Შუადღემშვიდობის!. ბოლო ორი დღე მქონდა საინტერესო გამოსავალი მეპოვა გამოსავალი სწორედ ასეთი სიტუაციიდან, არის ფიზიკური თუ ვირტუალური სერვერი, რომელზედაც ალბათ დაყენებულია ცნობილი CryptoPRO. დაკავშირებულია სერვერთან , რომელიც გამოიყენება დოკუმენტების ხელმოწერისთვის VTB24 DBO. ლოკალურად Windows 10-ზე ყველაფერი მუშაობს, მაგრამ სერვერის პლატფორმაზე Windows Server 2016 და 2012 R2, Cryptopro ვერ ​​ხედავს JaCarta გასაღებს. მოდით გავარკვიოთ რა არის პრობლემა და როგორ მოვაგვაროთ იგი.

გარემოს აღწერა

Vmware ESXi 6.5-ზე არის ვირტუალური მანქანა, ოპერაციულ სისტემად დაინსტალირებულია Windows Server 2012 R2. სერვერზე მუშაობს CryptoPRO 4.0.9944, ამ დროისთვის უახლესი ვერსია. JaCarta გასაღები დაკავშირებულია ქსელის USB ჰაბიდან USB ip ტექნოლოგიის გამოყენებით. გასაღები სისტემაში ხედავს, მაგრამ არა CryptoPRO-ში.

ჯაკარტასთან პრობლემების გადაჭრის ალგორითმი

CryptoPRO ძალიან ხშირად იწვევს Windows-ში სხვადასხვა შეცდომებს, მარტივი მაგალითი (Windows ინსტალერის სერვისზე წვდომა შეუძლებელია). ასე გამოიყურება სიტუაცია, როდესაც CryptoPRO პროგრამა ვერ ხედავს სერთიფიკატს კონტეინერში.

როგორც UTN Manager უტილიტაში ხედავთ, გასაღები დაკავშირებულია, ის სისტემაში ჩანს სმარტ ბარათებში, როგორც Microsoft Usbccid (WUDF) მოწყობილობა, მაგრამ CryptoPRO არ ამოიცნობს ამ კონტეინერს და თქვენ არ გაქვთ შესაძლებლობა დააინსტალიროთ სერტიფიკატი. ლოკალურად, ჟეტონი იყო დაკავშირებული, ყველაფერი იგივე იყო. დაიწყო ფიქრი რა გაეკეთებინა.

შესაძლო მიზეზები კონტეინერის განმარტებით

1. პირველი, ეს არის დრაივერის პრობლემა, მაგალითად Windows Server 2012 R2-ში, JaCarta იდეალურად უნდა იყოს ჩამოთვლილი როგორც JaCarta Usbccid Smartcard სმარტ ბარათების სიაში და არა Microsoft Usbccid (WUDF)
2. მეორეც, თუ მოწყობილობა განიხილება როგორც Microsoft Usbccid (WUDF), მაშინ დრაივერის ვერსია შეიძლება მოძველებული იყოს და ამის გამო თქვენი კომუნალური სერვისები ვერ აღმოაჩენენ დაცულ USB დისკს.
3. CryptoPRO-ს მემკვიდრეობითი ვერსია

როგორ მოვაგვაროთ პრობლემა, რომ კრიპტოპრო ვერ ხედავს USB კლავიშს?

ჩვენ შევქმენით ახალი ვირტუალური მანქანა და დავიწყეთ პროგრამული უზრუნველყოფის ინსტალაცია თანმიმდევრობით.

ნებისმიერი პროგრამული უზრუნველყოფის ინსტალაციამდე, რომელიც მუშაობს USB მედიასთან, რომელიც შეიცავს სერთიფიკატებსა და პირად გასაღებებს. საჭიროება აუცილებლადგამორთეთ ჟეტონი, თუ ლოკალურად არის ჩარჩენილი, მაშინ გამორთეთ იგი, თუ ქსელშია, დაარღვიეთ სესია

• უპირველეს ყოვლისა, ჩვენ ვაახლებთ თქვენს ოპერაციულ სისტემას ყველა არსებული განახლებით, რადგან Microsoft ასწორებს ბევრ შეცდომას და შეცდომებს, მათ შორის დრაივერებს.
• მეორე წერტილი არის, ფიზიკური სერვერის შემთხვევაში, დააინსტალირეთ ყველა უახლესი დრაივერი დედაპლატზე და ყველა პერიფერიული მოწყობილობა.
• შემდეგი, დააინსტალირეთ JaCarta Unified Client.
• დააინსტალირეთ CryptoPRO-ის უახლესი ვერსია

ერთი JaCarta PKI კლიენტის ინსტალაცია

ერთი კლიენტი JaCartaარის სპეციალური პროგრამა Aladdin კომპანიისგან JaCarta ტოკენებთან სწორი მუშაობისთვის. შეგიძლიათ ჩამოტვირთოთ ამ პროგრამული პროდუქტის უახლესი ვერსია ოფიციალური ვებსაიტიდან, ან ჩემი ღრუბლიდან, თუ ეს არ გამოდგება მწარმოებლის ვებსაიტიდან.

შემდეგი, თქვენ ამოალაგეთ მიღებული არქივი და გაუშვით ინსტალაციის ფაილი თქვენი Windows არქიტექტურისთვის, მე ის მაქვს 64-ბიტიანი. დავიწყოთ Jacarta დრაივერის ინსტალაცია. ჯაკარტას ერთი კლიენტი, ძალიან მარტივი დასაყენებელი (შეგახსენებთ, რომ თქვენი ჟეტონი ინსტალაციის დროს, უნდა იყოს გამორთული). ინსტალაციის ოსტატის პირველ ფანჯარაში უბრალოდ დააჭირეთ შემდეგს.

მიიღეთ სალიცენზიო ხელშეკრულება და დააჭირეთ "შემდეგი"

იმისათვის, რომ ჯაკარტას ტოკენის დრაივერებმა სწორად იმუშაონ თქვენთვის, საკმარისია სტანდარტული ინსტალაციის შესრულება.

თუ აირჩევთ "მორგებული ინსტალაციას", დარწმუნდით, რომ შეამოწმეთ ყუთები:

• მძღოლები
• მხარდაჭერის მოდულები
• მხარდაჭერის მოდული CryptoPRO-სთვის

რამდენიმე წამის შემდეგ ჯაკარტას ერთიანი კლიენტი წარმატებით დაინსტალირებულია.

დარწმუნდით, რომ გადატვირთეთ სერვერი ან კომპიუტერი, რათა სისტემამ დაინახოს უახლესი დრაივერები.

JaCarta PKI-ს დაყენების შემდეგ, თქვენ უნდა დააინსტალიროთ CryptoPRO, ამისათვის გადადით ოფიციალურ ვებსაიტზე.

https://www.cryptopro.ru/downloads

ამ დროისთვის, CryptoPro CSP-ის უახლესი ვერსია არის 4.0.9944. გაუშვით ინსტალერი, შეამოწმეთ "Install root სერთიფიკატები" და დააჭირეთ "Install (რეკომენდებულია)"

CryptoPRO-ს ინსტალაცია შესრულდება ფონზე, რის შემდეგაც ნახავთ წინადადებას ბრაუზერის გადატვირთვის შესახებ, მაგრამ გირჩევთ მთლიანად გადატვირთოთ.

გადატვირთვის შემდეგ შეაერთეთ თქვენი JaCarta USB ჟეტონი. მე მაქვს ქსელური კავშირი, DIGI მოწყობილობიდან, . Anywhere View კლიენტში, ჩემი Jacarta USB დისკი წარმატებით არის განსაზღვრული, მაგრამ როგორც Microsoft Usbccid (WUDF) და იდეალურად ის უნდა განისაზღვროს, როგორც JaCarta Usbccid Smartcard, მაგრამ მაინც უნდა შეამოწმოთ, რადგან ყველაფერი ასე მუშაობს.

Jacarta PKI Unified Client უტილიტას გახსნისას, დაკავშირებული ჟეტონი ვერ მოიძებნა, რაც ნიშნავს, რომ დრაივერებში რაღაც არასწორია.

Microsoft Usbccid (WUDF) არის Microsoft-ის სტანდარტული დრაივერი, რომელიც ნაგულისხმევად არის დაინსტალირებული სხვადასხვა ნიშნებზე და ხდება ისე, რომ ყველაფერი მუშაობს, მაგრამ არა ყოველთვის. Windows ოპერაციული სისტემა, ნაგულისხმევად, მათ მხედველობაში აყენებს მისი არქიტექტურისა და პარამეტრებისთვის, მე პირადად ეს არ მჭირდება ამ მომენტში. რასაც ვაკეთებთ არის ის, რომ ჩვენ უნდა წავშალოთ Microsoft Usbccid (WUDF) დრაივერები და დავაინსტალიროთ დრაივერები ჯაკარტას მედიისთვის.

გახსენით Windows Device Manager, იპოვეთ "Smart card readers", დააწკაპუნეთ Microsoft Usbccid (WUDF) და აირჩიეთ "Properties". დააწკაპუნეთ დრაივერების ჩანართზე და დააჭირეთ წაშლას

ვეთანხმები Microsoft Usbccid (WUDF) დრაივერის ამოღებას.

შეგატყობინებთ, რომ ცვლილებების ძალაში შესვლისთვის საჭიროა სისტემის გადატვირთვა, აუცილებლად დაეთანხმეთ.

სისტემის გადატვირთვის შემდეგ შეგიძლიათ იხილოთ ARDS Jacarta მოწყობილობის და დრაივერების ინსტალაცია.

გახსენით მოწყობილობის მენეჯერი, დაინახავთ, რომ ახლა თქვენი მოწყობილობა განისაზღვრა როგორც JaCarta Usbccid Smartcar და თუ გადახვალთ მის თვისებებზე, ნახავთ, რომ jacarta სმარტ ბარათი ახლა იყენებს დრაივერის 6.1.7601 ვერსიას ALADDIN R.D.ZAO-სგან, როგორც უნდა. იყოს .

თუ გახსნით ჯაკარტას ერთ კლიენტს, დაინახავთ თქვენს ელექტრონულ ხელმოწერას, რაც ნიშნავს, რომ სმარტ ბარათი სწორად არის იდენტიფიცირებული.

ჩვენ ვხსნით CryptoPRO-ს და ვხედავთ, რომ კრიპტოპრო ვერ ხედავს სერთიფიკატს კონტეინერში, თუმცა ყველა დრაივერი განსაზღვრულია საჭიროებისამებრ. არის კიდევ ერთი თვისება.

1. RDP სესიაზე ვერ ნახავთ თქვენს ტოკენს, მხოლოდ ლოკალურად, ასე მუშაობს ჟეტონი, ან მე ვერ ვიპოვე როგორ გავასწორო. შეგიძლიათ სცადოთ შემოთავაზებები შეცდომის გადასაჭრელად „ვერ დაკავშირება სმარტ ბარათის მართვის სერვისთან“.
2. თქვენ უნდა მოხსნათ ერთი ჩამრთველი CryptoPRO-ში

უნდა მოხსნათ მონიშვნა „არ გამოიყენოთ მოძველებული შიფრების კომპლექტები“ და გადატვირთვა.

ამ მანიპულაციების შემდეგ CryptoPRO-მ ნახა ჩემი სერთიფიკატი და ჯაკარტას სმარტ ბარათი ამუშავდა, შეგიძლიათ მოაწეროთ დოკუმენტები.

თქვენ ასევე შეგიძლიათ ნახოთ თქვენი JaCarta მოწყობილობა მოწყობილობებსა და პრინტერებში,

თუ თქვენც ჩემსავით გაქვთ jacarta ტოკენი დაინსტალირებული ვირტუალურ მანქანაში, მაშინ მოგიწევთ სერთიფიკატის დაყენება ვირტუალური მანქანის კონსოლის მეშვეობით და ასევე უფლება მისცეთ პასუხისმგებელ პირს. თუ ეს არის ფიზიკური სერვერი, მაშინ მოგიწევთ უფლება მისცეთ საკონტროლო პორტს, რომელსაც ასევე აქვს ვირტუალური კონსოლი.

როდესაც დააინსტალირეთ Jacarta ტოკენების ყველა დრაივერი, შეგიძლიათ ნახოთ შემდეგი შეცდომის შეტყობინება RDP-ით დაკავშირებისას და Jacarta PKI Unified Client პროგრამის გახსნისას:

1. სმარტ ბარათის სერვისი არ მუშაობს ადგილობრივ აპარატზე. Microsoft-ის მიერ შემუშავებული RDP სესიის არქიტექტურა არ ითვალისწინებს დისტანციურ კომპიუტერთან დაკავშირებული საკვანძო მედიის გამოყენებას, ამიტომ RDP სესიაზე დისტანციური კომპიუტერი იყენებს ლოკალური კომპიუტერის სმარტ ბარათის სერვისს. აქედან გამომდინარეობს, რომ სმარტ ბარათის სერვისის დაწყება RDP სესიის შიგნით არ არის საკმარისი ნორმალური მუშაობისთვის.
2. სმარტ ბარათის მართვის სერვისი ადგილობრივ კომპიუტერზე გაშვებულია, მაგრამ არ არის ხელმისაწვდომი პროგრამისთვის RDP სესიის შიგნით Windows და/ან RDP კლიენტის პარამეტრების გამო.\

როგორ გამოვასწოროთ შეცდომა „სმარტ ბარათის მართვის სერვისთან დაკავშირება შეუძლებელია“.

• დაიწყეთ ჭკვიანი ბარათის სერვისი ადგილობრივ აპარატზე, საიდანაც იწყებთ დისტანციური წვდომის სესიას. დააყენეთ ის, რომ ავტომატურად დაიწყოს კომპიუტერის ჩართვისას.
• დაუშვით ადგილობრივი მოწყობილობებისა და რესურსების გამოყენება დისტანციური სესიის დროს (კერძოდ, სმარტ ბარათები). ამისათვის, "დისტანციური დესკტოპის კავშირი" დიალოგში აირჩიეთ პარამეტრებში ჩანართი "ადგილობრივი რესურსები", შემდეგ "ადგილობრივი მოწყობილობები და რესურსები" ჯგუფში დააჭირეთ ღილაკს "დეტალები..." და დიალოგში, იხსნება, აირჩიეთ პუნქტი "სმარტ ბარათები" და დააჭირეთ "OK", შემდეგ "დაკავშირება".

• დარწმუნდით, რომ RDP კავშირის პარამეტრები შენახულია. ნაგულისხმევად, ისინი ინახება Default.rdp ფაილში "ჩემი დოკუმენტების" დირექტორიაში. დარწმუნდით, რომ სტრიქონი "redirectsmartcards: i: 1" არის ამ ფაილში.
• დარწმუნდით, რომ ჯგუფის პოლიტიკა არ არის გააქტიურებული დისტანციურ კომპიუტერზე, რომელთანაც თქვენ ახორციელებთ RDP კავშირს
  -[კომპიუტერის კონფიგურაცია\ადმინისტრაციული შაბლონები\Windows კომპონენტები\დისტანციური დესკტოპის სერვისები\დისტანციური დესკტოპის სესიის მასპინძელი\მოწყობილობის და რესურსების გადამისამართება\არ დაუშვას ჭკვიანი ბარათის წამკითხველის გადამისამართება]. თუ ჩართულია (ჩართულია), მაშინ გამორთეთ და გადატვირთეთ კომპიუტერი.
• თუ დაინსტალირებული გაქვთ Windows 7 SP1 ან Windows 2008 R2 SP1 და იყენებთ RDC 8.1 კომპიუტერებს, რომლებიც მუშაობენ Windows 8 და ზემოთ, მაშინ უნდა დააინსტალიროთ ოპერაციული სისტემის განახლება https://support.microsoft.com/en-us / kb/2913751

აქ იყო პრობლემების აღმოფხვრა Jacarta ტოკენის, CryptoPRO ტერმინალის სერვერზე დაყენებისას, VTB24 RBS-ში დოკუმენტების ხელმოწერისთვის. თუ თქვენ გაქვთ კომენტარები ან შესწორებები, დაწერეთ ისინი კომენტარებში.

Jacarta PKI/GOST მედია დაბლოკილია არასწორი პინ კოდის შეყვანის მრავალი მცდელობით. ამ შემთხვევაში, კავშირი FSRAR სერვერთან იკარგება და ინვოისების მონაცემები არ შედის თქვენს სააღრიცხვო სისტემაში. როგორ სწრაფად განბლოკოთ გასაღები და აღვადგინოთ მუშაობა EGAIS-ით?

ნაგულისხმევად, შემდეგი პაროლები დაყენებულია ყველა ახალ მედიაზე:

PKI	11 11 11 11
PKI ადმინისტრატორი	00 00 00 00
GOST	0987654321
GOST ადმინისტრატორი	1234567890

კომპიუტერის განბლოკვისთვის უნდა იყოს დაინსტალირებული Jacarta Unified Client პროგრამა. თუ EGAIS-ის დაყენება და ინსტალაცია განხორციელდა ჩვენი სპეციალისტების მიერ, მაშინ თქვენ უკვე გაქვთ ეს პროგრამა.

გაუშვით პროგრამა და დაელოდეთ სანამ ინფორმაცია Jacarta PKI/GOST მედიის შესახებ გამოჩნდება Unified Client ფანჯარაში.

განბლოკვა GOST

GOST განყოფილება შეიცავს QEP სერტიფიკატს, რომელიც გაცემულია სერტიფიკაციის ორგანოს მიერ. ფრთხილად იყავი- თქვენ არ შეგიძლიათ ამ განყოფილებიდან რომელიმე კომპონენტის ამოღება. წაშლის შემდეგ, თქვენ ხელახლა უნდა მიმართოთ სერტიფიცირების ორგანოს გასაღების გასაცემად.

GOST პინის კოდის განსაბლოკად, ზედა მენიუში "აპლიკაციის ოპერაციები", აირჩიეთ პირველი პუნქტი "მომხმარებლის PIN კოდის განბლოკვა". ეკრანზე გამოჩნდება შეტყობინება, რომ განბლოკვა აღადგენს შეყვანის მცდელობის მრიცხველს.

დააჭირეთ "OK" და ახლად გახსნილ ფანჯარაში შეიყვანეთ ადმინისტრატორის პინ კოდი Jacarta GOST 1234567890. შეცდომების მრიცხველის გადატვირთვის შემდეგ შეიყვანეთ მომხმარებლის სტანდარტული პინ კოდი GOST 0987654321.

მნიშვნელოვანია: ეს პროცედურა დაგეხმარებათ მხოლოდ მრიცხველის გადატვირთვაში, მაგრამ არ შეცვლით დავიწყებული პაროლის ახალს. თუ თქვენ შეცვალეთ ნაგულისხმევი GOST პაროლი და დაგავიწყდათ, მოგიწევთ ინიციალიზაცია და გასაღების ხელახლა ჩაწერა სერტიფიცირების ორგანოში.

PKI-ის განბლოკვა

PKI კონტეინერი შეიცავს RSA გასაღებს, რომელიც გენერირებულია თქვენს ანგარიშში egais.ru ვებსაიტზე. პინის კოდის დაკარგვის შემთხვევაში, ამ განყოფილების ინიციალიზაცია შესაძლებელია (სრულიად გასუფთავება), რადგან თქვენ შეგიძლიათ გადაწეროთ გასაღები თავად და უფასოდ, სერტიფიცირების ორგანოსთან დაკავშირების გარეშე.

ყველა ფუნქცია PKCS#11 სტანდარტის განხორციელებიდან აბრუნებს სხვადასხვა შეცდომის კოდებს. ყველა დაბრუნებული შეცდომის კოდი იყოფა ორ დიდ ჯგუფად:

ყველა ფუნქცია PKCS#11 სტანდარტის განხორციელებიდან აბრუნებს შეცდომის სპეციალურ კოდებს (მწარმოებლის მიერ განსაზღვრული).

ყველა ფუნქცია PKCS#11 სტანდარტული გაფართოების განხორციელებიდან აბრუნებს შეცდომის სპეციალურ კოდებს (მწარმოებლის მიერ განსაზღვრული).

სტანდარტული შეცდომის კოდები

rtPKCS11 და rtPKCS11ECP ბიბლიოთეკების განხორციელების თავისებურებების გამო, ზოგიერთ სტანდარტულ ფუნქციას შეუძლია დააბრუნოს სტანდარტული PKCS#11 შეცდომის კოდი, რომელიც არ შედის ამ ფუნქციის მოქმედთა სიაში. ეს სიტუაცია გამონაკლისია. გამონაკლის სიტუაციებში თითოეული ფუნქციის მიერ დაბრუნებული სტანდარტული შეცდომის კოდები მოცემულია აღწერილობაში თითოეული ფუნქციისთვის ცალკე.

ცხრილში 2.29 ჩამოთვლილია PKCS#11 სტანდარტული შეცდომის კოდები და მათი აღწერილობები მხარდაჭერილი Rutoken მოწყობილობების მიერ. დეტალური ინფორმაცია თითოეული შეცდომის კოდის შესახებ შეგიძლიათ იხილოთ სტანდარტში (ინგლისური) ან დანართში (რუსული).

მაგიდა2.29 . სტანდარტული შეცდომის კოდები

შეცდომის კოდი	აღწერა
CKR_ARGUMENTS_BAD	Არასწორი არგუმენტი
CKR_ATTRIBUTE_READ_ONLY	აპლიკაციის მიხედვით ატრიბუტის მნიშვნელობის დაყენება ან შეცვლა შეუძლებელია
CKR_ATTRIBUTE_SENSITIVE	ატრიბუტი არ იკითხება
CKR_ATTRIBUTE_TYPE_INVALID	არასწორი ატრიბუტის ტიპი
CKR_ATTRIBUTE_VALUE_INVALID	ატრიბუტის არასწორი მნიშვნელობა
CKR_BUFFER_TOO_SMALL	მითითებული ბუფერის ზომა არასაკმარისია ფუნქციის შესრულების შედეგების საჩვენებლად
	ბიბლიოთეკა არ უჭერს მხარს დაბლოკვას ძაფების დასაცავად; დაბრუნდება მხოლოდ ფუნქციის გამოძახებისას C_Initialize
CKR_CRYPTOKI_ALREADY_INITIALIZED	ბიბლიოთეკა უკვე დაწყებულია (წინა ფუნქციის გამოძახება C_Initializeარ მოჰყვა შესაბამისი ფუნქციის გამოძახება C_ დასრულება); დაბრუნდება მხოლოდ ფუნქციის გამოძახებისას C_Initialize
CKR_CRYPTOKI_NOT_INITIALIZED	ფუნქციის შესრულება შეუძლებელია, რადგან ბიბლიოთეკა არ არის დაწყებული; ბრუნდება მხოლოდ რომელიმე ფუნქციის გამოძახებისას, გარდა C_Initializeდა C_ დასრულება
CKR_DATA_INVALID	არასწორი შეყვანის მონაცემები კრიპტოგრაფიული ოპერაციის შესასრულებლად
CKR_DATA_LEN_RANGE	შეყვანილი მონაცემები არ არის სწორი ზომა კრიპტოგრაფიული ოპერაციის შესასრულებლად
CKR_DEVICE_ERROR	შეცდომა ჟეტონზე ან სლოტზე წვდომისას
CKR_DEVICE_MEMORY	არ არის საკმარისი სიმბოლური მეხსიერება მოთხოვნილი ფუნქციის შესასრულებლად
CKR_DEVICE_REMOVED	ჟეტონი ამოღებულ იქნა სლოტიდან ფუნქციის შესრულებისას
CKR_DOMAIN_PARAMS_INVALID	არასწორი ან მხარდაუჭერელი დომენის პარამეტრები გადაეცა ფუნქციას
CKR_ENCRYPTED_DATA_INVALID	არასწორად დაშიფრული მონაცემები გაიგზავნა გაშიფვრის ოპერაციისთვის
CKR_ENCRYPTED_DATA_LEN_RANGE	არასწორი ზომის დაშიფრული მონაცემები გადაცემულია გაშიფვრის ოპერაციისთვის
CKR_FUNCTION_CANCELED	ფუნქცია შეწყდა
CKR_FUNCTION_FAILED	ფუნქციის შესრულებისას მოხდა შეცდომა
CKR_FUNCTION_NOT_SUPPORTED	მოთხოვნილი ფუნქცია არ არის მხარდაჭერილი ბიბლიოთეკის მიერ
CKR_FUNCTION_უარი	ხელმოწერის მოთხოვნა უარყო მომხმარებელმა
CKR_GENERAL_ERROR	კრიტიკული ტექნიკის შეცდომა
	არ არის საკმარისი მეხსიერება ფუნქციის შესასრულებლად სამუშაო სადგურზე, სადაც დაინსტალირებულია ბიბლიოთეკა
CKR_KEY_FUNCTION_NOT_PERMITTED	ძირითადი ატრიბუტები არ იძლევა ოპერაციის საშუალებას
CKR_KEY_HANDLE_INVALID	ფუნქციას გადაეცა გასაღების არასწორი იდენტიფიკატორი (სახელური).
CKR_KEY_NOT_WRAPPABLE	გასაღების დაშიფვრა შეუძლებელია
CKR_KEY_SIZE_RANGE	გასაღების ზომა არასწორია
CKR_KEY_TYPE_INCONSISTENT	გასაღების ტიპი არ ემთხვევა ამ მექანიზმს
CKR_KEY_UNEXTRACTABLE	გასაღების დაშიფვრა შეუძლებელია, რადგან CKA_UNEXTRACTABLE ატრიბუტი დაყენებულია CK_TRUE-ზე
CKR_MECHANISM_INVALID	კრიპტოგრაფიული ოპერაციის შესასრულებლად მითითებული არასწორი მექანიზმი
CKR_MECHANISM_PARAM_INVALID	კრიპტოგრაფიული ოპერაციის შესასრულებლად მითითებული ძრავის არასწორი პარამეტრები
CKR_NEED_TO_CREATE_THREADS	პროგრამა არ უჭერს მხარს შიდა ოპერაციული სისტემის მეთოდებს ახალი თემების შესაქმნელად
CKR_OBJECT_HANDLE_INVALID	ობიექტის არასწორი იდენტიფიკატორი (სახელური) გადაეცა ფუნქციას
CKR_OPERATION_ACTIVE	ოპერაციის ჩატარება შეუძლებელია, რადგან ოპერაცია უკვე მიმდინარეობს
CKR_OPERATION_NOT_INITIALIZED	ამ სესიაზე ოპერაციის შესრულება შეუძლებელია
	PIN-ის ვადა ამოიწურა
CKR_PIN_არასწორი	ფუნქციაზე გადაცემული PIN კოდი არ ემთხვევა ჟეტონზე შენახულს
	PIN-ის მნიშვნელობა შეიცავს არასწორ სიმბოლოებს
CKR_PIN_LEN_RANGE	PIN-კოდის სიგრძე არასწორია
CKR_RANDOM_NO_RNG	ეს ჟეტონი არ უჭერს მხარს შემთხვევითი რიცხვების გენერირებას
CKR_SESSION_CLOSED	ფუნქციის შესრულებისას სესია დაიხურა
CKR_SESSION_COUNT	ამ ჟეტონისთვის ღია სესიების მაქსიმალური რაოდენობა მიღწეულია
CKR_SESSION_EXISTS	ჟეტონთან სესია უკვე ღიაა და ამიტომ ტოკენის ინიციალიზაცია შეუძლებელია
CKR_SESSION_HANDLE_INVALID	სესიის არასწორი ID (სახელური) გადაეცა ფუნქციას
CKR_SESSION_PARALLEL_NOT_SUPPORTED	ამ ჟეტონს არ აქვს პარალელური სესიების მხარდაჭერა
CKR_SESSION_READ_ONLY	მოქმედების შესრულება შეუძლებელია, რადგან ეს არის R/O სესია
CKR_SESSION_READ_WRITE_SO_EXISTS	R/W სესია უკვე ღიაა, ამიტომ R/O სესიის გახსნა შეუძლებელია
CKR_SIGNATURE_INVALID	არასწორი EDS მნიშვნელობა
CKR_SIGNATURE_LEN_RANGE	EDS მნიშვნელობა სიგრძით არასწორია
CKR_SLOT_ID_INVALID	სლოტი მოცემული პირადობის მოწმობით არ არსებობს
CKR_TEMPLATE_INCOMPLETE	არ არის საკმარისი ატრიბუტები ობიექტის შესაქმნელად
CKR_TEMPLATE_INCONSISTENT	მოცემული ატრიბუტები ერთმანეთს ეწინააღმდეგება
CKR_TOKEN_NOT_PRESENT	ჟეტონი არ არის სლოტში ფუნქციის გამოძახების დროს
CKR_UNWRAPPING_KEY_HANDLE_INVALID	გაშიფვრის გასაღების არასწორი იდენტიფიკატორი (სახელური) გადაეცა ფუნქციას
CKR_UNWRAPPING_KEY_SIZE_RANGE	გაშიფვრის გასაღების ზომა არასწორია
CKR_UNWRAPPING_KEY_TYPE_INCONSISTENT	გაშიფვრის გასაღების ტიპი არ ემთხვევა ამ მექანიზმს
CKR_USER_ALREADY_LOGGED_IN
CKR_USER_ANOTHER_ALREADY_LOGGED_IN
CKR_USER_NOT_LOGGED_IN
CKR_USER_PIN_NOT_INITIALIZED	მომხმარებლის PIN არ არის ინიციალიზებული
CKR_USER_TOO_MANY_TYPES
CKR_USER_TYPE_INVALID	მითითებულია არასწორი მომხმარებლის ტიპი
CKR_WRAPPED_KEY_INVALID	მითითებულია არასწორი დაშიფრული გასაღები
CKR_WRAPPED_KEY_LEN_RANGE	დაშიფრული გასაღების სიგრძე მითითებულია არასწორად
CKR_WRAPPING_KEY_HANDLE_INVALID	დაშიფვრის გასაღების არასწორი იდენტიფიკატორი (სახელური) გადაეცა ფუნქციას
CKR_WRAPPING_KEY_SIZE_RANGE	დაშიფვრის გასაღების ზომა არასწორია
CKR_WRAPPING_KEY_TYPE_INCONSISTENT	დაშიფვრის გასაღების ტიპი არ ემთხვევა ამ მექანიზმს

შეცდომის სპეციალური კოდები

ცხრილში 2.30 ჩამოთვლილია ყველა PKCS #11 გაფართოებული შეცდომის კოდი მათ აღწერილობებთან ერთად. გაფართოებულ შეცდომის კოდებს შეუძლიათ დააბრუნონ როგორც სტანდარტული, ასევე გაფართოების ფუნქციები.

ცხრილი 2.30. სტანდარტული შეცდომის კოდებიPKCS #11 მხარდაჭერილი Rutoken მოწყობილობებით

შეცდომის კოდი	აღწერა
CKR_CORRUPTED_MAPFILE	ეს შეცდომა ბრუნდება, როდესაც MAP ფაილი დაზიანებულია (MAP ფაილის წაკითხვისას MAP ფაილის სათაურის ტეგი (2 ბაიტი) არასწორი აღმოჩნდა)
CKR_RTPKCS11_DATA_CORRUPTED	ეს შეცდომა დაბრუნდება, თუ ჟეტონზე აღმოჩენილია მონაცემთა მთლიანობის დარღვევა (PKCS#11 ობიექტის შემცველი ფაილის წაკითხვისას ობიექტის სათაურის ტეგი (2 ბაიტი) არასწორი აღმოჩნდა)
CKR_WRONG_VERSION_FIELD	ეს შეცდომა დაბრუნდება, თუ PKCS#11 ობიექტის შემცველ ფაილს აქვს არასწორი ვერსია (ნებისმიერი ფაილის წაკითხვისას (MAP ფაილი ან ფაილი, რომელიც შეიცავს PKCS#11 ობიექტს), სათაურის ვერსია (4 ბაიტი) არასწორი აღმოჩნდა)
CKR_WRONG_PKCS1_კოდირება	ეს შეცდომა დაბრუნდება, თუ გაშიფრული შეტყობინება არ არის სწორი ფორმით.
CKR_RTPKCS11_RSF_DATA_CORRUPTED	ეს შეცდომა ბრუნდება, თუ RSF ფაილის გამოყენების მცდელობა ვერ მოხერხდება.

პრობლემის აღწერა. EGAIS-თან მუშაობისთვის გამოიყენება JaCarta PKI / GOST / SE ოპერატორი. ხშირად ერთ-ერთი დანაყოფი იბლოკება (PKI დანაყოფი). ამ შემთხვევაში EGAIS-თან შემდგომი მუშაობა შეუძლებელია.

დაბლოკვის მიზეზი– უნივერსალური სატრანსპორტო მოდულის ხშირი წვდომა JaCarta-ს გადამზიდავთან. ავტორიზაციის ათი წარუმატებელი მცდელობით, მედია ბლოკავს დანაყოფს და გამორიცხავს შემდგომ მუშაობას.

პრობლემის გადაჭრის ორი გზა არსებობს:

1. დაუკავშირდით სერტიფიცირების ორგანოს, რომელმაც გასცა გადამზიდავი.
2. განბლოკეთ JaCarta მედია ინსტრუქციის მიხედვით დამოუკიდებლად.

ინსტრუქციები Microsoft Windows 10-ის მაგალითზე.

ნაბიჯ-ნაბიჯ ინსტრუქციები PKI დანაყოფის განბლოკვის შესახებ

ნაბიჯი 1: გადართვა ადმინისტრაციულ რეჟიმში

Start მენიუდან იპოვეთ JaCarta Unified Client აპი და გახსენით იგი.

ბრინჯი. 1. მარტოხელა კლიენტი JaCarta

გაიხსნება პროგრამის სამუშაო სივრცე.

ბრინჯი. 2. გადართვა ადმინისტრირების რეჟიმში

გაიხსნება პროგრამის სამუშაო სივრცე. თუ PKI განყოფილება დაბლოკილია, PKI ჩანართი წითელი იქნება.

ბრინჯი. 3. ინფორმაცია ჟეტონის შესახებ

ნაბიჯი 2: PKI დაბლოკვის შემოწმება დანაყოფზე

იმის გასაგებად, რომ PKI განყოფილება ნამდვილად დაბლოკილია, დააჭირეთ ბმულს "სრული ინფორმაცია ..." ჩანართში "Token information".

გაიხსნება "დეტალური ინფორმაცია ჟეტონის შესახებ". ახალ ფანჯარაში იპოვეთ განყოფილება "PKI განაცხადის ინფორმაცია". თუ "PIN-კოდის" სტრიქონში სტატუსი არის "დაბლოკილი", დახურეთ ფანჯარა და გადადით ინსტრუქციის შემდეგ აბზაცზე.

ბრინჯი. 4. დეტალური ინფორმაცია ჟეტონის შესახებ

ნაბიჯი 3 განბლოკეთ PKI დანაყოფი

გადადით "PKI" ჩანართზე. განაცხადის მოქმედებების პანელში აირჩიეთ მომხმარებლის PIN-ის განბლოკვის... ვარიანტი.

გაიხსნება "User PIN Unlock" ფანჯარა, რომელშიც შეგიძლიათ მიუთითოთ:

1. ამჟამინდელი ადმინისტრატორის PIN არის 00000000 ნაგულისხმევად;
2. ახალი მომხმარებლის PIN არის 11111111 ნაგულისხმევად;
3. კოდის დადასტურება (იგულისხმება მომხმარებლის PIN კოდი).

ბრინჯი. 6. მომხმარებლის PIN-ის განბლოკვა

PIN კოდების მითითების შემდეგ დააჭირეთ "Run".

თუ ყველაფერი სწორად არის შეყვანილი, შეტყობინება გამოჩნდება. დააწკაპუნეთ "OK" დასასრულებლად.

ბრინჯი. 7. შეტყობინება წარმატებული განბლოკვის შესახებ

გადადით "Token Information" ჩანართზე და დააწკაპუნეთ ბმულზე "სრული ინფორმაცია" PKI განაცხადის მიმდინარე სტატუსის შესამოწმებლად. სტატუსი უნდა იყოს "დაინსტალირებული".

ბრინჯი. 8. სტატუსის შემოწმება

თუ სტატუსი შეიცვალა, განბლოკვა დასრულებულია.