Ошибк

Ошибка 0x80090010 отказано в доступе: Отказано в доступе. Истек срок действия закрытого ключа.

15.10.1989

Содержание

Подпись: ошибка 0x80090010: отказано в доступе

При ведении документооборота пользователи программ и порталов, использующих Систему Удаленного Финансового Документооборота (СУФД), например, Континент АП, КриптоПро, СБИС могут столкнуться с невозможность создания подписи в следствии появлении ошибки: «Подпись: ошибка 0x80090010: отказано в доступе».

В этой статье рассмотрим, что это за ошибка 0x80090010 и разберемся с возможными причинами того, почему не удается создать подпись ключа.

Почему не удается создать подпись | ошибка 0x80090010

Среди основных причин, почему не удается создать подпись и появляется сообщение об ошибке с кодом 0x80090010, можно выделить следующие:

  • Истек срок действия закрытого ключа;
  • Отсутствие прав доступа к накопителю;
  • Отсутствие прав доступа на реестр защищенных ключей.

Как исправить ошибку 0x80090010: отказано в доступе

Прежде чем выполнить нижеописанную процедуру необходимо убедиться, что используется последняя версия программного обеспечения. Если нет, то нужно выполнить обновления.

Чтобы исправить ошибку «0x80090010: отказано в доступе» необходимо правильно диагностировать причину ее возникновения. Рассмотрим данный процесс на примере КриптоПро CSP:

  1. Запустить программу;
  2. Перейти в настройки;
  3. Открыть вкладку «Сервис»;
  4. Нажать «Протестировать» в разделе настроек тестирования, копирования и удаления контейнера закрытого ключа;
  5. Указать путь к ключевому контейнеру, расположенному на съемном носителе;
  6. Нажать «ОК»;
  7. Затем – «Далее»;
  8. Дождаться завершения работы мастера проверки контейнера, по истечению которой можно увидеть причину возникновения ошибки 0x80090010:

В зависимости от полученного результата необходимо предпринять соответствующие действия.

Истек срок ключа

Если использование ключа обмена запрещено в результате того, что срок действия закрытого ключа истек, то в таком случае, чтобы исправить ошибку «0x80090010: отказано в доступе» необходимо получить новый.

Если нужно срочно подписать документы, то можно пойти на небольшую хитрость и изменить системную дату на компьютере. Для этого нужно:

  1. Кликнуть правой кнопкой мыши на дату / время в системном трее Windows, вызвав тем самым контекстное меню;
  2. Выбрать пункт «Настройка даты и времени»;
  3. Деактивировать автоматическую установку времени, передвинув ползунок влево, сделав его неактивным;
  4. Нажать «Изменить» в строке «Установка даты и времени вручную»;
  5. Изменить дату, соответствующую сроку действия ключа.

В случае с ключами, которые хранятся в реестре, можно выполнить следующую процедуру:

  1. Зайти в реестр Windows. Для этого нужно нажать сочетание клавиш Win+R и ввести команду regedit;
  2. Пройти по пути:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity (для 64-битных ОС),
    HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity (для 32-битных ОС).
  3. Найти параметр «ControlKeyTimeValidity». Если его нет, то нужно создать параметр DWORD (32 бита) самостоятельно и дать ему указанное имя;
  4. Открыть свойства параметра, нажав по нему правой кнопкой мыши;
  5. Присвоить параметру значение «0»;
  6. Нажать «ОК»;
  7. После выполнения процедуры перезапустить программу.

Визуально ознакомиться с пошаговыми действиями можно в следующей видеоинструкции:

Отсутствие прав к накопителю

Если отсутствуют права доступа к накопителю, то нужно дать права доступа к флеш-накопителю и желательно добавить его в исключения антивирусной программы и брандмауэра Windows.

Часто подобная проблема возникает в следствии форматирования накопителя в формате NTFS. Рекомендуемые форматы: FAT и FAT32. Проверить права и формат файловой системы можно в свойствах флешки, кликнув по ней правой кнопкой мыши и выбрав соответствующий пункт.

Отсутствие прав доступа к ключам в реестре

Если отсутствуют права доступа на реестр защищенных ключей, то нужно:

  1. Зайти в реестр Windows. Для этого нужно нажать сочетание клавиш Win+R и ввести команду regedit;
  2. Проверить наличие прав по пути:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\{SID_пользователя}\Keys

В случае их отсутствия – получить.

Не нашли ответ? Тогда воспользуйтесь формой поиска:

Подпись ошибка 0x80090010 отказано в доступе КриптоПро

Сегодня разберем проблему с подписью в КриптоПро, а конкретнее строчку в отчете «ошибка 0x80090010 отказано в доступе». Поговорим чем вызван этот сбой в СУФД, дадим общие рекомендации по обновлению программы. В конце статьи оставим инструкцию как же все такие подписать документы, если ключ просрочен, а отправить отчет нужно.

Ошибка подписи. CryptSignMessage: Отказано в доступе

Отправляясь тестировать контейнер первым делом получаем отчет с ошибкой вот такого содержания:

Ошибка 0x80090010 отказано в доступе

Для начала проверьте версию КриптоПРО CSP. Если версия стабильная и рабочая – оставляем, если помимо этого сбоя присутствую другие ошибки – версию программы лучше обновить на будущее.
Ошибка 0x80090010 отказано в доступе – означает что просрочена версия открытого или закрытого ключа. Создавая запрос на выдачу сертификата для генерации ключей, мы несём необходимые бумаги для выдачи подписи через несколько недель. Контроль будет осуществляться с даты создания запроса. Тут мы используем лайфхак, об этом ниже, а для начала мы протестируем контейнер.

Проверяем контейнер

Для проверки контейнера проделаем стандартные операции перечисленные ниже:

  1. Открываем панель управления и запускаем КриптоПРО CSP. Заходим во вкладку «Сервис»;
  2. Нажимаем «Протестировать» и «Обзор»;
  3. В файловой системе находим сертификат, который мы использовали для подписи перед получением ошибки 0x80090010;
  4. Смотрим на верхнюю строчку в отчете;

    Проверка завершилась с ошибкой

  5. Видим что срок действия закрытого ключа истёк;

    Срок действия закрытого ключа истек

  6. Пролистав еще ниже и вправо вы увидите срок действия закрытого ключа.

    Срок действия закрытого ключа истек

Еще раз – ошибка подписи 0x80090010 всегда означает что истек срок действия закрытого ключа.

Как подписать документы?

Тут придется прибегнуть к маленькой хитрости, которая работала раньше во многих программах схожего типа – поменять системную дату на срок действия системного ключа:

  • Кликаем правой кнопкой мышки по часам Windows 10 и выбираем «Настройка даты и времени». Для Windows 7 — двойной клик левой кнопкой мыши.

    Настройка даты и времени

  • Выбираем дату на несколько дней раньше истечения срока действия ключа.
  • Перезапускаем ПК, заново открываем КриптоПРО CSP и пробуем подписать документы.

После этого можно выдохнуть, заварить чашечку крепкого кофе… И начать готовить документы и оформлять заявку для оформления нового сертификата.

Заключение

Напишите нам в комментариях помогла ли вам данная инструкция побороть проблему отказа доступа в КриптоПро. Если статья была полезна – делитесь ссылками в соцсетях, так вы поможете другим пользователям с аналогичной проблемой. Задавайте другие вопросы о других программах, которые работают с ошибками или вызывают вопросы.

Евгений Загорский

IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.

Оценка статьи:

Загрузка… Самое читаемое: 10.01.2022

Недавно разработчики внедрили в Тик Ток новую фишку – сундуки. Сундуки могут появиться в любой трансляции, где…

Далее 09.01.2022

Раньше русский ник могли сделать любой пользователь сети Тик Ток. С недавних пор эту возможность прикрыли и люди…

Далее 09.01.2022

Сегодня покажем полный пошаговый процесс как сделать дракона из Тик Тока на руку из бумаги. В процессе создания…

Далее 08.01.2022

Последнее время в Тик Токе набирает популярность игрушечная уточка, которая уже стала трендом и даже символом…

Далее

Ошибка 0x80090010 отказано в доступе

Многие пользователи Континент АП, обновив продукт, что бы работать со средствами криптографической защиты Крипто-Про 4.0 или более поздней версии, а также те, кто изначально установил указанный программный продукт столкнулись с ошибкой «Ошибка подписи ключа 0x80090010 (Отказано в доступе)«. После сбоя работа программы блокируется, пользоваться сертификатом что бы подписать или отправить документы нельзя. В ранних версиях вышеуказанного приложения подобные ошибки возникали и решались следующим образом:

Подпись ошибка 0x80090010 отказано в доступе

Причины и решение ошибки

  1. Вышел срок в течении которого закрытый ключ действовал. Определить срок действия ключа можно непосредственно в самой программе. Заходим в опции, раздел сертификатов и выбираем нужный сертификат. При истечении срока — получаем новый ключ.
  2. Нет разрешения на доступ к накопителю где лежат нужные ключи. Все просто. Открываем права доступа на диск (может быть флешка или любой другой накопитель) пользователю, под которым необходимо зайти. При проверке данным способом необходимо также разрешить антивирусу использовать (запускать) файл, а также разрешить действия брандмауэру виндоус.
  3. У учетной записи пользователя не хватает прав доступа к реестру ключей. Решение актуально в случае, когда у юзера нет прав к соответствующей ветке ключей. Что бы проверить права, открываем панель пуск (слева внизу),  во вкладке «найти программы и файлы» вводим команду «regedit», после чего проверяем наличие ключей в папке SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\{SID_пользователя}\Keys

Ошибка создания подписи отказано в доступе 0x80090010

Решение проблемы

Перед реализацией дальнейших решений, проделайте предыдущие действия указанные в начале статьи. В случае безрезультатности последних —  вывод только один — вы используете версию Crypto-Pro 4.0. Недостаток последней заключается в том. что Крипто-Про 4.0+ воспринимает ключи, созданные 15 месяцев назад как просроченные (хотя срок «годности» 2 года).

