
|
|
Статус: Новичок Группы: Участники Поблагодарили: 1 раз в 1 постах |
У меня не получается экспортированный из актуальной версии ViPNet CSP PFX импортировать в актуальную версию Крипто Про. Пробовал: p12util.x64.exe -p12tocp -rdrfolder A: -contname 888888 -ex -passcp 123456 -passp12 123456 -infile C:PFX_vipnet_cspGubaidulin.pfx На все попытки утилита выдает сообщение: «Ошибка при открытии файла ключевого контейнера PKCS#12. При выполнении операции произошла ошибка». Общался с Инфотекс, мне показали и доказали, что текущая версия ViPnet CSP корректно по ГОСТ2012 и соблюдая все требования ТК26 выгружает PFX (смотрели файл PFX в ASN редакторе) и что скорее всего «чудит» КриптоПро CSP, несмотря на то, что на этом форуме было заявлено, что в пятой версии поддерживается импорт PFX по требованиям ТК26. Так все-таки это возможно? Если да, то как? Отредактировано пользователем 25 апреля 2019 г. 14:12:16(UTC) |
 |
|
|
|
Kryukov_Akeksey
оставлено 26.04.2019(UTC) |
1 пользователь поблагодарил gubaidulin.rinat за этот пост.|
i.ushkin |
|
|
Статус: Новичок Группы: Участники Сказал(а) «Спасибо»: 1 раз |
Ситуация аналогичная. Тоже интересует решение. |
|
|
WWW |
|
Stass-87 |
|
|
Статус: Новичок Группы: Участники
|
Автор: gubaidulin.rinat У меня не получается экспортированный из актуальной версии ViPNet CSP PFX импортировать в актуальную версию Крипто Про. Пробовал: p12util.x64.exe -p12tocp -rdrfolder A: -contname 888888 -ex -passcp 123456 -passp12 123456 -infile C:PFX_vipnet_cspGubaidulin.pfx На все попытки утилита выдает сообщение: «Ошибка при открытии файла ключевого контейнера PKCS#12. При выполнении операции произошла ошибка». Общался с Инфотекс, мне показали и доказали, что текущая версия ViPnet CSP корректно по ГОСТ2012 и соблюдая все требования ТК26 выгружает PFX (смотрели файл PFX в ASN редакторе) и что скорее всего «чудит» КриптоПро CSP, несмотря на то, что на этом форуме было заявлено, что в пятой версии поддерживается импорт PFX по требованиям ТК26. Так все-таки это возможно? Если да, то как? + к вопросу, как решить данную задачу? |
|
|
|
|
andrei.kontur |
|
|
Статус: Новичок Группы: Участники Сказал(а) «Спасибо»: 1 раз |
+ |
|
|
|
|
Русев Андрей |
|
|
Статус: Сотрудник Группы: Администраторы, Участники Сказал(а) «Спасибо»: 12 раз |
Если есть какая-то несовместимость, то быстрее всего её можно обнаружить с помощью импорта такого pfx-а на Linux/macOS: Код: В системном журнале будет подробная диагностика проблемы. |
|
Официальная техподдержка. Официальная база знаний. |
|
|
|
|
|
gubaidulin.rinat |
|
|
Статус: Новичок Группы: Участники Поблагодарили: 1 раз в 1 постах |
Автор: Русев Андрей Если есть какая-то несовместимость, то быстрее всего её можно обнаружить с помощью импорта такого pfx-а на Linux/macOS: Код: В системном журнале будет подробная диагностика проблемы. Ок, на linux проверю, вышлю лог. На windows уже развернуто рабочее место, напишите как взять лог с помощью Вашего certmgr.exe поподробнее ? |
|
|
|
|
gubaidulin.rinat |
|
|
Статус: Новичок Группы: Участники Поблагодарили: 1 раз в 1 постах |
Автор: Русев Андрей Если есть какая-то несовместимость, то быстрее всего её можно обнаружить с помощью импорта такого pfx-а на Linux/macOS: Код: В системном журнале будет подробная диагностика проблемы.
|
|
|
|
log_certmgr_cryptopro.JPG |
Сонина Лолита |
|
|
Статус: Сотрудник Группы: Участники Сказал(а) «Спасибо»: 1 раз |
Мы уже сталкивались с подобной проблемой. Код: в поле privateKeyAlgorithm был указан неверный алгоритм (алгоритмы согласования ключей 1.2.643.7.1.1.6.1). |
|
Техническую поддержку оказываем тут |
|
|
|
|
|
gubaidulin.rinat |
|
|
Статус: Новичок Группы: Участники Поблагодарили: 1 раз в 1 постах |
Автор: Русев Андрей Если есть какая-то несовместимость, то быстрее всего её можно обнаружить с помощью импорта такого pfx-а на Linux/macOS: Код: В системном журнале будет подробная диагностика проблемы. Андрей, в ОС linux ровно такая же ошибка как и windows По последнему комментарию Сониной Лолиты я задал вопрос в инфотекс, жду ответ от них. |
|
|
|
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы Сказал «Спасибо»: 21 раз |
Обновил p12util на сайте — можно пробовать импортировать. |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
|
|
lab2
оставлено 14.06.2019(UTC), i.ushkin оставлено 14.06.2019(UTC) |
| Пользователи, просматривающие эту тему |
|
Guest |
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
Экспорт PFX (p12) из СКЗИ ViPNet CSP в соответствии с требованиями ТК26 импорт этого PFX в КриптоПро
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
При попытке добавления через сервис «Крипто ПРО CSP» нового сертификата мы можем столкнуться с уведомлением «Не найден контейнер, соответствующий открытому ключу сертификата» и не понимать что нужно делать. Причиной данной дисфункции могут выступать различные факторы, от использования различных версий КриптоПро до отсутствующего контейнера на флеш-накопителе. Ниже разберём суть возникшей проблемы, а также опишем способы её устранения.
Содержание
- Причины ошибки отсутствия сертификата
- Удаление веток системного реестра
- Что делать, если система запомнила сервисные пароли и не находит контейнер
- Правильная установка сертификата
- Проверка сертификата на предмет конфликта со сторонним криптопровайдером
- Каким образом проверить флеш-накопитель на наличие контейнера
- Выполнение записи с флеш-накопителя напрямую, если нет открытого ключа
- Заключение
Причины ошибки отсутствия сертификата
Рассматриваемое нами сообщение не стоит воспринимать как сообщение об ошибке. Это просто информационное окно, уведомляющее об отсутствии необходимого для сертификата контейнера.
| Причины появления уведомления: | Пояснение: |
|---|---|
| Конфликт со сторонним криптопровайдером. | В этом случае поможет только переустановка. |
| Различные сборки «Крипто ПРО». | Которые обычно используются на пользовательских ПК в одной сети. |
| Некорректно функционирующий контейнер | Необходимо перепроверить настройки системы. |
| Отсутствие ключевого контейнера на подключенных к ПК носителях. | К примеру, он может находиться на другом флеш-накопителе. |
Давайте разберём, как устранить проблему с отсутствующим контейнером, соответствующим ключу сертификата в вашей системе. И что для этого нужно сделать.
Удаление веток системного реестра
Довольно эффективным способом устранить дисфункцию, когда не обнаружен контейнер, соответствующий открытому ключу сертификата, является удаление ряда веток системного реестра, ответственных за несовпадение данных.
Выполните следующее:
- Нажмите на клавиши Win+R;
- В появившемся окне «Выполнить» введите команду regedit и нажмите ввод;
- В открывшемся окне системного реестра найдите и удалите следующие ветки системного реестра:
Процедура удаления состоит в наведении курсора на данную ветку, клика на правую клавишу мышки, и выбора опции «Удалить».
После удаления обеих веток перезагрузите ваш PC, и попробуйте установить ваш сертификат вновь. Обычно операция проходит без каких-либо проблем.
Читайте также: что предпринять при появлении ошибки генерации сертификата в ЛК налогоплательщика.
Что делать, если система запомнила сервисные пароли и не находит контейнер
Другим способом исправить ситуацию с несоответствующим сертификату контейнером является удаление запомненных системой паролей в «КриптоПро». Для этого перейдите вашу систему «Криптопро», затем выберите «Сервис». Там кликните на опцию «Удалить запомненные пароли», а затем и на «Удалить информацию об используемых съёмных носителях».
Часто выполнение данной операции помогает устранить рассматриваемую нами проблему.
Правильная установка сертификата
Используйте установку сертификата через КриптоПро CSP с переходом в «Сервис», где выберите опцию «Установить личный сертификат».
Проверка сертификата на предмет конфликта со сторонним криптопровайдером
В некоторых случаях в системе может наблюдаться конфликт со сторонним криптопровайдером. Просмотрите список зарегистрированных в вашей системе криптопровайдеров перейдя по приведённым ниже веткам реестра ОС Виндовс.
32-битная операционка:
64-битная операционка
Каким образом проверить флеш-накопитель на наличие контейнера
В некоторых случаях контейнер может находиться не используемом нами флеш-накопителей. Скопируйте контейнер в корневой каталог вашей флешки, а затем повторите попытку копирования сертификата.
Выполнение записи с флеш-накопителя напрямую, если нет открытого ключа
Ряду пользователей помогло копирование информации с флеш-накопителя, на который первоначально записывался контейнер, на другой флеш-накопитель. Если вы копируете данные с базовой флешки на ПК, а потом на флеш-накопитель, то вы можете столкнуться с приведённой нами ошибкой. Попробуйте выполнить копирование данных напрямую с одного накопителя на другой.
Это также пригодится: «Не удается построить цепочку сертификатов для доверенного корневого центра» — что делать.
Заключение
Выше мы привели перечень способов, позволяющих устранить проблему, сопровождающуюся уведомлением «Не найден контейнер, соответствующий открытому ключу сертификата», а также рассмотрели, что делать в такой ситуации. Наибольшую эффективность показал способ с правкой системного реестра. И мы рекомендуем использовать его для решения возникшей у вас дисфункции.
Сообщение КриптоПро CSP «Вставьте ключевой носитель» или «Вставлен другой ключевой носитель» может появляться:
При входе в систему
При работе в системе
Если ошибка появляется при входе в систему, для ее решения необходимо выполнить следующие шаги:
1. Убедиться, что вставлен носитель с сертификатом (носителем с сертификатом, как правило, выступает дискета либо смарт-карта ruToken). Носитель должен соответствовать выбранному сертификату.
2. Открыть Пуск / Панель управления / КриптоПро CSP / вкладка Сервис / кнопка Удалить запомненные пароли (см. рис. 1). В открывшемся окне необходимо выбрать пункт Пользователя в разделе Удалить все запомненные пароли закрытых ключей и нажать на кнопку ОК.
Рис. 1. Удаление запомненных паролей
3. Далее необходимо переустановить личный сертификат через КриптоПро (см. Как установить личный сертификат?).
Если при переустановке сертификата окно Выбор ключевого контейнера будет пустым, либо в нем не будет отображаться нужный контейнер, то воспользуйтесь следующими рекомендациями.
4. Если в качестве ключевого носителя используется дискета, то она не должна быть защищена от записи (на дискете, защищенной от записи, обе прорези, расположенные по углам носителя, открыты).
5. Если в качестве ключевого носителя используется flash-накопитель, имя которого было изменено, то необходимо вернуть прежнее имя.
6. Если в качестве ключевого контейнера используется дискета или flash-накопитель, необходимо убедиться, что в корне носителя находится папка, содержащая файлы: header, masks, masks2, name, primary, primary2. Файлы должны иметь расширение.key, а формат названия папки должен быть следующим:xxxxxx.000.
Если каких-либо файлов не хватает или их формат неверен, то, возможно, контейнер закрытого ключа был поврежден или удален. Также контейнер может быть поврежден, если не удается скопировать данные файлы, например, на Рабочий стол.
Если папки с перечисленными файлами на дискете (флешке) нет, то сертификат на ней отсутствует. Необходимо проверить, не содержится ли сертификат на других носителях.
7. Скопировать сертификат на какой-либо другой носитель и переустановить личный сертификат через КриптоПро (см. Как установить личный сертификат?).
Если ошибка появляется при работе в системе, для ее решения необходимо выполнить следующие шаги:
1. Если данное сообщение возникает при попытке открыть какой-либо документ, то зачастую оно сопровождается ошибкой при дешифровании данных. Для ее решения воспользуйтесь следующими рекомендациями.
2. При открытии документа попробуйте несколько раз нажать на кнопку Отмена в открывшемся окне запроса ключевого носителя.
3. Вероятно, что документ, при открытии которого возникает ошибка, был зашифрован на несколько сертификатов. Если при этом один из ключевых носителей с устаревшим сертификатом был утерян или поврежден, то данный сертификат можно удалить из хранилища Личные и Другие пользователи.
Для этого необходимо выбрать меню Пуск / Панель управления / Свойства обозревателя. Перейти на вкладку Содержание и нажать на кнопку Сертификаты (см.рис. 2).
Рис. 2. Свойства обозревателя.
Далее выбрать закладку Личные, найти в списке нужный сертификат и удалить его (см. рис. 3).
Рис. 3. Вкладка «Личные»
После этого необходимо перейти на вкладку Другие пользователи, если в списке присутствуют личные сертификаты, их необходимо удалить. На данной вкладке должны остаться только сертификаты контролирующих органов.
Удалить сертификаты из хранилища Другие пользователи также можно с помощью консоли.