Назначение Криптопровайдера Для Outlook 2010

[Maxim315]

Добрый день.

Внедряем s/mime подпись в outlook для всех пользователей в домене. Все клиентские ОС - Win 7. Возникли проблемы у тех пользователей, у которых установлен ViPNET. Я не специалист по vipnet и, как оказалось, что эта система интегрирует в систему свой криптопровайдер в том числе для Outlook. Сертификат для эл, почты пользователю выдался, в профиле outlook он назначается, однако при попытке отправить сообщение с цифровой подписью - Выскакивает окошко: "Неожиданная ощибка ...". В журнале Windows появляются error от infotecs cryptographic service provider - это как раз криптопровайдер от vipnet.

В шаблоне сертификата используется CSP Microsoft Enhanced Cryptographic Provider, дефолтный для windows систем. Не знаю почему, но получается что outlook пытается вызвать CSP именно VIPnet, а так как сертификат не по гостовскому алгоритму и т.д. - ошибка. Что странно, так то, что типы криптопровайдеров-то вообще разные: для випнетовского 2, а для RSA 1.

Как для outlook назначить CSP по умолчанию Microsoft Enhanced Cryptographic Provider ? Желательно бы групповые политиками, но не нашел параметра.

[Maxim315]

Граждане, прошу совета, каких-то действий. названная ошибка/проблема еще актуальна, наблюдается только на ПК с установленным c Vipnet. С VIPnet особо никогда не имел дело, поэтому не знаю куда копать даже.

[slavanchuk]

Во-первых, о какой программе VipNet и какой версии идёт речь? VipNet CSP? Vipnet Client? Во-вторых, насколько мне известно, CryptoAPI (через которое работает MS Outlook и множество других программ) не позволяет выбрать конкретный криптопровайдер. Программа выбирает тот криптопровайдер, который наиболее ей подходит (реализует все требуемые алгоритмы). Возможно, при опросе криптопровайдеров (инициализации) происходит какой-то сбой (ещё до выбора того, что нужно использовать). Нужно смотреть специальными утилитами какого рода ошибка происходит (например, processmonitor).

[Maxim315]

Во-первых, о какой программе VipNet и какой версии идёт речь? VipNet CSP? Vipnet Client? Во-вторых, насколько мне известно, CryptoAPI (через которое работает MS Outlook и множество других программ) не позволяет выбрать конкретный криптопровайдер. Программа выбирает тот криптопровайдер, который наиболее ей подходит (реализует все требуемые алгоритмы). Возможно, при опросе криптопровайдеров (инициализации) происходит какой-то сбой (ещё до выбора того, что нужно использовать). Нужно смотреть специальными утилитами какого рода ошибка происходит (например, processmonitor).

Используется VipNet Client. Пробовали переустанавливать vipnet - не помогло. Вот видимо штука и том, что vipnet назначает себя основным и заставляет все поддерживаемые программы (включая outlook) вызывать именно его криптопровайдер... process monitor ваозможно попробую, однако ошибка пишется в журнале windows: ошибка инициализации infotecs cryptographic service provider - это как раз криптопровайдер от vipnet.

[slavanchuk]

Ну, ни один криптопровайдер ещё не заставлял работать именно через себя. Может, остальная криптография слегла или vipnet csp инициализироваться не может. А вот почему - нужен подробный анализ.

[Maxim315]

Ну, ни один криптопровайдер ещё не заставлял работать именно через себя. Может, остальная криптография слегла или vipnet csp инициализироваться не может. А вот почему - нужен подробный анализ.

Что в себя включает подробный анализ, кроме process monitor, что вы выше посоветовали? Согласно журналам windows, как раз сбой инициализации у vipnet. На technet'e посоветовали переустановку ViPNet, с отключением установки его криптопровайдера. Такое возможно? Будет работать защищённая сеть?

[slavanchuk]

В установщике нет возможности отключить установку криптопровайдера. В 4.0, вроде бы, такой функционал есть, но не в 3.2. Можно попробовать криптопровайдер просто выкорчевать (удалить информацию о нём из реестра), если он Вам не нужен.

[AnTonN(c)]

Криптопровайдер можно отключить через Настройки параметров безопасности с последующим перезагрузом.

[slavanchuk]

То есть, если снять галку "использовать криптопровайдер vipnet csp", то система к нему обращаться не будет?

[AnTonN(c)]

Именно так.

Технически CSP разрегистрируется в системе как криптопровайдер - выставит значение в реестре 0 (не помню какая ветка).

[slavanchuk]

Понятно. Возьму на заметку.

[Maxim315]

Криптопровайдер можно отключить через Настройки параметров безопасности с последующим перезагрузом.

Ага, нашел эту галку. Попробую снять ее. А на общую работоспособность випнета это не повляет? Подписание документов в деловой почте не требуется. Edited September 27, 2013 by Maxim315

[AnTonN(c)]

На шифрование сетевого трафика ЭЦП в ViPNet не влияет. Эт ж не ipsec

[slavanchuk]

А если использовать ассиметричные ключи шифрования?

[AnTonN(c)]

Начиная с версии 3 ассимметрию между клиентами убрали.

[slavanchuk]

Невостребованный был функционал?

[AnTonN(c)]

Точно не скажу, но вроде из-за этого.

[Maxim315]

Отключение данной галочки помогло. Еще помогло (на другом проблемном пк попробовал) переустановка випнет с заново собранного dst с новым сертификатом.

[Komplinov]

Подскажите где именно находится галочка "использовать криптопровайдер vipnet csp", в MS Outlook 2010? Необходимо, чтобы именно Outlook нормально работал на отправку, т.к. сам криптопровайдер необходим для работы на этом компьютере сдачи отчетности через 1С.

[AnTonN(c)]

Нужды в такой галке нет, так как для outlook необходим только сертификат. Если нажать подписать, то outlook через api найдет криптопровайдер сам. Другими словами outlook не общается с криптопровайдером напрямую. Только через api