Континент-АП

31 янв 2018 13:06 #6650 от Tanika
У меня на Win 1709 встал только АП 3.7.7.625
641 версия ругалась на цифровые подписи и не ставила 3 драйвера, после чего при перезагрузке пропадала мышь и сеть. Дальше копать ее не стала.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

31 янв 2018 13:54 - 31 янв 2018 14:08 #6651 от Alex_04

Tanika пишет: У меня на Win 1709 встал только АП 3.7.7.625

Позвольте полюбопытствовать: откуда такую версию брали? На известном здесь уже ресурсе сообщалось о 605-м патче, Вы не опечатались случайно? Если нет - ссылкой не поделитесь? :)
UPD: похоже нашел источник (ещё один) - отсюда? narsana.top/kazna/47-kontinent-ap-36-skachat.html

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

31 янв 2018 22:52 #6652 от Tanika

Alex_04 пишет:

Tanika пишет: У меня на Win 1709 встал только АП 3.7.7.625

Позвольте полюбопытствовать: откуда такую версию брали? На известном здесь уже ресурсе сообщалось о 605-м патче, Вы не опечатались случайно? Если нет - ссылкой не поделитесь? :)
UPD: похоже нашел источник (ещё один) - отсюда? narsana.top/kazna/47-kontinent-ap-36-skachat.html

да, брала именно здесь

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

01 фев 2018 19:51 #6663 от Никто не
625-й билд более не актуален, брать самый свежий можно тут - files.apksh.net/latestap
На других ресурсах он появляется все равно позже ;)

А ваша проблема решается просто - отключение Secure Boot в BIOS.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 фев 2018 02:45 #6711 от tda

ranger пишет:

sseemm пишет: В версии 3.5.50.0 Континента-АП была возможность установить сертификат пользователя из реестра. Установил Континент-АП 3.7.2.1229 по причине необходимости использования новой версии КриптоПро CSP 4.0.98.42. При установке сертификата из реестра Континент-АП не видит ключевой контейнер сертификата пользователя. Что я не так делаю, подскажите, как я могу установить в новую версию Континента АП сертификат пользователя из реестра?

Сертификат в данном случае не причем.
А вот закрытый ключ - причем. С определенной версии континента (>=3.7) нельзя использовать реестр, только съемные устройства: флешки, токены и т.д. Требование ФСБ.


Возражаю. У меня в конфигурации Win10(версия 1709) , Крипто Про 4.0.9932, Континент АП 3.7.7.625 закрытый ключ находится в реестре. И подключение работает! Правда сейчас не могу восстановить последвательность действий, которая привела к этому результату. На других компах с такой же конфигурацией не удалось повторить. Наверное можно попробовать через реестр, никто не подскажет какую ветку реестра нужно скопировать ??

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 фев 2018 05:13 - 09 фев 2018 05:15 #6714 от Alex_04

Tanika пишет: У меня на Win 1709 встал только АП 3.7.7.625.
641 версия ругалась на цифровые подписи и не ставила 3 драйвера, после чего при перезагрузке пропадала мышь и сеть.

Никто не пишет: ваша проблема решается просто - отключение Secure Boot в BIOS.

А можете объяснить: почему для КАП-3.7.7.641 стали вдруг важны параметры BIOS?
Имхо, это не есть хорошо для любого ПО, если оно требует лезть еще и в BIOS, о чем так сразу и не догадаешься... М.б. разработчикам КАП стОит обратить внимание на данное "излишество" и исправить в следующем билде?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 фев 2018 08:11 #6716 от Pola
Ситуация: имеется 4 машины с Континент АП (две из них абсолютно идентичные и по железу и по ПО)на всех win7(на одной машине 32 разряда, на остальных 64), cryptoPro 3.6.7777, КАП 3.5.68.0. Утром в один прекрасный день вылезло предупреждение что осталось 30 дней действия сертификата, напомнить через 14 дней, и на этом комп подвис насмерть. После перезагрузки всё работает кроме континента. При любом обращении к нему комп висит. После звонка в УФК был сделан запрос получен новый сертификат. Установить новый сертификат не дает. Было принято решение о переустановке КАП. На двух машинах удалилось/установилось нормально (одна 32, другая 64 разрядная (одна из абсолютно идентичных машин)), а на двух удалилось раза с 3го, а установить вообще не давало и перекрывало сеть после неудачной установки. При этом после переустановки CryptoPro сеть восстанавливалась, но КАП заставить работать так и не удавалось и о. После прочтения решений на этом форуме перепробовала много чего, но ничего не выходило и проверка контрольных сумм даже после восстановления винды не проходила. После двух дней мучений напоследок перед сносом винды решила попробовать дурацкий способ (не кидайте тапками): с 64 разрядной машины на которой всё работает скопировала все файлы каталога C:\Program Files (x86)\Код Безопасности\Абонентский Пункт и вуаля.. проверка проходит, сертификат установился и всё работает как и былО.
Решила написать т.к. вдруг кому-то пригодится

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 фев 2018 12:08 #6722 от Alexer81
если - сеть, и есть лишний комп (можно специально какой нибудь выделить старенький) то на него поставить континент и раздавать доступ(к подключению континент АП) с него в сеть а на остальных удалить континент и спокойно работать инструкция настройки
Спасибо сказали: pkm83, Pola

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

22 фев 2018 09:39 - 26 фев 2018 06:07 #6812 от Alex_04
Windows7/x86, Континент-3.6.19.47080, КриптоПро-4.0.9708. Корневой и пользовательский сертификаты установлены верно, в КриптоПро - Настройки считывателей - только "Биологический ДСЧ".
При подключении следующие ошибки:
1. Не найдены цепочки сертификатов в хранилище "_", присланном сервером 0x80092004 (Объект или свойство не найдено).
2. Сервер отказал в доступе пользователю. Причина отказа: Client-Cert not found.
До этого ИТ-специалистом сторонней организации были какие-то действия с КриптоПро, скорей всего ее переустановка, т.к. версия ниже той, что выдавалась казначейством.
Как обойти проблему? Только переустановка Континента?

UPD
Обновил КриптоПро до в.4.0.9842, в установленных программах выполнили "Исправить" Континент-АП - не помогло. Снес его и установил К-АП_3.6.79.0 - опять мимо, первое сообщение об ошибке сменилось на "Ошибка подписи ключа 0x80090010 (Отказано в доступе)". В системном реестре ОС для веток HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro и HKEY_LOCAL_MACHINE\SOFTWARE\Security Code дал полный доступ пользователю - толк=0.
Из ОРСиБИ посоветовали при таком коде ошибки в КриптоПро - Сервис - Протестировать - ключевой контейнер К-АП, что и сделал. Результат:

Проверка завершилась с ошибкой
...
подпись Ошибка 0x80090010 (-2146893808) Отказано в доступе.
имя сертификата Фамилия Имя Отчество
действителен с 4 октября 2016 г. 0:00:00
действителен по 26 октября 2021 г. 22:59:59
Срок действия закрытого ключа 3 января 2018 г. 6:00:00
Использование ключа обмена запрещено. Срок действия закрытого ключа истек.

С чем связана кончина закрытого ключа в контейнера - науке не известно. :( По крайней мере тому спецу из нашего ОРСиБИ. Такие вот причуды с криптопрошным блин ПО случаются...
Спасибо сказали: Wmffre

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

26 фев 2018 06:56 - 26 фев 2018 06:57 #6815 от Gvinpin

Alex_04 пишет: Обновил КриптоПро до в.4.0.9842, в установленных программах выполнили "Исправить" Континент-АП - не помогло.
Из ОРСиБИ посоветовали при таком коде ошибки в КриптоПро - Сервис - Протестировать - ключевой контейнер К-АП, что и сделал. Результат:

Проверка завершилась с ошибкой
...
подпись Ошибка 0x80090010 (-2146893808) Отказано в доступе.
имя сертификата Фамилия Имя Отчество
действителен с 4 октября 2016 г. 0:00:00
действителен по 26 октября 2021 г. 22:59:59
Срок действия закрытого ключа 3 января 2018 г. 6:00:00
Использование ключа обмена запрещено. Срок действия закрытого ключа истек.

С чем связана кончина закрытого ключа в контейнера - науке не известно. :( По крайней мере тому спецу из нашего ОРСиБИ. Такие вот причуды с криптопрошным блин ПО случаются...

У некоторых клиентов возникали такие проблемы после обновления КриптоПро до v. 4.0. Спасала только генерация нового ключа для Континент АП. Причем, похоже, именно на том же рабочем месте (100% не скажу, так далеко эксперименты не заходили).

______________________________

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 фев 2018 15:13 - 27 фев 2018 15:16 #6838 от Alex_04

Gvinpin пишет: У некоторых клиентов возникали такие проблемы после обновления КриптоПро до v.4.0. Спасала только генерация нового ключа для Континент АП.

Непонятно после чего так получается, но манипуляции с криптой каким-то образом виновны, имхо.
Присмотревшись к файлам в контейнере увидел, что сертификат К-АП кто-то записал внутрь КК при его установке (видно по размеру файла header.key), не спасло и это. Благо был своевременно сварганен архив с новорожденным ключевым контейнером сразу после его генерации, удалил старый КК и развернул его из архива на той же флешке: тест КК в крипте - Ок, установка серта с привязкой к КК (без записи внутрь) - Ок, установка соединения К-АП - ОК. Вот такая трагикомедия.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 фев 2018 15:32 - 27 фев 2018 15:37 #6839 от Gvinpin

Alex_04 пишет: Присмотревшись к файлам в контейнере увидел, что сертификат К-АП кто-то записал внутрь КК при его установке (видно по размеру файла header.key), не спасло и это.

Да, кстати, практика показывает, что это не спасает, а совсем наоборот.
(Может, в старых версиях КриптоПро прокатывало, а в 4.0 нет? Да кто ж теперь знает?)

______________________________

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 фев 2018 15:39 #6843 от Renatka
Если сертификат континента ап был сформирован в казначействе на несколько лет и вы установите его в контейнер, то получите ошибку при подключении ("Ошибка подписи ключа 0x80090010 (Отказано в доступе)") при установленном КриптоПро 4. Видимо КриптоПро 4 считает, что если с момента издания сертификата прошло 1 год и 3 месяца, то закрытый ключ считается просроченным. Но если сертификата в контейнере нет, то все работает. Если нект бэкапа закрытого ключа, в криптопро при просмотре сертификата в контейнере нажать свойства-состав-копировать в файл, в мастере выбрать "да, экспортировать закрытый ключ", поставить галочку экспорт расширенных свойств, задать пароль, имя, получится файл с расширением pfx. Затем установить полученный pfx файл, создается новый контейнер (запомните его имя). После этого устанавливайте сертификат континента с привязкой к этому новому контейнеру, все будет работать.
Спасибо сказали: sedkazna, Alex_04, Gvinpin, gusenok, Wmffre, Beck, pkm83, Pola, Dudikoff

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 фев 2018 16:31 - 27 фев 2018 16:32 #6848 от Alex_04

Renatka пишет: Если сертификат континента ап был сформирован в казначействе на несколько лет и вы установите его в контейнер, то получите ошибку при подключении ("Ошибка подписи ключа 0x80090010 (Отказано в доступе)") при установленном КриптоПро 4. Видимо КриптоПро 4 считает, что если с момента издания сертификата прошло 1 год и 3 месяца, то закрытый ключ считается просроченным.

Вы абсолютно правы! Я не заметил этого, а действительно: тест КК показал дату истечения закрытого ключа ровно день-в день 1 год 3 месяца. Спасибо, что ткнули носом, чтоб глаза раскрылись. :)

Если нет бэкапа закрытого ключа, в криптопро при просмотре сертификата в контейнере нажать свойства-состав-копировать в файл, в мастере выбрать "да, экспортировать закрытый ключ", поставить галочку экспорт расширенных свойств, задать пароль, имя, получится файл с расширением pfx. Затем установить полученный pfx файл, создается новый контейнер (запомните его имя). После этого устанавливайте сертификат континента с привязкой к этому новому контейнеру, все будет работать.

Отдельное СПАСИБО за подробное объяснение оживления казалось-бы потерянных ключей К-АП!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

28 фев 2018 06:25 #6853 от shaburoff
Т.е. эти ошибки с ключами от Континент-АП из-за того, что сертификаты устанавливают через КриптоПро и сертификат записывают в контейнер закрытого ключа?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.