Если вы использовали все вышеуказанные методы но ни один не помог, попробуйте совершить следующие действия:

  1. Воспользуйте элетронной печатью на другом компьютере. Зачастую возникшая проблема состоит именно в программном обеспечении или «железе» ПК. В случае успеха — переустановите систему первому компьютеру.
  2. Обратитесь в техническую помощь, возможно ключ сделан с ошибкой. Попробуйте воспользоваться электронной подписью коллеги (если таковой имеется). Таким образом узнаем работоспособность программного обеспечения и железа, к которому подключен ключ
  3. Ошибки могут возникать в случае, когда ключ создан был только недавно, активация еще не прошла. В таком случае — необходимо немного подождать и проверить снова. Зачастую такая проблема возникает в государственных органах с новыми сотрудниками. Подпись выдается сразу, работать начинает на следующий день.
  4. В случае отсутствия антивируса на компьютере — установите и проверьте последний путем углубленной проверки. Очистите компьютер от вредоносных программ, которые приводят к поломке как установленные программы, так и систему вцелом.
  5. При безрезультатности всех вышеперечисленных методов решения проблемы 0x80090010, рекомендуем обратиться непосредственно в техническую поддержку за заменой действующего ключа.

Понравилась статья? Поделиться с друзьями:

Исправить ошибку 0x80090010 в доступе создания подписи ключа |

Сегодня многие предприятия, организации и люди активно пользуются услугами различных государственных интернет-ресурсов, где одним из условий взаимодействия является электронная цифровая подпись пользователя.

И иногда при попытке использовать ЭЦП в том или ином документе, возникает ошибка создания подписи – отказано в доступе 0x80090010.

Естественно, это весьма неприятно, так как человек заходит на такие сайты явно не для развлечений. И ему очень важно оперативно устранить проблему. Как это сделать?

Вполне логично, что в работе с такими документами требуется два важных продукта. А именно – Континет АП и КриптоПро. Учитывая эту информацию, предлагаем вам ознакомиться с несколькими вариантами действий, способных принести нужный результат.

Варианты устранения проблемы

Итак, возникла ошибка подписи ключа 0x80090010 Континент АП. Как ее можно устранить? Изначально рекомендуется узнать, а не закончился ли срок действия контейнера ключей?

Для этого необходимо:

  • Через кнопку «Пуск» осуществить переход в Панель Управление.
  • Найти и кликнуть по КриптоПРО CSP.
  • Нажать на «Сервис», затем на «протестировать» и «обзор».

  • Выбрать тот сертификат, который следует проверить.
  • В конце задействовать кнопку «Далее».

После проверки на экране появится окно с информацией. Если вверху будет написано про возникновения ошибки, то следует внимательно просмотреть данные – скорее всего там будет срока, с указанием истечения срока действия ключа.

Как исправить? Конечно, можно запросить новый. Но на это необходимо время. А иногда какие-то дела требуют срочности. Как быть? Можно зайти в настройки даты и времени, изменить их таким образом, чтобы дата была на пару дней раньше, нежели указанные значения истекшего срока.

Естественно, это все временное решение возникшей проблемы. Не стоит им пользоваться на постоянной основе. Так как подобные действия могут привести к более существенным и критическим неприятностям.

Поэтому сразу же после этого стоит запросить новые сертификаты и установить их в систему. Иногда причина кроется в другом. А именно в несоответствии файловой системы на внешнем накопителе – флэшке. Или отсутствии прав доступа. Права – можно запросить у того человека, которому они принадлежат. А вот флэш-накопитель рекомендуется переформатировать, если при возникновении сбоя пользователь наблюдает наличие NTFS-системы. Рекомендуемый формат в этом случае – FAT или FAT32.

Если же с годностью сертификата все нормально, а сами эти компоненты помещены в системный реестр (то есть, находятся на жестком диске, а не на внешнем накопителе), то, скорее всего, права доступа у человека банально отсутствуют. Единственный выход – запрос их у того, кто ими владеет.

Ошибка подписи ключа 0x80090010 (Отказано в доступе) Континент АП

Для многих людей и компаний личная сетевая безопасность является важнейшим фактором при присутствии в Интернете. Существует множество программ, предлагающих защиту. В нашей стране пользуется повышенной популярность программное обеспечение, известное как Континент АП. Достаточно сказать, что именно это ПО рекомендует устанавливать ФСБ и большинство государственных корпораций используют именно его.

К сожалению, но даже этот продукт не застрахован от неисправностей. Некоторые люди отмечают, что при попытке использовать программу в совокупности с Крипто-Про у них возникает так называемая ошибка подписи ключа 0x80090010. Естественно, это не позволяет использовать ПО по назначению (отказано в доступе), поэтому следует знать, как именно можно избавиться от возникшей неприятности.

Решение проблемы на версиях с 3.6 по 3.9

Если у вас установлена одна из таких версий Крипто-Про, которая взаимодействует с Континент АП, то решить проблему можно одним из трех известных сегодня способов:

  • Активировать Крипто-Про и через инструмент просмотра сертификатов в контейнере перейти к разделу выбора нужного сертификата. Дальше – выбрать необходимый и просмотреть срок его действия. Вполне возможно, что он банально истек. Решением в этом случае может быть только получение нового сертификата;
  • На операционных системах Виндовс 8.1 и 10 может оказаться закрытым доступ к флеш-накопителю, на котором находится ключ. Следовательно, для исправления ситуации такой накопитель должен быть добавлен в исключения для активного антивируса. Также потребуется предоставить системе необходимые права доступа;
  • Если ключ установлен не на флешке, а в так называемом реестре считывателей, то возможно, что у человека просто отсутствуют необходимые права для доступа к нему. Как в этом убедиться? Требуется через кнопку «Пуск» перейти к строке «Выполнить», вбить в нее «regedit» (без кавычек, конечно же), пройти по пути HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\{SID_пользователя}\Keys, чтобы получить необходимую ситуацию.

Решение для Крипто-Про версии 4.0

Для самой свежей, четвертой версии Крипто-Про описанные выше решения ошибки подписи ключа могут просто не сработать. По совершенно необъяснимой причине программа начинает считать ключи, срок годности которых еще не достиг двух лет (но превысил пятнадцать месяцев), просроченными.

Как исправить сбой, имеющий код ошибки 0x80090010, в этом случае? Требуется повторить следующую инструкцию:

  • Опять активировать Крипто-Про и перейти в интерфейс данного ПО;
  • Через вкладку «Сервис» перейти к «Просмотреть сертификаты в контейнере», затем – нажать на «Обзор», что позволит совершить переход к подразделу «Выбрать нужный сертификат». После этого через «Свойства» зайти в «Состав», где следует нажать на «Копировать в файл»;
  • Перед продолжением действий обязательно установить две галочки, которые позволят выполнить экспорт расширенных свойств и закрытого ключа;
  • Программа попросит установить пароль для имени и сертификата. Сделать это;
  • Как только пароль будет задан, ПО выполнит экспорт файла, с расширением .pfx. Его потребуется установить и присвоить совершенно новый контейнер конкретно для этого файла;
  • Завершает процедуру лечения установка сертификата Континент АП, который обязательно привязывается к созданному чуть ранее новому контейнеру.

В подавляющем числе случаев эта методика прекрасно срабатывает, и проблема полностью устраняется.

Отзывы

Срабатывают ли описанные выше методики? Или люди используют какие-то другие решения? Об этом можно узнать, если почитать их отзывы:

  1. Борис. У меня была схожая ситуация. Срок годности ключа еще не вышел, а выскакивает именно эта ошибка. И исправить ее получилось несколько по-иному. Я запустил Крипто, и перешел в КриптоПро CSP. После этого активировал вкладку, которая называется Безопасность. В ней отключил усиленный контроль использования ключей, что полностью избавило меня от этого сбоя.
  2. Василий. Я вечно забываю отслеживать сроки действия сертификатов. Вспоминаю про такую необходимость, когда на экране выскакивает как раз такая ошибка. После этого нахожу просроченный сертификат и обращаюсь к его создателю, чтобы получить новый.
  3. Григорий. Проблема начала выскакивать после перехода на Десятку. И действительно оказалось, что ключ просто блокировала встроенная антивирусная программа. Добавил в исключения и все сразу же разрешилось.
  4. Сергей. Сначала думал, что переход на четвертую версию КриптоПРо сделает работу с данным ПО более стабильным, но практически сразу столкнулся с этой ошибкой. Помог способ с созданием нового контейнера с другим именем. Спасибо, а то долго искал способ исправления.

