Континент-АП

У меня на Win 1709 встал только АП 3.7.7.625
641 версия ругалась на цифровые подписи и не ставила 3 драйвера, после чего при перезагрузке пропадала мышь и сеть. Дальше копать ее не стала.

Tanika пишет: У меня на Win 1709 встал только АП 3.7.7.625

Позвольте полюбопытствовать: откуда такую версию брали? На известном здесь уже ресурсе сообщалось о 605-м патче, Вы не опечатались случайно? Если нет - ссылкой не поделитесь?
UPD: похоже нашел источник (ещё один) - отсюда? narsana.top/kazna/47-kontinent-ap-36-skachat.html

Alex_04 пишет:

Tanika пишет: У меня на Win 1709 встал только АП 3.7.7.625

Позвольте полюбопытствовать: откуда такую версию брали? На известном здесь уже ресурсе сообщалось о 605-м патче, Вы не опечатались случайно? Если нет - ссылкой не поделитесь?
UPD: похоже нашел источник (ещё один) - отсюда? narsana.top/kazna/47-kontinent-ap-36-skachat.html

да, брала именно здесь

625-й билд более не актуален, брать самый свежий можно тут - files.apksh.net/latestap
На других ресурсах он появляется все равно позже

А ваша проблема решается просто - отключение Secure Boot в BIOS.

ranger пишет:

sseemm пишет: В версии 3.5.50.0 Континента-АП была возможность установить сертификат пользователя из реестра. Установил Континент-АП 3.7.2.1229 по причине необходимости использования новой версии КриптоПро CSP 4.0.98.42. При установке сертификата из реестра Континент-АП не видит ключевой контейнер сертификата пользователя. Что я не так делаю, подскажите, как я могу установить в новую версию Континента АП сертификат пользователя из реестра?

Сертификат в данном случае не причем.
А вот закрытый ключ - причем. С определенной версии континента (>=3.7) нельзя использовать реестр, только съемные устройства: флешки, токены и т.д. Требование ФСБ.

Возражаю. У меня в конфигурации Win10(версия 1709) , Крипто Про 4.0.9932, Континент АП 3.7.7.625 закрытый ключ находится в реестре. И подключение работает! Правда сейчас не могу восстановить последвательность действий, которая привела к этому результату. На других компах с такой же конфигурацией не удалось повторить. Наверное можно попробовать через реестр, никто не подскажет какую ветку реестра нужно скопировать ??

Tanika пишет: У меня на Win 1709 встал только АП 3.7.7.625.
641 версия ругалась на цифровые подписи и не ставила 3 драйвера, после чего при перезагрузке пропадала мышь и сеть.

Никто не пишет: ваша проблема решается просто - отключение Secure Boot в BIOS.

А можете объяснить: почему для КАП-3.7.7.641 стали вдруг важны параметры BIOS?
Имхо, это не есть хорошо для любого ПО, если оно требует лезть еще и в BIOS, о чем так сразу и не догадаешься... М.б. разработчикам КАП стОит обратить внимание на данное "излишество" и исправить в следующем билде?

Ситуация: имеется 4 машины с Континент АП (две из них абсолютно идентичные и по железу и по ПО)на всех win7(на одной машине 32 разряда, на остальных 64), cryptoPro 3.6.7777, КАП 3.5.68.0. Утром в один прекрасный день вылезло предупреждение что осталось 30 дней действия сертификата, напомнить через 14 дней, и на этом комп подвис насмерть. После перезагрузки всё работает кроме континента. При любом обращении к нему комп висит. После звонка в УФК был сделан запрос получен новый сертификат. Установить новый сертификат не дает. Было принято решение о переустановке КАП. На двух машинах удалилось/установилось нормально (одна 32, другая 64 разрядная (одна из абсолютно идентичных машин)), а на двух удалилось раза с 3го, а установить вообще не давало и перекрывало сеть после неудачной установки. При этом после переустановки CryptoPro сеть восстанавливалась, но КАП заставить работать так и не удавалось и о. После прочтения решений на этом форуме перепробовала много чего, но ничего не выходило и проверка контрольных сумм даже после восстановления винды не проходила. После двух дней мучений напоследок перед сносом винды решила попробовать дурацкий способ (не кидайте тапками): с 64 разрядной машины на которой всё работает скопировала все файлы каталога C:\Program Files (x86)\Код Безопасности\Абонентский Пункт и вуаля.. проверка проходит, сертификат установился и всё работает как и былО.
Решила написать т.к. вдруг кому-то пригодится

если - сеть, и есть лишний комп (можно специально какой нибудь выделить старенький) то на него поставить континент и раздавать доступ(к подключению континент АП) с него в сеть а на остальных удалить континент и спокойно работать инструкция настройки

Windows7/x86, Континент-3.6.19.47080, КриптоПро-4.0.9708. Корневой и пользовательский сертификаты установлены верно, в КриптоПро - Настройки считывателей - только "Биологический ДСЧ".
При подключении следующие ошибки:
1. Не найдены цепочки сертификатов в хранилище "_", присланном сервером 0x80092004 (Объект или свойство не найдено).
2. Сервер отказал в доступе пользователю. Причина отказа: Client-Cert not found.
До этого ИТ-специалистом сторонней организации были какие-то действия с КриптоПро, скорей всего ее переустановка, т.к. версия ниже той, что выдавалась казначейством.
Как обойти проблему? Только переустановка Континента?

