криптопро сертификаты текущий пользователь

криптопро сертификаты текущий пользователь Электронная цифровая подпись

криптопро сертификаты текущий пользователь

Приглашаем всех 6 сентября 2022 года в 11:00 (МСК) принять участие в вебинаре “Особенности реализации требований приказа ФАПСИ №152 по учёту СКЗИ”, который совместно проведут компании КриптоПро и Spacebit.

В ходе мероприятия эксперты рассмотрят вопросы нормативного регулирования учета СКЗИ и выполнения соответствующих требований. Отдельное внимание будет уделено возможностям СКЗИ и особенностям их практического применения.

Ключевые темы:

  • Разбор основных требований приказа ФАПСИ №152 по учету СКЗИ;
  • Демонстрация возможностей системы X-Control по реализации требований приказа ФАПСИ №152;
  • Обзор возможностей СКЗИ КриптоПро CSP 5.0;
  • Текущий статус по сертификации различных версий КриптоПро CSP и КриптоПро УЦ.

Участие в мероприятии бесплатное, необходима регистрация.

Криптопровайдер КриптоПро на сегодняшний день является, пожалуй, самым популярным на рынке, по крайней мере в России. Я хочу рассказать, как быстро и удобно перенести большое количество контейнеров закрытых ключей CryptoPro и сертификатов к ним. Существует штатный механизм в самой программе, работает в ручном режиме и не подходит, когда надо перенести большое количество.

Онлайн-курс по Kubernetes – для разработчиков, администраторов, технических лидеров, которые хотят изучить современную платформу для микросервисов Kubernetes. Самый полный русскоязычный курс по очень востребованным и хорошо оплачиваемым навыкам. Курс не для новичков – нужно пройти вступительный тест.

Заказать настройку ЭЦП от 500 р.

Введение

Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это – банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим. Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме. Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:

  1. Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
  2. Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.

Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.

Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.

Для установки личного сертификата электронной подписи компании используйте один из способов:

  1. Установка сертификата автоматически с выбором хранилища
  2. Установка сертификата вручную с выбором хранилища
  3. Установка сертификата через «Личный сертификат»

Установка сертификата автоматически с выбором хранилища

1. Для того, чтобы установить личный сертификат, откройте «КриптоПро CSP» (Рис. 1).

криптопро сертификаты текущий пользователь
Рис. 1. Меню «Пуск»

2. В открывшейся программе перейдите во вкладку «Сервис», затем нажмите «Просмотреть сертификаты в контейнере» (Рис. 2).

криптопро сертификаты текущий пользователь
Рис. 2. Вкладка «Сервис»

3. В открывшемся окне нажмите кнопку «Обзор» (Рис. 3).

криптопро сертификаты текущий пользователь
Рис. 3. Окно «Сертификаты в контейнере закрытого ключа»

4. Выберите ключевой контейнер из списка и нажмите кнопку «Ок» (Рис. 4).

криптопро сертификаты текущий пользователь
Рис. 4. Выбор ключевого контейнера

5. В окне «Сертификаты в контейнере закрытого ключа» нажмите кнопку «Далее» (Рис. 5).

криптопро сертификаты текущий пользователь
Рис. 5. Окно «Сертификаты в контейнере закрытого ключа»

6. Затем нажмите кнопку «Установить» (Рис. 6).

криптопро сертификаты текущий пользователь
Рис. 6. Просмотр сертификата

7. Сертификат установится в хранилище «Личные» текущего пользователя.

Установка сертификата вручную с выбором хранилища

Для установки личного сертификата (сертификата вашей организации) вручную выполните следующие действия.

Читайте также:  Перевыпуск эцп причина

На рабочем столе нажмите кнопку «Пуск», выберите «Панель управления», затем «КриптоПро CSP». В появившемся окне «КриптоПро CSP» перейдите на вкладку «Сервис» и нажмите кнопку «Посмотреть сертификаты в контейнере» (Рис. 7).

криптопро сертификаты текущий пользователь
Рис. 7. Окно «КриптоПро CSP»

В открывшемся окне нажмите кнопку «Обзор» (Рис. 8).

криптопро сертификаты текущий пользователь
Рис. 8. Сертификаты в контейнере закрытого ключа

Выберите нужный контейнер и нажмите кнопку «Ок» (Рис. 9).

криптопро сертификаты текущий пользователь
Рис. 9. Выбор контейнера закрытого ключа

В следующем окне кликните по кнопке «Далее» (Рис. 10).

криптопро сертификаты текущий пользователь
Рис. 10. Сертификаты в контейнере закрытого ключа

Нажмите кнопку «Свойства» (Рис. 11).

криптопро сертификаты текущий пользователь
Рис. 11. Просмотр сертификата

В открывшемся окне нажмите кнопку «Установить сертификат» (Рис. 12).

криптопро сертификаты текущий пользователь
Рис. 12. Сведения о выбранном сертификате

Выберите расположение хранилища «Текущий пользователь» и нажмите «Далее» (Рис. 13).

криптопро сертификаты текущий пользователь
Рис. 13. Выбор расположения хранилища

Укажите расположение сертификата вручную, выбрав «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор» для выбора хранилища сертификатов (Рис. 14).

криптопро сертификаты текущий пользователь
Рис. 14. Выбор расположения сертификата

Выберите «Личное» и нажмите «Ок» (Рис. 15).

криптопро сертификаты текущий пользователь
Рис. 15. Список хранилищ

Нажмите кнопку «Далее» (Рис. 16).

криптопро сертификаты текущий пользователь
Рис. 16. Выбор хранилища

Нажмите кнопку «Готово» (Рис. 17).

криптопро сертификаты текущий пользователь
Рис. 17. Импорт сертификата

Нажмите кнопку «Ок» (Рис. 18).

криптопро сертификаты текущий пользователь
Рис. 18. Завершение импорта сертификата

Установка сертификата через «Личный сертификат»

Для установки личного сертификата (сертификата вашей организации) через «Личный сертификат» выполните следующие действия.

На рабочем столе нажмите кнопку «Пуск», выберите «Панель управления», затем «КриптоПро CSP». В появившемся окне «КриптоПро CSP» перейдите на вкладку «Сервис» и нажмите кнопку «Установить личный сертификат» (Рис. 19).

криптопро сертификаты текущий пользователь
Рис. 19. Окно «КриптоПро CSP»

В открывшемся окне нажмите кнопку «Обзор» (Рис. 20).

криптопро сертификаты текущий пользователь
Рис. 20. Расположение файла сертификата

Выберите нужный сертификат и нажмите кнопку «Открыть» (Рис. 21).

криптопро сертификаты текущий пользователь
Рис. 21. Выбор сертификата

В следующем окне нажмите кнопку «Далее» (Рис. 22).

