Версия ПО: КриптоПро 4.0.9963, КриптоПро 5.0.11455 и выше, Единый клиент JaCarta 2.12.2.х - 2.13.x.x , OC Windows.
Токены: JaCarta PKI, JaCarta ГОСТ, JaCarta-2 ГОСТ, JaCarta PKI/ГОСТ, JaCarta-2 PKI/ГОСТ
Проблема:
Сертификаты КриптоПро CSP, выпущенные по алгоритму шифрования ГОСТ, автоматически не устанавливаются в личное хранилище пользователя при подключении токена. При этом служба распространения сертификатов включена и корректно настроена.
Причина:
После подключения токена служба CertPropSvc (служба распространения сертификатов) получает значение ATR смарт-карты. Далее считанный ATR сопоставляется и проверяется в разделах ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\. При первом совпадении считывается значение параметра Crypto Provider по которому и определяется соответствующий криптопровайдер для работы с токеном. Криптопровайдер копирует или не копирует сертификат с токена в личное хранилище, в зависимости от криптопровайдера, который использовался при выпуске сертификата. У многоапплетных токенов присваивается один ATR. В настоящее время в настройках ОС для обработки «общего» ATR может быть назначен только один криптопровайдер, соответственно, корректно обработан будет только один из апплетов.
Решение:
В зависимости от последовательности установки ПО существует несколько особенностей.
Если сначала установлено ПО "Единый клиент JaCarta", а потом КриптоПро CSP, то для токенов при проверке ATR будет найден раздел реестра IDProtect (X). В таком случае токен работает с RSA алгоритмами и автоматический проброс ГОСТ сертификатов будет недоступен. Для решения необходимо:
-
Запустить КриптоПро CSP.
-
Активировать права администратора (вкладка общие - Запустить с правами администратора).
.png)
-
Перейти на вкладку «Оборудование» и нажать кнопку «Настроить типы носителей…».
.png)
- В открывшемся окне «Управление ключевыми носителями» выбрать в списке ключевой носитель «Aladdin R.D. JaCarta» и нажать кнопку «Свойства».
.png)
- В открывшемся окне нажать кнопку «Зарегистрировать в Winlogon».
.png)
- После этого в реестре появится параметр CP_JaCarta_Default (при этом будет удален параметр IDProtect (X)).
Обращаем внимание, что при использовании многоапплетных токенов (например, JaCarta-2 PKI/ГОСТ) пропадет возможность корректной работы с содержимым RSA в апплете PKI.
Если необходимо работать одновременно с двумя апплетами, то рекомендуем устанавливать сертификаты ГОСТ вручную, не выполняя вышеописанные рекомендации.
Если сначала установлено ПО КриптоПро CSP, а потом ПО "Единый клиент JaCarta", то для токенов при проверке ATR будет найден раздел реестра CP_JaCarta_Defaul. В таком случае сертификаты ГОСТ автоматически переносятся в личное хранилище сертификатов пользователя.