криптопро appdata

Содержание
  1. Введение
  2. Введение
  3. Введение
  4. Установите правильный порядок чередования криптопровайдеров
  5. Перенесите ключи электронной подписи в целевую директорию
  6. Подключите ключи электронной подписи информационной системы Участника
  7. Установите правильный порядок чередования криптопровайдеров
  8. Перенесите ключи электронной подписи в целевую директорию
  9. Подключите ключи электронной подписи информационной системы Участника
  10. Экспорт ключей и сертификатов
  11. Импорт ключей и сертификатов
  12. Как быть если доступ к старой системе невозможен?
  13. Разрешения по умолчанию для папки MachineKeys
  14. Добавление контейнеров в новый реестр
  15. Смотрим UID необходимого пользователя
  16. Меняем данные в файле
  17. Экспортирует контейнеры в новый реестр
  18. Выгружаем старый реестр
  19. Проверка добавления ключевых контейнеров
  20. Перенос личных сертификатов пользователя
  21. Добавление сертификата через Крипто ПРО
  22. Перенос всех сертификатов
  23. Необходимые данные в старом реестре
  24. Подключаем старый реестр в новый
  25. Серийный номер КриптоПро в реестре
  26. Где хранятся контейнеры ключей в реестре
  27. Сохранение ключевых контейнеров
  28. Сводка
  29. Google Chrome
  30. Ключевые контейнеры в реестре
  31. Восстановление ключевых контейнеров в Microsoft Windows
  32. Часто задаваемые вопросы по теме статьи (FAQ)
  33. Необходимые данные в старом реестре
  34. Подключаем старый реестр в новый
  35. Серийный номер КриптоПро в реестре
  36. Где хранятся контейнеры ключей в реестре
  37. Сохранение ключевых контейнеров
  38. Онлайн курс по Kubernetes
  39. Помогла статья? Подписывайся на telegram канал автора
  40. Добавление контейнеров в новый реестр
  41. Смотрим UID необходимого пользователя
  42. Меняем данные в файле
  43. Экспортирует контейнеры в новый реестр
  44. Выгружаем старый реестр
  45. Проверка добавления ключевых контейнеров
  46. Перенос личных сертификатов пользователя
  47. Добавление сертификата через Крипто ПРО
  48. Перенос всех сертификатов
  49. Копирование закрытого ключа через оснастку КриптоПро
  50. Как найти на компьютере сертификат ЭЦП
  51. Где на жестком диске находится сертификат
  52. Как посмотреть сертификат
  53. Где оформить сертификат и ЭЦП
  54. Ошибка копирования контейнера
  55. Ключевые контейнеры в реестре как с ними работать?
  56. Разрешения для всех групп
  57. Общесистемные корневые CA сертификаты
  58. Ключевые контейнеры в реестре как с ними работать?
  59. КриптоПро CSP ошибка 0x80090010 Отказано в доступе
  60. Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер
  61. Вывод
  62. 2 комментариев для статьи “ Ключевые контейнеры в реестре ”

Введение

Конечно лучше всегда хранить резервные копии всех получаемых ключей, но это делают только те кто уже имел проблемы с потерей а в последствии долгим и мучительным процессом восстановления необходимых ключей. Самая большая проблема в том что не каждый контейнер в реестре содержит в себе открытый ключ. Государственным учреждениям выдают, как правило на флешке, ключевой контейнер и личный сертификат которые работают в системе только в связке. Вариант подойдёт и для случая когда нет желание переносить каждый ключ а хочется перенести все сразу на новый компьютер.

Криптопровайдер КриптоПро на сегодняшний день является, пожалуй, самым популярным на рынке, по крайней мере в России. Я хочу рассказать, как быстро и удобно перенести большое количество контейнеров закрытых ключей CryptoPro и сертификатов к ним. Существует штатный механизм в самой программе, работает в ручном режиме и не подходит, когда надо перенести большое количество.

Онлайн-курс по Kubernetes – для разработчиков, администраторов, технических лидеров, которые хотят изучить современную платформу для микросервисов Kubernetes. Самый полный русскоязычный курс по очень востребованным и хорошо оплачиваемым навыкам. Курс не для новичков – нужно пройти вступительный тест.

Заказать настройку ЭЦП от 500 р.

Введение

Конечно лучше всегда хранить резервные копии всех получаемых ключей, но это делают только те кто уже имел проблемы с потерей а в последствии долгим и мучительным процессом восстановления необходимых ключей. Самая большая проблема в том что не каждый контейнер в реестре содержит в себе открытый ключ. Государственным учреждениям выдают, как правило на флешке, ключевой контейнер и личный сертификат которые работают в системе только в связке. Некоторые бережно хранят эту связку ну а большинство устанавливают контейнер в реестр системы и используют дальше флэшку в личных целях не задумываясь удаляя все лишнее в случае необходимости. Сохранность данных дело каждого мое дело решить задачу из сложившихся реалий о чем я и поведаю. Вариант подойдёт и для случая когда нет желание переносить каждый ключ а хочется перенести все сразу на новый компьютер.

криптопро appdata

При выборе в качестве носителя для создания контейнера «Директория» (Использовать для хранения ключей директорию на жестком диске) файлы контейнера будут записаны по следующему пути:

Обратите внимание, каталог «AppData» является скрытым и чтобы в него попасть нужно включить отображение скрытых файлов или набрать «appdata» прямо в адресной строке проводника.

Для быстрого доступа можно нажать WIN + R и ввести следующий адрес:

				
					%appdata%\..\Local\Crypto Pro
				
			

В этой директории вы увидите стандартные файлы контейнеров в папках формата хххххххх.000Внутри будут файлы с расширением *.key. Это и есть контейнер криптопро с закрытым и открытым ключом, а также сертификатом, если он был установлен в контейнер.

криптопро appdata

криптопро appdata

Где находится директория с контейнерами КриптоПро CSP на жёстком диске? обновлено: 12 сентября, 2022 автором: ЭЦП SHOP

Введение

Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это – банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим. Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме. Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:

  1. Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
  2. Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.

Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.

Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.

, для примера пользовался другой инструкцией скаченной с просторов интернета, там нужно было эти файлы создавать.

crx – это по сути запакованное архиватором расширение.
Возможно они нужны были когда, можно было в chrome просто перенести на страницу crx файл и он бы добавился в расширения.
Но сейчас может они и не нужны.

По факту, если нужно перенести несколько расширений, можно просто скопировать
весь каталог с расширениями %UserProfile%\AppData\Local\Chromium\User Data\Default\Extensions\
убрать ненужные расширения
и перенести на другой компьютер например в каталог
c:\Users\Elena\AppData\Local\Chromium\Extensions\

Потом
В браузере Chromium GOST нажать вверху справа три вертикальные точки (вместо трёх точек может быть (!) ),
затем [ Дополнительные инструменты ] -> [Расширения]

Выбрать каталог
c:\Users\Elena\AppData\Local\Chromium\Extensions\iifchhfnnmpdbibifmljnfjhpififfog\1.2.7_0\
Нажать [Выбор папки]

Источник
Распакованное расширение
Загружено из: ~\AppData\Local\Chromium\Extensions\iifchhfnnmpdbibifmljnfjhpififfog\1.2.7_0

Ещё делал автоматический запаковщик расширений для

Chromium GOST

Временно лежит в:
yadi.sk/d/HIRKQJIqROIHAQ
Там нужно инструкцию дописывать, и потестить

Выполнить файл Создать SFX архив Extensions_CG.bat
Архивирует каталог
%UserProfile%\AppData\Local\Chromium\User Data\Default\Extensions\
создаёт SFX-архив
Например – Extensions_CG_Windows7x64.exe

Затем файл Extensions_CG_Windows7x64.exe можно выполнить на другом компьютере,
файлы расширений распакуются в каталог
%UserProfile%\AppData\Local\Chromium\Extensions

Затем в

Chromium GOST

через “Режим разработчика”
[Загрузить распакованное расширение]

Содержание

  1. Где в Windows хранятся корневые сертификаты Центров Сертификации (CA)
  2. Общесистемные корневые CA сертификаты
  3. Google Chrome
  4. Opera
  5. Firefox
  6. Разрешения по умолчанию для папок MachineKeys
  7. Сводка
  8. Разрешения по умолчанию для папки MachineKeys
  9. Разрешения для всех групп
  10. Как найти на компьютере сертификат ЭЦП
  11. Где на жестком диске находится сертификат
  12. Как посмотреть сертификат
  13. Где оформить сертификат и ЭЦП
  14. Восстановление ключевых контейнеров в Microsoft Windows
  15. Введение
  16. Ключевые контейнеры в реестре как с ними работать?
  17. Необходимые данные в старом реестре
  18. Подключаем старый реестр в новый
  19. Серийный номер КриптоПро в реестре
  20. Где хранятся контейнеры ключей в реестре
  21. Сохранение ключевых контейнеров
  22. Добавление контейнеров в новый реестр
  23. Смотрим UID необходимого пользователя
  24. Меняем данные в файле
  25. Экспортирует контейнеры в новый реестр
  26. Выгружаем старый реестр
  27. Проверка добавления ключевых контейнеров
  28. Перенос личных сертификатов пользователя
  29. Добавление сертификата через Крипто ПРО
  30. Перенос всех сертификатов
  31. Ключевые контейнеры в реестре
  32. Введение
  33. Ключевые контейнеры в реестре как с ними работать?
  34. Необходимые данные в старом реестре
  35. Подключаем старый реестр в новый
  36. Серийный номер КриптоПро в реестре
  37. Где хранятся контейнеры ключей в реестре
  38. Сохранение ключевых контейнеров
  39. Добавление контейнеров в новый реестр
  40. Смотрим UID необходимого пользователя
  41. Меняем данные в файле
  42. Экспортирует контейнеры в новый реестр
  43. Выгружаем старый реестр
  44. Проверка добавления ключевых контейнеров
  45. Перенос личных сертификатов пользователя
  46. Добавление сертификата через Крипто ПРО
  47. Перенос всех сертификатов
  48. Вывод
  49. 2 комментариев для статьи “ Ключевые контейнеры в реестре ”


Offline

Felgard

 

Оставлено
:

16 сентября 2021 г. 11:19:21(UTC)

Добрый день!
Помогите, пожалуйста, человеку, далёкому от всех этих токенов установить ключ на USB флеш носитель.
Мне прислали архив с документами ЭЦП в виде папки ******.000 В папке содержатся файлы с раширением .key
Приобрёл на Озоне ключ Рутокен Lite.
Выполнял установку всех программ по инструкции с сайта ФНС.
Дошёл до пункта записи ЭЦП на USB носитель, но компьютер видит флешку как USB Smart Card reader или считыватель карт.
Подскажите, пожалуйста, как скопировать на флешку папку с ключами? С чем может быть проблема?


Offline

Андрей *

 

Оставлено
:

16 сентября 2021 г. 11:47:16(UTC)

Здравствуйте.

Попробуйте такой вариант:
скопировать папку в локальное хранилище контейнеров “Директория”:

C:\Users\User\AppData\Local\Crypto Pro\

вместо User – ваш логин в ОС.

пример:
криптопро appdata Snimok ehkrana ot 2021-09-16 12-42-55.png (18kb) загружен 4 раз(а).

Далее через панель управления КриптоПРО CSP
убедитесь, что контейнер виден и тестируется без ошибок: Сервис\Протестировать\Обзор\

После этого Сервис\Скопировать\Обзор\ – указываете его,
далее – указываете рутокен.

thanks 1 пользователь поблагодарил Андрей * за этот пост.


Offline

Felgard

 

Оставлено
:

16 сентября 2021 г. 13:07:05(UTC)

Автор: Андрей * Перейти к цитате

Здравствуйте.

Попробуйте такой вариант:
скопировать папку в локальное хранилище контейнеров “Директория”:

C:\Users\User\AppData\Local\Crypto Pro\

вместо User – ваш логин в ОС.

пример:
криптопро appdata Snimok ehkrana ot 2021-09-16 12-42-55.png (18kb) загружен 4 раз(а).

Далее через панель управления КриптоПРО CSP
убедитесь, что контейнер виден и тестируется без ошибок: Сервис\Протестировать\Обзор\

После этого Сервис\Скопировать\Обзор\ – указываете его,
далее – указываете рутокен.

Вот спасибо, добрый человек, всё получилось.Applause


Offline

Андрей *

 

Оставлено
:

16 сентября 2021 г. 13:14:20(UTC)

потом из контейнера, уже на рутокене – установить личный сертификат, если необходимо (не видит какое-то ПО или сайт)

thanks 1 пользователь поблагодарил Андрей * за этот пост.


Offline

Felgard

 

Оставлено
:

16 сентября 2021 г. 13:51:48(UTC)

Автор: Андрей * Перейти к цитате

потом из контейнера, уже на рутокене – установить личный сертификат, если необходимо (не видит какое-то ПО или сайт)

А как установить личный сертификат? Через панель управления Рутокен? Вкладка сертификаты?


Offline

Андрей *

 

Оставлено
:

16 сентября 2021 г. 14:18:03(UTC)

Автор: Felgard Перейти к цитате

Автор: Андрей * Перейти к цитате

потом из контейнера, уже на рутокене – установить личный сертификат, если необходимо (не видит какое-то ПО или сайт)

А как установить личный сертификат? Через панель управления Рутокен? Вкладка сертификаты?

