Vipnet CSP 4.5.0.64109 Не строит цепочку

[MythOfTheLight]

При использовании Vipnet CSP 4.5.0.64109 при попытке подписания в мед системе выдаёт ошибку что не может построить цепочку. Идём на страницу проверки работы подписей с сайта "Криптопро Плагин" и получаем вывод:

"Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)"

 

Откатившись на версию 4.2.11 - работает без проблем.

[kelz]

Выглядит так как будто нет корневого сертификата, но непонятно почему тогда 4.2.11 работает.

Попробуйте включить журнал событий Applications and Services Logs -> Microsoft -> Windows ->CAPI2 -> Operational и повторить построение цепочки. В журнале осядут события о невозможности построить цепочку, в деталях будут подробности что именно не получилось.   

[Dmitrii A.]

Так же в указанной версии, как и впрочем версии 4.4 наблюдаются проблемы со входом на сайт госуслуг. Подробное письмо с описанием проблемы направлял на адрес betatest@infotecs.ru 26 августа. Ниже текст из письма:

При установке бета-версии Vipnet CSP 4.5 0.64109  в Windows 10 обнаружилась проблема со входом на сайт Госуслуг посредством электронной подписи.

При корректном определении USB-токена носителя электронной подписи всем прикладным программных обеспечением (JaCarta 2.12 и Vipnet CSP 4.5), корректно установленным корневым сертификатам и спискам отзыва не удается выполнить вход на сайт госуслуг. Сайт находит и запрашивает сертификат, явно обращается к токену, а затем на последнем шаге (в случае версии CSP 4.2 необходимо было подождать 15-20 секунд) процесс входа нарушается. В логах плагина Госуслуг следующие сообщения (сам лог полностью во вложении):

2020-08-26 15:05:20.042:capi_engine-VIPNet:pkey_gost01_cp_sign_2012_256:ERROR:CryptSignHash failed: 0x8009000d:gost_pmeth.c:688
2020-08-26 15:05:20.043:capi_engine-VIPNet:pkey_gost01_cp_sign_2012_256:FAILED
2020-08-26 15:05:20.044:capi_engine-VIPNet:gost_digest_cleanup:STARTED ctx = 005CE7C4
2020-08-26 15:05:20.044:capi_engine-VIPNet:gost_digest_cleanup:digest_ctx->buff = 024DCAD0
2020-08-26 15:05:20.044:capi_engine-VIPNet:gost_digest_cleanup:PASSED
2020-08-26 15:05:20.045:capi_engine-VIPNet:gost_digest_cleanup:STARTED ctx = 02495EA0
2020-08-26 15:05:20.045:capi_engine-VIPNet:gost_digest_cleanup:digest_ctx->buff = 024E17A0
2020-08-26 15:05:20.045:capi_engine-VIPNet:gost_digest_cleanup:PASSED
2020-08-26 15:05:20.046:IFC:make_cms:ERROR:CMS_final failed:sign_cms.c:548
2020-08-26 15:05:20.046:IFC:make_cms:result [NULL]
2020-08-26 15:05:20.047:IFC:do_work_sign_cms:ERROR:make_cms error:sign_cms.c:379
2020-08-26 15:05:20.639:IFC:do_work_sign_cms:result [1]
2020-08-26 15:05:20.640:IFC:ifc_sign:result [1]
2020-08-26 15:05:20.640:WEBLIB:process_request:Response string(length = 16) = "{"error_code":1}"

 

В версии 4.4 при операционной системе Windows 7 (и 10) проблема так же присутствует.

С сертифицированной версией ПО Vipnet CSP 4.2 такой проблемы не наблюдается, но к  сожалению она  не совместима с сертифицированным Антивирусом Касперского (проблема "чёрного экрана" у вас на форуме описана и решение установить более позднюю версию CSP). 

P.S.: в дополнение. При проверке работоспособности браузерного плагина крипто-про, получаю похожую ошибку: https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Выдан: 25.08.2020 08:44:00 UTC
Действителен до: 25.08.2021 08:44:00 UTC
Криптопровайдер: Infotecs GOST 2012/512 Cryptographic Service Provider
Ссылка на закрытый ключ: Библиотека поставщика проинициализирована неправильно. (0x8009001D)
Алгоритм ключа: ГОСТ Р 34.10-2012 256
Статус: Ошибка при проверке цепочки сертификатов
Установлен в хранилище: Да

В 4.2 данный тест проходит без ошибок.

Изменено 1 Сентября 2020 пользователем Dmitrii A.
Дополнение https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

[kelz]

Хм, может плагин открывает криптопровайдер с типом 2 вместо 77 типа из сертификата? Такое раньше могло прокатывать.

Попробуйте включить логи HKLM\SOFTWARE\WOW6432Node\Itcs\Logs\Itcspp, Level=0xFF

[Dmitrii A.]

1 час назад, kelz сказал:

Хм, может плагин открывает криптопровайдер с типом 2 вместо 77 типа из сертификата? Такое раньше могло прокатывать.

Попробуйте включить логи HKLM\SOFTWARE\WOW6432Node\Itcs\Logs\Itcspp, Level=0xFF

Перезагружать надо? А где логи смотреть?

В системном журнале випнета ошибка:

Сразу после выбора сертификата на сайте госуслуг:

Получение параметра контейнера ключа:
Контекст провайдера: 0x13
Код параметра: 0x2
Код ошибки: 0x103

И потом еще:

Вычисление ЭП на хэш.
Контекст провайдера: 0x11
Контекст хэширования: 0x967360
Тип ключа: 0x1
Флаги: 0x0
Длина подписи: 0x40
Код ошибки: 0x8009000D

[kelz]

Логи смотреть с помощью dbgvew (линк), нужно включить галочку Capture Global Win32.  Перезагрузка как правило не требуется, достаточно перезапустить процесс

[Vintik]

Типичный случай, сплош и рядом. Каспера нет и т.п. защитника? Установку запускаете строго "Руна АС"? Випнет одной версии просто у вас "въелся" в ОС и его надо выкорчовывать теперь. ОС не 10-ка? Если нет или даже да (точку не забывайте делать обязательно всегда) попробуйте поставить сертиф 4.2.8, бывает исправляет, но если у вас бетка не просто так и контейнер уже только к бетки, то ставить надо чтоб его торкнуло, а потом можно 4.5. Я исправляя ошибку "пропажи сертификата" в налоговой утилите с 4.4 у себе ставил 4.4 на 4.2.8 и потом на 4.4 - 4.5 - цепочка в норме.

 

Думаю вам даже цепочку не надо проверять, самое простое идите в корневые и смотрите Минкомсвязи рабочий или нет - обычно с такой ошибкой нет.

И дополнительно проверьте нет ли Континет CSP и не было ли, он тоже портит часто такую работу и надо в реестре его выкорчёвывать.

 

[kelz]

С корневым там должно быть всё в порядке потому что откат на 4.2.11 решает проблему. Скорее всего проблема на стыке плагина и csp. Раньше можно было открыть провайдер с типом 2 и с помощью него проверить сертификат с алгоритмами 2012 года. Скорее всего плагин так и делает.