криптопро сертификаты текущий пользователь
Рис. 22. Расположение файла сертификата

Нажмите кнопку «Далее» (Рис. 23).

криптопро сертификаты текущий пользователь
Рис. 23. Сертификат для установки

В открывшемся окне отметьте поле «Найти контейнер автоматически» (1) и нажмите кнопку «Далее» (2) (Рис. 24).

криптопро сертификаты текущий пользователь
Рис. 24. Контейнер

В окне «Хранилище сертификатов» нажмите кнопку «Далее» (Рис. 25).

криптопро сертификаты текущий пользователь
Рис. 25. Хранилище сертификатов

Нажмите «Готово» (Рис. 26).

криптопро сертификаты текущий пользователь
Рис. 26. Мастер установки личного сертификата

Отобразятся сообщения о чтении ключевой информации и произведении записи информации, нажмите «Ок» (Рис. 27, 28).

криптопро сертификаты текущий пользователь
Рис. 27. Список хранилищ
криптопро сертификаты текущий пользователь
Рис. 28. Список хранилищ

Если ранее сертифкат уже был в хранилище, то система предложит заменить его. Нажмите кнопку «Да» (Рис. 29).

криптопро сертификаты текущий пользователь
Рис. 29. Замена сертификата

Сертификат будет установлен.


Offline

HappyDragone

Оставлено
:

26 января 2022 г. 9:36:20(UTC)

1. Настраиваю получение метки времени в службе штампов времени АУЦ Банка России. Win 10 домашняя. На Win 10 Stunnel устанавливается как служба. Создан конф файл. Подписываю в КриптоАРМ 5, где указан адрес службы TSP. Не подписывает, вылетает ошибка

Описание ошибки в КриптоАРМ:
——————————————————————————-
Статус завершения операции: Неудача.
Длительность выполнения операции: 0:00:08.67
Входной файл: D:\10\UpdInfo.txt
Выходной файл: C:\Users\Serge\AppData\Local\Temp\~UpdInfo.txt.sig
Описание ошибки:
Ошибка сохранения сообщения (0x80004005)

Ошибка сохранения сообщения (0x80004005)

Произошла ошибка при создании подписи

Невозможно получить штамп времени.

Ошибка отправки запроса на штамп времени.

При попытке отправки запроса возникла ошибка HTTP (0xc2100100) (0x80004005)


Рекомендации УЦ после моего обращения по ошибке таковы:

Для того чтобы исправить данную ошибку, необходимо установить личный сертификат с привязкой к контейнеру, промежуточный сертификат Банка России и головной корневой сертификат Минком связи в хранилище «Сертификаты (локальный компьютер)» согласно инструкции по доступу к сервисам службы меток доверенного времени размещенной по ссылке http://cbr.ru/certificat…toveryayuschego_centra/.

Вероятнее всего у Вас сейчас сертификаты установлены в хранилище – «сертификаты – текущий пользователь».

Корневые-промежуточные установил в Локальный компьютер, а вот личный сертификат туда никак не ставится.

И ошибка не уходит.

Использую Крипто Про CSP 4.0.9944

Пожалуйста, подскажите, как настроить это? Может быть, кто-то сталкивался с настройкой получения метки времени на подпись через stunnel для взаимодействия со службой меток времени на подпись АУЦ Банка России.

2. Решил попробовать настроить на другом ПК с Win7 домашняя базовая. При попытке выполнить команду stunnel.exe – install в командной строке от имени Администратора вываливается:

Startservicectrldispatcher being called. this may take several seconds. please wait.

Как служба stunnel не появляется в оснастке “Службы”. Т.е. и здесь не судьба.

А настраивать придется все-таки в Win7, в офисе везде лицензионные Win7 установлены.

Пожалуйста, помогите. Что я делаю не так ?!

Вдруг кто-то уже сталкивался с настройкой и удачным результатом получения метки времени на подпись в АУЦ Банка России.

Если уж на Win 7 не получится, то хоть на Win 10, ибо есть одна машинка в офисе на Win 10 (не домашняя)


Offline

Санчир Момолдаев

Оставлено
:

28 января 2022 г. 9:09:42(UTC)

Добрый день!

согласно документации:
0xC2100100 При попытке отправки запроса возникла ошибка HTTP

какой адрес тсп указываете?

есть ли прокси?
если да необходимо настраивать согласно руководству tsp и ocsp


Offline

two_oceans

Оставлено
:

28 января 2022 г. 11:10:51(UTC)

Вообще, если работаете на Win10, желательно бы обновиться хотя бы на последнюю сертифицированную 4.0.9963 (если лицензии на 5.0 нет), либо на 5.0 R2 или новее. Суть в тои, что Десятка постоянно меняется и если у Вас не замороженная версия Десятки давности несколько лет, то не все будет гладко работать с 9944.

Цитата:

Корневые-промежуточные установил в Локальный компьютер, а вот личный сертификат туда никак не ставится.

Для этого нужно панель управления КриптоПро запустить с правами администратора (в 4 версии на первой вкладке общие соответствующая ссылка). Сработает если у пользователя есть права администратора (ну если с корневыми вышло, то полагаю есть).

Как обычно на вкладке “Сервис” нажимаете одну из кнопок “Просмотреть сертификаты в контейнере” либо “Установить личный сертификат”. Далее в мастере находите переключатель “введенное имя задает ключевой контейнер” выбираете “компьютера”. Если был просмотр сертификатов, то нажимаете “Установить” на последнем шаге.

Это должно установить сертификат в “Личные” локального компьютера. Тонкий момент разве что в том, что если хотите использовать реестр, то контейнер в реестре пользователя не видно в режиме компьютера, поэтому возможно потребуется сначала скопировать на флэшку (она видна в обоих режимах), потом обратно в реестр уже компьютера.

Цитата:

2. Решил попробовать настроить на другом ПК с Win7 домашняя базовая. При попытке выполнить команду stunnel.exe – install в командной строке от имени Администратора вываливается:

Пробел там не лишний между – и install? Это конечно самый простой способ создать службу, но не единственный. Также можно использовать другие способы: программку instserv (идет в комплекте у многих драйверов и программ), системную команду sc create (навскидку, у меня на Семерке создается практически одинаковый куст реестра с тем что создает сам stunnel)

Код:

sc create Stunnel binpath= "D:\Programs\Stunnel\stunnel.exe" DisplayName= "Stunnel Service"

либо добавление файла реестра экспортированного с одного компьютера импортом на другой. В случае файла реестра потребуется перезагрузка.

Ах да, не забывайте про разрядность системы.

Отредактировано пользователем 28 января 2022 г. 11:15:24(UTC)
| Причина: Не указана

Эта статья описывает типичные ошибки работы КриптоПро ЭЦП Browser plug-in в браузерах и предлагает способы их решения.

