Установлена проблема с отображением контейнеров ГОСТ-2012 при подписании в Электронном бюджете если наименование организации в сертификате превышает 127 символов.

Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. В качестве временного решения предлагается выполнить конвертацию контейнеров КриптоПро PKCS#12 в PKCS#15 специальной утилитой (при этом контейнер должен быть экспортируемым).

Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки.

Для инсталляции утилиты конвертации контейнера ГОСТ-2012 в PKCS#15 достаточно выполнить следующие действия:

1. Скопировать в локальную директорию.

2. Установить дополнительный распространяемый компонент Microsoft Visual C++ 2015: vc_redist.x86.exe или vc_redist.x64.exe.

3. Для запуска приложения: – открыть файл Converter.exe

Порядок конвертации:

1. В компьютер установить съемный носитель с сертификатом PKCS#12.

2. Запускаем утилиту конвертации.

3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».

4. Выбираем нужный сертификат и нажимаем «Конвертировать».

5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».

6. В окне Крипто-ПРО повторно указываем пароль указанный ранее и жмем «ОК».

7. Если конвертирование завершено успешно, то на съемном носителе будет сертификат и ключ в контейнере PKCS#15.

Инструкция с картинками→

Большая )) инструкция с картинками→

Конвертер с необходимыми библиотеками (34.6 Мб)→

Информация от пользователей

1. Пользователь semo163 делится опытом:

По ссылке внизу поста скачал конвертер контейнеров с pkcs#12 на pkcs#15 с инструкцией и всеми зависимостями. Сделал как описано в инструкции что прилагается к архиву. При том не важно какого алгоритма сертификаты 2001 или 2012 ( у меня 2 - 2001 и один 2012), конвертить нужно все, только после этого jinn увидит их на флэшке. Единственное что нужно сделать перед этим, импортировать сертификат через jinn-admin указав расположение сертификата и флэшку для записи. jinn-admin формирует сертификат вида TE.cer. Здесь нюанс такой, что если у вас несколько сертификатов, то придется либо иметь несколько флэшек (или виртуальных флэшек как у меня), т.к. на одну флэшку можно записать только один сертификат TE.cer. После манипуляций с размножением флэшек и установкой туда сертификатов переходим к инструкции. Теперь все работает как в гугл хроме так и в IE 11 (Лису не использую).

 

Извините, но у вас недостаточно прав для комментирования

Комментарии   

0 # doctor 14.01.2021 12:52
Пожалуйста поясните!!!! После конвертации у меня получилось 2 сертификата. Один на рутокене(на нем изначально был) и второй на флешке(на которую он и конвертировался ). И теперь через рутокен заходит а через флешку подписывает. Можно ли как нибудь сделать, что бы все работало только через рутокен?
0 # Alex_04 18.01.2021 08:19
Цитирую doctor:
Один на рутокене (на нем изначально был) и второй на флешке(на которую он и конвертировался). Можно ли как нибудь сделать, что бы все работало только через рутокен?

Вы сами подумайте: раз конвертировали на фрэшку, значит с токена jinn не подписывает (из-за длинного названия орг-ции в серте скорей всего). Так "где же логика?" (с) в Вашем вопросе? Выход в обратном, имхо: И ВХОДИТЬ И ПОДПИСЫВАТЬ С ФЛЭШКИ.
0 # doctor 18.01.2021 12:31
Он не подписывает с токена, но он и не заходит с флешки. Просто хотел уточнить(может есть знающие люди, сам в этих вопросах еще не сильно подкован) можно ли как то сделать конвертацию на рутокен?
0 # Gvinpin 18.01.2021 13:40
Цитирую doctor:
он и не заходит с флешки.
Через КриптоПро -- Сервис скопируйте контейнер с рутокена на флешку. Установите сертификат с привязкой к контейнеру на флешке. Тогда будет заходить.
А что касается конвертации на рутокен -- сообщение ниже (от 16.07.2020), что нужен именно Рутокен S.
0 # Alex_04 19.01.2021 05:25
Цитирую Gvinpin:
Цитирую doctor:
он и не заходит с флешки.
Через КриптоПро -- Сервис скопируйте контейнер с рутокена на флешку.

Зачем? Ведь:
Цитирую doctor:
не подписывает с токена

Имхо, достаточно как раз второго из предложенного Вами:
Цитирую Gvinpin:
Установите сертификат с привязкой к контейнеру на флешке. Тогда будет заходить.

После чего токен вообще извлечь из ПК подальше от вероятности обращения к нему и возможности возникновения "путаницы" при входе и подписании.
0 # Gvinpin 19.01.2021 06:13
Цитирую Alex_04:

Зачем?

Цитирую doctor:
После конвертации у меня получилось 2 сертификата. Один на рутокене(на нем изначально был) и второй на флешке(на которую он и конвертировался). И теперь через рутокен заходит а через флешку подписывает.

Цитирую doctor:
Он не подписывает с токена, но он и не заходит с флешки.

Я так понимаю, что обычный контейнер Криптопро только на рутокене, а на флешке его нет -- есть только сконвертированн ый.
0 # Alex_04 19.01.2021 11:40
Цитирую Gvinpin:
Я так понимаю, что обычный контейнер Криптопро только на рутокене, а на флешке его нет -- есть только сконвертированн ый.

Я тоже так понял.
Цитирую doctor:
Он не подписывает с токена, но он и не заходит с флешки.

Потому что:
- входом рулит КриптоПро - ей подавай "нормальный" ключевой контейнер - он на токене;
- подписанием рулит Jinn - в Вашем случае нужен сконвертированн ый КК - он на флешке.
Предложил оба КК иметь на флешке только по причине простоты её использования. Токен конечно надежней, но он действительно имеет "нюансы" , о чем читайте ниже и выше.
0 # Gvinpin 19.01.2021 12:27
Цитирую Alex_04:
Цитирую Gvinpin:
Я так понимаю, что обычный контейнер Криптопро только на рутокене, а на флешке его нет -- есть только сконвертированный.

Я тоже так понял.
Предложил оба КК иметь на флешке только по причине простоты её использования

Вот затем и скопировать "нормальный" контейнер на флешку, чтобы на ней были оба (а не только один сконвертированы й).
+2 # memoze 16.07.2020 09:25
Может кому поможет, программа для выдаёт ошибку 302645276 если у вас Рутокен 2.0, Рутокен Light, НУЖЕН Рутокен S.
+1 # danmadman 22.06.2020 09:20
Забыли написать, что для завершения всей операции нужен Код Безопасности CSP, иначе

тут версия 3.7.7.651
mega.nz/.../
+4 # avalspro 29.04.2020 08:23
При конвертации контейнера выходит ошибка: [Ключ не может быть использован в указанном состоянии]. Возможно ключ ЭЦП не является экспортируемым
+2 # FarWinter 29.04.2020 09:46
Цитирую avalspro:
При конвертации контейнера выходит ошибка: [Ключ не может быть использован в указанном состоянии]. Возможно ключ ЭЦП не является экспортируемым

  • 1). Если на флешке много старых закрытых ключей, их нужно удалить или перенести в какой-нибудь каталог.
    Оставить только нужные ключи.
    Либо можно Скопировать только один закрытый ключ на другую чистую флешку и проверить конвертацию контейнера. (КриптоПро CSP - Сервис - [ Скопировать... ])

  • 2). Аналогичная ошибка, Нужно проверить значение параметра "экспорт ключа" в закрытом ключе
    КриптоПро CSP - Сервис - [ Протестировать ]
    выбрать соответствующий контейнер закрытого ключа
    Значение параметра "экспорт ключа" должно быть: разрешен

    Если контейнер закрытого ключа, создали через восстановление ключа из файла с расширением .pfx на флешку или в реестр нужно было указать [x] Пометить этот ключ как экспортируемый

    Восстановление ключа из файла с расширением .pfx на флешку или в реестр
    Нужно два раза кликнуть по файлу
    -> Далее -> Далее
    Ввести пароль, который был задан при создании файла .pfx
    Должны быть включены галочки:
    [x] Пометить этот ключ как экспортируемый, что позволит сохранять архивную копию ключа и перемещать его
    [x] Включить все расширенные свойства
    -> Далее
    -> Далее
    Выбрать флешку или реестр, куда восстановить контейнер закрытого ключа
    Если требуется задать пароль для контейнера закрытого ключа
    -> ОК
+1 # Sacred 02.03.2020 05:51
Цитирую Sacred:
ПИШУ из 2020 года даже специально зарегистрировался на этом сайте, чтобы сказать ОГРОМНОЕ СПАСИБО!!! Встала та же самая проблема) Отчеты горят, бухгалтерия в панике! А тех поддержка из эл. бюджета ссылается на инструкцию по установке АРМ и Континента TLS вместе с jinn клиентом) :lol:

Я вообще как остался один на один с суфд и эл бюджетом ТОЛЬКО сюда и забегаю ;-)
+2 # Sacred 02.03.2020 05:50
ПИШУ из 2020 года даже специально зарегистрировал ся на этом сайте, чтобы сказать ОГРОМНОЕ СПАСИБО!!! Встала та же самая проблема) Отчеты горят, бухгалтерия в панике! А тех поддержка из эл. бюджета ссылается на инструкцию по установке АРМ и Континента TLS вместе с jinn клиентом) :lol:
+1 # OLL 07.02.2020 09:32
Не представляю, сколько бы я еще маялась с этой проблемой, если бы не этот форум!!! Все заработало! Спасибо!
Вот только жаль, что ни в одной методической рекомендации, рассылаемой нам сверху нет ни слова о таких проблемах. Кто бы мог подумать, что огромное название организации так усложнит нам жизнь.
+1 # Gvinpin 07.02.2020 09:46
Цитирую OLL:
Вот только жаль, что ни в одной методической рекомендации, рассылаемой нам сверху нет ни слова о таких проблемах.

Например, те, кто получает Jinn 1.0.3050 в нашем УФК, вместе с ним получают конвертер и не имеют проблем. А о необходимости получения Jinn в УФК все были уведомлены еще год назад. Как в других регионах - не знаю.
+3 # OLL 07.02.2020 09:52
Значит Вы более внимательно относитесь к своим клиентам. :-) Им повезло.
+2 # Gvinpin 07.02.2020 12:51
Я скорее не об этом, а о том, что далеко не все выбрали именно такой способ получения СКЗИ.
+1 # Alex_04 07.02.2020 14:21
Цитирую Gvinpin:
те, кто получает Jinn 1.0.3050 в нашем УФК, вместе с ним получают конвертер и не имеют проблем.

Если под "получать" понимать "записанное на 1-разовый носитель" (типа CD-R), то органы ФК имеют право писать туда только официальное СКЗИ, на которое в УФК есть лицензия. Ни первое ни второе не относится к упомянутому конвертору (если правильно понимаю), к сожалению. :( Ваше УФК рисковое, если пишет его тоже туда же. Идея сама по себе правильная -- вещь то нужная. А вот НЕОФИЦИАЛЬНО записывать, например, на флэшку никто не запрещал -- ответственность за использование ПО на его пользователе.
+1 # Gvinpin 07.02.2020 15:45
Нет, не на DVD-R с дистрибутивом.
+1 # dadhi 10.12.2019 01:40
У меня конверталка не хочет видеть целевой носитель в виде виртуального диска! (SoftPrefect RAM Disk) .. хотя как исходный диск его видит !! …
Почему?
+1 # Alex67 10.12.2019 05:41
А сконвертировать на флешку потом перенести в виртуалку что мешает кроме лени? :)
+3 # felix 11.11.2019 10:42
Подскажите на rutoken можно сразу же и сохранить с которого конвертация происходила cертификат и ключ в контейнере PKCS#15, дабы один носитель использовать? Сейчас на usb flash скопировал их. Два ключа использую, все работает, по rutoken заходит, по usb flash подписывает. Если на рутокен сконвентировать , точно не слелит ничего?
-5 # ranger 05.08.2019 06:31
Никаких проблем не испытывал
А кто испытывал - у вас старый XC
на версии XC 1.0.2.2 - никаких проблем
Можете прям закрепить как решение проблемы
+1 # Alex_04 06.08.2019 03:49
Цитирую ranger:
Никаких проблем не испытывал
А кто испытывал - у вас старый XC

Или (возможно) ХС от TLS-клиента, а не от Jinn - есть такой подвох. Поэтому иду в таком порядке: сношу старый TLS, ставлю TLS-2.0, сношу ХС от TLS-2.0 и старый Jinn, ставлю Jinn-1.0.3050 + его XC, настраиваю TLS-2.0. На 7-х ОС пока тьфу (3 раза), с 10-ми не бился.
+1 # ranger 12.08.2019 13:45
Цитирую Alex_04:

Или (возможно) ХС от TLS-клиента, а не от Jinn - есть такой подвох. Поэтому иду в таком порядке: сношу старый TLS, ставлю TLS-2.0, сношу ХС от TLS-2.0 и старый Jinn, ставлю Jinn-1.0.3050 + его XC, настраиваю TLS-2.0. На 7-х ОС пока тьфу (3 раза), с 10-ми не бился.

Ставил с облака яндекса софт по порядку, а установка ТЛС идет в конце всего
(правда провайдер ставил 1.1.0.5 когда был старый у автора, ну и компоненты c++ я ставил с офрума oszone паком гибрид) - на 1809 х64 с криптой 9944 никаких проблем
+2 # harlamov80 01.08.2019 13:34
Огроменное человеческое спасибо!!!
Два для бился - ничего. Общий смысл ответов техподдержки - у вас руки кривые.
Сконвертировал и сразу все подписалось.
+3 # ugg555 27.06.2019 00:32
Подскажите!

Как добиться пункта 6... то есть как увидеть контейнер в Крипто ПРО?
Установить сертификат, не вижу данный контейнер.
+2 # Gvinpin 27.06.2019 03:51
КриптоПро работает не с PKCS#15, а с PKCS#12. А конвертация PKCS#12 в PKCS#15 делается для Jinn-Client, т.к. именно через Jinn осуществляется подписание в ЭБ.
+1 # igor1806 14.05.2019 13:12
Ключ у одного клиента отконвертировал и, но при загрузке в АРМ генерации Ошибка - программа создания доверенной среды будет закрыта
+1 # bsv_144 03.04.2019 07:15
При конвертации в PKCS#15 на флешке появляется файл TEcont.p15, чтобы Jinn Client увидел данный контейнер ещё закинул туда сертификат пользователя с именем файла TE.cer (по другому Jinn Client не видит сертификат).
В связи с этим возник вопрос, возможно ли на одну флэшку закинуть контейнеры для нескольких пользователей ?
Пробовал закинуть несколько контейнеров на одну флэшку с помощью АРМ генерации ключей от Jinn Client, но к сожалению результат оказался тот-же (видит только один сертификат).
+4 # Gvinpin 04.04.2019 17:54
Одна флешка - один сертификат. Но здесь на форуме писали, как монтировать диск из папки, поищите. Можно смонтировать столько дисков, сколько нужно сертификатов.
+3 # Alex_04 31.03.2019 11:17
Спасибо за полезную информацию. :) Вопрос: почему vcredist именно 2015? С 2010-м не заработает, проверялось?
+1 # sedkazna 31.03.2019 14:30
Нет, не проверялось мной лично, хотя другими опробовано. Сказали, что необходимо ставить vc_redist.x86.e xe даже на 64 разрядную систему - не знаю с чем связано, не проверял еще.