<![CDATA[Форум Рутокен — No private key is available -- это как?]]> 2025-07-09T07:55:59Z PunBB https://forum.rutoken.ru/topic/5801/ <![CDATA[Re: No private key is available -- это как?]]> timzi пишет:

Кажется, так работать не будет. Для подписи "в разрыв" нельзя применить /timestamp

timstamp можно делать отдельным шагом, для уже существующей подписи.
у меня и сейчас -- сначала подписывается без таймштампа, а потом в цикле перебираются урлы и выходим если успешный timestamp
просто иногда сервера показывают фигу, если превышен предел обращений за день/месяц или по велению левой пятки, и мне проще было сделать так.

в начале батничка

set URLS=
set URLS=%URLS% http://timestamp.digicert.com
set URLS=%URLS% http://rfc3161timestamp.globalsign.com/advanced
set URLS=%URLS% http://aatl-timestamp.globalsign.com/tsa/aohfewat2389535fnasgnlg5m23
set URLS=%URLS% http://timestamp.sectigo.com
set URLS=%URLS% http://timestamp.comodoca.com
set URLS=%URLS% http://tsa.mesign.com
set URLS=%URLS% http://tsa.startssl.com/rfc3161
set URLS=%URLS% http://freetsa.org/tsr
rem set URLS=%URLS% http://sha256timestamp.ws.symantec.com/sha256/timestamp
set URLS=%URLS% https://rfc3161.ai.moda/microsoft
set URLS=%URLS% https://ca.signfiles.com/tsa/get.aspx
set URLS=%URLS% http://services.globaltrustfinder.com/adss/tsa
set URLS=%URLS% http://timestamp.entrust.net/TSS/RFC3161sha2TS
set URLS=%URLS% http://timestamp.acs.microsoft.com
set URLS=%URLS% https://tsp.iaik.tugraz.at/tsp/TspRequest

а после наложения подписи

:signed
echo Signed, applying timestamp...

for %%U in (%URLS%) do (
  %SGN% timestamp /q /tr %%U /td sha256 %A%
  if %ERRORLEVEL% EQU 0 (
    echo Timestamped using %%U
    exit /b 0
  )
  echo ERRORLEVEL=%ERRORLEVEL% for %%U
)
echo Too many errors on timestamping, exiting
exit /b 1
]]> https://forum.rutoken.ru/user/15142/ 2025-07-09T07:55:59Z https://forum.rutoken.ru/post/29632/#p29632 <![CDATA[Re: No private key is available -- это как?]]>

думаю над вариантом, где получить хэш через signtool sign /dg, подписать его самописной тулзой/сервисом и вклеить обратно через signtool sign /di а потом уже дернуть signtool timestamp

Кажется, так работать не будет. Для подписи "в разрыв" нельзя применить /timestamp

]]> https://forum.rutoken.ru/user/4862/ 2025-07-09T07:43:07Z https://forum.rutoken.ru/post/29631/#p29631 <![CDATA[Re: No private key is available -- это как?]]> ну вот обходной путь через psexec пока снова работает (так и не понял, почему не работало какое-то время), так что облегченно выдыхаем

]]> https://forum.rutoken.ru/user/15142/ 2025-07-08T13:15:02Z https://forum.rutoken.ru/post/29624/#p29624 <![CDATA[Re: No private key is available -- это как?]]> Фатеева Светлана пишет:

Korsar13,
также попробуйте в SSH сессии выполнить команду Query Session как описано  здесь.
Служба смарт-карт доступна только если session id будет имеет значение "1".

akvis\builder@K13WORK C:\Users\builder.AKVIS>query session
No session exists for *
]]> https://forum.rutoken.ru/user/15142/ 2025-07-08T13:13:46Z https://forum.rutoken.ru/post/29623/#p29623 <![CDATA[Re: No private key is available -- это как?]]> вот самое забавное, что если из-под ssh запустить

c:\bin\sysinternals\psexec -accepteula -nobanner -i -u ...имя-юзера... -p ...пароль... certutil -scinfo

то вывод команды я не вижу, но завершается с кодом 0 вместо ошибки:

certutil exited with error code 0

jsign тоже удалось заставить работать, хотя пишут что через него подписывает медленнее -- когда подписывать надо сотни мегабайт, это может оказаться заметно.
думаю над вариантом, где получить хэш через signtool sign /dg, подписать его самописной тулзой/сервисом и вклеить обратно через signtool sign /di а потом уже дернуть signtool timestamp

]]> https://forum.rutoken.ru/user/15142/ 2025-07-08T12:56:00Z https://forum.rutoken.ru/post/29621/#p29621 <![CDATA[Re: No private key is available -- это как?]]> Korsar13,
также попробуйте в SSH сессии выполнить команду Query Session как описано  здесь.
Служба смарт-карт доступна только если session id будет имеет значение "1".

]]> https://forum.rutoken.ru/user/11129/ 2025-07-08T12:47:52Z https://forum.rutoken.ru/post/29620/#p29620 <![CDATA[Re: No private key is available -- это как?]]> Korsar13,
попробуйте и sshd  запускать от имени того пользователя, которому доступны сертификаты.
Индикатором работы - вызов SCInfo, который покажет сертификат.

]]> https://forum.rutoken.ru/user/11129/ 2025-07-08T12:34:49Z https://forum.rutoken.ru/post/29618/#p29618 <![CDATA[Re: No private key is available -- это как?]]> Фатеева Светлана пишет:

Korsar13,
1) зарегистрировать сертификат в MY и передавать его в signtool через ключ хеш-сертификата /sha1 <.....>

понял. но я сертификат передаю явным образом через /f с именем .cer файла

]]> https://forum.rutoken.ru/user/15142/ 2025-07-08T12:12:23Z https://forum.rutoken.ru/post/29617/#p29617 <![CDATA[Re: No private key is available -- это как?]]> Фатеева Светлана пишет:

Korsar13,
Попробуйте в том же окружении при подключении по SSH:

1) зарегистрировать сертификат в MY и передавать его в signtool через ключ хеш-сертификата /sha1 <.....>
2) добавить в скрипт вызов signtool с флагом /debug
3) добавить в скрипт "certutil -scinfo"

при запуске через ssh certutil -scinfo обламывается по ошибке доступа:

The Microsoft Smart Card Resource Manager is not running.
SCardAccessStartedEvent: Service is in an unknown state.
CertUtil: -SCInfo command FAILED: 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
CertUtil: Access is denied.

при запуске без ssh -- нормально показывает сертификат

"зарегистрировать сертификат в MY" -- не совсем понял, где именно зарегистрировать и как?

]]> https://forum.rutoken.ru/user/15142/ 2025-07-08T10:53:42Z https://forum.rutoken.ru/post/29608/#p29608 <![CDATA[Re: No private key is available -- это как?]]> Korsar13, уточните, удалось ли выполнить указанный запрос?
Пришлите, пожалуйста, результат вывода утилит.

]]> https://forum.rutoken.ru/user/11129/ 2025-07-03T13:00:32Z https://forum.rutoken.ru/post/29435/#p29435 <![CDATA[Re: No private key is available -- это как?]]> Korsar13,
Попробуйте в том же окружении при подключении по SSH:

1) зарегистрировать сертификат в MY и передавать его в signtool через ключ хеш-сертификата /sha1 <.....>
2) добавить в скрипт вызов signtool с флагом /debug
3) добавить в скрипт "certutil -scinfo"

]]> https://forum.rutoken.ru/user/11129/ 2025-07-02T14:13:33Z https://forum.rutoken.ru/post/29422/#p29422 <![CDATA[Re: No private key is available -- это как?]]> уточняю:
sshd.exe работает от имени NT AUTHORITY\SYSTEM
дочерний процесс sshd.exe -- уже от имени моего юзера
в нем запущен conhost.exe, в котором запущен cmd.exe, оба уже под моим логином

]]> https://forum.rutoken.ru/user/15142/ 2025-07-02T11:31:38Z https://forum.rutoken.ru/post/29412/#p29412 <![CDATA[Re: No private key is available -- это как?]]> Фатеева Светлана пишет:

Здравствуйте, Korsar13,
уточните, пожалуйста, ssh-сервис из-под того же пользователя работает или нет?

ssh-сервис работает от LocalSystem
cmd.exe при ssh-логоне уже работает от конкретного пользователя.

и получается, что в окошке под моим текущим юзером -- работает.
делаю

ssh localhost

на том же ящике под тем же логином, запускаю тот же батничек -- и обламываюсь, приватный ключ не найден.

позднее попробовал -- запуск из-под Task Scheduler так же выдает "нет приватного ключа"

]]> https://forum.rutoken.ru/user/15142/ 2025-07-02T11:28:25Z https://forum.rutoken.ru/post/29411/#p29411 <![CDATA[Re: No private key is available -- это как?]]> самое забавное, что если запускать батничек из Task Sheduler, выдав юзеру права на Batch Job -- то точно так же приватный ключ не находится

]]> https://forum.rutoken.ru/user/15142/ 2025-07-02T11:25:05Z https://forum.rutoken.ru/post/29410/#p29410 <![CDATA[Re: No private key is available -- это как?]]> Здравствуйте, Korsar13,
уточните, пожалуйста, ssh-сервис из-под того же пользователя работает или нет?

]]> https://forum.rutoken.ru/user/11129/ 2025-07-02T10:45:31Z https://forum.rutoken.ru/post/29409/#p29409