Два сертификата криптопро

Два сертификата криптопро Электронная цифровая подпись

Добрый день! Уважаемые читатели и гости крупнейшего IP блога России pyatilistnik.org. В прошлый раз я вам рассказал, о том, как установить сертификат в реестр Windows . Сегодня я вам расскажу, каким образом вы можете выполнить перенос сертификата на другой компьютер, это очень частая и жизненная ситуация с которой сталкиваются многие системные администраторы. Захотелось с вами поделиться опытом, о массовом переносе контейнеров с закрытыми ключами, находящимися в области реестра Windows. Использовать мы будем как КриптоПРО, так и встроенные механизмы. Уверен будет интересно.

Добрый день! Уважаемые читатели и гости крупного IT блога рунета pyatilistnik.org. Продолжаем нашу с вами тему с сертификатами и работе с ними. В прошлый раз я вам подробно рассказал, как получить тестовый сертификат криптопро, посмотрите очень интересная заметка. Согласитесь, что для тестирования вам может потребоваться не один сертификат, а гораздо больше, и очень удобно иметь возможность работать с ними, без привязки к физическим токенам, например, на виртуальных машинах Vmware. Для таких задач, есть возможность поместить сертификаты КриптоПРО в реестр Windows, чем мы с вами и займемся.

Обновлено 11.09.2018

Добрый день! Уважаемые читатели и гости крупнейшего IT блога в России pyatilistnik.org. В прошлый раз мы разбирали ситуацию, что утилита КриптоПРО не видела токен Jacarta, согласитесь, что при решении этой проблемы было бы здорово иметь тестовый ключ с сертификатом, и параллельно ваш коллега мог бы тоже траблшутить. Еще тестовый сертификат CryptoPRO может быть полезен, при процедуре переноса контейнера КриптоПРО из реестра в случае с не экспортируемым закрытым ключом. Сегодня я вас научу генерировать нормальный, тестовый сертификат шифрования или подписи для разных задачу.

В данной статье будет описано, лицензии на какое ПО КриптоПро необходимо приобрести для работы с сертификатами, выдаваемыми в ФНС России.

Важно!

Информация о порядке получения сертификата ЭП в ФНС описана на сайте ФНС.
При взаимодействии с ФНС следует руководствоваться Приказом ФНС России от 30.12.2020 г. № ВД-7-24/982@.

В соответствии с указанными требованиями, для записи сертификата необходимо предоставить сертифицированный ключевой носитель и иметь лицензию на право использования СКЗИ “КриптоПро CSP” версии 5.0.

Скачать дистрибутив “КриптоПро CSP” версии 5.0 можно с нашего сайта после предварительной регистрации.

Ключевой носитель и лицензию можно купить непосредственно у нас или через дилеров – как Вам удобнее.

Здесь будут даны пояснения по приобретению через нашу форму заказа.

Для юридических лиц и ИП счет выставляется нашей автоматизированной системой ТОЛЬКО после оформления вами заказа на нашем сайте.

Способ получения продуктов и закрывающих бухгалтерских документов вы выбираете сами при оформлении заказа.

Тип лицензии – клиентская или серверная – определяется в зависимости от ОС вашей рабочей машины. При работе с клиентскими ОС (Windows 7, 8, 8.1, 10, 11) необходимо приобретать лицензию на одном рабочем месте (годовую или бессрочную – на ваш выбор). При работе с серверными ОС (Windows Server 2008, 2012…) потребуется лицензия на сервер.

Заказ лицензии на СКЗИ “КриптоПро CSP” версии 5.0 можно оформить здесь.

Стоимость лицензии:

  • 1 350 руб. – годовая лицензия на один компьютер;
  • 2 700 руб. бессрочная лицензия на один компьютер.

В качестве ключевого носителя рекомендуем использовать “Рутокен Lite” (для ноутбука более удобен “Рутокен Lite micro”). Сертификат ФСТЭК, соответствующий “Рутокен Lite” и “Рутокен Lite micro” можно скачать с сайта изготовителя.

Физическое лицо может получить квалифицированный сертификат в любом аккредитованном Удостоверяющем центре, например, в таких крупных компаниях, как “Такском”, “Такснет”, СКБ “Контур” и др., где предложат приобрести сразу всё необходимое и окажут квалифицированную помощь в настройке.

Ниже представлены ссылки на полезные инструкции по настройке рабочего места для работы с сертификатами ФНС:

Как скачать Криптопро CSP?

Как ввести лицензию на КриптоПро CSP

Как установить сертификат на Windows?

Настройка рабочего места на Linux

Настройка рабочего места на MacOS

Вход с помощью ЭП в личный кабинет ЮЛ или ИП на портале ФНС на macOS.

Настройка рабочего места для работы с ключом в облаке

Установка КриптоПро ЭЦП Browserplug-in

Что делать, если возникли проблемы с КриптоПро ЭЦП Browser plug-in (ОС Windows)

Программно-аппаратный комплекс «Удостоверяющий Центр «КриптоПро УЦ» версии 2.0 (сокращённо – ПАК «КриптоПро УЦ 2.0») обеспечивает автоматизацию деятельности удостоверяющего центра и может использоваться как в качестве средства удостоверяющего центра в нотации 63-ФЗ «Об электронной подписи», так и в качестве центра управления сертификатами.

ПАК «КриптоПро УЦ» является первым в Российской Федерации специализированным программно-аппаратным комплексом, успешно прошедшим сертификационные испытания и получившим сертификат соответствия ФСБ России. С момента получения первого сертификата соответствия в 2003 году ПАК «КриптоПро УЦ» неоднократно модернизировался.

Качество и защищённость новых версий комплекса подтверждалось ростом числа инсталляций продукта и новыми сертификатами соответствия ФСБ России.

Свидетельством отличных эксплуатационных характеристик ПАК «КриптоПро УЦ» является его широкое применение как органами государственной власти и местного самоуправления, так и субъектами малого, среднего и крупного бизнеса всех отраслей.

Каждая новая версия продукта создавалась на основе учёта требований пользователей, изменяющегося законодательства и требования по безопасности со стороны регуляторов.

ПАК «КриптоПро УЦ» версии 2.0 вобрал в себя весь продолжительный опыт эксплуатации средств удостоверяющих центров и на настоящий момент является наиболее оптимальным средством автоматизации деятельности удостоверяющих центров.

ПАК «КриптоПро УЦ» версии 2.0 представляет собой программный комплекс, состоящий из следующих логических компонент:

  • Серверные компоненты, включающие в себя:
    • Центр сертификации (ЦС) – обеспечивает изготовление сертификатов и списков отозванных сертификатов в соответствии с настраиваемой политикой PKI. На одном физическом сервере может быть размещено несколько Центров сертификации. Каждый Центр сертификации взаимодействует только с Центром регистрации;
    • Центр регистрации (ЦР) – обеспечивает реализацию всей логики работы комплекса по назначению, осуществляет ведение всех реестров УЦ. На одном физическом сервере может быть размещён только один Центр регистрации. Взаимодействует как с одним или несколькими Центрами сертификации (размещёнными на одном физическом сервере), так и с АРМ ОП и АРМ пользователя, фактически являясь посредником (брокером) между ними;
    • CDP – обеспечивает функционирование автономного Пункта распространения CRL в соответствии с настраиваемой политикой PKI. На одном физическом сервере может быть размещен только один компонент «CDP». Компонент «CDP» взаимодействует с Центром сертификации и/или с Центром регистрации.
  • Клиентские компоненты, включающие в себя:
    • Автоматизированное рабочее место (АРМ) обслуживающего персонала (АРМ ОП) – толстый клиент, который предоставляет графический пользовательский интерфейс для удалённого управления сотрудникам из числа обслуживающего персонала Удостоверяющего центра (администраторам, операторам и т.д.). На одном компьютере может быть размещено несколько АРМ ОП. АРМ ОП взаимодействует только с Центром регистрации;
    • АРМ разбора конфликтных ситуаций (АРМ РКС) – предназначен для оборудования рабочего места эксперта, в случае необходимости проведения экспертизы по подтверждению подлинности электронной подписи в документе или сертификате. На одном компьютере может быть размещён только один АРМ РКС. АРМ РКС не взаимодействует ни с какими компонентами и предназначен только для автономной работы;
    • АРМ пользователя – комплекс программ, который предоставляет пользователям через веб-браузер графический интерфейс для взаимодействия с УЦ. С помощью этого АРМ пользователи формируют ключи, создают и отправляют запросы на Центр регистрации, получают необходимую информацию из реестров УЦ. АРМ пользователя взаимодействует с Центром регистрации и/или с CDP.

Все компоненты ПАК «КриптоПро УЦ» взаимодействуют друг с другом с использованием защищенного транспортного протокола Transport Layer Security (TLS) с двухсторонней аутентификацией.

  • Страница для печатиСтраница для печати

Мы опишем установку сертификата электронной подписи и закрытого ключа для ОС семейства Windows. В процессе настройки нам понадобятся права Администратора (поэтому нам может понадобится сисадмин, если он у вас есть).

Если вы еще не разобрались что такое Электронная подпись, то пожалуйста ознакомьтесь вот с этой инструкцией. Или если еще не получили электронную подпись, обратитесь в Удостоверяющий центр, рекомендуем СКБ-Контур.

Хорошо, предположим у вас уже есть электронная подпись (токен или флешка), но OpenSRO сообщает что ваш сертификат не установлен, такая ситуация может возникнуть, если вы решили настроить ваш второй или третий компьютер (разумеется подпись не “прирастает” только к одному компьютеру и ее можно использовать на нескольких компьютерах). Обычно первоначальная настройка осуществляется с помощью техподдержки Удостоверяющего центра, но допустим это не наш случай, итак поехали.

Содержание
  1. Убедитесь что КриптоПро CSP 4 установлен на вашем компьютере
  2. Если у вас токен (Рутокен например)
  3. Если закрытый ключ в виде файлов
  4. Установка сертификата из закрытого ключа
  5. Использование электронной подписи без токена или флешки (установка в реестр)
  6. Как скопировать эцп из реестра на флешку
  7. Генерация тестового сертификата
  8. Копирование закрытого ключа из КриптоПро
  9. Установка личного сертификата с привязкой к закрытому ключу
  10. Установка личного сертификата с привязкой к закрытому ключу
  11. Проверка наличия сертификата в контейнере
  12. Экспорт личного сертификата
  13. Установка личного сертификата
  14. Установка сертификата успешно завершена
  15. Установка закрытого ключа в реестр
  16. Когда нужно переносить сертификаты в другое место?
  17. Перенос сертификатов в виде пошаговой инструкции
  18. Как видите предпосылок и вариантов переноса сертификатов из реестра на другой компьютер, предостаточно.
  19. Установка КриптоПро ЭЦП Browser plug-in.
  20. Когда нужно копировать сертификаты КриптоПРО в реестр
  21. Перенос сертификатов из реестра без КриптоПРО
  22. Как скопировать сертификат в реестр КриптоПРО
  23. Массовый перенос ключей и сертификатов CryptoPro на другой компьютер
  24. Где хранится закрытый ключ в реестре Windows

Убедитесь что КриптоПро CSP 4 установлен на вашем компьютере

Для этого зайдите в меню Пуск КРИПТО-ПРО КриптоПро CSP запустите его и убедитесь что версия программы не ниже 4-й.

Если ее там нет, то скачайте, установите и перезапустите браузер.

Скачать КриптоПро CSP

Два сертификата криптопро

Если у вас токен (Рутокен например)

Прежде чем система сможет с ним работать понадобится установить нужный драйвер.

  • Драйверы Рутокен: https://www.rutoken.ru/support/download/drivers-for-windows/
  • Драйверы eToken: https://www.aladdin-rd.ru/support/downloads/etoken
  • Драйверы JaCarta: https://www.aladdin-rd.ru/support/downloads/jacarta

Алгоритм такой: (1) Скачиваем; (2) Устанавливаем.

Для токена может понадобиться стандартный (заводской) пин-код, здесь есть стандартные пин-коды носителей.

Если закрытый ключ в виде файлов

Закрытый ключ может быть в виде 6 файлов: header.key, masks.key, masks2.key, name.key, primary.key, primary2.key

Тут есть тонкость если эти файлы записаны на жесткий диск вашего компьютера, то КриптоПро CSP не сможет их прочитать, поэтому все действия надо производить предварительно записав их на флешку (съемный носитель), причем нужно расположить их в папку первого уровня, например: E:\Andrey\{файлики}, если расположить в E:\Andrey\keys\{файлики}, то работать не будет.

(Если вы не боитесь командной строки, то съемный носитель можно сэмулировать примерно так: subst x: C:\tmp появится новый диск (X:), в нем будет содержимое папки C:\tmp, он исчезнет после перезагрузки. Такой способ можно использовать если вы планируете установить ключи в реестр)

Нашли файлы, записали на флешку, переходим к следующему шагу.

Установка сертификата из закрытого ключа

Теперь нам нужно получить сертификат, сделать это можно следующим образом:

  1. Открываем КриптоПро CSP
  2. Заходим на вкладку Сервис
  3. Нажимаем кнопку Просмотреть сертификаты в контейнере, нажимаем Обзор и здесь (если на предыдущих шагах сделали все правильно) у нас появится наш контейнер. Нажимаем кнопку Далее, появятся сведения о сертификате и тут нажимаем кнопку Установить (программа может задать вопрос проставить ли ссылку на закрытый ключ, ответьте “Да”)
  4. После этого сертификат будет установлен в хранилище и станет возможным подписание документов (при этом, в момент подписания документа, нужно будет чтобы флешка или токен были вставлены в компьютер)

Использование электронной подписи без токена или флешки (установка в реестр)

Если скорость и удобство работы для вас стоит чуть выше чем безопасность, то можно установить ваш закрытый ключ в реестр Windows. Для этого нужно сделать несколько простых действий:

  1. Выполните подготовку закрытого ключа, описанную в пунктах (2) или (3)
  2. Далее открываем КриптоПро CSP
  3. Заходим на вкладку Сервис
  4. Нажимаем кнопку Скопировать
  5. С помощью кнопки Обзор выбираем наш ключ
  6. Нажимаем кнопку Далее, потом придумаем какое-нибудь имя, например “Пупкин, ООО Ромашка” и нажимаем кнопку Готово
  7. Появится окно, в котором будет предложено выбрать носитель, выбираем Реестр, жмем Ок
  8. Система попросит Установить пароль для контейнера, придумываем пароль, жмем Ок

Чтобы для сертификата проставить ссылку на этот закрытый ключ выполните действия из пункта (4).

Важное замечание: портал OpenSRO не “увидит” сертификат, если вышел срок его действия.


Offline

mrGrunt

Оставлено
:

7 июня 2021 г. 16:51:46(UTC)

Всем доброго времени суток.
Есть сертификат полученный в УЦ. Если посмотреть состав сертификата, то там указанно “Средство электронной подписи “СКЗИ КриптоПро CSP (Версия 4.0).
Есть лицензионная версия Крипто Про CSP (Версия 5.0)

Вопрос:
Может ли быть такое, что из за того что отличаются версии продуктов в сертификате и установленного на компьютер?

В данный момент при входе в “систему дистанционного обслуживания” не появляются сертификаты для выбора.

P.S. : Проделанные процедуры – 1)Удалял приложение начисто. 2)Переустанавливал сертификат 3) Чистил от следов приложения специальной утилитой от crypto PRO 4)Проверял работу самой ЭЦП 5)Менял браузер 6) Чистил SSL.


Offline

Андрей *

Оставлено
:

7 июня 2021 г. 17:13:59(UTC)

Здравствуйте.

Автор: mrGrunt Перейти к цитате

Всем доброго времени суток.
Есть сертификат полученный в УЦ. Если посмотреть состав сертификата, то там указанно “Средство электронной подписи “СКЗИ КриптоПро CSP (Версия 4.0).
Есть лицензионная версия Крипто Про CSP (Версия 5.0)

Вопрос:
Может ли быть такое, что из за того что отличаются версии продуктов в сертификате и установленного на компьютер?

В данный момент при входе в “систему дистанционного обслуживания” не появляются сертификаты для выбора.

P.S. : Проделанные процедуры – 1)Удалял приложение начисто. 2)Переустанавливал сертификат 3) Чистил от следов приложения специальной утилитой от crypto PRO 4)Проверял работу самой ЭЦП 5)Менял браузер 6) Чистил SSL.

