Récemment, j'ai transféré un serveur de terminaux (serveur Windows 2003 standard x64) vers une machine virtuelle. Au terminal, les comptables travaillaient avec VLSI. Les certificats pour sbis sont stockés sur un lecteur flash, il n'est pas transmis à la machine virtuelle. Les bukhs sont nerveux, il faut faire quelque chose :
- J'ai essayé de créer un disque et d'y copier des certificats, mais crypto ne voit pas les disques locaux. Déception 1
- Transféré Sbis vers une machine virtuelle sous Windows Server 2012R2, transféré un lecteur flash (mode session étendue). Il a été identifié comme un lecteur local. Déception 2
J'ai alors décidé d'appeler le support technique de VLSI (au mot machine virtuelle, le consultant est tombé dans la stupeur et s'est mis à donner des conseils étranges....). Au troisième consultant, j'ai reçu une réponse que seulement via le registre (ce que je ne voulais pas faire). Bon, d'accord, j'ai commencé à le faire via le registre….
Et puis je me suis rendu compte qu'il y avait aussi la possibilité de connecter une disquette. Eureka))))
J'ai créé une disquette via HYPER-V MANAGER et y ai déposé les certificats. J'ai ouvert crypro pro et j'ai vérifié que les certificats étaient visibles ! Il semble que cela aurait dû se terminer, mais non...
Lors de la signature ou de "l'envoi de la réception", nous obtenons une erreur la clé de cryptage privée n'a pas été trouvée ... Pour résoudre ce problème Allez à PANNEAU DE COMMANDE — CryptoPRO CSP — UN SERVICE — SUPPRIMER LES MOTS DE PASSE ENREGISTRÉS — SUPPRIMER LE SUPPORT AMOVIBLE UTILISÉ(cocher la case). Et le bonheur arrive, mais pas pour tout le monde... Cette procédure doit être répétée pour tous les utilisateurs qui utilisent crypto pro (que ce soit les sites de marchés publics ou sbis...).
P.S : l'option avec le registre fonctionne tout à fait, mais je ne voulais pas le faire !
3 commentaires
Je continue sur ESXi 5.5 Windows 2012 R2
vaut crypto environ 3,9
Pourquoi alors, après la fermeture du shutdown, parfois le processus reste en suspens dans la mémoire, n'avez-vous pas rencontré un tel problème ?
dans ce cas, vous pouvez relancer l'arrêt et il s'ouvrira normalement, aucun fichier ne sera verrouillé par la version précédente.
Je ne comprends pas ce qui se passe, cela ronge fortement la mémoire si plusieurs copies restent en cours d'exécution.
Bonne journée!. Les deux derniers jours, j'ai eu une tâche intéressante pour trouver une solution à une telle situation, il y a un serveur physique ou virtuel, sur lequel le célèbre CryptoPRO est probablement installé dessus. Connecté au serveur qui est utilisé pour signer des documents pour VTB24 DBO... Localement sur Windows 10 tout fonctionne, mais sur la plateforme serveur Windows Server 2016 et 2012 R2, CryptoPro ne voit pas la clé JaCarta... Voyons quel est le problème et comment le résoudre.
Description de l'environnement
Il existe une machine virtuelle sur Vmware ESXi 6.5, Windows Server 2012 R2 est installé comme système d'exploitation. Le serveur a CryptoPRO 4.0.9944, la dernière version pour le moment. Un dongle JaCarta est connecté à partir d'un concentrateur USB réseau à l'aide de la technologie USB sur IP. Clé dans le système vu, mais pas dans CryptoPRO.
Algorithme pour résoudre des problèmes avec JaCarta
CryptoPRO provoque très souvent diverses erreurs dans Windows, un exemple simple (le service d'installation de Windows n'était pas accessible). Voici à quoi ressemble la situation lorsque l'utilitaire CryptoPRO ne voit pas le certificat dans le conteneur.
Comme vous pouvez le voir dans l'utilitaire UTN Manager, la clé est connectée, elle est vue dans le système dans les cartes à puce comme un périphérique Microsoft Usbccid (WUDF), mais CryptoPRO ne détecte pas ce conteneur et vous n'avez aucun moyen d'installer le certificat. Le token était connecté localement, tout était pareil. Ils ont commencé à penser quoi faire.
Raisons possibles avec la définition du conteneur
- Premièrement, il s'agit d'un problème avec les pilotes, par exemple, dans Windows Server 2012 R2, JaCarta devrait idéalement être défini dans la liste des cartes à puce comme JaCarta Usbccid Smartcard, et non Microsoft Usbccid (WUDF)
- Deuxièmement, si le périphérique est considéré comme Microsoft Usbccid (WUDF), la version du pilote peut être obsolète et vos utilitaires ne détecteront pas le lecteur USB protégé.
- Version obsolète de CryptoPRO
Comment résoudre le problème que le cryptopro ne voit pas la clé USB ?
Nous avons créé une nouvelle machine virtuelle et commencé à installer le logiciel de manière séquentielle.
Avant d'installer tout logiciel qui fonctionne avec un support USB, qui contient des certificats et des clés privées. Besoin de NÉCESSAIREMENT désactiver le jeton, s'il est branché localement, puis le désactiver, s'il est sur le réseau, mettre fin à la session
- Tout d'abord, nous mettons à jour votre système d'exploitation avec toutes les mises à jour disponibles, car Microsoft corrige de nombreuses erreurs et bogues, y compris les pilotes.
- Le deuxième point est, dans le cas d'un serveur physique, d'installer tous les derniers pilotes sur la carte mère et tous les équipements périphériques.
- Ensuite, installez le client unifié JaCarta.
- Installez la dernière version de CryptoPRO
Installation du client unifié JaCarta PKI
Client unique JaCarta est un utilitaire spécial de la société Aladdin pour le travail correct avec les jetons JaCarta. Vous pouvez télécharger la dernière version de ce produit logiciel depuis le site officiel, ou depuis le cloud de ma part, si tout à coup cela ne fonctionne pas depuis le site Web du fabricant.
Ensuite, vous décompressez l'archive résultante et exécutez le fichier d'installation pour votre architecture Windows, je l'ai en 64 bits. Commençons par installer le pilote Jacarta. Un seul client Jacarta s'installe très simplement (RAPPELEZ votre token au moment de l'installation doit être désactivé). Dans la première fenêtre de l'assistant d'installation, cliquez simplement sur suivant.
Nous acceptons le contrat de licence et cliquez sur "Suivant"
Pour que les pilotes de jeton JaCarta fonctionnent correctement, il vous suffit d'effectuer une installation standard.
Si vous choisissez « Installation personnalisée », assurez-vous de cocher les cases :
- Pilotes JaCarta
- Modules d'assistance
- Module de support pour CryptoPRO
Après quelques secondes, Jacarta Unified Client est installé avec succès.
Assurez-vous de redémarrer le serveur ou l'ordinateur afin que le système puisse voir les derniers pilotes.
Après avoir installé JaCarta PKI, vous devez installer CryptoPRO, pour cela rendez-vous sur le site officiel.
https://www.cryptopro.ru/downloads
Pour le moment, la dernière version de CryptoPro CSP est la 4.0.9944. Exécutez le programme d'installation, laissez la case à cocher « Installer les certificats racine » et cliquez sur « Installer (recommandé) »
L'installation de CryptoPRO sera effectuée en arrière-plan, après quoi vous verrez une invite pour redémarrer votre navigateur, mais je vous conseille de redémarrer complètement.
Après le redémarrage, branchez votre token USB JaCarta. Ma connexion passe par le réseau, depuis l'appareil DIGI, à travers. Dans le client Anywhere View, ma clé USB Jacarta est identifiée avec succès, mais en tant que Microsoft Usbccid (WUDF), et devrait idéalement être identifiée en tant que JaCarta Usbccid Smartcard, mais vous devez vérifier dans tous les cas, car tout peut fonctionner comme ça.
En ouvrant l'utilitaire "Jacarta PKI Single Client", le jeton connecté n'a pas été trouvé, donc quelque chose ne va pas avec les pilotes.
Microsoft Usbccid (WUDF) est un pilote Microsoft standard qui s'installe sur divers tokens par défaut, et il arrive que tout fonctionne, mais pas toujours. Le système d'exploitation est Windows par défaut, en tenant compte de son architecture et de ses paramètres, je n'en ai personnellement pas besoin pour le moment. Ce que nous faisons, c'est que nous devons désinstaller les pilotes Microsoft Usbccid (WUDF) et installer les pilotes de support Jacarta.
Ouvrez le Gestionnaire de périphériques Windows, localisez les lecteurs de cartes à puce, cliquez sur Microsoft Usbccid (WUDF) et sélectionnez Propriétés. Allez dans l'onglet "Pilotes" et cliquez sur Désinstaller
Acceptez de désinstaller le pilote Microsoft Usbccid (WUDF).
Vous serez averti que pour que les modifications prennent effet, un redémarrage du système est nécessaire, nous serons certainement d'accord.
Après avoir redémarré le système, vous pouvez voir l'installation du périphérique et des pilotes ARDS Jacarta.
Ouvrez le gestionnaire de périphériques, vous devriez voir que maintenant votre appareil est défini comme JaCarta Usbccid Smartcar et si vous allez dans ses propriétés, vous verrez que la carte à puce jacarta utilise maintenant la version du pilote 6.1.7601 d'ALADDIN RDZAO, donc ça devrait être ...
Si vous ouvrez un seul client Jacarta, vous verrez votre signature électronique, ce qui signifie que la carte à puce a été détectée normalement.
Nous ouvrons CryptoPRO, et nous constatons que le cryptopro ne voit pas le certificat dans le conteneur, bien que tous les pilotes aient été identifiés au besoin. Il y a une autre fonctionnalité.
- Dans la session RDP, vous ne verrez pas votre token, uniquement localement, c'est ainsi que le token fonctionne, ou je n'ai pas trouvé comment le réparer. Vous pouvez essayer les recommandations pour résoudre l'erreur « Impossible de se connecter au service de gestion des cartes à puce ».
- Vous devez supprimer une case à cocher dans CryptoPRO
Décochez TOUJOURS « Ne pas utiliser de suites de chiffrement obsolètes » et redémarrer.
Après ces manipulations, CryptoPRO a vu un certificat pour moi et la carte à puce Jacarta est devenue fonctionnelle, vous pouvez signer des documents.
Vous pouvez également voir votre appareil JaCarta dans les appareils et les imprimantes,
Si, comme moi, vous avez installé le jeton Jacarta dans la machine virtuelle, vous devrez alors installer le certificat via la console de la machine virtuelle, et également en donner les droits à la personne responsable. S'il s'agit d'un serveur physique, vous devrez alors y donner des droits sur le port de gestion, qui dispose également d'une console virtuelle.
Lorsque vous avez installé tous les pilotes pour les jetons Jacarta, vous pouvez voir le message d'erreur suivant lors de la connexion via RDP et de l'ouverture de l'utilitaire "Jacarta PKI Single Client" :
- Le service de carte à puce n'est pas démarré sur la machine locale. L'architecture de la session RDP, développée par Microsoft, ne prévoit pas l'utilisation de supports clés connectés à l'ordinateur distant, par conséquent, dans la session RDP, l'ordinateur distant utilise le service de carte à puce de l'ordinateur local. Il s'ensuit que le démarrage du service de carte à puce à l'intérieur d'une session RDP n'est pas suffisant pour un fonctionnement normal.
- Le service de gestion de carte à puce sur l'ordinateur local est en cours d'exécution, mais n'est pas disponible pour le programme dans la session RDP en raison des paramètres du client Windows et/ou RDP. \
Comment corriger l'erreur "Il n'est pas possible de se connecter au service de gestion des cartes à puce."
- Démarrez le service de carte à puce sur l'ordinateur local à partir duquel vous lancez la session d'accès à distance. Configurez-le pour qu'il démarre automatiquement au démarrage de l'ordinateur.
- Autoriser l'utilisation d'appareils et de ressources locaux pendant la session à distance (en particulier, les cartes à puce). Pour cela, dans la boîte de dialogue "Connexion Bureau à distance" dans les paramètres, sélectionnez l'onglet "Ressources locales", puis dans le groupe "Périphériques et ressources locales", cliquez sur le bouton "Plus...", et dans la boîte de dialogue qui s'ouvre, sélectionnez l'élément "Cartes à puce" et cliquez sur OK, puis sur Connecter.
- Assurez-vous que les paramètres de connexion RDP sont enregistrés. Par défaut, elles sont enregistrées dans le fichier Default.rdp du répertoire "Mes Documents". Assurez-vous que ce fichier contient la ligne "redirectsmartcards: i: 1".
- Assurez-vous que la stratégie de groupe n'est pas activée sur l'ordinateur distant auquel vous établissez une connexion RDP
- [Configuration ordinateur \ Modèles d'administration \ Composants Windows \ Services Bureau à distance \ Hôte de session Bureau à distance \ Redirection de périphérique et de ressources \ Ne pas autoriser la redirection de lecteur de carte à puce]. S'il est activé (Activé), désactivez-le et redémarrez l'ordinateur. - Si vous avez installé Windows 7 SP1 ou Windows 2008 R2 SP1 et que vous utilisez RDC 8.1 pour vous connecter à des ordinateurs exécutant Windows 8 et versions ultérieures, vous devez installer une mise à jour pour le système d'exploitation https://support.microsoft.com/en -us/ ko / 2913751
Tel était le dépannage pour la configuration du jeton Jacarta, CryptoPRO sur le serveur de terminal, pour la signature de documents dans VTB24 DBO. Si vous avez des commentaires ou des corrections, écrivez-les dans les commentaires.
Le premier jour
Sur Windows 7 x64, Virtual Box (versions 4 et 5) avec le pack d'extension et CryptoPro CSP (CryptoPro CSP 3.6 R4 pour Windows) ont été installés ensemble.
Lors du lancement d'une machine virtuelle via Virtual Box, le système s'est écrasé sur un écran bleu. La raison en est que CryptoPro CSP et Virtual Box ne peuvent pas fonctionner ensemble.
Pour éviter un écran bleu lors du démarrage d'une machine virtuelle, VirtualBox a supprimé CryptoPro CSP et redémarré l'ordinateur. La solution est temporaire, je n'arrivais pas à comprendre comment rendre les deux produits amis, et VirtualBox était plus nécessaire que CryptoPro.
Aide à contacter VirtualBox + CryptoPro == message BSOD sur le forum :
Il y a aussi une discussion sur le forum Crypto Pro :
Rapports du programme blueScreenView :
Chaîne de vérification de bogue | SYSTEM_SERVICE_EXCEPTION |
Code de vérification des bogues | 0x0000003b |
Paramètre 1 | 00000000`c0000005 |
Paramètre 2 | fffff800`032735af |
Paramètre 3 | fffff880`0412eb90 |
Paramètre 4 | 00000000`00000000 |
Causé par le conducteur | ntoskrnl.exe |
Causé par l'adresse | ntoskrnl.exe + 73c40 |
description du fichier | Noyau et système NT |
Version du fichier | |
Version majeure | 15 |
Version mineure | 7601 |
================
Deuxième jour
J'ai connecté un deuxième moniteur au premier moniteur à l'aide d'un adaptateur VGA USB 3.0. Le modèle de l'appareil est l'adaptateur d'affichage USB Fresco Logic FL200. Si vous connectez l'adaptateur avant d'allumer la machine virtuelle, alors la commande. Et si vous connectez l'adaptateur pendant que la machine virtuelle Virtual Box est en cours d'exécution, vous obtiendrez à nouveau un écran bleu.
Chaîne de vérification de bogue | IRQL_NOT_LESS_OR_EQUAL |
Code de vérification des bogues | 0x0000000a |
Paramètre 1 | 00000000`00000088 |
Paramètre 2 | 00000000`00000002 |
Paramètre 3 | 00000000`00000001 |
Paramètre 4 | fffff800`032579e6 |
Causé par le conducteur | ntoskrnl.exe |
Causé par l'adresse | ntoskrnl.exe + 73c00 |
description du fichier | Noyau et système NT |
Version du fichier | 6.1.7601.19110 (win7sp1_gdr.151230-0600) |
Version majeure | 15 |
Version mineure | 7601 |
Un problème a été détecté et Windows a été arrêté pour éviter d'endommager votre ordinateur. Le problème semble être causé par le fichier suivant : ntoskrnl.exe IRQL_NOT_LESS_OR_EQUAL Informations techniques : *** STOP : 0x0000000a (0x00000000000000088, 0x00000000000000002, 0x000000000000001, 0xfffff800032579e6) *** ntoskrnl.exe - Adresse 0xcrnl.
D'après ce qui peut être vu avant l'erreur, le gestionnaire de périphériques (HAL) signale qu'un nouveau périphérique USB 2.0 est connecté, puis le système se bloque. Le gestionnaire de périphériques est erroné car un périphérique USB 3.0 est connecté à un port USB 3.0.
Peut-être juste une coïncidence, deux BSOD d'affilée. Et la raison du BSOD réside dans la mise en œuvre de pilotes pour l'adaptateur d'affichage USB Fresco Logic FL200.
Mais il y a une hypothèse que la raison des erreurs dans la mise en œuvre du support USB 2.0 / USB 3.0 dans VirtualBox. Et une prise en charge USB spéciale est fournie avec l'installation du pack d'extension Oracle VM VirtualBox.
Je ne voudrais pas désinstaller VirtualBox, parfois c'est nécessaire. Et je peux facilement retirer le pack d'extension. Espérons qu'après la désinstallation de VirtualBox Extension Pack, il n'y aura plus d'écrans bleus. Et il sera possible de réinstaller CryptoPro CSP 3.6 R4 pour Windows et d'utiliser deux moniteurs.
Étape 1. Passage de test (interaction avec le contour de test du SIG GMP) # L'adresse du service de test du SIG GMP :
gisgmp.wsdlLocation = http: //213.59.255.182: 7777/passerelle/services/SID0003663?wsdl
gisgmp.wsdlLocation.endPoint = http: //213.59.255.182: 7777/passerelle/services/SID0003663
Cette adresse est enregistrée dans les paramètres de la joint-venture. De plus, il est nécessaire de s'inscrire dans le fichier des paramètres de journalisation, en précisant la valeur
Après le déchargement, vous devez vérifier l'état à l'aide de l'action "Demander l'état du traitement". Après cela, les détails ED du paiement passent au statut "Accepté par GIS GMP" - ...
Donné: Table MSG (messages) avec de nombreuses entrées.
CREATETABLEmsg (idINTEGERNOTNULLPRIMARYKEY, descriptionCHAR (50) NOTNULL, date_createDATE);
Tâche:
Il faut vider la table de données /
Solution: Il existe plusieurs façons de résoudre ce problème. Vous trouverez ci-dessous une description et un exemple de chacun d'eux.
Le moyen le plus simple ( première option) - exécution de l'opérateur de suppression d'enregistrement. Lorsque vous l'exécutez, vous verrez le résultat (combien d'enregistrements ont été supprimés). Une chose pratique lorsque vous avez besoin de savoir exactement et de comprendre si les bonnes données ont été supprimées. MAIS présente des inconvénients par rapport aux autres options pour résoudre le problème.
DELETE FROMmsg ; - Supprimer toutes les lignes de la table - Supprimer toutes les lignes avec la date de création "2019.02.01" DELETE FROMmsg WHEREdate_create = "2019.02.01" ;
Deuxième option... Utilisation par l'opérateur