JaCarta/Рутокен: конфликт минидрайверов и как их развести правильно (2025)

Обе системы могут работать на одном ПК, если их «не сталкивать лбами». Разберём безопасный порядок установки, как развести KSP/CSP и PKCS#11, что выключить в браузерах и как проверить, кто именно отвечает за носитель.

Коротко: симптомы конфликта

  • Токен определяется, но PIN запрашивает «чужое» окно (не вашего поставщика).
  • В браузере сайты видят «другой модуль», подпись не проходит.
  • В certutil видно несколько провайдеров на одну смарт‑карту.
Нужна помощь? Разведу JaCarta и Рутокен на одном ПК без конфликтов: правильные драйверы, порядок провайдеров, PKCS#11/KSP и браузеры.

1) Правильный порядок установки и очистка хвостов

  1. Удалите все «хвосты» предыдущих установок: JaCarta, Rutoken, eToken, Guardant. Перезагрузитесь.
  2. Поставьте CryptoPro CSP (актуальную), затем JaCarta минидрайвер, затем Rutoken минидрайвер. Повторная перезагрузка.
  3. Если нужен только один из PKCS#11 — второй модуль не подключайте в приложения, где он не используется.

PowerShell — выполнять по одной:

# Какие смарт-карты зарегистрированы в системе
Get-ChildItem "HKLM:\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards" | Select PSChildName

# Какие криптопровайдеры установлены
certutil -csplist

2) CSP/KSP: назначаем приоритеты и проверяем доступ

В CryptoPro CSP проверьте, какой KSP/CSP используется для каждого носителя. Для JaCarta и Rutoken должны быть свои записи. Важно, чтобы приложения брали «свой» провайдер.

CMD — выполнять по одной:

certutil -scinfo
certutil -store -user My

В -scinfo смотрите имя провайдера и модуль, который запрашивает PIN.

3) PKCS#11: разводим библиотеки в приложениях

Во всех программах, где используется PKCS#11 (1С, браузерные модули, Acrobat), явным образом укажите только нужную библиотеку:

  • Для Рутокена — rtPKCS11.dll
  • Для JaCarta — jcPKCS11.dll / jcPKCS11_64.dll

Не подключайте обе библиотеки одновременно в одном приложении, если они работают с одинаковыми контейнерами — получите «перетягивание».

4) Браузеры и плагины: отключаем лишнее

Если стоит CryptoPro CAdES Browser Plug‑in, убедитесь, что сайт использует именно его, а не сторонний pkcs11-модуль. В настройках сайтов отключите лишние плагины/расширения. Для «тонких клиентов» укажите конкретный путь к pkcs11-библиотеке.

5) USB и смарт‑карт‑ридеры: наводим порядок

В диспетчере устройств не должно быть «универсальных» ридеров, которые захватывают карту раньше нужного драйвера. Отключите автоматическую установку чужих ридеров, оставьте только родные от JaCarta/Rutoken.

6) Частые проблемы и решения

  • Окно PIN от «не того» поставщика — удалите чужой минидрайвер, проверьте порядок pkcs11 в приложении, пересоздайте ассоциации в CSP.
  • Сайт не видит ключ — загружен другой модуль; в настройках сайта выберите точный pkcs11 и перезапустите браузер.
  • Дубликаты сертификатов — почистите «Личное» хранилище пользователя от старых записей, оставьте актуальные.

FAQ

Можно держать оба минидрайвера одновременно?

Да, если в приложениях задана конкретная библиотека PKCS#11 и CSP правильно сопоставляет носители.

Что ставить первым — CSP или минидрайверы?

Сначала CSP, потом минидрайверы токенов. Так меньше шансов получить конфликт.

Как понять, кто запрашивает PIN?

Используйте certutil -scinfo и логирование приложений: там видно, какой провайдер задействован.

Читайте также: