Компьютер не видит esmart token
есть похожий 072f:90cc , но не подходит. авто определение так же не спасает.
Неможно. Линуксовых драйверов под этот токен нет и не будет. Просите банк заменить токен на свежий. Свежие есмарты втварь понимает.
я только soшки вижу
ежели те же 4.5для винды держат мою смарткарту, подразумеваю что и линуховые 4.5 должны
выставляю smartcard 072f:90cc виндовый pki который на серваке видит виртуальную СМ в независимости воткнуто или нет
одинаково ничего не читает ни одна прога
через mstsc - pki видит именно как esmart 64k и читает контейнеры и т.д.
Поставить заново в виртуалку виндовс. Поставить одну "прогу", которая должна читать карту. Если в дистрибутиве проги нет драйвера ридера - поставить родной драйвер от ридера, выпущенный производителем (ТОЛЬКО ДРАЙВЕР! а не весь хлам, который найдётся на сайте!). БОЛЬШЕ НИЧЕГО НЕ СТАВИТЬ. Это будет сервер.
Подключить ридер к клиентской, физической машине с виндовс. Подключиться к серверу через mstsc.exe. Убедиться, что "прога" читает карту.
Подключить ридер к машине с втварью. Удалить из конфига все, оставить две строки "server=ip-ардес-сервера" и "smartcard=acs". Подклчиться к серверу. Убедиться, что "прога" читает карту.
а ничего и не "ломается"
втварь видит токен в логах красиво пишет:
[ KERNEL] [ 51.913883] usb 3-11: new full-speed USB device number 3 using xhci_hcd
[ KERNEL] [ 52.064692] usb 3-11: New USB device found, idVendor=072f, idProduct=90de, bcdDevice= 1.00
[ KERNEL] [ 52.064693] usb 3-11: New USB device strings: Mfr=1, Product=2, SerialNumber=0
[ KERNEL] [ 52.064693] usb 3-11: Product: Token USB 64K
[ KERNEL] [ 52.064694] usb 3-11: Manufacturer: ESMART
когда сунешь
и
[ KERNEL] [ 78.987197] usb 3-11: USB disconnect, device number 3
когда высунешь
запуск криптопроCSP и клики
1)сервис 2) просмотреть сертификаты в контейнере 3)Обзор =- не вызывают ни одной новой строки в логе втвари
сам криптопро тоже ничего не пишет - просто идёт отсчёт 10мин, без всякого результата
т.е. "ошибок" нету. только вот сколько не жду , списка контейнеров нет.
по mstsc не моментально, но сек за 30 показывает все. бывает ли лог mstsc чтобы посмотреть и сравнить реакцию на запуск\обзор криптопро?
- Для работы с носителями Рутокен нужно поставить Драйверы Рутокен (для Windows ) или пакет с соответствующей библиотекой ;
- Для работы с носителями JaCarta нужно поставить Единый КлиентJaCarta ;
- Для работы с носителями ESMART нужно поставить ESMART PKI Client или пакет с соответствующей библиотекой .
Модули поддержки ESMART Token 64K
Модули поддержки ESMART Token уже входят в состав всех версий КриптоПро CSP. Загружайте и устанавливайте данный пакет, только если вы столкнулись с проблемой, для решения которой производитель рекомендует установить данную версию модулей.
Руководства администратора
Руководство администратора для ESMART PKI Client, который предназначен для работы со смарт-картами или USB- ключами ESMART Token и ESMART Token ГОСТ. Программа позволяет выполнить все необходимые операции со смарт-картами или USB-ключами в удобном графическом интерфейсе
Общее описание продукта ESMART Token. ESMART Token позволяет производить двухфакторную авторизацию с использованием смарт-карт или USB-ключей.
В руководстве кратко описана настройка Citrix XenDesktop для двухфакторной аутентификации при помощи смарт-карт и USB-ключей ESMART Token и ESMART Token ГОСТ. Процедура аналогична для всех поддерживаемых гипервизоров: VMWare ESX, Hyper-V, XenServer.
Общее описание продукта ESMART Token ГОСТ. ESMART Token ГОСТ позволяет производить двух и трех-факторную авторизацию с использованием смарт-карт или USB-ключей. Изготовлен в России на базе отечественной микросхемы MIK51SC72D с аппаратной поддержкой российских криптографических алгоритмов и сертифицирован в ФСБ как СКЗИ.
