КриптоПро CSP 5.0

Системные требования к программно-аппаратным средствам:

• Установка СКЗИ КриптоПро CSP версии 5.0.
• Операционная система Windows 7/8.1/10/Server 2008 (x86, x64).
• Серверные ОС Windows Server 2008 R2/2012/2012 R2/2016/2019 (x64).
• Mac OS X 10.9/10.10/10.11/10.12/10.13/10.14 (x64).

Для установки приложения MyDss на смартфоне, он должен работать под управлением операционных систем:

• Android 7.0 и выше.
• iOS 8/9/10/11.

Установка и настройка на смартфоне приложения MyDss #

Установка на смартфоне приложения MyDSS #

Запускаем приложение Play Маркет или Apple store в зависимости от типа вашего устройства. В форме поиске, введите myDSS и нажмите кнопку Установить. После окончания установки нажимаем на кнопку Открыть.

Настройка приложения MyDSS #

Запустите установленное приложение MyDss. Для начала работы вам предложат от сканировать QR-код. Приложение отправит запрос на доступ к камере телефона, нажмите Разрешить. Возьмите бланк сертификата, выданного вам в УЦ и отсканируйте напечатанный QR-код. Укажите имя сохраняемого ключа(Оно может быть любым, например: «Облачная подпись для Торгов»). Так же вам потребуется выбрать способ подтверждения (без пароля, пароль, отпечаток пальца, face ID). После всех этих действий приложение будет готово к работе.

Установка СКЗИ КриптоПро CSP 5 #

Для начала работы с вашей облачной подписью необходима установленная ОС Windows 7, 8,8.1 или 10. Необходимо проверить, что у вашей Операционной Системы установлены все последние обновления. Для этого запустите Центр Обновления Windows и произведите поиск и обновления компонентов Windows.
Основным элементом для работы с облачной подписью является установленное и настроенное КриптоПро CSP 5.0.

1. Скачиваем последнюю версию установочного файла КриптоПро CSP 5.0 с сайта разработчика КриптоПро.
2. Запускаем скачанный Файл CSPSetup-5.0.exe и нажимаем кнопку Установить.Подробный процесс установки КриптоПро здесь.
3. Скачайте корневой сертификат Минкомсвязи России и установите его в «Доверенные корневые центры сертификации».
4. Установить корневой сертификат вашего УЦ в «Промежуточные центры сертификации». Инструкция по установке корневого сертификата Минкомсвязи и УЦ.

Настройка КриптоПро CSP 5.0 #

В операционной системе Windows: Нажимаем Пуск , переходим в папку Крипто-Про и выбираем пункт Инструменты Крипто-Про.

Далее переходим в раздел Облачный провайдер.

Замена адреса DSS сервера #

• Необходимо поменять текст в строке Сервер авторизации на адрес вашего сервера DSS(Адрес можно уточнить у вашего УЦ).
• Так же измените текст в строке Сервер DSS на адрес предоставленный вашим УЦ.
• Нажимаем на кнопку Установить сертификаты.

Если это первый ваш вход в систему, то вам предложат изменить пароль для входа в личный кабинет облачной подписи. Чтобы это сделать укажите пароль полученный вами в точке выдачи. Вводим его в графу Старый пароль, а ниже указываем Новый пароль и Подтверждение пароля. После установки вашего нового пароля, обязательно запишите его.

Если вы уже изменяли пароль ранее, то предложения изменить пароль не будет.

Аутентификация в приложении myDSS #

Следующим действием нам потребуется пройти Аутентификацию. Потребуется подтвердить операцию с помощью установленного приложения MyDss. Запустите приложение MyDss на смартфоне, и в открывшемся запросе нажимаем Подтвердить. Если на телефоне нет интернет соединения, то выбираем Используйте офлайн-подтверждение. Сканируем приложением MyDss QR-код и указываем полученный код подтверждения на компьютере.

Конечным результатом успешной авторизации, должно стать уведомление Установка сертификатов завершилась успехом.

На этом установка и настройка облачной электронной подписи закончена.

Купить Электронную Подпись для любых целей вы можете в нашей компании. Срок выдачи один рабочий день.

Заказать облачную подпись #

Первый шаг. Авторизоваться в КриптоПро DSS.

После авторизации становится доступен раздел «Сертификаты». Если нет действующих сертификатов, то можно создать запрос на новый сертификат. Для этого нужно выбрать УЦ и заполнить необходимые поля. При создании запроса в сервисе будет создан контейнер с ключами, и получен сертификат электронной подписи. В реальном обстоятельствах, ключ электронной подписи выдает Удостоверяющий центр.

Суть технологии

Технология «облачной» электронной подписи базируется на 2 основных элементах: КриптоПро DSS 2.0* и КриптоПро HSM 2.0*, поддерживающие новый ГОСТ Р 34.10-2012. Подробнее о переходе на новый ГОСТ формирования электронной подписи можно прочитать в статье «Старт выпуска подчиненных сертификатов аккредитованных УЦ по новому ГОСТ».

* Продукты компании ООО «КРИПТО-ПРО» – лидера рынка производства и распространения средств криптографической защиты информации (СКЗИ) и электронной подписи.

КриптоПро DSS — это сервер «облачной» ЭП, веб-интерфейс или, проще говоря, «оболочка», которую видит и с которой взаимодействует пользователь. КриптоПро DSS может использоваться как сам по себе, так и в составе других систем (ДБО, ЭДО, ЭТП, приложения для ПК и мобильных устройств), для интеграции с которыми предоставляются различные API (базовая часть интерфейса прикладного программирования, на основе которой легко надстроить нужный функционал в различных системах).

КриптоПро HSM — это программно-аппаратный криптографический модуль, предназначенный для безопасного хранения и использования секретных ключей ЭП удостоверяющих центров и пользователей. КриптоПро HSM выполняет операции формирования, проверки ЭП и вычисления значений хэш-функции, шифрования и расшифровки данных.

Реализованное компанией ООО «КРИПТО-ПРО» решение позволяет перенести ключ ЭП в «облако», позволяя владельцам обрести мобильность и забыть о риске компрометации подписи, потери токена и о ряде других сопутствующих проблем.

Второй шаг. Установить КриптоПро Cloud CSP.

Криптопровайдер КриптоПро Cloud CSP доступен для скачивания по ссылке. Помимо дистрибутива в архиве будет также краткая инструкция по использованию. Установка дистрибутива не вызовет сложностей. Но есть одно условие, перед установкой КриптоПро Cloud CSP нужно предварительно удалить все другие криптопровайдеры.

В списке ключевых контейнеров находим тот, чей тип считывателя называется DSS keys.

Выбрав нужный контейнер, нажать «OK» и «Далее». Затем в окне «Сертификат для просмотра» нажимаем «Установить». Появится сообщение об успешной установке сертификата в хранилище «Личные». Нажимаем «Готово».

Сертификат из облачного хранилища КриптоПро DSS успешно установлен. Открываем программу КриптоАРМ находим его в «Личном хранилище сертификатов». С этого момента, данный сертификат можно использовать для подписи любых файлов, находящихся на локальном компьютера.

Ключ подписи по прежнему хранится в облаке. Интернет и телефон по прежнему необходимы для подписи. Но теперь вы можете подписывать любые файлы без ограничений. Можете подписывать их прямо с рабочего стола не запуская браузер и не заходя на страницу веб-сервиса. Или подписывать из знакомого приложения.

Резюмируя, порталы и веб-сервисы, предлагающие облачную подпись становятся с каждым годом все более доступными и массовыми. Но в силу своей специфики у такого вида подписей есть ряд ограничений, главное из которых привязанность к определенной информационной системе. Решение КриптоПро Cloud CSP расширяет спектр применения облачной подписи, предлагая способ использовать ее в популярных приложениях, наподобие КриптоАРМ.

Внедрение и стоимость «облачной» квалифицированной электронной подписи

Пользователь ЭП освобождается от «жесткой» привязки к настроенному рабочему месту. Цикл работ по настройке криптографических механизмов и форматов, например, установка средства криптографической защиты – программы КриптоПро CSP, и по управлению ключами берут на себя серверные компоненты решения. Теперь доступ к ключу электронной подписи можно получить и с настольного компьютера, и с ноутбука, и с планшета, и со смартфона и даже с телефона, не имеющего подключения к Интернету. Для работы КриптоПро DSS требуется установить лишь удобное средство аутентификации.

Варианты аутентификации пользователей «облачной» КЭП

a. доступное и для iOS, и для Android мобильное приложение myDSS;b. SIM-карта с криптографическим апплетом;c. смарт-карта или USB-токен с криптографией;d. использование средств протокола TLS (протокол защиты транспортного уровня).

Хранилище ключей — КриптоПро HSM, снабжено датчиками вскрытия, механизмами доверенной генерации и уничтожения ключей, «барьером» от утечек по побочным каналам и от внутреннего нарушителя (администратора), а также другими уровнями защиты, соответствующими классу КВ2. Ключи становятся неизвлекаемыми и некомпрометируемыми.

Аппаратные ресурсы решения обеспечивают высокую скорость вычисления электронной подписи, позволяя путем их наращивания масштабировать производительность до любого требуемого уровня.

4 — Надежность

С «облачной» ЭП больше не страшен риск отказа ключевого носителя, его поломки, потери или кражи. Любой сбой пройдет для пользователя незаметно и без последствий благодаря аппаратному резервированию серверных компонент. В качестве примера аппаратного резервирования можно привести дублирование.

a. систему электронного документооборота, поскольку не будет необходимости дорабатывать или менять действующую систему;b. программное обеспечение для работы с ЭП, так как не будет необходимости отказываться от привычного ПО, например, КриптоПро CSP при установке «облачного» криптопровайдера Cloud CSP «бесшовно» сможет использовать ключи, хранящиеся в «облаке»;c.

Кроме этого, актуальный для 2018 года переход на новый ГОСТ Р 34.10-2012 не потребует от пользователей решения дополнительных вложений ни в покупку новых токенов, ни нового ПО при условии подключения расширенной технической поддержки.

Важно отметить, что ввиду технических и организационных особенностей реализации решения, оно преимущественно ориентировано на крупные организации с разветвленной сетью владельцев электронных подписей и высокой мобильностью сотрудников: например, удостоверяющие центры, банки, страховые, производственно-сбытовые компании.

Внедрение технологии «облачной» КЭП осуществляется при помощи компании-интегратора**. Интегратор обеспечивает взаимодействие разработчика ООО «КРИПТО-ПРО» и организации – конечного пользователя, которой ввиду высокой технологической сложности решения требуется помощь специалистов.

** АО «Аналитический Центр» – центр авторизации УЦ при Ассоциации Электронных Торговых Площадок, поставщик продуктов и услуг в сфере информационной безопасности, аутентификации и идентификации.

Цена внедрения нужной комплектации решения, а значит и итоговая стоимость каждой «облачной» квалифицированной электронной подписи рассчитывается для клиентов в индивидуальном порядке. Эти величины не имеют коммерческой «вольности», но строго определяются анализом текущего технического оснащения компании, временными и трудо- затратами интегратора на подбор подходящих вариантов, а затем необходимыми инвестициями в реализацию выбранного «пути».

Вопрос «квалифицированности» «облачной» ЭП

Технически и организационно сложное в своей реализации решение прошло долгий путь от идеи до получения сертификата от Федеральной Службы Безопасности. Процесс был осложнен тем, что помимо применения передовых технологий необходимо было обеспечить должный уровень безопасности пользователей.

10 августа 2018 года компания-разработчик ООО «КРИПТО-ПРО» получила сертификаты ФСБ России на все разработанные комплектации КриптоПро HSM 2.0 и DSS 2.0. Это позволяет формировать квалифицированные электронные подписи, используя любой из перечисленных выше способов аутентификации.

Для того чтобы наглядно продемонстрировать надежность данного решения, в качестве примера приведем один из вариантов прохождения аутентификации пользователя «облачной» квалифицированной электронной подписи.

Что такое сертификат электронной подписи?

Согласно ст. 2 Закона, сертификат электронной подписи — документ, представленный в электронном виде либо на бумаге и подтверждающий, что открытый ключ, содержащийся в нем, принадлежит его владельцу. Выдается он УЦ либо его доверенным лицом.

