Windows-терминалы WTware
Программа-клиент службы терминалов Windows Terminal Services, для бездисковых терминалов и загрузки по сети. Основной сайт http://www.wtware.ru
esmart token. est64u-r1
esmart token. est64u-r1
Сообщение Rgpr » Вт дек 18, 2018 1:28 pm
в настройках смарткарт такого точно id нету
USB ID: 072f:90de, bus ID: 3-12, class: 0x00, subclass: 0x00, Advanced Card Systems, Ltd
Re: esmart token. est64u-r1
Сообщение aka » Вт дек 18, 2018 2:45 pm
Re: esmart token. est64u-r1
Сообщение Rgpr » Вт дек 18, 2018 3:05 pm
Re: esmart token. est64u-r1
Сообщение aka » Вт дек 18, 2018 3:45 pm
Re: esmart token. est64u-r1
Сообщение Rgpr » Вт дек 18, 2018 4:18 pm
Re: esmart token. est64u-r1
Сообщение aka » Вт дек 18, 2018 4:29 pm
Re: esmart token. est64u-r1
Сообщение Rgpr » Вт дек 18, 2018 4:47 pm
ежели те же 4.5для винды держат мою смарткарту, подразумеваю что и линуховые 4.5 должны
Re: esmart token. est64u-r1
Сообщение aka » Вт дек 18, 2018 4:49 pm
Re: esmart token. est64u-r1
Сообщение Rgpr » Вт дек 18, 2018 6:53 pm
т.е.? что где поправить?
выставляю smartcard 072f:90cc виндовый pki который на серваке видит виртуальную СМ в независимости воткнуто или нет
одинаково ничего не читает ни одна прога
Re: esmart token. est64u-r1
Сообщение aka » Вт дек 18, 2018 7:18 pm
Подключить ридер к клиентской, физической машине с виндовс. Подключиться к серверу через mstsc.exe. Убедиться, что «прога» читает карту.
Подключить ридер к машине с втварью. Удалить из конфига все, оставить две строки «server=ip-ардес-сервера» и «smartcard=acs». Подклчиться к серверу. Убедиться, что «прога» читает карту.
Re: esmart token. est64u-r1
Сообщение Rgpr » Ср дек 19, 2018 12:57 pm
а ничего и не «ломается»
втварь видит токен в логах красиво пишет:
[ KERNEL] [ 51.913883] usb 3-11: new full-speed USB device number 3 using xhci_hcd
[ KERNEL] [ 52.064692] usb 3-11: New USB device found, idVendor=072f, idProduct=90de, bcdDevice= 1.00
[ KERNEL] [ 52.064693] usb 3-11: New USB device strings: Mfr=1, Product=2, SerialNumber=0
[ KERNEL] [ 52.064693] usb 3-11: Product: Token USB 64K
[ KERNEL] [ 52.064694] usb 3-11: Manufacturer: ESMART
когда сунешь
и
[ KERNEL] [ 78.987197] usb 3-11: USB disconnect, device number 3
когда высунешь
запуск криптопроCSP и клики
1)сервис 2) просмотреть сертификаты в контейнере 3)Обзор =- не вызывают ни одной новой строки в логе втвари
по mstsc не моментально, но сек за 30 показывает все. бывает ли лог mstsc чтобы посмотреть и сравнить реакцию на запуск\обзор криптопро?
Что делать если esmart token перестал работать
Всем привет сегодня хочу рассказать свою трех дневную войну с проблемой, что не видится Etoken в PKI Client. История такова в нашей компании внедряется шифрование писем и с этой целью были выпущены сертификаты шифрования и подписывания писем нашим Центром сертификации (CA). Сертификаты выпущены на Etoken и у всех они установились нормально а вот на месте бухгалтера он отказывался видится. Далее опишу решение проблемы.
Рабочее место бухгалтера имело огромное количество специального бухгалтерского софта. К компьютеру уже было подключено 3 рутокена. Вот так вот выглядела консоль управления PKI. Видим 3 пустых считывателя, но в итоге это не пустые а как оказалось это были рутокены, которые просто не могли определится клиентом PKI.
Не видится Etoken в PKI Client-01
Вот так вот выглядели свойства eToken. Видим 3 пустые устройства.
Не видится Etoken в PKI Client-02
Первое что нужно сделать это добавить число одновременно работающих ключей, делается это так. Правым кликом по Устройствам и выбираем Управление устройствами считывания
Не видится Etoken в PKI Client-03
и увеличиваем число аппаратных считывателей.
Не видится Etoken в PKI Client-04
После этого действия нужно перезагрузиться и токен должен определиться. Если не определился читаем дальше:)
В просмотре событий вы можете обнаружить вот такую вот ошибку.
Устройство чтения смарт-карт «Aladin Token JC0» отклонило IOCTL GET_STATE: Операция ввода/вывода была прервана из-за завершения потока команд
Данное чудо чаще всего выскакивает по двум причинам криво установились дрйвера и требуется удаление и перестановка или правка реестра.
Не видится Etoken в PKI Client-05
Для переустановки нужно удалить PKI Client и скачиваем PKI Client с последующей переустановкой. Напомню что при установке Etoken клиента етокены все должны быть отсоединены от компьютера. После установки токен должен загореться и Windows должен накатить на него драйвера и определить. Если не определился попробуйте выключить все лишние токены и оставить только тот. Если не помогло правим реестр. Открываем редактор реестра. Идем в ветку: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais
Не видится Etoken в PKI Client-06
щелкаем по ней правым кликом и выбираем разрешения
Не видится Etoken в PKI Client-07
И ставим права Создатель-Владелец полные
Не видится Etoken в PKI Client-08
Перезагружаемся должно сработать. Если не появилось напишите мне вместе подумаем. Вот так вот просто решается проблема, что не видится Etoken в PKI Client.
Популярные Похожие записи:
11 Responses to Не видится Etoken в PKI Client
Проделал все вышеперечисленные манипуляции. Не помогло. Тем более, у меня даже не видит токены, и не изменяется количество считывателей
а вы администратор на компьютере?
выполнил все выше упомянутые методы ничего не помогло ( единственный пользователь и он администратор)
до этого сбоя все прекрасно работало, возможно встали криво какие то обновления?((( востановление системы не смогло вернуться на резервную копию
Порты пробовали менять USB? например могут на передней панели не стоять драйвера или если используете usb hub, попробуйте в другой порт вставить
Вот точно такая же проблема на вин10. только еще усугубляется тем, что в реестр не дает внести изменения — галки ставлю на полный доступ. жму применить и они сразу слетают. Тех поддержка НИИАС ничем не помогла. Может напишешь как с тобой связаться? очень надо заставить ключ работать на этом компьютере. Спасибо.
попробуйте в безопасном режиме, внести правки реестра.
Один в один проблема на вин8.1 В безопасном режиме изменения в реестре также не сохраняются…
Подобная проблема началась после какого-то определенного вируса. У клиентов, у которых отсутствовал антивирус, компьютер больше не видел токены. Т.е. винда как устройство их видит, а PKI, CryptoPro зависают, при просмотре списка устройств или сертификатов в контейнере.
Клиенты принесли токены на проверку: проблема повторяется. Пробовали на разных компах, даже на пустом новом компе. Ничего не помогло.
Выдали клиенту новый рабочий токен (проверили). Он вставляет его в свой комп и токен выходит из строя.
Можно было бы подумать на неисправность USB, но уже порядка 10 клиентов за 2 недели обращаются с данной проблемой. И у всех проблема с антивирусом.
Читал статьи:
_ttps://www.aladdin-rd.ru/company/info_message
Может кто в курсе что такое происходит с ними? Брак или вирус? Лечится или нет?
У меня E-token перестал определяться. Я могу предположить что причина в том, что нельзя было оставлять его вставленным в системный блок во время установки программы PKI Client. Но я про это ПРЕДУПРЕЖДЕНИЕ просто забыл. Теперь, когда он вставлен, то он горит красным цветом, как и раньше, но PKI Client его не определяет (не видит). Более того на другом компьютере все тоже самое происходит. К тому же он блокирует открывание окон в интернете. Пожалуйста, подскажите мне как его оживить? Заранее спасибо.
Как исправить ошибку, если сертификат ЭЦП не виден на носителе
Иногда при работе с электронной цифровой подписью (ЭЦП) выходит ошибка о том, что ПК не видит сертификат подписи на носителе или о том, что при создании подписи была допущена ошибка. Причина может быть в неустановленном или переставшем работать драйвере, в неисправности токена или в неисправности программной части компьютера.
Почему не виден сертификат ЭЦП на носителе
Обычно проблема решается простой перезагрузкой компьютера и объясняется сбоем в работе программных компонентов. Но иногда для исправления ошибки нужно переустановить драйвера или обратиться в службу технической поддержки пользователей.
Причина 1: драйвер не установлен или устройство отображается в диспетчере устройств с восклицательным знаком
Если на носителе Рутокен ЭЦП не найдено ни одного сертификата, а в диспетчере устройств носитель отображается с восклицательным знаком, то проблема кроется в драйвере.
Для исправления ситуации нужно извлечь носитель ЭЦП из компьютера и скачать последнюю версию драйвера. Скачивание нужно производить только с официальных ресурсов:
После установки драйвера нужно снова подключить носитель. Если ошибка повторяется, проверьте корректность работы токена. Для этого подключите его к другому ПК. Если носитель определился системой, то на неисправном компьютере удалите драйвер и установите его заново.
Причина 2: долгое опознание носителя на Windows 7
При работе в ОС Windows 7 драйверы могут долго назначаться. Решение проблемы — дождитесь окончания процесса или обновите версию ОС.
Причина 3: USB-порт работает некорректно
Убедитесь, что проблема в USB-порте, а не в носителе ЭЦП, для этого переключите токен к другому порту. Если носитель определился системой, то перезагрузите ПК. Обычно это помогает справиться с проблемой и запустить работу всех USB-портов. Если перезагрузка не помогла, то желательно обратиться в техническую поддержку для устранения неисправности.
Причина 4: носитель неисправен
Если при переключении носителя к другому ПК или USB-порту флешку компьютер не видит, то проблема в носителе. Чтобы устранить неисправность, обратитесь в сервисный центр для выпуска нового токена.
Почему выходит ошибка при создании подписи
Ошибка создания подписи обычно имеет в расшифровке два значения:
Неисправность работы подписи связана с некорректной работой криптопровайдера, неустановленными или необновленными сертификатами.
Решение проблемы зависит от типа ошибки и обычно не требует обращения в техническую поддержку.
Устранение ошибки ненайденного элемента ЭЦП
Переустановите криптопровайдер на неисправном ПК с официального портала КриптоПро (https://www.cryptopro.ru/downloads). После этого очистите кэш и временные файлы в используемом браузере, а также кэш Java. Затем удалите личные сертификаты и сертификаты главного удостоверяющего центра. Используйте КриптоПро и заново установите новые в соответствии с именем контейнера. После установки корневых сертификатов:
Если после проделанной работы ошибка сохраняется, то нужно обратиться в сервисный центр.
Устранение ошибки с построением цепочки сертификатов
Обычно ошибку вызывает отсутствие сертификатов доверенных корневых центров. Чтобы устранить неисправность, нужно открыть список сертификатов и найти проблемный. Он будет иметь отметку о проблеме в проверке отношений:
Затем пользователь скачивает с официальной страницы сертификат Минкомсвязи РФ и сертификат удостоверяющего центра, имеющего проблемы в работе. Устанавливают их в раздел «Корневые сертификаты», а пошаговый процесс выглядит так:
В нужном сертификате нажать «Установить».
В мастере импорта сертификатов нажать «Далее» и в новом окне поставить галочку напротив «Поместить все сертификаты в следующем хранилище». Нажать «Обзор».
В открывшемся списке выбрать «Доверенные корневые центры» и нажать последовательно «ОК» и «Далее».
Нажать «Готово», а затем подтвердить установку.
Дождаться установки и перезагрузить ПК. Если после этого подписание сопровождается ошибкой, то необходимо обратиться за помощью в техническую поддержку.
Ошибки в работе носителя электронной подписи могут быть вызваны как неисправностью самого носителя, так и неисправностями в программном обеспечении. Перезагрузите ПК и переключите токен в другой порт, чтобы убедиться в его исправности. Если проблема вызвана тем, что токен поврежден, то необходимо обратиться в сервисный центр компании, выпустившей USB. При ошибке, возникающей во время подписания документа, нужно убедиться в корректной работе всех сертификатов и криптопровайдера и при необходимости провести их полную переустановку.
Получаем подпись в ФНС: как выбрать носитель
Чтобы бесплатно получить подпись в ФНС, индивидуальный предприниматель, юридическое лицо или нотариус должны приобрести специальный токен. Токен — это носитель электронной подписи, он служит для хранения ключа ЭП и его использования.
В этой статье мы разберёмся в том, какие носители существуют, в чём разница между ними и расскажем, как с ними работать и какие ошибки могут возникнуть во время их эксплуатации.
Какие носители бывают
Все токены внешне напоминают флешку и выполняют её функции — выступают в качестве носителя. Однако, в отличие от обычной флешки, токены являются защищёнными носителями: на них устанавливается пароль и в них встроены криптографические алгоритмы. Это сделано для того, чтобы максимально обезопасить хранимую на них электронную подпись от компрометации, то есть доступа постороннего лица к защищённой информации.
Мы лишь вскользь упомянем о том, что хранить электронную подпись можно и на компьютере, но это небезопасно. В то же время, с 1 января 2022 года, получить подпись для юридических лиц, индивидуальных предпринимателей и нотариусов можно будет только в удостоверяющем центре ФНС. И получатель должен иметь при себе токен, на который и будет загружен ключ.
К носителям выставлены определённые требования: они должны быть сертифицированы и соответствовать формату USB Type-A. К этому типу можно отнести следующие токены:
В чём разница
Носители различают по следующим критериям: производитель, внешний вид, аппаратная криптография, объём защищённой памяти, цена, дополнительные опции, поддержка тех или иных операционных систем и необходимое программное обеспечение для работы.
Токены могут различаться также и по максимальному количеству электронных подписей, которые можно на них установить. Например, если размер носителя 64 Кб, то на него можно установить до 8 электронных подписей.
Объём защищённой памяти варьируется от 32 до 128 Kb, в зависимости от производителя. Некоторые модели могут содержать дополнительную flash-память для автоматического запуска необходимого программного обеспечения. Большинство токенов поддерживает множество версий Windows, а также Mac OS X и GNU/Linux.
Несмотря на все отличия, носители служат одной цели. Мы рекомендуем при выборе токена обращать внимание на то, подходит лишь ваша операционная система или нет для работы с данным носителем. При необходимости можно покупать карту с дополнительными опциями.
Как работать с носителями
Порядок получения электронной подписи на токен выглядит следующим образом:
Чтобы полноценно работать с установленной на токен электронной подписью, нужно выполнить ещё несколько действий. Главное — на компьютер нужно установить криптопровайдер « КриптоПро CSP », это требование налоговой. Остальное зависит от выбранного носителя: нужно будет установить драйвер для работы с токеном.
Порядок работы с носителями очень прост: в случае с Рутокеном, который является самым распространённым российским носителем, достаточно установить драйвер и воткнуть сам токен в гнездо USB. Настройка носителя осуществляется в специальной панели управления, которая устанавливается вместе с драйвером.
После выполненных действий электронную подпись можно будет использовать по назначению: подписывать электронные документы, работать с государственными порталами и участвовать в закупках.
Какие могут возникнуть ошибки
Во время работы с токеном могут возникать ошибки, которые может исправить либо сам пользователь, либо организация, выдавшая носитель. Рассмотрим основные ошибки, которые возникают при работе с Рутокеном.
Носитель ключа электронной подписи нужно хранить в недоступном для посторонних лиц месте, чтобы избежать компрометации. Использовать его нужно чётко в соответствии с прилагаемой инструкцией, а при возникновении проблем — пользоваться вышеуказанными методами их решения или обращаться в службу поддержки.
ESMART
 |
| Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. |
Содержание
PIN-код [ править ]
PIN-кодом называют сочетание символов, как правило цифр, но для ESMART Token также могут использоваться алфавитные и служебные символы. Оптимально, надежный пароль должен быть не менее 8 символов и желательно содержать символы минимум 3 типов, например, большие и маленькие буквы и цифры, или буквы, цифры и служебные символы.
Благодаря аппаратной защите PIN-код может быть проще, т.к. карта защищена от подбора пароля методом перебора. После того как несколько раз был введен неверный пароль, карта блокируется.
Получить доступ к хранящимся на заблокированной карте ключам, данным и сертификатам невозможно. Разблокировать карту можно при помощи SO PIN.
SO PIN используется администратором для инициализации карты, разблокировки карты после ввода пользователем неверного ПИН-кода.
Значения PIN-кодов ESMART Token ГОСТ, установленные по умолчанию: Пользователь (pin): 12345678; Администратор (so-pin): 12345678
Работа с ESMART Token ГОСТ утилитой pkcs11-tool [ править ]
Пакеты для работы с ESMART Token ГОСТ [ править ]
Должна быть установлена библиотека libisbc_pkcs11_main.so и утилита pkcs11-tool:
Проверка работы ESMART Token ГОСТ [ править ]
Проверяем работу токена, он должен быть виден в списке:
Просмотреть имеющуюся на токене информацию можно при помощи команды (требуется пароль от токена):
Инициализация токена [ править ]
Смена PIN-кода [ править ]
Для смены PIN-кода необходимо выполнить команду (потребуется ввести текущий PIN-код, а затем дважды ввести новый):
Разблокировка PIN-кода [ править ]
Для того чтобы разблокировать PIN-код необходимо выполнить команду (потребуется ввести so-pin карты, а затем дважды ввести новый PIN-код):
Удаление объекта [ править ]
Для удаления объекта необходимо указать его тип и идентификатор (id) или название (label). Открытый и закрытый ключ удаляются отдельно.
Создание ключевой пары [ править ]
Создание ключевой пары по алгоритму ГОСТ:
Создание ключевой пары RSA 1024:
Сертификаты [ править ]
Создание запроса на сертификат [ править ]
Получение сертификата [ править ]
Запрос на сертификат необходимо подписать в аккредитованном удостоверяющем центре.
Запись сертификата на карту [ править ]
Подписанный сертификат необходимо записать на карту:
OpenSC требует сертификаты в двоичном формате (DER). При попытке записать файл в кодировке base64 (PEM), появляется сообщение об ошибке.
Сертификат можно переконвертировать при помощи OpenSSL:
Чтение сертификата [ править ]
Если на карте имеется сертификат, его можно прочитать командой:
ID сертификата можно посмотреть, выведя список объектов на токене:
Создание и настройка входа через ssh [ править ]
Предполагается что ssh-сервер запущен (на 192.168.3.108) и имеет настройки, принятые по умолчанию в ALT Linux.
Для удобства на компьютере клиенте в файле
/.ssh/config можно указать сокращение:
Утилита PKIClientCli [ править ]
Утилита PKIClientCli предназначена для работы со смарт-картами или USB-ключами ESMARTToken. Утилита позволяет выполнить все необходимые операции со смарт-картами или USB-ключами ESMARTToken в командной строке.
Изменение SO PIN (PIN) для смарт карты или токена:
Поддерживаемые алгоритмы [ править ]
Список поддерживаемых механизмов:
Генерация ключей [ править ]
где: Key type — тип ключа: GOST, GOST:256, GOST:512 или RSA:бит (512/1024/ и т.д) [по умолчанию GOST:256]
Например, генерация ключей GOST:256:
Просмотр объектов (verbose 1 — показать подробную информацию, 0 — краткую):
Создание запроса на сертификат и импорт полученного сертификата [ править ]
Команда создания запроса на сертификат:
Шаблон CSR имеет вид:
Например, создадим запрос на сертификат esmart.csr на основе данных записанных в шаблоне esmart.tmpl :
Запрос на сертификат необходимо подписать в аккредитованном удостоверяющем центре.
Для получения сертификата в УЦ (на примере тестового удостоверяющего центра КриптоПро), необходимо выполнить следующие действия:
Подписанный сертификат необходимо записать на карту:
Подписание документов [ править ]
—pin — PIN (PIN пользователя) для смарт карты или токена (обязательный);
—inpath — путь к файлу для подписи (обязательный);
—outpath — путь к файлу, где будет храниться подпись (обязательный);
—certid — ID объекта сертификата пользователя (обязательный);
—intcertids — промежуточные идентификаторы объекта сертификата (через запятую);
—detached — тип подписи, 0 — прикреплённая (по умолчанию), 1 — откреплённая;
—privkeyid — ID объекта закрытого ключа. Если не указан, будет найден автоматически по сертификату пользователя;
—noconfirm — не спрашивать подтверждение перед подписью, 0 — подтверждение необходимо (по умолчанию), 1 — пропустить подтверждение.
Создание прикреплённой (attached) подписи:
Создание откреплённой (detached) подписи (если в команде не вводить обязательные поля, они будут запрошены):
Проверка подписи [ править ]
—signature — путь к файлу с подписью (обязательный);
—path — путь к файлу с откреплённой подписью;
—crldir — путь к каталогу с файлами CRL (—verifychain 1 также должен быть указан);
—verifychain — проверить цепочку сертификатов и CRL, 0 — не проверять (по умолчанию), 1 — проверять. Сертификат CA должен быть загружен как доверенный.
Проверка откреплённой подписи:
Хэш-функция [ править ]
—path — путь к файлу (обязательный);
—mechanism — механизм хэш-функции,полный список можно получить командой listm (обязательный).
КриптоПро [ править ]
Подробнее о КриптоПро: КриптоПро
Электронный идентификатор ESMART Token ГОСТ поддерживается в СКЗИ «КриптоПро CSP» в качестве ключевого носителя.
Для версии КриптоПро: КриптоПро CSP 4.0 R4, необходимо установить пакет поддержки карт Esmart (из архива КриптоПро):
Управление считывателями [ править ]
Проверка видимости токена:
Просмотр доступных считывателей:
Создание контейнера [ править ]
Создание контейнера на токене/смарт-карте:
При установленном пакете cprocsp-rdr-gui-gtk будет показано графическое окно, где будет предложено перемещать указатель мыши или нажимать клавиши:
После этого необходимо предъявить PIN-код пользователя.
После указания PIN-кода снова будет предложено перемещать указатель мыши.
Создание неизвлекаемого контейнера:
В этом случае будет использована встроенная криптография носителя.
Создание контейнера КриптоПро:
В этом случае будет использована криптография КриптоПро
Проверить наличие контейнеров можно с помощью команды:
Просмотр подробной информации о контейнере:
Удалить контейнер можно с помощью команды:
Управление сертификатами [ править ]
Создание запроса на сертификат [ править ]
Создание запроса на получение сертификата средствами КриптоПро:
Запрос на сертификат необходимо подписать в аккредитованном удостоверяющем центре.
Добавление (запись) сертификатов [ править ]
Добавление сертификата, без привязки к ключам (только проверка ЭЦП):
Ассоциировать сертификат с контейнером, сертификат попадет в пользовательское хранилище My:
Запись сертификата УЦ:
Просмотр сертификатов [ править ]
Просмотр сертификатов в локальном хранилище uMy:
Просмотр сертификатов в контейнере:
Просмотр корневых сертификатов:
Создание и проверка подписи [ править ]
Для создания электронной подписи файла необходимо указать сертификат и имя подписываемого файла:
Для извлечения файла с данными из файла электронной подписи необходимо указать имя файла, в который будут извлечены данные, в конце команды проверки подписи:
