Не подписывает подписью по ГОСТ 2012

[komtrud1174]

Здравствуйте, у нас в VipNet Деловая Почта версии 4.3(2.37273) обнаружена следующая проблема:

Если подписываем подписью которая сделана по уходящему в прошлое  ГОСТу 2001, то письмо подписывается корректно. 

Если же выбираем подпись, сделанную по новому ГОСТ 2012, то выдаёт ошибку "ошибка подписывания текста письма. Ключ не найден (CTFSignFile)"

Ещё пока точно не можем утверждать случайность это или закономерность, но данная проблема замечена уже не на одном компьютере!

В связи с этим возникает вопрос, поддерживает ли вообще VipNet подписи сделанные по ГОСТ 2012 ?

Может быть конкретно наша версия имеет данную проблему?

[R.Sheyn]

Должна поддерживать, обновите csp до 4.2.8, может поможет.

[komtrud1174]

Мы используем сторонние сертификаты полученные в аккредитованном центре. Т.е. с контейнером "КриптоПро" а не "Випнетовский".

Ну и VipNet CSP впрочем 4.2(9.48766)

[zv0r]

А если сертификат в хранилище открыть, там никаких предупреждений нет?

[komtrud1174]

Вроде бы всё чётко! У меня есть два контейнера ключей, один по ГОСТу 2001, другой - 2012.

Оба установлены через "крипоПро CSP", т.е. нажимал "Установить личный сертификат", указывал контейнер, ну т.е. стандартная процедура привязки сертификата ЭП к контейнеру. Оба эти сертификата я могу использовать для входа, например на сайт госуслуги. 

А в программе "Деловая почта" в "Настройки параметров безопасности" - "Электронная подпись" если выбираю подпись ту, которая по ГОС 2001 - то подписывает, а по ГОСТ 2012 - ошибка

[Vintik]

КриптоПро то надеюсь версии 4 ?

[komtrud1174]

КриптоПро 4.0.9842

Да, конечно, я же говорю, с подписью, сделанной по ГОСТ 2012 я могу, например войти на сайт gosuslugi.ru или подписать какой-нибудь документ на сайте zakupki.gov.ru. Т.е. она вот прям работает, подписывает и всё что хочешь, но только не в "Деловой почте".

 

 

[Vintik]

Ну тогда можно пробовать ещё R3 и R4 вам.

[zv0r]

У меня появилась похожая проблема. Только у меня нет ошибок подписания, а внешний сертификат с контейнером в криптопро просто не видится из випнета. Хотя:

1. Сертификат находится в хранилище "Личное".

2. Цепочка сертификатов полная

3. В настройках администратора випнет клиента стоит галка "Разрешить использование сертификатов из хранилища ОС"

4. Там же, на всякий случай, стоит "Игнорировать отсутствие САС"

5. Установил сначала КриптоПРО, потом ViPNet CSP с клиентом в соответствии с рекомендациями криптопро, не забыв внести изменения в реестре в CPRoPatches.

6. КриптоПРО пробовал как 4.0.9963, так и 4.0.9944. 

7. ViPNet Client пробовал как скачать с сайта, так и использовал сертифицированный дистрибутив 4.3.2.46794.

Повторил все действия дополнительно на виртуальной машине с начисто установленной Windows 7 Pro, результат тот же... Потихонечку уже начинаю биться головой об стол.

[R.Sheyn]

36 минут назад, zv0r сказал:

У меня появилась похожая проблема. Только у меня нет ошибок подписания, а внешний сертификат с контейнером в криптопро просто не видится из випнета. Хотя:

1. Сертификат находится в хранилище "Личное".

2. Цепочка сертификатов полная

3. В настройках администратора випнет клиента стоит галка "Разрешить использование сертификатов из хранилища ОС"

4. Там же, на всякий случай, стоит "Игнорировать отсутствие САС"

5. Установил сначала КриптоПРО, потом ViPNet CSP с клиентом в соответствии с рекомендациями криптопро, не забыв внести изменения в реестре в CPRoPatches.

6. КриптоПРО пробовал как 4.0.9963, так и 4.0.9944. 

7. ViPNet Client пробовал как скачать с сайта, так и использовал сертифицированный дистрибутив 4.3.2.46794.

Повторил все действия дополнительно на виртуальной машине с начисто установленной Windows 7 Pro, результат тот же... Потихонечку уже начинаю биться головой об стол.

Где-то был совет, что после установки випнета, когда уже установлен крипто-про, надо сделать "восстановление" крипто-про, пробовали?

[oegorenkov]

Аналогичная проблема, Vipnet client 3.2 КриптоПро 5.0 Не подписывает подписью, выпущеной по ГОСТ 2012. Подписью 2001 без проблем.

5 минут назад, R.Sheyn сказал:

Где-то был совет, что после установки випнета, когда уже установлен крипто-про, надо сделать "восстановление" крипто-про, пробовали?

Восстановление делал, результат тот же 

[zv0r]

2 часа назад, R.Sheyn сказал:

Где-то был совет, что после установки випнета, когда уже установлен крипто-про, надо сделать "восстановление" крипто-про, пробовали?

Проверил. Не помогло. Прямо вот ненавижу, когда мне так говорят, но "раньше то все работало"  Исходные условия, вроде, те же. Но почему-то не заводится и все тут. Может, опять что- то забыл?

UPD: удалил и снова добавил контейнер в криптопро, заново установил для него личный сертификат, заработало. Что же за мистика?

[R.Sheyn]

1 час назад, oegorenkov сказал:

Аналогичная проблема, Vipnet client 3.2 КриптоПро 5.0 Не подписывает подписью, выпущеной по ГОСТ 2012. Подписью 2001 без проблем.

Восстановление делал, результат тот же 

Я вообще не уверен, что 3.2 умеет с 2012 работать.

[Заикающийся]

1 минуту назад, R.Sheyn сказал:

Я вообще не уверен, что 3.2 умеет с 2012 работать.

3.2.13.x - работает без проблем.

[Vintik]

7 минут назад, R.Sheyn сказал:

Я вообще не уверен, что 3.2 умеет с 2012 работать.

Конечно если CSP 3.2.. если выше 4.2 поставить, заработает.

Но я понял тут дело то в CSP КриптоПро, и ВипнетКлиент тут только как VPN работает, но с ДП конечно может ещё что то ещё.

Я только запутался уже кому это надо? Уже троих насчитал: zv0r, komtrud1174, oegorenkov - это уже не случайность.

И я правильно понял у вас ещё на 3-ке Клиент (не буду говорить почему и то что уже незя его...) ИЛИ может что то запутался и на Клиенте-4 тоже проблемы с 2012?

[oegorenkov]

2 часа назад, Vintik сказал:

Конечно если CSP 3.2.. если выше 4.2 поставить, заработает.

Но я понял тут дело то в CSP КриптоПро, и ВипнетКлиент тут только как VPN работает, но с ДП конечно может ещё что то ещё.

Я только запутался уже кому это надо? Уже троих насчитал: zv0r, komtrud1174, oegorenkov - это уже не случайность.

И я правильно понял у вас ещё на 3-ке Клиент (не буду говорить почему и то что уже незя его...) ИЛИ может что то запутался и на Клиенте-4 тоже проблемы с 2012?

Упс, описался. Версия Vipnet Client 4.3(2.46794) КриптоПро 5.0.11319  VipNet CSP 4.2.8. Установлены 2 сертификата в контейнеры. 2001 и 2012. 2001 подписывает 2012 нет. На экране "

Ошибка подписывания текста письма

Ключ не найден (CTFSignFile)" 

[zv0r]

7 минут назад, oegorenkov сказал:

Упс, описался. Версия Vipnet Client 4.3(2.46794) КриптоПро 5.0.11319  VipNet CSP 4.2.8. Установлены 2 сертификата в контейнеры. 2001 и 2012. 2001 подписывает 2012 нет. На экране "

Ошибка подписывания текста письма

Ключ не найден (CTFSignFile)" 

Мне помог следующий порядок действий:

1. Удалил КриптоПРО, перезагрузил

2. Зачистил КриптоПРО с cspclean. Перезагрузил.

3. Удалил VipNet Клиент и CSP, перезагрузил.

4. Удалил папку C:\ProgramData\Infotecs и C:\ProgramData\Infotecs.Admin

5. Удалил папку C:\Program Files (x86)\InfoTeCS

6. Удалил разделы реестра HKCU\Software\Infotecs и HKLM\Software\Infotecs

7. Перезагрузил

8. Поставил КриптоПРО CSP 4.0.9963, в реестре поменял значение параметра HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\CProPatches\Force на 1

9. Перезагрузил

10. Установил Vipnet client 4.3(2.46794), перезагрузил

11. Восстановил через панель управления КриптоПро. Перезагрузил

12. Проверил, чтобы на месте были необходимые корневые и промежуточные сертификаты.

13. Переустановил контейнер в КриптоПРО. Повторно установил личный сертификат.

14. В випнет клиенте зашел в режиме администратора в Сервис - Настройку параметров безопасности и на вкладке Администратор поставил галки "Разрешить использование сертификатов из хранилища ОС" и "Игнорировать отсутствие списков аннулированных сертификатов" (последний необязательно).

15. Чего уж там, лишним не будет, перезагрузил.

Если попробовать подписать через деловую почту, а оно выдаст сообщение об ошибке, типа, отменено пользователем, значит, это вы пытаетесь подписать сертификатом по ГОСТ 2001 и для начала нужно в криптопро вызвать окошко с предупреждением и установить там галку "Больше не показывать это сообщение".

[Vintik]

Ну вот - ура! Спасибо, а то я бы уже начал тестировать.

[AvilonX]

В 19.03.2019 в 15:52, zv0r сказал:

Мне помог следующий порядок действий:

1. Удалил КриптоПРО, перезагрузил

2. Зачистил КриптоПРО с cspclean. Перезагрузил.

3. Удалил VipNet Клиент и CSP, перезагрузил.

4. Удалил папку C:\ProgramData\Infotecs и C:\ProgramData\Infotecs.Admin

5. Удалил папку C:\Program Files (x86)\InfoTeCS

6. Удалил разделы реестра HKCU\Software\Infotecs и HKLM\Software\Infotecs

7. Перезагрузил

8. Поставил КриптоПРО CSP 4.0.9963, в реестре поменял значение параметра HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\CProPatches\Force на 1

9. Перезагрузил

10. Установил Vipnet client 4.3(2.46794), перезагрузил

11. Восстановил через панель управления КриптоПро. Перезагрузил

12. Проверил, чтобы на месте были необходимые корневые и промежуточные сертификаты.

13. Переустановил контейнер в КриптоПРО. Повторно установил личный сертификат.

14. В випнет клиенте зашел в режиме администратора в Сервис - Настройку параметров безопасности и на вкладке Администратор поставил галки "Разрешить использование сертификатов из хранилища ОС" и "Игнорировать отсутствие списков аннулированных сертификатов" (последний необязательно).

15. Чего уж там, лишним не будет, перезагрузил.

Если попробовать подписать через деловую почту, а оно выдаст сообщение об ошибке, типа, отменено пользователем, значит, это вы пытаетесь подписать сертификатом по ГОСТ 2001 и для начала нужно в криптопро вызвать окошко с предупреждением и установить там галку "Больше не показывать это сообщение".

Не помогло, всё так же ругается, и пишет "Ключ не найден" (CheckSignature), в 4.3.2.37273 было "Ключ не найден" (CTFSignFile)

[azz]

Эта проблема решена в ДП версии 4.5.1

[komtrud1174]

А где ж её взять эту версию?

[azz]

Если есть сертификат на поддержку, то в ТП запрашиваете актуальную версию.

[Vintik]

20 минут назад, komtrud1174 сказал:

А где ж её взять эту версию?

Не факт, раз видно что выше на "обычной" смогли. У меня есть версия Client_RUS_4.5.1.54685. Не чего так - процесс установки по начала пугает, в остальном всё тоже самое.

Напишите в сапорт - что хотите потестировать на причину выявления багов.

[Vintik]

33 минуты назад, azz сказал:

Если есть сертификат на поддержку, то в ТП запрашиваете актуальную версию.

Можно ещё по поиску поискать.. я где то на таком нашёл как то:

https://www.tbd.ru/vipnet/programmnoe-obespechenie.php

Но сйчас нет... или таком ftp://donses.ru/ 

....

Но не забывайте это даже не демо, а бето - потому может быть что угодно 

 

От не критичных заметок, до самого ужасного.

А если про серьёзные случаи то конечно нельзя такие версии по требованию, хотя часто только бетки и спасают.

[azz]

Сейчас администраторы прочтут и кому-то попадет за распространение сертифицированных версий без лицензии на передачу СКЗИ.

Ох...

 

И кстати 4.5.1 уже вышел новый билд.55998