Ключ не может быть использован в указанном состоянии 0x8009000b рутокен

Добрый день! Уважаемые читатели и гости крупнейшего IP блога России pyatilistnik.org. В прошлый раз я вам рассказал, о том, как установить сертификат в реестр Windows . Сегодня я вам расскажу, каким образом вы можете выполнить перенос сертификата на другой компьютер, это очень частая и жизненная ситуация с которой сталкиваются многие системные администраторы. Захотелось с вами поделиться опытом, о массовом переносе контейнеров с закрытыми ключами, находящимися в области реестра Windows. Использовать мы будем как КриптоПРО, так и встроенные механизмы. Уверен будет интересно.

Копирование контейнера c Rutoken на другой носитель, например floppy.

Возможно скопировать контейнер (содержимое Rutoken) на другой носитель, например floppy или flаsh, как резервная копия ?

Алексей Несененко

Какой криптопровайдер Вы используете?

38 отредактировано oooo1)

CryptoPro GOST R 34.10-2001. Выдает ошибку 0x8009000B, ключ не может быть использован в таком состоянии.

Это значит, что сертификат был выписан как неэкспортируемый и копировать его нельзя.

Зная пароль Администратора, возможно его сделать экспортируемым ?

А каким образом возможно сделать его экспортируемым ?

Это делается при выписывании сертификата.Уже выписанный сертификат нельзя сделать экспортируемым.

CryptSignMessage: Ключ не существует. (0x8009000d)

Итак, новенькая ошибка. Встречается как «гавно» мамонта ))))))) редко редко.

При подписи выдает ошибку.

com.otr.cryptonew.CryptoDataException: Ошибка подписи. CryptSignMessage: Ключ не существует. (0x8009000d)

Сертификаты были на флешке. Попробовал открыть сертификат которым подписывают и вот — что из этого вышло.

На сколько я помню давно давно у клиента была подобная проблема — вирус «поел» сертификаты. Вот они и перестали открываться.

Первым делом проверяйте — открываются ли сертификаты. И надеюсь у Вас есть резервная копия . Желательно на компьютере.

В моем случае у клиента резервная копия была на флешке, на которой так же не открывались сертификаты.

При копировании сертификата возникает ошибка:

Для решения данной проблемы необходимо:

• Проверить наличие лицензии на КриптоПроCSP. Ошибка может возникать на КриптоПРО CSP с истекшими сертификатами со встроенной лицензией. Для автоматического ввода лицензии нужно перейти ссылке и установить лицензию по инструкции.
• Повторить копирование сертификата.

сертификат в реестре, на USB-флеш-накопителе, локальном компьютере или дискетесертификат на рутокене

При копировании, в окне выбора контейнера, нужно поставить переключатель Уникальные имена, продолжить копирование.

Проверить, что КриптоПро запущена с правами администратора. На вкладке «Общие» не должно быть ссылки «Запустить с правами администратора». Если ссылка есть — нажать на ее.

Сертификат в реестре, на USB-флеш-накопителе, локальном компьютере или дискете.

Чтобы сделать копию такого сертификата, необходимо:

Это значит, что истек срок действия «КриптоПро». Кстати, при этом должно появиться еще и сообщение: «Срок действия “КриптоПро” истёк». Оно появляется, если закончился:

• пробный период использования программы;
• срок действия годовой лицензии на использование.

Что делать в такой ситуации?

Необходимо ввести серийный номер вновь приобретенной лицензии на использование программы или оплатить ее в интернет-магазине. Кроме того, помехой для извлечения сертификата может послужить некорректная работа «КриптоПро». В этом случае следует установить программу заново.

Как скопировать закрытые ключи на rutoken

У меня такая проблема. при получении закрытых ключей по ошибке в качетстве места их размещения была указана обычная флэшка вместо rutoken’a. есть ли возможность переместить ключи с флэшки на rutoken?заранее спасибо

Если Вы делали это средствами КриптоПро, то в закладке «сервис» есть кнопка «скоприровать контейнер».Воспользуйтесь ей для переноса контейнера с сертификатом с флэшки на токен.

FrosT

мне нужно перенести не сертификат а именно закрытые ключи. у меня на флэшке сейчас папка с файлами с расширением .keyа при копировании контейнера с сертификатом предлагается выбрать именно файл сертификата с расширением .cer

если вы выбираете «просмотр сертификата в контейнере» и указываете флэшку видно и контейнер и сертификат в нем?

сертификат насколько я понимаю уже на rutokene с ним все хорошо. мне нужно перенести именно ключи с флэшки на rutoken. сертификата на флэшке нет.

У Вас сертификат КриптоПро?

каким образом Вы получали закрытый ключ и каким образом на токене появился сертификат?

видимо я все таки напутал.. сертификат также на флэшке наверно.. но скопировать его как Вы написали через скопировать контейнер на закладке сервис не получается. Выдает ошибку копирования контейнера «0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии»

Сертификат при выписывании был помечен как неэкспортируемый?

Скорее всего да. Точно не знаю.. Можно в такой ситуации что нибудь сделать?

если был экспортируемый, то можно через экпорт из локального хранилища в pfx файл а затем на токен.Если не экспортируемый, то нельзя.

Проще выписать заново прямо на токен.

Inzhener

Здраствуйте, У меня тоже ключ после восстановления не удаётся скопировать, хотя КриптоПРО видит и даже открытый ключ можно выгрузить, ключ точно экспортируемый, сделал всё как советовала техподдержка, создал файл pfx, как мне дальше его экспортировать в реестр или записать на носитель?

Ответ уже был дан на вопрос что значит: «Ошибка копирования контейнера. Ошибка 0x8009000В (-2146893813). Ключ не может быть использован в указанном состоянии.» Это означает, что сертификат был выписан как неэкспортируемый. У меня другой вопрос: есть ли право организации на то, что бы иметь именно экспортируемый сертификат? Или мы платим и выбираем, или мы платим и нам посовывают неэкспортируемый, несмотря на то что мы просили возможность сохранения экспорта, для того что бы мы (организация) опять заплатила при поломке ключа. У нас например вышел из строя носитель ключа (перестал светиться светодиод) во время работы на исправном компьютере. Нам в «Тензоре», после предоставления выписок, заявлений и копий, а также после оплаты, выдали новый ключ с новым сертификатом. По времени — неделя. При наличии копии — восстанавливается сразу, в течении часа. Так, право существует, иметь экспортируемый сертификат или такого права нет, и все определено строго. Чем? Тогда пусть предоставляют услугу восстановление в течении нескольких часов. Представьте торги, а в ответ — так приобретите два ключа. Почему и чем это определено? Программное обеспечение, приобретенное я имею право восстановить сколько потребуется. А здесь почему не так? Ссылаться на то, что это печать, и мол она должна быть одна, как то к электронным средствам не подходит. Или подходит? Дайте пожайлуста разъяснение если это возможно. Спасибо.

Николай Фатеев

Все зависит от того, как организована система, какие регламентирующие документы и как составлены. В классической схеме Пользователь сам генерирует себе ключевую пару (именно закрытый ключ и имеет (или не имеет) признак экспортируемости). Далее Пользователь отсылает свой открытый ключ вместе с формой-запросом, в которой указаны его персональные данные. УЦ проверяет эти данные и по результатам подписывает или не подписывает открытый ключ. Иначе говоря, выдает сертификат открытого ключа Пользователя. При этом УЦ совершенно не знает экспортабельным или неэкспортабельным был сгенерирован закрытый ключ. Т.к. в нашей действительности подготовленные Пользователи, способные самостоятельно сгенерировать ключевую пару встречаются, увы, не часто, УЦ взял функцию генерации ключевой пары на себя (по доверенности). Какие именно ключи генерировать, УЦ определяет сам. Пользователь же подписывая договор присоединения принимает правила игры УЦ.Подводя итог: вопрос, который Вы задаете, юридический, имеющий отношение к тому на каких условиях Вы взаимодействуете с Тензором. С технической точки зрения никаких ограничений нет. Мы со своей стороны регулярно призываем УЦ, особенно аккредитованные для работы с торговыми площадками, реализовывать механизмы резервирования, будь то просто дубликат ключа, либо резервный сертификат, который начинает действовать в случае утраты основного!

