SSL-VPN Client - Fehler "Unable to create crypto key."

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Benutzeravatar
Simon Trenkle
Beiträge: 2
Registriert: Mi 01.06.2016, 14:51

SSL-VPN Client - Fehler "Unable to create crypto key."

Beitrag von Simon Trenkle »

Hallo,

wir haben bei einige Clients das Problem, dass sich der SSL-VPN Client nicht mehr starten lässt. Beim starten kommen folgende Fehlermeldungen:

- Error: Unable to create crypto key.
- Error: Encryption failed.

Der Fehler tritt auf, seit die Clients (inkl. Benutzerprofil) mittels "User Profile Wizard 3.11" in eine neue Domäne umgezogen wurden. Mit einem neu erstellten Profil funktioniert es. Eine Neuinstallation des Clients bringt keine Besserung. Das Problem tritt unter Windows 8.1 und unter Windows 10 auf.

Ist der Fehler event. bekannt oder hat jemand ein Tip? - Wir sind mit unserem Latein am Ende und Google weiß auch nicht wirklich etwas über den Fehler.

Vielen Dank vorab.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Ist schon versucht worden, den folgenden Ordner umzubenennen oder zu löschen? Die zuvor gespeicherten VPN-Profile sind dann natürlich weg.

Code: Alles auswählen

%USERPROFILE%\AppData\Roaming\Securepoint SSL VPN

Benutzeravatar
Simon Trenkle
Beiträge: 2
Registriert: Mi 01.06.2016, 14:51

Beitrag von Simon Trenkle »

Sorry für die verspätete Rückmeldung.

Der Ordner wurde entfernt und anschließend der VPN-Client neu installiert. - Leider keine Besserung.

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

ab dem SSL-VPN Client 2.0.15 wird c++ runtime redistributable 2013 benötigt. Die Clients davor brauchen c++ runtime redistributable 2012. Damit sollten Sie das Problem beheben können. Sollten die Vorhanden sein ggf. deinstallieren und dann neu installieren.

Gruß Björn

oeko1952
Beiträge: 2
Registriert: Do 23.06.2016, 15:15

Beitrag von oeko1952 »

Moin zusammen, vielleicht kann mir jemand helfen,

Die Fehlermeldung ist ja die Headline zu diesem Problem. Ich habe wirklich alle Steps der Hilfeangebote befolgt leider absolut ohne Erfolg. Hat jemand noch eine hilfreiche Idee, ich bin relativ gefrustet, möchte aber nicht auf Version Win 8.1. zurück
LG
Michael Grünbauer

oeko1952
Beiträge: 2
Registriert: Do 23.06.2016, 15:15

Beitrag von oeko1952 »

Ich habe auch diese Updates durchgeführt.................. unable to create.....

Sorry Björn keine Idee``

Wilhelm N.
Securepoint
Beiträge: 2
Registriert: Do 23.11.2017, 10:54

Beitrag von Wilhelm N. »

Da dieser Beitrag weit oben in der Google suche auftaucht, aber keine Lösungsmöglichkeit aufgezeigt ist, kommt ein Update zur Problembehebung:

Dieser Fehler tritt auf, wenn man als Domänenbenutzer angemeldet ist und die entsprechenden Rechte fehlen. Bei lokalen Usern sollte der Fehler nicht auftreten. Beheben kann man dies mit einer Änderung in der Registry:

Code: Alles auswählen

HKLM\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
Hinzufügen:
ProtectionPolicy = 1

Dies erlaubt dem User auf die entsprechen Cryptokeys zuzugreifen.
Quelle: https://sourceforge.net/p/securepoint/d ... /d90699f5/

Sollte das dann nicht funktionieren, sollte der SSLVPN-Client und den Tap-Treiber komplett deinstalliert werden und anschließend dann neu installieren.

Quintec
Beiträge: 7
Registriert: Mi 17.07.2019, 15:54

Beitrag von Quintec »

Hallo zusammen,

hab zwar (noch) kein Windows 10, dafür aber bereits unter Windows 7 eben diesen Fehler.
Neuinstallation des Clients inclusive TAP habe ich schon in allen möglichen Konstellationen
sowie mit und ohne Reboots durch, der genannte Registry Key ist auch drin - alles ohne Effekt.

Ich bin zwar Domain-User, hab aber alle denkbaren Rechte, sprich local Admin, Domain-Admin ...

Hat mir vielleicht wer einen Tipp, was ich noch machen kann?  Bin ratlos ...  :/

Vielen Dank im Voraus!

Quintec
Beiträge: 7
Registriert: Mi 17.07.2019, 15:54

Beitrag von Quintec »

Gerade eben noch gesehen: Der Client hat angeblich auch keine Verbindung zum Update-Server. Tooltip sagt 'Protocol "" unknown'.
Die Update-Quelle war auch leer, aber auch das Eintragen von 'http://updatevpnc.securepoint.de/vpn-changelog.xml' (aus einem funktionierenden Client übernommen) hat daran nichts geändert.
Und vielleicht hilft's ja: Die beiden Meldungsfenster 'Unable to create crypto key' und 'Encryption failed' kommen je 25 Mal.

Das immer dann,
- wenn ich den 'Securepoint SSL VPN' initial starte sowie danach
- sobald ich auf 'Client Einstellungen' gehe oder
- die Konfiguration einer neuen Verbindung beendet habe (die dann dankenswerterweise auch nicht gespeichert wird).

HaPe
Beiträge: 56
Registriert: Di 09.05.2017, 22:40

Beitrag von HaPe »

Ist denn die C++-Runtime - sofern es sich um 64 Bit Geräte handelt - sowohl in der 32 als auch 64 Bit-Version installiert?

So manches Programm tut´s ja nur richtig, wenn beide Versionen installiert sind, wenn ich mich recht entsinne...

Quintec
Beiträge: 7
Registriert: Mi 17.07.2019, 15:54

Beitrag von Quintec »

Ja, sind sie.  Da sind angefangen von 2005 über 2008, 2010, 2012 und 2013 bis hin zu 2017 alle drauf, sowohl als x86 als auch x64.

Hab jetzt auch noch mal sowohl beide "Visual C++ Redistributable Packages for Visual Studio 2013" als auch den Client per Systemsteuerung deinstalliert, dann die beiden TAPs incl. Treibersoftware per Gerätemanager deinstalliert, INFCACHE.1 gelöscht, neu gestartet und alles noch mal von vorne installiert, angefangen über frisch heruntergeladenen MS Visual  C++ 2013 x86 sowie x64 (12.0.30501) und zuguterletzt den Client v2.0.25, der auch TAP v9 wieder neu gemacht hat, inclusive Abfrage, ob der Software von Securepoint vertraut werden soll (der wurde also ganz wirklich ganz neu gemacht) - aber genau gar keine Änderung.  :/

Quintec
Beiträge: 7
Registriert: Mi 17.07.2019, 15:54

Beitrag von Quintec »

Jetzt wird's mysteriös: Ich habe die Installation mal unter einem lokalen Benutzer durchgeführt, und da funktioniert alles problemlos.
Danach noch mal als Domain-Benutzer angemeldet - und schon ist der alte Fehler wieder da.  :/

Daraufhin habe ich dem als Domain User gestarteten Client einfach mal die Konfiguration des lokalen Benutzers untergeschoben (sprich das Verzeichnis aus %AppData%\Roaming\Securepoint SSL VPN\config" des lokalen Benutzers in das des Domain-Benutzers kopiert), Service und Client gestartet ... und nach den 2*25 Fehlermeldungen geht das Verbindungsübersichtsfenster auf und zeigt mir tatsächlich die untergeschobene Verbindung an - aber nicht mit dem erwarteten Namen sondern mit lauter Sonderzeichen (falls die ankommen: "P7™‹ùÜ|Í[e´<Ùô3Ø¿ˆòœ¦Õ"). Gerade so, als wäre ein falsches Encoding eingestellt, oder als ob er versucht hätte, das zu de/crypten.

Gehe ich dann per Rechtsklick auf "Schnell bearbeiten", geht das Fenster auch auf, aber oben (wo normal der Name steht) gibt's dann eine ähnlich kryptische Titelzeile, nur deutlich länger, und der Abschnitt mit der Konfiguration ist komplett leer.

Wie solches selbst bei sowas rudimentärem wie der Anzeige des Namens oder der Konfiguration passiert, verstehe ich überhaupt nicht. Da dürfte doch eigentlich einfach nur plain ASCII übermittelt werden ... was kann da im lokalen Kontext so viel anders sein als im Domain-Kontext ...???

Quintec
Beiträge: 7
Registriert: Mi 17.07.2019, 15:54

Beitrag von Quintec »

Ach so - oben steht natürlich nicht nur der Name, sondern der komplette Pfad der Konfigurationsdatei - nur eben "gecrypted".

Und wenn ich dann versuche, die Verbindung zu starten, dann landet das folgende im Logfile:

Try to start OpenVPN connection SíäNoš(žùka>ka[¶[Nº<¢@Ö«7šØM·9ŠË…Ð×ÍÌÚµÂÁç<º»>Îä‘x‚Xð•>®˜G{§uBçÕ£è_a‰ÇÔ[È
OΞpÍ?ˍKú£¶ûd‰ SíäNoš(žùka>ka[¶[Nº<¢@Ö«7šØM·9ŠË…Ð×ÍÌÚµÂÁç<º»>Îä‘x‚Xð•>®˜G{§uBçÕ£è_a‰ÇÔ[È
OΞpÍ?ˍKú£¶ûd‰Â

Da zeigt für meine Begriffe doch irgendwo ein Pointer ins Nirwana ... vielleicht sollte man einfach mal einen Lint über das Programm laufen lassen ... *grummel*

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Moin!

Ich hatte das Problem mal so ähnlich. Dort war es auch ein Roaming Profil und im Pfad war ein Umlaut (domäne.local....)
Befinden sich Umlaute in dem Pfad?

Grüße
Svenja

Quintec
Beiträge: 7
Registriert: Mi 17.07.2019, 15:54

Beitrag von Quintec »

Nop, es ist kein serverbasiertes Profil (oder was meintest Du mit "Roaming"?) und es gibt auch keine Umlaute im Pfad, nicht mal Leerstellen.

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Moin!

Ja, das meinte ich. Aber wenn es das nicht ist, dann weiß ich leider auch keinen Rat mehr.

Grüße
Svenja

Quintec
Beiträge: 7
Registriert: Mi 17.07.2019, 15:54

Beitrag von Quintec »

Ja, das höre ich in letzter Zeit öfter ... :/
Danke natürlich dennoch!  ;)

Antworten