Jump to content

Recommended Posts

Добрый день.

Внедряем s/mime подпись в outlook для всех пользователей в домене. Все клиентские ОС - Win 7. Возникли проблемы у тех пользователей, у которых установлен ViPNET. Я не специалист по vipnet и, как оказалось, что эта система интегрирует в систему свой криптопровайдер в том числе для Outlook. Сертификат для эл, почты пользователю выдался, в профиле outlook он назначается, однако при попытке отправить сообщение с цифровой подписью - Выскакивает окошко: "Неожиданная ощибка ...". В журнале Windows появляются error от infotecs cryptographic service provider - это как раз криптопровайдер от vipnet.

В шаблоне сертификата используется CSP Microsoft Enhanced Cryptographic Provider, дефолтный для windows систем. Не знаю почему, но получается что outlook пытается вызвать CSP именно VIPnet, а так как сертификат не по гостовскому алгоритму и т.д. - ошибка. Что странно, так то, что типы криптопровайдеров-то вообще разные: для випнетовского 2, а для RSA 1.

Как для outlook назначить CSP по умолчанию Microsoft Enhanced Cryptographic Provider ? Желательно бы групповые политиками, но не нашел параметра.

Share this post


Link to post
Share on other sites

Граждане, прошу совета, каких-то действий. названная ошибка/проблема еще актуальна, наблюдается только на ПК с установленным c Vipnet. С VIPnet особо никогда не имел дело, поэтому не знаю куда копать даже.

Share this post


Link to post
Share on other sites

Во-первых, о какой программе VipNet и какой версии идёт речь? VipNet CSP? Vipnet Client? Во-вторых, насколько мне известно, CryptoAPI (через которое работает MS Outlook и множество других программ) не позволяет выбрать конкретный криптопровайдер. Программа выбирает тот криптопровайдер, который наиболее ей подходит (реализует все требуемые алгоритмы). Возможно, при опросе криптопровайдеров (инициализации) происходит какой-то сбой (ещё до выбора того, что нужно использовать). Нужно смотреть специальными утилитами какого рода ошибка происходит (например, processmonitor).

Share this post


Link to post
Share on other sites

Во-первых, о какой программе VipNet и какой версии идёт речь? VipNet CSP? Vipnet Client? Во-вторых, насколько мне известно, CryptoAPI (через которое работает MS Outlook и множество других программ) не позволяет выбрать конкретный криптопровайдер. Программа выбирает тот криптопровайдер, который наиболее ей подходит (реализует все требуемые алгоритмы). Возможно, при опросе криптопровайдеров (инициализации) происходит какой-то сбой (ещё до выбора того, что нужно использовать). Нужно смотреть специальными утилитами какого рода ошибка происходит (например, processmonitor).

Используется VipNet Client. Пробовали переустанавливать vipnet - не помогло. Вот видимо штука и том, что vipnet назначает себя основным и заставляет все поддерживаемые программы (включая outlook) вызывать именно его криптопровайдер... process monitor ваозможно попробую, однако ошибка пишется в журнале windows: ошибка инициализации infotecs cryptographic service provider - это как раз криптопровайдер от vipnet.

Share this post


Link to post
Share on other sites

Ну, ни один криптопровайдер ещё не заставлял работать именно через себя. Может, остальная криптография слегла или vipnet csp инициализироваться не может. А вот почему - нужен подробный анализ.

Share this post


Link to post
Share on other sites

Ну, ни один криптопровайдер ещё не заставлял работать именно через себя. Может, остальная криптография слегла или vipnet csp инициализироваться не может. А вот почему - нужен подробный анализ.

Что в себя включает подробный анализ, кроме process monitor, что вы выше посоветовали? Согласно журналам windows, как раз сбой инициализации у vipnet. На technet'e посоветовали переустановку ViPNet, с отключением установки его криптопровайдера. Такое возможно? Будет работать защищённая сеть?

Share this post


Link to post
Share on other sites

В установщике нет возможности отключить установку криптопровайдера. В 4.0, вроде бы, такой функционал есть, но не в 3.2. Можно попробовать криптопровайдер просто выкорчевать (удалить информацию о нём из реестра), если он Вам не нужен.

Share this post


Link to post
Share on other sites

Криптопровайдер можно отключить через Настройки параметров безопасности с последующим перезагрузом.

Share this post


Link to post
Share on other sites

То есть, если снять галку "использовать криптопровайдер vipnet csp", то система к нему обращаться не будет?

Share this post


Link to post
Share on other sites

Именно так.

Технически CSP разрегистрируется в системе как криптопровайдер - выставит значение в реестре 0 (не помню какая ветка).

Share this post


Link to post
Share on other sites

Понятно. Возьму на заметку.

Share this post


Link to post
Share on other sites

Криптопровайдер можно отключить через Настройки параметров безопасности с последующим перезагрузом.

Ага, нашел эту галку. Попробую снять ее. А на общую работоспособность випнета это не повляет? Подписание документов в деловой почте не требуется. Edited by Maxim315

Share this post


Link to post
Share on other sites

На шифрование сетевого трафика ЭЦП в ViPNet не влияет. Эт ж не ipsec

Share this post


Link to post
Share on other sites

А если использовать ассиметричные ключи шифрования?

Share this post


Link to post
Share on other sites

Начиная с версии 3 ассимметрию между клиентами убрали.

Share this post


Link to post
Share on other sites

Невостребованный был функционал?

Share this post


Link to post
Share on other sites

Отключение данной галочки помогло. Еще помогло (на другом проблемном пк попробовал) переустановка випнет с заново собранного dst с новым сертификатом.

Share this post


Link to post
Share on other sites

Подскажите где именно находится галочка "использовать криптопровайдер vipnet csp", в MS Outlook 2010? Необходимо, чтобы именно Outlook нормально работал на отправку, т.к. сам криптопровайдер необходим для работы на этом компьютере сдачи отчетности через 1С.

Share this post


Link to post
Share on other sites

Нужды в такой галке нет, так как для outlook необходим только сертификат. Если нажать подписать, то outlook через api найдет криптопровайдер сам. Другими словами outlook не общается с криптопровайдером напрямую. Только через api

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.