Встановлення скрізь криптопро на віртуальну машину. Сбіс на віртуальній машині під керуванням hyper-v

1 етап. Проходження тестування (взаємодія з тестовим контуром ГІС ГМП) # Адреса сервісу ГІС ГМП тестовий:
gisgmp.wsdlLocation=http://213.59.255.182:7777/gateway/services/SID0003663?wsdl
gisgmp.wsdlLocation.endPoint=http://213.59.255.182:7777/gateway/services/SID0003663
Ця адреса прописується в налаштуваннях СП. Додатково потрібно прописати у файлі налаштувань логування, вказавши значення TRACE. Після внесення зазначених значень потрібно запустити СП та клієнт АЦК (перезапустити, якщо вже був запущений) Далі, із ЗОР або Заявки БО/АУ на виплату коштів потрібно виконати дію "Створити Відомість про платеж", якщо будуть пройдені системні контролі - то створиться Зведення про платіж. Яке згодом потрібно буде вивантажити.
Після вивантаження потрібно перевірити статус дією "Запит статусу обробки". Після чого ЕД Відомості про платеж переходить на статус "Прийнятий ГІС ГМП" -...

Дано:Таблиця MSG (повідомлення) з великою кількістю записів.
CREATETABLEmsg(idINTEGERNOTNULLPRIMARYKEY,descriptionCHAR(50)NOTNULL, date_createDATE);
Завдання:
Необхідно очистити таблицю даних/
Рішення:Для вирішення цього завдання є кілька способів. Нижче опис та приклад кожного з них.
Найпростіший спосіб ( перший варіант) - Виконання оператора видалення запису. При його виконанні ви бачитимете результат (скільки записів видалено). Зручна штука коли необхідно точно знати і розуміти, чи правильні дані видалені. АЛЕ має недоліки над іншими варіантами вирішення поставленого завдання.

DELETE FROMmsg;--Видаляє всі рядки в таблиці --Видалить всі рядки, у яких дата створення "2019.02.01" DELETE FROMmsg WHEREdate_create="2019.02.01";

Другий варіант. Використання оператора

Доброго дня! Останні два дні у мене було цікаве завдання щодо пошуку рішення на ось таку ситуацію, чи є фізичний чи віртуальний сервер, На ньому встановлена ​​напевно багатьом відома КриптоПРО. На сервер підключено , який використовується для підпису документів для ВТБ24 ДБО. Локально на Windows 10 все працює, а от на серверній платформі Windows Server 2016 та 2012 R2, Криптопро не бачить ключ JaCarta. Давайте розбиратися в чому проблема і як її виправити.

Опис оточення

Є віртуальна машина на Vmware ESXi 6.5, як операційної системиінстальовано Windows Server 2012 R2 . На сервері стоїть КриптоПРО 4.0.9944, остання версія на поточний момент. З мережевого USB хаба, за технологією USB over ip, підключено ключ JaCarta. Ключ у системі бачиться, А ось у КриптоПРО немає.

Алгоритм вирішення проблем із JaCarta

КриптоПРО часто викликає різні помилки в Windows, простий приклад (Windows installer service could not be accessed). Ось так виглядає ситуація, коли утиліта КриптоПРО не бачить сертифікат у контейнері.

Як видно в утиліті UTN Manager ключпідключений, він бачиться в системі в смарт картах у вигляді Microsoft Usbccid (WUDF) пристрою, але CryptoPRO, цей контейнер не визначає і у вас немає можливості встановити сертифікат. Локально токен підключали, все було те саме. Почали думати що зробити.

Можливі причини визначення контейнера

1. По-перше, це проблема з драйверами, наприклад, у Windows Server 2012 R2, JaCarta в ідеалі має визначатися в списку смарт карт як JaCarta Usbccid Smartcard, а не Microsoft Usbccid (WUDF)
2. По-друге, якщо пристрій бачиться як Microsoft Usbccid (WUDF), то версія драйверів може бути застарілою, і через що ваші утиліти будуть не визначати захищений USB носій.
3. Застаріла версія CryptoPRO

Як вирішити проблему, що криптопро не бачить USB ключ?

Створили нову віртуальну машину та стали ставити софт все послідовно.

Перед встановленням будь-якого програмного забезпеченняпрацює з USB носіями на яких знаходяться сертифікати та закриті ключі. Потрібно ОБОВ'ЯЗКОВОвідключити токен, якщо встромлять локально, то відключаємо його, якщо по мережі, розриваємо сесію

• Насамперед оновлюємо вашу операційну систему, всіма доступними оновленнями, оскільки Microsoft виправляє багато помилок і багів, у тому числі й драйверами.
• Другим пунктом є, у випадку з фізичним сервером, встановити всі нові драйвера на материнську плату і все периферійне обладнання.
• Далі встановлюєте Єдиний Клієнт JaCarta.
• Встановлюєте свіжу версію КриптоПРО

Установка єдиного клієнта JaCarta PKI

Єдиний Клієнт JaCarta- це спеціальна утилітавід компанії "Аладдін", для правильної роботи з токенами JaCarta. Завантажити останню версію, даного програмного продукту, Ви можете з офіційного сайту, або у мене з хмари, якщо раптом не вийде з сайту виробника.

