Заявление на сертификат ключа проверки электронной подписи — образец заполнения
Это самый простой способ, и будет актуальным при небольшом количестве контейнеров с закрытыми ключами. Чтобы выполнить перенос сертификатов из реестра, откройте ваш КриптоПРО, вкладка “Сервис”, нажимаем кнопку “Сервис”, далее через кнопку “Обзор”, откройте “Выбор ключевого контейнера” и укажите, какой сертификат вы будите переносить. В моем примере это контейнер “Копия сертификата в реестре (Семин Иван)”.
Нажимаем “Далее”, вас попросят задать новое имя контейнера с закрытым ключом, введите понятное для себя, для удобства.
https://www.youtube.com/watch?v=ytcreatorsru
У вас откроется окно с выбором носителей, вы можете выбрать либо токен, либо флешку для переноса на другое место. У меня это внешний жесткий диск Z:.
Задаем обязательно пароль, с точки зрения безопасности, так как файлы в таком виде просто скомпрометировать.
Все, на выходе я получил папку со случайным названием и набором ключей в формате key.
Если вы пытаетесь копировать сертификат с токена, то в ряде случаев у вас может появиться ошибка: Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.
Связана такая ситуация, что в целях псевдобезопасности, удостоверяющие центры выпускают закрытые ключи без возможности экспорта, и таким образом увеличивают свою прибыль, так как в случае утери или поломки токена, вам придется его перевыпускать, а так как экспорт запрещен, то бэкапа вы сделать не сможете.
Если вы получили ошибку копирования контейнера. У вас нет разрешений на экспорт ключа, то метод с КРиптоПРО вам не поможет
Выше описанные методы хороши, когда у вас один или 5 ключиков в реестре, а как быть если их десятки. Помню лет 5 назад, когда я еще был младшим администратором, то я очень часто устанавливал электронные цифровые подписи главбуху, так как она работала в СБИС и сдавала там постоянно отчетность по огромному количеству организаций, по типу рога и копыта.
Держать кучу токенов было не вариант, и для таких вещей у нее все хранилось в реестре и копия сертификатов была на флешке в сейфе. Флешку потом потеряли, встал вопрос сделать резервную копию всего и плюс обновить систему, в виду нового компьютера, на операционной системе Windows 8.1. ЭЦП было штук 50, а так как я ценю свое время, то и искал методы, выполнить это быстрее, к счастью я его нашел.
Заключался метод переноса сертификатов из реестра, в выгрузке веток и подмене SID значения, но обо всем по порядку. О том, как посмотреть SID пользователя и что это такое я рассказывал.
Чтобы воспользоваться сертификатом на своем или другом компьютере под управлением Windows, его нужно импортировать или экспортировать, соответственно.
Если вам кто-то прислал сертификат или вы передали его с одного компьютера на другой, сертификат и закрытый ключ необходимо импортировать
, прежде чем пользоваться ими. Импорт сертификата предполагает его размещение в соответствующую папку сертификатов.
- Откройте диспетчер сертификатов
- Выберите папку, в которую следует импортировать сертификат. В меню Действие выберите пункт Все задачи и выберите команду Импорт .
- Нажмите кнопку Далее и следуйте инструкциям.
Примечание : Если поиск сертификата мастера импорта сертификатов выполняется с помощью кнопки Обзор, заметьте, что в диалоговом окне Открыть умолчанию отображаются только сертификаты X.509. Если нужно импортировать другой тип сертификата, выберите тип в диалоговом окне Открыть .
Чтобы создать резервную копию сертификата или воспользоваться им на другом компьютере, сертификат сначала следует экспортировать
. Экспорт сертификата предполагает преобразование сертификата в файл, который затем можно передать с одного компьютера на другой или поместить в безопасное место. Рекомендуется экспортировать сертификаты на съемный носитель, например диск или USB флеш-память.
- Откройте диспетчер сертификатов . Если будет предложено ввести пароль администратора или его подтверждения, укажите пароль или предоставьте подтверждение.
- Щелкните правой кнопкой мыши сертификат, который следует экспортировать, выберите Все задачи и выберите команду Экспорт .
- В мастере экспорта сертификатов нажмите кнопку Далее .
- Если сертификат использоваться на другом компьютере, щелкните Да , экспортировать закрытый ключ (если нет, выберите Нет , не экспортировать закрытый ключ) и нажмите кнопку Далее . (Этот параметр отображается, только если разрешен экспорт закрытого ключа и вы к нему доступ).
- Выберите нужный формат и нажмите кнопку Далее .
Примечание : Выбор нужного формата будет зависеть от того, как будет использоваться сертификат. Например, для сертификата с закрытым ключом следует выбирать формат обмена личными сведениями. Если нужно переместить несколько сертификатов с одного компьютера на другой одним файлом, следует выбирать стандарт Cryptographic Message Syntax. Если сертификат будет использоваться в нескольких операционных системах, следует выбирать формат в DER-кодировке X.509.
- Чтобы экспортировать закрытый ключ, введите пароль для шифрования ключа, подтверждения и нажать кнопку.
- Будет создан файл, в котором хранится сертификат. Введите имя файла и его расположение (полный путь) или нажмите кнопку Обзор , чтобы перейти в нужное место, и введите имя файла.
- Нажмите кнопку Готово .
Эта документация перемещена в архив и не поддерживается.
Основное назначение сертификата ключа проверки электронной подписи
— это подтверждение того, что электронная подпись принадлежит какому-то определенному лицу, так называемому владельцу электронной подписи. Практически сертификат — это своего рода паспорт владельца электронной подписи, в котором указаны фамилия, имя, отчество, СНИЛС — если владелец ЭЦП является физлицом. Или наименование, адрес нахождения, ИНН, ОГРН, если владелец подписи — организация.
Сертификат ЭЦП с присвоенным ему уникальным номером предоставляется удостоверяющим центром в электронном виде или на бумажном носителе.
Выделяют квалифицированный и неквалифицированный сертификаты ЭЦП. Их различие в первую очередь состоит в функциональности. К примеру, электронную подпись с неквалифицированным сертификатом могут применить либо физлица — при работе с личным кабинетом налогоплательщика, либо фирмы-поставщики — при участии в электронных торгах.
Электронная подпись с квалифицированным сертификатом имеет более широкий спектр действия: начиная со входа на портал Госуслуг и заканчивая подписанием любых юридически значимых документов, не требующих обязательного бумажного оформления с ручной подписью.
Неквалифицированный сертификат выдается любым удостоверяющим центром на платной основе. Он также может быть сформирован любым опытным IT-специалистом при создании ЭЦП с помощью криптографических программ.
Заявление на выдачу сертификата оформляется в виде приложения к договору на приобретение сертификата ключа ЭЦП. Бланк для заполнения данного заявления у каждого аккредитованного центра свой, но сведения, вносимые в него, одинаковы.
Чтобы наглядно увидеть, как примерно выглядит этот документ и какие сведения понадобятся для его заполнения, мы подготовили для вас образец уже заполненного заявления (см. ниже).
Шаг 5. Подготовка сертификатов
Обновлено: Сентябрь 2014 г.
При развертывании службы восстановления сайтов Azure требуется сертификат для регистрации серверов диспетчера виртуальных машин (VMM) в хранилищах службы восстановления сайтов Azure и для проверки подлинности серверов VMM в службе восстановления сайтов Azure.
Перед началом развертывания подготовьте сертификаты следующим образом.
Затем при настройке хранилища вы передадите CER-сертификат. При регистрации сервера VMM в хранилище во время установки поставщика службы восстановления сайтов Azure выбирается PFX-файл сертификата, соответствующий CER-файлу сертификата, загруженному в хранилище.
Следующие компоненты являются обязательными для сервера управления.
- Можно использовать любой действительный SSL-сертификат, выданный центром сертификации Microsoft Enterprise либо другим центром сертификации, который является доверенным для Майкрософт (корневые сертификаты которого распространяются по программе корневых сертификатов Майкрософт). Дополнительные сведения об этой программе см. в статье Участники программы корневых сертификатов Майкрософт . Вместо этого для тестирования можно использовать самозаверяющий сертификат, созданный с помощью средства Makecert.exe.
- Сертификат должен иметь вид x.509 v3.
- Длина ключа должна быть не менее 2048 бит.
- Сертификат должен иметь действительную подпись ClientAuthentification EKU.
- Сертификат должен быть действителен в настоящее время, а его период действия не должен превышать 3 года.
- Сертификат должен находиться в личном хранилище сертификатов на локальном компьютере.
- Чтобы можно было передать сертификат в хранилище, он должен иметь формат CER и содержать открытый ключ.
- CER-сертификат необходимо экспортировать в PFX-файл (содержащий закрытый ключ). Этот PFX-файл должен быть помещен на каждый сервер VMM, который требуется зарегистрировать в хранилище.
Обратите внимание, что в любой момент времени с каждым хранилищем связан только один сертификат. При необходимости можно передать сертификат, чтобы заменить им текущий сертификат, связанный с хранилищем.
Вы можете использовать любой сертификат, соответствующий . Также с помощью средства MakeCert можно создать CER-сертификат, который будет соответствовать этим требованиям.
- На компьютер, на котором будет работать средство MakeCert, загрузите последнюю версию пакета средств разработки программного обеспечения Windows (SDK). Обратите внимание, что команда makecert.exe входит в базовый пакет SDK Windows, поэтому загружать и устанавливать весь пакет SDK не требуется.
- На странице Указание расположения
выберите Установить пакет средств разработки программного обеспечения Windows для Windows 8.1
на этот компьютер.
- На странице Участие в программе улучшения качества программного обеспечения (CEIP)
выберите нужный вам параметр.
- На странице Выбор компонентов для установки
снимите все флажки, кроме пакета средств разработки программного обеспечения Windows
.
- После завершения установки проверьте наличие файла makecert.exe в папке C:ProgramFiles (x86)Windows Kits binx64.
- Откройте командную строку (cmd.exe) с правами доступа администратора и перейдите в папку с программой makecert.exe.
- Для создания самозаверяющего сертификата выполните следующую команду. Замените CertificateName именем, которое будет назначено сертификату, а после -e укажите дату истечения срока действия сертификата.
makecert.exe -r -pe -n CN=CertificateName -ss my -sr localmachine -eku 1.3.6.1.5.5.7.3.2 -len 2048 -e 01/01/2016 CertificateName.cer
Сертификат будет создан и сохранен в ту же папку, в которой находится программа. Для экспорта его можно переместить в более доступное расположение.
На сервере, на котором была запущена программа makecert.exe, выполните шаги этой процедуры для экспорта CER-файла и в формат PFX.
- В меню Пуск
введите mmc.exe
- В меню Файл
щелкните . Откроется диалоговое окно .
- На вкладке Доступные оснастки
щелкните Сертификаты
и затем Добавить
.
- Выберите Учетная запись компьютера
и нажмите кнопку Далее
.
- Выберите Локальный компьютер
и нажмите кнопку Готово
.
- В MMC в дереве консоли разверните узел Сертификаты
и затем узел Личные
.
- В области сведений щелкните нужный сертификат.
- В меню Действие
укажите на Все задачи
и нажмите кнопку Экспорт
. Откроется мастер экспорта сертификатов. Нажмите кнопку Далее
.
- На странице Экспорт закрытого ключа
щелкните Да, экспортировать закрытый ключ
. Нажмите кнопку Далее
. Обратите внимание, что это требуется, только если после установки закрытый ключ нужно экспортировать на другие серверы.
- На странице Формат экспортируемого файла
выберите Personal Information Exchange — PKCS #12 (PFX)
. Нажмите кнопку Далее
.
- На странице Пароль
введите пароль и подтверждение пароля для шифрования закрытого ключа. Нажмите кнопку Далее
.
- Следуйте дальнейшим инструкциям мастера, чтобы экспортировать сертификат в формате PFX.
После экспорта PFX-файла скопируйте его на каждый сервер VMM, который необходимо зарегистрировать, а затем импортируйте следующим образом. Обратите внимание, что, если программа MakeCert.exe запускалась на сервере VMM, нет необходимости импортировать сертификат на этот сервер.
Если VMM развернут в кластере, то будет необходимо импортировать сертификат в каждый узел кластера.
- Скопируйте файлы сертификата с закрытым ключом (PFX) в папку на локальном сервере.
- В меню Пуск
введите mmc.exe
и нажмите клавишу ВВОД
, чтобы запустить консоль управления Майкрософт (ММС).
- В консоли MMC в меню Консоль
выберите Добавить или удалить оснастку
.
- В диалоговом окне Добавление и удаление оснастки
выберите Сертификаты
и нажмите кнопку Добавить
.
- Откроется диалоговое окно Оснастка сертификата
. Выберите Учетная запись компьютера
и нажмите кнопку Далее
.
- Выберите Локальный компьютер
и нажмите кнопку Готово
.
- В диалоговом окне Добавить или удалить оснастку
нажмите кнопку ОК
.
- В консоли MMC разверните узел Сертификаты
, щелкните правой кнопкой мыши Личные
, укажите пункт Все задачи
и щелкните Импорт
, чтобы запустить мастер импорта сертификатов.
- На странице Добро пожаловать в мастер импорта сертификатов
щелкните Далее
.
- На странице Импортируемый файл
щелкните Обзор
и найдите папку, содержащую нужный PFX-файл сертификата. Выберите файл и щелкните Открыть
.
- На странице Пароль
в поле Пароль
введите пароль для файла закрытого ключа, указанный в предыдущей процедуре, и нажмите кнопку Далее
.
- На странице Хранилище сертификатов
выберите Установить все сертификаты в следующее хранилище
, щелкните Обзор
, выберите Личное
хранилище, затем щелкните кнопку ОК
и Далее
.
- На странице Завершение работы мастера импорта сертификатов
нажмите кнопку Готово
.
Назначение: Windows 7, Windows Server 2008 R2
Иногда требуется экспортировать сертификат с закрытым ключом для сохранения на съемном носителе или для использования на другом компьютере. Для данной процедуры существуют следующие ограничения:
- Закрытый ключ можно экспортировать только тогда, когда он указан в запросе сертификата или шаблоне сертификата, который использовался для создания сертификата.
- Усиленная защита (также называемая «iteration count ») включается по умолчанию в мастере экспорта сертификатов, когда экспортируется сертификат со связанным закрытым ключом. Усиленная защита несовместима с некоторыми программами, поэтому при использовании закрытого ключа с какой-либо программой, не поддерживающей усиленную защиту, следует снять флажок Включить усиленную защиту
.
Для выполнения этой процедуры необходимо быть, как минимум, членом группы Пользователи
или Администраторы
локальной системы. Дополнительные сведения см. в разделе «Дополнительная информация» настоящего документа.
Чтобы экспортировать сертификат с закрытым ключом
Откройте оснастку «Сертификаты» для пользователя, компьютера или службы.
В дереве консоли в логическом хранилище, содержащем сертификат для экспорта, щелкните Сертификаты
В области сведений щелкните сертификат, который нужно экспортировать.
В меню Действие
выберите Все задачи
, а затем выберите Экспорт
В мастере экспорта сертификатов выберите параметр Да, экспортировать закрытый ключ
. (Эта возможность появляется только в случае, если закрытый ключ помечен как экспортируемый и к нему имеется доступ.)
В группе Формат экспортируемого файла
выполните какое-либо из описанных далее действий и нажмите кнопку Далее
- Чтобы включить все сертификаты в путь сертификации, установите флажок Включить по возможности все сертификаты в путь сертификации
.
- Чтобы удалить закрытый ключ в случае удачного завершения экспорта, установите флажок Удалить закрытый ключ после успешного экспорта
.
- Чтобы экспортировать расширенные свойства сертификата, установите флажок Экспортировать все расширенные свойства
.
https://www.youtube.com/watch?v=ytcopyrightru
В поле Пароль
введите пароль для шифрования экспортируемого закрытого ключа. В поле Подтверждение
вновь введите пароль и нажмите кнопку Далее
В поле Имя файла
введите имя файла и путь для файла PKCS #12, в котором будет храниться экспортированный сертификат и закрытый ключ. Нажмите кнопку Далее
, а затем кнопку Готово
После завершения работы мастера экспорта сертификатов сертификат останется не только во вновь созданном файле, но и в хранилище сертификатов. Если необходимо убрать сертификат из хранилища сертификатов, необходимо удалить его.
- Управление сертификатами пользователей могут осуществлять соответствующий пользователь или администратор. Управлять сертификатами, выданными компьютеру или службе, может только администратор или пользователь, которому были предоставлены соответствующие разрешения.
- Сведения о том, как открыть оснастку «Сертификаты», см. в разделе .
Сертификат ЭЦП
— это ключевой компонент электронной подписи, без которого она будет считаться недействительной. Как выглядит этот сертификат и где его получить, какова продолжительность его действия? Ответы на эти и другие вопросы уже подготовлены для вас в нашей статье.
или Администраторы
В меню Действие
В поле Пароль
В поле Имя файла
Сертификат ЭЦП
Продление сертификата ЭЦП
Срок сертификатов ЭЦП, выдаваемых удостоверяющими центрами, ограничен и составляет 12 месяцев (год) независимо от того, квалифицированный сертификат или неквалифицированный. Некоторые крупные аккредитованные центры могут оформить сертификат на 15 месяцев. Но не более. Как только установленный срок сертификата истечет, электронная подпись станет недействительной.
Если планируется применять электронную подпись после окончания установленного срока сертификата, то необходимо подать заявление на продление срока его действия в удостоверяющий центр, выдавший этот сертификат, оформить допсоглашение и оплатить выставленный центром счет.
Перевыпуск сертификата ЭЦП
Иногда возникают ситуации, когда владелец электронной подписи теряет USB-носитель, меняет свои личные или юридические реквизиты или же законодательство вносит изменения в требования к электронным подписям. В таких случаях понадобится перевыпуск сертификата. В большинстве случаев эта услуга предоставляется удостоверяющими центрами на платной основе.
В случае перевыпуска сертификата ЭЦП просто обновить его не получится — придется устанавливать заново. Для установки нового сертификата понадобится программа КриптоПро CSP, находящаяся в меню «Пуск» — «Настройки» — «Панель управления». В этой программе на вкладке «Сервис» установить новый сертификат можно либо через кнопку «Просмотреть сертификаты в контейнере…», либо через кнопку «Установить личный сертификат…».
Как удалить старые сертификаты ЭЦП
https://www.youtube.com/watch?v=https:accounts.google.comServiceLogin
Удалить старые сертификаты ЭЦП будет намного проще, чем установить или обновить новые. Для этого нужно зайти в программу «Сертификаты» через меню «Пуск» — «Программы» — «Крипто-Про», открыть подпапку «Личное», выбрать старый сертификат, нажать правой клавишей мыши и из появившегося меню выбрать функцию «Удалить». Сертификат будет удален.
Но специалисты не рекомендуют этого делать, так как устаревшие сертификаты могут понадобиться для просмотра ранее подписанных документов и отчетов. Например, при удалении старых сертификатов просмотреть отчеты и письма, переданные с их помощью через ТКС, уже будет нельзя. И придется обращаться в аккредитованные центры с просьбой предоставить удаленные сертификаты.
Чтобы старые сертификаты сохранились в электронном виде, но и не появлялись в списке действующих сертификатов, достаточно вместо удаления сертификата открыть его двойным щелчком левой клавиши мыши и в появившемся окне на вкладке «Состав» нажать на кнопку «Свойства». В новом окошке переставить точечку на «Разрешить только следующие назначения» и убрать галочку «Проверка подлинности клиента». Таким образом старый сертификат сохранится, но и мешать при использовании действующих сертификатов уже не будет.
Как долго надо хранить сертификат ЭЦП
Нужно ли владельцу электронной подписи хранить сертификаты ЭЦП после истечения срока их действия? Да, желательно сохранить их у себя в электронном или бумажном виде, так как они могут пригодиться в любой момент для подтверждения юридической значимости ранее подписанных с помощью них документов. При определении срока хранения сертификата ЭЦП можно ориентироваться на установленные законодательством сроки хранения документов в бумажном виде. Ознакомиться с ними вы можете в нашей статье .
Но еще раз напомним, что это лишь рекомендация для владельцев ЭЦП. Обязанность хранить сертификаты законодательно закреплена за выдавшими их аккредитованными удостоверяющими центрами (п. 1 ст. 15 закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ). Период хранения выданных сертификатов ограничен только сроком деятельности аккредитованного центра.
В будущем планируется перевести хранение всех выданных сертификатов под контроль единой государственной базы, чтобы минимизировать риск их утери в случае прекращения деятельности аккредитованных центров. Но пока такой системы хранения нет, поэтому негласно ответственность за сохранность сертификата полностью лежит на его владельце.
Причины отзыва сертификата ЭЦП
Помимо аннулирования сертификата ЭЦП в связи с окончанием срока его действия и его отзыва владельцем электронной подписи есть еще несколько причин, по которым сертификат может стать недействительным (п. 6, п. 6.1 ст. 14 закона № 63-ФЗ):
- ликвидация аккредитованного центра в случае, если его функции не были переданы другим удостоверяющим центрам;
- владелец сертификата владеет ключом ЭЦП, не соответствующим ключу ЭЦП, зарегистрированному в выданном сертификате;
- оформленная сертификатом электронная подпись уже используется под другим сертификатом;
- вынесено судебное решение о недостоверности информации, внесенной в сертификат ЭЦП;
- иные случаи, установленные законодательством или соглашением между аккредитованным центром и владельцем сертификата.
https://www.youtube.com/watch?v=upload
Таким образом, сертификат является неотъемлемой частью ключа электронной подписи, подтверждает подлинность и достоверность этого ключа, выступает в качестве его юридически значимого документального сопровождения. При отсутствии сертификата ключ ЭЦП будет считаться недействительным.
