Сертификаты КриптоПро автоматически не попадают в личное хранилище сертификатов пользователя

Версия ПО:  КриптоПро 4.0.9963, КриптоПро 5.0.11455 и выше, Единый клиент JaCarta 2.12.2.х - 2.13.x.x , OC Windows.

Токены:  JaCarta PKI, JaCarta ГОСТ, JaCarta-2 ГОСТ, JaCarta PKI/ГОСТ, JaCarta-2 PKI/ГОСТ

Проблема: 

Сертификаты КриптоПро CSP, выпущенные по алгоритму шифрования ГОСТ, автоматически не устанавливаются в личное хранилище пользователя при подключении токена. При этом служба распространения сертификатов включена и корректно настроена.

Причина:

После подключения токена служба CertPropSvc (служба распространения сертификатов) получает значение ATR смарт-карты. Далее считанный ATR сопоставляется и проверяется в разделах ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\. При первом совпадении считывается значение параметра Crypto Provider по которому и определяется соответствующий криптопровайдер для работы с токеном. Криптопровайдер копирует или не копирует сертификат с токена в личное хранилище, в зависимости от криптопровайдера, который использовался при выпуске сертификата. У многоапплетных токенов присваивается один ATR. В настоящее время в настройках ОС для обработки «общего» ATR может быть назначен только один криптопровайдер, соответственно, корректно обработан будет только один из апплетов.

Решение:

В зависимости от последовательности установки ПО существует несколько особенностей.

Если сначала установлено ПО "Единый клиент JaCarta", а потом КриптоПро CSP, то для токенов при проверке ATR будет найден раздел реестра IDProtect (X). В таком случае токен работает с RSA алгоритмами и автоматический проброс ГОСТ сертификатов будет недоступен. Для решения необходимо:

• Запустить КриптоПро CSP.

• Активировать права администратора (вкладка общие - Запустить с правами администратора).

• Перейти на вкладку «Оборудование» и нажать кнопку «Настроить типы носителей…».

• В открывшемся окне «Управление ключевыми носителями» выбрать в списке ключевой носитель «Aladdin R.D. JaCarta» и нажать кнопку «Свойства».

• В открывшемся окне нажать кнопку «Зарегистрировать в Winlogon».

• После этого в реестре появится параметр CP_JaCarta_Default (при этом будет удален параметр IDProtect (X)).

Обращаем внимание, что при использовании многоапплетных токенов (например, JaCarta-2 PKI/ГОСТ) пропадет возможность корректной работы с содержимым RSA в апплете PKI.

Если необходимо работать одновременно с двумя апплетами, то рекомендуем устанавливать сертификаты ГОСТ вручную, не выполняя вышеописанные рекомендации.

Если сначала установлено ПО КриптоПро CSP, а потом ПО "Единый клиент JaCarta", то для токенов при проверке ATR будет найден раздел реестра CP_JaCarta_Defaul. В таком случае сертификаты ГОСТ автоматически переносятся в личное хранилище сертификатов пользователя.