Далі отриманий архів ви розпаковуєте і запускаєте інсталяційний файл, під свою архітектуру Windows, у мене це 64-бітна. Приступаємо до встановлення Jacarta драйвера. Єдиний клієнт Jacarta, ставиться дуже просто (Нагадую ваш токен в момент інсталяції, повинен бути відключений). На першому вікні майстра установки просто натискаємо далі.

Приймаємо ліцензійна угодата натискаємо "Далі"

Щоб драйвера токенів JaCarta у вас працювали коректно, достатньо виконати стандартну установку.

Якщо виберете "Вибіркову установку", то обов'язково встановіть галки:

• Драйвери JaCarta
• Модулі підтримки
• Модуль підтримки для КриптоПРО

За кілька секунд, Єдиний клієнт Jacarta, успішно встановлений.

Обов'язково перезавантажте сервер або комп'ютер, щоб система побачила свіжі драйвера.

Після установки JaCarta PKI, потрібно встановити КріптоПРО, для цього заходьте на офіційний сайт.

https://www.cryptopro.ru/downloads

На даний момент сама остання версія КриптоПро CSP 4.0.9944. Запускаємо установник, залишаємо галку "Встановити кореневі сертифікати" і натискаємо "Встановити (Рекомендується)"

Інсталяція КриптоПРО буде виконана в фоновому режимі, після якої ви побачите пропозицію про перезавантаження браузера, але я вам раджу повністю перезавантажитися.

Після перезавантаження підключайте USB токен JaCarta. У мене підключення йде через мережу, з пристрою DIGI, через . У клієнті Anywhere View, мій USB носій Jacarta успішно визначений, але як Microsoft Usbccid (WUDF), а в ідеалі повинен визначитися як JaCarta Usbccid Smartcard, але потрібно в будь-якому випадку перевірити, так як все може працювати і так.

Відкривши утиліту "Єдиний клієнт Jacarta PKI", підключеного токена виявлено не було, отже, щось із драйверами.

Microsoft Usbccid (WUDF) - це стандартний драйвер Microsoft, який за умовчанням встановлюється на різні токени, і буває, що все працює, але не завжди. Операційна система Windowsза умовчанням, ставить їх у вигляді своєї архітектури та налаштування, мені ось особисто в даний моменттаке не потрібне. Що робимо, нам потрібно видалити драйвер Microsoft Usbccid (WUDF) і встановити драйвер для носія Jacarta.

Відкрийте диспетчер пристроїв Windows, знайдіть пункт "Зчитувачі пристроїв смарт-карт (Smart card readers)" клацніть Microsoft Usbccid (WUDF) і виберіть пункт "Властивості". Перейдіть на вкладку "Драйвера" та натисніть видалити (Uninstall)

Погодьтеся з видаленням драйвера Microsoft Usbccid (WUDF).

Вам повідомлять, що для набуття змін чинності, необхідне перезавантаження системи, обов'язково погоджуємося.

Після перезавантаження системи, ви можете побачити встановлення пристрою та драйверів ARDS Jacarta.

Відкрийте диспетчер пристроїв, ви повинні побачити, що тепер ваш пристрій визначено, як JaCarta Usbccid Smartcar і якщо зайти в його властивості, то ви побачите, що смарт карту jacarta, тепер використовує драйвер версії 6.1.7601 від ALADDIN R.D.ZAO, так і має бути .

Якщо відкрити єдиний клієнт Jacarta, то ви побачите свою електронний підписЦе означає, що смарт карта нормально визначилася.

Відкриваємо CryptoPRO, і бачимо, що криптопро не бачить сертифікат у контейнері, хоча всі драйвери визначились як слід. Є ще одна фішка.

1. У RDP сесії ви не побачите свій токен, тільки локально, така робота токена, або я не знайшов як це поправити. Ви можете спробувати виконати рекомендації щодо усунення помилки "Неможливо підключитися до служби керування смарт-картками".
2. Потрібно зняти одну галку в CryptoPRO

ОБОВ'ЯЗКОВО зніміть галку "Не використовувати застарілі cipher suite-и" та перезавантажтеся.

Після цих маніпуляцій у мене КриптоПРО побачив сертифікат і смарт-карта jacarta стала робочою, можна підписувати документи.

Ще можете у пристроях та принтерах, побачити ваш пристрій JaCarta,

Якщо у вас як і у мене, токена jacarta встановлений в віртуальній машині, то вам доведеться встановлювати сертифікат, через console віртуальної машини, і так само дати на неї права відповідальній людині. Якщо це фізичний сервер, то там доведеться давати права на порт управління, в якому так само є віртуальна консоль.

Коли ви встановили всі драйвера для токенів Jacarta, ви можете побачити при підключенні по RDP та відкритті утиліти "Єдиний клієнт Jacarta PKI" ось таке повідомлення з помилкою:

1. Не запущено службу смарт-карток на локальній машині. Архітектурою RDP-сесії, розробленої Microsoft, не передбачено використання ключових носіїв, підключених до віддаленого комп'ютера, тому в RDP-сесії віддалений комп'ютер використовує службу смарт-карток локального комп'ютера. З цього випливає що, запуску служби смарт-карток усередині RDP-сесії недостатньо для нормальної роботи.
2. Служба керування смарт-картками на локальному комп'ютерізапущена, але недоступна для програми всередині RDP-сесії через налаштувань Windowsта/або RDP-клієнта.\

Як виправити помилку "Неможливо підключитися до служби керування смарт-картками".

• Запустіть службу смарт-карток на локальній машині, з якою ви ініціюєте сеанс дистанційного доступу. Налаштуйте її автоматичний запускпід час старту комп'ютера.
• Дозволяйте використовувати локальні пристрої та ресурси під час віддаленого сеансу (зокрема, смарт-карт). Для цього, у діалозі "Підключення до віддаленого робочого столу" у параметрах виберіть вкладку "Локальні ресурси", далі в групі " Локальні пристроїта ресурси" натисніть кнопку "Докладніше…", а у діалозі виберіть пункт "Смарт-карти" і натисніть "ОК", потім "Підключити".

• Переконайтеся, що налаштування RDP підключення збережені. За промовчанням вони зберігаються у файлі Default.rdp у каталозі "Мої Документи" Простежте, щоб у даному файлібув рядок "redirectsmartcards:i:1".
• Переконайтеся, що на віддаленому комп'ютері, до якого ви здійснюєте RDP-підключення, не активовано групова політика
  -[Конфігурація комп'ютера\адміністративні шаблони\компоненти windows\служби віддалених робочих столів\вузол сеансів віддалених робочих столів\перенаправлення пристроїв та ресурсів\Не дозволяти перенаправлення пристрою читання смарт-карток]. Якщо вона увімкнена (Enabled), то відключіть її, і перевантажте комп'ютер.
• Якщо у вас встановлено Windows 7 SP1 або Windows 2008 R2 SP1 і ви використовуєте RDC 8.1 для з'єднання з комп'ютерами під керуванням Windows 8 і вище, вам необхідно встановити оновлення для операційної системи https://support.microsoft.com/en-us/kb/2913751

Ось такий був траблшутинг з налаштування токена Jacarta, КриптоПРО на термінальному сервері, для підпису документів до ВТБ24 ДБО. Якщо є зауваження чи поправки, пишіть їх у коментарях.

Днями перевів термінальний сервер (windows 2003 x64 standard) на віртуальну машину. На терміналці бухгалтера працювали зі НВІС. Сертифікати для сбісу зберігаються на флешці, вона на віртуалку не прокидається. Бухи нервують, треба щось робити:

1. Спробував створити диск і скопіювати туди сертифікати,але crypto не бачить локальних дисків. Облом 1
2. Переніс Сбіс на віртуальну машину під windows server 2012R2, прокинув флешку (режим розширеного сеансу). Вона визначилася як локальний диск. Облом 2

Тут я вирішив зателефонувати в техпідтримку НВІС (за словами віртуальна машина консультант впав зі ступор і почав давати дивні поради ....). На третьому консультанті я отримав відповідь, що тільки через реєстр (що мені не хотілося робити). Ну та гаразд, почав робити через реєстр.

І тут мене осяяло, є ж можливість підключати дискету. Евріка))))
Створив дискету через HYPER-V MANAGER, скинув туди сертифікати. Відкрив crypro про та переконався, що сертифікати видно! Начебто на цьому мало закінчитися, але ні…
При підписі або «надсиланні отриманні» отримуємо помилку не знайдено закритий ключшифрування ... Для вирішення цієї проблеми Ідемо в ПАНЕЛЬ УПРАВЛІННЯ — КриптоПРО CSP — СЕРВІС — ВИДАЛИТИ ЗАПАМ'ЯТАННІ ПАРОЛІ — ВИДАЛИТИ ІНФОРМАЦІЮ ПРО ВИКОРИСТАНІ ЗЙОМНІ НОСІЇ(Вставимо галку). І настає щастя, але не у всіх ... Цю процедуру треба повторити під усіма користувачами, які користуються crypto pro (будь то сайти державної закупівлі або збіс ...).

PS: варіант з реєстром цілком робочий, але не охота його було робити!

3 Comments

1. тримаю на ESXi 5.5 Windows 2012 R2
   стоїть крипто 3.9
   чому після закриття сбісу іноді процес залишається висіти в пам'яті, не стикалися з такою проблемою?
   при цьому можна запустити ще раз збіс і він відкриється нормально, ніякі файли не будуть заблоковані попередньою версією.
   не можу зрозуміти в чому справа, від'їдає пам'ять сильно якщо кілька копій залишаться запущені.

День перший

На Windows 7 x64 були спільно встановлені Virtual Box (версії 4 та 5) з розширенням Extension Pack та CryptoPro CSP(КриптоПро CSP 3.6 R4 для Windows).

Під час запуску віртуальної машини через Virtual Box система падала у синій екран. Причина у неможливості спільної роботиКриптоПро CSP та Virtual Box.

Щоб не було синього екрана під час запуску віртуальної машини VirtualBoxвидалив КриптоПро CSP та перезавантажив комп'ютер. Рішення тимчасове, не зміг розібратися як подружити два продукти, а VirtualBox був потрібніший, ніж КриптоПро.

Допомогло вийти на зв'язок VirtualBox + КриптоПро == BSOD повідомлення на форумі:
На форумі Крипто Про також є обговорення:
Звіти з програми blueScreenView:

Bug Check String	SYSTEM_SERVICE_EXCEPTION
Bug Check Code	0x0000003b
Parameter 1	00000000`c0000005
Parameter 2	fffff800`032735af
Parameter 3	fffff880`0412eb90
Parameter 4	00000000`00000000
Caused By Driver	ntoskrnl.exe
Caused By Address	ntoskrnl.exe+73c40
File Description	NT Kernel & System
File Version
Major Version	15
Minor Version	7601

Проблема має бути помічена і Windows має бути shut down to prevent damage to your computer. Проблема може бути пов'язана з наступним файлом: ntoskrnl.exe SYSTEM_SERVICE_EXCEPTION Technical Information: *** STOP: 0x0000003b 000000000000) *** ntoskrnl.exe - Address 0xfffff80003292c40 base at 0xfffff8000321f000 DateStamp 0x5625815c Висновок - Virtual Box (версії 4 і 5) і CryptoPro CSP (КриптоПро CSP 3.6 R4 для Windows) поки несумісні з Windows 7 x64 SP1.

================

День другий

Підключив до першого монітора другий монітор за допомогою USB 3.0 VGA Adapter. Модель пристрою – Fresco Logic FL200 USB Display Adapter. Якщо підключити адаптер до увімкнення віртуальної машини, то порядок. А якщо підключати адаптер під час роботи віртуальної машини Virtual Box, то знову синій екран.

Bug Check String	IRQL_NOT_LESS_OR_EQUAL
Bug Check Code	0x0000000a
Parameter 1	00000000`00000088
Parameter 2	00000000`00000002
Parameter 3	00000000`00000001
Parameter 4	fffff800`032579e6
Caused By Driver	ntoskrnl.exe
Caused By Address	ntoskrnl.exe+73c00
File Description	NT Kernel & System
File Version	6.1.7601.19110 (win7sp1_gdr.151230-0600)
Major Version	15
Minor Version	7601

Проблема має бути помічена і Windows має бути shut down to prevent damage to your computer. Проблема може бути пов'язана з наступним файлом: ntoskrnl.exe IRQL_NOT_LESS_OR_EQUAL Technical Information: *** STOP: 0x000000000000 01, 0xfffff800032579e6) *** ntoskrnl.exe - Address 0xfffff80003276c00 base at 0xfffff80003203000 DateStamp 0x5684191c
З того, що видно перед помилкою, диспетчер пристроїв (HAL) повідомляє, що підключено новий USB 2.0 пристрій, а потім система падає. Диспетчер пристроїв не має рації, оскільки підключається USB 3.0 пристрій до USB 3.0 порт.

Можливо, просто збіг, два BSOD-а поспіль. І причина BSOD у реалізації драйверів для Fresco Logic FL200 USB Display Adapter.

Але є припущення, що причина помилок у реалізації підтримки USB 2.0/USB 3.0 у VirtualBox. А спеціальні можливості підтримки USB з'являються при встановленні Oracle VM VirtualBox Extension Pack.

Видалити VirtualBox не хотілося б, іноді буває потрібне. А видалити Extension Pack можу легко. Сподіваюся, що після видалення VirtualBox Extension Pack синіх екранівбільше не буде. І можна буде повторно встановити КриптоПро CSP 3.6 R4 для Windows та користуватися двома моніторами.