Часто задаваемые вопросы

В главе Часто задаваемые вопросы вы найдете информацию по следующим темам:

• Регистрация программы "КриптоАРМ"
• Приобретение программы "КриптоАРМ"
• Использование программы "КриптоАРМ"
• Возникающие ошибки в программе "КриптоАРМ"
• Вопросы сотрудничества

Регистрация программы «КриптоАРМ»

Ошибка при регистрации программного продукта (версии 2.5.1 и 3.1)! При вводе регистрационного ключа появляется сообщение: "Неверный лицензионный ключ".
В соответствии с лицензионным соглашением в течение 30 дней с момента установки ПО «КриптоАРМ» работа может осуществляться без наличия лицензии на программу.
Для дальнейшего использования программы ее необходимо зарегистрировать у поставщика или разработчика данного ПО.

При получении лицензионного ключа введите регистрационные данные в окне "Регистрация" (КриптоАРМ –> О программе –> Регистрация)
! Будьте внимательны при заполнении регистрационных данных ключа: вводите только ту информацию, которая была указана при получении лицензии (например, название организации, число лицензий и лицензионный ключ). При вводе дополнительных данных в форму регистрации лицензионный ключ окажется недействительным

Установили КриптоПро CSP 3.0 и КриптоАРМ, но без лицензионного ключа. Сейчас периодически появляется сообщение, что осталось 30...25...20 дней на пользование программой. Приобрели лицензию: требуется ли заново устанавливать программу для ее введения
Повторная установка программ не требуется. Вам следует зарегистрировать оба ключа:
Для ПО «КриптоПро CSP»: Панель Управления - КриптоПро CSP – Общее - Ввод лицензии
Для ПО «КриптоАРМ Стандарт»: КриптоАРМ – Помощь - О программе - Установить лицензию

Потребовалось заменить компьютер, на котором была установлена программа «КриптоАРМ». Поставили ограничение 30 дней. Работает нормально, но напоминает о сроке истечения временной лицензии. Можно ли сделать ее постоянной? Лицензия на 1 рабочее место куплена.
Если вы удалили программу с компьютера, на котором она стояла, введите имеющуюся лицензию заново на новом рабочем месте.

Приобретение программы «КриптоАРМ»

Требуется ли дополнительно покупать КриптоПро TSP Client или КриптоПро OCSP Client, для того чтобы работал модули TSP и OCSP?
При приобретении модулей TSP и OCSP покупателю будет предоставляться лицензия как на этот модуль, так и на КриптоПро TSP Client. Дополнительной оплаты не требуется.

Использование программы «КриптоАРМ»

Каков порядок действий при выходе из строя дискет, содержащих сертификат подписи или шифрования и ключевую пару сотрудников?
Такие дискеты, как правило, восстановлению не подлежат (нет никакой гарантии, что при попытке восстановления не будет сбить хотя бы один бит информации). Если дубля дискеты (точнее, контейнера с ключами) не имеется, единственное решение - формировать новую ключевую пару и получать новый сертификат.

В последующем необходимо (и всегда рекомендуется!) иметь резервную копию ключевого носителя, что позволяет делать программа "КриптоАРМ", создавая резервную копию контейнера, и хранить копию в каком-либо надежном месте.

Почему размер зашифрованного файла увеличивается почти в два раза?
Размер зашифрованного файла зависит от того, какой вариант шифрования вы выбираете. Если выбираете шифрование в p7s, то выходной файл будет в der-кодировке.
Если выбираете вариант pem, то он будет в кодировке Base 64, что естественно приводит к увеличению размера на 33%.
Если же вы подписываете и шифруете одновременно и в обоих случаях используете Base 64 кодировку, то выходной файл будет больше аналогичного бинарного в 1,33 * 1,33 = 1,77 раза.

Что такое mmc-оснастка (mmc-консоль) управления сертификатами и как ее запустить?
mmc-оснастка - это стандартный для Windows 2000 (и выше) механизм просмотра и управления компонентами системы. Для управления сертификатами необходимо:

1. Запустить приложение mmc.exe: Пуск -> Выполнить -> mmc -> OK;
2. Добавить оснастку: Главное меню -> Консоль -> Добавить или удалить оснастку... -> Добавить -> Сертификаты -> Добавить -> Выбрать "для моей учетной записи пользователя" -> Готово -> Закрыть -> OK;
3. Развернуть в левой части узел "Сертификаты - текущий пользователь" и выбрать необходимый подузел с хранилищем.

On-line отправка запроса у Microsoft CA в одноранговой локальной сети

Для успешной отправки запроса в Microsoft CA в случае одноранговой сети необходимо, чтобы на сервере УЦ был зарегистрирован пользователь с такими же логином и паролем, как у пользователя, отправляющего запрос.

Возникающие ошибки в программе "КриптоАРМ"

В запросе на сертификат, создаваемом с использованием КриптоАРМ 2.5.0 (Build 2.5.0.90), порядок атрибутов DistinguishedName не совпадает с принятым в удостоверяющем центре "КриптоПро УЦ", соответственно запрос отклоняется.
Да, такая ошибка в версии 2.5.х присутствует. Она исправлена в "КриптоАРМ "Стандарт" версий 3.1 и выше.

Ошибка при получении дескриптора криптопровайдера, управляющего контейнером сертификата. В связи с этим использование выбранного сертификата невозможно.
Для корректной подписи и расшифрования в ПО «КриптоАРМ» личный сертификат должен иметь привязку к ключевому контейнеру (ключевой паре). Ее наличие можно проверить путем просмотра сертификата из личного хранилища сертификатов, например, при помощи КриптоАРМ: Контекстное меню КриптоАРМ Агента -> Хранилища сертификатов -> Личное хранилище сертификатов -> Выбор сертификата -> Просмотреть.
Если привязка существует, то на закладке "Общие" ("General") последней строкой (после срока действия сертификата) будет надпись "Есть закрытый ключ, соответствующий этому сертификату." ("You have a private key that corresponds to this certificate.").

Для сертификатов с ключевой парой на КриптоПро CSP установить привязку можно следующим образом:

1. Сохраните сертификат (например, в der-формате) в файл и удалите из личного хранилища;
2. Откройте Панель КриптоПро CSP: Пуск -> Настройки -> Панель управления -> КриптоПро CSP -> Закладка "Сервис";
3. Нажмите на кнопку "Просмотреть сертификаты в контейнере", затем "Обзор", выберите контейнер и нажмите "ОК", должно заполниться поле с именем контейнера;
4. Нажмите "Далее", при необходимости введите пароль (пин-код), откроется форма "Сертификаты в контейнере секретного ключа";
5. Нажмите на кнопку "Свойства", откроется стандартная форма просмотра сертификата;
6. При необходимости сравните данный сертификат с сертификатом, сохраненным на первом шаге, если они отличаются, вернитесь на шаг 3 и выберите другой контейнер;
7. Нажмите на кнопку "Установить сертификат", затем "Далее", выберите "Автоматически выбирать хранилище на основе типа сертификата", снова "Далее" и "Готово".

См. также http://www.cryptopro.ru/CryptoPro/forum/myforum.asp?q=396

и http://www.cryptopro.ru/CryptoPro/forum/myforum.asp?q=1385.

При проверке подписи файла на рабочем столе под Windows XP с КриптоПро CSP 2.0 (2089) появляется ошибка "Произошла ошибка при загрузке подписанных данных. Указан неправильный алгоритм. (0x80090008)". При подписи файла в окне выбора сертификатов подписи все ГОСТовые сертификаты красные (ошибка "Произошла ошибка при построении пути сертификации"), а при их просмотре выдается "Целостность этого сертификата не гарантирована. Возможно, он поврежден или изменен".

Данная ошибка проявляется в КриптоПро CSP 2.0 (в сборке 2089 включительно) при работе на Windows XP и связана с поздней загрузкой CSP. Для ее решения сохраните следующие строки в файл с расширением .reg и запустите его на исполнение или измените настройки в реестре вручную:
Код:
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cprmcsp]
"Group"="COM Infrastructure"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cpinit]
"Group"="COM Infrastructure"

Программа «КриптоАРМ» сообщает, что "произошла ошибка при получении последней версии списка отзыва сертификатов (СОС) из Удостоверяющего центра"
Для использования возможности получения СОС из УЦ необходимо соблюдение следующих условий:

1. В проверяемом сертификате должно присутствовать расширение «Точка распространения СОС / CRL Distribution Point (CDP)».

При этом если значений (URL’ов) в расширении несколько, то КриптоАРМ попытается скачать СОС по всем адресам до первого успешного скачивания. Правда, поддерживаются не все, но часто используемые протоколы, такие как "ftp", "http" и "file"

2. По одной (оптимально, если по первой) из точек распространения СОС можно скачать СОС браузером, например, IE. При этом не вводя никакой дополнительной информации (имени пользователя, пароля, перехода по ссылкам)!

Протестировать можно следующим образом:
- закрыть все окна IE (т.к. они могут хранить параметры доступа к серверу);
- запустить IE и вставить в поле адреса URL из точки распространения СОС (например, для сертификата тестового КриптоПро УЦ

(http://www.cryptopro.ru/CertEnroll/Test%20Center%20CRYPTO-PRO.crl);
- нажать Enter, после чего IE должен сразу предложить сохранить скачанный файл СОС;
- сохранить СОС в файл и открыть его проводником Windows (должна без ошибок открыться форма просмотра СОС).

3. Должна быть зарегистрирована библиотека CPCRLUpdate.dll, которая находится в каталоге установки КриптоАРМ. При правильной установке КриптоАРМ она регистрируется автоматически, но вы можете ее зарегистрировать дополнительно, например:

regsvr32 "D:\Program Files\Digt\Trusted\Desktop\cpcrlupdate.dll"
Последнюю версию библиотеки можно получить на сервере КриптоПро по адресу:
ftp://cryptopro.ru/pub/CRLUpdate/cpcrlupdate.zip

Возможные ошибки обновления СОС:
1) 0x800401E4 (Синтаксическая ошибка / Invalid syntax) - может возникать в случае использования библиотеки CPCRLUpdate.dll версии 1.0.0.1, попробуйте ее обновить.
1) 0x800C0005 - ошибка скачивания СОС по сети, например, файл не найден или нет доступа.
2) 0x80092004 (Cannot find object or property.):
2.1) не найден издатель проверяемого сертификата;
2.2) файл СОС не соответствует проверяемому сертификату.
3) 0x80092007 (The specified certificate is self signed.) - проверяемый сертификат - самоподписанный. Нет смысла проверять самоподписанный сертификат по СОС, т.к. СОС подписывается тем же самым самоподписанным сертификатом.

КриптоАРМ не возвращает код ошибки. Чтобы его получить, надо выполнить следующие действия:

1. Создать папку, в нее сохранить проверяемый сертификат в Base64 формате с именем cert.cer;
2. Сохранить следующий код скрипта в файл с расширением .vbs:

Код:
Option Explicit

Dim fso, file
Set fso = CreateObject( "Scripting.FileSystemObject" )
Set file = fso.OpenTextFile( "cert.cer", 1, False, 0 )

Dim oCertBase64
oCertBase64 = file.ReadAll()
file.Close()

oCertBase64 = Right(oCertBase64, Len(oCertBase64) - 27)
oCertBase64 = Left(oCertBase64, Len(oCertBase64) - 27)
'MsgBox CStr(oCertBase64)

Dim oCrlUpdate
Set oCrlUpdate = CreateObject("CPCRLUPDATE.CRLUpdate")
oCrlUpdate.StoreLocation = 0
oCrlUpdate.UpdateInterval = 10

Dim bResult
bResult = oCrlUpdate.Update_BASE64(oCertBase64)
MsgBox bResult

3. Запустить файл скрипта из п.2.
4. В результате должно появиться сообщение "True" в случае успешного обновления СОС, либо сообщение с кодом ошибки.

Примечание: Если в проверяемом сертификате отсутствует CDP, то метод проверки возвращает "True".

Вопросы сотрудничества

Программа "КриптоАРМ" - для использования учебными заведениями. Что требуется указать в гарантийном письме, для того чтобы использовать программу?
Если вы предполагаете использовать программу "КриптоАРМ Старт", то она действительно бесплатна и вы можете использовать ее без предоставления каких-либо гарантийных писем. Речь по гарантийному письму может идти тогда, когда вы решите использовать версию "КриптоАРМ Стандарт" для работы с сертифицированными криптопровайдерами. (Версия "Старт" поддерживает работу только со стандартными Windows криптопровайдерами).