Настройка ЛК ФНС для Крипто-Про CSP

Введение

Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это — банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим. Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме.

Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:

1. Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
2. Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.

Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.

Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.

1.1.   Сведения о технических и программных средствах, обеспечивающих работу

Для работы с электронной подписью (ЭП) в Личном кабинете налогоплательщика юридического лица или индивидуального предпринимателя необходимо установить следующее программное обеспечение (ПО):

• ОС Windows XP SP3 или выше, либо Mac OS X9 или выше (например, Windows 7). Необходимо установить все официальные обновления, касающиеся информационной безопасности, для выбранной операционной системы;
• Криптопровайдер с поддержкой алгоритмов шифрования ГОСТ 34.10-2001 и ГОСТ 28147-89:
• КриптоПро версии 3.6.7777 и выше
• Vipnet CSP версии 4.2 (Windows 10 не поддерживается)
• Браузер с поддержкой шифрования защищенных соединений по ГОСТ 34.10-2001, 28147-89 («Internet Explorer» версии 8.0.6001 или выше;
• Набор драйверов и дополнительных утилит для работы с электронными ключами eToken PKI Client1 SP1;
• Программный компонент для работы с электронной подписью с использованием Web-браузера (Крипто ПРО ЭЦП browser plug-in версия 2.0

Ошибка копирования контейнера

Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.

Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.

Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.

Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему.

Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Штатные возможности CryptoPro не позволяют скопировать закрытый ключ в файл.

Запускаем Internet Explorer, открываем его настройки и переходим на вкладку Содержание. Там нажимаем на Сертификаты.

Выбираем нужный сертификат и нажимаем Экспорт.

Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ «Да, экспортировать закрытый ключ«, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.

Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.

Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке, жмите Экспорт и выберите файл формата .CER.

Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него.

Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам достаточно будет выбрать все параметры по-умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер.

Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.

1.2.   Установка Помощник 1.0

• На вопрос «Разрешить этому приложению вносить изменения на вашем устройстве?» отвечаем «Да»

• Нажимаем «Далее»

1.5.   Вход в личный кабинет ИП или ЮЛ на сайте ФНС с помощью ключа КЭП 

• Подключаем носитель КСКПЭП (флеш карта Rutoken или JaCarta) к компьютеру.
• В меню «Пуск» выберите Программы -{amp}gt; КРИПТО-ПРО -{amp}gt; КриптоПро CSP
• Нажмите «Серсвис»

• Далее «Просмотреть сертификаты в контейнере…»

• Нажмите «Обзор…» рядом с полем «Имя ключевого контейнера»: 

• Выбераем ключевой контейнер, соответствующий подключенному носителю электронной подписи и нажмите «Ок»

• Подтверждаем нажатием «Далее»

• Нажимаем «Готово» и закрываем программу.

• Ключ КСКПЕП установлен в хранилище сертификатов «Личные»

• Для начала необходимо запустить «Internet Explorer» сделать это можно сделав клик мыши на значек «Пуск» (1), написав в поиск слово «internet» (2) и в появившемся списке запустить «Internet Explorer» (3).

Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер

В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ.

1.4.   Выстраивание цепочки КСКПЭП

В некоторых случаях после установки КСКПЭП в хранилище сертификатов необходимо выстроить цепочку доверия к установленному личному сертификату.

Выберите установленный сертификат, кликнув по нему два раза левой кнопкой мыши.

Если под надписью «Сведения о сертификате вы видите «Этот сертификат предназначен для:» (рис.1) значит можете пропустить этот раздел и приступить к следующему разделу 1.5. Если вы видите восклицательный знак и надпись «Недостаточно информации для проверки этого сертификата» (рис.2) или что-то подобное – продолжайте по инструкции.

https://www.youtube.com/watch?v=wff0VDWy_Q4

Рис.2 

Онлайн курс “DevOps практики и инструменты”

Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, научиться непрерывной поставке ПО, мониторингу и логированию web приложений, рекомендую познакомиться с в OTUS. Курс не для новичков, для поступления нужны базовые знания по сетям и установке Linux на виртуалку. Обучение длится 5 месяцев, после чего успешные выпускники курса смогут пройти собеседования у партнеров. Проверьте себя на вступительном тесте и смотрите программу детальнее по .