Вполне возможно, что эта система ищет сертификаты только в контейнерах, а не в Личном хранилище?

Попробуйте установить сертификат и отметить опцию – сохранить сертификат в контейнер.


Offline

Андрей *

Оставлено
:

7 июня 2021 г. 17:16:02(UTC)

+ проверьте, корректно ли строится цепочка в пути сертификации при просмотре сертификата в хранилище Личное.
Если там ошибка – то такой сертификат указанная система может пропускать и не показывать в списке выбора.


Offline

mrGrunt

Оставлено
:

8 июня 2021 г. 8:48:48(UTC)

Автор: Андрей * Перейти к цитате

+ проверьте, корректно ли строится цепочка в пути сертификации при просмотре сертификата в хранилище Личное.
Если там ошибка – то такой сертификат указанная система может пропускать и не показывать в списке выбора.

Цепочка выстроена правильно, все сертификаты действующие и ошибок нет.

Единственный вариант который пришел в голову, то что можно удалить сертификаты из оснастки и заново установить.


Offline

mrGrunt

Оставлено
:

8 июня 2021 г. 8:50:49(UTC)

Автор: Андрей * Перейти к цитате

Здравствуйте.

Автор: mrGrunt Перейти к цитате

Всем доброго времени суток.
Есть сертификат полученный в УЦ. Если посмотреть состав сертификата, то там указанно “Средство электронной подписи “СКЗИ КриптоПро CSP (Версия 4.0).
Есть лицензионная версия Крипто Про CSP (Версия 5.0)

Вопрос:
Может ли быть такое, что из за того что отличаются версии продуктов в сертификате и установленного на компьютер?

В данный момент при входе в “систему дистанционного обслуживания” не появляются сертификаты для выбора.

P.S. : Проделанные процедуры – 1)Удалял приложение начисто. 2)Переустанавливал сертификат 3) Чистил от следов приложения специальной утилитой от crypto PRO 4)Проверял работу самой ЭЦП 5)Менял браузер 6) Чистил SSL.

Вполне возможно, что эта система ищет сертификаты только в контейнерах, а не в Личном хранилище?

Попробуйте установить сертификат и отметить опцию – сохранить сертификат в контейнер.

Я этот вариант проверял, не в этом дело. Сертификаты ставил и в контейнер и в хранилище “Личные”. А вообще пока не представляю как может программа в контейнере искать сертификат, это мне кажется абсурд.


Offline

Андрей *

Оставлено
:

8 июня 2021 г. 9:15:19(UTC)

Автор: mrGrunt Перейти к цитате

Автор: Андрей * Перейти к цитате

Здравствуйте.

Автор: mrGrunt Перейти к цитате

Всем доброго времени суток.
Есть сертификат полученный в УЦ. Если посмотреть состав сертификата, то там указанно “Средство электронной подписи “СКЗИ КриптоПро CSP (Версия 4.0).
Есть лицензионная версия Крипто Про CSP (Версия 5.0)

Вопрос:
Может ли быть такое, что из за того что отличаются версии продуктов в сертификате и установленного на компьютер?

В данный момент при входе в “систему дистанционного обслуживания” не появляются сертификаты для выбора.

P.S. : Проделанные процедуры – 1)Удалял приложение начисто. 2)Переустанавливал сертификат 3) Чистил от следов приложения специальной утилитой от crypto PRO 4)Проверял работу самой ЭЦП 5)Менял браузер 6) Чистил SSL.

Вполне возможно, что эта система ищет сертификаты только в контейнерах, а не в Личном хранилище?

Попробуйте установить сертификат и отметить опцию – сохранить сертификат в контейнер.

Я этот вариант проверял, не в этом дело. Сертификаты ставил и в контейнер и в хранилище “Личные”. А вообще пока не представляю как может программа в контейнере искать сертификат, это мне кажется абсурд.

Таких достаточно систем…
Запрашивается список контейнеров, в каждом контейнере запрашивается наличие сертификата..

Обратитесь в ТП этой системы. Возможно что-то ещё необходимо установить…


Offline

ОльгаПо

Отправлено:
:

7 февраля 2022 г. 7:50:12(UTC)

Ошибка при проверки подписи в КриптоПро ЭЦП Browser plug-in. Ошибка:Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A). Все корневые сертификаты, какие возможно скачены, проблема сохраняется.


Offline

Андрей *

Оставлено
:

7 февраля 2022 г. 9:43:29(UTC)

Здравствуйте.

1. Какая страница тестирования?
2. Установить сертификаты по цепочке, начиная с личного, в правильные хранилища.


Offline

ОльгаПо

Оставлено
:

8 февраля 2022 г. 14:17:47(UTC)

Ошибка сохраняется. Все сертификаты сохранила по инструкции. Но что то не помогло. Еще в цепочке обнаружила, что при просмотре сертификата Минфина в средствах электронной подписи стоит криптопро версия 2,0. Может этом причина.

Подпись я проверяю в плагине.


Offline

Андрей *

Оставлено
:

8 февраля 2022 г. 14:24:52(UTC)

Автор: ОльгаПо Перейти к цитате

Ошибка сохраняется. Все сертификаты сохранила по инструкции. Но что то не помогло. Еще в цепочке обнаружила, что при просмотре сертификата Минфина в средствах электронной подписи стоит криптопро версия 2,0. Может этом причина.

Подпись я проверяю в плагине.

Нет, там написано про другое, HSM.

А адрес сообщите? Может Вы CAdES T\XLong1 проверяете..

Пуск\..\КРИПТО-ПРО\Сертификаты\
В Личных – откройте свой сертификат\Путь сертификации – строится без ошибки или какая ошибка?


Offline

ОльгаПо

Оставлено
:

8 февраля 2022 г. 14:28:45(UTC)

Не очень поняла про адрес.
В пуске, крипто про, путь без ошибок.


Offline

ОльгаПо

Оставлено
:

8 февраля 2022 г. 14:30:59(UTC)

и когда в личный кабинет в налогоплательщика захожу выходит ошибка
Выберите сертификат
Недоступные сертификаты:
с: 10 ноября 2021 г. 15:18 по: 10 ноября 2022 г. 15:18


Offline

Андрей *

Оставлено
:

8 февраля 2022 г. 14:31:47(UTC)

Автор: ОльгаПо Перейти к цитате

Не очень поняла про адрес.
В пуске, крипто про, путь без ошибок.

Хорошо.

На этой странице – подписывается этим сертификатом текст (Hello World)?


Offline

ОльгаПо

Оставлено
:

8 февраля 2022 г. 14:33:51(UTC)


Offline

ОльгаПо

Оставлено
:

8 февраля 2022 г. 14:36:20(UTC)

На этой странице – подписывается этим сертификатом текст (Hello World)?

все верно. Только с ошибкой.

Информация о сертификате
Владелец: CN=Подгорбунская Ольга Александровна

Издатель: CN=”АО “”Аналитический Центр”””

Выдан: 10.11.2021 06:18:00 UTC

Действителен до: 10.11.2022 06:18:00 UTC

Криптопровайдер: Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider

Ссылка на закрытый ключ: SCARD\JACARTA_LT_1209AA8A3F9E0001\cc00\09B3

Алгоритм ключа: ГОСТ Р 34.10-2012 256 бит

Статус: Ошибка при проверке цепочки сертификатов. Возможно на компьютере не установлены сертификаты УЦ, выдавшего ваш сертификат

Установлен в хранилище: Да


Offline

ОльгаПо

Оставлено
:

9 февраля 2022 г. 16:21:47(UTC)

Сможете помочь?. У меня так подпись не проходит проверку.


Offline

Андрей *

Оставлено
:

9 февраля 2022 г. 16:42:59(UTC)

Автор: ОльгаПо Перейти к цитате

Сможете помочь?. У меня так подпись не проходит проверку.

приложите как визуализируется цепочка сертификатов,
проверьте, чтобы сертификат УЦ Аналитический Центр – был только в промежуточных ЦС,
если он есть в корневых – удалить.

Используется прокси-сервер для интернета?


Offline

ОльгаПо

Оставлено
:

9 февраля 2022 г. 17:03:17(UTC)

(проверьте, чтобы сертификат УЦ Аналитический Центр – был только в промежуточных ЦС) проверила
(приложите как визуализируется цепочка сертификатов,) не знаю как вам показать
(Используется прокси-сервер для интернета?) не очень понимаю про что вы.Я так еще пользовательSick


Offline

Андрей *

Оставлено
:

9 февраля 2022 г. 17:10:52(UTC)

Автор: ОльгаПо Перейти к цитате

(проверьте, чтобы сертификат УЦ Аналитический Центр – был только в промежуточных ЦС) проверила
(приложите как визуализируется цепочка сертификатов,) не знаю как вам показать
(Используется прокси-сервер для интернета?) не очень понимаю про что вы.Я так еще пользовательSick

При написании или редактировании сообщения – над текстом есть кнопки, с изображением “скрепка” – даёт возможность загружать файлы… (upload new files.. \add file \start upload – будет вставлен код-ссылка на файл)


Offline

ОльгаПо

Оставлено
:

9 февраля 2022 г. 17:28:37(UTC)

Два сертификата криптопро sertifikat.docx (1,514kb) загружен 17 раз(а).


Offline

ОльгаПо

Оставлено
:

9 февраля 2022 г. 17:31:31(UTC)

Два сертификата криптопро sertifikat.docx (524kb) загружен 7 раз(а).


Offline

Андрей *

Оставлено
:

9 февраля 2022 г. 17:33:35(UTC)

Вы же писали, что цепочка без ошибок.

Цитата:

В пуске, крипто про, путь без ошибок.

Переустановите КриптоПРО CSP.


Offline

RangerRU

Оставлено
:

10 февраля 2022 г. 1:47:35(UTC)


Offline

Андрей *

Оставлено
:

10 февраля 2022 г. 10:08:06(UTC)


Offline

RangerRU

Оставлено
:

10 февраля 2022 г. 14:40:56(UTC)

Автор: Андрей * Перейти к цитате

Это сообщение к чему?

Так вы просите показать цепочку
Судя по логу с тестовой страницы – как раз проблема с цепочкой


Offline

Андрей *

Оставлено
:

10 февраля 2022 г. 15:01:46(UTC)

Автор: RangerRU Перейти к цитате

Автор: Андрей * Перейти к цитате

Это сообщение к чему?

Так вы просите показать цепочку
Судя по логу с тестовой страницы – как раз проблема с цепочкой

или с функционированием СКЗИ…?

как пример – был другой CSP, его удалили, OID-ы все удалены и ничего не работает в штатном режиме.
Мне написали – цепочка без ошибок при просмотре сертификата,
а плагин сообщает, что есть проблемы.

thanks 1 пользователь поблагодарил Андрей * за этот пост.

Эта статья описывает типичные ошибки работы КриптоПро ЭЦП Browser plug-in в браузерах и предлагает способы их решения.

Появляется окно КриптоПро CSP Вставьте ключевой носитель

Два сертификата криптопро

Появление данного окна значит, что у Вас не вставлен носитель с закрытым ключом для выбранного Вами сертификата.

Необходимо вставить ключевой носитель. Убедитесть, что устройство отображается в Диспетчере Устройств Windows. Установите драйверы на устройство с сайта производителя если они не установлены.

Если предыдущие действия не помогли, необходимо переустановить сертификат в хранилище Личное текущего пользователя с привязкой к закрытому ключу. См статью.


Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)

Два сертификата криптопро

Эта ошибка возникает, когда невозможно проверить статус сертификата (нет доступа к спискам отзыва или OCSP службе), либо не установлены корневые сертификаты.

Проверьте, строится ли цепочка доверия: откройте сертификат (например через Пуск -> Все программы -> КриптоПро -> Сертификаты-Текущий Пользователь -> Личное -> Сертификаты), перейдите на вкладку Путь сертификации. Если на этой вкладке присутствуют красные кресты, или вообще нет ничего кроме текущего сертификата (кроме тех случаев если сертификат является самоподписанным), значит цепочка доверия не построена.

Скриншоты с примерами сертификатов, у которых не строится цепочка доверия.

Два сертификата криптопро
Два сертификата криптопро

Чтобы цепочка доверия построилась необходимо скачать и установить корневые и промежуточные сертификаты. Скачать их можно с сайта УЦ, издавшего сертификат.

Если вы используете квалифицированный сертификат, то попробуйте установить в доверенные корневые эти 2 сертификата. Это сертификаты Головного УЦ Минкомсвязи и Минцифры. От них, при наличии интернета, должна построится цепочка доверия у любого квалифицированного сертификата.

https://e-trust.gosuslugi.ru/#/portal/registry/ufo-certificate-card/34656 – страница сертифката, ссылка с серийным номером скачает файл сертификата

https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ca/download/2F0CB09BE3550EF17EC4F29C90ABD18BFCAAD63A

Чтобы установить скачанный сертификат в доверенные корневые центры сертификации, нажмите по нему правой кнопкой-Выберите пункт –Установить сертификат- Локальный компьютер (если такой выбор есть) – Поместить все сертификаты в следующие хранилище-Обзор-Доверенные корневые центры сертификации-Ок- Далее- Готово- когда появится предупреждение системы безопасности об установке сертификата- нажмите Да-Ок.

Если этого недостаточно, обратитесь в УЦ, выдавший вам сертификат, за сертификатом самого УЦ.

Полученный от УЦ сертификат является промежуточным в цепочке Минкомсвязи -> УЦ -> вы, поэтому при его установке выбирайте хранилище “Промежуточные центры сертификации”.

Важно: Если вы создаете CAdES-T (доверенное время) или CAdES-XLongType 1 (доверенное время и доказательства подлинности), ошибка цепочки может возникать если нет доверия к сертификату оператора TSP службы. В этом случае необходимо установить в доверенные корневые центры сертификации корневой сертификат УЦ, предоставляющего службу TSP.


При создании подписи появляется окно с ошибкой “Не удается найти сертификат и закрытый ключ для расшифровки. (0x8009200B)”, в информации о сесртификате отображается “нет привязки к закрытому ключу”

Два сертификата криптопро

Выполните привязку сертификата к закрытому ключу.

Важно: На наших демо-страницах подпись будет создана даже если привязки к ЗК нет. При этом сертификат должен находиться в контейнере. Сообщение “нет привязки к закрытому ключу” в данном случае будет носить информационный характер. Однако для обеспечения совместимости со сторонними площадками мы рекомендуем выполнять привязку сертификата к закрытому ключу.


Подпись создается, но также отображается статус “ошибка при проверке цепочки сертификатов”.

Это значит, что нет доступа к спискам отозванных сертификатов.

Два сертификата криптопро

Списки отозванных сертификатов можно скачать на сайте УЦ, выдавшем сертификат, после получения списка его необходимо установить, процедура идентична процедуре установки промежуточного сертификата ЦС. При отсутствии ограничений на доступ в сеть Интернет списки обновляются автоматически.


Ошибка: 0x8007064A/0x8007065B

Два сертификата криптопро

Причина ошибки – истёк срок действия лицензий на КриптоПро CSP и/или КриптоПро TSP Client 2.0 и/или Криптопро OCSP Client 2.0.

Для создания CAdES-BES подписи должна быть действующая лицензия на КриптоПро CSP.

Для создания CAdES-T должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0.

Для создания XLT1 должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0, КриптоПро OCSP Client 2.0

Посмотреть статус лицензий можно через: Пуск- Все программы- КРИПТО-ПРО- Управление лицензиями КриптоПро PKI.

Чтобы активировать имеющуюся лицензию:

– откройте Пуск -> Все программы -> КРИПТО-ПРО -> Управление лицензиями КриптоПро PKI

– выберите нужный программный продукт -> откройте контекстное меню (щелкнуть правой кнопкой мыши) -> выберите пункт “Все задачи” -> выберите пункт “Ввести серийный номер…”

– введите в поле информацию о лицензии и нажмите OK чтобы сохранить её.


Отказано в доступе (0x80090010)

Два сертификата криптопро

Причина ошибки: Истек срок действия закрытого ключа. Проверьте срок действия Зайдите в Пуск -> Все программы -> КРИПТО-ПРО -> Крипто-Про CSP. Перейдите на вкладку Сервис. Нажмите кнопку “Протестировать”, выберите контейнер с закрытым ключом кнопкой “Обзор” или “По сертификату” и в результатах тестирования Вы сможете увидеть срок его действия. Рекомендуется получить новый ключ.

Два сертификата криптопро


Ошибка: Invalid algorithm specified. (0x80090008)

Ошибка возникает, если Вы используете сертификат, алгоритм которого не поддерживается Вашим криптопровайдером.

Пример: У вас установлен КриптоПро CSP 3.9 а сертификат Выпущен по ГОСТ 2012.

Или если используется алгоритм хеширования, не соответствующий сертификату.

Так же проверьте актуальность версии КриптоПро CSP.

Зачем нужно покупать КриптоПро CSP и можно ли сэкономить? Что делать, если ЭП от УЦ ФНС уже получили, а КриптоПро на рабочее место еще не приобрели? А если у клиента установлен VipNet, ему КриптоПро не нужен же? — читайте об этом в нашей новой статье.

Мы продолжаем готовиться к изменениям в 2022 году в области получения электронной подписи для руководителей ЮЛ и ИП, их сотрудников и нотариусов.

Напоминаем, чтос 1 января 2022 года на ФНС России будет бесплатно выпускать квалифицированную электронную подпись. Однако сопутствующие инструменты, для ее хранения (носитель) и использования (криптопровайдер), необходимо приобрести отдельно от самой ЭП и заранее.

В предыдущей статье мы рассмотрели рекомендуемые носители, которые УЦ ФНС принимает для записи ЭП. Подпись выдается в единственном экземпляре и защищена от копирования. Именно поэтому, так важно позаботиться о ее хранении и безопасности в случае утери или кражи. В этой статье мы рассмотрим инструмент для использования полученной ЭП в УЦ ФНС на своем рабочем месте — криптопровайдер. По умолчанию, налоговая генерирует и шифрует электронные подписи с помощью КриптоПро CSP.

КриптоПро CSP — это криптопровайдер — независимый модуль в операционной системе вашего компьютера. Он позволяет выполнить криптографические операции для создания электронной подписи, ее шифрования и защиты от навязывания ложных данных.

Без наличия криптопровайдера на рабочем месте пользователя нельзя выполнить какие-либо операции с электронной подписью.

Для того, чтобы полученная подпись через УЦ ФНС заработала на выбранном компьютере руководителя или сотрудника, необходимо подготовить рабочее место:

  • Шаг 1. Купите средство криптозащиты КриптоПро CSP.
  • Шаг 2. Установите его на компьютер.
  • Шаг 3. Загрузите сертификат ЭП.

КриптоПро CSP имеет только прямую схему распространения до конечного пользователя. Дистрибьютор «1С‑Рарус» с партнерской сетью 1С работает по агентской схеме:

  • являемся лицензиатами ФСБ;
  • имеем дилерский договор с КриптоПро.

Если компания-лицензиат ФСБ не имеет дилерского договора с КриптоПро, она может стать нашим агентом или заключить прямой договор с вендором «КриптоПро».

Если компания-НЕлицензиат ФСБ — для вас доступна только агентская схема продаж.

Стать агентом

Помочь с выбором необходимого тарифа КриптоПро CSP вам помогут менеджеры отдела продаж системного программного обеспечения компании «1С‑Рарус», а также приведенные ниже ответы на часто задаваемые вопросы.

1. Не успел \ Не знал \ Забыл купить лицензию КриптоПро CSP до получения ЭП через УЦ ФНС?

Не беда! Пользователь может использовать 90 дней бесплатного промо-периода, если ранее его не активировал. В течение этого времени необходимо приобрести платную лицензию и выполнить ее установку, а после загрузку ЭП.

2. На вашем рабочем месте установлен криптопровайдер VipNet. Что делать?

УЦ ФНС использует для выдачи подписи только КриптоПро CSP. Если на одном компьютере установлены и VipNet, и КриптоПро CSP — программы конфликтуют.

  • Вариант 1 — удалить VipNet, купить КриптоПро CSP, перевыпустить ЭП до конца декабря 2021 года. Пользователи АО «Калуга Астрал» перевыпускают ЭП бесплатно по акции ZABOTA.
  • Вариант 2 — конвертировать действующую ЭП на VipNet, купить КриптоПро CSP и загрузить сертификат ЭП. Вендор АО «Калуга Астрал» поделился инструкцией. По дополнительным вопросам можно обратиться по тел.: 8 (800) 700‑86‑68, 8 (800) 700‑39‑84.

3. Приобретая КриптоПро CSP появился вопрос — «А какой тариф выбрать?»

Мы рекомендуем приобретать бессрочные лицензии КриптоПро CSP.

Бессрочную лицензию на 1 рабочее место пользователь будет использовать на 1 компьютере неограниченное время и для неограниченного количества ЭП:

  • Стоимость для клиента 2 700 ₽, без НДС:
    • цена не влияет на версию 4.0 и 5.0;
    • выбор версии зависит от операционной системы;
    • доход партнера 1С — 11% или 297 ₽ с одной лицензии.
  • Сертификат на годовую техническую поддержку СКЗИ «КриптоПро CSP»:
    • мы рекомендуем, но это не обязательно;
    • на 1 рабочее место 850 ₽, с НДС;
    • доход партнера 1С при продаже лицензии с сертификатом — 15% или 532 ₽.

Бессрочную лицензию на 1 сервер пользователь будет использовать без ограничения количества рабочих мест неограниченное время и для неограниченного количества ЭП:

  • Стоимость для клиента 37 500 ₽, без НДС:
    • цена не влияет на версию 4.0 и 5.0;
    • выбор версии зависит от операционной системы;
    • доход партнера 1С — 11% или 4 125 ₽ с одной лицензии.
  • Сертификат на годовую техническую поддержку СКЗИ «КриптоПро CSP»:
    • мы рекомендуем, но это не обязательно;
    • на 1 сервере 4 200 ₽, с НДС;
    • доход партнера 1С при продаже лицензии с сертификатом — 15% или 6 255 ₽.

Важно! Все лицензии КриптоПро CSP именные. На какое ЮЛ или ИП приобретена лицензия, от той компании и нужно получать ЭП и подписывать документы.

Почему мы рекомендуем приобретать сертификат на годовую поддержку СКЗИ?

  • Личный кабинет с дистрибутивом на портале ТП support.cryptopro.ru.
  • Всегда доступна консультация по установке, настройке и обновлению версий.
  • Лицензию КриптоПро восстановят при утере.
  • Есть доступ к базе знаний по типовым ошибкам и решениям.
  • SLA по инцидентам — 1 рабочий день.

4. Пользователь когда-то приобретал бессрочный КриптоПро CSP и сейчас он установлен на его компьютере. Он будет продолжать работать в 2022 году?

Да, будет. КриптоПро продолжает работать в прежнем режиме, для криптопровайдеров правила работы не изменились.

Бонус-информация

В сервисе 1С-Отчетность реализовано дополнительное расширение — «Расширение лицензии на программный продукт „АстралОтчетность“» с применением ограниченной лицензии на СКЗИ «КриптоПро CSP» в составе сертификата ключа проверки электронной подписи.

Это значит, что пользователь может сэкономить на приобретении основной лицензии КриптоПро CSP и работать по действующей ЭП весь 2022 год.

Как? Перевыпускаем электронную подпись (например, предыдущая ЭП была выпущена на VipNet, изменились данные о подписанте или организации) и получаем сертификат ЭП со встроенной лицензией КриптоПро CSP сроком действия на 15 месяцев.

  • При перевыпуске ЭП с уже встроенной лицензией КриптоПро CSP, она оплачивается повторно.
  • Стоимость для клиента 450 ₽ (можно продавать дороже, по 590 ₽), стоимость для партнеров 1С — 360 ₽, без НДС.

Станьте нашим агентом и предоставляйте своим клиентам возможность приобретения КриптоПро CSP! Для заключения договора обращайтесь в отдел продаж системного программного обеспечения «1С‑Рарус».

  • тел.: +7 (495) 642-78-78;
  • эл. почта: soft@rarus.ru;
  • или в ваше региональное представительство компании «1С‑Рарус».

Как скопировать эцп из реестра на флешку

Предположим, что у вас стоит задача скопировать контейнер из реестра, так как он уже там, то он экспортируемый, для этого открываем криптопро, “Сервис-Скопировать”

Выбираете “Обзор” и ваш сертификат из реестра.

скопировать сертификат из реестра на флешку-02

Задаете ему новое имя, удобное для себя.

скопировать сертификат из реестра на флешку-03

После чего вас попросят указать флешку, на которую вы будите копировать контейнер с закрытым ключом из реестра.

скопировать сертификат из реестра на флешку-04

Обязательно задайте новый пароль.

скопировать сертификат из реестра на флешку-05

Ну и собственно теперь открывайте вашу флешку и лицезрейте перенесенный на него контейнер, он будет состоять из файликов с форматом key.

скопировать сертификат из реестра на флешку-06

Как видите КриптоПРО, это конвейер, который позволяет легко скопировать сертификат из реестра на флешку или даже дискету, если они еще используются.

Генерация тестового сертификата

Как я и писал выше вы много, где сможете его применять, я когда знакомился с миром сертификатов и электронных подписей, то использовал тестовые ЭЦП от КриптоПРО для проверки правильности настройки программного обеспечения для работы на электронных, торговых площадках. Чтобы сгенерировать тестовый электронный сертификат, компания КриптоПРО предоставила вам специальный удостоверяющий, виртуальный центр, которым мы и воспользуемся. Переходим по ссылке:

https://www.cryptopro.ru/certsrv/

В самом низу у вас будет ссылка на пункт “Сформировать ключи и отправить запрос на сертификат”.

получить тестовый сертификат-01

Я вам советую этот сайт открывать в Internet Explore, меньше будет глюков. Как открыть Internet Explore в Windows 10, читайте по ссылке слева

Если же вы хотите использовать другой браузер, то установите КриптоПро ЭЦП Browser plug-in.

Копирование закрытого ключа из КриптоПро

Это самый простой способ, и будет актуальным при небольшом количестве контейнеров с закрытыми ключами. Чтобы выполнить перенос сертификатов из реестра, откройте ваш КриптоПРО, вкладка “Сервис”, нажимаем кнопку “Сервис”, далее через кнопку “Обзор”, откройте “Выбор ключевого контейнера” и укажите, какой сертификат вы будите переносить. В моем примере это контейнер “Копия сертификата в реестре (Семин Иван)”.

перенос сертификатов из реестра-01

Нажимаем “Далее”, вас попросят задать новое имя контейнера с закрытым ключом, введите понятное для себя, для удобства.

перенос сертификатов из реестра-02

У вас откроется окно с выбором носителей, вы можете выбрать либо токен, либо флешку для переноса на другое место. У меня это внешний жесткий диск Z:\.

перенос сертификатов из реестра-03

Задаем обязательно пароль, с точки зрения безопасности, так как файлы в таком виде просто скомпрометировать.

перенос сертификатов из реестра-04

Все, на выходе я получил папку со случайным названием и набором ключей в формате key.

перенос сертификатов из реестра-05

Если вы пытаетесь копировать сертификат с токена, то в ряде случаев у вас может появиться ошибка: Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.

Ошибка копирования контейнера

Связана такая ситуация, что в целях псевдобезопасности, удостоверяющие центры выпускают закрытые ключи без возможности экспорта, и таким образом увеличивают свою прибыль, так как в случае утери или поломки токена, вам придется его перевыпускать, а так как экспорт запрещен, то бэкапа вы сделать не сможете.

Если вы получили ошибку копирования контейнера. У вас нет разрешений на экспорт ключа, то метод с КРиптоПРО вам не поможет

Установка личного сертификата с привязкой к закрытому ключу

Установка личного сертификата с привязкой к закрытому ключу

Проверка наличия сертификата в контейнере

Перед установкой личного сертификата с носителя ruToken или eToken необходимо проверить наличие сертификата в контейнере, для этого:

Запустите программу КриптоПро CSP: (Пуск – Настройка – Панель управления – КриптоПро CSP или Пуск – Панель управления – КриптоПро CSP )

Откройте вкладку “Сервис” и нажмите кнопку «Просмотреть сертификаты в контейнере»

Два сертификата криптопро

В открывшемся окне нажмите кнопку “Обзор”

Два сертификата криптопро

Выберите контейнер, который необходимо проверить на наличие в нем сертификата, и нажмите кнопку «Ок»

Два сертификата криптопро

После того, как в поле «Имя ключевого контейнера» установится название контейнера, нажмите кнопку «Далее»

Два сертификата криптопро

Если откроется окно «Введите pin-код для контейнера», необходимо ввести Pin-код для носителя.

Pin-код по умолчанию: 12345678

Два сертификата криптопро

Если появится сообщение «В контейнере закрытого ключа **** отсутствует сертификат открытого ключа шифрования», значит в контейнере отсутствует личный сертификат.

Два сертификата криптопро

Если открылось окно «Сертификат для просмотра», значит в контейнере есть личный сертификат и вы можете его установить.

Экспорт личного сертификата

Для установки сертификата нажмите кнопку «Свойства»

Два сертификата криптопро

Во вкладке «Состав» нажмите кнопку «Копировать в файл…»

Два сертификата криптопро

Для подтверждения копирования нажмите кнопку «Далее»

Два сертификата криптопро

Для подтверждения копирования нажмите кнопку «Далее»

Два сертификата криптопро

Для подтверждения копирования нажмите кнопку «Далее»

Два сертификата криптопро

В следующем окне нажмите кнопку «Обзор…»

Два сертификата криптопро

1. Выбирете рабочий стол

2. Напишите имя файла Например :«Сертификат»

3. Нажмите кнопку «Сохранить»

Два сертификата криптопро

Для подтверждения копирования нажмите кнопку «Далее»

Два сертификата криптопро

Для подтверждения копирования нажмите кнопку «Готово»

Два сертификата криптопро

После того как Экспорт будет выполнен успешно нажмите кнопку «ОК»

Два сертификата криптопро

Установка личного сертификата

Откройте вкладку “Сервис” и нажмите кнопку «Установить личный сертификт…»

Два сертификата криптопро

В открывшемся окне нажмите кнопку «Обзор»

Два сертификата криптопро

  • Выберите Рабочий стол
  • Выберите Ваш сохраненный сертификат

Два сертификата криптопро

В следующем окне нажмите кнопку «Далее»

Два сертификата криптопро

В следующем окне нажмите кнопку «Далее»

Два сертификата криптопро

В следующем окне нажмите кнопку «Обзор»

Два сертификата криптопро

  • Выделите Ваш контейнер
  • И нажмите кнопку «ОК»

Два сертификата криптопро

В следующем окне нажмите кнопку «Далее»

Два сертификата криптопро

В следующем окне нажмите кнопку «Обзор»

Два сертификата криптопро

  • Выберите хранилеще “Личные”
  • И нажмите кнопку «ОК»

Два сертификата криптопро

В следующем окне нажмите кнопку «Далее»

Два сертификата криптопро

В следующем окне нажмите кнопку «Готово»

Два сертификата криптопро

Установка сертификата успешно завершена

Установка закрытого ключа в реестр

Теперь когда ваш закрытый ключ находится в реестре, давайте установим личный сертификат. Для этого откройте на вкладке “Сервис” кнопку “Посмотреть сертификат в контейнере”

Установка закрытого ключа в реестр-01

Далее в окне “онтейнер закрытого ключа” нажмите кнопку “Обзор”.

Установка закрытого ключа в реестр-03

И выберите сертификат из реестра, он будет с тем именем, что вы ему задавали.

установка сертификата в реестр криптопро-02

Нажимаем далее.

Установка закрытого ключа в реестр-04

После чего производится установка закрытого ключа в реестр, через соответствующую кнопку.

Установка закрытого ключа в реестр-05

Видим, что сертификат был установлен в хранилище “Личные” текущего пользователя.Как видите, было очень просто скопировать закрытый ключ в реестр операционной системы.

Когда нужно переносить сертификаты в другое место?

И так давайте рассмотрим по каким причинам у вас может появиться необходимость в копировании ваших ЭЦП в другое место.

  1. На текущем физическом компьютере начинает умирать жесткий диск или SSD накопитель (Как проверить жизненные показатели жесткого диска), очень частая история и жизненная, когда люди теряли все свои данные, из-за банальной жадности в покупке нового оборудования и элементарного незнания принципов резервного копирования.
  2. У вас производится модернизация оборудования, его улучшение и вам нужно перенести все сертификаты с закрытыми ключами на другую систему
  3. Вы создали отдельный сервер, в виде виртуальной машины, где будут находится все ваши сертификаты и с ними смогут работать все необходимые сотрудники, терминал для бухгалтерии. Простой пример СБИС, и когда у вас 10-20 организаций.

Перенос сертификатов в виде пошаговой инструкции

Первые два пункта я описывать тут не стану, так как я уже это подробно рассказывал, посмотрите по ссылкам. Я расскажу, об остальных методах и начнем мы с классического КриптоПРО.

Данный метод подойдет для тех ситуаций, когда у вас один или 2 сертификата (ЭЦП). Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит, и там придется выбирать 4-й метод.

Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты

Как видите предпосылок и вариантов переноса сертификатов из реестра на другой компьютер, предостаточно.

Какие есть варианты по копированию контейнеров закрытых ключей?

  • Если мы создаем единый терминал (Виртуальную машину), на которой будут коллективно работать пользователи, то можно произвести конвертирование физической тачки в виртуальную машину
  • Если будет просто замена жесткого диска, то можно произвести его клонирование или перенос системы на SSD с помощью специальных утилит
  • Можно воспользоваться утилитой КриптоПРО
  • Воспользоваться экспортом из реестра Windows.

Установка КриптоПро ЭЦП Browser plug-in.

Сама инсталляция плагина, очень простая, скачиваем его и запускаем.

Установка КриптоПро ЭЦП Browser plug-in

Для запуска нажмите “Выполнить”

Установка КриптоПро ЭЦП Browser plug-in-02

Далее у вас появится окно с уведомлением, что будет произведена установка КриптоПро ЭЦП Browser plug-in, соглашаемся.

Установка КриптоПро ЭЦП Browser plug-in-03

После инсталляции утилиты, вам нужно будет обязательно перезапустить ваш браузер.

Установка КриптоПро ЭЦП Browser plug-in-05

Открыв ваш браузер, вы увидите предупредительный значок, нажмите на него.

Установка КриптоПро ЭЦП Browser plug-in-06

В открывшемся окне нажмите “Включить расширение”

Установка КриптоПро ЭЦП Browser plug-in-07

Не забудьте установить КриптоПРО CSP на компьютер, где будет генерироваться сертификат

Теперь у нас все готово. Нажимаем “Сформировать ключи и отправить запрос на сертификат”. Согласитесь с выполнением операции.

получить тестовый сертификат-02

У вас откроется форма расширенного запроса сертификата. Вначале заполним раздел “Идентифицирующие сведения”. В него входят пункты:

  • Имя
  • Электронная почта
  • Организация
  • Подразделение
  • Город
  • Область
  • Страна

получить тестовый сертификат-03

Далее вам нужно указать тип требуемого сертификата. В двух словах, это область применения ЭЦП:

  • Сертификат проверки подлинности клиента (самый распространенный вариант, по сути для подтверждения, что вы это вы)
  • Сертификат защиты электронной почты
  • Сертификат подписи кода
  • Сертификат подписи штампа времени
  • Сертификат IPSec, для VPN тунелей.
  • Другие, для специальных OID

Я оставляю “Сертификат проверки подлинности клиента”.

получить тестовый сертификат-04

Далее вы задаете параметры ключа, указываете, что будет создан новый набор ключей, указываете гост CSP, от него зависит минимальная длина ключа. Обязательно пометьте ключ как экспортируемый, чтобы вы его могли при желании выгружать в реестр или копировать на флешку.

получить тестовый сертификат-05

Для удобства еще можете заполнить поле “Понятное имя”, для быстрой идентификации вашей тестовой ЭЦП от КриптоПРО. Нажимаем выдать тестовый сертификат.

получить тестовый сертификат-06

У вас появится запрос на создание, в котором вам необходимо указать устройство, на которое вы будите записывать тестовый сертификат КриптоПРО, в моем случае это е-токен.

получить тестовый сертификат-07

Как только вы выбрали нужное устройство появится окно с генерацией случайной последовательности, в этот момент вам необходимо нажмить любые клавиши или водить мышкой, это защита от ботов.

получить тестовый сертификат-08

Все наш контейнер КриптоПРО сформирован и для его записи введите пин-код.

получить тестовый сертификат-09

Вам сообщат, что запрошенный вами сертификат был вам выдан, нажимаем “Установить этот сертификат”.

получить тестовый сертификат-10

Если у вас еще не установленны корневые сертификаты данного центра сертификации, то вы получите вот такую ошибку:

Данный ЦС не является доверенным

Для ее устранения нажмите на ссылку “установите этот сертификат ЦС”

получить тестовый сертификат-11

У вас начнется его скачивание.

получить тестовый сертификат-12

Запускаем его, как видите в левом верхнем углу красный значок, чтобы его убрать нажмите “Установить сертификат”, оставьте для пользователя.

получить тестовый сертификат-13

Далее выбираем пункт “Поместить все сертификаты в следующее хранилище” и через кнопку обзор указываете контейнер “Доверенные корневые центры сертификации”. Далее ок.

получить тестовый сертификат-14

На последнем этапе у вас выскочит окно с предупреждением, о подтверждении установки сертификатов, нажимаем “Да”.

получить тестовый сертификат-15

Открываем снова окно с выпуском тестового сертификата КриптоПРО и заново нажимаем “Установить сертификат”, в этот раз у вас вылезет окно с вводом вашего пин-кода от вашего носителя.

получить тестовый сертификат-16

Если вы его ввели правильно, то увидите, что новый сертификат успешно установлен.

получить тестовый сертификат-17

Теперь открывайте ваш КриптоПРО и посмотрите есть ли сертификат в контейнере. Как видите в контейнере есть наша ЭЦП.

получить тестовый сертификат-18

Если посмотреть состав, то видим все наши заполненные поля. Вот так вот просто выпустить бесплатный, тестовый сертификат КриптоПРО, надеюсь было не сложно.

получить тестовый сертификат-19

Когда нужно копировать сертификаты КриптоПРО в реестр

Существует ряд задач, когда удобно иметь вашу ЭЦП подпись в реестре Windows:

1. При тестировании настроенного окружения для торговых площадок, для входа на которые используется ЭЦП подпись. 2. Когда у вас виртуальная инфраструктура и нет возможности, произвести проброс USB устройств по локальной сети 3. Ситуации, когда КриптоПРО не видит USB токена 4. Ситуации, когда USB ключей очень много и нужно работать одновременно с 5-ю и более ключами, примером может служить программа по сдачи отчетности СБИС

Перенос сертификатов из реестра без КриптоПРО

Существуют методы экспортировать закрытый ключ и без изспользования утилиты КриптоПРО. Представим себе ситуацию, что у вас на него кончилась лицензия и вы не успели ее купить. Вам нужно сдать отчетность в СБИС. Вы развернули CryptoPRO на другом компьютере, так как он позволяет 3 месяца бесплатного использования, осталось для СБИС выполнить перенос сертификатов, которые у вас в реестре Windows.

У нас два варианта:

  • Использование оснастки mmc-Сертификаты пользователя.
  • Использование Internet Explore

Как открыть оснастку сертификаты я уже подробно рассказывал, посмотрите. Откройте там контейнер “Личное – Сертификаты”. Если у вас в контейнере не один сертификат с одинаковым именем, такое может быть, то откройте сертификат в оснастке mmc и в КриптоПРО и сравните серийные номера сертификата.

перенос сертификатов-01

В Internet Explore, откройте “Свойства браузера – Содержание – Сертификаты”

Экспорт сертификата из реестра Windows

Теперь нам необходимо его экспортировать, в оснастке “Сертификаты”, через правый клик, это можно сделать, в Internet Explorer, сразу видно кнопку, экспорт.

Экспорт закрытого контейнера из реестра

У вас откроется мастер переноса сертификатов, на первом шаге, просто нажимаем далее. После чего вас спросят, что вы хотите экспортировать, выбираем пункт “да, экспортировать закрытый ключ вместе с сертификатом”

перенос сертификатов

Если ваш закрытый ключ запрещено экспортировать, то эта кнопка будет не активна, и можете сразу закрывать данный метод и переходить к следующему.

сбис перенос сертификата

Следующим этапом в мастере экспорта сертификатов, вам необходимо выбрать формат выгрузки, это будет PFX архив.

контур перенос сертификатов

Далее вы задаете обязательно пароль и указываете имя и место, где будите сохранять ваш переносимый контейнер с зарытым ключом в формате pfx.

сбис перенос сертификата-2

Мастер экспорта сертификатов, выведет вам сводные данные, нажимаем “Готово”.

перенос сертификата на рутокен-01

Отрываем локацию, куда вы его выгрузили, и найдите свой pfx архив.

перенос сертификата на рутокен-02

Теперь вам нужно еще выгрузить открытый ключ в формате cer, для этого так же зайдите в мастер экспорта, но на этот раз выберите “Нет, не экспортировать закрытый ключ”.

перенос сертификата на рутокен-03

Выберите формат файла “X.509 (.CER) в кодировке DEP”, задайте ему имя и место сохранения. На выходе у вас появятся два файла.

перенос сертификата на рутокен-04

Одни открытый ключ в формате cer и закрытый ключ в формате pfx. Этого набора вам будет достаточно, чтобы перенести сертификаты СБИС, Контура и остальных программ на другой компьютер.

перенос сертификата на рутокен-05

Теперь перенесите эти файлы на другое рабочее место и просто запустите, через простой двойной клик. У вас откроется мастер импорта сертификатов, на первом окне выберите нужное вам хранилище, я в своем примере оставлю “Текущий пользователь”.

Установка перенесенного сертификата-01

На втором шаге проверяем импортируемый сертификат.

Установка перенесенного сертификата-02

Указываем пароль, который задавали при выгрузке.

Установка перенесенного сертификата-03

Оставляем автоматический выбор хранилища на основе типа сертификатов.

Установка перенесенного сертификата-04

Готово. Со вторым файлом то же самое. После чего у вас будут перенесены нужные вам ключи и сам сертификат, можно работать.

Как скопировать сертификат в реестр КриптоПРО

CryptoPRo позволяет производить установку с копирование закрытого ключа (сертификата) в реестр Windows.

Хочу вас сразу предупредить, что с точки зрения безопасности, это очень не надежно и ваши закрытые ключи могут быть похищены, если вы не организовываете надлежащий уровень безопасности

И так, у меня есть USB токен SafeNet, на который я выпустил тестовую ЭЦП, ее я буду переносить вместе с закрытым ключом в реестр Windows. Открываем утилиту CryptoPRO с правами администратора.

как скопировать сертификат в реестр криптопро-01

Переходите на вкладку “Сервис” и нажимаете “скопировать”

как скопировать сертификат в реестр криптопро-02

У вас откроется окно “Контейнер закрытого ключа”, тут вам нужно нажать кнопку “Обзор”, что бы выбрать ваш сертификат, который вы хотите скопировать в реестр.

как скопировать сертификат в реестр криптопро-03

В итоге у вас в поле “Имя ключевого контейнера” отобразиться абракадабровое имя.

Как скопировать ключ в реестр-01

Нажимаем далее.

Как скопировать ключ в реестр-02

У вас появится окно с вводом пин-кода от вашего USB токена.

Как скопировать ключ в реестр-03

Теперь вам необходимо задать имя для копируемого сертификата в реестр Windows, КриптоПРО благо, это позволяет. Я назвал его “Копия сертификата в реестре (Семин Иван)”

Задаем имя сертификата в реестре

Теперь вам необходимо положить сертификаты КриптоПРО в реестр, для этого выбираем соответствующий пункт и нажимаем “Ок”.

сертификаты криптопро в реестре-01

На следующем шаге вам предложат установить новый пароль на ваш контейнер с закрытым ключом, советую установить его и желательно посложнее.

сертификаты криптопро в реестре-02

Массовый перенос ключей и сертификатов CryptoPro на другой компьютер

Выше описанные методы хороши, когда у вас один или 5 ключиков в реестре, а как быть если их десятки. Помню лет 5 назад, когда я еще был младшим администратором, то я очень часто устанавливал электронные цифровые подписи главбуху, так как она работала в СБИС++ и сдавала там постоянно отчетность по огромному количеству организаций, по типу рога и копыта. Держать кучу токенов было не вариант, и для таких вещей у нее все хранилось в реестре и копия сертификатов была на флешке в сейфе. Флешку потом потеряли, встал вопрос сделать резервную копию всего и плюс обновить систему, в виду нового компьютера, на операционной системе Windows 8.1. ЭЦП было штук 50, а так как я ценю свое время, то и искал методы, выполнить это быстрее, к счастью я его нашел.

Заключался метод переноса сертификатов из реестра, в выгрузке веток и подмене SID значения, но обо всем по порядку. О том, как посмотреть SID пользователя и что это такое я рассказывал.

Открываете командную строку cmd и вводите команду:

криптопро перенос сертификатов-01

Вот это S-1-5-21-551888299-3078463796-888888888-46162 и есть SID, вашей учетной записи. Теперь когда вы его знаете, то вам нужно выгрузить ваши закрытые ключи из реестра Windows. Для этого откройте вот такую ветку:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\Номер вашего SID, который мы узнали\Keys

криптопро перенос сертификатов-02

В контейнере Keys, вы найдете все ваши закрытые ключи от ЭЦП. С правой стороны вы увидите файлы: * header.key * masks.key * masks2.key * name.key * primary.key * primary2.key

Щелкаем правым кликом по контейнеру Keys и экспортируем его.

криптопро перенос сертификатов-03

Сохраняем нашу ветку реестра с контейнерами закрытых ключей. Далее нам нужно скопировать открытые ключи, которые лежат по пути:

C:\Users\имя вашего пользователя\AppData\Roaming\Microsoft\SystemCertificates\My

Не забывайте только подставить своего пользователя, эта папка может быть скрытой, поэтому включите скрытые папки и файлы в вашей ОС. Все содержимое этой папки вам нужно перенести на другой компьютер, только уже в папку другого, нужного пользователя.

перенос сертификатов-05

Как только вы поместили на новом компьютере папку Key, вы можете перенести реестровую выгрузку. Сохраненный файл в формате reg, вы должны открыть в любом текстовом редакторе.

перенос сертификатов-01

Как я показывал выше, определите SID нового пользователя, скопируйте его полностью и замените им значение в файле reg, я отметил это стрелками.

SID начинается с S-1 и так далее

перенос сертификатов-02

Все сохраняйте файл и запускайте его, у вас будет начат перенос сертификатов (закрытых ключей), подтверждаем действие.

перенос сертификатов-03

Как видите импорт успешно завершен. Все теперь ваши закрытые и открытые ключи на месте и вы можете работать с вашими ЭЦП, и можно считать, что перенос сертификатов с одного компьютера на другой в массовом масштабе, осуществлен успешно. Если остались вопросы, то жду их в комментариях.

перенос сертификатов-04

Где хранится закрытый ключ в реестре Windows

После процедуры добавления сертификата в реестр КриптоПРО, я бы хотел показать, где вы все это дело можете посмотреть. Ранее я вам рассказывал, о том как добавить оснастку сертификаты. Нас будет интересовать раздел “Сертификаты пользователя – Личное”.

скопировать закрытый ключ в реестр-01

Либо вы можете зайти в свойства Internet Explorer на вкладку “Содержание’. Потом перейти в пункт “Сертификаты”, где у вас будут отображаться все ваши SSL сертификаты, и те, что КриптоПРО скопировал в реестр операционной системы.

сертификаты криптопро в реестре

Если нужно найти ветку реестра с закрытым ключом, то я вам приводил уже пример в статье, когда я переносил ЭЦП с компьютера на компьютер.

\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\Ваш SID, как его определить читайте по ссылке\Keys\Копия сертификата в реестре (Семин Иван)

как скопировать рутокен в реестр

Про копирование ЭЦП с закрытыми ключами мы разобрали, теперь ситуация обратная.

Читайте также:  FAQ по теме интеграции с ЕСИА / Блог компании Cloud4Y / Хабр
Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector