Добрый день.
Получили новую ЭЦП с надписью рутокен-lite  из налоговой для нового юр. лица. Пытаемся установить его на сервер 1С для ИС ММ.
На сервере все делаем из под пользователя, под которым запущен сервер 1С. По РДП ключ не виден, все настраиваем локально.
При проверке сертификата в 1С клиентская сторона проходит проверку, на серверной пишет - ошибка интерфейса модуля криптозащиты. Установлен Крипто-ПРО
У кого-нибудь получилось уже установить в 1с рутокен?
Подскажите в каком направлении двигаться и как вообще с этой штукой работу организовывать? Я так понимаю что без отдельного ключа в сервере вообще жизнь теперь невозможнаф?

не знаю, как на последних серверах, но на win2008 была такая фича, что доступ к смарт-картам предоставляется только интерактивным пользователям.
дословно: " доступ к нему имеют только СИСТЕМНЫЕ, ЛОКАЛЬНЫЕ СЛУЖБЫ и ИНТЕРАКТИВНЫЕ пользователи. СЕТЕВЫЕ СЛУЖБЫ или неинтерактивные пользователи не смогут получить доступ к событию."
отсюда:
https://docs.microsoft.com/ru-ru/archive/blogs/alejacma/scardestablishcontext-fails-with-scard_e_no_service-error


PS:
>>  Я так понимаю что без отдельного ключа в сервере вообще жизнь теперь невозможнаф?
отнюдь. /сказал граф и полюбил графиню на подоконнике три раза, мелко дрожа манжетами и стуча запонками о стекло/
я давал дружеский совет, поищи хорошенько здесь на форуме

(0)
1. Создать небольшой локальный диск на серваке, настроить его для криптопро, скопировать ключ не него.
2. Скопировать ключ в реестр каждому пользователю.

(1) В настоящее время сделал как рекомендуют на сайте avers-pro.ru То есть сделал экспорт сертификата в формат DER X.509. Не смотря на ругань, что ключ не экспортируемый. Добавил в подписи через СБИС-онлайн. В СБИСе-онлайн при изъятом рутокене вхожу в юр. лицо, открываю список документов. То есть сертификат из личного хранилища как бы видится. В 1С сертификат стал виден, и я его добавил к юр.лицу.

Но при проверке сертификата из 1С, именно в серверной части (правый столбец) - ругается. Крипто-про  пишет - ошибка при получении контекста модуля криптографии

(2) Раньше копировали ключ  в реестр от пользователя, под которым запущен сервер 1С. Этот ключ в реестр не скопируешь. И на диск не скопируешь. Только экспорт в файл открытой части сертификата.

(0) вам нужна серверная версия криптопро типа такой https://cryptostore.ru/catalog/servernaya-litsenziya-skzi-kriptopro-csp-4-0

(4) +100500

У нас и ЧЗ, и Меркурий, и ЕГАИС. Именно такие на серверах и установлены. И со всеми ключами прекрасно все работало. Пока ИНН одному юр. лицу в этом году не поменяли. Теперь веселимся по полной.

(2) уже все, прикрыли лавочку.

(7) Йо, как жить дальше..... ?

(3) Вы путаете сертификат и секретный ключ. Локальный секретный ключ сервера в RDP-сеансе не видится. Это не криптопро виновато, а сама винда - она запрещает доступ к токенам из терминальных сессий. Из терминальной сессии можно работать только с проброшенным через RDP клиентским токеном, но не с воткнутым непосредственно в сервер.

Можно попробовать скопировать этот "неэкспортируемый" ключ на обычную флешку или том truecrypt, и далее с ними уже работать. Тут недавно была тема, как это сделать. Есть утилиты.

(9) чистая 272 УК РФ. Ибо взлом криптографии.

(10) ты ангажирован)

(11) принял, молчу)

(9) спасибо. Очень помогли. Тему можно закрывать.  По бывшей работе 63 ФЗ пришлось прочитать много раз. Поэтому разницу между сертификатами и ключами представляю.

(13) ты упорно не хочешь читать. Тебе русским языком сказали - нормально все копируется в реестр и работается, как и раньше, с реестром.
Читай в (1) последнее предложение.
Я сам лично здесь на форуме рассказывал, как скопировать "некопируемый" ru-tоken lite. В реестр.
Тебе лень поискать по моим постам? Ну а мне лень повторяться для ленивых.

(10) Ничем не лучше и не хуже, чем как раньше, когда одну ЭЦП "размножали" по компам и по реестрам. Раньше просто "размножали" с рутокена, а теперь размножают с "некопируемого" рутокена. п-ф-ф.. хрен редьки не слаще.

(14) "Ничем не лучше и не хуже, чем как раньше"
Хуже тем, что раньше в УЦ можно было купить сертификат со встроенной лицензией на криптопро, и работать с этим ключом с любого компа. А теперь добавился гемор с отдельным лицензированием криптопро...

(15) лицензия крипто про так же "размножалась"?

(15) никогда не покупал сертификат + лицензия на крипто-про.
Ибо нафик не упало покупать ограниченную лицензию на крипто-про сроком на один год. Потому что бессрочная (пожизненная) лицензия на крипто про продается отдельно и стоит всего в два раза дороже. Если, конечно, ты не фирма-однодневка, то выгоднее лицензию на крипто про приобрести отдельно бессрочную (пожизненную). А для фирмы однодневки да, выгоднее приобрести с ограниченным сроком на год.

к примеру, сейчас на сайте крипто-про (у разработчика) прайс:

Лицензия на право использования СКЗИ "КриптоПро CSP" версии 5.0 на одном рабочем месте
- Срок действия лицензии не ограничен - 2700.00
- Срок действия лицензии 1 год - 1350.00

(16) Она же к сертификату привязана. Где сертификат - там и лицензия. Исключительно на работу с этим сертификатом.
(17) Бесрочная продается на одно рабочее место, а если надо с этим токеном гулять по конторе?

(17) 500р вроде встроенная была, для буха бегунка с 3-4 офисами фирм норм. Бессрочную сбис за 2 с небольшим продавал.
(18) Да вспомнил, лицуха вроде просто плюс пара OID. Гуляние быстро заканчивается когда гена понимает, что ключик дает доступ в госуслуги его физлица

(19) Гуляние быстро заканчивается когда гена понимает, что ключик дает доступ в госуслуги его физлица\\это конечно мутотень еще та.
Зачем они это сделали, не пойми. Толи чтобы реально геники никому не давали свою ЭП, толи о чем думали.

(20) юридически вроде понятно, ключ то физика удостоверяет. Но истерик было много) Поменял ночью параметры, через 5 минут звонок гены "шо за нах?" Ему уведомление прилетело

(21) даже представить боюсь, когда геник у десятка предприятий один. Он седой нафик.

(19) Да понимать то он понимает, а что он может поделать? Если в куче сервисов нужна именно подпись директора, а ему банально некогда  по этим сайтам лазить и документы там подписывать. Вот и отдает ключ главбуху или финдиру.
Конечно же, объединение ЭЦП руководителя с ЭЦП физлица это жесть, но так наше государство решило...

(22) меняется имейл уведомлений по каждой конторе и норм, мейл там индивидуально на ключ

Парни перелопатил интернет и этот форум в доль и по перек. Проблема с новой ЭЦП от налоговой так и не решена? Нет возможности воткнуть ее в сервер и использовать как раньше через РДП?
У нас только 1 юзер и можно было бы использовать постоянное подключение по рдп и в него коннектить с помощью Тимвьювера, но требйет серверную лицензию крипто про, которая стоит 40 тыс.
Что теперь делать малому бизнесу? покупать вот это вот ВСЕ???

(25) а причем тут ключи от налоговой?

(25)
1. Покупаете рутокен лайт.
2. Копируете с него якобы "некопируемый" ключ спец. утилитами
3. Снимаете с ключа признак некопируемости
4. Работаете как раньше

(27) 1. Зачем его покупать если налоговая выдает его бесплатно.
2. Можно название подобной утилиты?
4. Также как раньше в реестр его помещать?

(28) "Зачем его покупать если налоговая выдает его бесплатно."
Это где такая халява? Всегда заявитель покупал сам. Налоговая бесплатно генерит ключ и записывает его на рутокен клиента вместе с сертификатом.

"Можно название подобной утилиты?"
tokens.exe, гуглите по форумах. Раньше она была доступна на сайте Контура.

Вообще не пойму, значит на форуме нельзя про взломанный 1С говорить, а про взлом криптозащиты можно?
Статья УК одинаковая, в чем разница для модераторов?

(29) На той неделе дир получил ЭЦП в 46 ФНС бесплатно.

(31) рутокен то в любом случае покупал или свой был.

(28) ага-ага, специально для кучи мелких директоров по всей стране в бюджете РФ была заложена статья на предоставление бесплатных ру-токенов всем страждущим нищебродам.
ФНС, между прочим, государственное (бюджетное) учреждение и просто так закупить n-ое количество рутокенов просто физически не может.
Только если в бюджете на эти цели заложены средства и соответственно профинансировали. Да и то не просто так купить, а через тендер, электронный аукцион, госзакупки.

Иди, мальчик, свисти дальше в другом месте, тут по пятницам свистунам не подают.

(31) получил ЭЦП на свой личный рутокен и бесплатно выдали рутокен в налоговой - две большие разницы, не находишь?
заметь, я не говорю, что генерируют ЭЦП в налоговой бесплатно, да. А вот носитель, на который запишут бесплатно эту ЭЦП - увы. Носитель (в данном случае рутокен) нужно приносить с собой.

(0) эээ вы реально хотите персональную ЭП (директора) воткнуть на общий сервер с 1С ?

(28) какая разница где ключ лежит в реестре или в ключе. От этого необходимость в серверной лицензии крипто про не меняеться

(34) всегда так делали.

(36) всегда прокатывала компрометация ЭП?
вместо каждому ответственному сотруднику свою личную ЭП по доверке, подписанной ЭП директора?

(37) С этим никто никогда так не морочился

(37) По факту, не все сервисы поддерживают доверенности, иногда приходится работать именно под директором. А директору лично не хочется в них работать. Вот и доверяет ключик скажем главбуху. Законодатель не учел особенностей реального бизнеса в России, подошел к вопросу об ЭП руководителя формально, приравняв ЭП руководителя к ЭП физлица, исполняющего руководство.
Наверное, наши реалии к такому не готовы, и надо было наоборот разделить ЭП физлица и ЭП руководителя.

(37) не, ну если в штате ИТ-отдела есть сотры, которые будут собирать пакеты документов на ЭП, отправлять их издателю и получать подписи каждый год на кучу человек - то можно. Замечу, что из-за того что люди приходят и увольняются - это не получится делать одновременно. Все это будет размазано по году и надо будет следить за окончанием сроков. Мягко скажем, не очень удобно.

(40) Это если ещё и есть ИТ-отдел. А то часто бывает, что есть только приходящий или даже удаленный одинесник.

(17) только вечная лицензия она не совсем вечная.
например вечную 4.4 пришлось отправить на помойку когда вышел новый стандарт шифрования и в крипто-про сказали покупайте 4.5
и у вас будет вечная 4.5 но только до той поры пока не понадобится 5.0
а она вроде как уже понадобилась
примерно так.

(42) так внутри четверки апгрейд бесплатный. Удаляете 4.Х, ставить 4.Х+1, вводите данные из лицензии - и вуаля, все работает. Сам не один раз так делал.
Пятерку да, наверно, покупать придется. Но четверка использовалась уже столько лет, что как бы не жалко. Да и, мне кажется, с рутокен лайтом еще и четверка поработает... Четверка точно не годится для тех ключей, у которых криптопровайдер на борту, а лайт, мне кажется, она понимает... Кто в курсе - уточните, пожалуйста, прав я или нет.

Кстати, пятерка, в отличие от четверки, не ставится на XP, надо минимум Win7. Возможно, кому-то еще актуально.

(41) кстати, что касаемо доверок, то тут в общем-то складывается более привлекательная картина. Можно будет сотров озадачить получать ЭП полностью самостоятельно, потому что не нужно писать кучу бумаг от организации и прилагать ОГРН, ИНН и прочую макулатуру. Он все сможет сделать сам. А потом просто придет с токеном в ИТ-отдел и там ему нарисуют электронную доверенность.

(45) Не факт. Недавно получали подписи в Контуре для работы сотрудников в Контур Диадок. Так там четко в сертификате прописывается, что сертификат выдается на сотрудника организации. И они этот сертификат регистрируют у себя в базе. Электронная доверенность фактически не применяется, кстати - а что это за зверь такой? Судя по предварительной информации, это некий "кросс-сертификат", который формируется на основании сертификата физлица и руководителя.

(37) Даже на сайте сбис это прописано как один из вариантов работы

(46) А вообще, если всё по уму делать - то сертификат сотрудника должен генериться в самой организации, при этом должен быть сертификат организации и он должен быть корневым для сертификата сотрудника. УЦ не нужны, по сути. Налоговая должна бесплатно выдать сертификат организации и заверить ЭП её руководителя. А дальше всё должно крутиться внутри.

(46) Работа с шированием у нас лицензируемая. А государство не любит отдавать на сторону то, за что она получает денежку

А вот как в новых реалиях быть с автоматическим получением документов?

Раньше как было - ЭЦП на сервер в реестр скопировали, там в фоне по ней подключаемся, документы получаем, извещения о получении счетов-фактур подписываем.

А теперь? Новые ЭЦП директора не копируемые. ЭЦП физ.лиц, по МЧД - ну вроде можно скопировать в реестр. Но есть нюанс - это же настоящая подпись конкретного физ.лица, с которой можно, скажем так, много чего интересного сделать, если ее с сервера скопировать и затем использовать в качестве подписи этого физ.лица на всяких интересных документах. Дарственных, например...

И получается, что технически вроде провернуть такое можно. Но опасно же! И кто даст свою ЭЦП для такого использования, зная о возможных последствиях?
А, если в фоне документы не принимать и не обрабатывать, то что делать с потоком хотя бы в 1000 документов в день?

(49) Да пусть лучше налог введут очередной, это бы проще было)

(50) вроде как некопируеться только типа рутокен 2.0, а обычные копируются
https://www.kontur-extern.ru/info/skopirovat-konteyner-s-sertifikatom

(43) он может внутри обычно и бесплатный, но когда я обратился при выходе новых подписей по 2012 стандарту получил ответ - покупайте новую КРИПТО-ПРО, старая версия работать не будет, апгрейд платный.
так что селяви.

(52) Инфу о копировании неэкспортируемого сертификата они убрали из открытого доступа)

(54) Да но по ссылки из статьи утилита вполне себе качается

соответственно с того момента покупаются ключи со встроенной лицензией, поскольку ключей мало а компьютеров с которых их используют - много.
если была бы обратная ситуация - типа один два компа с крипто-про на которые очередь людей со своими ключами - то наверное купили бы лицензии на программу отдельные.

(39) ну чушь же.
Какая доверенность и ответственное лицо????
Вам бы матчасть сначала изучить, а потом советами раскидываться. Глупо выглядите.

(57) А по сути? Что я не так сказал? Практика бизнеса противоречит законодательно установленным принципам ЭП. Найти директора, который бы лично лазил по десяткам площадок и личных кабинетов со своей подписью, надо ещё постараться. В 99% случаев он доверяет свою подпись кому-то ещё. Подпись по сути компрометируется, все об этом знают - но так работает практически весь средний бизнес.

(32) Да прошу прощения ру-токен был наш старый, на него записали

(58) я ответственное лицо нескольких предприятий, не имея никаких доверенностей. И кстати, назовите сервисы, которые так не работают.

(35) Раньше нам для этого не требовалась лицензия серверная крипто про, если ключ в реестре.

(50) и сейчас, вернее, до 2022 года можно было. Подпись "сотрудника-физлица" является точно такой же подписью физлица, поэтому копируй и подписывай дарственные, никаких проблем.

некоторую защиту дает пин-код, пароль на вход в комп, ну и ограничение доступа в помещение, где стоит комп, кого попало. В целом же дело не вполне хорошее, нужно это понимать.

(53) ну обращаться дело такое... если люди мотивированы вам что-то продать, они ж могут много чего нарассказать.
А я просто с сайта крипто-про утащил свежую четверку под ГОСТ 2012 (она, по-моему, на тот момент даже была в статусе предварительной несертефицированной версии),
поставил, и вроде норм все...

Кстати, насчет новомодного механизма с доверками - поднимал я тут тему пару недель назад:
Подписание ЭДО ФЛ по электронной доверенности
но похоже, что пока никто не пробовал, что там как

(65) Тестовый режим, никто и не связывается
По крайне мере в СБИСе такое доступно после запроса в техподдержку, чтобы они активировали его

согласно 443-ФЗ переходный период на МЧД начнется с 1 марта и продлится до 31 декабря 2022 года. А с 1 января 2023 года необходимо будет обязательно использовать машиночитаемую доверенность вместе с электронной подписью физического лица.

К тому же Формат доверенности для сдачи отчетности утвержден ФНС России. Форматы МЧД других органов власти еще утверждаются.

(68) меня в первую очередь интересует ЭДО. Т.е. ЭУПД и прочее, чтобы не подписывать это гендиректором.

ЭДО между контрагентами.

(68) А есть ещё всякие торговые площадки и прочие госсервисы. Если на каждый потребуется отдельную МЧД - это гемор такой будет, что всё вернется к копированию ключей.

(68) так МЧД еще и разные будут??? Н-да...

я-то, честно говоря, думал, что МЧД будет одна и к ней набор полномочий

(72) Ну как всегда, если есть утвержденный формат то XML согласно формату, если нет то PDF

(74) То есть МЧД это просто некий файл, с внедренной (или приложенной) подписью удостоверяющим лицом? Но чтобы быть "МЧ", ей надо быть в унифицированном формате. Иначе это может быть что угодно, с подписью.

(75) по логике должно быть так. Может быть и по-другому - есть сайт/API, куда отправляется запрос с СНИЛСом ФЛ, ОГРНом организации и затребованными полномочиями, а оно возвращает страничку или ответ - можно совершать действия в соответствии с полномочиями или нет по состоянию на момент посылки запроса. Такой вариант кажется более разумным, потому что действие доверенности может быть прекращено досрочно, и иного пути, кроме как сделать запрос, узнать это нету.

(76) Если использовать централизованный сервис - то теряется смысл в МЧД, потому что доверенность в этом случае - лишь запись в базе, и смысла её дублировать в файле нет.

(77) я был на вебинаре у одного из провайдеров ЭДО, где объяснялось (правда, достаточно туманно), что механизм МЧД будет реализован как распределенный реестр, т.е. блокчейн. А некое подобие портала есть уже сейчас - https://m4d.nalog.ru/

Смысл машиночитаемой доверенности в том,что для ее проверки достаточно ее самой и сертификатов (соответсвенно,только открытых ключей сертификатов).
Да,для проверки требуется доступ к удостоверяющим центрам,чтобы проверить подлинность сертификатов.

Всякие записи в какой-то базе,по сути,нарушают принцип независимости доверенности.
Однако,они же позволяют отзывать доверенность до окочания срока действия,что,в случае автономной доверенности,невозможно или требуется делать отзыв сертификата.
Кроме того,применение криптографии с отметкой времени исключает отмену дейсвия установленной подписи после отзыва сертификата,так как фиксируется состояние сертификата на момент установки подписи.

(79) а отмена доверенности до срока будет требоваться ой как часто...
Уволился чел - и аля-улю..

да и не только уволился, а даже перешел на другую должность, где у него уже другие полномочия. Тут, кстати, еще вопрос, поддержит ли МЧД добавление полномочий или надо будет обязательно прекращать старую доверку и открывать новую. И как в первом случае раздуплять ситуации, когда задним числом оформили что-то с превышением полномочий... Мама дорогая...

(80) Почему и лучше всего сделать доверенность обычным ОИДом в сертификате, выданном самой организацией, используя сертификат организации в качестве удостоверяющего. И просто вести списки отозванных сертификатов. Всё по стандарту, не надо изобретать велосипеды. Всего то сделать в личном кабинете организации на госуслугах такую возможность. И никакие УЦ не надо будет напрягать.

(82) Непонятно как монетизировать... Хотя по гамбургскому счету на тех же госуслугах для организации можно сделать выпуск сертификата - платным, и всех делов.

правда, тут есть подводный камень - в наличии сразу окажется огромное большое число УЦ по числу организаций, про которых не всегда однозначно можно будет понять, правомочны ли их сертификаты, потому что непонятно, правомочны ли сами УЦ. Пока УЦ мало, проблем с этим нет.

(84) Если организация не исключена из ЕГРЮЛ - сертификаты, выданные от её имени, правомочны. Так же, как правомочна личная подпись директора.

(85) + и не находится под внешним управлением, само собой

(86) ну в общем да. Доверку бумажную тоже обычно никто под микроскопом не просвечивает, хотя не исключено, что выдавшая ее организация несколько часов назад обанкротилась...

certfix.000032.exe - эта версия программы есть? не могу снять с ключа значение DENIED

Парни??

(89) Ру токен и РДП

(90) не помогло(

все нашел! вопрос снят

Ради интереса, решил "изучить технологию"...
Кто уже столкнулся, подскажите, это:
https://content.foto.my.mail.ru/mail/m_w_w/_mypagephoto/h-439.jpg
я что-то не то скачал, или на моем компе утилита работать по каким-то причинам не хочет?

(93) что-то на компе, там где у меня работали сертификаты все прошло на ура