Inzerce na portálu

Sbis na virtuálním počítači s hyper-v. Cryptopro nevidí klíč JaCarta, vyřešíme to během minuty Algoritmus pro řešení problémů s JaCartou

První den

V systému Windows 7 x64, Virtual Box (verze 4 a 5) s balíčkem Extension Pack a CryptoPro CSP (CryptoPro CSP 3.6 R4 pro Windows).

Při spouštění virtuálního stroje přes Virtual Box se systém zhroutil na modrou obrazovku. Důvodem je nemožnost spolupráce CryptoPro CSP a Virtual Box.

Aby se zabránilo modré obrazovce při spouštění virtuálního Virtuální stroje Box smazal CryptoPro CSP a restartoval počítač. Řešení je dočasné, nemohl jsem přijít na to, jak se mezi těmito dvěma produkty spřátelit, a VirtualBox byl potřebnější než CryptoPro.

Pomohlo vám dostat se do kontaktu s VirtualBox + CryptoPro == BSOD zpráva na fóru:
Diskuse probíhá také na fóru Crypto Pro:
Zprávy z blueScreenView:

Řetězec kontroly chyb SYSTEM_SERVICE_EXCEPTION
Kód kontroly chyb 0x0000003b
Parametr 1 00000000`c0000005
Parametr 2 ffff800`032735af
Parametr 3 ffff880`0412eb90
Parametr 4 00000000`00000000
Způsobeno řidičem ntoskrnl.exe
Způsobeno adresou ntoskrnl.exe+73c40
Popis souboru NT jádro a systém
Verze souboru
Hlavní verze 15
Vedlejší verze 7601
Byl zjištěn problém a systém Windows byl ukončen, aby nedošlo k poškození počítače. Zdá se, že problém je způsoben následujícím souborem: ntoskrnl.exe Technické informace SYSTEM_SERVICE_EXCEPTION: *** STOP: 0x0000003b (0x00000000c0000005, 0xfffff800032735af, 0xffffff8800410000000000000 ntoskrnl.exe – Adresa 0xfffff80003292c40 základna na 0xffff8000321f000 DateStamp 0x5625815c Výstup – Virtual Box (verze 4 a 5) a CryptoPro CSP (CryptoPro CSP 3.6 R4 pro Windows) zatím nejsou kompatibilní na Windows 7 x64 SP1.

================

Druhý den

Druhý monitor jsem připojil k prvnímu monitoru pomocí USB 3.0 VGA adaptéru. Model zařízení - Fresco Logic FL200 USB Display Adapter. Pokud adaptér připojíte před zapnutím virtuálního počítače, pak je vše v pořádku. A pokud připojíte adaptér, zatímco virtuální stroj Virtual Box běží, znovu se objeví modrá obrazovka.

Řetězec kontroly chybIRQL_NOT_LESS_OR_EQUAL
Kód kontroly chyb0x0000000a
Parametr 100000000`00000088
Parametr 200000000`00000002
Parametr 300000000`00000001
Parametr 4ffff800`032579e6
Způsobeno řidičemntoskrnl.exe
Způsobeno adresountoskrnl.exe+73c00
Popis souboruNT jádro a systém
Verze souboru6.1.7601.19110 (win7sp1_gdr.151230-0600)
Hlavní verze15
Vedlejší verze7601

Byl zjištěn problém a systém Windows byl ukončen, aby nedošlo k poškození počítače. Zdá se, že problém je způsoben následujícím souborem: ntoskrnl.exe IRQL_NOT_LESS_OR_EQUAL Technické informace: *** STOP: 0x0000000a (0x0000000000000088, 0x0000000000000002, 0700000070000600000007 *** ntoskrnl.exe – Adresa 0xfffff80003276c00 základna na 0xffff80003203000 DateStamp 0x5684191c
Z toho, co je vidět před chybou - správce zařízení (HAL) hlásí, že je připojeno nové zařízení USB 2.0 a pak se systém zhroutí. Správce zařízení je nesprávný, protože zařízení USB 3.0 je připojeno k portu USB 3.0.

Možná je to jen náhoda, dvě BSOD za sebou. A příčina BSOD v implementaci ovladačů pro Fresco Logic FL200 USB Display Adapter.

Existuje však předpoklad, že příčina chyb je v implementaci podpora USB 2.0 / USB 3.0 ve VirtualBoxu. A speciální možnosti podpory USB se objeví, když Instalace Oracle Balíček rozšíření VM VirtualBox.

Nerad bych odstraňoval VirtualBox, ale někdy je to nutné. A mohu snadno odstranit Extension Pack. Doufám, že po odebrání VirtualBox Extension Pack modré obrazovky už ne. A můžete přeinstalovat CryptoPro CSP 3.6 R4 pro Windows a používat dva monitory.

Onehdy jsem přenesl terminálový server (Windows 2003 server x64 standard) na virtuální počítač. Na terminálovém počítači pracovali účetní s VLSI. Certifikáty pro SBIS jsou uloženy na flash disku, nejsou předávány virtuálnímu počítači. Boogers jsou nervózní, je třeba něco udělat:

  1. Zkoušel jsem vytvořit disk a zkopírovat tam certifikáty, ale crypto pro nevidí místní disky. Smutek 1
  2. Přenesl jsem Sbis na virtuální počítač pod Windows server 2012R2, předal flash disk (režim rozšířené relace). Byl detekován jako místní disk. Smůla 2

Pak jsem se rozhodl zavolat na technickou podporu VLSI (při slovu virtuální stroj konzultant upadl do strnulosti a začal dávat podivné rady...). U třetího poradce jsem dostal odpověď, že pouze přes registr (což jsem nechtěl). No dobře, začal jsem to dělat přes registr....

A pak mi došlo, že je možné připojit disketu Eureka))))
Vytvořil jsem disketu pomocí HYPER-V MANAGER a hodil tam certifikáty. Otevřel jsem crypro pro a ujistil se, že jsou vidět certifikáty! Zdá se, že to mělo skončit, ale ne...
Při podepisování nebo „odesílání potvrzení“ se zobrazí chyba: soukromý šifrovací klíč nebyl nalezen... Chcete-li tento problém vyřešit, přejděte na KONTROLNÍ PANELCryptoPRO CSPSERVISSMAŽTE ULOŽENÁ HESLAODSTRANĚTE INFORMACE O POUŽITÝCH VYJÍMATELNÝCH MÉDIÍCH(zaškrtněte políčko). A štěstí přichází, ale ne pro každého... Tento postup je nutné opakovat pro všechny uživatele, kteří používají crypto pro (ať už jde o stránky státních zakázek nebo SBIS...).

P.S: možnost s registrem funguje docela dobře, ale nechtěl jsem to udělat!

3 komentáře

  1. Spouštím to na ESXi 5.5 Windows 2012 R2
    stojí crypto pro 3,9
    z nějakého důvodu po zavření sbisa někdy proces zůstane viset v paměti, setkali jste se s takovým problémem?
    V tomto případě můžete spustit SBIS znovu a otevře se normálně, předchozí verze nebude blokovat žádné soubory.
    Nemohu přijít na to, co je špatně, hodně to zabírá paměť, pokud zůstane spuštěno několik kopií.

Dobré odpoledne!. Za poslední dva dny jsem měl zajímavý úkol k řešení této situace existuje fyzický nebo virtuální server, na kterém je pravděpodobně nainstalováno známé CryptoPRO. Připojeno k serveru , který se používá k podepisování dokumentů pro VTB24 DBO. Vše funguje lokálně na Windows 10, ale na serverové platformě Windows Server 2016 a 2012 R2, Cryptopro nevidí klíč JaCarta. Pojďme zjistit, v čem je problém a jak jej opravit.

Popis prostředí

Je zapnutý virtuální stroj Vmware ESXi 6.5, as operační systém Nainstalovaný Windows Server 2012 R2. Na serveru běží CryptoPRO 4.0.9944, aktuálně nejnovější verze. Dongle JaCarta se připojuje ze síťového rozbočovače USB pomocí technologie USB over ip. Zadejte systém vypadá to, ale ne v CryptoPRO.

Algoritmus pro řešení problémů s JaCartou

CryptoPRO velmi často způsobuje různé chyby ve Windows, jednoduchý příklad (nebylo možné získat přístup k instalační službě Windows). Takto vypadá situace, kdy utilita CryptoPRO certifikát v kontejneru nevidí.

Jak můžete vidět v utilitě UTN Manager, klíč je připojen, je v systému vidět v čipových kartách jako zařízení Microsoft Usbccid (WUDF), ale CryptoPRO tento kontejner nedetekuje a nemáte možnost nainstalovat osvědčení. Token byl připojen lokálně, vše bylo při starém. Začali jsme přemýšlet, co dělat.

Možné důvody s definicí kontejneru

  1. Za prvé se jedná o problém s ovladači, například ve Windows Server 2012 R2 by JaCarta měla být v seznamu čipových karet ideálně definována jako JaCarta Usbccid Smartcard, a ne Microsoft Usbccid (WUDF)
  2. Za druhé, pokud je zařízení považováno za Microsoft Usbccid (WUDF), pak může být verze ovladače zastaralá, a proto vaše nástroje nezjistí chráněné zařízení. úložiště USB.
  3. Zastaralá verze CryptoPRO

Jak vyřešit problém, že cryptopro nevidí USB klíč?

Vytvořili jsme nový virtuální stroj a začali postupně instalovat software.

Před instalací jakékoli software práci s USB disky obsahujícími certifikáty a soukromé klíče. Potřebovat NEZBYTNĚ deaktivujte token, pokud je vložen lokálně, pak jej deaktivujte, pokud je přes síť, ukončete relaci

  • Nejprve aktualizujeme váš operační systém všemi dostupnými aktualizacemi, protože Microsoft opravuje mnoho chyb a chyb, včetně ovladačů.
  • Druhým bodem je v případě fyzického serveru instalace všech nejnovějších ovladačů na základní desku a všechna periferní zařízení.
  • Dále nainstalujte Unified JaCarta Client.
  • Nainstalujte nejnovější verzi CryptoPRO

Instalace jednoho klienta JaCarta PKI

Jeden klient JaCarta- Tento speciální utilita od firmy Aladdin, pro řádný provoz s tokeny JaCarta. Stáhněte si nejnovější verzi tohoto softwarový produkt, můžete z oficiálního webu nebo z cloudu, pokud ho najednou nemůžete získat z webu výrobce.

Dále rozbalíte výsledný archiv a spustíte instalační soubor pro vaši architekturu Windows, můj je 64bitový. Začněme s instalací ovladače Jacarta. Jediný klient Jacarta, instalace je velmi jednoduchá (PŘIPOMÍNÁM, že váš token musí být v době instalace deaktivován). V prvním okně průvodce instalací jednoduše klikněte na Další.

Přijměte licenční smlouvu a klikněte na „Další“

Aby ovladače tokenů JaCarta fungovaly správně, stačí spustit standartní instalace.

Pokud zvolíte "Vlastní instalace", nezapomeňte zaškrtnout následující políčka:

  • Ovladače JaCarta
  • Podpůrné moduly
  • Podpůrný modul pro CryptoPRO

Po několika sekundách je sjednocený klient Jacarta úspěšně nainstalován.

Nezapomeňte restartovat server nebo počítač, aby systém viděl nejnovější ovladače.

Po Instalace JaCarta PKI, musíte si nainstalovat CryptoPRO, k tomu přejděte na oficiální web.

https://www.cryptopro.ru/downloads

Aktuálně nejvíce Nejnovější verze CryptoPro CSP 4.0.9944. Spusťte instalační program, ponechte zaškrtávací políčko „Instalovat kořenové certifikáty“ a klikněte na „Instalovat (doporučeno)“

Instalace CryptoPRO bude provedena v Pozadí, po kterém uvidíte návrh na restartování prohlížeče, ale doporučuji vám restartovat úplně.

Po restartu připojte USB token JaCarta. Moje připojení je přes síť, ze zařízení DIGI, přes . V klientovi Anywhere View je můj USB disk Jacarta úspěšně detekován, ale jako Microsoft Usbccid (WUDF) a v ideálním případě by měl být definován jako JaCarta Usbccid Smartcard, ale musíte to stejně zkontrolovat, protože vše může fungovat.

Po otevření nástroje Jacarta PKI Unified Client nebyl nalezen žádný připojený token, což znamená, že je něco v nepořádku s ovladači.

Microsoft Usbccid (WUDF) je standardní ovladač společnosti Microsoft, který je standardně nainstalován na různé tokeny a někdy funguje, ale ne vždy. operační sál systém Windows ve výchozím nastavení je nastavuje s ohledem na svou architekturu a nastavení, které se mi osobně líbí tento moment to není nutné. Musíme odstranit ovladače Microsoft Usbccid (WUDF) a nainstalovat ovladače pro médium Jacarta.

Otevřete správce Zařízení Windows, najděte položku "Čtečky chytrých karet" klikněte na Microsoft Usbccid (WUDF) a vyberte "Vlastnosti". Přejděte na kartu "Ovladače" a klikněte na Odinstalovat

Souhlaste s odebráním ovladače Microsoft Usbccid (WUDF).

Budete upozorněni, že je třeba restartovat systém, aby se změny projevily, musíme souhlasit.

Po restartování systému můžete vidět instalaci zařízení ARDS Jacarta a ovladačů.

Otevřete správce zařízení, měli byste vidět, že vaše zařízení je nyní identifikováno jako JaCarta Usbccid Smartcar a pokud přejdete do jeho vlastností, uvidíte, že čipová karta jacarta nyní používá verzi ovladače 6.1.7601 od ALADDIN R.D.ZAO, takto to by mělo být .

Pokud otevřete jediného klienta Jacarta, uvidíte svůj elektronický podpis, to znamená, že čipová karta je detekována normálně.

Otevřeme CryptoPRO a vidíme, že CryptoPRO nevidí certifikát v kontejneru, ačkoli všechny ovladače byly identifikovány podle potřeby. Je tu ještě jeden trik.

  1. V relaci RDP neuvidíte svůj token, pouze lokálně, tak token funguje, nebo jsem nenašel, jak to opravit. Můžete se pokusit podle doporučení vyřešit chybu „Nelze se připojit ke službě správy čipových karet“.
  2. V CryptoPRO musíte zrušit zaškrtnutí jednoho políčka

UJISTĚTE SE, že zrušíte zaškrtnutí políčka „Nepoužívat zastaralé šifrovací sady“ a restartovat.

Po těchto manipulacích CryptoPRO vidělo můj certifikát a čipová karta Jacarta začala fungovat, můžete podepisovat dokumenty.

Své zařízení JaCarta můžete také vidět v zařízeních a tiskárnách,

Pokud jste jako já, je token jacarta nastaven na virtuální stroj, pak budete muset nainstalovat certifikát přes konzolu virtuálního stroje a také k němu udělit práva odpovědné osobě. Pokud se jedná o fyzický server, budete muset udělit práva k portu pro správu, který také má virtuální konzole.

Když jste nainstalovali všechny ovladače pro tokeny Jacarta, může se při připojování přes RDP a otevření nástroje Jacarta PKI Unified Client zobrazit následující chybová zpráva:

  1. Služba čipových karet není spuštěna na místním počítači. Architektura relace RDP vyvinutá společností Microsoft neumožňuje použití klíčová média připojen ke vzdálenému počítači, takže v relaci RDP vzdálený počítač používá službu čipové karty místního počítače. Z toho vyplývá, že spuštění služby čipové karty v rámci relace RDP nestačí normální operace.
  2. Služba správy čipových karet je zapnutá místní počítač spuštěn, ale není přístupný programu uvnitř relace RDP kvůli Nastavení Windows a/nebo klient RDP.\

Jak opravit chybu "Nelze se připojit ke službě správy čipových karet."

  • Spusťte službu čipové karty na místním počítači, se kterým zahajujete relaci vzdálený přístup. Nakonfigurujte jej tak, aby se spouštěl automaticky při spuštění počítače.
  • Povolit používání místních zařízení a prostředků během vzdálené relace (zejména čipové karty). Chcete-li to provést, v dialogovém okně "Připojení ke vzdálené ploše" v parametrech vyberte kartu "Místní zdroje" a poté v " Místní zařízení a zdroje“ klikněte na tlačítko „Další podrobnosti...“ a v dialogovém okně, které se otevře, vyberte „Smart karty“ a klikněte na „OK“ a poté na „Připojit“.

  • Ujistěte se, že nastavení připojení RDP je bezpečné. Standardně jsou uloženy v souboru Default.rdp v adresáři "My Documents" Ujistěte se, že v tento soubor byl tam řádek "redirectsmartcards:i:1".
  • Ujistěte se, že vzdálený počítač, ke kterému vytváříte připojení RDP, není aktivován skupinová politika
    -[Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Služby vzdálené plochy\Hostitel relace vzdálené plochy\Přesměrování zařízení a prostředků\Nepovolit přesměrování čtečky čipových karet]. Pokud je povoleno, deaktivujte jej a restartujte počítač.
  • Pokud máte nainstalovaný systém Windows 7 SP1 nebo Windows 2008 R2 SP1 a používáte RDC 8.1 pro připojení k počítačům se systémem Ovládání Windows 8 a vyšší, pak je potřeba nainstalovat aktualizaci pro operační systém https://support.microsoft.com/en-us/kb/2913751

Toto bylo řešení problémů s nastavením tokenu Jacarta, zapnuto CryptoPRO terminálový server, pro podepisování dokumentů ve VTB24 DBO. Pokud máte nějaké připomínky nebo opravy, napište je prosím do komentářů.

Fáze 1. Úspěšné testování (interakce s testovacím okruhem GIS GMP) # Adresa služby testu GIS GMP:
gisgmp.wsdlLocation=http://213.59.255.182:7777/gateway/services/SID0003663?wsdl
gisgmp.wsdlLocation.endPoint=http://213.59.255.182:7777/gateway/services/SID0003663
Tato adresa je registrována v nastavení SP Kromě toho ji musíte zaregistrovat v souboru nastavení protokolování a zadat hodnotu STOPA. Po zadání zadaných hodnot je potřeba spustit SP a klienta ACC (restartovat, pokud již byl spuštěn). „Vytvořit informace o platbě“, pokud projdou systémové kontroly, vytvoří se informace o platbě. Který bude později potřeba vyložit.
Po nahrání je třeba zkontrolovat stav pomocí akce „Stav zpracování žádosti“. Poté se informace o platbě ED přepnou do stavu „Přijato GIS GMP“ -…

Vzhledem k tomu: Tabulka MSG (zprávy) s velké množství evidence.
CREATETABLEmsg(idINTEGERNOTNULLPRIMARYKEY,descriptionCHAR(50)NOTNULL, date_createDATE);
Úkol:
Je nutné vymazat tabulku dat/
Řešení: Existuje několik způsobů, jak tento problém vyřešit. Níže je uveden popis a příklad každého z nich.
Nejjednodušší způsob ( první možnost) - provedení operátoru mazání záznamu. Když jej spustíte, uvidíte výsledek (kolik záznamů bylo smazáno). Užitečná věc, když potřebujete mít jistotu a pochopit, zda byla smazána správná data. VUT má oproti jiným možnostem řešení problému nevýhody.

DELETE FROMmsg; -- Smaže všechny řádky v tabulce – Smaže všechny řádky s datem vytvoření "2019.02.01" DELETE FROMmsg WHEREdate_create="2019.02.01";

Druhá možnost. Pomocí operátora