Skip to end of metadata
- Применить ограничения страницы
- Добавлено oleg, редактировано Отдел разработки Carbon Reductor DPI X окт 10, 2016
Go to start of metadata
- Применить ограничения страницы
- Добавлено oleg, редактировано Отдел разработки Carbon Reductor DPI X дек 20, 2016
Ряд пользователей программного продукта Континент АП, обновивших программу для работы со средствами криптографической защиты Крипто-Про до версии 4.0 и выше или изначально установившие её на свое рабочее место, столкнулись с ошибкой Ошибка подписи ключа 0x80090010 (Отказано в доступе). При этом нормальная работа в системе Континент АП нарушается, использовать сертификат для подписи и отправки документов не представляется возможным. Отметим, что с более ранними версиями Крипто-Про, начиная с 3.6 и до релизов версии 3.9 такие ошибки возникают в основном по следующим причинам:
1. Истек срок действия закрытого ключа (сертификата). Узнать актуальный срок действия сертификата можете, открыв программу Крипто-Про CSP – Просмотреть сертификаты в контейнере – Выбрать нужный сертификат – Ок. Если срок действия сертификата истек – вам нужно получить новый. Если же сертификат был выдан сроком на 2 и более лет и с момента его выпуска прошло 15 и более месяцев и при этом у вас установлено ПО Крипто-Про 4.0 и выше – то мы имеем дело как раз с тем самым редким случаем, присущим 4-й версии. О нем ниже.
2. Отсутствие прав доступа к накопителю, на котором находится ключ. Также случается редко, но случается, в основном на ОС Windows 10 и 8.1. Необходимо дать права доступа на флешку или добавить этот диск в исключения антивируса.
3. Отсутствие прав доступа на реестр защищенных ключей. Это для тех случаев, когда ключ установлен в реестре считывателей и у пользователя, работающего с Континент АП не хватает прав доступа к соответствующей ветке – тогда может возникать ошибка подписи ключа 0x80090010. Проверить права доступа легко через команду regedit, пройдя по пути:
Всем добрый день! Ещё в декабре я делал подписи на портале заявителя (УФК). Так вот, в декабре этой «засады» не наблюдалось. Зато уже в феврале я наткнулся на эту страшную засаду. Которая называется не экспортируемый ключ. Сейчас я вам расскажу в какую задницу можно залезть, если в этом портале заявителя поставить неверную галочку, всего одну!
- Какие последствия повлечёт генерация не экспортируемого ключа?
- Проверка наличия закрытого ключа в pfx-файле.
- Ошибка подписи ключа 0x80090010 Континент АП. Как исправить?
- Отказано в доступе. (0x80090010)
- Сертификат в реестре, на USB-флеш-накопителе, локальном компьютере или дискете.
- Выгрузка ключа в Windows 8
- Invalid password
- Carbon Reductor 7
- Центры, с ключами которых по умолчанию не работает выгрузка
- В случае возникновения проблем с экспортом ключа
Какие последствия повлечёт генерация не экспортируемого ключа?
Проклятая галочка не экспортируемого ключа
Собственно, если вы не разбираетесь, не обратили внимания на эту сиротливую галочку, и сгенерировали запрос с опцией «НЕТ» в графе экспортируемого ключа, а я напомню, что по умолчанию стоит именно опция «НЕТ», то вас ждёт жестокое наказание!
Мало того! Когда мы по неосторожности сделали неэкспортируемый ключ, поняли роковую ошибку, и решили сделать новый, экспортируемый, то в УФК нам отказали с формулировкой: «сертификат с такими полномочиями уже выпущен!» Пришлось нам отзывать сертификат в связи с утерей! И делать новый, экспортируемый!
Будьте внимательны и осторожны при генерации запросов на изготовление сертификатов на ФЗС — портале заявителя! Это страшная засада! Не забудьте поставить галочку именно там, где я показал на скрине! Зла не хватает на это казначейство..)
Проверка наличия закрытого ключа в pfx-файле.
Скопировать проверяемый сертификат в /usr/local/Reductor/reductor_container/root/
После этого выполнить
. /usr/local/Reductor/etc/
chroot_mount
chroot /usr/local/Reductor/reductor_container/ /gost-ssl/bin/openssl pkcs12 -in /root/p12.pfx -nodes
chroot_umount
Внимание: при заказе ЭЦП в удостоверяющем центре указывайте явно, что вам необходим контейнер закрытого ключа с возможностью копирования!
Ошибка подписи ключа 0x80090010 Континент АП. Как исправить?
Если все вышеперечисленные варианты решения не помогли – у вас вероятнее всего Crypto-Pro версии 4.0 и проблема кроется в следующем: сертификат для Континент АП был сформирован в АРМ Генерация ключей Казначейства действием на 2 и более года. По какой-то причине Крипто-Про 4-х версий считает просроченными ключи, выпущенные 15 и более месяцев назад. При этом если сертификата нет в контейнере – все работает нормально.