UPD
Обновил КриптоПро до в.4.0.9842, в установленных программах выполнили "Исправить" Континент-АП - не помогло. Снес его и установил К-АП_3.6.79.0 - опять мимо, первое сообщение об ошибке сменилось на "Ошибка подписи ключа 0x80090010 (Отказано в доступе)". В системном реестре ОС для веток HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro и HKEY_LOCAL_MACHINE\SOFTWARE\Security Code дал полный доступ пользователю - толк=0.
Из ОРСиБИ посоветовали при таком коде ошибки в КриптоПро - Сервис - Протестировать - ключевой контейнер К-АП, что и сделал. Результат:

Проверка завершилась с ошибкой
...
подпись Ошибка 0x80090010 (-2146893808) Отказано в доступе.
имя сертификата Фамилия Имя Отчество
действителен с 4 октября 2016 г. 0:00:00
действителен по 26 октября 2021 г. 22:59:59
Срок действия закрытого ключа 3 января 2018 г. 6:00:00
Использование ключа обмена запрещено. Срок действия закрытого ключа истек.

С чем связана кончина закрытого ключа в контейнера - науке не известно. По крайней мере тому спецу из нашего ОРСиБИ. Такие вот причуды с криптопрошным блин ПО случаются...

Alex_04 пишет: Обновил КриптоПро до в.4.0.9842, в установленных программах выполнили "Исправить" Континент-АП - не помогло.
Из ОРСиБИ посоветовали при таком коде ошибки в КриптоПро - Сервис - Протестировать - ключевой контейнер К-АП, что и сделал. Результат:

Проверка завершилась с ошибкой
...
подпись Ошибка 0x80090010 (-2146893808) Отказано в доступе.
имя сертификата Фамилия Имя Отчество
действителен с 4 октября 2016 г. 0:00:00
действителен по 26 октября 2021 г. 22:59:59
Срок действия закрытого ключа 3 января 2018 г. 6:00:00
Использование ключа обмена запрещено. Срок действия закрытого ключа истек.

С чем связана кончина закрытого ключа в контейнера - науке не известно. По крайней мере тому спецу из нашего ОРСиБИ. Такие вот причуды с криптопрошным блин ПО случаются...

У некоторых клиентов возникали такие проблемы после обновления КриптоПро до v. 4.0. Спасала только генерация нового ключа для Континент АП. Причем, похоже, именно на том же рабочем месте (100% не скажу, так далеко эксперименты не заходили).

Gvinpin пишет: У некоторых клиентов возникали такие проблемы после обновления КриптоПро до v.4.0. Спасала только генерация нового ключа для Континент АП.

Непонятно после чего так получается, но манипуляции с криптой каким-то образом виновны, имхо.
Присмотревшись к файлам в контейнере увидел, что сертификат К-АП кто-то записал внутрь КК при его установке (видно по размеру файла header.key), не спасло и это. Благо был своевременно сварганен архив с новорожденным ключевым контейнером сразу после его генерации, удалил старый КК и развернул его из архива на той же флешке: тест КК в крипте - Ок, установка серта с привязкой к КК (без записи внутрь) - Ок, установка соединения К-АП - ОК. Вот такая трагикомедия.

Alex_04 пишет: Присмотревшись к файлам в контейнере увидел, что сертификат К-АП кто-то записал внутрь КК при его установке (видно по размеру файла header.key), не спасло и это.

Да, кстати, практика показывает, что это не спасает, а совсем наоборот.
(Может, в старых версиях КриптоПро прокатывало, а в 4.0 нет? Да кто ж теперь знает?)

Если сертификат континента ап был сформирован в казначействе на несколько лет и вы установите его в контейнер, то получите ошибку при подключении ("Ошибка подписи ключа 0x80090010 (Отказано в доступе)") при установленном КриптоПро 4. Видимо КриптоПро 4 считает, что если с момента издания сертификата прошло 1 год и 3 месяца, то закрытый ключ считается просроченным. Но если сертификата в контейнере нет, то все работает. Если нект бэкапа закрытого ключа, в криптопро при просмотре сертификата в контейнере нажать свойства-состав-копировать в файл, в мастере выбрать "да, экспортировать закрытый ключ", поставить галочку экспорт расширенных свойств, задать пароль, имя, получится файл с расширением pfx. Затем установить полученный pfx файл, создается новый контейнер (запомните его имя). После этого устанавливайте сертификат континента с привязкой к этому новому контейнеру, все будет работать.

Renatka пишет: Если сертификат континента ап был сформирован в казначействе на несколько лет и вы установите его в контейнер, то получите ошибку при подключении ("Ошибка подписи ключа 0x80090010 (Отказано в доступе)") при установленном КриптоПро 4. Видимо КриптоПро 4 считает, что если с момента издания сертификата прошло 1 год и 3 месяца, то закрытый ключ считается просроченным.

Вы абсолютно правы! Я не заметил этого, а действительно: тест КК показал дату истечения закрытого ключа ровно день-в день 1 год 3 месяца. Спасибо, что ткнули носом, чтоб глаза раскрылись.

Если нет бэкапа закрытого ключа, в криптопро при просмотре сертификата в контейнере нажать свойства-состав-копировать в файл, в мастере выбрать "да, экспортировать закрытый ключ", поставить галочку экспорт расширенных свойств, задать пароль, имя, получится файл с расширением pfx. Затем установить полученный pfx файл, создается новый контейнер (запомните его имя). После этого устанавливайте сертификат континента с привязкой к этому новому контейнеру, все будет работать.

Отдельное СПАСИБО за подробное объяснение оживления казалось-бы потерянных ключей К-АП!

Т.е. эти ошибки с ключами от Континент-АП из-за того, что сертификаты устанавливают через КриптоПро и сертификат записывают в контейнер закрытого ключа?