- Сообщений: 2426
- Спасибо получено: 405
Скорей всего это Ваш случай: в этой же теме пост #7242 tda от 23.04.2018 в 08:12.bubenchikov пишет: помогите решить вопрос.
1. На машине установлен Континент АП 3.6.79. На нем был сформирован сертификат пользователя. Контейнер закрытого ключа сохранен в реестре.
В настройках К-АП случаем не 2 провайдера - "КриптоПро CSP" и "Код Безопасности"? Если да - попробуйте галку в "КриптоПро CSP" (чтоб этот был по умолчанию).2. При попытке установить соединение... получаю ошибку:
сервер отказал в доступе пользователю unknown cert signature algoritm.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Контейнеры закрытого ключа можно просмотреть или экспортировать с помощью того криптопровайдера, которым он был создан. Континент-АП поддерживает два криптопровайдера (в настройках Континент-АП может быть установлен одновременно только один): КриптоПро CSP и SecurityCode CSP. Поэтому если КриптоПро CSP не видит контейнер закрытого ключа, то это может значить, что:bubenchikov пишет: На машине установлен Континент АП 3.6.79. На нем был сформирован сертификат пользователя. Контейнер закрытого ключа сохранен в реестре. Крипто про 3.6 не видит этот контейнер.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
В настройках КАП 1 провайдер Код безопасности. Сертификат похоже оформлялся через него. Пробовал ставить версию 3.7.0.799. Там 2 криптопровайдера. Но моих контейнеров не видно.
В настройках К-АП случаем не 2 провайдера - "КриптоПро CSP" и "Код Безопасности"? Если да - попробуйте галку в "КриптоПро CSP" (чтоб этот был по умолчанию).2. При попытке установить соединение... получаю ошибку:
сервер отказал в доступе пользователю unknown cert signature algoritm.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
two_oceans пишет: 3) (маловероятно, но все же стоит проверить) проверил бы какой алгоритм в сертификате. Тут дело в том, что SecurityCode CSP входящий в К-АП поддерживает гост-2012, а КриптоПро 3.6/3.8/3.9 не поддерживает. Поэтому если в К-АП указан КриптоПро, а сертификат каким-то чудом сделан на гост-2012, то зашифровать соединение им скорее всего не выйдет. В таком случае, как раз надо по умолчанию поставить SecurityCode CSP либо обновить КриптоПро до 4.0. Аналогично, УФК тоже может быть еще не настроено на гост-2012. Ну и в целом, пока нет УЦ с гост-2012 и мало кто может гарантировать что получится если сертификат УЦ гост-2001, а сертификат конечного пользователя гост-2012.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
two_oceans пишет: Может быть просто не создан ярлык на программу? В 3.7 находится в "C:\Program Files\Security Code\Terminal Station\csp\cspconfig.exe". Может быть в Program Files (x86). Судя по путям в реестре - проблема скорее всего в разной разрядности версий программ и/или разрядности операционной системы на двух компьютерах HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\SecurityCode\CSP\cspkeys появляется разрядность программы и операционной системы НЕ совпадает (программа 32, ОС 64), а HKEY_LOCAL_MACHINE\SOFTWARE\SecurityCode\CSP\cspkeys появляется когда программа и ОС имею одинаковую разрядность (либо обе 32, либо обе 64). Программа 32-разрядная не найдет ключи в ветке для 64-разрядных программ и наоборот. Допишите либо удалите "Wow6432Node\" в файле реестра который переносите на другую разрядность и увидите добавленные ключи. Это стоит проверить в первую очередь.
Еще может быть проблема с Windows 10 насчет разрешений разделов реестра - если вносите под администратором в HKEY_LOCAL_MACHINE разделы иногда нельзя прочитать без админских прав. Также важно знать о "виртуализации" - если включен "контроль учетных записей" и вносите в HKEY_LOCAL_MACHINE не под администратором, то операционная система может данные перенаправить в другое место, они будут прекрасно видны из программы под пользователем, который их вносил, но недоступны для другой программы и других пользователей.
К сожалению 3.6.79 не создает папку Terminal Station соответственно cspconfig.exe тоже нет. Поиск по диске экзешника тоже ничего не дал.Может быть просто не создан ярлык на программу? В 3.7 находится в "C:\Program Files\Security Code\Terminal Station\csp\cspconfig.exe".
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Ну я тоже мнения, что лучше без экзотики. Однако хотелось бы все же решить проблему для накопления базы знаний в чем подвох. Еще тут нужно отметить, что SecurityCode CSP требует менять пин-коды каждые полгода. Поэтому настоящая паника начинается когда пользователь сменил пароль и никуда не записал.Похоже самый правильный вариант установить свежую версию которое дает казначейство и сформировать новый ключ через криптопро. =((
Не может быть, Terminal Station - это папка по умолчанию в которую установлен сам Континент-АП. В подпапке vpn - тот самый "синий щит" (AP_Mgr.exe, программа управления VPN клиентом). Не из воздуха же он работает? Рядом подпапка csp. Если у Вас установлен по другому пути, то поищите в папке, где установлен Континент или на уровень выше, папку csp. Можно отследить путь службы CSP в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sccspservice параметр ImagePath или через Службы имя службы "Security Code CSP Service", поле "исполняемый файл". Рядом с ним ищите другой экзешник.К сожалению 3.6.79 не создает папку Terminal Station соответственно cspconfig.exe тоже нет. Поиск по диске экзешника тоже ничего не дал.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Наши клиенты так и сделали, даже не на новой версии, а просто сгенерировали новый ключ с использованием КриптоПро CSP. Теперь всё ОК)))bubenchikov пишет: Похоже самый правильный вариант установить свежую версию которое дает казначейство и сформировать новый ключ через криптопро. =((
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
two_oceans пишет:
Ну я тоже мнения, что лучше без экзотики. Однако хотелось бы все же решить проблему для накопления базы знаний в чем подвох. Еще тут нужно отметить, что SecurityCode CSP требует менять пин-коды каждые полгода. Поэтому настоящая паника начинается когда пользователь сменил пароль и никуда не записал.Похоже самый правильный вариант установить свежую версию которое дает казначейство и сформировать новый ключ через криптопро. =((
Не может быть, Terminal Station - это папка по умолчанию в которую установлен сам Континент-АП. В подпапке vpn - тот самый "синий щит" (AP_Mgr.exe, программа управления VPN клиентом). Не из воздуха же он работает? Рядом подпапка csp. Если у Вас установлен по другому пути, то поищите в папке, где установлен Континент или на уровень выше, папку csp. Можно отследить путь службы CSP в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sccspservice параметр ImagePath или через Службы имя службы "Security Code CSP Service", поле "исполняемый файл". Рядом с ним ищите другой экзешник.К сожалению 3.6.79 не создает папку Terminal Station соответственно cspconfig.exe тоже нет. Поиск по диске экзешника тоже ничего не дал.
Решил тоже попробовать с генерацией ключей через SecurityCode CSP - собственно даже создать запрос не получилось, пишет что не найден такой файл, но в процессе попыток сохранить хоть куда-то появились контейнеры и в реестре и на флешке. Поэтому могу сказать как они соотносятся - на флешке в корне создалась папка topsecretkeys в ней файл без расширения с именем точно таким же как подраздел с ключом под cspkeys в реестре, содержимое параметра blob из реестра равно шестнадцатиричной записи содержимого файла, длина 440 байт (проверил Far). Открытый на просмотр файл не нашелся CSP, когда закрыл - появился. Для справки - какая длина у старых?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Самое обидное пару дней назад все работало и сертификату то уже пол года как.Beck пишет:
Наши клиенты так и сделали, даже не на новой версии, а просто сгенерировали новый ключ с использованием КриптоПро CSP. Теперь всё ОК)))bubenchikov пишет: Похоже самый правильный вариант установить свежую версию которое дает казначейство и сформировать новый ключ через криптопро. =((
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Не пробовали воспользоваться советами и спецутилитой по очистке реестра от следов К-АП из поста #6190 BEPXown (17.11.2017 в 12:33) в этой же теме? Такое ощущение, что "неувязочка" идет между ПО на ЖД и инфой в реестре.bubenchikov пишет: Переустанавливал не раз, все так же.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Хм, похоже что как и написали выше - прошлая версия была не полностью удалена. Итак, по порядку:bubenchikov пишет: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sccspservice
Такая ветка есть и указывает она на C:\Program Files\Security Code\Terminal Station\csp\cspconfig.exe
но такой папки не существует
Есть такой файл C:\Program Files\Security Code\Continent Client\cspservice.exe
Но при запуске он на секунду открывает командную строку и пропадает.
Попробую заменить путь на существующий файл.
В самом regedit когда нажимаете на изменение параметра выходит редактор - аналогичен просмотру Hex в Far, только в Far 16 байт в строку, а в реестре 8 в строку. Остается посмотреть по какому адресу последний байт и закрыть без изменения, у меня 1B8 = 440. На глаз действительно, размер разный.не знаю как оценить через Far в реестре контейнер. выложу содержимое. На скрине что поменьше контейнер 3.6.79. На скрине что побольше 3.7
Надо все же посмотреть через cspconfig срок действия пин-кода. Если создавали контейнер ровно 6 месяцев назад + пару дней, то очень похоже истек срок пин-кода, надо его сменить и не забыть.Самое обидное пару дней назад все работало и сертификату то уже пол года как.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Это я написал, дополню чтобы не заморачиваться с RDP, качаем 3proxy в ней есть утилита tcppm.exe (TCP port mapping), создаем батник с одной строчкой внутриBlaze пишет: Тут к видео пособию
коллега пишет:Вариант с прокси то, что нужно - карты в руки... =)Эту не документированную возможность в Континент-АП уже прикрыли! Можно еще использовать два варианта, это RDP (RemoteApp), ну и как-же без старого доброго прокси.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Blaze пишет: Континент-АП 3.7 и многопользовательским режимом доступа
groups.google.com/forum/#!topic/sc-continent/obh3ZppV7E4Вот это поворот...l.lo...@securitycode.ru
В ранних версиях была не документированная возможность такого использования в последующих версиях такая возможность была закрыта.
С уважением, Ломакин Леонид
route add IPвашегоСУФДпортала mask 255.255.255.255 IPсетевухикомпасконтинентАП -p
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Подробнее...