Добрый день! Уважаемые читатели и гости крупнейшего IP блога России pyatilistnik. org. В прошлый раз я вам рассказал, о том, как установить сертификат в реестр Windows. Сегодня я вам расскажу, каким образом вы можете выполнить перенос сертификата на другой компьютер, это очень частая и жизненная ситуация с которой сталкиваются многие системные администраторы. Захотелось с вами поделиться опытом, о массовом переносе контейнеров с закрытыми ключами, находящимися в области реестра Windows. Использовать мы будем как КриптоПРО, так и встроенные механизмы. Уверен будет интересно.
Добрый день! Уважаемые читатели и гости крупного IT блога рунета pyatilistnik. org. Продолжаем нашу с вами тему с сертификатами и работе с ними. В прошлый раз я вам подробно рассказал, как получить тестовый сертификат криптопро, посмотрите очень интересная заметка. Согласитесь, что для тестирования вам может потребоваться не один сертификат, а гораздо больше, и очень удобно иметь возможность работать с ними, без привязки к физическим токенам, например, на виртуальных машинах Vmware. Для таких задач, есть возможность поместить сертификаты КриптоПРО в реестр Windows, чем мы с вами и займемся.
Обновлено 11. 2018
Добрый день! Уважаемые читатели и гости крупнейшего IT блога в России pyatilistnik. org. В прошлый раз мы разбирали ситуацию, что утилита КриптоПРО не видела токен Jacarta, согласитесь, что при решении этой проблемы было бы здорово иметь тестовый ключ с сертификатом, и параллельно ваш коллега мог бы тоже траблшутить. Еще тестовый сертификат CryptoPRO может быть полезен, при процедуре переноса контейнера КриптоПРО из реестра в случае с не экспортируемым закрытым ключом. Сегодня я вас научу генерировать нормальный, тестовый сертификат шифрования или подписи для разных задачу.
Установка Корневого (промежуточного) сертификата УЦ на АРМ Администратора.
- Кликнуть правой кнопкой мыши по файлу сертификата (файл с расширением
.cer или .crt) и нажать
Установить сертификат. - Далее следовать указаниям Мастера импорта сертификатов,
установите переключатель
Локальный компьютер в поле Расположение
хранилища, чтобы устанавливаемый сертификат был доступен всем
пользователям. Нажмите Далее для перехода к следующему
этапу: - В данном окне произведите выбор хранилища вручную: установите переключатель в
графе Поместить все сертификаты в следующее
хранилище, затем нажмите кнопку Обзор и
выберите папку хранилища сертификатов Доверенные корневые центры
сертификации.
- Как установить ЭП на компьютер с флешки
- Как установить сертификат в КриптоПро
- Помогла ли вам эта статья?
- Еще статьи по данной теме
- Перенос сертификатов в виде пошаговой инструкции
- Как скопировать сертификат в реестр КриптоПРО
- Массовый перенос ключей и сертификатов CryptoPro на другой компьютер
- Как скопировать эцп из реестра на флешку
- Установка ЭЦП осуществляется двумя способами
- Копирование ключей электронной подписи
- Установка закрытого ключа в реестр
- Где хранится закрытый ключ в реестре Windows
- Как видите предпосылок и вариантов переноса сертификатов из реестра на другой компьютер, предостаточно.
- Как скопировать ЭЦП с Рутокена на флешку
- Инструкция по копированию сертификата из контейнера КриптоПро
- 5 ответов
- Когда нужно копировать сертификаты КриптоПРО в реестр
- Установка КриптоПро ЭЦП Browser plug-in.
- Об электронной цифровой подписи
- Перенос сертификатов из реестра без КриптоПРО
- Когда нужно переносить сертификаты в другое место?
- Копирование закрытого ключа из КриптоПро
- Инструкция. Настройка Рутокен. Как установить сертификат ЭЦП
Как установить ЭП на компьютер с флешки
В окне «Сертификаты в контейнере закрытого ключа» нажмите кнопку «Обзор», выберите контейнер. После выбора контейнера нажмите на кнопку «Далее».
Если при нажатии кнопки «Далее» появится окно выбора носителя с сообщением «Набор ключей не существует», скопируйте ключи с флешки (резервная копия) В следующем окне с данными сертификата нажмите кнопку «Установить».
Эти действия необходимо выполнить для каждого сертификата. На этом установка сертификата закончена.
Иногда для регистрации на каком-либо портале требуется загрузить файл сертификата в формате *. cerНо где найти этот файл мало кто знает.
Полученный данным способом сертификат содержит открытую информацию и может безопасно передаваться любому лицу (сайту, порталу)!
Данная инструкция отвечает на следующие вопросы:
- где найти сертификат эцп на компьютере
- где хранятся сертификаты криптопро на компьютере
- как сохранить сертификат эцп на компьютер криптопро
- как сохранить сертификат эцп на компьютер в формате cer
- как сохранить сертификат эцп на компьютер из реестра
- как сохранить сертификат с рутокена на компьютер
- как сохранить открытый ключ эцп
- как сохранить открытый сертификат ключа
- как выгрузить сертификат эцп на рабочий стол
- как выгрузить сертификат из криптопро
- как выгрузить сертификат в формате cer
- как выгрузить сертификат с рутокена на компьютер
- как выгрузить сертификат эцп
Важно! Если нужный контейнер отсутствует, действуйте согласно инструкции.
Если при нажатии кнопки «Далее» появится окно выбора носителя с сообщением «Набор ключей не существует», скопируйте ключи с ключевого носителя (резервная копия).
Нажмите «Ок» в ответ на сообщение об успешной установке, затем «Готово».
В случае если сертификат на данном рабочем месте уже был установлен, появится сообщение, что такой сертификат уже есть в хранилище, после этого нажмите «Да», чтобы заменить его, и «Ок» в ответ на сообщение об успешной установке, затем «Готово».
Информацию по установке программы «КриптоПро CSP» на другую операционную систему можно найти на сайте «КриптоПро».
Откройте меню Пуск – Панель управления – КриптоПро CSP.
В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Просмотреть сертификаты в контейнере:
В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится на смарт-карте JaCarta):
После выбора контейнера нажмите кнопку Ок, затем Далее.
* Если после нажатия на кнопку Далее Вы видите такое сообщение:
В окне Сертификат для просмотра нажмите кнопку Установить:
Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:
Дождитесь сообщения об успешной установке:
Сертификат установлен. Можно закрыть все открытые окна КриптоПро.
Вариант 2. Установка через меню «Установить личный сертификат».
Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением. cer). Он может находиться, например, на съемном носителе или на жёстком диске компьютера (если Вы делали копию сертификата или Вам присылали его по электронной почте).
В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Установить личный сертификат:
В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата:
Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):
В следующем окне нажмите кнопку Далее; в окне Сертификат для установки нажмите Далее.
Поставьте галку в окне Найти контейнер автоматически (в нашем примере контейнер находится на смарт-карте JaCarta) и нажмите Далее:
В следующем окне отметьте пункт Установить сертификат (цепочку сертификатов) в контейнер и нажмите Далее:
В окне Завершение мастера установки личного сертификата нажмите Готово:
Если КриптоПро CSP запрашивает pin-код от контейнера, введите нужный код или попробуйте стандартные pin-коды носителей:
Как установить сертификат в КриптоПро
Эта инструкция поможет быстро установить личный сертификат, чтобы работать с электронной подписью стало еще удобнее. Для проведения процедуры вам понадобится:
- сертификат электронной подписи
- компьютер с установленной программой КриптоПро
- 5 минут свободного времени.
Установить сертификат в КриптоПро можно двумя способами. Выбирайте тот, который будет удобен именно вам. Первый способ установки сертификата
- На рабочем столе компьютера откройте меню «Пуск». Затем перейдите в «Панель управления» и выберите «КриптоПро CSP».
- Перейдите на вкладку «Сервис» и нажмите на кнопку «Просмотреть сертификаты в контейнере».
Если появилось вот такое сообщение — «В контейнере закрытого ключа отсутствует открытый ключ шифрования», не переживайте. Остановите установку сертификата первым способом, и переходите к установке вторым способом.
Теперь вы можете закрыть все открытые окна. Второй способ установки сертификатаДля этого способа понадобится файл сертификата (У него расширение. cer). Если вы ранее делали копию сертификата, то этот файл может находиться на жестком диске компьютера или на съемном носителе. После того как вы найдете файл сертификата, можно приступать к установке.
- На рабочем столе компьютера откройте меню «Пуск». Затем перейдите в «Панель управления» и выберите «КриптоПро CSP».
- Перейдите на вкладку «Сервис» и нажмите на кнопку «Установить личный сертификат».
Первым делом нужно запустить КриптоПро CSP. Откройте меню «Пуск», в нем перейдите в «Панель управления».
Щелкните левой кнопкой мыши по отмеченному пункту.
Щелкните по кнопке обзора.
Программа предложит выбрать местоположение контейнера, в нашем случае флеш-накопитель.
Откроется предварительный просмотр сертификата. Нам нужны его свойства — нажимайте на нужную кнопку.
В следующем окне щелкните по кнопке установки сертификата.
Откроется утилита импорта сертификатов. Для продолжения работы нажимайте «Далее».
Предстоит выбрать хранилище. В последних версиях КриптоПро лучше оставить настройки по умолчанию.
Заканчивайте работу с утилитой нажатием «Готово».
Появится сообщение об успешном импорте. Закройте его, щелкнув «ОК».
Откроется «Мастер установки личного сертификата». Переходите к выбору местоположения файла CER.
Выберите вашу флешку и папку с сертификатом (как правило, такие документы расположены в каталоге со сгенерированными ключами шифрования).
Убедившись, что файл распознан, нажимайте «Далее».
Дальнейшие действия — указание контейнера ключа вашего CER-файла. Жмите на соответствующую кнопку.
Во всплывающем окошке выберите местоположение нужного.
Вернувшись к утилите импорта, снова нажимайте «Далее».
Далее нужно выбрать хранилище импортируемого файла ЭЦП. Щелкайте «Обзор».
Поскольку сертификат у нас личный, то и отметить нужно соответствующую папку.
Внимание: если вы используете этот способ на новейшей CryptoPro, то не забудьте отметить пункт «Установить сертификат (цепочку сертификатов) в контейнер»!
Мы собираемся заменить ключ на новый, так что смело нажимайте «Да» в следующем окне.
Процедура окончена, можно подписывать документы.
Данный способ несколько сложнее, однако в некоторых случаях установить сертификаты можно только так.
В качестве подведения итогов напомним: устанавливайте сертификаты только на проверенные компьютеры!
Мы рады, что смогли помочь Вам в решении проблемы.
Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.
Помогла ли вам эта статья?
ДА НЕТ
Еще статьи по данной теме
Основным условием, при котором возможно копирование контейнера с ключом, является необходимость того, чтобы при создании на сайте КриптоПро он был помечен, как экспортируемый. В противном случае перенос произвести не получится.
Способ 2: Средства WindowsТакже перенести сертификат КриптоПро на флешку можно исключительно средствами операционной системы Windows путем простого копирования через «Проводник». Данный метод подойдет только тогда, когда файл header. key содержит в себе открытый сертификат. При этом, как правило, его вес составляет не менее 1 Кб.
Щелкните ПКМ по пустому месту в открывшейся директории и выберите пункт «Вставить».
Внимание! Вставку нужно производить в корневую директорию USB-носителя, так как в обратном случае работа с ключом в дальнейшем будет невозможна. Также рекомендуем не переименовывать при переносе название копируемой папки.
Каталог с ключами и сертификатом будет перенесен на флешку.
Можете открыть эту папку и проверить правильность переноса. В ней должны находится 6 файлов с расширением key.
На первый взгляд перенос сертификата КриптоПро на флешку посредством инструментов операционной системы гораздо проще и интуитивно понятнее, чем действия, через КриптоПро CSP. Но нужно отметить, что этот метод подойдет только при копировании открытого сертификата. В обратном случае вам придется для этой цели воспользоваться программой.
Как я и писал выше вы много, где сможете его применять, я когда знакомился с миром сертификатов и электронных подписей, то использовал тестовые ЭЦП от КриптоПРО для проверки правильности настройки программного обеспечения для работы на электронных, торговых площадках. Чтобы сгенерировать тестовый электронный сертификат, компания КриптоПРО предоставила вам специальный удостоверяющий, виртуальный центр, которым мы и воспользуемся. Переходим по ссылке:
В самом низу у вас будет ссылка на пункт “Сформировать ключи и отправить запрос на сертификат”.
Я вам советую этот сайт открывать в Internet Explore, меньше будет глюков. Как открыть Internet Explore в Windows 10, читайте по ссылке слева
Если же вы хотите использовать другой браузер, то установите КриптоПро ЭЦП Browser plug-in.
Перенос сертификатов в виде пошаговой инструкции
Первые два пункта я описывать тут не стану, так как я уже это подробно рассказывал, посмотрите по ссылкам. Я расскажу, об остальных методах и начнем мы с классического КриптоПРО.
Данный метод подойдет для тех ситуаций, когда у вас один или 2 сертификата (ЭЦП). Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит, и там придется выбирать 4-й метод.
Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты
Как скопировать сертификат в реестр КриптоПРО
CryptoPRo позволяет производить установку с копирование закрытого ключа (сертификата) в реестр Windows.
Хочу вас сразу предупредить, что с точки зрения безопасности, это очень не надежно и ваши закрытые ключи могут быть похищены, если вы не организовываете надлежащий уровень безопасности
И так, у меня есть USB токен SafeNet, на который я выпустил тестовую ЭЦП, ее я буду переносить вместе с закрытым ключом в реестр Windows. Открываем утилиту CryptoPRO с правами администратора.
Переходите на вкладку “Сервис” и нажимаете “скопировать”
У вас откроется окно “Контейнер закрытого ключа”, тут вам нужно нажать кнопку “Обзор”, что бы выбрать ваш сертификат, который вы хотите скопировать в реестр.
В итоге у вас в поле “Имя ключевого контейнера” отобразиться абракадабровое имя.
Нажимаем далее.
У вас появится окно с вводом пин-кода от вашего USB токена.
Теперь вам необходимо задать имя для копируемого сертификата в реестр Windows, КриптоПРО благо, это позволяет. Я назвал его “Копия сертификата в реестре (Семин Иван)”
Теперь вам необходимо положить сертификаты КриптоПРО в реестр, для этого выбираем соответствующий пункт и нажимаем “Ок”.
На следующем шаге вам предложат установить новый пароль на ваш контейнер с закрытым ключом, советую установить его и желательно посложнее.
Массовый перенос ключей и сертификатов CryptoPro на другой компьютер
Выше описанные методы хороши, когда у вас один или 5 ключиков в реестре, а как быть если их десятки. Помню лет 5 назад, когда я еще был младшим администратором, то я очень часто устанавливал электронные цифровые подписи главбуху, так как она работала в СБИС++ и сдавала там постоянно отчетность по огромному количеству организаций, по типу рога и копыта. Держать кучу токенов было не вариант, и для таких вещей у нее все хранилось в реестре и копия сертификатов была на флешке в сейфе. Флешку потом потеряли, встал вопрос сделать резервную копию всего и плюс обновить систему, в виду нового компьютера, на операционной системе Windows 8. ЭЦП было штук 50, а так как я ценю свое время, то и искал методы, выполнить это быстрее, к счастью я его нашел.
Заключался метод переноса сертификатов из реестра, в выгрузке веток и подмене SID значения, но обо всем по порядку. О том, как посмотреть SID пользователя и что это такое я рассказывал.
Открываете командную строку cmd и вводите команду:
Вот это S-1-5-21-551888299-3078463796-888888888-46162 и есть SID, вашей учетной записи. Теперь когда вы его знаете, то вам нужно выгрузить ваши закрытые ключи из реестра Windows. Для этого откройте вот такую ветку:
В контейнере Keys, вы найдете все ваши закрытые ключи от ЭЦП. С правой стороны вы увидите файлы: * header. key * masks. key * masks2. key * name. key * primary. key * primary2. key
Щелкаем правым кликом по контейнеру Keys и экспортируем его.
Сохраняем нашу ветку реестра с контейнерами закрытых ключей. Далее нам нужно скопировать открытые ключи, которые лежат по пути:
Не забывайте только подставить своего пользователя, эта папка может быть скрытой, поэтому включите скрытые папки и файлы в вашей ОС. Все содержимое этой папки вам нужно перенести на другой компьютер, только уже в папку другого, нужного пользователя.
Как только вы поместили на новом компьютере папку Key, вы можете перенести реестровую выгрузку. Сохраненный файл в формате reg, вы должны открыть в любом текстовом редакторе.
Как я показывал выше, определите SID нового пользователя, скопируйте его полностью и замените им значение в файле reg, я отметил это стрелками.
SID начинается с S-1 и так далее
Все сохраняйте файл и запускайте его, у вас будет начат перенос сертификатов (закрытых ключей), подтверждаем действие.
Как видите импорт успешно завершен. Все теперь ваши закрытые и открытые ключи на месте и вы можете работать с вашими ЭЦП, и можно считать, что перенос сертификатов с одного компьютера на другой в массовом масштабе, осуществлен успешно. Если остались вопросы, то жду их в комментариях.
Как скопировать эцп из реестра на флешку
Предположим, что у вас стоит задача скопировать контейнер из реестра, так как он уже там, то он экспортируемый, для этого открываем криптопро, “Сервис-Скопировать”
Выбираете “Обзор” и ваш сертификат из реестра.
Задаете ему новое имя, удобное для себя.
После чего вас попросят указать флешку, на которую вы будите копировать контейнер с закрытым ключом из реестра.
Обязательно задайте новый пароль.
Ну и собственно теперь открывайте вашу флешку и лицезрейте перенесенный на него контейнер, он будет состоять из файликов с форматом key.
Как видите КриптоПРО, это конвейер, который позволяет легко скопировать сертификат из реестра на флешку или даже дискету, если они еще используются.
Установка ЭЦП осуществляется двумя способами
Через подраздел «Просмотреть сертификаты в контейнере». Данным способом можно установить сертификат в хранилище, только если он есть в контейнере.
Через подраздел «Установить личный сертификат»
Для начала найдите установленную КриптоПро CSP, откройте её. Перед вами появится окно с разделами: «Алгоритмы», «Безопасность», Winlogon, «Общие», «Оборудование», «Сервис» и другие. Вам нужна вкладка «Сервис».
Находим далее «Установить личный сертификат», и перед вами откроется мастер установки сертификатов. При настройке практически везде нажимаем «Далее». Есть возможность выбрать сертификат через кнопку «Обзор» и проложить путь к нему. Так же выбрать нужный контейнер.
Второй вариант — это последовательные действия через «Просмотреть сертификаты в контейнере». Через «Обзор» выбираем контейнер или сертификат, жмём «Далее», «Свойства», «Установить сертификат», «Далее», «Готово». Установка успешно завершена.
Копирование ключей электронной подписи
- Сертификаты: Выданные УЦ ФНС, ЕГАИС, «Лес-ЕГАИС»
- Выданные УЦ ФНС,
- ЕГАИС,
- «Лес-ЕГАИС»
являются некопируемыми.
Для копирования ключевого контейнера:
Копирование в реестр
Копирование на внешний носитель
Копирование на Рутокен
Копирование на токен Jakarta
Если нужный носитель отсутствует:
- Откройте меню «Пуск» — «Панель управления» — «КриптоПро CSP» — «Оборудование» — «Настроить считыватели».
- Нажмите кнопку «Добавить».
- В открывшемся окне нажмите «Далее».
- Выберите в списке нужный носитель и нажмите «Далее» — «Готово».
Важно! Чтобы использовать созданный ключевой носитель, переустановите сертификат из скопированного контейнера:
- Откройте меню «Пуск» — «Панель управления» — «КриптоПро CSP» — «Сервис» — «Просмотреть сертификаты в контейнере».
- Нажмите «Обзор», отметьте нужный контейнер, нажмите «Ок» и «Далее».
- Нажмите «Установить».
- На вопрос о замене сертификата необходимо ответьте утвердительно.
- Нажмите «Готово» и «Ок».
Теперь установленный сертификат привязан к контейнеру, из которого он был установлен.
Видеоинструкция по созданию копии ключевого контейнера.
Установка закрытого ключа в реестр
Теперь когда ваш закрытый ключ находится в реестре, давайте установим личный сертификат. Для этого откройте на вкладке “Сервис” кнопку “Посмотреть сертификат в контейнере”
Далее в окне “онтейнер закрытого ключа” нажмите кнопку “Обзор”.
И выберите сертификат из реестра, он будет с тем именем, что вы ему задавали.
После чего производится установка закрытого ключа в реестр, через соответствующую кнопку.
Видим, что сертификат был установлен в хранилище “Личные” текущего пользователя. Как видите, было очень просто скопировать закрытый ключ в реестр операционной системы.
Где хранится закрытый ключ в реестре Windows
После процедуры добавления сертификата в реестр КриптоПРО, я бы хотел показать, где вы все это дело можете посмотреть. Ранее я вам рассказывал, о том как добавить оснастку сертификаты. Нас будет интересовать раздел “Сертификаты пользователя – Личное”.
Либо вы можете зайти в свойства Internet Explorer на вкладку “Содержание’. Потом перейти в пункт “Сертификаты”, где у вас будут отображаться все ваши SSL сертификаты, и те, что КриптоПРО скопировал в реестр операционной системы.
Если нужно найти ветку реестра с закрытым ключом, то я вам приводил уже пример в статье, когда я переносил ЭЦП с компьютера на компьютер.
Про копирование ЭЦП с закрытыми ключами мы разобрали, теперь ситуация обратная.
Как видите предпосылок и вариантов переноса сертификатов из реестра на другой компьютер, предостаточно.
Какие есть варианты по копированию контейнеров закрытых ключей?
- Если мы создаем единый терминал (Виртуальную машину), на которой будут коллективно работать пользователи, то можно произвести конвертирование физической тачки в виртуальную машину
- Если будет просто замена жесткого диска, то можно произвести его клонирование или перенос системы на SSD с помощью специальных утилит
- Можно воспользоваться утилитой КриптоПРО
- Воспользоваться экспортом из реестра Windows.
Как скопировать ЭЦП с Рутокена на флешку
Записать ЭЦП на флешку требуется для предотвращения порчи носителя или потери записанных данных. Также копирование необходимо перед обновлением, модернизацией или переустановкой операционной системы. Если сертификат подписи не скопировать, то закодированная информация может удалиться с персонального компьютера.
Важно! Контейнеры закрытых ключей, которые создавались для ЕГАИС или были выданы ФНС, являются неэкспортируемыми.
Для копирования понадобится:
программа КриптоПро CSP
физический носитель ЭЦП — Рутокен
Открываем КриптоПро CSP, при этом в компьютере уже должны быть вставлены заблаговременно и флешка, и Рутокен. На вкладке «Сервис» жмём «Скопировать» и в открывшемся окне через «Обзор» выбираем нужный для копирования контейнер, подтверждая действие кнопкой «Ок». Возможно, понадобится ввести пароль и название копии ключа ЭЦП, нажимая «Далее» до появления кнопки «Готово». Перед вами откроется окно, в котором нужно выбрать флешку. Сгенерируйте новый пароль и наберите его, копирование завершено. Проверьте, чтобы на флешке появилась папка с копией вашего контейнера. Для того чтобы скопировать ЭЦП с Рутокена на Рутокен, проводятся аналогичные действия. Только после кнопки «Готово» выбрать не флешку, а второй носитель Рутокен. В конце также проверьте, появилась ли ключевая пара на вкладке сертификаты в панели управления Рутокен.
Купить носитель для квалифицированной электронной подписи рекомендуем в нашем интернет-магазине. В каталоге представлены только сертифицированные модели токенов.
Инструкция по копированию сертификата из контейнера КриптоПро
Запустить программу КриптоПро CSP
Найти её можно в меню «Пуск» или в Панели управления
С помощью кнопки «Обзор» выбрать нужный контейнер
Если в списке вы не видите свой контейнер, убедитесь что носитель с ЭЦП подключен к компьютеру и драйвер на USB-токен установлен.
После выбора контейнера откроются данные из сертификата электронной подписи.
Убедитесь что это именно тот сертификат, который вам нужен!
Затем нажимаем «Свойства», откроется сертификат ЭЦП
Открывается «Мастер экспорта сертификатов»
Ни в коем случае не экспортировать закрытый ключ, иначе тот кому вы отправите ваш сертификат сможет использовать вашу ЭЦП по своему усмотрению!
Выберите формат экспортируемого файла в соответствии с требованиями портала. В большинстве подойдут настройки по умолчанию, т. «Файлы X. 509 (. CER) в кодировке DER»
Далее укажите путь и имя сохраняемого сертификата
Нажмите «Готово» и ваш сертификат сохранится в указанном каталоге!
Полученный таким образом файл сертификата (. cer) можно без опасения передавать третьим лицам, т. он содержит только открытые сведения (открытый ключ).
Экспорт сертификата из контейнера КриптоПро CSP обновлено: 11 июля, 2022 автором: ЭЦП SHOP
5 ответов
- Как сделать аналогичную операцию на MacOS
- Спасибо, большое. Месяц мучилась, не могла скопировать ключ для регистрации в налоговой
- Не могу найти на компьютере сертификат, чтобы заргеитсрирвоать его на сайте фнс и сдать отчетность
Отклонила декларацию налоговая, думаю, потому что ключ менялся у меняСертификат лучше искать не на компьютере, а в контейнере с ключами электронной подписи (по данной инструкции), так вы точно будете знать что зарегистрировали именно актуальный сертификат.
- Сертификат лучше искать не на компьютере, а в контейнере с ключами электронной подписи (по данной инструкции), так вы точно будете знать что зарегистрировали именно актуальный сертификат.
Когда нужно копировать сертификаты КриптоПРО в реестр
Существует ряд задач, когда удобно иметь вашу ЭЦП подпись в реестре Windows:
При тестировании настроенного окружения для торговых площадок, для входа на которые используется ЭЦП подпись. Когда у вас виртуальная инфраструктура и нет возможности, произвести проброс USB устройств по локальной сети 3. Ситуации, когда КриптоПРО не видит USB токена 4. Ситуации, когда USB ключей очень много и нужно работать одновременно с 5-ю и более ключами, примером может служить программа по сдачи отчетности СБИС
Установка КриптоПро ЭЦП Browser plug-in.
Сама инсталляция плагина, очень простая, скачиваем его и запускаем.
Для запуска нажмите “Выполнить”
Далее у вас появится окно с уведомлением, что будет произведена установка КриптоПро ЭЦП Browser plug-in, соглашаемся.
После инсталляции утилиты, вам нужно будет обязательно перезапустить ваш браузер.
Открыв ваш браузер, вы увидите предупредительный значок, нажмите на него.
В открывшемся окне нажмите “Включить расширение”
Не забудьте установить КриптоПРО CSP на компьютер, где будет генерироваться сертификат
Теперь у нас все готово. Нажимаем “Сформировать ключи и отправить запрос на сертификат”. Согласитесь с выполнением операции.
У вас откроется форма расширенного запроса сертификата. Вначале заполним раздел “Идентифицирующие сведения”. В него входят пункты:
- Имя
- Электронная почта
- Организация
- Подразделение
- Город
- Область
- Страна
Далее вам нужно указать тип требуемого сертификата. В двух словах, это область применения ЭЦП:
- Сертификат проверки подлинности клиента (самый распространенный вариант, по сути для подтверждения, что вы это вы)
- Сертификат защиты электронной почты
- Сертификат подписи кода
- Сертификат подписи штампа времени
- Сертификат IPSec, для VPN тунелей.
- Другие, для специальных OID
Я оставляю “Сертификат проверки подлинности клиента”.
Далее вы задаете параметры ключа, указываете, что будет создан новый набор ключей, указываете гост CSP, от него зависит минимальная длина ключа. Обязательно пометьте ключ как экспортируемый, чтобы вы его могли при желании выгружать в реестр или копировать на флешку.
Для удобства еще можете заполнить поле “Понятное имя”, для быстрой идентификации вашей тестовой ЭЦП от КриптоПРО. Нажимаем выдать тестовый сертификат.
У вас появится запрос на создание, в котором вам необходимо указать устройство, на которое вы будите записывать тестовый сертификат КриптоПРО, в моем случае это е-токен.
Как только вы выбрали нужное устройство появится окно с генерацией случайной последовательности, в этот момент вам необходимо нажмить любые клавиши или водить мышкой, это защита от ботов.
Все наш контейнер КриптоПРО сформирован и для его записи введите пин-код.
Вам сообщат, что запрошенный вами сертификат был вам выдан, нажимаем “Установить этот сертификат”.
Если у вас еще не установленны корневые сертификаты данного центра сертификации, то вы получите вот такую ошибку:
Данный ЦС не является доверенным
Для ее устранения нажмите на ссылку “установите этот сертификат ЦС”
У вас начнется его скачивание.
Запускаем его, как видите в левом верхнем углу красный значок, чтобы его убрать нажмите “Установить сертификат”, оставьте для пользователя.
Далее выбираем пункт “Поместить все сертификаты в следующее хранилище” и через кнопку обзор указываете контейнер “Доверенные корневые центры сертификации”. Далее ок.
На последнем этапе у вас выскочит окно с предупреждением, о подтверждении установки сертификатов, нажимаем “Да”.
Открываем снова окно с выпуском тестового сертификата КриптоПРО и заново нажимаем “Установить сертификат”, в этот раз у вас вылезет окно с вводом вашего пин-кода от вашего носителя.
Если вы его ввели правильно, то увидите, что новый сертификат успешно установлен.
Теперь открывайте ваш КриптоПРО и посмотрите есть ли сертификат в контейнере. Как видите в контейнере есть наша ЭЦП.
Если посмотреть состав, то видим все наши заполненные поля. Вот так вот просто выпустить бесплатный, тестовый сертификат КриптоПРО, надеюсь было не сложно.
Об электронной цифровой подписи
Электронная цифровая подпись — это специальная информация, которая добавляется к электронному документу и даёт возможность убедиться в том, вносились ли изменения в электронный документ после его подписания, а также гарантированно установить лицо, подписавшее данный документ. Добавить электронную цифровую подпись к электронному документу возможно с помощью личного ключа и специального программного обеспечения.
Что же такое личный ключ? Личный ключ — это набор символов в виде компьютерного файла. При этом личный ключ играет роль шариковой ручки при подписании документа на бумаге.
Для проверки ЭЦП на электронном документе используется другой набор символов — открытый ключ. После формирования сертификата открытый ключ становится его частью и не используется отдельно.
Квалифицированный сертификат (далее — сертификат) — это документ, который удостоверяет подлинность и принадлежность открытого ключа пользователю. Такой документ выдаётся аккредитованным удостоверяющим центром и существует в электронном виде. Для проверки ЭЦП на документе необходимо специальное программное обеспечение.
Сертификат служит для проверки ЭЦП на документе, не является секретным и может свободно распространяться через интернет и другие открытые каналы связи. Добавить на электронный документ ЭЦП с помощью сертификата или получить с него ваш личный ключ невозможно.
В итоге мы получаем следующее. Один субъект подписывает документ с помощью личного ключа и специального программного обеспечения, а другой проверяет подпись на этом документе. При этом лицу, которое проверяет подпись, иметь свой личный ключ и сертификат необязательно.
Перенос сертификатов из реестра без КриптоПРО
Существуют методы экспортировать закрытый ключ и без изспользования утилиты КриптоПРО. Представим себе ситуацию, что у вас на него кончилась лицензия и вы не успели ее купить. Вам нужно сдать отчетность в СБИС. Вы развернули CryptoPRO на другом компьютере, так как он позволяет 3 месяца бесплатного использования, осталось для СБИС выполнить перенос сертификатов, которые у вас в реестре Windows.
У нас два варианта:
- Использование оснастки mmc-Сертификаты пользователя.
- Использование Internet Explore
Как открыть оснастку сертификаты я уже подробно рассказывал, посмотрите. Откройте там контейнер “Личное – Сертификаты”. Если у вас в контейнере не один сертификат с одинаковым именем, такое может быть, то откройте сертификат в оснастке mmc и в КриптоПРО и сравните серийные номера сертификата.
В Internet Explore, откройте “Свойства браузера – Содержание – Сертификаты”
Теперь нам необходимо его экспортировать, в оснастке “Сертификаты”, через правый клик, это можно сделать, в Internet Explorer, сразу видно кнопку, экспорт.
У вас откроется мастер переноса сертификатов, на первом шаге, просто нажимаем далее. После чего вас спросят, что вы хотите экспортировать, выбираем пункт “да, экспортировать закрытый ключ вместе с сертификатом”
Если ваш закрытый ключ запрещено экспортировать, то эта кнопка будет не активна, и можете сразу закрывать данный метод и переходить к следующему.
Следующим этапом в мастере экспорта сертификатов, вам необходимо выбрать формат выгрузки, это будет PFX архив.
Далее вы задаете обязательно пароль и указываете имя и место, где будите сохранять ваш переносимый контейнер с зарытым ключом в формате pfx.
Мастер экспорта сертификатов, выведет вам сводные данные, нажимаем “Готово”.
Отрываем локацию, куда вы его выгрузили, и найдите свой pfx архив.
Теперь вам нужно еще выгрузить открытый ключ в формате cer, для этого так же зайдите в мастер экспорта, но на этот раз выберите “Нет, не экспортировать закрытый ключ”.
Выберите формат файла “X. 509 (. CER) в кодировке DEP”, задайте ему имя и место сохранения. На выходе у вас появятся два файла.
Одни открытый ключ в формате cer и закрытый ключ в формате pfx. Этого набора вам будет достаточно, чтобы перенести сертификаты СБИС, Контура и остальных программ на другой компьютер.
Теперь перенесите эти файлы на другое рабочее место и просто запустите, через простой двойной клик. У вас откроется мастер импорта сертификатов, на первом окне выберите нужное вам хранилище, я в своем примере оставлю “Текущий пользователь”.
На втором шаге проверяем импортируемый сертификат.
Указываем пароль, который задавали при выгрузке.
Оставляем автоматический выбор хранилища на основе типа сертификатов.
Готово. Со вторым файлом то же самое. После чего у вас будут перенесены нужные вам ключи и сам сертификат, можно работать.
Когда нужно переносить сертификаты в другое место?
И так давайте рассмотрим по каким причинам у вас может появиться необходимость в копировании ваших ЭЦП в другое место.
- На текущем физическом компьютере начинает умирать жесткий диск или SSD накопитель (Как проверить жизненные показатели жесткого диска), очень частая история и жизненная, когда люди теряли все свои данные, из-за банальной жадности в покупке нового оборудования и элементарного незнания принципов резервного копирования.
- У вас производится модернизация оборудования, его улучшение и вам нужно перенести все сертификаты с закрытыми ключами на другую систему
- Вы создали отдельный сервер, в виде виртуальной машины, где будут находится все ваши сертификаты и с ними смогут работать все необходимые сотрудники, терминал для бухгалтерии. Простой пример СБИС, и когда у вас 10-20 организаций.
Копирование закрытого ключа из КриптоПро
Это самый простой способ, и будет актуальным при небольшом количестве контейнеров с закрытыми ключами. Чтобы выполнить перенос сертификатов из реестра, откройте ваш КриптоПРО, вкладка “Сервис”, нажимаем кнопку “Сервис”, далее через кнопку “Обзор”, откройте “Выбор ключевого контейнера” и укажите, какой сертификат вы будите переносить. В моем примере это контейнер “Копия сертификата в реестре (Семин Иван)”.
Нажимаем “Далее”, вас попросят задать новое имя контейнера с закрытым ключом, введите понятное для себя, для удобства.
У вас откроется окно с выбором носителей, вы можете выбрать либо токен, либо флешку для переноса на другое место. У меня это внешний жесткий диск Z:.
Задаем обязательно пароль, с точки зрения безопасности, так как файлы в таком виде просто скомпрометировать.
Все, на выходе я получил папку со случайным названием и набором ключей в формате key.
Если вы пытаетесь копировать сертификат с токена, то в ряде случаев у вас может появиться ошибка: Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.
Связана такая ситуация, что в целях псевдобезопасности, удостоверяющие центры выпускают закрытые ключи без возможности экспорта, и таким образом увеличивают свою прибыль, так как в случае утери или поломки токена, вам придется его перевыпускать, а так как экспорт запрещен, то бэкапа вы сделать не сможете.
Если вы получили ошибку копирования контейнера. У вас нет разрешений на экспорт ключа, то метод с КРиптоПРО вам не поможет
Инструкция. Настройка Рутокен. Как установить сертификат ЭЦП
Шаг 1
Вставляем USB-токен в компьютер
Шаг 2
Открываем панель управления
Шаг 3
Через закладку «Администрирование» находим кнопку «Информация»
Шаг 4
В открывшемся окне можно увидеть статус Microsoft Base Smart Card Crypto Provider
Если напротив стоит «Поддерживается», то просто продолжите действия — «Ок». В случае когда статус — «Активировать», активируйте носитель. «Не поддерживается» означает, что носитель не поддерживает работу с ЕГАИС (Единая государственная автоматизированная информационная система).
Шаг 5
Выбираем «Настройка» во вкладке с аналогичным названием
Шаг 6
Для «Рутокен ЭЦП Смарт-карта», «Рутокен ЭЦП (2. 0)» или «Семейство Рутокен ЭЦП» нужно выбрать одинаковое значение — «Microsoft Base Smart Card Crypto Provider».
Настройка Рутокен завершена
Ещё один важный момент, необходимый при настройках, — это ПИН-код Рутокен. Пин-код пользователя, заданный по умолчанию —12345678. Его используют для доступа к электронной подписи и объектам на устройстве: сертификатам и ключевым парам.
Купить подходящую лицензию КриптоПро для ЭЦП ФНС рекомендуем в нашем интернет-магазине. Оставьте короткую заявку, для бесплатной консультации специалиста.