Esmart pki client ошибка при инициализации pkcs11

Руководства

Если Вам не удалось найти описание и решение Вашей проблемы, Вы можете направить её подробное описание в адрес нашей технической поддержки:
E-mail: help@esmart.ru

Сбой запроса дескриптора USB устройства Windows 10

При подключении любого устройства через USB-порт компьютер может не распознать его или неправильно с ним работать. Если подобное случилось, операционная система Windows 10 выдаст уведомление «неизвестное устройство» или код ошибки. Подробности устранения ошибки разберем ниже.

1. Что означает эта ошибка?
2. Обновление драйверов Составного USB устройства и Корневых USB-концентраторов
3. Неправильная работа USB-устройств из-за проблем с питанием или статического электричества
4. Отключение режима энергосбережения
5. Драйвера на чипсет
6. Обновление драйверов USB оборудования
7. USB порты не функционируют из-за неисправности с электроэнергией
8. Деактивация параметра временного отключения от USB-порта
9. Установка драйверов для материнской платы
10. Причины сбоя запроса дескриптора USB устройства
11. Что делать если не помогли все варианты

Руководства

Руководство пользователя для ESMART PKI Client, который предназначен для работы со смарт-картами или USB- ключами ESMART Token и ESMART Token ГОСТ. Программа позволяет выполнить все необходимые операции со смарт-картами или USB-ключами в удобном графическом интерфейсе
СКАЧАТЬ

Руководство администратора для ESMART PKI Client, который предназначен для работы со смарт-картами или USB- ключами ESMART Token и ESMART Token ГОСТ. Программа позволяет выполнить все необходимые операции со смарт-картами или USB-ключами в удобном графическом интерфейсе
СКАЧАТЬ

По умолчанию на устройствах ESMART Token заданы следующие значения:
— PIN-код пользователя — 12345678
— SO-PIN (PIN-код администратора) — 12345678

При наличии SO-PIN (PIN-кода администратора) Вы можете разблокировать PIN-код пользователя при помощи программного обеспечения ESMART PKI Client.
Если утерян SO-PIN (PIN-код администратора), но имеется PIN-код пользователя, Вы можете продолжить использование ESMART Token как пользователь (удаление, запись, просмотр).
При утере SO-PIN и PIN-кода пользователя, использование или возврат к заводским настройкам невозможны!

На токене/смарт-карте имеются контейнеры, созданные при помощи СКЗИ «КриптоПРО CSP», они отображаются в ESMART PKI Client, но я ничего не могу подписать

СКЗИ «КриптоПРО CSP» использует для хранения информации на токенах и смарт-картах отдельные области и работает с ними через собственные библиотеки. В последних версиях ESMART PKI Client реализована возможность отображения контейнеров, созданных при помощи СКЗИ «КриптоПРО CSP» (в имени таких контейнеров стоит отметка [CRYPTO-PRO]), однако эта функция имеет лишь информационный характер. Произвести какие-либо операции с такими контейнерами с помощью ESMART PKI Client или приложений, работающих через PKCS#11, не представляется возможным.

Данная особенность связана с переводом поддержки носителей с неизвлекаемыми ключами ESMART Token ГОСТ с интерфейса READER на PKCS#11. Для регистрации поддержки PKCS#11 необходимо переподключить модуль PKCS#11:
Панель управления — КриптоПро CSP — Запустить с правами администратора — Оборудование — Настроить считыватели — Считыватель смарт-карт PKCS#11 — Удалить — Добавить — Считыватель смарт-карт PKCS#11.
Рекомендуем отмечать галочками только те носители, которые Вы действительно планируете использовать на данной рабочей станции, иначе в системном журнале будут множество ошибок загрузки библиотек.
Краткая видеоинструкция по добавлению считывателя в КриптоПро CSP 5.0.
Более подробная инструкция приведена на сайте компании КриптоПро

При попытке записать контейнер КриптоПро на ESMART Token 64K в КриптПро CSP возникает ошибка: «Ошибка 0х80090023: Токен безопасности не имеет доступного места для хранения дополнительного контейнера.»

Данная ошибка может возникнуть при записи на токен контейнера, содержащего цепочку из трёх и более сертификатов. Сначала убедитесь, что на токене отсутствуют контейнеры КриптоПро, при необходимости инициализируйте токен. Запустите от имени Администратора (обязательно!) КриптоПро CSP. Во вкладке «Оборудование» нажмите «Настроить типы носителей. «, найдите в списке «ESMART Token 64K». Нажмите «Свойства» и перейдите во вкладку «Свойства». Установите параметр «Максимальное число контейнеров» — 4. Данная настройка уменьшит максимальное количество контейнеров, хранимых на токене, но пропорционально увеличит их возможный размер.

Для решения проблемы запустите оснастку «Сертификаты пользователя» (certmgr). Перейдите в «Доверенные издатели» -> «Сертификаты». Удалите все сертификаты «ISBC Ltd». Запустите setup.x64.exe (либо setup.exe в зависимости от вашей системы) от имени администратора. Программа установки автоматически добавит корректные сертификаты.

При запуске ESMART PKI Client появляется сообщение «The requested security protocol is not supported»

Данная ошибка может проявиться на ОС Windows Vista SP2 и Windows Server 2008 SP2. Для решения проблемы установите соответствующий патч из статьи на сайте Microsoft

При запуске ПО ESMART PKI Client появляется сообщение: «Ошибка при инициализации PKCS #11. Возможно, в системе не установлены соответствующие библиотеки». ESMART PKI Client запускается, но не определяются смарт-карты и ESMART Token

Переустановите ESMART PKI Client, запустив установщик от имени администратора или установите библиотеки вручную.
Также возможно возникновение данной ошибки при установке PKI Client посредством Windows Remote Desktop (RDP). Для установки PKI Client рекомендуем использовать иное ПО для удалённого доступа к компьютеру

На удаленном рабочем столе не отображаются ESMART Token и смарт-карты. КриптоПРО CSP не определяет сертификаты на ESMART Token. В запущенном ESMART PKI Client не отображаются подключенные ESMART Token

Особенность работы со смарт-картами в терминальной сессии заключается в том, что использовать можно только смарт-карты, подключенные к клиентской станции. Смарт-карты, подключенные непосредственно к терминальному серверу в терминальной сессии использовать нельзя. Это ограничение службы терминалов.
ESMART Token, подключенный к удаленной машине при работе через RDP, работать не будет. Необходимо или подключать его к машине, с которой заходит клиент, или воспользоваться иным ПО для удалённого доступа к компьютеру

При подключении ESMART Token в ПО КриптоПро CSP не отображаются установленные на этом ESMART Token сертификаты. При работе с ESMART Token отображается предупреждение: «Некорректный тип носителя или носитель не отформатирован.»

Необходимо зайти в КриптоПро CSP на вкладку «Оборудование» — строка «Типы ключевых носителей», нажать на кнопку «Настроить типы носителей». В ключевых носителях должны быть установлены следующие носители: ESMART Token 64K, ESMART Token GOST (3 шт.). При отсутствии данных об этих ESMART Tokenах работать с КриптоПро CSP будет невозможно.
Поддержка ESMART Token 64K в КриптоПро начинается с версии 3.6 R2, ESMART Token ГОСТ с версии 3.9. Если версия старше, то следует установить «Модуль поддержки КриптоПро CSP для Windows» для ESMART Token 64K и/или ESMART Token GOST. В ином случае следует переустановить КриптоПро CSP. Если переустановка не помогает, то следует установить «Модуль поддержки КриптоПро CSP для Windows»

Необходимо установить Microsoft Base Smart Card Cryptographic Service Provider Package (KB909520). А также драйвера для устройств чтения смарт-карт.
Если неработающее устройство это ESMART Token, а не смарт-карта (то есть ридер и смарт-карта в одной сборке), то необходимо установить обновление с драйверами — Microsoft Usbccid (WUDF).
Так как поддержка Windows XP прекращена, необходимое для работы ESMART Token ПО не устанавливается в автоматическом режиме

Убедиться, что архив с файлами распакован и запуск установки осуществляется не из этого архива.
Возможно, потребуется отключение SmartScreen для файлов в панели настроек.

При переключении режима работы Службы смарт-карт (на авто или ручной режим) возникает ошибка: «Невозможно создать файл, т.к. он уже существует»

Необходимо вручную изменить значения в реестре, выполняющие ту же функцию: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSCardSvr для параметра Start поменять с 4 на 2
Примечание:
Automatic (Delayed Start) — 2
Manual — 3
Disabled — 4

Необходимо включить политику блокировки при извлечении локально в gpedit.msc (Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности — Интерактивный вход в систему: поведение при извлечении смарт-карты — выставить опцию «Блокировка рабочей станции»). Также необходимо убедиться, что служба «Политика удаления смарт-карт» запущена, тип запуска установлен Автоматический

После установки ПО на Windows XP ESMART Token не определяется клиентом, а также в разделе «Оборудование» отображается как неверно установленный

Особенность заключается в том, что аутентификация по смарт-картам является надстройкой (расширением) аутентификации Kerberos, но никак не заменяет его. Т.е. аутентификация по смарт-карте без Kerberos невозможна. Когда вбивается IP адрес (192.168.1.1share) используется NTLM, а не Kerberos. Описание на сайте Microsoft.
Решение: использовать VPN-соединение.

Ошибка: «Данная реализация не является частью протестированных криптографических алгоритмов Windows Platform FIPS»

Необходимо отключить политику «Системная криптография: использовать FIPS совместимые алгоритмы для шифрования, хеширования и подписывания»

Скачайте и распакуйте архив.
Для ридера драйвера не требуются — используются стандартные драйвера CCID в составе ОС. Драйвера смарт-карты находятся в директориях ESMART CSP и ESMART GOST CSP для ESMART Token 64K и ESMART Token ГОСТ соответственно, устанавливаются стандартным образом.
Добавление библиотек на x86 системе:
— скопировать библиотеки из SystemFolder в C:WindowsSystem32
Добавление библиотек на x64 системе:
— скопировать библиотеки из System64Folder в C:WindowsSystem32
— скопировать библиотеки из SystemFolder в C:WindowsSysWow64
Внесите изменения в реестр.
Для этого скачайте и распакуйте архив. Запустите файлы изменения реестра из архива (с названием remove — для удаления).
Перезагрузите компьютер.

Должна быть установлена среда Mono.
В Linux для запуска программы из командной строки необходимо набрать команду, указав действительный путь к исполняемому файлу:
> sudo mono ESMARTPkiClient.exe
В некоторых ОС, в т.ч. с установленным Mono, PKI Client может не запускаться, или не будут отображаться все графические элементы. Это связано с индивидуальными особенностями ОС Linux и работы в них программ. В таком случае следует сообщать разработчикам

При запуске ПО ESMART PKI Client появляется сообщение: «Ошибка при инициализации PKCS#11. Возможно в системе не установлены соответствующие библиотеки»

Проверить, установлены ли пакеты для работы со смарт-картами (pcsclite, usb-ccid), проверить, запущена ли служба pcscd.
Установить библиотеки. Это можно сделать с помощью .rpm пакета командой:
> rpm -Uvh isbc_pkcs11-****.rpm (или подобной).
Выяснить значение DISPLAY для суперпользователя (> sudo -i) командой:
> echo $DISPLAY
Если значение пусто, то задать его самостоятельно командой:
> export DISPLAY=»*»
Вместо «*» должно быть некое значение, выяснить которое можно у других пользователей системы

При запуске ПО ESMART PKI Client появляется окно с сообщением: «Unable to load library: libisbc_pkcs11_main.so»

Установить/обновить соответствующие пакеты: pcsc-lite, CCID драйвер, ISBC PKCS#11, mono, libgdiplus.
Дополнительно убедиться, что в нужных папках есть символьные ссылки на следующие библиотеки: libdl.so, libgdiplus.so. Как правило, после установки пакетов есть только библиотеки с номером версии, например: /usr/lib64/libgdiplus.so.0, но ссылки /usr/lib64/libgdiplus.so нет. Её необходимо создать командой
> sudo ln -s /usr/lib64/libgdiplus.so.0 /usr/lib64/libgdiplus.so

ПО ESMART PKI Client не запускается. В терминале отображается ошибка с текстом «System.DllNotFoundException: libgdiplus.so»

В папке /usr/lib64 или /usr/lib (в зависимости от разрядности ОС) нет файла libgdiplus.so
Установить пакет libgdiplus необходимой разрядности. Создать символьную ссылку libgdiplus.so в папке /usr/lib64 или /usr/lib (в зависимости от разрядности ОС).
Как правило, после установки пакетов есть только библиотеки с номером версии, например /usr/lib64/libgdiplus.so.0, но ссылки /usr/lib64/libgdiplus.so нет. Её необходимо создать командой
> sudo ln -s /usr/lib64/libgdiplus.so.0 /usr/lib64/libgdiplus.so

На удаленном рабочем столе не отображаются ESMART Token и смарт-карты. КриптоПРО CSP не определяет сертификаты на ESMART Token. В запущенном ESMART PKI Client не отображаются подключенные ESMART Token

Особенность работы со смарт-картами в терминальной сессии заключается в том, что использовать можно только смарт-карты, подключенные к клиентской станции. Смарт-карты, подключенные непосредственно к терминальному серверу в терминальной сессии использовать нельзя. Это ограничение службы терминалов.
ESMART Token, подключенный к удаленной машине при работе через RDP, работать не будет. Необходимо или подключать его к машине, с которой заходит клиент, или воспользоваться другим ПО для подключения к машине (TeamViewer и др.)

Привязать ESMART Token в настройках виртуальной машины (если есть запись с этим устройством, удалить её и привязать заново). Извлечь ESMART Token, выключить виртуальную машину, включить заново, подключить ESMART Token

Ошибка возникает при установке модулей поддержки ESMART Token для КриптоПро в случае, если данные модули не соответствуют установленной версии КриптоПро.
Необходимо установить модули, соответствующие версии КриптоПро.

Если Вам не удалось найти описание и решение Вашей проблемы, Вы можете направить её подробное описание в адрес нашей технической поддержки:
E-mail: help@esmart.ru

↑ Удаление папки NGC

Восстановить доступ к учётной записи можно также удалив файлы конфигурации пин-кода, но так как с экрана входа в систему у вас не будет доступа к Проводнику, компьютер придётся загрузить с LiveCD, например, с WinPE 10-8 Sergei Strelec. Перейдите во встроенном в LiveCD файловом менеджере в расположение

и очистите содержимое последнего каталога.

Загрузившись в обычном режиме, вы попадёте на рабочий стол с формой для ввода обычного пароля. Если на компьютере имеется другая учётная запись, вместо LiveCD для доступа к папке NGC можете использовать её, но это тоже не очень удобное решение, так как оно связано с необходимостью изменения прав доступа. Да, после очистки папки NGC пин-код нужно будет создать заново.

Отключение или включение USB через реестр

Как и предыдущий способ, оный так же не затрагивает работу периферии. Отключается только возможность работы со съёмными накопителями.

Следует отметить, что если вы ранее не сталкивались с реестром, ничего там не редактировали, то следует на всякий случай сделать его резервную копию. Это окажет посильную помощь, если что-то будет сделано неверно, и операционная система начнёт проявлять нестабильность в работе.

1. Следует открыть редактор реестра. Для этого существует несколько способов, одним из которых является следующий: нажав на клавиатуре комбинацию клавиш Win + R, следует далее в открывшемся окошке ввести команду «regedit» (без кавычек) и нажать OK.

И далее в правой части окна следует осуществить двойной клик мышкой по пункту с именем Start.

Ошибка входа для входа подключите токен в usb разъем компьютера и запустите файл start

Для работы через ЭЦП в Интернет-Банкинге необходимо иметь на компьютере две программы: McardObserver.exe и LDD_Server_Crypt(скачать можно нажав на эту надпись)

McardObserver.exe – сам значок должен быть зелёный, если ключ определился корректно. (Для ключей Энигма2, Авест — McardObserver не используется)

Переподключить ключ. При необходимости почистить каталог PacMcard и опросить устройство.
Для чистки каталога PacMcard необходимо пройти по пути C:SignEnigma (данный пусть указывается по умолчанию при установке) и удалить папку PacMcard. Подключить ключ заново, чтобы данная папка появилась заново.

Далее смотрим на LDD_Server_Crypt. Если он в красной рамке, то это значит, что сервер остановлен. Правой кнопкой мыши нажать на значок и «Запустить сервер».

Так же необходимо правильно поставить тип ключа: Если ключ (флешку) получали в Банке, то в «используемы носитель по умолчанию» ставим Энигма или Энигма2. Если ЭЦП ГоссуОК, то нужно выбрать Авест.

Дополнительные проявления проблемы и методы исправления

В завершение — некоторые дополнительные возможные способы исправить проблему:

• Если проблема появляется после завершения работы Windows 10, а если выполнить «Пуск» — «Перезагрузка», USB снова работают, попробуйте отключить быстрый запуск.
• Проверьте, есть ли в БИОС/UEFI компьютера или ноутбука опции быстрой инициализации USB, быстрой загрузки. Если есть — попробуйте отключить их.
• В диспетчере устройств, в разделе «Контроллеры USB», проверьте свойства всех устройств-концентраторов USB и на вкладке «Управление электропитанием» снимите отметку «Разрешить отключение этого устройства для экономии энергии».
• Если проблема появилась недавно без видимых причин, проверьте, есть ли точки восстановления системы на дату, когда всё работало, при наличии — используйте их.

В ситуации, когда ни один из предложенных вариантов не оказался полезным в вашем случае, опишите подробности в комментариях: возможно, мне удастся дать подсказку.

Skarvon	#1 Оставлено : 17 февраля 2021 г. 16:26:48(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 17.09.2012(UTC) Сообщений: 23 Откуда: Москва Сказал «Спасибо»: 3 раз	Здравствуйте! При создании или копировании любого контейнера на токен «ESMART Token ГОСТ» появляется окно ввода ПИН-кода, после ввода которого, возникает ошибка «Неизвестная ошибка»: EnterPIN.png (18kb) загружен 1 раз(а). Окно появляется всегда, независимо от наличия «ESMART PKI Client». Используется ПИН-код по умолчанию. Если авторизоваться в «ESMART PKI Client», то появляется такое-же окно, но авторизация проходит успешно. Параметры токена: ID слота PKCS#11: 1 Название: ISBC ESMART Token 0 Серийный номер: 3460A51C05143403 Название: Проба ГОСТ Производитель: ISBC Модель: ESMARTToken GOST Версия опер. системы: 2.5 Версия прошивки: 0.0 Объем памяти: 72K Максимальное количество сессий: 10 Минимальная длина PIN-кода: 4 Максимальная длина PIN-кода: 8 Версия разметки: 2.1 Профиль: Default 1.0 Число попыток ввода PIN-кода: 10 Число попыток ввода SO PIN-кода:10 Версия КриптоПро, которую мы используем: 4.0.9944 Подскажите пожалуйста, поддерживает ли КриптоПро CSP 4.0 указанные токены и если да, то что нужно сделать, чтобы исправить эту ситуацию?

Skarvon	#2 Оставлено : 18 февраля 2021 г. 7:31:32(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 17.09.2012(UTC) Сообщений: 23 Откуда: Москва Сказал «Спасибо»: 3 раз	Вот решение: Нужно в свойствах модуля поддержки (Панель управления CSP — Оборудование — Настроить типы носителей) в свойствах ESmart Token ГОСТ снять галку «Биометрия». Спасибо большое!

Агафьин Сергей	#3 Оставлено : 18 февраля 2021 г. 10:24:10(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 12.08.2013(UTC) Сообщений: 805 Откуда: Москва Сказал «Спасибо»: 5 раз Поблагодарили: 197 раз в 162 постах	Добрый день. Информацию о данной проблеме мы много лет назад передавали разработчикам модуля поддержки ESmart Token ГОСТ — исправления не последовало. К сожалению, иногда она проявляется и в CSP 5.0. Так что описанное вами решение является, к сожалению, единственным и оптимальным.
С уважением, Сергей Техническую поддержку оказываем здесь. Наша база знаний.

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

zzima	#1 Оставлено : 6 декабря 2022 г. 18:06:11(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 06.12.2022(UTC) Сообщений: 4 Поблагодарили: 1 раз в 1 постах	Добрый день, столкнулся с проблемой на Mac OS 12.3 процессор M1, обновил КП CSP до 5.0.12600, перестал быть виден контейнер ESMART с сертификатом выпущенным ФНС. В config.ini вижу что прописан ESMART. В/opt/cprocsp/lib вижу что есть librdresmarttoken.dylib и librdresmarttokengost.dylib. PKI Client для Esmart установлен. Драйвер с сайта ESMART тоже. Носитель виден в системе, да и до обновления работал исправно. Цитата: ESMART Token: ID продукта: 0x7479 ID производителя: 0x2ce4 Версия: 1.02 Скорость: До 12 Мбит/с Производитель: ISBC ID размещения: 0x02100000 / 1 Допустимый ток (мА): 500 Потребляемый ток (мА): 170 Избыточный рабочий ток (мА): 0 ls /var/db/receipts|grep cryptopro Цитата: com.cryptopro.cprocsp-pki.cades.bom com.cryptopro.cprocsp-pki.cades.plist com.cryptopro.cprocsp-pki.plugin.bom com.cryptopro.cprocsp-pki.plugin.plist ru.cryptopro.CPRObase.bom ru.cryptopro.CPRObase.plist ru.cryptopro.CPROcacerts.bom ru.cryptopro.CPROcacerts.plist ru.cryptopro.CPROcpl.bom ru.cryptopro.CPROcpl.plist ru.cryptopro.CPROcptools.bom ru.cryptopro.CPROcptools.plist ru.cryptopro.CPROcspd.bom ru.cryptopro.CPROcspd.plist ru.cryptopro.CPROcurl.bom ru.cryptopro.CPROcurl.plist ru.cryptopro.CPROimportcacerts.bom ru.cryptopro.CPROimportcacerts.plist ru.cryptopro.CPROkc1.bom ru.cryptopro.CPROkc1.plist ru.cryptopro.CPROp11.bom ru.cryptopro.CPROp11.plist ru.cryptopro.CPROrdcloud.bom ru.cryptopro.CPROrdcloud.plist ru.cryptopro.CPROrdcpfkc.bom ru.cryptopro.CPROrdcpfkc.plist ru.cryptopro.CPROrdcryptoki.bom ru.cryptopro.CPROrdcryptoki.plist ru.cryptopro.CPROrdesmart.bom ru.cryptopro.CPROrdesmart.plist ru.cryptopro.CPROrdg.bom ru.cryptopro.CPROrdg.plist ru.cryptopro.CPROrdinfocrypt.bom ru.cryptopro.CPROrdinfocrypt.plist ru.cryptopro.CPROrdjacarta.bom ru.cryptopro.CPROrdjacarta.plist ru.cryptopro.CPROrdmskey.bom ru.cryptopro.CPROrdmskey.plist ru.cryptopro.CPROrdp.bom ru.cryptopro.CPROrdp.plist ru.cryptopro.CPROrdr.bom ru.cryptopro.CPROrdr.plist ru.cryptopro.CPROrutoken.bom ru.cryptopro.CPROrutoken.plist вывод pcstest Цитата: $pcsctest MUSCLE PC/SC Lite Test Program Testing SCardEstablishContext : Command successful. Testing SCardGetStatusChange Please insert a working reader : Судя по всему не корректно установлен драйвер. Несколько раз устанавливал — не помогает. Подскажите в какую сторону копать? Отредактировано пользователем 7 декабря 2022 г. 10:44:18(UTC)  | Причина: Не указана

Александр Лавник	#2 Оставлено : 7 декабря 2022 г. 10:35:53(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,205 Сказал «Спасибо»: 53 раз Поблагодарили: 723 раз в 675 постах	Здравствуйте. 1) С какой целью обновляли КриптоПро CSP? 2) С какой сборки обновляли? 3) До обновления токен определялся в панели Инструменты КриптоПро? 4) На предыдущей сборке проблема воспроизводится?
Техническую поддержку оказываем тут Наша база знаний

zzima	#3 Оставлено : 7 декабря 2022 г. 10:46:59(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 06.12.2022(UTC) Сообщений: 4 Поблагодарили: 1 раз в 1 постах	Автор: Александр Лавник Здравствуйте. 1) С какой целью обновляли КриптоПро CSP? 2) С какой сборки обновляли? 3) До обновления токен определялся в панели Инструменты КриптоПро? 4) На предыдущей сборке проблема воспроизводится? Здравствуйте, 1) «Руки чесались». На самом деле перестал работать Browser Plugin и отдельная его установка не помогала. Зная что плагин входит в пакет Crypto Pro, решил заодно обновиться 2) Как раз с 12500 3) Да, все работало корректно. 4) Еще не пробовал. Пытаюсь понять что именно сломалось. Возможно в процессе автоматической деинсталяции 12500 что-то сломалось Такое ощущение что слетел драйвер ESMART т.к. pcstest не видит токен, хотя система его определяет. Пробовал переустановить — не помогает. Отредактировано пользователем 7 декабря 2022 г. 11:27:59(UTC)  | Причина: Не указана

Александр Лавник	#4 Оставлено : 7 декабря 2022 г. 12:07:55(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,205 Сказал «Спасибо»: 53 раз Поблагодарили: 723 раз в 675 постах	Автор: zzima Автор: Александр Лавник Здравствуйте. 1) С какой целью обновляли КриптоПро CSP? 2) С какой сборки обновляли? 3) До обновления токен определялся в панели Инструменты КриптоПро? 4) На предыдущей сборке проблема воспроизводится? Здравствуйте, 1) «Руки чесались». На самом деле перестал работать Browser Plugin и отдельная его установка не помогала. Зная что плагин входит в пакет Crypto Pro, решил заодно обновиться 2) Как раз с 12500 3) Да, все работало корректно. 4) Еще не пробовал. Пытаюсь понять что именно сломалось. Возможно в процессе автоматической деинсталяции 12500 что-то сломалось Такое ощущение что слетел драйвер ESMART т.к. pcstest не видит токен, хотя система его определяет. Пробовал переустановить — не помогает. А после чего у вас перестал работать плагин? Вы обращались в техническую поддержку производителя токена по проблеме определения токена службой смарт-карт macOS (через pcsctest)?
Техническую поддержку оказываем тут Наша база знаний

zzima	#5 Оставлено : 7 декабря 2022 г. 12:15:05(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 06.12.2022(UTC) Сообщений: 4 Поблагодарили: 1 раз в 1 постах	Автор: Александр Лавник А после чего у вас перестал работать плагин? Вы обращались в техническую поддержку производителя токена по проблеме определения токена службой смарт-карт macOS (через pcsctest)? Почему перестал работать плагин не совсем понимаю. Сейчас откатился на 12500 — та же история. По идее ничего поменяться и не должно, потому что pcsctest не видит токен. В поддержку ESMART отписал, но ответа пока нет. У меня М1, читал что если поставить CCID драйвера, будут проблемы. По инструкции (https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/372) из старого пакета запустил uninstall_ccid_compat.pkg — не помогло. Что-то не так с драйверами, видимо. Может быть увидите тут что-то нетипичное? Буду благодарен. Цитата: # ls /var/db/receipts|grep esmart com.isbc.esmart.bom com.isbc.esmart.plist ru.cryptopro.CPROrdesmart.bom ru.cryptopro.CPROrdesmart.plist ru.isbc.esmart-drivers.bom ru.isbc.esmart-drivers.plist ru.isbc.esmart-pki-client.bom ru.isbc.esmart-pki-client.plist # locate esmart /Applications/ESMART PKI Client/com.isbc.esmart.pkiclientcli.plist /Applications/ESMART PKI Client/libesmart_token_angara_mod.dylib /Applications/ESMART PKI Client/libesmart_token_gost_mod.dylib /Applications/ESMART PKI Client/libisbc_esmart_token_mod.dylib /Library/LaunchDaemons/com.isbc.esmart.pkiclientcli.plist /opt/cprocsp/lib/corrupted.librdresmarttokengost.dylib /opt/cprocsp/lib/hashes/CPROrdesmart /opt/cprocsp/lib/librdresmarttoken.dylib /opt/cprocsp/lib/librdresmarttokengost.dylib /opt/cprocsp/share/locale/default/LC_MESSAGES/librdresmarttoken.cat /opt/cprocsp/share/locale/default/LC_MESSAGES/librdresmarttokengost.cat /opt/cprocsp/share/locale/ru_RU.CP1251/librdresmarttoken.cat /opt/cprocsp/share/locale/ru_RU.CP1251/librdresmarttokengost.cat /opt/cprocsp/share/locale/ru_RU.CP866/librdresmarttoken.cat /opt/cprocsp/share/locale/ru_RU.CP866/librdresmarttokengost.cat /opt/cprocsp/share/locale/ru_RU.ISO8859-5/librdresmarttoken.cat /opt/cprocsp/share/locale/ru_RU.ISO8859-5/librdresmarttokengost.cat /opt/cprocsp/share/locale/ru_RU.KOI8-R/librdresmarttoken.cat /opt/cprocsp/share/locale/ru_RU.KOI8-R/librdresmarttokengost.cat /opt/cprocsp/share/locale/ru_RU.UTF-8/librdresmarttoken.cat /opt/cprocsp/share/locale/ru_RU.UTF-8/librdresmarttokengost.cat /private/var/db/receipts/com.isbc.esmart.bom /private/var/db/receipts/com.isbc.esmart.plist /private/var/db/receipts/ru.cryptopro.CPROrdesmart.bom /private/var/db/receipts/ru.cryptopro.CPROrdesmart.plist /private/var/db/receipts/ru.isbc.esmart-drivers.bom /private/var/db/receipts/ru.isbc.esmart-drivers.plist /private/var/db/receipts/ru.isbc.esmart-pki-client.bom /private/var/db/receipts/ru.isbc.esmart-pki-client.plist /private/var/opt/cprocsp/tmp/.5a189306-c591-40ef-97f7-1693c008c9bf__pkcs11_esmart_token_70db8069d159 /usr/local/lib/libesmart_token_angara_mod.dylib /usr/local/lib/libesmart_token_gost_mod.dylib /usr/local/lib/libisbc_esmart_token_mod.dylib /usr/local/libexec/SmartCardServices/drivers/ifd-esmart-ccid.bundle /usr/local/libexec/SmartCardServices/drivers/ifd-esmart-ccid.bundle/Contents /usr/local/libexec/SmartCardServices/drivers/ifd-esmart-ccid.bundle/Contents/Info.plist /usr/local/libexec/SmartCardServices/drivers/ifd-esmart-ccid.bundle/Contents/MacOS /usr/local/libexec/SmartCardServices/drivers/ifd-esmart-ccid.bundle/Contents/MacOS/libccid.dylib /usr/local/libexec/SmartCardServices/drivers/ifd-esmart-ccid.bundle/Contents/_CodeSignature /usr/local/libexec/SmartCardServices/drivers/ifd-esmart-ccid.bundle/Contents/_CodeSignature/CodeResources /usr/local/libexec/SmartCardServices/drivers/ifd-esmart.bundle /usr/local/libexec/SmartCardServices/drivers/ifd-esmart.bundle/Contents /usr/local/libexec/SmartCardServices/drivers/ifd-esmart.bundle/Contents/Info.plist /usr/local/libexec/SmartCardServices/drivers/ifd-esmart.bundle/Contents/MacOS /usr/local/libexec/SmartCardServices/drivers/ifd-esmart.bundle/Contents/MacOS/libccid.dylib /usr/local/libexec/SmartCardServices/drivers/ifd-esmart.bundle/Contents/_CodeSignature /usr/local/libexec/SmartCardServices/drivers/ifd-esmart.bundle/Contents/_CodeSignature/CodeResources

zzima	#6 Оставлено : 8 декабря 2022 г. 10:41:41(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 06.12.2022(UTC) Сообщений: 4 Поблагодарили: 1 раз в 1 постах	Получилось восстановить работоспособность токена с помощью поддержки ESMART. Из /usr/local/libexec/SmartCardServices/drivers удалил все файлы с расширением *.bundle, которые содержат в названии esmart (ifd-esmart.bundle, ifd-esmart-ccid.bundle). Видимо драйвера дублировались с /usr/libexec/.
1 пользователь поблагодарил zzima за этот пост.	Александр Лавник оставлено 08.12.2022(UTC)

Gorod32	#7 Оставлено : 21 декабря 2022 г. 0:21:28(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 21.12.2022(UTC) Сообщений: 3 Откуда: Брянск Сказал(а) «Спасибо»: 1 раз	Автор: zzima Получилось восстановить работоспособность токена с помощью поддержки ESMART. Из /usr/local/libexec/SmartCardServices/drivers удалил все файлы с расширением *.bundle, которые содержат в названии esmart (ifd-esmart.bundle, ifd-esmart-ccid.bundle). Видимо драйвера дублировались с /usr/libexec/. Поделитесь подробыным опытом ….. уже пару недель не могу подружить токен с маком… не видит и ничего не могу поделать

polina0706	#8 Оставлено : 31 января 2023 г. 13:02:57(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 31.01.2023(UTC) Сообщений: 1	Автор: Gorod32 Автор: zzima Получилось восстановить работоспособность токена с помощью поддержки ESMART. Из /usr/local/libexec/SmartCardServices/drivers удалил все файлы с расширением *.bundle, которые содержат в названии esmart (ifd-esmart.bundle, ifd-esmart-ccid.bundle). Видимо драйвера дублировались с /usr/libexec/. Поделитесь подробыным опытом ….. уже пару недель не могу подружить токен с маком… не видит и ничего не могу поделать Аналогичная проблема, как у авторов выше, пыталась решить с декабря В итоге починили спецы esmart Алгоритм: — зайти к ним на сайт — оставить заявку в форме обратной связи (я оставляла вчера вечером, позвонили сегодня утром) — дождаться звонка — можно заранее скачать AnyDesk и браузер chromium gost Через удаленный рабочий стол все настроили минут за 10 (манипуляций достаточно много, и удаление файла с расширением .bundle, и что-то через терминал). Вот только что успешно пульнула декларацию в ФНС и получила отбивку, что все принято на рассмотрение. Сборка криптопро в итоге 5.0.12000, а не 5.0.12600. 12600, как объяснила поддержка, еще не сертифицирована, поэтому проблемки. Уточнение: в хроме по-прежнему ничего не работает, плагин не отрабатывает как надо. Но все работает через chromium gost, и как сказала поддержка, это единственный адекватный вариант для работы с ФНС

Александр Лавник	#9 Оставлено : 31 января 2023 г. 13:08:40(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,205 Сказал «Спасибо»: 53 раз Поблагодарили: 723 раз в 675 постах	Автор: polina0706 Автор: Gorod32 Автор: zzima Получилось восстановить работоспособность токена с помощью поддержки ESMART. Из /usr/local/libexec/SmartCardServices/drivers удалил все файлы с расширением *.bundle, которые содержат в названии esmart (ifd-esmart.bundle, ifd-esmart-ccid.bundle). Видимо драйвера дублировались с /usr/libexec/. Поделитесь подробыным опытом ….. уже пару недель не могу подружить токен с маком… не видит и ничего не могу поделать Аналогичная проблема, как у авторов выше, пыталась решить с декабря В итоге починили спецы esmart Алгоритм: — зайти к ним на сайт — оставить заявку в форме обратной связи (я оставляла вчера вечером, позвонили сегодня утром) — дождаться звонка — можно заранее скачать AnyDesk и браузер chromium gost Через удаленный рабочий стол все настроили минут за 10 (манипуляций достаточно много, и удаление файла с расширением .bundle, и что-то через терминал). Вот только что успешно пульнула декларацию в ФНС и получила отбивку, что все принято на рассмотрение. Сборка криптопро в итоге 5.0.12000, а не 5.0.12600. 12600, как объяснила поддержка, еще не сертифицирована, поэтому проблемки. Уточнение: в хроме по-прежнему ничего не работает, плагин не отрабатывает как надо. Но все работает через chromium gost, и как сказала поддержка, это единственный адекватный вариант для работы с ФНС Здравствуйте. Спасибо за информацию. Уточните, пожалуйста, что именно не работает в Google Chrome? У вас процессор на mac — Intel или Apple M1/M2?
Техническую поддержку оказываем тут Наша база знаний

Andrey Sokolov	#10 Оставлено : 1 февраля 2023 г. 21:15:49(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 01.02.2023(UTC) Сообщений: 3 Откуда: Зеленоград Сказал(а) «Спасибо»: 1 раз Поблагодарили: 3 раз в 2 постах	Те самые «спецы» из ESMART — это я. Очень приятно. На версии 5.0.12600 именно на Mac’ах с arm64 процессорами (и M1, и M2) действительно не работают носители, при том что система их видит вполне корректно, например pcsctest отдает ATR и всю сопутствующую информацию. С чем именно связано — сказать затрудняюсь. При этом на Mac’ах с процессорами Intel даже на версии 12600 проблем не возникает. Версия R2 5.0.12000 (последняя сертифицированная) работает на любой архитектуре. Никакие драйвера для работы токенов ESMART ставить не нужно (как и на Windows, как и на UNIX…), даже ESMART PKI Client не является обязательным. В КриптоПро все работает из коробки (за исключением вышеописанного случая…нуу и на UNIX’ах нужно ручками доставить пакет, входящий в состав дистрибутива). Единственное исключение — ESMART Token USB 64K. Это старая модель токена, выполненная в пластиковом корпусе. Соответственно, если Вы вдруг установили драйвера, то Вам необходимо: — Перейти в директорию: /usr/local/libexec/SmartCardServicec/drivers — Удалить оттуда файлы ifd-esmart.bundle и ifd-esmart-ccid.bundle, после чего перезагрузить Mac. Трудности со входом в ЛК ФНС и на сайт Госуслуги описаны вполне подробно в этих FAQ: https://support.cryptopr…dgebase/Article/View/272 https://support.cryptopr…dgebase/Article/View/391 Насчет Chromium-GOST суть моего замечания состоит в следующем… Как показывает практика, в 99% случаев этот браузер не требует запуска через терминал с ключом —no-sandbox, в отличие от того же Yandex.Browser. Не все пользователи Mac, к сожалению, знакомы с терминалом и понимают, как оно работает. Потому Chromium-GOST просто удобнее, в каком-то смысле, для подавляющего большинства. Тут, к сожалению, вся проблема кроется в самой MacOS, насколько я понимаю, скорее всего связана с настройками безопасности. Так что имеем, как говорится, что имеем. Кстати, о всплывающем окне в браузере при входе в ЛК ФНС, например, с просьбой вставить носитель — возникает как раз при невыполнении вышеописанных условий. Носитель тут никакой роли не играет. Отвечая на вопрос выше, про Google Chrome, к сожалению он не проходит по второму пункту проверки подключения к ЛК ФНС, так как не поддерживает ГОСТовые алгоритмы шифрования. И оно так ведет себя везде, что на Windows, что на юниксах всех мастей. Вопросы, соответственно, к сайту ФНС и к Google Кстати, если вдруг кто-то из любителей linux сюда попадет — да, для входа на Госуслуги через ЭП нужно проделать максимально похожие манипуляции, даже статья отдельная есть в той же базе знаний. Еще из интересного — сегодня столкнулся с проблемой, что сайт честныйзнак.рф дропает Chromium-GOST. Случай единичный. Просто при попытке входа на сайт браузер закрывается с ошибкой. Подробности, теоретически, вытащить смогу, нужно будет только подключаться к пользователю. Потому, коллеги, если актуальная проблема — сообщите, пожалуйста, любым удобным способом. В дополнение к вышесказанному, насчет отката версии. Будьте внимательнее, при удалении КриптоПро удаляется так же и плагин, не тот который в браузере, а тот который в саму ОС ставится. Если Вы скачиваете версию, в состав которой этот плагин не входит (как, например, это сделано в 5.0.12500, если я не ошибаюсь), то его нужно отдельно поставить. Просто при входе в браузер запустите проверку плагина, она вполне доходчиво предложит загрузить недостающее ПО. Отредактировано пользователем 1 февраля 2023 г. 21:36:29(UTC)  | Причина: дополнения
	WWW
2 пользователей поблагодарили Andrey Sokolov за этот пост.	Александр Лавник оставлено 01.02.2023(UTC), Захар Тихонов оставлено 02.02.2023(UTC)

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

• Токен: ESMART Token ГОСТ

   библиотека libisbc_pkcs11_main.so обеспечивает взаимодействие с криптопровайдером токена по стандарту PKCS#11;
   ESMART Token ГОСТ может использоваться для генерации ключей, формирования и проверки электронной подписи, строгой многофакторной аутентификации пользователей и др. 
   Российские криптографические алгоритмы ГОСТ реализованы нативно в ОС смарт-карты в маске чипа (не используются Java апплеты для реализации ГОСТ).

PIN-код

PIN-кодом называют сочетание символов, как правило цифр, но для ESMART Token также могут использоваться алфавитные и служебные символы. Оптимально, надежный пароль должен быть не менее 8 символов и желательно содержать символы минимум 3 типов, например, большие и маленькие
буквы и цифры, или буквы, цифры и служебные символы.

Благодаря аппаратной защите PIN-код может быть проще, т.к. карта защищена от подбора пароля методом перебора. После того как несколько раз был введен неверный пароль, карта блокируется.

Получить доступ к хранящимся на заблокированной карте ключам, данным и сертификатам невозможно. Разблокировать карту можно при помощи SO PIN.

SO PIN используется администратором для инициализации карты, разблокировки карты после ввода пользователем неверного ПИН-кода.

Значения PIN-кодов ESMART Token ГОСТ, установленные по умолчанию:
Пользователь (pin): 12345678; Администратор (so-pin): 12345678

Работа с ESMART Token ГОСТ утилитой pkcs11-tool

Пакеты для работы с ESMART Token ГОСТ

Должна быть установлена библиотека libisbc_pkcs11_main.so и утилита pkcs11-tool:

# apt-get install isbc-pkcs11 opensc

--module /usr/lib64/pkcs11/libisbc_pkcs11_main.so

Проверка работы ESMART Token ГОСТ

Проверяем работу токена, он должен быть виден в списке:

$ pkcs11-tool -L --module /usr/lib64/pkcs11/libisbc_pkcs11_main.so 
Available slots:
Slot 0 (0x1): Generic CCID Reader [CCID Bulk Interface] 00 00
  token label        : EsmartToken
  token manufacturer : ISBC
  token model        : ESMARTToken GOST
  token flags        : login required, rng, token initialized, PIN initialized
  hardware version   : 2.5
  firmware version   : 255.255
  serial num         : 346056D604154404
  pin min/max        : 4/8

Просмотреть имеющуюся на токене информацию можно при помощи команды (требуется пароль от токена):

$ pkcs11-tool -Ol --module /usr/lib64/pkcs11/libisbc_pkcs11_main.so
Using slot 0 with a present token (0x1)
Logging in to "EsmartToken".
Please enter User PIN:

Инициализация токена

Внимание! При инициализации все данные с токена будут удалены!

Для инициализации токена следует выполнить команду (необходимо ввести so-pin карты 2 раза или передать его в качестве параметра —so-pin):

$ pkcs11-tool --init-token --label EsmartToken  --module /usr/lib64/pkcs11/libisbc_pkcs11_main.so
Using slot 0 with a present token (0x1)
Please enter the new SO PIN: 
Please enter the new SO PIN (again): 
Token successfully initialized

Смена PIN-кода

Для смены PIN-кода необходимо выполнить команду (потребуется ввести текущий PIN-код, а затем дважды ввести новый):

$ pkcs11-tool --change-pin  --module /usr/lib64/pkcs11/libisbc_pkcs11_main.so
Using slot 0 with a present token (0x1)
Please enter the current PIN: 
Please enter the new PIN: 
Please enter the new PIN again: 
PIN successfully changed

Разблокировка PIN-кода

Для того чтобы разблокировать PIN-код необходимо выполнить команду (потребуется ввести so-pin карты, а затем дважды ввести новый PIN-код):

$ pkcs11-tool --init-pin -l  --module /usr/lib64/pkcs11/libisbc_pkcs11_main.so
Using slot 0 with a present token (0x1)
Please enter SO PIN: 
Please enter the new PIN: 
Please enter the new PIN again: 
User PIN successfully initialized

Удаление объекта

Для удаления объекта необходимо указать его тип и идентификатор (id) или название (label). Открытый и закрытый ключ удаляются отдельно.

$ pkcs11-tool -b -y privkey --login --id 1024 --module /usr/lib64/pkcs11/libisbc_pkcs11_main.so

Типы объектов:

• privkey – закрытый ключ;
• pubkey – открытый ключ;
• cert – сертификат.

Создание ключевой пары

Создание ключевой пары по алгоритму ГОСТ:

$ pkcs11-tool --module /usr/lib64/pkcs11/libisbc_pkcs11_main.so --login --pin 12345678 --keypairgen --key-type GOSTR3410:A --id 0101 --label "my key"
Using slot 0 with a present token (0x1)
Key pair generated:
Private Key Object; GOSTR3410 
  PARAMS OID: 06072a850302022301
  label:      my key
  ID:         0101
  Usage:      sign, unwrap
Public Key Object; GOSTR3410 
  PARAMS OID: 06072a850302022301
  VALUE:      a973f28ea2462781249fff1060d37276f23030e9766b54b8a14f0daa6fba6a7d
              62f2481e00a3df35bdd6c75ed82e8e95f1a78e9db549c8ee55008cfd92d7abb2
  label:      my key
  ID:         0101
  Usage:      verify, wrap

Создание ключевой пары RSA 1024:

$ pkcs11-tool --module /usr/lib64/pkcs11/libisbc_pkcs11_main.so --keypairgen --key-type rsa:1024 --login --id 2222 --label myrsakey
Using slot 0 with a present token (0x1)
Logging in to "EsmartToken".
Please enter User PIN: 
Key pair generated:
Private Key Object; RSA 
  label:      myrsakey
  ID:         2222
  Usage:      decrypt, sign, unwrap
Public Key Object; RSA 1024 bits
  label:      myrsakey
  ID:         2222
  Usage:      encrypt, verify, wrap

Сертификаты

Создание запроса на сертификат

Получение сертификата

Запрос на сертификат необходимо подписать в аккредитованном удостоверяющем центре.

Запись сертификата на карту

Подписанный сертификат необходимо записать на карту:

$ pkcs11-tool -w cert.cer -y cert --id 1024 --module /usr/lib64/pkcs11/libisbc_pkcs11_main.so

OpenSC требует сертификаты в двоичном формате (DER). При попытке записать файл в кодировке base64 (PEM), появляется сообщение об ошибке.

Сертификат можно переконвертировать при помощи OpenSSL:

PEM → DER

$ openssl x509 -inform pem -in cert.pem -out cert.cer

DER → PEM

$ openssl x509 -inform der -in cert.cer -out cert.pem

Чтение сертификата

Если на карте имеется сертификат, его можно прочитать командой:

$ pkcs11-tool --read-object --type cert --login --id 0101 --module /usr/lib64/pkcs11/libisbc_pkcs11_main.so

ID сертификата можно посмотреть, выведя список объектов на токене:

$ pkcs11-tool --module /usr/lib64/pkcs11/libisbc_pkcs11_main.so -O

Создание и настройка входа через ssh

Примечание: Работает только с RSA ключами

Предполагается что ssh-сервер запущен (на 192.168.3.108) и имеет настройки, принятые по умолчанию в ALT Linux.

1. Вывести список открытых ключей на смарт-карте в формате OpenSSH:

   $ ssh-keygen -D /usr/lib64/pkcs11/libisbc_pkcs11_main.so
   ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQCHahc9HhA/DQkvJFShNHo2BJV3/cj0tmGNfj0RO3mCtRl8cgqvkb9N/4bJcfG3NiDR4T+x1MxmFxHcQXDstUwnF1mc40kabWz9d1a16dlwVmtFCKv0l2pK6MMX6igqtHnapGNvyUpsYSV4wXnMwevGNQGeq6l9AE+r18cEVx4KLQ==
   

2. Добавить ключ на сервер в файл ~/.ssh/authorized_keys
3. Подключение к серверу (необходимо будет ввести PIN):

   $ ssh -I /usr/lib64/pkcs11/libisbc_pkcs11_main.so user@192.168.3.108
   The authenticity of host '192.168.3.108 (192.168.3.108)' can't be established.
   ED25519 key fingerprint is SHA256:6wjAK3qjuaASBQOHaBLH5mZMeHP6cAjws4HI1Xr3vZc.
   Are you sure you want to continue connecting (yes/no)? yes
   Warning: Permanently added '192.168.3.108' (ED25519) to the list of known hosts.
   Enter PIN for 'EsmartToken': 
   [user@host-15 ~]$
   

Для удобства на компьютере клиенте в файле ~/.ssh/config можно указать сокращение:

$ vim ~/.ssh/config
Host example
   Hostname 192.168.3.108
   PKCS11Provider /usr/lib64/pkcs11/libisbc_pkcs11_main.so

и вызывать просто:

$ ssh example
Enter PIN for 'EsmartToken': 
Last login: Tue Feb 26 14:04:32 2019 from 192.168.3.106
[user@host-15 ~]$

Утилита PKIClientCli

Утилита PKIClientCli предназначена для работы со смарт-картами или USB-ключами ESMARTToken.
Утилита позволяет выполнить все необходимые операции со смарт-картами или USB-ключами ESMARTToken
в командной строке.

Установка:

# apt-get install isbc-pkcs11-utils

Изменение ПИН-кода:

$ PKIClientCli changepin --pin 12345678 --newpin 00000000
Success

Изменение SO PIN (PIN) для смарт карты или токена:

$ PKIClientCli changesopin --sopin 12345678 --newsopin 00000000

Разблокировка PIN-кода:

$ PKIClientCli unlockpin --sopin 12345678 --newpin 00000000

Поддерживаемые алгоритмы

Список поддерживаемых механизмов:

$ PKIClientCli listm
GOST28147, encrypt, decrypt
MAGMA_ECB, encrypt, decrypt
GOSTR3410_256, sign, verify
GOSTR3410_WITH_GOSTR3411_94, sign, verify
GOSTR3410_WITH_GOSTR3411_2012_256, sign, verify
RSA_PKCS_KEY_PAIR_GEN, keySize={1024,1024}, gen_key_pair
GOSTR3410_256_KEY_PAIR_GEN, gen_key_pair
RSA_PKCS, keySize={1024,2048}, encrypt, decrypt, sign, sign_recover, verify, verify_recover
RSA_X_509, keySize={1024,2048}, encrypt, decrypt
SHA_1, digest
MD5, digest
SHA256, digest
GOSTR3411_94, digest
SHA224, digest
SHA384, digest
SHA512, digest
GOSTR3411_2012_256, digest
AES_ECB, keySize={16,32}, encrypt, decrypt
AES_CBC, keySize={16,32}, encrypt, decrypt
AES_CBC_PAD, keySize={16,32}, encrypt, decrypt
DES_ECB, keySize={8,8}, encrypt, decrypt
DES_CBC, keySize={8,8}, encrypt, decrypt
DES_CBC_PAD, keySize={8,8}, encrypt, decrypt
DES3_ECB, keySize={16,16}, encrypt, decrypt
DES3_CBC, keySize={16,16}, encrypt, decrypt
DES3_CBC_PAD, keySize={16,16}, encrypt, decrypt
AES_KEY_GEN, keySize={16,32}, generate
DES_KEY_GEN, keySize={8,8}, generate
DES2_KEY_GEN, keySize={16,16}, generate
GOST28147_KEY_GEN, generate
ECDSA_KEY_PAIR_GEN, keySize={256,256}, gen_key_pair, ec_f_p, ec_namedcurve, ec_uncompress
ECDSA, keySize={256,256}, sign, verify, ec_f_p, ec_namedcurve, ec_uncompress
GOSTR3410_DERIVE
GOSTR3410_2012_DERIVE
GOST28147_MAC, sign, verify
GOST28147_KEY_WRAP

Генерация ключей

Команда:

$ PKIClientCli genkey --pin <PIN> --keytype <Key type>

где:
Key type — тип ключа: GOST, GOST:256, GOST:512 или RSA:бит (512/1024/ и т.д) [по умолчанию GOST:256]

Например, генерация ключей GOST:256:

$ PKIClientCli genkey --pin 12345678
Key Pair ID:    2066466304.
Key Pair Label: 2066466304.
Success

Ключи RSA:1024:

$ PKIClientCli genkey --keytype RSA:1024 --pin 12345678
Key Pair ID:    1975611901.
Key Pair Label: 1975611901.
Success

Просмотр объектов (verbose 1 — показать подробную информацию, 0 — краткую):

$ PKIClientCli list --pin 12345678 --verbose 1
private key; GOSTR3410-2012 256 bits
	 label: 	2066466304
	 ID: 		2066466304
	 usage: 	SIGN, UNWRAP, DERIVE, DECRYPT
private key; RSA length 1024
	 label: 	1975611901
	 ID: 		1975611901
	 usage: 	SIGN, UNWRAP, DECRYPT
public key; GOSTR3410-2012 256 bits
	 label: 	2066466304
	 ID: 		2066466304
	 usage: 	ENCRYPT, VERIFY
public key; RSA length 1024
	 label: 	1975611901
	 ID: 		1975611901
	 usage: 	ENCRYPT, VERIFY

Создание запроса на сертификат и импорт полученного сертификата

Команда создания запроса на сертификат:

$ PKIClientCli genkey --pin <PIN> --path <Путь к шаблону CSR> --csrpath <Путь к шаблону CSR> --pubkeyid <ID открытого ключа>

Шаблон CSR имеет вид:

# CSR template example for PKIClientCli
[DN]
# Distinguished Name section
#(ИНН)
1.2.643.3.131.1.1=395556660000
#(СНИЛС)
1.2.643.100.3=11223344556
#(Country)
2.5.4.6=RU
#(State)
2.5.4.8=39 Калининградская обл.
#(City)
2.5.4.7=Калининград
#(Street)
2.5.4.9=Пр-т Победы 14 кв.3
#(Organization)
2.5.4.10=
#(OU)
2.5.4.11=
#(Unstructured Name)
1.2.840.113549.1.9.2=
#(Title)
2.5.4.12=
#(email)
1.2.840.113549.1.9.1=ivanov@mail.mail
#(Given Name)
2.5.4.42=Иван Иванович
#(Surname)
2.5.4.4=Иванов
#(Common Name)
2.5.4.3=Иванов Иван Иванович
[ATTRIBUTES]
# CSR attributes section
#(challengePassword)
1.2.840.113549.1.9.7=
# GOST R 34.10-2012, 256 bit
1.2.643.7.1.1.2.2=FALSE
[EXTENSIONS]
# CSR extensiotns section
keyUsage=digitalSignature,keyEncipherment,nonRepudiation,dataEncipherment,keyAgreement=FALSE
# Extended Key Usage
#extKeyUsage=clientAuth,emailProtection=TRUE
2.5.29.37=DER:303006072A85030202220606082A8503030700010C06072A85030307080106082B0601050507030206082B06010505070304=TRUE
# Microsoft UPN
#1.3.6.1.4.1.311.20.2.3=user@local=FALSE

Например, создадим запрос на сертификат esmart.csr на основе данных записанных в шаблоне esmart.tmpl:

$ PKIClientCli csr --pin 12345678 --pubkeyid 0101 --path esmart.tmpl --csrpath esmart.csr
Success

Запрос на сертификат необходимо подписать в аккредитованном удостоверяющем центре.

$ openssl req -inform der -in esmart.csr -out esmart.pem

Для получения сертификата в УЦ (на примере тестового удостоверяющего центра КриптоПро), необходимо выполнить следующие действия:

1. Откройте в браузере ссылку http://www.cryptopro.ru/certsrv (тестовый удостоверяющий центр КриптоПро).
2. Нажмите ссылку «Отправить готовый запрос PKCS#10 или PKCS#7 в кодировке Base64»:

   

3. Вставьте в поле «Base-64-шифрованный запрос сертификата» содержимое файла test5.req и нажмите кнопку «Выдать»:

   

4. Сохраните файл по ссылке «Загрузить сертификат» (по умолчанию предлагается имя certnew.cer):

   

$ cat esmart.pem
MIIBMDCB4AIBADA2MRMwEQYDVQQDDApUZXN0IFVzZXI1MR8wHQYJKoZIhvcNAQkBFhBjYXNAYWx0
bGludXgub3JnMGMwHAYGKoUDAgITMBIGByqFAwICJAAGByqFAwICHgEDQwAEQDq5IAql+tHfVT7r
oz+P5dPgOUVXc7dg91nzGM7fkUBSKlapGO2A2xUDRUBHLtW/hBCiZsxdH3ydhzlZ6nhcbNKgPjA8
BgorBgEEAYI3AgEOMS4wLDAdBgNVHSUEFjAUBggrBgEFBQcDBAYIKwYBBQUHAwIwCwYDVR0PBAQD
AgTwMAgGBiqFAwICAwNBAFYnhGI6SsCwFRSl5p6EVnM7y6Hx9JGM6BFS4U3xTEGvzMK7yzk9j1kG
EKU7YZO5cFluPuDdi0WuYskhdz4SEg4=

Подписанный сертификат необходимо записать на карту:

$ PKIClientCli importcert --pin 12345678 --path certnew.cer
Matching key pair found. Following label and ID have been assigned to the certificate:
Certificate ID:    0101.
Certificate Label: my key.
Success

Примечание: Данные сертификата должны быть в формате DER

Подписание документов

Команда:

$ PKIClientCli pkcs7sign --pin <PIN> --inpath <файл> --outpath <файл> --certid <ID сертификата> --intcertids <ID1, ID2> --privkeyid <ID сертификата>

Основные опции:

—pin — PIN (PIN пользователя) для смарт карты или токена (обязательный);

—inpath — путь к файлу для подписи (обязательный);

—outpath — путь к файлу, где будет храниться подпись (обязательный);

—certid — ID объекта сертификата пользователя (обязательный);

—intcertids — промежуточные идентификаторы объекта сертификата (через запятую);

—detached — тип подписи, 0 — прикреплённая (по умолчанию), 1 — откреплённая;

—privkeyid — ID объекта закрытого ключа. Если не указан, будет найден автоматически по сертификату пользователя;

—noconfirm — не спрашивать подтверждение перед подписью, 0 — подтверждение необходимо (по умолчанию), 1 — пропустить подтверждение.

Создание прикреплённой (attached) подписи:

$ PKIClientCli pkcs7sign --pin 12345678 --inpath ./my_file.odt --outpath out.sign --certid 0101
File path: 		./my_file.odt
File size: 		8086
Created date: 		2019-02-25 13:56:29
Modified date: 		2019-02-25 13:56:29
Checksum: 		287495846084353A1404776EFCBA61F0DC6FA4ACAA6F9B78DFBA6F023085ABC (GOST R 34.11-2012) 
Certificate CN: 	Иванов Иван Иванович
Certificate serial: 	120032DA694AB3BC3711A2AA3500000032DA69
Continue? [y/n or yes/no]: y
Success

Создание откреплённой (detached) подписи (если в команде не вводить обязательные поля, они будут запрошены):

$ PKIClientCli pkcs7sign --detached 1
Please enter PIN (User PIN): 
Please enter path to file to be signed: my_file.odt
Please enter path to file where signature will be stored: my_sign.sig
Please enter user certificate ID: 0101

File path: 		my_file.odt
File size: 		8256
Created date: 		2019-02-26 16:58:16
Modified date: 		2019-02-26 16:58:16
Checksum: 		287495846084353A1404776EFCBA61F0DC6FA4ACAA6F9B78DFBA6F023085ABC (GOST R 34.11-2012) 
Certificate CN: 	Иванов Иван Иванович
Certificate serial: 	120032DA694AB3BC3711A2AA3500000032DA69
Continue? [y/n or yes/no]: y
Success

Проверка подписи

Команда:

$ PKIClientCli pkcs7verify --signature <файл>

Основные опции:

—signature — путь к файлу с подписью (обязательный);

—path — путь к файлу с откреплённой подписью;

—crldir — путь к каталогу с файлами CRL (—verifychain 1 также должен быть указан);

—verifychain — проверить цепочку сертификатов и CRL, 0 — не проверять (по умолчанию), 1 — проверять. Сертификат CA должен быть загружен как доверенный.

Проверка подписи:

$ PKIClientCli pkcs7verify --signature out.sig
Success

Проверка откреплённой подписи:

$ PKIClientCli pkcs7verify --signature my_sign.sig --path my_file.odt
Success

Хэш-функция

Команда:

PKIClientCli digest --path <файл> --mechanism <файл>

Основные опции:

—path — путь к файлу (обязательный);

—mechanism — механизм хэш-функции,полный список можно получить командой listm (обязательный).

Примеры:

$ PKIClientCli digest --path my_file.odt --mechanism GOSTR3411_2012_256 
my_file.odt : A5BB085BB54D5A6A7A0E0A98680024F4E9FDDEFFCD4050DBFA53946F4370D124 : GOSTR3411_2012_256
Success
$ PKIClientCli digest --path my_file.odt --mechanism SHA256
my_file.odt : 61A620869E4AF332A8B11EBDF50D103CAEA2222DEA5AF72D39054544B9C8E25F : SHA256
Success

КриптоПро

Подробнее о КриптоПро: КриптоПро

Примечание: Проверена работоспособность на версии КриптоПро: КриптоПро CSP 4.0 R4

Электронный идентификатор ESMART Token ГОСТ поддерживается в СКЗИ «КриптоПро CSP» в качестве ключевого носителя.

Для версии КриптоПро: КриптоПро CSP 4.0 R4, необходимо установить пакет поддержки карт Esmart (из архива КриптоПро):

# apt-get install cprocsp-rdr-esmart*

Для версии КриптоПро: КриптоПро CSP 5.0, необходимо скачать «Модуль поддержки КриптоПро CSP 5.x для Linux» с https://esmart.ru/download/, распаковать архив и установить пакет поддержки карт Esmart (из скаченного архива — для 64-битной версии ОС):

# apt-get install ESMARTTokenGOST-cryptoproV5*86_64.rpm

Управление считывателями

Проверка видимости токена:

$ list_pcsc
ACS ACR38U-CCID 00 00

Просмотр доступных считывателей:

$ csptest -enum -info -type PP_ENUMREADERS | iconv -f cp1251
CSP (Type:80) v4.0.9017 KC1 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:AVX.
CryptAcquireContext succeeded.HCRYPTPROV: 30405923
GetProvParam(...PP_ENUMREADERS...) until it returns false
  Len    Byte  NickName/Name
_____________________________
 0x012a  0x72  ACS ACR 38U-CCID 00 00
               ACS ACR38U-CCID 00 00
 0x012a  0x58  FLASH
               FLASH
 0x012a  0x18  HDIMAGE
               Структура дискеты на жестком диске

Инициализация считывателя ACS ACR38U-CCID 00 00 (требуется, если считыватель есть в списке видимых считывателей и отсутствует в списке настроенных), где в параметре -add указано имя, которое было получено при просмотре доступных считывателей, в параметре -name указано удобное для обращения к считывателю имя, например, Esmart (под правами root):

# cpconfig -hardware reader -add 'ACS ACR 38U-CCID 00 00' -name 'Esmart'
Adding new reader:
Nick name: ACS ACR 38U-CCID 00 00
Name device: Esmart
Succeeded, code:0x0

-bash: cpconfig: команда не найдена

export PATH="$(/bin/ls -d /opt/cprocsp/{s,}bin/*|tr 'n' ':')$PATH"

Создание контейнера

Создание контейнера на токене/смарт-карте:

$ csptest -keyset -provtype 80 -newkeyset -cont '\.ACS ACR 38U-CCID 00 00esmart'                    
CSP (Type:80) v4.0.9017 KC1 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 9348387
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "esmart"
Signature key is not available.
Attempting to create a signature key...
a signature key created.
Exchange key is not available.
Attempting to create an exchange key...
an exchange key created.
Keys in container:
  signature key
  exchange key
Extensions:
  OID: 1.2.643.2.2.37.3.9

  OID: 1.2.643.2.2.37.3.10
Total: SYS: 0,150 sec USR: 0,290 sec UTC: 51,860 sec
[ErrorCode: 0x00000000]

При установленном пакете cprocsp-rdr-gui-gtk будет показано графическое окно, где будет предложено перемещать указатель мыши или нажимать клавиши:

Примечание: Если такой пакет не установлен, будет предложено ввести любые символы с клавиатуры.

После этого необходимо предъявить PIN-код пользователя.

После указания PIN-кода снова будет предложено перемещать указатель мыши.

Проверить наличие контейнеров можно с помощью команды:

$ csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251
CSP (Type:80) v5.0.10001 KC1 Release Ver:5.0.11319 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 33752963
\.ACS ACR38U-CCID 00 00esmart
\.ACS ACR38U-CCID 00 00new_esmart
\.HDIMAGEtest
OK.
Total: SYS: 0,020 sec USR: 0,100 sec UTC: 4,310 sec
[ErrorCode: 0x00000000]

Просмотр подробной информации о контейнере:

$ csptestf -keyset -container '\.ACS ACR 38U-CCID 00 00esmart' -info

Удалить контейнер можно с помощью команды:

$ csptestf -keyset -deletekeyset -cont '\.ACS ACR 38U-CCID 00 00esmart'

Управление сертификатами

Создание запроса на сертификат

Создание запроса на получение сертификата средствами КриптоПро:

$ cryptcp -creatrqst -dn "список имён полей" -cont 'путь к контейнеру' <название_файла>.csr

Например:

$ cryptcp -creatrqst 
-dn "E=ivanov@mail.mail,CN=Иванов Иван Иванович,SN=Иванов,G=Иван Иванович,C=RU,L=Калининград,ST=39 Калининградская обл.,street=Пр-т Победы 14 кв.3,INN=102301111222,SNILS=11223344556" 
-provtype 80 -nokeygen 
-cont '\.ACS ACR 38U-CCID 00 00esmart' 
-certusage "1.3.6.1.5.5.7.3.4,1.3.6.1.5.5.7.3.2" esmart.req
CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.
Command prompt Utility for file signature and encryption.
Request is saved in file.
[ReturnCode: 0]

Запрос на сертификат необходимо подписать в аккредитованном удостоверяющем центре.

Добавление (запись) сертификатов

Добавление сертификата, без привязки к ключам (только проверка ЭЦП):

$ certmgr -inst -file cert.cer

Ассоциировать сертификат с контейнером, сертификат попадет в пользовательское хранилище My:

$ certmgr -inst -file certnew.cer -store uMy -cont '\.ACS ACR 38U-CCID 00 00esmart' 
Certmgr 1.1 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

Installing: 
=============================================================================
1-------
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : E=ivanov@mail.mail, CN=Иванов Иван Иванович, SN=Иванов, G=Иван Иванович, C=RU, S=39 Калининградская обл., L=Калининград, STREET=Пр-т Победы 14 кв.3, INN=102301111222, SNILS=11223344556
Serial              : 0x120032E646B1C251C57B05D32900000032E646
SHA1 Hash           : a7bf3ec0013cd2086ff05476640cc14ede74f2cd
SubjKeyID           : e5e8b4261993c39de30b268eff790e32e2e7e7ed
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before    : 27/02/2019  12:24:38 UTC
Not valid after     : 27/05/2019  12:34:38 UTC
PrivateKey Link     : No                  
CA cert URL         : http://testca.cryptopro.ru/CertEnroll/test-ca-2014_CRYPTO-PRO%20Test%20Center%202.crt
OCSP URL            : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP                 : http://testca.cryptopro.ru/CertEnroll/CRYPTO-PRO%20Test%20Center%202.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.4
                      1.3.6.1.5.5.7.3.2
=============================================================================
[ErrorCode: 0x00000000]

Запись сертификата УЦ:

# /opt/cprocsp/bin/amd64/certmgr -inst -file certne_ucw.cer -store uRoot
Certmgr 1.1 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

Installing: 
=============================================================================
1-------
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Serial              : 0x2B6E3351FD6EB2AD48200203CB5BA141
SHA1 Hash           : 046255290b0eb1cdd1797d9ab8c81f699e3687f3
SubjKeyID           : 15317cb08d1ade66d7159c4952971724b9017a83
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 05/08/2014  13:44:24 UTC
Not valid after     : 05/08/2019  13:54:03 UTC
PrivateKey Link     : No                  
=============================================================================

[ErrorCode: 0x00000000]

Просмотр сертификатов

Просмотр сертификатов:

Просмотр сертификатов в локальном хранилище uMy:

$ certmgr -list -store uMy

Просмотр сертификатов в контейнере:

$ certmgr -list -container '\.ACS ACR 38U-CCID 00 00esmart'

Просмотр корневых сертификатов:

$ certmgr -list -store uRoot

Создание и проверка подписи

Для создания электронной подписи файла необходимо указать сертификат и имя подписываемого файла:

$ cryptcp -sign -dn E=ivanov@mail.mail -der zayavlenie.pdf 
CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.
Command prompt Utility for file signature and encryption.

Certificate chains are checked.
Folder './':
zayavlenie.pdf... Signing the data...

Signed message is created.
[ReturnCode: 0]

На выходе появится файл zayavlenie.pdf.sig, содержащий как сам подписываемый файл, так и электронную подпись.
Для проверки прикреплённой подписи выполните команду:

$ cryptcp -verify zayavlenie.pdf.sig
CryptCP 4.0 (c) "Crypto-Pro", 2002-2017.
Command prompt Utility for file signature and encryption.
RDN:ivanov@mail.mail
Valid from 27.02.2019 11:06:42 to 27.05.2019 11:16:42

Certificate chains are checked.
Folder './':
zayavlenie.pdf.sig... Signature verifying...     
Signer: ivanov@mail.mail

 Signature's verified.
[ReturnCode: 0]

Для извлечения файла с данными из файла электронной подписи необходимо указать имя файла, в который будут извлечены данные, в конце команды проверки подписи:

$ cryptcp -verify zayavlenie.pdf.sig zayavlenie.pdf

Для создания откреплённой (detached) подписи необходимо заменить ключ -sign на -signf:

$ cryptcp -signf -dn E=ivanov@mail.mail -der zayavlenie.pdf

Проверка откреплённой подписи:

$ cryptcp -vsignf zayavlenie.pdf

1. Установка КриптоПРО CSP

Нажмите на одну из ссылок ниже для загрузки файла установки КриптоПРО на компьютер.

После окончания загрузки откройте zip-архив с помощью соответствующей программы (например Win-RAR). Внутри будет сам файл установки КриптоПРО. Запустите его и установите с параметрами по умолчанию. В процессе установки у Вас может появиться следующее окно:

• КриптоПро CSP 3.9 – версия для ОС WinXP
• КриптоПро CSP 4.0 – версия для ОС Win 7 / 8 / 10
• КриптоПРО CSP последний релиз

Пропустите окно нажав «Далее». Установка КриптоПРО завершена.

1. Установка драйвера для токена

Подписи можно хранить в реестре компьютера, на обычных флеш-накопителях и на специальных usb-токенах. Список токенов, пин-коды и ссылки на ПО представлены в следующей таблице.

Тип USB-носителя	Внешний вид USB-носителя	Ссылка на загрузку драйверов	PIN-код
ruToken		Драйверы Рутокен для Windows	12345678
eToken		Драйверы eToken для Windows	1234567890
JaCarta LT		Единый клиент JC	1234567890
MS-Key		MSKey Driver	11111111
Esmart*		ESMART PKI Client	12345678
JaCarta LT NanoJaCarta ГОСТJaCarta S/E		Единый клиент JC	1234567890

Визуально определите какой у Вас носитель.

Для работы с одним из этих носителей необходимо установить драйвер. Перейдите по соответствующей ссылке, скачайте драйвер и установите его на компьютер. Установку драйвера проводите с параметрами по умолчанию.

1. Установка корневых сертификатов УЦ

Скачайте корневые сертификаты перейдя по ссылкам ниже.

• Корневой сертификат для неквалифицированных сертификатов
• Корневой сертификат для квалифицированных сертификатов

Все сертификаты в архивах имеют соответствующие названия аналогично хранилищам, в которых их нужно установить. Откройте нужный сертификат двойным нажатием ЛКМ и установите по нижеследующему примеру.

При возникновении предупреждения как на скриншоте ниже:

Нужно согласиться с предупреждением, нажав «ДА». Ниже следует пример установки промежуточного сертификата.

1. Установка личного сертификата

Подключите USB-токен для хранения электронных подписей (Rutoken, eToken и т.д.);

Нажмите кнопку «ПУСК» > «Программы». Откройте папку КриптоПРО и запустите программу КриптоПРО CSP. В открывшемся окне программы перейдите на вкладку «Сервис». На вкладке «Сервис» нажмите на кнопку «Просмотреть сертификаты в контейнере». Нажмите «Далее» > «Обзор». Вы увидите имеющиеся у вас контейнеры.

Выберите нужный вам контейнер, нажмите «ОК» > «Далее».

Введите pin от USB-токена. Нажмите «ОК» > «Установить».

1. Установка плагинов для работы с КЭП

• Крипто-Про ЭЦП Browser plugin 2.0 — стандартный плагин КриптоПро ЭЦП Browser plug-in.

Перейдите по ссылке для скачивания установочного файла, после завершения загрузки запустите файл. Во всех окнах подтверждения жмите «ДА» и дождитесь завершения установки.

• capicom2102.msi — стандартная библиотека CAPICOM от Microsoft.

Перейдите по ссылке для скачивания установочного файла, после завершения загрузки запустите файл. Примите лицензионное соглашение, во всех окнах подтверждения жмите «Далее» и дождитесь завершения установки.

У некоторых площадок/порталов/сервисов есть собственные плагины, необходимые для работы с ЭП. Рекомендуется ознакомится с регламентом интересующей вас площадки перед началом работы. Например, для портала ГОСУСЛУГ необходим этот плагин, а для ЭТП ГУП Татарстана криптографический плагин.

1. Настройка браузера

Для настройки браузера Internet Explorer откройте «Панель управления» > «Показывать значки» > «Свойства браузера». Перед вами откроется окно, нажмите на вкладку «Безопасность»

Нажмите на кнопку «Надёжные узлы» > «Узлы»

Снимите галочку «Для всех узлов этой зоны требуется проверка серверов (https:)». В поле «Добавить узел в зону» напишите адреса всех необходимых вам площадок по нижеследующим примерам:

*.sberbank-ast.ru > нажимаем на кнопку «Добавить»;

 «Добавить узел в зону» напишите «*.roseltorg.ru» > нажмите на кнопку «Добавить»;

«Добавить узел в зону» напишите «*.etp-micex.ru» > нажмите на кнопку «Добавить»;

«Добавить узел в зону» напишите «*.rts-tender.ru» > нажмите на кнопку «Добавить»;

«Добавить узел в зону» напишите «*.zakazrf.ru» > нажмите на кнопку «Добавить». Нажимаем кнопку «Ок».

Этими действиями Вы добавите 5 федеральных электронных торговых площадок в доверенные веб-узлы. Если Вы планируете работать с КЭП на других порталах, тогда добавьте необходимые Вам сайты аналогичным образом в надежные веб-узлы.

Во вкладке «Безопасность», нажать кнопку «Другой», перед вами открывается окно, спуститесь по полосе прокрутки вниз списка.

Нужно включить или разрешить все элементы ActiveX, после проделанных операций нажать «ОК». Пункт «Блокировать всплывающие окна» тут же установить в положение «Отключить».

Зайдите на вкладку «Конфиденциальность», поставьте «Низкий  уровень» и уберите галочку «Включить блокирование всплывающих окон». Далее нажмите «ОК» для сохранения всех настроек.

Для подписания договора на сайте ОФД, настраивать необходимо другой браузер. Скачайте и установите браузер Google Chrome. После установки откройте браузер, нажмите на три вертикальных точки в верхнем правом углу окна. Выберите пункт меню «Дополнительные инструменты» > «Расширения»

Откроется меню расширений, найдите CryptoPro Extension for CAdES Browser Plug-in и поставьте галочку напротив «Включить». Браузер настроен для использования КЭП на сервисах ОФД.

Требования к рабочему месту для электронных торговПолучена новая электронная подпись для торгов. Что необходимо сделать?

Часовой пояс GMT +3, время: 18:58.