Ostatnio przeniosłem serwer terminali (standard Windows 2003 serwer x64) na maszynę wirtualną. Na terminalu księgowi pracowali z VLSI. Certyfikaty dla sbis są przechowywane na dysku flash, nie są przekazywane do maszyny wirtualnej. Buki są zdenerwowane, trzeba coś zrobić:
- Próbowałem utworzyć dysk i skopiować tam certyfikaty, ale crypto nie widzi dysków lokalnych. Bumer 1
- Przeniesiono Sbis na maszynę wirtualną w systemie Windows Server 2012R2, przekazano dysk flash (tryb sesji rozszerzonej). Został zidentyfikowany jako dysk lokalny. Bumer 2
Potem postanowiłem zadzwonić do pomocy technicznej VLSI (na słowo maszyna wirtualna konsultant wpadł w osłupienie i zaczął udzielać dziwnych rad….). U trzeciego konsultanta otrzymałem odpowiedź, że tylko przez rejestr (czego nie chciałem robić). No dobra, zacząłem to robić przez rejestr….
A potem olśniło mnie, jest też możliwość podłączenia dyskietki Eureka))))
Utworzyłem dyskietkę za pomocą HYPER-V MANAGER i upuściłem tam certyfikaty. Otworzyłem crypro pro i upewniłem się, że certyfikaty są widoczne! Wydaje się, że to powinno się skończyć, ale nie ...
Podczas podpisywania lub „wysyłania odbioru” pojawia się błąd, że nie znaleziono prywatnego klucza szyfrowania ... Aby rozwiązać ten problem Przejdź do PANEL STEROWANIA — CSP CryptoPRO — USŁUGA — USUŃ ZAPISANE HASŁA — USUŃ UŻYWANY NOŚNIK WYMIENNY(Sprawdź pudełko). I pojawia się szczęście, ale nie dla wszystkich… Tę procedurę należy powtórzyć dla wszystkich użytkowników, którzy korzystają z crypto pro (czy to z witryn zamówień rządowych, czy z sbis…).
PS: opcja z rejestrem całkiem działa, ale nie chciałem tego robić!
3 komentarze
Zostaję na ESXi 5.5 Windows 2012 R2
warte krypto około 3,9
Dlaczego więc po zamknięciu zamykania, czasami proces zawiesza się w pamięci, nie spotkałeś się z takim problemem?
w takim przypadku możesz ponownie uruchomić zamknięcie i otworzy się ono normalnie, żadne pliki nie zostaną zablokowane przez poprzednią wersję.
Nie rozumiem, o co chodzi, mocno pożera pamięć, jeśli kilka kopii pozostanie uruchomionych.
Dobry dzień!. Ostatnie dwa dni miałem ciekawe zadanie znalezienia rozwiązania takiej sytuacji, jest serwer fizyczny lub wirtualny, na którym prawdopodobnie jest zainstalowany dobrze znany CryptoPRO. Połączono z serwerem który służy do podpisywania dokumentów dla VTB24 DBO... Lokalnie na Windows 10 wszystko działa, ale na platformie serwerowej Windows Server 2016 i 2012 R2, CryptoPro nie widzi klucza JaCarta... Zastanówmy się, na czym polega problem i jak go naprawić.
Opis środowiska
Istnieje maszyna wirtualna na Vmware ESXi 6.5, Windows Server 2012 R2 jest zainstalowany jako system operacyjny. Serwer posiada CryptoPRO 4.0.9944, w tej chwili najnowszą wersję. Klucz sprzętowy JaCarta jest podłączony z sieciowego koncentratora USB za pomocą technologii USB over ip. Klucz w systemie widziany, ale nie w CryptoPRO.
Algorytm rozwiązywania problemów z JaCarta
CryptoPRO bardzo często powoduje różne błędy w systemie Windows, prosty przykład (nie można było uzyskać dostępu do usługi instalatora systemu Windows). Tak wygląda sytuacja, gdy narzędzie CryptoPRO nie widzi certyfikatu w kontenerze.
Jak widać w narzędziu Menedżer UTN, klucz jest podłączony, jest widoczny w systemie na kartach inteligentnych jako urządzenie Microsoft Usbccid (WUDF), ale CryptoPRO nie wykrywa tego kontenera i nie masz możliwości zainstalowania certyfikatu. Token był podłączony lokalnie, wszystko było takie samo. Zaczęli myśleć, co robić.
Możliwe przyczyny z definicją kontenera
- Po pierwsze, jest to problem ze sterownikami, na przykład w Windows Server 2012 R2, JaCarta powinna być idealnie zdefiniowana na liście kart inteligentnych jako JaCarta Usbccid Smartcard, a nie Microsoft Usbccid (WUDF)
- Po drugie, jeśli urządzenie jest widziane jako Microsoft Usbccid (WUDF), to wersja sterownika może być nieaktualna, przez co narzędzia nie wykryją chronionego dysku USB.
- Przestarzała wersja CryptoPRO
Jak rozwiązać problem polegający na tym, że cryptopro nie widzi klucza USB?
Stworzyliśmy nową maszynę wirtualną i zaczęliśmy instalować oprogramowanie po kolei.
Przed zainstalowaniem jakiegokolwiek oprogramowania współpracującego z nośnikiem USB, który zawiera certyfikaty i klucze prywatne. Niezbędny KONIECZNIE wyłącz token, jeśli jest podłączony lokalnie, a następnie wyłącz go, jeśli przez sieć, zakończ sesję
- Przede wszystkim aktualizujemy Twój system operacyjny wszystkimi dostępnymi aktualizacjami, ponieważ Microsoft naprawia wiele błędów i błędów, w tym sterowniki.
- Drugi punkt to, w przypadku serwera fizycznego, zainstalowanie wszystkich najnowszych sterowników na płycie głównej i wszystkich urządzeniach peryferyjnych.
- Następnie zainstaluj ujednoliconego klienta JaCarta.
- Zainstaluj najnowszą wersję CryptoPRO
Instalacja ujednoliconego klienta JaCarta PKI
Pojedynczy klient JaCarta to specjalne narzędzie firmy Aladdin do poprawnej pracy z tokenami JaCarta. Możesz pobrać najnowszą wersję tego oprogramowania z oficjalnej strony internetowej lub z chmury ode mnie, jeśli nagle nie zadziała ze strony producenta.
Następnie rozpakowujesz powstałe archiwum i uruchamiasz plik instalacyjny dla swojej architektury Windows, mam go w wersji 64-bitowej. Zacznijmy instalować sterownik Jacarta. Pojedynczy klient Jacarta jest instalowany w bardzo prosty sposób (PAMIĘTAJ, że token w momencie instalacji musi być wyłączony). W pierwszym oknie kreatora instalacji wystarczy kliknąć Dalej.
Akceptujemy umowę licencyjną i klikamy „Dalej”
Aby sterowniki tokenów JaCarta działały poprawnie, wystarczy wykonać standardową instalację.
Jeśli wybierzesz opcję „Instalacja niestandardowa”, pamiętaj o zaznaczeniu pól:
- Kierowcy JaCarta
- Moduły wsparcia
- Moduł wsparcia dla CryptoPRO
Po kilku sekundach Jacarta Unified Client zostanie pomyślnie zainstalowany.
Pamiętaj, aby ponownie uruchomić serwer lub komputer, aby system mógł zobaczyć najnowsze sterowniki.
Po zainstalowaniu JaCarta PKI, musisz zainstalować CryptoPRO, w tym celu przejdź do oficjalnej strony internetowej.
https://www.cryptopro.ru/downloads
W tej chwili najnowsza wersja CryptoPro CSP to 4.0.9944. Uruchom instalator, pozostaw pole wyboru „Zainstaluj certyfikaty główne” i kliknij „Zainstaluj (zalecane)”
Instalacja CryptoPRO zostanie przeprowadzona w tle, po czym zobaczysz monit o ponowne uruchomienie przeglądarki, ale radzę całkowicie zrestartować.
Po ponownym uruchomieniu podłącz token USB JaCarta. Moje połączenie przechodzi przez sieć, z urządzenia DIGI, poprzez. W kliencie Anywhere View mój dysk Jacarta USB został pomyślnie zidentyfikowany, ale jako Microsoft Usbccid (WUDF) i najlepiej powinien być zidentyfikowany jako JaCarta Usbccid Smartcard, ale musisz to sprawdzić w każdym przypadku, ponieważ wszystko może tak działać.
Po otwarciu narzędzia „Jacarta PKI Single Client” nie znaleziono podłączonego tokena, więc coś jest nie tak ze sterownikami.
Microsoft Usbccid (WUDF) to standardowy sterownik Microsoft, który domyślnie instaluje się na różnych tokenach i zdarza się, że wszystko działa, ale nie zawsze. System operacyjny to domyślnie Windows, pamiętają o swojej architekturze i ustawieniach, osobiście tego w tej chwili nie potrzebuję. Musimy odinstalować sterowniki Microsoft Usbccid (WUDF) i zainstalować sterowniki nośników Jacarta.
Otwórz Menedżera urządzeń Windows, zlokalizuj czytniki kart inteligentnych, kliknij Microsoft Usbccid (WUDF) i wybierz Właściwości. Przejdź do zakładki „Sterowniki” i kliknij Odinstaluj
Zgadzam się na odinstalowanie sterownika Microsoft Usbccid (WUDF).
Zostaniesz powiadomiony, że aby zmiany zaczęły obowiązywać, wymagane jest ponowne uruchomienie systemu, na pewno się zgodzimy.
Po ponownym uruchomieniu systemu widać instalację urządzenia i sterowników ARDS Jacarta.
Otwórz menedżera urządzeń, powinieneś zobaczyć, że teraz twoje urządzenie jest zdefiniowane jako JaCarta Usbccid Smartcar i jeśli wejdziesz do jego właściwości, zobaczysz, że karta inteligentna jacarta używa teraz sterownika w wersji 6.1.7601 od ALADDIN RDZAO, więc powinno być ...
Jeśli otworzysz jednego klienta Jacarta, zobaczysz swój podpis elektroniczny, co oznacza, że karta inteligentna została wykryta normalnie.
Otwieramy CryptoPRO i widzimy, że cryptopro nie widzi certyfikatu w kontenerze, chociaż wszystkie sterowniki zostały zidentyfikowane jako potrzebne. Jest jeszcze jedna funkcja.
- W sesji RDP nie zobaczysz swojego tokena, tylko lokalnie, tak działa token, lub nie znalazłem jak to naprawić. Możesz wypróbować zalecenia, aby rozwiązać błąd „Nie można połączyć się z usługą zarządzania kartami inteligentnymi”.
- Musisz usunąć jedno pole wyboru w CryptoPRO
ZAWSZE odznacz „Nie używaj przestarzałych zestawów szyfrów” i restart.
Po tych manipulacjach CryptoPRO zobaczył dla mnie certyfikat i karta inteligentna jacarta zaczęła działać, możesz podpisywać dokumenty.
Możesz także zobaczyć swoje urządzenie JaCarta w urządzeniach i drukarkach,
Jeśli tak jak ja masz zainstalowany token jacarta na maszynie wirtualnej, to będziesz musiał zainstalować certyfikat poprzez konsolę maszyny wirtualnej, a także nadać do niego uprawnienia osobie odpowiedzialnej. Jeśli jest to serwer fizyczny, to tam będziesz musiał nadać uprawnienia do portu zarządzania, który ma również konsolę wirtualną.
Po zainstalowaniu wszystkich sterowników tokenów Jacarta podczas łączenia za pośrednictwem protokołu RDP i otwierania narzędzia „Jacarta PKI Single Client” można zobaczyć następujący komunikat o błędzie:
- Usługa kart inteligentnych nie jest uruchomiona na komputerze lokalnym. Architektura sesji RDP, opracowana przez Microsoft, nie przewiduje użycia kluczowych nośników podłączonych do zdalnego komputera, dlatego w sesji RDP komputer zdalny korzysta z usługi kart inteligentnych komputera lokalnego. Z tego wynika, że uruchomienie usługi kart inteligentnych w sesji RDP nie wystarcza do normalnego działania.
- Usługa zarządzania kartami inteligentnymi na komputerze lokalnym jest uruchomiona, ale nie jest dostępna dla programu w sesji RDP ze względu na ustawienia klienta systemu Windows i/lub RDP. \
Jak naprawić błąd „Nie można połączyć się z usługą zarządzania kartami inteligentnymi”.
- Uruchom usługę kart inteligentnych na komputerze lokalnym, z którego zainicjujesz sesję dostępu zdalnego. Skonfiguruj go tak, aby uruchamiał się automatycznie przy starcie komputera.
- Zezwalaj na korzystanie z lokalnych urządzeń i zasobów podczas sesji zdalnej (w szczególności kart inteligentnych). Aby to zrobić, w oknie dialogowym „Podłączenie pulpitu zdalnego” w parametrach wybierz zakładkę „Zasoby lokalne”, a następnie w grupie „Urządzenia i zasoby lokalne” kliknij przycisk „Więcej ...” i w oknie dialogowym otworzy się, wybierz element „Karty inteligentne” i kliknij OK, a następnie Połącz.
- Upewnij się, że ustawienia połączenia RDP zostały zapisane. Domyślnie są one zapisywane w pliku Default.rdp w katalogu „Moje dokumenty". Upewnij się, że plik ten zawiera wiersz „redirectsmartcards: i: 1".
- Upewnij się, że zasady grupy nie są aktywowane na zdalnym komputerze, z którym nawiązujesz połączenie RDP
- [Konfiguracja komputera \ Szablony administracyjne \ Składniki systemu Windows \ Usługi pulpitu zdalnego \ Host sesji usług pulpitu zdalnego \ Przekierowanie urządzenia i zasobów \ Nie zezwalaj na przekierowanie czytnika kart inteligentnych]. Jeśli jest włączony (Włączony), wyłącz go i uruchom ponownie komputer. - Jeśli masz zainstalowany system Windows 7 SP1 lub Windows 2008 R2 SP1 i używasz usługi RDC 8.1 do łączenia się z komputerami z systemem Windows 8 lub nowszym, musisz zainstalować aktualizację systemu operacyjnego https://support.microsoft.com/en -us/ kb / 2913751
Takie było rozwiązywanie problemów związanych z konfiguracją tokena Jacarta, CryptoPRO na serwerze terminalowym, do podpisywania dokumentów w VTB24 DBO. Jeśli masz jakieś uwagi lub poprawki, napisz je w komentarzach.
Pierwszy dzień
W systemie Windows 7 x64 Virtual Box (wersje 4 i 5) z dodatkiem Extension Pack i CryptoPro CSP (CryptoPro CSP 3.6 R4 for Windows) zostały zainstalowane razem.
Podczas uruchamiania maszyny wirtualnej za pośrednictwem Virtual Box system uległ awarii i wyświetlał niebieski ekran. Powodem jest to, że CryptoPro CSP i Virtual Box nie mogą ze sobą współpracować.
Aby uniknąć niebieskiego ekranu podczas uruchamiania maszyny wirtualnej, VirtualBox usunął CSP CryptoPro i ponownie uruchomił komputer. Rozwiązanie jest tymczasowe, nie mogłem wymyślić, jak zaprzyjaźnić się z dwoma produktami, a VirtualBox był bardziej potrzebny niż CryptoPro.
Pomógł skontaktować się z VirtualBox + CryptoPro == Wiadomość BSOD na forum:
Jest też dyskusja na forum Crypto Pro:
Raporty z programu blueScreenView:
Ciąg sprawdzania błędów | SYSTEM_SERVICE_EXCEPTION |
Kod sprawdzania błędów | 0x0000003b |
Parametr 1 | 00000000`c0000005 |
Parametr 2 | fffff800`032735af |
Parametr 3 | fffff880`0412eb90 |
Parametr 4 | 00000000`00000000 |
Spowodowane przez kierowcę | ntoskrnl.exe |
Spowodowane przez adres | ntoskrnl.exe + 73c40 |
Opis pliku | Jądro i system NT |
Wersja pliku | |
Wersja główna | 15 |
Wersja pomocnicza | 7601 |
================
Drugi dzień
Podłączyłem drugi monitor do pierwszego monitora za pomocą przejściówki USB 3.0 VGA. Model urządzenia to Fresco Logic FL200 USB Display Adapter. Jeśli adapter podłączysz przed włączeniem maszyny wirtualnej, to kolejność. A jeśli podłączysz adapter, gdy maszyna wirtualna Virtual Box jest uruchomiona, ponownie pojawi się niebieski ekran.
Ciąg sprawdzania błędów | IRQL_NOT_LESS_OR_EQUAL |
Kod sprawdzania błędów | 0x0000000a |
Parametr 1 | 00000000`00000088 |
Parametr 2 | 00000000`00000002 |
Parametr 3 | 00000000`00000001 |
Parametr 4 | fffff800`032579e6 |
Spowodowane przez kierowcę | ntoskrnl.exe |
Spowodowane przez adres | ntoskrnl.exe + 73c00 |
Opis pliku | Jądro i system NT |
Wersja pliku | 6.1.7601.19110 (win7sp1_gdr.151230-0600) |
Wersja główna | 15 |
Wersja pomocnicza | 7601 |
Wykryto problem i system Windows został zamknięty, aby zapobiec uszkodzeniu komputera. Problem wydaje się być spowodowany przez następujący plik: ntoskrnl.exe IRQL_NOT_LESS_OR_EQUAL Informacje techniczne: *** STOP: 0x0000000a (0x0000000000000088, 0x0000000000000002, 0x0000000000000001, 0xfffff800032579e6) *** ntoskrnl.rexe - Adres. 0x
Z tego, co widać przed błędem, Menedżer urządzeń (HAL) zgłasza, że jest podłączone nowe urządzenie USB 2.0, a następnie system ulega awarii. Menedżer urządzeń jest nieprawidłowy, ponieważ urządzenie USB 3.0 jest podłączone do portu USB 3.0.
Być może to tylko zbieg okoliczności, dwa BSODy z rzędu. A powodem BSOD jest implementacja sterowników do adaptera wyświetlacza USB Fresco Logic FL200.
Istnieje jednak założenie, że przyczyną błędów w implementacji obsługi USB 2.0/USB 3.0 w VirtualBox. Specjalna obsługa USB jest dostępna wraz z instalacją pakietu Oracle VM VirtualBox Extension Pack.
Nie chciałbym odinstalować VirtualBox, czasami jest to konieczne. I mogę łatwo usunąć pakiet rozszerzeń. Mamy nadzieję, że po odinstalowaniu pakietu VirtualBox Extension Pack nie będzie już niebieskich ekranów. I będzie można ponownie zainstalować CryptoPro CSP 3.6 R4 dla Windows i używać dwóch monitorów.
Scena 1. Przejście testu (interakcja z konturem testu GIS GMP) # Adres usługi testowej GIS GMP:
gisgmp.wsdlLocation = http:///213.59.255.182:7777/brama/usługi/SID0003663?wsdl
gisgmp.wsdlLocation.endPoint = http: //213.59.255.182: 7777 / brama / usługi / SID0003663
Adres ten jest zarejestrowany w ustawieniach spółki joint venture, dodatkowo wymagana jest rejestracja w pliku ustawień logowania z podaniem wartości
Po rozładowaniu należy sprawdzić status za pomocą akcji „Zażądaj statusu przetwarzania”. Następnie ED Szczegóły wpłaty przechodzi do statusu „Akceptowane przez GIS GMP” - ...
Dany: Tabela MSG (wiadomości) z wieloma wpisami.
CREATETABLEmsg (idINTEGERNOTNULLPRIMARYKEY, descriptionCHAR (50) NOTNULL, date_createDATE);
Zadanie:
Konieczne jest wyczyszczenie tabeli danych /
Rozwiązanie: Istnieje kilka sposobów rozwiązania tego problemu. Poniżej znajduje się opis i przykład każdego z nich.
Najłatwiejszy sposób ( pierwsza opcja) - wykonanie operatora usuwania rekordu. Po jego wykonaniu zobaczysz wynik (ile rekordów zostało usuniętych). Przydatna rzecz, gdy musisz dokładnie wiedzieć i zrozumieć, czy usunięto prawidłowe dane. ALE ma wady w stosunku do innych opcji rozwiązania problemu.
DELETE FROMmsg; - Usuń wszystkie wiersze w tabeli - Usuń wszystkie wiersze z datą utworzenia „2019.02.01” DELETE FROMmsg WHEREdate_create = "2019.02.01";
Druga opcja... Użycie operatora