Устройство чтения смарт карт microsoft usbccid wudf что это
Устанвока рутокен
Сообщений 11
#1 Тема от joystik 2015-11-09 17:50:11
Устанвока рутокен
Добрый день!
Возникла следующая проблема. При замене компьютера у бухгалтера, новый компьютер частично не видит Рутокен.
Что значит «частично»?
При подключении Рутокена к USB-порту диод на нем не загорается.
Windows видит новое оборудование Rutoken Lite и пытается найти драйверы.
Драйверы перед подключением Рутокена успешно установлены, и переустановлены.
В результате Windows устанавливает Рутокен как «Устройство чтения смарт-карт Windows Usbccid (WUDF)».
В Панели управления рутокен не отображается, в Крипто Про его так же не видно.
На старом компьютере Рутокен работает отлично, и диод загорается мгновенно при подключении.
Неисправность оборудования нового компьютера исключена так как:
1) Он отлично воспринимает внешние накопители и жесткие диски.
2) Прекрасно воспринимает Etoken
3) На абсолютно такой же конфигурации другой такой же новый компьютер Рутокен так же не видит.
#2 Ответ от Антон Тихиенко 2015-11-10 11:47:32
Re: Устанвока рутокен
То, что электронный идентификатор Рутокен Lite обнаруживается ОС как «Устройство чтения смарт-карт Windows Usbccid (WUDF)» совершенно нормально.
Чтобы попытаться локализовать вероятные причины «отсутствия» данного идентификатора в интерфейсе утилиты Панель управления Рутокен, нужны дополнительные данные, а именно:
Скриншоты утилиты Панель управления Рутокен (Пуск\Панель управления\Панель управления Рутокен\вкладка «Сертификаты», вкладка «Настройки» и вкладка «О программе») для проблемного компьютера.
Скриншот диспетчера устройств Windows данного компьютера с раскрытой веткой «Устройства чтения смарт-карт».
Скриншот вкладки «Общие», диалогового окна со свойствами устройства «Устройство чтения смарт-карт Windows Usbccid (WUDF)».
Выложите указанные скриншоты на файлообменнике и укажите ссылку на них.
#3 Ответ от joystik 2015-11-10 14:21:29
Re: Устанвока рутокен
То, что электронный идентификатор Рутокен Lite обнаруживается ОС как «Устройство чтения смарт-карт Windows Usbccid (WUDF)» совершенно нормально.
Чтобы попытаться локализовать вероятные причины «отсутствия» данного идентификатора в интерфейсе утилиты Панель управления Рутокен, нужны дополнительные данные, а именно:
Скриншоты утилиты Панель управления Рутокен (Пуск\Панель управления\Панель управления Рутокен\вкладка «Сертификаты», вкладка «Настройки» и вкладка «О программе») для проблемного компьютера.
Скриншот диспетчера устройств Windows данного компьютера с раскрытой веткой «Устройства чтения смарт-карт».
Скриншот вкладки «Общие», диалогового окна со свойствами устройства «Устройство чтения смарт-карт Windows Usbccid (WUDF)».
Выложите указанные скриншоты на файлообменнике и укажите ссылку на них.
Устройство чтения смарт карт microsoft usbccid wudf что это
Добрый день! Уважаемые читатели и подписчики IT блога Pyatilistnik.org. Последние два дня у меня была интересная задача по поиску решения на вот такую ситуацию, есть физический или виртуальный сервер, на нем установлена наверняка многим известная КриптоПРО. На сервер подключен USB ключ JaCarta, который используется для подписи документов для ВТБ24 ДБО. Локально на Windows 10 все работает, а вот на серверной платформе Windows Server 2016 и 2012 R2, Криптопро не видит ключ JaCarta. Давайте разбираться в чем проблема и как ее поправить.
Описание окружения
Есть виртуальная машина на Vmware ESXi 6.5, в качестве операционной системы установлена Windows Server 2012 R2. На сервере стоит КриптоПРО 4.0.9944, последней версии на текущий момент. С сетевого USB хаба, по технологии USB over ip, подключен ключ JaCarta. Ключ в системе видится, а вот в КриптоПРО нет.
Алгоритм решения проблем с JaCarta
КриптоПРО очень часто вызывает различные ошибки в Windows, простой пример (Windows installer service could not be accessed). Вот так вот выглядит ситуация, когда утилита КриптоПРО не видит сертификат в контейнере.
Как видно в утилите UTN Manager ключ подключен, он видится в системе в смарт картах в виде Microsoft Usbccid (WUDF) устройства, но вот CryptoPRO, этот контейнер не определяет и у вас нет возможности установить сертификат. Локально токен подключали, все было то же самое. Стали думать что сделать.
Возможные причины с определением контейнера
Как решить проблему, что криптопро не видит USB ключ?
Создали новую виртуальную машину и стали ставить софт все последовательно.
Установка единого клиента JaCarta PKI
Далее полученный архив вы распаковываете и запускаете установочный файл, под свою архитектуру Windows, у меня это 64-х битная. Приступаем к установке Jacarta драйвера. Единый клиент Jacarta, ставится очень просто (НАПОМИНАЮ ваш токен в момент инсталляции, должен быть отключен). На первом окне мастера установки, просто нажимаем далее.
Принимаем лицензионное соглашение и нажимаем «Далее»
Чтобы драйвера токенов JaCarta у вас работали корректно, достаточно выполнить стандартную установку.
Если выберете «Выборочную установку», то обязательно установите галки:
Далее нажимаем «Установить».
Через пару секунд, Единый клиент Jacarta, успешно установлен.
Обязательно произведите перезагрузку сервера или компьютера, чтобы система увидела свежие драйвера.
Установка КриптоПРО
После установки JaCarta PKI, нужно установить КриптоПРО, для этого заходите на официальный сайт.
На текущий момент самая последняя версия КриптоПро CSP 4.0.9944. Запускаем установщик, оставляем галку «Установить корневые сертификаты» и нажимаем «Установить (Рекомендуется)»
Инсталляция КриптоПРО будет выполнена в фоновом режиме, после которой вы увидите предложение, о перезагрузке браузера, но я вам советую полностью перезагрузиться.
После перезагрузки подключайте ваш USB токен JaCarta. У меня подключение идет по сети, с устройства DIGI, через клиента Anywhere View. В клиенте Anywhere View, мой USB носитель Jacarta, успешно определен, но как Microsoft Usbccid (WUDF), а в идеале должен определиться как JaCarta Usbccid Smartcard, но нужно в любом случае проверить, так как все может работать и так.
Открыв утилиту «Единый клиент Jacarta PKI», подключенного токена обнаружено не было, значит, что-то с драйверами.
Откройте диспетчер устройств Windows, найдите пункт «Считыватели устройств смарт-карт (Smart card readers)» щелкните по Microsoft Usbccid (WUDF) и выберите пункт «Свойства». Перейдите на вкладку «Драйвера» и нажмите удалить (Uninstall)
Согласитесь с удалением драйвера Microsoft Usbccid (WUDF).
Вас уведомят, что для вступления изменений в силу, необходима перезагрузка системы, обязательно соглашаемся.
После перезагрузки системы, вы можете увидеть установку устройства и драйверов ARDS Jacarta.
Откройте диспетчер устройств, вы должны увидеть, что теперь ваше устройство определено, как JaCarta Usbccid Smartcar и если зайти в его свойства, то вы увидите, что смарт карта jacarta, теперь использует драйвер версии 6.1.7601 от ALADDIN R.D.ZAO, так и должно быть.
Если открыть единый клиент Jacarta, то вы увидите свою электронную подпись, это означает, что смарт карта нормально определилась.
Открываем CryptoPRO, и видим, что криптопро не видит сертификат в контейнере, хотя все драйвера определились как нужно. Есть еще одна фишка.
ОБЯЗАТЕЛЬНО снимите галку «Не использовать устаревшие cipher suite-ы» и перезагрузитесь.
После этих манипуляций у меня КриптоПРО увидел сертификат и смарт карта jacarta стала рабочей, можно подписывать документы.
Еще можете в устройствах и принтерах, увидеть ваше устройство JaCarta,
Если у вас как и у меня, токен jacarta установлен в виртуальной машине, то вам придется устанавливать сертификат, через console виртуальной машины, и так же дать на нее права ответственному человеку. Если это физический сервер, то там придется давать права на порт управления, в котором так же есть виртуальная консоль.
Не возможно подключиться к службе управления смарт-картами
Когда вы установили все драйвера для токенов Jacarta, вы можете увидеть при подключении по RDP и открытии утилиты «Единый клиент Jacarta PKI» вот такое сообщение с ошибкой:
Как исправить ошибку «Не возможно подключиться к службе управления смарт-картами».
Вот такой вот был траблшутинг по настройке токена Jacarta, КриптоПРО на терминальном сервере, для подписи документов в ВТБ24 ДБО. Если есть замечания или поправки, то пишите их в комментариях.
Извлечение ключа из токена с неизвлекаемым ключом
Довольно часто при оформлении сертификатов ключей электронной подписи можно наблюдать навязчивый пиар токенов с неизвлекаемым ключом. Продавцы из удостоверяющих центров уверяют, что, купив у них СКЗИ КриптоПРО CSP и токен с неизвлекаемым ключом (Рутокен ЭЦП или JaCarta ГОСТ), мы получим сертифицированные СКЗИ, обеспечивающие 100%-ную защиту от кражи ключей с токена. Но так ли это на самом деле? Для ответа на этот вопрос проведем простой эксперимент…
Конфигурация тестового стенда
Методика тестирования
Проведение тестирования
Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.
Матчасть
То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется функциональным ключевым носителем (ФКН) (доп. инфо).
Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.
Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).
Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.
По-новому взглянем на наш тестовый стенд
В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:
В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.
Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.
Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.
Как сделать, чтобы все было хорошо?
Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:
1. Купить специальную версию библиотеки СКЗИ:
— для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP.
— для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.
2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.
Получается, что Рутокен ЭЦП и JaCarta ГОСТ не являются токенами с неизвлекаемым ключом?
Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть КриптоАРМ Стандарт 5 Плюс. Он это умеет. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.
Устройство чтения смарт карт microsoft usbccid wudf что это
Возможно, эта информация будет интересна
При увеличении этого количества некоторые смарт-карты или токены могут стать недоступными для использования, до тех пор, пока количество считывателей не будет уменьшено до допустимого.
Если общее количество подключенных устройств для чтения смарт-карт (не только Рутокен), включая виртуальные считыватели, даже если к ним не подключены физические смарт-карты, достигает 10 или более, п ри запуске Панели управления Рутокен отображается сообщение: «Количество подключенных считывателей смарт-карт достигло предельного значения. Некоторые токены или смарт-карты могут оказаться недоступными».
Проверить текущее количество устройств в системе можно в Диспетчере устройств, в разделе Устройства чтения смарт-карт.
Устройства в данном разделе могут быть как реальными (смарт-карты и токены, подключенные в текущий момент к компьютеру), так и виртуальными (созданные при установке драйверов).
Для того чтобы решить проблему с превышением количества устройств чтения смарт-карт, необходимо определить: токены и смарт-карты каких производителей и моделей имеются у вас в наличии.
После чего можно будет определить какие устройства можно удалить из «Диспетчера устройств» для уменьшения общего количества устройств чтения смарт-карт.
Определить модель имеющегося Рутокена можно воспользовавшись этой инструкцией.
Классификация устройств чтения смарт-карт, которые могут отображаться в Диспетчере устройств:
Для работоспособности данного ключа количество устройств Aktiv Co. IFD Handler в Диспетчере устройств должно быть равно количеству ключевых идентификаторов Рутокен S, которые необходимо одновременно подключить к компьютеру (не более 5).
Уменьшить количество Aktiv Co. IFD Handler можно через Панель управления Рутокен, на вкладке Настройки:
*может потребоваться перезагрузка компьютера
Виртуальные считыватели, созданные при установке драйверов сторонних производителей, можно удалить вручную в Диспетчере устройств или удалив само ПО, если использование данных токенов или смарт-карт больше не планируется.
PROИТ
Office 365, AD, Active Directory, Sharepoint, C#, Powershell. Технические статьи и заметки.
Ошибка! Не удается открыть Infocrypt HWDSSL Device на токене Сбербанк бизнес онлайн
Причины могут быть следующие
1. Драйвер ключа не установлен
2. Драйвер установлен неправильно или устарел
3. Пользователь не администратор на своем ПК
4. К токену обратились из удаленной сессии (RDP)
5. В ПК вставлено более одного ключа
1) Драйвер ключа не установлен
В первом случае необходимо установить (переустановить) драйвер USB Smart Card reader, который можно скачать с сайта Microsoft. Это вариант для старых систем (старше Windows 7).
Естественно качаем только с официального сайта Microsoft, т.к. с финансами лучше не шутить и не ставить драйвера из неизвестных источников.
Драйвер для 32х разрядных систем скачиваем здесь:
catalog.update.microsoft.com/v7/site/ScopedViewRedirect.aspx?updateid=8e217a56-9ed7-456b-aee8-674c5c7bcdbe
Подходит для систем Windows 2000, Windows Server 2003, Windows XP.
Драйвер для 64х разрядных систем скачиваем здесь:
catalog.update.microsoft.com/v7/site/ScopedViewRedirect.aspx?updateid=3ff74bee-95dd-4e20-a16e-98523615eb02
Подходит для 64-разрядной операционной системы Windows XP 64-Bit Edition версии 2003 и Windows Server 2003.
Драйвера от 2006 года (01.08.2006), но новее нет, т.к. на системах Window 7, Windows 8, Windows 10 драйвер не требуется.
2) Драйвер установлен неправильно или устарел
В данном случае можно провести процедуру обновления драйвера. Для этого перейдите в менеджер устройств (Device Manager), найдите драйвер USBccid Smartcard Reader, и в окне свойств нажмите кнопку «Обновить драйвер» (Update Driver).
3) Пользователь не администратор на своем ПК
Если же драйвер установлен, но ошибка появляется, проблема может заключаться в том, что пользователь не администратор своей машины. У нас такая ошибка появилась после того, как профиль пользователя в системе был мигрирован из доменной учетной записи в локальную.
Проблема решилась заходом в систему под учетной записью администратора и запуском токена. После этого ошибка под пользователем исчезла.
5) В ПК вставлено более одного ключа
Если в машину было вставлено несколько токенов, то работать будет только один (на период одной сессии). Это случай также вызывает еще одну ошибку, если запустить второй ключ, когда другой уже был запущен:
«При выполнении операции произошла ошибка. Неизвестный идентификатор сессии»
27 комментариев :
1. а на другом ПК пробовали? Ключ работает? (вдруг просто токен поврежден?)
2. большая вероятность, что это глюк после очередного обновления.
Посмотрите эту статью, может поможет:
Восклицательный знак появляется рядом с в диспетчере устройств чтения смарт-карт после запуска Windows 7 или Windows Server 2008 R2: https://support.microsoft.com/ru-ru/kb/978977
Спасибо Добрый человек! Долго бился с проблемой восклицательного знака после перезагрузки или обновы токена, действительно в службах поставил автомат и знак перестал доставать
Мне помогло следующее, задействовал смарт карт из диспетчера устройств.
Каким-то боком слетел драйвер во время работы. Помог первый же совет, благодарю!
Может проблема банально в USB-порте (физически плохой контакт или может используете длинный USB-удлинитель, который тоже может вызывать проблемы или что-то похожее)?
Ага, не сразу заметил это:
Также мы пытались запускать токен на удаленной машине по RDP, когда сам токен на клиенте (параметры передачи девайсов на удаленку (в том числе смарт-карты) были включены), но также не удалось это сделать.
Да, жаль, уж очень защищают они свой ключ. Тоже давно хотим настроить такой вариант работы.
такой вариант работает с токеном infocrypt HWDSSL, токен включен локально, запускается на удаленной рдп сессии, в параметрах рдп проброс смарт карт, портов, и того диска который определился локально.
так же работает если пробросить на удаленный хост токен с помощью usb redirector и потом цепляться к хосту по vnc (по рдп в этом случае уже не работает токен видится но при попытке запустить программу пишет ошибку)
Восклицательный знак (!) появляется рядом с в диспетчере устройств чтения смарт-карт после запуска Windows 10 и при start ошибка, указанная автором статьи. Служба поддержки СБ не смогла помочь.
А на другом ПК (другой системе) пробовали? Ключ работает? (вдруг просто токен поврежден?)
Здравствуйте и спасибо за советы, все они по делу.
Однако у меня ситуация более экзотическая: На Macbook стоит Windows 8.1 через стандартный Boot Camp, около года USB VPN-KEY-TLS от сбера работал стабильно, а в последнее время стал все чаще и чаще вылетать. Через 5 минут после инициализации просто «пропадает» из устройств иногда девайс пропадает, а диск остается, иногда пропадают вместе, драйвера отдельно на 8.1 переустановить нет возможности, подскажите пожалуйста что делать?
Да, USB токен на старом компьютере с Windows 7 работает стабильно и не вылетает, дело не в нем, но все таки хочется заставить его работать и на более новом macbook
Я бы вместо 8.1 установила бы Windows 10, проверено, токен на ней работает, да и система поудобнее, чем 8.
Та же беда случилась. Появился восклицательный знак на Win7, без обновлений системы, без ничего, просто перестал работать. Решил удалить устройство и попробовать дать системе снова самой все найти и поставить но нет, теперь висит HWDSSL DEVICE в неизвестных, и ничего не дает поставить, никакие драйвера не встают, пишет либо «файл занят другим приложением», либо «файл занят». Сам токен рабочий, на соседней машинке без проблем работает.
Может проблема с портом? Если ничего не делали, а работать перестало, то возможно проблема в железе («сбойнул» порт).
Добрый день! Беда та же, несколько лет читала смарт-карты, а после очередной автомат. загрузки Windous 10,перестала читать. Самое время?! Перечислять НДФЛ. и все прочее. Помогите,с чего начать
Проверьте сначала ключ на другом ПК, чтобы исключить вариант сломавшегося ключа.
1. Токен Сбера в рабочей машине бухгалтера, Бухгалтер посредством RDP подключается со своего домашнего компьютера.
I) Если на домашнюю машину бухгалтера установить Токен и даже если он видит Смарт-кард-ридер и CD от токена, то система не работает. Да, запускается проброшенный start.exe но система выдает ошибку HWDSSL DEVICE (проверяли с разных машин и ноутбуков). Даже если бы этот вариант работал, он нам не подходит, так как нам нельзя просто так отдавать банковский ключи сотрудникам на дом.
II) Если на Рабочем компе оставить Токен, то подключение по RDP не видит PIN коды (если только пользователь не зашел консольно или через подобие teamviever и не запустил start.exe вручную) а потом зашел через RDP. Но этот вариант нам тоже не подходит. Про системе ИБ мы не может оставлять токены в компьютерах в нерабочее время, выходные или без присмотра сотрудника на рабочем месте. Либо кто-то довереный должен это делать вручную и опять же кто-то должен или логинится, запускать из консоли start.exe или удаленно через teamviever это делать, но использовать что-то кроме VPN RDP нам запрещено.
III) Вариант который был реализован и нам подходит с точки зрения ИБ и который рабочий в настоящий момент. Токен находится в серверной, закрытой стойке на физическом сервере. Далее с помощью USB Redirector мы пробрасываем на Рабочий Бухгалтерский компьютер USB Токен сбербанка, при этом происходит автоматическое подключение токена при загрузки компьютера бухгалтера с помощью USB redirector. До этого Все файлы с CD Токена были скопированы на Диск C: в папкуб напрмиер Sber и была создана задача которая под системой запускает после загрузки компьютера Start.exe.
Получаем после загрузки компьютера автоматически подмонтируется USB токен с удаленного сервера к необходимой бухгалтерской машине, затем запускается start.exe при загрузке компьютера с помощью задачи. Когда бухгалтер подключается по терминал сессии из дома и подключается к Сбер банк Бизнесс Он-Лайн или Сбер Бизнес, то системапрекрасно видит Токен, система видит PIN и вся система в целом работает. Так делается на всех необходимых компьютерах бухгалтерии.