Установлена проблема с отображением контейнеров ГОСТ-2012 при подписании в Электронном бюджете если наименование организации в сертификате превышает 127 символов.

Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. В качестве временного решения предлагается выполнить конвертацию контейнеров КриптоПро PKCS#12 в PKCS#15 специальной утилитой (при этом контейнер должен быть экспортируемым).

Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки.

Для инсталляции утилиты конвертации контейнера ГОСТ-2012 в PKCS#15 достаточно выполнить следующие действия:

1. Скопировать в локальную директорию.

2. Установить дополнительный распространяемый компонент Microsoft Visual C++ 2015: vc_redist.x86.exe или vc_redist.x64.exe.

3. Для запуска приложения: – открыть файл Converter.exe

Порядок конвертации:

1. В компьютер установить съемный носитель с сертификатом PKCS#12.

2. Запускаем утилиту конвертации.

3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».

4. Выбираем нужный сертификат и нажимаем «Конвертировать».

5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».

6. В окне Крипто-ПРО повторно указываем пароль указанный ранее и жмем «ОК».

7. Если конвертирование завершено успешно, то на съемном носителе будет сертификат и ключ в контейнере PKCS#15.

Инструкция с картинками→

Большая )) инструкция с картинками→

Конвертер с необходимыми библиотеками (34.6 Мб)→

Информация от пользователей

1. Пользователь semo163 делится опытом:

По ссылке внизу поста скачал конвертер контейнеров с pkcs#12 на pkcs#15 с инструкцией и всеми зависимостями. Сделал как описано в инструкции что прилагается к архиву. При том не важно какого алгоритма сертификаты 2001 или 2012 ( у меня 2 - 2001 и один 2012), конвертить нужно все, только после этого jinn увидит их на флэшке. Единственное что нужно сделать перед этим, импортировать сертификат через jinn-admin указав расположение сертификата и флэшку для записи. jinn-admin формирует сертификат вида TE.cer. Здесь нюанс такой, что если у вас несколько сертификатов, то придется либо иметь несколько флэшек (или виртуальных флэшек как у меня), т.к. на одну флэшку можно записать только один сертификат TE.cer. После манипуляций с размножением флэшек и установкой туда сертификатов переходим к инструкции. Теперь все работает как в гугл хроме так и в IE 11 (Лису не использую).

2. Пользователь memoze делится опытом:

Может кому поможет, программа для выдаёт ошибку 302645276 если у вас Рутокен 2.0, Рутокен Light, НУЖЕН Рутокен S.

3. Пользователь FarWinter объясняет:

Если вам нужно подписывать в Электронном бюджете, то можно настроить через браузер Chromium GOST,
Для подписания документов в ЭБ используется КриптоПРО ЭЦП Browser Plug-in, а не Jinn-Client,
там не нужно будет конвертировать контейнер.
QuickCG - Порядок быстрой настройки Chromium GOST
ссылка на тему sedkazna.ru/.../

Если используете Jinn-Client для подписания, то
Нужно использовать конвертер, только когда название организации превышает 127 символов (В сертификате, вкладка Состав - Субъект - O=Название организации)
при подписании в ЭБ Jinn-Client не видит такие контейнера закрытых ключей в ГОСТ 2012
(Если количество символов меньше или равно 127, то конвертер не нужен.)

Можно при использовании конвертера, указать куда создать новый контейнер - на тот же рутокен (а не на флешку), в таком случае:
После конвертации контейнера на рутокене, старый контейнер на рутокене не удаляется,
на рутокене создаются файлы которые видит Jinn-Client (TE.cer и TEcont.p15, такие же как при конвертации контейнера закрытого ключа на флешке,
только на рутокене эти файлы стандартными средствами через Панель управления рутокена не видно, их можно только перезатереть, или для удаления формат рутокена)

Ещё при использовании рутокена в Jinn-Client,
желательно удалить все старые закрытые ключи с рутокена и
использовать eXtended Container 1.0.1.1
(меньше подвисаний в JinnClient при чтения с рутокена чем с eXtended Container 1.0.2.2)

-----------------------
У кого Jinn-Client не видит контейнера закрытых ключей, хотя в названии организации количество символов меньше или равно 127
Посмотрите сообщение:
Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ
ссылка sedkazna.ru/.../
Пункт 4.1 В ЭБ при подписании Jinn-Client не видит на флэшке сертификаты ГОСТ 2012

Извините, но у вас недостаточно прав для комментирования

Комментарии   

0 # doctor 14.01.2021 12:52
Пожалуйста поясните!!!! После конвертации у меня получилось 2 сертификата. Один на рутокене(на нем изначально был) и второй на флешке(на которую он и конвертировался ). И теперь через рутокен заходит а через флешку подписывает. Можно ли как нибудь сделать, что бы все работало только через рутокен?
0 # Alex_04 18.01.2021 08:19
Цитирую doctor:
Один на рутокене (на нем изначально был) и второй на флешке(на которую он и конвертировался). Можно ли как нибудь сделать, что бы все работало только через рутокен?

Вы сами подумайте: раз конвертировали на фрэшку, значит с токена jinn не подписывает (из-за длинного названия орг-ции в серте скорей всего). Так "где же логика?" (с) в Вашем вопросе? Выход в обратном, имхо: И ВХОДИТЬ И ПОДПИСЫВАТЬ С ФЛЭШКИ.
0 # doctor 18.01.2021 12:31
Он не подписывает с токена, но он и не заходит с флешки. Просто хотел уточнить(может есть знающие люди, сам в этих вопросах еще не сильно подкован) можно ли как то сделать конвертацию на рутокен?
0 # Gvinpin 18.01.2021 13:40
Цитирую doctor:
он и не заходит с флешки.
Через КриптоПро -- Сервис скопируйте контейнер с рутокена на флешку. Установите сертификат с привязкой к контейнеру на флешке. Тогда будет заходить.
А что касается конвертации на рутокен -- сообщение ниже (от 16.07.2020), что нужен именно Рутокен S.
0 # Alex_04 19.01.2021 05:25
Цитирую Gvinpin:
Цитирую doctor:
он и не заходит с флешки.
Через КриптоПро -- Сервис скопируйте контейнер с рутокена на флешку.

Зачем? Ведь:
Цитирую doctor:
не подписывает с токена

Имхо, достаточно как раз второго из предложенного Вами:
Цитирую Gvinpin:
Установите сертификат с привязкой к контейнеру на флешке. Тогда будет заходить.

После чего токен вообще извлечь из ПК подальше от вероятности обращения к нему и возможности возникновения "путаницы" при входе и подписании.
0 # doctor 22.01.2021 10:58
Щас проверил и у меня именно Рутокен S.
0 # Alex_04 22.01.2021 11:20
Лично не пробовал, возможно ошибаюсь (имеющие опыт подскажут точнее), но что если попробовать той же криптой скопировать КК с флэшки на токен, переименовав его чтоб не совпал с токеновским, и установить серт с привязкой к этому КК с записью внутрь КК? После вытащить флэшку и проверить и вход и подписание. Должно пойти и то и другое по логике.
0 # Gvinpin 19.01.2021 06:13
Цитирую Alex_04:

Зачем?

Цитирую doctor:
После конвертации у меня получилось 2 сертификата. Один на рутокене(на нем изначально был) и второй на флешке(на которую он и конвертировался). И теперь через рутокен заходит а через флешку подписывает.

Цитирую doctor:
Он не подписывает с токена, но он и не заходит с флешки.

Я так понимаю, что обычный контейнер Криптопро только на рутокене, а на флешке его нет -- есть только сконвертированн ый.
0 # Alex_04 19.01.2021 11:40
Цитирую Gvinpin:
Я так понимаю, что обычный контейнер Криптопро только на рутокене, а на флешке его нет -- есть только сконвертированн ый.

Я тоже так понял.
Цитирую doctor:
Он не подписывает с токена, но он и не заходит с флешки.

Потому что:
- входом рулит КриптоПро - ей подавай "нормальный" ключевой контейнер - он на токене;
- подписанием рулит Jinn - в Вашем случае нужен сконвертированн ый КК - он на флешке.
Предложил оба КК иметь на флешке только по причине простоты её использования. Токен конечно надежней, но он действительно имеет "нюансы" , о чем читайте ниже и выше.
0 # Gvinpin 19.01.2021 12:27
Цитирую Alex_04:
Цитирую Gvinpin:
Я так понимаю, что обычный контейнер Криптопро только на рутокене, а на флешке его нет -- есть только сконвертированный.

Я тоже так понял.
Предложил оба КК иметь на флешке только по причине простоты её использования

Вот затем и скопировать "нормальный" контейнер на флешку, чтобы на ней были оба (а не только один сконвертированы й).
0 # doctor 22.01.2021 10:57
Тут дело даже не в надежности, а в том, что у нас была проверка и сказал, что все подписи должны быть на рутокене, а не на обычно флешка. Я бы вас не стал спрашивать про это все, а просто бы закинул на флешку и не знал бы бед.
0 # Alex_04 22.01.2021 11:27
0 # doctor 22.01.2021 11:38
ну это я понял. но вы то говорите на флешку все скинуть. Тут еще затрудняет работу, то что бухгалтерия постоянно работает и не дает возможности нормально все проверить. :lol:
0 # Alex_04 22.01.2021 11:46
Цитирую doctor:
но мы вы то говорите на флешку все скинуть.

Ну так я ж не знал, что Вам проверяющий велел? ;) И оговорку я (мы) сделал(и), что на флешку проще, но это не значит, что только так и надо.
0 # doctor 22.01.2021 12:11
Ну про оговору - это уже лично ваши какие то личные придирки. И так все понятно кто что имел в виду. А про то что они сами делают свою работу, а не ..... Ну так я и не должен это делать. Кто на что учился. У меня немного другая область. Так что ваше замечание немного некорректно. Ну это уже лично мои придирки.
+1 # Alex_04 25.01.2021 05:37
Цитирую doctor:
Ну про оговору - это уже лично ваши какие то личные придирки.

Уважаемый "doctor", Вы за советом сюда обратились, или решили полечить мозг тем, кто Вам решил помочь?
Цитата:
Так что ваше замечание немного некорректно. Ну это уже лично мои придирки.
Ну если намек на шутку - некорректное замечание, тогда пардон-с. Но как-то некомфортно, когда лечат от того, чего и не было вовсе.
0 # Alex67 25.01.2021 11:13
Да доктор решил полечить нам мозг видимо, и ему прямая дорога на доктор сервер.
Там ему точно помогут
0 # FarWinter 03.02.2021 09:27
Цитирую doctor:
Пожалуйста поясните!!!! После конвертации у меня получилось 2 сертификата. Один на рутокене(на нем изначально был) и второй на флешке(на которую он и конвертировался). И теперь через рутокен заходит а через флешку подписывает. Можно ли как нибудь сделать, что бы все работало только через рутокен?

Если вам нужно подписывать в Электронном бюджете, то можно настроить через браузер Chromium GOST,
Для подписания документов в ЭБ используется КриптоПРО ЭЦП Browser Plug-in, а не Jinn-Client,
там не нужно будет конвертировать контейнер.
QuickCG - Порядок быстрой настройки Chromium GOST
ссылка на тему sedkazna.ru/.../

Если используете Jinn-Client для подписания, то
Нужно использовать конвертер, только когда название организации превышает 127 символов (В сертификате, вкладка Состав - Субъект - O=Название организации)
при подписании в ЭБ Jinn-Client не видит такие контейнера закрытых ключей в ГОСТ 2012
(Если количество символов меньше или равно 127, то конвертер не нужен.)

Можно при использовании конвертера, указать куда создать новый контейнер - на тот же рутокен (а не на флешку), в таком случае:
После конвертации контейнера на рутокене, старый контейнер на рутокене не удаляется,
на рутокене создаются файлы которые видит Jinn-Client (TE.cer и TEcont.p15, такие же как при конвертации контейнера закрытого ключа на флешке,
только на рутокене эти файлы стандартными средствами через Панель управления рутокена не видно, их можно только перезатереть, или для их удаления - формат рутокена)

Ещё при использовании рутокена в Jinn-Client,
желательно удалить все старые закрытые ключи с рутокена и
использовать eXtended Container 1.0.1.1
(меньше подвисаний в JinnClient при чтении с рутокена чем с eXtended Container 1.0.2.2)

-----------------------
У кого Jinn-Client не видит контейнера закрытых ключей, хотя в названии организации количество символов меньше или равно 127
Посмотрите сообщение:
Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ
ссылка sedkazna.ru/.../
Пункт 4.1 В ЭБ при подписании Jinn-Client не видит на флэшке сертификаты ГОСТ 2012
+1 # oksana2021 05.02.2021 01:54
А если название меньше 127 символов и используется Internet Explorer, то какими инструкциями пользоваться по подписанию, если Jinn-Client не видит сертификаты?
+1 # Alex_04 05.02.2021 05:44
На главной странице сайта вверху слева выделена красным статья Электронный бюджет и ГОСТ-2012, в ней тоже выделено красным "У кого Jinn не видит контейнер читаем подробности".
+3 # memoze 16.07.2020 09:25
Может кому поможет, программа для выдаёт ошибку 302645276 если у вас Рутокен 2.0, Рутокен Light, НУЖЕН Рутокен S.
0 # danmadman 22.06.2020 09:20
Забыли написать, что для завершения всей операции нужен Код Безопасности CSP, иначе

тут версия 3.7.7.651
mega.nz/.../
+3 # avalspro 29.04.2020 08:23
При конвертации контейнера выходит ошибка: [Ключ не может быть использован в указанном состоянии]. Возможно ключ ЭЦП не является экспортируемым
+2 # FarWinter 29.04.2020 09:46
Цитирую avalspro:
При конвертации контейнера выходит ошибка: [Ключ не может быть использован в указанном состоянии]. Возможно ключ ЭЦП не является экспортируемым

  • 1). Если на флешке много старых закрытых ключей, их нужно удалить или перенести в какой-нибудь каталог.
    Оставить только нужные ключи.
    Либо можно Скопировать только один закрытый ключ на другую чистую флешку и проверить конвертацию контейнера. (КриптоПро CSP - Сервис - [ Скопировать... ])

  • 2). Аналогичная ошибка, Нужно проверить значение параметра "экспорт ключа" в закрытом ключе
    КриптоПро CSP - Сервис - [ Протестировать ]
    выбрать соответствующий контейнер закрытого ключа
    Значение параметра "экспорт ключа" должно быть: разрешен

    Если контейнер закрытого ключа, создали через восстановление ключа из файла с расширением .pfx на флешку или в реестр нужно было указать [x] Пометить этот ключ как экспортируемый

    Восстановление ключа из файла с расширением .pfx на флешку или в реестр
    Нужно два раза кликнуть по файлу
    -> Далее -> Далее
    Ввести пароль, который был задан при создании файла .pfx
    Должны быть включены галочки:
    [x] Пометить этот ключ как экспортируемый, что позволит сохранять архивную копию ключа и перемещать его
    [x] Включить все расширенные свойства
    -> Далее
    -> Далее
    Выбрать флешку или реестр, куда восстановить контейнер закрытого ключа
    Если требуется задать пароль для контейнера закрытого ключа
    -> ОК
0 # Sacred 02.03.2020 05:51
Цитирую Sacred:
ПИШУ из 2020 года даже специально зарегистрировался на этом сайте, чтобы сказать ОГРОМНОЕ СПАСИБО!!! Встала та же самая проблема) Отчеты горят, бухгалтерия в панике! А тех поддержка из эл. бюджета ссылается на инструкцию по установке АРМ и Континента TLS вместе с jinn клиентом) :lol:

Я вообще как остался один на один с суфд и эл бюджетом ТОЛЬКО сюда и забегаю ;-)
+2 # Sacred 02.03.2020 05:50
ПИШУ из 2020 года даже специально зарегистрировал ся на этом сайте, чтобы сказать ОГРОМНОЕ СПАСИБО!!! Встала та же самая проблема) Отчеты горят, бухгалтерия в панике! А тех поддержка из эл. бюджета ссылается на инструкцию по установке АРМ и Континента TLS вместе с jinn клиентом) :lol:
0 # OLL 07.02.2020 09:32
Не представляю, сколько бы я еще маялась с этой проблемой, если бы не этот форум!!! Все заработало! Спасибо!
Вот только жаль, что ни в одной методической рекомендации, рассылаемой нам сверху нет ни слова о таких проблемах. Кто бы мог подумать, что огромное название организации так усложнит нам жизнь.
0 # Gvinpin 07.02.2020 09:46
Цитирую OLL:
Вот только жаль, что ни в одной методической рекомендации, рассылаемой нам сверху нет ни слова о таких проблемах.

Например, те, кто получает Jinn 1.0.3050 в нашем УФК, вместе с ним получают конвертер и не имеют проблем. А о необходимости получения Jinn в УФК все были уведомлены еще год назад. Как в других регионах - не знаю.
+2 # OLL 07.02.2020 09:52
Значит Вы более внимательно относитесь к своим клиентам. :-) Им повезло.
0 # Gvinpin 07.02.2020 12:51
Я скорее не об этом, а о том, что далеко не все выбрали именно такой способ получения СКЗИ.
+1 # Alex_04 07.02.2020 14:21
Цитирую Gvinpin:
те, кто получает Jinn 1.0.3050 в нашем УФК, вместе с ним получают конвертер и не имеют проблем.

Если под "получать" понимать "записанное на 1-разовый носитель" (типа CD-R), то органы ФК имеют право писать туда только официальное СКЗИ, на которое в УФК есть лицензия. Ни первое ни второе не относится к упомянутому конвертору (если правильно понимаю), к сожалению. :( Ваше УФК рисковое, если пишет его тоже туда же. Идея сама по себе правильная -- вещь то нужная. А вот НЕОФИЦИАЛЬНО записывать, например, на флэшку никто не запрещал -- ответственность за использование ПО на его пользователе.
+1 # Gvinpin 07.02.2020 15:45
Нет, не на DVD-R с дистрибутивом.
+1 # dadhi 10.12.2019 01:40
У меня конверталка не хочет видеть целевой носитель в виде виртуального диска! (SoftPrefect RAM Disk) .. хотя как исходный диск его видит !! …
Почему?
+1 # Alex67 10.12.2019 05:41
А сконвертировать на флешку потом перенести в виртуалку что мешает кроме лени? :)
+3 # felix 11.11.2019 10:42
Подскажите на rutoken можно сразу же и сохранить с которого конвертация происходила cертификат и ключ в контейнере PKCS#15, дабы один носитель использовать? Сейчас на usb flash скопировал их. Два ключа использую, все работает, по rutoken заходит, по usb flash подписывает. Если на рутокен сконвентировать , точно не слелит ничего?
-6 # ranger 05.08.2019 06:31
Никаких проблем не испытывал
А кто испытывал - у вас старый XC
на версии XC 1.0.2.2 - никаких проблем
Можете прям закрепить как решение проблемы
+1 # Alex_04 06.08.2019 03:49
Цитирую ranger:
Никаких проблем не испытывал
А кто испытывал - у вас старый XC

Или (возможно) ХС от TLS-клиента, а не от Jinn - есть такой подвох. Поэтому иду в таком порядке: сношу старый TLS, ставлю TLS-2.0, сношу ХС от TLS-2.0 и старый Jinn, ставлю Jinn-1.0.3050 + его XC, настраиваю TLS-2.0. На 7-х ОС пока тьфу (3 раза), с 10-ми не бился.
+1 # ranger 12.08.2019 13:45
Цитирую Alex_04:

Или (возможно) ХС от TLS-клиента, а не от Jinn - есть такой подвох. Поэтому иду в таком порядке: сношу старый TLS, ставлю TLS-2.0, сношу ХС от TLS-2.0 и старый Jinn, ставлю Jinn-1.0.3050 + его XC, настраиваю TLS-2.0. На 7-х ОС пока тьфу (3 раза), с 10-ми не бился.

Ставил с облака яндекса софт по порядку, а установка ТЛС идет в конце всего
(правда провайдер ставил 1.1.0.5 когда был старый у автора, ну и компоненты c++ я ставил с офрума oszone паком гибрид) - на 1809 х64 с криптой 9944 никаких проблем
+2 # harlamov80 01.08.2019 13:34
Огроменное человеческое спасибо!!!
Два для бился - ничего. Общий смысл ответов техподдержки - у вас руки кривые.
Сконвертировал и сразу все подписалось.
+3 # ugg555 27.06.2019 00:32
Подскажите!

Как добиться пункта 6... то есть как увидеть контейнер в Крипто ПРО?
Установить сертификат, не вижу данный контейнер.
+2 # Gvinpin 27.06.2019 03:51
КриптоПро работает не с PKCS#15, а с PKCS#12. А конвертация PKCS#12 в PKCS#15 делается для Jinn-Client, т.к. именно через Jinn осуществляется подписание в ЭБ.
+1 # igor1806 14.05.2019 13:12
Ключ у одного клиента отконвертировал и, но при загрузке в АРМ генерации Ошибка - программа создания доверенной среды будет закрыта
+1 # bsv_144 03.04.2019 07:15
При конвертации в PKCS#15 на флешке появляется файл TEcont.p15, чтобы Jinn Client увидел данный контейнер ещё закинул туда сертификат пользователя с именем файла TE.cer (по другому Jinn Client не видит сертификат).
В связи с этим возник вопрос, возможно ли на одну флэшку закинуть контейнеры для нескольких пользователей ?
Пробовал закинуть несколько контейнеров на одну флэшку с помощью АРМ генерации ключей от Jinn Client, но к сожалению результат оказался тот-же (видит только один сертификат).
+4 # Gvinpin 04.04.2019 17:54
Одна флешка - один сертификат. Но здесь на форуме писали, как монтировать диск из папки, поищите. Можно смонтировать столько дисков, сколько нужно сертификатов.
+2 # Alex_04 31.03.2019 11:17
Спасибо за полезную информацию. :) Вопрос: почему vcredist именно 2015? С 2010-м не заработает, проверялось?
+1 # sedkazna 31.03.2019 14:30
Нет, не проверялось мной лично, хотя другими опробовано. Сказали, что необходимо ставить vc_redist.x86.e xe даже на 64 разрядную систему - не знаю с чем связано, не проверял еще.