Შუადღემშვიდობის!. ბოლო ორი დღე მქონდა საინტერესო გამოსავალი მეპოვა გამოსავალი სწორედ ასეთი სიტუაციიდან, არის ფიზიკური თუ ვირტუალური სერვერი, რომელზედაც ალბათ დაყენებულია ცნობილი CryptoPRO. დაკავშირებულია სერვერთან , რომელიც გამოიყენება დოკუმენტების ხელმოწერისთვის VTB24 DBO. ლოკალურად Windows 10-ზე ყველაფერი მუშაობს, მაგრამ სერვერის პლატფორმაზე Windows Server 2016 და 2012 R2, Cryptopro ვერ ხედავს JaCarta გასაღებს. მოდით გავარკვიოთ რა არის პრობლემა და როგორ მოვაგვაროთ იგი.
გარემოს აღწერა
Vmware ESXi 6.5-ზე არის ვირტუალური მანქანა, ოპერაციულ სისტემად დაინსტალირებულია Windows Server 2012 R2. სერვერზე მუშაობს CryptoPRO 4.0.9944, ამ დროისთვის უახლესი ვერსია. JaCarta გასაღები დაკავშირებულია ქსელის USB ჰაბიდან USB ip ტექნოლოგიის გამოყენებით. გასაღები სისტემაში ხედავს, მაგრამ არა CryptoPRO-ში.
ჯაკარტასთან პრობლემების გადაჭრის ალგორითმი
CryptoPRO ძალიან ხშირად იწვევს Windows-ში სხვადასხვა შეცდომებს, მარტივი მაგალითი (Windows ინსტალერის სერვისზე წვდომა შეუძლებელია). ასე გამოიყურება სიტუაცია, როდესაც CryptoPRO პროგრამა ვერ ხედავს სერთიფიკატს კონტეინერში.
როგორც UTN Manager უტილიტაში ხედავთ, გასაღები დაკავშირებულია, ის სისტემაში ჩანს სმარტ ბარათებში, როგორც Microsoft Usbccid (WUDF) მოწყობილობა, მაგრამ CryptoPRO არ ამოიცნობს ამ კონტეინერს და თქვენ არ გაქვთ შესაძლებლობა დააინსტალიროთ სერტიფიკატი. ლოკალურად, ჟეტონი იყო დაკავშირებული, ყველაფერი იგივე იყო. დაიწყო ფიქრი რა გაეკეთებინა.
შესაძლო მიზეზები კონტეინერის განმარტებით
- პირველი, ეს არის დრაივერის პრობლემა, მაგალითად Windows Server 2012 R2-ში, JaCarta იდეალურად უნდა იყოს ჩამოთვლილი როგორც JaCarta Usbccid Smartcard სმარტ ბარათების სიაში და არა Microsoft Usbccid (WUDF)
- მეორეც, თუ მოწყობილობა განიხილება როგორც Microsoft Usbccid (WUDF), მაშინ დრაივერის ვერსია შეიძლება მოძველებული იყოს და ამის გამო თქვენი კომუნალური სერვისები ვერ აღმოაჩენენ დაცულ USB დისკს.
- CryptoPRO-ს მემკვიდრეობითი ვერსია
როგორ მოვაგვაროთ პრობლემა, რომ კრიპტოპრო ვერ ხედავს USB კლავიშს?
ჩვენ შევქმენით ახალი ვირტუალური მანქანა და დავიწყეთ პროგრამული უზრუნველყოფის ინსტალაცია თანმიმდევრობით.
ნებისმიერი პროგრამული უზრუნველყოფის ინსტალაციამდე, რომელიც მუშაობს USB მედიასთან, რომელიც შეიცავს სერთიფიკატებსა და პირად გასაღებებს. საჭიროება აუცილებლადგამორთეთ ჟეტონი, თუ ლოკალურად არის ჩარჩენილი, მაშინ გამორთეთ იგი, თუ ქსელშია, დაარღვიეთ სესია
- უპირველეს ყოვლისა, ჩვენ ვაახლებთ თქვენს ოპერაციულ სისტემას ყველა არსებული განახლებით, რადგან Microsoft ასწორებს ბევრ შეცდომას და შეცდომებს, მათ შორის დრაივერებს.
- მეორე წერტილი არის, ფიზიკური სერვერის შემთხვევაში, დააინსტალირეთ ყველა უახლესი დრაივერი დედაპლატზე და ყველა პერიფერიული მოწყობილობა.
- შემდეგი, დააინსტალირეთ JaCarta Unified Client.
- დააინსტალირეთ CryptoPRO-ის უახლესი ვერსია
ერთი JaCarta PKI კლიენტის ინსტალაცია
ერთი კლიენტი JaCartaარის სპეციალური პროგრამა Aladdin კომპანიისგან JaCarta ტოკენებთან სწორი მუშაობისთვის. შეგიძლიათ ჩამოტვირთოთ ამ პროგრამული პროდუქტის უახლესი ვერსია ოფიციალური ვებსაიტიდან, ან ჩემი ღრუბლიდან, თუ ეს არ გამოდგება მწარმოებლის ვებსაიტიდან.
შემდეგი, თქვენ ამოალაგეთ მიღებული არქივი და გაუშვით ინსტალაციის ფაილი თქვენი Windows არქიტექტურისთვის, მე ის მაქვს 64-ბიტიანი. დავიწყოთ Jacarta დრაივერის ინსტალაცია. ჯაკარტას ერთი კლიენტი, ძალიან მარტივი დასაყენებელი (შეგახსენებთ, რომ თქვენი ჟეტონი ინსტალაციის დროს, უნდა იყოს გამორთული). ინსტალაციის ოსტატის პირველ ფანჯარაში უბრალოდ დააჭირეთ შემდეგს.
მიიღეთ სალიცენზიო ხელშეკრულება და დააჭირეთ "შემდეგი"
იმისათვის, რომ ჯაკარტას ტოკენის დრაივერებმა სწორად იმუშაონ თქვენთვის, საკმარისია სტანდარტული ინსტალაციის შესრულება.
თუ აირჩევთ "მორგებული ინსტალაციას", დარწმუნდით, რომ შეამოწმეთ ყუთები:
- მძღოლები
- მხარდაჭერის მოდულები
- მხარდაჭერის მოდული CryptoPRO-სთვის
რამდენიმე წამის შემდეგ ჯაკარტას ერთიანი კლიენტი წარმატებით დაინსტალირებულია.
დარწმუნდით, რომ გადატვირთეთ სერვერი ან კომპიუტერი, რათა სისტემამ დაინახოს უახლესი დრაივერები.
JaCarta PKI-ს დაყენების შემდეგ, თქვენ უნდა დააინსტალიროთ CryptoPRO, ამისათვის გადადით ოფიციალურ ვებსაიტზე.
https://www.cryptopro.ru/downloads
ამ დროისთვის, CryptoPro CSP-ის უახლესი ვერსია არის 4.0.9944. გაუშვით ინსტალერი, შეამოწმეთ "Install root სერთიფიკატები" და დააჭირეთ "Install (რეკომენდებულია)"
CryptoPRO-ს ინსტალაცია შესრულდება ფონზე, რის შემდეგაც ნახავთ წინადადებას ბრაუზერის გადატვირთვის შესახებ, მაგრამ გირჩევთ მთლიანად გადატვირთოთ.
გადატვირთვის შემდეგ შეაერთეთ თქვენი JaCarta USB ჟეტონი. მე მაქვს ქსელური კავშირი, DIGI მოწყობილობიდან, . Anywhere View კლიენტში, ჩემი Jacarta USB დისკი წარმატებით არის განსაზღვრული, მაგრამ როგორც Microsoft Usbccid (WUDF) და იდეალურად ის უნდა განისაზღვროს, როგორც JaCarta Usbccid Smartcard, მაგრამ მაინც უნდა შეამოწმოთ, რადგან ყველაფერი ასე მუშაობს.
Jacarta PKI Unified Client უტილიტას გახსნისას, დაკავშირებული ჟეტონი ვერ მოიძებნა, რაც ნიშნავს, რომ დრაივერებში რაღაც არასწორია.
Microsoft Usbccid (WUDF) არის Microsoft-ის სტანდარტული დრაივერი, რომელიც ნაგულისხმევად არის დაინსტალირებული სხვადასხვა ნიშნებზე და ხდება ისე, რომ ყველაფერი მუშაობს, მაგრამ არა ყოველთვის. Windows ოპერაციული სისტემა, ნაგულისხმევად, მათ მხედველობაში აყენებს მისი არქიტექტურისა და პარამეტრებისთვის, მე პირადად ეს არ მჭირდება ამ მომენტში. რასაც ვაკეთებთ არის ის, რომ ჩვენ უნდა წავშალოთ Microsoft Usbccid (WUDF) დრაივერები და დავაინსტალიროთ დრაივერები ჯაკარტას მედიისთვის.
გახსენით Windows Device Manager, იპოვეთ "Smart card readers", დააწკაპუნეთ Microsoft Usbccid (WUDF) და აირჩიეთ "Properties". დააწკაპუნეთ დრაივერების ჩანართზე და დააჭირეთ წაშლას
ვეთანხმები Microsoft Usbccid (WUDF) დრაივერის ამოღებას.
