
Приглашаем всех 6 сентября 2022 года в 11:00 (МСК) принять участие в вебинаре “Особенности реализации требований приказа ФАПСИ №152 по учёту СКЗИ”, который совместно проведут компании КриптоПро и Spacebit.
В ходе мероприятия эксперты рассмотрят вопросы нормативного регулирования учета СКЗИ и выполнения соответствующих требований. Отдельное внимание будет уделено возможностям СКЗИ и особенностям их практического применения.
Ключевые темы:
- Разбор основных требований приказа ФАПСИ №152 по учету СКЗИ;
- Демонстрация возможностей системы X-Control по реализации требований приказа ФАПСИ №152;
- Обзор возможностей СКЗИ КриптоПро CSP 5.0;
- Текущий статус по сертификации различных версий КриптоПро CSP и КриптоПро УЦ.
Участие в мероприятии бесплатное, необходима регистрация.
Криптопровайдер КриптоПро на сегодняшний день является, пожалуй, самым популярным на рынке, по крайней мере в России. Я хочу рассказать, как быстро и удобно перенести большое количество контейнеров закрытых ключей CryptoPro и сертификатов к ним. Существует штатный механизм в самой программе, работает в ручном режиме и не подходит, когда надо перенести большое количество.
Онлайн-курс по Kubernetes – для разработчиков, администраторов, технических лидеров, которые хотят изучить современную платформу для микросервисов Kubernetes. Самый полный русскоязычный курс по очень востребованным и хорошо оплачиваемым навыкам. Курс не для новичков – нужно пройти вступительный тест.
Заказать настройку ЭЦП от 500 р.
- Введение
- Установка сертификата автоматически с выбором хранилища
- Установка сертификата вручную с выбором хранилища
- Установка сертификата через «Личный сертификат»
- Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер
- Копирование закрытого ключа через оснастку КриптоПро
- Часто задаваемые вопросы по теме статьи (FAQ)
- Сертификат связан с модулем криптографии “Infotecs Cryptographic Service Provider” с типом 2
- Ошибка копирования контейнера
- КриптоПро CSP ошибка 0x80090010 Отказано в доступе
- Онлайн курс по Kubernetes
- Помогла статья? Подписывайся на telegram канал автора
Введение
Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это – банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим. Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме. Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:
- Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
- Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.
Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.
Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.
Для установки личного сертификата электронной подписи компании используйте один из способов:
- Установка сертификата автоматически с выбором хранилища
- Установка сертификата вручную с выбором хранилища
- Установка сертификата через «Личный сертификат»
Установка сертификата автоматически с выбором хранилища
1. Для того, чтобы установить личный сертификат, откройте «КриптоПро CSP» (Рис. 1).

2. В открывшейся программе перейдите во вкладку «Сервис», затем нажмите «Просмотреть сертификаты в контейнере» (Рис. 2).

3. В открывшемся окне нажмите кнопку «Обзор» (Рис. 3).

4. Выберите ключевой контейнер из списка и нажмите кнопку «Ок» (Рис. 4).

5. В окне «Сертификаты в контейнере закрытого ключа» нажмите кнопку «Далее» (Рис. 5).

6. Затем нажмите кнопку «Установить» (Рис. 6).

7. Сертификат установится в хранилище «Личные» текущего пользователя.
Установка сертификата вручную с выбором хранилища
Для установки личного сертификата (сертификата вашей организации) вручную выполните следующие действия.
На рабочем столе нажмите кнопку «Пуск», выберите «Панель управления», затем «КриптоПро CSP». В появившемся окне «КриптоПро CSP» перейдите на вкладку «Сервис» и нажмите кнопку «Посмотреть сертификаты в контейнере» (Рис. 7).

В открывшемся окне нажмите кнопку «Обзор» (Рис. 8).

Выберите нужный контейнер и нажмите кнопку «Ок» (Рис. 9).

В следующем окне кликните по кнопке «Далее» (Рис. 10).

Нажмите кнопку «Свойства» (Рис. 11).

В открывшемся окне нажмите кнопку «Установить сертификат» (Рис. 12).

Выберите расположение хранилища «Текущий пользователь» и нажмите «Далее» (Рис. 13).

Укажите расположение сертификата вручную, выбрав «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор» для выбора хранилища сертификатов (Рис. 14).

Выберите «Личное» и нажмите «Ок» (Рис. 15).

Нажмите кнопку «Далее» (Рис. 16).

Нажмите кнопку «Готово» (Рис. 17).

Нажмите кнопку «Ок» (Рис. 18).

Установка сертификата через «Личный сертификат»
Для установки личного сертификата (сертификата вашей организации) через «Личный сертификат» выполните следующие действия.
На рабочем столе нажмите кнопку «Пуск», выберите «Панель управления», затем «КриптоПро CSP». В появившемся окне «КриптоПро CSP» перейдите на вкладку «Сервис» и нажмите кнопку «Установить личный сертификат» (Рис. 19).

В открывшемся окне нажмите кнопку «Обзор» (Рис. 20).

Выберите нужный сертификат и нажмите кнопку «Открыть» (Рис. 21).

В следующем окне нажмите кнопку «Далее» (Рис. 22).

Нажмите кнопку «Далее» (Рис. 23).

В открывшемся окне отметьте поле «Найти контейнер автоматически» (1) и нажмите кнопку «Далее» (2) (Рис. 24).

В окне «Хранилище сертификатов» нажмите кнопку «Далее» (Рис. 25).

