Как установить сертификат ЭЦП на компьютер?

Введение

Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это – банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим.

  1. Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
  2. Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.

Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.

Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.

Что такое открытый ключ эцп

Открытый ключ электронной подписи представляется в виде электронного сертификата или бумажного документа. Сертификат выдаётся только удостоверяющим центром и содержит информацию, которая используется для проверки подписи владельца и шифрования данных.

Открытый ключ можно использовать для работы с партнёрами, в отличие от закрытого, который хранится в защищённом месте. Контрагенты могут использовать открытый ключ владельца для шифрования данных, которые ему посылают. Это означает, что после отправки этих данных, получить доступ к ним сможет только владелец закрытой части ключа.

Сертификат содержит в себе следующие данные:

Электронный сертификат виден на обычных носителях в виде файла с расширением .cer, а на защищённых картах Рутокен, eToken и JaCarta он скрыт. Чтобы увидеть скрытый сертификат, его необходимо экспортировать.

Аппаратные криптографические модули (hsm)

Как установить сертификат ЭЦП на компьютер?

HSM — ещё одно аппаратное решение для хранения ключей, особенно если вы не хотите полагаться на отдельные токены либо это кажется слишком обременительным. В то время как токены больше ориентированы на ручной ввод или отдельные приложения (например, подписание небольшого количества документов или кода, аутентификация в VPN или других сетях)

Традиционно HSM — это локальные физические устройства, требующие квалифицированных ресурсов для управления и обеспечения базовых требований и SLA. Обслуживание HSM может оказаться дорогим и ресурсоёмким процессом, что в прошлом препятствовало распространению этой технологии.

Примером может служить знакомый многим сервис Key Vault в облаке Microsoft Azure, которое хранит криптографические ключи в облачном HSM от Microsoft. Если у вас небольшая организация, которая не позволит себе покупку и управление собственным HSM, то это отличное решение, которое интегрируется с публичными центрами сертификации, включая GlobalSign.

Если вы рассматриваете вариант с подписью документов, то недавно мы запустили новую службу Digital Signing Service, где тоже используется облачное хранилище HSM для закрытых ключей. Стоит отметить, что новая служба поддерживает индивидуальные подписи всех сотрудников.

В прошлом в большинстве HSM-решений для подписи поддерживались только идентификаторы на уровне отделов или организаций (например, бухгалтерия, маркетинг, финансы), а не отдельных людей (например, Джон Доу). Следовательно, для работы на уровне отдельных сотрудников организациям приходилось разворачивать инфруструктуру токенов, которая, как мы отметили выше, может оказаться обременительной.

Где хранится сертификат эцп в ос windows xp

К базовым компонентам ОС Windows XP относятся службы сертификации, а XP Professional уже поддерживает многоуровневые иерархии центра сертификации (ЦС) как с изолированными и интерактивными ЦС, так и сети ЦС с доверительными перекрестными отношениями.

Открытые ключи ЭЦП Windows XP хранит в личном хранилище, а т.к. они представляют собой общедоступную информацию, то хранятся в виде открытого текста. Сертификаты пользователя находятся по адресу:

Documents and Settings ApplicationDataMicrosoft SystemCertificatesMyCertificates. Они автоматически вносятся в локальный реестр при каждом входе в систему. Если профиль перемещаемый, то открытые ключи хранятся обычно не на ПК, а следуют за пользователем при каждом входе в систему с внешнего носителя.

Такие поставщики услуг криптографии, как Enchanced CSP и Base CSP хранят закрытые ключи электронной подписи в папке %SystemRoot%Documents and Settings Application DataMicrosoftCryptoRSA. Если профиль перемещаемый, то они расположены в папке RSA на контроллере домена.

В этом случае на ПК они загружаются только на время работы профиля. Все файлы в данной папке шифруются случайным симметричным ключом автоматически. Основной ключ пользователя имеет длину в 64 символа и создается проверенным генератором случайных чисел.

Где хранится эцп в системах linux

В Linux системах список контейнеров с закрытыми ключами можно найти при помощи утилиты csptest. Находится она в директории: /opt/cprocsp/bin/ .

Список контейнеров компьютера: csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys. Список контейнеров пользователя: csptest -keyset -enum_cont -verifycontext -fqcn. В списках имена контейнеров даются в виде, понятном для бинарных утилит, входящих в состав дистрибутива CSP.

Закрытые ключи хранятся в хранилище HDImageStore на жестком диске, и доступны они и для CSP, и для JCP.

Просмотреть список ключей электронной подписи на ОС Windows может только пользователь с правами администратора. Обычно ключи хранятся в системных папках и имеют расширение .cer или .csr. Чтобы посмотреть список, удалить ненужные элементы или скопировать их на внешний носитель можно воспользоваться программой КриптоПро, браузером Internet Explorer, консолью управления или специальной утилитой certmgr.

Читайте также:  Как пользоваться электронной подписью с флешки? — Удостоверяющий центр СКБ Контур

В Windows XP открытые и закрытые ключи хранятся в разных папках, а закрытые дополнительно шифруются паролем, состоящим из комбинации случайных чисел. Системы Linux хранят все сертификаты в отдельной директории, а пусть к ним задается вручную при помощи команд.

Где хранятся сертификаты эцп на компьютере?

Все сертификаты, установленные на компьютер, размещены в специальном хранилище — отдельной папке в реестре Windows. Чтобы просматривать их, нужно войти в систему с правами администратора. Файл с сертификатом «весит» несколько килобайт. Зная, где хранятся сертификаты ЭЦП на компьютере, нетрудно понять, как к ним добраться:

  1. Нажмите комбинацию Win R. Всплывет окно «Выполнить» с пустой строкой. Введите туда certmgr.msc. Согласитесь, нажав «ОК».Как установить сертификат ЭЦП на компьютер?
  2. Откроются папки (логические хранилища) с сертификатами. Они распределены по типам. Нужный сертификат находится в одной из них (в зависимости от того, куда он устанавливался пользователем).Как установить сертификат ЭЦП на компьютер?
  3. Для ознакомления с информацией о сертификате кликните на него правой кнопкой мыши и укажите «Открыть».Как установить сертификат ЭЦП на компьютер?

Существует еще один способ, который поможет попасть в хранилище к сертификатам:

  1. Откройте «Пуск» и перейдите в «Панель управления».
  2. Перейдите в «Свойства обозревателя».
  3. Откройте «Содержание» — «Сертификаты».
  4. Всплывет окно со списком сертификатов.

Посмотреть данные по ним можно при нажатии на «Просмотр».

Для чего знать, где хранятся сертификаты?

Каждый файл в хранилище предусмотрен для защиты операционки цифрового устройства. Они препятствуют проникновению вредоносных программ в систему. Отдельная цифровая подпись отвечает за определенный скачанный софт.

Знание о том, где хранятся такие файлы, требуется в случае просмотра или установки корневых, личных сертификатов. В «десятке» инструменты находятся в контейнере двух типов:

  • Certificate store локального ПК – включают список файлов для проверки оригинальности сервера.
  • Certificate store для пользователя – хранят сертификаты утилит, которые запускает юзер.

Сертификаты представляют собой корневые и личные файлы. Первые являются составным элементом секретного ключа. Вторые предназначены для идентификации юзеров при обмене электронных данных. Поменять настройки в «десятке» можно через mmc оснастки, в том числе через хранилище.

Доверенный платформенный модуль (tpm)

Модули TPM сами по себе не новы, но всё чаще их используют для защиты закрытых ключей. Доверенный платформенный модуль можно использовать для хранения (или переноса) корневого ключа и защиты дополнительных ключей, созданных приложением. Ключи приложений нельзя использовать без TPM, что делает его очень полезным методом аутентификации для оконечных точек, таких как ноутбуки, серверы и производители устройств Интернета вещей.

IoT создал проблему, когда много анонимно взаимодействующих устройств облегчают хакерам перехват сообщений или имперсонификацию устройств. Модуль TPM внедряется ещё на этапе производства для защиты криптографического ключа и, следовательно, для надёжной идентификации устройства.

При производстве генерируется пара из закрытого и открытого ключей. Открытый ключ отправляется в центр сертификации для подписания и выдачи цифрового сертификата. Закрытый ключ никогда не покидает устройство. Он хранится на чипе и не может быть экспортирован/скопирован/уничтожен. Теперь сертификат — это паспорт устройства, а защищённый закрытый ключ формирует аппаратный корень доверия.

Мы тесно сотрудничаем с Infineon для разработки решений Интернета вещей, сочетающих идентификацию устройств на основе PKI с корнями доверия на основе TPM. Для получения дополнительной информации ознакомьтесь с подтверждением концепции: «Безопасная аутентификация и управление оборудованием с помощью облачных служб сертификатов GlobalSign и OPTIGA TPM от Infineon.»

Инструкция как экспортировать закрытый ключ

Выполнять экспорт закрытого ключа электронной подписи можно из криптопровайдера КриптоПро CSP.

