Как удалить сертификат ЭЦП с Рутокена или из контейнера закрытого ключа

Что такое пароль и пин-код электронной подписи

На электронную подпись устанавливают один из типов защиты: пароль или пин-код. Разберемся, чем они отличаются. 

В системе linux

Удалить электронную подпись в Linux-системах проще через терминал. Для этого пользователь:

1. Запускает терминал и вводит команду certmgr –list.
2. Проверяет открывшийся список всех установленных ключей электронной подписи.
3. Вводит команду certmgr -del -c -m *.cer, где * — это имя ключа ЭЦП, который необходимо удалить.

Процесс завершится через несколько секунд.

Удаление электронной подписи необходимо в случае, если ее сертификат уже истек и для установки новой нужно освободить место. Хранить старые ключи подписи желательно еще один-два года после истечения их срока действия, т.к. корневые сертификаты удостоверяющего центра могут понадобиться при открытии ранее подписанных документов.

Чтобы стереть ЭЦП с носителя, используют специальные программы — КриптоПро или eToken Properties. С компьютера файл с ЭЦП можно стереть также при помощи КриптоПро и при помощи встроенных средств OS Windows. А удаление подписи в системах Linux происходит только через терминал и специальные команды.

Второй способ очистки рутокена от старых сертификатов — выборочный

Данный способ необходимо задействовать если требуется удалить сертификат уволенного работника.

Алгоритм действий следующий:

• Открыть панель управления Рутокен на вкладке «Сертификаты» (путь см. выше);
• Выбрать сертификат, подлежащий удалению;
• При необходимости ввести пароль пользователя (ссылка вверху справа, по умолчанию 12345678);
• В появившейся таблице повторно выбрать нужный сертификат.
• В правой колонке появится ссылка на удаление — на неё необходимо кликнуть в последствии.

Процесс удаление рутокена вторым способом в иллюстрациях можно посмотреть здесь.

Таким образом, удаление сертификатов Рутокен не должно вызвать затруднение даже у начинающего пользователя. Если пользователь будет действовать по инструкции выше работа по удалению сертификата из Рутокен пройдет без сбоев.

Удаление контейнеров систем шифровния CSP осуществляется несколько иначе — если данная тема вызовет интерес у наших читателей мы расскажем об этом в отдельном материале…

Забыл пароль подписи

Пароль от контейнера ЭП можно вводить неограниченное количество раз. Поэтому можно спокойно подбирать к подписи все знакомые комбинации: важные даты или код из смс, которую при выпуске сертификата присылал удостоверяющий центр. Возможно, именно этот код случайно установили на контейнер в качестве защиты.

Если подобрать пароль не удается, то доступ к сертификату можно вернуть в некоторых случаях. Если раньше пароль сохраняли на компьютере — нажимали галочку «Запомнить», то иногда такой контейнер можно скопировать без ввода пароля. Попытайтесь скопировать папку со всеми файлами подписи на другое устройство или токен. Если в процессе у вас не спросят пароль, то можно продолжать работать с ЭП.

Если не получается ни скопировать подпись, ни вспомнить пароль ЭЦП, то остается только одно — получить новый сертификат ЭП. Для этого нужно отозвать старый в удостоверяющем центре и подать документы и заявку на выпуск нового. На контейнер новой подписи стоит установить пароль, который легко запомнить, но который не угадают мошенники.

Забыл пин-код токена

Восстановить забытый пин-код токена тоже невозможно. Именно из-за этого токен — надежный носитель ЭП: если его украдут мошенники, то пин-код защитит подпись от них. 

Однако для владельца ЭП есть два способа, которые помогут подобрать нужную комбинацию.

Запрещаем экспортирование сертификата

Производим экспорт сертификата, в итоге у вас получится архив pfx. Он будет содержать как открытый, так и закрытый ключ. Теперь попробуйте произвести импорт сертификата. Обратите внимание, что в момент импорта, вам не нужно ставить галку “Разрешить экспорт закрытого ключа” именно ей мы не дадим его выгрузку.

Вводим пинкод (чаще всего он стандартный у рутокен , если вы его не меняли)

У вас может появиться в некоторых случаях ошибка “импортированы могут быть только сертификаты для ключей RSA”

Для ее решения нам нужно преобразовать сертификат pfx. Нам потребуется утилита OpenSSL . С помощью OpenSSL экспортируем закрытый ключ из PFX-файла:

Надеюсь вам поможет данный метод, запретить экспортирование приватного ключа с рутокен, если у вас есть дополнения или другие методы, то напишите о них в комментариях.