Биометрическая аутентификация в ESMART PKI Client по технологии Match-on-Card (англ. «сопоставление на карте») которая подразумевает, что эталонный шаблон отпечатка пальца хранится на специальной смарт-карте/токене и процесс сопоставления шаблонов также выполняется на карте/токене.
Примеры использования ESMART Token совместно с КриптоПро версии 3.6 и выше в различных операционных системах для поддержки отечественных крипто алгоритмов.
Настройка OpenVPN сервера и клиента для строгой двухфакторной авторизации с использованием технологий ESMART Token.
Настройка строгой двухфакторной авторизация в домене Windows с использованием технологий ESMART Token.
Настройка пользовательских приложений для работы с ESMART Token, на примере программ: MS Office, Adobe Acrobat, MS Outlook, Mozilla Firefox, Mozilla Thunderbird
Настройка различных WEB-серверов для строгой двухфакторной авторизации на WEB сайтах с использованием технологий ESMART Token. На примере таких серверов как: Microsoft IIS, Apache, nGinx
Общее описание архитектуры PKI и использования технологий ESMART Token в PKI инфраструктуре и таких системах как, авторизация в домене, электронная подпись документов/почты, шифрование файлов/почты, VPN.
Настройка Windows VPN-сервера для строгой двухфакторной авторизации с использованием технологий ESMART Token.
Руководства разработчика
есть похожий 072f:90cc , но не подходит. авто определение так же не спасает.
Неможно. Линуксовых драйверов под этот токен нет и не будет. Просите банк заменить токен на свежий. Свежие есмарты втварь понимает.
я только soшки вижу
ежели те же 4.5для винды держат мою смарткарту, подразумеваю что и линуховые 4.5 должны
выставляю smartcard 072f:90cc виндовый pki который на серваке видит виртуальную СМ в независимости воткнуто или нет
одинаково ничего не читает ни одна прога
через mstsc - pki видит именно как esmart 64k и читает контейнеры и т.д.
Поставить заново в виртуалку виндовс. Поставить одну "прогу", которая должна читать карту. Если в дистрибутиве проги нет драйвера ридера - поставить родной драйвер от ридера, выпущенный производителем (ТОЛЬКО ДРАЙВЕР! а не весь хлам, который найдётся на сайте!). БОЛЬШЕ НИЧЕГО НЕ СТАВИТЬ. Это будет сервер.
Подключить ридер к клиентской, физической машине с виндовс. Подключиться к серверу через mstsc.exe. Убедиться, что "прога" читает карту.
Подключить ридер к машине с втварью. Удалить из конфига все, оставить две строки "server=ip-ардес-сервера" и "smartcard=acs". Подклчиться к серверу. Убедиться, что "прога" читает карту.
а ничего и не "ломается"
втварь видит токен в логах красиво пишет:
[ KERNEL] [ 51.913883] usb 3-11: new full-speed USB device number 3 using xhci_hcd
[ KERNEL] [ 52.064692] usb 3-11: New USB device found, idVendor=072f, idProduct=90de, bcdDevice= 1.00
[ KERNEL] [ 52.064693] usb 3-11: New USB device strings: Mfr=1, Product=2, SerialNumber=0
[ KERNEL] [ 52.064693] usb 3-11: Product: Token USB 64K
[ KERNEL] [ 52.064694] usb 3-11: Manufacturer: ESMART
когда сунешь
и
[ KERNEL] [ 78.987197] usb 3-11: USB disconnect, device number 3
когда высунешь
запуск криптопроCSP и клики
1)сервис 2) просмотреть сертификаты в контейнере 3)Обзор =- не вызывают ни одной новой строки в логе втвари
сам криптопро тоже ничего не пишет - просто идёт отсчёт 10мин, без всякого результата
т.е. "ошибок" нету. только вот сколько не жду , списка контейнеров нет.
по mstsc не моментально, но сек за 30 показывает все. бывает ли лог mstsc чтобы посмотреть и сравнить реакцию на запуск\обзор криптопро?
Модули поддержки ESMART Token ГОСТ
Модули поддержки ESMART Token уже входят в состав всех версий КриптоПро CSP. Загружайте и устанавливайте данный пакет, только если вы столкнулись с проблемой, для решения которой производитель рекомендует установить данную версию модулей.
Модуль поддержки КриптоПро CSP 5.0 и выше для Windows.
Поддерживает извлекаемые и не извлекаемые ключи (аналог ФКН).
Модуль поддержки КриптоПро CSP 5.0 и выше для Linux.
Поддерживает извлекаемые и не извлекаемые ключи (аналог ФКН).
Модуль поддержки КриптоПро CSP 5.0 и выше для Mac OS X.
Поддерживает извлекаемые и не извлекаемые ключи (аналог ФКН).
Что изменилось в CSP 5.0 R2 12000
- На Unix поддержка возвращается так: cpconfig -ini '\config\parameters' -add long EnableNativeTokenCryptMode 1
JaCarta и ESMART
Рекомендуем отмечать галочками только те носители, которые вы действительно планируете использовать на данной рабочей станции, иначе в системном журнале будут множество ошибок загрузки библиотек:
Создание ключей и имя считывателя
Winlogon, Распространение сертификата и RDP
К сожалению, изменение имени считывателя (добавление нового) сказалось на поддержке стандартных системных служб криптографии Windows .
Обратите внимание, что на данной вкладке обязательно указывать путь только до 64-разрядной библиотеки. Если она будет находиться в стандартной системной директории System32, то 32-разрядная библиотека будет автоматически загружаться из директории SysWOW64.
Если же вы тестируете библиотеки, не установленные в системный стандартный путь, рекомендуем прописать путь до обеих библиотек.
Несколько важных замечаний, на которые нужно обратить внимание:
Руководство пользователя для ESMART PKI Client, который предназначен для работы со смарт-картами или USB- ключами ESMART Token и ESMART Token ГОСТ. Программа позволяет выполнить все необходимые операции со смарт-картами или USB-ключами в удобном графическом интерфейсе
СКАЧАТЬ
Руководство администратора для ESMART PKI Client, который предназначен для работы со смарт-картами или USB- ключами ESMART Token и ESMART Token ГОСТ. Программа позволяет выполнить все необходимые операции со смарт-картами или USB-ключами в удобном графическом интерфейсе
СКАЧАТЬ
По умолчанию на устройствах ESMART Token заданы следующие значения:
- PIN-код пользователя - 12345678
- SO-PIN (PIN-код администратора) - 12345678
При наличии SO-PIN (PIN-кода администратора) Вы можете разблокировать PIN-код пользователя при помощи программного обеспечения ESMART PKI Client.
Если утерян SO-PIN (PIN-код администратора), но имеется PIN-код пользователя, Вы можете продолжить использование ESMART Token как пользователь (удаление, запись, просмотр).
При утере SO-PIN и PIN-кода пользователя, использование или возврат к заводским настройкам невозможны!
На токене/смарт-карте имеются контейнеры, созданные при помощи СКЗИ "КриптоПРО CSP", они отображаются в ESMART PKI Client, но я ничего не могу подписать
При попытке записать контейнер КриптоПро на ESMART Token 64K в КриптПро CSP возникает ошибка: "Ошибка 0х80090023: Токен безопасности не имеет доступного места для хранения дополнительного контейнера."
Данная ошибка может возникнуть при записи на токен контейнера, содержащего цепочку из трёх и более сертификатов. Сначала убедитесь, что на токене отсутствуют контейнеры КриптоПро, при необходимости инициализируйте токен. Запустите от имени Администратора (обязательно!) КриптоПро CSP. Во вкладке "Оборудование" нажмите "Настроить типы носителей. ", найдите в списке "ESMART Token 64K". Нажмите "Свойства" и перейдите во вкладку "Свойства". Установите параметр "Максимальное число контейнеров" - 4. Данная настройка уменьшит максимальное количество контейнеров, хранимых на токене, но пропорционально увеличит их возможный размер.
Для решения проблемы запустите оснастку "Сертификаты пользователя" (certmgr). Перейдите в "Доверенные издатели" -> "Сертификаты". Удалите все сертификаты "ISBC Ltd". Запустите setup.x64.exe (либо setup.exe в зависимости от вашей системы) от имени администратора. Программа установки автоматически добавит корректные сертификаты.
Данная ошибка может проявиться на ОС Windows Vista SP2 и Windows Server 2008 SP2. Для решения проблемы установите соответствующий патч из статьи на сайте Microsoft
Переустановите ESMART PKI Client, запустив установщик от имени администратора или установите библиотеки вручную.
Также возможно возникновение данной ошибки при установке PKI Client посредством Windows Remote Desktop (RDP). Для установки PKI Client рекомендуем использовать иное ПО для удалённого доступа к компьютеру
На удаленном рабочем столе не отображаются ESMART Token и смарт-карты. КриптоПРО CSP не определяет сертификаты на ESMART Token. В запущенном ESMART PKI Client не отображаются подключенные ESMART Token
Особенность работы со смарт-картами в терминальной сессии заключается в том, что использовать можно только смарт-карты, подключенные к клиентской станции. Смарт-карты, подключенные непосредственно к терминальному серверу в терминальной сессии использовать нельзя. Это ограничение службы терминалов.
ESMART Token, подключенный к удаленной машине при работе через RDP, работать не будет. Необходимо или подключать его к машине, с которой заходит клиент, или воспользоваться иным ПО для удалённого доступа к компьютеру
При подключении ESMART Token в ПО КриптоПро CSP не отображаются установленные на этом ESMART Token сертификаты. При работе с ESMART Token отображается предупреждение: "Некорректный тип носителя или носитель не отформатирован."
Необходимо зайти в КриптоПро CSP на вкладку "Оборудование" - строка "Типы ключевых носителей", нажать на кнопку "Настроить типы носителей". В ключевых носителях должны быть установлены следующие носители: ESMART Token 64K, ESMART Token GOST (3 шт.). При отсутствии данных об этих ESMART Tokenах работать с КриптоПро CSP будет невозможно.
Поддержка ESMART Token 64K в КриптоПро начинается с версии 3.6 R2, ESMART Token ГОСТ с версии 3.9. Если версия старше, то следует установить "Модуль поддержки КриптоПро CSP для Windows" для ESMART Token 64K и/или ESMART Token GOST. В ином случае следует переустановить КриптоПро CSP. Если переустановка не помогает, то следует установить "Модуль поддержки КриптоПро CSP для Windows"
Необходимо установить Microsoft Base Smart Card Cryptographic Service Provider Package (KB909520). А также драйвера для устройств чтения смарт-карт.
Если неработающее устройство это ESMART Token, а не смарт-карта (то есть ридер и смарт-карта в одной сборке), то необходимо установить обновление с драйверами - Microsoft Usbccid (WUDF).
Так как поддержка Windows XP прекращена, необходимое для работы ESMART Token ПО не устанавливается в автоматическом режиме
Убедиться, что архив с файлами распакован и запуск установки осуществляется не из этого архива.
Возможно, потребуется отключение SmartScreen для файлов в панели настроек.
При переключении режима работы Службы смарт-карт (на авто или ручной режим) возникает ошибка: "Невозможно создать файл, т.к. он уже существует"
Необходимо вручную изменить значения в реестре, выполняющие ту же функцию: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardSvr для параметра Start поменять с 4 на 2
Примечание:
Automatic (Delayed Start) - 2
Manual - 3
Disabled - 4
Необходимо включить политику блокировки при извлечении локально в gpedit.msc (Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Параметры безопасности - Интерактивный вход в систему: поведение при извлечении смарт-карты - выставить опцию "Блокировка рабочей станции"). Также необходимо убедиться, что служба "Политика удаления смарт-карт" запущена, тип запуска установлен Автоматический
После установки ПО на Windows XP ESMART Token не определяется клиентом, а также в разделе "Оборудование" отображается как неверно установленный
Особенность заключается в том, что аутентификация по смарт-картам является надстройкой (расширением) аутентификации Kerberos, но никак не заменяет его. Т.е. аутентификация по смарт-карте без Kerberos невозможна. Когда вбивается IP адрес (\\192.168.1.1\share) используется NTLM, а не Kerberos. Описание на сайте Microsoft.