  1. В системе Windows перейдите в «Пуск» → «Панель управления» → «КриптоПро CSP».

  2. Перейдите на вкладку «Сервис» и нажмите на кнопку «Скопировать контейнер».

  3. 
Сервис
Скопировать контейнер

  4. В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор», выберите нужный контейнер и нажмите «Ок» → «Далее».

  5. 
Обзор

  6. Если вы копируете закрытый ключ с защищённого носителя, введите pin-код.

  7. Введите название копии закрытого ключа и нажмите «Готово».

  8. 
контейнер
готово

  9. В окне «Выбор ключевого носителя» выберите носитель, на который будет произведено копирование контейнера с закрытым ключом.

  10. 
Выбор ключевого носителя

  11. Установите пароль на контейнер. Несмотря на то что этот шаг необязательный, установка пароля обеспечит дополнительную защиту.

  12. 
пароль на контейнер

Как установить сертификат эцп на компьютер с помощью крипто про: способ № 2

Если программа автоматически не находит открытый ключ в контейнере закрытого, придется воспользоваться другим способом, чтобы установить сертификат ЭЦП на компьютер. Потребуется файл, который должен быть записан на флешке, с расширением .cer в имени. Удостоверившись в его наличии, приступайте к установке:

  1. Кликните в КриптоПро CSP на «Установить личный сертификат».Как установить сертификат ЭЦП на компьютер?
  2. Кликните «Обзор» и найдите на флешке файл .cer.Как установить сертификат ЭЦП на компьютер?Как установить сертификат ЭЦП на компьютер?
  3. Если программа распознала файл, можете нажимать «Далее». Ознакомившись со свойствами сертификата, снова кликните «Далее».Как установить сертификат ЭЦП на компьютер?Как установить сертификат ЭЦП на компьютер?
  4. Найдите ключевой контейнер, нажав на «Обзор». Укажите внешний носитель — флешку. Нажмите «ОК».Как установить сертификат ЭЦП на компьютер?Как установить сертификат ЭЦП на компьютер?
  5. Перейдите «Далее», а затем найдите хранилище для сертификата, нажмите «Обзор», предварительно поставив отметку около надписи, подтверждающей установку сертификата в контейнер.Как установить сертификат ЭЦП на компьютер?Как установить сертификат ЭЦП на компьютер?
  6. Отметьте папку для хранения сертификата ЭЦП. Подтвердите действия и завершите установку, нажав «Готово» в следующем окне.Как установить сертификат ЭЦП на компьютер?Как установить сертификат ЭЦП на компьютер?

Этот способ установки сертификата ЭЦП сложнее предыдущего, но в некоторых случаях доступен только он.

Криптопро csp ошибка 0x80090010 отказано в доступе

Иногда после переноса контейнеров закрытых ключей через экспорт – импорт ветки реестра с ключами можно увидеть ошибку доступа к контейнерам. Вроде бы все на месте, ключи есть в реестре. Их можно увидеть в останстке CryptoPro, но не получается прочитать. При попытке это сделать возникает ошибка:

Ошибка обращения к контейнеру закрытого ключа. Ошибка 0x80090010: Отказано в доступе. Связано это с тем, что у текущего пользователя, под которым вы хотите получить доступ к контейнеру, нет полных прав на ветку реестра с хранящимися ключами. Исправить это просто. Переходите в редактор реестра и выставляйте полные права к ветке Keys для текущего пользователя.

Убедитесь так же, что новые права наследовались на дочерние ветки с самими ключами. Обычно это так, но перепроверить на всякий случай непомешает. После этого ошибка с доступом к контейнеру закрытого ключа исчезнет. 

Ошибка копирования контейнера

Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:

Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии. Либо вы просто не сможете его выбрать для копирования, если у вас последняя версия CryptoPro. Он будет неактивен:

Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему. Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Делаем это там же на вкладке Сервис в оснастке CryptoPro. Нажимаем Посмотреть сертификаты в контейнере.

Выбираем необходимый сертификат и нажимаем Посмотреть свойства сертификата.

Далее переходим на вкладку Состав в информации о сертификате и нажимаем Копировать в файл.

Если у вас после слов “Экспортировать закрытый ключ вместе с сертификатом” нет возможности выбрать ответ “Да, экспортировать закрытый ключ”, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.

Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, кроме удаления. Так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.

Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи.

Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него. В итоге у вас должны получиться 2 файла с расширениями:

Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам нужно будет выбрать все параметры по умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер.