Флешка Token в обычную и получил лучший ответ

Как восстановить пароль электронной подписи

Если пароль и пин-код подписи не удается вспомнить, то восстановить его не получится. В этом не поможет даже удостоверяющий центр, выпустивший сертификат, — он не хранит пароли ЭП. Поэтому нужно пытаться вспомнить заветную комбинацию или подобрать ее.

Как разблокировать pin-код рутокен?

PIN-код блокируется после 10 неверных попыток ввода.

Разблокировать Рутокен или Рутокен Лайт можно 2 способами:

Как разблокировать pin-код через
крипто про csp

1. Открыть меню «Пуск» > «Панель управления» > «Крипто Про CSP». Перейти на вкладку «Оборудование» и нажать на кнопку «Настроить типы носителей».

2. Выбрать Rutoken или Rutoken Lite и нажать на кнопку «Свойства». Если в списке отсутствуют такие носители, то следует обновить модуль поддержки. Для этого рекомендуется воспользоваться сервисом Диагностики .

3. Перейти на вкладку «Информация» и нажать кнопку «Разблокировать PIN-код». Если вкладка «Информация» отсутствует, то следует обновить модуль поддержки. Для этого рекомендуется воспользоваться сервисом Диагностики .

Кнопка «Разблокировать PIN-код» будет неактивна, если смарт-карта не заблокирована. В этом случае будет отображена информация об оставшемся количестве попыток ввода пин-кода.

4. Появится сообщение об успешной разблокировке.

Разблокировать pin-код администратора без потери данных невозможно.

По умолчанию запрет на экспортируемый ключ ставится еще при создании токена, на центре сертификации . Если же там этого не сделали, то мы сделаем вот такой финт.

Каким образом можно удалить данные в рутокен о старых сертификатах? насколько сложна данная процедур и можно ли выполнить ее самостоятельно? сегодня ответим на все эти вопросы…

Бренд Рутокен объединяет линейку программно-аппаратных продуктов компании «Актив» полностью соответствующих требованиям российского законодательства и сертифицированных в ФСК и ФСТЭК. До 2022 года круг применения данных продуктов был относительно узок, а вторичный рынок отсутствовал вовсе.

После вступлением в силу закона об обязательном внедрении ЕГАИС-алкоголь потребность рынка в продуктах Рутокен значительно возросла, кроме этого сформировался вторичный рынок токенов — в результате закрытия предприятий, торгующих алкоголем

Сегодня перед новыми собственниками предприятий часто стоит вопрос очистки токена от старых сертификатов. Очистка токена также актуальна в связи с высокой текучкой кадров — процедура очистки выполняется когда необходимо удалить из системы сертификаты недавно уволенных работников.

Параметры

Утилита запускается из командной строки и имеет следующие параметры:

При необходимости параметры командной строки могут быть переданы с помощью конфигурационного файла.

В случае отсутствия заданных PIN-кодов при форматировании устанавливаются PIN-коды по умолчанию.

Утилита является циклической и после выполнения заданных действий на подключенном токене ожидает подключения следующего.

Пароль от контейнера электронной подписи

Пароль используют для подписи, сохраненной в память компьютера. Он защищает контейнер ЭП — папку с файлами подписи: сертификатом, закрытым и открытым ключами. 

Впервые с паролем владелец ЭП встречается, когда выпускает сертификат ЭП и записывает его в реестр компьютера или на обычную флешку (не токен). Придумать пароль нужно самостоятельно — при записи программа КриптоПро CSP покажет окошко, в которое нужно ввести комбинацию чисел, символов и латинских и русских букв.

Далее этот пароль будет запрашиваться при установке подписи на компьютер, ее копировании и при каждом использовании — подписании документов, работе на электронной торговой площадке или входе в сервисы. Если, конечно, не установить галочку «Запомнить пароль».

Первый способ очистки рутокена от старых сертификатов

Все сертификаты можно очистить при помощи форматирования устройства. После данной процедуры кроме сертификатов удаляются также все объекты, внесенные на устройство с момента выпуска. После форматирования требуется повторная инициализация Рутокена.

Порядок действий при очистке Рутокена:

• На вкладке «Администрирование» открыть панель управления Рутокен;
• Выбрать пункт «Ввести PIN-код» — откроется диалоговое окно предоставления доступа к системе;
• Выбрать режим администратора и ввести HIN администратора (по умолчанию это 87654321);

После успешной авторизации появится доступ к кнопке «Форматировать», с помощью которой вызывается диалоговое окно параметров форматирования — в нём нужно указать корректные параметры, запустить процесс при помощи кнопки «Начать». Подтверждается запуск нажатием «ОК» в дополнительном модальном окне.

Внимание! Нельзя форматировать Рутокен полученный из Удостоверяющего центра совместно с электронной подписью — если это сделать электронная подпись навсегда уничтожится.

Процесс очистка рутокена в иллюстрациях можно посмотреть погуглив фразу Выполнить форматирование Рутокен | СБИС Помощь.

Пин-код от токена электронной подписи

Пин-код используется для электронной подписи, которая записана на носитель в виде usb-флешки — на токен. Пин защищает токен, поэтому, если мошенники украдут носитель ЭП, то самой подписью они воспользоваться не смогут.

Впервые владелец ЭП должен ввести пин-код при выпуске подписи — когда ее записывают на токен. Если носитель новый, то нужно ввести «заводское» стандартное значение, например, 12345678 для Рутокена. «Заводское» значение лучше сразу изменить на собственное, чтобы его не смогли подобрать злоумышленники.

После этого пин-код понадобится вводить, чтобы установить сертификат подписи на компьютер, использовать и копировать ЭП, работать с ней за новым компьютером. Чтобы не вводить комбинацию каждый раз, можно нажать галочку «Запомнить пароль». Главное в таком случае самим не забыть последовательность символов.

Предназначение

Утилита PinChanger предназначена для автоматизации процедур форматирования и администрирования Рутокен: смены метки токена, PIN-кодов и их параметров.

При помощи криптопро

Для удаления закрытого ключа электронной подписи с ПК при помощи КриптоПро нужно:

1. Запустить программу.
2. Перейти во вкладку «Сервис».
3. Выбрать «Удалить контейнер».
4. В открывшемся списке выбрать необходимый для удаления контейнер с ключами ЭЦП.
5. Нажать «Готово».

С помощью КриптоПро можно удалять электронную подпись с истекшим сроком действия. Корневой сертификат выдавшего ЭЦП удостоверяющего центра также удаляется, поэтому открыть подписанные ранее файлы не получится.

Примеры использования

Отформатировать один токен с параметрами по умолчанию (для поточного выполнения убрать флаг -q)

PinChanger.exe -f -q

Отформатировать токен, задав имя токена RutokenLabel , PIN-код пользователя 123456789 и PIN-код администратора 987654321 .

PinChanger.exe -f -L RutokenLabel -u 123456789 -a 987654321 -q

Отформатировать токен с использование конфигурационного файла, задав имя токена RutokenLabel , PIN-код пользователя 123456789 и PIN-код администратора 987654321 .

Протоколирование работы в лог-файл

Лог представляет собой файл со строками следующего содержания:

1. В случае форматирования

2. В случае смены PIN-кода

3. В случае форматирования Flash-памяти

4. В случае изменения атрибутов разделов Flash-памяти

5. В случае получения информации об атрибутах разделов Flash-памяти

Пользователь может задавать имя лог-файла и его расположение. По умолчанию файл лежит в папке с утилитой и называется Pinchanger.exe.log.

Если при повторном запуске утилиты пользователь не указал новое имя лог-файла, то старый файл дополняется.

Решение №1. заводской пароль.

По умолчанию на новом токене установлен стандартный пин-код от производителя. Можно ввести его, чтобы вернуть доступ к сертификату ЭП. Для разных носителей подойдут разные значения: 

• «Рутокен», eSmart, JaCarta и JaCarta LT— 12345678,
• eToken — 1234567890, eToken,
• Jacarta SE — 1111111 для PKI-части и 0987654321 для ГОСТ части.

Если «заводская» комбинация к токену не подходит, значит ее сменили при записи сертификата. Тогда вернуть доступ к ЭП можно только одним способом — подобрать правильные символы.

Решение №2. подбор пин-кода и права администратора

На то, чтобы подобрать пин-код к токену, есть десять попыток. После десятого неверного ввода символов заблокируется.

Иногда количество попыток ввода можно увеличить. Для этого нужно зайти на токен в качестве администратора и разблокировать пин-код:

1. Перейти в панель управления токеном. Например, если используется носитель «Рутокен», то нужно перейти в Пуск — Панель управления — Панель управления «Рутокен» — вкладка «Администрирование».
2. Ввести пин-код администратора. Стандартное значение устанавливает производитель: для «Рутокена» — 87654321, для Jacarta SE — 00000000 для PKI-части и 1234567890 для ГОСТ части. Если стандартное значение администратора не подошло, значит его сменили, и нужно вспоминать установленную комбинацию. На это есть десять попыток, потом токен окончательно заблокируется.
3. Разблокировать пин-код токена. Для этого на вкладке «Администрирование» нажать «Разблокировать».

Также, если пин-код администратора известен, то можно сбросить попытки ввода другим способом — через КриптоПро CSP:

1. Открыть КриптоПро CSP, перейти на вкладку «Оборудование» и нажать кнопку «Настроить типы носителей».
2. Выбрать свой токен. Открыть его свойства и перейти в раздел «Информация».
3. Разблокировать пин-код.

После разблокировки счетчик попыток ввода сбросится. Но даже тогда, пока правильную комбинацию к токену не введут, доступ будет закрыт и использовать подпись не получится.

Если вспомнить или изменить нужную комбинацию не удалось, придется получать новый сертификат подписи в УЦ: отозвать старый сертификат и получить новый. Токен можно использовать старый — можете отформатировать носитель, тогда старый пин-код и сертификат удалятся.

При записи подписи на новый токен советуем поменять стандартный пин-код носителя на собственный. Это, конечно, может привести к тому, что комбинация вновь потеряется. Но лучше получить новый сертификат, чем пострадать от мошенников, которые смогли взломать «заводское» значение на токене и подписали украденной ЭП важные документы.

Смена pin-кода

Пользователь может изменить PIN-код пользователя или администратора без форматирования токена, если ему известны текущие PIN-коды пользователя и администратора.

Пользователь задает текущий PIN-код администратора и пользователя в конфигурационном файле или командной строке, задает новые PIN-коды, параметры смены PIN-кода и запускает утилиту.

Результаты смены PIN-кодов пишутся в лог.

Пользователь может запустить смену PIN-кодов с автоматической генерацией новых PIN-кодов заданной длины, для этого он устанавливает соответствующую опцию в конфигурационном файле.

Пользователь может задать дефолтные значения PIN-кодов, тогда все токены будут иметь одинаковые PIN-коды.

Пользователь может задавать PIN-коды или генерировать их автоматически в кодировке UTF-8, установив соответствующую опцию в конфигурационном файле.

Пользователь может использовать заранее сгенерированные сторонними утилитами PIN-коды. Для этого в настройках он указывает файл, в котором хранится список сгенерированных PIN-кодов с символом перевода строки в качестве разделителя.

Стандартные pin-коды

12345678 — пользовательский PIN-код на Рутокен и Рутокен Лайт, установленный производителем.

При возникновении окна c просьбой ввести PIN-код, необходимо указать значение 12345678.

Для носителя Рутокен, если стандартный PIN-код (12345678) был самостоятельно изменен с помощью «Панели управления Рутокен», то в данном окне следует указывать новый PIN-код, назначенный при смене. Информация о новом пин-коде хранится только у абoнента и не известна спецоператору связи.

Удаление сертификата подписи с пк

Для удаления сертификатов электронной подписи с компьютера можно воспользоваться:

• встроенными средствами Windows;
• программой КриптоПро.

А для удаления сертификата в системе Linux необходимо воспользоваться специальной программой, задаваемой в командной строке.

Удаление эцп с токена

Процесс удаления сертификата электронной подписи для Рутокена и eToken различается. Чтобы удалить сертификат с Рутокена ЭЦП нужно:

• Запустить программу КриптоПро.
• Перейти в раздел «Сервис».
• Нажать «Удалить».

• Нажать «Обзор» для открытия нового окна со списком действующих сертификатов.

• Выбрать контейнер, который необходимо удалить и нажать «Ок».

• Завершить удаление нажатием «Да».

С носителя eToken сертификат удаляется следующим образом:

• Запуск приложения «eToken Properties».

• Установка напротив «Сертификаты пользователя» значка « ».

• Выбор из списка сертификатов нужного для удаления.

• Нажатие «Удалить сертификат».

После этого система выдаст подтверждение об успешном окончании процесса.

Форматирование

Утилита предоставляет пользователю возможность поточного форматирования токенов:

1. Пользователь запускает утилиту, установив предварительно необходимые настройки в конфигурационном файле или задав опции в командной строке.

Утилита форматирует обнаруженные токены, заносит результаты в лог-файл, ждет подключения следующего токена или команды прекращения работы (например по нажатию на клавишу Enter).

Результаты форматирования пишутся в лог.

Пользователь может запустить форматирование токенов с автоматической генерацией PIN-кода заданной длины, для этого он устанавливает соответствующую опцию в конфигурационном файле.