Решение: использовать VPN-соединение.
Ошибка: "Данная реализация не является частью протестированных криптографических алгоритмов Windows Platform FIPS"
Необходимо отключить политику "Системная криптография: использовать FIPS совместимые алгоритмы для шифрования, хеширования и подписывания"
Скачайте и распакуйте архив.
Для ридера драйвера не требуются - используются стандартные драйвера CCID в составе ОС. Драйвера смарт-карты находятся в директориях ESMART CSP и ESMART GOST CSP для ESMART Token 64K и ESMART Token ГОСТ соответственно, устанавливаются стандартным образом.
Добавление библиотек на x86 системе:
- скопировать библиотеки из SystemFolder в C:\Windows\System32
Добавление библиотек на x64 системе:
- скопировать библиотеки из System64Folder в C:\Windows\System32
- скопировать библиотеки из SystemFolder в C:\Windows\SysWow64
Внесите изменения в реестр.
Для этого скачайте и распакуйте архив. Запустите файлы изменения реестра из архива (с названием remove - для удаления).
Перезагрузите компьютер.
Должна быть установлена среда Mono.
В Linux для запуска программы из командной строки необходимо набрать команду, указав действительный путь к исполняемому файлу:
> sudo mono ESMARTPkiClient.exe
В некоторых ОС, в т.ч. с установленным Mono, PKI Client может не запускаться, или не будут отображаться все графические элементы. Это связано с индивидуальными особенностями ОС Linux и работы в них программ. В таком случае следует сообщать разработчикам
Проверить, установлены ли пакеты для работы со смарт-картами (pcsclite, usb-ccid), проверить, запущена ли служба pcscd.
Установить библиотеки. Это можно сделать с помощью .rpm пакета командой:
> rpm -Uvh isbc_pkcs11-****.rpm (или подобной).
Выяснить значение DISPLAY для суперпользователя (> sudo -i) командой:
> echo $DISPLAY
Если значение пусто, то задать его самостоятельно командой:
> export DISPLAY="*"
Вместо "*" должно быть некое значение, выяснить которое можно у других пользователей системы
ПО ESMART PKI Client не запускается. В терминале отображается ошибка с текстом "System.DllNotFoundException: libgdiplus.so"
В папке /usr/lib64 или /usr/lib (в зависимости от разрядности ОС) нет файла libgdiplus.so
Установить пакет libgdiplus необходимой разрядности. Создать символьную ссылку libgdiplus.so в папке /usr/lib64 или /usr/lib (в зависимости от разрядности ОС).
Как правило, после установки пакетов есть только библиотеки с номером версии, например /usr/lib64/libgdiplus.so.0, но ссылки /usr/lib64/libgdiplus.so нет. Её необходимо создать командой
> sudo ln -s /usr/lib64/libgdiplus.so.0 /usr/lib64/libgdiplus.so
На удаленном рабочем столе не отображаются ESMART Token и смарт-карты. КриптоПРО CSP не определяет сертификаты на ESMART Token. В запущенном ESMART PKI Client не отображаются подключенные ESMART Token
Особенность работы со смарт-картами в терминальной сессии заключается в том, что использовать можно только смарт-карты, подключенные к клиентской станции. Смарт-карты, подключенные непосредственно к терминальному серверу в терминальной сессии использовать нельзя. Это ограничение службы терминалов.
ESMART Token, подключенный к удаленной машине при работе через RDP, работать не будет. Необходимо или подключать его к машине, с которой заходит клиент, или воспользоваться другим ПО для подключения к машине (TeamViewer и др.)
Привязать ESMART Token в настройках виртуальной машины (если есть запись с этим устройством, удалить её и привязать заново). Извлечь ESMART Token, выключить виртуальную машину, включить заново, подключить ESMART Token
Ошибка возникает при установке модулей поддержки ESMART Token для КриптоПро в случае, если данные модули не соответствуют установленной версии КриптоПро.
Необходимо установить модули, соответствующие версии КриптоПро.
Прошедшая предварительное тестирование версия для Windows x86/x64. Включает в себя все необходимые драйвера и библиотеки.
Прошедшая предварительное тестирование версия для Windows x32/x64 со всеми необходимыми зависимостями
Консольная версия ESMART PKI Client, которая позволяет работать со смарт картами и токенами без использования графического интерфейса. Поддерживается интерактивный режим и пакетный. Пакетный режим может быть использован в скриптах автоматизации бизнес процессов в PKI системе.
Как CSP 5.0 11455 работает с неизвлекаемыми ключами
Первая сертифицированная версия КриптоПро CSP 5.0 умеет работать с неизвлекаемыми ключами на всех поддерживаемых токенах (прежде всего, Рутокен ЭЦП 2.0, JaCarta -2 ГОСТ и ESMART Token ГОСТ) напрямую. Производители токенов разработали специальные библиотеки (модули поддержки), которые оптимально формировали последовательности команд для выполнения операций.
У такого подхода есть плюсы:
- Высокая производительность операций: криптопровайдер поддерживает точное состояние носителя с точностью до открытых папок и файлов, что позволяет минимизировать избыточные операции;
- Удобство расширения интерфейса: криптопровайдер добавляет поддержку новой функции или протокола, разработчики токенов реализуют функции в модуле поддержки, пользователи получают работающее протестированное решение;
- Кроссплатформенность и простота использования: всё, что нужно пользователю - пакет с модулем поддержки из состава криптопровайдера. Модули собираются, как правило, под тот же набор систем, что и базовые библиотеки CSP.
Несмотря на значительный набор достоинств у данного подхода есть и ряд недостатков:
- Производитель, который хочет добавить поддержку своего устройства в КриптоПро CSP, должен подробно изучить интерфейс встраивания модулей поддержки (READER) и написать довольно большой модуль - во многих случаях это доcтаточно сложная задача, требующая существенных временных затрат;
- Так как интерфейс READER оперирует файловыми операциями, создаваемые для него объекты крайне сложно отобразить на другие интерфейсы. Это приводит к тому, что пользователь мог создать неизвлекаемый ключ штатными средствами носителя, но через КриптоПроCSP 5.0 этот ключ не будет виден, так как ему не хватает каких-то служебных файлов;
- Дороговизна поддержки. КриптоПро CSP включает в свой состав около двух десятков модулей поддержки, многих из которых используются для десятков носителей в разных режимах. Учитывая, что их код является продуктом совместной разработки КриптоПро и производителей ключевых носителей, кодовая база, на которой они основаны, является крайне гетерогенной. Любое улучшение или исправление ошибки в CSP, связанной с ключевыми носителями, добавляет несколько недель тестирования и анализа кода, что сдвигает релиз сборки для пользователей.
Драйверы устройств
CCID драйвер для металлических токенов или ESMART ридеров. Не требуется если установлена версия libccid 1.4.25 и выше.
CCID драйвер под Mac OS X для металлических токенов или ESMART ридеров. Для версии Mac OS 10.13 (High Sierra) и выше, установка драйверов не требуется.
После установки драйвера и подключения считывателя Futronic появится возможность использовать технологию Match-on-card (использование отпечатков пальцев вместо ПИН кода) с картами или токенами ESMART Token ГОСТ.
После установки драйвера и подключения считывателя Futronic появится возможность использовать технологию Match-on-card (использование отпечатков пальцев вместо ПИН кода) с картами или токенами ESMART Token ГОСТ.
После установки драйвера и подключения считывателя ACS AET 62 появится возможность использовать технологию Match-on-card (использование отпечатков пальцев вместо ПИН кода) с картами или токенами ESMART Token ГОСТ.
SDK и примеры
Java SDK с примерами для разработки своих приложений (в том числе WEB приложений) с использованием технологий ESMART Token.
Cписок OID для формирования запроса на квалифицированный сертфикат в соответствии с приказом ФСБ №796 от 27.12.2001г.
Руководства пользователя
В данном руководстве описана процедура использования ЭП и шифрования с использованием сертификата формата X.509 с ключевой парой, записанной на смарт-карту или USB-ключ ESMART Token.
Руководство пользователя для ESMART PKI Client, который предназначен для работы со смарт-картами или USB- ключами ESMART Token и ESMART Token ГОСТ. Программа позволяет выполнить все необходимые операции со смарт-картами или USB-ключами в удобном графическом интерфейсе
Читайте также: