При эксплуатации СКЗИ «КриптоПро CSP» должны соблюдаться следующие сроки использования пользовательских закрытых ключей и сертификатов:
- максимальный срок действия закрытого ключа ЭП-256 (ключа ЭП) — 1 год 3 месяца;
- максимальный срок действия закрытого ключа ЭП-512 (ключа ЭП) — 1 год 3 месяца;
- максимальный срок действия открытого ключа ЭП-256 (ключа проверки ЭП) — 15 лет;
- максимальный срок действия открытого ключа ЭП-512 (ключа проверки ЭП) — 15 лет;
- максимальный срок действия закрытых и открытых ключей обмена – 1 год 3 месяца.
Если воспользоваться ключом у которого уже закончился срок действия закрытой части, мы получим ошибку 0x80090010 Отказано в доступе.
При формировании закрытого ключа в контейнер записывается дата истечения срока действия этого ключа, по истечении которого в зависимости от значения параметра ControlKeyTimeValidity возможны различные варианты использования этого ключа.
Значение «0» параметра не накладывает никаких ограничений на использование ключа.
Значение «1» параметра запрещает формирование ЭП и шифрование в контексте этого ключа (возможно расшифрование ранее зашифрованных сообщений) (значение по умолчанию);
Значение «2» параметра запрещает любые действия с закрытым ключом.
Для операционных систем группы Windows необходимо изменить значение ключа реестра:
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProCryptographyCurrentVersionParametersControlKeyTimeValidity (для 64-битных операционных систем),
HKEY_LOCAL_MACHINESOFTWARECrypto ProCryptographyCurrentVersionParametersControlKeyTimeValidity (для 32-битных операционных систем).
Параметра ControlKeyTimeValidity может и не быть,его надо будет создать:
- Открываем Редактор реестра (Заходим в Пуск набираем regedit и Ввод или Win+R вводим regedit и нажимаем OK );
- Открываем:
- для 64-битных операционных систем — HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProCryptographyCurrentVersionParameters;
- для 32-битных операционных систем — HKEY_LOCAL_MACHINESOFTWARECrypto ProCryptographyCurrentVersionParameters;
- Выделяем раздел Parameters, внутри него нажимаем Создать — Параметр DWORD (32 бита) и называем его ControlKeyTimeValidity;
- Открываем параметр ControlKeyTimeValidityи присваиваем ему значение 0;
- После этого перезапустить программы используемые ключи, и повторить операцию, которая приводила к ошибке 0x80090010 Отказано в доступе.
Настройка СКЗИ для остальных ОС осуществляется с помощью утилиты cpconfig с помощью команды
./cpconfig -ini ‘configparameters’ -add long ControlKeyTimeValidity <значение>
Информация была взята из: ЖТЯИ.00087-03 91 01. КриптоПро CSP. Руководство администратора безопасности. Общая часть.
При авторизации в СБИС, утверждении документа, отправке отчета или другом действии с ЭП появляется сообщение «Не удалось извлечь секретный ключ сертификата 0х80090010: Отказано в доступе. Для работы с выбранным сертификатом требуется изменение настроек КриптоПро. Необходимо повысить права пользователя».
Причина №1. В КриптоПро CSP включен контроль сроков действия долговременных ключей
Отключите контроль одним из способов.
- Закройте СБИС Плагин. Запустите его с правами администратора: правой кнопкой мыши кликните ярлык на рабочем столе и выберите «Запуск от имени администратора». Если открылось окно ввода логина/пароля или сообщение о том, что недостаточно прав, обратитесь к вашему системному администратору.
- На сайте https://cvs.sbis.ru/ откройте раздел «Контейнеры».
- Найдите подпись, при действии с которой появляется ошибка, и кликните ее левой кнопкой мыши. Плагин протестирует подпись и отключит контроль сроков действия долговременных ключей для всех пользователей системы.
По инструкции КриптоПро CSP в реестре Windows поменяйте значение параметра ControlKeyTimeValidity на «0».
Причина №2. У пользователя нет прав на запись данных на флешку
Такое ограничение может быть наложено групповыми политиками на сервере. Обратитесь к вашему системному администратору: для работы с ЭП требуются права как на чтение, так и на запись.
Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.
Всем добрый день!
Я как специалист по настройке АРМ для работы на ЕИС и других электронных торговых площадках, с вышеуказанной ситуацией сталкивался уже дважды. И оба раза мои действия, которые я буду описывать ниже, привели к спасительному результату и подписанию гос. контакта на ЕИС (44-фз). Итак, я предполагаю, что у Вас сейчас ситуация следующая:
Сертификат ЭЦП еще действует, но уже не подписывает на zakupki.gov.ru
Вообще, подобную ситуацию я подробно в стиле рассказа описал в статье на своём Дзен-канале, но публикация получилась длинной, и потому до конца её трудно дочитать. Здесь я постараюсь сразу перейти к делу, опустив «лирику» . Ситуация предельно простая. После выбора сертификата при входе в личный кабинет ЕИС по 44-фз, вылезает банальное окно:
И т.к. Вы наверняка уже догадываетесь, что это зловещее окно может быть как-то связано с тем, что срок действия сертификата ЭЦП вообще-то ещё не подошёл к концу, но подходит. Наверняка Вы уже обратились в ТП ЕИС, и наверняка Вам уже указали, что срок действия закрытого ключа Вашего сертификата ключа ЭЦП подошёл к концу, и единственный выход получить новую ЭЦП. Вам даже, может быть, тоже самое говорит Ваш программист в УФК. Но не спешите с выводами, пока не дочитаете эту публикацию до конца.
У нас тоже была ситуация, и мы знали, что срок действия сертификата ключа ЭЦП подойдёт к концу через 5 дней. НО! Он же ещё действует!? Но уже не подписывает на площадках. Так вот.. и ТП и программист в УФК в один голос сказали нам, что мол, надо менять ЭЦП, но на это нужно время, а контракт на площадке нужно было подписать именно сегодня! А выпуск новой ЭЦП всё-таки занимает несколько дней. Казалось бы «патовая» ситуация, но из неё есть выход!
Проблема в том, что так называемый закрытый ключ формируется на портале ФЗС как Вы догадались, раньше, чем УФК проведёт все проверки и выпустит сертификат. Он формируется в момент подачи Вами заявления на изготовление сертификата. Предположим, если сегодня 12 октября, и Вы подали на портале Заявителя заявление на выпуск сертификата новой ЭЦП, а сам сертификат Вам сделали через пять дней, например,то в свойствах контейнера будет вот эта самая разница во времени жизни закрытого ключа (контейнера) и открытого (сертификата .cer) :
Видите? Как бы официально, сертификат ещё действует 5 дней, а технически он уже на площадке не подписывает…
Решение этой проблемы
Благо, техническое решение этой проблемы существует! Это делается путём добавления в системный реестр параметра ControlKeyTimeValidity
- В ветку: HKEY_LOCAL_MACHINESOFTWARECrypto ProCryptographyCurrentVersionParameters — если у Вас 32-разрядная система;
- И в ветку: HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProCryptographyCurrentVersionParameters — если у Вас 64-разрядная система.
Необходимо добавить «Параметр DWORD (32 бита)», и прописать в нём значение =0. Показываю пошагово:
- На компьютере надо зайти в учетную запись с правами администратора, нажать ПУСК->выполнить->regedit. Откроется окно редактирования системного реестра. В котором надо перейти, нажимая на плюсики в вышеуказанный раздел реестра HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProCryptographyCurrentVersionParameters — если у Вас 64-разрядная система:
И создаём с помощью клика правой мышки на пункте «Parameters» параметр DWORD (32 бита) прямо как на иллюстрации. ВВодим имя параметра: ControlKeyTimeValidity и присваиваем ему значение = 0:
И присваиваем вновь созданному параметру значение =0 (опять же, правой мышкой):
Откроется вот такое уже небольшое окно, где и нужно ввести ноль:
Осталось нажать «ОК», закрыть все окна, перезагрузить компьютер, зайти на площадку, и попытаться подписать документ/контракт ещё старым сертификатом. Вот такой не простой, но выполнимый квест. Кстати, в ТП ЕИС такие действия одобрили и назвали легальными. Я звонил..)
Содержание
- Сроки действия долговременных ключей в «КриптоПро CSP 4.0»
- Особенности контроля сроков действия долговременных ключей
- В реестре windows поменяйте значение параметра controlkeytimevalidity на 0
- В реестре windows поменяйте значение параметра controlkeytimevalidity на 0
- Ошибка создания подписи: 0x80090010: отказано в доступе | СУФД
- Почему не удается создать подпись | ошибка 0x80090010
- Как исправить ошибку 0x80090010: отказано в доступе
- Истек срок ключа
- Отсутствие прав к накопителю
- Отсутствие прав доступа к ключам в реестре
- Хочу Знать
Сроки действия долговременных ключей в «КриптоПро CSP 4.0»
Особенности контроля сроков действия долговременных ключей
В «КриптоПро CSP 4.0» реализован контроль сроков действия долговременных ключей. Возможность использования ключа, срок действия которого истёк, для различных операций зависит от параметров настройки провайдера.
Параметром, определяющим разрешенные операции для ключа, срок действия которого истёк, является параметр ControlKeyTimeValidity. Данный параметр может принимать значения 0, 1 и 2.
| Значение параметра ControlKeyTimeValidity | Эффект |
|---|---|
| Все операции разрешены. | |
| 1 | Запрещено формирование ЭП и зашифрование. Разрешено расшифрование ранее зашифрованных сообщений. Это значение установлено по умолчанию. |
| 2 | Все операции запрещены. |
Указанный параметр может быть изменён путём редактирования ключей реестра Windows:
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProCryptographyCurrentVersionParametersControlKeyTimeValidity (для 64-битных операционных систем),
HKEY_LOCAL_MACHINESOFTWARECrypto ProCryptographyCurrentVersionParametersControlKeyTimeValidity (для 32-битных операционных систем);
Необходимо отметить, что при включённом режиме усиленного контроля использования ключей значение ControlKeyTimeValidity полагается равным 2 вне зависимости от указанного.
Информация о сроке действия ключей может быть получена путём вызова функции CryptGetKeyParam с параметром KP_NOTAFTER. Эта функция возвращает дату окончания действия ключей AT_SIGNATURE/AT_KEYEXCHANGE в виде структуры FILETIME. Дата окончания действия ключа может определяться по времени создания ключа и по сертификату в контейнере.
При создании ключа срок действия определяется равным 3 годам для неэкспортируемых ключей, хранящихся на функциональных ключевых носителях (ФКН) или в КриптоПро HSM. Сроки действия всех остальных ключей составляют 15 месяцев. Срок окончания действия ключа записывается в расширение контейнера.
При наличии сертификата в контейнере срок действия ключа определяется на основании поля PrivateKeyUsagePeriod (при наличии), либо при его отсутствии сроком начала действия сертификата (3 года с начала при использовании неэкспортируемых ключей, хранящихся на ФКН или в КриптоПро HSM, и 15 месяцев для прочих ключей).
Для всех импортированных долговременных ключей срок действия определяется как 15 месяцев с момента импорта.
Также возможна настройка определения срока действия ключа с использованием только сертификата или только расширения контейнера. Это достигается путём установки дополнительного расширения PrivateKeyTimeValidityControlMode в контейнер.
Расширение PrivateKeyTimeValidityControlMode имеет объектный идентификатор 1.2.643.2.2.37.3.11 и задаётся следующей ASN.1-структурой.
PrivateKeyTimeValidityControlMode ::= BIT STRING <
pktvcmUseCertificate(0),pktvcmUseContainer(1)
>
Для установки расширения также можно воспользоваться функцией CryptSetProvParam с параметром PP_CONTAINER_EXTENSION.
Также для удаления расширения можно воспользоваться функцией CryptSetProvParam с параметром PP_CONTAINER_EXTENSION_DEL.
Источник
В реестре windows поменяйте значение параметра controlkeytimevalidity на 0
Ошибка 0x80090010: Отказано в доступе. Истек срок действия закрытого ключа.
При эксплуатации СКЗИ «КриптоПро CSP» должны соблюдаться следующие сроки использования пользовательских закрытых ключей и сертификатов:
Если воспользоваться ключом у которого уже закончился срок действия закрытой части, мы получим ошибку 0x80090010 Отказано в доступе.
При формировании закрытого ключа в контейнер записывается дата истечения срока действия этого ключа, по истечении которого в зависимости от значения параметра ControlKeyTimeValidity возможны различные варианты использования этого ключа.
Срок действия закрытого ключа и сертификата выпущенного удостоверяющим центром на этот ключ, могут отличаться.
Значение «» параметра не накладывает никаких ограничений на использование ключа.
Значение «1» параметра запрещает формирование ЭП и шифрование в контексте этого ключа (возможно расшифрование ранее зашифрованных сообщений) (значение по умолчанию);
Значение «2» параметра запрещает любые действия с закрытым ключом.
Для операционных систем группы Windows необходимо изменить значение ключа реестра:
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProCryptographyCurrentVersionParametersControlKeyTimeValidity (для 64-битных операционных систем),
HKEY_LOCAL_MACHINESOFTWARECrypto ProCryptographyCurrentVersionParametersControlKeyTimeValidity (для 32-битных операционных систем).
Параметра ControlKeyTimeValidity может и не быть,его надо будет создать:
При работе в режиме усиленного контроля использования ключей (режим обязателен к использованию, отключение может производиться только в целях тестирования) значение параметра ControlKeyTimeValidity принимается равным «2».
Информация была взята из: ЖТЯИ.00087-03 91 01. КриптоПро CSP. Руководство администратора безопасности. Общая часть.
Источник
В реестре windows поменяйте значение параметра controlkeytimevalidity на 0
В КриптоПро CSP версии 4.0 и выше реализован контроль сроков действия долговременных ключей.
Независимо от срока действия открытого ключа, срок действия закрытого ключа составляет 1 год и 3 месяца.
Проверить не истекли срок действия закрытого ключа можно следующим образом:
1. Запустите КриптоПро CSP от имени администратора.
2. В вкладке Сервис нажмите на кнопку Протестировать. (Рисунок 459).
3. В открывшемся окне «Тестирование контейнера закрытого ключа» выберете контейнер CA и нажмите на кнопку Далее (Рисунок 460).
4. Если срок действия закрытого ключа не истек, проверка пройдет успешно. Так же обратите внимание на пункт » Использование ключа подписи «.
Пример удачной проверки:
Проверка завершена успешно ошибок не обнаружено
Использование ключа подписи разрешено до окончания срока действия закрытого ключа.
Пример неудачной проверки:
Проверка завершилась с ошибкой
Использование ключа подписи запрещено. Срок действия закрытого ключа истек. Срок действия закрытого ключа не может превышать 3 года для неизвлекаемых ключей, хранящихся на ФКН и на HSM, и 1 год 3 месяца для прочих ключей.
Если после истечения срока действия закрытого ключа перезапустить сервер с УЦ или сервис CertificationAuthority, то при следующем его запуске возникнет ошибка запуска службы сертификации (Рисунок 461):
В Диспетчере Серверов будет выдана следующая ошибка:
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. WIN-9ABB69BGV2E-CA Access denied. 0x80090010 (-2146893808).
Службы сертификации Active Directory не запущены: Не удается загрузить или проверить текущий сертификат ЦС. autosterraCA Отказано в доступе. 0x80090010 (-2146893808 NTE_PERM).
При формировании закрытого ключа в контейнер записывается дата истечения срока действия этого ключа, по истечении которого в зависимости от значения параметра ControlKeyTimeValidity возможны различные варианты использования этого ключа.
Для решения данной проблемы необходимо создать параметр ControlKeyTimeValidity и присвоить ему значение 0. Значение «0» данного параметра не накладывает никаких ограничений на использование ключа, т.е. разрешает все операции с ним.
Указанный параметр может быть изменён путём редактирования/создания следующих ключей реестра Windows (Рисунок 462 и Рисунок 463):
Для 64-битных операционных систем:
Для 32-битных операционных систем:
Затем запустите службу центра сертификации (Рисунок 464).
