Настройка поставщика услуг шифрования

Настройка поставщика услуг шифрования

Настройка поставщика услуг шифрования с помощью интерфейса Windows

Чтобы открыть консоль конфигурации клиента NAP, нажмите кнопку Пуск, выберите Выполнить, введите NAPCLCFG.MSC, а затем нажмите кнопку ОК.

Откройте Параметры регистрации работоспособности, а затем — Политика запросов.

Щелкните Поставщик служб шифрования правой кнопкой мыши и в контекстном меню выберите пункт Свойства.

В диалоговом окне Свойства: Поставщик служб шифрования щелкните Указанный, а затем выберите требуемого поставщика службы шифрования.

Дополнительная информация

• Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена». При этом по соображениям безопасности рекомендуется использовать команду Запуск от имени.

При настройке параметров политики запросов на клиентских компьютерах следует настроить идентичные параметры политики запросов на серверах HRA. Серверы HRA, не настроенные на использование точно тех же, что и у клиентских компьютеров, алгоритма с асимметричным ключом, хеш-алгоритма и поставщика услуг шифрования, не смогут взаимодействовать с клиентами. Клиентские компьютеры должны быть определены как несовместимые и иметь ограниченное сетевое подключение.

Настройка поставщика услуг шифрования в командной строке

Чтобы открыть командную строку, нажмите кнопку Пуск, последовательно выберите пункты Все программы, Стандартные и Командная строка.

Введите следующую строку для получения списка поставщиков услуг шифрования, поддерживаемых клиентским компьютером: netsh nap client show csps

Введите: netsh nap client set csp name = keylength =

Следующая таблица поможет заполнить подстановочные поля команды Netsh.

Любой доступный поставщик услуг шифрования.

Имя поставщика услуг шифрования, используемого для шифрования данных при связи клиентского компьютера и HRA-сервера.

Любое целое. (Необязательно)

Указывает длину асимметричного ключа. По умолчанию — 2048.

Дополнительная информация

• Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена». При этом по соображениям безопасности рекомендуется использовать команду Запуск от имени.

При настройке параметров политики запросов на клиентских компьютерах следует настроить идентичные параметры политики запросов на серверах HRA. Серверы HRA, не настроенные на использование точно тех же, что и у клиентских компьютеров, алгоритма с асимметричным ключом, хэш-алгоритма и поставщика услуг шифрования, не смогут взаимодействовать с клиентами. Клиентские компьютеры должны быть определены как несовместимые и иметь ограниченное сетевое подключение.

Типы поставщиков служб шифрования

Поле шифрования велико и растет. Существует множество разных стандартных форматов данных и протоколов. Обычно они упорядочены по группам или семействам, каждый из которых имеет собственный набор форматов данных и способ выполнения действий. Даже если два семейства используют один и тот же алгоритм (например, блочный шифрRC2), они часто используют разные схемы заполнения , разные длины ключейи различные режимы по умолчанию. Интерфейс CryptoAPI разработан таким образом, что тип поставщика CSP представляет конкретное семейство.

Когда приложение подключается к CSP определенного типа, каждая из функций CryptoAPI по умолчанию будет работать так, как это было определено семейством, которое соответствует этому типу CSP. Выбор типа поставщика для приложения определяет следующие элементы:

Подстановочное поле	Возможные значения	Описание

Элемент	Описание
Алгоритм обмена ключами	Каждый тип поставщика указывает один и только один алгоритм обмена ключами. Каждый CSP определенного типа должен реализовывать этот алгоритм. Приложения указывают используемый алгоритм обмена ключами, выбрав CSP соответствующего типа поставщика.
Алгоритм цифровых подписей	Каждый тип поставщика указывает один и только один алгоритм цифровой подписи. Каждый CSP определенного типа должен реализовывать этот алгоритм. Приложения определяют алгоритм цифровой подписи, который будет использоваться, выбрав CSP соответствующего типа поставщика.
Форматы больших двоичных объектов ключей	Тип предоставления определяет формат большого двоичного объекта ключа , используемого для экспорта ключей из CSP и для импорта ключей в CSP.
Формат цифровой подписи	Тип поставщика определяет формат цифровой подписи. Это гарантирует, что подпись, созданная CSP данного типа поставщика, может быть проверена любым CSP того же типа поставщика.
Схема формирования ключей сеанса	Тип поставщика определяет метод, используемый для наследования ключа сеанса из хэша.
Длина ключа	Некоторые типы поставщиков определяют длину пар открытого и закрытого ключей и ключей сеанса.
Режимы по умолчанию	Тип поставщика часто определяет режимы по умолчанию для различных параметров, таких как режим шифрования блочных шифрование или метод заполнения блочного шифрования.

Некоторые расширенные приложения могут одновременно подключаться к нескольким CSP, но большинство приложений обычно используют только один CSP.

В настоящее время существует несколько предопределенных типов поставщиков. Следующие разделы содержат сведения о следующих типах поставщиков:

Хотя некоторые типы CSP могут быть частично совместимы с другими, два или более приложения, которым требуется Обмен ключами и зашифрованными сообщениями, должны использовать CSP одного типа.

Пользовательский модуль записи CSP может определять новый тип поставщика. Однако модуль записи CSP затем отвечает за распространение нового типа поставщика авторами любых приложений, которые используют его. Сведения о написании пользовательских CSP см. в разделе поставщики служб шифрования.

Чтобы устранить ошибку поставщика службы криптографии в Windows 10 / 8 / 7

Иногда, когда мы пытаемся поместить цифровую подпись в файл PDF с помощью специально разработанного программного обеспечения, появляется сообщение об ошибке с одним из следующих описаний:

Поставщик криптографических услуг Windows сообщил об ошибке. Указан неверный тип поставщика, неверная подпись, нарушение безопасности, код 2148073504 или набор отсутствующих ключей.

В большинстве случаев проблема вызвана устаревшими сертификатами или поврежденными настройками реестра. Итак, первое, что вы хотите сделать, это сбросить или заново создать профиль пользователя в домене, чтобы проверить результат.

Поставщик услуг криптографии сообщил об ошибке

Обновление за апрель 2021 года:

Теперь мы рекомендуем использовать этот инструмент для вашей ошибки. Кроме того, этот инструмент исправляет распространенные компьютерные ошибки, защищает вас от потери файлов, вредоносных программ, сбоев оборудования и оптимизирует ваш компьютер для максимальной производительности. Вы можете быстро исправить проблемы с вашим ПК и предотвратить появление других программ с этим программным обеспечением:

• Шаг 1: Скачать PC Repair & Optimizer Tool (Windows 10, 8, 7, XP, Vista — Microsoft Gold Certified).
• Шаг 2: Нажмите «Начать сканирование”, Чтобы найти проблемы реестра Windows, которые могут вызывать проблемы с ПК.
• Шаг 3: Нажмите «Починить все», Чтобы исправить все проблемы.

(1) Согласно Microsoft, поставщик услуг криптографии (CSP) содержит криптографические стандарты и реализации алгоритмов. CSP состоит как минимум из одной библиотеки Dynamic Link (DLL), которая реализует функции в CryptoSPI (интерфейс системной программы). Провайдеры реализуют криптографические алгоритмы, генерируют ключи, обеспечивают память ключей и аутентифицируют пользователей.

Если вы столкнулись с ошибками, вот несколько вещей, которые вы можете попробовать:

1] Запустите services.msc и перезапустите криптографическую службу Windows.

2] Откройте Internet Explorer> Сервис> Свойства обозревателя. Выберите вкладку Content и нажмите Certificates. Проверьте, есть ли сертификат на ошибки, выдаваемые программой или поставщиком. Если он отсутствует, необходимо создать новый. Когда он истечет, удалите его и создайте новый. Если конкретный сертификат не работает, выберите другой сертификат и удалите старые сертификаты.

5] Переустановите весь список сертификатов пользователя и сертификаты.

6] Если вы установили клиентский инструмент аутентификации SafeNet в своей системе, откройте приложение, перейдя в его каталог установки или щелкнув правой кнопкой мыши значок SafeNet на панели задач и выбрав в меню «Инструменты».

Щелкните значок «Шестерня», чтобы открыть область «Расширенный вид». В расширенном представлении разверните область токена и перейдите к сертификату, который вы хотите использовать для подписи. Вы можете найти их в группе Сертификаты пользователей.

Щелкните правой кнопкой мыши свой сертификат и выберите «Установить как CSP» в раскрывающемся меню. Повторите тот же шаг для всех сертификатов, которые вы используете.

Закройте SafeNet Client Tools Authentication и попробуйте снова подписать документы.

7] Повторно создайте папку локального хранилища криптографии Microsoft. Перейдите в папку C: ProgramDataMicrosoftCryptoRSA, Переименуйте папку в S-1-5-18. Перезагрузите систему и посмотрите, поможет ли это.

8] Если у вас есть установил программное обеспечение ePass2003Причиной проблемы может быть электронный токен ePass2003. Рекомендуется сначала удалить и переустановить его. Для этого перейдите в раздел «Настройки инструмента», перейдите к приложениям и функциям и удалите его, как любое другое приложение.

Перезагрузите компьютер и переустановите ePass2003, При переустановке обязательно выберите MicroSoft CSP, если вы выбрали опцию CSP. Все должно нормализоваться, и ошибка поставщика услуг шифрования Windows больше не должна возникать.

С наилучшими пожеланиями!

Продвинутая литература: Службы Windows не запускаются.

Архитектура интерфейса поставщика поддержки безопасности Security Support Provider Interface Architecture

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

В этом справочном разделе по ИТ-специалисту описываются протоколы проверки подлинности Windows, которые используются в архитектуре интерфейса поставщика поддержки безопасности (SSPI). This reference topic for the IT professional describes the Windows authentication protocols that are used within the Security Support Provider Interface (SSPI) architecture.

В качестве основы для проверки подлинности Windows используется интерфейс SSPI (Майкрософт). The Microsoft Security Support Provider Interface (SSPI) is the foundation for Windows authentication. Приложения и службы инфраструктуры, требующие проверки подлинности, используют SSPI, чтобы предоставить его. Applications and infrastructure services that require authentication use SSPI to provide it.

SSPI — это реализация универсального API службы безопасности (GSSAPI) в операционных системах Windows Server. SSPI is the implementation of the Generic Security Service API (GSSAPI) in Windows Server operating systems. Дополнительные сведения о GSSAPI см. в документе RFC 2743 и RFC 2744 в базе данных IETF RFC. For more information about GSSAPI, see RFC 2743 and RFC 2744 in the IETF RFC Database.

Поставщики услуг обеспечения безопасности по умолчанию (SSP), которые вызывают определенные протоколы проверки подлинности в Windows, включены в SSPI как библиотеки DLL. The default Security Support Providers (SSPs) that invoke specific authentication protocols in Windows are incorporated into the SSPI as DLLs. Эти SSP по умолчанию описаны в следующих разделах. These default SSPs are described in the following sections. Дополнительные SSP можно включать, если они могут работать с SSPI. Additional SSPs can be incorporated if they can operate with the SSPI.

Как показано на следующем рисунке, SSPI в Windows предоставляет механизм, который передает маркеры проверки подлинности по существующему каналу связи между клиентским компьютером и сервером. As shown in the following image, the SSPI in Windows provides a mechanism that carries authentication tokens over the existing communication channel between the client computer and the server. Если необходимо проверить подлинность двух компьютеров или устройств, чтобы они могли безопасно обмениваться данными, запросы на проверку подлинности направляются на SSPI, что завершает процесс проверки подлинности, независимо от используемого в данный момент сетевого протокола. When two computers or devices need to be authenticated so that they can communicate securely, the requests for authentication are routed to the SSPI, which completes the authentication process, regardless of the network protocol currently in use. SSPI возвращает прозрачные большие двоичные объекты. The SSPI returns transparent binary large objects. Они передаются между приложениями, после чего они могут быть переданы на уровень SSPI. These are passed between the applications, at which point they can be passed to the SSPI layer. Таким образом, SSPI позволяет приложению использовать различные модели безопасности, доступные на компьютере или в сети, не изменяя интерфейс до системы безопасности. Thus, the SSPI enables an application to use various security models available on a computer or network without changing the interface to the security system.

В следующих разделах описываются SSP по умолчанию, взаимодействующие с SSPI. The following sections describe the default SSPs that interact with the SSPI. SSP используются различными способами в операционных системах Windows для повышения безопасности обмена данными в незащищенной сетевой среде. The SSPs are used in different ways in Windows operating systems to promote secure communication in an unsecure network environment.