Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
ssp eventid=300 CryptoPro TLS. Error 0x80090014 calling CSP: Invalid provider type specified.
archimed7592 |
|
|
Статус: Участник Группы: Участники Поблагодарили: 4 раз в 4 постах |
Здравствуйте. После объявления о том, что опубликованная версия CSP 4 является финальной и рекомендовано обновление на CSP 5, мы так и сделали. Через какое-то время после обновления начали наблюдать проблемы. Сервер — Windows Server 2012 R2, на нём крутится IIS с включенной Windows аутентификацией, TLS закрыт обыкновенным RSA-шным сертификатом. Клиенты — у них Крипто-Про тоже установлен для работы с какими-то чужими сайтами, но при взаимодействии с нашим сервером Крипто-Про никак не используется. По крайней мере мы в коде делаем обыкновенное обращение к https endpoint-у и что дальше происходит зависит от операционной системы. В какой-то момент после обновления на CSP 5 начали изредка ловить «The HTTP request is unauthorized with client authentication scheme ‘Ntlm’. The authentication header received from the server was ‘Negotiate,NTLM’. —> System.Net.WebException: The remote server returned an error: (401) Unauthorized». Такие ошибки ранее очень редко пробегали когда контроллер домена перезагружается и то ли клиент, то ли сервер не успели переключиться на резервный КД. Вроде ничего страшного, но в какой-то момент количество этих ошибок стало сильно больше, чем потенциальные перезагрузки КД.
Посмотрели настройки Крипто-Про — он оказывается установлен с Kernel mode CSP. Обновлялись с CSP 4 до CSP 5 кнопкой далее-далее, не понятно, встал ли ядерный модуль при обновлении или он стоял всегда. Однако, некоторые пользователи по прежнему жалуются на ошибки, связанные с TSL (не авторизация, а разрывы соеденения). Полезли смотреть логи и увидели те же самые ошибки ssp 300 CryptoPro TLS с тем же текстом ошибки. Мы пока что не смогли сопоставить точное время этих ошибок с проблемами пользователей, но тем не менее, если мы удалиил Kernel mode CSP, откуда могут браться вот эти ошибки ssp 300 CryptoPro TLS? |
 |
|
| Пользователи, просматривающие эту тему |
|
Guest |
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
ssp eventid=300 CryptoPro TLS. Error 0x80090014 calling CSP: Invalid provider type specified.
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Содержание
- Cryptopro tls error 0x80090014 calling csp invalid provider type specified
- При установке соединителя NDES для Intune не удается установить сертификат NDES
- Симптомы
- Решение
- CryptAcquireCertificatePrivateKey failed. Error:0x80090014 #773
- Comments
- Cryptopro tls error 0x80090014 calling csp invalid provider type specified
Cryptopro tls error 0x80090014 calling csp invalid provider type specified
При импорте pfx-файла, содержащего сертификат и закрытый ключ может возвращаться «Ошибка импорта Подробности 0x80090014 CSP name: Microsoft Software Key Storage Provider»
Эта ошибка возникает из-за того, что изначальный сертификат был выписан через Microsoft Software Key Storage Provider, который невозможно импортировать через Aktiv Rutoken CSP 1.0.
Для импорта такого сертификата необходимо выполнить следующие действия:
- Нажмите кнопку Пуск и введите cmd
- Выберите пункт Запуск от имени администратора
- Если необходимо, введите имя и пароль администратора компьютера
- Подключите Рутокен к компьютеру
- В Командной строке наберите следующую команду: certutil -csp «Microsoft Base Smart Card Crypto Provider» -importpfx C:sign_code.pfx и нажмите Enter
- Введите пароль PFX (был задан при экспорте сертификата) и нажмите Enter
- Введите PIN-код от Рутокена и нажмите ОК
- Дождитесь сообщения, что команда успешно выполнена
Источник
При установке соединителя NDES для Intune не удается установить сертификат NDES
В этой статье устранена проблема, из-за которой не удается установить соединитель службы регистрации сетевых устройств (NDES) для Intune, так как сертификат NDES не установлен.
Симптомы
При попытке установить соединитель службы регистрации сетевых устройств (NDES) для Intune сертификат NDES не устанавливается. Кроме того, в файле SetupMSI.log регистрируется следующая ошибка ( C:NDESConnectorSetupSetupMSI.log ):
SI (s) (64:4C) [время]: вызов удаленного настраиваемого действия. DLL: C:WindowsInstallerMSID8CB.tmp, точка входа: AddNDESToCertPrivKey
AddNDESToCertPrivKey: предоставление доступа на чтение к accountAccountName на закрытом ключе сертификата с отпечатком:ThumbPrint
AddNDESToCertPrivKey: ошибка 0x80090014: сбой CryptAcquireContext. Ошибка hr = 80090014lx
CustomAction AddNDESToCertPrivKey вернул код фактической ошибки 1603
Решение
Чтобы устранить эту проблему, необходимо создать сертификат NDES как сертификат версии 2.
Шаблон веб-сервера является хорошим примером такой ситуации, хотя в качестве значения расширенного использования ключа в него должна быть добавлена проверка подлинности клиента.
Источник
CryptAcquireCertificatePrivateKey failed. Error:0x80090014 #773
Could you please provide a fix or suggest a workaround? We are blocked for 2 days already.
Since May 10 our Azure clusters are down with nodes been unable to read private key from certificate.
Since January 2018 they were working without issues.
The certificate is the same as before, was not changed and currently present on the nodes, with private key in it.
Recreation of cluster from the scratch leads to the same error.
Also recreation of cluster with previous Service Fabric version in ARM template leads to the same error as well.
Node event log has such errors and warnings as:
- Can’t get private key filename for certificate. Error: 0x80090014
- CryptAcquireCertificatePrivateKey failed. Error:0x80090014
- Can’t ACL FileStoreService/SecondaryAccountNTLMX509Thumbprint, ErrorCode E_FAIL
- SetCertificateAcls failed. ErrorCode: E_FAIL
- Failed to get private key file. x509FindValue: 406193559C7123964B309347720A3D3D5CD6EF2A, x509StoreName: My, findType: FindByThumbprint, Error E_FAIL
Thank you in advance,
Andriy
The text was updated successfully, but these errors were encountered:
Hello team!
I have the same issue. Is there any solution?
Get same issue either, any guy get a solution yet
It appears there may be 2 issues here:
the certificate’s private key is not ACL’d to NetworkService; to fix this, please open the Management Console (start -> run -> mmc), navigate to ‘Local Computer Certificates’ (file -> add snap-in -> certificates, local computer) and examine the private key access list (right click on the certificate, ‘All tasks’ -> Manage private key..). If NetworkService is not listed: Add -> %computername%Network Service -> ‘check’, followed by ok. (You may need to replace %computername% with the actual host name.)
the certificate is issued by an unsupported provider. The error (0x80090014/NTE_BAD_PROV_TYPE) indicates that the certificate was issued by a CNG key provider, which the SF runtime does not currently support. Note that ACLing errors are not fatal, and should not be the cause of the cluster’s failure to start.
To confirm that is the case, please run the following, from a PowerShell prompt:
cd Cert:LocalMachineMy
certutil -v -store my | findstr -i provider
If the output contains something like this:
Provider = Microsoft Software Key Storage Provider
then indeed this is a CNG certificate (issued with a Key Storage Provider).
I presume the certificate was created with the New-SelfSignedCertificate PowerShell cmdlet, which, unless otherwise specified, will use a CNG provider. If that is the case, and it is possible for you to create another certificate to be used for this cluster, you may try the following:
New-SelfSignedCertificate -NotBefore » -NotAfter » -DnsName -CertStoreLocation Cert:LocalMachineMy -Provider «Microsoft Enhanced RSA and AES Cryptographic Provider» -KeyExportPolicy ExportableEncrypted -Type Custom -Subject «»
Note this is just an example — the complete list of Crypto API Cryptographic Service Providers can be found here.
We are addressing this issue in an upcoming release.
Thanks.
Источник
Cryptopro tls error 0x80090014 calling csp invalid provider type specified
Номер: -2147467259
Источник: Connector
Описание: Connector:Unspecified HTTP error. HRESULT=0x800A1518 — Client:An unanticipated error occurred during the processing of this request. HRESULT=0x800A1518 — Client:Sending the Soap message failed or no recognizable response was received HRESULT=0x800A1518 — Client:Unspecified client error. HRESULT=0x800A1518
В событиях на ЦР видно:
Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 14:14:22
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка %2 при обращении к CSP: %1
При этом тест соединения ЦР с ЦС проходит, в IE различные URL (https://CA/CA/ca.wsdl, https://CA/CA/ca.asp — здесь запрашивается сертификат, https://RA/RA/ra.asp — здесь тоже) открываются без проблем.
Так как машина на которой стоит АРМ удаленная, АРМ был установлен также на машину ЦР, ошибка осталась но в событиях ЦР изменилась:
Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 17:37:30
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка 0x80090019 при обращении к CSP: Набор ключей не определен.
КриптоПро CSP переустанавливался — не помогло.
Заранее благодарен. Ответы:
| 11.05.2006 10:02:42 | Василий |
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль. Он в реестре или на съёмном носителе? Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
| 11.05.2006 12:32:18 | Касимов Артем |
==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.
==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.
==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.
| 11.05.2006 12:32:29 | Касимов Артем |
==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.
==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.
==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.
| 11.05.2006 12:32:56 | Касимов Артем |
==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.
==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.
==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.
| 11.05.2006 14:38:57 | Касимов Артем |
сорри за 3 сообщения..при постинге ошибку сервер выдавал 🙂
| 11.05.2006 16:00:07 | Василий |
> Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.
Для пользовательского сертификата и контейнера это прокатит. Для контейнера Локального компьютера — нет. А для сертификата ЦР нужно хранилище именно компьютера. Используйте «Установить личный сертификат», при выборе контейнера поставьте «Компьютера». После чего перевыберите его в свойствах ЦР.
| 12.05.2006 10:43:29 | Касимов Артем |
Все проделал как сказали. Перевыпустил CRL. Ошибка осталась, но несколько опять поменялась:
КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.
Создал новый набор ключей для клиента ЦР и сертификат — ошибка осталась.
Меня смущает то, что когда в АРМ заходишь вразделы Пользователи, Сертификаты и пр. он выдает окошко с просьбой вставить соответсвующий ключевой носитель (но пароль не спрашивает ибо он запомнен), а когда заходишь в раздел Центр сертификации и выбираешь правой кнопкой любой из пунктов, то ошибка вываливается сразу, даже не спрашивая контейнеров ключей.
Есть еще мысли? 🙂
| 12.05.2006 11:35:19 | Василий |
А сечас тест соединения ЦР — ЦС проходит?
| 12.05.2006 11:51:51 | Касимов Артем |
Да, проходит. И раньше проходил. Все вообще работает на ура 🙂 Только этот раздел не работает 🙂
| 12.05.2006 12:01:15 | Касимов Артем |
Еще не работает обработка запросов на сертификат, т.е. не работают все операции, которые требуют обращения к ЦС. Однако тест в параметрах ЦР проходит.
| 12.05.2006 13:05:55 | Василий |
Посмотрите на сервер ЦР свойства уч. записи CPRAComPlusAcct& — не заблокирована ли она.
Если ок, залогиньтесь под ней в Win и попробуйте тест соединения ЦР — ЦС (т.к. в основном режиме работы УЦ соединение от ЦР к ЦС устанавливается именно под этой уч. записью)
| 12.05.2006 13:10:15 | Касимов Артем |
Тест проходит.
| 12.05.2006 13:18:50 | Касимов Артем |
Создал нового привелигированного абонента и попробовал через него — результат тот же.
| 12.05.2006 13:41:49 | Касимов Артем |
Пересоздал наборы ключей для АРМ и клиента ЦР, на ЦС обработка сертификатов прошла успешно. Однако после переустановки сертификатов проблема не исчезла.
| 12.05.2006 13:50:32 | Василий |
Это хорошо. Значит, с CSP и контейнером ключа клиентского сертификата ЦР всё в порядке. Но! Если на этом контейнере есть пароль — то при программном вызове он не сможет быть введён, т.к. приложению не разрешается выводить окошки в этом режиме.
Исключение составляет случай, когда контейнер предварительно был загружен в кеш Службы хранения ключей Крипто-Про (пользователем CPRAComPlusAcct&).
Поменяйте пароль на пустой. Дискета должна быть доступна — должно получиться
| 12.05.2006 13:56:24 | Василий |
Да, и аналогичная штука будет, если несколько дисководов настроено (CSP попробует запустить окошко выбора дисковода).
| 12.05.2006 14:37:21 | Касимов Артем |
По ходу..Обнаружилась такая штука: при запуске системы в событиях появляется та же ошибка приложения cpsspcore: КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.
Однако если удалить сертификат веб-сервера ЦР из хранилища и перегрузится, то такой ошибки уже нет, если опять прописать туда, то опять появляется. Создание нового контейнера и сертификата веб-сервера ЦР не приводит к улучшению.
На службе IISAdmin стоит галочка разрешить доступ к рабочему столу. Таймауты в CSP стоят по 60 сек.
Вновь созданные контейнеры клиента ЦР, веб-сервера ЦР и для АРМ создавал с пустым паролем.
| 12.05.2006 14:45:22 | Василий |
Тогда будем систематически:
Какую организацию Вы представляете, есть ли договор технического сопровождения УЦ?
Версия и билд CSP?
Способ хранения ключей?
версия ОС, какие обновления?
версия IE, какие обновления?
Используется MSDE или SQL-сервер?
Есть ли ативирус (какой) ?
Это подчинённый ЦС или корневой?
| 12.05.2006 14:52:36 | Касимов Артем |
>Какую организацию Вы представляете, есть ли договор технического сопровождения УЦ?
ООО ТК «Контакт», Воронеж. Договора пока нет, потому что проблем не возникало до этого 🙂
>Версия и билд CSP?
3.0.3293 КС1
>Способ хранения ключей?
Дисковод
>версия ОС, какие обновления?
Windows2000 Server, SP4, 5.0.2195, все обновления
>версия IE, какие обновления?
6.0.2800.1106, SP1, все обновления
>Используется MSDE или SQL-сервер?
MSDE, и клиентская часть MSSQL
Источник
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
CryptoPro TLS. Error 0x80090014 calling CSP: Invalid provider type specified.
Svihr |
|
|
Статус: Новичок Группы: Участники
|
Беда, факически пустой сервер W 2016 std |
 |
|
Андрей * |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 451 раз |
Здравствуйте. А tls-сертификат какойтестируется? |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
Svihr |
|
|
Статус: Новичок Группы: Участники
|
Да вроде как никакой. Ничего специально не делалось. Ожидал, что после установки Win 2016 и потом сразу CryptoPro |
|
|
|
| Пользователи, просматривающие эту тему |
|
Guest |
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
CryptoPro TLS. Error 0x80090014 calling CSP: Invalid provider type specified.
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Содержание
- Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика
- Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика
- CryptAcquireCertificatePrivateKey failed. Error:0x80090014 #773
- Comments
- AndriyGorda commented May 11, 2018
- fccmks commented Aug 20, 2018
- wuping2004 commented Sep 4, 2018
- dragav commented Sep 5, 2018
- Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика
Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика
При импорте pfx-файла, содержащего сертификат и закрытый ключ может возвращаться «Ошибка импорта Подробности 0x80090014 CSP name: Microsoft Software Key Storage Provider»
Эта ошибка возникает из-за того, что изначальный сертификат был выписан через Microsoft Software Key Storage Provider, который невозможно импортировать через Aktiv Rutoken CSP 1.0.
Для импорта такого сертификата необходимо выполнить следующие действия:
- Нажмите кнопку Пуск и введите cmd
- Выберите пункт Запуск от имени администратора
- Если необходимо, введите имя и пароль администратора компьютера
- Подключите Рутокен к компьютеру
- В Командной строке наберите следующую команду: certutil -csp «Microsoft Base Smart Card Crypto Provider» -importpfx C:sign_code.pfx и нажмите Enter
- Введите пароль PFX (был задан при экспорте сертификата) и нажмите Enter
- Введите PIN-код от Рутокена и нажмите ОК
- Дождитесь сообщения, что команда успешно выполнена
Источник
Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика
Вообщем вот инструкция от КБ.
1. Удалить с АРМ КриптоПРО.
2. Перезагрузить ПК.
3. Удалить Континент АП.
4. Перезагрузить ПК.
5. Очистить систему утилитой от КриптоПРО (запуск от имени администратора) — www.cryptopro.ru/sites/default/files/public/cspclean.exe
6. Очистить систему утилитой от Кода Безопасности (запуск из командной строки от имени администратора с ключами –t и –v) —
Ссылка на утилиту CspCleaner.exe:
cloud.securitycode.ru/nextcloud/index.php/s/QfrzbrM5Gmd4PpN
Пароль: 5iXBS346
7. В случае, если запуск будет произведен не от имени администратора, утилита завершится без вывода какой-либо информации и очистка произведена не будет.
8. Перезагрузить ПК.
9. Установить КриптоПРО.
10. Перезагрузить ПК.
11. Установить Континент АП. При устанавки КАП выбрать максимальную установку с датчиками, с КБ CSP, и т.д.
12. Перезагрузить ПК.
13. В настройках КБ CSP установить биологический ДСЧ в место физического.
И все заработает.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Jannaaaa5
- —>
- Не в сети
—>- Сообщений: 17
- Спасибо получено: 0
Operlaw пишет: Вообщем вот инструкция от КБ.
1. Удалить с АРМ КриптоПРО.
2. Перезагрузить ПК.
3. Удалить Континент АП.
4. Перезагрузить ПК.
5. Очистить систему утилитой от КриптоПРО (запуск от имени администратора) — www.cryptopro.ru/sites/default/files/public/cspclean.exe
6. Очистить систему утилитой от Кода Безопасности (запуск из командной строки от имени администратора с ключами –t и –v) —
Ссылка на утилиту CspCleaner.exe:
cloud.securitycode.ru/nextcloud/index.php/s/QfrzbrM5Gmd4PpN
Пароль: 5iXBS346
7. В случае, если запуск будет произведен не от имени администратора, утилита завершится без вывода какой-либо информации и очистка произведена не будет.
8. Перезагрузить ПК.
9. Установить КриптоПРО.
10. Перезагрузить ПК.
11. Установить Континент АП. При устанавки КАП выбрать максимальную установку с датчиками, с КБ CSP, и т.д.
12. Перезагрузить ПК.
13. В настройках КБ CSP установить биологический ДСЧ в место физического.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Beast2040
- —>
- Не в сети
- Сообщений: 71
- Спасибо получено: 10
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Краснокам
- —>
- Не в сети
—>- Сообщений: 24
- Спасибо получено: 0
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex_04
- —>
- Не в сети
- ТОФК
—>- Сообщений: 2243
- Спасибо получено: 377
Краснокам пишет: задолбала ваша продукция.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- gurazor
- —>
- Не в сети
—>- Сообщений: 182
- Спасибо получено: 24
Краснокам пишет: Всё сделал, даже антивирус удалил. Всё переустановил ничего не помогает. Как же меня задолбала ваша продукция.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex_04
- —>
- Не в сети
- ТОФК
- Сообщений: 2243
- Спасибо получено: 377
gurazor пишет: не помогают, удаление веток реестра, которые известны, тоже.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- gurazor
- —>
- Не в сети
- Сообщений: 182
- Спасибо получено: 24
gurazor пишет: не помогают, удаление веток реестра, которые известны, тоже.
а какие именно удаляли?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex_04
- —>
- Не в сети
- ТОФК
- Сообщений: 2243
- Спасибо получено: 377
gurazor пишет: не помогают, удаление веток реестра, которые известны, тоже.
а какие именно удаляли?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Краснокам
- —>
- Не в сети
- Сообщений: 24
- Спасибо получено: 0
Краснокам пишет: задолбала ваша продукция.
она такая же наша, как и Ваша
все камни плиз в огород производителя — ООО «Код Безопасности» .
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex_04
- —>
- Не в сети
- ТОФК
- Сообщений: 2243
- Спасибо получено: 377
Краснокам пишет: гугля очередную ошибку попадаю на ваш форум понимаю что это надолго, спасибо что хоть вы луч света в этом темном царстве.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Fixik
- —>
- Не в сети
—>- Сообщений: 5
- Спасибо получено: 0
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex_04
- —>
- Не в сети
- ТОФК
- Сообщений: 2243
- Спасибо получено: 377
Fixik пишет: главное читать как надо, и делать как написано
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Gvinpin
- —>
- Не в сети
—>- Сообщений: 1997
- Спасибо получено: 264
Alex_04 пишет: Если-б в официальных мануалах было прямо всё как надо и после них работало ПО у всех, то оно тогда конечно — делать как написано и ноу траблс!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Wmffre
- —>
- Не в сети
—>- Сообщений: 713
- Спасибо получено: 216
Alex_04 пишет: Если-б в официальных мануалах было прямо всё как надо и после них работало ПО у всех, то оно тогда конечно — делать как написано и ноу траблс!
Если б перед установкой у всех были эталонные рабочие места. )
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Источник
CryptAcquireCertificatePrivateKey failed. Error:0x80090014 #773
AndriyGorda commented May 11, 2018
Could you please provide a fix or suggest a workaround? We are blocked for 2 days already.
Since May 10 our Azure clusters are down with nodes been unable to read private key from certificate.
Since January 2018 they were working without issues.
The certificate is the same as before, was not changed and currently present on the nodes, with private key in it.
Recreation of cluster from the scratch leads to the same error.
Also recreation of cluster with previous Service Fabric version in ARM template leads to the same error as well.
Node event log has such errors and warnings as:
- Can’t get private key filename for certificate. Error: 0x80090014
- CryptAcquireCertificatePrivateKey failed. Error:0x80090014
- Can’t ACL FileStoreService/SecondaryAccountNTLMX509Thumbprint, ErrorCode E_FAIL
- SetCertificateAcls failed. ErrorCode: E_FAIL
- Failed to get private key file. x509FindValue: 406193559C7123964B309347720A3D3D5CD6EF2A, x509StoreName: My, findType: FindByThumbprint, Error E_FAIL
Thank you in advance,
Andriy
The text was updated successfully, but these errors were encountered:
Hello team!
I have the same issue. Is there any solution?
Get same issue either, any guy get a solution yet
It appears there may be 2 issues here:
the certificate’s private key is not ACL’d to NetworkService; to fix this, please open the Management Console (start -> run -> mmc), navigate to ‘Local Computer Certificates’ (file -> add snap-in -> certificates, local computer) and examine the private key access list (right click on the certificate, ‘All tasks’ -> Manage private key..). If NetworkService is not listed: Add -> %computername%Network Service -> ‘check’, followed by ok. (You may need to replace %computername% with the actual host name.)
the certificate is issued by an unsupported provider. The error (0x80090014/NTE_BAD_PROV_TYPE) indicates that the certificate was issued by a CNG key provider, which the SF runtime does not currently support. Note that ACLing errors are not fatal, and should not be the cause of the cluster’s failure to start.
To confirm that is the case, please run the following, from a PowerShell prompt:
cd Cert:LocalMachineMy
certutil -v -store my | findstr -i provider
If the output contains something like this:
Provider = Microsoft Software Key Storage Provider
then indeed this is a CNG certificate (issued with a Key Storage Provider).
I presume the certificate was created with the New-SelfSignedCertificate PowerShell cmdlet, which, unless otherwise specified, will use a CNG provider. If that is the case, and it is possible for you to create another certificate to be used for this cluster, you may try the following:
New-SelfSignedCertificate -NotBefore » -NotAfter » -DnsName -CertStoreLocation Cert:LocalMachineMy -Provider «Microsoft Enhanced RSA and AES Cryptographic Provider» -KeyExportPolicy ExportableEncrypted -Type Custom -Subject «»
Note this is just an example — the complete list of Crypto API Cryptographic Service Providers can be found here.
We are addressing this issue in an upcoming release.
Thanks.
Источник
Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика
Номер: -2147467259
Источник: Connector
Описание: Connector:Unspecified HTTP error. HRESULT=0x800A1518 — Client:An unanticipated error occurred during the processing of this request. HRESULT=0x800A1518 — Client:Sending the Soap message failed or no recognizable response was received HRESULT=0x800A1518 — Client:Unspecified client error. HRESULT=0x800A1518
В событиях на ЦР видно:
Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 14:14:22
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка %2 при обращении к CSP: %1
При этом тест соединения ЦР с ЦС проходит, в IE различные URL (https://CA/CA/ca.wsdl, https://CA/CA/ca.asp — здесь запрашивается сертификат, https://RA/RA/ra.asp — здесь тоже) открываются без проблем.
Так как машина на которой стоит АРМ удаленная, АРМ был установлен также на машину ЦР, ошибка осталась но в событиях ЦР изменилась:
Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 17:37:30
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка 0x80090019 при обращении к CSP: Набор ключей не определен.
КриптоПро CSP переустанавливался — не помогло.
Заранее благодарен. Ответы:
| 11.05.2006 10:02:42 | Василий |
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль. Он в реестре или на съёмном носителе? Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
| 11.05.2006 12:32:18 | Касимов Артем |
==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.
==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.
==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.
| 11.05.2006 12:32:29 | Касимов Артем |
==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.
==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.
==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.
| 11.05.2006 12:32:56 | Касимов Артем |
==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.
==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.
==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.
| 11.05.2006 14:38:57 | Касимов Артем |
сорри за 3 сообщения..при постинге ошибку сервер выдавал 🙂
| 11.05.2006 16:00:07 | Василий |
> Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.
Для пользовательского сертификата и контейнера это прокатит. Для контейнера Локального компьютера — нет. А для сертификата ЦР нужно хранилище именно компьютера. Используйте «Установить личный сертификат», при выборе контейнера поставьте «Компьютера». После чего перевыберите его в свойствах ЦР.
| 12.05.2006 10:43:29 | Касимов Артем |
Все проделал как сказали. Перевыпустил CRL. Ошибка осталась, но несколько опять поменялась:
КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.
Создал новый набор ключей для клиента ЦР и сертификат — ошибка осталась.
Меня смущает то, что когда в АРМ заходишь вразделы Пользователи, Сертификаты и пр. он выдает окошко с просьбой вставить соответсвующий ключевой носитель (но пароль не спрашивает ибо он запомнен), а когда заходишь в раздел Центр сертификации и выбираешь правой кнопкой любой из пунктов, то ошибка вываливается сразу, даже не спрашивая контейнеров ключей.
Есть еще мысли? 🙂
| 12.05.2006 11:35:19 | Василий |
А сечас тест соединения ЦР — ЦС проходит?
| 12.05.2006 11:51:51 | Касимов Артем |
Да, проходит. И раньше проходил. Все вообще работает на ура 🙂 Только этот раздел не работает 🙂
| 12.05.2006 12:01:15 | Касимов Артем |
Еще не работает обработка запросов на сертификат, т.е. не работают все операции, которые требуют обращения к ЦС. Однако тест в параметрах ЦР проходит.
| 12.05.2006 13:05:55 | Василий |
Посмотрите на сервер ЦР свойства уч. записи CPRAComPlusAcct& — не заблокирована ли она.
Если ок, залогиньтесь под ней в Win и попробуйте тест соединения ЦР — ЦС (т.к. в основном режиме работы УЦ соединение от ЦР к ЦС устанавливается именно под этой уч. записью)
| 12.05.2006 13:10:15 | Касимов Артем |
Тест проходит.
| 12.05.2006 13:18:50 | Касимов Артем |
Создал нового привелигированного абонента и попробовал через него — результат тот же.
| 12.05.2006 13:41:49 | Касимов Артем |
Пересоздал наборы ключей для АРМ и клиента ЦР, на ЦС обработка сертификатов прошла успешно. Однако после переустановки сертификатов проблема не исчезла.
| 12.05.2006 13:50:32 | Василий |
Это хорошо. Значит, с CSP и контейнером ключа клиентского сертификата ЦР всё в порядке. Но! Если на этом контейнере есть пароль — то при программном вызове он не сможет быть введён, т.к. приложению не разрешается выводить окошки в этом режиме.
Исключение составляет случай, когда контейнер предварительно был загружен в кеш Службы хранения ключей Крипто-Про (пользователем CPRAComPlusAcct&).
Поменяйте пароль на пустой. Дискета должна быть доступна — должно получиться
| 12.05.2006 13:56:24 | Василий |
Да, и аналогичная штука будет, если несколько дисководов настроено (CSP попробует запустить окошко выбора дисковода).
| 12.05.2006 14:37:21 | Касимов Артем |
По ходу..Обнаружилась такая штука: при запуске системы в событиях появляется та же ошибка приложения cpsspcore: КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.
Однако если удалить сертификат веб-сервера ЦР из хранилища и перегрузится, то такой ошибки уже нет, если опять прописать туда, то опять появляется. Создание нового контейнера и сертификата веб-сервера ЦР не приводит к улучшению.
На службе IISAdmin стоит галочка разрешить доступ к рабочему столу. Таймауты в CSP стоят по 60 сек.
Вновь созданные контейнеры клиента ЦР, веб-сервера ЦР и для АРМ создавал с пустым паролем.
| 12.05.2006 14:45:22 | Василий |
Тогда будем систематически:
Какую организацию Вы представляете, есть ли договор технического сопровождения УЦ?
Версия и билд CSP?
Способ хранения ключей?
версия ОС, какие обновления?
версия IE, какие обновления?
Используется MSDE или SQL-сервер?
Есть ли ативирус (какой) ?
Это подчинённый ЦС или корневой?
| 12.05.2006 14:52:36 | Касимов Артем |
>Какую организацию Вы представляете, есть ли договор технического сопровождения УЦ?
ООО ТК «Контакт», Воронеж. Договора пока нет, потому что проблем не возникало до этого 🙂
>Версия и билд CSP?
3.0.3293 КС1
>Способ хранения ключей?
Дисковод
>версия ОС, какие обновления?
Windows2000 Server, SP4, 5.0.2195, все обновления
>версия IE, какие обновления?
6.0.2800.1106, SP1, все обновления
>Используется MSDE или SQL-сервер?
MSDE, и клиентская часть MSSQL
Источник
|
Aleksei Neverov |
|
|
Статус: Активный участник Группы: Участники Зарегистрирован: 14.11.2019(UTC) Сказал(а) «Спасибо»: 17 раз |
Коллеги, день добрый! Возникает ошибка при подписании документа через CAdES plugin Указан неправильный тип поставщика. (0x80090014) История создания сертификата. 1) Ключевая пара и запрос на сертификат формировался средствами библиотеки Bouncy Castle (java), т.к. требовалось указать недефолтные параметры Код: 2. Запрос с требуемыми УЦ параметрами был сформирован и по нему был получен сертификат 3. Средствами Bouncy Castle объединил полученный сертификат и приватный ключ в pfx. Он нормально установился в личные сертификаты, читается и он, и путь сертификации. 4. При попытке использовать его в качестве сертификата для подписания на этой строчке (js) Код: возникает ошибка Указан неправильный тип поставщика. (0x80090014) 5. При попытке проверить работу плагина на странице https://cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html Цитата: Криптопровайдер: Microsoft Software Key Storage Provider Ссылка на закрытый ключ: Указан неправильный тип поставщика. (0x80090014) Подскажите, пожалуйста Где-то в интернете находил информацию, что при подобных ошибках нужно заново сгенерировать ключевую пару средствами КриптоПро и запросить сертификат. Заранее большое спасибо за информацию |
|
|
|
|
two_oceans |
|
|
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сказал(а) «Спасибо»: 110 раз |
Добрый день. |
|
|
|
|
|
Aleksei Neverov
оставлено 21.04.2021(UTC) |
1 пользователь поблагодарил two_oceans за этот пост.|
Aleksei Neverov |
|
|
Статус: Активный участник Группы: Участники Зарегистрирован: 14.11.2019(UTC) Сказал(а) «Спасибо»: 17 раз |
День добрый! Кажется, понял, в чем проблема, но пока не могу понять, как ее решить. Думаю, что проблема в том, как я читаю приватный ключ из pem-файла и как объединяю сохраненный ранее приватный ключ и полученный сертификат: Код: В этом случае формируется key entry в Microsoft Software Key Storage Provider, а затем из него экспортируется pfx. В итоге ГОСТ не работает. Поставил JCP, заменил процесс формирования keyStore: Код: В этом случае получаю ошибку на setEntry: java.security.KeyStoreException: key is not GostPrivateKey or GostExchPrivateKey Чтение приватного ключа реализую так: Код: Пробовал здесь использовать JCP, но, насколько я понял, он не умеет загружать приватные ключи из pem-файлов. Или все-таки умеет? Предполагаю, что если бы мне удалось прочитать приватный ключ из pem-файла методами JCP, то и при объединении не было бы проблем. P.S. Странно, но certutil на pfx выдает «Плохие данные», но при этом сертификат из этого же pfx устанавливается в личные сертификаты |
|
|
|
|
two_oceans |
|
|
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сказал(а) «Спасибо»: 110 раз |
Есть вроде бы вариант использовать PFXSTORE, но вероятно также будет заморочка с алгоритмами в pfx. https://www.cryptopro.ru…aspx?g=posts&t=17499 Предположу, что может помочь Openssl + модуль (engine) гост (с гитхаба или от пробного магпро, так как модули от криптопро не считывают pem, а старый Криптокома не поддерживает гост-2012). Закладка на тему где-то затерялась, но есть цитата аналогичного случая. |
|
|
|
|
|
Aleksei Neverov
оставлено 27.04.2021(UTC) |
|
Aleksei Neverov |
|
|
Статус: Активный участник Группы: Участники Зарегистрирован: 14.11.2019(UTC) Сказал(а) «Спасибо»: 17 раз |
Коллеги, день добрый! Перепробовали все, в т.ч. openssl с разными engine. Результат такой же — либо не тот провайдер, либо не ГОСТ. Т.к. цель была записать все это на Рутокен — переписал все с использованием их библиотек — и формирование запроса, и импорт сертификата. |
|
|
|
| Пользователи, просматривающие эту тему |
|
Guest |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Содержание
- Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика
- Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика
- CryptAcquireCertificatePrivateKey failed. Error:0x80090014 #773
- Comments
- AndriyGorda commented May 11, 2018
- fccmks commented Aug 20, 2018
- wuping2004 commented Sep 4, 2018
- dragav commented Sep 5, 2018
- Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика
При импорте pfx-файла, содержащего сертификат и закрытый ключ может возвращаться «Ошибка импорта Подробности 0x80090014 CSP name: Microsoft Software Key Storage Provider»
Эта ошибка возникает из-за того, что изначальный сертификат был выписан через Microsoft Software Key Storage Provider, который невозможно импортировать через Aktiv Rutoken CSP 1.0.
Для импорта такого сертификата необходимо выполнить следующие действия:
- Нажмите кнопку Пуск и введите cmd
- Выберите пункт Запуск от имени администратора
- Если необходимо, введите имя и пароль администратора компьютера
- Подключите Рутокен к компьютеру
- В Командной строке наберите следующую команду: certutil -csp «Microsoft Base Smart Card Crypto Provider» -importpfx C:sign_code.pfx и нажмите Enter
- Введите пароль PFX (был задан при экспорте сертификата) и нажмите Enter
- Введите PIN-код от Рутокена и нажмите ОК
- Дождитесь сообщения, что команда успешно выполнена
Источник
Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика
Вообщем вот инструкция от КБ.
1. Удалить с АРМ КриптоПРО.
2. Перезагрузить ПК.
3. Удалить Континент АП.
4. Перезагрузить ПК.
5. Очистить систему утилитой от КриптоПРО (запуск от имени администратора) — www.cryptopro.ru/sites/default/files/public/cspclean.exe
6. Очистить систему утилитой от Кода Безопасности (запуск из командной строки от имени администратора с ключами –t и –v) —
Ссылка на утилиту CspCleaner.exe:
cloud.securitycode.ru/nextcloud/index.php/s/QfrzbrM5Gmd4PpN
Пароль: 5iXBS346
7. В случае, если запуск будет произведен не от имени администратора, утилита завершится без вывода какой-либо информации и очистка произведена не будет.
8. Перезагрузить ПК.
9. Установить КриптоПРО.
10. Перезагрузить ПК.
11. Установить Континент АП. При устанавки КАП выбрать максимальную установку с датчиками, с КБ CSP, и т.д.
12. Перезагрузить ПК.
13. В настройках КБ CSP установить биологический ДСЧ в место физического.
И все заработает.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Jannaaaa5
- —>
- Не в сети
- Сообщений: 17
- Спасибо получено: 0
Operlaw пишет: Вообщем вот инструкция от КБ.
1. Удалить с АРМ КриптоПРО.
2. Перезагрузить ПК.
3. Удалить Континент АП.
4. Перезагрузить ПК.
5. Очистить систему утилитой от КриптоПРО (запуск от имени администратора) — www.cryptopro.ru/sites/default/files/public/cspclean.exe
6. Очистить систему утилитой от Кода Безопасности (запуск из командной строки от имени администратора с ключами –t и –v) —
Ссылка на утилиту CspCleaner.exe:
cloud.securitycode.ru/nextcloud/index.php/s/QfrzbrM5Gmd4PpN
Пароль: 5iXBS346
7. В случае, если запуск будет произведен не от имени администратора, утилита завершится без вывода какой-либо информации и очистка произведена не будет.
8. Перезагрузить ПК.
9. Установить КриптоПРО.
10. Перезагрузить ПК.
11. Установить Континент АП. При устанавки КАП выбрать максимальную установку с датчиками, с КБ CSP, и т.д.
12. Перезагрузить ПК.
13. В настройках КБ CSP установить биологический ДСЧ в место физического.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Beast2040
- —>
- Не в сети
- Сообщений: 71
- Спасибо получено: 10
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Краснокам
- —>
- Не в сети
- Сообщений: 24
- Спасибо получено: 0
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex_04
- —>
- Не в сети
- ТОФК
- Сообщений: 2243
- Спасибо получено: 377
Краснокам пишет: задолбала ваша продукция.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- gurazor
- —>
- Не в сети
- Сообщений: 182
- Спасибо получено: 24
Краснокам пишет: Всё сделал, даже антивирус удалил. Всё переустановил ничего не помогает. Как же меня задолбала ваша продукция.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex_04
- —>
- Не в сети
- ТОФК
- Сообщений: 2243
- Спасибо получено: 377
gurazor пишет: не помогают, удаление веток реестра, которые известны, тоже.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- gurazor
- —>
- Не в сети
- Сообщений: 182
- Спасибо получено: 24
gurazor пишет: не помогают, удаление веток реестра, которые известны, тоже.
а какие именно удаляли?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex_04
- —>
- Не в сети
- ТОФК
- Сообщений: 2243
- Спасибо получено: 377
gurazor пишет: не помогают, удаление веток реестра, которые известны, тоже.
а какие именно удаляли?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Краснокам
- —>
- Не в сети
- Сообщений: 24
- Спасибо получено: 0
Краснокам пишет: задолбала ваша продукция.
она такая же наша, как и Ваша
все камни плиз в огород производителя — ООО «Код Безопасности» .
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex_04
- —>
- Не в сети
- ТОФК
- Сообщений: 2243
- Спасибо получено: 377
Краснокам пишет: гугля очередную ошибку попадаю на ваш форум понимаю что это надолго, спасибо что хоть вы луч света в этом темном царстве.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Fixik
- —>
- Не в сети
- Сообщений: 5
- Спасибо получено: 0
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex_04
- —>
- Не в сети
- ТОФК
- Сообщений: 2243
- Спасибо получено: 377
Fixik пишет: главное читать как надо, и делать как написано
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Gvinpin
- —>
- Не в сети
- Сообщений: 1997
- Спасибо получено: 264
Alex_04 пишет: Если-б в официальных мануалах было прямо всё как надо и после них работало ПО у всех, то оно тогда конечно — делать как написано и ноу траблс!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Wmffre
- —>
- Не в сети
- Сообщений: 713
- Спасибо получено: 216
Alex_04 пишет: Если-б в официальных мануалах было прямо всё как надо и после них работало ПО у всех, то оно тогда конечно — делать как написано и ноу траблс!
Если б перед установкой у всех были эталонные рабочие места. )
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Источник
CryptAcquireCertificatePrivateKey failed. Error:0x80090014 #773
AndriyGorda commented May 11, 2018
Could you please provide a fix or suggest a workaround? We are blocked for 2 days already.
Since May 10 our Azure clusters are down with nodes been unable to read private key from certificate.
Since January 2018 they were working without issues.
The certificate is the same as before, was not changed and currently present on the nodes, with private key in it.
Recreation of cluster from the scratch leads to the same error.
Also recreation of cluster with previous Service Fabric version in ARM template leads to the same error as well.
Node event log has such errors and warnings as:
- Can’t get private key filename for certificate. Error: 0x80090014
- CryptAcquireCertificatePrivateKey failed. Error:0x80090014
- Can’t ACL FileStoreService/SecondaryAccountNTLMX509Thumbprint, ErrorCode E_FAIL
- SetCertificateAcls failed. ErrorCode: E_FAIL
- Failed to get private key file. x509FindValue: 406193559C7123964B309347720A3D3D5CD6EF2A, x509StoreName: My, findType: FindByThumbprint, Error E_FAIL
Thank you in advance,
Andriy
The text was updated successfully, but these errors were encountered:
Hello team!
I have the same issue. Is there any solution?
Get same issue either, any guy get a solution yet
It appears there may be 2 issues here:
the certificate’s private key is not ACL’d to NetworkService; to fix this, please open the Management Console (start -> run -> mmc), navigate to ‘Local Computer Certificates’ (file -> add snap-in -> certificates, local computer) and examine the private key access list (right click on the certificate, ‘All tasks’ -> Manage private key..). If NetworkService is not listed: Add -> %computername%Network Service -> ‘check’, followed by ok. (You may need to replace %computername% with the actual host name.)
the certificate is issued by an unsupported provider. The error (0x80090014/NTE_BAD_PROV_TYPE) indicates that the certificate was issued by a CNG key provider, which the SF runtime does not currently support. Note that ACLing errors are not fatal, and should not be the cause of the cluster’s failure to start.
To confirm that is the case, please run the following, from a PowerShell prompt:
cd Cert:LocalMachineMy
certutil -v -store my | findstr -i provider
If the output contains something like this:
Provider = Microsoft Software Key Storage Provider
then indeed this is a CNG certificate (issued with a Key Storage Provider).
I presume the certificate was created with the New-SelfSignedCertificate PowerShell cmdlet, which, unless otherwise specified, will use a CNG provider. If that is the case, and it is possible for you to create another certificate to be used for this cluster, you may try the following:
New-SelfSignedCertificate -NotBefore » -NotAfter » -DnsName -CertStoreLocation Cert:LocalMachineMy -Provider «Microsoft Enhanced RSA and AES Cryptographic Provider» -KeyExportPolicy ExportableEncrypted -Type Custom -Subject «»
Note this is just an example — the complete list of Crypto API Cryptographic Service Providers can be found here.
We are addressing this issue in an upcoming release.
Thanks.
Источник
Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика
Номер: -2147467259
Источник: Connector
Описание: Connector:Unspecified HTTP error. HRESULT=0x800A1518 — Client:An unanticipated error occurred during the processing of this request. HRESULT=0x800A1518 — Client:Sending the Soap message failed or no recognizable response was received HRESULT=0x800A1518 — Client:Unspecified client error. HRESULT=0x800A1518
В событиях на ЦР видно:
Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 14:14:22
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка %2 при обращении к CSP: %1
При этом тест соединения ЦР с ЦС проходит, в IE различные URL (https://CA/CA/ca.wsdl, https://CA/CA/ca.asp — здесь запрашивается сертификат, https://RA/RA/ra.asp — здесь тоже) открываются без проблем.
Так как машина на которой стоит АРМ удаленная, АРМ был установлен также на машину ЦР, ошибка осталась но в событиях ЦР изменилась:
Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 17:37:30
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка 0x80090019 при обращении к CSP: Набор ключей не определен.
КриптоПро CSP переустанавливался — не помогло.
Заранее благодарен. Ответы:
| 11.05.2006 10:02:42 | Василий |
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль. Он в реестре или на съёмном носителе? Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
| 11.05.2006 12:32:18 | Касимов Артем |
==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.
==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.
==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.
| 11.05.2006 12:32:29 | Касимов Артем |
==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.
==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.
==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.
| 11.05.2006 12:32:56 | Касимов Артем |
==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.
==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.
==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.
| 11.05.2006 14:38:57 | Касимов Артем |
сорри за 3 сообщения..при постинге ошибку сервер выдавал 🙂
| 11.05.2006 16:00:07 | Василий |
> Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.
Для пользовательского сертификата и контейнера это прокатит. Для контейнера Локального компьютера — нет. А для сертификата ЦР нужно хранилище именно компьютера. Используйте «Установить личный сертификат», при выборе контейнера поставьте «Компьютера». После чего перевыберите его в свойствах ЦР.
| 12.05.2006 10:43:29 | Касимов Артем |
Все проделал как сказали. Перевыпустил CRL. Ошибка осталась, но несколько опять поменялась:
КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.
Создал новый набор ключей для клиента ЦР и сертификат — ошибка осталась.
Меня смущает то, что когда в АРМ заходишь вразделы Пользователи, Сертификаты и пр. он выдает окошко с просьбой вставить соответсвующий ключевой носитель (но пароль не спрашивает ибо он запомнен), а когда заходишь в раздел Центр сертификации и выбираешь правой кнопкой любой из пунктов, то ошибка вываливается сразу, даже не спрашивая контейнеров ключей.
Есть еще мысли? 🙂
| 12.05.2006 11:35:19 | Василий |
А сечас тест соединения ЦР — ЦС проходит?
| 12.05.2006 11:51:51 | Касимов Артем |
Да, проходит. И раньше проходил. Все вообще работает на ура 🙂 Только этот раздел не работает 🙂
| 12.05.2006 12:01:15 | Касимов Артем |
Еще не работает обработка запросов на сертификат, т.е. не работают все операции, которые требуют обращения к ЦС. Однако тест в параметрах ЦР проходит.
| 12.05.2006 13:05:55 | Василий |
Посмотрите на сервер ЦР свойства уч. записи CPRAComPlusAcct& — не заблокирована ли она.
Если ок, залогиньтесь под ней в Win и попробуйте тест соединения ЦР — ЦС (т.к. в основном режиме работы УЦ соединение от ЦР к ЦС устанавливается именно под этой уч. записью)
| 12.05.2006 13:10:15 | Касимов Артем |
Тест проходит.
| 12.05.2006 13:18:50 | Касимов Артем |
Создал нового привелигированного абонента и попробовал через него — результат тот же.
| 12.05.2006 13:41:49 | Касимов Артем |
Пересоздал наборы ключей для АРМ и клиента ЦР, на ЦС обработка сертификатов прошла успешно. Однако после переустановки сертификатов проблема не исчезла.
| 12.05.2006 13:50:32 | Василий |
Это хорошо. Значит, с CSP и контейнером ключа клиентского сертификата ЦР всё в порядке. Но! Если на этом контейнере есть пароль — то при программном вызове он не сможет быть введён, т.к. приложению не разрешается выводить окошки в этом режиме.
Исключение составляет случай, когда контейнер предварительно был загружен в кеш Службы хранения ключей Крипто-Про (пользователем CPRAComPlusAcct&).
Поменяйте пароль на пустой. Дискета должна быть доступна — должно получиться
| 12.05.2006 13:56:24 | Василий |
Да, и аналогичная штука будет, если несколько дисководов настроено (CSP попробует запустить окошко выбора дисковода).
| 12.05.2006 14:37:21 | Касимов Артем |
По ходу..Обнаружилась такая штука: при запуске системы в событиях появляется та же ошибка приложения cpsspcore: КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.
Однако если удалить сертификат веб-сервера ЦР из хранилища и перегрузится, то такой ошибки уже нет, если опять прописать туда, то опять появляется. Создание нового контейнера и сертификата веб-сервера ЦР не приводит к улучшению.
На службе IISAdmin стоит галочка разрешить доступ к рабочему столу. Таймауты в CSP стоят по 60 сек.
Вновь созданные контейнеры клиента ЦР, веб-сервера ЦР и для АРМ создавал с пустым паролем.
| 12.05.2006 14:45:22 | Василий |
Тогда будем систематически:
Какую организацию Вы представляете, есть ли договор технического сопровождения УЦ?
Версия и билд CSP?
Способ хранения ключей?
версия ОС, какие обновления?
версия IE, какие обновления?
Используется MSDE или SQL-сервер?
Есть ли ативирус (какой) ?
Это подчинённый ЦС или корневой?
| 12.05.2006 14:52:36 | Касимов Артем |
>Какую организацию Вы представляете, есть ли договор технического сопровождения УЦ?
ООО ТК «Контакт», Воронеж. Договора пока нет, потому что проблем не возникало до этого 🙂
>Версия и билд CSP?
3.0.3293 КС1
>Способ хранения ключей?
Дисковод
>версия ОС, какие обновления?
Windows2000 Server, SP4, 5.0.2195, все обновления
>версия IE, какие обновления?
6.0.2800.1106, SP1, все обновления
>Используется MSDE или SQL-сервер?
MSDE, и клиентская часть MSSQL
Источник
Cryptopro tls error 0x80090014 calling csp invalid provider type specified
При импорте pfx-файла, содержащего сертификат и закрытый ключ может возвращаться «Ошибка импорта Подробности 0x80090014 CSP name: Microsoft Software Key Storage Provider»
Эта ошибка возникает из-за того, что изначальный сертификат был выписан через Microsoft Software Key Storage Provider, который невозможно импортировать через Aktiv Rutoken CSP 1.0.
Для импорта такого сертификата необходимо выполнить следующие действия:
- Нажмите кнопку Пуск и введите cmd
- Выберите пункт Запуск от имени администратора
- Если необходимо, введите имя и пароль администратора компьютера
- Подключите Рутокен к компьютеру
- В Командной строке наберите следующую команду: certutil -csp «Microsoft Base Smart Card Crypto Provider» -importpfx C:sign_code.pfx и нажмите Enter
- Введите пароль PFX (был задан при экспорте сертификата) и нажмите Enter
- Введите PIN-код от Рутокена и нажмите ОК
- Дождитесь сообщения, что команда успешно выполнена
Источник
CryptAcquireCertificatePrivateKey failed. Error:0x80090014 #773
Comments
AndriyGorda commented May 11, 2018
Could you please provide a fix or suggest a workaround? We are blocked for 2 days already.
Since May 10 our Azure clusters are down with nodes been unable to read private key from certificate.
Since January 2018 they were working without issues.
The certificate is the same as before, was not changed and currently present on the nodes, with private key in it.
Recreation of cluster from the scratch leads to the same error.
Also recreation of cluster with previous Service Fabric version in ARM template leads to the same error as well.
Node event log has such errors and warnings as:
- Can’t get private key filename for certificate. Error: 0x80090014
- CryptAcquireCertificatePrivateKey failed. Error:0x80090014
- Can’t ACL FileStoreService/SecondaryAccountNTLMX509Thumbprint, ErrorCode E_FAIL
- SetCertificateAcls failed. ErrorCode: E_FAIL
- Failed to get private key file. x509FindValue: 406193559C7123964B309347720A3D3D5CD6EF2A, x509StoreName: My, findType: FindByThumbprint, Error E_FAIL
Thank you in advance,
Andriy
The text was updated successfully, but these errors were encountered:
fccmks commented Aug 20, 2018
Hello team!
I have the same issue. Is there any solution?
wuping2004 commented Sep 4, 2018
Get same issue either, any guy get a solution yet
dragav commented Sep 5, 2018
It appears there may be 2 issues here:
the certificate’s private key is not ACL’d to NetworkService; to fix this, please open the Management Console (start -> run -> mmc), navigate to ‘Local Computer Certificates’ (file -> add snap-in -> certificates, local computer) and examine the private key access list (right click on the certificate, ‘All tasks’ -> Manage private key..). If NetworkService is not listed: Add -> %computername%Network Service -> ‘check’, followed by ok. (You may need to replace %computername% with the actual host name.)
the certificate is issued by an unsupported provider. The error (0x80090014/NTE_BAD_PROV_TYPE) indicates that the certificate was issued by a CNG key provider, which the SF runtime does not currently support. Note that ACLing errors are not fatal, and should not be the cause of the cluster’s failure to start.
To confirm that is the case, please run the following, from a PowerShell prompt:
cd Cert:LocalMachineMy
certutil -v -store my | findstr -i provider
If the output contains something like this:
Provider = Microsoft Software Key Storage Provider
then indeed this is a CNG certificate (issued with a Key Storage Provider).
I presume the certificate was created with the New-SelfSignedCertificate PowerShell cmdlet, which, unless otherwise specified, will use a CNG provider. If that is the case, and it is possible for you to create another certificate to be used for this cluster, you may try the following:
New-SelfSignedCertificate -NotBefore » -NotAfter » -DnsName -CertStoreLocation Cert:LocalMachineMy -Provider «Microsoft Enhanced RSA and AES Cryptographic Provider» -KeyExportPolicy ExportableEncrypted -Type Custom -Subject «»
Note this is just an example — the complete list of Crypto API Cryptographic Service Providers can be found here.
We are addressing this issue in an upcoming release.
Thanks.
Источник
При установке соединителя NDES для Intune не удается установить сертификат NDES
В этой статье устранена проблема, из-за которой не удается установить соединитель службы регистрации сетевых устройств (NDES) для Intune, так как сертификат NDES не установлен.
Симптомы
При попытке установить соединитель службы регистрации сетевых устройств (NDES) для Intune сертификат NDES не устанавливается. Кроме того, в файле SetupMSI.log регистрируется следующая ошибка ( C:NDESConnectorSetupSetupMSI.log ):
SI (s) (64:4C) [время]: вызов удаленного настраиваемого действия. DLL: C:WindowsInstallerMSID8CB.tmp, точка входа: AddNDESToCertPrivKey
AddNDESToCertPrivKey: предоставление доступа на чтение к accountAccountName на закрытом ключе сертификата с отпечатком:ThumbPrint
AddNDESToCertPrivKey: ошибка 0x80090014: сбой CryptAcquireContext. Ошибка hr = 80090014lx
CustomAction AddNDESToCertPrivKey вернул код фактической ошибки 1603
Решение
Чтобы устранить эту проблему, необходимо создать сертификат NDES как сертификат версии 2.
Шаблон веб-сервера является хорошим примером такой ситуации, хотя в качестве значения расширенного использования ключа в него должна быть добавлена проверка подлинности клиента.
Источник
Cryptopro tls error 0x80090014 calling csp invalid provider type specified
Важное замечание: Если ОС Windows используется в качестве клиента КриптоПро HSM 2.0 и ключ доступа к HSM записан на смарткарте или токене, то не рекомендуется подключение к этой ОС Windows по RDP, поскольку локально подключенные к компьютеру с ОС Windows считыватели смарткарт/токенов не будут доступны в RDP-сессии.
- Диагностика соединения с HSM 2.0
- проверка провайдера
windows : start /b csptest -enum -provider «Crypto-Pro GOST R 34.10-2012 HSM CSP» -provtype 80 -info для треевого провайдера, для сервисного необходимо в -provider указывать «Crypto-Pro GOST R 34.10-2012 HSM Svc CSP»
*nix : /opt/cprocsp/bin/АРХИТЕКТУРА/csptestf -enum -provider «Crypto-Pro GOST R 34.10-2012 HSM CSP» -provtype 80 -info
должно вернуться [ErrorCode: 0x00000000], иначе см п.2-3
- диагностика с помощью telnet или netcat
доступ к web-странице Администратора:
telnet 443
доступ к каналу К2:
telnet 1501
где это IP адрес HSM 2.0
Причина возможного сбоя: HSM в состоянии Inactive, сетевая проблема или не настроены правила FireWall на HSM 2.0
примечание: на ОС Astra Linux Smolensk 1.5 — 1.6 по умолчанию не установлены пакеты telnet и netcat (можно установить с диска разработчика Astra Linux)
Пример использования:
telnet 192.168.26.2 1501
nc -v 192.168.26.2 1501
- Сервер RPC не доступен
[ErrorCode: 0x000006ba]
Причина: не запущена служба Крипто Про HSM 2.0Указанный тип ресурса в файле образа отсутствует
[ErrorCode: 0x00000715]
Причина: нет доступа к закрытому ключу в реестре локального компьютера
для х64: HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsKeys
для х32: HKEY_LOCAL_MACHINESOFTWARECrypto ProSettingsKeys[ErrorCode: 0x8010002e]
Причина: считыватель отключен или используется RDPТребуемый адрес для своего контекста неверен
[ErrorCode: 0x00002741]
Причина: не указан IP адрес HSM 2.0 в HSM Client[ErrorCode: 0x80090304]
Причина: на контейнер ключевой пары доступа установлен пин-код отличный от 11111111[ErrorCode: 0x800b0109]
Причина: корневой сертификат HSM 2.0 не установлен в хранилище «Доверенные корневые центры сертификации» локального компьютерапри попытке установить соединение из HSM клиента (в трее), после предложения ввести ПИН-код появляется сообщение
«CN-имя сертификата не совпадает с полученным значением»
Причина: не заменен TLS — сертификат Веб-сервера HSM после смены IP адреса HSM
Решение:
1)Необходимо перевыпустить веб-сертификат в режиме Active – update keys – tls server key – change TLS key
2)HSM необходимо переактивировать: Change HSM state – inactive – Full activeна *nix клиенте в логе stunnel имеется строка:
Error 0x80090304 returned by InitializeSecurityContext
Возможные причины: закончилась лицензия на Крипто Про CSP или недоступен закрытый ключ ключевой пары доступа - на *nix клиенте при тестировании ГОСТ TLS имеется строка:
Downgrade container security level?
Решение: необходимо понизить класс защиты контейнера ключевой пары доступа через тестирование контейнера
Пример: /opt/cprocsp/bin/amd64/csptest -keys -check -cont ‘.Gemalto PC Twin Readercontname’
- на страничке не работают пункты меню и отображается строка вида:
-1 -1 0 0 0 0 0 0 false false false
Причина:
Используется браузер отличный от Internet Explorer или в IP адрес HSM 2.0 не добавлен в «Доверенные узлы» и в «Просмотр в режиме совместимости» браузера Internet ExplorerИсточник
Cryptopro tls error 0x80090014 calling csp invalid provider type specified
Номер: -2147467259
Источник: Connector
Описание: Connector:Unspecified HTTP error. HRESULT=0x800A1518 — Client:An unanticipated error occurred during the processing of this request. HRESULT=0x800A1518 — Client:Sending the Soap message failed or no recognizable response was received HRESULT=0x800A1518 — Client:Unspecified client error. HRESULT=0x800A1518В событиях на ЦР видно:
Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 14:14:22
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка %2 при обращении к CSP: %1При этом тест соединения ЦР с ЦС проходит, в IE различные URL (https://CA/CA/ca.wsdl, https://CA/CA/ca.asp — здесь запрашивается сертификат, https://RA/RA/ra.asp — здесь тоже) открываются без проблем.
Так как машина на которой стоит АРМ удаленная, АРМ был установлен также на машину ЦР, ошибка осталась но в событиях ЦР изменилась:
Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 17:37:30
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка 0x80090019 при обращении к CSP: Набор ключей не определен.КриптоПро CSP переустанавливался — не помогло.
Заранее благодарен. Ответы:
11.05.2006 10:02:42 Василий Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль. Он в реестре или на съёмном носителе? Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
11.05.2006 12:32:18 Касимов Артем ==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.11.05.2006 12:32:29 Касимов Артем ==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.11.05.2006 12:32:56 Касимов Артем ==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.11.05.2006 14:38:57 Касимов Артем сорри за 3 сообщения..при постинге ошибку сервер выдавал 🙂
11.05.2006 16:00:07 Василий > Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.
Для пользовательского сертификата и контейнера это прокатит. Для контейнера Локального компьютера — нет. А для сертификата ЦР нужно хранилище именно компьютера. Используйте «Установить личный сертификат», при выборе контейнера поставьте «Компьютера». После чего перевыберите его в свойствах ЦР.
12.05.2006 10:43:29 Касимов Артем Все проделал как сказали. Перевыпустил CRL. Ошибка осталась, но несколько опять поменялась:
КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.
Создал новый набор ключей для клиента ЦР и сертификат — ошибка осталась.
Меня смущает то, что когда в АРМ заходишь вразделы Пользователи, Сертификаты и пр. он выдает окошко с просьбой вставить соответсвующий ключевой носитель (но пароль не спрашивает ибо он запомнен), а когда заходишь в раздел Центр сертификации и выбираешь правой кнопкой любой из пунктов, то ошибка вываливается сразу, даже не спрашивая контейнеров ключей.
Есть еще мысли? 🙂
12.05.2006 11:35:19 Василий А сечас тест соединения ЦР — ЦС проходит?
12.05.2006 11:51:51 Касимов Артем Да, проходит. И раньше проходил. Все вообще работает на ура 🙂 Только этот раздел не работает 🙂
12.05.2006 12:01:15 Касимов Артем Еще не работает обработка запросов на сертификат, т.е. не работают все операции, которые требуют обращения к ЦС. Однако тест в параметрах ЦР проходит.
12.05.2006 13:05:55 Василий Посмотрите на сервер ЦР свойства уч. записи CPRAComPlusAcct& — не заблокирована ли она.
Если ок, залогиньтесь под ней в Win и попробуйте тест соединения ЦР — ЦС (т.к. в основном режиме работы УЦ соединение от ЦР к ЦС устанавливается именно под этой уч. записью)12.05.2006 13:10:15 Касимов Артем Тест проходит.
12.05.2006 13:18:50 Касимов Артем Создал нового привелигированного абонента и попробовал через него — результат тот же.
12.05.2006 13:41:49 Касимов Артем Пересоздал наборы ключей для АРМ и клиента ЦР, на ЦС обработка сертификатов прошла успешно. Однако после переустановки сертификатов проблема не исчезла.
12.05.2006 13:50:32 Василий Это хорошо. Значит, с CSP и контейнером ключа клиентского сертификата ЦР всё в порядке. Но! Если на этом контейнере есть пароль — то при программном вызове он не сможет быть введён, т.к. приложению не разрешается выводить окошки в этом режиме.
Исключение составляет случай, когда контейнер предварительно был загружен в кеш Службы хранения ключей Крипто-Про (пользователем CPRAComPlusAcct&).Поменяйте пароль на пустой. Дискета должна быть доступна — должно получиться
12.05.2006 13:56:24 Василий Да, и аналогичная штука будет, если несколько дисководов настроено (CSP попробует запустить окошко выбора дисковода).
12.05.2006 14:37:21 Касимов Артем По ходу..Обнаружилась такая штука: при запуске системы в событиях появляется та же ошибка приложения cpsspcore: КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.
Однако если удалить сертификат веб-сервера ЦР из хранилища и перегрузится, то такой ошибки уже нет, если опять прописать туда, то опять появляется. Создание нового контейнера и сертификата веб-сервера ЦР не приводит к улучшению.
На службе IISAdmin стоит галочка разрешить доступ к рабочему столу. Таймауты в CSP стоят по 60 сек.
Вновь созданные контейнеры клиента ЦР, веб-сервера ЦР и для АРМ создавал с пустым паролем.
12.05.2006 14:45:22 Василий Тогда будем систематически:
Какую организацию Вы представляете, есть ли договор технического сопровождения УЦ?
Версия и билд CSP?
Способ хранения ключей?
версия ОС, какие обновления?
версия IE, какие обновления?
Используется MSDE или SQL-сервер?
Есть ли ативирус (какой) ?
Это подчинённый ЦС или корневой?12.05.2006 14:52:36 Касимов Артем >Какую организацию Вы представляете, есть ли договор технического сопровождения УЦ?
ООО ТК «Контакт», Воронеж. Договора пока нет, потому что проблем не возникало до этого 🙂
>Версия и билд CSP?
3.0.3293 КС1>Способ хранения ключей?
Дисковод>версия ОС, какие обновления?
Windows2000 Server, SP4, 5.0.2195, все обновления>версия IE, какие обновления?
6.0.2800.1106, SP1, все обновления>Используется MSDE или SQL-сервер?
MSDE, и клиентская часть MSSQLИсточник
Для корректной работы с электронной подписью (ЭП, ранее — ЭЦП) достаточно соблюсти четыре условия. Во-первых, приобрести средства ЭП в удостоверяющем центре (УЦ). Во-вторых, установить лицензионное средство криптозащиты (СКЗИ, криптопровайдер). В-третьих, загрузить на рабочее место личный, промежуточный и корневой сертификаты. И, в-четвертых, настроить браузер для подписания электронных файлов на веб-порталах. Если хотя бы одно из условий не соблюдено, в процессе использования ЭП возникают различные ошибки: КриптоПро не видит ключ, недействительный сертификат, отсутствие ключа в хранилище и другие. Самые распространенные сбои и способы их устранения рассмотрим в статье.
Поможем получить электронную подпись. Установим и настроим за 1 час.
Оставьте заявку и получите консультацию.
Почему КриптоПро не видит ключ ЭЦП
КриптоПро CSP — самый популярный криптографический софт на российском рынке. Большинство торговых площадок и автоматизированных госсистем работают только с этим криптопровайдером. Программное обеспечение распространяется на безвозмездной основе разработчиком и через дистрибьюторскую сеть, а за лицензию придется платить. При покупке квалифицированной ЭП (КЭП) клиенты получают набор средств:
- закрытый и открытый ключи;
- сертификат ключа проверки электронной подписи (СКПЭП, СЭП) — привязан к открытому ключу;
- физический носитель, на который записываются все перечисленные средства.
Каждый раз, когда владельцу СЭП нужно подписать цифровой файл, он подключает USB-носитель к ПК и вводит пароль (двухфакторная идентификация). Возможен и другой путь — записать все компоненты в реестр ПК и пользоваться ими без физического криптоключа. Второй способ не рекомендован, так как считается небезопасным.
В работе с ЭП возникают такие ситуации, когда пользователь пытается заверить документ в интернете или в специальном приложении, открывает список ключей и не видит СЭП. Проблема может быть спровоцирована следующими факторами:
| Ошибка | Решение |
| Не подключен носитель | Подсоединить токен к ПК через USB-порт (об успешном подключении свидетельствует зеленый индикатор на флешке) |
| Не установлено СКЗИ | Установить криптопровайдер, следуя инструкции |
| Не установлен драйвер носителя | Чтобы компьютер «увидел» устройство, нужно установить специальную утилиту. Как правило, она предоставляется удостоверяющим центром при выдаче подписи. Руководство по инсталляции можно найти на портале разработчика |
| На ПК не загружены сертификаты | Установить корневой, промежуточный и личный сертификаты (как это сделать, рассмотрим далее) |
| Не установлен плагин для браузера | Скачать ПО на сайте www.cryptopro.ru |
Ошибка КриптоПро «0x80090008»: указан неправильный алгоритм
Если версия CryptoPro не соответствует новым условиям сдачи отчетности, пользователь увидит на экране уведомление с кодом ошибки «0x80090008». Это значит, что на ПК установлен устаревший релиз программы, и его необходимо обновить. Для начала проверьте сертификат:
- В меню «Пуск» выберите пункт «Все программы» → «КриптоПро».
- Откройте «КриптоПро CSP сервис» и выберите команду «Протестировать».
- Нажмите кнопку «По сертификату» и укажите нужный файл.
При наличии ошибки в СЭП система на нее укажет.
Удаление программы
Если никаких проблем не обнаружено, ошибку неправильного алгоритма поможет устранить переустановка СКЗИ:
- Найти криптопровайдер через «Пуск».
- Выбрать команду «Удалить».
- Перезагрузить ПК.
Чтобы новая программа работала корректно, перед установкой требуется удалить все следы старой версии с помощью фирменной утилиты cspclean от CryptoPro:
- Запустить файл cspclean.exe на рабочем столе.
- Подтвердить удаление продукта клавишей «ДА».
- Перезагрузить компьютер.
Контейнеры, сохраненные в реестре, удалятся автоматически.
Установка актуального релиза
Дистрибутивы для скачивания СКЗИ размещены в разделе «Продукты» и доступны для скачивания всем авторизованным пользователям. Создание ЛК занимает не более 5 минут:
- Нажмите кнопку «Регистрация».
- Введите личные данные и подтвердите согласие на доступ к персональной информации.
В каталоге продуктов выберите версию криптопровайдера с учетом ОС, загрузите установщик на ПК, запустите его и следуйте подсказкам. При установке ПО требуется указать серийный номер лицензии (если срок действия еще не истек). Эту информацию можно уточнить в приложении к договору.
По отзывам пользователей, переустановка ПК почти всегда помогает в устранении ошибки «0x80090008». Если проблема не решена, рекомендуется написать в техподдержку разработчика или обратиться к официальному дистрибьютору, у которого вы купили лицензию.
КриптоПро вставлен другой носитель: как исправить
Ошибка «Вставьте ключевой носитель» или «Вставлен другой носитель» возникает при попытке подписания электронного документа. Сначала следует убедиться, что USB-токен с сертификатом подключен к ПК (в качестве носителя используются защищенные криптоключи или обычные флешки). Токен должен соответствовать сертификату. Если носитель подсоединен к ПК, но сообщение об ошибке все равно появляется, следует переустановить сертификат через CryptoPro:
- Открыть меню «Пуск» → «Панель управления» → «КриптоПро CSP».
- Зайти во вкладку «Сервис» → «Посмотреть сертификаты в контейнере» → «Обзор».
- Выбрать из списка ключевой контейнер, нажать ОК и «Далее».
- Нажать «Установить». Если появится предупреждение о том, что сертификат уже присутствует в хранилище, дать согласие на его замену.
- Дождаться загрузки сертификата в хранилище «Личное» и нажать ОК.
После переустановки рекомендуется перезагрузить ПК. Для первичной инсталляции СКПЭП применим аналогичный алгоритм действий.
Мы готовы помочь!
Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариям
Недостаточно прав для выполнения операции в КриптоПро
Ошибка сопровождается уведомлением «У компонента недостаточно прав для доступа к сертификатам». Чаще всего возникает в двух ситуациях:
- При попытке авторизоваться в ЛК, например, на портале контролирующего органа, куда нужно отправить отчет (при нажатии на пиктограмму «Вход по сертификату»).
- При проверке КЭП (при нажатии кнопки «Проверить» в разделе «Помощь»).
Если система уведомила пользователя, что у него недостаточно прав для выполнения операции в КриптоПро, проблема может иметь следующие причины:
- не установлен КриптоПро ЭЦП Browser plug-in 2.0 (или стоит его старая сборка);
- сайт, куда пытается войти клиент, не добавлен в каталог доверенных (надежных) ресурсов.
Browser plug-in — обязательный компонент для применения ЭП на веб-страницах. Он расширяет возможности криптопровайдера, позволяет формировать и проверять электронную подпись на интернет-ресурсах. Без этой программы, КриптоПро не сможет связаться с веб-страницей и реализовать на ней функции КЭП. Пользователи ничего не платят за этот модуль, он размещен в свободном доступе на сайте и совместим с любыми операционными системами. Как установить:
- Сохранить дистрибутив cadesplugin.exe.
- Запустить инсталляцию, кликнув по значку установщика.
- Разрешить программе внесение изменений клавишей «Да».
Появится уведомление об успешном результате. Нажмите ОК и перезагрузите браузер, чтобы коррективы вступили в силу.
Для работы с сертификатом ЭП рекомендуется использовать браузер Microsoft Internet Explorer (MIE) — для него не требуются дополнительные настройки. На завершающем этапе необходимо добавить сайт в список доверенных:
- Через меню «Пуск» (CTRL+ESC) найти продукт КриптоПро CSP.
- Зайти в настройки плагина ЭЦП Browser.
- В разделе «Список доверенных узлов» ввести адреса всех ресурсов, принимающих ваш сертификат.
Если после перезагрузки ПК проблема не решена, рекомендуется удалить плагин и выполнить повторную инсталляцию.
Подберем подходящий вид электронной подписи для вашего бизнеса за 5 минут!
Оставьте заявку и получите консультацию.
Ошибка исполнения функции при подписании ЭЦП
Ошибка свидетельствует об отсутствии лицензии на продукт КриптоПро CSP. Зачастую она возникает при попытке подписать документ на торговых площадках или в информационных системах (ЕГАИС, ЖКХ, Росреестр, Госуслуги и др.).
Лицензия на криптопровайдер может быть привязана к АРМ или встроена в сертификат ЭП. В первом случае необходимо убедиться, что лицензия введена на рабочем ПК и актуальна. Срок действия можно уточнить на вкладке «Общее» в меню запущенного криптопровайдера. Если он истек, необходимо обратиться к разработчику или официальному дистрибьютору для продления или покупки новой лицензии. Во втором случае ошибка исполнения функции при подписании ЭЦП возникает при отсутствии установленного на ПК сертификата.
Ошибка при проверке цепочки сертификатов в КриптоПро
Юридически значимую документацию можно заверить электронной подписью только в том случае, если СКЗИ подтвердит надежность (доверенность) сертификата. Для этого программа проверяет цепочку сертификации (ЦС), состоящую из таких элементов:
- корневой сертификат от Минкомсвязи (начальное звено цепи), выданный УЦ;
- промежуточный сертификат УЦ (ПС);
- СКПЭП.
Правильно построенная ЦС подтверждает, что СКПЭП (конечное звено) имеет доверенный путь (от Минкомсвязи к УЦ, от УЦ к пользователю). Ошибка при проверке цепочки сертификатов в КриптоПро свидетельствует о том, что минимум один элемент в этой системе искажен. ЭП при этом считается недействительной и не принимается для подписания файлов.
| Причина | Решение |
| Один из сертификатов поврежден или некорректно установлен | Переустановить сертификат |
| Неправильно установлено СКЗИ (или стоит устаревшая версия) | Удалить и заново установить программу |
| Устаревшая версия веб-браузера | Обновить браузер |
| На ПК не актуализированы дата и время | Указать в настройках компьютера правильные значения |
На первой причине остановимся подробнее. Чтобы проверить состояние ЦС, откройте папку криптопровайдера, выберите раздел «Сертификаты» → «Личное». Если цепочка нарушена, во вкладке «Общее» будет сообщение о том, что СКПЭП не удалось проверить на надежность.
Устранение сбоя следует начинать с верхнего звена (КС). Файл предоставляется клиенту в удостоверяющем центре вместе с остальными средствами: ключи, СКПЭП, промежуточный сертификат и физический носитель. Кроме того, его можно скачать бесплатно на сайте Казначейства (КС для всех одинаковый). Как загрузить КС:
- Открыть документ от Минкомсвязи на компьютере.
- В разделе «Общее» выбрать команду установки.
- Установить галочку напротив пункта «Поместить в хранилище».
- Из списка выбрать папку «Доверенные корневые центры».
- Нажать «Далее» — появится уведомление об успешном импорте.
По завершении процедуры рекомендуется перезагрузить ПК. Если сбой не устранен, переходим к промежуточному компоненту. При утере ПС его можно загрузить с официального сайта УЦ. Процесс установки такой же, как и для КС, но в качестве хранилища должно быть указано «Промежуточные центры».
После перезагрузки ПК снова зайдите в папку «Личное» и откройте СКПЭП. Если во вкладке «Путь сертификации» будет статус «Сертификат действителен» — ошибка устранена.
Электронная подпись описи содержания пакета недействительна
Одной КЭП можно сразу заверить несколько файлов. В одном письме адресат может отправлять комплект документации и отдельно к нему опись, где перечислены все файлы. Перечень документов тоже нужно визировать ЭП.
Если при попытке заверить ведомость пользователь увидит сообщение о недействительности сертификата, значит подписать основной комплект тоже не удастся. Эта ошибка распространяется на все типы файлов, а не на какой-то конкретный документ.
Причина сбоя — нарушение доверенной цепочки, о которой было сказано ранее. В первую очередь следует проверить наличие и корректность КС и ПС. Если они установлены, удалите эти файлы и загрузите снова.
Проблемы с браузером
Для заверки электронных файлов в интернете разработчик СКЗИ рекомендует использовать встроенный веб-обозреватель MIE. Но даже с ним бывают сбои. Если это произошло, зайдите в браузер под ролью администратора:
- Кликните по значку браузера на рабочем столе.
- В контекстном меню выберите соответствующую роль.
Чтобы всякий раз не предпринимать лишние действия, в настройках можно задать автоматический доступ под нужными правами. Неактуальную версию браузера необходимо обновить до последнего релиза. Также следует отключить антивирусные программы, так как многие из них блокируют работу СКЗИ, воспринимая как вредоносное ПО.
Не работает служба инициализации
Если работа сервиса инициализации Crypto Pro приостановлена, СКПЭП тоже не будет работать. Запустите командную строку клавишами Win+R:
- Введите команду services.msc.
- В разделе «Службы» выберите «Службу инициализации» и проверьте в свойствах ее активность.
Если сервис отключен, запустите его и нажмите ОК. После перезапуска ПК электронная подпись должна снова работать корректно.
Сертификаты не отвечают критериям КриптоПро
Ошибка всплывает при попытке авторизоваться в информационной госсистеме (например, «Электронный Бюджет» и др.). Пользователь видит сообщение следующего содержания:
Первый способ устранения сбоя — «снести» СКЗИ и поставить заново, как описано выше. Если это вариант не сработал, значит проблема кроется в неправильном формировании ЦС. Рассмотрим на примере. Отправитель зашел в СКПЭП и в подразделе «Общее» увидел статус «Недостаточно информации для проверки этого сертификата». В первую очередь рекомендуется проверить наличие корневого сертификата в цепочке и при его отсутствии выполнить установку (алгоритм описан ранее). Если этот метод не помог, на форуме разработчика приводится еще один способ: от имени администратора вызвать «Пуск» → «Выполнить» → «regedit». Далее необходимо удалить ветки:
Не все бывают в наличии, поэтому удаляйте те, что есть. Процедура не вредит системе и сохраненным файлам, но помогает не в каждом случае (обычно ошибку удается устранить при установке корневого сертификата).
«1С-ЭДО» не видит КриптоПро CSP
«1С-ЭДО» — программа для обмена электронными документами, интегрированная в учетную базу «1С». Сервис позволяет удаленно взаимодействовать с контрагентами и отправлять отчетность в надзорные органы (ФНС, ПФР, ФСС, Росстат и др.). Чтобы документы приобрели юридическую силу, их необходимо заверить квалифицированной ЭП. Если сервис «1С-ЭДО» «не видит» ключ в КриптоПро CSP, рекомендованы следующие действия:
- проверить, установлена ли на компьютере актуальная версия криптопровайдера;
- при наличии СКЗИ уточнить, соответствует ли оно той программе, которая была указана в настройках обмена с «1С».
Как проверить настройки криптопровайдера:
- Запустить сервис «1С-ЭДО».
- Перейти в раздел «Отчеты» → «Регламентированные отчеты».
- Нажать кнопку «Настройки».
- В подразделе «Документооборот с контролирующими органами» нажать кнопку «Здесь».
Если в поле «Криптопровайдер» указана не та программа, которая установлена на ПК (например, VipNet), поменяйте ее в настройках и сохраните клавишей ОК. Для правильной работы сервиса ЭДО рекомендуется использовать на одном АРМ только один из сертифицированных провайдеров.
Оформим электронную подпись для вашего бизнеса. Установим и настроим в день подачи заявки!
Оставьте заявку и получите консультацию в течение 5 минут.
Оцените, насколько полезна была информация в статье?
Наш каталог продукции
У нас Вы найдете широкий ассортимент товаров в сегментах
кассового, торгового, весового, банковского и офисного оборудования.
Посмотреть весь каталог
I just got a paid certificate from Entrust, Provider = Microsoft RSA SChannel Cryptographic Provider
The private key is correct — and by all accounts this certificate should work!
However, SF refuses to use it.
Even weirder — If I try to use this as an aspnet Core 2 certificate — it works on local SF dev cluster — but once I deploy it, it fails to find the certificate. Hence there seems to be something about this certificate that SF doesn’t like — i.e. code:
using (X509Store store = new X509Store(StoreName.My, StoreLocation.LocalMachine))
{
store.Open(OpenFlags.ReadOnly);
var certCollection = store.Certificates;
var currentCerts = certCollection.Find(X509FindType.FindBySubjectDistinguishedName, CNName, true);
Error when creating cluster with this certificate:
20/10/2018 11:56:38 AM - APWLLWS130 - Error - Failed to get the Certificate's private key. Thumbprint:*.xxx.com, O
=XXX, L=XXX, S=XXX, C=CA. Error: FABRIC_E_CERTIFICATE_NOT_FOUND
20/10/2018 11:56:38 AM - APWLLWS130 - Error - Failed to get private key file. x509FindValue: *.XX.com, O=XX, L=XX, S=XX, C=XX, x509StoreName: My, findType: FindBySubjectName, Error FABRIC_E_CERTIFICATE_NOT_FOUND
Full details of certificate:
================ Certificate 6 ================
X509 Certificate:
Version: 3
Serial Number: XXXX
Signature Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
Algorithm Parameters:
05 00
Issuer:
CN=Entrust Certification Authority - L1K
OU=(c) 2012 Entrust, Inc. - for authorized use only
OU=See www.entrust.net/legal-terms
O=Entrust, Inc.
C=US
Name Hash(sha1): cc6d221cf6b4552c2f87915f5afef0e1eece83cc
Name Hash(md5): d28ad6c84bf87658d9937c2df7b35db9
NotBefore: 5/04/2016 6:21 AM
NotAfter: 5/04/2019 6:51 AM
Subject:
CN=*.XXX.com
O=XXX Limited
L=XXX
S=British Columbia
C=CA
Name Hash(sha1): dbdd4f61a6bb62aeee8d7797b74be619e5c325bc
Name Hash(md5): 6e18fd16dc14bdecfc3fbd1c76bfde9e
Public Key Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.1 RSA
Algorithm Parameters:
05 00
Public Key Length: 2048 bits
Public Key: UnusedBits = 0
0000 30 82 01 0a 02 82 01 01 00 cf 0c d5 f1 26 0d d2
0010 d5 9f eb e7 15 3c 68 14 ac 12 60 e4 f6 11 95 1d
0020 1d 6f 0e ab 29 7f 7c 47 f9 b5 21 12 88 a0 b8 13
0030 d1 97 fe d7 d9 92 55 ed 2f 4b 9a ab 22 b2 01 16
0040 60 1c c1 c8 de 2b 2b 06 d6 14 cc 97 29 72 9a da
0050 9a f7 8f b6 c8 53 da 50 b0 4e bc 6e cd 52 ea 2b
0060 ce cd 61 19 e5 3a 8d 4f f9 5e 85 3e 6c 6a 09 2e
0070 f7 ea 72 35 3c 55 0a 73 08 a7 e9 61 68 3f 33 5b
0080 38 e8 8a 84 0a a9 0c 6e 43 24 91 05 6f 0d 7b 9e
0090 47 c1 98 86 b8 28 c2 f3 90 45 25 03 d5 b2 6f 29
00a0 a2 0c 9a 9e 54 e5 8b ca 61 47 67 15 ab 0f 24 68
00b0 25 71 b2 4e b3 4e b9 63 3e 45 6a 93 e8 60 bb f3
00c0 5e e0 c2 11 53 7b 5c 66 1a 40 e3 ba 54 32 13 f1
00d0 cf 6e dc 53 fe c9 fb 05 e1 5a c8 77 01 c5 b2 af
00e0 7b 79 fc 6b e3 0c c8 17 fd 29 df 6b 5c 0a a2 f3
00f0 6b 83 f0 68 5b da 12 87 0f 59 39 2a d1 23 39 99
0100 57 37 33 a5 0b a8 b5 9c cb 02 03 01 00 01
Certificate Extensions: 9
2.5.29.15: Flags = 0, Length = 4
Key Usage
Digital Signature, Key Encipherment (a0)
2.5.29.37: Flags = 0, Length = 16
Enhanced Key Usage
Server Authentication (1.3.6.1.5.5.7.3.1)
Client Authentication (1.3.6.1.5.5.7.3.2)
2.5.29.31: Flags = 0, Length = 2c
CRL Distribution Points
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=http://crl.entrust.net/level1k.crl
2.5.29.32: Flags = 0, Length = 44
Certificate Policies
[1]Certificate Policy:
Policy Identifier=2.16.840.1.114028.10.1.5
[1,1]Policy Qualifier Info:
Policy Qualifier Id=CPS
Qualifier:
http://www.entrust.net/rpa
[2]Certificate Policy:
Policy Identifier=2.23.140.1.2.2
1.3.6.1.5.5.7.1.1: Flags = 0, Length = 5c
Authority Information Access
[1]Authority Info Access
Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1)
Alternative Name:
URL=http://ocsp.entrust.net
[2]Authority Info Access
Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=http://aia.entrust.net/l1k-chain256.cer
2.5.29.17: Flags = 0, Length = 22
Subject Alternative Name
DNS Name=*.XXXX
DNS Name=XXXX
2.5.29.35: Flags = 0, Length = 18
Authority Key Identifier
KeyID=82 a2 70 74 dd bc 53 3f cf 7b d4 f7 cd 7f a7 60 c6 0a 4c bf
2.5.29.14: Flags = 0, Length = 16
Subject Key Identifier
f9 c8 19 ed c4 e0 9f 4f 1f 55 a3 9e 75 a3 8e ab 16 78 41 66
2.5.29.19: Flags = 0, Length = 2
Basic Constraints
Subject Type=End Entity
Path Length Constraint=None
Signature Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
Algorithm Parameters:
05 00
Signature: UnusedBits=0
0000 a0 c1 64 2f c5 49 3e 3c f2 ea a2 b5 d6 7e d5 61
0010 29 ba 07 bd 9b b7 b8 1f 4c ef 8a f7 65 ce 8e 03
0020 8c 15 f0 d1 4c 69 3a 2e 9a b5 07 89 be dc 77 c3
0030 77 91 db 25 83 11 1d 8a 40 a5 12 64 f4 7c a3 bd
0040 0d eb ac 0c 13 3e 0c 2e 09 cf 73 72 f4 8d 02 3b
0050 37 0b a3 c2 01 04 9b f0 1f fb 87 36 90 0f 66 10
0060 8e e3 8a e2 86 a0 4c 65 3f 36 fb 15 a2 ac 57 fd
0070 c5 94 5b 2d f3 cd 63 30 8e 60 98 ae df 91 0e d9
0080 bd 60 33 4f 75 d6 92 62 f3 19 1f 93 6b bd e6 8f
0090 83 34 88 c8 48 87 44 70 e8 96 23 d1 c6 63 82 c5
00a0 2b e9 77 44 5f 4b d6 8c a2 da be b3 56 02 70 eb
00b0 23 b9 c6 46 b1 29 32 48 d8 46 c3 ed 35 1f cd 65
00c0 57 02 8c 03 b9 61 c6 20 ce 06 f9 6d d1 8b 2a 79
00d0 f7 8d 87 d6 a7 0d fe 69 85 b0 af d6 4e b8 2b 22
00e0 7a ea 50 88 2b 25 d7 b1 d0 23 16 e9 9a 2d a3 6b
00f0 7b aa 95 3a 3c 44 dd c8 15 41 94 dd 81 c5 de b0
Non-root Certificate
Key Id Hash(rfc-sha1): f9c819edc4e09f4f1f55a39e75a38eab16784166
Key Id Hash(sha1): daac6db6c7bc544e39c991a629a2280619fd6e6d
Key Id Hash(md5): 64c265f978b95775601823308ec52b63
Key Id Hash(sha256): 25107e721d662078a6680ca105162294c9e3755af53a13a6a248d49ad9d29043
Cert Hash(md5): c3b91d6fd29a96692ae3f0920a31f8ca
Cert Hash(sha1): 15cf70a8ffa6049e17915afd55ff7bc25eb19eb2
Cert Hash(sha256): 50bdd8af8d096446918837f877a8c9f8e8fdeb7e4bd545323490a987954b267a
Signature Hash: 7c9ec9cf0c20b31530805d5bc34efad1a11d390d652ed0040cedc0e1dc9f2080
CERT_SUBJECT_PUBLIC_KEY_MD5_HASH_PROP_ID(25):
64c265f978b95775601823308ec52b63
CERT_MD5_HASH_PROP_ID(4):
c3b91d6fd29a96692ae3f0920a31f8ca
CERT_SHA1_HASH_PROP_ID(3):
15cf70a8ffa6049e17915afd55ff7bc25eb19eb2
CERT_FRIENDLY_NAME_PROP_ID(11):
wildcard.XXX.com_2016
CERT_KEY_PROV_INFO_PROP_ID(2):
Key Container = {B9ED4E08-E960-484A-8461-A8197761782C}
Unique container name: 0e4122029ed9cd31a8781f880191ea36_2ab40618-dac2-4d86-9224-489cfd1e8af0
Provider = Microsoft RSA SChannel Cryptographic Provider
ProviderType = c
Flags = 20 (32)
CRYPT_MACHINE_KEYSET -- 20 (32)
KeySpec = 1 -- AT_KEYEXCHANGE
CERT_KEY_IDENTIFIER_PROP_ID(20):
f9c819edc4e09f4f1f55a39e75a38eab16784166
CERT_SIGNATURE_HASH_PROP_ID(15) disallowedHash:
7c9ec9cf0c20b31530805d5bc34efad1a11d390d652ed0040cedc0e1dc9f2080
CERT_SUBJECT_PUB_KEY_BIT_LENGTH_PROP_ID(92):
0x00000800 (2048)
CERT_ISSUER_PUBLIC_KEY_MD5_HASH_PROP_ID(24):
930ed2707d249c195a1bf719ff95c4c2
CERT_ACCESS_STATE_PROP_ID(14):
AccessState = 6
CERT_ACCESS_STATE_SYSTEM_STORE_FLAG -- 2
CERT_ACCESS_STATE_LM_SYSTEM_STORE_FLAG -- 4
Provider = Microsoft RSA SChannel Cryptographic Provider
ProviderType = c
Unique container name: 0e4122029ed9cd31a8781f880191ea36_2ab40618-dac2-4d86-9224-489cfd1e8af0
RSA
PP_KEYSTORAGE = 1
CRYPT_SEC_DESCR -- 1
KP_PERMISSIONS = 3b (59)
CRYPT_ENCRYPT -- 1
CRYPT_DECRYPT -- 2
CRYPT_READ -- 8
CRYPT_WRITE -- 10 (16)
CRYPT_MAC -- 20 (32)
D:AI(A;;GAGR;;;SY)(A;;GAGR;;;NS)(A;;GAGR;;;BA)(A;;GR;;;S-1-5-5-0-190452580)
Allow Full Control NT AUTHORITYSYSTEM
Allow Full Control NT AUTHORITYNETWORK SERVICE
Allow Full Control BUILTINAdministrators
Allow Read NT AUTHORITYLogonSessionId_0_190452580
Private key is NOT exportable
Encryption test passed
Operlaw пишет: Вообщем вот инструкция от КБ.
1. Удалить с АРМ КриптоПРО.
2. Перезагрузить ПК.
3. Удалить Континент АП.
4. Перезагрузить ПК.
5. Очистить систему утилитой от КриптоПРО (запуск от имени администратора) — www.cryptopro.ru/sites/default/files/public/cspclean.exe
6. Очистить систему утилитой от Кода Безопасности (запуск из командной строки от имени администратора с ключами –t и –v) —
Ссылка на утилиту CspCleaner.exe:
cloud.securitycode.ru/nextcloud/index.php/s/QfrzbrM5Gmd4PpN
Пароль: 5iXBS346
7. В случае, если запуск будет произведен не от имени администратора, утилита завершится без вывода какой-либо информации и очистка произведена не будет.
8. Перезагрузить ПК.
9. Установить КриптоПРО.
10. Перезагрузить ПК.
11. Установить Континент АП. При устанавки КАП выбрать максимальную установку с датчиками, с КБ CSP, и т.д.
12. Перезагрузить ПК.
13. В настройках КБ CSP установить биологический ДСЧ в место физического.
И все заработает.
Не работает, выдаёт эту ошибку. А при установке Континента ап (последний 651) нет биологического накопления МИШЕНИй.,они не появляются
- Remove From My Forums
-
Question
-
Hi All,
Recently, I started to enable one MP from http to https, but it always failed with error. May I have your advice how I could get it resolved? Thanks
I have already imported the certificate in IIS, and enable https on MP site server. The certificate that I imported always have a private key.. Not sure why I still get the error. Is there anyone can give me some hints on this problem? Or how can I move
on? ThanksUnder certificate maintenance log, it shows many many
Under BgbServer.log, it always shows
Under mpcontrol.log, it shows
Answers
-
Hi,
0x80090014 = Invalid provider type specified. Source = Windows.
So it looks that you’ve used wrong type of certificate. You may need to re-create your certificate.
Configuration manager is not compatible with v3/v4 certificate templates which KSPs certificate require. Try to use legacy CSPs certificate template.
Check below document:
https://docs.microsoft.com/en-us/sccm/core/plan-design/network/pki-certificate-requirements
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com.- Edited by
Tuesday, October 31, 2017 1:53 AM
- Marked as answer by
Raymond2016
Wednesday, November 1, 2017 1:13 AM
- Edited by
- Remove From My Forums
-
Question
-
Hi All,
Recently, I started to enable one MP from http to https, but it always failed with error. May I have your advice how I could get it resolved? Thanks
I have already imported the certificate in IIS, and enable https on MP site server. The certificate that I imported always have a private key.. Not sure why I still get the error. Is there anyone can give me some hints on this problem? Or how can I move
on? ThanksUnder certificate maintenance log, it shows many many
Under BgbServer.log, it always shows
Under mpcontrol.log, it shows
Answers
-
Hi,
0x80090014 = Invalid provider type specified. Source = Windows.
So it looks that you’ve used wrong type of certificate. You may need to re-create your certificate.
Configuration manager is not compatible with v3/v4 certificate templates which KSPs certificate require. Try to use legacy CSPs certificate template.
Check below document:
https://docs.microsoft.com/en-us/sccm/core/plan-design/network/pki-certificate-requirements
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com.- Edited by
Tuesday, October 31, 2017 1:53 AM
- Marked as answer by
Raymond2016
Wednesday, November 1, 2017 1:13 AM
- Edited by
I just got a paid certificate from Entrust, Provider = Microsoft RSA SChannel Cryptographic Provider
The private key is correct — and by all accounts this certificate should work!
However, SF refuses to use it.
Even weirder — If I try to use this as an aspnet Core 2 certificate — it works on local SF dev cluster — but once I deploy it, it fails to find the certificate. Hence there seems to be something about this certificate that SF doesn’t like — i.e. code:
using (X509Store store = new X509Store(StoreName.My, StoreLocation.LocalMachine))
{
store.Open(OpenFlags.ReadOnly);
var certCollection = store.Certificates;
var currentCerts = certCollection.Find(X509FindType.FindBySubjectDistinguishedName, CNName, true);
Error when creating cluster with this certificate:
20/10/2018 11:56:38 AM - APWLLWS130 - Error - Failed to get the Certificate's private key. Thumbprint:*.xxx.com, O
=XXX, L=XXX, S=XXX, C=CA. Error: FABRIC_E_CERTIFICATE_NOT_FOUND
20/10/2018 11:56:38 AM - APWLLWS130 - Error - Failed to get private key file. x509FindValue: *.XX.com, O=XX, L=XX, S=XX, C=XX, x509StoreName: My, findType: FindBySubjectName, Error FABRIC_E_CERTIFICATE_NOT_FOUND
Full details of certificate:
================ Certificate 6 ================
X509 Certificate:
Version: 3
Serial Number: XXXX
Signature Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
Algorithm Parameters:
05 00
Issuer:
CN=Entrust Certification Authority - L1K
OU=(c) 2012 Entrust, Inc. - for authorized use only
OU=See www.entrust.net/legal-terms
O=Entrust, Inc.
C=US
Name Hash(sha1): cc6d221cf6b4552c2f87915f5afef0e1eece83cc
Name Hash(md5): d28ad6c84bf87658d9937c2df7b35db9
NotBefore: 5/04/2016 6:21 AM
NotAfter: 5/04/2019 6:51 AM
Subject:
CN=*.XXX.com
O=XXX Limited
L=XXX
S=British Columbia
C=CA
Name Hash(sha1): dbdd4f61a6bb62aeee8d7797b74be619e5c325bc
Name Hash(md5): 6e18fd16dc14bdecfc3fbd1c76bfde9e
Public Key Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.1 RSA
Algorithm Parameters:
05 00
Public Key Length: 2048 bits
Public Key: UnusedBits = 0
0000 30 82 01 0a 02 82 01 01 00 cf 0c d5 f1 26 0d d2
0010 d5 9f eb e7 15 3c 68 14 ac 12 60 e4 f6 11 95 1d
0020 1d 6f 0e ab 29 7f 7c 47 f9 b5 21 12 88 a0 b8 13
0030 d1 97 fe d7 d9 92 55 ed 2f 4b 9a ab 22 b2 01 16
0040 60 1c c1 c8 de 2b 2b 06 d6 14 cc 97 29 72 9a da
0050 9a f7 8f b6 c8 53 da 50 b0 4e bc 6e cd 52 ea 2b
0060 ce cd 61 19 e5 3a 8d 4f f9 5e 85 3e 6c 6a 09 2e
0070 f7 ea 72 35 3c 55 0a 73 08 a7 e9 61 68 3f 33 5b
0080 38 e8 8a 84 0a a9 0c 6e 43 24 91 05 6f 0d 7b 9e
0090 47 c1 98 86 b8 28 c2 f3 90 45 25 03 d5 b2 6f 29
00a0 a2 0c 9a 9e 54 e5 8b ca 61 47 67 15 ab 0f 24 68
00b0 25 71 b2 4e b3 4e b9 63 3e 45 6a 93 e8 60 bb f3
00c0 5e e0 c2 11 53 7b 5c 66 1a 40 e3 ba 54 32 13 f1
00d0 cf 6e dc 53 fe c9 fb 05 e1 5a c8 77 01 c5 b2 af
00e0 7b 79 fc 6b e3 0c c8 17 fd 29 df 6b 5c 0a a2 f3
00f0 6b 83 f0 68 5b da 12 87 0f 59 39 2a d1 23 39 99
0100 57 37 33 a5 0b a8 b5 9c cb 02 03 01 00 01
Certificate Extensions: 9
2.5.29.15: Flags = 0, Length = 4
Key Usage
Digital Signature, Key Encipherment (a0)
2.5.29.37: Flags = 0, Length = 16
Enhanced Key Usage
Server Authentication (1.3.6.1.5.5.7.3.1)
Client Authentication (1.3.6.1.5.5.7.3.2)
2.5.29.31: Flags = 0, Length = 2c
CRL Distribution Points
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=http://crl.entrust.net/level1k.crl
2.5.29.32: Flags = 0, Length = 44
Certificate Policies
[1]Certificate Policy:
Policy Identifier=2.16.840.1.114028.10.1.5
[1,1]Policy Qualifier Info:
Policy Qualifier Id=CPS
Qualifier:
http://www.entrust.net/rpa
[2]Certificate Policy:
Policy Identifier=2.23.140.1.2.2
1.3.6.1.5.5.7.1.1: Flags = 0, Length = 5c
Authority Information Access
[1]Authority Info Access
Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1)
Alternative Name:
URL=http://ocsp.entrust.net
[2]Authority Info Access
Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=http://aia.entrust.net/l1k-chain256.cer
2.5.29.17: Flags = 0, Length = 22
Subject Alternative Name
DNS Name=*.XXXX
DNS Name=XXXX
2.5.29.35: Flags = 0, Length = 18
Authority Key Identifier
KeyID=82 a2 70 74 dd bc 53 3f cf 7b d4 f7 cd 7f a7 60 c6 0a 4c bf
2.5.29.14: Flags = 0, Length = 16
Subject Key Identifier
f9 c8 19 ed c4 e0 9f 4f 1f 55 a3 9e 75 a3 8e ab 16 78 41 66
2.5.29.19: Flags = 0, Length = 2
Basic Constraints
Subject Type=End Entity
Path Length Constraint=None
Signature Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
Algorithm Parameters:
05 00
Signature: UnusedBits=0
0000 a0 c1 64 2f c5 49 3e 3c f2 ea a2 b5 d6 7e d5 61
0010 29 ba 07 bd 9b b7 b8 1f 4c ef 8a f7 65 ce 8e 03
0020 8c 15 f0 d1 4c 69 3a 2e 9a b5 07 89 be dc 77 c3
0030 77 91 db 25 83 11 1d 8a 40 a5 12 64 f4 7c a3 bd
0040 0d eb ac 0c 13 3e 0c 2e 09 cf 73 72 f4 8d 02 3b
0050 37 0b a3 c2 01 04 9b f0 1f fb 87 36 90 0f 66 10
0060 8e e3 8a e2 86 a0 4c 65 3f 36 fb 15 a2 ac 57 fd
0070 c5 94 5b 2d f3 cd 63 30 8e 60 98 ae df 91 0e d9
0080 bd 60 33 4f 75 d6 92 62 f3 19 1f 93 6b bd e6 8f
0090 83 34 88 c8 48 87 44 70 e8 96 23 d1 c6 63 82 c5
00a0 2b e9 77 44 5f 4b d6 8c a2 da be b3 56 02 70 eb
00b0 23 b9 c6 46 b1 29 32 48 d8 46 c3 ed 35 1f cd 65
00c0 57 02 8c 03 b9 61 c6 20 ce 06 f9 6d d1 8b 2a 79
00d0 f7 8d 87 d6 a7 0d fe 69 85 b0 af d6 4e b8 2b 22
00e0 7a ea 50 88 2b 25 d7 b1 d0 23 16 e9 9a 2d a3 6b
00f0 7b aa 95 3a 3c 44 dd c8 15 41 94 dd 81 c5 de b0
Non-root Certificate
Key Id Hash(rfc-sha1): f9c819edc4e09f4f1f55a39e75a38eab16784166
Key Id Hash(sha1): daac6db6c7bc544e39c991a629a2280619fd6e6d
Key Id Hash(md5): 64c265f978b95775601823308ec52b63
Key Id Hash(sha256): 25107e721d662078a6680ca105162294c9e3755af53a13a6a248d49ad9d29043
Cert Hash(md5): c3b91d6fd29a96692ae3f0920a31f8ca
Cert Hash(sha1): 15cf70a8ffa6049e17915afd55ff7bc25eb19eb2
Cert Hash(sha256): 50bdd8af8d096446918837f877a8c9f8e8fdeb7e4bd545323490a987954b267a
Signature Hash: 7c9ec9cf0c20b31530805d5bc34efad1a11d390d652ed0040cedc0e1dc9f2080
CERT_SUBJECT_PUBLIC_KEY_MD5_HASH_PROP_ID(25):
64c265f978b95775601823308ec52b63
CERT_MD5_HASH_PROP_ID(4):
c3b91d6fd29a96692ae3f0920a31f8ca
CERT_SHA1_HASH_PROP_ID(3):
15cf70a8ffa6049e17915afd55ff7bc25eb19eb2
CERT_FRIENDLY_NAME_PROP_ID(11):
wildcard.XXX.com_2016
CERT_KEY_PROV_INFO_PROP_ID(2):
Key Container = {B9ED4E08-E960-484A-8461-A8197761782C}
Unique container name: 0e4122029ed9cd31a8781f880191ea36_2ab40618-dac2-4d86-9224-489cfd1e8af0
Provider = Microsoft RSA SChannel Cryptographic Provider
ProviderType = c
Flags = 20 (32)
CRYPT_MACHINE_KEYSET -- 20 (32)
KeySpec = 1 -- AT_KEYEXCHANGE
CERT_KEY_IDENTIFIER_PROP_ID(20):
f9c819edc4e09f4f1f55a39e75a38eab16784166
CERT_SIGNATURE_HASH_PROP_ID(15) disallowedHash:
7c9ec9cf0c20b31530805d5bc34efad1a11d390d652ed0040cedc0e1dc9f2080
CERT_SUBJECT_PUB_KEY_BIT_LENGTH_PROP_ID(92):
0x00000800 (2048)
CERT_ISSUER_PUBLIC_KEY_MD5_HASH_PROP_ID(24):
930ed2707d249c195a1bf719ff95c4c2
CERT_ACCESS_STATE_PROP_ID(14):
AccessState = 6
CERT_ACCESS_STATE_SYSTEM_STORE_FLAG -- 2
CERT_ACCESS_STATE_LM_SYSTEM_STORE_FLAG -- 4
Provider = Microsoft RSA SChannel Cryptographic Provider
ProviderType = c
Unique container name: 0e4122029ed9cd31a8781f880191ea36_2ab40618-dac2-4d86-9224-489cfd1e8af0
RSA
PP_KEYSTORAGE = 1
CRYPT_SEC_DESCR -- 1
KP_PERMISSIONS = 3b (59)
CRYPT_ENCRYPT -- 1
CRYPT_DECRYPT -- 2
CRYPT_READ -- 8
CRYPT_WRITE -- 10 (16)
CRYPT_MAC -- 20 (32)
D:AI(A;;GAGR;;;SY)(A;;GAGR;;;NS)(A;;GAGR;;;BA)(A;;GR;;;S-1-5-5-0-190452580)
Allow Full Control NT AUTHORITYSYSTEM
Allow Full Control NT AUTHORITYNETWORK SERVICE
Allow Full Control BUILTINAdministrators
Allow Read NT AUTHORITYLogonSessionId_0_190452580
Private key is NOT exportable
Encryption test passed
I had the same problem on Windows 8 and Server 2012/2012 R2 with two new certificates I recently received. On Windows 10, the problem no longer occurs (but that does not help me, as the code manipulating the certificate is used on a server). While the solution of Joe Strommen in principle works, the different private key model would require massive change to the code using the certificates. I find that a better solution is to convert the private key from CNG to RSA, as explained by Remy Blok here.
Remy uses OpenSSL and two older tools to accomplish the private key conversion, we wanted to automate it and developed an OpenSSL-only solution. Given MYCERT.pfx with private key password MYPWD in CNG format, these are the steps to get a new CONVERTED.pfx with private key in RSA format and same password:
- Extract public keys, full certificate chain:
OpenSSL pkcs12 -in "MYCERT.pfx" -nokeys -out "MYCERT.cer" -passin "pass:MYPWD"
- Extract private key:
OpenSSL pkcs12 -in "MYCERT.pfx" -nocerts -out "MYCERT.pem" -passin "pass:MYPWD" -passout "pass:MYPWD"
- Convert private key to RSA format:
OpenSSL rsa -inform PEM -in "MYCERT.pem" -out "MYCERT.rsa" -passin "pass:MYPWD" -passout "pass:MYPWD"
- Merge public keys with RSA private key to new PFX:
OpenSSL pkcs12 -export -in "MYCERT.cer" -inkey "MYCERT.rsa" -out "CONVERTED.pfx" -passin "pass:MYPWD" -passout "pass:MYPWD"
If you load the converted pfx or import it in the Windows certificate store instead of the CNG format pfx, the problem goes away and the C# code does not need to change.
One additional gotcha that I encountered when automating this: we use long generated passwords for the private key and the password may contain ". For the OpenSSL command line, " characters inside the password must be escaped as "".
JLRishe
98k19 gold badges130 silver badges166 bronze badges
answered Dec 5, 2015 at 9:08
8
In my case, I was trying to use a self-signed certificate with PowerShell’s New-SelfSignedCertificate command. By default, it will generate a certificate using the CNG (Crypto-Next Generation) API instead of the older/classic crypto CAPI. Some older pieces of code will have trouble with this; in my case it was an older version of the IdentityServer STS provider.
By adding this at the end of my New-SelfSignedCertificate command, I got past the issue:
-KeySpec KeyExchange
Reference on the switch for the powershell command:
https://learn.microsoft.com/en-us/powershell/module/pkiclient/new-selfsignedcertificate?view=win10-ps
answered Apr 22, 2019 at 20:18
enablorenablor
9529 silver badges6 bronze badges
5
Here is another reason that this can happen,
this was a weird issue and after struggling for a day I solved the issue.
As an experiment I changed permission for «C:ProgramDataMicrosoftCryptoRSAMachineKeys» folder which holds private key data for certificates using Machine key store. When you change permission for this folder all privatekeys shows up as «Microsoft Software KSP provider» which is not the provider (in my case they are supposed to be » Microsoft RSA Schannel Cryptographic Provider»).
Solution: Reset permissions to Machinekeys folder
Original permission for this folder can be found in here. In my case I have changed permission for «Everyone», gave read permissions where it removed «Special permissions» tick. So I checked with one of my team member (Right click folder> Properties > Security > Advanced > select «Everyone» > Edit > Click «Advanced settings» in permission check box list
Hope this will save someone’s day!
Here is where I found the answer source, credit goes to him for documenting this.
answered Jan 11, 2017 at 23:56
Dhanuka777Dhanuka777
8,1436 gold badges68 silver badges122 bronze badges
3
In my case, the following code worked fine in localhost (both NET 3.5 and NET 4.7):
var certificate = new X509Certificate2(certificateBytes, password);
string xml = "....";
XmlDocument xmlDocument = new XmlDocument();
xmlDocument.PreserveWhitespace = true;
xmlDocument.LoadXml(xml);
SignedXml signedXml = new SignedXml(xmlDocument);
signedXml.SigningKey = certificate.PrivateKey;
//etc...
But it failed when deployed to an Azure Web App, at certificate.PrivateKey
It worked by changing the code as follows:
var certificate = new X509Certificate2(certificateBytes, password, X509KeyStorageFlags.MachineKeySet | X509KeyStorageFlags.PersistKeySet | X509KeyStorageFlags.Exportable);
//^ Here
string xml = "....";
XmlDocument xmlDocument = new XmlDocument();
xmlDocument.PreserveWhitespace = true;
xmlDocument.LoadXml(xml);
SignedXml signedXml = new SignedXml(xmlDocument);
signedXml.SigningKey = certificate.GetRSAPrivateKey();
// ^ Here too
//etc...
A whole day of work lost thanks to Microsoft Azure, once again in my life.
answered Mar 25, 2019 at 21:42
sportssports
7,67312 gold badges69 silver badges128 bronze badges
7
The link to Alejandro’s blog is key.
I believe this is because the certificate is stored on your machine with the CNG («Crypto Next-Generation») API. The old .NET API is not compatible with it, so it doesn’t work.
You can use the Security.Cryptography wrapper for this API (available on Codeplex). This adds extension methods to X509Certificate/X509Certificate2, so your code will look something like:
using Security.Cryptography.X509Certificates; // Get extension methods
X509Certificate cert; // Populate from somewhere else...
if (cert.HasCngKey())
{
var privateKey = cert.GetCngPrivateKey();
}
else
{
var privateKey = cert.PrivateKey;
}
Unfortunately the object model for CNG private keys is quite a bit different. I’m not sure if you can export them to XML like in your original code sample…in my case I just needed to sign some data with the private key.
Chris J
30.3k6 gold badges68 silver badges109 bronze badges
answered Jul 10, 2015 at 21:41
Joe StrommenJoe Strommen
1,23610 silver badges18 bronze badges
4
What worked for me:
IIS / Application pool / Load User Profile = true
answered Nov 20, 2019 at 22:49
2
As many other answers have pointed out, this issue arises when the private key is a Windows Cryptography: Next Generation (CNG) key instead of a «classic» Windows Cryptographic API (CAPI) key.
Beginning with .NET Framework 4.6 the private key (assuming it’s an RSA key) can be accessed via an extension method on X509Certificate2: cert.GetRSAPrivateKey().
When the private key is held by CNG the GetRSAPrivateKey extension method will return an RSACng object (new to the framework in 4.6). Because CNG has a pass-through to read older CAPI software keys, GetRSAPrivateKey will usually return an RSACng even for a CAPI key; but if CNG can’t load it (e.g. it’s an HSM key with no CNG driver) then GetRSAPrivateKey will return an RSACryptoServiceProvider.
Note that the return type for GetRSAPrivateKey is RSA. Beginning with .NET Framework v4.6 you shouldn’t need to cast beyond RSA for standard operations; the only reason to use RSACng or RSACryptoServiceProvider is when you need to interop with programs or libraries that use the NCRYPT_KEY_HANDLE or the key identifier (or opening a persisted key by name). (.NET Framework v4.6 had a lot of places that still cast the input object to RSACryptoServiceProvider, but those were all eliminated by 4.6.2 (of course, that’s more than 2 years ago at this point)).
ECDSA certificate support was added in 4.6.1 via a GetECDsaPrivateKey extension method, and DSA was upgraded in 4.6.2 via GetDSAPrivateKey.
On .NET Core the return value from Get[Algorithm]PrivateKey changes depending on the OS. For RSA it’s RSACng/RSACryptoServiceProvider on Windows, RSAOpenSsl on Linux (or any UNIX-like OS except macOS), and a non-public type on macOS (meaning you can’t cast it beyond RSA).
answered Oct 4, 2018 at 20:38
bartonjsbartonjs
29k2 gold badges72 silver badges104 bronze badges
Using Visual Studio 2019 and IISExpress, I was able to correct this problem by removing the following flag when loading the .pfx|.p12 file:
X509KeyStorageFlags.MachineKeySet
Before:
X509KeyStorageFlags.MachineKeySet | X509KeyStorageFlags.PersistKeySet | X509KeyStorageFlags.Exportable
After:
X509KeyStorageFlags.PersistKeySet | X509KeyStorageFlags.Exportable
Normally, I’ll load the cert this way:
var myCert = new X509Certificate2("mykey.pfx", "mypassword", X509KeyStorageFlags.MachineKeySet | X509KeyStorageFlags.PersistKeySet | X509KeyStorageFlags.Exportable);
This does NOT raise an Exception, instead the Exception is raised when attempting to use the certificate (or in my case, when trying to obtain the .PrivateKey). I’ve found this issue can be caused when the invoking user has insufficient permissions.
Since I rely on the MachineKeySet flag for some environments, my current solution is to swallow the Exception, change the flags, try again. :/
A more organic solution would be to test the permissions level and set this flag dynamically, however I’m not aware of a simple way to do this, hence the fallback.
NOTE: The .pfx file I’m using was created from a website that uses a JavaScript library (digitalbazaar/forge) which does NOT use CNG (Cryptography Next Generation) Key Storage Providers. here are many common causes for this same error (the most common fixes related to CNG extensions, which have — unfortunately even changed namespaces in .NET versions), which throw the same error. Microsoft should ultimately be more verbose when throwing these types of errors.
answered Nov 1, 2019 at 18:40
tresftresf
6,5445 gold badges38 silver badges97 bronze badges
I also had this issue and after attempting the suggestions in this post without success. I was able to resolve my issue by reloading the certificate with the Digicert certificate utility https://www.digicert.com/util/. This allows one to select the provider to load the certificate into. In my case loading the certificate into the Microsoft RSA Schannel Cryptographic Provider provider where I had expected it to be in the first place resolved the issue.
answered Sep 25, 2017 at 3:14
Powershell version of the answer from @berend-engelbrecht, assuming openssl installed via chocolatey
function Fix-Certificates($certPasswordPlain)
{
$certs = Get-ChildItem -path "*.pfx" -Exclude "*.converted.pfx"
$certs | ForEach-Object{
$certFile = $_
$shortName = [io.path]::GetFileNameWithoutExtension($certFile.Name)
Write-Host "Importing $shortName"
$finalPfx = "$shortName.converted.pfx"
Set-Alias openssl "C:Program FilesOpenSSLbinopenssl.exe"
# Extract public key
OpenSSL pkcs12 -in $certFile.Fullname -nokeys -out "$shortName.cer" -passin "pass:$certPasswordPlain"
# Extract private key
OpenSSL pkcs12 -in $certFile.Fullname -nocerts -out "$shortName.pem" -passin "pass:$certPasswordPlain" -passout "pass:$certPasswordPlain"
# Convert private key to RSA format
OpenSSL rsa -inform PEM -in "$shortName.pem" -out "$shortName.rsa" -passin "pass:$certPasswordPlain" -passout "pass:$certPasswordPlain" 2>$null
# Merge public keys with RSA private key to new PFX
OpenSSL pkcs12 -export -in "$shortName.cer" -inkey "$shortName.rsa" -out $finalPfx -passin "pass:$certPasswordPlain" -passout "pass:$certPasswordPlain"
# Clean up
Remove-Item "$shortName.pem"
Remove-Item "$shortName.cer"
Remove-Item "$shortName.rsa"
Write-Host "$finalPfx created"
}
}
# Execute in cert folder
Fix-Certificates password
answered Mar 8, 2018 at 10:02
fiatfiat
15.2k9 gold badges80 silver badges101 bronze badges
I faced the same problem in our IIS app:
System.Security.Cryptography.Pkcs.PkcsUtils.CreateSignerEncodeInfo(CmsSigner signer, Boolean silent)
System.Security.Cryptography.Pkcs.SignedCms.Sign(CmsSigner signer, Boolean silent)
System.Security.Cryptography.Pkcs.SignedCms.ComputeSignature(CmsSigner signer, Boolean silent)
Regenerating certs as mentioned here didnt help.
I also noticed that test console app works fine under pool user.
Problem disappeared after clearing «Enable 32-bit Applications» setting for IIS app pool.
answered May 21, 2019 at 7:24
I tried everything in this post, but for me the solution was:
- Import the original .p12 file into my local machine
- Export it as a .pfx file checking the «Export all extended properties» and «Include all the certificates in the certification path if its possible» options
-
Read the new certificate using this flag options from this post solution:
var certificate = new X509Certificate2(certKeyFilePath, passCode, X509KeyStorageFlags.Exportable | X509KeyStorageFlags.MachineKeySet | X509KeyStorageFlags.PersistKeySet );
answered Feb 5, 2020 at 11:37
rasputinorasputino
6591 gold badge8 silver badges23 bronze badges
1
For a .net 4.8 WCF service I was getting this error because i hadn’t (also) set the httpRuntime version.
Without the httpRuntime set i was getting the error whenever a secured .net tcp binding was present.
<system.web>
<compilation targetFramework="4.8" />
<httpRuntime targetFramework="4.8" />
<!--<customErrors mode="Off" />-->
</system.web>
I had already setup the required permissions in mmc.exe -> add snap-in -> certificates -> personal -> all tasks -> manage private keys -> add [computer name]IIS_IUSRS (all my application pools are ApplicationPoolIdentity [default] — which is covered by IIS_IUSRS)
answered Sep 10, 2020 at 22:41
DavidGDavidG
3313 silver badges7 bronze badges
1
the PrivateKey and PublicKey properties are outdated beginning with NET 4.6. Please use:
- cert.GetRSAPrivateKey() or GetECDsaPrivateKey()
- cert.GetRSAPublicKey() or GetECDsaPublicKey()
Regards
answered Nov 3, 2020 at 12:24
After following the accepted answer (specifying KeySpec), the exception changed to System.Security.Cryptography.CryptographicException: Invalid provider type specified.. I resolved that exception by giving my web application access to the private key (IIS_IUSRS). I discovered that this would also fix the problem with my original certificate. So before generating and deploying new certificates, check the private key’s permissions as well.
answered Nov 11, 2020 at 9:59
BoukeBouke
11.4k7 gold badges64 silver badges99 bronze badges
The problem is your code is not able to read the PFX file.
convert the pfx file to RSA format by doing the below steps.
Get the certificate and extract the pfx file from the certificate.
use the password 123456 below to have a quick solution.
rename your pfx to ‘my.pfx’ file to make it simple and put it in «C:Certi»
make sure you have open SSL installed already in the system.
open cmd in windows system and type —> OpenSSL
Stay cool and just run these ones by one —> copy paste.
*Note
—passin is your Pfx file password
—passout is the new password for converted pfx.
1. pkcs12 -in "C:Certimy.pfx" -nokeys -out "C:CertiMYCERT.cer" -passin "pass:123456"
2. pkcs12 -in "C:Certimy.pfx" -nocerts –out “C:CertiMYCERT.pem" -passin "pass:123456" -passout "pass:123456"
3. rsa -inform PEM -in "C:CertiMYCERT.pem" -out "C:CertiMYCERT.rsa" -passin "pass:123456" -passout "pass:123456"
if you face issue in the 3rd command go here https://decoder.link/converter
Click PKC#12 To PEM
upload your pfx file and get it converted online.
download the zip file.
it contains 3 files. just copy «.key» file and rename it as my.key and put in «C:Certi»
4. rsa -in C:Certimy.key -out C:Certidomain-rsa.key
5. pkcs12 -export -in "C:CertiMYCERT.cer" -inkey "C:Certidomain-rsa.key" -out "C:CertiCONVERTED.pfx" -passin "pass:123456" -passout "pass:123456"
**Also, you can try below things if the issue still persists**
- Given access to app pool or IIS user to folder «mandatory to do»
Path — > C:ProgramDataMicrosoftCryptoRSAMachineKeys
- Delete the old keys (clear up the mess)
Path — > C:ProgramDataMicrosoftCryptoRSAMachineKeys
answered Jan 9, 2020 at 15:56
This error went away after i removed the certificate from the store and imported it again from the .pfx file, using the Certificate Import Wizard (double-click the .pfx file) and an extra import option.
After checking the import option (same step where password is entered):
«Mark this key as exportable. This will allow you to back up or transport your keys at a later time.»
The privatekey could now be accessed from code without any errors.
I also explicitly select the «Personal» store on the 2nd to last step, but I don’t think this matters.
answered Jan 30, 2020 at 14:21
TikallTikall
2,32322 silver badges13 bronze badges
It seems on Windows 10, if I run my program without administrative privileges (whether I use the PrivateKey property or the GetRSAPrivateKey() extension method), I will see this exception (see the title of this discussion thread for the exception). If I run my program with administrative privileges and use the PrivateKey property, I will also see this exception. Only if I run my program with administrative privileges and use the GetRSAPrivateKey() extension method, I will not see this exception.
answered Mar 16, 2020 at 13:49
robbie fanrobbie fan
5681 gold badge5 silver badges10 bronze badges
I also had this issue, I changed the ‘.jks’ to ‘.pfx’ without typing the password, once I changed the key store type again with the password it is worked successfully.
answered Oct 18, 2021 at 8:21
After experiencing this issue on some computers in a security-critical environment, I found that, contrary to several answers, updating the Cryptographic Service Provider (CSP) of the certificate from the old CAPI standard to the new CNG standard resolved this issue.
The security policies probably restricted the use of CSPs relying on deprecated cryptographic algorithms.
Updating the CSP to Microsoft Software Key Storage Provider based on these instructions fixed the issues.
answered Nov 3, 2021 at 14:36
thabsthabs
5731 silver badge12 bronze badges
I had a very strange issue regarding an imported PFX from OpenSSL on a Linux System and the ADWS (Active Directory Web Service).
When using the Import Certificate GUI through the MMC Snap Ins, the certificate was imported successfully and ADWS could find it and load.
When using this command with Powershell, the certificate appeared to have been imported successfully but ADWS was giving an Event ID 1402 error.
Import-PfxCertificate -FilePath C:UsersAdministratorDesktopdc01.test.pfx ` -CertStoreLocation 'Cert:LocalMachineMy' -Password (ConvertTo-SecureString 'Password123!' -AsPlainText -Force)
Active Directory Web Services was unable to process the server certificate. A certificate is required to use SSL/TLS connections. To use SSL/TLS connections, verify that a valid server authentication certificate from a trusted Certificate Authority (CA) is installed on the machine.
Enabling the debugging this was the culprit:
ADWSHostFactory: [04/01/2023 21:55:59] [6] ProvisionCertificate: caught a CryptographicException: System.Security.Cryptography.CryptographicException: Invalid provider type specified. at System.Security.Cryptography.Utils.CreateProvHandle(CspParameters parameters, Boolean randomKeyContainer) at System.Security.Cryptography.Utils.GetKeyPairHelper(CspAlgorithmType keyType, CspParameters parameters, Boolean randomKeyContainer, Int32 dwKeySize, SafeProvHandle& safeProvHandle, SafeKeyHandle& safeKeyHandle) at System.Security.Cryptography.RSACryptoServiceProvider.GetKeyPair() at System.Security.Cryptography.RSACryptoServiceProvider..ctor(Int32 dwKeySize, CspParameters parameters, Boolean useDefaultKeySize) at System.Security.Cryptography.X509Certificates.X509Certificate2.get_PrivateKey() at Microsoft.ActiveDirectory.WebServices.ADWSHostFactory.ProvisionCertificate(ServiceHost host)
I was stumped and tried some of the other solutions here but nothing worked.
Fortunately I discovered this guide from Component Space (https://www.componentspace.com/Forums/1578/SHA256-and-Converting-the-Cryptographic-Service-Provider-Type) which mentions the Cryptographic Provider being the issue as do a lot of others on this issue.
I could not see a way of changing this with powershell, but you can do this with certutil.
certutil.exe -p 'Password123!' -csp "Microsoft Enhanced RSA and AES Cryptographic Provider" -importPFX C:UsersAdministratorDesktopdc01.test.pfx
The certificate now works as if I had added it via the GUI.
What I can’t understand is why Powershell is adding it with a different cryptographic provider than if I add it through the MMC GUI. I hope this helps some one else with a really weird and annoying bug.
answered Jan 4 at 22:55
user3559338user3559338
4103 silver badges6 bronze badges
Для корректной работы с электронной подписью (ЭП, ранее — ЭЦП) достаточно соблюсти четыре условия. Во-первых, приобрести средства ЭП в удостоверяющем центре (УЦ). Во-вторых, установить лицензионное средство криптозащиты (СКЗИ, криптопровайдер). В-третьих, загрузить на рабочее место личный, промежуточный и корневой сертификаты. И, в-четвертых, настроить браузер для подписания электронных файлов на веб-порталах. Если хотя бы одно из условий не соблюдено, в процессе использования ЭП возникают различные ошибки: КриптоПро не видит ключ, недействительный сертификат, отсутствие ключа в хранилище и другие. Самые распространенные сбои и способы их устранения рассмотрим в статье.
Поможем получить электронную подпись. Установим и настроим за 1 час.
Оставьте заявку и получите консультацию.
Почему КриптоПро не видит ключ ЭЦП
КриптоПро CSP — самый популярный криптографический софт на российском рынке. Большинство торговых площадок и автоматизированных госсистем работают только с этим криптопровайдером. Программное обеспечение распространяется на безвозмездной основе разработчиком и через дистрибьюторскую сеть, а за лицензию придется платить. При покупке квалифицированной ЭП (КЭП) клиенты получают набор средств:
- закрытый и открытый ключи;
- сертификат ключа проверки электронной подписи (СКПЭП, СЭП) — привязан к открытому ключу;
- физический носитель, на который записываются все перечисленные средства.
Каждый раз, когда владельцу СЭП нужно подписать цифровой файл, он подключает USB-носитель к ПК и вводит пароль (двухфакторная идентификация). Возможен и другой путь — записать все компоненты в реестр ПК и пользоваться ими без физического криптоключа. Второй способ не рекомендован, так как считается небезопасным.
В работе с ЭП возникают такие ситуации, когда пользователь пытается заверить документ в интернете или в специальном приложении, открывает список ключей и не видит СЭП. Проблема может быть спровоцирована следующими факторами:
| Ошибка | Решение |
| Не подключен носитель | Подсоединить токен к ПК через USB-порт (об успешном подключении свидетельствует зеленый индикатор на флешке) |
| Не установлено СКЗИ | Установить криптопровайдер, следуя инструкции |
| Не установлен драйвер носителя | Чтобы компьютер «увидел» устройство, нужно установить специальную утилиту. Как правило, она предоставляется удостоверяющим центром при выдаче подписи. Руководство по инсталляции можно найти на портале разработчика |
| На ПК не загружены сертификаты | Установить корневой, промежуточный и личный сертификаты (как это сделать, рассмотрим далее) |
| Не установлен плагин для браузера | Скачать ПО на сайте www.cryptopro.ru |
Ошибка КриптоПро «0x80090008»: указан неправильный алгоритм
Если версия CryptoPro не соответствует новым условиям сдачи отчетности, пользователь увидит на экране уведомление с кодом ошибки «0x80090008». Это значит, что на ПК установлен устаревший релиз программы, и его необходимо обновить. Для начала проверьте сертификат:
- В меню «Пуск» выберите пункт «Все программы» → «КриптоПро».
- Откройте «КриптоПро CSP сервис» и выберите команду «Протестировать».
- Нажмите кнопку «По сертификату» и укажите нужный файл.
При наличии ошибки в СЭП система на нее укажет.
Удаление программы
Если никаких проблем не обнаружено, ошибку неправильного алгоритма поможет устранить переустановка СКЗИ:
- Найти криптопровайдер через «Пуск».
- Выбрать команду «Удалить».
- Перезагрузить ПК.
Чтобы новая программа работала корректно, перед установкой требуется удалить все следы старой версии с помощью фирменной утилиты cspclean от CryptoPro:
- Запустить файл cspclean.exe на рабочем столе.
- Подтвердить удаление продукта клавишей «ДА».
- Перезагрузить компьютер.
Контейнеры, сохраненные в реестре, удалятся автоматически.
Установка актуального релиза
Дистрибутивы для скачивания СКЗИ размещены в разделе «Продукты» и доступны для скачивания всем авторизованным пользователям. Создание ЛК занимает не более 5 минут:
- Нажмите кнопку «Регистрация».
- Введите личные данные и подтвердите согласие на доступ к персональной информации.
В каталоге продуктов выберите версию криптопровайдера с учетом ОС, загрузите установщик на ПК, запустите его и следуйте подсказкам. При установке ПО требуется указать серийный номер лицензии (если срок действия еще не истек). Эту информацию можно уточнить в приложении к договору.
По отзывам пользователей, переустановка ПК почти всегда помогает в устранении ошибки «0x80090008». Если проблема не решена, рекомендуется написать в техподдержку разработчика или обратиться к официальному дистрибьютору, у которого вы купили лицензию.
КриптоПро вставлен другой носитель: как исправить
Ошибка «Вставьте ключевой носитель» или «Вставлен другой носитель» возникает при попытке подписания электронного документа. Сначала следует убедиться, что USB-токен с сертификатом подключен к ПК (в качестве носителя используются защищенные криптоключи или обычные флешки). Токен должен соответствовать сертификату. Если носитель подсоединен к ПК, но сообщение об ошибке все равно появляется, следует переустановить сертификат через CryptoPro:
- Открыть меню «Пуск» → «Панель управления» → «КриптоПро CSP».
- Зайти во вкладку «Сервис» → «Посмотреть сертификаты в контейнере» → «Обзор».
- Выбрать из списка ключевой контейнер, нажать ОК и «Далее».
- Нажать «Установить». Если появится предупреждение о том, что сертификат уже присутствует в хранилище, дать согласие на его замену.
- Дождаться загрузки сертификата в хранилище «Личное» и нажать ОК.
После переустановки рекомендуется перезагрузить ПК. Для первичной инсталляции СКПЭП применим аналогичный алгоритм действий.
Мы готовы помочь!
Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариям
Недостаточно прав для выполнения операции в КриптоПро
Ошибка сопровождается уведомлением «У компонента недостаточно прав для доступа к сертификатам». Чаще всего возникает в двух ситуациях:
- При попытке авторизоваться в ЛК, например, на портале контролирующего органа, куда нужно отправить отчет (при нажатии на пиктограмму «Вход по сертификату»).
- При проверке КЭП (при нажатии кнопки «Проверить» в разделе «Помощь»).
Если система уведомила пользователя, что у него недостаточно прав для выполнения операции в КриптоПро, проблема может иметь следующие причины:
- не установлен КриптоПро ЭЦП Browser plug-in 2.0 (или стоит его старая сборка);
- сайт, куда пытается войти клиент, не добавлен в каталог доверенных (надежных) ресурсов.
Browser plug-in — обязательный компонент для применения ЭП на веб-страницах. Он расширяет возможности криптопровайдера, позволяет формировать и проверять электронную подпись на интернет-ресурсах. Без этой программы, КриптоПро не сможет связаться с веб-страницей и реализовать на ней функции КЭП. Пользователи ничего не платят за этот модуль, он размещен в свободном доступе на сайте и совместим с любыми операционными системами. Как установить:
- Сохранить дистрибутив cadesplugin.exe.
- Запустить инсталляцию, кликнув по значку установщика.
- Разрешить программе внесение изменений клавишей «Да».
Появится уведомление об успешном результате. Нажмите ОК и перезагрузите браузер, чтобы коррективы вступили в силу.
Для работы с сертификатом ЭП рекомендуется использовать браузер Microsoft Internet Explorer (MIE) — для него не требуются дополнительные настройки. На завершающем этапе необходимо добавить сайт в список доверенных:
- Через меню «Пуск» (CTRL+ESC) найти продукт КриптоПро CSP.
- Зайти в настройки плагина ЭЦП Browser.
- В разделе «Список доверенных узлов» ввести адреса всех ресурсов, принимающих ваш сертификат.
Если после перезагрузки ПК проблема не решена, рекомендуется удалить плагин и выполнить повторную инсталляцию.
Подберем подходящий вид электронной подписи для вашего бизнеса за 5 минут!
Оставьте заявку и получите консультацию.
Ошибка исполнения функции при подписании ЭЦП
Ошибка свидетельствует об отсутствии лицензии на продукт КриптоПро CSP. Зачастую она возникает при попытке подписать документ на торговых площадках или в информационных системах (ЕГАИС, ЖКХ, Росреестр, Госуслуги и др.).
Лицензия на криптопровайдер может быть привязана к АРМ или встроена в сертификат ЭП. В первом случае необходимо убедиться, что лицензия введена на рабочем ПК и актуальна. Срок действия можно уточнить на вкладке «Общее» в меню запущенного криптопровайдера. Если он истек, необходимо обратиться к разработчику или официальному дистрибьютору для продления или покупки новой лицензии. Во втором случае ошибка исполнения функции при подписании ЭЦП возникает при отсутствии установленного на ПК сертификата.
Ошибка при проверке цепочки сертификатов в КриптоПро
Юридически значимую документацию можно заверить электронной подписью только в том случае, если СКЗИ подтвердит надежность (доверенность) сертификата. Для этого программа проверяет цепочку сертификации (ЦС), состоящую из таких элементов:
- корневой сертификат от Минкомсвязи (начальное звено цепи), выданный УЦ;
- промежуточный сертификат УЦ (ПС);
- СКПЭП.
Правильно построенная ЦС подтверждает, что СКПЭП (конечное звено) имеет доверенный путь (от Минкомсвязи к УЦ, от УЦ к пользователю). Ошибка при проверке цепочки сертификатов в КриптоПро свидетельствует о том, что минимум один элемент в этой системе искажен. ЭП при этом считается недействительной и не принимается для подписания файлов.
| Причина | Решение |
| Один из сертификатов поврежден или некорректно установлен | Переустановить сертификат |
| Неправильно установлено СКЗИ (или стоит устаревшая версия) | Удалить и заново установить программу |
| Устаревшая версия веб-браузера | Обновить браузер |
| На ПК не актуализированы дата и время | Указать в настройках компьютера правильные значения |
На первой причине остановимся подробнее. Чтобы проверить состояние ЦС, откройте папку криптопровайдера, выберите раздел «Сертификаты» → «Личное». Если цепочка нарушена, во вкладке «Общее» будет сообщение о том, что СКПЭП не удалось проверить на надежность.
Устранение сбоя следует начинать с верхнего звена (КС). Файл предоставляется клиенту в удостоверяющем центре вместе с остальными средствами: ключи, СКПЭП, промежуточный сертификат и физический носитель. Кроме того, его можно скачать бесплатно на сайте Казначейства (КС для всех одинаковый). Как загрузить КС:
- Открыть документ от Минкомсвязи на компьютере.
- В разделе «Общее» выбрать команду установки.
- Установить галочку напротив пункта «Поместить в хранилище».
- Из списка выбрать папку «Доверенные корневые центры».
- Нажать «Далее» — появится уведомление об успешном импорте.
По завершении процедуры рекомендуется перезагрузить ПК. Если сбой не устранен, переходим к промежуточному компоненту. При утере ПС его можно загрузить с официального сайта УЦ. Процесс установки такой же, как и для КС, но в качестве хранилища должно быть указано «Промежуточные центры».
После перезагрузки ПК снова зайдите в папку «Личное» и откройте СКПЭП. Если во вкладке «Путь сертификации» будет статус «Сертификат действителен» — ошибка устранена.
Электронная подпись описи содержания пакета недействительна
Одной КЭП можно сразу заверить несколько файлов. В одном письме адресат может отправлять комплект документации и отдельно к нему опись, где перечислены все файлы. Перечень документов тоже нужно визировать ЭП.
Если при попытке заверить ведомость пользователь увидит сообщение о недействительности сертификата, значит подписать основной комплект тоже не удастся. Эта ошибка распространяется на все типы файлов, а не на какой-то конкретный документ.
Причина сбоя — нарушение доверенной цепочки, о которой было сказано ранее. В первую очередь следует проверить наличие и корректность КС и ПС. Если они установлены, удалите эти файлы и загрузите снова.
Проблемы с браузером
Для заверки электронных файлов в интернете разработчик СКЗИ рекомендует использовать встроенный веб-обозреватель MIE. Но даже с ним бывают сбои. Если это произошло, зайдите в браузер под ролью администратора:
- Кликните по значку браузера на рабочем столе.
- В контекстном меню выберите соответствующую роль.
Чтобы всякий раз не предпринимать лишние действия, в настройках можно задать автоматический доступ под нужными правами. Неактуальную версию браузера необходимо обновить до последнего релиза. Также следует отключить антивирусные программы, так как многие из них блокируют работу СКЗИ, воспринимая как вредоносное ПО.
Не работает служба инициализации
Если работа сервиса инициализации Crypto Pro приостановлена, СКПЭП тоже не будет работать. Запустите командную строку клавишами Win+R:
- Введите команду services.msc.
- В разделе «Службы» выберите «Службу инициализации» и проверьте в свойствах ее активность.
Если сервис отключен, запустите его и нажмите ОК. После перезапуска ПК электронная подпись должна снова работать корректно.
Сертификаты не отвечают критериям КриптоПро
Ошибка всплывает при попытке авторизоваться в информационной госсистеме (например, «Электронный Бюджет» и др.). Пользователь видит сообщение следующего содержания:
Первый способ устранения сбоя — «снести» СКЗИ и поставить заново, как описано выше. Если это вариант не сработал, значит проблема кроется в неправильном формировании ЦС. Рассмотрим на примере. Отправитель зашел в СКПЭП и в подразделе «Общее» увидел статус «Недостаточно информации для проверки этого сертификата». В первую очередь рекомендуется проверить наличие корневого сертификата в цепочке и при его отсутствии выполнить установку (алгоритм описан ранее). Если этот метод не помог, на форуме разработчика приводится еще один способ: от имени администратора вызвать «Пуск» → «Выполнить» → «regedit». Далее необходимо удалить ветки:
Не все бывают в наличии, поэтому удаляйте те, что есть. Процедура не вредит системе и сохраненным файлам, но помогает не в каждом случае (обычно ошибку удается устранить при установке корневого сертификата).
«1С-ЭДО» не видит КриптоПро CSP
«1С-ЭДО» — программа для обмена электронными документами, интегрированная в учетную базу «1С». Сервис позволяет удаленно взаимодействовать с контрагентами и отправлять отчетность в надзорные органы (ФНС, ПФР, ФСС, Росстат и др.). Чтобы документы приобрели юридическую силу, их необходимо заверить квалифицированной ЭП. Если сервис «1С-ЭДО» «не видит» ключ в КриптоПро CSP, рекомендованы следующие действия:
- проверить, установлена ли на компьютере актуальная версия криптопровайдера;
- при наличии СКЗИ уточнить, соответствует ли оно той программе, которая была указана в настройках обмена с «1С».
Как проверить настройки криптопровайдера:
- Запустить сервис «1С-ЭДО».
- Перейти в раздел «Отчеты» → «Регламентированные отчеты».
- Нажать кнопку «Настройки».
- В подразделе «Документооборот с контролирующими органами» нажать кнопку «Здесь».
Если в поле «Криптопровайдер» указана не та программа, которая установлена на ПК (например, VipNet), поменяйте ее в настройках и сохраните клавишей ОК. Для правильной работы сервиса ЭДО рекомендуется использовать на одном АРМ только один из сертифицированных провайдеров.
Оформим электронную подпись для вашего бизнеса. Установим и настроим в день подачи заявки!
Оставьте заявку и получите консультацию в течение 5 минут.
Оцените, насколько полезна была информация в статье?
Наш каталог продукции
У нас Вы найдете широкий ассортимент товаров в сегментах
кассового, торгового, весового, банковского и офисного оборудования.
Посмотреть весь каталог