Ошибка сохранения сообщения 0x80004005 криптоарм что делать
Перейти к содержимому

Ошибка сохранения сообщения 0x80004005 криптоарм что делать

  • автор:

Ошибка сохранения сообщения 0x80004005 криптоарм что делать

Статус завершения операции: Неудача.
Длительность выполнения операции: 0:00:03.
Входной файл: C:\1.txt
Выходной файл:
Описание ошибки:
Ошибка сохранения сообщения (0x80004005)
Ошибка сохранения сообщения (0x80004005)
Произошла ошибка при создании подписи
Ошибка создания атрибутов усовершенствованной подписи
Произошла внутренняя ошибка в цепочке сертификатов. 0x800b010a)

Причем проверка статусов сертификатов с использованием OCSP проходит (встроенная в криптоАРМ)

Тесты с ocsputil и tsputil тоже не выдают никаких ошибок(выдаются ответы с верными подписями).

Я так понимаю это связано с сертификатом оператора OCSP.

Просмотрел требования http://www.cryptopro.ru/CryptoPro/documentation/cpdn/content/cades/reference.html

Все что там написано реализовано.

сертификат оператора OCSP такой:
C:\OCSPSetup>certutil ocspoperatorlast.cer
X509 Certificate:
Version: 3
Serial Number: 1427ca3300000000001e
Signature Algorithm:
Algorithm ObjectId: 1.2.643.2.2.3 . ? 34.11/34.10-2001
Algorithm Parameters:
05 00
Issuer:
CN=StandROOTCA

NotBefore: 16.11.2007 11:46
NotAfter: 16.11.2008 11:56

Public Key Algorithm:
Algorithm ObjectId: 1.2.643.2.2.19 . ? 34.10-2001
Algorithm Parameters:
0000 30 12 06 07 2a 85 03 02 02 24 00 06 07 2a 85 03
0010 02 02 1e 01
Public Key Length: 512 bits
Public Key: UnusedBits = 0
0000 04 40 c4 34 bd d3 4d d0 a0 c7 a2 dd 1d 7a 77 ff
0010 3d 2b 5e ca 28 ef 8c ed 48 14 49 a4 91 cb 85 da
0020 e3 5e b5 8c 95 59 fe 9c a5 8e 73 b3 89 e0 f0 0b
0030 87 7d 7a b1 8e bd 2b 2a c8 6c 9c 8f 28 d0 ff 29
0040 37 d3
Certificate Extensions: 5
2.5.29.14: Flags = 0, Length = 16
Subject Key Identifier
6c d9 8e ea 1b 32 3b 68 e7 d6 a1 43 a6 65 35 96 bf ea 4e fd

2.5.29.37: Flags = 0, Length = 17
Enhanced Key Usage
. . . OCSP (1.3.6.1.5.5.7.3.9)
Unknown Key Usage (1.3.6.1.5.5.7.48.1.5)

2.5.29.15: Flags = 0, Length = 4
Key Usage
Digital Signature, Non-Repudiation (c0)

2.5.29.35: Flags = 0, Length = 18
Authority Key Identifier
KeyID=07 81 39 d4 c0 56 a4 0c a4 3d 34 18 e3 dd d1 3e e8 76 d7 8c

1.3.6.1.5.5.7.1.1: Flags = 0, Length = 6e
Authority Information Access
[1]Authority Info Access
Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=http://uc/CertEnroll/UC_StandROOTCA.crt
[2]Authority Info Access
Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=file://\\UC\CertEnroll\UC_StandROOTCA.crt

Signature Algorithm:
Algorithm ObjectId: 1.2.643.2.2.3 . ? 34.11/34.10-2001
Algorithm Parameters:
05 00
Signature: UnusedBits=0
0000 e6 f1 6d 72 ef 5c 1e ac 4b 57 8c 37 05 78 92 d3
0010 1b df 55 65 0f 75 80 e5 ae 7b 61 d2 ee be 61 7e
0020 91 fa 5d 42 88 8b 70 3c cf 2b ff 94 4a 95 d2 82
0030 14 af c9 0a 33 5b ee 78 42 82 71 bb 11 d7 75 34
Non-root Certificate
Key Id Hash(sha1): 6c d9 8e ea 1b 32 3b 68 e7 d6 a1 43 a6 65 35 96 bf ea 4e fd
Cert Hash(md5): f5 41 ce 80 d2 fd 32 d7 43 44 5f 8c f5 ae 18 36
Cert Hash(sha1): b3 4e d0 32 63 87 d0 32 69 34 0f 96 bb 99 98 88 8e 5d c3 93
CertUtil: -dump command completed successfully.

16.11.2007 18:06:41 Артем

Приложу сюда так же алгоритм выпуска сертификата OCSP оператора при помощи ЦС от Microsoft (Win2003 server)

1.На ocsp сервере создаем файл ocspoperator.inf со следующим содержанием:

[Version]
Signature= «$Windows NT$»
[NewRequest]
Subject = «CN=Оператор службы OCSP»
KeySpec = 1
KeyLength = 512
Exportable = TRUE
MachineKeySet = FALSE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = «Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider»
ProviderType = 75
RequestType = PKCS10
KeyUsage = 0xc0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.9
[Extensions]
1.3.6.1.5.5.7.48.1.5=BQA=
2. Выполняем комманду certeq -new ocspoperator.inf oscpoperator.p10
3. Выполняем на сервере ЦС комманду certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
4. Отправляем запрос oscpoperator.p10 ЦС через веб интерфейс
5. На сервере ЦС выполняем комманду
echo 05 00>ocspnocheck.txt
6. На сервере ЦС выполняем комманду
certutil -setextension 1.3.6.1.5.5.7.48.1.5 0 @ocspnocheck.txt
7. Выпускаем сертифкат на сервере ЦС
8. Скачиваем сертификат на сервер OCSP
9. Выполняем комманду
certreq -accept
З.Ы. Все это работает если ЦС и OCSP сервер установлены под управлением Windows 2003 server. ЦС установлен как stand alone.

20.11.2007 18:07:22 Артем

1.На ocsp сервере создаем файл ocspoperator.inf со следующим содержанием:

Рутокен ЭЦП 2.0 проблема с ГОСТ 2012 при подкл. по rdp с unix на win7

https://forum.rutoken.ru/uploads/images/2018/12/bb1f16dfe19841045eae5c283d62fc72.png

Доброго дня! ситуация такая — при подключении по rdp с debian на win7 пробрасывается рутокен ЭЦП 2.0( библиотека на debian librtpkcs11ecp_1.8.2.0-1 на win 7 рутокен панель 4.5.2.0) возникает проблема обращения к ключевой информации, выпущенной по ГОСТ 2012 на рутокен ЭЦП 2.0 (с ГОСТ 2001 все нормально) Скриншот — во вложении.

#2 Ответ от Анатолий Убушаев 2018-12-07 13:23:18

  • Анатолий Убушаев
  • Посетитель
  • Неактивен
Re: Рутокен ЭЦП 2.0 проблема с ГОСТ 2012 при подкл. по rdp с unix на win7

Здравствуйте, alrunn!

Подскажите пожалуйста, какой RDP клиент используете?

#3 Ответ от Анатолий Убушаев 2018-12-07 14:13:16

  • Анатолий Убушаев
  • Посетитель
  • Неактивен
Re: Рутокен ЭЦП 2.0 проблема с ГОСТ 2012 при подкл. по rdp с unix на win7

alrunn пишет:

https://forum.rutoken.ru/uploads/images/2018/12/bb1f16dfe19841045eae5c283d62fc72.png

возникает проблема обращения к ключевой информации, выпущенной по ГОСТ 2012 на рутокен ЭЦП 2.0 (с ГОСТ 2001 все нормально) Скриншот — во вложении.

Также предоставьте пожалуйста следующую информацию:
— При каком действии и в какой программе или в сервисе это происходит?
— Какой криптопровайдер используется?
— Если данные действия производить локально на ПК с Windows, такая проблема возникает?

#4 Ответ от alrunn 2018-12-07 15:10:45

Re: Рутокен ЭЦП 2.0 проблема с ГОСТ 2012 при подкл. по rdp с unix на win7

Анатолий Убушаев пишет:

Здравствуйте, alrunn!

Подскажите пожалуйста, какой RDP клиент используете?

использовали два клиента (проблема остается при обоих вариантах)
freerdp2-x11 — 2.0
rdesktop 1.8.3-2+b1

Анатолий Убушаев пишет:

Также предоставьте пожалуйста следующую информацию:
— При каком действии и в какой программе или в сервисе это происходит?
— Какой криптопровайдер используется?
— Если данные действия производить локально на ПК с Windows, такая проблема возникает?

данная ошибка происходит при подписании и зашифровании с помощью ПО КриптоАРМ (версия 5.4.2.258) с помощью ключа выпущенного на ГОСТ 2012 , по итогу возникает ошибка :
«Ошибка сохранения сообщения (0x80004005)
Произошла ошибка при создании подписи
Произошла ошибка при определении размера закодированного сообщения
Искомый ключ отсутствует. (0x8009000d)»

https://forum.rutoken.ru/uploads/images/2018/12/21cc112e2e48f4844f62aa60fc47dcf4.png

Кроме того, при операции копирования контейнера этого ключа (ГОСТ 2012) с помощью КриптоПро CSP 4.0 (4.0.9842) возникает ошибка (ВАЖНО! : с другими ключевыми носителями такого не наблюдается, с другими контейнерами (ГОСТ 2001) также такой ошибки не возникает)
Локально на ПК с windows такой проблемы не возникает.

#5 Ответ от Анатолий Убушаев 2018-12-07 16:55:30

  • Анатолий Убушаев
  • Посетитель
  • Неактивен
Re: Рутокен ЭЦП 2.0 проблема с ГОСТ 2012 при подкл. по rdp с unix на win7

https://forum.rutoken.ru/uploads/images/2018/12/21cc112e2e48f4844f62aa60fc47dcf4.png

Кроме того, при операции копирования контейнера этого ключа (ГОСТ 2012) с помощью КриптоПро CSP 4.0 (4.0.9842) возникает ошибка

Судя по всему, закрытый ключ контейнера является «не экспортируемым».
Проверить можно с помощью «Панели управления Рутокен» во вкладке сертификаты.

alrunn пишет:

данная ошибка происходит при подписании и зашифровании с помощью ПО КриптоАРМ (версия 5.4.2.258) с помощью ключа выпущенного на ГОСТ 2012 , по итогу возникает ошибка :
«Ошибка сохранения сообщения (0x80004005)
Произошла ошибка при создании подписи
Произошла ошибка при определении размера закодированного сообщения
Искомый ключ отсутствует. (0x8009000d)»

Локально на ПК с Windows, «КриптоАРМ» шифрует файлы с помощью ключа на ГОСТ 2012?
Также удостоверьтесь:
— не истекла ли лицензия на КриптоПро CSP?
— корректно ли указан алгоритм шифрования?

#6 Ответ от alrunn 2018-12-10 08:35:17

Re: Рутокен ЭЦП 2.0 проблема с ГОСТ 2012 при подкл. по rdp с unix на win7

Анатолий Убушаев пишет:

Судя по всему, закрытый ключ контейнера является «не экспортируемым».
Проверить можно с помощью «Панели управления Рутокен» во вкладке сертификаты.

Действительно ключ является не экпортируемым ( при подключении по RDP) , но тогда вопрос: почему при локальном подключении с ключом все хорошо, все работает

Анатолий Убушаев пишет:

Локально на ПК с Windows, «КриптоАРМ» шифрует файлы с помощью ключа на ГОСТ 2012?

Локально все хорошо, шифрует без ошибок.

Анатолий Убушаев пишет:

— не истекла ли лицензия на КриптоПро CSP?
— корректно ли указан алгоритм шифрования?

с лицензией и настройками алгоритма тоже все хорошо

#7 Ответ от Анатолий Убушаев 2018-12-10 15:29:40

  • Анатолий Убушаев
  • Посетитель
  • Неактивен
Re: Рутокен ЭЦП 2.0 проблема с ГОСТ 2012 при подкл. по rdp с unix на win7

alrunn пишет:

Действительно ключ является не экпортируемым ( при подключении по RDP) , но тогда вопрос: почему при локальном подключении с ключом все хорошо, все работает

Спасибо за предоставленную информацию.
Проверьте пожалуйста, данная схема работает если подключаться с Windows к Windows по RDP?

#8 Ответ от alrunn 2018-12-11 07:58:35

Re: Рутокен ЭЦП 2.0 проблема с ГОСТ 2012 при подкл. по rdp с unix на win7

Анатолий Убушаев пишет:
alrunn пишет:

Действительно ключ является не экпортируемым ( при подключении по RDP) , но тогда вопрос: почему при локальном подключении с ключом все хорошо, все работает

Спасибо за предоставленную информацию.
Проверьте пожалуйста, данная схема работает если подключаться с Windows к Windows по RDP?

Да, данная схема работает

#9 Ответ от Анатолий Убушаев 2018-12-11 11:33:19 (2018-12-11 11:35:01 отредактировано Анатолий Убушаев)

  • Анатолий Убушаев
  • Посетитель
  • Неактивен
Re: Рутокен ЭЦП 2.0 проблема с ГОСТ 2012 при подкл. по rdp с unix на win7

alrunn пишет:
Анатолий Убушаев пишет:
alrunn пишет:

Действительно ключ является не экпортируемым ( при подключении по RDP) , но тогда вопрос: почему при локальном подключении с ключом все хорошо, все работает

Спасибо за предоставленную информацию.
Проверьте пожалуйста, данная схема работает если подключаться с Windows к Windows по RDP?

Да, данная схема работает

В таком случае вероятнее всего проблема с клиентом RDP в Linux. В чём конкретно проблема, пока сложно сказать, т.к. мы не являемся разработчиками данного ПО, да к тому же данные RDP клиенты не являются официальными от Майкрософт.
Можем Вам посоветовать попробовать ещё один RDP клиент — «Remmina».

#10 Ответ от alrunn 2018-12-11 13:48:33

Re: Рутокен ЭЦП 2.0 проблема с ГОСТ 2012 при подкл. по rdp с unix на win7

Анатолий Убушаев пишет:
alrunn пишет:
Анатолий Убушаев пишет:

Спасибо за предоставленную информацию.
Проверьте пожалуйста, данная схема работает если подключаться с Windows к Windows по RDP?

Да, данная схема работает

В таком случае вероятнее всего проблема с клиентом RDP в Linux. В чём конкретно проблема, пока сложно сказать, т.к. мы не являемся разработчиками данного ПО, да к тому же данные RDP клиенты не являются официальными от Майкрософт.
Можем Вам посоветовать попробовать ещё один RDP клиент — «Remmina».

Интересно, кл.носители eToken работают нормально.

#11 Ответ от Анатолий Убушаев 2018-12-11 16:01:07

  • Анатолий Убушаев
  • Посетитель
  • Неактивен
Re: Рутокен ЭЦП 2.0 проблема с ГОСТ 2012 при подкл. по rdp с unix на win7

alrunn, странно.
Протестировали у себя на стенде, с такой проблемой не столкнулись.
Конфигурация:
Сервер — Windows 8 c установленными КриптоПро 4.0.9944, КриптоАРМ 5.4.2.258,
Клиент — Ubuntu 16.04 c установленным клиентом Remmina, с включенной поддержкой проброса смарт-карт.

Тестировали «подпись и шифрование» файлов с алгоритмами GOST R 34.10-2012 256 бит и 512 бит.

Теперь хотелось бы узнать более подробно про параметры которые Вы указываете при «подписании и шифровании» файлов.
Либо мы можем подключиться к Вам удаленно для ускорения процесса. Для этого установите и запустите наш клиент TeamViewer QS, сообщите нам в ответ на этот пост и ожидайте подключение.

#12 Ответ от alrunn 2018-12-13 15:54:07

Re: Рутокен ЭЦП 2.0 проблема с ГОСТ 2012 при подкл. по rdp с unix на win7

Анатолий Убушаев пишет:

alrunn, странно.
Протестировали у себя на стенде, с такой проблемой не столкнулись.
Конфигурация:
Сервер — Windows 8 c установленными КриптоПро 4.0.9944, КриптоАРМ 5.4.2.258,
Клиент — Ubuntu 16.04 c установленным клиентом Remmina, с включенной поддержкой проброса смарт-карт.

Тестировали «подпись и шифрование» файлов с алгоритмами GOST R 34.10-2012 256 бит и 512 бит.

Теперь хотелось бы узнать более подробно про параметры которые Вы указываете при «подписании и шифровании» файлов.
Либо мы можем подключиться к Вам удаленно для ускорения процесса. Для этого установите и запустите наш клиент TeamViewer QS, сообщите нам в ответ на этот пост и ожидайте подключение.

Тесты проводились на следущих ОС:
Linux G-3-240 3.16.0-4-amd64 #1 SMP Debian 3.16.43-2 (2017-04-30) x86_64 GNU/Linux
Distributor ID: Debian
Description: Debian GNU/Linux 9.0 (stretch)
Release: 9.0
Codename: stretch
Linux G-4-195 3.16.0-7-686-pae #1 SMP Debian 3.16.59-1 (2018-10-03) i686 GNU/Linux
Description: Debian GNU/Linux 8.11 (jessie)
Release: 8.11
Codename: jessie
Linux G-3-195 4.9.0-8-amd64 #1 SMP Debian 4.9.130-2 (2018-10-27) x86_64 GNU/Linux
Description: Debian GNU/Linux 9.6 (stretch)
Release: 9.6
Codename: stretch

RDP-клиенты:
rdesktop 1.8.3-2+b1 amd64
remmina 1.2.32.1+dfsg-1~bpo9+1 amd64

Удаленная машина:
Windows 7 SP1 Pro 32x
Дравера Rutoken:
Rutoken Driver 4.5.2
Rutoken Driver 4.6.0

В любой комбинации ОС/RDP-клиент/Rutoken Driver выходила ошибка.
Шаблон для КриптоАРМ:
Кодировка и расширение DER/base64
Свойства подписи Включить время создания подписи.
Сертификат ГОСТ 2012/512
Кодировка и расширение DER/base64
Режим шифрования для отправителя сообщения Тотже сиртификат ГОСТ 2012/512 https://forum.rutoken.ru/uploads/images/2018/12/8fb036d9dbbc9b086363fbe3405527cf.png https://forum.rutoken.ru/uploads/images/2018/12/2eda84c8022a1e3491a3246c81868909.png https://forum.rutoken.ru/uploads/images/2018/12/4e09699a71c0a467435ac94b0e229164.png https://forum.rutoken.ru/uploads/images/2018/12/727e2bcea423d904f6c1ea8d423bbb13.png https://forum.rutoken.ru/uploads/images/2018/12/797689d1a644554c3cc8fb40e6bbf918.png https://forum.rutoken.ru/uploads/images/2018/12/c6a56b2235590c4a7ed10a37322afce8.png

#13 Ответ от Анатолий Убушаев 2019-01-09 16:30:22

  • Анатолий Убушаев
  • Посетитель
  • Неактивен
Re: Рутокен ЭЦП 2.0 проблема с ГОСТ 2012 при подкл. по rdp с unix на win7

Здравствуйте, alrunn!
Извиняемся за столь долгий отклик.

Актуальна ли ещё проблема?
Если да, мы можем подключиться к Вам удаленно. Для этого установите и запустите наш клиент TeamViewer QS, сообщите нам в ответ на этот пост и ожидайте подключение.

Спасибо за понимание.

#14 Ответ от alrunn 2019-02-11 09:33:05

Re: Рутокен ЭЦП 2.0 проблема с ГОСТ 2012 при подкл. по rdp с unix на win7

Добрый день, проблема все еще актуальна, прошу дать контакты для того, чтобы сориентироваться по времени удаленного подключения.

Сообщений 14

Страницы 1

Форум Рутокен → Техническая поддержка разработчиков → Рутокен ЭЦП 2.0 проблема с ГОСТ 2012 при подкл. по rdp с unix на win7

  • Телефон +7 (495) 925-77-90
  • 1994- © Компания «Актив»
  • Москва , улица Шарикоподшипниковская, дом 1
  • График работы: понедельник-пятница с 10:00 до 18:00

Ошибка сохранения сообщения 0x80004005 криптоарм что делать

Ошибка сохранения сообщения (0x80004005)

Ошибка сохранения сообщения (0x80004005)

Error initialize resource dll

Как выглядит ошибка:

Проверьте пожалуйста наличие библиотек: DigtTSPClient.dll по этому пути

Или в настройках КриптоАРМа в меню Профили — Управление профилями — профиль с зеленой галочкой открыть двойным кликом мыши — присутствует ли в меню слева пункты TSP и OCSP ?

Если библиотека или ветка TSP в настройках отсутствуют, то запустите снова установочный файл trusteddesktop.exe , выберите настраиваемую установку и включите модули TSP и OCSP . Когда установка завершится, повторите подписание.

Ошибка сохранения сообщения 0x80004005 криптоарм что делать

Текст ошибки:

Ошибка сохранения сообщения (0x80004005)

Ошибка сохранения сообщения (0x80004005)

Произошла ошибка при создании подписи

Произошла ошибка при определении размера закодированного сообщения

Отказано в доступе. (0x80090010)

Как выглядит ошибка:

Screenshot_2.jpg

Переустановите ваш сертификат через КриптоПро CSP так: Перейдите на вкладку Сервис, далее Просмотреть сертификаты в контейнере, затем Обзор, выберите контейнер и нажмите Установить.

Если переустановка не поможет, то проверьте контейнер ключа при помощи кнопки Протестировать на той же вкладке. Если в результате тестирования возникнет ошибка “Использование ключа обмена запрещено. Срок действия закрытого ключа истек. Срок действия закрытого ключа не может превышать 3 года для неизвлекаемых ключей, хранящихся на ФКН и на HSM, и 1 год 3 месяца для прочих ключей”, то подписать этим сертификатом вам не удастся, нужно получить новый сертификат.

Также вероятная причина ошибки это ограничение прав доступа к ресурсу, на котором находится ключевой контейнер. Например в следующей статье описана похожая ошибка на серверной Windows, где причиной было ограничение прав пользователя к флешке на которой находился ключевой контейнер.

Также возможно ограничение прав на ветку реестра с контейнером, так как понадобятся не только права чтения, но и права записи.

Ключи носителя «реестр» КриптоПро CSP хранит в следующей ветке реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\\Keys

Пользователю в разрешениях (доступно из контекстного меню для ветки реестра) должен быть предоставлен полный доступ (начиная с раздела ).

Если не получается исправить эту ошибку добавлением прав пользователя для носителя контейнера, то с этим вопросом стоит обратиться в техподдержку компании КриптоПРО.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *