Как проверить считыватель смарт карт

Решение проблем с распознаванием флешки в CryptoPro

Иногда после обновления программы, сертификатов и/или данных ЭП носитель перестаёт распознаваться – в большинстве случаев это означает, что его нужно добавить заново, с установкой драйвера.

1. Первым делом проверьте наличие проблемы конкретно в КриптоПро – запустите программу и откройте вкладку «Оборудование».
2. Здесь нажмите на кнопку «Настроить считыватели».

Убедитесь, что присутствуют позиции «Все съёмные диски» и «Все считыватели смарт-карт».

Если требуемые позиции есть, причина проблемы в чём-то другом, поэтому воспользуйтесь другим способом, но если их нет – нажмите «Добавить».

Далее понадобится установить драйвер для выбранного носителя – на нашем сайте уже есть детальная инструкция по выполнению этой процедуры.

Способ 2: Установка сертификата на флешку

Следующая причина, по которой носитель не распознаётся программой КриптоПро – он не привязан как хранилище сертификатов. Проверить это и устранить проблему можно по следующему алгоритму:

1. В панели управления КриптоПро откройте вкладку «Сервис» и выберите «Протестировать».
2. Далее нажмите «Обзор».

Если в столбце «Считыватель» присутствует ваш накопитель (в нашем примере назван как «Диск Е»), выберите его и щёлкните «ОК». В противном случае убедитесь, что он доступен как считыватель (Способ 1), затем воспользуйтесь инструкцией по копированию сертификата на флешку, после чего повторите приведённые в этом разделе действия.

Способ 3: Устранение аппаратных неисправностей

Последняя причина, по которой наблюдаются сбои в работе USB-токена КриптоПро – аппаратные неполадки, как с самим устройством, так и с целевым компьютером, куда он подключается.

1. Первое, что нужно сделать – исключить разнообразные хабы и удлинители, подсоединяя флеш-накопитель напрямую к разъёмам материнской платы. Если это не решило проблему – читайте далее.
2. При подозрении на поломку ключа его следует подключить к заведомо работоспособному компьютеру, желательно с установленным провайдером КриптоПро, и протестировать работу. Если даже просто в ОС накопитель не желает определяться – он определённо вышел из строя. Можно попробовать вернуть ему работоспособность, однако сертификат при этом, скорее всего, будет потерян.

Пошаговое руководство по установке и использованию считывателя смарт-карт

Одной из новых возможностей ОС Microsoft® Windows® 2000 является поддержка смарт-карт и считывателей смарт-карт на уровне самой ОС. Смарт-карты расширяют возможности решений, основанных на использовании только программного обеспечения таких, как проверка подлинности клиента, вход в систему, подпись и безопасная электронная почта, где операции с закрытым ключом выполняются на смарт-карте, а не на самом компьютере.

На этой странице

Введение

Использование смарт-карты для входа в систему является наиболее жесткой формой определения подлинности, поскольку вход пользователя в домен осуществляется с использованием криптозащиты и системы подтверждения владения. Злоумышленники, получившие чей-то пароль, могут воспользоваться им для доступа к сети. Многие пользователи выбирают довольно простые для запоминания пароли, которые можно очень легко подобрать с помощью атаки по словарю.

В случае использования смарт-карты злоумышленники должны получить не только саму смарт-карту пользователя, но и ее персональный идентификационный номер (PIN-код), чтобы работать в системе от имени пользователя. Очевидно, что такую защиту сложнее преодолеть, поскольку требуется дополнительная информация для работы от имени пользователя. Еще одним преимуществом является блокировка смарт-карты при неправильном вводе PIN-кода несколько раз подряд (например, три раза). Благодаря этому подбор данных с помощью атаки по словарю становится очень сложным.

В целом, смарт-карты обеспечивают следующие возможности:

•	Защищенное хранение закрытых ключей и прочей персональной информации.
•	Скрытость таких критических вычислений, связанных с безопасностью, как проверка подлинности, цифровые подписи и обмен ключами, о которых другие части системы не должны знать.
•	Возможность использования одних и тех же учетных данных и прочей личной информации при работе с компьютером на работе, дома или в пути.

Требования и предварительные условия

В указанном документе определены особые требования к аппаратной и программной части компьютера. Если Вы не используете базовую инфраструктуру, Вы должны принять это во внимание при использовании данного документа. Самую последнюю информацию о требованиях к оборудованию и совместимости серверов, клиентов и устройств можно найти на странице проверки совместимости оборудования и программного обеспечения Windows 2000. (http://www.microsoft.com/windows2000/server/howtobuy/upgrading/compat/default.asp) (EN).

Использование данного документа также предполагает, что Вы уже ознакомились со следующими руководствами (Вы можете их найти на сайте Microsoft TechNet):

•	Пошаговое руководство по управлению Active Directory (Step-by-Step Guide to Managing the Active Directory) (EN)
•	Пошаговое руководство по настройке Центра сертификации (Step-by-Step Guide to Setting up a Certificate Authority) (EN)
•	Пошаговое руководство по настройке Доверенного Центра сертификации домена (Step-by-Step Guide to Setting up Certificate Authority Trust for a Domain) (EN)
•	Пошаговое руководство по администрированию Служб сертификации (Step-by-Step Guide to Administering Certificate Services) (EN)
•	Пошаговое руководство по дополнительному управлению сертификатами (Step-by-Step Guide to Advanced Certificate Management) (EN)
•	Пошаговое руководство по управлению сертификатами конечного пользователя (Step-by-Step Guide to End User Certificate Management) (EN)

Если Вы не выполнили действия, описанные в вышеуказанных руководствах, то для успешного выполнения шагов, описанных в данном документе, необходимо будет сначала настроить следующую конфигурацию:

•	Контроллер домена Windows 2000 Server с установленной службой Active Directory. Домен должен поддерживать использование паролей NTLM (Microsoft Windows NT® LAN Manager), проверку подлинности с помощью протокола Kerberos и проверку подлинности с использованием открытого ключа (смарт-карты).
•	Также в домене Windows 2000 необходимо иметь компьютер с установленной ОС Windows 2000 Professional.

В данном документе детально описываются шаги по установке и использованию считывателей смарт-карт на рабочей станции под управлением ОС Windows 2000 Professional, работающей с контроллером домена Windows 2000 так, как описано выше.

Поддерживаемые считыватели смарт-карт

Перед тем, как начать пользоваться смарт-картами, необходимо вначале установить считыватель смарт-карт в Ваш компьютер. Ниже в таблице перечислены драйверы считывателей смарт-карт, входящие в состав ОС Microsoft® Windows® 2000. Установка соответствующих Plug and Play –совместимых считывателей смарт-карт производится при обнаружении подключенного оборудования.

Производитель	Считыватель смарт-карт	Интерфейс	Драйвер устройства
Bull CP8	Smart TLP3	RS-232	bulltlp3.sys
Gemplus	GCR410P	RS-232	gcr410p.sys
Gemplus	GPR400	PCMCIA	gpr400.sys
Litronic	220P	RS-232	lit220p.sys
Rainbow Technologies	3531	RS-232	rnbo3531.sys
SCM Microsystems	SwapSmart	RS-232	scmstcs.sys
SCM Microsystems	SwapSmart	PCMCIA	pscr.sys

В данном документе описывается установка и использование только Plug and Play-совместимых считывателей смарт-карт. Не рекомендуется использование Plug and Play-несовместимых считывателей в ОС Windows 2000. При использовании Plug and Play-несовместимого считывателя смарт-карт необходимо получить от производителя устройства инструкции по установке и соответствующие драйверы. Microsoft не поддерживает нерекомендуемые считыватели смарт-карт без функции Plug and Play.

Для того чтобы покупатели могли легко определить, что смарт-карты одного производителя совместимы со считывателями смарт-карт другого производителя, корпорация Microsoft разработала программу использования специального логотипа для считывателей смарт-карт, во многом похожую на ту, что она разработала для других устройств (сетевых карт, звуковых карт и т.п.). Данная программа основана на спецификации персональный компьютер/смарт-карта (PC/SC), гарантирующей работу считывателя смарт-карты на платформе Windows. За информацией о Windows-совместимых считывателях смарт-карт обратитесь к списку Windows-совместимого оборудования.

Примечание: Настоятельно рекомендуется устанавливать в компьютеры, работающие под управлением ОС Windows 2000, только те считыватели смарт-карт, которые прошли проверку в лаборатории Microsoft Windows Hardware Quality Lab (WHQL) и получили соответствующий логотип Windows-совместимости. На рынке имеется много PC/SC-совместимых устройств несовместимых друг с другом. На самом деле использование термина PC/SC-совместимый является бессмысленным, поскольку невозможно проверить соответствие функциональности устройства спецификации PC/SC.

Поддерживаемые смарт-карты

При установке ОС Windows 2000 по умолчанию устанавливается поддержка криптографических смарт-карт Gemplus GemSAFE и Schlumberger Cryptoflex. Для их использования Вам не нужно ничего дополнительно настраивать на компьютере-клиенте или сервере. Получить криптографические смарт-карты можно прямо от соответствующих компаний, но не от корпорации Microsoft.

Ниже в таблице приведены различия между карточками с точки зрения потребителя

Смарт-карта	Начальный PIN-код	Форма контактной площадки	Поставщик служб криптографии
Gemplus GemSAFE	1234	Овал	Gemplus GemaSAFE Card CSP v1.0
Schlumberger Cryptoflex	00000000	прямоугольник	Schlumberger Cryptographic Service Provider

Примечание 1: Хотя в ОС Windows 2000 и включена поддержка только описанных выше смарт-карт, но и другие криптографические смарт-карты, основанные на алгоритме RSA, могут работать с Инфраструктурой открытых ключей Windows 2000. Это возможно в том случае, если производитель смарт-карт разработал Поставщика служб криптографии (Cryptographic Service Provider — CSP) для использования CryptoAPI и Smart Card SDK для своей смарт-карты, доступных в Сети разработчика Microsoft (MSDN).

Примечание 2 PIN-код карты можно изменить в любое время, когда появляется диалоговое окно закрытого ключа поставщика служб криптографии (CSP). Ответственность за управление PIN-кодами ложится на поставщика служб криптографии (CSP) и пользователя. ОС Windows 2000 не поддерживает управление PIN-кодами.

У становка считывателя смарт-карт

В комплект со считывателями смарт-карт входит инструкция по подключению устройства с помощью соответствующих кабелей. Если подобных инструкций нет, воспользуйтесь следующей общей процедурой. Считыватель смарт-карт необходимо установить на рабочую станцию, работающую под управлением ОС Windows 2000 Professional.

Для подключения считывателя смарт-карт

1.	Выключите компьютер и отключите питание.
2.	Подключите считыватель к свободному последовательному порту или вставьте его (PC Card reader) в свободный слот PCMCIA Type II.
3.	Если у считывателя карт, который Вы подключили к последовательному порту, есть кабель/коннектор для дополнительного питания через разъем PS/2, подсоедините к нему коннектор клавиатуры или мышки и подключите его в соответствующий порт. Сейчас многие модели считывателей смарт-карт, подключаемые к порту RS-232, используют дополнительное питание из порта для клавиатуры или мышки, поскольку питания порта RS-232 бывает недостаточно, а отдельный источник питания будет слишком дорого стоить.
4.	Включите компьютер и войдите в систему под учетной записью пользователя с правами администратора.

Установка драйвера считывателя смарт-карт

Если произошло определение и установка считывателя смарт-карт, то это отобразится в Окне приветствия при входе в систему. Если нет:

1.	Для установки драйвера устройства следуйте указаниям на экране. Потребуется наличие как минимум компакт-диска с ОС Windows 2000 или носителя, содержащего подходящий драйвер от производителя считывателя смарт-карт. (Возможно, Ваш системный администратор откроет доступ к общему ресурсу сети, где Вы сможете получить необходимый драйвер).
2.	Выполните правый щелчок на иконке Мой компьютер (My Computer), расположенной на рабочем столе, и выберите Управление (Manage).
3.	Раскройте пункт Службы и приложения (Services and Applications) и нажмите Службы (Services).
4.	В правой части окна сделайте правый щелчок на пункте Смарт-карты (Smart Card). Выберите Свойства (Properties).
5.	На закладке Общие (General) выберите Авто (Automatic) из раскрывающегося списка Тип запуска (Startup Type). Нажмите OK.
6.	Перезагрузите компьютер, если мастер настройки оборудования попросит это сделать.

Если мастер настройки оборудования не запустился автоматически, значит, Ваш считыватель карт не является Plug and Play-совместимым устройством. В ОС Windows 2000 настоятельно рекомендуется использовать только Plug and Play-совместимые считыватели смарт-карт.

Подача заявок на сертификаты смарт-карт

Пользователь домена не может выполнять подачу заявок на сертификат входа со смарт-картой (проверки подлинности) или на сертификат пользователя смарт-карты (проверка подлинности плюс электронная почта) до тех пор, пока системный администратор не обеспечит пользователю доступ к Шаблону сертификата, хранящемуся в службе Active DirectoryTM ОС Microsoft® Windows® 2000. Поскольку подача заявок на сертификаты должна контролироваться, то это сделано по аналогии с тем, как используется удостоверения служащих для обеспечения их идентификации и физического доступа. Пользователям рекомендуется подавать заявки на сертификаты смарт-карт и ключей от имени станции, входящей в состав Службы сертификации ОС Windows® 2000 Server и Windows 2000 Advanced Server.

При установке Центра сертификации предприятия (CA) устанавливается также специальная станция, от имени которой происходит подача заявок. Использование этой станции позволяет администратору действовать от имени определенного пользователя для осуществления запроса и установки на смарт-карту сертификата Входа со смарт-картой или сертификата Пользователя смарт-карты. Станция подачи заявок не предоставляет никаких особых функций по управлению смарт-картами, таких как создание файловой структуры или изменение PIN-кода, поскольку все эти особые функции являются уникальными и зависят от производителя. Этими функциями можно воспользоваться только при использовании специализированного программного обеспечения, разработанного производителем смарт-карты.

Все описанные в данном пошаговом руководстве процедуры должны выполнятся администратором.

Подача заявок на сертификат смарт-карты

Следующие шаги показывают, что необходимо сделать администратору для подачи заявки на сертификаты Входа со смарт-картой и Пользователя смарт-карты от имени определенного пользователя.

Появится страница Станция подачи заявок смарт-карт (Smart Card Enrollment Station). На этой странице перед тем, как подать заявку от имени другого пользователя, Вам необходимо проделать следующее:

• Выберите один из двух шаблонов сертификата: Вход со смарт-картой (Smart Card Logon) или Пользователь смарт-карты (Smart Card User )
• Выберите Центр сертификации (Certification Authority).
• Выберите Поставщика служб криптографии (Cryptographic Service Provider).
• Выберите Сертификат подписи администратора (Administrator Signing Certificate).
• Выберите Заявляемого пользователя (User To Enroll).

Выполните первые три пункта, выбрав указанные значения в раскрывающихся списках на странице Станция подачи заявок смарт-карт (Smart Card Enrollment Station)

Также пользователь может изменить PIN-код, нажав Изменить (Change). При этом откроется диалоговое окно, в котором пользователь сможет ввести новый буквенно-цифровой PIN-код. Перед изменением PIN-кода необходимо будет вначале ввести старый PIN-код, чтобы подтвердить, что Вы являетесь владельцем карточки. Если Центр сертификации успешно обработает запрос сертификата, то на странице Станции подачи заявок смарт-карт (Smart Card Enrollment Station) отобразится информация о том, что процедура подачи заявки завершена и карточка готова к использованию. Вы можете просмотреть сертификат, нажав Просмотр сертификата (View Certificate), или определить нового пользователя, нажав Новый пользователь (New User).

Вход в систему с помощью смарт-карты

После правильной настройки считывателя смарт-карт на компьютерах-клиентах появится диалоговое окно Приветствие Windows (Welcome to Windows). При входе в систему пользователя попросят вставить смарт-карту вместо ввода имени пользователя и пароля.

Чтобы войти в систему с помощью пароля, необходимо будет нажать комбинацию клавиш Ctrl+Alt+Del, вызывающую специальную SAS-последовательность (Secure Attention Sequence). Для входа в систему с помощью смарт-карт пользователям необходимо только вставить смарт-карту в считыватель смарт-карты. При таком безопасном входе необходимо ввести только PIN-код карты вместо ввода имени пользователя, пароля и домена.

Для входа в домен Windows 2000, настроенного на поддержку входа с использованием смарт-карт, необходимо:

1.	Вставить смарт-карту Gemplus GemSAFE или Schlumberger Cryptoflex, на которой хранятся предварительно выданные Центром сертификации предприятия (Enterprise Certification Authority CA) сертификаты открытых ключей. (Для получения дополнительной информации об открытых ключах обратитесь к Пошаговому руководству по CA).
2.	Введите Ваш PIN-код и нажмите OK.

•	Заданный по умолчанию PIN-код карты Gemplus GemSAFE (ее можно определить по овальной форме металлического контакта) — 1234.
•	Заданный по умолчанию PIN-код для карточки Schlumberger Cryptoflex (ее можно определить по прямоугольной форме металлического контакта) — 00000000.

Примечание: Если Контроллер домена недоступен, то войти в систему со смарт-картой не удастся даже в том случае, если пользователь уже вошел ранее в систему со смарт-картой. В случае, если Контроллер домена доступен, но у него нет правильного Списка отзыва сертификатов (Certificate Revocation List (CRL)) Центра сертификации, войти в систему также не удастся. При этом в обоих случаях будет выводиться одно и то же сообщение:

Не разрешен вход в систему. Не удается проверить учетные данные.

(The system could not log you on. Your credentials could not be verified. )

Как проверить считыватель смарт карт

Добрый день! Уважаемые читатели и подписчики IT блога Pyatilistnik.org. Последние два дня у меня была интересная задача по поиску решения на вот такую ситуацию, есть физический или виртуальный сервер, на нем установлена наверняка многим известная КриптоПРО. На сервер подключен USB ключ JaCarta, который используется для подписи документов для ВТБ24 ДБО. Локально на Windows 10 все работает, а вот на серверной платформе Windows Server 2016 и 2012 R2, Криптопро не видит ключ JaCarta. Давайте разбираться в чем проблема и как ее поправить.

Описание окружения

Есть виртуальная машина на Vmware ESXi 6.5, в качестве операционной системы установлена Windows Server 2012 R2. На сервере стоит КриптоПРО 4.0.9944, последней версии на текущий момент. С сетевого USB хаба, по технологии USB over ip, подключен ключ JaCarta. Ключ в системе видится, а вот в КриптоПРО нет.

Алгоритм решения проблем с JaCarta

КриптоПРО очень часто вызывает различные ошибки в Windows, простой пример (Windows installer service could not be accessed). Вот так вот выглядит ситуация, когда утилита КриптоПРО не видит сертификат в контейнере.

Как видно в утилите UTN Manager ключ подключен, он видится в системе в смарт картах в виде Microsoft Usbccid (WUDF) устройства, но вот CryptoPRO, этот контейнер не определяет и у вас нет возможности установить сертификат. Локально токен подключали, все было то же самое. Стали думать что сделать.

Возможные причины с определением контейнера

1. Во первых, это проблема с драйверами, например, в Windows Server 2012 R2, JaCarta в идеале должна определяться в списке смарт карт как JaCarta Usbccid Smartcard, а не Microsoft Usbccid (WUDF)
2. Во вторых если устройство видится как Microsoft Usbccid (WUDF), то версия драйверов может быть устаревшей, и из-за чего ваши утилиты будут не определять защищенный USB носитель.
3. Устарелая версия CryptoPRO

Как решить проблему, что криптопро не видит USB ключ?

Создали новую виртуальную машину и стали ставить софт все последовательно.

• Первым делом обновляем вашу операционную систему, всеми доступными обновлениями, так как Microsoft исправляет много ошибок и багов, в том числе и драйверами.
• Вторым пунктом является, в случае с физическим сервером, установить все свежие драйвера на материнскую плату и все периферийное оборудование.
• Далее устанавливаете Единый Клиент JaCarta.
• Устанавливаете свежую версию КриптоПРО

Установка единого клиента JaCarta PKI

Единый Клиент JaCarta — это специальная утилита от компании «Аладдин», для правильной работы с токенами JaCarta. Загрузить последнюю версию, данного программного продукта, вы можете с официального сайта, или у меня с облака, если вдруг, не получиться с сайта производителя.

Далее полученный архив вы распаковываете и запускаете установочный файл, под свою архитектуру Windows, у меня это 64-х битная. Приступаем к установке Jacarta драйвера. Единый клиент Jacarta, ставится очень просто (НАПОМИНАЮ ваш токен в момент инсталляции, должен быть отключен). На первом окне мастера установки, просто нажимаем далее.

Принимаем лицензионное соглашение и нажимаем «Далее»

Чтобы драйвера токенов JaCarta у вас работали корректно, достаточно выполнить стандартную установку.

Если выберете «Выборочную установку», то обязательно установите галки:

• Драйверы JaCarta
• Модули поддержки
• Модуль поддержки для КриптоПРО

Далее нажимаем «Установить».

Через пару секунд, Единый клиент Jacarta, успешно установлен.

Обязательно произведите перезагрузку сервера или компьютера, чтобы система увидела свежие драйвера.

Установка КриптоПРО

После установки JaCarta PKI, нужно установить КриптоПРО, для этого заходите на официальный сайт.

На текущий момент самая последняя версия КриптоПро CSP 4.0.9944. Запускаем установщик, оставляем галку «Установить корневые сертификаты» и нажимаем «Установить (Рекомендуется)»

Инсталляция КриптоПРО будет выполнена в фоновом режиме, после которой вы увидите предложение, о перезагрузке браузера, но я вам советую полностью перезагрузиться.

После перезагрузки подключайте ваш USB токен JaCarta. У меня подключение идет по сети, с устройства DIGI, через клиента Anywhere View. В клиенте Anywhere View, мой USB носитель Jacarta, успешно определен, но как Microsoft Usbccid (WUDF), а в идеале должен определиться как JaCarta Usbccid Smartcard, но нужно в любом случае проверить, так как все может работать и так.

Открыв утилиту «Единый клиент Jacarta PKI», подключенного токена обнаружено не было, значит, что-то с драйверами.

Microsoft Usbccid (WUDF) — это стандартный драйвер Microsoft, который по умолчанию устанавливается на различные токены, и бывает, что все работает, но не всегда. Операционная система Windows по умолчанию, ставит их в виду своей архитектуры и настройки, мне вот лично в данный момент такое не нужно. Что делаем, нам нужно удалить драйвера Microsoft Usbccid (WUDF) и установить драйвера для носителя Jacarta.

Откройте диспетчер устройств Windows, найдите пункт «Считыватели устройств смарт-карт (Smart card readers)» щелкните по Microsoft Usbccid (WUDF) и выберите пункт «Свойства». Перейдите на вкладку «Драйвера» и нажмите удалить (Uninstall)

Согласитесь с удалением драйвера Microsoft Usbccid (WUDF).

Вас уведомят, что для вступления изменений в силу, необходима перезагрузка системы, обязательно соглашаемся.

После перезагрузки системы, вы можете увидеть установку устройства и драйверов ARDS Jacarta.

Откройте диспетчер устройств, вы должны увидеть, что теперь ваше устройство определено, как JaCarta Usbccid Smartcar и если зайти в его свойства, то вы увидите, что смарт карта jacarta, теперь использует драйвер версии 6.1.7601 от ALADDIN R.D.ZAO, так и должно быть.

Если открыть единый клиент Jacarta, то вы увидите свою электронную подпись, это означает, что смарт карта нормально определилась.

Открываем CryptoPRO, и видим, что криптопро не видит сертификат в контейнере, хотя все драйвера определились как нужно. Есть еще одна фишка.

1. В RDP сессии вы не увидите свой токен, только локально, уж такая работа токена, либо я не нашел как это поправить. Вы можете попробовать выполнить рекомендации по устранению ошибки «Не возможно подключиться к службе управления смарт-картами».
2. Нужно снять одну галку в CryptoPRO

ОБЯЗАТЕЛЬНО снимите галку «Не использовать устаревшие cipher suite-ы» и перезагрузитесь.

После этих манипуляций у меня КриптоПРО увидел сертификат и смарт карта jacarta стала рабочей, можно подписывать документы.

Еще можете в устройствах и принтерах, увидеть ваше устройство JaCarta,

Если у вас как и у меня, токен jacarta установлен в виртуальной машине, то вам придется устанавливать сертификат, через console виртуальной машины, и так же дать на нее права ответственному человеку. Если это физический сервер, то там придется давать права на порт управления, в котором так же есть виртуальная консоль.

Не возможно подключиться к службе управления смарт-картами

Когда вы установили все драйвера для токенов Jacarta, вы можете увидеть при подключении по RDP и открытии утилиты «Единый клиент Jacarta PKI» вот такое сообщение с ошибкой:

1. Не запущена служба смарт-карт на локальной машине. Архитектурой RDP-сессии, разработанной Microsoft, не предусмотрено использование ключевых носителей, подключенных к удалённому компьютеру, поэтому в RDP-сессии удалённый компьютер использует службу смарт-карт локального компьютера. Из этого следует что, запуска службы смарт-карт внутри RDP-сессии недостаточно для нормальной работы.
2. Служба управления смарт-картами на локальном компьютере запущена, но недоступна для программы внутри RDP-сессии из-за настроек Windows и/или RDP-клиента.\

Как исправить ошибку «Не возможно подключиться к службе управления смарт-картами».

• Запустите службу смарт-карт на локальной машине, с которой вы инициируете сеанс удалённого доступа. Настройте её автоматический запуск при старте компьютера.
• Разрешите использование локальных устройств и ресурсов во время удалённого сеанса (в частности, смарт-карт). Для этого, в диалоге «Подключение к удалённому рабочему столу» в параметрах выберите вкладку «Локальные ресурсы», далее в группе «Локальные устройства и ресурсы» нажмите кнопку «Подробнее…», а в открывшемся диалоге выберите пункт «Смарт-карты» и нажмите «ОК», затем «Подключить».

• Убедитесь в сохранности настроек RDP-подключения. По умолчанию они сохраняются в файле Default.rdp в каталоге «Мои Документы» Проследите, чтобы в данном файле присутствовала строчка «redirectsmartcards:i:1».
• Убедитесь в том, что на удалённом компьютере, к которому вы осуществляете RDP-подключение, не активирована групповая политика
  [Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Client\Server data redirection\Do not allow smart card device redirection] -[Конфигурация компьютера\административные шаблоны\компоненты windows\службы удалённых рабочих столов\узел сеансов удалённых рабочих столов\перенаправление устройств и ресурсов\Не разрешать перенаправление устройства чтения смарт-карт]. Если она включена (Enabled), то отключите её, и перегрузите компьютер.
• Если у вас установлена Windows 7 SP1 или Windows 2008 R2 SP1 и вы используете RDC 8.1 для соединения с компьютерами под управлением Windows 8 и выше, то вам необходимо установить обновление для операционной системы https://support.microsoft.com/en-us/kb/2913751

Вот такой вот был траблшутинг по настройке токена Jacarta, КриптоПРО на терминальном сервере, для подписи документов в ВТБ24 ДБО. Если есть замечания или поправки, то пишите их в комментариях.

Как проверить считыватель смарт карт

Считыватель для смарт-карт Рутокен SCR 3001 является устройством для чтения и записи смарт-карт.

Считыватель совместим с операционными системами: Windows, macOS и Linux.

Внешний вид считывателя представлен на иллюстрации:

Подключение считывателя к компьютеру

Подключите считыватель к USB-порту компьютера.

Подключение смарт-карты к считывателю

Вставьте смарт-карту в считыватель. Корректный способ представлен на иллюстрации:

Обратите внимание на положение чипа смарт-карты.

Значения индикаторов считывателя

Индикаторы работы считывателя и смарт-карты расположены на передней части корпуса считывателя:

Левый индикатор показывает текущее состояние считывателя, правый — смарт-карты.

Состояния индикаторов и их значения представлены в таблице:

• не горит (считыватель не подключен к компьютеру)
• мигает (проблема со считывателем)
• горит (считыватель подключен к компьютеру)

• не горит (смарт-карта не подключена к компьютеру)
• мигает (происходит обмен данными со смарт-картой)
• мигает с длинными интервалами (проблема со смарт-картой)
• горит (смарт-карта подключена к компьютеру)

Работа со считывателем в ОС Windows

Проверка работы считывателя

Чтобы проверить работу считывателя:

1. Откройте Диспетчер устройств.
2. Рядом с пунктом Устройства чтения смарт-карт щелкните по галочке. Откроется список подключенных устройств.
   
3. Два раза щелкните по верхней строке Устройство чтения смарт-карт Microsoft Usbccid (WUDF). Откроется окно со свойствами считывателя.
   
4. Перейдите на вкладку Сведения.
5. В раскрывающемся списке Свойства выберите пункт ИД оборудования.
   
   В поле Значение отобразится строка " USB\VID_0A89&PID_0069&REV_0511".

Определение версии прошивки считывателя

Чтобы определить текущую версию прошивки считывателя:

1. Откройте Диспетчер устройств.
2. Рядом с пунктом Устройства чтения смарт-карт щелкните по галочке. Откроется список подключенных устройств.
3. Два раза щелкните по верхней строке Устройство чтения смарт-карт Microsoft Usbccid (WUDF). Откроется окно со свойствами считывателя.
4. Перейдите на вкладку Сведения.
5. В раскрывающемся списке Свойство выберите пункт ИД оборудования.
   В поле Значение указана версия прошивки считывателя (на иллюстрации версия прошивки 5.11).
   

Работа со считывателем в ОС Linux

Проверка работы считывателя

Чтобы проверить работу считывателя, подключите его к компьютеру и введите команду:

Если в результате выполнения команды отобразится название модели считывателя Aktiv Rutoken SCR 3001 Reader, то значит он работает корректно.

Если в результате выполнения команды отобразились строки "Scanning present readers. Waiting for the first reader. ", то необходимо внести в конфигурационный файл info.plist запись о считывателе.

Для изменения файла info.plist необходимы права администратора.

Чтобы внести изменение в конфигурационный файл info.plist:

1. Найдите этот файл на компьютере. Путь до файла:
   /usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents
   
2. Откройте файл info.plist в любом текстовом редакторе.
3. Найдите массив <key>ifdVendorID</key> и добавьте в него строку <string>0x0A89</string>.
4. Найдите массив <key>ifdProductID</key> и добавьте в него строку <string>0x0069</string>.
5. Найдите массив <key>ifdFriendlyName</key> и добавьте в него строку <string>Aktiv Rutoken SCR 3001 Reader</string>.
6. Сохраните изменения в файле info.plist.
7. Отключите считыватель от компьютера.
8. Перезагрузите систему.
9. Подключите считыватель к компьютеру и снова проверьте работу считывателя.

Определение версии прошивки считывателя

Чтобы определить версию прошивки считывателя, подключите его к компьютеру и введите команду:

В результате в строке bcdDevice отобразится версия прошивки считывателя (на иллюстрации версия прошивки 5.11).

Работа со считывателем в macOS

Проверка работы считывателя

Чтобы проверить работу считывателя:

1. Подключите считыватель для смарт-карт к компьютеру.
2. Откройте программу Lauchpad.
   
3. В строке поиска введите слово "информация" ("information").
   
4. Откройте программу Информация о системе (System Information).
5. На боковой панели окна программы выберите пункт USB.
6. Для считывателя в окне программы отобразится название модели считывателя и информация о нем.
   Это означает, что считыватель для смарт-карт подключен и работает корректно.
   
7. Если название модели считывателя не отобразилось, то необходимо загрузить и установить библиотеку PKCS#11.

Для того чтобы загрузить библиотеку PKCS#11 перейдите по указанной ссылке и выберите необходимую версию:

Для установки библиотеки PKCS#11 запустите программу установки библиотеки и следуйте инструкциям, отображающимся на экране. В дополнительных параметрах установщика выберите Установить считыватель.

Определение версии прошивки считывателя

Чтобы определить версию прошивки считывателя:

1. Подключите считыватель для смарт-карт к компьютеру.
2. Откройте программу Lauchpad.
3. В строке поиска введите слово "информация" ("information").
4. Откройте программу Информация о системе (System Information).
5. На боковой панели окна программы выберите пункт USB.
6. Для считывателя в окне программы отобразится название модели считывателя и информация о нем.
   В поле Версия указана версия прошивки считывателя (на иллюстрации версия прошивки 5.11).