შეგატყობინებთ, რომ ცვლილებების ძალაში შესვლისთვის საჭიროა სისტემის გადატვირთვა, აუცილებლად დაეთანხმეთ.
სისტემის გადატვირთვის შემდეგ შეგიძლიათ იხილოთ ARDS Jacarta მოწყობილობის და დრაივერების ინსტალაცია.
გახსენით მოწყობილობის მენეჯერი, დაინახავთ, რომ ახლა თქვენი მოწყობილობა განისაზღვრა როგორც JaCarta Usbccid Smartcar და თუ გადახვალთ მის თვისებებზე, ნახავთ, რომ jacarta სმარტ ბარათი ახლა იყენებს დრაივერის 6.1.7601 ვერსიას ALADDIN R.D.ZAO-სგან, როგორც უნდა. იყოს .
თუ გახსნით ჯაკარტას ერთ კლიენტს, დაინახავთ თქვენს ელექტრონულ ხელმოწერას, რაც ნიშნავს, რომ სმარტ ბარათი სწორად არის იდენტიფიცირებული.
ჩვენ ვხსნით CryptoPRO-ს და ვხედავთ, რომ კრიპტოპრო ვერ ხედავს სერთიფიკატს კონტეინერში, თუმცა ყველა დრაივერი განსაზღვრულია საჭიროებისამებრ. არის კიდევ ერთი თვისება.
- RDP სესიაზე ვერ ნახავთ თქვენს ტოკენს, მხოლოდ ლოკალურად, ასე მუშაობს ჟეტონი, ან მე ვერ ვიპოვე როგორ გავასწორო. შეგიძლიათ სცადოთ შემოთავაზებები შეცდომის გადასაჭრელად „ვერ დაკავშირება სმარტ ბარათის მართვის სერვისთან“.
- თქვენ უნდა მოხსნათ ერთი ჩამრთველი CryptoPRO-ში
უნდა მოხსნათ მონიშვნა „არ გამოიყენოთ მოძველებული შიფრების კომპლექტები“ და გადატვირთვა.
ამ მანიპულაციების შემდეგ CryptoPRO-მ ნახა ჩემი სერთიფიკატი და ჯაკარტას სმარტ ბარათი ამუშავდა, შეგიძლიათ მოაწეროთ დოკუმენტები.
თქვენ ასევე შეგიძლიათ ნახოთ თქვენი JaCarta მოწყობილობა მოწყობილობებსა და პრინტერებში,
თუ თქვენც ჩემსავით გაქვთ jacarta ტოკენი დაინსტალირებული ვირტუალურ მანქანაში, მაშინ მოგიწევთ სერთიფიკატის დაყენება ვირტუალური მანქანის კონსოლის მეშვეობით და ასევე უფლება მისცეთ პასუხისმგებელ პირს. თუ ეს არის ფიზიკური სერვერი, მაშინ მოგიწევთ უფლება მისცეთ საკონტროლო პორტს, რომელსაც ასევე აქვს ვირტუალური კონსოლი.
როდესაც დააინსტალირეთ Jacarta ტოკენების ყველა დრაივერი, შეგიძლიათ ნახოთ შემდეგი შეცდომის შეტყობინება RDP-ით დაკავშირებისას და Jacarta PKI Unified Client პროგრამის გახსნისას:
- სმარტ ბარათის სერვისი არ მუშაობს ადგილობრივ აპარატზე. Microsoft-ის მიერ შემუშავებული RDP სესიის არქიტექტურა არ ითვალისწინებს დისტანციურ კომპიუტერთან დაკავშირებული საკვანძო მედიის გამოყენებას, ამიტომ RDP სესიაზე დისტანციური კომპიუტერი იყენებს ლოკალური კომპიუტერის სმარტ ბარათის სერვისს. აქედან გამომდინარეობს, რომ სმარტ ბარათის სერვისის დაწყება RDP სესიის შიგნით არ არის საკმარისი ნორმალური მუშაობისთვის.
- სმარტ ბარათის მართვის სერვისი ადგილობრივ კომპიუტერზე გაშვებულია, მაგრამ არ არის ხელმისაწვდომი პროგრამისთვის RDP სესიის შიგნით Windows და/ან RDP კლიენტის პარამეტრების გამო.\
როგორ გამოვასწოროთ შეცდომა „სმარტ ბარათის მართვის სერვისთან დაკავშირება შეუძლებელია“.
- დაიწყეთ ჭკვიანი ბარათის სერვისი ადგილობრივ აპარატზე, საიდანაც იწყებთ დისტანციური წვდომის სესიას. დააყენეთ ის, რომ ავტომატურად დაიწყოს კომპიუტერის ჩართვისას.
- დაუშვით ადგილობრივი მოწყობილობებისა და რესურსების გამოყენება დისტანციური სესიის დროს (კერძოდ, სმარტ ბარათები). ამისათვის, "დისტანციური დესკტოპის კავშირი" დიალოგში აირჩიეთ პარამეტრებში ჩანართი "ადგილობრივი რესურსები", შემდეგ "ადგილობრივი მოწყობილობები და რესურსები" ჯგუფში დააჭირეთ ღილაკს "დეტალები..." და დიალოგში, იხსნება, აირჩიეთ პუნქტი "სმარტ ბარათები" და დააჭირეთ "OK", შემდეგ "დაკავშირება".
- დარწმუნდით, რომ RDP კავშირის პარამეტრები შენახულია. ნაგულისხმევად, ისინი ინახება Default.rdp ფაილში "ჩემი დოკუმენტების" დირექტორიაში. დარწმუნდით, რომ სტრიქონი "redirectsmartcards: i: 1" არის ამ ფაილში.
- დარწმუნდით, რომ ჯგუფის პოლიტიკა არ არის გააქტიურებული დისტანციურ კომპიუტერზე, რომელთანაც თქვენ ახორციელებთ RDP კავშირს
-[კომპიუტერის კონფიგურაცია\ადმინისტრაციული შაბლონები\Windows კომპონენტები\დისტანციური დესკტოპის სერვისები\დისტანციური დესკტოპის სესიის მასპინძელი\მოწყობილობის და რესურსების გადამისამართება\არ დაუშვას ჭკვიანი ბარათის წამკითხველის გადამისამართება]. თუ ჩართულია (ჩართულია), მაშინ გამორთეთ და გადატვირთეთ კომპიუტერი. - თუ დაინსტალირებული გაქვთ Windows 7 SP1 ან Windows 2008 R2 SP1 და იყენებთ RDC 8.1 კომპიუტერებს, რომლებიც მუშაობენ Windows 8 და ზემოთ, მაშინ უნდა დააინსტალიროთ ოპერაციული სისტემის განახლება https://support.microsoft.com/en-us / kb/2913751
აქ იყო პრობლემების აღმოფხვრა Jacarta ტოკენის, CryptoPRO ტერმინალის სერვერზე დაყენებისას, VTB24 RBS-ში დოკუმენტების ხელმოწერისთვის. თუ თქვენ გაქვთ კომენტარები ან შესწორებები, დაწერეთ ისინი კომენტარებში.
Jacarta PKI/GOST მედია დაბლოკილია არასწორი პინ კოდის შეყვანის მრავალი მცდელობით. ამ შემთხვევაში, კავშირი FSRAR სერვერთან იკარგება და ინვოისების მონაცემები არ შედის თქვენს სააღრიცხვო სისტემაში. როგორ სწრაფად განბლოკოთ გასაღები და აღვადგინოთ მუშაობა EGAIS-ით?
ნაგულისხმევად, შემდეგი პაროლები დაყენებულია ყველა ახალ მედიაზე:
PKI | 11 11 11 11 |
PKI ადმინისტრატორი | 00 00 00 00 |
GOST | 0987654321 |
GOST ადმინისტრატორი | 1234567890 |
კომპიუტერის განბლოკვისთვის უნდა იყოს დაინსტალირებული Jacarta Unified Client პროგრამა. თუ EGAIS-ის დაყენება და ინსტალაცია განხორციელდა ჩვენი სპეციალისტების მიერ, მაშინ თქვენ უკვე გაქვთ ეს პროგრამა.
გაუშვით პროგრამა და დაელოდეთ სანამ ინფორმაცია Jacarta PKI/GOST მედიის შესახებ გამოჩნდება Unified Client ფანჯარაში.
განბლოკვა GOST
GOST განყოფილება შეიცავს QEP სერტიფიკატს, რომელიც გაცემულია სერტიფიკაციის ორგანოს მიერ. ფრთხილად იყავი- თქვენ არ შეგიძლიათ ამ განყოფილებიდან რომელიმე კომპონენტის ამოღება. წაშლის შემდეგ, თქვენ ხელახლა უნდა მიმართოთ სერტიფიცირების ორგანოს გასაღების გასაცემად.
GOST პინის კოდის განსაბლოკად, ზედა მენიუში "აპლიკაციის ოპერაციები", აირჩიეთ პირველი პუნქტი "მომხმარებლის PIN კოდის განბლოკვა". ეკრანზე გამოჩნდება შეტყობინება, რომ განბლოკვა აღადგენს შეყვანის მცდელობის მრიცხველს.
დააჭირეთ "OK" და ახლად გახსნილ ფანჯარაში შეიყვანეთ ადმინისტრატორის პინ კოდი Jacarta GOST 1234567890. შეცდომების მრიცხველის გადატვირთვის შემდეგ შეიყვანეთ მომხმარებლის სტანდარტული პინ კოდი GOST 0987654321.
მნიშვნელოვანია: ეს პროცედურა დაგეხმარებათ მხოლოდ მრიცხველის გადატვირთვაში, მაგრამ არ შეცვლით დავიწყებული პაროლის ახალს. თუ თქვენ შეცვალეთ ნაგულისხმევი GOST პაროლი და დაგავიწყდათ, მოგიწევთ ინიციალიზაცია და გასაღების ხელახლა ჩაწერა სერტიფიცირების ორგანოში.
PKI-ის განბლოკვა
PKI კონტეინერი შეიცავს RSA გასაღებს, რომელიც გენერირებულია თქვენს ანგარიშში egais.ru ვებსაიტზე. პინის კოდის დაკარგვის შემთხვევაში, ამ განყოფილების ინიციალიზაცია შესაძლებელია (სრულიად გასუფთავება), რადგან თქვენ შეგიძლიათ გადაწეროთ გასაღები თავად და უფასოდ, სერტიფიცირების ორგანოსთან დაკავშირების გარეშე.
ყველა ფუნქცია PKCS#11 სტანდარტის განხორციელებიდან აბრუნებს სხვადასხვა შეცდომის კოდებს. ყველა დაბრუნებული შეცდომის კოდი იყოფა ორ დიდ ჯგუფად:
ყველა ფუნქცია PKCS#11 სტანდარტის განხორციელებიდან აბრუნებს შეცდომის სპეციალურ კოდებს (მწარმოებლის მიერ განსაზღვრული).
ყველა ფუნქცია PKCS#11 სტანდარტული გაფართოების განხორციელებიდან აბრუნებს შეცდომის სპეციალურ კოდებს (მწარმოებლის მიერ განსაზღვრული).
სტანდარტული შეცდომის კოდები
rtPKCS11 და rtPKCS11ECP ბიბლიოთეკების განხორციელების თავისებურებების გამო, ზოგიერთ სტანდარტულ ფუნქციას შეუძლია დააბრუნოს სტანდარტული PKCS#11 შეცდომის კოდი, რომელიც არ შედის ამ ფუნქციის მოქმედთა სიაში. ეს სიტუაცია გამონაკლისია. გამონაკლის სიტუაციებში თითოეული ფუნქციის მიერ დაბრუნებული სტანდარტული შეცდომის კოდები მოცემულია აღწერილობაში თითოეული ფუნქციისთვის ცალკე.
ცხრილში 2.29 ჩამოთვლილია PKCS#11 სტანდარტული შეცდომის კოდები და მათი აღწერილობები მხარდაჭერილი Rutoken მოწყობილობების მიერ. დეტალური ინფორმაცია თითოეული შეცდომის კოდის შესახებ შეგიძლიათ იხილოთ სტანდარტში (ინგლისური) ან დანართში (რუსული).
მაგიდა2.29 . სტანდარტული შეცდომის კოდები
შეცდომის კოდი | აღწერა |
CKR_ARGUMENTS_BAD | Არასწორი არგუმენტი |
CKR_ATTRIBUTE_READ_ONLY | აპლიკაციის მიხედვით ატრიბუტის მნიშვნელობის დაყენება ან შეცვლა შეუძლებელია |
CKR_ATTRIBUTE_SENSITIVE | ატრიბუტი არ იკითხება |
CKR_ATTRIBUTE_TYPE_INVALID | არასწორი ატრიბუტის ტიპი |
CKR_ATTRIBUTE_VALUE_INVALID | ატრიბუტის არასწორი მნიშვნელობა |
CKR_BUFFER_TOO_SMALL | მითითებული ბუფერის ზომა არასაკმარისია ფუნქციის შესრულების შედეგების საჩვენებლად |
ბიბლიოთეკა არ უჭერს მხარს დაბლოკვას ძაფების დასაცავად; დაბრუნდება მხოლოდ ფუნქციის გამოძახებისას C_Initialize |
|
CKR_CRYPTOKI_ALREADY_INITIALIZED | ბიბლიოთეკა უკვე დაწყებულია (წინა ფუნქციის გამოძახება C_Initializeარ მოჰყვა შესაბამისი ფუნქციის გამოძახება C_ დასრულება); დაბრუნდება მხოლოდ ფუნქციის გამოძახებისას C_Initialize |
CKR_CRYPTOKI_NOT_INITIALIZED | ფუნქციის შესრულება შეუძლებელია, რადგან ბიბლიოთეკა არ არის დაწყებული; ბრუნდება მხოლოდ რომელიმე ფუნქციის გამოძახებისას, გარდა C_Initializeდა C_ დასრულება |
CKR_DATA_INVALID | არასწორი შეყვანის მონაცემები კრიპტოგრაფიული ოპერაციის შესასრულებლად |
CKR_DATA_LEN_RANGE | შეყვანილი მონაცემები არ არის სწორი ზომა კრიპტოგრაფიული ოპერაციის შესასრულებლად |
CKR_DEVICE_ERROR | შეცდომა ჟეტონზე ან სლოტზე წვდომისას |
CKR_DEVICE_MEMORY | არ არის საკმარისი სიმბოლური მეხსიერება მოთხოვნილი ფუნქციის შესასრულებლად |
CKR_DEVICE_REMOVED | ჟეტონი ამოღებულ იქნა სლოტიდან ფუნქციის შესრულებისას |
CKR_DOMAIN_PARAMS_INVALID | არასწორი ან მხარდაუჭერელი დომენის პარამეტრები გადაეცა ფუნქციას |
CKR_ENCRYPTED_DATA_INVALID | არასწორად დაშიფრული მონაცემები გაიგზავნა გაშიფვრის ოპერაციისთვის |
CKR_ENCRYPTED_DATA_LEN_RANGE | არასწორი ზომის დაშიფრული მონაცემები გადაცემულია გაშიფვრის ოპერაციისთვის |
CKR_FUNCTION_CANCELED | ფუნქცია შეწყდა |
CKR_FUNCTION_FAILED | ფუნქციის შესრულებისას მოხდა შეცდომა |
CKR_FUNCTION_NOT_SUPPORTED | მოთხოვნილი ფუნქცია არ არის მხარდაჭერილი ბიბლიოთეკის მიერ |
CKR_FUNCTION_უარი | ხელმოწერის მოთხოვნა უარყო მომხმარებელმა |
CKR_GENERAL_ERROR | კრიტიკული ტექნიკის შეცდომა |
არ არის საკმარისი მეხსიერება ფუნქციის შესასრულებლად სამუშაო სადგურზე, სადაც დაინსტალირებულია ბიბლიოთეკა |
|
CKR_KEY_FUNCTION_NOT_PERMITTED | ძირითადი ატრიბუტები არ იძლევა ოპერაციის საშუალებას |
CKR_KEY_HANDLE_INVALID | ფუნქციას გადაეცა გასაღების არასწორი იდენტიფიკატორი (სახელური). |
CKR_KEY_NOT_WRAPPABLE | გასაღების დაშიფვრა შეუძლებელია |
CKR_KEY_SIZE_RANGE | გასაღების ზომა არასწორია |
CKR_KEY_TYPE_INCONSISTENT | გასაღების ტიპი არ ემთხვევა ამ მექანიზმს |
CKR_KEY_UNEXTRACTABLE | გასაღების დაშიფვრა შეუძლებელია, რადგან CKA_UNEXTRACTABLE ატრიბუტი დაყენებულია CK_TRUE-ზე |
CKR_MECHANISM_INVALID | კრიპტოგრაფიული ოპერაციის შესასრულებლად მითითებული არასწორი მექანიზმი |
CKR_MECHANISM_PARAM_INVALID | კრიპტოგრაფიული ოპერაციის შესასრულებლად მითითებული ძრავის არასწორი პარამეტრები |
CKR_NEED_TO_CREATE_THREADS | პროგრამა არ უჭერს მხარს შიდა ოპერაციული სისტემის მეთოდებს ახალი თემების შესაქმნელად |
CKR_OBJECT_HANDLE_INVALID | ობიექტის არასწორი იდენტიფიკატორი (სახელური) გადაეცა ფუნქციას |
CKR_OPERATION_ACTIVE | ოპერაციის ჩატარება შეუძლებელია, რადგან ოპერაცია უკვე მიმდინარეობს |
CKR_OPERATION_NOT_INITIALIZED | ამ სესიაზე ოპერაციის შესრულება შეუძლებელია |
PIN-ის ვადა ამოიწურა |
|
CKR_PIN_არასწორი | ფუნქციაზე გადაცემული PIN კოდი არ ემთხვევა ჟეტონზე შენახულს |
PIN-ის მნიშვნელობა შეიცავს არასწორ სიმბოლოებს |
|
CKR_PIN_LEN_RANGE | PIN-კოდის სიგრძე არასწორია |
CKR_RANDOM_NO_RNG | ეს ჟეტონი არ უჭერს მხარს შემთხვევითი რიცხვების გენერირებას |
CKR_SESSION_CLOSED | ფუნქციის შესრულებისას სესია დაიხურა |
CKR_SESSION_COUNT | ამ ჟეტონისთვის ღია სესიების მაქსიმალური რაოდენობა მიღწეულია |
CKR_SESSION_EXISTS | ჟეტონთან სესია უკვე ღიაა და ამიტომ ტოკენის ინიციალიზაცია შეუძლებელია |
CKR_SESSION_HANDLE_INVALID | სესიის არასწორი ID (სახელური) გადაეცა ფუნქციას |
CKR_SESSION_PARALLEL_NOT_SUPPORTED | ამ ჟეტონს არ აქვს პარალელური სესიების მხარდაჭერა |
CKR_SESSION_READ_ONLY | მოქმედების შესრულება შეუძლებელია, რადგან ეს არის R/O სესია |
CKR_SESSION_READ_WRITE_SO_EXISTS | R/W სესია უკვე ღიაა, ამიტომ R/O სესიის გახსნა შეუძლებელია |
CKR_SIGNATURE_INVALID | არასწორი EDS მნიშვნელობა |
CKR_SIGNATURE_LEN_RANGE | EDS მნიშვნელობა სიგრძით არასწორია |
CKR_SLOT_ID_INVALID | სლოტი მოცემული პირადობის მოწმობით არ არსებობს |
CKR_TEMPLATE_INCOMPLETE | არ არის საკმარისი ატრიბუტები ობიექტის შესაქმნელად |
CKR_TEMPLATE_INCONSISTENT | მოცემული ატრიბუტები ერთმანეთს ეწინააღმდეგება |
CKR_TOKEN_NOT_PRESENT | ჟეტონი არ არის სლოტში ფუნქციის გამოძახების დროს |
CKR_UNWRAPPING_KEY_HANDLE_INVALID | გაშიფვრის გასაღების არასწორი იდენტიფიკატორი (სახელური) გადაეცა ფუნქციას |
CKR_UNWRAPPING_KEY_SIZE_RANGE | გაშიფვრის გასაღების ზომა არასწორია |
CKR_UNWRAPPING_KEY_TYPE_INCONSISTENT | გაშიფვრის გასაღების ტიპი არ ემთხვევა ამ მექანიზმს |
CKR_USER_ALREADY_LOGGED_IN | |
CKR_USER_ANOTHER_ALREADY_LOGGED_IN | |
CKR_USER_NOT_LOGGED_IN | |
CKR_USER_PIN_NOT_INITIALIZED | მომხმარებლის PIN არ არის ინიციალიზებული |
CKR_USER_TOO_MANY_TYPES | |
CKR_USER_TYPE_INVALID | მითითებულია არასწორი მომხმარებლის ტიპი |
CKR_WRAPPED_KEY_INVALID | მითითებულია არასწორი დაშიფრული გასაღები |
CKR_WRAPPED_KEY_LEN_RANGE | დაშიფრული გასაღების სიგრძე მითითებულია არასწორად |
CKR_WRAPPING_KEY_HANDLE_INVALID | დაშიფვრის გასაღების არასწორი იდენტიფიკატორი (სახელური) გადაეცა ფუნქციას |
CKR_WRAPPING_KEY_SIZE_RANGE | დაშიფვრის გასაღების ზომა არასწორია |
CKR_WRAPPING_KEY_TYPE_INCONSISTENT | დაშიფვრის გასაღების ტიპი არ ემთხვევა ამ მექანიზმს |
შეცდომის სპეციალური კოდები
ცხრილში 2.30 ჩამოთვლილია ყველა PKCS #11 გაფართოებული შეცდომის კოდი მათ აღწერილობებთან ერთად. გაფართოებულ შეცდომის კოდებს შეუძლიათ დააბრუნონ როგორც სტანდარტული, ასევე გაფართოების ფუნქციები.
ცხრილი 2.30. სტანდარტული შეცდომის კოდებიPKCS #11 მხარდაჭერილი Rutoken მოწყობილობებით
შეცდომის კოდი | აღწერა |
CKR_CORRUPTED_MAPFILE | ეს შეცდომა ბრუნდება, როდესაც MAP ფაილი დაზიანებულია (MAP ფაილის წაკითხვისას MAP ფაილის სათაურის ტეგი (2 ბაიტი) არასწორი აღმოჩნდა) |
CKR_RTPKCS11_DATA_CORRUPTED | ეს შეცდომა დაბრუნდება, თუ ჟეტონზე აღმოჩენილია მონაცემთა მთლიანობის დარღვევა (PKCS#11 ობიექტის შემცველი ფაილის წაკითხვისას ობიექტის სათაურის ტეგი (2 ბაიტი) არასწორი აღმოჩნდა) |
CKR_WRONG_VERSION_FIELD | ეს შეცდომა დაბრუნდება, თუ PKCS#11 ობიექტის შემცველ ფაილს აქვს არასწორი ვერსია (ნებისმიერი ფაილის წაკითხვისას (MAP ფაილი ან ფაილი, რომელიც შეიცავს PKCS#11 ობიექტს), სათაურის ვერსია (4 ბაიტი) არასწორი აღმოჩნდა) |
CKR_WRONG_PKCS1_კოდირება | ეს შეცდომა დაბრუნდება, თუ გაშიფრული შეტყობინება არ არის სწორი ფორმით. |
CKR_RTPKCS11_RSF_DATA_CORRUPTED | ეს შეცდომა ბრუნდება, თუ RSF ფაილის გამოყენების მცდელობა ვერ მოხერხდება. |
პრობლემის აღწერა. EGAIS-თან მუშაობისთვის გამოიყენება JaCarta PKI / GOST / SE ოპერატორი. ხშირად ერთ-ერთი დანაყოფი იბლოკება (PKI დანაყოფი). ამ შემთხვევაში EGAIS-თან შემდგომი მუშაობა შეუძლებელია.
დაბლოკვის მიზეზი– უნივერსალური სატრანსპორტო მოდულის ხშირი წვდომა JaCarta-ს გადამზიდავთან. ავტორიზაციის ათი წარუმატებელი მცდელობით, მედია ბლოკავს დანაყოფს და გამორიცხავს შემდგომ მუშაობას.
პრობლემის გადაჭრის ორი გზა არსებობს:
- დაუკავშირდით სერტიფიცირების ორგანოს, რომელმაც გასცა გადამზიდავი.
- განბლოკეთ JaCarta მედია ინსტრუქციის მიხედვით დამოუკიდებლად.
ინსტრუქციები Microsoft Windows 10-ის მაგალითზე.
ნაბიჯ-ნაბიჯ ინსტრუქციები PKI დანაყოფის განბლოკვის შესახებ
ნაბიჯი 1: გადართვა ადმინისტრაციულ რეჟიმში
Start მენიუდან იპოვეთ JaCarta Unified Client აპი და გახსენით იგი.
ბრინჯი. 1. მარტოხელა კლიენტი JaCarta
გაიხსნება პროგრამის სამუშაო სივრცე.
ბრინჯი. 2. გადართვა ადმინისტრირების რეჟიმში
გაიხსნება პროგრამის სამუშაო სივრცე. თუ PKI განყოფილება დაბლოკილია, PKI ჩანართი წითელი იქნება.
ბრინჯი. 3. ინფორმაცია ჟეტონის შესახებ
ნაბიჯი 2: PKI დაბლოკვის შემოწმება დანაყოფზე
იმის გასაგებად, რომ PKI განყოფილება ნამდვილად დაბლოკილია, დააჭირეთ ბმულს "სრული ინფორმაცია ..." ჩანართში "Token information".
გაიხსნება "დეტალური ინფორმაცია ჟეტონის შესახებ". ახალ ფანჯარაში იპოვეთ განყოფილება "PKI განაცხადის ინფორმაცია". თუ "PIN-კოდის" სტრიქონში სტატუსი არის "დაბლოკილი", დახურეთ ფანჯარა და გადადით ინსტრუქციის შემდეგ აბზაცზე.
ბრინჯი. 4. დეტალური ინფორმაცია ჟეტონის შესახებ
ნაბიჯი 3 განბლოკეთ PKI დანაყოფი
გადადით "PKI" ჩანართზე. განაცხადის მოქმედებების პანელში აირჩიეთ მომხმარებლის PIN-ის განბლოკვის... ვარიანტი.
გაიხსნება "User PIN Unlock" ფანჯარა, რომელშიც შეგიძლიათ მიუთითოთ:
- ამჟამინდელი ადმინისტრატორის PIN არის 00000000 ნაგულისხმევად;
- ახალი მომხმარებლის PIN არის 11111111 ნაგულისხმევად;
- კოდის დადასტურება (იგულისხმება მომხმარებლის PIN კოდი).
ბრინჯი. 6. მომხმარებლის PIN-ის განბლოკვა
PIN კოდების მითითების შემდეგ დააჭირეთ "Run".
თუ ყველაფერი სწორად არის შეყვანილი, შეტყობინება გამოჩნდება. დააწკაპუნეთ "OK" დასასრულებლად.
ბრინჯი. 7. შეტყობინება წარმატებული განბლოკვის შესახებ
გადადით "Token Information" ჩანართზე და დააწკაპუნეთ ბმულზე "სრული ინფორმაცია" PKI განაცხადის მიმდინარე სტატუსის შესამოწმებლად. სტატუსი უნდა იყოს "დაინსტალირებული".
ბრინჯი. 8. სტატუსის შემოწმება
თუ სტატუსი შეიცვალა, განბლოკვა დასრულებულია.