Проблемы с Континент АП

18 март 2021 11:11 #18285 от SKBTRM
SKBTRM создал тему: Проблемы с Континент АП
Всех приветствую!
Столкнулись с проблемой в работе Континент АП.

Ситуация следующая - на два компьютера был установлен идентично комплект ПО для работы в СУФД со всеми сертификатами и т.д. Установка производилась сотрудником УФК до меня (логично предположить, что всё было установлено правильно). Всё это работало год, пока не потребовалось менять сертификаты. К моменту моего трудоустройства все сертификаты были уже недействительны по причине истечения срока действия и утере ключевого носителя от новых(!?!). Естественно, были проблемы в определении банального - на каком этапе формирование сертификатов. Собственно, этот вопрос был решен и в итоге (P.S.) СУФД заработал, но на другом ПК (Третий ПК), где до этого не было никаких ЭП и сопутствующих ПО.

Проблема первого ПК -
1. не формировался запрос в Континент АП на сертификат - Ошибка создания запроса 0x80070002. Не удается найти указанный файл (ошибка возникала после выбора носителя криптоконтейнера и формирования отпечатка системы).
2. не устанавливались сертификаты через Континент АП: root.p7b (Ошибка-Данный сертификат не является сертификатом корневого центра авторизации), user.cer (Не видит контейнер на рутокене). При этом старый (прошлогодний) сертификат кор.центра устанавливается.

Что пробовал-
Удалял КриптоПро и Континент АП. Устанавливал Континент АП без КриптоПро (автозагрузки и службы очищал от КриптоПро). Настройки на Третьем и Первом ПК идентичны (если не брать в расчет отсутствие сертификатов в Континент АП). Реестр смотрел, но нет либо параметров либо веток. Пробовал другую версию КриптоПро (4.0.9944.0 с другой лицензией). К работе КриптоПро вопросов нет - другие ЭП работают нормально. Вручную устанавливал сертификаты Континент АП(user, root). Стандартный брандмауэр отключался. Драйвер рутокена удалялся/устанавливался. Пробовал устанавливать сертификаты из корня системного и локального диска.

Токен для работы с УФК/СУФД отдельный. Переустановка Win не мой случай (для Первого ПК крайний вариант, для Второго точно нет). Сертификаты для Континент АП по SD_GOST_2012. Все действия выполнялись от имени администратора.

Второй ПК думаю нет смысла пока описывать.

Первый ПК: Континент АП 3.7.7.651
Брандмауэр Континента не установлен
КриптоПро 4.0.9963
Windows 10 Pro Версия 10.0.19042 Сборка 19042
Антивирус - встроенный
Аппаратные характеристики соответствуют

Прошу помочь.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

18 март 2021 12:40 - 18 март 2021 13:13 #18287 от Alex_04
Alex_04 ответил в теме Проблемы с Континент АП
Здравствуйте.

SKBTRM пишет: Установка производилась сотрудником УФК до меня (логично предположить, что всё было установлено правильно). Всё это работало год, пока не потребовалось менять сертификаты.

Я логично предполагаю, что речь и в этой части описания о сертификатах именно К-АП, а не для СУФД?

были проблемы в определении банального - на каком этапе формирование сертификатов. Собственно, этот вопрос был решен и в итоге (P.S.).

Здесь тоже речь о сертификатах (или одном сертификате?) для К-АП? Решен был какой вопрос: генерации запроса на серт К-АП или...?

СУФД заработал, но на другом ПК (Третий ПК), где до этого не было никаких ЭП и сопутствующих ПО.

Точнее сказать -- на третьем ПК заработали 2 "вещи": и подключение К-АП под новым континентовским сертом, сделанным по ГОСТ-2012, и собственно сертификаты ЭП (не континентовские) в самом СУФД, правильно понимаю?

1. не формировался запрос в Континент АП на сертификат - Ошибка создания запроса 0x80070002. Не удается найти указанный файл (ошибка возникала после выбора носителя криптоконтейнера и формирования отпечатка системы).

1. К-АП устанавливался от им. админа с провайдером "КБ"? Это обязательное требование + желательно без его брандмауэра ("сетевой экран" раньше звался).
2. Что выбирали в качестве носителя? Рутокен? Лучше обычную флешку под К-АП использовать -- меньше заморочек будет.
А конкретно по коду ошибки вот что есть в "Базе знаний" производителя: 10898 - Ошибка создания запроса 0x80070002 : проверьте обязательно на обоих проблемных ПК до установки К-АП версии 3.7 отключена ли в настройках BIOS опция Secure Boot! (если есть такова конечно)

2. не устанавливались сертификаты через Континент АП: root.p7b (Ошибка-Данный сертификат не является сертификатом корневого центра авторизации), user.cer (Не видит контейнер на рутокене). При этом старый (прошлогодний) сертификат кор.центра устанавливается.

Повторюсь: чтобы К-АП "видел", используйте флешку под ключевой носитель вместо токена, и счастье будет! :)
Копировать ключевой контейнер К-АП с токена на флешку надо через провайдер "Код Безопасности CSP" (в меню программ "Код Безопасности"), не через "КриптоПро" (она не увидит КК К-АП).
Пользовательский и корневой серты К-АП скопируйте на ту же флешку из того места, где вы их сохранили на ПК.
ДО установки сертов ПКМ по К-АП в трее -- "Выбор криптопровайдера по умолчанию" - ткнуть (чтоб встала галка) в "Код Безопасности CSP". Если ПК для работы в СУФД, то 100% д.б. установлен и провайдер "КриптоПро", который будет виден рядом в том же пункте меню.
Установите пользовательский серт К-АП (user.cer) ч/з меню К-АП (ПКМ по нему в трее) - "Сертификаты - Установить сертификат пользователя". Последует запрос установки корневого серта -- выберите не "автоматически", а "вручную" и с этой же флешки укажите файл root.p7b -- должны оба встать как положено.

Что пробовал-...

Для начала самое лучшее, что могу посоветовать -- очень внимательно почитайте статью Про установку Континент АП версии 3.7 -- ссылка красным видна в верхнем левом углу экрана практически на любой странице форума.


"Мы будем жить плохо, но недолго!" (© В.Черномырдин)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

18 март 2021 12:44 #18288 от Gvinpin
Gvinpin ответил в теме Проблемы с Континент АП

SKBTRM пишет: не формировался запрос в Континент АП на сертификат - Ошибка создания запроса 0x80070002. Не удается найти указанный файл.

Ответ от Кода безопасности.

SKBTRM пишет: не устанавливались сертификаты через Континент АП: root.p7b (Ошибка-Данный сертификат не является сертификатом корневого центра авторизации), user.cer (Не видит контейнер на рутокене).

А как вы устанавливаете root.p7b (да еще через Континент АП), если у вас не устанавливается user.cer?
Вы сами видите контейнер на Рутокене через ПУ -- Код безопасности CSP-- ключевые контейнеры?

______________________________
Как получилось, так и хотели (c)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

18 март 2021 13:45 - 18 март 2021 13:50 #18289 от SKBTRM
SKBTRM ответил в теме Проблемы с Континент АП

Я логично предполагаю, что речь и в этой части описания о сертификатах именно К-АП, а не для СУФД?

Ооо нет, о всех сертификатах.

Здесь тоже речь о сертификатах (или одном сертификате?) для К-АП? Решен был какой вопрос: генерации запроса на серт К-АП или...?

Я получил недостоверную информацию о том на чём остановились в получении сертификатов, оказалось что всё надо делать с самого начала, разве что не пришлось заключать договор с УФК для работы в СУФД.

Точнее сказать -- на третьем ПК заработали 2 "вещи": и подключение К-АП под новым континентовским сертом, сделанным по ГОСТ-2012, и собственно сертификаты ЭП (не континентовские) в самом СУФД, правильно понимаю?

Да

1. К-АП устанавливался от им. админа с провайдером "КБ"? Это обязательное требование + желательно без его брандмауэра ("сетевой экран" раньше звался).

Всё так

2. Что выбирали в качестве носителя? Рутокен? Лучше обычную флешку под К-АП использовать -- меньше заморочек будет.
А конкретно по коду ошибки вот что есть в "Базе знаний" производителя: 10898 - Ошибка создания запроса 0x80070002 : проверьте обязательно на обоих проблемных ПК до установки К-АП версии 3.7 отключена ли в настройках BIOS опция Secure Boot! (если есть такова конечно)

БИОС не смотрел (проверю), но из под винды информацию о без.загрузке - "Не поддерживается".

Повторюсь: чтобы К-АП "видел", используйте флешку под ключевой носитель вместо токена, и счастье будет! :)
Копировать ключевой контейнер К-АП с токена на флешку надо через провайдер "Код Безопасности CSP" (в меню программ "Код Безопасности"), не через "КриптоПро" (она не увидит КК К-АП).
Пользовательский и корневой серты К-АП скопируйте на ту же флешку из того места, где вы их сохранили на ПК.
ДО установки сертов ПКМ по К-АП в трее -- "Выбор криптопровайдера по умолчанию" - ткнуть (чтоб встала галка) в "Код Безопасности CSP". Если ПК для работы в СУФД, то 100% д.б. установлен и провайдер "КриптоПро", который будет виден рядом в том же пункте меню.
Установите пользовательский серт К-АП (user.cer) ч/з меню К-АП (ПКМ по нему в трее) - "Сертификаты - Установить сертификат пользователя". Последует запрос установки корневого серта -- выберите не "автоматически", а "вручную" и с этой же флешки укажите файл root.p7b -- должны оба встать как положено.

Такое чувство, что слетел CSP. Он как бы есть в каталогах файлов, но запустить его я не могу на Первом ПК (ярлыка тоже нет).

Для начала самое лучшее, что могу посоветовать -- очень внимательно почитайте статью Про установку Континент АП версии 3.7 -- ссылка красным видна в верхнем левом углу экрана практически на любой странице форума.

Прочтём, спасибо.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 март 2021 06:07 - 19 март 2021 06:09 #18301 от Alex_04
Alex_04 ответил в теме Проблемы с Континент АП

SKBTRM пишет:

БИОС не смотрел (проверю), но из под винды информацию о без.загрузке - "Не поддерживается".

Нет, не то, смотреть надо ОБЯЗАТЕЛЬНО в BIOSe!

Такое чувство, что слетел CSP.

"Кода Безопасности"? Если на него грешите, то

Он как бы есть в каталогах файлов, но запустить его я не могу на Первом ПК (ярлыка тоже нет).

- я выше указал где его ярлык: Пуск -> Все программы -> Код Безопасности -> Континент АП 3.7 -> Код Безопасности CSP
- "Gvinpin" тоже указал еще одно место его расположения: Пуск -> Панель управления -> Код Безопасности CSP 3.7


"Мы будем жить плохо, но недолго!" (© В.Черномырдин)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 март 2021 12:41 #18311 от SKBTRM
SKBTRM ответил в теме Проблемы с Континент АП

Alex_04 пишет: Нет, не то, смотреть надо ОБЯЗАТЕЛЬНО в BIOSe!

Проверил, отключил.

"Кода Безопасности"? Если на него грешите, то
- я выше указал где его ярлык: Пуск -> Все программы -> Код Безопасности -> Континент АП 3.7 -> Код Безопасности CSP
- "Gvinpin" тоже указал еще одно место его расположения: Пуск -> Панель управления -> Код Безопасности CSP 3.7

В Пуск его не было, хотя точно помню, что он был после установки (заходил проверял наличие контейнера)

Собственно, с Первым ПК разобрался.
Что сделано-
(Помимо вышеописанных действий)
По инструкции в шапке сайта удалены все криптопровайдеры и смежное ПО, но пункт с удалением программ средствами Windows был дополнен использованием чистильщика IObit Uninstaller.
После установки Континент АП + CSP (опять же по инструкции из шапки-CMD) через CSP очищен переполненный рутокен (мусорные контейнеры от "неудач" формирования запроса на сертификат К-АП).
Далее настройка номера PPP-соединения и СД в Континент-АП -> установка через Континент АП сертификатов user и кор.центра(root) -> установка КриптоПро плагина (и в браузер) -> добавление адресов в доверенные.

Всё заработало на Первом ПК, далее очередь Второго (там, возможно, всё не так однозначно).

Благодарю за помощь!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.