Удостоверяющие центры — это ИП либо юрлица, занимающиеся созданием и выдачей СКПЭП на основании соглашений с заявителями, а также выполняющие другие функции, предусмотренные Законом. В настоящее время их услуги менее востребованы, поскольку НЭП и, соответственно, неквалифицированные сертификаты, выдаваемые ими, практически нигде не используются.

https://youtube.com/watch?v=xikmtJwO8LQ%3Ffeature%3Doembed

УЦ становится аккредитованным, когда его признает таковым уполномоченный федеральный орган, если организация не противоречит требованиям, указанным в ст. 16 Закона. Удостоверяющий центр, имеющий аккредитацию, наделен правом выдавать квалифицированный СКПЭП.

СКПЭП выдают на 1 год. Однако документ может прекратить свое действие не только по истечении указанного срока. Аннулировать сертификат имеет право его владелец, написав соответствующее заявление и передав его в УЦ. Документ прекращает действие и из-за приостановки деятельности самого удостоверяющего центра, его выдавшего. Данные об аннулировании СКПЭП вносятся в реестр УЦ не позднее суток от момента выявления обстоятельств, отмеченных выше.

Google chrome

Использует общесистемные доверенные корневые центры сертификации.

Opera

Чтобы перейти к списку сертификатов из веб браузера: Настройки → Перейти к настройкам браузера → Дополнительно → Безопасность → Ещё → Настроить сертификаты → Доверенные корневые центры сертификации:

Восстановление закрытых ключей с неисправного компьютера

Есть возможность восстановить закрытые ключи сертификата, если они были записаны в реестре компьютера и этот компьютер сломался.

Это можно сделать только в том случае, если жесткий диск в рабочем состоянии и есть возможность его подключить к рабочему системному блоку. Или есть копия папки C:WindowsSystem32config.

Если условия выполняются, необходимо проделать следующее:

1. Подключить жесткий диск от неработающего компьютера к рабочему системному блоку;

.. index:: PsExec.exe

Где хранятся ключи(закрытый ключ сертификата) в реестре? [1739]

Реестр может использоваться в качестве ключевого носителя, другими словами, в него можно скопировать Квалифицированную электронную подпись (КЭП). После копирования закрытые ключи будут находиться:

Где хранятся сертификаты эцп на компьютере?

1. Нажмите комбинацию Win R. Всплывет окно «Выполнить» с пустой строкой. Введите туда certmgr.msc. Согласитесь, нажав «ОК».
   
2. Откроются папки (логические хранилища) с сертификатами. Они распределены по типам. Нужный сертификат находится в одной из них (в зависимости от того, куда он устанавливался пользователем).
   
3. Для ознакомления с информацией о сертификате кликните на него правой кнопкой мыши и укажите «Открыть».
   

Существует еще один способ, который поможет попасть в хранилище к сертификатам:

1. Откройте «Пуск» и перейдите в «Панель управления».
2. Перейдите в «Свойства обозревателя».
3. Откройте «Содержание» — «Сертификаты».
4. Всплывет окно со списком сертификатов.

Посмотреть данные по ним можно при нажатии на «Просмотр».

Для чего знать где хранятся сертификаты в windows

Давайте я вам приведу основные причины, по которым вы захотите обладать этим знанием:

Ранее я вам рассказывал какие бывают сертификаты и где вы их можете получить и применять, советую ознакомиться с данной статьей, так как информация изложенная в ней является фундаментальной в этой теме.

Во всех операционных системах начиная с Windows Vista и вплоть до Windows 10 Redstone 2 сертификаты хранятся в одном месте, неком таком контейнере, который разбит на две части, один для пользователя, а второй для компьютера.

В большинстве случаев в Windows поменять те или иные настройки вы можете через mmc оснастки, и хранилище сертификатов не исключение. И так нажимаем комбинацию клавиш WIN R и в открывшемся окне выполнить, пишем mmc.

Вы конечно можете ввести команду certmgr.msc, но таким образом вы сможете открыть только личные сертификаты

Теперь в пустой mmc оснастке, вы нажимаете меню Файл и выбираете Добавить или удалить оснастку (сочетание клавиш CTRL M)

В окне Добавление и удаление оснасток, в поле Доступные оснастки ищем Сертификаты и жмем кнопку Добавить.

Тут в диспетчере сертификатов, вы можете добавить оснастки для:

Я обычно добавляю для учетной записи пользователя

У компьютера есть еще дополнительные настройки, это либо локальный компьютер либо удаленный (в сети), выбираем текущий и жмем готово.

В итоге у меня получилось вот такая картина.

Сразу сохраним созданную оснастку, чтобы в следующий раз не делать эти шаги. Идем в меню Файл > Сохранить как.

Задаем место сохранения и все.

Как вы видите консоль хранилище сертификатов, я в своем примере вам показываю на Windows 10 Redstone, уверяю вас интерфейс окна везде одинаковый. Как я ранее писал тут две области Сертификаты – текущий пользователь и Сертификаты (локальный компьютер)

Доверенные узлы

Если узел не добавляется в надежные узлы, можно добавить его вручную через реестр, для этого необходимо:

Доступ к считываетлям (calais)

.. index:: Calais

Иногда возникает проблема с доступом к считывателям смарт-карт. Она может быть связана с тем, что у текущего пользователя недостаточно прав на следующие ветки:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalais

HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalaisReaders

Подробнее о настройке прав доступа читайте в разделе :ref:`regedit-rules`.

Другие варианты

Есть ещё масса других сторонних программ, которые точно так же позволяют работать с сертификатами, установленными в операционной системе. Но вот пользоваться ими не рекомендуется – никто не может гарантировать, что в исходном коде подобного приложения нет команды отправки сертификата на внешний сервер.

Единственная сертифицированная в Минкомсвязи программа для работы с электронными подписями – это именно КриптоПРО CSP (на текущий момент актуальны версии 3.5 или старше). Её использование – это своего рода гарантия защиты от возможной компрометации ЭЦП.

Итого, где находится сертификат электронной подписи на компьютере? В системной папке пользователя, а удобней всего с ключами работать при помощи программы КриптоПРО CSP. С её помощью можно совершить быстрый перенос электронной подписи с одного компьютера на другой даже без использования USB-рутокена. А для быстрого просмотра самих ключей или удаления некоторых из них удобней всего использовать Internet Explorer.

Извлечение информации из резервной копии реестра

Резервные копии реестра обычно создаются автоматически каждые десять дней. Сохраняются они в папке:

• C:WindowsSystem32configRegBack – для Windows 7 и Server 2008;
• C:Windowsrepair – для XP и Server 2003.

Данные папки содержит те же файлы, что и C:WindowsSystem32config.

Если, например, из реестра случайно был удален контейнер закрытого ключа, теоретически, есть возможность импортировать куст из резервной копии.

Порядок действия аналогичен, описанному порядку в инструкции :ref:`kep-recovery`. Отличается только файл загружаемого куста C:WindowsSystem32configRegBackSoftware.

Как установить сертификат эцп на компьютер с помощью крипто про

Если программа автоматически не находит открытый ключ в контейнере закрытого, придется воспользоваться другим способом, чтобы установить сертификат ЭЦП на компьютер. Потребуется файл, который должен быть записан на флешке, с расширением .cer в имени. Удостоверившись в его наличии, приступайте к установке:

1. Кликните в КриптоПро CSP на «Установить личный сертификат».
   
2. Кликните «Обзор» и найдите на флешке файл .cer.
   
   
3. Если программа распознала файл, можете нажимать «Далее». Ознакомившись со свойствами сертификата, снова кликните «Далее».
   
   
4. Найдите ключевой контейнер, нажав на «Обзор». Укажите внешний носитель — флешку. Нажмите «ОК».
   
   
5. Перейдите «Далее», а затем найдите хранилище для сертификата, нажмите «Обзор», предварительно поставив отметку около надписи, подтверждающей установку сертификата в контейнер.
   
   
6. Отметьте папку для хранения сертификата ЭЦП. Подтвердите действия и завершите установку, нажав «Готово» в следующем окне.
   
   

Этот способ установки сертификата ЭЦП сложнее предыдущего, но в некоторых случаях доступен только он.

Лицензия криптопро в реестре [1017]

Лицензия КриптоПро хранится в реестре, её можно оттуда скопировать, либо ввести.

1. Перейти в ветку:

Общесистемные корневые ca сертификаты

Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.

В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.

Чтобы открыть Менеджер Сертификатов нажмите Win r, введите в открывшееся поле и нажмите Enter:

certmgr.msc

Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.

Просмотр сертификатов в PowerShell

Чтобы просмотреть список сертификатов с помощью PowerShell:

Get-ChildItem cert:LocalMachineroot | format-list

Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):

Get-ChildItem cert:LocalMachineroot | Where {$_.Subject -Match "HackWare"} | format-list

Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:

Сертификаты уровня пользователей:

Сертификаты уровня компьютера:

• — содержит настройки для всех пользователей компьютера
• — как и предыдущее расположение, но это соответствует сертификатам компьютера, развёрнутым объектом групповой политики (GPO (Group Policy))

Сертификаты уровня служб:

• — содержит настройки сертификатов для всех служб компьютера

Сертификаты уровня Active Directory:

• — сертификаты, выданные на уровне Active Directory.

И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.

Пользовательские сертификаты (файлы):

Компьютерные сертификаты (файлы):

Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.

Перенос сертификатов эцп из реестра windows на другой компьютер через криптопро

Необходимость переноса сертификатов на другой ПК может возникнуть в случае подозрений на то, что жесткий диск выходит из строя. Особенно остро стоит проблема, когда отсутствует токен с ЭЦП, и данные с него не скопированы на другой внешний носитель.

1. Войдите во вкладку «Сервис» программы КриптоПро CSP.
2. Нажмите «Обзор» и выберите ключевой носитель.

3. Введите новое имя контейнера. Нажмите «Готово».

4. Укажите новый носитель, куда происходит копирование сертификата.

5. Установите пароль и подтвердите его.

Теперь можно устанавливать сертификат с внешнего носителя на другой компьютер одним из описанных выше способом.

Панель управления

Также есть возможность посмотреть сертификаты в Windows 7 через «Панель управления».

1. Открываем и переходим в .



2. Открываем элемент .



3. В открывшемся окне переходим во вкладку и щелкаем по надписи .



4. В открывшемся окошке предоставлен перечень различных сертификатов. Чтобы посмотреть подробную информацию об определённой цифровой подписи, жмём по кнопке .

После прочтения данной статьи вам не составит никакого труда открыть «Хранилище сертификатов» Windows 7 и узнать подробную информацию о свойствах каждой цифровой подписи в вашей системе.

Установка сертификата эцп на компьютер

Чтобы беспрепятственно работать с СКПЭП, приобретите в УЦ токен (в нашей стране наиболее востребован Рутокен — решение для аутентификации российской разработки от компании «Актив»), на котором хранится информация, необходимая для создания и проверки ЭП. Затем инсталлируйте КриптоПро CSP на ПК, если криптопровайдер не интегрирован в токен.

Чтобы использовать возможности электронной подписи без подключения флешки к персональному компьютеру, установите на него сертификат ЭЦП. В зависимости от модели криптоносителя, может понадобиться установка драйверов. Выбирайте нужное ПО в Центре загрузок на портале производителя и инсталлируйте его на компьютер.

Что такое хранилище сертификатов в windows системах

Термин «хранилище сертификатов» можно расшифровать как часть оперативной памяти ПК, где помещена на хранение самая секретная зашифрованная информация.  К таковой относятся:

• учетные данные;
• доступ к определенным программным продуктам.

Сертификаты служат для идентификации человека посредством сети интернет, после чего он сможет подтвердить допуск к определенным утилитам.

https://youtube.com/watch?v=ETCNjgxd7J0%3Ffeature%3Doembed

Доступ к секретным документам имеют единицы. Хранилище, как объект ОС, можно обозначить как отдельный файл, но для его открытия используются совсем другие средства, нежели доступные многим программы.

Хранилище имеет два отдельных раздела. В одном хранятся личные данные пользователя, в другом – средства идентификации самого компьютера. Сохранение происходит локально для каждого ПК и для каждого пользователя, который работает на нем.

