JACARTA LT НЕТ СЕРТИФИКАТА

Из нашей статьи вы узнаете:

К сожалению, довольно часто операционная система Windows и «КриптоПро» конфликтуют между собой, что ведет к невозможности «увидеть» ключ ЭЦП и подписать документ. Источники проблем могут быть разные, но их вполне реально оперативно решить.

Возможные причины с определением контейнера

Для корректной работы токена необходимо предварительно настроить ПК или ноутбук.

В связи с тем, что УЦ ФНС и его доверенные лица в большинстве случаев выпускают электронные подписи на токенах под СКЗИ КриптоПро CSP, для использования токена на компьютере должен быть установлен СКЗИ КриптоПро CSP. Если на вашем компьютере уже установлен СКЗИ VipNet CSP, то для работы с токеном вам необходимо перейти на использование СКЗИ КриптоПро CSP, предварительно удалив СКЗИ VipNet CSP со своего компьютера. Одновременное использование двух и более СКЗИ на одном рабочем месте настоятельно не рекомендуется.

Если же ваша подпись на токене выпущена под СКЗИ VipNet CSP, а у вас установлен СКЗИ КриптоПро CSP, то для работы с токеном вам необходимо перейти на использование СКЗИ VipNet CSP, предварительно удалив СКЗИ КриптоПро CSP.

Добрый день! Уважаемые читатели и подписчики IT блога Pyatilistnik.org. Последние два дня у меня была интересная задача по поиску решения на вот такую ситуацию, есть физический или виртуальный сервер, на нем установлена наверняка многим известная КриптоПРО. На сервер подключен USB ключ JaCarta, который используется для подписи документов для ВТБ24 ДБО. Локально на Windows 10 все работает, а вот на серверной платформе Windows Server 2016 и 2012 R2, Криптопро не видит ключ JaCarta. Давайте разбираться в чем проблема и как ее поправить.

Описание окружения

Есть виртуальная машина на Vmware ESXi 6.5, в качестве операционной системы установлена Windows Server 2012 R2. На сервере стоит КриптоПРО 4.0.9944, последней версии на текущий момент. С сетевого USB хаба, по технологии USB over ip, подключен ключ JaCarta. Ключ в системе видится, а вот в КриптоПРО нет.

Основные причины невозможности доступа к ключу JaCarta

Для того, чтобы иметь возможность полноценно работать с носителями JaCarta, их недостаточно просто подключить к компьютеру, нужно также установить специальное программное обеспечение. Установка ключа JaCarta возможно только при наличии программы, о которой мы расскажем ниже.

Как установить JaCarta

На официальном сайте «Алладин Р. Д» (разработчик JaCarta) есть раздел с дистрибутивами программ и утилит, необходимых для работы с носителями — «Центр загрузки».

Инструкция по установке на Windows:

После выполнения вышеуказанных действий, программа для работы с носителями JaCarta будет завершена. После перезагрузки компьютера вы можете запустить единый клиент и выполнить нужное действие, например, скопировать JaCarta.

Если во время установки появляется ошибка «Аппаратная архитектура вашего компьютера не соответствует типу продукта», значит вы скачали дистрибутив, который не подходит вашей системе. Решение данной проблемы — установка второго дистрибутива.

Рутокен

Нажмите на гиперссылку Драйверы Рутокен для Windows, EXE:

Запустите скачанный файл и следуйте подсказкам установщика: нажимайте Далее/Установить. После установки перезагрузите компьютер.

Далее подключите ваш рутокен к компьютеру. Если рутокен к этому моменту уже был вставлен, извлеките его и снова подключите к компьютеру.

В панели управления Рутокен перейдите на вкладку Сертификаты, на ней отобразится ваш рутокен и все сертификаты:

Если список пуст, нажмите кнопку Ввести пин-код и введите пин-код от рутокена:

Пин-коды по умолчанию

После ввода для обновления списка нажмите кнопку с двумя синими стрелками:

Если после обновления список пуст, значит на рутокене нет записанных ключевых пар.

Установка КриптоПРО

После установки JaCarta PKI, нужно установить КриптоПРО, для этого заходите на официальный сайт.

На текущий момент самая последняя версия КриптоПро CSP 4.0.9944. Запускаем установщик, оставляем галку «Установить корневые сертификаты» и нажимаем «Установить (Рекомендуется)»

Инсталляция КриптоПРО будет выполнена в фоновом режиме, после которой вы увидите предложение, о перезагрузке браузера, но я вам советую полностью перезагрузиться.

После перезагрузки подключайте ваш USB токен JaCarta. У меня подключение идет по сети, с устройства DIGI, через клиента Anywhere View. В клиенте Anywhere View, мой USB носитель Jacarta, успешно определен, но как Microsoft Usbccid (WUDF), а в идеале должен определиться как JaCarta Usbccid Smartcard, но нужно в любом случае проверить, так как все может работать и так.

Открыв утилиту «Единый клиент Jacarta PKI», подключенного токена обнаружено не было, значит, что-то с драйверами.

Microsoft Usbccid (WUDF) — это стандартный драйвер Microsoft, который по умолчанию устанавливается на различные токены, и бывает, что все работает, но не всегда. Операционная система Windows по умолчанию, ставит их в виду своей архитектуры и настройки, мне вот лично в данный момент такое не нужно. Что делаем, нам нужно удалить драйвера Microsoft Usbccid (WUDF) и установить драйвера для носителя Jacarta.

Откройте диспетчер устройств Windows, найдите пункт «Считыватели устройств смарт-карт (Smart card readers)» щелкните по Microsoft Usbccid (WUDF) и выберите пункт «Свойства». Перейдите на вкладку «Драйвера» и нажмите удалить (Uninstall)

Согласитесь с удалением драйвера Microsoft Usbccid (WUDF).

Вас уведомят, что для вступления изменений в силу, необходима перезагрузка системы, обязательно соглашаемся.

После перезагрузки системы, вы можете увидеть установку устройства и драйверов ARDS Jacarta.

Откройте диспетчер устройств, вы должны увидеть, что теперь ваше устройство определено, как JaCarta Usbccid Smartcar и если зайти в его свойства, то вы увидите, что смарт карта jacarta, теперь использует драйвер версии 6.1.7601 от ALADDIN R. D. ZAO, так и должно быть.

Если открыть единый клиент Jacarta, то вы увидите свою электронную подпись, это означает, что смарт карта нормально определилась.

Открываем CryptoPRO, и видим, что криптопро не видит сертификат в контейнере, хотя все драйвера определились как нужно. Есть еще одна фишка.

ОБЯЗАТЕЛЬНО снимите галку «Не использовать устаревшие cipher suite-ы» и перезагрузитесь.

После этих манипуляций у меня КриптоПРО увидел сертификат и смарт карта jacarta стала рабочей, можно подписывать документы.

Еще можете в устройствах и принтерах, увидеть ваше устройство JaCarta,

Если у вас как и у меня, токен jacarta установлен в виртуальной машине, то вам придется устанавливать сертификат, через console виртуальной машины, и так же дать на нее права ответственному человеку. Если это физический сервер, то там придется давать права на порт управления, в котором так же есть виртуальная консоль.

Настройка для СКЗИ КриптоПро CSP

После настройки токена установите сертификат в хранилище компьютера с помощью КриптоПро CSP.

Если в СКЗИ не отображается контейнер, проверьте настроены ли считыватели. Должен быть добавлен считыватель Все считыватели Смарт-карт:

Если считыватели добавлены, но контейнер не отображается, проверьте какая версия КриптоПро CSP установлена. Если установлена версия 4.0, то необходимо обновить до версии 5.0, т.к. некоторые сертификаты работают только с ней. После установки версии 5.0 контейнер должен отобразиться в КриптоПро CSP.

Если у вас уже приобретена лицензия на версию 4.0, то можно обновить КриптоПро CSP до версии 5.0.11455 без потери лицензии.

Как установить ключ JaCarta

Для предотвращения проблем, когда «КриптоПро» не видит JaCarta, важно правильно настроить программное обеспечение для работы с токеном. Ниже вы найдете подробный алгоритм, но мы сразу отметим, что подключать JaCarta к компьютеру можно только после завершения установки всего объема ПО, идущего следующим образом:

После перезагрузки откройте меню Пуск и найдите программу Единый клиент JaCarta.

Далее подключите токен JaCarta к компьютеру. Если токен JaCarta к этому моменту уже был вставлен, извлеките его и снова подключите к компьютеру.

Слева внизу переключитесь нажмите Переключиться в режим администратора, чтобы увидеть содержимое токена. Если список сертификатов пуст, нажмите кнопку Ввести пин-код и введите пин-код от JaCarta:

После ввода нажмите кнопку с двумя стрелками, чтобы обновить список. Если после обновления список пуст, значит на JaCarta нет записанных ключевых пар.

Не возможно подключиться к службе управления смарт-картами

Когда вы установили все драйвера для токенов Jacarta, вы можете увидеть при подключении по RDP и открытии утилиты «Единый клиент Jacarta PKI» вот такое сообщение с ошибкой:

Не возможно подключиться к службе управления смарт-картами

Как исправить ошибку «Не возможно подключиться к службе управления смарт-картами».

Вот такой вот был траблшутинг по настройке токена Jacarta, КриптоПРО на терминальном сервере, для подписи документов в ВТБ24 ДБО. Если есть замечания или поправки, то пишите их в комментариях.

Алгоритм решения проблем с JaCarta

КриптоПРО очень часто вызывает различные ошибки в Windows, простой пример (Windows installer service could not be accessed). Вот так вот выглядит ситуация, когда утилита КриптоПРО не видит сертификат в контейнере.

Как видно в утилите UTN Manager ключ подключен, он видится в системе в смарт картах в виде Microsoft Usbccid (WUDF) устройства, но вот CryptoPRO, этот контейнер не определяет и у вас нет возможности установить сертификат. Локально токен подключали, все было то же самое. Стали думать что сделать.

Установка единого клиента JaCarta PKI

Единый Клиент JaCarta — это специальная утилита от компании «Аладдин», для правильной работы с токенами JaCarta. Загрузить последнюю версию, данного программного продукта, вы можете с официального сайта, или у меня с облака, если вдруг, не получиться с сайта производителя.

Далее полученный архив вы распаковываете и запускаете установочный файл, под свою архитектуру Windows, у меня это 64-х битная. Приступаем к установке Jacarta драйвера. Единый клиент Jacarta, ставится очень просто (НАПОМИНАЮ ваш токен в момент инсталляции, должен быть отключен). На первом окне мастера установки, просто нажимаем далее.

Принимаем лицензионное соглашение и нажимаем «Далее»

Чтобы драйвера токенов JaCarta у вас работали корректно, достаточно выполнить стандартную установку.

Если выберете «Выборочную установку», то обязательно установите галки:

Далее нажимаем «Установить».

Через пару секунд, Единый клиент Jacarta, успешно установлен.

Обязательно произведите перезагрузку сервера или компьютера, чтобы система увидела свежие драйвера.

Как решить проблему, что криптопро не видит USB ключ?

Создали новую виртуальную машину и стали ставить софт все последовательно.

Перед установкой любого программного обеспечения работающего с USB носителями на которых находятся сертификаты и закрытые ключи. Нужно ОБЯЗАТЕЛЬНО отключить токен, если воткнут локально, то отключаем его, если по сети, разрываем сессию

Установка и настройка считывателя «КриптоПро»

Следующим этапом становится установка драйвера CCID с обязательной перезагрузкой, а также настройка считывателей в «КриптоПро». Делают это следующим образом:

После завершения установки нажмите кнопку «Готово». Теперь нужно выбрать из перечня доступных считывателей AKS ifdh 0 и нажать кнопку «Далее» (в последующем данную процедуру нужно будет повторить и для других типов считывателей). После завершения вновь надо перезагрузить компьютер.

Теперь в диалоговом окне «Управление считывателями» будет доступен весь перечень считывателей. Для дальнейшей настройки необходимо настроить носители. Для этого выполните следующие действия:

После завершения установки необходимо опять перезагрузить компьютер для подключения уже непосредственно носителя JaCarta, который должен быть виден в «КриптоПро», что позволит подписывать ЭЦП документы и отчеты для государственных органов.

При наличии вопросов и необходимости генерации сертификатов ЭП любого типа обращайтесь в компанию «Астрал». Мы предлагаем подобные услуги на выгодных условиях и с максимальной оперативностью. Дополнительно мы готовы проконсультировать по вопросам установки, выбора конкретного тарифного плана и типа электронных подписей с учетом специфики вашей компании.