Меню

Ошибка создания контейнера uid ключей

Форум КриптоПро
 » 
Устаревшие продукты
 » 
КриптоПро CSP 3.6
 » 
Ошибка при создании контейнера закрытого ключа


Offline

meremin

 


#1
Оставлено
:

9 апреля 2014 г. 10:42:17(UTC)

meremin

Статус: Новичок

Группы: Участники

Зарегистрирован: 07.04.2014(UTC)
Сообщений: 9
Российская Федерация
Откуда: Москва

Windows 7 x64

Комплект JC-Mobile

Установлен CryptoPro CSP 3.6 R3, модуль поддержки счит.устройств от Aladdin.
Карта JACARTA GOST подключена к ПК через карт-ридер http://www.aladdin-rd.ru…apple_dock/specification через MicroUSB из комплекта.

Через утилиту администрирования JaCarta Gost:
Серийный номер: 0B53000123607618
Версия апплета: 1.6.7
Доступно памяти: 21590 Байт
ПИН-код пользователя: установлен
Длина ПИН-кода: [6..32]
Неверный ПИН-код (общее число попыток): 10
Ошибки ввода ПИН-кода пользователя: 0
Ошибки ввода ПИН-кода администратора: 0
Количество ключей: 0
Количество объектов: 0


Пытаюсь создать контейнер с привватным ключем на карте командой «C:Program
FilesCrypto ProCSPcsptest.exe» -keyset -newke
yset -cont «test2» -machinekeyset. Карта перед этим инициализирована

1. Устройство и карта успешно определяется.
2. После генерируется ключ
3. Далее просит ввести пин для создания нового контейнера

после чего ошибка в консоле Error number 0x8010006c (2148532332).
Нет доступа к карте. Число попыток ввести правильный PIN-код исчерпано.

В утилите администрирования ошибок ввода пина — 0.

В чем может быть проблема?

C:windowssystem32>»C:Program FilesCrypto ProCSPcsptest.exe» -keyset -newke
yset -cont «test2» -machinekeyset
CSP (Type:75) v3.6.5364 KC1 Release Ver:3.6.7491 OS:Windows CPU:AMD64 FastCode:R
EADY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 2890240
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provid
er
Container name: «test2»
Signature key is not available.
Attempting to create a signature key…
An error occurred in running the program.
.ctkey.c:1889:GenKey()
Error number 0x8010006c (2148532332).
Нет доступа к карте. Число попыток ввести правильный PIN-код исчерпано.

Total: SYS: 0,250 sec USR: 0,187 sec UTC: 20,500 sec
[ErrorCode: 0x8010006c]

Тоже самое и на тестовом УЦ (прилагаю скрин с шагами)

UserPostedImage

Вложение(я):

msinfo.zip (139kb) загружен 1 раз(а).

Пользователь meremin прикрепил следующие файлы:

scr.png (169kb) загружен 8 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.


Вверх


Offline

Максим Коллегин

 


#2
Оставлено
:

9 апреля 2014 г. 11:04:41(UTC)

Максим Коллегин

Статус: Сотрудник

Группы: Администраторы

Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,253
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 21 раз
Поблагодарили: 658 раз в 582 постах

Обратитесь в Аладдин, скорее всего ошибка в модуле поддержки.

Знания в базе знаний, поддержка в техподдержке


Вверх

WWW

Пользователи, просматривающие эту тему

Guest

Форум КриптоПро
 » 
Устаревшие продукты
 » 
КриптоПро CSP 3.6
 » 
Ошибка при создании контейнера закрытого ключа

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

На чтение 15 мин. Просмотров 139 Опубликовано 09.11.2022

07 июнь 2018 12:23 – 07 июнь 2018 12:28 #7546
от Alex_04

two_oceans пишет: ничего не мешает убрать “веселые картинки” самим

Если за компом – толковый сисадмин, а не рядовые pressanykey-щики, коих подавляющее большинство. Не знаю как в других регионах, но в сельсоветах нашего фактически 1 главбух = “узкий специалист широкого профиля” (с): и жнец, и спец, и вообще …дец. :( Сисадминов там вообще не было никогда, нет и не будет наверняка. Так что этот вариант – совсем не вариант, к сожалению.



Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Причина:

Данная ошибка (0х80090020) возникает, если приложение ITCOM запущено не от имени администратора.

Решение:

  • Требуется открыть диспетчер задач, для этого нажмите правой кнопкой мыши на панель задач

0x80090022 криптопро и "Ошибка создания ключевой пары (0X819020)

  • Найти процесс отвечающий за приложение ITCOM (Рисунок 1), выбрать его и нажать «снять задачу»

0x80090022 криптопро и "Ошибка создания ключевой пары (0X819020)

Рис 1.
  • Открыть Мой компьютер/Этот компьютер, выбрать диск «С»

0x80090022 криптопро и "Ошибка создания ключевой пары (0X819020)

  • Зайти на диск «С», папку «ITCOM» и запустить приложение crmagent.exe от имени администратора (Рисунок 2)

0x80090022 криптопро и "Ошибка создания ключевой пары (0X819020)0x80090022 криптопро и "Ошибка создания ключевой пары (0X819020)

рис. 2

  • После проделанных действий провести генерацию повторно.

Остались вопросы? Как мы можем помочь?

/Внутренняя ошибка (CSP). (0x80090020)

Внутренняя ошибка (CSP). (0x80090020)

Текст ошибки:

Произошла ошибка при шифровании сообщения 

Произошла ошибка при открытии сообщения для кодирования

Внутренняя ошибка (CSP). (0x80090020)

Как выглядит ошибка:

внутренняя ошибка.png

Решение

Чаще всего проблема возникает из-за конфликта криптопровайдеров КриптоПро CSP и VipNet CSP. При наличии двух этих криптопровайдеров на одном рабочем месте необходимо в настройках VipNet CSP во вкладке “Дополнительно” отключить настройку “Поддержка работы ViPNet CSP через Microsoft CryptoAPI”. После изменения компьютер перезагрузится. Ошибка будет исправлена. 

Если конфликтующего криптопровайдера не установлено и используется только КриптоПро CSP, то выполните восстановление настроек реестра утилитой.

Если предложенные действия не помогли, напишите нам на support@trusted.ru.

Ошибка 0х8007065B или «Ошибка исполнения функции» может возникать при работе с сертификатом на торговых площадках или информационных системах из-за отсутствия лицензии на программу Крипто Про CSP.

Ошибка 0x8007065B

  1. Если Ваш сертификат без встроенной лицензии:

Убедитесь, что лицензия на КриптоПро CSP введена и действует.

Для этого найдите «КриптоПро CSP» в программах в меню «Пуск». Во вкладке «Общие» будет указан «Срок действия».

КриптоПро истекла лицензия

Если лицензия «Истекла» и у Вас есть бланк с актуальной лицензией, введите серийный номер из бланка нажав на кнопку «Ввод лицензии». Подробнее — Как ввести лицензию КриптоПро CSP.

Если лицензии на КриптоПро CSP у Вас нет, Вы можете приобрести её у нас. Для этого позвоните по бесплатному номеру 8 (800) 550-87-19 доб. 2500.

2. Если ваш сертификат со встроенной лицензией:

Убедитесь, что используется КриптоПро не ниже версии 4.0 и сертификат электронной подписи установлен.

В сертификате есть встроенная лицензия, если в открытом ключе сертификата на вкладке «Состав» присутствует поле «Ограниченная лицензия Крипто-Про».

КриптоПро встроенная лицензия

Остались вопросы? Как мы можем помочь?

  1. Если ваш криптопровайдер КриптоПро CSP и выходит данная ошибка, вам требуется: перезапустить приложение Айтиком и Настройте ДСЧ в КриптоПро CSP

Решение:

    0x80090022 криптопро и "Ошибка создания ключевой пары (0X819020)

    Рис.1

    • Затем заходите в программу КриптоПро CSP. (Рисунок 2)

    0x80090022 криптопро и "Ошибка создания ключевой пары (0X819020)

    Рис.2

    • После открытия приложения нажимаем «Запустить с правами администратора» (Рисунок 3)

    0x80090022 криптопро и "Ошибка создания ключевой пары (0X819020)

    Рис.3

    • Затем входим во вкладку оборудование и выбираем пункт «Настроить ДСЧ…» (Рисунок 4)

    0x80090022 криптопро и "Ошибка создания ключевой пары (0X819020)

    Рис. 4

      0x80090022 криптопро и "Ошибка создания ключевой пары (0X819020)

      Рис. 5

      0x80090022 криптопро и "Ошибка создания ключевой пары (0X819020)

      Рис. 6

      • После выполненных действий заходим на Диск (с) в папку ITCOM и запускаем от имени администратора приложение crm-agent (Рис.7)

      0x80090022 криптопро и "Ошибка создания ключевой пары (0X819020)

      Рис. 7

      2. Если ваш криптопровайдер VipNet CSP и выходит данная ошибка, вам требуется: открыть панель управления ->Программы и компоненты -> Удаление программ -> выбрать программу «VipNet CSP» и нажать «Изменить» в новом окне выбрать «Восстановить»

      0x80090022 криптопро и "Ошибка создания ключевой пары (0X819020)

      после восстановления перезагрузите приложение Айтиком:

        0x80090022 криптопро и "Ошибка создания ключевой пары (0X819020)

        • После выполненных действий заходим на Диск (с) в папку ITCOM и запускаем от имени администратора приложение crm-agent

        0x80090022 криптопро и "Ошибка создания ключевой пары (0X819020)

        После выполненных действий повторяем действия генерации по ссылке из письма

        Остались вопросы? Как мы можем помочь?

        Отказано в доступе. (0x80090010)

        Текст ошибки:

        Ошибка сохранения сообщения (0x80004005)

        Ошибка сохранения сообщения (0x80004005)

        Произошла ошибка при создании подписи

        Произошла ошибка при определении размера закодированного сообщения

        Отказано в доступе. (0x80090010)

        Как выглядит ошибка:

        Screenshot_2.jpg

        Решение

        Переустановите ваш сертификат через КриптоПро CSP так: Перейдите на  вкладку Сервис, далее Просмотреть сертификаты в контейнере, затем Обзор, выберите контейнер и нажмите Установить.

        Если переустановка не поможет, то проверьте контейнер ключа при помощи кнопки Протестировать на той же вкладке. Если в результате тестирования возникнет ошибка “Использование ключа обмена запрещено. Срок действия закрытого ключа истек. Срок действия закрытого ключа не может превышать 3 года для неизвлекаемых ключей, хранящихся на ФКН и на HSM, и 1 год 3 месяца для прочих ключей”, то подписать этим сертификатом вам не удастся, нужно получить новый сертификат.

        Также вероятная причина ошибки это ограничение прав доступа к ресурсу, на котором находится ключевой контейнер. Например в следующей статье описана похожая ошибка на серверной Windows, где причиной было ограничение прав пользователя к флешке на которой находился ключевой контейнер.

        Также возможно ограничение прав на ветку реестра с контейнером, так как понадобятся не только права чтения, но и права записи.

        Ключи носителя “реестр” КриптоПро CSP хранит в следующей ветке реестра:

        HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsUsers<SID пользователя>Keys

        Пользователю в разрешениях (доступно из контекстного меню для ветки реестра) должен быть предоставлен полный доступ (начиная с раздела ).

        Если не получается исправить эту ошибку добавлением прав пользователя для носителя контейнера, то с этим вопросом стоит обратиться в техподдержку компании КриптоПРО.

        Указан неправильный алгоритм (0x80090008)

        Текст ошибки

        Ошибка сохранения сообщения (0x80004005)

        Ошибка сохранения сообщения (0x80004005)

        Произошла ошибка при сохранении данных

        Ошибка загрузки данных

        Произошла ошибка при добавлении данных в сообщение

        Указан неправильный алгоритм. (0x80090008)

        Как выглядит ошибка:

        2022-05-06_12-58-50.png

        Решение

        В большинстве случаев ошибка Указан неправильный алгоритм (0x80090008) решается переустановкой сертификата подписи. Переустановить сертификат можно несколькими способами:

        1. В программе КриптоАРМ так, как показано в видео инструкции.

        2. В личном хранилище сертификатов КриптоАРМа найдите ваш сертификат, выделите нажав на него курсором мыши. Нажмите на кнопку Экспорт, в открывшемся окне мастера нажмите Далее, в следующем окне обязательно укажите НЕТ НЕ ЭКСПОРТИРОВАТЬ ЗАКРЫТЫЙ КЛЮЧ, в мастере экспорта выберите кодировку DER, нажав кнопку Обзор поместите его на рабочий стол под любым именем. Удалять сертификат из личного хранилища при этом не нужно. Затем снова импортируйте его в личное хранилище, используя кнопку Импорт на панели инструментов, в мастере импорта сертификатов установите чекбоксы Установить личный сертификат и Поместить сертификат в контейнер. Далее понадобится выбрать криптопровайдер и контейнер вручную. После успешного импорта сертификата повторите подписание.

        3.Также переустановку сертификата можно выполнить через КриптоПро CSP. Для этого откройте программу КриптоПро CSP и перейдите во вкладку Сервис. Затем нажмите на кнопки Просмотреть сертификаты в контейнере и Обзор. Выберите нужный контейнер и нажмите кнопку Ok, а после Установить. Снова повторите подписание.

        После выполненных переустановок сертификата, если ошибка возникнет снова, войдите в КриптоАРМ в меню Профили, далее Управление профилями, откройте профиль по умолчанию (он помечен зеленой галочкой в списке), перейдите на вкладку Общие. Здесь в поле Владелец сертификата добавьте этот сертификат, нажмите Применить и ОК. После этого повторите подписание.

        08 июль 2019 07:38 #12819
        от AGVolk

        При попытке подисать в ЭБ сильно тупит Jinn
        В итоге обычно подписывает, но уже 2 раз при подписании зависает, после чего просит обновить сессию и уже не заходит в ЭБ
        Крипта при тестировании выдает картинку:


        Проверка завершилась с ошибкой
        Контейнер закрытого ключа пользователя
        имя Кожевникова Елена Максимовна 327065047
        уникальное имя SCARDETOKEN_PRO_54A44A052F27CC0032AC
        FQCN \.AKS ifdh 0Кожевникова Елена Максимовна 327065047
        проверка целостности контейнера успешно
        Ключ обмена доступен
        длина ключа 512 бит
        экспорт открытого ключа успешно
        вычисление открытого ключа Ошибка 0x80090003: Плохой ключ.
        Ключ подписи отсутствует
        загрузка ключей Ошибка 0x8009000A: Указан неправильный тип.
        Версия контейнера 2
        Расширения контейнера
        некритическое Расширение контейнера КриптоПро CSP. Срок действия ключа обмена
        действителен по 27 июня 2020 г. 6:51:49


        Подлежит ли ключ восстановлению?

        PS есть и второй компьютер, там джин просто не видит сертификаты на токенах, длинна названия организации 77 символов. Раньше через один комп хотя бы подписывали, но если он и дальше будет портить ключи…

        Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

        08 июль 2019 09:03 #12820
        от Gvinpin

        AGVolk пишет: Крипта при тестировании выдает картинку:


        Проверка завершилась с ошибкой …


        Подлежит ли ключ восстановлению?

        Не написано, что экспорт ключа запрещен, вероятно, ключ экспортируемый. Попробуйте скопировать контейнер на флешку и проверить подписание с флешки.


        ______________________________
        Как получилось, так и хотели (c)

        Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

        08 июль 2019 09:51 – 08 июль 2019 10:05 #12822
        от Wmffre

        1. Удалите КриптоПро CSP
        2. Очистите от следов установки Криптопро утилитой
          cspclean.exe
        3. Перезагрузитесь
        4. Установите версию КриптоПро CSP 4.0.9944 (если Windows 7SP1), КриптоПро CSP 4.0.9969 (если Windows 10, скачав с сайта КриптоПро).
        5. После этого тестируйте контейнер через Криптопро CSP.

        Это другая проблема другого компьютера. Посмотрите
        это сообщение
        .

        Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

        09 июль 2019 01:54 #12824
        от AGVolk

        При копировании: Ошибка 0x80090003: Плохой ключ

        Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

        09 июль 2019 02:12 #12825
        от AGVolk

        1) по поводу крипты и не только:
        У меня с десяток машин с криптой, которые стабильно работают со своими подписями с сбис, крипто арм и просто сайтами через плагины. При проверке контейнера на них итогом тоже самое сообщение о плохом ключе. И вобще все эти чрезвычайно доставляющие ситуации возникают только на машинах для ЭБ и СУФД с джином и континентом тлс, за что так и хочется сказать спасибо тем кто напридумывал такие схемы для работы ЭБ.
        Сертификат на токене читается нормально и нормально устанавливается. Целостность контейнера тоже вроде как в норме. Какая в итоге проблема с ключом не понятно. Я грешу на порты, так как машина старая и была взята со склада меньше месяца назад, и данная проблема только на ней.
        2) Насчет другой машины: етокены она видит, не видит сертификаты. Причем началось это недели 2 назад до этого все работало.
        Я собираюсь снести на ней крипту, тлс и джин и установить по новой. Что из этого выйдет напишу.

        Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

        09 июль 2019 02:56 – 09 июль 2019 03:00 #12826
        от Wmffre

        AGVolk пишет: При копировании: Ошибка 0x80090003: Плохой ключ

        Вот в таких случаях сначала переустанавливают КриптоПро CSP, обязательно воспользовавшись утилитой cspclean.exe В этом случае Вы будете уверены, что после установки КриптоПро CSP уже точно исправное.

        После этого необходимо создать контейнер без установленного сертификата пользователя внутри – смотрите
        инструкцию
        (только дату переводить не надо).
        Обратите внимание! При установке сертификата пользователя через КриптоПро CSP обязательно

        убирайте галочку

        “Установить сертификат в контейнер”. При подписании через Jinn-client сертификат пользователя не будет на флешке/токене, его надо будет выбирать в “Сертификаты”.

        Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

        09 июль 2019 06:29 #12827
        от AGVolk

        Крипту переустановил винда 7, версия 4.0.9963. Контейнер оказался защищен от копирования, как и остальные казначейские (раньше не интересовался, сейчас проверил). Тестирование выдает все тоже самое.

        На другом компе удалил джин, тлс и хс. Поставил джин, потом тлс, удалил екстендет, поставил хс. Джин начал видеть сертификаты на токенах.
        Прикол в том, что обычно этого хватает на 3-4 недели, потом приходится повторять.

        Обратите внимание! При установке сертификата пользователя через КриптоПро CSP обязательно убирайте галочку “Установить сертификат в контейнер”. При подписании через Jinn-client сертификат пользователя не будет на флешке/токене, его надо будет выбирать в “Сертификаты”.

        Пробовал я в свое время не писать сертификаты на токен, а тянуть их так, безрезультатно.

        Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

        09 июль 2019 07:06 – 09 июль 2019 11:09 #12828
        от Wmffre

        AGVolk пишет: Пробовал я в свое время не писать сертификаты на токен, а тянуть их так, безрезультатно.

        Если хотя бы один раз сертификат пользователя был установлен в контейнер, то потом он всегда будет внутри контейнера. Поэтому безрезультатно.

        Проблема у Вас с контейнером – проверить это очень просто: на чистом компьютере устанавливаете КриптоПро CSP (все другие программы не устанавливаете), вставляете етокен и нажимаете кнопку “Протестировать”. Если ошибка есть, то проблема в контейнере закрытого ключа.

        Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

        12 июль 2019 12:57 #12893
        от Alex_04

        Wmffre пишет: Обратите внимание! При установке сертификата пользователя через КриптоПро CSP обязательно убирайте галочку “Установить сертификат в контейнер”. При подписании через Jinn-client сертификат пользователя не будет на флешке/токене, его надо будет выбирать в “Сертификаты”.

        Или я чего-то пропустил (не получалось в последние месяцы тщательно следить за сообщениями на этом прекрасном форуме), или почему? Связано с особенностями национального госта-2012 для ЭП и “подстроенных” под него СКЗИ?



        Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

        12 июль 2019 13:19 #12894
        от Wmffre

        Wmffre пишет: Обратите внимание! При установке сертификата пользователя через КриптоПро CSP обязательно убирайте галочку “Установить сертификат в контейнер”. При подписании через Jinn-client сертификат пользователя не будет на флешке/токене, его надо будет выбирать в “Сертификаты”.

        Или я чего-то пропустил (не получалось в последние месяцы тщательно следить за сообщениями на этом прекрасном форуме), или почему? Связано с особенностями национального госта-2012 для ЭП и “подстроенных” под него СКЗИ?

        На основании личного опыта
        , которое написал в этом сообщении
        :

        Wmffre пишет: Единственное, что могу сказать почти наверняка – во всех этих случаях, как тогда, так и сейчас, эти редкие проблемы возникали только у тех, у кого сертификат пользователя был установлен в контейнер закрытого ключа.

        А также на основе следующего соображения: так как контейнер закрытого ключа с сертификатом пользователя внутри – это более сложная структура по сравнению с контейнером без сертификата, то потенциально может быть больше проблем в первом случае.

        Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

        12 июль 2019 15:55 – 12 июль 2019 16:03 #12895
        от Alex_04

        Wmffre пишет: Обратите внимание! При установке сертификата пользователя через КриптоПро CSP обязательно убирайте галочку “Установить сертификат в контейнер”. При подписании через Jinn-client сертификат пользователя не будет на флешке/токене, его надо будет выбирать в “Сертификаты”.

        Или я чего-то пропустил (не получалось в последние месяцы тщательно следить за сообщениями на этом прекрасном форуме), или почему? Связано с особенностями национального госта-2012 для ЭП и “подстроенных” под него СКЗИ?

        На основании личного опыта…

        А как же быть с этим в том самом сообщении:

        Wmffre пишет: Jinn-client видит сертификаты пользователей, установленные в контейнеры.

        Приведенная далее ситуация

        Он перестаёт видеть их после установки XC/eXtended Container только в том случае, если длина организации больше 127 символов.

        – это исключение из правила, ибо, как Вы правильно заметили, “все эти случаи очень редки.” Поэтому с дальнейшим вполне соглашусь, что

        эти редкие проблемы возникали только у тех, у кого сертификат пользователя был установлен в контейнер закрытого ключа.

        Но всё с той же оговоркой: в редких случаях, а не у всех поголовно.

        Да с переходм на серты по ГОСТ-2012 вся работа в ЭБ и само ПО СКЗИ под него стали потенциально опасными для здоровья, особенно психического!



        Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

        16 июль 2019 12:51 #12930
        от gurazor

        AGVolk пишет: При копировании: Ошибка 0x80090003: Плохой ключ

        При установке сертификата еще ругается на неправильный тип?

        Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

        16 авг 2019 07:35 – 16 авг 2019 07:37 #13257
        от ЭфДиЭй

        Столкнулись с такой же проблемой, сначала очень долго подписывались документы в ЭБ, обновили страницу, выкинуло из системы, при входе окошко с бесконечным выбором сертификата, затем появилась ошибка подписи в СУФД, при попытке скопировать ЭП с токена, КриптоПРО (Win10, 4.0.9963) выдало ошибку:
        Ошибка копирования контейнера \.Aladdin Token JC 0 СУФД 30.04.20:
        Ошибка 0x80090003: Плохой ключ.

        Результат тестирования:
        Проверка завершилась с ошибкой:
        Контейнер закрытого ключа пользователя
        имя СУФД 30.04.20
        уникальное имя SCARDETOKEN_JAVA_00a0a625CC00F8B3
        FQCN \.Aladdin Token JC 030.04.20
        проверка целостности контейнера успешно
        Ключ обмена доступен
        длина ключа 512 бит
        экспорт открытого ключа успешно
        вычисление открытого ключа Ошибка 0x80090003: Плохой ключ.
        Ключ подписи отсутствует
        загрузка ключей Ошибка 0x8009000A: Указан неправильный тип.
        Версия контейнера 2
        Расширения контейнера
        некритическое Расширение контейнера КриптоПро CSP. Срок действия ключа обмена
        действителен по 18 апреля 2020 г. 22:30:22

        Экспортировать pfx файл не получается:
        Мастер экспорта сертификатов
        Произошла ошибка при экспорте закрытого ключа. Экспорт этого закрытого ключа невозможен.

        Что-то можно ещё сделать или только перевыпуск?

        Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

        16 авг 2019 15:20 – 16 авг 2019 15:24 #13267
        от Wmffre

        ЭфДиЭй пишет: Что-то можно ещё сделать или только перевыпуск?

        Удалите установленное Криптопро CSP 4.0.9963, затем запустите командную строку по правой кнопке мыши, выбрав “Запуск от имени администратора”. В командной строке запустите
        cspclean.exe

        . Затем перезагрузите компьютер и установите более новую версию Криптопро CSP 4.0.9969 (несертифицированная, чтобы скачать необходимо зарегистрироваться на сайте Криптопро) или же туже самую версию Криптопро CSP 4.0.9963 (сертифицированная). После попробуйте экспортировать контейнер закрытого ключа с сертификатом
        в файл pfx

        . Теперь экспорт должен пройти без ошибок.

        При установке сертификата пользователя через Криптопро всегда убирайте галочку “Установить сертификат в контейнер”, также в конце etoken PKI Client также будет предлагать установить сертификат в контейнер – нажимайте кнопку “Cancel” на это предложение. Тогда в Электронном бюджете сертификат пользователя выбирайте не на носителе (так как на нём его не будет), а из “Сертификаты”.

        Наличие/отсутсвие сертифката пользователя в контейнере закрытого ключа можно проверить через Критопро CSP 4.0, выбрав “Просмотреть сертификаты в контейнере”.

        Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

        19 авг 2019 11:56 – 19 авг 2019 11:56 #13277
        от Alex_04



        Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

        Инструменты бухгалтера

        Получайте новости от наших экспертов дважды в месяц

        Как выдать работнику справку о доходах и суммах налога

        Какие требования профстандарт предъявляет к главбуху и зачем все это нужно

        Постановка объектов НВОС на учет в Росприроднадзор

        Что такое налоговый вычет 620 в 6‑НДФЛ

        4 способа отпустить сотрудника 1 сентября для проводов ребенка в школу

        Какие коды вычетов используются для 2‑НДФЛ: где проставить и как расшифровать

        Как оформить досрочный выход из отпуска по уходу за ребенком

        Как выполнить контрольные соотношения в декларации по НДС

        В образе контейнера EJBCA-ce, я думаю, они пытаются предоставить пользователя, отличного от root, для запуска сервера EJBCA. Согласно документации Docker:

        Инструкция USER устанавливает имя пользователя (или UID) и, возможно, группу пользователей (или GID) для использования при запуске образа и для любых инструкций RUN, CMD и ENTRYPOINT, которые следуют за ним в Dockerfile.

        В Dockerfile они ссылаются на двух пользователей, root, соответствующих UID 0, и еще одного, с UID 10001.

        Как правило, в системах Linux и UNIX идентификаторы UID могут быть организованы в различных диапазонах: это в значительной степени зависит от конкретной операционной системы и практики управления пользователями, но весьма вероятно, что первая учетная запись пользователя, созданная в системе Linux, будет назначена UID. 1001 или 10001, как в этом случае. См., Например, запись UID в википедии или эта статья.

        AFAIK, указанный USER не обязательно должен существовать в вашем контейнере для его правильной работы: на самом деле, если вы запустите его локально, он запустится без дальнейших проблем.

        Пользователь с UID 10001 будет фактически настроен в вашем контейнере с помощью сценария, который запускается в CMD, определенном в Dockerfile, /opt/primekey/bin/start.sh этим фрагментом кода:

        if ! whoami &> /dev/null; then
          if [ -w /etc/passwd ]; then
            echo "${APPLICATION_NAME}:x:$(id -u):0:${APPLICATION_NAME} user:/opt:/sbin/nologin" >> /etc/passwd
          fi
        fi
        

        Имейте в виду, что APPLICATION_NAME в этом контексте принимает значение ejbca и что пользователь, который запускает этот сценарий, как указано в Dockerfile, является 10001. Это будет значение, предоставленное командой id -u в этом коде.

        Вы можете проверить это, если запустите свой контейнер локально:

        docker run -it -p 8080:8080 -p 8443:8443 -h localhost primekey/ejbca-ce:6.15.2.3
        

        И инициируем в него bash:

         docker exec -it container_name /bin/bash
        

        Если вы запустите whoami, он сообщит вам ejbca.

        Если вы запустите id, он даст вам следующий результат:

        uid=10001(ejbca) gid=0(root) groups=0(root)
        

        Вы также можете проверить существование пользователя в /etc/passwd:

        bash-4.2$ cat /etc/passwd
        root:x:0:0:root:/root:/bin/bash
        bin:x:1:1:bin:/bin:/sbin/nologin
        daemon:x:2:2:daemon:/sbin:/sbin/nologin
        adm:x:3:4:adm:/var/adm:/sbin/nologin
        lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
        sync:x:5:0:sync:/sbin:/bin/sync
        shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
        halt:x:7:0:halt:/sbin:/sbin/halt
        mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
        operator:x:11:0:operator:/root:/sbin/nologin
        games:x:12:100:games:/usr/games:/sbin/nologin
        ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
        nobody:x:99:99:Nobody:/:/sbin/nologin
        systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
        dbus:x:81:81:System message bus:/:/sbin/nologin
        ejbca:x:10001:0:ejbca user:/opt:/sbin/nologin
        

        Причина, по которой Пьер не получил этот вывод, заключается в том, что он запустил контейнер, перезаписав предоставленный CMD и, как следствие, не выполнив сценарий start.sh, ответственный за создание пользователя, как упоминалось выше.

        По любой причине, и именно здесь мои знания меня не подводят, когда Azure пытается запустить ваш контейнер, он терпит неудачу, потому что USER 10001, указанный в Dockerfile, не существует.

        Я думаю, это могло быть связано с использованием containerd вместо docker.

        Ошибка, о которой сообщает Azure, похоже, связана с проектом Microsoft opengcs.

        О проекте говорят:

        Open Guest Compute Service — это проект Linux с открытым исходным кодом, направленный на дальнейшее развитие производственной реализации контейнера Linux Hyper-V в Windows (LCOW). Он разработан для работы в специальной ОС Linux для поддержки полезной нагрузки контейнера Linux.

        А также:

        В центре внимания LCOW v2 как замены LCOW v1 — координация и работа, которая вошла в containerd / containerd и его интерфейс Runtime V2. Чтобы увидеть нашу прокладку на стороне хоста контейнера, пожалуйста, посмотрите здесь Microsoft / hcsshim / cmd / containerd-shim-runhcs-v1.

        Ошибка, которую вы видите в консоли, поднята файлом spec.go, который вы можете найти в их кодовой базе, когда они пытаются установить пользователя, от имени которого должен запускаться процесс контейнера:

        func setUserID(spec *oci.Spec, uid int) error {
            u, err := getUser(spec, func(u user.User) bool {
                return u.Uid == uid
            })
            if err != nil {
                return errors.Wrapf(err, "failed to find user by uid: %d", uid)
            }
            spec.Process.User.UID, spec.Process.User.GID = uint32(u.Uid), uint32(u.Gid)
            return nil
        }
        

        Этот код выполняется этим другим фрагментом кода — вы можете увидеть здесь полный код функции:

        parts := strings.Split(userstr, ":")
        switch len(parts) {
        case 1:
            v, err := strconv.Atoi(parts[0])
            if err != nil {
                // evaluate username to uid/gid
                return setUsername(spec, userstr)
            }
            return setUserID(spec, int(v))
        

        И getUser функция:

        func getUser(spec *oci.Spec, filter func(user.User) bool) (user.User, error) {
            users, err := user.ParsePasswdFileFilter(filepath.Join(spec.Root.Path, "/etc/passwd"), filter)
            if err != nil {
                return user.User{}, err
            }
            if len(users) != 1 {
                return user.User{}, errors.Errorf("expected exactly 1 user matched '%d'", len(users))
            }
            return users[0], nil
        }
        

        Как видите, это именно те ошибки, о которых вам сообщает Azure.

        Подводя итог, я думаю, что они предоставляют решение Windows LCOW, которое соответствует спецификации формата изображения OCI подходит для запуска контейнеров с containerd.

        Как вы указали, если он работал с той же конфигурацией пару недель назад , моим лучшим гостем является то, что, возможно, они переключили ваши контейнеры с чистой реализации среды выполнения Linux containerd на одну, основанную на Windows и в вышеупомянутом программном обеспечении, и именно поэтому ваши контейнеры теперь не работают.

        Возможным обходным решением может быть создание собственного изображения на основе официального, предоставленного PrimeKey, и создание пользователя 10001, как также указал Пьер.

        Для выполнения этой задачи сначала создайте новый пользовательский Dockerfile. Вы можете попробовать, например:

        FROM primekey/ejbca-ce:6.15.2.3
        
        USER 0
        
        RUN echo "ejbca:x:10001:0:ejbca user:/opt:/sbin/nologin" >> /etc/passwd
        
        USER 10001
        

        Обратите внимание, что вам может потребоваться определить некоторые переменные среды из официального образа EJBCA.

        С помощью этого Dockerfile вы можете создать свой образ с помощью docker или создать в докере соответствующий файл docker-compose.yaml, например:

        version: "3"
        
        services:
          ejbca:
            image: <your repository>/ejbca
            build: .
            ports:
              - "8080:8080"
              - "8443:8443"
        

        Пожалуйста, настройте его по своему усмотрению.

        При такой настройке новый контейнер будет по-прежнему правильно работать в локальной среде так же, как и исходный: я надеюсь, что так будет и в Azure.


        5

        jccampanero
        24 Ноя 2020 в 09:09

        вопросы

        Из нашей статьи вы узнаете:

        ЭЦП — довольно сложный цифровой продукт, обращение с которым в определенных ситуациях может потребовать некоторых навыков и знаний. Например, в ходе установки сертификатов ЭП посредством «КриптоПро» после выбора соответствующего ключевого контейнера нередко выдаются неприятные сообщения об ошибке вследствие отсутствия открытого шифровочного ключа, который необходим для обеспечения информационной безопасности, без чего система не будет принимать ЭЦП.

        Такую ошибку несложно устранить без вызова специалиста или обращения в службу поддержки. Алгоритм действий, направленных на решение этой проблемы, приводится ниже.

        Что может послужить причиной такой ошибки

        ошибка в контейнере закрытого ключа и причины её появления

        Всплывающее окно со злополучным сообщением об ошибке появляется на экранах пользователей в тех случаях, если система не смогла обнаружить соответствующий ключ на носителе. Такая ситуация происходит при следующих действиях пользователей:

        • установка сертификата впервые;
        • экспортирование данных на внешний носитель;
        • попытка просмотра ключей в контейнерах ключей;
        • загрузка информации на компьютер извне.

        В целях устранения ошибки обычно бывает достаточно произвести корректную ручную переустановку сертификата.

        Решение ошибки: отсутствие электронного сертификата в контейнере закрытого ключа

        Для начала запускаем «КриптоПро» нажатием кнопки «Пуск». Затем выбираем «Настройку», в возникающем на мониторе окне заходим в опцию панели управления, далее «сервис – установить личный сертификат».

        программа криптопро предложит указать место хранение сертификата

        Далее, через кнопку «обзор» указываем путь, где сохранен открытый ключ – файл с расширением *.cert или *.crt

        Необходимо выбрать файл и открыть его с помощью криптопро

        Жмём «Далее», в мастере установки сертификата мы увидим путь, который указывали до нашего сертификата.

        Убедившись, что криптопро верно распознало путь установки сертификата, подтверждаем установку

        Нам отображается информация, содержащаяся в открытом ключе на пользователя, жмём «далее»

        Перед импортом сертификата надо проверить содержащуюся в нем информацию

        В следующем окне можно воспользоваться двумя путями поиска нужного контейнера закрытого ключа:

        • «найти контейнер автоматически
        • вручную через «обзор»

        В первом случае КриптоПро на основе данных из открытого ключа подберет закрытый, в случае с ручным поиском нужно будет знать название закрытого ключа, чтобы выбрать его для установки

        Мы рекомендуем использовать функцию КриптоПро «найти контейнер автоматически» или указать его вручную через «обзор»

        Самый простой вариант выбрать автоматический поиск, затем после «обнаружения» необходимого контейнера, мы увидим заполненную строчку с его именем и после жмём «Далее»

        после того, как указан контейнер, можно продолжить установку

        Личный сертификат пользователя всегда устанавливается в хранилище «Личное», можно выбрать как вручную, так и КриптоПро может сделать это за вас по умолчанию, затем подтверждаем установку цепочки сертификатов и жмём «Далее»

        Важно! Не забудьте поставить галку в настройках КриптоПро «установить сертификат (цепочку сертификатов) в контейнер>

        В случае успешной установки КриптоПро выдаст окно с информацией об окончании процедуры и жмём «Готово»

        Можно завершать установку сетификата

        Затем появится окно с подтверждением данной операции, жмём «ДА»

        Криптопро предложит перезаписать сертификат – соглашаемся

        В следующем окне увидим информацию о том, что процесс окончен успешно. Сертификат установлен в контейнер закрытого ключа.

        Готово. Сертификат установлен

        Особенности версий КриптоПро

        С января 2019 года квалифицированные сертификаты могут выпускаться только по ГОСТ 2012, выпуск по другому ГОСТу прекращен. Мы об этом писали ранее в статье. Важно помнить, что версии криптопро на ГОСТ 2012 работают только с версии 4.0 и выше. Все старые версии КриптоПро, для нормальной работы, потребуется обновить или заменить на актуальную. Сделать это нужно не позднее 31 декабря 2019 года.

        Post Views: 6 021

        Ошибка копирования контейнера. У вас нет разрешений на экчспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000b: Ключ не может быт использован в указанном состоянии.

        Такая вот ошибка стала вылазить, когда хотели скопировать закрытые ключи в реестр. А все дело в том, что при генерации ключа, на том же портале fzs.roskazna.ru вы не придали полю «Экспортируемый закрытый ключ» значения. И оставили его по умолчанию «Нет». Вот такие потом не удобства и возникают. С добавлением ключа в реестр.

        Tokens.exe — если неэкспортируемый ключ на токене — тогда эту утилиту юзайте!
        При установке обязательно поставьте 3 дополнения которые он предложит. После этого откроется полный функционал для экспорта «не экспортируемых» закрытых ключей с токенов.

        CertFix.exe — с флешек лечится этой утилитой.
        Чтобы сделать копию такого сертификата, нам нужно:
        Запустить утилиту, подождать, когда загрузится список сертификатов. Напротив строки «Поиск» появится информация «Загрузка завершена».

        Одновременно нажать кнопку SHIFT на клавиатуре и правой кнопкой мыши кликнуть по нужному контейнеру.
        Появится меню «Сделать экспортируемым». Выбираем вариант в зависимости от расположения контейнера.

        В принципе на этом все. Пользуемся, очень много случаев — когда по незнанию люди переделывали ЭЦП. А это время и нервы.

        0 0 голоса
        Рейтинг статьи
        Подписаться
        Уведомить о
        guest

        0 комментариев
        Старые
        Новые Популярные
        Межтекстовые Отзывы
        Посмотреть все комментарии

        А вот еще интересные материалы:

      • Яшка сломя голову остановился исправьте ошибки
      • Ясность цели позволяет целеустремленно добиваться намеченного исправьте ошибки
      • Ясность цели позволяет целеустремленно добиваться намеченного где ошибка
      • Ошибка создания подписи не удается построить цепочку сертификатов для доверенного корневого центра
      • Ошибка создания компоненты браузера