У файла сертификата расширение .cer или .csr. Он занимает совсем немного места. Объем занятой памяти не превышает нескольких килобайт. Кстати, подобные файлы эксплуатируются в ОС Linux, MacOS. Файлы с подобным расширением можно назвать стандартным форматом ЭЦП. Во многих странах используются сертификаты стандарта .x509. В РФ они распространения не получили.

Что такое сертификат электронной подписи?

Согласно ст. 2 Закона, сертификат электронной подписи — документ, представленный в электронном виде либо на бумаге и подтверждающий, что открытый ключ, содержащийся в нем, принадлежит его владельцу. Выдается он УЦ либо его доверенным лицом.

Удостоверяющие центры — это ИП либо юрлица, занимающиеся созданием и выдачей СКПЭП на основании соглашений с заявителями, а также выполняющие другие функции, предусмотренные Законом. В настоящее время их услуги менее востребованы, поскольку НЭП и, соответственно, неквалифицированные сертификаты, выдаваемые ими, практически нигде не используются.

УЦ становится аккредитованным, когда его признает таковым уполномоченный федеральный орган, если организация не противоречит требованиям, указанным в ст. 16 Закона. Удостоверяющий центр, имеющий аккредитацию, наделен правом выдавать квалифицированный СКПЭП.

СКПЭП выдают на 1 год. Однако документ может прекратить свое действие не только по истечении указанного срока. Аннулировать сертификат имеет право его владелец, написав соответствующее заявление и передав его в УЦ. Документ прекращает действие и из-за приостановки деятельности самого удостоверяющего центра, его выдавшего. Данные об аннулировании СКПЭП вносятся в реестр УЦ не позднее суток от момента выявления обстоятельств, отмеченных выше.

Что нужно для просмотра

Чтобы отследить расположение сертификатов ЭЦП на стационарном устройстве, можно использовать КриптоПро, Internet Explorer, Certmgr (встроенный на компьютере менеджер) либо консоль управления. В зависимости от избранного варианта, набор действий будет таким:

• КриптоПро. Потребуется войти «Пуск», дальше ищем «Все программы», тут выбираем «КриптоПро». Потребуется войти в программу и выбрать вкладку «Сертификаты». Дальше просто открываем (копируем) необходимый файл (если их несколько).

• Internet Explorer. Для начала осуществляем запуск браузера. После этого через «Пуск» переходим на «Свойства браузера». В отобразившейся на экране вкладке выбираем «Содержание». Там нажимаем строку «Сертификаты». Это и будет хранилище ключей. Можно просматривать, копировать, переносить на другие устройства. Но функция удаления заблокирована.
• Заходим на устройство с административными правами. Нажимаем «Пуск», забиваем в поисковую позицию команду «certmgr.msc» и наживаем ввод. После этого вам слева отобразится список всех имеющихся на компьютере сертификатов.
• Консоль управления. Потребуется пройти несколько этапов запуска программы. Для начала откройте командную строку, введите туда команду «mmc» и ввод. В отобразившейся позиции необходимо отыскать «Файл», и нажать позицию «Добавить/удалить оснастку cryptopro». Потребуется последовательно переходить на «Добавить», выбрать и ввести «Добавить изолированную оснастку». Дальше вы получаете доступ к папке «Сертификаты». Консоль управления предоставляет полноценный доступ к данным. Тут их можно не только копировать, но и удалять.

Что такое сертификат пользователя

Сертификат цифровой подписи — это бумажный или электронный документ, выданный аккредитованным удостоверяющим центром, и подтверждающий принадлежность ЭЦП конкретному владельцу. В процессе генерации ключа вся информация о его владельце сохраняется, а полученный файл и есть сертификат ключа ЭЦП. Обязательная составляющая файла — открытый ключ и данные о владельце подписи, а также УЦ, выдавшем ЭП.

33 responses to где хранятся сертификаты в windows системах

certmgr.msc и сразу попадаем в нужную консоль

https://youtube.com/watch?v=xikmtJwO8LQ%3Ffeature%3Doembed

Как я и писал, в сертификаты компьютера вы так не попадете.

А где они реально сами лежат в файлах, реестре?

Спасибо! Всё описал и ничего лишнего!

Интересует некий нюанс экспорта/импорта сертификатов. Если есть необходимость ВСЕ установленные сертификаты перенести на этот же комп, после переустановки системы. Т.е. групповой экспорт/импорт. Опять же интересует такая вещь, что если существуют «общесистемные» сертификаты (т.е. которые уже есть в винде при установке, по умолчанию), то наверное их не надо экспортировать/импортировать, потому что в старой системе могут оказаться отозванные, просроченные и пр. устаревшие сертификаты. Т.е как вытянуть только все свои, установленные пользователем сертификаты, за один проход?

Через графический интерфейс ни как, попробуйте воспользоваться Powershell комапдлетами.

Firefox

Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:

Google chrome

Использует общесистемные доверенные корневые центры сертификации.

Opera

Чтобы перейти к списку сертификатов из веб браузера: Настройки → Перейти к настройкам браузера → Дополнительно → Безопасность → Ещё → Настроить сертификаты → Доверенные корневые центры сертификации:

В windows

https://youtube.com/watch?v=bVDkocvYRgY%3Ffeature%3Doembed

Тут выделяются старые ОС (такие как Windows XP), а также современные популярные их версии (Windows Vista, Windows 7, Windows 10). Вне зависимости от версии ОС, файл с ЭЦП помещается в специальный (электронный) контейнер закрытого типа.

В ос windows xp

Хранятся по такому адресу: Documents and Settings<ПОЛЬЗОВАТЕЛЬ>ApplicationDataMicrosoft SystemCertificatesMyCertificates. После входа в систему такие файлы автоматически включаются в реестр (локальный). Если же подключение осуществляется с внешнего носителя, сертификаты хранятся на таком носителе и подтягиваются после каждого сеанса.

В реестре

Хранение файла с открытым ключом в реестре осуществляется по таким ссылкам (адресам):

В системе linux

В ОС Linux сертификаты (открытые) располагаются в специальном системном хранилище. Формат файла остается неизменным (.cer или .csr), что существенно упрощает его поиск. Обычно подобные файлы находятся в директории: /opt/cprocsp/bin/<архитектура>. Для запуска просмотра потребуется задействовать утилиту Csptest.

Восстановление закрытых ключей с неисправного компьютера

Есть возможность восстановить закрытые ключи сертификата, если они были записаны в реестре компьютера и этот компьютер сломался.

Это можно сделать только в том случае, если жесткий диск в рабочем состоянии и есть возможность его подключить к рабочему системному блоку. Или есть копия папки C:WindowsSystem32config.

Если условия выполняются, необходимо проделать следующее:

1. Подключить жесткий диск от неработающего компьютера к рабочему системному блоку;

.. index:: PsExec.exe

Где в реестре хранится эцп

Иногда реестр используется как ключевой носитель, т.е. он подходит для импорта и экспорта сертификатов. Где находится сертификат ЭЦП зависит от битности системы:

Где хранится сертификат эцп в ос windows xp

К базовым компонентам ОС Windows XP относятся службы сертификации, а XP Professional уже поддерживает многоуровневые иерархии центра сертификации (ЦС) как с изолированными и интерактивными ЦС, так и сети ЦС с доверительными перекрестными отношениями.

Открытые ключи ЭЦП Windows XP хранит в личном хранилище, а т.к. они представляют собой общедоступную информацию, то хранятся в виде открытого текста. Сертификаты пользователя находятся по адресу:

Documents and Settings ApplicationDataMicrosoft SystemCertificatesMyCertificates. Они автоматически вносятся в локальный реестр при каждом входе в систему. Если профиль перемещаемый, то открытые ключи хранятся обычно не на ПК, а следуют за пользователем при каждом входе в систему с внешнего носителя.

Такие поставщики услуг криптографии, как Enchanced CSP и Base CSP хранят закрытые ключи электронной подписи в папке %SystemRoot%Documents and Settings Application DataMicrosoftCryptoRSA. Если профиль перемещаемый, то они расположены в папке RSA на контроллере домена.

В этом случае на ПК они загружаются только на время работы профиля. Все файлы в данной папке шифруются случайным симметричным ключом автоматически. Основной ключ пользователя имеет длину в 64 символа и создается проверенным генератором случайных чисел.

Где хранится эцп в системах linux

В Linux системах список контейнеров с закрытыми ключами можно найти при помощи утилиты csptest. Находится она в директории: /opt/cprocsp/bin/ .

Список контейнеров компьютера: csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys. Список контейнеров пользователя: csptest -keyset -enum_cont -verifycontext -fqcn. В списках имена контейнеров даются в виде, понятном для бинарных утилит, входящих в состав дистрибутива CSP.

Закрытые ключи хранятся в хранилище HDImageStore на жестком диске, и доступны они и для CSP, и для JCP.

Просмотреть список ключей электронной подписи на ОС Windows может только пользователь с правами администратора. Обычно ключи хранятся в системных папках и имеют расширение .cer или .csr. Чтобы посмотреть список, удалить ненужные элементы или скопировать их на внешний носитель можно воспользоваться программой КриптоПро, браузером Internet Explorer, консолью управления или специальной утилитой certmgr.

В Windows XP открытые и закрытые ключи хранятся в разных папках, а закрытые дополнительно шифруются паролем, состоящим из комбинации случайных чисел. Системы Linux хранят все сертификаты в отдельной директории, а пусть к ним задается вручную при помощи команд.

Где хранятся ключи(закрытый ключ сертификата) в реестре? [1739]

Реестр может использоваться в качестве ключевого носителя, другими словами, в него можно скопировать Квалифицированную электронную подпись (КЭП). После копирования закрытые ключи будут находиться:

Где хранятся сертификаты эцп на компьютере?

1. Нажмите комбинацию Win R. Всплывет окно «Выполнить» с пустой строкой. Введите туда certmgr.msc. Согласитесь, нажав «ОК».
   
2. Откроются папки (логические хранилища) с сертификатами. Они распределены по типам. Нужный сертификат находится в одной из них (в зависимости от того, куда он устанавливался пользователем).
   
3. Для ознакомления с информацией о сертификате кликните на него правой кнопкой мыши и укажите «Открыть».
   

Существует еще один способ, который поможет попасть в хранилище к сертификатам:

1. Откройте «Пуск» и перейдите в «Панель управления».
2. Перейдите в «Свойства обозревателя».
3. Откройте «Содержание» — «Сертификаты».
4. Всплывет окно со списком сертификатов.

Посмотреть данные по ним можно при нажатии на «Просмотр».

Для чего знать где хранятся сертификаты в windows

Давайте я вам приведу основные причины, по которым вы захотите обладать этим знанием:

Ранее я вам рассказывал какие бывают сертификаты и где вы их можете получить и применять, советую ознакомиться с данной статьей, так как информация изложенная в ней является фундаментальной в этой теме.

Во всех операционных системах начиная с Windows Vista и вплоть до Windows 10 Redstone 2 сертификаты хранятся в одном месте, неком таком контейнере, который разбит на две части, один для пользователя, а второй для компьютера.

В большинстве случаев в Windows поменять те или иные настройки вы можете через mmc оснастки, и хранилище сертификатов не исключение. И так нажимаем комбинацию клавиш WIN R и в открывшемся окне выполнить, пишем mmc.

Вы конечно можете ввести команду certmgr.msc, но таким образом вы сможете открыть только личные сертификаты

Теперь в пустой mmc оснастке, вы нажимаете меню Файл и выбираете Добавить или удалить оснастку (сочетание клавиш CTRL M)

В окне Добавление и удаление оснасток, в поле Доступные оснастки ищем Сертификаты и жмем кнопку Добавить.

Тут в диспетчере сертификатов, вы можете добавить оснастки для:

Я обычно добавляю для учетной записи пользователя

У компьютера есть еще дополнительные настройки, это либо локальный компьютер либо удаленный (в сети), выбираем текущий и жмем готово.

В итоге у меня получилось вот такая картина.

Сразу сохраним созданную оснастку, чтобы в следующий раз не делать эти шаги. Идем в меню Файл > Сохранить как.

Задаем место сохранения и все.

Как вы видите консоль хранилище сертификатов, я в своем примере вам показываю на Windows 10 Redstone, уверяю вас интерфейс окна везде одинаковый. Как я ранее писал тут две области Сертификаты – текущий пользователь и Сертификаты (локальный компьютер)

Для чего оно нужно

Каждый документ в хранилище призван сохранить безопасность работы операционной системы ПК. Это предотвращает проникновение в систему опасных или нежелательных и сомнительных программ. Каждая цифровая подпись отвечает за благонадежность отдельно взятого софта. Иногда такую же проверку проходит и сам пользователь. То есть для него тоже имеется свой идентификатор.

У Виндовс есть свои корневые сертификаты. Благодаря им поддерживается стандартная работа ОС. Например, можно совершенно спокойно пользоваться функцией «Центр обновления Windows».

Очень широкое применение сертификация получила в Google Chrome. Особенно она востребована для взаимодействия с государственными сайтами. Чтобы иметь доступ к базам данных, обязательно нужно соответствующее разрешение. Вот его и выдает государственный сайт.

Немало утилит создают свои шифры. Например, если требуется изменить характеристики оборудования. Таким образом они обеспечивают программному продукту законность.

Добавление новой эцп

Добавить в хранилище сертификатов через меню КриптоПро CSP новый объект можно двумя способами:

• Через «Посмотреть установленные сертификаты в контейнере»;
• Через «Установить личный сертификат (ЛС)».

Для ОС Windows 7 без установленного SP1 рекомендован второй путь.

Доверенные узлы

Если узел не добавляется в надежные узлы, можно добавить его вручную через реестр, для этого необходимо:

Доступ к считываетлям (calais)

.. index:: Calais

Иногда возникает проблема с доступом к считывателям смарт-карт. Она может быть связана с тем, что у текущего пользователя недостаточно прав на следующие ветки:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalais

HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalaisReaders

Подробнее о настройке прав доступа читайте в разделе :ref:`regedit-rules`.

Другие варианты

Есть ещё масса других сторонних программ, которые точно так же позволяют работать с сертификатами, установленными в операционной системе. Но вот пользоваться ими не рекомендуется – никто не может гарантировать, что в исходном коде подобного приложения нет команды отправки сертификата на внешний сервер.

Единственная сертифицированная в Минкомсвязи программа для работы с электронными подписями – это именно КриптоПРО CSP (на текущий момент актуальны версии 3.5 или старше). Её использование – это своего рода гарантия защиты от возможной компрометации ЭЦП.

Итого, где находится сертификат электронной подписи на компьютере? В системной папке пользователя, а удобней всего с ключами работать при помощи программы КриптоПРО CSP. С её помощью можно совершить быстрый перенос электронной подписи с одного компьютера на другой даже без использования USB-рутокена. А для быстрого просмотра самих ключей или удаления некоторых из них удобней всего использовать Internet Explorer.

Если электронную подпись нужно использовать на нескольких компьютерах или скопировать сертификат на запасной носитель, то необходимо знать, где ее искать. Обычно сертификаты хранятся в одном месте, но в зависимости от типа используемой операционной системы путь к хранилищу может быть разным.

Извлечение информации из резервной копии реестра

Резервные копии реестра обычно создаются автоматически каждые десять дней. Сохраняются они в папке:

• C:WindowsSystem32configRegBack – для Windows 7 и Server 2008;
• C:Windowsrepair – для XP и Server 2003.

Данные папки содержит те же файлы, что и C:WindowsSystem32config.

Если, например, из реестра случайно был удален контейнер закрытого ключа, теоретически, есть возможность импортировать куст из резервной копии.

Порядок действия аналогичен, описанному порядку в инструкции :ref:`kep-recovery`. Отличается только файл загружаемого куста C:WindowsSystem32configRegBackSoftware.

Как долго нужно хранить документ

Сертификат ЭЦП действителен лишь в течение строго установленного периода времени, равного одному году. По прошествии года цифровая подпись теряет свою функциональность и становится обязательной к замене. Вместе с новой ЭП владелец получает и новый сертификат.

Сколько времени нужно хранить сертификат ЭЦП зависит от того, какая информация в нем содержится. Полезный срок действия и содержание документа связаны между собой: чем больше информации, тем полезный срок действия документа меньше. Объясняется это тем, что данные, указанные в документе, могут измениться.

В удостоверяющем центре сроки хранения ключа в электронной форме определяются договорными условиями между УЦ и владельцем ЭЦП. В течение срока хранения ключа все участники информационной системы имеют к нему доступ. После аннулирования сроки хранения в УЦ определяются статьей ФЗ о законном сроке исковой давности.

На бумажном носителе ключ хранится в течение срока, установленного ФЗ РФ об архивном деле и архивах. С 2003 г. согласно новым поправкам срок хранения составляет 50 лет с момента поступления документа.

Как найти эцп на компьютере

На стационарном устройстве (ПК, ноутбук, смартфон) расположение файла (сертификата ЭЦП) зависит от типа используемой операционной системы.

Рассмотрим конкретные хранилища сертификата ЭЦП в используемых сегодня операционных системах.

Как посмотреть сертификат эцп

Посмотреть установленные сертификаты можно при помощи Internet Explorer, Certmgr, консоль управления или КриптоПро. Пользоваться другими компьютерными программами не рекомендуется: они могут иметь встроенную команду отправки ключа ЭЦП на сторонний сервер, что приведет к компрометации подписи и невозможности ее использования.

Как установить сертификат эцп на компьютер с помощью крипто про

Если программа автоматически не находит открытый ключ в контейнере закрытого, придется воспользоваться другим способом, чтобы установить сертификат ЭЦП на компьютер. Потребуется файл, который должен быть записан на флешке, с расширением .cer в имени. Удостоверившись в его наличии, приступайте к установке:

1. Кликните в КриптоПро CSP на «Установить личный сертификат».
   
2. Кликните «Обзор» и найдите на флешке файл .cer.
   
   
3. Если программа распознала файл, можете нажимать «Далее». Ознакомившись со свойствами сертификата, снова кликните «Далее».
   
   
4. Найдите ключевой контейнер, нажав на «Обзор». Укажите внешний носитель — флешку. Нажмите «ОК».
   
   
5. Перейдите «Далее», а затем найдите хранилище для сертификата, нажмите «Обзор», предварительно поставив отметку около надписи, подтверждающей установку сертификата в контейнер.
   
   
6. Отметьте папку для хранения сертификата ЭЦП. Подтвердите действия и завершите установку, нажав «Готово» в следующем окне.
   
   

Этот способ установки сертификата ЭЦП сложнее предыдущего, но в некоторых случаях доступен только он.

Лицензия криптопро в реестре [1017]

Лицензия КриптоПро хранится в реестре, её можно оттуда скопировать, либо ввести.

1. Перейти в ветку:

Открываем «хранилище сертификатов»

Чтобы просмотреть сертификаты в Виндовс 7, заходим в ОС с правами администратора.

Необходимость в доступе к сертификатам особенно важна для пользователей, которые часто совершают платежи в интернете. Все сертификаты хранятся в одном месте, так называемом Хранилище, которое разбито на две части.

Перенос сертификатов эцп из реестра windows на другой компьютер через криптопро

Необходимость переноса сертификатов на другой ПК может возникнуть в случае подозрений на то, что жесткий диск выходит из строя. Особенно остро стоит проблема, когда отсутствует токен с ЭЦП, и данные с него не скопированы на другой внешний носитель.

1. Войдите во вкладку «Сервис» программы КриптоПро CSP.
2. Нажмите «Обзор» и выберите ключевой носитель.

3. Введите новое имя контейнера. Нажмите «Готово».

4. Укажите новый носитель, куда происходит копирование сертификата.

5. Установите пароль и подтвердите его.

Теперь можно устанавливать сертификат с внешнего носителя на другой компьютер одним из описанных выше способом.

Просмотр через консоль управления

Предустановленной функцией просмотра секретной информации является консоль управления. Используя ее, тоже можно найти требуемые ключи. Для этого следует:

1. Запустить ОС.
2. Активировать «Командную строку» («cmd»).
3. Нажать на «Enter».
4. Вбить команду «mmc».
5. Тапнуть «Enter».
6. Открыть раздел «Файл».
7. Активировать вкладку «Добавить или удалить оснастку».
8. Кликнуть на «Добавить» и на «Добавить изолированную оснастку».
9. Выбрать вкладку «Сертификаты».

Таким же способом можно в формате чтения просматривать сертифицированные учетки, зарегистрированные в Виндовс. Также можно вносить, убирать, исправлять и копировать документы.

Сертификаты – текущий пользователь

Данная область содержит вот такие папки:

1. Личное > сюда попадают личные сертификаты (открытые или закрытые ключи), которые вы устанавливаете с различных рутокенов или etoken
2. Доверительные корневые центры сертификации > это сертификаты центров сертификации, доверяя им вы автоматически доверяете всем выпущенным ими сертификатам, нужны для автоматической проверки большинства сертификатов в мире. Данный список используется при цепочках построения доверительных отношений между CA, обновляется он в месте с обновлениями Windows.
3. Доверительные отношения в предприятии
4. Промежуточные центры сертификации
5. Объект пользователя Active Directory
6. Доверительные издатели
7. Сертификаты, к которым нет доверия
8. Сторонние корневые центры сертификации
9. Доверенные лица
10. Поставщики сертификатов проверки подлинности клиентов
11. Local NonRemovable Certificates
12. Доверительные корневые сертификаты смарт-карты

В папке личное, по умолчанию сертификатов нет, если вы только их не установили. Установка может быть как с токена или путем запроса или импорта сертификата.

В мастере импортирования вы жмете далее.

далее у вас должен быть сертификат в формате:

• PKCS # 12 (.PFX, .P12)
• Стандарт Cryprograhic Message Syntax – сертификаты PKCS #7 (.p7b)
• Хранилище сериализованных сертификатов (.SST)

На вкладке доверенные центры сертификации, вы увидите внушительный список корневых сертификатов крупнейших издателей, благодаря им ваш браузер доверяет большинству сертификатов на сайтах, так как если вы доверяете корневому, значит и всем кому она выдал.

Двойным щелчком вы можете посмотреть состав сертификата.

Из действий вы их можете только экспортировать, чтобы потом переустановить на другом компьютере.

Экспорт идет в самые распространенные форматы.

Еще интересным будет список сертификатов, которые уже отозвали или они просочились.

Список пунктов у сертификатов для компьютера, слегка отличается и имеет вот такие дополнительные пункты:

• AAD Token Issue
• Windows Live ID Token
• Доверенные устройства
• Homegroup Machine Certificates

Думаю у вас теперь не встанет вопрос, где хранятся сертификаты в windows и вы легко сможете найти и корневые сертификаты и открытые ключи.

Панель управления

Также есть возможность посмотреть сертификаты в Windows 7 через «Панель управления».

В открывшемся окне переходим во вкладку «Содержание» и щелкаем по надписи «Сертификаты».

В открывшемся окошке предоставлен перечень различных сертификатов. Чтобы посмотреть подробную информацию об определённой цифровой подписи, жмём по кнопке «Просмотр».

После прочтения данной статьи вам не составит никакого труда открыть «Хранилище сертификатов» Windows 7 и узнать подробную информацию о свойствах каждой цифровой подписи в вашей системе.

Установка сертификата эцп на компьютер

Чтобы беспрепятственно работать с СКПЭП, приобретите в УЦ токен (в нашей стране наиболее востребован Рутокен — решение для аутентификации российской разработки от компании «Актив»), на котором хранится информация, необходимая для создания и проверки ЭП. Затем инсталлируйте КриптоПро CSP на ПК, если криптопровайдер не интегрирован в токен.

https://youtube.com/watch?v=XqJ_jLCt4Rk%3Ffeature%3Doembed

Чтобы использовать возможности электронной подписи без подключения флешки к персональному компьютеру, установите на него сертификат ЭЦП. В зависимости от модели криптоносителя, может понадобиться установка драйверов. Выбирайте нужное ПО в Центре загрузок на портале производителя и инсталлируйте его на компьютер.