или
через Сервис\Просмотреть сертификаты в контейнере, если есть.
Если сертификат не был записан в контейнер – то через Установить личный сертификат + указать опцию, найти контейнер автоматически (и чтобы не было привязки к локальному контейнеру в папке – оттуда переместить в другое место на время привязки).

thanks 1 пользователь поблагодарил Андрей * за этот пост.

Данная статья рассматривает процесс установки КриптоПро JCP на компьютер под управлением ОС Windows.

Авторизуйтесь под учётной записью с правами администратора и распакуйте ранее загруженный архив jcp-2.0.40502.zip в любую директорию. Найдите в этой директории и запустите файл setup.exe

В открывшемся окне мастера установки КриптоПро JCP выберите язык и нажмите «Далее»:

image001.png

В окне выбора действия укажите «Установить» и нажмите кнопку «Далее»:

image002.png

Прочитайте лицензионное соглашение и примите его условия, нажмите кнопку «Далее»:

image003.png

В окне выбора установленной JRE требуется указать директорию размещения JRE, которую вы планируете использовать при работе КриптоПро JCP. Если ранее вы выполнили установку JRE по умолчанию, как было рекомендовано в посвящённой установке Java статье, то просто оставьте это значение без изменений, как изображено ниже, в противном случае выберете директорию, куда ранее была установлена JRE и нажмите «Далее»:

image004.png

В окне выбора установки компонентов КриптоПро JCP включите флажок «Включить усиленный контроль использования…» в дополнение к уже включенным по умолчанию флажкам и нажмите кнопку «Далее»:

image005.png

Если у вас есть приобретенная лицензия КриптоПро JCP, введите ее серийный номер в окне ввода серийного номера продукта, или оставьте это поле пустым, если планируете приобретение лицензии позже. Нажмите кнопку «Далее»:

image006.png

Еще раз проверьте корректности устанавливаемой конфигурации и нажмите кнопку «Установка»:

image007.png

По окончании установки инсталлятор сообщит вам о завершении процесса, нажмите кнопку «Далее»:

image008.png

В завершающем окне инсталлятора нажмите кнопку «Закрыть»:

image009.png

После закрытия окна инсталлятора откроется окно инициализации усиленного режима контроля использования ключевой информации. Выполняйте произвольные движения мышью и нажатия клавиш в соответствии с подсказками:

image010.png

По завершении процесса инициализации вам откроется окно контрольной панели КриптоПро JCP:

image011.png

Контрольная панель служит для настройки КриптоПро JCP, оставьте ее открытой, она понадобится нам через один шаг.

Установите правильный порядок чередования криптопровайдеров

Откройте файл java.security, расположенный в директории C:\Program Files\Java\jre1.8.0_201\lib\security:

image012.png

Сразу после установки КриптоПро JCP вы увидите такой порядок чередования криптопровайдеров в данном файле:

security.provider.11=ru.CryptoPro.reprov.RevCheck

security.provider.12=ru.CryptoPro.JCP.JCP

security.provider.13=ru.CryptoPro.Crypto.CryptoProvider

Измените порядок чередования в любом текстовом редакторе, запущенном под учётной записью с административными правами, на изображённый ниже:

image013.png

Перенесите ключи электронной подписи в целевую директорию

Архив ключей обычно имеет название, состоящее из произвольных букв/цифр и включает в себя директорию с комплектом файлов с расширением .key:

image014.png

Распакуйте архив с ключами в стандартную директорию ключей КриптоПро JCP C:\Users\%UserName%\AppData\Local\Crypto Pro. Обратите особое внимание, что в архиве содержится директория с ключами. В стандартной директории ключей КриптоПро JCP должна появиться директория, в которой будут размещены ключи. Не следует изменять имя этой директории, оставьте то имя, которое было в архиве.

Пример размещения файлов ключей:

image015.png

Подключите ключи электронной подписи информационной системы Участника

Вернитесь в панель управления КриптоПро JCP и перейдите на вкладку «Хранилища ключей и сертификатов». Откройте хранилище контейнеров «HDImageStore». Если вы делали всё согласно процедуре, описанной в данной статье, то увидите свой контейнер с ключами. После двойного клика на контейнере и ввода пароля подписи вам откроется ключ обмена и сертификат:

image016.png

Возможно, что ваши ключи не защищены паролем, в таком случае в окне ввода пароля выберите пункт «Не задавать пароль»:

image017.png

Так же необходимо проверить, что открытый ключ добавлен в контейнер. Если нет, то нажмите «Добавить» и выберете файл открытого ключа с расширением .cer.

После подключения ключей настоятельно рекомендуется изменить пароль контейнера. Для этого выделите контейнер и нажмите кнопку «Изменить пароль». Откроется окно «Ввод нового пароля». Введите новый пароль, состоящий минимум из восьми знаков, и нажмите кнопку «ОК»:

image018.png

Теперь криптопровайдер установлен и готов к работе, можно переходить к установке и настройке СУБД.

Данная статья рассматривает процесс установки КриптоПро JCP на компьютер под управлением ОС Windows.

Авторизуйтесь под учётной записью с правами администратора и распакуйте ранее загруженный архив jcp-2.0.40502.zip в любую директорию. Найдите в этой директории и запустите файл setup.exe

В открывшемся окне мастера установки КриптоПро JCP выберите язык и нажмите «Далее»:

image001.png

В окне выбора действия укажите «Установить» и нажмите кнопку «Далее»:

image002.png

Прочитайте лицензионное соглашение и примите его условия, нажмите кнопку «Далее»:

image003.png

В окне выбора установленной JRE требуется указать директорию размещения JRE, которую вы планируете использовать при работе КриптоПро JCP. Если ранее вы выполнили установку JRE по умолчанию, как было рекомендовано в посвящённой установке Java статье, то просто оставьте это значение без изменений, как изображено ниже, в противном случае выберете директорию, куда ранее была установлена JRE и нажмите «Далее»:

image004.png

В окне выбора установки компонентов КриптоПро JCP включите флажок «Включить усиленный контроль использования…» в дополнение к уже включенным по умолчанию флажкам и нажмите кнопку «Далее»:

image005.png

Если у вас есть приобретенная лицензия КриптоПро JCP, введите ее серийный номер в окне ввода серийного номера продукта, или оставьте это поле пустым, если планируете приобретение лицензии позже. Нажмите кнопку «Далее»:

image006.png

Еще раз проверьте корректности устанавливаемой конфигурации и нажмите кнопку «Установка»:

image007.png

По окончании установки инсталлятор сообщит вам о завершении процесса, нажмите кнопку «Далее»:

image008.png

В завершающем окне инсталлятора нажмите кнопку «Закрыть»:

image009.png

После закрытия окна инсталлятора откроется окно инициализации усиленного режима контроля использования ключевой информации. Выполняйте произвольные движения мышью и нажатия клавиш в соответствии с подсказками:

image010.png

По завершении процесса инициализации вам откроется окно контрольной панели КриптоПро JCP:

image011.png

Контрольная панель служит для настройки КриптоПро JCP, оставьте ее открытой, она понадобится нам через один шаг.

Установите правильный порядок чередования криптопровайдеров

Откройте файл java.security, расположенный в директории C:\Program Files\Java\jre1.8.0_201\lib\security:

image012.png

Сразу после установки КриптоПро JCP вы увидите такой порядок чередования криптопровайдеров в данном файле:

security.provider.11=ru.CryptoPro.reprov.RevCheck

security.provider.12=ru.CryptoPro.JCP.JCP

security.provider.13=ru.CryptoPro.Crypto.CryptoProvider

Измените порядок чередования в любом текстовом редакторе, запущенном под учётной записью с административными правами, на изображённый ниже:

image013.png

Перенесите ключи электронной подписи в целевую директорию

Архив ключей обычно имеет название, состоящее из произвольных букв/цифр и включает в себя директорию с комплектом файлов с расширением .key:

image014.png

Распакуйте архив с ключами в стандартную директорию ключей КриптоПро JCP C:\Users\%UserName%\AppData\Local\Crypto Pro. Обратите особое внимание, что в архиве содержится директория с ключами. В стандартной директории ключей КриптоПро JCP должна появиться директория, в которой будут размещены ключи. Не следует изменять имя этой директории, оставьте то имя, которое было в архиве.

Пример размещения файлов ключей:

image015.png

Подключите ключи электронной подписи информационной системы Участника

Вернитесь в панель управления КриптоПро JCP и перейдите на вкладку «Хранилища ключей и сертификатов». Откройте хранилище контейнеров «HDImageStore». Если вы делали всё согласно процедуре, описанной в данной статье, то увидите свой контейнер с ключами. После двойного клика на контейнере и ввода пароля подписи вам откроется ключ обмена и сертификат:

image016.png

Возможно, что ваши ключи не защищены паролем, в таком случае в окне ввода пароля выберите пункт «Не задавать пароль»:

image017.png

Так же необходимо проверить, что открытый ключ добавлен в контейнер. Если нет, то нажмите «Добавить» и выберете файл открытого ключа с расширением .cer.

После подключения ключей настоятельно рекомендуется изменить пароль контейнера. Для этого выделите контейнер и нажмите кнопку «Изменить пароль». Откроется окно «Ввод нового пароля». Введите новый пароль, состоящий минимум из восьми знаков, и нажмите кнопку «ОК»:

image018.png

Теперь криптопровайдер установлен и готов к работе, можно переходить к установке и настройке СУБД.


Offline

HappyDragone

 

Оставлено
:

26 января 2022 г. 9:36:20(UTC)

1. Настраиваю получение метки времени в службе штампов времени АУЦ Банка России. Win 10 домашняя. На Win 10 Stunnel устанавливается как служба. Создан конф файл. Подписываю в КриптоАРМ 5, где указан адрес службы TSP. Не подписывает, вылетает ошибка

Описание ошибки в КриптоАРМ:
——————————————————————————-
Статус завершения операции: Неудача.
Длительность выполнения операции: 0:00:08.67
Входной файл: D:\10\UpdInfo.txt
Выходной файл: C:\Users\Serge\AppData\Local\Temp\~UpdInfo.txt.sig
Описание ошибки:
Ошибка сохранения сообщения (0x80004005)

Ошибка сохранения сообщения (0x80004005)

Произошла ошибка при создании подписи

Невозможно получить штамп времени.

Ошибка отправки запроса на штамп времени.

При попытке отправки запроса возникла ошибка HTTP (0xc2100100) (0x80004005)


Рекомендации УЦ после моего обращения по ошибке таковы:

Для того чтобы исправить данную ошибку, необходимо установить личный сертификат с привязкой к контейнеру, промежуточный сертификат Банка России и головной корневой сертификат Минком связи в хранилище «Сертификаты (локальный компьютер)» согласно инструкции по доступу к сервисам службы меток доверенного времени размещенной по ссылке http://cbr.ru/certificat…toveryayuschego_centra/.

Вероятнее всего у Вас сейчас сертификаты установлены в хранилище – «сертификаты – текущий пользователь».

Корневые-промежуточные установил в Локальный компьютер, а вот личный сертификат туда никак не ставится.

И ошибка не уходит.

Использую Крипто Про CSP 4.0.9944

Пожалуйста, подскажите, как настроить это? Может быть, кто-то сталкивался с настройкой получения метки времени на подпись через stunnel для взаимодействия со службой меток времени на подпись АУЦ Банка России.

2. Решил попробовать настроить на другом ПК с Win7 домашняя базовая. При попытке выполнить команду stunnel.exe – install в командной строке от имени Администратора вываливается:

Startservicectrldispatcher being called. this may take several seconds. please wait.

Как служба stunnel не появляется в оснастке “Службы”. Т.е. и здесь не судьба.

А настраивать придется все-таки в Win7, в офисе везде лицензионные Win7 установлены.

Пожалуйста, помогите. Что я делаю не так ?!

Вдруг кто-то уже сталкивался с настройкой и удачным результатом получения метки времени на подпись в АУЦ Банка России.

Если уж на Win 7 не получится, то хоть на Win 10, ибо есть одна машинка в офисе на Win 10 (не домашняя)


Offline

Санчир Момолдаев

 

Оставлено
:

28 января 2022 г. 9:09:42(UTC)

Добрый день!

согласно документации:
0xC2100100 При попытке отправки запроса возникла ошибка HTTP

какой адрес тсп указываете?

есть ли прокси?
если да необходимо настраивать согласно руководству tsp и ocsp


Offline

two_oceans

 

Оставлено
:

28 января 2022 г. 11:10:51(UTC)

Вообще, если работаете на Win10, желательно бы обновиться хотя бы на последнюю сертифицированную 4.0.9963 (если лицензии на 5.0 нет), либо на 5.0 R2 или новее. Суть в тои, что Десятка постоянно меняется и если у Вас не замороженная версия Десятки давности несколько лет, то не все будет гладко работать с 9944.

Цитата:

Корневые-промежуточные установил в Локальный компьютер, а вот личный сертификат туда никак не ставится.

Для этого нужно панель управления КриптоПро запустить с правами администратора (в 4 версии на первой вкладке общие соответствующая ссылка). Сработает если у пользователя есть права администратора (ну если с корневыми вышло, то полагаю есть).

