Континент-АП

bubenchikov пишет: помогите решить вопрос.
1. На машине установлен Континент АП 3.6.79. На нем был сформирован сертификат пользователя. Контейнер закрытого ключа сохранен в реестре.

2. При попытке установить соединение... получаю ошибку:
сервер отказал в доступе пользователю unknown cert signature algoritm.

bubenchikov пишет: На машине установлен Континент АП 3.6.79. На нем был сформирован сертификат пользователя. Контейнер закрытого ключа сохранен в реестре. Крипто про 3.6 не видит этот контейнер.

1. КриптоПро CSP неисправен или не настроен (считыватель "Реестр" должен быть добавлен в КриптоПро CSP)
2. Неисправен или создан с ошибкой сам контейнер закрытого ключа
3. Контейнер закрытого ключа создан НЕ с помощью криптопровайдера КриптоПро CSP. Посмотреть через SecurityCode CSP можно: ПУСК --> Программы --> Код безопасности --> Континент-АП 3.6 --> Код безопасности CSP --> вкладка "Ключевые контейнеры"

2. При попытке установить соединение... получаю ошибку:
сервер отказал в доступе пользователю unknown cert signature algoritm.

В настройках К-АП случаем не 2 провайдера - "КриптоПро CSP" и "Код Безопасности"? Если да - попробуйте галку в "КриптоПро CSP" (чтоб этот был по умолчанию).

two_oceans пишет: 3) (маловероятно, но все же стоит проверить) проверил бы какой алгоритм в сертификате. Тут дело в том, что SecurityCode CSP входящий в К-АП поддерживает гост-2012, а КриптоПро 3.6/3.8/3.9 не поддерживает. Поэтому если в К-АП указан КриптоПро, а сертификат каким-то чудом сделан на гост-2012, то зашифровать соединение им скорее всего не выйдет. В таком случае, как раз надо по умолчанию поставить SecurityCode CSP либо обновить КриптоПро до 4.0. Аналогично, УФК тоже может быть еще не настроено на гост-2012. Ну и в целом, пока нет УЦ с гост-2012 и мало кто может гарантировать что получится если сертификат УЦ гост-2001, а сертификат конечного пользователя гост-2012.

two_oceans пишет: Может быть просто не создан ярлык на программу? В 3.7 находится в "C:\Program Files\Security Code\Terminal Station\csp\cspconfig.exe". Может быть в Program Files (x86). Судя по путям в реестре - проблема скорее всего в разной разрядности версий программ и/или разрядности операционной системы на двух компьютерах HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\SecurityCode\CSP\cspkeys появляется разрядность программы и операционной системы НЕ совпадает (программа 32, ОС 64), а HKEY_LOCAL_MACHINE\SOFTWARE\SecurityCode\CSP\cspkeys появляется когда программа и ОС имею одинаковую разрядность (либо обе 32, либо обе 64). Программа 32-разрядная не найдет ключи в ветке для 64-разрядных программ и наоборот. Допишите либо удалите "Wow6432Node\" в файле реестра который переносите на другую разрядность и увидите добавленные ключи. Это стоит проверить в первую очередь.

Еще может быть проблема с Windows 10 насчет разрешений разделов реестра - если вносите под администратором в HKEY_LOCAL_MACHINE разделы иногда нельзя прочитать без админских прав. Также важно знать о "виртуализации" - если включен "контроль учетных записей" и вносите в HKEY_LOCAL_MACHINE не под администратором, то операционная система может данные перенаправить в другое место, они будут прекрасно видны из программы под пользователем, который их вносил, но недоступны для другой программы и других пользователей.

Может быть просто не создан ярлык на программу? В 3.7 находится в "C:\Program Files\Security Code\Terminal Station\csp\cspconfig.exe".

Похоже самый правильный вариант установить свежую версию которое дает казначейство и сформировать новый ключ через криптопро. =((

К сожалению 3.6.79 не создает папку Terminal Station соответственно cspconfig.exe тоже нет. Поиск по диске экзешника тоже ничего не дал.

bubenchikov пишет: Похоже самый правильный вариант установить свежую версию которое дает казначейство и сформировать новый ключ через криптопро. =((

two_oceans пишет:

Похоже самый правильный вариант установить свежую версию которое дает казначейство и сформировать новый ключ через криптопро. =((

Ну я тоже мнения, что лучше без экзотики. Однако хотелось бы все же решить проблему для накопления базы знаний в чем подвох. Еще тут нужно отметить, что SecurityCode CSP требует менять пин-коды каждые полгода. Поэтому настоящая паника начинается когда пользователь сменил пароль и никуда не записал.

К сожалению 3.6.79 не создает папку Terminal Station соответственно cspconfig.exe тоже нет. Поиск по диске экзешника тоже ничего не дал.

Не может быть, Terminal Station - это папка по умолчанию в которую установлен сам Континент-АП. В подпапке vpn - тот самый "синий щит" (AP_Mgr.exe, программа управления VPN клиентом). Не из воздуха же он работает? Рядом подпапка csp. Если у Вас установлен по другому пути, то поищите в папке, где установлен Континент или на уровень выше, папку csp. Можно отследить путь службы CSP в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sccspservice параметр ImagePath или через Службы имя службы "Security Code CSP Service", поле "исполняемый файл". Рядом с ним ищите другой экзешник.

Решил тоже попробовать с генерацией ключей через SecurityCode CSP - собственно даже создать запрос не получилось, пишет что не найден такой файл, но в процессе попыток сохранить хоть куда-то появились контейнеры и в реестре и на флешке. Поэтому могу сказать как они соотносятся - на флешке в корне создалась папка topsecretkeys в ней файл без расширения с именем точно таким же как подраздел с ключом под cspkeys в реестре, содержимое параметра blob из реестра равно шестнадцатиричной записи содержимого файла, длина 440 байт (проверил Far). Открытый на просмотр файл не нашелся CSP, когда закрыл - появился. Для справки - какая длина у старых?

Beck пишет:

bubenchikov пишет: Похоже самый правильный вариант установить свежую версию которое дает казначейство и сформировать новый ключ через криптопро. =((

Наши клиенты так и сделали, даже не на новой версии, а просто сгенерировали новый ключ с использованием КриптоПро CSP. Теперь всё ОК)))

bubenchikov пишет: Переустанавливал не раз, все так же.

bubenchikov пишет: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sccspservice
Такая ветка есть и указывает она на C:\Program Files\Security Code\Terminal Station\csp\cspconfig.exe
но такой папки не существует
Есть такой файл C:\Program Files\Security Code\Continent Client\cspservice.exe
Но при запуске он на секунду открывает командную строку и пропадает.
Попробую заменить путь на существующий файл.

не знаю как оценить через Far в реестре контейнер. выложу содержимое. На скрине что поменьше контейнер 3.6.79. На скрине что побольше 3.7

Самое обидное пару дней назад все работало и сертификату то уже пол года как.

Blaze пишет: Тут к видео пособию

коллега пишет:

Эту не документированную возможность в Континент-АП уже прикрыли! Можно еще использовать два варианта, это RDP (RemoteApp), ну и как-же без старого доброго прокси.

Вариант с прокси то, что нужно - карты в руки... =)

Blaze пишет: Континент-АП 3.7 и многопользовательским режимом доступа
groups.google.com/forum/#!topic/sc-continent/obh3ZppV7E4

l.lo...@securitycode.ru

В ранних версиях была не документированная возможность такого использования в последующих версиях такая возможность была закрыта.

С уважением, Ломакин Леонид

Вот это поворот...

route add IPвашегоСУФДпортала mask 255.255.255.255 IPсетевухикомпасконтинентАП -p