где криптопро хранит сертификаты директория

Файлы сертификатов в проводнике

Где находятся сертификаты ЭЦП на компьютере?

А вот закрытый сертификат ЭЦП не копируется на жесткий диск – он хранится исключительно на защищенном USB-рутокене и используется как раз для генерации открытых ключей (при этом нужно ещё вводить секретный пароль, который предоставляет удостоверяющий центр). Если же физически скопировать открытый сертификат на другой компьютер, то пользоваться им можно будет лишь в том случае, если там же установлен корневой сертификат удостоверяющего центра, выдавшего ЭЦП. В противном случае – сертификат не пройдет проверку подлинности.

Где ещё на компьютере хранится сертификат электронной подписи? Ещё одна копия, для программного использования, хранится в шифрованном виде в папке Windows, но получить доступ туда или даже скопировать сам файл сертификата не получится – операционная система не предоставит таких прав доступа.

Ещё следует учесть, что для просмотра файлов сертификатов пользователь должен обладать правами администратора. Если же он вошел в систему как «Гость», то к системным папкам на диске С (или другом, где установлена сама система) он не сможет получить доступ.

Сам файл сертификата имеет расширение. cer или. csr (в зависимости от кодировки), занимает буквально несколько килобайт памяти. Точно такие же файлы используются в дистрибутивах Linux, в MacOS – это уже стандартизированный формат электронных подписей. Также нередко в вышеуказанных папках можно найти файлы сертификатов стандарта. x509, однако в РФ такие для личного использования не применяются.

Копирование закрытого ключа из КриптоПро

Это самый простой способ, и будет актуальным при небольшом количестве контейнеров с закрытыми ключами. Чтобы выполнить перенос сертификатов из реестра, откройте ваш КриптоПРО, вкладка “Сервис”, нажимаем кнопку “Сервис”, далее через кнопку “Обзор”, откройте “Выбор ключевого контейнера” и укажите, какой сертификат вы будите переносить. В моем примере это контейнер “Копия сертификата в реестре (Семин Иван)”.

Нажимаем “Далее”, вас попросят задать новое имя контейнера с закрытым ключом, введите понятное для себя, для удобства.

У вас откроется окно с выбором носителей, вы можете выбрать либо токен, либо флешку для переноса на другое место. У меня это внешний жесткий диск Z:.

Задаем обязательно пароль, с точки зрения безопасности, так как файлы в таком виде просто скомпрометировать.

Все, на выходе я получил папку со случайным названием и набором ключей в формате key.

Если вы пытаетесь копировать сертификат с токена, то в ряде случаев у вас может появиться ошибка: Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.

Связана такая ситуация, что в целях псевдобезопасности, удостоверяющие центры выпускают закрытые ключи без возможности экспорта, и таким образом увеличивают свою прибыль, так как в случае утери или поломки токена, вам придется его перевыпускать, а так как экспорт запрещен, то бэкапа вы сделать не сможете.

Если вы получили ошибку копирования контейнера. У вас нет разрешений на экспорт ключа, то метод с КРиптоПРО вам не поможет

Скопировать ЭЦП на компьютер

Безусловно, постоянно носить с собой флешку не всегда удобно. Она либо может прийти в негодность, либо ее просто-напросто может не оказаться под рукой в нужный момент. В таком случае придет на помощь способ, при котором мы скопируем сертификат ЭЦП на сам компьютер, что впоследствии позволит обойтись без USB-носителя.

Для того, чтобы скопировать ЭЦП на компьютер
, пожалуйста, следуйте дальнейшим инструкциям:

В открывшемся окне выберите ключевой контейнер, для этого нажмите кнопку Обзор.

В открывшемся списке ключевых контейнеров пользователя выберите контейнер и нажмите Ок.

После выбора контейнера, его имя появится в строке Имя ключевого контейнера. В следующем окне просто нажмите Далее.

В следующем шаге необходимо указать информацию о новом контейнере, для чего введите Имя сертификата

(придумайте любое имя сертификата ключа). После этого нажмите кнопку Готово.

Для вновь создаваемого контейнера существует возможность задать новый пароль. Если желаете установить пароль, дважды введите его в соответствующие поля. Если использование пароля не планируется, оставьте поля пустыми и нажмите Ок.

Итак, мы выбрали объект для копирования, указали место хранения сертификата. Теперь необходимо этот сертификат установить.

Нажав на кнопку Обзор
, в открывшемся окне, если вы обратили внимание, появился еще один ключевой контейнер. Выберите вновь созданный контейнер и нажмите Ок.

После выбора нового контейнера нажмите Далее.

В открывшемся окне будет указан сертификат для просмотра. Нажмите Установить.

В итоге, после произведенных вами действий, появится сообщение об успешной установке сертификата. Нажмите Ок.

Готово. ЭЦП установлена на компьютер.

Обновлено: 05. 2021

Если заметили ошибку, выделите фрагмент текста и нажмите Ctrl+Enter

Установка центра сертификации (Standalone CA Windows Server 2019)

Непосредственно перед самой установкой коротко объясню особенности Standalone CA:

• Не интегрирован с Active Directory (а он нам и не нужен);
• Публикация сертификатов происходит через запрос на WEB-сайте. Путем автоматического или ручного подтверждения администратором ЦС (ЕМНИП, ЦС предприятия было добавлена такая возможность, не проверял её работу);
• Пользователь сам вводит идентификационную информацию во время запроса сертификата;
• Не поддерживает шаблоны сертификатов (из-за этого всплывут некоторые моменты, которые раскрою в процессе развертывания).

Измените имя компьютера до установки роли, после это будет сделать невозможно. «Далее (Next)» (рис. 2):

Рисунок 2. Уведомления при установки роли.

Добавляем роль в «Диспетчере серверов» (Server Manager), «Далее (Next)» (рис. 3):

Рисунок 3. Интерфейс «Диспетчера устройств» (Server Manager)

«Установка ролей и компонентов (Add roles and features wizard)». Нажимаем «Далее (Next)» – «Далее (Next)»;

«Тип установки: Установка ролей и компонентов (Installation type: Role-based or features-based installation». «Далее (Next)»;

«Выбор сервера (Server selection)». В нашем случае среди предложенных будет один сервер и имя компьютера. «Далее (Next)» (рис. 4);

Рисунок 4. «Выбор сервера (Server selection)»

«Роли сервера (Server roles). Здесь необходимо отметить две роли: Служба сертификатов Active Directory (Certificate Services Active Directory), Веб-сервер IIS (Web-server IIS);

Во всплывающем окне перечня нажимаем «Добавить компонент (Add features)» – «Далее (Next)»;

«Компоненты (Features) оставляем как есть — «Далее (Next)» ;

«Служба ролей (Role Services)» ЦС, необходимо выбрать:

• «Центр сертификации (Certification Authority)»,
• «Служба регистрации в центре сертификации через Интернет (Certification Authority Enrollment)»;

Сетевой автоответчик (Online responder) добавим уже после развертывания ЦА, в противном случае могут возникнуть проблемы.

В «Служба ролей (Role Services)» веб-сервера оставляем всё предложенное автоматически — «Далее (Next)»;

«Подтверждение (Confirmation).

На этом этапе запустится процесс установки роли.

После установки роли центра сертификации необходимо его настроить(рис. Выбираем:

«Настроить службы сертификатов Active Directory (Configure Active Directory-Certificate Services)

Рисунок 5. Уведомление о необходимости настройки центра сертификации

Выбираем установленные службы ролей для настройки (Select role services to configure) ЦС: «Центр сертификации (Certification Authority)», «Служба регистрации в центре сертификации через Интернет (Certification Authority Enrollment)»;

При выборе центра сертификации появится окно выбора ключевого носителя – КриптоПРО CSP, в качестве носителя для создания контейнера cngWorkAround используем хранилище ключей реестра Windows – Реестр. (рис

Рисунок 6. Выбор ключевого носителя – КриптоПРО CSP

Указываем вариант установки ЦС (Specify the setup type of the CA): Автономный центр сертификации (Standalone CA). «Далее (Next)»;

Указываем тип ЦС (Specify the type of CA) – Корневой ЦС (Root CA). «Далее (Next)»;

Необходимо создать закрытый ключ ЦС, чтобы он мог создавать и выдавать их клиентам. Для этого выбираем «Создать новый закрытый ключ (Create a new private key)».

В качестве поставщика службы шифрования выбираем один из трёх предложенных (не забывайте, что 2001 год уже устарел) Crypto-Pro GOST R 34. 10-2012 Strong Cryptographic Service Provider с длиной 512 и открытого ключа 1024 бита. (рис

Рисунок 7. Выбор криптопровайдера

Укажите имя центра сертификации и суффиксы различающего имени, данные суффиксы будут отображаться в составе сертификата в графе «Издатель (Issuer)».

СN = Certificate Name, O = Organization, L = Locale, S = Street, C = Country, E = E-mail; (рис

Указываем необходимый «срок годности (validaty period)» корневого сертификата (в нашем случае было выбрано 15 лет). «Далее (Next)»;

Указываем расположение баз данных сертификатов (certificate database location). «Далее (Next)»;

В окне «Подтверждения (Confirmation) сверяем введённую информацию – «Настроить (Configure)»

Появится окно выбора носителя для создания контейнера нашего ЦС.

Где хранятся сами контейнеры ключей:

Реестр: (в качестве хранилища ключей используется реестр Windows), путь хранения контейнеров ключей следующий:Ключи компьютера: HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCryptoProSettingsKeys

Далее откроется окно генерации начальной последовательности с помощью биологического ДСЧ. Для генерации случайной последовательности перемещайте указатель мыши или нажимайте различные клавиши.

После введите пароль на доступ к закрытому ключу.

Далее появится окно результатов об успешной установке компонентов (рис

Рис. Результаты установки

Настройка веб-сервера IIS

Теперь необходимо выполнить некоторые настройки веб-сервера: прицепить сертификат (самоподписанный или выпущенный нашим же ЦА). Кстати, он уже работает. В качестве примера выпустим самоподписанный сертификат.

Откроем Диспетчер служб IIS (Manager IIS) — Сертификат сервера (Server Certificates) (рис. 9);

В открывшемся окне в панели «Действия (Actions)» выберем – «Создать самоподписанный сертификат (Create Self-Signed Certificate);

Выбираем тип «Личный (Personal) и указываем «Имя сертификата (Friendly Name)»

Рисунок 9. Диспетчер служб IIS (IIS Manager)

Также сертификат вы можете выпустить следующим образом:На этой же панели создайте запрос (Create certificate request) для выпуска сертификата через наш ЦА и дальнейшей его загрузки в IIS (Complete Certificate Request). Но это по желанию.

Пример запроса (request) для формирования запроса вручную

В целом с веб-сервером мы закончили, в default web site вы можете увидеть, что были автоматически созданы virtual directory и applications «CertSrv». При желании можно создать отдельную виртуальную директорию под CRL’ки.

Открытый ключ ЭЦП

Эта часть ключевой пары представляет собой уникальный набор символов, который формируется криптопровайдером (средством криптографической защиты информации). Открытый ключ находится в сертификате проверки электронной подписи (в электронной и бумажной версии). Он доступен всем, так как используется для расшифровки ЭЦП. То есть с его помощью получатель подписанного электронного документа может идентифицировать и проверить ЭЦП. Удостоверяющие центры хранят выданные открытые ключи в специальном реестре.

Что нужно для просмотра

Чтобы отследить расположение сертификатов ЭЦП на стационарном устройстве, можно использовать КриптоПро, Internet Explorer, Certmgr (встроенный на компьютере менеджер) либо консоль управления. В зависимости от избранного варианта, набор действий будет таким:

• Internet Explorer. Для начала осуществляем запуск браузера. После этого через «Пуск» переходим на «Свойства браузера». В отобразившейся на экране вкладке выбираем «Содержание». Там нажимаем строку «Сертификаты». Это и будет хранилище ключей. Можно просматривать, копировать, переносить на другие устройства. Но функция удаления заблокирована.
• Заходим на устройство с административными правами. Нажимаем «Пуск», забиваем в поисковую позицию команду «certmgr.msc» и наживаем ввод. После этого вам слева отобразится список всех имеющихся на компьютере сертификатов.
• Консоль управления. Потребуется пройти несколько этапов запуска программы. Для начала откройте командную строку, введите туда команду «mmc» и ввод. В отобразившейся позиции необходимо отыскать «Файл», и нажать позицию «Добавить/удалить оснастку cryptopro». Потребуется последовательно переходить на «Добавить», выбрать и ввести «Добавить изолированную оснастку». Дальше вы получаете доступ к папке «Сертификаты». Консоль управления предоставляет полноценный доступ к данным. Тут их можно не только копировать, но и удалять.

2 способ. Восстановление с помощью программы восстановления удалённых файлов

Можно попробовать восстановить данные специальной программы, например r-undelete. По нашему опыту восстановить ключи удаётся в 80% случаев. Важно чтобы после удаления или форматирования флешки на неё не производилась запись других файлов!

Зачем копировать сертификаты ЭЦП

Перенос ключей и сертификатов электронной подписи необходим в нескольких случаях. Первый из них — работа с ЭЦП сразу на нескольких ПК. Переставлять флешку с ключом не всегда удобно, поэтому пользователи предпочитают иметь копию на рабочем столе. Вторая причина для создания резервной копии — возможность потери или порчи USB-носителя. Это относится к людям, часто и много путешествующим, и работающим из нескольких точек. Необходимость копирования закрытого ключа есть и в случае создания виртуального сервера, к которому будут иметь доступ сразу несколько организаций.

Как найти ЭЦП на компьютере

На стационарном устройстве (ПК, ноутбук, смартфон) расположение файла (сертификата ЭЦП) зависит от типа используемой операционной системы.

Рассмотрим конкретные хранилища сертификата ЭЦП в используемых сегодня операционных системах.

Ошибка при копировании контейнера

Чтобы перенести сертификат с токена придется воспользоваться другим способом. Через IE пользователь открывает «Содержание» через «Настройки».

Затем нужно выбрать сертификат и нажать «Экспорт».

В новом окне пользователь выбирает экспортирование закрытого ключа и проставляет все нужные галочки.

Далее нужно указать пароль, т. без него продолжать нельзя. А также пользователю нужно указать имя файла и место, куда нужно сохранить закрытый ключ. Остается лишь скопировать сертификат. Для этого нужно выбрать сертификат в списке, нажать «Экспорт» и выбрать файл. CER.

При правильной последовательности появляются два файла:. pfx и. cer.

Для завершения копирования нужно лишь перенести эти файлы на другой компьютер или носитель и запустить их установку при помощи мастера установки сертификатов.

Копирование закрытого ключа электронной подписи нужно в нескольких случаях: при частых путешествиях и в работе с нескольких ПК. Также перенести ключ ЭЦП на рабочий стол можно и для того, чтобы избежать порчи и потери USB-носителя. Процесс копирования проходит в несколько последовательных шагов, а выбрать можно для этого любой удобный способ. Это может быть простое извлечение ключа из закрытого контейнера, копирование при помощи КриптоПро или системный проводник. Ошибки при работе могут возникнуть только в случае защищенного от экспорта сертификата. Тогда пользователю придется произвести копирование при помощи браузера Internet Explorer.

https://youtube.com/watch?v=pdWwLv6sor4%3Ffeature%3Doembed

Установка сетевого ответчика (Online responder)

А вот мы и вернулись к установке автоответчика.

Добавляем роль в «Диспетчере серверов» (Server Manager) – «Далее (Next)»

Установка ролей и компонентов (Add roles and features wizard)» – «Далее (Next)»;

«Роли сервера (Server roles), раскрываем роль: Служба сертификатов Active Directory (Certificate Services Active Directory); и устанавливаем галочку на «Сетевой ответчик» (Online Responder)

Завершаем работу с мастером ролей и компонентов, путём односмысленных нажатий «Далее (Next)».

В IIS была добавлена Applications: ocsp. Только не пугайтесь, что сама по себе директория пустая. Так и должно быть.

Нам осталось настроить центр сертификации и выпустить сертификат на OCSP.

Области применения ЭП

Юридические лица, индивидуальные предприниматели и физические лица используют
электронную подпись в разных областях.

Как используют электронную подпись обычные граждане

Простую подпись физические лица используют для авторизации на сайтах и в сервисах. Она
предоставляет им возможность пользоваться базовыми возможностями. Неквалифицированную подпись обычные граждане могут получить на портале nalog. ru, с помощью которой они
смогут воспользоваться дополнительными функциями сайта. Например, отправлять документы в налоговую, и они
будут признаны равнозначными бумажным.

Как используют электронную подпись юридические лица

Юридические лица обычно используют именно квалифицированную подпись, так как она
открывает им большие возможности:

• участвовать в госзакупках в качестве заказчика, а не только поставщика;
• работать на государственных порталах;
• вести юридически значимый электронный документооборот;
• отправлять электронную отчётность в контролирующие органы;
• регистрировать онлайн-кассу.

Неквалифицированная подпись подходит для внутреннего документооборота.

Состав электронной подписи

Электронная подпись состоит из трёх элементов:

Техническое средство для реализации набора криптографических алгоритмов и функций (средство ЭП). Это может быть криптопровайдер, который устанавливается на ПК, самостоятельный токен со встроенным криптопровайдером, а также решение на основе облачных технологий. Согласно 63-ФЗ, токен и средство КЭП на нём должны быть сертифицированы Федеральной Службой Безопасности РФ.

Важно: Криптопровайдер (Cryptography Service Provider, CSP) — это специализированный модуль для операционной системы, который позволяет осуществлять криптографические преобразования.

Связка из открытого и закрытого ключей, сформированная средством ЭП. Закрытый ключ служит для формирования самой ЭП. Он хранится на цифровом носителе (токене) и защищён паролем. Открытый ключ известен всем участникам документооборота и нужен для проверки электронной подписи.

Сертификат ключа проверки ЭП — документ в электронном или бумажном виде, предназначенный для подтверждения принадлежности открытого ключа (ключа проверки) владельцу ЭП. Выдаётся в удостоверяющем центре. Сертификат ключа проверки ЭП важен тем, что позволяет предотвращать случаи мошенничества, когда злоумышленник, перехватив открытый ключ и подменив его своим, получает возможность выдавать себя за владельца ЭП. Удостоверяющие центры несут финансовую и административную ответственность за корректность сертификата.

Перенос сертификатов из реестра без КриптоПРО

Существуют методы экспортировать закрытый ключ и без изспользования утилиты КриптоПРО. Представим себе ситуацию, что у вас на него кончилась лицензия и вы не успели ее купить. Вам нужно сдать отчетность в СБИС. Вы развернули CryptoPRO на другом компьютере, так как он позволяет 3 месяца бесплатного использования, осталось для СБИС выполнить перенос сертификатов, которые у вас в реестре Windows.

У нас два варианта:

• Использование оснастки mmc-Сертификаты пользователя.
• Использование Internet Explore

Как открыть оснастку сертификаты я уже подробно рассказывал, посмотрите. Откройте там контейнер “Личное – Сертификаты”. Если у вас в контейнере не один сертификат с одинаковым именем, такое может быть, то откройте сертификат в оснастке mmc и в КриптоПРО и сравните серийные номера сертификата.

В Internet Explore, откройте “Свойства браузера – Содержание – Сертификаты”

Теперь нам необходимо его экспортировать, в оснастке “Сертификаты”, через правый клик, это можно сделать, в Internet Explorer, сразу видно кнопку, экспорт.

У вас откроется мастер переноса сертификатов, на первом шаге, просто нажимаем далее. После чего вас спросят, что вы хотите экспортировать, выбираем пункт “да, экспортировать закрытый ключ вместе с сертификатом”

Если ваш закрытый ключ запрещено экспортировать, то эта кнопка будет не активна, и можете сразу закрывать данный метод и переходить к следующему.

Следующим этапом в мастере экспорта сертификатов, вам необходимо выбрать формат выгрузки, это будет PFX архив.

Далее вы задаете обязательно пароль и указываете имя и место, где будите сохранять ваш переносимый контейнер с зарытым ключом в формате pfx.

Мастер экспорта сертификатов, выведет вам сводные данные, нажимаем “Готово”.

Отрываем локацию, куда вы его выгрузили, и найдите свой pfx архив.

Теперь вам нужно еще выгрузить открытый ключ в формате cer, для этого так же зайдите в мастер экспорта, но на этот раз выберите “Нет, не экспортировать закрытый ключ”.

Выберите формат файла “X. 509 (. CER) в кодировке DEP”, задайте ему имя и место сохранения. На выходе у вас появятся два файла.

Одни открытый ключ в формате cer и закрытый ключ в формате pfx. Этого набора вам будет достаточно, чтобы перенести сертификаты СБИС, Контура и остальных программ на другой компьютер.

Теперь перенесите эти файлы на другое рабочее место и просто запустите, через простой двойной клик. У вас откроется мастер импорта сертификатов, на первом окне выберите нужное вам хранилище, я в своем примере оставлю “Текущий пользователь”.

На втором шаге проверяем импортируемый сертификат.

Указываем пароль, который задавали при выгрузке.

Оставляем автоматический выбор хранилища на основе типа сертификатов.

Готово. Со вторым файлом то же самое. После чего у вас будут перенесены нужные вам ключи и сам сертификат, можно работать.

Процесс настройки

Ранее я не сталкивался с центрами сертификациями. Поскольку ОС Windows Server мне ближе, решил развернуть ЦС с использованием Server Manager. Разворачивать контроллер домена не нужно, так как сертификаты будут выдаваться внешним пользователям. Соответственно, можно обойтись «автономным» центром сертификации, подробнее о нём расскажу позже.

Перед развертыванием центра сертификации необходимо:

• Установить СКЗИ КриптоПро CSP 5.0.12330:
• Установить КриптоПро ЭЦП Browser plug-in;

Инсталляцию производим через «Дополнительные опции»

• Выбираем язык установки, уровень защиты КС1 (другие уровни защиты требуют дополнительных аппаратных средств защиты);
• В разделе «Установка компонентов» проверяем, что добавлен «Криптопровайдер уровня ядра ОС»; (рис. 1)

Рисунок 1. Установка дополнительных компонентов «КриптоПро CSP»

Криптопровайдер уровня ядра ОС необходим для работы криптопровайдера в службах и ядре Windows.

В следующем окне оставляем пункты:

• Зарегистрировать считыватель «Реестр» (позволит сохранять контейнеры ключей в реестр);
• Усиленный контроль использования ключей;
• Не разрешать интерактивные сервисы Windows;

Также «КриптоПро» предложит добавить сертификаты своих центров сертификации;

Устанавливаем, перезагружаемся.

Закрытый ключ ЭЦП

Это секретный уникальный набор символов, который также формируется криптопровайдером. Закрытый ключ необходим для формирования ЭЦП на электронном документе и хранится в зашифрованном виде на носителе (токене). Доступ к закрытому ключу имеет только владелец ЭЦП, он защищен PIN-кодом. Теоретически, скопировать закрытый ключ на другой носитель можно, но делать это рекомендуется, так как безопасность использования ЭЦП гарантирована только тогда, когда закрытый ключ существует в единственном экземпляре. Если носитель с закрытым ключом утерян, то в целях безопасности необходимо отозвать ЭЦП, чтобы злоумышленники не могли ей воспользоваться.

В ключевой паре открытая и закрытая части привязаны друг к другу.

Как скопировать ЭЦП с флешки

Несмотря на то что флеш-носитель относится к надежным, ЭП с него рекомендуется скопировать в реестр ПК. Нужно это для того, чтобы иметь резервную копию на случай поломки носителя. Также это избавит пользователя от необходимости везде возить с собой флешку, что снизит риск кражи или потери.

Как скопировать ЭЦП:

Установить скопированный сертификат. Для этого:

Установка ЭЦП завершена. Теперь можно пользоваться подписью как с флешки, так и с ПК.

Установка закрытого ключа в реестр

Теперь когда ваш закрытый ключ находится в реестре, давайте установим личный сертификат. Для этого откройте на вкладке “Сервис” кнопку “Посмотреть сертификат в контейнере”

Далее в окне “онтейнер закрытого ключа” нажмите кнопку “Обзор”.

И выберите сертификат из реестра, он будет с тем именем, что вы ему задавали.

После чего производится установка закрытого ключа в реестр, через соответствующую кнопку.

Видим, что сертификат был установлен в хранилище “Личные” текущего пользователя. Как видите, было очень просто скопировать закрытый ключ в реестр операционной системы.

Просмотр сертификатов через консоль управления

Это ещё один встроенный в Windows инструмент, позволяющий на компьютере найти ключ ЭЦП.

Для просмотра сертификатов через консоль управления необходимо выполнить:

• запустить командную строку (нажать комбинацию клавиш Win+R, ввести «cmd» и нажать клавишу Enter);
• ввести в терминале команду mmc и нажать Enter;
• кликнуть на «Файл» и выбрать «Добавить или удалить оснастку»;
• выбрать «Добавить», затем «Добавить изолированную оснастку»;
• выбрать «Сертификаты».

Затем также можно выбрать просмотр сертификатов по определенной учетной записи, зарегистрированной в Windows. Чтобы таким методом найти ЭЦП на компьютере также нужно обладать правами администратора.

Через MMC (Просмотр сертификатов в консоли управления) также можно добавлять, удалять, копировать контейнеры с электронной подписью (включая сертификат удостоверяющего центра), но далеко не всем такой метод покажется удобным, так как некоторые команды также придется вводить именно через командную строку. Данный инструмент больше подходит для использования системными администраторами, когда через сервер выполняется настройка прав доступа всех подключенных компьютеров.

Что делать, если ЭЦП утеряна

В Linux системах список контейнеров с закрытыми ключами можно найти при помощи утилиты csptest. Находится она в директории:  /opt/cprocsp/bin/<архитектура>.

Список контейнеров компьютера: csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys. Список контейнеров пользователя: csptest -keyset -enum_cont -verifycontext -fqcn. В списках имена контейнеров даются в виде, понятном для бинарных утилит, входящих в состав дистрибутива CSP.

Закрытые ключи хранятся в хранилище HDImageStore на жестком диске, и доступны они и для CSP, и для JCP.

Просмотреть список ключей электронной подписи на ОС Windows может только пользователь с правами администратора. Обычно ключи хранятся в системных папках и имеют расширение. cer или. csr. Чтобы посмотреть список, удалить ненужные элементы или скопировать их на внешний носитель можно воспользоваться программой КриптоПро, браузером Internet Explorer, консолью управления или специальной утилитой certmgr. В Windows XP открытые и закрытые ключи хранятся в разных папках, а закрытые дополнительно шифруются паролем, состоящим из комбинации случайных чисел. Системы Linux хранят все сертификаты в отдельной директории, а пусть к ним задается вручную при помощи команд.

В Windows

Тут выделяются старые ОС (такие как Windows XP), а также современные популярные их версии (Windows Vista, Windows 7, Windows 10). Вне зависимости от версии ОС, файл с ЭЦП помещается в специальный (электронный) контейнер закрытого типа.

В ОС Windows XP

Хранятся по такому адресу: Documents and Settings<ПОЛЬЗОВАТЕЛЬ>ApplicationDataMicrosoft SystemCertificatesMyCertificates. После входа в систему такие файлы автоматически включаются в реестр (локальный). Если же подключение осуществляется с внешнего носителя, сертификаты хранятся на таком носителе и подтягиваются после каждого сеанса.

В поздних версиях Windows

Хранение файла с открытым ключом в реестре осуществляется по таким ссылкам (адресам):

В системе Linux

В ОС Linux сертификаты (открытые) располагаются в специальном системном хранилище. Формат файла остается неизменным (. cer или. csr), что существенно упрощает его поиск. Обычно подобные файлы находятся в директории: /opt/cprocsp/bin/<архитектура>. Для запуска просмотра потребуется задействовать утилиту Csptest.

Просмотр сертификатов через Certmgr

В операционных системах семейства Windows также имеется встроенный менеджер для работы с установленными сертификатами. Через него можно просмотреть и личные ключи, и сертификаты удостоверяющих центров, партнеров Microsoft (для предоставления привилегий определенным программам).

Где на компьютере найти сертификат цифровой подписи при помощи менеджера? Для этого необходимо:

• открыть меню «Пуск»;
• ввести команду «certmgr.msc» (без кавычек) и нажать клавишу «Enter»;
• в левой части появившегося окна будут вкладки «Личное» и «Корневые сертификаты удостоверяющего центра» — вот там и можно найти все необходимые ключи.

Для запуска менеджера, а также удаления или копирования файлов сертификатов необходимо обладать правами администратора. В противном случае – программа даже не запустится, ссылаясь на недостаточный уровень прав доступа.

Данное приложение также имеет ряд ограничений по работе с шифрованными сертификатами (со специальной кодировкой данных). Поэтому она не всегда корректно отображает все установленные пользовательские цифровые подписи.

Добавление новой ЭЦП

Добавить в хранилище сертификатов через меню КриптоПро CSP новый объект можно двумя способами:

• Через «Посмотреть установленные сертификаты в контейнере»;
• Через «Установить личный сертификат (ЛС)».

Для ОС Windows 7 без установленного SP1 рекомендован второй путь.

Установка через контейнер

Для начала нужно открыть Панель управления ПК, выбрать там КриптоПро и вкладку Сервис, после чего нажать кнопку просмотра:

В новом окне через «Обзор» пользователь выбирает нужный контейнер, и подтверждает действие через «ОК»:

Если после нажатия «Далее» выходит ошибка о том, что в контейнере закрытых ключей и сертификатов не обнаружен ключ шифрования, то рекомендуется совершить установку вторым методом.

В программе КриптоПро CSP версии 3. 6 и выше в открывшемся окне необходимо нажать «Далее», «Установить» и согласиться с предложенными условиями. В иных версиях программы в поле «Сертификат для просмотра» пользователь должен открыть свойства.

На последних версиях ПО просто выберите хранилище ключей ЭЦП. Обычно после подтверждения действия в автоматическом режиме ключ попадает в папку «Личные»:

Если все сделано правильно, то появится сообщение об успешном импорте.

Установка через меню ЛС

Установка ключа ЭЦП этим способом требует наличия файла с расширением. cer, который обычно находится на жестком диске ПК или на токене. Начинается работа аналогичным образом через панель управления ПК, папки с программой КриптоПро и вкладки «Сервис». Нажать нужно на кнопку установки личного сертификата:

Откроется Мастер установки, в котором сначала пользователь нажимает «Далее», а затем переходит к выбору нужного файла через «Обзор»:

Чтобы выбрать путь, нужно открыть хранилище сертификатов, и нажать «Далее». Пароль на хранилище ключей обычно стандартный, и равен комбинации чисел от 1 до 6:

Если есть необходимость, то в новом окне можно посмотреть информацию о сертификате, а если нет — можно сразу переходить к следующему шагу:

Пользователь должен ввести или указать контейнер закрытого ключа КриптоПро, который содержит искомый электронный документ. Сделать это можно через кнопку «Обзор»:

Подтверждает свой выбор пользователь через нажатие «Далее»:

Следующий шаг — выбор хранилища, куда будет помещен новый ключ. Для этого в соответствующем окне нажимают «Обзор». В версии КриптоПро 3. 6 и выше необходимо также установить флажок напротив пункта об установке сертификата в контейнер:

Далее нужно выбрать хранилище и подтвердить действие:

Если после последующего нажатия «Далее» и «Готово» появилось сообщение о том, что данный сертификат уже имеется на ПК, и его можно заменить на новый с проставленной ссылкой на закрытый ключ, то нужно нажать «Да». При правильно выполненных действиях в течение нескольких секунд появится сообщение об успешной установке ЛС на компьютер.

Работа с электронной цифровой подписью иногда требует обновления или переустановки сертификатов, а также проверки их актуальности. Для этого пользователю необходимо знать и место их хранения в реестре, и в операционной системе и понимать, как можно осуществить установку или экспорт. Обычно процесс поиска интересующего ключа ЭЦП занимает несколько минут и при следовании инструкции не вызывает ошибок или проблем. Если во время установки сертификатов происходят повторяющиеся сбои или системные ошибки, то лучше обратиться в службу технической поддержки для разъяснения ситуации.

https://youtube.com/watch?v=ETCNjgxd7J0%3Ffeature%3Doembed

Как привязать сертификат к контейнеру

Для привязки сертификата ключа электронной подписи к контейнеру нужно:

На этом привязка сертификата к контейнеру завершена.

Когда нужно копировать сертификаты КриптоПРО в реестр

Существует ряд задач, когда удобно иметь вашу ЭЦП подпись в реестре Windows:

При тестировании настроенного окружения для торговых площадок, для входа на которые используется ЭЦП подпись. Когда у вас виртуальная инфраструктура и нет возможности, произвести проброс USB устройств по локальной сети 3. Ситуации, когда КриптоПРО не видит USB токена 4. Ситуации, когда USB ключей очень много и нужно работать одновременно с 5-ю и более ключами, примером может служить программа по сдачи отчетности СБИС

Как скопировать сертификат в реестр КриптоПРО

CryptoPRo позволяет производить установку с копирование закрытого ключа (сертификата) в реестр Windows.

Хочу вас сразу предупредить, что с точки зрения безопасности, это очень не надежно и ваши закрытые ключи могут быть похищены, если вы не организовываете надлежащий уровень безопасности

И так, у меня есть USB токен SafeNet, на который я выпустил тестовую ЭЦП, ее я буду переносить вместе с закрытым ключом в реестр Windows. Открываем утилиту CryptoPRO с правами администратора.

Переходите на вкладку “Сервис” и нажимаете “скопировать”

У вас откроется окно “Контейнер закрытого ключа”, тут вам нужно нажать кнопку “Обзор”, что бы выбрать ваш сертификат, который вы хотите скопировать в реестр.

В итоге у вас в поле “Имя ключевого контейнера” отобразиться абракадабровое имя.

У вас появится окно с вводом пин-кода от вашего USB токена.

Теперь вам необходимо задать имя для копируемого сертификата в реестр Windows, КриптоПРО благо, это позволяет. Я назвал его “Копия сертификата в реестре (Семин Иван)”

Теперь вам необходимо положить сертификаты КриптоПРО в реестр, для этого выбираем соответствующий пункт и нажимаем “Ок”.

На следующем шаге вам предложат установить новый пароль на ваш контейнер с закрытым ключом, советую установить его и желательно посложнее.

Где хранится сертификат в ОС Windows

Установка или просмотр корневого или личного сертификата (ЛС) невозможна без знания места хранения подписи в ОС. Все версии Windows помещают ключи ЭЦП в так называемый контейнер, который раздел на часть для пользователя и ПК.

Поменять настройки хранения ключа можно через mmc оснастку, которая выводится комбинацией клавиш WIN+R:

В корне консоли комбинацией клавиш CTRL+M через Файл можно добавить или удалить оснастку:

В открывшемся окне пользователь выбирает поле доступных оснасток, затем «Сертификаты» и нажимает добавление:

Диспетчер позволяет добавить новую оснастку для персональной учетной записи, учетной записи ПК или службы. Если добавляется учетная запись ПК, то в ней есть дополнительные настройки:

Выбрать необходимо локальный ПК, после чего нажать «Готово». Откроется вот такое окно:

Созданную оснастку нужно сохранить через пункт меню «Файл». Для удобства работы местом сохранения выбирают рабочий стол:

В корневой консоли область сертификатов разделена на 2 части для пользователя и ПК. Область пользователя содержит несколько папок:

• Личное;
• Корневые доверительные и промежуточные сертификаты;
• Пользовательские объекты AD;
• Сертификаты, к которым не установлено доверие;
• Доверенные лица и издатели и т.п.

Обычно изначально папка «Личное» не содержит сертификатов. Перенести один сертификат в папку можно через запрос или импорт:

Далее необходимо нажать в мастере импортирования «Далее». Нужный сертификат обычно имеет следующий формат:

Через вкладку доверенных сертификатов откроется большой список корневых, который необходим для нормальной работы на интернет-пространстве:

Состав любого из них можно посмотреть через двойной щелчок мыши, а из действий пользователю доступен экспорт для последующей переустановки на другой ПК. Экспорт возможен в разных распространенных форматах:

Полезной для пользователя будет и папка, содержащая недействительные и просроченные сертификаты. Поскольку их своевременное обновление и замена позволят избежать проблем с работой компьютера.

Массовый перенос ключей и сертификатов CryptoPro на другой компьютер

Выше описанные методы хороши, когда у вас один или 5 ключиков в реестре, а как быть если их десятки. Помню лет 5 назад, когда я еще был младшим администратором, то я очень часто устанавливал электронные цифровые подписи главбуху, так как она работала в СБИС++ и сдавала там постоянно отчетность по огромному количеству организаций, по типу рога и копыта. Держать кучу токенов было не вариант, и для таких вещей у нее все хранилось в реестре и копия сертификатов была на флешке в сейфе. Флешку потом потеряли, встал вопрос сделать резервную копию всего и плюс обновить систему, в виду нового компьютера, на операционной системе Windows 8. ЭЦП было штук 50, а так как я ценю свое время, то и искал методы, выполнить это быстрее, к счастью я его нашел.

Заключался метод переноса сертификатов из реестра, в выгрузке веток и подмене SID значения, но обо всем по порядку. О том, как посмотреть SID пользователя и что это такое я рассказывал.

Открываете командную строку cmd и вводите команду:

Вот это S-1-5-21-551888299-3078463796-888888888-46162 и есть SID, вашей учетной записи. Теперь когда вы его знаете, то вам нужно выгрузить ваши закрытые ключи из реестра Windows. Для этого откройте вот такую ветку:

В контейнере Keys, вы найдете все ваши закрытые ключи от ЭЦП. С правой стороны вы увидите файлы: * header. key * masks. key * masks2. key * name. key * primary. key * primary2. key

Щелкаем правым кликом по контейнеру Keys и экспортируем его.

Сохраняем нашу ветку реестра с контейнерами закрытых ключей. Далее нам нужно скопировать открытые ключи, которые лежат по пути:

Не забывайте только подставить своего пользователя, эта папка может быть скрытой, поэтому включите скрытые папки и файлы в вашей ОС. Все содержимое этой папки вам нужно перенести на другой компьютер, только уже в папку другого, нужного пользователя.

Как только вы поместили на новом компьютере папку Key, вы можете перенести реестровую выгрузку. Сохраненный файл в формате reg, вы должны открыть в любом текстовом редакторе.

Как я показывал выше, определите SID нового пользователя, скопируйте его полностью и замените им значение в файле reg, я отметил это стрелками.

SID начинается с S-1 и так далее

Все сохраняйте файл и запускайте его, у вас будет начат перенос сертификатов (закрытых ключей), подтверждаем действие.

Как видите импорт успешно завершен. Все теперь ваши закрытые и открытые ключи на месте и вы можете работать с вашими ЭЦП, и можно считать, что перенос сертификатов с одного компьютера на другой в массовом масштабе, осуществлен успешно. Если остались вопросы, то жду их в комментариях.

3 Способ. Получение новой ЭЦП

Удостоверяющий центр не имеет права и не хранит ключи электронных пользователей. А согласно 63-ФЗ пользователь должен самостоятельно обеспечивать конфиденциальность и сохранность ключей. Поэтому если вам не удалось восстановить работоспособность электронной подписи первыми двумя способами, то остаётся только платный перевыпуск ЭЦП

Удалена ЭЦП с флешки. Как восстановить? обновлено: 12 сентября, 2022 автором:

Как посмотреть сертификат ЭЦП

Посмотреть установленные сертификаты можно при помощи Internet Explorer, Certmgr, консоль управления или КриптоПро. Пользоваться другими компьютерными программами не рекомендуется: они могут иметь встроенную команду отправки ключа ЭЦП на сторонний сервер, что приведет к компрометации подписи и невозможности ее использования.

Через КриптоПро

Как найти сертификат ЭЦП на компьютере при помощи КриптоПро:

• открыть «‎Пуск»;
• через вкладку «‎Все программы» перейти в «‎КриптоПро»;
• выбрать вкладку «‎Сертификаты».

Этим способом могут воспользоваться пользователи или администраторы ПК (если пользователю будет отказано в доступе, необходимо дополнительно запросить права администратора). В открывшемся окне будет список всех сертификатов, установленных на данном ПК. В содержащем сертификаты хранилище, можно посмотреть информацию по каждому, скопировать контейнер закрытых ключей КриптоПро на другой компьютер, внешний носитель или удалить недействительный ключ ЭЦП.

Найти файл сертификата можно и при помощи встроенного менеджера, который присутствует во всех ОС Windows. Через него можно не только посмотреть все личные сертификаты, но и сертификаты УЦ и партнеров Microsoft.

Метод может использоваться только администратором ПК. Для просмотра нужно:

• открыть «‎Пуск»;
• ввести команду certmgr.msc в строку поиска и нажать Enter;
• в левой колонке открывшегося окна будет список личных и корневых сертификатов.

С шифрованными сертификатами приложение работает ограниченно и не всегда корректно отражает все электронные подписи, установленные пользователем.

Через Internet Explorer

Интернет-браузер IE входит в комплектацию всех ОС семейства Windows XP и выше и позволяет также найти сертификаты ЭЦП на компьютере. Для просмотра нужно:

• запустить браузер;
• через «‎Меню» перейти в «‎Свойства браузера»;
• в новом окне выбрать вкладку «‎Содержание»;
• выбрать «‎Сертификаты».

Далее откроется окно с перечнем всех сертификатов, установленных пользователем и сторонними поставщиками ПО. В данном меню возможен перенос ключей и сертификатов на внешний носитель, удаление открытых ключей. Удаление корневых сертификатов УЦ через меню IE невозможно.

Просмотр сертификатов в ОС Windows через консоль управления запускается в несколько этапов:

• пользователь открывает командную строку;
• вводит команду mmc и нажимает Enter;
• нажимает на «‎Файл» и «‎Добавить/удалить оснастку cryptopro»;
• выбирает последовательно «‎Добавить» и «Добавить изолированную оснастку»;
• выбирает «Сертификаты».

Дополнительно можно просмотреть ключи ЭЦП по конкретной учетной записи. Способ также доступен только пользователям с правами администратора ПК. Через консоль можно не только просматривать информация, но и удалять, копировать, добавлять контейнеры с ключами ЭЦП. Неудобство метода в том, что все команды необходимо вводить вручную. Обычны работа через консоль осуществляется на windows server для настройки прав доступа всех пользователей.

Часто задаваемые вопросы

Квалифицированная электронная подпись состоит из двух элементов: закрытого и открытого
ключей

Электронная подпись для участия в торгах, работы на государственных порталах и
электронного документооборота

Как узнать, есть ли у меня электронная подпись?

Проверить наличие зарегистрированной электронной подписи можно в личном кабинете на
портале «Госуслуги». Для этого нужно перейти в раздел «Настройки и безопасность».

Что значит отсоединённая электронная подпись?

Электронная подпись может встраиваться в документ, а может идти отдельно от
подписываемого файла. В таком случае эта подпись будет называться отсоединённой.

Где в реестре хранится ЭЦП

Иногда реестр используется как ключевой носитель, т. он подходит для импорта и экспорта сертификатов. Где находится сертификат ЭЦП зависит от битности системы:

Доступ к сертификатам через Internet Explorer

Где хранится сертификат ЭЦП и как его найти через Internet Explorer? Необходимо запустить сам веб-обозреватель, далее:

• открыть «Меню», далее – «Свойства браузера»;
• в появившемся окне перейти на вкладку «Содержание»;
• кликнуть на «Сертификаты».

После – появится окно со списком всех установленных в системе сертификатов, в том числе и от сторонних поставщиков программного обеспечения (в отдельной вкладке). Из данного меню можно удалить открытые ключи, но не корневые сертификаты удостоверяющих центров.

Доступ к списку сертификатов в Internet Explorer также можно получить из меню «Центр управления сетями и общим доступом» из «Панели управления» (в левой колонке внизу будет пункт «Свойства обозревателя»).

Этот вариант найти файлы сертификатов на компьютере удобен тем, что позволяет просмотреть их список даже без наличия прав администратора. Но вот удалять их уже не получится (но в большинстве случаев этого и не требуется).

Когда нужно переносить сертификаты в другое место?

И так давайте рассмотрим по каким причинам у вас может появиться необходимость в копировании ваших ЭЦП в другое место.

• На текущем физическом компьютере начинает умирать жесткий диск или SSD накопитель (Как проверить жизненные показатели жесткого диска), очень частая история и жизненная, когда люди теряли все свои данные, из-за банальной жадности в покупке нового оборудования и элементарного незнания принципов резервного копирования.
• У вас производится модернизация оборудования, его улучшение и вам нужно перенести все сертификаты с закрытыми ключами на другую систему
• Вы создали отдельный сервер, в виде виртуальной машины, где будут находится все ваши сертификаты и с ними смогут работать все необходимые сотрудники, терминал для бухгалтерии. Простой пример СБИС, и когда у вас 10-20 организаций.

Как использовать ЭЦП с флешки

Освоить работу с цифровой подписью не сложно: процесс занимает всего несколько минут и заключается в последовательном выполнении простых действий.

Настройка ЭЦП

Пользоваться электронной подписью с флешки не составит труда: для начала, носитель должен быть подключен к компьютеру. Когда флешка отобразилась в системе, нужно выбрать «КриптоПро» – «Оборудование» – «Настроить считыватели»:

В новом окне должны быть такие пункты меню, как «Все считыватели смарт-карт» и «Все съемные диски»:

Если по каким-то причинам они отсутствуют, то необходимо:

Подпись готова к использованию, а процесс подписания зависит от типа документа.

Подписание документов MS Word

В нужном файле пользователь открывает:

Подписание документа через плагин КриптоПро с использованием эцп с флешки похоже на предыдущий способ:

При отсутствии ошибок плагин выдаст сообщение об успешном подписании документа.

Формирование подписи для PDF-документов также проходит в несколько этапов. На первом, пользователь открывает нужный файл, и через панель «Инструменты» переходит в раздел «Сертификаты»:

Затем нажимает на «Поставить подпись», и выбирает область, где она будет располагаться:

После этого в окне с набором цифровых реквизитов пользователь выбирает нужный, и нажимает «Продолжить»:

Откроется новое окно с предварительным изображением электронной подписи:

Если все верно, то пользователь завершает действие через кнопку «Подписать». После подписания документа при отсутствии ошибок выдается сообщение об успешном завершении процесса.

Как видите предпосылок и вариантов переноса сертификатов из реестра на другой компьютер, предостаточно.

Какие есть варианты по копированию контейнеров закрытых ключей?

• Если мы создаем единый терминал (Виртуальную машину), на которой будут коллективно работать пользователи, то можно произвести конвертирование физической тачки в виртуальную машину
• Если будет просто замена жесткого диска, то можно произвести его клонирование или перенос системы на SSD с помощью специальных утилит
• Можно воспользоваться утилитой КриптоПРО
• Воспользоваться экспортом из реестра Windows.

Где хранится сертификат ЭЦП в ОС Windows XP

К базовым компонентам ОС Windows XP относятся службы сертификации, а XP Professional уже поддерживает многоуровневые иерархии центра сертификации (ЦС) как с изолированными и интерактивными ЦС, так и сети ЦС с доверительными перекрестными отношениями.

Открытые ключи ЭЦП Windows XP хранит в личном хранилище, а т. они представляют собой общедоступную информацию, то хранятся в виде открытого текста. Сертификаты пользователя находятся по адресу:

Documents and Settings<имя_пользователя>ApplicationDataMicrosoft SystemCertificatesMyCertificates. Они автоматически вносятся в локальный реестр при каждом входе в систему. Если профиль перемещаемый, то открытые ключи хранятся обычно не на ПК, а следуют за пользователем при каждом входе в систему с внешнего носителя.

Такие поставщики услуг криптографии, как Enchanced CSP и Base CSP хранят закрытые ключи электронной подписи в папке %SystemRoot%Documents and Settings<имя_пользователя> Application DataMicrosoftCryptoRSA. Если профиль перемещаемый, то они расположены в папке RSA на контроллере домена. В этом случае на ПК они загружаются только на время работы профиля. Все файлы в данной папке шифруются случайным симметричным ключом автоматически. Основной ключ пользователя имеет длину в 64 символа и создается проверенным генератором случайных чисел.

Другие варианты

Есть ещё масса других сторонних программ, которые точно так же позволяют работать с сертификатами, установленными в операционной системе. Но вот пользоваться ими не рекомендуется – никто не может гарантировать, что в исходном коде подобного приложения нет команды отправки сертификата на внешний сервер. Единственная сертифицированная в Минкомсвязи программа для работы с электронными подписями – это именно КриптоПРО CSP (на текущий момент актуальны версии 3. 5 или старше). Её использование – это своего рода гарантия защиты от возможной компрометации ЭЦП.

Итого, где находится сертификат электронной подписи на компьютере? В системной папке пользователя, а удобней всего с ключами работать при помощи программы КриптоПРО CSP. С её помощью можно совершить быстрый перенос электронной подписи с одного компьютера на другой даже без использования USB-рутокена. А для быстрого просмотра самих ключей или удаления некоторых из них удобней всего использовать Internet Explorer.