Нажмите «Готово» (Рис. 26).

Отобразятся сообщения о чтении ключевой информации и произведении записи информации, нажмите «Ок» (Рис. 27, 28).


Если ранее сертифкат уже был в хранилище, то система предложит заменить его. Нажмите кнопку «Да» (Рис. 29).

Сертификат будет установлен.
|
HappyDragone Оставлено | |
1. Настраиваю получение метки времени в службе штампов времени АУЦ Банка России. Win 10 домашняя. На Win 10 Stunnel устанавливается как служба. Создан конф файл. Подписываю в КриптоАРМ 5, где указан адрес службы TSP. Не подписывает, вылетает ошибка Описание ошибки в КриптоАРМ: Ошибка сохранения сообщения (0x80004005) Произошла ошибка при создании подписи Невозможно получить штамп времени. Ошибка отправки запроса на штамп времени. При попытке отправки запроса возникла ошибка HTTP (0xc2100100) (0x80004005) Рекомендации УЦ после моего обращения по ошибке таковы: Для того чтобы исправить данную ошибку, необходимо установить личный сертификат с привязкой к контейнеру, промежуточный сертификат Банка России и головной корневой сертификат Минком связи в хранилище «Сертификаты (локальный компьютер)» согласно инструкции по доступу к сервисам службы меток доверенного времени размещенной по ссылке http://cbr.ru/certificat…toveryayuschego_centra/. Вероятнее всего у Вас сейчас сертификаты установлены в хранилище – «сертификаты – текущий пользователь». Корневые-промежуточные установил в Локальный компьютер, а вот личный сертификат туда никак не ставится. И ошибка не уходит. Использую Крипто Про CSP 4.0.9944 Пожалуйста, подскажите, как настроить это? Может быть, кто-то сталкивался с настройкой получения метки времени на подпись через stunnel для взаимодействия со службой меток времени на подпись АУЦ Банка России. 2. Решил попробовать настроить на другом ПК с Win7 домашняя базовая. При попытке выполнить команду stunnel.exe – install в командной строке от имени Администратора вываливается: Startservicectrldispatcher being called. this may take several seconds. please wait. Как служба stunnel не появляется в оснастке “Службы”. Т.е. и здесь не судьба. А настраивать придется все-таки в Win7, в офисе везде лицензионные Win7 установлены. Пожалуйста, помогите. Что я делаю не так ?! Вдруг кто-то уже сталкивался с настройкой и удачным результатом получения метки времени на подпись в АУЦ Банка России. Если уж на Win 7 не получится, то хоть на Win 10, ибо есть одна машинка в офисе на Win 10 (не домашняя) | |
|
Санчир Момолдаев Оставлено | |
Добрый день! согласно документации: какой адрес тсп указываете? есть ли прокси? | |
|
two_oceans Оставлено | |
Вообще, если работаете на Win10, желательно бы обновиться хотя бы на последнюю сертифицированную 4.0.9963 (если лицензии на 5.0 нет), либо на 5.0 R2 или новее. Суть в тои, что Десятка постоянно меняется и если у Вас не замороженная версия Десятки давности несколько лет, то не все будет гладко работать с 9944. Цитата: Корневые-промежуточные установил в Локальный компьютер, а вот личный сертификат туда никак не ставится. Для этого нужно панель управления КриптоПро запустить с правами администратора (в 4 версии на первой вкладке общие соответствующая ссылка). Сработает если у пользователя есть права администратора (ну если с корневыми вышло, то полагаю есть). Как обычно на вкладке “Сервис” нажимаете одну из кнопок “Просмотреть сертификаты в контейнере” либо “Установить личный сертификат”. Далее в мастере находите переключатель “введенное имя задает ключевой контейнер” выбираете “компьютера”. Если был просмотр сертификатов, то нажимаете “Установить” на последнем шаге. Это должно установить сертификат в “Личные” локального компьютера. Тонкий момент разве что в том, что если хотите использовать реестр, то контейнер в реестре пользователя не видно в режиме компьютера, поэтому возможно потребуется сначала скопировать на флэшку (она видна в обоих режимах), потом обратно в реестр уже компьютера. Цитата: 2. Решил попробовать настроить на другом ПК с Win7 домашняя базовая. При попытке выполнить команду stunnel.exe – install в командной строке от имени Администратора вываливается: Пробел там не лишний между – и install? Это конечно самый простой способ создать службу, но не единственный. Также можно использовать другие способы: программку instserv (идет в комплекте у многих драйверов и программ), системную команду sc create (навскидку, у меня на Семерке создается практически одинаковый куст реестра с тем что создает сам stunnel) Код: либо добавление файла реестра экспортированного с одного компьютера импортом на другой. В случае файла реестра потребуется перезагрузка. Ах да, не забывайте про разрядность системы. Отредактировано пользователем 28 января 2022 г. 11:15:24(UTC) | |
Эта статья описывает типичные ошибки работы КриптоПро ЭЦП Browser plug-in в браузерах и предлагает способы их решения.
Появляется окно КриптоПро CSP Вставьте ключевой носитель

Появление данного окна значит, что у Вас не вставлен носитель с закрытым ключом для выбранного Вами сертификата.
Необходимо вставить ключевой носитель. Убедитесть, что устройство отображается в Диспетчере Устройств Windows. Установите драйверы на устройство с сайта производителя если они не установлены.
Если предыдущие действия не помогли, необходимо переустановить сертификат в хранилище Личное текущего пользователя с привязкой к закрытому ключу. См статью.
Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)

Эта ошибка возникает, когда невозможно проверить статус сертификата (нет доступа к спискам отзыва или OCSP службе), либо не установлены корневые сертификаты.
Проверьте, строится ли цепочка доверия: откройте сертификат (например через Пуск -> Все программы -> КриптоПро -> Сертификаты-Текущий Пользователь -> Личное -> Сертификаты), перейдите на вкладку Путь сертификации. Если на этой вкладке присутствуют красные кресты, или вообще нет ничего кроме текущего сертификата (кроме тех случаев если сертификат является самоподписанным), значит цепочка доверия не построена.
Скриншоты с примерами сертификатов, у которых не строится цепочка доверия.


Чтобы цепочка доверия построилась необходимо скачать и установить корневые и промежуточные сертификаты. Скачать их можно с сайта УЦ, издавшего сертификат.
Если вы используете квалифицированный сертификат, то попробуйте установить в доверенные корневые эти 2 сертификата. Это сертификаты Головного УЦ Минкомсвязи и Минцифры. От них, при наличии интернета, должна построится цепочка доверия у любого квалифицированного сертификата.
https://e-trust.gosuslugi.ru/#/portal/registry/ufo-certificate-card/34656 – страница сертифката, ссылка с серийным номером скачает файл сертификата
https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ca/download/2F0CB09BE3550EF17EC4F29C90ABD18BFCAAD63A
Чтобы установить скачанный сертификат в доверенные корневые центры сертификации, нажмите по нему правой кнопкой-Выберите пункт –Установить сертификат- Локальный компьютер (если такой выбор есть) – Поместить все сертификаты в следующие хранилище-Обзор-Доверенные корневые центры сертификации-Ок- Далее- Готово- когда появится предупреждение системы безопасности об установке сертификата- нажмите Да-Ок.
Если этого недостаточно, обратитесь в УЦ, выдавший вам сертификат, за сертификатом самого УЦ.
Полученный от УЦ сертификат является промежуточным в цепочке Минкомсвязи -> УЦ -> вы, поэтому при его установке выбирайте хранилище “Промежуточные центры сертификации”.
Важно: Если вы создаете CAdES-T (доверенное время) или CAdES-XLongType 1 (доверенное время и доказательства подлинности), ошибка цепочки может возникать если нет доверия к сертификату оператора TSP службы. В этом случае необходимо установить в доверенные корневые центры сертификации корневой сертификат УЦ, предоставляющего службу TSP.
При создании подписи появляется окно с ошибкой “Не удается найти сертификат и закрытый ключ для расшифровки. (0x8009200B)”, в информации о сесртификате отображается “нет привязки к закрытому ключу”

Выполните привязку сертификата к закрытому ключу.
Важно: На наших демо-страницах подпись будет создана даже если привязки к ЗК нет. При этом сертификат должен находиться в контейнере. Сообщение “нет привязки к закрытому ключу” в данном случае будет носить информационный характер. Однако для обеспечения совместимости со сторонними площадками мы рекомендуем выполнять привязку сертификата к закрытому ключу.
Подпись создается, но также отображается статус “ошибка при проверке цепочки сертификатов”.
Это значит, что нет доступа к спискам отозванных сертификатов.

Списки отозванных сертификатов можно скачать на сайте УЦ, выдавшем сертификат, после получения списка его необходимо установить, процедура идентична процедуре установки промежуточного сертификата ЦС. При отсутствии ограничений на доступ в сеть Интернет списки обновляются автоматически.
Ошибка: 0x8007064A/0x8007065B

Причина ошибки – истёк срок действия лицензий на КриптоПро CSP и/или КриптоПро TSP Client 2.0 и/или Криптопро OCSP Client 2.0.
Для создания CAdES-BES подписи должна быть действующая лицензия на КриптоПро CSP.
Для создания CAdES-T должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0.
Для создания XLT1 должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0, КриптоПро OCSP Client 2.0
Посмотреть статус лицензий можно через: Пуск- Все программы- КРИПТО-ПРО- Управление лицензиями КриптоПро PKI.
Чтобы активировать имеющуюся лицензию:
– откройте Пуск -> Все программы -> КРИПТО-ПРО -> Управление лицензиями КриптоПро PKI
– выберите нужный программный продукт -> откройте контекстное меню (щелкнуть правой кнопкой мыши) -> выберите пункт “Все задачи” -> выберите пункт “Ввести серийный номер…”
– введите в поле информацию о лицензии и нажмите OK чтобы сохранить её.
Отказано в доступе (0x80090010)

Причина ошибки: Истек срок действия закрытого ключа. Проверьте срок действия Зайдите в Пуск -> Все программы -> КРИПТО-ПРО -> Крипто-Про CSP. Перейдите на вкладку Сервис. Нажмите кнопку “Протестировать”, выберите контейнер с закрытым ключом кнопкой “Обзор” или “По сертификату” и в результатах тестирования Вы сможете увидеть срок его действия. Рекомендуется получить новый ключ.

Ошибка: Invalid algorithm specified. (0x80090008)
Ошибка возникает, если Вы используете сертификат, алгоритм которого не поддерживается Вашим криптопровайдером.
Пример: У вас установлен КриптоПро CSP 3.9 а сертификат Выпущен по ГОСТ 2012.
Или если используется алгоритм хеширования, не соответствующий сертификату.
Так же проверьте актуальность версии КриптоПро CSP.
Развёртывание демонстрационного стенда производится на примере виртуальных машин
(допустимо использовать аппаратную платформу NGate). Подробное описание процесса установки ПО NGate и настройки в
консоли сетевых интерфейсов и других основных параметров см. в разделе: Мастер настройки при первом запуске. Подробное описание создания инфраструктуры PKI описано в Развёртывание инфраструктуры PKI с использованием встроенного сервиса Системы управления.
Схема демонстрационного стенда показана на рисунке Схема демонстрационного стенда для бесклиентского доступа. В
качестве шлюза NGate выступает ВМ с дистрибутивом complete, в котором Узел NGate и СУ совмещены,
имя машины ngate-vm-complete. В качестве АРМ Администратора выступает ПК с ОС Windows с уже установленным
криптопровайдером КриптоПро CSP. АРМ Администратора должен
находиться в той же локальной сети, что и виртуальная машина NGate для стенда.

- Создайте в программном обеспечении виртуализации виртуальную машину с
параметрами:- Гостевая операционная система Debian Linux 9 x64;
- ОЗУ – 1 ГБ;
- Жесткий диск – 10 ГБ;
- Виртуальные сетевые интерфейсы – 2 шт., тип сетевого адаптера
E1000, тип сетевого взаимодействия Bridged
Networking.
- Запустится мастер настройки при первом запуске, где нужно задать параметры
сетевых интерфейсов, часовой пояс, сгенерировать внешнюю гамму (4) и открыть доступ по SSH. - Первой запустится утилита ng-netcfg, где нужно задать
параметры сетевых интерфейсов.- Выберите Configure interfaces, нажмите
OK:
- Выберите первый интерфейс для настройки, нажмите
ОК:
- Выберите тип статический static:
Configure static address, нажмите
ОК:
- Введите параметры сетевого интерфейса, в данном примере параметры
вводятся в соответствии со схемой на рисунке Схема демонстрационного стенда для бесклиентского доступа. После завершения ввода нажмите
ОК.
- Выберите второй интерфейс для настройки:

- Выберите тип статический static:
Configure static address, нажмите
ОК:
- Введите параметры второго сетевого интерфейса, также в соответствии со
схемой на рисунке Схема демонстрационного стенда для бесклиентского доступа. После завершения ввода нажмите
ОК.
- Выберите один из интерфейсов для интерфейса управления
management interface. Через данный интерфейс
будет осуществляться доступ с АРМ Администратора к веб-интерфейсу
управления ВМ NGate. Для выбора войдите в меню Select
management interface.
- Установите курсор на нужный сетевой интерфейс и нажмите
Пробел для выбора. В поле выбранного
интерфейса появится (*). В качестве интерфейса
управления для данного стенда назначим внутренний
192.168.1.3. Нажмите OK
для сохранения и возврата в основное меню утилиты.
- Перезагрузите сетевые интерфейсы для применения настроек: выберите
Restart network.
- Выберите перезагрузку всех интерфейсов ALL и
нажмите OK.
- Выберите Configure interfaces, нажмите
- Нажмите Cancel в основном меню утилиты
ng-netcfg для продолжения настройки.
- Затем в мастере настройки запустится утилита ng-timezone для
установки часового пояса.- Выберите регион, соответсвующий вашему часовому поясу. Нажмите
OK.
- Выберите город, соответсвующий вашему часовому поясу. Нажмите
OK.
- Выберите регион, соответсвующий вашему часовому поясу. Нажмите
- Сгенерируйте элементы внешней гаммы в специальной
утилите.- В поле External Gamma нажмите
OK.
- В дальнейшем будет использовано 8 элементов гаммы, столько
.
- Введите Yes на запрос об перезаписи гаммы.

- Вводите произвольные символы с клавиатуры до завершения.

- Успешное завершение создания внешней гаммы. Нажмите
OK для продолжения.
- Выберите дважды Cancel для возврата в главное
меню и ещё раз Cancel в главном меню для
продолжения работы мастера настройки.
- В поле External Gamma нажмите
- Откройте доступ по SSH для суперпользователя root по паролю: выберите
Yes в запросе.
ngate-vm-complete login: root Password:
- Запустите утилиту для создания инфраструктуры PKI
внутреннего взаимодействия: введите ng-certcfg в командной
строке. В демонстрационном стенде присутствует только одна машина NGate с
дистрибутивом complete, и из всей инфраструктуры необходимо создать
только защищённый доступ к веб-интерфейсу управления с АРМ Администратора. - Создайте корневой сертификат MC Root Certificate.
- В данном примере в качестве замены Удостоверяющего центра используем
внутренний сервис СУ. Выберите Work with internal MC
service.
- Выберите MC Root Certificate.

- Создайте сертификат Generate.

- Выберите Yes в окне запроса про удаление
текущего сертификата.
- Введите данные Корневого сертификата (MC Root
Certificate) и нажмите OK.
- Сертификат успешно создан и установлен на данную машину NGate. Нажмите
OK для возврата в меню работы с корневыми
сертификатами.
- В данном примере в качестве замены Удостоверяющего центра используем
- Создайте Серверный сертификат MC Server Certificate.
- Перейдите в меню взаимодействия с сертификатами внутреннего сервиса СУ.
Выберите в данном меню MC Server
Certificate.
- Выберите Generate key and certificate.

- Введите DNS-имя машины NGate в поле DNS-имя, в
данном пример это ngate-vm-complete.
- Сертификат успешно создан, нажмите OK для возврата в главное меню
утилиты.
- Перейдите в меню взаимодействия с сертификатами внутреннего сервиса СУ.
- Выберите Generate key and certificate.

- Введите данные сертификата.

- Сертификат Администратора успешно сформирован.

- Выберите Generate key and certificate.
- Выполните привязку Сертификат Администратора.
- Экспортируйте файл для привязки Export certificate for
bindings.
- Сертификат успешно экспортирован.

- Привяжите сертификат администратора к данной машине NGate, выберите
Create certificate bindings.
- Сертификат успешно привязан.

- Появится запрос о перезапуске сервисов для применения новых
настроек.
- Экспортируйте файл для привязки Export certificate for
- Экспортируйте закрытый ключ Сертификата Администратора на
флеш-накопитель.- Подключите к виртуальной машине NGate флеш-накопитель (без записанных
файлов, в формате FAT32). - Выберите из списка флеш-накопитель для экспорта закрытого ключа.

- Введите пароль для контейнера закрытого ключа. Затем ещё раз повторите
пароль.
- Контейнер закрытого ключа успешно экспортирован.

- Подключите к виртуальной машине NGate флеш-накопитель (без записанных
- В консоли шлюза необходимо сформировать сервисные ключи. .
- Выберите в главном меню утилиты ng-certcfg
Service keys management.
- Создайте новые сервисные ключи Generate.

- Сервисные ключи успешно сформированы, нажмите ОК
для возврата в меню утилиты.
- Выберите в главном меню утилиты ng-certcfg
- Настройте АРМ Администратора для подключения
к веб-интерфейсу управления машины NGate по защищённому каналу. Установите
корневой сертификат (MC Root Certificate) на АРМ
Администратора.- Скопируйте файл корневого сертификата с машины NGate на АРМ
Администратора. По умолчанию файл расположен:
/tmp/mc_root_generated.cer. Используйте
файловый менеджер c подключением по SSH или перенесите файл через
флеш-накопитель.
- Установите корневой сертификат в хранилище доверенных корневых
сертификатов. Нажмите правой кнопкой мыши на файле и выберите
Установить сертификат.
- Выберите Локальный компьютер и
нажмите Далее.
- Выберите хранилище для установки корневого сертификата: .

- Скопируйте файл корневого сертификата с машины NGate на АРМ
- Подключите к АРМ Администратора флеш-накопитель с контейнером закрытого
ключа Сертификата администратора. - Запустите КриптоПро CSP. Перейдите на вкладку
Сервис и выберите Просмотреть
сертификаты в контейнере.
- Выберите сертификат на флеш-накопителе, который был получен
ранее.
- Подключите к АРМ Администратора флеш-накопитель с контейнером закрытого
- Пропишите на DNS-сервере сети или в файле хостов АРМ Администатора соответсвия
DNS-имени (ngate-vm-complete) и адреса управления
(192.168.1.3). - Теперь возможно подключение к веб-интерфейсу машины NGate через браузер с поддержкой ГОСТ TLS, в котором
производится дальнейшая настройка шлюза.
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Удалил контейнер закрытого ключа
|
brightsolutions Оставлено | |
Просьба о помощи к знатокам. Устанавливал новые сертификаты и по невнимательности удалил контейнер закрытого ключа (или даже их 2 было там). Сейчас не работает ЭЦП. Задача восстановить работу сервиса, чтобы сертификат был на компе, без внешних носителей. Подскажите, пожалуйста, что надо для этого сделать. Win 11, CryptoPro CSP 5.0.12330. Если нужна еще какая инфо – отвечу на все вопросы. Честно смотрел ЧАВО, искал на других ресурсах, прямого и понятного решения своей проблемы не нашел. Буду благодарен всем идеям.
Отредактировано пользователем 10 января 2022 г. 19:20:49(UTC) | |
|
nickm Оставлено | |
Автор: brightsolutions и по невнимательности удалил контейнер закрытого ключа (или даже их 2 было там). Поднимайте бэкапы. | |
|
brightsolutions Оставлено | |
Автор: nickm Автор: brightsolutions и по невнимательности удалил контейнер закрытого ключа (или даже их 2 было там). Поднимайте бэкапы. Бэкап системы не делал. Сделал восстановление к точке восстановления системы до удаления – не помогло. Переустанавливал КриптоПро – тоже без результата. Контейнер был в реестре, внешние носители не использовал. Если я сам не делал копии реестра, они сами то не копируются, я полагаю. Его можно как-то заново создать этот контейнер? Какие еще есть идеи? | |
|
nickm Оставлено | |
Автор: brightsolutions Переустанавливал КриптоПро – тоже без результата. Это бесполезное действие в Вашем, конкретном, случае. Автор: brightsolutions Контейнер был в реестре, внешние носители не использовал. Контейнер хранится здесь, например, (1), (2). Автор: brightsolutions Его можно как-то заново создать этот контейнер? У Вас что ли тестовые ключи? Автор: brightsolutions Какие еще есть идеи? Давайте подождём вместе, главное, что бы Вы не усугубили уже сложившуюся ситуацию. | |
|
two_oceans Оставлено | |
Автор: brightsolutions Если я сам не делал копии реестра, они сами то не копируются, я полагаю. Наоборот. В точки восстановления с некоторых пор включается и реестр. Новые версии Windows (10 и скорее всего 11) кроме точек восстановления автоматически делают бэкап реестра примерно раз в 10 дней (то есть даже если точки отключены этот бэкап есть). Так что если с момента удаления прошло менее 10 дней и ключ существовал дольше 10 дней можно попробовать вытащить файл SOFTWARE из папки C:\Windows\System32\config\RegBack это соответствует HKEY_LOCAL_MACHINE\Software, где все ключи и должны быть. Вот только смущает, что уже пробовали откат на точку восстановления – при этом могла копия переписаться. Далее копию можно подгрузить в редактор реестра (встать на HKEY_LOCAL_MACHINE выбрать Файл – загрузить куст, ввести новое имя, Soft1, например), экспортировать нужные данные, выгрузить куст. Потом заменить в экспортированном файле имя \Soft1\ на \Software\ и импортировать обратно, подправить разрешения на контейнер. Аналогичная операция может быть проделана и над копией реестра из точки восстановления – нет необходимости откатываться на точку, но потребуется шаманство с правами или с запуском редактора реестра от имени “системы”, чтобы увидеть содержимое точки и в частности копию реестра. Отредактировано пользователем 10 января 2022 г. 23:52:37(UTC) | |
| |
|
brightsolutions Оставлено | |
Автор: nickm Контейнер хранится здесь, например, (1), (2). У меня по указанному пути вот что, похоже, контейнеров там нет: При переходе в директорию от второй и ниже в ругается вот так: Автор: nickm Давайте подождём вместе, главное, что бы Вы не усугубили уже сложившуюся ситуацию. Я сейчас только ищу инфо, собираю советы, ничего не делаю. Реестр вообще боюсь трогать. Надеюсь, умные люди еще что-то подскажут. Тогда и решим, что пробовать. | |
|
brightsolutions Оставлено | |
Автор: two_oceans Так что если с момента удаления прошло менее 10 дней и ключ существовал дольше 10 дней можно попробовать вытащить файл SOFTWARE из папки C:\Windows\System32\config\RegBack это соответствует HKEY_LOCAL_MACHINE\Software, где все ключи и должны быть. Проверил эту папку, к сожалению, она пустая (поставил галку отображать скрытые файлы и папки в свойствах file explorer) | |
|
nickm Оставлено | |
Автор: two_oceans Аналогичная операция может быть проделана и над копией реестра из точки восстановления – нет необходимости откатываться на точку, но потребуется шаманство с правами или с запуском редактора реестра от имени “системы”, чтобы увидеть содержимое точки и в частности копию реестра. Можно намного проще, например так, ну или конкретный пример. Автор: brightsolutions Я сейчас только ищу инфо, собираю советы, ничего не делаю. Реестр вообще боюсь трогать. Надеюсь, умные люди еще что-то подскажут. Тогда и решим, что пробовать. Уже подсказали 😉 Отредактировано пользователем 11 января 2022 г. 6:13:09(UTC) | |
|
brightsolutions Оставлено | |
Прошу прокомментировать, правильно ли я понимаю, что получив новую ЭЦП в УЦ при первой установке на выбранный носитель (реестр, флэш) генерится ключевой контейнер. При повторной установке ЭЦП на этот же комп или на любую другую машину или флэшку контейнер уже создаваться не будет? Т.е. контейнер для одной ЭЦП генерится только один раз. Если это так, что в принципе логично, то ситуация тяжелая. Прямое решение – получение новой ЭЦП. Т.е. в моем случае это равносильно утере флешки с контейнером. И еще, правильно ли я понимаю, что при получении новой ЭЦП и установке на машину, будет создан новый ключевой контейнер для новой ЭЦП, т.е. хочу понять, на данной машине кроме ЭЦП ничего не испорчено, новые ЭЦП при правильной установке будут штатно работать? | |
|
nickm Оставлено | |
Автор: brightsolutions Проверил эту папку, к сожалению, она пустая (поставил галку отображать скрытые файлы и папки в свойствах file explorer) Да, и тому есть объяснение, например здесь. Отредактировано пользователем 11 января 2022 г. 6:15:10(UTC) | |
|
nickm Оставлено | |
Автор: brightsolutions Прошу прокомментировать, правильно ли я понимаю, что получив новую ЭЦП в УЦ при первой установке на выбранный носитель (реестр, флэш) генерится ключевой контейнер. Нет, не правильно. Автор: brightsolutions Т.е. контейнер для одной ЭЦП генерится только один раз. Слово ЭЦП уже из разговора исключили, можно просто ЭП, да и в данном контексте и оно окажется неуместным. Автор: brightsolutions И еще, правильно ли я понимаю, что при получении новой ЭЦП и установке на машину, будет создан новый ключевой контейнер для новой ЭЦП, т.е. хочу понять, на данной машине кроме ЭЦП ничего не испорчено, новые ЭЦП при правильной установке будут штатно работать? Вам главное иметь рабочий ключ, а систему всегда/ зачастую всегда можно привести в порядок. Отредактировано пользователем 11 января 2022 г. 6:32:32(UTC) | |
|
two_oceans Оставлено | |
Цитата: Можно намного проще, например так Коллега, по поводу версий файлов – ни на одном компьютере, который в доступности от меня это просто не работает. Даже если точек навалом. Склоняюсь к тому, что это вообще неработающая функция. Через ссылку – согласен, проще, вот только не уверен что это сработает, когда прав недостаточно: создание символической ссылки требует прав администратора. Добавьте набор гуида тома и поймете что это не самый легкий путь. Через LiveCD – у рядового пользователя еще надо подготовить такой. Это сложнее чем скачать psexec и запустить одной командой редактор реестра от системы. Отредактировано пользователем 11 января 2022 г. 7:45:27(UTC) | |
|
brightsolutions Оставлено | |
Автор: nickm Я сделал символическую ссылку, вижу ее на диске С из под системы, но войти в папку config не могу как раз по причине прав. Не понимаю, как открыть права на нее. Есть одно сомнение. Я совершил свои манипуляции в день, когда установил новый сертификат. Наверное он не попал ни в какие бэкапы и теневые папки. Отредактировано пользователем 11 января 2022 г. 7:50:03(UTC) | |
|
two_oceans Оставлено | |
Автор: brightsolutions Не понимаю, как открыть права на нее. По умолчанию проводник запускается без прав администратора (даже если текущий пользователь администратор). Решается либо предоставлением доступа для группы пользователи либо временным отключением UAC – контроля учетных записей (тогда проводник переходит в режим администратора незаметно) либо форсированием прав администратора (это тоже было на том блоге “не из коробки”, но точного адреса не запомнил). Короче, если открыт уже редактор прав – проще дать доступ группе пользователи, достать нужное, потом доступ отменить. Хотя странно – доступ для чтения (перечисления файлов в папке) наверно должен быть? Отредактировано пользователем 11 января 2022 г. 7:57:38(UTC) | |
Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер
В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже. Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:
wmic useraccount where name='user' get sid

В данном случай user – имя учетной записи, для которой узнаем SID. Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра (regedit.exe) и переходим в ветку:
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\S-1-5-21-4126888996-1677807805-1843639151-1000\Keys
где S-1-5-21-4126888996-1677807805-1843639151-1000 – SID пользователя, у которого копируем сертификаты. Выбираем папку Keys и экспортируем ее. Этот путь актуален для 64-х битных систем – Windows 7, 8, 10. В 32-х битных путь может быть немного другой. Я специально не проверял, но поиском по реестру вы при желании найдете его.

Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи. Теперь нам нужно скопировать сразу все сертификаты. В Windows 7, 8 и 10 они живут в директории – C:\Users\user\AppData\Roaming\Microsoft\SystemCertificates\My. Сохраняйте эту директорию. Для переноса ключей и сертификатов нам надо скопировать на другой компьютер сохраненную ветку реестра и директорию с сертификатами My.
После того, как перенесли файлы со старого компьютера на новый, открываем файл с веткой реестра в текстовом редакторе и меняем там SID пользователя со старого компьютера на SID пользователя нового компьютера. Можно прям в блокноте это сделать поиском с заменой.

После этого запускаем .reg файл и вносим данные из файла в реестр. Теперь скопируйте папку My с сертификатами в то же место в профиле нового пользователя. На этом перенос сертификатов и контейнеров закрытых ключей КриптоПро завершен. Можно проверять работу. Я не раз пользовался этим методом, на текущий момент он 100% рабочий. Написал статью, чтобы помочь остальным, так как сам не видел в интернете подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя таковой получилась.
Копирование закрытого ключа через оснастку КриптоПро
Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.

Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.

Часто задаваемые вопросы по теме статьи (FAQ)
Можно ли перенести сертификат, который находится на токене и защищен от копирования?
Очевидно, что предложенное в статье решение для этого не подойдет. Ведь тут идет речь о переносе сертификатов, которые хранятся в реестре, то есть уже были скопированы. Технические средства для копирования защищенных крипто контейнеров тоже существуют, но это не такое простое и очевидное решение.
Безопасно ли хранить сертификаты в реестре?
Это не безопасно и в общем случае я не рекомендую это делать. USB токены для хранения сертификатов придуманы не просто так. Они реально защищают сертификаты от несанкционированного копирования. Если у вас нет объективной необходимости копировать сертификаты в реестр, лучше этого не делать. Если вам нужно сделать бэкап сертификата на случай поломки токена, то просто скопируйте его в зашифрованный архив и сохраните на флешке.
Подойдет ли предложенный способ копирования сертификатов CryptoPro для VipNet?
Нет, не подойдет. В статье описан способ переноса сертификатов CryptoPro. Другие криптопровайдеры хранят сертификаты по-другому. Универсального способа для всех не существует.
Есть ли какой-то очень простой способ скопировать сертификаты crypto pro? То, что описано в статье слишком сложно для меня.
Да, есть статья на сайте контура, в ней ссылка на утилиту для копирования контейнеров Certfix. Можете воспользоваться ей.
Сертификат связан с модулем криптографии “Infotecs Cryptographic Service Provider” с типом 2
Дата обновления: 28.06.2022
Номер карточки: SD0000704
У данной ошибки имеется два сценария воспроизведения:
1. При подписании электронных документов.
При возникновении ошибки “Сертификат, связанный с закрытым ключом, указывает на модуль криптографии, отличный от текущего. Сертификат связан с модулем криптографии “Infotecs Cryptographic Service Provider” с типом 2.” необходимо выполнить проверку сертификата электронной подписи.
Алгоритм проверки электронной подписи:
В программном продукте 1С необходимо: – Перейти в раздел “Администрирование” – “Обмен электронными документами” – “Настройка электронной подписи и шифрования”.
– На вкладке “Сертификаты” открыть используемый сертификат.
– Убедиться, что в поле программа установлено значение “ViPNet CSP (ГОСТ 2012)”.
– Нажать на кнопку “Проверить”.

– Ввести пароль закрытой части ключа и нажать “Проверить”.

Если в ходе проверки напротив пункта “Подписание данных” возникнет сигнализирующий об ошибке красный символ, на него необходимо нажать для открытия технической информации об ошибке.

Если в технической информации об ошибке указано “Сертификат, связанный с закрытым ключом, указывает на модуль криптографии, отличный от текущего. Сертификат связан с модулем криптографии “Infotecs Cryptographic Service Provider” с типом 2.”, необходимо повторно связать сертификат с контейнером. Как связать сертификат с контейнером указано ниже.

2. При добавлении нового сертификата в настройки электронной подписи и шифрования.
Воспроизведение: Перейти в раздел Администрирование – Обмен электронными документами – Настройки электронной подписи и шифрования и во вкладке “Сертификаты” нажать “Добавить” и в открывшемся меню выбрать “Из установленных на компьютере”.

В открывшемся окне необходимо выбрать актуальный сертификат и нажать “Далее
В следующем окне необходимо ввести пароль и нажать “Добавить”.

Далее возможно возникновение ошибки “Сертификат, связанный с закрытым ключом, указывает на модуль криптографии, отличный от текущего. Сертификат связан с модулем криптографии “Infotecs Cryptographic Service Provider” с типом 2.”

В случае её возникновения в предыдущем окне добавления сертификата необходимо нажать на кнопку “Показать данные сертификата, которые сохраняются в файле”. Данная кнопка визуализирована в виде иконки сертификата.

В открывшемся окне нажать “Сохранить в файл…” и выполнить сохранение сертификата в любую доступную директорию компьютера и перейти к решению (см. ниже)

Решение.
Для устранения ошибки “Сертификат, связанный с закрытым ключом, указывает на модуль криптографии, отличный от текущего. Сертификат связан с модулем криптографии “Infotecs Cryptographic Service Provider” с типом 2.” необходимо связать сертификат с закрытым ключом.
В окне ViPNet CSP нажать “Установить сертификат”

В открывшемся окне необходимо выбрать директорию, куда был сохранен сертификат, выбрать сохраненный ранее сертификат и нажать “Открыть”.

В мастере установки сертификатов нажать “Далее”

При выборе хранилища необходимо выбрать “Текущий пользователь” и нажать “Далее”

В следующем окне необходимо выбрать “Найти контейнер с закрытым ключом” и нажать “Далее”.

Контейнер с закрытым ключом определится автоматический. В том случае, когда контейнер не определился необходимо нажать “Обзор” и выбрать контейнер вручную, а затем нажать “ОК” и завершить установку.

После установки связи между сертификатом и закрытой частью ключа ошибка исправится.

Ошибка копирования контейнера
Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:

Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии. Либо вы просто не сможете его выбрать для копирования, если у вас последняя версия CryptoPro. Он будет неактивен:

Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему. Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Делаем это там же на вкладке Сервис в оснастке CryptoPro. Нажимаем Посмотреть сертификаты в контейнере.

Выбираем необходимый сертификат и нажимаем Посмотреть свойства сертификата.

Далее переходим на вкладку Состав в информации о сертификате и нажимаем Копировать в файл.

Если у вас после слов “Экспортировать закрытый ключ вместе с сертификатом” нет возможности выбрать ответ “Да, экспортировать закрытый ключ”, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.

Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, кроме удаления. Так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.

Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке из оснастки Crypto Pro, жмёте Копировать в файл, экспортировать БЕЗ закрытого ключа. И выбираете файл формата .CER.

Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него. В итоге у вас должны получиться 2 файла с расширениями:
- .pfx
- .cer
Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам нужно будет выбрать все параметры по умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер. Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.
КриптоПро CSP ошибка 0x80090010 Отказано в доступе
Иногда после переноса контейнеров закрытых ключей через экспорт – импорт ветки реестра с ключами можно увидеть ошибку доступа к контейнерам. Вроде бы все на месте, ключи есть в реестре. Их можно увидеть в останстке CryptoPro, но не получается прочитать. При попытке это сделать возникает ошибка:

Ошибка обращения к контейнеру закрытого ключа. Ошибка 0x80090010: Отказано в доступе. Связано это с тем, что у текущего пользователя, под которым вы хотите получить доступ к контейнеру, нет полных прав на ветку реестра с хранящимися ключами. Исправить это просто. Переходите в редактор реестра и выставляйте полные права к ветке Keys для текущего пользователя.

Убедитесь так же, что новые права наследовались на дочерние ветки с самими ключами. Обычно это так, но перепроверить на всякий случай непомешает. После этого ошибка с доступом к контейнеру закрытого ключа исчезнет.
Онлайн курс по Kubernetes
Онлайн-курс по Kubernetes – для разработчиков, администраторов, технических лидеров, которые хотят изучить современную платформу для микросервисов Kubernetes. Самый полный русскоязычный курс по очень востребованным и хорошо оплачиваемым навыкам. Курс не для новичков – нужно пройти вступительный тест.
Если вы ответите “да” хотя бы на один вопрос, то это ваш курс:
- устали тратить время на автоматизацию?
- хотите единообразные окружения?;
- хотите развиваться и использовать современные инструменты?
- небезразлична надежность инфраструктуры?
- приходится масштабировать инфраструктуру под растущие потребности бизнеса?
- хотите освободить продуктовые команды от части задач администрирования и автоматизации и сфокусировать их на развитии продукта?
Сдавайте вступительный тест по ссылке и присоединяйтесь к новому набору!.
Заказать настройку ЭЦП от 500 р.
Помогла статья? Подписывайся на telegram канал автора
Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

1 пользователь поблагодарил two_oceans за этот пост.