Перенос сертификатов эцп из реестра windows на другой компьютер через криптопро

Необходимость переноса сертификатов на другой ПК может возникнуть в случае подозрений на то, что жесткий диск выходит из строя. Особенно остро стоит проблема, когда отсутствует токен с ЭЦП, и данные с него не скопированы на другой внешний носитель.

  1. Войдите во вкладку «Сервис» программы КриптоПро CSP.
  2. Нажмите «Обзор» и выберите ключевой носитель.
  1. Введите новое имя контейнера. Нажмите «Готово».
  1. Укажите новый носитель, куда происходит копирование сертификата.
  1. Установите пароль и подтвердите его.

Теперь можно устанавливать сертификат с внешнего носителя на другой компьютер одним из описанных выше способом.

Сертификаты – текущий пользователь

Данная область содержит вот такие папки:

  1. Личное > сюда попадают личные сертификаты (открытые или закрытые ключи), которые вы устанавливаете с различных рутокенов или etoken
  2. Доверительные корневые центры сертификации > это сертификаты центров сертификации, доверяя им вы автоматически доверяете всем выпущенным ими сертификатам, нужны для автоматической проверки большинства сертификатов в мире. Данный список используется при цепочках построения доверительных отношений между CA, обновляется он в месте с обновлениями Windows.
  3. Доверительные отношения в предприятии
  4. Промежуточные центры сертификации
  5. Объект пользователя Active Directory
  6. Доверительные издатели
  7. Сертификаты, к которым нет доверия
  8. Сторонние корневые центры сертификации
  9. Доверенные лица
  10. Поставщики сертификатов проверки подлинности клиентов
  11. Local NonRemovable Certificates
  12. Доверительные корневые сертификаты смарт-карты

В папке личное, по умолчанию сертификатов нет, если вы только их не установили. Установка может быть как с токена или путем запроса или импорта сертификата.

В мастере импортирования вы жмете далее.

далее у вас должен быть сертификат в формате:

На вкладке доверенные центры сертификации, вы увидите внушительный список корневых сертификатов крупнейших издателей, благодаря им ваш браузер доверяет большинству сертификатов на сайтах, так как если вы доверяете корневому, значит и всем кому она выдал.

Двойным щелчком вы можете посмотреть состав сертификата.

Из действий вы их можете только экспортировать, чтобы потом переустановить на другом компьютере.

Экспорт идет в самые распространенные форматы.

Еще интересным будет список сертификатов, которые уже отозвали или они просочились.

Список пунктов у сертификатов для компьютера, слегка отличается и имеет вот такие дополнительные пункты:

Думаю у вас теперь не встанет вопрос, где хранятся сертификаты в windows и вы легко сможете найти и корневые сертификаты и открытые ключи.

Технические требования для криптопро csp

Перед установкой КриптоПро убедитесь, что ваш компьютер отвечает минимальным техническим требованиям:

  • Процессор – Intel Core 2 Duo или другой схожий по производительности x86-совместимый процессор с количеством ядер 2 и более.
  • Объем оперативной памяти – не менее 1 Гб.
  • Свободное место на жестком диске – не менее 100 Мб.
  • Операционная система Windows – Windows Server 2003 (32-разрядная), Windows Vista (32/64-разрядная), Windows 7 (32/64-разрядная), Windows Server 2008 (32/64-разрядная), Windows Server 2008 R2 (64-разрядная), Windows 8 (32/64-разрядная), Windows Server 2021 (64-разрядная), Windows 8.1 (32/64-разрядная), Windows Server 2021 R2 (64-разрядная), Windows 10 (32/64-разрядная), Windows Server 2021 (64-разрядная).

    При использовании более ранних версий Windows, чем Windows 8, на компьютере должен быть установлен накопительный пакет обновления часовых поясов KB2570791.

    Для операционной системы должен быть установлен последний пакет обновлений.

  • Internet Explorer – версия 8.0 или выше.

Требования к ответственности со стороны пользователя

Законом не указано, как хранить ЭЦП. Однако четко прописаны требования к ответственности со стороны владельца. В законе «Об электронной цифровой подписи» указаны четкие требования.

Требования законодательной базы предписывают:

  1. Стороны электронного взаимодействия сохраняют конфиденциальность ЭЦП, обязуются
    защищать от использования без согласия владельца.
  2. Владельцы уведомляют центр сертификации ключа о нарушении конфиденциальности ЭЦП,
    утрате или получении информации третьими лицами.
  3. Запрещается использовать скомпрометированный ключ.
  4. Применять методы проверки и соответствия электронного ключа.

Федеральный источник предписывает правила хранения ЭЦП с доступом к проверке. Программное обеспечение должно быть прописано и давать ключи доступа центру сертификации ключа. Выдавший ключ орган имеет право проверить место хранения с последующей инспекцией корректности внесения его в документы.

Также дается доступ к электронной документации. Сроки хранения цифровых носителей подписи определяются номенклатурой дел и содержанием документа.

Описываются четкие правила хранения ЭЦП в организации. Со стороны владельца подписи должна быть обеспечена защита данных. Если ключ не находится в хранилище, он должен быть установлен на каждый используемый ПК. Оговаривается круг лиц, имеющих доступ к документации и документообороту.

Предполагается, что ответственность за использование ЭЦП в организациях принимают руководящие должности и главный бухгалтер. Эти лица назначаются специальным протоколом.

Информация о них вносится в архив центра контроля и выдачи ключей. Метод, как хранить электронную подпись в рамках одного предприятия, оставляется на выбор владельца.

Установка сертификата эцп на компьютер: способ № 1

Чтобы беспрепятственно работать с СКПЭП, приобретите в УЦ токен (в нашей стране наиболее востребован Рутокен — решение для аутентификации российской разработки от компании «Актив»), на котором хранится информация, необходимая для создания и проверки ЭП. Затем инсталлируйте КриптоПро CSP на ПК, если криптопровайдер не интегрирован в токен.

Чтобы использовать возможности электронной подписи без подключения флешки к персональному компьютеру, установите на него сертификат ЭЦП. В зависимости от модели криптоносителя, может понадобиться установка драйверов. Выбирайте нужное ПО в Центре загрузок на портале производителя и инсталлируйте его на компьютер.

Физически неклонируемые функции (puf)

Технология физически неклонируемых функций (PUF) — это сдвиг парадигмы в защите ключей. Вместо хранения ключей (с вероятностью физической атаки) они генерируются из уникальных физических свойств статической памяти SRAM конкретного чипа и существуют только при включении питания.

То есть вместо надёжного хранения закрытого ключа один и тот же ключ восстанавливается снова и снова по требованию (пока устройство не выйдет из строя). Этот ключ гарантированно уникален, потому что при генерации используется присущая неконтролируемая неупорядоченность в кремниевой структуре чипа.

Технология PUF в сочетании с доверенной средой исполнения (TEE) — привлекательное решение, если требуется недорогая, простая в интеграции и ультра-безопасная защита ключа. PUF вместе с PKI составляют исчерпывающее решение для идентификации.

Наш партнёр Intrinsic ID разработал такую систему подготовки ключа на основе SRAM PUF, которая производит уникальные, защищённые от подделки и копирования идентификаторы устройств на аппаратном уровне. Используя наши службы сертификации, мы переводим эти идентификаторы в цифровые удостоверения, добавляя возможности PKI.

Таким образом, каждому устройству присваивается уникальная, защищённая от клонирования пара ключей, которая не хранится на устройстве в выключенном состоянии, но устройство способно воссоздать этот ключ по запросу. Это защищает от атаки на выключенное устройство.

Дополнительно о нашем совместном решении для идентификацииустройств Интернета вещей см. недавний вебинар: «Стойкие идентификаторы устройств с сертификатами на основе SRAM PUF».

Через контроль управления

Представляет собой один из важнейших компонентов ОС Виндовс 10. С помощью встроенного средства осуществляется управление, запуск, настройка большинства системных функций. Также можно найти, где лежат сертифицированные файлы ЭЦП для их редактирования.

Пошаговая инструкция:

  • Нажать: «Win R».
  • Ввести в строку запроса: cmd. Нажать «Enter».
  • после этого перейти по команде mmc в терминал;
  • Щелкнуть по вкладке «Файл».
  • В открывшемся списке тапнуть «Добавить изолированную оснастку».
  • Нажать на раздел «Сертификаты».

Все действия пользователь может выполнять только с правами Администратора. Такой вариант подходит не каждому человеку, так как некоторые запросы вводятся через Командную строку. Сервисом обычно пользуются системные администраторы или люди, хорошо разбирающиеся в теме.

Существует целый список сторонних ресурсов, позволяющих управлять сертификатами, инсталлированными в ОС Виндовс 10. Но пользоваться такими утилитами не рекомендуется, так как нет гарантии, что в них присутствует команда отправки сертификата на внешний сервер.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector