Файл rsa не установлен 1015 ошибка выбора криптопровайдера

Обновлено: 08.01.2025

Приветствую. Аналогичная ситуация при работе с ПО от ФСРАР - УТМ 4.2.0 build 2400.
Периодически в логах УТМ присутствуют ошибки:

ERROR ru.centerinform.transport.pki.key.KeyMaster - Проблемы с RSA ключом
java.security.KeyStoreException: Uninitialized keystore

INFO ru.centerinform.transport.pki.key.KeyMaster - Найден слот смарт-карты [0:Rutoken ECP ]
ERROR ru.centerinform.transport.pki.key.KeyMaster - Ошибка получения PKCS11
java.io.IOException: load failed

• Фатеева Светлана
• Техническая поддержка
• Неактивен

Здравствуйте, Golanov Mark,
Работа с новой версией УТМ полностью поддерживается в драйверах Рутокен начиная с версии 4.8.8.
Ознакомьтесь с инструкцией по переходу на УТМ версии 4.2 по указанной инструкции.

Здравствуйте, Golanov Mark,
Работа с новой версией УТМ полностью поддерживается в драйверах Рутокен начиная с версии 4.8.8.
Ознакомьтесь с инструкцией по переходу на УТМ версии 4.2 по указанной инструкции.

на версию УТМ 4 мы уже перешли. Подскажите пожалуйста как корректно обновить версию Панели управления Рутокен (до 4.8.8)?

• Фатеева Светлана
• Техническая поддержка
• Неактивен

Рекомендуем выполнить следующие действия:
1. Выйдите из Агента УТМ и удалите саму программу УТМ штатными средствами операционной системы
2. Удалите драйверы рутокен Утилитой удаления драйверов Рутокен
3. Перезагрузите компьютер
4. Установите актуальную версию Драйверов Рутокен
5. Установите актуальную версию УТМ и проверьте его работу

Рекомендуем выполнить следующие действия:
1. Выйдите из Агента УТМ и удалите саму программу УТМ штатными средствами операционной системы
2. Удалите драйверы рутокен Утилитой удаления драйверов Рутокен
3. Перезагрузите компьютер
4. Установите актуальную версию Драйверов Рутокен
5. Установите актуальную версию УТМ и проверьте его работу

уточните пожалуйста версия 4.8.8 уже успешно протестирована с build 2403 версии ПО УТМ 4.2.0?
есть возможность штатной работы с ПО УТМ 4.2.0 build 2400?
Или обязательно надо обновить ПО УТМ до build 2403?

• Фатеева Светлана
• Техническая поддержка
• Неактивен

Да, версия 4.8.8 драйверов протестирована с указанной версией билда УТМ.
Так же подтверждена корректность работы устройств Рутокен ЭЦП 2.0 и Рутокен ЭЦП 2100 с УТМ 4.2.0

Да, версия 4.8.8 драйверов протестирована с указанной версией билда УТМ.
Так же подтверждена корректность работы устройств Рутокен ЭЦП 2.0 и Рутокен ЭЦП 2100 с УТМ 4.2.0

с ПО УТМ 4.2.0 build 2400 нормально работать будет?

• Фатеева Светлана
• Техническая поддержка
• Неактивен

На текущий момент проблем с указанной версией билда УТМ не выявлено и Рутокен с УТМ работает корректно.

По вопросам и ошибкам, которые вы не смогли решить самостоятельно, просим обращаться в Службу технической поддержки ГАУ РК "ЦИТ".

Решение типовых проблем (редакция от 23.12.2019 12:35)

Непосредственно проблемой это не является. Необходимо разобраться с причинами появления ошибки SSLGOST-004.

Продиагностировать прочие проблемы можно с использованием журнала CAPI (криптографической подсистемы) Windows:

• Панель управления - Администрирование - Просмотр событий
• Разворачиваете Журналы приложений и служб - Microsoft - Windows - CAPI2
• Включаете журнал Operational (правой кнопкой - Включить)
• Очищаете его (правой кнопкой - Очистить журнал), т.к. событий там может быть много
• Открываете сохраненный сертификат, который не может провериться
• Обновляете список событий в журнале и смотрите ошибки
• После окончания диагностики, отключите журнал (очень много событий пишет)

В нормальном режиме работы таких конфигураций на сервере быть не должно, однако может случиться, что на одном виртуальном хосте установлен 1 сертификат, а на другом - другой (например, в ходе неполной замены сертификата администратором). Необходимо почистить кеш SSL в Internet Explorer, перезагрузиться, если не помогло - обратиться в Службу технической поддержки ГАУ РК "ЦИТ" с заявкой о возможной ошибке конфигурирования серверов SSLGOST.

Не удается отобразить эту страницу. Включите протоколы TLS 1.0, TLS 1.1 и TLS 1.2

Ошибка может появляться или всегда или периодически без каких-либо явных предпосылок

Попробуйте полностью выключить антивирус (не приостановить, а выключить), закрыть браузер и попробовать снова. Если помогло, то необходимо в настройках антивируса отключить инспекцию TLS/SSL для защищаемого сайта, либо добавить его в доверенные/исключения антивируса.

Чуть более сложный (и как минимум один раз не помог -- помогло включение в доверенные) — Разрешить перенаправления:

• Открыть настройки браузера (сервис -> свойства обозревателя)
• Перейти на вкладку Безопасность (Security)
• Кликнуть на значок зоны "Интернет" (Internet)
• Нажать на кнопку "Другой. " (Custom. )
• Найти пункт "Разное -> Разрешить метаобновления" ("Miscellanous -> Allow META REFRESH") и установить его в "Разрешено" ("Enable")
• Закрыть все окна браузера или перезагрузить компьютер.

Ошибка SSLGOST-001: Информационная система не идентифицирована

Часто бывает, что доступ к СЭД открыт для одной учетной записи (например, под той, под которой работал VPN), а в систему защиты (она же этот Портал по безопасности) вы входите под другой учетной записью. Необходимо сделать одно из следующих действий:

1. Запустите через Пуск программу ViPNet CSP
2. На вкладке с настройками установите галочку Включить поддержку работы ViPNet CSP через MS Crypto API
3. Сохраните настройки
4. Перезагрузите компьютер

Антивирус, прокси-сервера или другие программы (в основном защиты и мониторинга, но также могут и вирусы) на компьютере могут вклиниваться в систему шифрования ("резать", "инспектировать", "проверять" защищенные SSL/TLS-соединения).

Как минимум в таком были замечены: Avast (антивирус), Adguard (защита от рекламы), Kaspersky Internet Security, Kaspersky Endpoint Security 11, DLP Infowatch.

Необходимо проверить сертификат открывшегося сайта в браузере (обычно по нажатию на замочек виден - разных браузерах по разному). Сертификат сайта должен быть выдан ГАУ РК "ЦИТ" или Минкомсвязи (ГОСТ) или не самоподписанным CA (на 2019 г актуально GeoTrust RSA CA 2018).

Необходимо внести в исключения таких программ следующие адреса:

либо конкретный адрес информационной системы, при открытии которой появляются ошибки.

После изменения может потребоваться перезагрузка компьютера.

Если вклинивается вирус, его необходимо выявить и удалить.

Если все сертификаты выданы Local NetFlt CA 2, вероятнее всего это DLP (например, Infowatch).

Если ни один из криптопровайдеров не подходит, необходимо последовательно отключать поддержку TLS 1.2, TLS 1.1 в Internet Explorer, при этом оставляя включенным TLS 1.0 (проблема фиксировалась на IE 11.413.15063 на Windows 10). В IE:

Исправление типичных ошибок при генерации RSA ключа ЕГАИС

При генерации RSA ключа (транспортного ключа) в личном кабинете ЕГАИС могут возникать ошибки.

Попробуем разобрать типовые ошибки, которые возникают при генерации транспортных RSA ключей ЕГАИС.

Почему возникает ошибка при генерации ключа ЕГАИС?

Ошибка при генерации транспортного ключа для ЕГАИС иногда возникает из-за неполадок на сайте ЕГАИС. Но это происходит крайне редко.

В основном ошибки при генерации связаны с некорректными настройками компьютера.

Общие рекомендации для успешной генерации транспортного RSA ключа ЕГАИС

Необходимые требования и рекомендации:

• Для корректной работы в личном кабинете ЕГАИС рекомендуется отключить все защитники и антивирусные программы на компьютере
• Операционная система должна быть MS Windows и свежее чем XP (подойдет Vista/7/8/8/1/10, серверные ОС тоже поддерживаются, начиная с 2008). Крайне желательно наличие установленных актуальных обновлений.
• Браузер Internet Explorer версии не ниже, чем 9.
• Установлена актуальная версия крипто плагина ФСРАР Крипто (версия не ниже чем 2.00).
• Установлены и настроены драйвера носителя для ЕГАИС.
• Во время работы в личном кабинете ЕГАИС и при работе УТМ ЕГАИС должен быть вставлен только один ключ для ЕГАИС.

Ошибка при генерации RSA ключа "Выберете устройство чтения смарт карт. "

Если при генерации ключа ЕГАИС вместо окна запроса пин-кода Вы увидели окно "Выберете устройство чтения смарт карт" или "Обнаружена смарт-карта, но она не может использоваться для текущей операции. " или "Смарт-карта не может выполнить запрошенную операцию либо операция требует другой смарт-карты", значит нужно скорректировать настройки компьютера.

Данная ошибка возникает в результате некорректных настроек на ПК, запрещающие формировать ключ.

Если Вы используете носитель Рутокен ЭЦП 0, то вам необходимо выполнить следующие операции:

Выберите пункт Панель управления Рутокен (можно запустить через ярлык на рабочем столе, меню Пуск - Программы (или Все программы) - Рутокен - Панель управления Рутокен).

Перейдите на вкладку «Настройки» и выберите пункт «Настройка…»

Установите напротив строки Рутокен ЭЦП значение Microsoft Base Smart Card Crypto Provider.

Если не получилось - сделайте перенастройку еще раз. Выберете другой криптопровайдер, нажмите ОК, и снова выберете Microsoft Base Smart Card Crypto Provider.

В крайне редких случаях, если генерация ключа не проходит, помогает утилита восстановления работоспособности Рутокен(позволяет правильно определить драйвера носителя в системе).

Ошибка в методе createCertificateRequest Error: CKR_PNI_INCORRECT

В данной ошибке указано, что неверно введен пин-код.

Проверьте правильность ввода пин-кодов. Если на вашем носителе установлен пин-код по умолчанию. Напоминаем стандартные пин коды:

• для JaCrata пин RSA - 11111111, пин ГОСТ - 0987654321
• для Рутокен пин RSA - 12345678, пин ГОСТ - 12345678

В случае, когда не проходит стандартный пин код, возможно они у вас были заменены на нестандартные пароли или скорее всего носитель заблокировался. В данной ситуации для разблокировки носителя обратиться в удостоверяющие центр, где был изготовлен данный ключ.

Ошибка в методе createCertificateRequest Error: CKR_ATTRIBUTE_TYPE_INVALID

Такая ошибка была нами зафиксирована при использовании ключа JaCarta SE.

Для исправления ошибки необходимо инициализировать раздел PKI на носителе. Для этого откройте Единый клиент JaCarta желательно включить интерфейс Администратора (снизу слева кнопка "Переключиться в режим администрирования").

Перейдите вверху во вкладку PKI и нажмите "Инициализировать". При запросе пин-кода введите пин-код Администратора 00000000, пин-код Пользователя 11111111. После успешной инициализации попробуйте снова сгенерировать транспортный ключ.

Здравствуй Гиктаймс, сегодня мы поговорим о некоторых, а по сути — одной большой, проблемах сдачи электронной отчетности в системе GNU/Linux.

Вопрос сдачи электронной отчетности из ОС Linux давно обсуждался как на Хабре/Гиктаймс, так и на тематических форумах — Мисте, Убунту, ЛОРе, КриптоПро и форуме техподдержки 1С: ИТС. В двух словах на настоящий момент есть два решения — либо использовать облачную КЭП и сдавать отчетность через обозреватель, либо использовать выделенную/виртуальную машину с установленной ОС Windows (пусть даже пробной версией) для сдачи отчетности. Вариант сдачи отчетности с помощью специализированных утилит предоставляемых органами (ФНС, ПФР, ФСС, Росстат, ФСРАР) возможен только при использовании Wine@Etersoft, что фактически тоже костыль (ибо нам потребуется ДВЕ лицензии на СКЗИ КриптоПро — для Windows и Linux).

Не секрет что для ОС GNU/Linux существует не так уж и много программ, для ведения бухгалтерии: Ананас (который ныне покоится с миром), украинский Дебет+ (у которого модуль поддержки Российского законодательства не обновлялся уже, Ктулу знает сколько) и 1С бухгалтерия. Имеются в виду Нативные приложения. Из всех вышеперечисленных только 1С на момент написания статьи входит в государственный реестр отечественного ПО и содержит механизмы подготовки и сдачи отчетности в электронном виде через спец-операторов электронного документооборота. К слову операторов, поддерживаемых 1С бухгалтерией не много: ЗАО "Калуга-Астрал" (разработчик подсистемы 1С-Отчетность), ООО "Такском", ООО НПФ "Форус" и мифический "Прочий оператор документооборота".
К сожалению сдача отчетности из 1С сопряжена с рядом трудностей, с которыми может столкнуться рядовой (да и опытный) системный администратор. Разумеется мы подробно рассмотрим эти проблемы и способы их решения.

Первая проблема с которой мы сталкиваемся — это СКЗИ. Нет, не их отсутствие, они есть. Для Linux есть несколько сертифицированных СКЗИ (с поддержкой ГОСТ) доступных к установке и используемых в разных подсистемах. На момент написания статьи это следующие СКЗИ, поправьте меня, если я что-то упустил:

CryptoCom
Данная СКЗИ доступна для платформ i686 и amd64, используется в основном в системах интернет-банкинга, в частности системой iBank (используется многими банками, такими как ГазпромБанк, УБРИР, Альфа и д.р.).

CryptoPro CSP
Фактически единственное на настоящий момент комплексное решение для Linux для работы с электронной подписью и шифрованием. Доступна для платформ i686, amd64, armhf (включая android), PowerPC. Это не говоря уже о том что у них есть версии для Solaris (i686, amd64, sparc), AIX, FreeBSD, OSX и iOS. Как ни странно (сарказм), именно КриптоПро официально рекомендуется многими органами государственной власти для взаимодействия и электронного документооборота. Лицензии на КриптоПро часто идут в составе ключа ЭЦП, и в составе договора комплексного обслуживания для сдачи отчетности. Мой выбор был однозначным в пользу этого СКЗИ. К минусам можно отнести относительную сложность установки на системах отличных от RHEL/SLES и встречающиеся недочеты в сборке пакетов ПО (не разрешенные импортируемые символы и экспортируемые функции с разорванными зависимостями). В большинстве случаев эти недочеты не видны пользователю, т.к. данные функции предназначены для работы различных библиотек в составе КриптоПро и автоматически разрешаются при их первом вызове ядром ОС (в адресном пространстве приложения уже загружены нужные библиотеки). Второй минус — отсутствие почтового клиента, если обозреватель CryptoFox представлен, но от поддержки Thunderbird в КриптоПро отказались. Нужно отдать должное, что с их стороны предпринимались активные попытки внести изменения в рабочую версию NSS с целью поддержки ГОСТ, но воз и ныне там. Если бы изменения были приняты, поддержка ГОСТ появилась бы во всех обозревателях и приложениях использующих NSS, таких как Open/LibreOffice, продуктах Mozilla, Nautilus/Nemo, Thunar, XCA и других программах.

По понятным причинам был выбран СКЗИ КриптоПро, и давайте остановимся на нем подробнее.

Во-первых, для платформы Linux отсутствует знакомое многим приложение КриптоАРМ, для подписи документов. Впрочем для создания прикрепленной и открепленной подписи можно воспользоваться утилитами командной строки. Для создания и проверки открепленной цифровой подписи мной были созданы два сценария — sign и verify, соответственно. Текст сценариев приведен ниже, согласен что они несколько костыльные, но писалось на скорую руку, а на тот момент бета-версия CryptoPro 4.0 ведя себя странно, при прямой передаче путей к подписываемым, и выходным файлам.

Во-вторых, и это очень важно, мы имеем следующую картину. в 1С бухгалтерии штатные настройки работы с СКЗИ КриптоПро приведены для версии 3.6. С версией 3.6 работает старая версия CryptoFox. На этом достоинства заканчиваются и начинается головная боль. Старая версия CryptoFox не отображает ни один современный сайт, даже портал налоговой инспекции куда-то уползает. При попытке установить

С версией 3.9 ситуация ещё веселее — 1С её уже не видит, но CryptoFox ещё падает, при чем как старый, так и новый.

Версия 4.0, напротив — не видится 1С, но зато с ней заводится CryptoPro Browser Plugin 2.0, работает вход на госплощадки из CryptoFox (о них разговор отдельный, и если разбирать работу из ОС GNU/Linux с ними — материала хватит на ещё одну статью). Проблема — заставить увидеть 1Ску установленный СКЗИ. Проблема в общем то не такая уж и серьёзная, решается буквально за пятнадцать секунд, но на поиск самого решения ушла целая неделя общения с техподдержкой КриптоПро (и отпинывания меня поддержкой 1С на инструкцию в ИТС). В итоге проблема была решена самостоятельно, и решение в конечном итоге опубликовано на форуме КриптоПро. Методология решения проблемы на будущее:

В 1С бухгалтерии имеется возможность добавить произвольный криптопровайдер. Воспользуемся этим механизмом, добавьте нового криптопровайдера, и назовите его, скажем "КриптоПро CSP 4.0".

• Указываем следующие данные:
  

  Имя программы	Crypto-Pro GOST R 34.10-2001 KC1 CSP
  Тип программы	75
  Алгоритм подписи	GOST R 34.10-2001
  Алгоритм хеширования	GOST R 34.11-94
  Алгоритм шифрования	GOST 28147-89

• Сохраняем криптопровайдер и указываем путь к библиотеке: /opt/cprocsp/lib/amd64/libcapi20.so

Готово, 1С теперь видит установленный криптопровайдер. Казалось бы — всё, можно проступать к добавлению сертификатов и настройке сдачи отчётности, но не тут то было. Маленькая беленькая сибирская лисичка подкралась к нам откуда мы и не ждали — от самих разработчиков 1С. Так исторически сложилось, что подсистему электронного документооборота, 1С-Отчетность, ядро 1С и конфигурации пишут разные люди, и даже разные компании. При создании конфигураций с функцией 1С-Отчетность для 1С 8.3, например "Бухгалтерия предприятия 3.0", разработчики не долго думая перенесли всю подсистему ЭДКО "как есть", без изменений, в результате чего мы получаем парадокс. Сама 1С бухгалтерия видит СКЗИ, видит сертификаты, позволяет их установить, подписать и зашифровать любые документы, но при этом система электронного документооборота (старая версия) в упор не видит ни одного установленного сертификата, и соответственно не может даже получить начальную конфигурацию от оператора документооборота — её попросту нечем расшифровывать. Вернее чем расшифровывать есть, но подсистема ЭДКО использует свой собственный механизм работы с СКЗИ, задействуя внешнюю компоненту (только для Windows) и ничего не знает о существовании встроенных механизмов работы с СКЗИ, которые использует сама 1С в рамках конфигурации.

Тем не менее, подсистема ЭДО (не путать с ЭДКО) с контрагентами видит все актуальные сертификаты и позволяет подключиться к системе электронного документооборота. Но не сдачи отчетности.
Для Linux действует ограничение на прямую работу конфигурации Клиент-ЭДО, с внешней конфигурационной базой, и для этого нужен работающий сервер 1С. Так как базовые версии конфигураций не позволяют использовать клиент-серверный вариант развертывания 1С, интеграция Клиент-ЭДО и бухгалтерии в Linux для таких конфигураций не возможна, будет работать только для полнофункциональных. В большинстве конфигураций можно включить обмен с контрагентами, и он будет работать, несмотря на не работающую 1С-Отчетность.

Если мы откроем конфигуратор и включим режим отладки, мы увидим следующую картину:
Формы 1С-Отчетности используют Общие->ОбщиеМодули->КриптографияЭДКОКлиент, который в свою очередь опирается на работу внешней компоненты Addin.ЭДОNative.CryptS.
Тот же функционал работы с электронной цифровой подписью и шифрованием (без функционала обмена транспортными контейнерами по электронным каналам связи) реализован в Общие->ОбщиеМодули->ЭлектроннаяПодписьКлиент, которая учитывает работу в ОС семейства Linux и корректно загружает как и внешнюю компоненту работы с XMLDSig, так и модуль криптопровайдера. Данная библиотека корректно видит все сертификаты, позволяет осуществлять подпись и шифрование документов, содержит функции для работы как с объектами в памяти так и с файлами на жестком диске. Данная библиотека используется во всех стандартных механизмах работы с ЭЦП внутри 1С, кроме подсистемы 1С-Отчетности (ЭДКО).

То есть для реализации работы подсистемы 1С ЭДКО достаточно переписать либо формы 1С-Отчетности на использование встроенных механизмов, либо перегрузить КриптографияЭДКОКлиент, для использования не внешней компоненты, а переадресовывать вызовы работы с сертификатами, ЭЦП и шифрованием на встроенный клиент работы с СКЗИ.
Общение с техподдержкой 1С дало лишь ответ что они в курсе данной проблемы, но клиентов использующих ОС GNU/Linux слишком мало (потребность не носит массовый характер), но задача у них "записана".

UPD:
Таки удалось завести работу мастера после детального изучения исходников. Пока застрял на расшифровке контейнера от Такском, но сертификаты уже видятся. Работает только на свежей версии КриптоПро 4. Завести как указано ниже. Наименование представления роли не играет, но "внутри" 1С-ЭДКО именно так:

Представление	CryptoPro CSP
Имя программы	Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider
Тип программы	75
Алгоритм подписи	GOST R 34.10-2001
Алгоритм хеширования	GOST R 34.11-94
Алгоритм шифрования	GOST 28147-89

Обязательными при проверке являются поля Имя программы и Тип программы. Имя программы относится к режиму совместимости с версией криптопровайдера 2.0, в бета версии 4.0 наименование отсутствовало.

Основная проблема скрыта тут: Общие->Общие модули->КриптографияЭДКОСлужебныйКлиент.ПолучитьКриптопровайдеры

Для Linux убрать единичку. Или добавить проверку для версии КриптоПро 3.9 и выше:
Общие->Общие модули->КриптографияЭДКОКлиентСервер.ПолучитьКриптопровайдеры.КриптопровайдерCryptoPro
Имя: Crypto-Pro GOST R 34.10-2001 KC1 CSP
для клиента, или
Имя: Crypto-Pro GOST R 34.10-2001 KC2 CSP
для сервера.

Читайте также:

  
• Схема оцифровки звукового сигнала
  
• Как открыть файл r00
  
• Как скопировать ссылку на ютубе на компьютере
  
• Как подключить марусю к ноутбуку
  
• Ce 35327 0 ps4 ошибка