Для решения проблемы необходимо зайти в интерфейс программы Крипто-Про, выбрать вкладку Сервис – Просмотреть сертификаты в контейнере – Обзор – Выбрать нужный сертификат – Свойства – Состав – Копировать в файл, поставив галочку «Да, экспортировать закрытый ключ» и галочку «Экспорт расширенных свойств». Далее задать пароль на сертификат и имя. Экспортируется файл с расширением .pfx. Далее этот файл с расширением .pfx устанавливается снова, ему присваивается контейнер с новым именем. Сертификат Континент АП надо установить с привязкой к этому контейнеру с новым именем, расширенные свойства сертификата будуь доступны и с его сроком действия в Крипто-Про 4.0 проблем не будет, ошибка подписи ключа 0x80090010 (Отказано в доступе) появляться больше не должна.
Сегодня разберем ошибку в СУФД, которая возникает при подписании документов.
Первым делом я конечно же посмотрел, какой версии стояла крипто про, так как при переходе на версию 4.0 стали массово вылазить различные ошибки при подписании, здесь я подумал – не исключение. Действительно, стояла крипта 4.0, было решено быстренько поправить пару веток в реестре но увы это не помогло . Думаем дальше! Но не долго.
Отказано в доступе. (0x80090010)
Всплыла мысль что скорее всего просрочен контейнер закрытых ключей. Очень часто бывает так, что создав запрос на сертификат в арм генерации ключей сегодня, вы относите документы на получение эцп аж через неделю или две. Соотвественно на эту дату и будет рвать – сейчас контроль осуществляется и по сроку закрытых ключей . но )))) есть хорошая новость. Мы можем это обойти 😉
Поехали, первым делом мы тестируем контейнер – Панель управления – КриптоПРО CSP – сервис – протестировать – Обзор (выбираете контейнер от того сертификата, которым Вы хотели подписать но получили ошибку) – Далее – и смотрите результат!
Если Вы видите ошибку как тут, поздравляем! Мы на верном пути.
Смотрим детальней, причины следствия =) явки с повинной.
Теперь все понятно. Но. Нам от этого не легче! Нам же надо подписать документы! Сертификат то еще рабочий )))
Пф ) нет ничего проще. Меняем системную дату на компьютере (на день два меньше) в соотвествии со сроком действия закрытых ключей, перезаходим в суфд и потом успешно подписываем и отправляем документы. Но . после этого собираемся с силами и начинаем делать заявку и кучу документов на получение нового сертификата )))
При копировании сертификата возникает ошибка:
Для решения данной проблемы необходимо:
- Проверить наличие лицензии на КриптоПроCSP. Ошибка может возникать на КриптоПРО CSP с истекшими сертификатами со встроенной лицензией. Для автоматического ввода лицензии нужно перейти ссылке и установить лицензию по инструкции.
- Повторить копирование сертификата.
сертификат в реестре, на USB-флеш-накопителе, локальном компьютере или дискетесертификат на рутокене
При копировании, в окне выбора контейнера, нужно поставить переключатель Уникальные имена, продолжить копирование.
Проверить, что КриптоПро запущена с правами администратора. На вкладке «Общие» не должно быть ссылки «Запустить с правами администратора». Если ссылка есть — нажать на ее.
Сертификат в реестре, на USB-флеш-накопителе, локальном компьютере или дискете.
Чтобы сделать копию такого сертификата, необходимо:
Выгрузка ключа в Windows 8
В ОС Windows 8.1 отмечена проблема с выгрузкой закрытого ключа с версией КриптоПро 3.9 и младше при этом вход на госуслуги работает и существует возможность подписать файл. Но вот импорт закрытого ключа не происходит. Установку КриптоПро 4 нужно делать с расширенными параметрами. В том числе оставить совместимость с версией 3.6, но убрать совместимость 3.0. Остальное устанавливать все в обязательном порядке.
Invalid password
Такая ошибка часто возникает при экспорте ключа без указания пин-кода. Попробуйте провести повторный экспорт, задав 8символьный простой pin-код.
Если вы получаете ошибку в духе:
Error outputting keys and certificates
140254691182248:error:06074079:digital envelope routines:EVP_PBE_CipherInit:unknown pbe algorithm:evp_pbe.c:167:TYPE=1.2.840.113549.1.12.1.80
140254691182248:error:23077073:PKCS12 routines:PKCS12_pbe_crypt:pkcs12 algor cipherinit error:p12_decr.c:83:
140254691182248:error:2306A075:PKCS12 routines:PKCS12_item_decrypt_d2i:pkcs12 pbe crypt error:p12_decr.c:130:
Carbon Reductor 7
Скопировать проверяемый сертификат в /usr/local/Reductor/reductor_container/root/p12.pfx
В выводе команд ниже должна присутствовать секция BEGIN PRIVATE KEY.
Центры, с ключами которых по умолчанию не работает выгрузка
- удостоверяющий центр — TENSORCA3 ООО Компания Тензор, Ярославль, 76 Ярославская область
- ОАО «ИнфоТеКС», торговая марка ViPNet
- ФГУП РОСТЭК
- «НОВАГ-СЕРВИС» http://www.tax23.ru/
В случае возникновения проблем с экспортом ключа
- Обратитесь с вопросом о возможности экспорта закрытого ключа в Удостоверяющий центр, выдавший вам токен.
- Проверьте настройки КриптоПРО, возможно в них указан запрет экспорта закрытого ключа.
- Обратитесь в техническую поддержку утилиты, используемой для экспорта закрытого ключа.
- Убедитесь в том, что вы проводите экспорт по инструкции, а не с помощью дефолтного certmgr в Windows.