Появляется окно КриптоПро CSP Вставьте ключевой носитель

криптопро сертификаты текущий пользователь

Появление данного окна значит, что у Вас не вставлен носитель с закрытым ключом для выбранного Вами сертификата.

Необходимо вставить ключевой носитель. Убедитесть, что устройство отображается в Диспетчере Устройств Windows. Установите драйверы на устройство с сайта производителя если они не установлены.

Если предыдущие действия не помогли, необходимо переустановить сертификат в хранилище Личное текущего пользователя с привязкой к закрытому ключу. См статью.


Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)

криптопро сертификаты текущий пользователь

Эта ошибка возникает, когда невозможно проверить статус сертификата (нет доступа к спискам отзыва или OCSP службе), либо не установлены корневые сертификаты.

Проверьте, строится ли цепочка доверия: откройте сертификат (например через Пуск -> Все программы -> КриптоПро -> Сертификаты-Текущий Пользователь -> Личное -> Сертификаты), перейдите на вкладку Путь сертификации. Если на этой вкладке присутствуют красные кресты, или вообще нет ничего кроме текущего сертификата (кроме тех случаев если сертификат является самоподписанным), значит цепочка доверия не построена.

Скриншоты с примерами сертификатов, у которых не строится цепочка доверия.

криптопро сертификаты текущий пользователь
криптопро сертификаты текущий пользователь

Чтобы цепочка доверия построилась необходимо скачать и установить корневые и промежуточные сертификаты. Скачать их можно с сайта УЦ, издавшего сертификат.

Если вы используете квалифицированный сертификат, то попробуйте установить в доверенные корневые эти 2 сертификата. Это сертификаты Головного УЦ Минкомсвязи и Минцифры. От них, при наличии интернета, должна построится цепочка доверия у любого квалифицированного сертификата.

https://e-trust.gosuslugi.ru/#/portal/registry/ufo-certificate-card/34656 – страница сертифката, ссылка с серийным номером скачает файл сертификата

https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ca/download/2F0CB09BE3550EF17EC4F29C90ABD18BFCAAD63A

Чтобы установить скачанный сертификат в доверенные корневые центры сертификации, нажмите по нему правой кнопкой-Выберите пункт –Установить сертификат- Локальный компьютер (если такой выбор есть) – Поместить все сертификаты в следующие хранилище-Обзор-Доверенные корневые центры сертификации-Ок- Далее- Готово- когда появится предупреждение системы безопасности об установке сертификата- нажмите Да-Ок.

Если этого недостаточно, обратитесь в УЦ, выдавший вам сертификат, за сертификатом самого УЦ.

Полученный от УЦ сертификат является промежуточным в цепочке Минкомсвязи -> УЦ -> вы, поэтому при его установке выбирайте хранилище “Промежуточные центры сертификации”.

Важно: Если вы создаете CAdES-T (доверенное время) или CAdES-XLongType 1 (доверенное время и доказательства подлинности), ошибка цепочки может возникать если нет доверия к сертификату оператора TSP службы. В этом случае необходимо установить в доверенные корневые центры сертификации корневой сертификат УЦ, предоставляющего службу TSP.


При создании подписи появляется окно с ошибкой “Не удается найти сертификат и закрытый ключ для расшифровки. (0x8009200B)”, в информации о сесртификате отображается “нет привязки к закрытому ключу”

криптопро сертификаты текущий пользователь

Выполните привязку сертификата к закрытому ключу.

Важно: На наших демо-страницах подпись будет создана даже если привязки к ЗК нет. При этом сертификат должен находиться в контейнере. Сообщение “нет привязки к закрытому ключу” в данном случае будет носить информационный характер. Однако для обеспечения совместимости со сторонними площадками мы рекомендуем выполнять привязку сертификата к закрытому ключу.


Подпись создается, но также отображается статус “ошибка при проверке цепочки сертификатов”.

Это значит, что нет доступа к спискам отозванных сертификатов.

криптопро сертификаты текущий пользователь

Списки отозванных сертификатов можно скачать на сайте УЦ, выдавшем сертификат, после получения списка его необходимо установить, процедура идентична процедуре установки промежуточного сертификата ЦС. При отсутствии ограничений на доступ в сеть Интернет списки обновляются автоматически.


Ошибка: 0x8007064A/0x8007065B

криптопро сертификаты текущий пользователь

Причина ошибки – истёк срок действия лицензий на КриптоПро CSP и/или КриптоПро TSP Client 2.0 и/или Криптопро OCSP Client 2.0.

Для создания CAdES-BES подписи должна быть действующая лицензия на КриптоПро CSP.

Для создания CAdES-T должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0.

Для создания XLT1 должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0, КриптоПро OCSP Client 2.0

Посмотреть статус лицензий можно через: Пуск- Все программы- КРИПТО-ПРО- Управление лицензиями КриптоПро PKI.

Чтобы активировать имеющуюся лицензию:

– откройте Пуск -> Все программы -> КРИПТО-ПРО -> Управление лицензиями КриптоПро PKI

– выберите нужный программный продукт -> откройте контекстное меню (щелкнуть правой кнопкой мыши) -> выберите пункт “Все задачи” -> выберите пункт “Ввести серийный номер…”

– введите в поле информацию о лицензии и нажмите OK чтобы сохранить её.


Отказано в доступе (0x80090010)

криптопро сертификаты текущий пользователь

Причина ошибки: Истек срок действия закрытого ключа. Проверьте срок действия Зайдите в Пуск -> Все программы -> КРИПТО-ПРО -> Крипто-Про CSP. Перейдите на вкладку Сервис. Нажмите кнопку “Протестировать”, выберите контейнер с закрытым ключом кнопкой “Обзор” или “По сертификату” и в результатах тестирования Вы сможете увидеть срок его действия. Рекомендуется получить новый ключ.

криптопро сертификаты текущий пользователь


Ошибка: Invalid algorithm specified. (0x80090008)

Ошибка возникает, если Вы используете сертификат, алгоритм которого не поддерживается Вашим криптопровайдером.

Пример: У вас установлен КриптоПро CSP 3.9 а сертификат Выпущен по ГОСТ 2012.

Или если используется алгоритм хеширования, не соответствующий сертификату.

Так же проверьте актуальность версии КриптоПро CSP.

Развёртывание демонстрационного стенда производится на примере виртуальных машин
(допустимо использовать аппаратную платформу NGate). Подробное описание процесса установки ПО NGate и настройки в
консоли сетевых интерфейсов и других основных параметров см. в разделе: Мастер настройки при первом запуске. Подробное описание создания инфраструктуры PKI описано в Развёртывание инфраструктуры PKI с использованием встроенного сервиса Системы управления.

Схема демонстрационного стенда показана на рисунке Схема демонстрационного стенда для бесклиентского доступа. В
качестве шлюза NGate выступает ВМ с дистрибутивом complete, в котором Узел NGate и СУ совмещены,
имя машины ngate-vm-complete. В качестве АРМ Администратора выступает ПК с ОС Windows с уже установленным
криптопровайдером КриптоПро CSP. АРМ Администратора должен
находиться в той же локальной сети, что и виртуальная машина NGate для стенда.

Схема демонстрационного стенда для бесклиентского доступа

криптопро сертификаты текущий пользователь

  1. Создайте в программном обеспечении виртуализации виртуальную машину с
    параметрами:
    • Гостевая операционная система Debian Linux 9 x64;
    • ОЗУ – 1 ГБ;
    • Жесткий диск – 10 ГБ;
    • Виртуальные сетевые интерфейсы – 2 шт., тип сетевого адаптера
      E1000, тип сетевого взаимодействия Bridged
      Networking
      .
  2. Запустится мастер настройки при первом запуске, где нужно задать параметры
    сетевых интерфейсов, часовой пояс, сгенерировать внешнюю гамму (4) и открыть доступ по SSH.
  3. Первой запустится утилита ng-netcfg, где нужно задать
    параметры сетевых интерфейсов.
    1. Выберите Configure interfaces, нажмите
      OK:

      криптопро сертификаты текущий пользователь

    2. Выберите первый интерфейс для настройки, нажмите
      ОК:

      криптопро сертификаты текущий пользователь

    3. Выберите тип статический static:
      Configure static address, нажмите
      ОК:

      криптопро сертификаты текущий пользователь

    4. Введите параметры сетевого интерфейса, в данном примере параметры
      вводятся в соответствии со схемой на рисунке Схема демонстрационного стенда для бесклиентского доступа. После завершения ввода нажмите
      ОК.

      криптопро сертификаты текущий пользователь

    5. Выберите второй интерфейс для настройки:

      криптопро сертификаты текущий пользователь

    6. Выберите тип статический static:
      Configure static address, нажмите
      ОК:

      криптопро сертификаты текущий пользователь

    7. Введите параметры второго сетевого интерфейса, также в соответствии со
      схемой на рисунке Схема демонстрационного стенда для бесклиентского доступа. После завершения ввода нажмите
      ОК.

      криптопро сертификаты текущий пользователь

    8. Выберите один из интерфейсов для интерфейса управления
      management interface. Через данный интерфейс
      будет осуществляться доступ с АРМ Администратора к веб-интерфейсу
      управления ВМ NGate. Для выбора войдите в меню Select
      management interface.

      криптопро сертификаты текущий пользователь

    9. Установите курсор на нужный сетевой интерфейс и нажмите
      Пробел для выбора. В поле выбранного
      интерфейса появится (*). В качестве интерфейса
      управления для данного стенда назначим внутренний
      192.168.1.3. Нажмите OK
      для сохранения и возврата в основное меню утилиты.

      криптопро сертификаты текущий пользователь

    10. Перезагрузите сетевые интерфейсы для применения настроек: выберите
      Restart network.

      криптопро сертификаты текущий пользователь

    11. Выберите перезагрузку всех интерфейсов ALL и
      нажмите OK.

      криптопро сертификаты текущий пользователь

  4. Нажмите Cancel в основном меню утилиты
    ng-netcfg для продолжения настройки.

    криптопро сертификаты текущий пользователь

  5. Затем в мастере настройки запустится утилита ng-timezone для
    установки часового пояса.

    1. Выберите регион, соответсвующий вашему часовому поясу. Нажмите
      OK.

      криптопро сертификаты текущий пользователь

    2. Выберите город, соответсвующий вашему часовому поясу. Нажмите
      OK.

      криптопро сертификаты текущий пользователь

  6. Сгенерируйте элементы внешней гаммы в специальной
    утилите.

    1. В поле External Gamma нажмите
      OK.

      криптопро сертификаты текущий пользователь

    2. В дальнейшем будет использовано 8 элементов гаммы, столько
      .

      криптопро сертификаты текущий пользователь

    3. Введите Yes на запрос об перезаписи гаммы.

      криптопро сертификаты текущий пользователь

    4. Вводите произвольные символы с клавиатуры до завершения.

      криптопро сертификаты текущий пользователь

    5. Успешное завершение создания внешней гаммы. Нажмите
      OK для продолжения.

      криптопро сертификаты текущий пользователь

    6. Выберите дважды Cancel для возврата в главное
      меню и ещё раз Cancel в главном меню для
      продолжения работы мастера настройки.
  7. Откройте доступ по SSH для суперпользователя root по паролю: выберите
    Yes в запросе.

    криптопро сертификаты текущий пользователь

  8. ngate-vm-complete login: root
    Password:

  9. Запустите утилиту для создания инфраструктуры PKI
    внутреннего взаимодействия: введите ng-certcfg в командной
    строке. В демонстрационном стенде присутствует только одна машина NGate с
    дистрибутивом complete, и из всей инфраструктуры необходимо создать
    только защищённый доступ к веб-интерфейсу управления с АРМ Администратора.
  10. Создайте корневой сертификат MC Root Certificate.
    1. В данном примере в качестве замены Удостоверяющего центра используем
      внутренний сервис СУ. Выберите Work with internal MC
      service.

      криптопро сертификаты текущий пользователь

    2. Выберите MC Root Certificate.

      криптопро сертификаты текущий пользователь

    3. Создайте сертификат Generate.

      криптопро сертификаты текущий пользователь

    4. Выберите Yes в окне запроса про удаление
      текущего сертификата.

      криптопро сертификаты текущий пользователь

    5. Введите данные Корневого сертификата (MC Root
      Certificate) и нажмите OK.

      криптопро сертификаты текущий пользователь

    6. Сертификат успешно создан и установлен на данную машину NGate. Нажмите
      OK для возврата в меню работы с корневыми
      сертификатами.

      криптопро сертификаты текущий пользователь

  11. Создайте Серверный сертификат MC Server Certificate.

    1. Перейдите в меню взаимодействия с сертификатами внутреннего сервиса СУ.
      Выберите в данном меню MC Server
      Certificate.

      криптопро сертификаты текущий пользователь

    2. Выберите Generate key and certificate.

      криптопро сертификаты текущий пользователь

    3. Введите DNS-имя машины NGate в поле DNS-имя, в
      данном пример это ngate-vm-complete.

      криптопро сертификаты текущий пользователь

    4. Сертификат успешно создан, нажмите OK для возврата в главное меню
      утилиты.

      криптопро сертификаты текущий пользователь

    1. Выберите Generate key and certificate.

      криптопро сертификаты текущий пользователь

    2. Введите данные сертификата.

      криптопро сертификаты текущий пользователь

    3. Сертификат Администратора успешно сформирован.

      криптопро сертификаты текущий пользователь

  12. Выполните привязку Сертификат Администратора.

    1. Экспортируйте файл для привязки Export certificate for
      bindings.

      криптопро сертификаты текущий пользователь

    2. Сертификат успешно экспортирован.

      криптопро сертификаты текущий пользователь

    3. Привяжите сертификат администратора к данной машине NGate, выберите
      Create certificate bindings.

      криптопро сертификаты текущий пользователь

    4. Сертификат успешно привязан.

      криптопро сертификаты текущий пользователь

    5. Появится запрос о перезапуске сервисов для применения новых
      настроек.

      криптопро сертификаты текущий пользователь

  13. Экспортируйте закрытый ключ Сертификата Администратора на
    флеш-накопитель.

    1. Подключите к виртуальной машине NGate флеш-накопитель (без записанных
      файлов, в формате FAT32).
    2. Выберите из списка флеш-накопитель для экспорта закрытого ключа.

      криптопро сертификаты текущий пользователь

    3. Введите пароль для контейнера закрытого ключа. Затем ещё раз повторите
      пароль.

      криптопро сертификаты текущий пользователь

    4. Контейнер закрытого ключа успешно экспортирован.

      криптопро сертификаты текущий пользователь

  14. В консоли шлюза необходимо сформировать сервисные ключи. .

    1. Выберите в главном меню утилиты ng-certcfg
      Service keys management.

      криптопро сертификаты текущий пользователь

    2. Создайте новые сервисные ключи Generate.

      криптопро сертификаты текущий пользователь

    3. Сервисные ключи успешно сформированы, нажмите ОК
      для возврата в меню утилиты.

      криптопро сертификаты текущий пользователь

  15. Настройте АРМ Администратора для подключения
    к веб-интерфейсу управления машины NGate по защищённому каналу. Установите
    корневой сертификат (MC Root Certificate) на АРМ
    Администратора.

    1. Скопируйте файл корневого сертификата с машины NGate на АРМ
      Администратора. По умолчанию файл расположен:
      /tmp/mc_root_generated.cer. Используйте
      файловый менеджер c подключением по SSH или перенесите файл через
      флеш-накопитель.

      криптопро сертификаты текущий пользователь

    2. Установите корневой сертификат в хранилище доверенных корневых
      сертификатов. Нажмите правой кнопкой мыши на файле и выберите
      Установить сертификат.

      криптопро сертификаты текущий пользователь

    3. Выберите Локальный компьютер и
      нажмите Далее.

      криптопро сертификаты текущий пользователь

    4. Выберите хранилище для установки корневого сертификата: .

      криптопро сертификаты текущий пользователь

    1. Подключите к АРМ Администратора флеш-накопитель с контейнером закрытого
      ключа Сертификата администратора.

    2. Запустите КриптоПро CSP. Перейдите на вкладку
      Сервис и выберите Просмотреть
      сертификаты в контейнере.

      криптопро сертификаты текущий пользователь

    3. Выберите сертификат на флеш-накопителе, который был получен
      ранее.

      криптопро сертификаты текущий пользователь

  16. Пропишите на DNS-сервере сети или в файле хостов АРМ Администатора соответсвия
    DNS-имени (ngate-vm-complete) и адреса управления
    (192.168.1.3).
  17. Теперь возможно подключение к веб-интерфейсу машины NGate через браузер с поддержкой ГОСТ TLS, в котором
    производится дальнейшая настройка шлюза.

Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Удалил контейнер закрытого ключа


Offline

brightsolutions

Оставлено
:

10 января 2022 г. 19:18:22(UTC)

Просьба о помощи к знатокам.

Устанавливал новые сертификаты и по невнимательности удалил контейнер закрытого ключа (или даже их 2 было там). Сейчас не работает ЭЦП. Задача восстановить работу сервиса, чтобы сертификат был на компе, без внешних носителей. Подскажите, пожалуйста, что надо для этого сделать. Win 11, CryptoPro CSP 5.0.12330. Если нужна еще какая инфо – отвечу на все вопросы.

Честно смотрел ЧАВО, искал на других ресурсах, прямого и понятного решения своей проблемы не нашел. Буду благодарен всем идеям.

криптопро сертификаты текущий пользователь 01.jpg (46kb) загружен 7 раз(а).

Отредактировано пользователем 10 января 2022 г. 19:20:49(UTC)
| Причина: Не указана


Offline

nickm

Оставлено
:

10 января 2022 г. 19:24:10(UTC)

Автор: brightsolutions Перейти к цитате

и по невнимательности удалил контейнер закрытого ключа (или даже их 2 было там).

Поднимайте бэкапы.
В крайнем случае если контейнер был в реестре – ищите копии реестра, если на флэшке – пытайтесь с помощью программ восстановления и т.п.


Offline

brightsolutions

Оставлено
:

10 января 2022 г. 19:36:48(UTC)

Автор: nickm Перейти к цитате

Автор: brightsolutions Перейти к цитате

и по невнимательности удалил контейнер закрытого ключа (или даже их 2 было там).

Поднимайте бэкапы.
В крайнем случае если контейнер был в реестре – ищите копии реестра, если на флэшке – пытайтесь с помощью программ восстановления и т.п.

Бэкап системы не делал. Сделал восстановление к точке восстановления системы до удаления – не помогло. Переустанавливал КриптоПро – тоже без результата.

Контейнер был в реестре, внешние носители не использовал. Если я сам не делал копии реестра, они сами то не копируются, я полагаю.

Его можно как-то заново создать этот контейнер? Какие еще есть идеи?


Offline

nickm

Оставлено
:

10 января 2022 г. 20:41:50(UTC)

Автор: brightsolutions Перейти к цитате

Переустанавливал КриптоПро – тоже без результата.

Это бесполезное действие в Вашем, конкретном, случае.

Автор: brightsolutions Перейти к цитате

Контейнер был в реестре, внешние носители не использовал.

Контейнер хранится здесь, например, (1), (2).

Автор: brightsolutions Перейти к цитате

Его можно как-то заново создать этот контейнер?

У Вас что ли тестовые ключи?
Если нет, то повторное обращение в аккредитованный УЦ с отзывом сертификатов утерянных ключей.

Автор: brightsolutions Перейти к цитате

Какие еще есть идеи?

Давайте подождём вместе, главное, что бы Вы не усугубили уже сложившуюся ситуацию.


Offline

two_oceans

Оставлено
:

10 января 2022 г. 23:45:25(UTC)

Автор: brightsolutions Перейти к цитате

Если я сам не делал копии реестра, они сами то не копируются, я полагаю.

Наоборот. В точки восстановления с некоторых пор включается и реестр. Новые версии Windows (10 и скорее всего 11) кроме точек восстановления автоматически делают бэкап реестра примерно раз в 10 дней (то есть даже если точки отключены этот бэкап есть). Так что если с момента удаления прошло менее 10 дней и ключ существовал дольше 10 дней можно попробовать вытащить файл SOFTWARE из папки C:\Windows\System32\config\RegBack это соответствует HKEY_LOCAL_MACHINE\Software, где все ключи и должны быть. Вот только смущает, что уже пробовали откат на точку восстановления – при этом могла копия переписаться. Далее копию можно подгрузить в редактор реестра (встать на HKEY_LOCAL_MACHINE выбрать Файл – загрузить куст, ввести новое имя, Soft1, например), экспортировать нужные данные, выгрузить куст. Потом заменить в экспортированном файле имя \Soft1\ на \Software\ и импортировать обратно, подправить разрешения на контейнер.

Аналогичная операция может быть проделана и над копией реестра из точки восстановления – нет необходимости откатываться на точку, но потребуется шаманство с правами или с запуском редактора реестра от имени “системы”, чтобы увидеть содержимое точки и в частности копию реестра.

Отредактировано пользователем 10 января 2022 г. 23:52:37(UTC)
| Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.


Offline

brightsolutions

Оставлено
:

11 января 2022 г. 6:00:21(UTC)

Автор: nickm Перейти к цитате

Контейнер хранится здесь, например, (1), (2).

У меня по указанному пути вот что, похоже, контейнеров там нет:
криптопро сертификаты текущий пользователь 012.jpg (58kb) загружен 5 раз(а).

При переходе в директорию от второй и ниже в ругается вот так:
криптопро сертификаты текущий пользователь 201.jpg (22kb) загружен 5 раз(а).

Автор: nickm Перейти к цитате

Давайте подождём вместе, главное, что бы Вы не усугубили уже сложившуюся ситуацию.

Я сейчас только ищу инфо, собираю советы, ничего не делаю. Реестр вообще боюсь трогать. Надеюсь, умные люди еще что-то подскажут. Тогда и решим, что пробовать.


Offline

brightsolutions

Оставлено
:

11 января 2022 г. 6:05:15(UTC)

Автор: two_oceans Перейти к цитате

Так что если с момента удаления прошло менее 10 дней и ключ существовал дольше 10 дней можно попробовать вытащить файл SOFTWARE из папки C:\Windows\System32\config\RegBack это соответствует HKEY_LOCAL_MACHINE\Software, где все ключи и должны быть.

Проверил эту папку, к сожалению, она пустая (поставил галку отображать скрытые файлы и папки в свойствах file explorer)


Offline

nickm

Оставлено
:

11 января 2022 г. 6:10:22(UTC)

Автор: two_oceans Перейти к цитате

Аналогичная операция может быть проделана и над копией реестра из точки восстановления – нет необходимости откатываться на точку, но потребуется шаманство с правами или с запуском редактора реестра от имени “системы”, чтобы увидеть содержимое точки и в частности копию реестра.

Можно намного проще, например так, ну или конкретный пример.

Автор: brightsolutions Перейти к цитате

Я сейчас только ищу инфо, собираю советы, ничего не делаю. Реестр вообще боюсь трогать. Надеюсь, умные люди еще что-то подскажут. Тогда и решим, что пробовать.

Уже подсказали 😉
Как выше и сообщал – запасайтесь бэкапом, чтобы лишний раз не бояться.

Отредактировано пользователем 11 января 2022 г. 6:13:09(UTC)
| Причина: Не указана


Offline

brightsolutions

Оставлено
:

11 января 2022 г. 6:12:02(UTC)

Прошу прокомментировать, правильно ли я понимаю, что получив новую ЭЦП в УЦ при первой установке на выбранный носитель (реестр, флэш) генерится ключевой контейнер. При повторной установке ЭЦП на этот же комп или на любую другую машину или флэшку контейнер уже создаваться не будет? Т.е. контейнер для одной ЭЦП генерится только один раз.

Если это так, что в принципе логично, то ситуация тяжелая. Прямое решение – получение новой ЭЦП. Т.е. в моем случае это равносильно утере флешки с контейнером.

И еще, правильно ли я понимаю, что при получении новой ЭЦП и установке на машину, будет создан новый ключевой контейнер для новой ЭЦП, т.е. хочу понять, на данной машине кроме ЭЦП ничего не испорчено, новые ЭЦП при правильной установке будут штатно работать?


Offline

nickm

Оставлено
:

11 января 2022 г. 6:12:47(UTC)

Автор: brightsolutions Перейти к цитате

Проверил эту папку, к сожалению, она пустая (поставил галку отображать скрытые файлы и папки в свойствах file explorer)

Да, и тому есть объяснение, например здесь.

Отредактировано пользователем 11 января 2022 г. 6:15:10(UTC)
| Причина: Не указана


Offline

nickm

Оставлено
:

11 января 2022 г. 6:29:37(UTC)

Автор: brightsolutions Перейти к цитате

Прошу прокомментировать, правильно ли я понимаю, что получив новую ЭЦП в УЦ при первой установке на выбранный носитель (реестр, флэш) генерится ключевой контейнер.

Нет, не правильно.
Закрытый ключ, он же контейнер с закрытым ключом, формируется пользователем на АРМ самостоятельно. УЦ изготавливает лишь сертификат открытого ключа;

Автор: brightsolutions Перейти к цитате

Т.е. контейнер для одной ЭЦП генерится только один раз.

Слово ЭЦП уже из разговора исключили, можно просто ЭП, да и в данном контексте и оно окажется неуместным.
Ведь ЭП, это так сказать уже результат работы с закрытым ключом над каким либо файлом.
Да, генерируется один раз, после можно сохранить его как копию, например скопировав на носитель, и хранить в сейфе;

Автор: brightsolutions Перейти к цитате

И еще, правильно ли я понимаю, что при получении новой ЭЦП и установке на машину, будет создан новый ключевой контейнер для новой ЭЦП, т.е. хочу понять, на данной машине кроме ЭЦП ничего не испорчено, новые ЭЦП при правильной установке будут штатно работать?

Вам главное иметь рабочий ключ, а систему всегда/ зачастую всегда можно привести в порядок.

Отредактировано пользователем 11 января 2022 г. 6:32:32(UTC)
| Причина: Не указана


Offline

two_oceans

Оставлено
:

11 января 2022 г. 6:55:51(UTC)

Цитата:

Можно намного проще, например так

Коллега, по поводу версий файлов – ни на одном компьютере, который в доступности от меня это просто не работает. Даже если точек навалом. Склоняюсь к тому, что это вообще неработающая функция. Через ссылку – согласен, проще, вот только не уверен что это сработает, когда прав недостаточно: создание символической ссылки требует прав администратора. Добавьте набор гуида тома и поймете что это не самый легкий путь. Через LiveCD – у рядового пользователя еще надо подготовить такой. Это сложнее чем скачать psexec и запустить одной командой редактор реестра от системы.

Отредактировано пользователем 11 января 2022 г. 7:45:27(UTC)
| Причина: Не указана


Offline

brightsolutions

Оставлено
:

11 января 2022 г. 7:37:52(UTC)

Автор: nickm Перейти к цитате

Я сделал символическую ссылку, вижу ее на диске С из под системы, но войти в папку config не могу как раз по причине прав. Не понимаю, как открыть права на нее.
криптопро сертификаты текущий пользователь 1138.jpg (216kb) загружен 11 раз(а).

Есть одно сомнение. Я совершил свои манипуляции в день, когда установил новый сертификат. Наверное он не попал ни в какие бэкапы и теневые папки.

Отредактировано пользователем 11 января 2022 г. 7:50:03(UTC)
| Причина: Не указана


Offline

two_oceans

Оставлено
:

11 января 2022 г. 7:52:01(UTC)

Автор: brightsolutions Перейти к цитате

Не понимаю, как открыть права на нее.

По умолчанию проводник запускается без прав администратора (даже если текущий пользователь администратор). Решается либо предоставлением доступа для группы пользователи либо временным отключением UAC – контроля учетных записей (тогда проводник переходит в режим администратора незаметно) либо форсированием прав администратора (это тоже было на том блоге “не из коробки”, но точного адреса не запомнил). Короче, если открыт уже редактор прав – проще дать доступ группе пользователи, достать нужное, потом доступ отменить.

Хотя странно – доступ для чтения (перечисления файлов в папке) наверно должен быть?

Отредактировано пользователем 11 января 2022 г. 7:57:38(UTC)
| Причина: Не указана

Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер

В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже. Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:

wmic useraccount where name='user' get sid

Как узнать SID пользователя

В данном случай user – имя учетной записи, для которой узнаем SID. Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра (regedit.exe) и переходим в ветку:

\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\S-1-5-21-4126888996-1677807805-1843639151-1000\Keys

где S-1-5-21-4126888996-1677807805-1843639151-1000 – SID пользователя, у которого копируем сертификаты. Выбираем папку Keys и экспортируем ее. Этот путь актуален для 64-х битных систем – Windows 7, 8, 10. В 32-х битных путь может быть немного другой. Я специально не проверял, но поиском по реестру вы при желании найдете его.

Массовый перенос закрытых ключей сертификатов с компьютера на компьютер

Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи. Теперь нам нужно скопировать сразу все сертификаты. В Windows 7, 8 и 10 они живут в директории – C:\Users\user\AppData\Roaming\Microsoft\SystemCertificates\My. Сохраняйте эту директорию. Для переноса ключей и сертификатов нам надо скопировать на другой компьютер сохраненную ветку реестра и директорию с сертификатами My.

После того, как перенесли файлы со старого компьютера на новый, открываем файл с веткой реестра в текстовом редакторе и меняем там SID пользователя со старого компьютера на SID пользователя нового компьютера. Можно прям в блокноте это сделать поиском с заменой.

Замена SID пользователя

После этого запускаем .reg файл и вносим данные из файла в реестр. Теперь скопируйте папку My с сертификатами в то же место в профиле нового пользователя. На этом перенос сертификатов и контейнеров закрытых ключей КриптоПро завершен. Можно проверять работу. Я не раз пользовался этим методом, на текущий момент он 100% рабочий. Написал статью, чтобы помочь остальным, так как сам не видел в интернете подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя таковой получилась.

Копирование закрытого ключа через оснастку КриптоПро

Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.

Копирование закрытого ключа сертификата через оснастку КриптоПро

Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.

Выбор контейнер для экспорта

Часто задаваемые вопросы по теме статьи (FAQ)

Можно ли перенести сертификат, который находится на токене и защищен от копирования?

Очевидно, что предложенное в статье решение для этого не подойдет. Ведь тут идет речь о переносе сертификатов, которые хранятся в реестре, то есть уже были скопированы. Технические средства для копирования защищенных крипто контейнеров тоже существуют, но это не такое простое и очевидное решение.

Безопасно ли хранить сертификаты в реестре?

Это не безопасно и в общем случае я не рекомендую это делать. USB токены для хранения сертификатов придуманы не просто так. Они реально защищают сертификаты от несанкционированного копирования. Если у вас нет объективной необходимости копировать сертификаты в реестр, лучше этого не делать. Если вам нужно сделать бэкап сертификата на случай поломки токена, то просто скопируйте его в зашифрованный архив и сохраните на флешке.

Подойдет ли предложенный способ копирования сертификатов CryptoPro для VipNet?

Нет, не подойдет. В статье описан способ переноса сертификатов CryptoPro. Другие криптопровайдеры хранят сертификаты по-другому. Универсального способа для всех не существует.

Есть ли какой-то очень простой способ скопировать сертификаты crypto pro? То, что описано в статье слишком сложно для меня.

Да, есть статья на сайте контура, в ней ссылка на утилиту для копирования контейнеров Certfix. Можете воспользоваться ей.

Сертификат связан с модулем криптографии “Infotecs Cryptographic Service Provider” с типом 2

Дата обновления: 28.06.2022

Номер карточки: SD0000704

У данной ошибки имеется два сценария воспроизведения:

1. При подписании электронных документов.

При возникновении ошибки “Сертификат, связанный с закрытым ключом, указывает на модуль криптографии, отличный от текущего. Сертификат связан с модулем криптографии “Infotecs Cryptographic Service Provider” с типом 2.” необходимо выполнить проверку сертификата электронной подписи.

Алгоритм проверки электронной подписи:

В программном продукте 1С необходимо: – Перейти в раздел “Администрирование” – “Обмен электронными документами” – “Настройка электронной подписи и шифрования”.

– На вкладке “Сертификаты” открыть используемый сертификат.

– Убедиться, что в поле программа установлено значение “ViPNet CSP (ГОСТ 2012)”.

– Нажать на кнопку “Проверить”.

СертификатСвязанСМодулемКриптографииСТипом2Рис.1.jpg

– Ввести пароль закрытой части ключа и нажать “Проверить”.

СертификатСвязанСМодулемКриптографииСТипом2Рис.2.jpg

Если в ходе проверки напротив пункта “Подписание данных” возникнет сигнализирующий об ошибке красный символ, на него необходимо нажать для открытия технической информации об ошибке.

СертификатСвязанСМодулемКриптографииСТипом2Рис.3.jpg

Если в технической информации об ошибке указано “Сертификат, связанный с закрытым ключом, указывает на модуль криптографии, отличный от текущего. Сертификат связан с модулем криптографии “Infotecs Cryptographic Service Provider” с типом 2.”, необходимо повторно связать сертификат с контейнером. Как связать сертификат с контейнером указано ниже.

СертификатСвязанСМодулемКриптографииСТипом2Рис.4.jpg

2. При добавлении нового сертификата в настройки электронной подписи и шифрования.

Воспроизведение: Перейти в раздел Администрирование – Обмен электронными документами – Настройки электронной подписи и шифрования и во вкладке “Сертификаты” нажать “Добавить” и в открывшемся меню выбрать “Из установленных на компьютере”.

СертификатСвязанСМодулемКриптографииСТипом2Рис.5.jpg

В открывшемся окне необходимо выбрать актуальный сертификат и нажать “Далее

В следующем окне необходимо ввести пароль и нажать “Добавить”.

СертификатСвязанСМодулемКриптографииСТипом2Рис.7.jpg

Далее возможно возникновение ошибки “Сертификат, связанный с закрытым ключом, указывает на модуль криптографии, отличный от текущего. Сертификат связан с модулем криптографии “Infotecs Cryptographic Service Provider” с типом 2.”

СертификатСвязанСМодулемКриптографииСТипом2Рис.8.jpg

В случае её возникновения в предыдущем окне добавления сертификата необходимо нажать на кнопку “Показать данные сертификата, которые сохраняются в файле”. Данная кнопка визуализирована в виде иконки сертификата.

СертификатСвязанСМодулемКриптографииСТипом2Рис.9.jpg

В открывшемся окне нажать “Сохранить в файл…” и выполнить сохранение сертификата в любую доступную директорию компьютера и перейти к решению (см. ниже)

СертификатСвязанСМодулемКриптографииСТипом2Рис.10.jpg

Решение.

Для устранения ошибки “Сертификат, связанный с закрытым ключом, указывает на модуль криптографии, отличный от текущего. Сертификат связан с модулем криптографии “Infotecs Cryptographic Service Provider” с типом 2.” необходимо связать сертификат с закрытым ключом.

В окне ViPNet CSP нажать “Установить сертификат”

СертификатСвязанСМодулемКриптографииСТипом2Рис.11.jpg

В открывшемся окне необходимо выбрать директорию, куда был сохранен сертификат, выбрать сохраненный ранее сертификат и нажать “Открыть”.

СертификатСвязанСМодулемКриптографииСТипом2Рис.12.jpg

В мастере установки сертификатов нажать “Далее”

СертификатСвязанСМодулемКриптографииСТипом2Рис.13.jpg

При выборе хранилища необходимо выбрать “Текущий пользователь” и нажать “Далее”

СертификатСвязанСМодулемКриптографииСТипом2Рис.14.jpg

В следующем окне необходимо выбрать “Найти контейнер с закрытым ключом” и нажать “Далее”.

СертификатСвязанСМодулемКриптографииСТипом2Рис.15.jpg

Контейнер с закрытым ключом определится автоматический. В том случае, когда контейнер не определился необходимо нажать “Обзор” и выбрать контейнер вручную, а затем нажать “ОК” и завершить установку.

СертификатСвязанСМодулемКриптографииСТипом2Рис.16.jpg

После установки связи между сертификатом и закрытой частью ключа ошибка исправится.

СертификатСвязанСМодулемКриптографииСТипом2Рис.17.jpg

Ошибка копирования контейнера

Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:

Ошибка копирования контейнера

Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии. Либо вы просто не сможете его выбрать для копирования, если у вас последняя версия CryptoPro. Он будет неактивен:

Неэкспортируемый контейнер

Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему. Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Делаем это там же на вкладке Сервис в оснастке CryptoPro. Нажимаем Посмотреть сертификаты в контейнере.

Посмотреть список сертификатов в системе

Выбираем необходимый сертификат и нажимаем Посмотреть свойства сертификата.

Выбор сертификата

Далее переходим на вкладку Состав в информации о сертификате и нажимаем Копировать в файл.

Сохранение сертификата КриптоПро в файл

Если у вас после слов “Экспортировать закрытый ключ вместе с сертификатом” нет возможности выбрать ответ “Да, экспортировать закрытый ключ”, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.

Невозможно экспортировать закрытый ключ

Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, кроме удаления. Так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.

Формат экспортируемого ключа

Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке из оснастки Crypto Pro, жмёте Копировать в файл, экспортировать БЕЗ закрытого ключа. И выбираете файл формата .CER.

Перенос сертификата

Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него. В итоге у вас должны получиться 2 файла с расширениями:

  • .pfx
  • .cer

Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам нужно будет выбрать все параметры по умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер. Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.

КриптоПро CSP ошибка 0x80090010 Отказано в доступе

Иногда после переноса контейнеров закрытых ключей через экспорт – импорт ветки реестра с ключами можно увидеть ошибку доступа к контейнерам. Вроде бы все на месте, ключи есть в реестре. Их можно увидеть в останстке CryptoPro, но не получается прочитать. При попытке это сделать возникает ошибка:

КриптоПро CSP ошибка 0x80090010 Отказано в доступе

Ошибка обращения к контейнеру закрытого ключа. Ошибка 0x80090010: Отказано в доступе. Связано это с тем, что у текущего пользователя, под которым вы хотите получить доступ к контейнеру, нет полных прав на ветку реестра с хранящимися ключами. Исправить это просто. Переходите в редактор реестра и выставляйте полные права к ветке Keys для текущего пользователя.

Права доступа в реестре на ключи

Убедитесь так же, что новые права наследовались на дочерние ветки с самими ключами. Обычно это так, но перепроверить на всякий случай непомешает. После этого ошибка с доступом к контейнеру закрытого ключа исчезнет.

Онлайн курс по Kubernetes

Онлайн-курс по Kubernetes – для разработчиков, администраторов, технических лидеров, которые хотят изучить современную платформу для микросервисов Kubernetes. Самый полный русскоязычный курс по очень востребованным и хорошо оплачиваемым навыкам. Курс не для новичков – нужно пройти вступительный тест.

Если вы ответите “да” хотя бы на один вопрос, то это ваш курс:

  • устали тратить время на автоматизацию?
  • хотите единообразные окружения?;
  • хотите развиваться и использовать современные инструменты?
  • небезразлична надежность инфраструктуры?
  • приходится масштабировать инфраструктуру под растущие потребности бизнеса?
  • хотите освободить продуктовые команды от части задач администрирования и автоматизации и сфокусировать их на развитии продукта?

Сдавайте вступительный тест по ссылке и присоединяйтесь к новому набору!.

Заказать настройку ЭЦП от 500 р.

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector