Криптопро tls ошибка 0x570 при обращении к csp файл или папка повреждены чтение невозможно

eugenyb	#1 Оставлено : 2 ноября 2009 г. 17:51:41(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 02.11.2009(UTC) Сообщений: 1 Откуда: Moscow	Служба «CryptoPro CSP key storage» неожиданно прервана. Это произошло (раз): 1 КриптоПро TLS.Ошибка 0x6ba при обращении к CSP. Сервер RPC недоступен Происходит в разное время случайным образом на 2 ПК Windos 2003 SP2 КриптоПро CSP 3.0.3300.3 КС2 ДСЧ Биологический Судя по сообщению :http://www.cryptopro.ru/cryptopro/forum2/default.aspx?g=posts&t=771, это исправляется если перейти на КС1 или обновить до версии 3,6, но такой возможности нет. Что можно сделать еще? Отредактировано пользователем 2 ноября 2009 г. 20:07:59(UTC)  | Причина: Не указана
	WWW

Татьяна	#2 Оставлено : 9 ноября 2009 г. 20:12:00(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.02.2008(UTC) Сообщений: 1,491 Откуда: Крипто-Про Поблагодарили: 40 раз в 37 постах	Здравствуйте. Возможно, конфликт с каким-то ПО( или просто программой или драйвером устройства или вредоносным ПО). Если стои задача просто избавиться от ошибки, нажмите два раза на службу, перейдите на вкладку «восстановление» и назначте перезапуск после сбоев.
Татьяна ООО Крипто-Про

shaggy	#3 Оставлено : 4 февраля 2010 г. 12:37:22(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 04.02.2010(UTC) Сообщений: 1 Откуда: Красноярск	Столкнулся с таким весёлым% фактором появления этой ошибки, что даже не поленился зарегистрироваться и описать. Информация найдёт своего читателя. Итак, по порядку. Система: WinXP pro SP3 со всеми обновлениями КриптоПро CSP КС2 3.0.3300.3, сертификаты (контейнеры) на дискетах Антивирус: TrendMicro WorryFreeBusinessSecurity (сразу скажу, дело не в нём) Имеем в Логе приложений ошибку: Цитата: Источник: cpSSPAP Код (ID): 300 Описание: КриптоПро TLS. Ошибка 0x6ba при обращении к CSP: Сервер RPC недоступен. Соответственно приложения, использующие КриптоПро, не работают. Пишут, что сертификат/контейнер не найден и RPC не доступен. Идём в список служб и видим, что со службой Удалённый вызов процедур (RPC) всё в порядке, но вылетает (останавливается) служба CryptoPro CSP key storage. Попытки выставить в свойствах службы перезапуск ничего не дают. Она перезапускается, да. Но не даёт приложениям себя использовать, вылетая снова и снова. Идём в Панель управления, заходим в раздел КриптоПро CSP. Пробуем посмотреть сертификаты в контейнере — получаем ошибку. Если руками запустить службу CryptoPro CSP key storage, то посмотреть МОЖНО, и служба НЕ падает. Но при попытке использовать сертификат для подписи служба вылетает снова. Тратим полчаса на проверку обновлений Windows, поиск прорвавшихся вирусов — всё чисто. Пробуем выгружать антивирус — безрезультатно. Идём пить кофе и читать этот форум. Решения нет. Снова идём, садимся за проблемный компьютер. Делаем глубокий вдох/выдох, и начинаем наконец думать головой, а не действовать на автомате. Наконец видим в одном из окон с сообщением об ошибке КриптоПро, появляющихся при попытке подписи, волшебную кнопку Дополнительно. Нажимаем её, и видим, что Носитель доступен только для чтения. Понимаем, что КриптоПро нужен туда доступ на запись. Вытаскиваем дискету, снимаем защиту, вставляем обратно. И всё начинает работать. Теперь, собственно, как всё было. Вчера позвонил бухгалтер, сообщил об этой ошибке. Пришёл, вспомнил, что такое было полгода назад. Служба КриптоПро CSP останавливалась. Запустил службу, зашёл в Панель управления, раздел КриптоПро CSP, убедился, что сертификаты на дискете видно. Вот только, вытащив для осмотра дискету (та ли?), я машинально включил на ней защиту от записи. Дело в том, что у нас используется несколько банк-клиентов с ключами на дискетах. Надо ли говорить, что на всех этих дискетах защита от записи включена. Включил и здесь. И получил повод написать это сообщение. Основная задержка в установлении причины связана с разным поведения КриптоПро: — компонент КриптоПро Панели управления нормально показывает сертификаты на дискете с включенной защитой от записи — но при попытке поставить подпись нужен уже доступ на запись, и служба вылетала Интересно только, зачем КриптоПро полный доступ на дискету с ключами? Для временных файлов существует чудесная папка %temp%. И как ведёт себя в таких ситуациях версия 3.6? Отредактировано пользователем 4 февраля 2010 г. 12:38:45(UTC)  | Причина: Не указана

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика

При импорте pfx-файла, содержащего сертификат и закрытый ключ может возвращаться «Ошибка импорта Подробности 0x80090014 CSP name: Microsoft Software Key Storage Provider»

Эта ошибка возникает из-за того, что изначальный сертификат был выписан через Microsoft Software Key Storage Provider, который невозможно импортировать через Aktiv Rutoken CSP 1.0.

Для импорта такого сертификата необходимо выполнить следующие действия:

1. Нажмите кнопку Пуск и введите cmd
   
2. Выберите пункт Запуск от имени администратора
3. Если необходимо, введите имя и пароль администратора компьютера
4. Подключите Рутокен к компьютеру
5. В Командной строке наберите следующую команду: certutil -csp «Microsoft Base Smart Card Crypto Provider» -importpfx C:sign_code.pfx и нажмите Enter
6. Введите пароль PFX (был задан при экспорте сертификата) и нажмите Enter
   
7. Введите PIN-код от Рутокена и нажмите ОК
   
8. Дождитесь сообщения, что команда успешно выполнена
   

Источник

Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика

Вообщем вот инструкция от КБ.
1. Удалить с АРМ КриптоПРО.
2. Перезагрузить ПК.
3. Удалить Континент АП.
4. Перезагрузить ПК.
5. Очистить систему утилитой от КриптоПРО (запуск от имени администратора) — www.cryptopro.ru/sites/default/files/public/cspclean.exe
6. Очистить систему утилитой от Кода Безопасности (запуск из командной строки от имени администратора с ключами –t и –v) —
Ссылка на утилиту CspCleaner.exe:
cloud.securitycode.ru/nextcloud/index.php/s/QfrzbrM5Gmd4PpN
Пароль: 5iXBS346
7. В случае, если запуск будет произведен не от имени администратора, утилита завершится без вывода какой-либо информации и очистка произведена не будет.
8. Перезагрузить ПК.
9. Установить КриптоПРО.
10. Перезагрузить ПК.
11. Установить Континент АП. При устанавки КАП выбрать максимальную установку с датчиками, с КБ CSP, и т.д.
12. Перезагрузить ПК.
13. В настройках КБ CSP установить биологический ДСЧ в место физического.

И все заработает.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Jannaaaa5
• —>
• Не в сети

• Сообщений: 17
• Спасибо получено: 0

Operlaw пишет: Вообщем вот инструкция от КБ.
1. Удалить с АРМ КриптоПРО.
2. Перезагрузить ПК.
3. Удалить Континент АП.
4. Перезагрузить ПК.
5. Очистить систему утилитой от КриптоПРО (запуск от имени администратора) — www.cryptopro.ru/sites/default/files/public/cspclean.exe
6. Очистить систему утилитой от Кода Безопасности (запуск из командной строки от имени администратора с ключами –t и –v) —
Ссылка на утилиту CspCleaner.exe:
cloud.securitycode.ru/nextcloud/index.php/s/QfrzbrM5Gmd4PpN
Пароль: 5iXBS346
7. В случае, если запуск будет произведен не от имени администратора, утилита завершится без вывода какой-либо информации и очистка произведена не будет.
8. Перезагрузить ПК.
9. Установить КриптоПРО.
10. Перезагрузить ПК.
11. Установить Континент АП. При устанавки КАП выбрать максимальную установку с датчиками, с КБ CSP, и т.д.
12. Перезагрузить ПК.
13. В настройках КБ CSP установить биологический ДСЧ в место физического.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Beast2040
• —>
• Не в сети

• Сообщений: 71
• Спасибо получено: 10

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Краснокам
• —>
• Не в сети

• Сообщений: 24
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Alex_04
• —>
• Не в сети
• ТОФК

• Сообщений: 2243
• Спасибо получено: 377

Краснокам пишет: задолбала ваша продукция.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• gurazor
• —>
• Не в сети

• Сообщений: 182
• Спасибо получено: 24

Краснокам пишет: Всё сделал, даже антивирус удалил. Всё переустановил ничего не помогает. Как же меня задолбала ваша продукция.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Alex_04
• —>
• Не в сети
• ТОФК

• Сообщений: 2243
• Спасибо получено: 377

gurazor пишет: не помогают, удаление веток реестра, которые известны, тоже.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• gurazor
• —>
• Не в сети

• Сообщений: 182
• Спасибо получено: 24

gurazor пишет: не помогают, удаление веток реестра, которые известны, тоже.

а какие именно удаляли?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Alex_04
• —>
• Не в сети
• ТОФК

• Сообщений: 2243
• Спасибо получено: 377

gurazor пишет: не помогают, удаление веток реестра, которые известны, тоже.

а какие именно удаляли?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Краснокам
• —>
• Не в сети

• Сообщений: 24
• Спасибо получено: 0

Краснокам пишет: задолбала ваша продукция.

она такая же наша, как и Ваша
все камни плиз в огород производителя — ООО «Код Безопасности» .

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Alex_04
• —>
• Не в сети
• ТОФК

• Сообщений: 2243
• Спасибо получено: 377

Краснокам пишет: гугля очередную ошибку попадаю на ваш форум понимаю что это надолго, спасибо что хоть вы луч света в этом темном царстве.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Fixik
• —>
• Не в сети

• Сообщений: 5
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Alex_04
• —>
• Не в сети
• ТОФК

• Сообщений: 2243
• Спасибо получено: 377

Fixik пишет: главное читать как надо, и делать как написано

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Не в сети

• Сообщений: 1997
• Спасибо получено: 264

Alex_04 пишет: Если-б в официальных мануалах было прямо всё как надо и после них работало ПО у всех, то оно тогда конечно — делать как написано и ноу траблс!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Wmffre
• —>
• Не в сети

• Сообщений: 713
• Спасибо получено: 216

Alex_04 пишет: Если-б в официальных мануалах было прямо всё как надо и после них работало ПО у всех, то оно тогда конечно — делать как написано и ноу траблс!

Если б перед установкой у всех были эталонные рабочие места. )

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

CryptAcquireCertificatePrivateKey failed. Error:0x80090014 #773

AndriyGorda commented May 11, 2018

Could you please provide a fix or suggest a workaround? We are blocked for 2 days already.

Since May 10 our Azure clusters are down with nodes been unable to read private key from certificate.
Since January 2018 they were working without issues.
The certificate is the same as before, was not changed and currently present on the nodes, with private key in it.
Recreation of cluster from the scratch leads to the same error.
Also recreation of cluster with previous Service Fabric version in ARM template leads to the same error as well.

Node event log has such errors and warnings as:

• Can’t get private key filename for certificate. Error: 0x80090014
• CryptAcquireCertificatePrivateKey failed. Error:0x80090014
• Can’t ACL FileStoreService/SecondaryAccountNTLMX509Thumbprint, ErrorCode E_FAIL
• SetCertificateAcls failed. ErrorCode: E_FAIL
• Failed to get private key file. x509FindValue: 406193559C7123964B309347720A3D3D5CD6EF2A, x509StoreName: My, findType: FindByThumbprint, Error E_FAIL

Thank you in advance,
Andriy

The text was updated successfully, but these errors were encountered:

Hello team!
I have the same issue. Is there any solution?

Get same issue either, any guy get a solution yet

It appears there may be 2 issues here:

the certificate’s private key is not ACL’d to NetworkService; to fix this, please open the Management Console (start -> run -> mmc), navigate to ‘Local Computer Certificates’ (file -> add snap-in -> certificates, local computer) and examine the private key access list (right click on the certificate, ‘All tasks’ -> Manage private key..). If NetworkService is not listed: Add -> %computername%Network Service -> ‘check’, followed by ok. (You may need to replace %computername% with the actual host name.)

the certificate is issued by an unsupported provider. The error (0x80090014/NTE_BAD_PROV_TYPE) indicates that the certificate was issued by a CNG key provider, which the SF runtime does not currently support. Note that ACLing errors are not fatal, and should not be the cause of the cluster’s failure to start.

To confirm that is the case, please run the following, from a PowerShell prompt:
cd Cert:LocalMachineMy
certutil -v -store my | findstr -i provider

If the output contains something like this:
Provider = Microsoft Software Key Storage Provider
then indeed this is a CNG certificate (issued with a Key Storage Provider).

I presume the certificate was created with the New-SelfSignedCertificate PowerShell cmdlet, which, unless otherwise specified, will use a CNG provider. If that is the case, and it is possible for you to create another certificate to be used for this cluster, you may try the following:

New-SelfSignedCertificate -NotBefore » -NotAfter » -DnsName -CertStoreLocation Cert:LocalMachineMy -Provider «Microsoft Enhanced RSA and AES Cryptographic Provider» -KeyExportPolicy ExportableEncrypted -Type Custom -Subject «»

Note this is just an example — the complete list of Crypto API Cryptographic Service Providers can be found here.

We are addressing this issue in an upcoming release.
Thanks.

Источник

Криптопро tls ошибка 0x80090014 при обращении к csp указан неправильный тип поставщика

Номер: -2147467259
Источник: Connector
Описание: Connector:Unspecified HTTP error. HRESULT=0x800A1518 — Client:An unanticipated error occurred during the processing of this request. HRESULT=0x800A1518 — Client:Sending the Soap message failed or no recognizable response was received HRESULT=0x800A1518 — Client:Unspecified client error. HRESULT=0x800A1518

В событиях на ЦР видно:

Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 14:14:22
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка %2 при обращении к CSP: %1

При этом тест соединения ЦР с ЦС проходит, в IE различные URL (https://CA/CA/ca.wsdl, https://CA/CA/ca.asp — здесь запрашивается сертификат, https://RA/RA/ra.asp — здесь тоже) открываются без проблем.

Так как машина на которой стоит АРМ удаленная, АРМ был установлен также на машину ЦР, ошибка осталась но в событиях ЦР изменилась:

Тип события: Ошибка
Источник события: cpSSPCore
Категория события: Отсутствует
Код события: 300
Дата: 10.05.2006
Время: 17:37:30
Пользователь: Нет данных
Компьютер: CA
Описание:
КриптоПро TLS. Ошибка 0x80090019 при обращении к CSP: Набор ключей не определен.

КриптоПро CSP переустанавливался — не помогло.

Заранее благодарен. Ответы:

Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль. Он в реестре или на съёмном носителе? Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.

==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.

==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.

==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.

==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.

==
Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР — либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль.
==
Но ведь тест в параметрах ЦР проходит. Что и удивляет.

==
Он в реестре или на съёмном носителе?
==
Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету.

==
Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) — кнопкой «Установить личный сертификат» в разделе Сервис панели КриптоПро CSP.
==
Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.

сорри за 3 сообщения..при постинге ошибку сервер выдавал 🙂

> Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер.

Для пользовательского сертификата и контейнера это прокатит. Для контейнера Локального компьютера — нет. А для сертификата ЦР нужно хранилище именно компьютера. Используйте «Установить личный сертификат», при выборе контейнера поставьте «Компьютера». После чего перевыберите его в свойствах ЦР.

Все проделал как сказали. Перевыпустил CRL. Ошибка осталась, но несколько опять поменялась:

КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.

Создал новый набор ключей для клиента ЦР и сертификат — ошибка осталась.

Меня смущает то, что когда в АРМ заходишь вразделы Пользователи, Сертификаты и пр. он выдает окошко с просьбой вставить соответсвующий ключевой носитель (но пароль не спрашивает ибо он запомнен), а когда заходишь в раздел Центр сертификации и выбираешь правой кнопкой любой из пунктов, то ошибка вываливается сразу, даже не спрашивая контейнеров ключей.

Есть еще мысли? 🙂

А сечас тест соединения ЦР — ЦС проходит?

Да, проходит. И раньше проходил. Все вообще работает на ура 🙂 Только этот раздел не работает 🙂

Еще не работает обработка запросов на сертификат, т.е. не работают все операции, которые требуют обращения к ЦС. Однако тест в параметрах ЦР проходит.

Посмотрите на сервер ЦР свойства уч. записи CPRAComPlusAcct& — не заблокирована ли она.
Если ок, залогиньтесь под ней в Win и попробуйте тест соединения ЦР — ЦС (т.к. в основном режиме работы УЦ соединение от ЦР к ЦС устанавливается именно под этой уч. записью)

Тест проходит.

Создал нового привелигированного абонента и попробовал через него — результат тот же.

Пересоздал наборы ключей для АРМ и клиента ЦР, на ЦС обработка сертификатов прошла успешно. Однако после переустановки сертификатов проблема не исчезла.

Это хорошо. Значит, с CSP и контейнером ключа клиентского сертификата ЦР всё в порядке. Но! Если на этом контейнере есть пароль — то при программном вызове он не сможет быть введён, т.к. приложению не разрешается выводить окошки в этом режиме.
Исключение составляет случай, когда контейнер предварительно был загружен в кеш Службы хранения ключей Крипто-Про (пользователем CPRAComPlusAcct&).

Поменяйте пароль на пустой. Дискета должна быть доступна — должно получиться

Да, и аналогичная штука будет, если несколько дисководов настроено (CSP попробует запустить окошко выбора дисковода).

По ходу..Обнаружилась такая штука: при запуске системы в событиях появляется та же ошибка приложения cpsspcore: КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей.

Однако если удалить сертификат веб-сервера ЦР из хранилища и перегрузится, то такой ошибки уже нет, если опять прописать туда, то опять появляется. Создание нового контейнера и сертификата веб-сервера ЦР не приводит к улучшению.

На службе IISAdmin стоит галочка разрешить доступ к рабочему столу. Таймауты в CSP стоят по 60 сек.

Вновь созданные контейнеры клиента ЦР, веб-сервера ЦР и для АРМ создавал с пустым паролем.

Тогда будем систематически:
Какую организацию Вы представляете, есть ли договор технического сопровождения УЦ?
Версия и билд CSP?
Способ хранения ключей?
версия ОС, какие обновления?
версия IE, какие обновления?
Используется MSDE или SQL-сервер?
Есть ли ативирус (какой) ?
Это подчинённый ЦС или корневой?

>Какую организацию Вы представляете, есть ли договор технического сопровождения УЦ?

ООО ТК «Контакт», Воронеж. Договора пока нет, потому что проблем не возникало до этого 🙂

>Версия и билд CSP?
3.0.3293 КС1

>Способ хранения ключей?
Дисковод

>версия ОС, какие обновления?
Windows2000 Server, SP4, 5.0.2195, все обновления

>версия IE, какие обновления?
6.0.2800.1106, SP1, все обновления

>Используется MSDE или SQL-сервер?
MSDE, и клиентская часть MSSQL

Источник

ЭЦП — довольно сложный цифровой продукт, обращение с которым в определенных ситуациях может потребовать некоторых навыков и знаний. Например, в ходе установки сертификатов ЭП посредством «КриптоПро» после выбора соответствующего ключевого контейнера нередко выдаются неприятные сообщения об ошибке вследствие отсутствия открытого шифровочного ключа, который необходим для обеспечения информационной безопасности, без чего система не будет принимать ЭЦП.

Такую ошибку несложно устранить без вызова специалиста или обращения в службу поддержки. Алгоритм действий, направленных на решение этой проблемы, приводится ниже.

Что может послужить причиной такой ошибки

Всплывающее окно со злополучным сообщением об ошибке появляется на экранах пользователей в тех случаях, если система не смогла обнаружить соответствующий ключ на носителе. Такая ситуация происходит при следующих действиях пользователей:

• установка сертификата впервые;
• экспортирование данных на внешний носитель;
• попытка просмотра ключей в контейнерах ключей;
• загрузка информации на компьютер извне.

В целях устранения ошибки обычно бывает достаточно произвести корректную ручную переустановку сертификата.

Решение ошибки: отсутствие электронного сертификата в контейнере закрытого ключа

Для начала запускаем «КриптоПро» нажатием кнопки «Пуск». Затем выбираем «Настройку», в возникающем на мониторе окне заходим в опцию панели управления, далее «сервис – установить личный сертификат».

Далее, через кнопку «обзор» указываем путь, где сохранен открытый ключ – файл с расширением *.cert или *.crt

Жмём «Далее», в мастере установки сертификата мы увидим путь, который указывали до нашего сертификата.

Нам отображается информация, содержащаяся в открытом ключе на пользователя, жмём «далее»

В следующем окне можно воспользоваться двумя путями поиска нужного контейнера закрытого ключа:

• «найти контейнер автоматически
• вручную через «обзор»

В первом случае КриптоПро на основе данных из открытого ключа подберет закрытый, в случае с ручным поиском нужно будет знать название закрытого ключа, чтобы выбрать его для установки

Самый простой вариант выбрать автоматический поиск, затем после «обнаружения» необходимого контейнера, мы увидим заполненную строчку с его именем и после жмём «Далее»

Личный сертификат пользователя всегда устанавливается в хранилище «Личное», можно выбрать как вручную, так и КриптоПро может сделать это за вас по умолчанию, затем подтверждаем установку цепочки сертификатов и жмём «Далее»

>

В случае успешной установки КриптоПро выдаст окно с информацией об окончании процедуры и жмём «Готово»

Затем появится окно с подтверждением данной операции, жмём «ДА»

В следующем окне увидим информацию о том, что процесс окончен успешно. Сертификат установлен в контейнер закрытого ключа.

Особенности версий КриптоПро

С января 2019 года квалифицированные сертификаты могут выпускаться только по ГОСТ 2012, выпуск по другому ГОСТу прекращен. Мы об этом писали ранее в статье. Важно помнить, что версии криптопро на ГОСТ 2012 работают только с версии 4.0 и выше. Все старые версии КриптоПро, для нормальной работы, потребуется обновить или заменить на актуальную. Сделать это нужно не позднее 31 декабря 2019 года.

Проблема:
При попытке добавления удостоверяющего центра КриптоПро в политику использования смарт-карт в Indeed CM появляется ошибка:

или

При этом в журнале приложений регистрируется событие:
КриптоПро TLS. Ошибка 0x8010006b при импорте открытого ключа: Нет доступа к карте. Введен неправильный PIN-код.

Решение 1:
Ошибка может быть связана с тем, что на сервере Indeed CM установлен КриптоПро CSP с уровнем безопасности КС1, и при копировании контейнера закрытого ключа со смарт-карты в хранилище машины был задан PIN-код на копию контейнера переносимого ключа. Для решения проблемы необходимо не задавать PIN-код при создании контейнера закрытого ключа (больше сведений на форуме КриптоПро).

Для этого пересоздайте контейнер с пустым PIN-кодом и затем повторите попытку добавить КриптоПро УЦ в политику использования смарт-карт Indeed CM либо при указании пароля выставите опцию «Запомнить PIN-код».

В случае использования КриптоПро CSP с уровнями безопасности КС2 и КС3 ошибка не проявляется, но в этом случае необходимо установить опцию «Запомнить PIN-код», в противном случае его придется вводить каждый раз при обращении сервера Indeed CM к КриптоПро УЦ.

Решение 2:
Проверьте права доступа пула приложений Indeed CM к закрытому ключу сертификата для работы с УЦ КриптоПро и задайте права на Полный доступ и Чтение, если их нет.
Для этого:

1. В оснастке Сертификаты (Certificates) компьютера, на котором установлен сервер Indeed CM кликните правой кнопкой мыши на сертификате, выберите Все задачи (All tasks) – Управление закрытыми ключами… (Manage
   Private Keys…)
2. Нажмите Добавить (Add), укажите локальную группу IIS_IUSRS (если используется IIS 7.0) или локальную учетную запись IIS AppPoolIndeedCM (если используется IIS 7.5 и более поздние версии).
3. Выставите права Полный доступ (Full Control) и Чтение (Read).
4. Нажмите Применить (Apply).