Пользователи действительно иногда самостоятельно находят пути решения той или иной проблемы. В данной ситуации один из них предложил отключить усиленный контроль использования ключей, что дало нужный результат. Поэтому его тоже необходимо принять к сведению.

Документация

Текст ошибки:

Ошибка сохранения сообщения (0x80004005)

Ошибка сохранения сообщения (0x80004005)

Произошла ошибка при создании подписи

Произошла ошибка при определении размера закодированного сообщения

Отказано в доступе. (0x80090010)

Как выглядит ошибка:

Решение

Переустановите ваш сертификат через КриптоПро CSP так: Перейдите на  вкладку Сервис, далее Просмотреть сертификаты в контейнере, затем Обзор, выберите контейнер и нажмите Установить.

Если переустановка не поможет, то проверьте контейнер ключа при помощи кнопки Протестировать на той же вкладке. Если в результате тестирования возникнет ошибка “Использование ключа обмена запрещено. Срок действия закрытого ключа истек. Срок действия закрытого ключа не может превышать 3 года для неизвлекаемых ключей, хранящихся на ФКН и на HSM, и 1 год 3 месяца для прочих ключей”, то подписать этим сертификатом вам не удастся, нужно получить новый сертификат.

Также вероятная причина ошибки это ограничение прав доступа к ресурсу, на котором находится ключевой контейнер. Например в следующей статье описана похожая ошибка на серверной Windows, где причиной было ограничение прав пользователя к флешке на которой находился ключевой контейнер.

Также возможно ограничение прав на ветку реестра с контейнером, так как понадобятся не только права чтения, но и права записи.

Ключи носителя «реестр» КриптоПро CSP хранит в следующей ветке реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\<SID пользователя>\Keys

Пользователю в разрешениях (доступно из контекстного меню для ветки реестра) должен быть предоставлен полный доступ (начиная с раздела <SID пользователя>).

Если не получается исправить эту ошибку добавлением прав пользователя для носителя контейнера, то с этим вопросом стоит обратиться в техподдержку компании КриптоПРО.


Инструкция по установке, настройке и устранению ошибок континент-ап список используемых сокращений скзи – средство криптографической защиты информации. Инструкция по установке, настройке и устранению ошибок континент-ап список используемых сокращений скзи

Многие пользователи Континент АП, обновив продукт, что бы работать со средствами криптографической защиты Крипто-Про 4.0 или более поздней версии, а также те, кто изначально установил указанный программный продукт столкнулись с ошибкой «Ошибка подписи ключа 0x80090010 (Отказано в доступе) «. После сбоя работа программы блокируется, пользоваться сертификатом что бы подписать или отправить документы нельзя. В ранних версиях вышеуказанного приложения подобные ошибки возникали и решались следующим образом:

Подпись ошибка 0x80090010 отказано в доступе

Причины и решение ошибки

Ошибка создания подписи отказано в доступе 0x80090010

Решение проблемы

Перед реализацией дальнейших решений, проделайте предыдущие действия указанные в начале статьи. В случае безрезультатности последних — вывод только один — вы используете версию Crypto-Pro 4.0. Недостаток последней заключается в том. что Крипто-Про 4.0+ воспринимает ключи, созданные 15 месяцев назад как просроченные (хотя срок «годности» 2 года).

Если вы использовали все вышеуказанные методы но ни один не помог, попробуйте совершить следующие действия:

  1. Воспользуйте элетронной печатью на другом компьютере. Зачастую возникшая проблема состоит именно в программном обеспечении или «железе» ПК. В случае успеха — переустановите систему первому компьютеру.
  2. Обратитесь в техническую помощь, возможно ключ сделан с ошибкой. Попробуйте воспользоваться электронной подписью коллеги (если таковой имеется). Таким образом узнаем работоспособность программного обеспечения и железа, к которому подключен ключ
  3. Ошибки могут возникать в случае, когда ключ создан был только недавно, активация еще не прошла. В таком случае — необходимо немного подождать и проверить снова. Зачастую такая проблема возникает в государственных органах с новыми сотрудниками. Подпись выдается сразу, работать начинает на следующий день.
  4. В случае отсутствия антивируса на компьютере — установите и проверьте последний путем углубленной проверки. Очистите компьютер от вредоносных программ, которые приводят к поломке как установленные программы, так и систему вцелом.
  5. При безрезультатности всех вышеперечисленных методов решения проблемы 0x80090010, рекомендуем обратиться непосредственно в техническую поддержку за заменой действующего ключа.

Наступил 2019 год. Поэтому в соответствии с письмом УФК по Челябинской области «Об изменении порядка получения сертификатов Континента АП», с 01.01.2019 формирование запросов на сертификаты для работы в СКЗИ Континент АП, должно выполняться только с применением криптопровайдера «Код безопасности CSP» и алгоритма открытого ключа по ГОСТ Р 34.10-2012.

В связи с этим, я решил показать как сделать такой запрос на сертификат Континента АП. Первое, что нужно знать, это то, что такой запрос делается на версии программы не ниже чем 3.7.7.651. Если у вас версия другая, то получите нужную в вашем территориальном отделе Федерального казначейства и обновите свой Континент АП.

Кстати, обновить Континент АП до указанной версии очень просто. Не потребуется даже удалять предыдущую. Просто запускаете установку, а дальше установщик всё сделает сам. Правда это относится к версиям, которые используют криптопровайдер «Код безопасности CSP» , например версия Континента АП 3.7.5.474. Если же у вас старая версия, какая как 3.5.68.0, то ее придется удалить штатными методами операционной системы, а потом установить новую.

Итак, приступим. После загрузки Вашего компьютера, в трее (в правом нижнем углу рабочего стола вашего ПК) должна быть иконка программы Континент АП. Кликнем по ней правой кнопкой мыши (ПКМ) и выполним пункт меню Сертификаты -> Создать запрос на пользовательский сертификат. Все это показано на рисунке ниже:

После этого откроется окошко, где нужно будет заполнить все поля. Я заполнил их так, как вы видите на рисунке ниже, вы же заполняйте по своему:

В блоке «Файлы для сохранения запроса на сертификат», можно отредактировать имена этих файлов. Не забудьте поставить галочку «Бумажная форма» и по кнопкам «Обзор» укажите место для сохранения файлов на вашем компьютере. После нажатия на кнопку «Подробно», откроются варианты выбора криптопровайдера и формата запроса (рис. 2). Как уже говорилось в начале статьи выбираем криптопровайдер «Код безопасности CSP» и формат запроса «Запрос для СД» (запрос для сервера доступа). Имя контейнера тоже можно отредактировать. Если все это сделано, жмем «ОК» и приступаем к процессу генерации закрытых ключей и запроса на сертификат (рис. 3):

Как видно из рисунка 3, на вашем экране появится мишень, которая перемещается по экрану. Ваша задача кликать по ней мышкой и смотреть за полоской индикатора в окне «Код безопасности CSP», которая должна двигаться. С такой мишенью вы сталкивались, если сами устанавливали программу на компьютер, я же рассказывал об том . В конце всех этих действий надо нажать на кнопку «ОК» и процесс генерации ключей и запроса продолжится дальше:

После ввода пароля на носитель, а тут нас заставляют это сделать, как видно из рис. 4, минимальная длина пароля должна быть 6 символов и выбора ключевого носителя для записи ключей (рис. 5), генерация будет завершена (рис. 6). Теперь осталось посмотреть печатную форму и файл запроса, которые были сгенерированы вместе с закрытыми ключами. Открываем форму и видим, что алгоритм открытого ключа остался старый, т.е. сделанный по ГОСТ Р 34.10-2001. Это видно на рисунке ниже:

Но, поверьте мне, повода для паники нет. У вас просто установлен старый шаблон печатной формы. Новый можно скачать отсюда . И еще, для очистки совести, можно узнать в каком виде у нас получился запрос, а именно *.req файл, который тоже был сгенерирован вместе с ключами, ведь на основе именно его содержимого выдается сертификат. Файл в этом формате можно прочитать специальной программой, которую вы можете скачать отсюда . Открыв файл в ней, мы увидим совсем другую картину:

На рис. 8 показан алгоритм открытого ключа в том случае, когда у вас на компьютере установлен Континент АП и выше указанная программа. На рис. 9 показан алгоритм открытого ключа, когда у вас не установлен Континент АП. И в том и в другом случае это нормально. Ну а печатную форму необходимо откорректировать, заменив ее шаблон. На этом всё, спасибо за внимание и пока!

И напоследок… Если вам понравилась эта статья и вы почерпнули из нее что-то новое для себя, то вы всегда можете выразить свою благодарность в денежном выражении. Сумма может быть любой. Это вас ни к чему не обязывает, все добровольно. Если вы всё же решили поддержать мой сайт, то нажмите на кнопку «Поблагодарить», которую вы можете видеть ниже. Вы будете перенаправлены на страницу моего сайта, где можно будет перечислить любую денежную сумму мне на кошелек. В этом случае вас ждет подарок. После успешного перевода денег, вы сможете его скачать.


Ряд пользователей программного продукта Континент АП, обновивших программу для работы со средствами криптографической защиты Крипто-Про до версии 4.0 и выше или изначально установившие её на свое рабочее место, столкнулись с ошибкой Ошибка подписи ключа 0x80090010 (Отказано в доступе) . При этом нормальная работа в системе Континент АП нарушается, использовать сертификат для подписи и отправки документов не представляется возможным. Отметим, что с более ранними версиями Крипто-Про, начиная с 3.6 и до релизов версии 3.9 такие ошибки возникают в основном по следующим причинам:

1. Истек срок действия закрытого ключа (сертификата). Узнать актуальный срок действия сертификата можете, открыв программу Крипто-Про CSP — Просмотреть сертификаты в контейнере — Выбрать нужный сертификат — Ок . Если срок действия сертификата истек — вам нужно получить новый. Если же сертификат был выдан сроком на 2 и более лет и с момента его выпуска прошло 15 и более месяцев и при этом у вас установлено ПО Крипто-Про 4.0 и выше — то мы имеем дело как раз с тем самым редким случаем, присущим 4-й версии. О нем ниже.

2. Отсутствие прав доступа к накопителю , на котором находится ключ. Также случается редко, но случается, в основном на ОС Windows 10 и 8.1. Необходимо дать права доступа на флешку или добавить этот диск в исключения антивируса.

3. Отсутствие прав доступа на реестр защищенных ключей . Это для тех случаев, когда ключ установлен в реестре считывателей и у пользователя, работающего с Континент АП не хватает прав доступа к соответствующей ветке — тогда может возникать ошибка подписи ключа 0x80090010. Проверить права доступа легко через команду regedit, пройдя по пути:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\{SID_пользователя}\Keys

Ошибка подписи ключа 0x80090010 Континент АП. Как исправить?

Если все вышеперечисленные варианты решения не помогли — у вас вероятнее всего Crypto-Pro версии 4.0 и проблема кроется в следующем: сертификат для Континент АП был сформирован в АРМ Генерация ключей Казначейства действием на 2 и более года. По какой-то причине Крипто-Про 4-х версий считает просроченными ключи, выпущенные 15 и более месяцев назад. При этом если сертификата нет в контейнере — все работает нормально.

Для решения проблемы необходимо зайти в интерфейс программы Крипто-Про, выбрать вкладку Сервис — Просмотреть сертификаты в контейнере — Обзор — Выбрать нужный сертификат — Свойства — Состав — Копировать в файл, поставив галочку «Да, экспортировать закрытый ключ» и галочку «Экспорт расширенных свойств» . Далее задать пароль на сертификат и имя. Экспортируется файл с расширением.pfx. Далее этот файл с расширением.pfx устанавливается снова, ему присваивается контейнер с новым именем. Сертификат Континент АП надо установить с привязкой к этому контейнеру с новым именем, расширенные свойства сертификата будуь доступны и с его сроком действия в Крипто-Про 4.0 проблем не будет, ошибка подписи ключа 0x80090010 (Отказано в доступе) появляться больше не должна.

Раздел I. Установка Континент-АП

Перед установкой Континент-АП необходимо убедиться, что на рабочей станции установлено СКЗИ КриптоПро CSP имеющее сертификат соответствия ФСБ (например, СКЗИ КриптоПро CSP 4.0.9842).

Для установки Континент-АП версии 3.7.5.474 (КС1/КС2) необходимо в полученном дистрибутиве найти и запустить исполняемый файл – ts_setup.exe(Setup/ts_setup.exe). В открывшемся окне необходимо нажать кнопку Далее» (Рисунок 1).

Рисунок 1 – окно установки Континент-АП

Установите отметку о принятии лицензионного соглашения и нажмите кнопку «Далее» (Рисунок 2).

Рисунок 2 – Лицензионное соглашение

В следующем окне «Компоненты устанавливаемой программы» необходимо снять отметку «Брэндмауэр» и нажать кнопку «Далее» (Рисунок 3).

Внимание: При наличии отметки «Брэндмауэр» невозможно подключится к серверу доступа.

Рисунок 3 – Компоненты устанавливаемой программы

На следующем шаге «Выбор папки установки» выберите папку установки программы. По умолчанию программа установки копирует файлы в каталог C:\Program Files\Security Code\Terminal Station. Необходимо нажать кнопку «Далее» не меняя место расположения предложенного каталога установки (Рисунок 4).

Рисунок 4 – Выбор папки установки

На следующем шаге в разделе «Конфигурация АП» задайте (Рисунок 5):

  • Имя RAS соединения – 2400-SD-01.roskazna.ru
  • IP адрес сервера доступа – 2400-SD-01.roskazna.ru

ПРИМЕЧАНИЕ: После завершения установки необходимо добавить другие адреса для подключения, см. стр 17 (V раздел инструкции)

В разделе «Уровень безопасности» необходимо:

  • выбрать «Низкий» (для защиты по классу КС1)
  • выбрать «Средний» (для защиты по классу КС2, при наличии ПО ПАК ‘Соболь’)

Рисунок 5 – Конфигурация АП

После заполнения полей и выбора уровня безопасности нажмите «Установить» (Рисунок 5).

Рисунок 6 – Установка завершена

Для использования Континента-АП необходимо перезагрузить компьютер. Для этого выберите пункт «Да, перезагрузить ПК сейчас». Либо перезагрузите компьютер позже выбрав пункт «Нет, я перезагружу ПК позже».

Установка Континент-АП завершена.

Для создания запроса на получение сертификата необходимо вызвать контекстное меню пиктограммы Абонентского пункта. Для этого необходимо нажать правой клавишей мыши на пиктограмме и в меню «Сертификаты» выбрать «Создать запрос на пользовательский сертификат». На экране появится диалоговое окно для создания запроса (Рисунок 7).

Рисунок 7 – Создание запроса на сертификат

Следующие поля обязательны для заполнения (Рисунок 8):

  • В поле «Имя сотрудника» необходимо указать значение в формате «КодТОФК_КодУБП» (например 2400_55555), где «КодТОФК» — код территориального органа Федерального казначейства, а «КодУБП» — код участника (с 6 по 10 символ лицевого счета открытого в ТОФК») в соответствии с территориальной принадлежностью Клиента к органу Федерального казначейства. Если лицевой счет получателя средств, в том числе администратору поступлений, открыт в Управлении, то код будет 2400.
  • В поле «Организация» указывается полное или краткое наименование организации без кавычек, тире и подчеркиваний.
  • В поле «Подразделение» указывается подразделение организации.

Рисунок 8 – Параметры сертификата

Остальные поля необязательны для заполнения. После заполнения полей необходимо выбрать место сохранения файла запроса в формате *.req путем заполнения поля «Электронная форма» и нажать «ОК».

В появившемся окне выберете носитель на который будет сформирован закрытый ключ и нажать «ОК» (Рисунок 9).

Рисунок 9 – КриптоПро CSP

С следующем окне необходимо нажимать клавиши или перемещать указатель мыши над окном, до тех пор, пока ключ не будет создан. После заполнения полосы прогресса переход к следующему окну будет выполнен автоматически (Рисунок 10).

Рисунок 10 – Биологический датчик случайных чисел

При необходимости можно задать пароль на создаваемый ключевой контейнер. При пустом пароле – пароль запрашиваться не будет. Установленный пароль на контейнер не восстанавливается. Нажмите «ОК» (Рисунок 11).

Рисунок 11 — установка пароля на контейнер

Программа создаст ключевой контейнер, разместит файл запроса с расширением *.req по указанному Вами пути, с указанным Вами именем.

Необходимо предоставить сформированный файл запроса в РЦР Управления или УРЦР территориального отдела ТОФК по месту открытия лицевого счета.

Переименовывать файл запроса и предоставлять в РЦР и УРЦР заявление в бумажном виде не нужно.

Полученный в ТОФК транспортный сертификат необходимо скопировать на носитель куда был сформирован закрытый ключ.

Для установки сертификата в Континент-АП необходимо вызвать контекстное меню пиктограммы Абонентского пункта. Для этого необходимо нажать правой клавишей мыши на пиктограмме и в меню «Сертификаты» выбрать «Установить сертификат пользователя» (Рисунок 12).

Рисунок 12 – Установка сертификата пользователя

Рисунок 13 – выбор сертификата пользователя

В появившемся окне необходимо выбрать контейнер закрытого ключа, находящийся на соответствующем ключевом носителе и нажать «ОК» (Рисунок 14).

Рисунок 14 – выбор контейнера

В том случае, если в хранилище сертификатов на компьютере отсутствует корневой сертификат, подтверждающий зарегистрированный сертификат пользователя, на экране появится запрос на его установку (Рисунок 15).

Рисунок 15 – подтверждение автоматической установки сертификата

Для регистрации корневого сертификата необходимо выбрать «Да, автоматически». На экране появится сообщение Windows о том, что будет выполнена регистрация корневого сертификата (Рисунок 16).

Рисунок 16 – предупреждение о безопасности

На предупреждение необходимо ответить «ДА». Корневой сертификат будет зарегистрирован. На экране появится сообщение о том, что регистрация сертификата пользователя завершена (Рисунок 17). Установка сертификатов завершена.

Рисунок 17 – сообщение об успешном завершении

Перед установкой соединения с сервером доступа необходимо удостоверится что для подключения используется крипто провайдер «Крипто Про CSP» (Рисунок 18). Крипто провайдер «Код Безопасности CSP» нельзя использовать для подключения.

Рисунок 18 – Выбор крипто провайдера

Для установки соединения с сервером доступа, необходимо вызвать контекстное меню пиктограммы Абонентского пункта. Для этого необходимо нажать правой клавишей мыши на пиктограмме и выбрать «Подключить ‘2400-SD-01.roskazna.ru’. Откроется следующее окно, в котором необходимо выбрать сертификат в формате «КодТОФК_КодУБП и нажать «ОК» (Рисунок 19).

Рисунок 19 – выбор сертификата для подключения

При первом подключении к серверу доступа будет предложено установить корневой сертификат сервера доступа в список разрешенных. Необходимо ответить «Да» (Рисунок 20).

Рисунок 20 – сообщение о добавлении сервера доступа.

При удачном подключении к серверу доступа, пиктограмма Континент-АП смениться с бесцветной на цветную .

Для разрыва соединения с сервером доступа, необходимо вызвать контекстное меню пиктограммы Абонентского пункта и выбрать «Отключить Континент АП» Соединение с сервером доступа будет разорвано. Цвет пиктограммы изменится с цветного на бесцветный.

Для добавления альтернативных серверов доступа необходимо вызвать контекстное меню пиктограммы Абонентского пункта. Для этого необходимо нажать правой клавишей мыши на пиктограмме и в меню «Создать соединение» выбрать «Ручная настройка» (Рисунок 21).

Рисунок 21 – Создание нового соединения.

В появившемся окне необходимо указать имя нового соединения и указать адрес сервера доступа и нажать «Создать»

Адреса серверов доступа:

  • 2400-SD-01.roskazna.ru
  • 2400-SD-02.roskazna.ru

Рисунок 22 – Создание нового соединения.

Таким образом можно добавить все доступные адреса серверов доступа.

Для подключения к альтернативным серверам доступа необходимо открыть контекстное меню пиктограммы Абонентского пункта. Для этого необходимо нажать правой клавишей мыши на пиктограмме и в меню «Установить/разорвать соединение» выбрать соединение через которое необходимо осуществить подключение (Рисунок 24).

Рисунок 24 – Выбор соединения для подключения.

Вопрос: Какой срок действия сертификата?

Ответ: Срок действия транспортного сертификата составляет 1 год и 3 месяца с даты его издания. Срок действия сертификата необходимо отслеживать самостоятельно с момента его получения в ТОФК.

Вопрос: Есть ли дополнительные адреса серверов доступа?

Ответ: Всего существует 3 сервера доступа:

  • 2400-SD-01.roskazna.ru
  • 2400-SD-02.roskazna.ru
  • 2400-SD-03.roskazna.ru

В один момент времени на один сервер можно подключится одним транспортным сертификатом.

Вопрос: При попытке создать новое подключение выходит ошибка «Необходимо запустить программу с правами Администратора».

Ответ: Необходимо закрыть «Континент-АП» нажав на него правой кнопкой мыши и выбрав пункт «Выход». Далее необходимо в меню Пуск найти «Все программы» — «Код Безопасности» – «Континент-АП 3.7» – «VPN Сlient» и нажать по значку правой кнопкой мыши, выбрать пункт «Запуск от имени администратора».

Вопрос: Что делать если в организации предусмотрено больше рабочих мест?

Ответ: Необходимо получить новый сертификат. Для этого необходимо создать запрос на новый сертификат в формате «КодТОФК_КодУБП_#» где # — порядковый номер вашего дополнительного сертификата. (например, 2400_55555_1).

Вопрос: При подключении возникает ошибка «Многократный вход пользователя запрещен». Что делать?

Ответ: Ошибка возникает если вы пытаетесь подключится к серверу, к которому уже совершено подключение вашим сертификатом. За редким исключением ваше предыдущее подключение может быть не сброшено сервером, в таком случае подключитесь на другой сервер или обратитесь в Управления с просьбой сбросить повисшее подключение.

Вопрос: При подключении возникает ошибка «Превышено максимальное количество подключений» Что делать?

Ответ: Ошибка возникает если сервер на который вы подключаетесь перегружен. Воспользуетесь разделом V настоящей инструкции для подключения на другой сервер.

Вопрос: При подключении возникает ошибка «Client-cert not found» Что делать?

Ответ: Ошибка возникает при некорректной работе взаимодействующих приложений КриптоПро CSP и Континент-АП. Рекомендуем последовательно:

  1. Переустановить транспортный сертификат и попробовать вновь. Если ошибка осталась перейти к пункту 2.
  2. Переустановить Континент-АП согласно этой инструкции и вновь установить транспортный сертификат. Если ошибка осталась перейти к пункту 3.
  3. Переустановить КриптоПро CSP согласно инструкции размещенной на сайте Управления в разделе «ГИС» — «Удостоверяющий центр» — «Инструкции».

Вопрос: После получения нового сертификата, он был установлен, но Континент-АП не подключается с ошибкой «Вставьте ключевой носитель». Окно выбора сертификата не появляется после нажатия «Установить подключение» Что делать?

Ответ: Открыть меню континента-АП – Настройка аутентификации – Континент-АП как показано на рисунке. В разделе «Сертификаты по умолчанию» выбрать пункт «Запрашивать сертификат при подключении». Нажать «ОК» и попробовать подключиться вновь.

Вопрос: При подключении возникает ошибка «Неизвестный клиент» Что делать?

Ответ: Обратиться в Управление по телефону 46-26-16 или написать нам на ящик отдела ufk24_ и сообщить информацию о том какой сертификат вы используете и на какой конкретно сервер вы подключаетесь.

Вопрос: При попытке установить сертификат в Континент-АП возникает ошибка «Неизвестная ошибка импорта сертификатов» Как решить?

Ответ: Ошибка возникает при наличии на рабочей станции в хранилище личных сертификатов, сертификатов в составе полей, которых имеются кавычки «”» или знак «+». Для решения проблемы необходимо удалить такие сертификаты из личного хранилища. Для просмотра хранилища личных сертификатов выберите в меню «Пуск» — «Все программы» — «Крипто-Про» — «Сертификаты пользователя». Чаще всего проблема возникает из-за истекших сертификатов иных удостоверяющих центров (например, «Тензор» (TENSOR CA) или «Эксперт-Центр»).

Вопрос: После установки Континента-АП версии 3.7.5.474 пропадает соединение с сетью организации/интернет.

Ответ: Необходимо открыть свойства локального подключения к вашей сети и снять галочку с «Continent 3 MSE Filter», после чего нажать кнопку ОК.

Сообщения об ошибках возникающих при установке связи абонентского пункта Континент-АП.

Абонентский пункт позволяет устанавливать удаленные защищенные соединения посредством эмулятора модема Continent 3 PPP Adapter. При подключении абонентского пункта Континент-АП могут появляться сообщения об ошибках их решениях, перечисленные ниже.

Ошибка 721 Удаленный компьютер не отвечает.

1) Возможно, у Вас отсутствует подключение к Интернету.

2) Какие-либо программы блокируют порты. Отключите антивирус, брандмауэр.

3) Удалить, если установлен, межсетевой экран, идущий с программой Континент-АП.

4) Если вы используете проводной Интернет, возможно, провайдер заблокировал порты, необходимые для работы программы Континент-АП. Для проверки установите соединение с Интернетом через usb-модем.

Ошибка 628 Подключение было закрыто.

См. Ошибка 721

Ошибка 629 Подключение было закрыто удаленным компьютером.

См. Ошибка 721

Данная ошибка возникает, когда в свойствах протокола TCP/IP пользователь прописывает вручную IP-адрес, в то время когда сервер должен выдавать их автоматически. Чтобы исправить данную ошибку, необходимо зайти в настройки подключения Континент-АП.

Во вкладке «Сеть», выделить строку «Протокол Интернета TCP/IP» и нажать кнопку «Свойства».

В открывшемся окне поставить следующие переключатели:

  • «Получить IP-адрес автоматически»;
  • «Получить адрес DNS-сервера автоматически».

Ошибка 703: Подключению требуются некоторые данные от пользователя, но приложение не допускает взаимодействия с пользователем».

Зайти в настройки Континента АП — на закладке «безопасность» кнопку «параметры», кнопка — «свойства», «сбросить запомненный сертификат».

Ошибка 734 Протокол управления PPP-связью был прерван.

1. Ориентироваться на ошибку, которая появляется до этой.

2. Проверить системную дату.

Ошибка. Сервер отказал в доступе пользователю. Причина отказа многократный вход пользователя запрещен .

Подождать несколько минут и заново установить соединение.

Сервер отказал в доступе пользователю. Причина отказа: Client-Cert not found.

Ошибка подписи ключа 0x8009001D(Библиотека поставщика проинициализирована неправильно).

Истек срок действия лицензии программы КриптоПро

Ошибка подписи ключа 0x80090019(Набор ключей не определен).

  1. Удалить запомненные пароли (КриптоПро => Сервис => Удалить запомненные пароли).
  2. Возможно истек срок действия сертификата. Проверьте, открыв файл user.cer, срок действия.

Ошибка подписи ключа 0x8009001 F(Неправильный параметр набора ключей).

Ошибка подписи ключа 0x00000002 (Не удается найти указанный файл).

Удалить данную версию программы Континент-АП и установить Континент версии 3.5.68.

Сервер отказал в доступе пользователю. Причина отказа: вход пользователя заблокирован.

Вас заблокировали на сервере УФК. Позвоните и узнайте причину блокировки.

Нарушена целостность файлов. Обратитесь к системному администратору.

Необходимо “исправить” программу Континент-АП через установку и удаление программ

Ошибка 850: На компьютере не установлен тип протокола EAP, необходимый для проверки подлинности подключения удаленного доступа.

Необходимо “исправить” программу Континент-АП через установку и удаление программ

Вставьте ключевой носитель. Набор ключей не существует.

  1. Континент вставлена.
  2. При установке соединения на этапе выбора сертификата убедитесь, что выбран правильный сертификат.
  1. Убедитесь, что КриптоПро видит данный ключ

Вставьте ключевой носитель (Поле «устройства» пустое).

  1. Убедитесь, что флешка с ключом Континент вставлена.
  2. Откройте КриптоПро и, на вкладке «Оборудование» , выберите «Настроить считыватели…» .
  1. В поле «Установлены следующие считыватели:» удалите все считыватели, выбирая их по очереди и нажимая кнопку «Удалить» .
  1. Нажмите «Добавить»
  2. Появится окно мастера установки считывателя. Нажмите «Далее»
  1. На следующем шаге мастера установки считывателя в поле «Производители» выберите «Все производители» . А в списке «Доступные считыватели» выберите «Все съемные диски» . Нажмите кнопку «Далее».
  1. В следующем окне нажмите кнопку «Далее»
  1. В появившемся окне нажмите «Готово».
  1. Попытайтесь заново установить соединение.

Пропала пиктограмма, расположенная в трее.

  1. Зайдите «Пуск» => «Все программы» => «Код безопасности» => «Абонентский пункт Континент» и выберите «Программа управления».
  2. Если пиктограмма не появилась, нажмите правую кнопку мыши на панель задач Windows (либо нажмите alt + ctrl + delete) и выберите «Диспетчер задач».

Перейдите на вкладку «Процессы» и в списке выберите «AP_Mgr.exe» и нажмите кнопку «Завершить процесс».

Затем повторите пункт 1.

проблем с аутентификацией в Azure AD из MS Word

Весь день,

Итак, мы используем AWS RDS, и в течение последних 2 месяцев у нас периодически возникали проблемы с ie11, а также с открытием документов из SharePoint Online. (пользовался RDS больше года)

Выпуск 1:

Это происходит время от времени в среде AWS RDS. Это новая проблема для нас — и она не влияет на каждого пользователя одновременно, пользователь входит в SharePoint онлайн без проблем с загрузкой или проверкой подлинности, но когда они открывают документ из SharePoint библиотека сразу запрашивает MS Office, пользователь вводит свой адрес электронной почты, затем приглашение закрывается, и пользователю не предлагается никаких запросов на ввод пароля O365 или перенаправление в ADFS, после чего документы не загружаются без ошибок.

Выпуск 2

Мы используем IE11 (в настоящее время не можем отказаться от этого) групповая политика настроена на открытие сайта SharePoint Online нашей компании, некоторые пользователи получают 403 Запрещено, мы не можем понять, почему наш URL-адрес SharePoint Online получает 403 Запрещено для некоторых пользователей, но не для другие — все в одном домене на наших 3 AWS RDS (это нормально работает в приватном режиме, все надстройки отключены, сброшен кеш и т. д. и проверены все настройки безопасности IE)

Ошибка из журнала событий

Ошибка: 0x800

Отказано в доступе.

Доступ запрещен.

Исключение типа «класс WinRTException» в oauthtokenrequestbase.cpp, строка: 733, метод: OAuthTokenRequestBase::QueryTokenBindingKeyId::::operator ().

Журнал: 0x8aa5007f Невозможно создать ключ привязки токена.
Зарегистрировано в oauthtokenrequestbase.cpp, строка: 733, метод: OAuthTokenRequestBase::QueryTokenBindingKeyId::::operator ().

Запрос: полномочия: https://логин.microsoftonline.com/common, клиент: xxxxxxxxxx, URI перенаправления: ms-appx-web://Microsoft.AAD.BrokerPlugin/Xxxxxxxxxxx, ресурс: https://outlook.office365.com/, идентификатор корреляции (запрос): xxxxxxxxxxxxxx

Мы подошли к точке, когда у нас закончились идеи, и мы не знаем, что делать дальше.


Ошибка Windows 0x800

, -2146893808: NTE_PERM

подробная информация об ошибке

NTE_PERM

NTE_PERM

[1]

HRESULT Анализ

[2]

Вопросы

New-SelfeSignedCertificate для создания сертификата дает доступ доступа

Я пытаюсь использовать New-SelfsignedCertificate в PowerShell создать сертификат в Windows 10, но команда выдает ошибку прав доступа. Я использую учетную запись администратора. Команда: New-SelfSignedCertificate -Type Custom -Subject «CN=Contoso Software, O=Contoso Corporation, C=US» -KeyUsage DigitalSignature -FriendlyName MyCert -CertStoreLocation «Cert:\LocalMachine\My» Выходные данные: New-SelfSignedCertificate : CertEnroll:: CX509Enrollment::_CreateRequest: Доступ запрещен.0x800

[…] читать далее

Веб-служба SSL: не удалось создать безопасный канал SSL/TLS

Мое приложение C# .net использует веб-службу HTTPS. Поскольку срок действия сертификата истекает, я пытаюсь обновить его новым, который мне дали (файл .jks, который я преобразовал в .p12 с помощью keytool javasdks). Я думал, что это будет легко, поскольку я […] читал больше

Устранение неполадок с подключением Windows EAP/RADIUS

Итак, я предполагаю, что короткая версия вопроса такова: я не могу заставить клиентов подключаться к предприятию- Беспроводная сеть WPA после настройки «нового» NPS-сервера и нового центра сертификации.После того, как я вручную запросил новый сертификат на моем клиенте с сервера NPS / CA и попытался […] прочитать больше

Проблемный сертификат CA Active Directory

, я наткнулся на один контроллер домена, который дает мне ошибки RPC при работе со службой сертификатов AD .Я вижу в AD есть 2 Root CA, один проблемный. Безопасно ли его удалять? Или есть процедура для этого? Windows Server 2012 R2 Событие «Active Directory […] читать далее

Создать «невидимый» загрузчик для моего msi

У меня есть msi, созданный с помощью WiX.Мне не нужно создавать цепочку пакетов, но мне нужна возможность, чтобы пользователь щелкнул правой кнопкой мыши установщик и выбрал «Запуск от имени администратора». Вы не можете сделать это с MSI в Windows, только с EXE. […] читать далее

Комментарии

Оставить комментарий

Исходники

  1. winerror.h из Windows SDK 10.0.14393.0
  2. https://msdn.microsoft.com/en-us/library/cc231198. aspx

Вклады пользователей под лицензией CC BY-SA 3.0

Как предоставить пользователю доступ к хранилищу сертификатов в Windows Server 2012?

Последние несколько дней я борюсь с проблемой, которую никак не могу решить.Я не администратор, хотя у меня есть некоторые знания о некоторых административных задачах.

У меня есть сценарий PowerShell, который использует XapSignTool.exe для подписи пакета .xap. Закрытый ключ и пароль предоставляются. Когда я запускаю скрипт, войдя в систему как пользователь в группе «Администраторы», он работает нормально.

Я также запускаю службу удаленного управления Windows на том же компьютере. С другой, Linux, машины использую протокол winrm для вызова скрипта PowerShell с нужными параметрами.Затем инструмент XapSignTool.exe или, в частности, signtool.exe, который используется ниже, выдает ошибку:

.
  Информация об ошибке: «Ошибка: Store::ImportCertObject() не удалось». (-2146893808/0x800

)

Я искал код и узнал, что он означает, т.е.

NTE_PERM
0x800


Доступ запрещен.

Имя метода ImportCertObject() заставляет меня думать, что инструмент пытается импортировать предоставленный закрытый ключ в хранилище сертификатов.

Что интересно, если я сначала запускаю скрипт под логином и он работает, то последующие вызовы через winrm работают. Это заставляет меня поверить, что сертификат правильно импортируется с пользователем, который является администратором.

Служба WRM работала под учетной записью сетевой службы, поэтому я предположил, что у нее нет разрешений на вставку в хранилище сертификатов. Я поместил учетную запись NS в группу «Администраторы» в надежде, что это сработает, но это не так. Для тестов я поместил \Everyone в группу администраторов, и вызов winrm к сценарию PowerShell по-прежнему не удался с сообщением «Отказано в доступе».

Почему это? Как предоставить пользователю доступ к хранилищу сертификатов?

Я также хочу сделать это для многих таких сертификатов, поэтому это должно быть автоматизировано.

Блог IIS группы поддержки Microsoft

Симптомы

Во время установки IIS 6.0 на Windows Server 2003 программа установки может выдать окно сообщения, указывающее следующее:

Ошибка записи зашифрованных данных в базу данных конфигурации веб-сервера (метабазу).

0x800

=Отказано в доступе.

Ниже приведен скриншот точной ошибки.

Причина

Эта проблема возникает, когда Sysocmgr.exe (EXE-файл для установки компонентов Windows, включая IIS 6.0) пытается записать зашифрованные данные в файл Metabase.xml . Во время этого процесса он ищет ключ компьютера в папке C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys .Если он не может найти ключ, он попытается создать ключ. Во время этого процесса создания ключа он вызывает метод CryptGenKey() advapi.dll. Это, в свою очередь, вызывает rsaenh.dll (поставщик службы криптографии Microsoft (CSP)) для создания ключа. В этом неудачном сценарии какое-то стороннее программное обеспечение неправильно зарегистрировало другую dll ( rsabase.dll ) как наш двоичный файл CSP . Rsabase.dll использовался в операционных системах Windows до Windows Server 2003 .В Windows Server 2003 и более поздних версиях все CSP Microsoft были объединены в rsaenh.dll.

Резолюция

1) Отменить регистрацию rsabase.dll — regsvr32 /u %windir%\system32\rsabase.dll

2) Зарегистрируйте rsaenh.dll — regsvr32 %windir%\system32\rsaenh.dll

3) Переустановите IIS

Дополнительная информация

ПРИМЕЧАНИЕ. Если вы выберете запись всех данных в незашифрованном виде в соответствии с окном сообщения об ошибке на приведенном выше снимке экрана (« W rite UnEncrypted/All» ), тогда установка может завершиться, но World Wide Web (WWW) служба не запускается .Поэтому не рекомендуется выбирать этот вариант.

В файле IIS6.log вы увидите следующие записи, регистрируемые при появлении этой ошибки:

[12.04.2010 18:47:14] OC_COMPLETE_INSTALLATION:iis_core:SetAdminACL:(/)Начать.
[12.04.2010 18:47:14] OC_COMPLETE_INSTALLATION:iis_core:SetAdminACL:Запишите новый дескриптор безопасности в метабазу:Start.
[12.04.2010 18:47:14] OC_COMPLETE_INSTALLATION:iis_core:SetAdminACL:  К этому моменту мы уже можем записывать основные записи в метабазу, поэтому…
[12.04.2010 18:47:14] OC_COMPLETE_INSTALLATION:iis_core:SetAdminACL:  Если это не так, то проблема связана с настройкой шифрования для метабазы ​​(Crypto).
[12.04.2010 18:47:14] OC_COMPLETE_INSTALLATION:iis_core:WriteSDtoMetaBase:Start.
[12.04.2010 18:47:17] OC_COMPLETE_INSTALLATION:iis_core:WriteSDtoMetaBase:cmdKey():SetData(MD_ADMIN_ACL), dwdata = 84; outpSD = 57682b8, Start
[12.04.2010 18:47:17] OC_COMPLETE_INSTALLATION:iis_core:CMDKey::SetData[/:6027:MD_ADMIN_ACL].
[12.04.2010 18:48:52] OC_COMPLETE_INSTALLATION:iis_core:MyMessageBox: Title:Ошибка установки IIS, Msg:Error Setting IIS Metabase data.

0x800

=Отказано в доступе.

[12.04.2010 18:48:52] OC_COMPLETE_INSTALLATION:iis_core:!ОШИБКА!
[12.04.2010 18:48:52] OC_COMPLETE_INSTALLATION:iis_core:WriteSDtoMetaBase:cmdKey():SetData(MD_ADMIN_ACL), НЕУДАЧА. Код=0x800

.Конец.
[12.04.2010 18:48:52] OC_COMPLETE_INSTALLATION:iis_core:WriteSDtoMetaBase:End. Return=0x800


[12.04.2010 18:48:52] OC_COMPLETE_INSTALLATION:iis_core:SetAdminACL:Записать новый дескриптор безопасности в метабазу:Конец.
[12.04.2010 18:48:52] OC_COMPLETE_INSTALLATION:iis_core:SetAdminACL(/):End.
[12.04.2010 18:48:52] OC_COMPLETE_INSTALLATION:iis_core:MyMessageBox: Title:Ошибка установки IIS, Msg:Вы хотите повторить?
[12.04.2010 18:48:52] OC_COMPLETE_INSTALLATION:iis_core:…ProcessEntry:100=86…
[12.04.2010 18:48:52] OC_COMPLETE_INSTALLATION:iis_core:…ProcessEntry: 100=82…
[12.04.2010 18:48:52] OC_COMPLETE_INSTALLATION:iis_core:…ProcessEntry:100=2…
[12.04.2010 18:48:52] OC_COMPLETE_INSTALLATION:iis_core :———————————

Здоровья жизни!

Мы использовали эти методы для исправления ошибки Xbox 0x800

, и они сработали по Александр Огнянович

Эксперт по устранению неполадок

Главной страстью Александра являются технологии.Имея солидный писательский опыт, он полон решимости донести до обычного пользователя передовые технологии. Острым глазом он всегда замечает следующее большое событие вокруг… Читать далее

Приложение Xbox для Windows 10 имеет множество применений, поскольку оно является межплатформенным центром для всех Xbox. За последние несколько лет он подвергся значительной доработке и настройке, и теперь он лучше, чем когда-либо. По крайней мере визуально.

С точки зрения функциональности у приложения Xbox впереди долгий путь. Наиболее распространенными ошибками являются ошибки входа в систему, и они имеют различные буквенно-цифровые коды.Тот, который мы попробуем решить сегодня, имеет код 0x800

. Если вы столкнулись с этой ошибкой, не стесняйтесь проверить решения ниже.

Как устранить ошибку приложения Xbox 0x800

в Windows 10

  1. Проверить состояние сервера Xbox Live
  2. Сброс приложения Xbox
  3. Проверить дату и время
  4. Проверить сеть
  5. Сброс служб Xbox Live
  6. Выйдите из своей учетной записи домена и войдите снова
  7. Переустановите приложение Xbox

Решение 1. Проверьте состояние сервера Xbox Live

.

Начнем с проверки состояния сервера служб Xbox Live.Если сервер в данный момент не работает, вы, вероятно, не сможете войти с помощью своей учетной записи Microsoft в приложение Xbox для Windows 10. Обычно они работают и работают большую часть времени, но случаются и редкие сбои, в то время как техническое обслуживание — это обычный процесс.

Вы можете проверить статус Xbox Live здесь. Если причина указанной ошибки не в этом, мы предлагаем перейти к дополнительным шагам, указанным ниже.

Решение 2. Сброс приложения Xbox

Перейдем к следующему шагу устранения неполадок.Забитый кеш в приложении может вызвать много проблем, особенно если вы внесли какие-то системные изменения. Вот почему мы предлагаем сбросить приложение Xbox до заводских значений и перейти оттуда. Эта процедура должна устранить незначительные проблемы и, надеюсь, позволит вам войти в систему без ошибки 0x800

.

С учетом сказанного, вот как сбросить приложение Xbox в Windows 10:

  1. Открыть  Настройки .
  2. Выберите Приложения .
  3. В разделе Приложения и функции найдите Xbox .
  4. Разверните его и откройте Дополнительные параметры .
  5. Нажмите  Сбросить .

Решение 3. Проверьте дату и время

Настройки даты и времени, а также настройки региона также могут повлиять на возникшую ошибку. Вот почему мы предлагаем проверить их и убедиться, что они установлены правильно. Обычно эти настройки автоматически устанавливаются автоматически, но они могли измениться после обновления.

Вот как установить правильную дату и время в Windows 10:

  1. Щелкните правой кнопкой мыши Пуск и откройте Настройки  в меню «Питание».
  2. Выберите  Время и язык.
  3. В разделе «Дата и время» включите « Установить время автоматически » и «Выбрать часовой пояс автоматически».

Решение 4. Проверьте сеть

Проблемы с локальной сетью могут вызвать проблемы со входом в систему, а также любые другие проблемы из этого списка. И один из самых простых в обнаружении. Просто откройте браузер и проверьте, можете ли вы подключиться к Интернету. Если вы можете подключиться, мы предлагаем временно отключить стороннее антивирусное программное обеспечение.

С другой стороны, если у вас есть проблемы с Интернетом, рассмотрите следующие шаги по устранению неполадок:

  • Перезагрузите компьютер и маршрутизатор.
  • Убедитесь, что кабель локальной сети подключен.
  • Перейдите к брандмауэру и разрешите Xbox (и связанным службам) свободно обмениваться данными.
  • Отключите все сторонние брандмауэры.
  • Флэш-DNS.

Решение 5. Сброс служб Xbox Live

Теперь, если приложение, которое зависит от различных служб, выдает ошибку, мы можем сбросить связанные службы и надеяться на лучшее.Приложение Xbox и Xbox Live используют несколько служб, но для устранения этой ошибки мы сосредоточимся на двух из них. Сервисы, которые вам нужно проверить, — это Xbox Live Networking и Xbox Live Auth Manager. После того, как вы достигли их, перезапустите их и ищите улучшения.

Вот как сбросить службы Xbox Live в Windows 10:

  1. Откройте приложение Xbox и сверните его.
  2. В строке поиска Windows введите Services и откройте Services из списка результатов.
  3. Нажмите « X », и вы увидите несколько служб, связанных с Xbox .
  4. Щелкните правой кнопкой мыши Xbox Live Networking и выберите Start  в контекстном меню.
  5. Повторите процедуру для Xbox Live Auth Manager .
  6. Попробуйте войти еще раз.

Решение 6. Выйдите из своей учетной записи домена и войдите снова

По-видимому, проблема возникает, когда ваша Windows 10 и приложение Xbox используют одну и ту же учетную запись Microsoft.По какой-то странной причине пользователи с общей учетной записью не могли войти в приложение Xbox. Им удалось преодолеть эту системную ошибку, удалив доменную учетную запись Windows 10 и переключившись на локальную. После этого они успешно вошли в приложение Xbox и снова восстановили учетную запись домена.

Вот объяснение всей процедуры:

  1. Открыть  Настройки.
  2. Выберите  Аккаунты .
  3. Войдите с помощью локальной учетной записи .
  4. Перейдите в приложение Xbox и повторите попытку входа.
  5. Если все прошло успешно, снова войдите в свою учетную запись домена.

Решение 7. Переустановите приложение Xbox

.

Наконец, мы можем только предложить переустановить приложение Xbox и перейти оттуда. Теперь вы не можете просто удалить его, как любое другое приложение. Удаление системных приложений требует другого подхода. Вам нужно будет использовать PowerShell с повышенными правами и таким образом удалить приложение Xbox. Сделав это, просто перейдите в Microsoft Store и снова получите приложение Xbox.

Вот как это сделать:

  1. Щелкните правой кнопкой мыши Пуск и откройте PowerShell (Admin) .
  2. В командной строке скопируйте и вставьте следующие команды одну за другой и нажимайте Enter после каждой:
    • Get-AppxPackage Microsoft.XboxApp | Удалить AppxPackage
  3. Откройте Microsoft Store и найдите приложение Xbox. Установите его и попробуйте войти снова.

На этой ноте мы можем закончить. Если у вас есть какие-либо вопросы или предложения, сообщите нам об этом в разделе комментариев ниже.Мы с нетерпением ждем ответа от вас.

СВЯЗАННЫЕ ИСТОРИИ, КОТОРЫЕ ВЫ ДОЛЖНЫ ПРОВЕРИТЬ:

Была ли эта страница полезной?

Спасибо!

Недостаточно подробностей Сложно понять Другой Связаться с экспертом

Начать разговор

Сертификат

— доступ PowerShell запрещен к сертификату:\CurrentUser\My

  PS сертификат:\currentuser\my> каталог
Get-ChildItem: доступ запрещен.В строке:1 символ:3
+ директор <<<<
  

Я не могу получить доступ ни к одному из своих сертификатов для подписи кода, чтобы подписать сценарий PowerShell. Я могу открыть MMC, Сертификаты и убедиться, что мои сертификаты подписи кода установлены и действительны на моем компьютере (Windows XP SP 3).

Другая странность заключается в том, что я не могу получить доступ ни к одному из подключенных сетевых дисков из PowerShell, но я могу видеть их в проводнике Windows и в окне DOS.

Я удалил PowerShell, перезагрузил компьютер и переустановил PowerShell 1, но проблема осталась.

РЕДАКТИРОВАТЬ: Моя повседневная учетная запись на этой машине НЕ является учетной записью администратора, но у меня есть учетная запись администратора, которую я могу использовать для задач, которые требуют этого. Сертификат для подписи кода назначен моей повседневной учетной записи, и мне не нужно быть администратором, чтобы подписывать код. Я не уверен, как дать этой учетной записи права на хранилище сертификатов.

РЕДАКТИРОВАТЬ 2: Я запустил FileMon и RegMon, чтобы посмотреть, к чему мне отказано в доступе. cert:CurrentUser\My — это папка C:\Documents and Settings\ИМЯ ПОЛЬЗОВАТЕЛЯ\Application Data\Microsoft\SystemCertificates\My\Certificates .Он также отказал мне в доступе к C:\Documents and Settings\USERNAME\Local Settings\Temp . Я могу открыть проводник и без проблем получить доступ к файлам в этих папках. Я временно дал Всем полные права на эти папки и все равно получил сообщение об отказе в доступе от PowerShell.

Google мало что раскрыл. Что я должен делать?

Сообщение из журнала событий Windows PowerShell:

  Provider Health: попытка выполнить операцию GetChildItems на
Ошибка поставщика «Сертификата» для пути «\currentuser\my».Доступ запрещен.

Подробности:
ProviderName=Сертификат
ExceptionClass=ProviderInvocationException
ErrorCategory=Недопустимая операция
ErrorId=GetChildrenProviderException
ErrorMessage=Попытка выполнить операцию GetChildItems на
       Ошибка поставщика «Сертификата» для пути «\currentuser\my».
       Доступ запрещен.

Серьезность = предупреждение
Порядковый номер = 146

ИмяХоста=ХостКонсоли
Версия хоста=1.0.0.0
     .....
  

Как создать самозаверяющий сертификат с помощью PowerShell

Самозаверяющий сертификат — это сертификат, подписанный создавшим его лицом или организацией, а не доверенным центром сертификации.При использовании самоподписанного сертификата нет цепочки доверия. Сертификат подписал сам. Затем веб-браузер выдаст предупреждение о том, что сертификат веб-сайта не может быть проверен. См. следующие интересные руководства о том, как импортировать сертификат в хранилище сертификатов Trusted Root и Personal file, как запросить запрос на подпись сертификата в Windows с помощью консоли управления Microsoft и как экспортировать сертификат в формате PFX в Windows.

Как правило, самозаверяющий сертификат больше не рекомендуется использовать в корпоративной среде.Но очень важно в тестовом сценарии, где сертификат является обязательным требованием для тестирования. Это экономит время и ресурсы при покупке сертификата или развертывании собственной инфраструктуры открытых ключей (PKI).
Примечание : Это можно создать с помощью MMC и IIS (Internet Information Services). Я продемонстрирую эти шаги в следующем посте.

Шаги : Убедитесь, что PowerShell запущен с правами администратора
1. Выполните следующую команду ниже.Командлет New-SelfSignedCertificate, как показано ниже, добавляет сертификат в локальное хранилище на вашем ПК, заменяя полное доменное имя (FQDN).

 $cert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname techdirect.local 

2. I На этом шаге мы экспортируем самозаверяющий сертификат. Нам нужно будет создать пароль, как показано ниже, чтобы выполнить этот шаг

.
 $pwd = ConvertTo-SecureString -String ‘passw0rd!’ -Force -AsPlainText 

3. Нам придется экспортировать самоподписанный сертификат с помощью командлета Export-PfxCertificate, как показано ниже. Созданный пароль ($pwd) будет использоваться для создания дополнительной строки ($path), указывающей путь к сертификату, созданному с помощью командлета New-SelfSignedCertificate.

  $path = 'cert:\localMachine\my\' + $cert.thumbprint Export-PfxCertificate -cert $path -FilePath c:\cert.pfx -Password $pwd  

Обратите внимание, что каталог c:\temp или любой другой каталог, указанный вами в параметре -FilePath, уже должен существовать.Теперь вы можете импортировать файл cert.pfx для установки сертификата.

Примечание : несколько строк кода можно объединить, как показано ниже, для создания и хранения самозаверяющего сертификата в хранилище сертификатов Windows. Последняя строка (Export-Pfx Certificate) экспортирует сертификат. Ссылка на ссылку:

  $cert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname techdirect.local
$pwd = ConvertTo-SecureString -String ‘passw0rd!’ -Force -AsPlainText
$path = 'сертификат:\localMachine\my\' + $cert.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Флаги Серьезность Отказ
Зарезервирован (R ) ложные
Происхождение Microsoft
NTSTATUS ложные
Зарезервировано (X) ложные
Facility Код 9 (0x009)
Имя FACILITY_SSPI [2] [1]
Описание Источником кода ошибки является уровень API безопасности. [2] [1] [1]
16 (0x0010)