Сообщений 2

Wmffre пишет: в Электронном бюджете сертификат пользователя выбирайте не на носителе (так как на нём его не будет), а из «Сертификаты».

В моём УФК так осуществляется подписание через Jinn-client не только с помощью версии 1.0.3050.0, но и осуществлялось подписание ранее в Jinn-client версии 1.0.1130.0. В качестве носителя при этом могут быть флэшки или etoken-ы (eToken Pro Java). Для версии 1.0.3050.0 в случае етокенов необходимо устанавливать помимо eToken PKI Client ещё Единый клиент Jacarta (это дополнительные драйвера). rutoken-ов у нас никогда не было, поэтому про их использование ничего написать не могу.

Такой способ применяется в моём Управлении уже многие годы с появлением Электронного бюджета. Изначально сертификат пользователя даже нельзя было установить внутрь контейнера на etoken (он записывался с ошибкой), так как в Криптопро не было соответствующей поддержки в виде необходимой версии etok.dll. Это стало возможно только относительно недавно с появлением Криптопро CSP 4.0.9944. В теротделах сертификаты умели устанавливать всегда самостоятельно, поэтому с появлением Криптопро CSP 4.0 и установленной по умолчанию галочки «Установить сертификат в контейнер» пользователи теротделов наустанавливали сертификаты в контейнеры и продолжают их устанавливать тудаже по сей день. Таким образом, мне есть возможность сравнивать две группы пользователей Электронного бюджета: одни в Управлении без установленного сертификата пользователя внутрь контейнера на етокене, другие в теротделах с установленным сертификатом пользователя внутрь контейнера на етокене. Глюков и багов с подписью и контейнером (не только в Электронном бюджете) больше у второй группы.

Если сертификат пользователя установлен через Криптопро CSP 4.0 в «Сертификаты — текущий пользователь» одновременно с установленной галочкой «Установить сертификат в контейнер», то при подписании в окне Jinn-client сертификат пользователя можно будет выбирать только на носителе(флешка/етокен), так как в оснастке «Сертификаты» он не будет отображаться. (Встречал единственный случай, когда сертификат пользователя отображался одновременно и на etoken-е, и в «Сертификаты» — это был какой-то непонятный баг, причём подписание работало только с сертификатом на етокене).

Установка сертификата пользователя через Криптопро CSP 4.0 в оснастку «Сертификаты — текущий пользователь» с привязкой к закрытому ключу — это самый стандартный способ установить сертификат пользователя, откуда его может запросить любая информационная система/программа(если только эта программа не использует своё хранилище сертификатов).

Непонятно, из-за чего тут возникли сомнения.

Перенос сертификатов в виде пошаговой инструкции

Первые два пункта я описывать тут не стану, так как я уже это подробно рассказывал, посмотрите по ссылкам. Я расскажу, об остальных методах и начнем мы с классического КриптоПРО.

Данный метод подойдет для тех ситуаций, когда у вас один или 2 сертификата (ЭЦП). Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит, и там придется выбирать 4-й метод.

Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты

Сообщений 10

• B090C
• Посетитель
• Неактивен

Ошибка 0x80090003 и Ошибка 0x8009000A

С февраля начались проблемы с ЭП (контейнеры записаны на Рутокен), при утверждении документов в ГИИС «Электронный бюджет» (документы нормально подписываются) далее СКЗИ Jinn-Client подвисает, после зайти в личный кабинет невозможно. Проверка контейнера в Криптопро выводит ошибки (Ошибка 0x80090003 и Ошибка 0x8009000A), ситуация повторилась на 5 компьютерах с разными конфигурациями и ЭП, полученными в разных УЦ. Существует ли возможность восстановить работоспособность контейнера с ЭП?

#2 Ответ от Фатеева Светлана 2020-02-13 11

• Фатеева Светлана
• Техническая поддержка
• Неактивен

Здравствуйте,Рекомендуем вам обратиться в организацию которая выпустила вашу электронную подпись и получить новую подпись, так как указанные ошибки означают повреждении электронной подписи и восстановить работоспособность контейнера нашими средствами нельзя.Также вы можете обратиться в компанию Криптопро для уточнения информации по указанным вами ошибкам.Тестирование в КриптоПро CSP, проверяет не носитель Рутокен, а электронную подпись которая хранится на носителе Рутокен. Если тестирование в КриптоПро CSP выдает ошибку, то это означает, что поврежден не носитель, а подпись хранящаяся на нем.

#3 Ответ от B090C 2020-02-13 11

Носитель Рутокен защищен от записи? Контейнер не экспортируемый, в связи с чем происходит искажение записанных данных?

#4 Ответ от Фатеева Светлана 2020-02-13 13

Запись на носитель рутокен возможна только после ввода пин кода.К сожалению у нас нет информации почему бьется контейнер и не можем утверждать точно в чем причина.Рекомендуем вам обратиться в компанию Криптопро для получения более подробной диагностики контейнера.

#5 Ответ от asoldatov 2020-02-13 13

• asoldatov
• Посетитель
• Неактивен

Добрый день.Например, из-за извлечения носителя в момент выполнения криптографических операций с ключом ЭП на данном носителе.

Еще один нюанс — Вы для работы с Jinn-Client получали отдельный ключ ЭП?

Важное замечание: Если ОС Windows используется в качестве клиента КриптоПро HSM 2.0 и ключ доступа к HSM записан на смарткарте или токене, то не рекомендуется подключение к этой ОС Windows по RDP, поскольку локально подключенные к компьютеру с ОС Windows считыватели смарткарт/токенов не будут доступны в RDP-сессии.

Сообщений 3

• refer
• Посетитель
• Неактивен

Ошибка во время подписи данных

Signature key is not available.Exchange key is available. HCRYPTKEY: 0x14de28An error occurred in running the program..ctkey.c:1620:Check key failed.Error number 0x8009000a (2148073482).Указан неправильный тип.

Что можно сделать для восстановления? Скоро торги . 6 дней осталось.

Сообщений 8

Какие есть варианты по копированию контейнеров закрытых ключей?

• Если мы создаем единый терминал (Виртуальную машину), на которой будут коллективно работать пользователи, то можно произвести конвертирование физической тачки в виртуальную машину
• Если будет просто замена жесткого диска, то можно произвести его клонирование или перенос системы на SSD с помощью специальных утилит
• Можно воспользоваться утилитой КриптоПРО
• Воспользоваться экспортом из реестра Windows.

Когда нужно переносить сертификаты в другое место?

И так давайте рассмотрим по каким причинам у вас может появиться необходимость в копировании ваших ЭЦП в другое место.

• На текущем физическом компьютере начинает умирать жесткий диск или SSD накопитель (Как проверить жизненные показатели жесткого диска), очень частая история и жизненная, когда люди теряли все свои данные, из-за банальной жадности в покупке нового оборудования и элементарного незнания принципов резервного копирования.
• У вас производится модернизация оборудования, его улучшение и вам нужно перенести все сертификаты с закрытыми ключами на другую систему
• Вы создали отдельный сервер, в виде виртуальной машины, где будут находится все ваши сертификаты и с ними смогут работать все необходимые сотрудники, терминал для бухгалтерии. Простой пример СБИС, и когда у вас 10-20 организаций.

Перенос сертификатов из реестра без КриптоПРО

Существуют методы экспортировать закрытый ключ и без изспользования утилиты КриптоПРО. Представим себе ситуацию, что у вас на него кончилась лицензия и вы не успели ее купить. Вам нужно сдать отчетность в СБИС. Вы развернули CryptoPRO на другом компьютере, так как он позволяет 3 месяца бесплатного использования, осталось для СБИС выполнить перенос сертификатов, которые у вас в реестре Windows.

У нас два варианта:

• Использование оснастки mmc-Сертификаты пользователя.
• Использование Internet Explore

Как открыть оснастку сертификаты я уже подробно рассказывал, посмотрите. Откройте там контейнер «Личное — Сертификаты». Если у вас в контейнере не один сертификат с одинаковым именем, такое может быть, то откройте сертификат в оснастке mmc и в КриптоПРО и сравните серийные номера сертификата.

В Internet Explore, откройте «Свойства браузера — Содержание — Сертификаты»

Теперь нам необходимо его экспортировать, в оснастке «Сертификаты», через правый клик, это можно сделать, в Internet Explorer, сразу видно кнопку, экспорт.

У вас откроется мастер переноса сертификатов, на первом шаге, просто нажимаем далее. После чего вас спросят, что вы хотите экспортировать, выбираем пункт «да, экспортировать закрытый ключ вместе с сертификатом»

Если ваш закрытый ключ запрещено экспортировать, то эта кнопка будет не активна, и можете сразу закрывать данный метод и переходить к следующему.

Следующим этапом в мастере экспорта сертификатов, вам необходимо выбрать формат выгрузки, это будет PFX архив.

Далее вы задаете обязательно пароль и указываете имя и место, где будите сохранять ваш переносимый контейнер с зарытым ключом в формате pfx.

Мастер экспорта сертификатов, выведет вам сводные данные, нажимаем «Готово».

Отрываем локацию, куда вы его выгрузили, и найдите свой pfx архив.

Теперь вам нужно еще выгрузить открытый ключ в формате cer, для этого так же зайдите в мастер экспорта, но на этот раз выберите «Нет, не экспортировать закрытый ключ».

Выберите формат файла «X.509 (.CER) в кодировке DEP», задайте ему имя и место сохранения. На выходе у вас появятся два файла.

Одни открытый ключ в формате cer и закрытый ключ в формате pfx. Этого набора вам будет достаточно, чтобы перенести сертификаты СБИС, Контура и остальных программ на другой компьютер.

Теперь перенесите эти файлы на другое рабочее место и просто запустите, через простой двойной клик. У вас откроется мастер импорта сертификатов, на первом окне выберите нужное вам хранилище, я в своем примере оставлю «Текущий пользователь».

На втором шаге проверяем импортируемый сертификат.

Указываем пароль, который задавали при выгрузке.

Оставляем автоматический выбор хранилища на основе типа сертификатов.

Готово. Со вторым файлом то же самое. После чего у вас будут перенесены нужные вам ключи и сам сертификат, можно работать.

Ошибка копирования контейнера. Ошибка 0x8009000b

Ошибка копирования контейнера. У вас нет разрешений на экчспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000b: Ключ не может быт использован в указанном состоянии.

Такая вот ошибка стала вылазить, когда хотели скопировать закрытые ключи в реестр. А все дело в том, что при генерации ключа, на том же портале fzs.roskazna.ru вы не придали полю «Экспортируемый закрытый ключ» значения. И оставили его по умолчанию «Нет». Вот такие потом не удобства и возникают. С добавлением ключа в реестр.

Tokens.exe — если неэкспортируемый ключ на токене — тогда эту утилиту юзайте!При установке обязательно поставьте 3 дополнения которые он предложит. После этого откроется полный функционал для экспорта «не экспортируемых» закрытых ключей с токенов.

CertFix.exe — с флешек лечится этой утилитой. Чтобы сделать копию такого сертификата, нам нужно:Запустить утилиту, подождать, когда загрузится список сертификатов. Напротив строки «Поиск» появится информация «Загрузка завершена».

Одновременно нажать кнопку SHIFT на клавиатуре и правой кнопкой мыши кликнуть по нужному контейнеру.Появится меню «Сделать экспортируемым». Выбираем вариант в зависимости от расположения контейнера.

В принципе на этом все. Пользуемся, очень много случаев — когда по незнанию люди переделывали ЭЦП. А это время и нервы.

Копирование закрытого ключа из КриптоПро

Это самый простой способ, и будет актуальным при небольшом количестве контейнеров с закрытыми ключами. Чтобы выполнить перенос сертификатов из реестра, откройте ваш КриптоПРО, вкладка «Сервис», нажимаем кнопку «Сервис», далее через кнопку «Обзор», откройте «Выбор ключевого контейнера» и укажите, какой сертификат вы будите переносить. В моем примере это контейнер «Копия сертификата в реестре (Семин Иван)».

Нажимаем «Далее», вас попросят задать новое имя контейнера с закрытым ключом, введите понятное для себя, для удобства.

У вас откроется окно с выбором носителей, вы можете выбрать либо токен, либо флешку для переноса на другое место. У меня это внешний жесткий диск Z:.

Задаем обязательно пароль, с точки зрения безопасности, так как файлы в таком виде просто скомпрометировать.

Все, на выходе я получил папку со случайным названием и набором ключей в формате key.

Если вы пытаетесь копировать сертификат с токена, то в ряде случаев у вас может появиться ошибка: Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.

Связана такая ситуация, что в целях псевдобезопасности, удостоверяющие центры выпускают закрытые ключи без возможности экспорта, и таким образом увеличивают свою прибыль, так как в случае утери или поломки токена, вам придется его перевыпускать, а так как экспорт запрещен, то бэкапа вы сделать не сможете.

Если вы получили ошибку копирования контейнера. У вас нет разрешений на экспорт ключа, то метод с КРиптоПРО вам не поможет

Массовый перенос ключей и сертификатов CryptoPro на другой компьютер

Выше описанные методы хороши, когда у вас один или 5 ключиков в реестре, а как быть если их десятки. Помню лет 5 назад, когда я еще был младшим администратором, то я очень часто устанавливал электронные цифровые подписи главбуху, так как она работала в СБИС++ и сдавала там постоянно отчетность по огромному количеству организаций, по типу рога и копыта. Держать кучу токенов было не вариант, и для таких вещей у нее все хранилось в реестре и копия сертификатов была на флешке в сейфе. Флешку потом потеряли, встал вопрос сделать резервную копию всего и плюс обновить систему, в виду нового компьютера, на операционной системе Windows 8.1. ЭЦП было штук 50, а так как я ценю свое время, то и искал методы, выполнить это быстрее, к счастью я его нашел.

Заключался метод переноса сертификатов из реестра, в выгрузке веток и подмене SID значения, но обо всем по порядку. О том, как посмотреть SID пользователя и что это такое я рассказывал.

Открываете командную строку cmd и вводите команду:

Вот это S-1-5-21-551888299-3078463796-888888888-46162 и есть SID, вашей учетной записи. Теперь когда вы его знаете, то вам нужно выгрузить ваши закрытые ключи из реестра Windows. Для этого откройте вот такую ветку:

В контейнере Keys, вы найдете все ваши закрытые ключи от ЭЦП. С правой стороны вы увидите файлы: * header.key * masks.key * masks2.key * name.key * primary.key * primary2.key

Щелкаем правым кликом по контейнеру Keys и экспортируем его.

Сохраняем нашу ветку реестра с контейнерами закрытых ключей. Далее нам нужно скопировать открытые ключи, которые лежат по пути:

Не забывайте только подставить своего пользователя, эта папка может быть скрытой, поэтому включите скрытые папки и файлы в вашей ОС. Все содержимое этой папки вам нужно перенести на другой компьютер, только уже в папку другого, нужного пользователя.

Как только вы поместили на новом компьютере папку Key, вы можете перенести реестровую выгрузку. Сохраненный файл в формате reg, вы должны открыть в любом текстовом редакторе.

Как я показывал выше, определите SID нового пользователя, скопируйте его полностью и замените им значение в файле reg, я отметил это стрелками.

SID начинается с S-1 и так далее

Все сохраняйте файл и запускайте его, у вас будет начат перенос сертификатов (закрытых ключей), подтверждаем действие.

Как видите импорт успешно завершен. Все теперь ваши закрытые и открытые ключи на месте и вы можете работать с вашими ЭЦП, и можно считать, что перенос сертификатов с одного компьютера на другой в массовом масштабе, осуществлен успешно. Если остались вопросы, то жду их в комментариях.