Как обычно на вкладке “Сервис” нажимаете одну из кнопок “Просмотреть сертификаты в контейнере” либо “Установить личный сертификат”. Далее в мастере находите переключатель “введенное имя задает ключевой контейнер” выбираете “компьютера”. Если был просмотр сертификатов, то нажимаете “Установить” на последнем шаге.

Это должно установить сертификат в “Личные” локального компьютера. Тонкий момент разве что в том, что если хотите использовать реестр, то контейнер в реестре пользователя не видно в режиме компьютера, поэтому возможно потребуется сначала скопировать на флэшку (она видна в обоих режимах), потом обратно в реестр уже компьютера.

Цитата:

2. Решил попробовать настроить на другом ПК с Win7 домашняя базовая. При попытке выполнить команду stunnel.exe – install в командной строке от имени Администратора вываливается:

Пробел там не лишний между – и install? Это конечно самый простой способ создать службу, но не единственный. Также можно использовать другие способы: программку instserv (идет в комплекте у многих драйверов и программ), системную команду sc create (навскидку, у меня на Семерке создается практически одинаковый куст реестра с тем что создает сам stunnel)

Код:

sc create Stunnel binpath= "D:\Programs\Stunnel\stunnel.exe" DisplayName= "Stunnel Service"

либо добавление файла реестра экспортированного с одного компьютера импортом на другой. В случае файла реестра потребуется перезагрузка.

Ах да, не забывайте про разрядность системы.

Отредактировано пользователем 28 января 2022 г. 11:15:24(UTC)
 | Причина: Не указана

КриптоПро один из наиболее широко используемых криптопровайдеров на территории Российской Федерации, он широко используется в системах электронного документооборота, сдачи отчетности и взаимодействия с государственными органами, поэтому встретить его можно практически в любой организации. По этой причине у системных администраторов часто встает вопрос его переноса на другой ПК. А так как криптография является для многих сложной и непонятной областью, то эта простая задача может вызвать некоторые затруднения.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Если вы ранее не сталкивались с криптографией вообще, то рекомендуем прочитать нашу статью: Введение в криптографию. Общие вопросы, проблемы и решения. Здесь мы не будем углубляться в теорию, но приведем некоторый необходимый ликбез.

В повседневной деятельности широко распространено понятие “сертификат”, им оперируют все, от сотрудников удостоверяющих центров, то бухгалтеров, работающих с ЭЦП. Часто можно услышать что-то подобное: “нам купили в бухгалтерию новый компьютер, нужно перенести сертификаты”. Но если подходить с точки зрения криптографии, то слово “сертификат” в данном случае употребляется неправильно. Вся современная криптография строится вокруг инфраструктуры открытых ключей (PKI), которая подразумевает наличие у каждого участника ключевой пары: открытого и закрытого ключа.

Закрытый ключ является секретным, с его помощью мы можем подписывать документы, шифровать информацию и т.д. и т.п. Закрытый ключ Усиленной квалифицированной электронной подписи (УКЭП) равнозначен нотариально заверенной подписи и его попадание в чужие руки может привести к самым тяжелым последствиям.

Открытый ключ, дополненный некоторыми дополнительными данными, выпускается в форме сертификата и является публично доступным, с его помощью можно проверить действительность цифровой подписи, выполненной закрытым ключом или убедиться в подлинности участника обмена электронными документами.

Поэтому, когда мы говорим о переносе “сертификатов”, то подразумеваем необходимость перенести ключевую пару: закрытый ключ и сертификат, перенос одних только сертификатов не принесет успеха, криптография на новом узле работать не будет.

Выяснив этот момент, перейдем к хранилищам закрытых ключей. КриптоПро предполагает в таком качестве токены, флеш-накопители и системный реестр. Токены являются наиболее защищенными устройствами, извлечь закрытый ключ из них невозможно, и вы можете не опасаться несанкционированного копирования (для этого закрытый ключ должен быть помечен как неэкспортируемый). Флеш-накопители представляют некий компромисс между безопасностью и мобильностью, а реестр удобен в тех случаях, когда на одном ПК нужно одновременно работать с большим количеством ключей. И именно с ним связаны определенные сложности при переносе на другой узел.

Экспорт ключей и сертификатов

Для того, чтобы правильно экспортировать закрытые ключи, нам нужно выяснить идентификатор безопасности (SID) текущего пользователя (который работает с ЭЦП), это можно сделать командной:

Затем откроем редактор реестра и перейдем в ветку для 32-битных систем:

для 64-битных систем:

Найдем и раскроем раздел с SID текущего пользователя и экспортируем оттуда ветку Keys.

Обратите внимание, что данная ветка содержит закрытые ключи, поэтому следует принять все меры безопасности и не передавать файл экспорта по открытым каналам связи и вообще исключить к нему несанкционированный доступ посторонних лиц.

После чего скопируем все сертификаты, расположенные по пути

Это открытые ключи, никакой секретности они не представляют, поэтому просто копируем их любым доступным способом.

Импорт ключей и сертификатов

Прежде всего установим на новый узел КриптоПро, обратите внимание, что переносить ключи и сертификаты следует между одинаковыми версиями. В противном случае либо обновите версию КриптоПро на старой системе, либо установите старую версию на новой и обновите ее уже после переноса ключевых пар.

Затем снова узнаем SID пользователя, который будет работать с ЭЦП, если это текущий пользователь, то снова выполните:

В противном случае:

где Name – имя пользователя.

После чего откройте на редактирование файл реестра с экспортированными закрытыми ключами и замените в нем все вхождения старого SID на SID нового пользователя.

Сохраните файл и импортируйте его в реестр. Закрытые ключи перенесены, файл переноса в целях безопасности следует удалить.

Следующим шагом скопируйте сохраненные сертификаты в

После чего можно устанавливать и настраивать приложения работающие с криптографией, все будет работать.

Как быть если доступ к старой системе невозможен?

Теория – это хорошо, но практика может подкинуть самые неожиданные ситуации. Как быть, если доступ к старой системе невозможен? Скажем вышла из строя материнская плата или серьезно повреждена операционная система?

Все что нам нужно в таком случае – это доступ к файловой системе старой системы. Вы можете как напрямую подключить жесткий диск к новой системе, так и загрузиться при помощи консоли восстановления или любого более продвинутого инструмента, скажем MSDaRT.

С копированием сертификатов проблемы возникнуть не должно, их хранилище простая папка на диске, а вот с хранилищем закрытых ключей в реестре немного сложнее. Но не будем забывать, что системный реестр тоже хранится в файлах на диске. Вам следует любым доступным образом скопировать файл SOFTWARE из C:\Windows\System32\config

Затем на целевой системе откройте редактор реестра, перейдите в раздел HKEY_LOCAL_MACHINE и через Файл – Загрузить куст подключите скопированный из старой системы раздел реестра. Дайте ему осмысленное имя, скажем OLD_SOFTWARE.

После чего пройдите в раздел с закрытыми ключами (с учетом новой точки монтирования) и выполните экспорт ветки Keys.

Дальнейшие действия ничем не отличаются от описанных нами в разделе Импорт ключей и сертификатов.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Разрешения по умолчанию для папки MachineKeys

Папка MachineKeys расположена под All Users Profile\Application Data\Microsoft\Crypto\RSA папкой. Если администратор не установил папку до минимального уровня, пользователь может получить следующие ошибки при создании сертификата сервера с помощью сервера информации в Интернете (IIS).:

Следующие параметры — это разрешения по умолчанию для папки MachineKeys:

Добавление контейнеров в новый реестр

Перед тем как добавить в новый реестр контейнеры нам надо сменить uid пользователя и отредактировать путь убрав название загруженного куста.

Смотрим UID необходимого пользователя

В командной строке cmd вносим команду WHOAMI /USER и видим нужный sid пользователя:

key reestr windows sevo445

Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью». Вставляется текст по нажатию правой кнопки мыши!

key reestr windows sevo446

Меняем данные в файле

Открываем файл в блокноте и делаем замену:

key reestr windows sevo447

Не забудьте убрать название куда добавляли куст! Вам надо загрузить в рабочую часть реестра!

Экспортирует контейнеры в новый реестр

key reestr windows sevo448

key reestr windows sevo449

Выгружаем старый реестр

Не ищите возможности удаления старого куста который мы добавляли! Ненужный больше куст можно только выгрузить!

Проверка добавления ключевых контейнеров

Открываем программу Crypto Pro и смотрим что у нас есть в реестре:

key reestr windows sevo4410

Всё прошло успешно и все ключевые контейнеры присутствуют.

Перенос личных сертификатов пользователя

Добавление сертификата через Крипто ПРО

Берём открытый сертификат что нам нужен и устанавливаем его через Crypto Pro указав автоматический поиск контейнера. В случае если ставили контейнеры не вводя пароль просто жмите Ентер ( если вводили то ищите куда записали).

Все действия с ключами выполняйте через программу Crypto Pro!

Перенос всех сертификатов

Все сертификаты в системе Windows находятся по пути C:\Users\НУЖНЫЙ ПОЛЬЗОВАТЕЛЬ\AppData\Roaming\Microsoft\SystemCertificates\My. Достаточно скопировать эту папку в аналогичное место на новом компьютере и ключи будут перенесены.

Необходимые данные в старом реестре

Файлы реестра находятся по пути Windows/system32/config файл который нас интересует называется SOFTWARE. В нашем случае он был исправен в противном случае восстановить нужные данные не получиться.

Подключаем старый реестр в новый

Для подключения необходимо выполнить следующие действия:

После успешного подключение вы увидите куст с введенным ранее названием.

Серийный номер КриптоПро в реестре

Определить какая стояла версия и серийный номер можно посмотрев записи на скрине ниже (внизу указан путь где смотреть):

key reestr windows sevo441

Где хранятся контейнеры ключей в реестре

Все контейнеры вы можете найти по пути (для 64): HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings
\USERS\(идентификатор пользователя)\Keys\(Название контейнера)

key reestr windows sevo444

Сохранение ключевых контейнеров

Теперь нам необходимо экспортировать раздел с ключами для выполнения необходимых изменений и загрузки в рабочий реестр. После экспортирования я получил файл с названием reestr.reg.

Сводка

В папке MachineKeys хранится пара ключей сертификата как для компьютера, так и для пользователей. Эту папку используют как службы сертификата, так и Internet Explorer. Разрешения по умолчанию в папке могут вводить в заблуждение при попытке определить минимальные разрешения, необходимые для правильной установки и доступа к сертификатам.

Google Chrome

Использует общесистемные доверенные корневые центры сертификации.

chrome settings privacy

Чтобы перейти к списку сертификатов из веб браузера:

chrome settings privacy 2

Настройки → Приватность и Защита → Безопасность → Управление сертификатами → Просмотр сертификатов → Центры сертификации → Доверенные корневые центры сертификации:

windows root ca

Ключевые контейнеры в реестре

Операционная система Windows умерла и нет возможности восстановить. В системе находились ключевые контейнеры записанные в реестр и на других носителях их не существует. Перенесем ключевые контейнеры со старого реестра в новую систему.

Восстановление ключевых контейнеров в Microsoft Windows

Операционная система Windows умерла и нет возможности восстановить. В системе находились ключевые контейнеры записанные в реестр и на других носителях их не существует. Перенесем ключевые контейнеры со старого реестра в новую систему.

Часто задаваемые вопросы по теме статьи (FAQ)

Можно ли перенести сертификат, который находится на токене и защищен от копирования?

Очевидно, что предложенное в статье решение для этого не подойдет. Ведь тут идет речь о переносе сертификатов, которые хранятся в реестре, то есть уже были скопированы. Технические средства для копирования защищенных крипто контейнеров тоже существуют, но это не такое простое и очевидное решение.

Безопасно ли хранить сертификаты в реестре?

Это не безопасно и в общем случае я не рекомендую это делать. USB токены для хранения сертификатов придуманы не просто так. Они реально защищают сертификаты от несанкционированного копирования. Если у вас нет объективной необходимости копировать сертификаты в реестр, лучше этого не делать. Если вам нужно сделать бэкап сертификата на случай поломки токена, то просто скопируйте его в зашифрованный архив и сохраните на флешке.

Подойдет ли предложенный способ копирования сертификатов CryptoPro для VipNet?

Нет, не подойдет. В статье описан способ переноса сертификатов CryptoPro. Другие криптопровайдеры хранят сертификаты по-другому. Универсального способа для всех не существует.

Есть ли какой-то очень простой способ скопировать сертификаты crypto pro? То, что описано в статье слишком сложно для меня.

Да, есть статья на сайте контура, в ней ссылка на утилиту для копирования контейнеров Certfix. Можете воспользоваться ей.

Необходимые данные в старом реестре

Файлы реестра находятся по пути Windows/system32/config файл который нас интересует называется SOFTWARE. В нашем случае он был исправен в противном случае восстановить нужные данные не получиться.

Подключаем старый реестр в новый

Для подключения необходимо выполнить следующие действия:

После успешного подключение вы увидите куст с введенным ранее названием.

Серийный номер КриптоПро в реестре

Определить какая стояла версия и серийный номер можно посмотрев записи на скрине ниже (внизу указан путь где смотреть):

key reestr windows sevo441

Где хранятся контейнеры ключей в реестре

Все контейнеры вы можете найти по пути (для 64): HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings
\USERS\(идентификатор пользователя)\Keys\(Название контейнера)

Сохранение ключевых контейнеров

Теперь нам необходимо экспортировать раздел с ключами для выполнения необходимых изменений и загрузки в рабочий реестр. После экспортирования я получил файл с названием reestr.reg.

Онлайн курс по Kubernetes

Онлайн-курс по Kubernetes – для разработчиков, администраторов, технических лидеров, которые хотят изучить современную платформу для микросервисов Kubernetes. Самый полный русскоязычный курс по очень востребованным и хорошо оплачиваемым навыкам. Курс не для новичков – нужно пройти вступительный тест.

Если вы ответите “да” хотя бы на один вопрос, то это ваш курс:

  • устали тратить время на автоматизацию?
  • хотите единообразные окружения?;
  • хотите развиваться и использовать современные инструменты?
  • небезразлична надежность инфраструктуры?
  • приходится масштабировать инфраструктуру под растущие потребности бизнеса?
  • хотите освободить продуктовые команды от части задач администрирования и автоматизации и сфокусировать их на развитии продукта?

Сдавайте вступительный тест по ссылке и присоединяйтесь к новому набору!.

Заказать настройку ЭЦП от 500 р.

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Добавление контейнеров в новый реестр

Перед тем как добавить в новый реестр контейнеры нам надо сменить uid пользователя и отредактировать путь убрав название загруженного куста.

Смотрим UID необходимого пользователя

В командной строке cmd вносим команду WHOAMI /USER и видим нужный sid пользователя:

key reestr windows sevo445

Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью». Вставляется текст по нажатию правой кнопки мыши!

Меняем данные в файле

Открываем файл в блокноте и делаем замену:

key reestr windows sevo447

Не забудьте убрать название куда добавляли куст! Вам надо загрузить в рабочую часть реестра!

Экспортирует контейнеры в новый реестр

key reestr windows sevo448

Выгружаем старый реестр

Не ищите возможности удаления старого куста который мы добавляли!Ненужный больше куст можно только выгрузить!

Проверка добавления ключевых контейнеров

Открываем программу Crypto Pro и смотрим что у нас есть в реестре:

key reestr windows sevo4410

Всё прошло успешно и все ключевые контейнеры присутствуют.

Перенос личных сертификатов пользователя

Добавление сертификата через Крипто ПРО

Берём открытый сертификат что нам нужен и устанавливаем его через Crypto Pro указав автоматический поиск контейнера. В случае если ставили контейнеры не вводя пароль просто жмите Ентер ( если вводили то ищите куда записали).

Все действия с ключами выполняйте через программу Crypto Pro!

Перенос всех сертификатов

Все сертификаты в системе Windows находятся по пути C:\Users\НУЖНЫЙ ПОЛЬЗОВАТЕЛЬ\AppData\Roaming\Microsoft\SystemCertificates\My. Достаточно скопировать эту папку в аналогичное место на новом компьютере и ключи будут перенесены.

Источник

Копирование закрытого ключа через оснастку КриптоПро

Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.

Копирование закрытого ключа сертификата через оснастку КриптоПро

Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.

Выбор контейнер для экспорта

Как найти на компьютере сертификат ЭЦП

Из нашей статьи вы узнаете:

Электронную цифровую подпись владелец может использовать на различных компьютерах одновременно, но для начала её необходимо предварительно перенести (скопировать).

Для этого важно сначала найти сертификат как самой ЭЦП, так и аккредитованного УЦ, который ее сгенерировал и выдал. В нем сохранены:

Где на жестком диске находится сертификат

Необходимые для копирования файлы могут находиться в следующих местах:

image1

Еще одна копия файлов сертификата находится непосредственно в папке Windows в зашифрованном виде, поэтому получить к ней доступ или скопировать невозможно из-за отсутствия прав.

Как посмотреть сертификат

Просмотреть перечень сертификатов, скопировать их, удалить можно с использованием следующих инструментов;

При использовании браузера Internet Explorer выполните следующие действия:

image2

После этого появится окошко, где будет перечислен весь перечень установленных на компьютере открытых сертификатов. Дополнительно будет указан список сторонних поставщиков ПО.

Преимущество использования браузера Internet Explorer — в возможности просмотра списка ключей, даже если нет прав администратора. Недостатком же будет невозможность удаления устаревших или ненужных уже сертификатов с жесткого диска компьютера.

При использовании панели управления OS Windows для просмотра открытых сертификатов, установленных на компьютере, выполните следующие действия с правами администратора:

Для просмотра перечня установленных ранее сертификатов на ПК с помощью приложения «КриптоПРО» достаточно выбрать раздел «Сертификаты». Использование данного ПО позволит при наличии прав администратора не только просматривать, но и копировать открытые сертификаты, удалять их.

image3

В OS Windows есть стандартный менеджер Certmgr для работы с установленными ранее сертификатами. С его помощью можно увидеть информацию об открытых ключах, данные об УЦ. Для использования менеджера выполните следующие действия:

image4

В итоге откроется окно со списком проверочных ключей. Специфика менеджера — в необходимости запуска с правами администратора. Важный минус сервиса — в некорректности отображения ЭЦП, что важно учитывать при просмотре.

В интернете можно скачать и другие программы для просмотра и работы с открытыми сертификатами операционной системы. Использовать их не рекомендовано из-за отсутствия гарантии безопасности и защиты от утечки данных на сторонние серверы. Сегодня Минкомсвязи РФ сертифицировано только приложение «КриптоПРО», и возможно использование встроенных инструментов операционной системы.

Где оформить сертификат и ЭЦП

Если для ведения электронного документооборота, работы на государственных порталах, сдачи отчетности или раскрытия информации вам необходима электронная цифровая подпись, то оформите ее в УЦ «Астрал-М». Наш удостоверяющий центр имеет аккредитацию Минкомсвязи на оформление ЭЦП и предлагает каждому клиенту:

Для приобретения электронной цифровой подписи оставьте заявку на сайте или свяжитесь с сотрудниками по телефону. После согласования тарифного плана вам будет направлен перечень необходимых документов и счет на оплату оформления ЭЦП. На выполнение всех действий уйдет 1—2 рабочих дня, но при желании возможно открытие подписи в ускоренном формате.

Источник

Ошибка копирования контейнера

Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:

Ошибка копирования контейнера

Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии. Либо вы просто не сможете его выбрать для копирования, если у вас последняя версия CryptoPro. Он будет неактивен:

Неэкспортируемый контейнер

Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему. Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Делаем это там же на вкладке Сервис в оснастке CryptoPro. Нажимаем Посмотреть сертификаты в контейнере.

Посмотреть список сертификатов в системе

Выбираем необходимый сертификат и нажимаем Посмотреть свойства сертификата.

Выбор сертификата

Далее переходим на вкладку Состав в информации о сертификате и нажимаем Копировать в файл.

Сохранение сертификата КриптоПро в файл

Если у вас после слов “Экспортировать закрытый ключ вместе с сертификатом” нет возможности выбрать ответ “Да, экспортировать закрытый ключ”, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.

Невозможно экспортировать закрытый ключ

Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, кроме удаления. Так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.

Формат экспортируемого ключа

Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке из оснастки Crypto Pro, жмёте Копировать в файл, экспортировать БЕЗ закрытого ключа. И выбираете файл формата .CER.

Перенос сертификата

Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него. В итоге у вас должны получиться 2 файла с расширениями:

  • .pfx
  • .cer

Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам нужно будет выбрать все параметры по умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер. Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.

Ключевые контейнеры в реестре как с ними работать?

Для работы со старым реестрам нужны права на открытие необходимых данных иначе вылезет предупреждение:

key reestr windows sevo442

Для работы со старым реестром выполним следующие действия:

Вот так это должно выглядеть в cmd:

key reestr windows sevo443

Теперь вы можем спокойно работать с реестром и не получать предупреждения о невозможности просмотра данных.

Разрешения для всех групп

Чтобы просмотреть специальные разрешения для группы Everyone, щелкните правой кнопкой мыши папку MachineKeys, выберите Расширенный на вкладке Безопасность, а затем выберите View/Edit. Разрешения состоят из следующих разрешений:

Выберите «Разрешения сброса» на всех объектах Child и в поле «Разрешить доступ к наследуемым разрешениям». Администратор не имеет полного контроля над детскими объектами, чтобы защитить частную часть пары ключей пользователя. Но администратор по-прежнему может удалять сертификаты для пользователя.

Дополнительные сведения см. в следующей статье:

Настройка необходимых разрешений и прав пользователей NTFS для веб-сервера IIS 5.0, IIS 5.1 или IIS 6.0.

Источник

Общесистемные корневые CA сертификаты

Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.

В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.

Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:

certmgr.msc

Перейдите в раздел «Доверенные корневые центры сертификации» → «Сертификаты»:

certmgr.msc ca

Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.

Просмотр сертификатов в PowerShell

Чтобы просмотреть список сертификатов с помощью PowerShell:

Get ChildItem

Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):

Get ChildItem format list

Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:

Сертификаты уровня пользователей:

Сертификаты уровня компьютера:

Сертификаты уровня служб:

Сертификаты уровня Active Directory:

regedit ca

И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.

Пользовательские сертификаты (файлы):

Компьютерные сертификаты (файлы):

Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.

Ключевые контейнеры в реестре как с ними работать?

Для работы со старым реестрам нужны права на открытие необходимых данных иначе вылезет предупреждение:

key reestr windows sevo442

Для работы со старым реестром выполним следующие действия:

Вот так это должно выглядеть в cmd:

key reestr windows sevo443

Теперь вы можем спокойно работать с реестром и не получать предупреждения о невозможности просмотра данных.

КриптоПро CSP ошибка 0x80090010 Отказано в доступе

Иногда после переноса контейнеров закрытых ключей через экспорт – импорт ветки реестра с ключами можно увидеть ошибку доступа к контейнерам. Вроде бы все на месте, ключи есть в реестре. Их можно увидеть в останстке CryptoPro, но не получается прочитать. При попытке это сделать возникает ошибка:

КриптоПро CSP ошибка 0x80090010 Отказано в доступе

Ошибка обращения к контейнеру закрытого ключа. Ошибка 0x80090010: Отказано в доступе. Связано это с тем, что у текущего пользователя, под которым вы хотите получить доступ к контейнеру, нет полных прав на ветку реестра с хранящимися ключами. Исправить это просто. Переходите в редактор реестра и выставляйте полные права к ветке Keys для текущего пользователя.

Права доступа в реестре на ключи

Убедитесь так же, что новые права наследовались на дочерние ветки с самими ключами. Обычно это так, но перепроверить на всякий случай непомешает. После этого ошибка с доступом к контейнеру закрытого ключа исчезнет.

Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер

В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже. Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:

wmic useraccount where name='user' get sid

Как узнать SID пользователя

В данном случай user – имя учетной записи, для которой узнаем SID. Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра (regedit.exe) и переходим в ветку:

\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\S-1-5-21-4126888996-1677807805-1843639151-1000\Keys

где S-1-5-21-4126888996-1677807805-1843639151-1000 – SID пользователя, у которого копируем сертификаты. Выбираем папку Keys и экспортируем ее. Этот путь актуален для 64-х битных систем – Windows 7, 8, 10. В 32-х битных путь может быть немного другой. Я специально не проверял, но поиском по реестру вы при желании найдете его.

Массовый перенос закрытых ключей сертификатов с компьютера на компьютер

Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи. Теперь нам нужно скопировать сразу все сертификаты. В Windows 7, 8 и 10 они живут в директории – C:\Users\user\AppData\Roaming\Microsoft\SystemCertificates\My. Сохраняйте эту директорию. Для переноса ключей и сертификатов нам надо скопировать на другой компьютер сохраненную ветку реестра и директорию с сертификатами My.

После того, как перенесли файлы со старого компьютера на новый, открываем файл с веткой реестра в текстовом редакторе и меняем там SID пользователя со старого компьютера на SID пользователя нового компьютера. Можно прям в блокноте это сделать поиском с заменой.

Замена SID пользователя

После этого запускаем .reg файл и вносим данные из файла в реестр. Теперь скопируйте папку My с сертификатами в то же место в профиле нового пользователя. На этом перенос сертификатов и контейнеров закрытых ключей КриптоПро завершен. Можно проверять работу. Я не раз пользовался этим методом, на текущий момент он 100% рабочий. Написал статью, чтобы помочь остальным, так как сам не видел в интернете подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя таковой получилась.

Вывод

Вывод только один — храните резервные копии ключей. В моем случае мне удалось восстановить закрытые контейнеры ключей и личные сертификаты. Стараюсь всегда или переносить ключи в реестра и хранить оригиналы, если это возможно. Не ленитесь делать резервные копии.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Читая их я получаю информацию которая позволяет мне улучшить качество написания статей. Кроме того, оставляя комментарии вы помогаете сайту получить более высокий рейтинг у поисковых систем. Давайте общаться.

2 комментариев для статьи “ Ключевые контейнеры в реестре ”

Да уж, тема злободневная. Сам много ковырялся с этими сертификатами. Теперь всегда делаю локальную копию при возможности. Главное, не забыть забэкапить сертификат и закрытый ключ от него.

Но совсем все я конечно понимаю с этими сертификатами но если пойму обязательно напишу.

Источник

Читайте также:  NAVITEL - Покупка программы и дополнительных карт
Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector