Кресты на всех сертификатах после установки Континент АП

В связи с массовым переходом на КАП 3.7

(Бесполезные советы по установке. ̶
Посвящается тем кто пробует установить КАП методом «Дальше-дальше-Ок-перезагрузка»)

Sapienti sat

ОБНОВИЛСЯ РАЗДЕЛ ПОСВЯЩЁННЫЙ РАСШАРИВНИЮ СОЕДИНЕНИЯ СМ В КОНЦЕ СТАТЬИ

Почему вы видите это здесь:
Большинство Все инструкции по установке КАП которые я встречал предлагают установку в графическом режиме, только в некоторых указано, что установка производится членом группы администраторов, про установку без криптопровайдера и из командной строки не говорится ничего

Ликбез: Запуск командной строки с правами администратора в Windows 7

Кому требуется бумажная форма запроса на сертификат КАП сделанный через КБ CSP, а при установленной галке «бумажная форма» выдаёт ошибку.

если есть попробуйте удалить в реестре
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 0CryptDllFindOIDInfo1.2.643.2.1.3.1.2.1!3]

======

Кто получил сертификаты по ГОСТ 2022 и имеет проблемы

«сертификат содержит не действительную подпись или поврежден», на корневом и промежуточном стоят кресты.

удаляем:

======

########

Те, с кого требуют поверх всего этого благолепия обеспечить работу ЭБ с сертификатами по ГОСТ 2022 пишут заявление об уходе. 🙁

########

~~~~~~~~~~~~~~~~~~~~~~~~~~

Про «Ошибка подписи ключа. Отказано в доступе» (из-за ключей сроком жизни больше 1,3 года)  смотреть здесь

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ngc.exe /b
действительно пересчитывает хэш файлов при ошибках целостности файлов КАП

ngc.exe /b /s то же в тихом режиме без отображения окна

~~~~~~~~~~~~~~~~~~~~~~~~~~

ful пишет: Из нашего УФК сообщили, что Континент не работает с 2022 гостом на Крипто про. Для этого рекомендуют ставить Континент с встроенным криптопровайдером, чтоб через него, потом генерировать ключи по новому госту.

В связи с тем, что эта печальная новость подтверждена разработчиками и криптопровайдер понадобится таки для генерации ключей КАП по новому ГОСТ для минимизации глюков остаётся ставить Криптопро и Континент АП последних версий с криптопровайдером. На текущий момент это: сертифицированная 4.0.9963 (R4) и 3.7.7.651 соответственно.

Continent_AP_3.7.7.651.exe /S /NR /LANG=RU /DO=INSTALL /NMSE

Криптопро последней версии пофиг на «посторонний» криптопровайдер

КАП последней версии не имеет проблем с сертификатами с «неправильными» символами

~~~~~~~~~~~~~~~~~~~~~~~~~~~

Установка в графическом режиме, даже из под пользователя группы администраторы приводит к ошибкам, связанным очевидно с правами доступа к реестру, диску С: и папке Program Files и не позволяет избавиться от криптопровайдера.

Для любознательных: запускаем установщик с ключом /? читаем описание ключей командной строки 🙂

Установка КАП с криптопровайдером приводит к ошибке, для решения которой предлагают поковырять реестр, а этого лучше избежать.

Возникает ошибка подписи с применением КриптоПро 4.0.9842 Континент АП 3.7.426 на порталах СУФД и ФЗС

======

Важно! Версия Крипто про должна быть не ниже v4.0.9944

Если в BIOS включен Secure Boot, то отключите его.

===

Об особенностях его отключения  в ноутбуках HP рассказывает korfinotdel 

В ноутбуках HP есть некоторая особенность. После изменения в Биосе нужно во время перезагрузки вводить код, который появляется на экране. Иначе изменения не сохранятся. Изначально я первым делом отключил Secure Boot (как я думал), потом начал устанавливать континент АП. Перепробовав все варианты, все посносил и начал разбираться более тщательно. И обратил внимание, что отключение secure boot при нажатии F10 не сохраняется. Уже потом прочитал про спецкод, проверил, что secure boot — disabled, и всё установилось без проблем.

===

Перед установкой удаляем предыдущие версии крипто-про и континент. Не экономим на количестве перезагрузок!

используйте утилиту очистки следов Континент-АПcspcleaner 

(или reg файлы для очистки следов Континента) https://ecp64.ru/forum.html?view=topic&defaultmenu=191&catid=6&id=12&start=465#8521

==============================================================================================

Описание процесса удаления предыдущей версии КАП подробно от «Wmffre»

post=8546 https://ecp64.ru/forum.html?view=topic&catid=6&id=12&start=480#8546

1. Удалите установленный Континент-АП через «Установку и удаление программ»
2. Запустите C:Program FilesSecurity CodeTerminal Stationcspcsp_uninst.exe (если есть)
3. Далее удалите вручную через кнопку «Удалить» (если осталось) «Continent 3 MSE Filter» в свойствах «Подключение по локальной сети«
4. Далее щелкните правой кнопкой мыши на значок «Мой компьютер» —> «Управление» —> левой кнопкой мыши выделите «Диспетчер устройств«, вверху выберете «Вид«, «Показать скрытые устройства» —> далее раскройте «Сетевые адаптеры» и удалите (если осталось) «Continent 3 PPP Device«
5. Далее удалите КриптоПро CSP через утилиту удаления .
6. Обязательно перезагрузитесь
7. После перезагрузки установите КриптоПро CSP 4.0.9944
8. Обязательно перезагрузитесь снова
9. После перезагрузки установите Континент-АП 3.7.5 без сетевого экрана
10. Обязательно перезагрузитесь
11. После перезагрузки, если устанавливали криптопровайдер SecurityCode CSP, сделайте твик реестра (на x86 есть только первая ветвь реестра) для совместной работы КриптоПро CSP и SecurityCode CSP      Криптопро последних версий не использует реестр.

==============================================================================================

=====

Устанавливать Континент АП только из командной строки от имени администратора без межсетевого экрана и криптопровайдера

Continent_AP_3.7.7.651.exe /S /NR /LANG=RU /DO=INSTALL /NMSE /NCSP

Перезагрузка
Прописываем сетевой адрес (или доменное имя) криптошлюза
===================
Про сетевой адрес и доменное имя
Внимание доменное имя здесь показано для примера!
В каждом регионе своё. Необходимо его пропинговать и получить IP адрес

Если вы прописали доменное имя, и нет соединения с сервером, убедитесь что оно успешно пингуется
Попробуйте вместо имени вписать IP и установить соединение

C:UsersAdmin>ping 3900-sd-01.roskazna.ru

Обмен пакетами с ufk72-sd.roskazna.ru [94.25.26.50] с 32 байтами данных: Ответ от 94.25.26.50: число байт=32 время=94мс TTL=51

===================

Чтобы не блокировалась локальная сеть — В свойствах своего сетевого подключения уберите чекбокс с Continent 3 MSE Filter

Будьте внимательны, при установке может проснуться Брандмауэр Windows, даже отключённый, необходимо дать в нём разрешения. Антивирус на время установки лучше выключить. Могут запрашиваться разрешения на установку драйверов — разрешаем

Запускать сам КАП потом тоже лучше от имени администратора.
Но, если установка делалась не из командной строки запуск КАП от имени администратора вам тоже не поможет — возникнут ошибки.

КАП 3.7 не распознаёт ключи сохранённые в реестре в реестре, и в некоторых случаях и не создаёт контейнер в реестре, хотя пишет, что создан. В связи с этим настоятельно рекомендуется создавать контейнер на флешке, откуда легко можно (и нужно!) сделать его копию.

Даже при отключённых обновлениях Windows периодически могут появляться ошибки целостности. Их можно попробовать обойти, обрезав файл c:Program FilesSecurity CodeTerminal Stationintegrity.xml как показано ниже, естественно предварительно сделав копию.

Пример файла integrity.xml Хеш (циферки) у каждого свои!

 <?xml version=»1.0″ encoding=»UTF-8″ standalone=»yes»?>
<integrity><catalog name=»common»><entry name=»ngc.exe»><file>C:Program FilesSecurity CodeTerminal Stationngc.exe</file><hash>EBB64993D92299B11721C324F06299E06143BA7967EDF9C57BCFA546B5A41268</hash></entry></catalog></integrity>

Далее запускаем ngs.exe чтобы убедиться, что проверка целостности проходит успешно.

Могут внезапно появиться ошибки типа «не найден модем»
В связи с тем, что автоматическое восстановление КАП 3.7 происходит в два этапа (удаление-перезагрузка-установка) и установка проходит уже не от администратора восстановление оказывается неэффективным, здесь поможет только удаление и установка КАП

Если вы обладатель «многолетнего» сертификата КАП не копируйте сертификат в контейнер, ибо Криптопро четвёртой версии считает что срок действия ключа не может превышать 15 месяцев, и возникает ошибка доступа к контейнеру. Если сертификата в контейнере нет срок не контролируется.

!!!!!!!!!!!!! ТОЛЬКО ДЛЯ РЕГИОНОВ ГДЕ КРИПТОПРОВАЙДЕР КОД БЕЗОПАСНОСТИ ИСПОЛЬЗУЕТСЯ ДЛЯ ГЕНЕРАЦИИ КЛЮЧА КОНТИНЕНТ-АП

Amana пишет: Установили Континент-АП по инструкции через командную строчку. Но почему-то не установился второй криптопровайдер (код безопасности), с помощью которого надо было сгенерировать ключ.

Это не «почему то», оно специально так задумывалось, чтобы избежать потом проблем с подписанием документов в СУФД и с заявками ФЗС.
Но если он вам точно нужен то при установке убираете ключ /NCSP
Обновить Криптопро до версии минимум 4.0.9944 Переустановите плагин Криптопро.

!!!!!!!!!!!!!

пожелание здоровья разработчикам и распостранителям — непереводимая игра слов
Топикстартер, будьте так любезны, разместите информацию о том, что версия КАП 3.7.5, радостно втюхиваемая казной, откажется импортировать сертификат КАП, в случае если у пользователя куча ЭЦП, например, ЭЦП от Контура или СБИС.

-*-*-*-*-*-*-*-*-*

Alex_04 

—*-*-*-*-*-*-*—*-*

 ~~~~~~~~~~~~~~~~~~~~~~~~~~

ful пишет: Из нашего УФК сообщили, что Континент не работает с 2022 гостом на Крипто про. Для этого рекомендуют ставить Континент с встроенным криптопровайдером, чтоб через него, потом генерировать ключи по новому госту.

В связи с тем, что эта печальная новость подтверждена разработчиками и криптопровайдер понадобится таки для генерации ключей КАП по новому ГОСТ для минимизации глюков остаётся ставить Криптопро и Континент АП последних версий с криптопровайдером. На текущий момент это: 4.0.9955 и 3.7.7.651 соответственно.

Continent_AP_3.7.7.651.exe /S /NR /LANG=RU /DO=INSTALL /NMSE

~~~~~~~~~~~~~~~~~~~~~~~~~~~

Если всё пробовали и ничего не помогло:
Удаляем всё и пробуем ставить КриптоПро и Континент АП последних версий .
На текущий момент это: 4.0.9955 и 3.7.7.651 соответственно.

======================================

Для Windows XP

Для тех, кто все еще использует Windows XP и устанавливает версию 3.7.7: может возникнуть проблема с отсутствием модема, не решаемая переустановкой.

В диспетчере устройств будет не работающее «Continent 3 PPP Device», при попытке задействовать ругается на драйвер.

Подложил файл драйвера от предыдущей версии (в моем случае от 3.7.2) — cont3ppp.sys в C:Windowssystem32drivers, его же нужно исключить из integrity.xml, иначе не пройдет проверку целостности. Потом пересоздаем подключение.

(*) cont3ppp.sys от 3.7.5 тоже подойдёт

====================================

(*) Как попробовать достать контейнер КАП из реестра
cashbuzz.ru/hi-tech/1658-oshibka-podpisi…nent-ap-reshaem.html 
(**) Как обойти ошибку целостности
sufd.ufk20.ru/viewtopic.php?p=17 

Обход ограничений

Эксперименты проводить только убедившись в нормальном функционировании в штатном режиме
(***) Любителям виртуальных отчуждаемых носителей гуглить OsfMount

===============

А если флешку под этот серт. жалко, можно создать логический диск (или использовать имеющийся). КриптоПро считает его типа съемным. Можно скопировать контейнер на него. У меня работает.
и еще — в настройках аутентификации надо ставить «использовать расширенный сертификат»

================

(****) Желающим расшарить соединение КАП гуглить HandyCash или 3proxy

==================