Служба сертификации успешно запущена (Рисунок 465).
Источник
Ошибка создания подписи: 0x80090010: отказано в доступе | СУФД
Автор: Юрий Белоусов · 21.09.2020
При ведении документооборота пользователи программ и порталов, использующих Систему Удаленного Финансового Документооборота (СУФД), например, Континент АП, КриптоПро, СБИС могут столкнуться с невозможность создания подписи в следствии появлении ошибки: «Подпись: ошибка 0x80090010: отказано в доступе».
В этой статье рассмотрим, что это за ошибка 0x80090010 и разберемся с возможными причинами того, почему не удается создать подпись ключа.
Почему не удается создать подпись | ошибка 0x80090010
Среди основных причин, почему не удается создать подпись и появляется сообщение об ошибке с кодом 0x80090010, можно выделить следующие:
Как исправить ошибку 0x80090010: отказано в доступе
Прежде чем выполнить нижеописанную процедуру необходимо убедиться, что используется последняя версия программного обеспечения. Если нет, то нужно выполнить обновления.
Чтобы исправить ошибку «0x80090010: отказано в доступе» необходимо правильно диагностировать причину ее возникновения. Рассмотрим данный процесс на примере КриптоПро CSP:
В зависимости от полученного результата необходимо предпринять соответствующие действия.
Истек срок ключа
Если использование ключа обмена запрещено в результате того, что срок действия закрытого ключа истек, то в таком случае, чтобы исправить ошибку «0x80090010: отказано в доступе» необходимо получить новый.
Если нужно срочно подписать документы, то можно пойти на небольшую хитрость и изменить системную дату на компьютере. Для этого нужно:
В случае с ключами, которые хранятся в реестре, можно выполнить следующую процедуру:
Визуально ознакомиться с пошаговыми действиями можно в следующей видеоинструкции:
Отсутствие прав к накопителю
Если отсутствуют права доступа к накопителю, то нужно дать права доступа к флеш-накопителю и желательно добавить его в исключения антивирусной программы и брандмауэра Windows.
Часто подобная проблема возникает в следствии форматирования накопителя в формате NTFS. Рекомендуемые форматы: FAT и FAT32. Проверить права и формат файловой системы можно в свойствах флешки, кликнув по ней правой кнопкой мыши и выбрав соответствующий пункт.
Отсутствие прав доступа к ключам в реестре
Если отсутствуют права доступа на реестр защищенных ключей, то нужно:
В случае их отсутствия – получить.
Не нашли ответ? Тогда воспользуйтесь формой поиска:
Источник
Хочу Знать
В «КриптоПро CSP 4.0» реализован контроль сроков действия долговременных ключей. Возможность использования ключа, срок действия которого истёк, для различных операций зависит от параметров настройки провайдера.
Параметром, определяющим разрешенные операции для ключа, срок действия которого истёк, является параметр ControlKeyTimeValidity. Данный параметр может принимать значения 0, 1 и 2.
| Значение параметра ControlKeyTimeValidity | Эффект |
| Все операции разрешены. | |
| 1 | Запрещено формирование ЭП и зашифрование. Разрешено расшифрование ранее зашифрованных сообщений. Это значение установлено по умолчанию. |
| 2 | Все операции запрещены. |
Указанный параметр может быть изменён путём редактирования ключей реестра Windows:
либо путём вызова утилиты cpconfig (для *nix-подобных ОС):
Необходимо отметить, что при включённом режиме усиленного контроля использования ключей значение ControlKeyTimeValidity полагается равным 2 вне зависимости от указанного.
Информация о сроке действия ключей может быть получена путём вызова функции CryptGetKeyParam с параметром KP_NOTAFTER. Эта функция возвращает дату окончания действия ключей AT_SIGNATURE/AT_KEYEXCHANGE в виде структуры FILETIME. Дата окончания действия ключа может определяться по времени создания ключа и по сертификату в контейнере.
При создании ключа срок действия определяется равным 3 годам для неэкспортируемых ключей, хранящихся на функциональных ключевых носителях (ФКН) или в КриптоПро HSM. Сроки действия всех остальных ключей составляют 15 месяцев. Срок окончания действия ключа записывается в расширение контейнера.
При наличии сертификата в контейнере срок действия ключа определяется на основании поля PrivateKeyUsagePeriod (при наличии), либо при его отсутствии сроком начала действия сертификата (3 года с начала при использовании неэкспортируемых ключей, хранящихся на ФКН или в КриптоПро HSM, и 15 месяцев для прочих ключей).
Для всех импортированных долговременных ключей срок действия определяется как 15 месяцев с момента импорта.
Источник
Как изменить тип сетевого подключения?
В Microsoft Windows Server 2012 и Windows 8 отсутствует возможность изменять тип сетевого подключения через Центр управления сетями и общим доступом (Network and Sharing Center). Если вам нужно изменить тип сети, это можно сделать следующими способами:
1. С помощью изменения в реестре:
Запустите regedit, найдите ключ HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkListProfiles. Этот ключ будет содержать профили сетей вида {93BCDFC1-5C66-420A-A786-85AFBCE1D5E8}, в фигурных скобках может быть любой другой номер — найдите среди них вашу сеть по ключу ProfileName (её имя отображается Центре управления сетями) и измените значение ключа Category в соответствии с тем типом сети, который вам нужен:
0 — Общественная сеть (Public Network)
1 — Частная сеть (Private Network)
2 — Доменная сеть (Domain Network)
На компьютере был предустановлен офис и осуществлен запуск. При установке другой версии не запрашивает код активации. Что делать?
1. Необходимо найти папку с установленным Microsoft Office. Проверьте путь:
• Если у вас 64-bit версия Office 2013, зайдите в папку: C:Program FilesMicrosoft OfficeOffice15
• Если же 32-bit версия, то в папку: C:Program Files (x86)Microsoft OfficeOffice15
2. Давайте найдём и проверим сведения о лицензии. Запустите командную строку (Выполнить — cmd). Введите нижеследующую команду чтобы отобразить сведения:
cscript ospp.vbs /dstatus
Запоминаем или записываем 5 последний символов product key
3. Для удаления лицензии вводим следующее в командной строке:
cscript ospp.vbs /unpkey: последние 5 символов product key
4. После успешного выполнения команд перезагружаем ПК
5. После запуска Microsoft Office активируем приложение заново посредством ввода новых данных.
Как посмотреть сохраненные в системы логины и пароли для доступа на сетевые ресурсы и удалить их?
Пуск — Выполнить или Win + R
rundll32.exe keymgr.dll,KRShowKeyMgr
Должно открыться новое окно со списком сохраненных паролей.
VPN-клиент Континент АП не хочет подключаться, выдает ошибку 0x80090010 Отказано в доступе.
Проблема связана скорее всего с тем, что используемый ключ (сертификат) был выдан на срок более 1 года и 3 месяцев (15 месяцев). В КриптоПро версии старше 4.0 введены ограничения.
При формировании закрытого ключа в контейнер записывается дата истечения срока действия этого ключа, по истечении которого в зависимости от значения параметра ControlKeyTimeValidity возможны различные варианты использования этого ключа.
Значение «0» параметра не накладывает никаких ограничений на использование ключа.
Значение «1» параметра запрещает формирование ЭП и шифрование в контексте этого ключа (возможно расшифрование ранее зашифрованных сообщений) (значение по умолчанию);
Значение «2» параметра запрещает любые действия с закрытым ключом.
Срок действия ключа берется из (в порядке уменьшения приоритета):
— Расширения контейнера ключа;
— Расширения сертификата ключа;
— Даты создания ключа + 1 год 3 месяца.
Изменение параметра ControlKeyTimeValidity
Для операционных систем группы Windows необходимо изменить значение ключа реестра:
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProCryptographyCurrentVersionParametersControlKeyTimeValidity (для 64-битных операционных систем),
HKEY_LOCAL_MACHINESOFTWARECrypto ProCryptographyCurrentVersionParametersControlKeyTimeValidity (для 32-битных операционных систем).
Если в системе данный ключ отсутствует, его можно создать. В большинстве случаев это помогает.