Настройка JaCarta SecurLogon в Windows 10

Программно-аппаратный продукт JaCarta SecurLogon, входящий в состав Единого Клиента JaCarta, предназначен для замены привычной процедуры регистрации пользователей в Windows по имени и паролю на более защищённый вариант — аутентификацию с использованием смарт-карт и USB-ключей семейств eToken и JaCarta.

На данном примере рассмотрим настройку продукта, установленного на персональном компьютере под управлением операционной системы Windows 10 Корпоративная редакция (64-битная версия). Версия комплекта Единого Клиента JaCarta — 2.9.0.1531.

Перед началом процедуры настройки вам необходимо скачать и установить на своём компьютере программное обеспечение JaCarta SecurLogon, входящее в состав комплекта Единого Клиента JaCarta. Также необходимо иметь в наличии как минимум один экземпляр электронного USB-ключа или смарт-карты семейства eToken, либо JaCarta из перечня идентификаторов, поддерживаемых продуктом. Для работы с электронными ключами и смарт-картами eToken также понадобится установка на компьютере драйверов eToken, соответствующих операционной системе.

После того, как установка продукта и необходимых драйверов выполнены, приступаем непосредственно к настройке:

• Запустите приложение Единый Клиент JaCarta
• Откроется окно приветствия с предложением подключить к компьютеру USB-токен, либо вставить смарт-карту в считыватель

• В нашем примере мы используем USB-ключ eToken Pro 32K
• Подключив его к компьютеру, получаем следующее информационное окно

• Для продолжения работы переключаемся в режим администрирования
• Для перехода в данный режим необходимо нажать ссылку «Переключиться в режим администрирования», расположенную в левой нижней части окна Единого клиента JaCarta

• В режиме администрирования становятся доступны вкладки «Информация о токене», «PKI», «SecurLogon»
• На вкладке «Информация о токене» можем ознакомиться с краткой информацией об используемом электронном идентификаторе. Для вывода полной информации по нему необходимо нажать ссылку «Полная информация . «

• На вкладке «PKI» доступны служебные ссылки по работе с подключённым электронным идентификатором, обеспечивающие изменение его ПИН-кода и пароля администратора, форматирование памяти и т.д.
• Для продолжения работы переключаемся к следующей, необходимой нам, вкладке — «SecurLogon»

• Для работы с вкладкой «SecurLogon» пользователь должен входить в группу Администраторов, кроме того необходимо запустить приложение с повышением прав
• Для повышения прав приложения нажмите кнопку «Перезапустить», расположенную в правом нижнем углу окна программы

• После проведения вышеуказанных действий получаем окно следующего содержания
• Следующим шагом производим регистрацию программы, для чего требуется нажать ссылку «Установить», расположенную в строке «Статус»

• В открывшемся новом окне необходимо указать путь к регистрационному файлу SecurLogon, полученному от поставщика программного обеспечения, и нажать кнопку «Открыть»

• На этом все действия, предшествующие созданию профилей пользователей и записи их в память электронного идентификатора, можно считать законченными
• Для создания нового профиля пользователя нажмите на значок (+), расположенный в строке «Профили»

• В открывшемся окне программы необходимо указать имя пользователя, домен.
• В качестве пароля необходимо либо указать непосредственно пароль пользователя, либо воспользоваться генератором — для создания сложного пароля
• В поле PIN-код указываем текущий ПИН к токену и нажимаем кнопку «Создать»

• Созданный профиль будет помещён в память электронного идентификатора (токен или смарт-карта)
• На этом настройку JaCarta SecurLogon и создание профиля пользователя можно считать законченной

Если в процессе настройки JaCarta SecurLogon версии 2.9.0.1531 у вас возникли какие-либо вопросы, то можете задать их по электронной почте, либо по телефону, указанному на сайте. Скачать драйверы для электронных USB-ключей и смарт-карт JaCarta вы можете по этой ссылке.

Установка Единого клиента JaCarta в Windows 10

Электронные USB-ключи и контактные смарт-карты семейства JaCarta получили широкое распространение в качестве индивидуальных средств, обеспечивающих защищённый доступ к различным конфиденциальным информационным ресурсам.

Для обеспечения полноценной работы данных устройств на компьютере пользователя необходимо установить соответствующие драйверы и программное обеспечение JaCarta.

Данным примером предлагаем к ознакомлению процесс установки вышеперечисленного ПО из состава дистрибутива Единого клиента JaCarta и JaCarta SecurLogon версии 2.8.0.1402. Установку пакета будем производить на компьютер с предустановленной операционной системой Microsoft Windows 10 Корпоративная редакция, 64-битная версия.

Установка драйвера и ПО JaCarta на компьютер, функционирующий под управлением иных версий операционных систем семейства Microsoft Windows (из перечня поддерживаемых Единым клиентом), производится аналогичным образом.

• Закройте все открытые приложения
• От имени Администратора запустите на выполнение файл JaCartaUnifiedClient_2.8.0.1402_win-x64_ru-Ru.msi, входящий в состав дистрибутива
• В случае работы компьютера под управлением 32-битной ОС из состава поддерживаемых Единым клиентом JaCarta операционных систем, инсталляцию следует начинать с запуска файла JaCartaUnifiedClient_2.8.0.1402_win-x86_ru-Ru.msi

• В появившемся окне приветствия нажмите кнопку «Далее» для перехода к следующему окну процесса установки

• Ознакомьтесь с лицензионным соглашением на использование программного продукта. При согласии с его условиями отметьте пункт «Я принимаю условия лицензионного соглашения» и нажмите кнопку «Далее»
• В ином случае откажитесь от установки нажатием кнопки «Отмена»

• Переходим к выбору места и вида установки Единого клиента
• Кнопкой «Изменить» укажите место на диске, куда будет производиться установка, либо оставьте предложенный путь без изменений
• Укажите вид установки. При «Стандартной» будет установлен полный пакет ПО, включая и Единый клиент JaCarta и JaCarta SecurLogon. При желании произвести выборочную установку компонентов отметьте пункт «Выборочная»
• Для продолжения процесса установки нажмите кнопку «Далее»

• Для большей наглядности, в предыдущем окне был выбран «Выборочный» вид установки, согласно которому получаем текущее окно выбора компонентов
• Отметьте необходимые вам составляющие установочного пакета и нажмите кнопку «Далее»

• Следующим пунктом меню установки будет выбор способа автоматического обновления продукта
• Если вы ведёте полный контроль над устанавливаемыми на вашем компьютере приложениями, то отметьте пункт, предложенный на текущем рисунке, и нажмите кнопку «Установить»

• На данном этапе вы ещё можете вернуться назад для изменения тех или иных пунктов установки. Для этого воспользуйтесь кнопкой «Назад»
• В случае если вас всё устраивает, и вы готовы приступить к инсталляции выбранных компонентов, нажмите кнопку «Установить»

• Процесс установки начнётся, и будет сопровождаться до своего полного завершения увеличением шкалы прогресса

• По окончании установки вы получите соответствующее окно с уведомлением
• Для выхода из программы нажмите кнопку «Готово»

• Для того чтобы внесённые в систему изменения вступили в силу, остаётся лишь перезагрузить компьютер

Если в процессе установки Единого клиента JaCarta и JaCarta SecurLogon версии 2.8.0.1402 у вас возникли какие-либо вопросы, то можете задать их по электронной почте, либо по телефону, указанному на сайте.

Центр загрузки драйверов, утилит и документации JaCarta PKI

Для полноценной работы с возможностью администрирования электронных USB-ключей и смарт-карт JaCarta PKI, на компьютере пользователя необходимо установить соответствующий операционной системе комплект драйверов и утилит JaCarta PKI.

Примечание: при использовании JaCarta PKI, выполненных в форм-факторе смарт-карты, к компьютеру также должен быть подключен PC/SC совместимый считыватель контактных смарт-карт и установлены соответствующие драйверы устройства.

Скачать драйверы, документацию и утилиты для токенов и смарт-карт моделей JaCarta PKI, JaCarta PKI Nano, JaCarta PKI Bio, JaCarta PKI Flash, а также единый клиент JaCarta и JaCarta SecurLogon вы можете по нижеприведённым ссылкам.

Единый Клиент JaCarta и JaCarta SecurLogon для Windows

Архив содержит программное обеспечение, драйверы и документацию для работы с JaCarta PKI, а также программное обеспечение JaCarta SecurLogon.

JaCarta PKI для Windows

Архив содержит программное обеспечение, драйверы для работы с USB-токенами и смарт-картами линейки JaCarta PKI.

JaCarta PKI для Linux

Архив содержит программное обеспечение, библиотеки для работы с USB-ключами и смарт-картами JaCarta PKI.

Документация для JaCarta PKI

Архив содержит документацию по установке, настройке, администрированию USB-ключей и смарт-карт JaCarta PKI.

Документация для JaCarta PKI Bio

Архив содержит документацию по установке, настройке, администрированию смарт-карт JaCarta PKI Bio.

Утилиты для JaCarta PKI Flash

Архив содержит служебную утилиту для работы с флеш-памятью USB-ключей JaCarta PKI Flash.

Установка jakarta windows 10 jakarta

Добрый день! Уважаемые читатели и подписчики IT блога Pyatilistnik.org. Последние два дня у меня была интересная задача по поиску решения на вот такую ситуацию, есть физический или виртуальный сервер, на нем установлена наверняка многим известная КриптоПРО. На сервер подключен USB ключ JaCarta, который используется для подписи документов для ВТБ24 ДБО. Локально на Windows 10 все работает, а вот на серверной платформе Windows Server 2016 и 2012 R2, Криптопро не видит ключ JaCarta. Давайте разбираться в чем проблема и как ее поправить.

Описание окружения

Есть виртуальная машина на Vmware ESXi 6.5, в качестве операционной системы установлена Windows Server 2012 R2. На сервере стоит КриптоПРО 4.0.9944, последней версии на текущий момент. С сетевого USB хаба, по технологии USB over ip, подключен ключ JaCarta. Ключ в системе видится, а вот в КриптоПРО нет.

Алгоритм решения проблем с JaCarta

КриптоПРО очень часто вызывает различные ошибки в Windows, простой пример (Windows installer service could not be accessed). Вот так вот выглядит ситуация, когда утилита КриптоПРО не видит сертификат в контейнере.

Как видно в утилите UTN Manager ключ подключен, он видится в системе в смарт картах в виде Microsoft Usbccid (WUDF) устройства, но вот CryptoPRO, этот контейнер не определяет и у вас нет возможности установить сертификат. Локально токен подключали, все было то же самое. Стали думать что сделать.

Возможные причины с определением контейнера

1. Во первых, это проблема с драйверами, например, в Windows Server 2012 R2, JaCarta в идеале должна определяться в списке смарт карт как JaCarta Usbccid Smartcard, а не Microsoft Usbccid (WUDF)
2. Во вторых если устройство видится как Microsoft Usbccid (WUDF), то версия драйверов может быть устаревшей, и из-за чего ваши утилиты будут не определять защищенный USB носитель.
3. Устарелая версия CryptoPRO

Как решить проблему, что криптопро не видит USB ключ?

Создали новую виртуальную машину и стали ставить софт все последовательно.

• Первым делом обновляем вашу операционную систему, всеми доступными обновлениями, так как Microsoft исправляет много ошибок и багов, в том числе и драйверами.
• Вторым пунктом является, в случае с физическим сервером, установить все свежие драйвера на материнскую плату и все периферийное оборудование.
• Далее устанавливаете Единый Клиент JaCarta.
• Устанавливаете свежую версию КриптоПРО

Установка единого клиента JaCarta PKI

Единый Клиент JaCarta — это специальная утилита от компании «Аладдин», для правильной работы с токенами JaCarta. Загрузить последнюю версию, данного программного продукта, вы можете с официального сайта, или у меня с облака, если вдруг, не получиться с сайта производителя.

Далее полученный архив вы распаковываете и запускаете установочный файл, под свою архитектуру Windows, у меня это 64-х битная. Приступаем к установке Jacarta драйвера. Единый клиент Jacarta, ставится очень просто (НАПОМИНАЮ ваш токен в момент инсталляции, должен быть отключен). На первом окне мастера установки, просто нажимаем далее.

Принимаем лицензионное соглашение и нажимаем «Далее»

Чтобы драйвера токенов JaCarta у вас работали корректно, достаточно выполнить стандартную установку.

Если выберете «Выборочную установку», то обязательно установите галки:

• Драйверы JaCarta
• Модули поддержки
• Модуль поддержки для КриптоПРО

Далее нажимаем «Установить».

Через пару секунд, Единый клиент Jacarta, успешно установлен.

Обязательно произведите перезагрузку сервера или компьютера, чтобы система увидела свежие драйвера.

Установка КриптоПРО

После установки JaCarta PKI, нужно установить КриптоПРО, для этого заходите на официальный сайт.

На текущий момент самая последняя версия КриптоПро CSP 4.0.9944. Запускаем установщик, оставляем галку «Установить корневые сертификаты» и нажимаем «Установить (Рекомендуется)»

Инсталляция КриптоПРО будет выполнена в фоновом режиме, после которой вы увидите предложение, о перезагрузке браузера, но я вам советую полностью перезагрузиться.

После перезагрузки подключайте ваш USB токен JaCarta. У меня подключение идет по сети, с устройства DIGI, через клиента Anywhere View. В клиенте Anywhere View, мой USB носитель Jacarta, успешно определен, но как Microsoft Usbccid (WUDF), а в идеале должен определиться как JaCarta Usbccid Smartcard, но нужно в любом случае проверить, так как все может работать и так.

Открыв утилиту «Единый клиент Jacarta PKI», подключенного токена обнаружено не было, значит, что-то с драйверами.

Microsoft Usbccid (WUDF) — это стандартный драйвер Microsoft, который по умолчанию устанавливается на различные токены, и бывает, что все работает, но не всегда. Операционная система Windows по умолчанию, ставит их в виду своей архитектуры и настройки, мне вот лично в данный момент такое не нужно. Что делаем, нам нужно удалить драйвера Microsoft Usbccid (WUDF) и установить драйвера для носителя Jacarta.

Откройте диспетчер устройств Windows, найдите пункт «Считыватели устройств смарт-карт (Smart card readers)» щелкните по Microsoft Usbccid (WUDF) и выберите пункт «Свойства». Перейдите на вкладку «Драйвера» и нажмите удалить (Uninstall)

Согласитесь с удалением драйвера Microsoft Usbccid (WUDF).

Вас уведомят, что для вступления изменений в силу, необходима перезагрузка системы, обязательно соглашаемся.

После перезагрузки системы, вы можете увидеть установку устройства и драйверов ARDS Jacarta.

Откройте диспетчер устройств, вы должны увидеть, что теперь ваше устройство определено, как JaCarta Usbccid Smartcar и если зайти в его свойства, то вы увидите, что смарт карта jacarta, теперь использует драйвер версии 6.1.7601 от ALADDIN R.D.ZAO, так и должно быть.

Если открыть единый клиент Jacarta, то вы увидите свою электронную подпись, это означает, что смарт карта нормально определилась.

Открываем CryptoPRO, и видим, что криптопро не видит сертификат в контейнере, хотя все драйвера определились как нужно. Есть еще одна фишка.

1. В RDP сессии вы не увидите свой токен, только локально, уж такая работа токена, либо я не нашел как это поправить. Вы можете попробовать выполнить рекомендации по устранению ошибки «Не возможно подключиться к службе управления смарт-картами».
2. Нужно снять одну галку в CryptoPRO

ОБЯЗАТЕЛЬНО снимите галку «Не использовать устаревшие cipher suite-ы» и перезагрузитесь.

После этих манипуляций у меня КриптоПРО увидел сертификат и смарт карта jacarta стала рабочей, можно подписывать документы.

Еще можете в устройствах и принтерах, увидеть ваше устройство JaCarta,

Если у вас как и у меня, токен jacarta установлен в виртуальной машине, то вам придется устанавливать сертификат, через console виртуальной машины, и так же дать на нее права ответственному человеку. Если это физический сервер, то там придется давать права на порт управления, в котором так же есть виртуальная консоль.

Не возможно подключиться к службе управления смарт-картами

Когда вы установили все драйвера для токенов Jacarta, вы можете увидеть при подключении по RDP и открытии утилиты «Единый клиент Jacarta PKI» вот такое сообщение с ошибкой:

1. Не запущена служба смарт-карт на локальной машине. Архитектурой RDP-сессии, разработанной Microsoft, не предусмотрено использование ключевых носителей, подключенных к удалённому компьютеру, поэтому в RDP-сессии удалённый компьютер использует службу смарт-карт локального компьютера. Из этого следует что, запуска службы смарт-карт внутри RDP-сессии недостаточно для нормальной работы.
2. Служба управления смарт-картами на локальном компьютере запущена, но недоступна для программы внутри RDP-сессии из-за настроек Windows и/или RDP-клиента.\

Как исправить ошибку «Не возможно подключиться к службе управления смарт-картами».

• Запустите службу смарт-карт на локальной машине, с которой вы инициируете сеанс удалённого доступа. Настройте её автоматический запуск при старте компьютера.
• Разрешите использование локальных устройств и ресурсов во время удалённого сеанса (в частности, смарт-карт). Для этого, в диалоге «Подключение к удалённому рабочему столу» в параметрах выберите вкладку «Локальные ресурсы», далее в группе «Локальные устройства и ресурсы» нажмите кнопку «Подробнее…», а в открывшемся диалоге выберите пункт «Смарт-карты» и нажмите «ОК», затем «Подключить».

• Убедитесь в сохранности настроек RDP-подключения. По умолчанию они сохраняются в файле Default.rdp в каталоге «Мои Документы» Проследите, чтобы в данном файле присутствовала строчка «redirectsmartcards:i:1».
• Убедитесь в том, что на удалённом компьютере, к которому вы осуществляете RDP-подключение, не активирована групповая политика
  [Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Client\Server data redirection\Do not allow smart card device redirection] -[Конфигурация компьютера\административные шаблоны\компоненты windows\службы удалённых рабочих столов\узел сеансов удалённых рабочих столов\перенаправление устройств и ресурсов\Не разрешать перенаправление устройства чтения смарт-карт]. Если она включена (Enabled), то отключите её, и перегрузите компьютер.
• Если у вас установлена Windows 7 SP1 или Windows 2008 R2 SP1 и вы используете RDC 8.1 для соединения с компьютерами под управлением Windows 8 и выше, то вам необходимо установить обновление для операционной системы https://support.microsoft.com/en-us/kb/2913751

Вот такой вот был траблшутинг по настройке токена Jacarta, КриптоПРО на терминальном сервере, для подписи документов в ВТБ24 ДБО. Если есть замечания или поправки, то пишите их в комментариях.