доброго времени суток!

случилась 1с-проблема, который день бьемся - решить не можем,
вводные такие:

клиент-серверная 1С:Предприятие 8.3 (8.3.17.2760)
конфигурация: "Управление торговлей", редакция 10.3 (10.3.88.3)
ос: windows server 2008 r2
работает под виртуалкой: ESXI 6.0
ключ: Рутокен 2.0
крипто-программа: КриптоПро csp 5.0.12000 KC1

проблема:
не работает подписание на сервере, но успешно отрабатывает на стороне клиента

подробнее:

МенеджерКриптографии.Подписать()
выдает исключение с ошибкой
"Ошибка интерфейса модуля криптографии. Набор ключей зарегистрирован недействительным."

на клиенте задействован метод "НачатьПодписывание", который не возвращает подобную ошибку

прошу совета, подсказки - в чём может быть проблема

спасибо!

Ключ на сервер проброшен, сертификат КЭП установлен?

(1)
спасибо за отклик!

в данном случае:

- клиент и сервер = один и тот же пользователь на серверной машине, которая под виртуалкой;
- подключаемся по radmin, тк под rdp ключ не виден;
- сертификаты и ключ скорее всего настроены корректно тк проверку на клиенте всё проходит:
forum.infostart.ru/upload/forum/upload/66e/66e189155c76b7ab757458bf7652200f.bmp

(0) Первое  - попробовать залогиниться в винду под юзером, под которым стартует служба сервера 1с,и попробовать подписать (с клиента).

(3)

спасибо за отклик!

как уже писал выше, проверяем под пользователем от которого запущена служба 1с сервера,
на клиенте - успешно, на сервере - увы, нет..

(3) Не помогает уже, инструкции устарели похоже именно под Rutoken 2.0.
Также логинился под учеткой службы Apache (под которой публиковал файловую базу), ключ Rutoken 2.0 в упор не видит при проверке ЭЦП из 1С, да и сам КриптоПро тоже выдает ошибку (код уже не помню). У учетки службы Apache админские права.
Попросил админа запустить службу Apache не при входе по rdp, а как при локальном входе на сервер из командной строки (сессия 0). Сразу и ключи заработали, подписание заработало.
(2) Radmin вроде тоже 0 сессию использует, поэтому ключи и видно.

(0) Если вдруг найдете другой выход - отпишитесь плз в теме, вопрос актуальный и ответа в просторах интернета я не нашел.

(0) К гадалке не ходи, не хватает прав у 1С на доступ к СКЗИ.
Вангую Линукс на виртуалке и его группы доступа. Скорее всего надо включить юзера 1С в какую то группу потому что линуксу плевать на админские права как например с теми же ком-портами. Помучай админа этим.

(5)

спасибо за отклик, обязательно!

(6)

спасибо за отклик!

запуск приложения в "пользовательском" и "фоновом" режиме на уровне ОС вероятно различаются,
помножим данных фактор на виртуалку
=
это хорошая мысль, передал админу, спасибо!

меня одного заебало это "спасибо за отклик"?
http://vasya-lozhkin.ru/upload/iblock/47d/47d1fe8c038d93d027ba784b894ab58f.jpg

(0) экспортируйте ключ и поставьте закрытую часть на сервер в реестр, тогда будет на сервере подписывать. Для пользователя (под кем сервер 1с запускается) или в область компьютер, уже не помню, может в обоих случаях будет работать или нет.

(8) +1 Непонятно, с человеками разговариваешь или ботами.

(9) экспортируйте ключ
ну-ну. :)))
У автора Рутокен 2.0, и он об этом сразу в (0) сказал, читай внимательнее сабж.
Так вот, если ты поделишься сакраментальным знанием, как можно экспортировать ключ из рутокен 2.0, то вся страна тебе будет аплодировать стоя. А а если не поделишься - то не болтай.. ерундой..

(8) +100500

(0) "недействительный ключ" обычно такое сообщение когда не прослеживается цепочка сертификатов.
Возможно, у тебя на сервере не установлены корневые сертификаты.
Попробуй установи в "Доверенные корневые центры сертификации" корневой сертификат Минцифры
причем установи в хранилище локального компьютера (хотя я еще и в хранилище текущего пользователя тоже устанавливаю).
Хуже от этого точно не будет.
Корневой сертификат минцифры можно взять много где, да вот хоть навскидку первая попавшаяся ссылка, у СБИС:
https://saby-sbis.ru/elektronnaya-tsifrovaya-podpis/besplatnaya-podpis/skachivaniye-sertifikatov-mintsifry-rossii-uts-fns-rossii

(11) при чем тут носитель, экспортируемость зависит от настройки при генерации. Точно сказать какой ключ можно только посмотрев «Панель управления Рутокен» - вкладка «Сертификаты»

(13) Они фактически на сервер зашли под юзером от которого сервер 1С стартует
Имхо рутокен 2.0 и проблема в (5)

(14) да-да-да, и ему, конечно же, ФНС персонально при генерации поставила галочку "экспортируемый". Вот всей стране не ставит, а ему персонально поставила. :)
И не надо предполагать, что именно это ЭЦП им генерировали не в ФНС, а в коммерческом УЦ, и оно не на директора, а на сотрудника, у которого еще и МЧД. Потому что разговора про МЧД в сабже не было.
Но даже если так, то и в коммерческом УЦ мало кто ставит при генерации галочку "экспортируемый.
Видишь, сколько условий для того, чтобы чудом! ключ на рутокене 2.0 был вдруг экспортируемым?

(14) а носитель при том, что я могу, умею и регулярно делаю экспорт неэкспортируемых ключей с рутокена S или рутокена lite. И пофиг мне на настройки при генерации.
А вот с рутокена 2.0 - нет, не могу.
Так что носитель очень даже причем.

(13) (15)

спасибо за отклик!

написал админу - проверит сертификаты ещё раз,
но похоже там плюс-минус нормально тк подписывается же как-то на клиенте (пользователь этот же)

мне всё больше кажется что проблема на уровне ОС и виртуалки (права, группы и тп)

если удастся решить, обязательно напишу как сделали :)

Я конечно дико извиняюсь, а на сервере у вас установлен серверный крипто-про? По идее на сервер обычный крипто-про и ставиться то не должен, но, может, ваш админ что-то подшаманил.

(19)

извиняться не за что, спасибо что пишите:

- админ сейчас в небольшом отпуске, поэтому подвисло;
- в версиях криптопровайдера не силен, но похоже установлена "демонстрационная";
- а там и графа "организация" есть и она пустая = может из-за этого?
- н-р, отлавливают как-то автоматические серверные вызовы
(или по организации ключ как-то сопоставляют) и блокируют;

(20) 5.0.12000 нет, вроде бы так не умеет.
А вот начиная с 12500 или 12600 не скажу точно,  крипто про стучится сам к себе на свой сайт и проверяет ключик на валидность.
По крайней мере 12000 съедает ключ "из интернета" и работает себе спокойно, а вот 12500  (или 12600 не помню точно) уже сразу мгновенно дает отлуп типа этот ключик у вас того... не фальшивый, а декоративный. :))

(21)

пока склоняюсь к такой оценке:

-20% - настройки на уровне ОС / виртуалки;
-80% - лицензия на "фоновые" подключения КриптоПро нужна;

админ приедет - будем разбираться - напишу о результате

ещё раз спасибо за отклик ;)

а воз и ныне там:

- убрали виртуалку, поставили на отдельной машине с windows server 2008 r2;
- платформу попробовали 8.3.25;
- КриптоПро серверный;

=
всё та же ошибка..

- в тесте весь софт ломанный - может это как то повлиять?
- windows server 2008 r2 может быть виновна?
- этой ошибке толком нет нигде в интернете - возможно надо обратиться к создателям платформы на закрытый форум 1с?

(23)
>- этой ошибке толком нет нигде в интернете - возможно надо обратиться к создателям платформы на закрытый форум 1с?
Платформа вроде непричем, если залогиниться по rdp на сервер, то в КриптоПро ключ вроде как не виден. Разве нет?
Нужно на форум КриптоПро или Rutoken писать

(24)

- по radmin заходим = всё доступно;
- с клиента подписывает, а с сервера - нет (один и тот же пользователь/компьютер);
- на форум КриптоПро писал админ - ответ примерно такой же как и у Вас ( https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=23279&find=unread )
- а я и не утверждаю вину платформы - просто эту ошибки написали скорее всего разработчики платформы, вот от них бы и узнать на что ругается и куда копать;

что было дальше:

- на каком-то уровне (вероятно ОС) у нас проблема со взаимодействием с токеном;
- обратились в Тензор и они за небольшую денюжку перевыпустили нам сертификат как файл;
- с файлом никаких проблем в настройке не возникло;

проблема решена.