сертификат для шифрования криптопро

сертификат для шифрования криптопро Электронная цифровая подпись
Содержание
  1. Немного про корневые и промежуточные сертификаты
  2. Как скопировать эцп из реестра на флешку
  3. Ошибка исполнения функции при подписании ЭЦП
  4. Что дает установка сертификата ЭЦП КриптоПро ?
  5. Наш каталог продукции
  6. Недостаточно прав для выполнения операции в КриптоПро
  7. Как видите предпосылок и вариантов переноса сертификатов из реестра на другой компьютер, предостаточно.
  8. КриптоПро вставлен другой носитель
  9. Копирование закрытого ключа из КриптоПро
  10. Установка сертификатов
  11. КриптоПро CSP
  12. Электронная подпись описи содержания пакета недействительна
  13. Проблемы с браузером
  14. Не работает служба инициализации
  15. Перенос сертификатов из реестра без КриптоПРО
  16. Глава вторая
  17. Ошибка КриптоПро «0x80090008»
  18. Удаление программы
  19. Установка актуального релиза
  20. Ошибка при проверке цепочки сертификатов в КриптоПро
  21. Генерация тестового сертификата
  22. Установка КриптоПро ЭЦП Browser plug-in.
  23. Сертификаты не отвечают критериям КриптоПро
  24. Массовый перенос ключей и сертификатов CryptoPro на другой компьютер
  25. Создание подписанного документа
  26. Для чего эта программа?
  27. Инструменты КриптоПро
  28. Установка сертификата УЦ, который выдал ЭЦП
  29. Установка закрытого ключа в реестр
  30. «1С-ЭДО» не видит КриптоПро CSP
  31. Установка корневого сертификата КриптоПро в реестр
  32. Сертификат от удостоверяющего центра
  33. Глава первая
  34. Перенос сертификатов в виде пошаговой инструкции
  35. Где хранится закрытый ключ в реестре Windows
  36. Инструкция по созданию файла, подписанного ЭЦП, с использованием ПО КриптоПро
  37. Когда нужно копировать сертификаты КриптоПРО в реестр
  38. Когда нужно переносить сертификаты в другое место?

Немного про корневые и промежуточные сертификаты

Проделав всю эту работу, меня не покидало чувство, что вся система построена не очень безопасно, требует от пользователя кучу дополнительных операций и доверия многим факторам: от поисковой системы, которая может не выдать первой строкой официальный сайт УЦ, до работы самого персонала УЦ, который выкладывает сертификаты без контрольных сумм на сторонние веб сервисы в проприетарных форматах контейнеров.

У сертификатов есть поле точки распространения списка отзывов (CRL), в котором прописан путь получения списка отозванных сертификатов. При проверке ЭП на каком-то документе кроме установки промежуточного и корневых сертификатов нужно также установить и последний список отозванных и обновлять его перед каждой проверкой (данная процедура автоматизируется специализированным софтом, но штатные средства вроде бы так не умеют). На портале e-trust у каждого сертификата указан путь к такому списку и он может отличаться от того, что написано в самом сертификате. Чему верить? Не совсем понятно.

сертификат для шифрования криптопро

В заключение статьи хочется отметить, что проверка ЭП на электронных документах по силам каждому, однако это не совсем тривиальный процесс, требующий некоторых знаний. Возможно, что в будущем этот процесс упростится. Кроме этого остается открытым вопрос проверки ЭП на мобильных устройствах, а ведь они сейчас стали основным инструментом пользователей, давно опередив персональные компьютеры.

После написания статьи осталось несколько открытых вопросов, которые хотелось бы обсудить с сообществом:

  • аналоги КриптоПро, особенно opensource инструменты для создания и проверки ЭП;
  • добавление валидации ЭП не только в Adobe Acrobat Reader DC, но и в Foxit Reader и другие;
  • оставшиеся за пределами данной статьи проблемы, которые также важны и требуют внимания, но не проявились в моём случае.

UPD 1: После написания статьи мне подсказали, что есть ещё один криптопровайдер, ViPNet CSP, который тоже может помочь с ГОСТовскими криптоалгоритмами в системе. Одновременная установка его с КриптоПро CSP под вопросом.

КДПВ: edar, Pixabay

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Всегда-ли вы проверяете ЭЦП в полученных электронных документах?

Проголосовали 70 пользователей. Воздержались 28 пользователей.

Как скопировать эцп из реестра на флешку

Предположим, что у вас стоит задача скопировать контейнер из реестра, так как он уже там, то он экспортируемый, для этого открываем криптопро, “Сервис-Скопировать”

Выбираете “Обзор” и ваш сертификат из реестра.

сертификат для шифрования криптопро

Задаете ему новое имя, удобное для себя.

сертификат для шифрования криптопро

После чего вас попросят указать флешку, на которую вы будите копировать контейнер с закрытым ключом из реестра.

сертификат для шифрования криптопро

Обязательно задайте новый пароль.

сертификат для шифрования криптопро

Ну и собственно теперь открывайте вашу флешку и лицезрейте перенесенный на него контейнер, он будет состоять из файликов с форматом key.

сертификат для шифрования криптопро

Как видите КриптоПРО, это конвейер, который позволяет легко скопировать сертификат из реестра на флешку или даже дискету, если они еще используются.

Ошибка исполнения функции при подписании ЭЦП

Ошибка свидетельствует об отсутствии лицензии на продукт КриптоПро CSP. Зачастую она возникает при попытке подписать документ на торговых площадках или в информационных системах (ЕГАИС, ЖКХ, Росреестр, Госуслуги и др.

Лицензия на криптопровайдер может быть привязана к АРМ или встроена в сертификат ЭП. В первом случае необходимо убедиться, что лицензия введена на рабочем ПК и актуальна. Срок действия можно уточнить на вкладке «Общее» в меню запущенного криптопровайдера. Если он истек, необходимо обратиться к разработчику или официальному дистрибьютору для продления или покупки новой лицензии. Во втором случае ошибка исполнения функции при подписании ЭЦП возникает при отсутствии установленного на ПК сертификата.

Что дает установка сертификата ЭЦП КриптоПро ?

Установка сертификата ключа в реестр дает пользователю ряд преимуществ:

  • работать автономно (не надо все время устанавливать флешку и запрашивать сетевое подтверждение подлинности ЭП);
  • интегрироваться в любую рабочую среду;
  • генерировать подпись и зашивать подтверждение ее актуальности в реквизиты в момент подписания;
  • быстро архивировать и хранить документы.

Единственное, что необходимо в момент подписания документа — доступ к онлайн-службам сервиса CSP (сервер с метками времени и хранилища сертификатов).

За 30 минут настроим ЭЦП Рутокен для работы под ключ.

Оставьте заявку и получите консультацию в течение 5 минут.

Оцените, насколько полезна была информация в статье?

Наш каталог продукции

У нас Вы найдете широкий ассортимент товаров в сегментах кассового, торгового, весового, банковского и офисного оборудования.

Посмотреть весь каталог

Недостаточно прав для выполнения операции в КриптоПро

Ошибка сопровождается уведомлением «У компонента недостаточно прав для доступа к сертификатам». Чаще всего возникает в двух ситуациях:

Если система уведомила пользователя, что у него недостаточно прав для выполнения операции в КриптоПро, проблема может иметь следующие причины:

Browser plug-in — обязательный компонент для применения ЭП на веб-страницах. Он расширяет возможности криптопровайдера, позволяет формировать и проверять электронную подпись на интернет-ресурсах. Без этой программы, КриптоПро не сможет связаться с веб-страницей и реализовать на ней функции КЭП. Пользователи ничего не платят за этот модуль, он размещен в свободном доступе на сайте и совместим с любыми операционными системами. Как установить:

  • Сохранить дистрибутив cadesplugin.exe.
  • Запустить инсталляцию, кликнув по значку установщика.
  • Разрешить программе внесение изменений клавишей «Да».

Появится уведомление об успешном результате. Нажмите ОК и перезагрузите браузер, чтобы коррективы вступили в силу.

Для работы с сертификатом ЭП рекомендуется использовать браузер Microsoft Internet Explorer (MIE) — для него не требуются дополнительные настройки. На завершающем этапе необходимо добавить сайт в список доверенных:

  • Через меню «Пуск» (CTRL+ESC) найти продукт КриптоПро CSP.
  • Зайти в настройки плагина ЭЦП Browser.
  • В разделе «Список доверенных узлов» ввести адреса всех ресурсов, принимающих ваш сертификат.

Если после перезагрузки ПК проблема не решена, рекомендуется удалить плагин и выполнить повторную инсталляцию.

Подберем подходящий вид электронной подписи для вашего бизнеса за 5 минут!

Оставьте заявку и получите консультацию.

Как видите предпосылок и вариантов переноса сертификатов из реестра на другой компьютер, предостаточно.

Какие есть варианты по копированию контейнеров закрытых ключей?

  • Если мы создаем единый терминал (Виртуальную машину), на которой будут коллективно работать пользователи, то можно произвести конвертирование физической тачки в виртуальную машину
  • Если будет просто замена жесткого диска, то можно произвести его клонирование или перенос системы на SSD с помощью специальных утилит
  • Можно воспользоваться утилитой КриптоПРО
  • Воспользоваться экспортом из реестра Windows.

КриптоПро вставлен другой носитель

Ошибка «Вставьте ключевой носитель» или «Вставлен другой носитель» возникает при попытке подписания электронного документа. Сначала следует убедиться, что USB-токен с сертификатом подключен к ПК (в качестве носителя используются защищенные криптоключи или обычные флешки). Токен должен соответствовать сертификату. Если носитель подсоединен к ПК, но сообщение об ошибке все равно появляется, следует переустановить сертификат через CryptoPro:

  • Выбрать из списка ключевой контейнер, нажать ОК и «Далее».
  • Нажать «Установить». Если появится предупреждение о том, что сертификат уже присутствует в хранилище, дать согласие на его замену.
  • Дождаться загрузки сертификата в хранилище «Личное» и нажать ОК.

После переустановки рекомендуется перезагрузить ПК. Для первичной инсталляции СКПЭП применим аналогичный алгоритм действий.

Мы готовы помочь!

Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариям

Копирование закрытого ключа из КриптоПро

Это самый простой способ, и будет актуальным при небольшом количестве контейнеров с закрытыми ключами. Чтобы выполнить перенос сертификатов из реестра, откройте ваш КриптоПРО, вкладка “Сервис”, нажимаем кнопку “Сервис”, далее через кнопку “Обзор”, откройте “Выбор ключевого контейнера” и укажите, какой сертификат вы будите переносить. В моем примере это контейнер “Копия сертификата в реестре (Семин Иван)”.

сертификат для шифрования криптопро

Нажимаем “Далее”, вас попросят задать новое имя контейнера с закрытым ключом, введите понятное для себя, для удобства.

сертификат для шифрования криптопро

У вас откроется окно с выбором носителей, вы можете выбрать либо токен, либо флешку для переноса на другое место. У меня это внешний жесткий диск Z:.

сертификат для шифрования криптопро

Задаем обязательно пароль, с точки зрения безопасности, так как файлы в таком виде просто скомпрометировать.

сертификат для шифрования криптопро

Все, на выходе я получил папку со случайным названием и набором ключей в формате key.

сертификат для шифрования криптопро

Если вы пытаетесь копировать сертификат с токена, то в ряде случаев у вас может появиться ошибка: Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.

сертификат для шифрования криптопро

Связана такая ситуация, что в целях псевдобезопасности, удостоверяющие центры выпускают закрытые ключи без возможности экспорта, и таким образом увеличивают свою прибыль, так как в случае утери или поломки токена, вам придется его перевыпускать, а так как экспорт запрещен, то бэкапа вы сделать не сможете.

Если вы получили ошибку копирования контейнера. У вас нет разрешений на экспорт ключа, то метод с КРиптоПРО вам не поможет

Установка сертификатов

Используя Инструменты КриптоПро, перейдите в пункт меню “Сертификаты” и установите сертификат Федерального казначейства в “доверенные корневые центры сертификации”.

Читайте также:  Как узнать Fsrar id рутокен? - Подборки ответов на вопросы

сертификат для шифрования криптопро

Затем повторите процедуру для ЭЦП сотрудника, выбрав место установки сертификата “Личное”. Подготовка завершена.

КриптоПро CSP

Для подписи электронных документов, будем использовать программное обеспечение КриптоПро CSP.

сертификат для шифрования криптопро

Использование иных криптографических программ под административную ответственность руководителей и лиц, использующих ПО СКЗИ, не имеющих действующего сертификата соответствия ФСБ РФ.

Электронная подпись описи содержания пакета недействительна

Одной КЭП можно сразу заверить несколько файлов. В одном письме адресат может отправлять комплект документации и отдельно к нему опись, где перечислены все файлы. Перечень документов тоже нужно визировать ЭП.

Если при попытке заверить ведомость пользователь увидит сообщение о недействительности сертификата, значит подписать основной комплект тоже не удастся. Эта ошибка распространяется на все типы файлов, а не на какой-то конкретный документ.

Причина сбоя — нарушение доверенной цепочки, о которой было сказано ранее. В первую очередь следует проверить наличие и корректность КС и ПС. Если они установлены, удалите эти файлы и загрузите снова.

Проблемы с браузером

Для заверки электронных файлов в интернете разработчик СКЗИ рекомендует использовать встроенный веб-обозреватель MIE. Но даже с ним бывают сбои. Если это произошло, зайдите в браузер под ролью администратора:

  • Кликните по значку браузера на рабочем столе.
  • В контекстном меню выберите соответствующую роль.

Чтобы всякий раз не предпринимать лишние действия, в настройках можно задать автоматический доступ под нужными правами. Неактуальную версию браузера необходимо обновить до последнего релиза. Также следует отключить антивирусные программы, так как многие из них блокируют работу СКЗИ, воспринимая как вредоносное ПО.

Не работает служба инициализации

Если работа сервиса инициализации Crypto Pro приостановлена, СКПЭП тоже не будет работать. Запустите командную строку клавишами Win+R:

  • Введите команду services.msc.
  • В разделе «Службы» выберите «Службу инициализации» и проверьте в свойствах ее активность.

Если сервис отключен, запустите его и нажмите ОК. После перезапуска ПК электронная подпись должна снова работать корректно.

Перенос сертификатов из реестра без КриптоПРО

Существуют методы экспортировать закрытый ключ и без изспользования утилиты КриптоПРО. Представим себе ситуацию, что у вас на него кончилась лицензия и вы не успели ее купить. Вам нужно сдать отчетность в СБИС. Вы развернули CryptoPRO на другом компьютере, так как он позволяет 3 месяца бесплатного использования, осталось для СБИС выполнить перенос сертификатов, которые у вас в реестре Windows.

У нас два варианта:

  • Использование оснастки mmc-Сертификаты пользователя.
  • Использование Internet Explore

Как открыть оснастку сертификаты я уже подробно рассказывал, посмотрите. Откройте там контейнер “Личное – Сертификаты”. Если у вас в контейнере не один сертификат с одинаковым именем, такое может быть, то откройте сертификат в оснастке mmc и в КриптоПРО и сравните серийные номера сертификата.

сертификат для шифрования криптопро

В Internet Explore, откройте “Свойства браузера – Содержание – Сертификаты”

сертификат для шифрования криптопро

Теперь нам необходимо его экспортировать, в оснастке “Сертификаты”, через правый клик, это можно сделать, в Internet Explorer, сразу видно кнопку, экспорт.

сертификат для шифрования криптопро

У вас откроется мастер переноса сертификатов, на первом шаге, просто нажимаем далее. После чего вас спросят, что вы хотите экспортировать, выбираем пункт “да, экспортировать закрытый ключ вместе с сертификатом”

сертификат для шифрования криптопро

Если ваш закрытый ключ запрещено экспортировать, то эта кнопка будет не активна, и можете сразу закрывать данный метод и переходить к следующему.

сертификат для шифрования криптопро

Следующим этапом в мастере экспорта сертификатов, вам необходимо выбрать формат выгрузки, это будет PFX архив.

сертификат для шифрования криптопро

Далее вы задаете обязательно пароль и указываете имя и место, где будите сохранять ваш переносимый контейнер с зарытым ключом в формате pfx.

сертификат для шифрования криптопро

Мастер экспорта сертификатов, выведет вам сводные данные, нажимаем “Готово”.

сертификат для шифрования криптопро

Отрываем локацию, куда вы его выгрузили, и найдите свой pfx архив.

сертификат для шифрования криптопро

Теперь вам нужно еще выгрузить открытый ключ в формате cer, для этого так же зайдите в мастер экспорта, но на этот раз выберите “Нет, не экспортировать закрытый ключ”.

сертификат для шифрования криптопро

Выберите формат файла “X. 509 (. CER) в кодировке DEP”, задайте ему имя и место сохранения. На выходе у вас появятся два файла.

сертификат для шифрования криптопро

Одни открытый ключ в формате cer и закрытый ключ в формате pfx. Этого набора вам будет достаточно, чтобы перенести сертификаты СБИС, Контура и остальных программ на другой компьютер.

сертификат для шифрования криптопро

Теперь перенесите эти файлы на другое рабочее место и просто запустите, через простой двойной клик. У вас откроется мастер импорта сертификатов, на первом окне выберите нужное вам хранилище, я в своем примере оставлю “Текущий пользователь”.

сертификат для шифрования криптопро

На втором шаге проверяем импортируемый сертификат.

сертификат для шифрования криптопро

Указываем пароль, который задавали при выгрузке.

сертификат для шифрования криптопро

Оставляем автоматический выбор хранилища на основе типа сертификатов.

сертификат для шифрования криптопро

Готово. Со вторым файлом то же самое. После чего у вас будут перенесены нужные вам ключи и сам сертификат, можно работать.

Глава вторая

Порывшись в почте, я нашел еще один электронный договор. По счастливой случайности, им тоже оказался страховой полис, но на этот раз еОСАГО от АО “Тинькофф Страхование”. Открываем сертификат, смотрим выпустившую сертификат организацию. Ей оказывается АО “Тинькофф банк”. Да, оказывается у них есть свой УЦ, который выдает сертификаты дочерним организациям (у Сбербанка тоже есть свой УЦ, но в дочерних структурах он не используется).

По отработанному алгоритму идём в поисковую систему с запросом “тинькофф сертификат”, находим официальный сайт УЦ АО Тинькофф Банк. Тут нас встречает изобилие ссылок на корневые сертификаты, списки отозванных сертификатов и даже видеоинструкция по их установке. Скачиваем “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34. 2012”, на этот раз ссылка ведёт не на сторонний сервис, а на сайт банка. Формат файла P7B не очень известный, но открывается Windows без установки стороннего софта и показывает находящиеся в нём сертификаты. Здесь уже привычный корневой сертификат от Минкомсвязи (другой, не тот, что в первом случае) и промежуточный сертификат УЦ банка.

сертификат для шифрования криптопро

Ставим оба, проверяем сертификат в полисе. Но нет, сертификат не является доверенным, т. система не может подтвердить поставщика сертификата. На сайте УЦ было 2 ссылки на 2 цепочки сертификатов, один для ГОСТ Р 34. 2001, другой для ГОСТ Р 34. 2012. Полис был выпущен в этом году, логичнее бы его подписать уже более современным криптоалгоритмом (тем более уже есть версия ГОСТ от 2018 года, алгоритмы обновляются довольно часто), но давайте проверим старый.

сертификат для шифрования криптопро

В новом файле формата P7B оказывается уже 3 файла сертификатов. Можно поставить все 3, однако стоит заметить, что сертификат “Головного удостоверяющего центра” мы поставили в первой главе из RAR архива ООО “ИТК”, они идентичны. А сертификат с не очень говорящим названием “УЦ 1 ИС ГУЦ” поставил КриптоПро CSP, т. галочка об установке корневых сертификатов была установлена по-умолчанию в его инсталляторе. Единственным новым является сертификат АО “Тинькофф Банк”, который мы и ставим.

После установки сертификатов из “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34. 2001” путь в сертификате прорисовался и система радостно сообщила, что он является доверенным. Adobe Acrobat Reader DC также подтвердил, что подпись действительна.

сертификат для шифрования криптопро

На этом приключения с проверкой ЭП на полисе еОСАГО завершаются. Заметно, что после того, как в системе уже установлен необходимый софт, а пользователь понимает принципы работы и поиска промежуточных сертификатов, то проверка подписи занимает уже меньше времени.

Но проблемные места по-прежнему видны: необходимо искать в интернете официальные сайты удостоверяющих центров, разбираться в инструкциях по установке сертификатов. Даже при установленных корневых сертификатах необходимо искать промежуточный, иначе цепочка доверия будет не полной и система не сможет подтвердить достоверность подписи.

Ошибка КриптоПро «0x80090008»

Если версия CryptoPro не соответствует новым условиям сдачи отчетности, пользователь увидит на экране уведомление с кодом ошибки «0x80090008». Это значит, что на ПК установлен устаревший релиз программы, и его необходимо обновить. Для начала проверьте сертификат:

  • Откройте «КриптоПро CSP сервис» и выберите команду «Протестировать».
  • Нажмите кнопку «По сертификату» и укажите нужный файл.

При наличии ошибки в СЭП система на нее укажет.

Удаление программы

Если никаких проблем не обнаружено, ошибку неправильного алгоритма поможет устранить переустановка СКЗИ:

  • Найти криптопровайдер через «Пуск».
  • Выбрать команду «Удалить».
  • Перезагрузить ПК.

Чтобы новая программа работала корректно, перед установкой требуется удалить все следы старой версии с помощью фирменной утилиты cspclean от CryptoPro:

  • Запустить файл cspclean.exe на рабочем столе.
  • Подтвердить удаление продукта клавишей «ДА».
  • Перезагрузить компьютер.

Контейнеры, сохраненные в реестре, удалятся автоматически.

Установка актуального релиза

Дистрибутивы для скачивания СКЗИ размещены в разделе «Продукты» и доступны для скачивания всем авторизованным пользователям. Создание ЛК занимает не более 5 минут:

  • Нажмите кнопку «Регистрация».
  • Введите личные данные и подтвердите согласие на доступ к персональной информации.

В каталоге продуктов выберите версию криптопровайдера с учетом ОС, загрузите установщик на ПК, запустите его и следуйте подсказкам. При установке ПО требуется указать серийный номер лицензии (если срок действия еще не истек). Эту информацию можно уточнить в приложении к договору.

По отзывам пользователей, переустановка ПК почти всегда помогает в устранении ошибки «0x80090008». Если проблема не решена, рекомендуется написать в техподдержку разработчика или обратиться к официальному дистрибьютору, у которого вы купили лицензию.

Ошибка при проверке цепочки сертификатов в КриптоПро

Юридически значимую документацию можно заверить электронной подписью только в том случае, если СКЗИ подтвердит надежность (доверенность) сертификата. Для этого программа проверяет цепочку сертификации (ЦС), состоящую из таких элементов:

  • корневой сертификат от Минкомсвязи (начальное звено цепи), выданный УЦ;
  • промежуточный сертификат УЦ (ПС);
  • СКПЭП.

Правильно построенная ЦС подтверждает, что СКПЭП (конечное звено) имеет доверенный путь (от Минкомсвязи к УЦ, от УЦ к пользователю). Ошибка при проверке цепочки сертификатов в КриптоПро свидетельствует о том, что минимум один элемент в этой системе искажен. ЭП при этом считается недействительной и не принимается для подписания файлов.

ПричинаРешениеОдин из сертификатов поврежден или некорректно установленПереустановить сертификатНеправильно установлено СКЗИ (или стоит устаревшая версия)Удалить и заново установить программуУстаревшая версия веб-браузераОбновить браузерНа ПК не актуализированы дата и времяУказать в настройках компьютера правильные значения

  • Открыть документ от Минкомсвязи на компьютере.
  • В разделе «Общее» выбрать команду установки.
  • Установить галочку напротив пункта «Поместить в хранилище».
  • Из списка выбрать папку «Доверенные корневые центры».
  • Нажать «Далее» — появится уведомление об успешном импорте.

По завершении процедуры рекомендуется перезагрузить ПК. Если сбой не устранен, переходим к промежуточному компоненту. При утере ПС его можно загрузить с официального сайта УЦ. Процесс установки такой же, как и для КС, но в качестве хранилища должно быть указано «Промежуточные центры».

Читайте также:  Выполнить форматирование Рутокена | СБИС Помощь

После перезагрузки ПК снова зайдите в папку «Личное» и откройте СКПЭП. Если во вкладке «Путь сертификации» будет статус «Сертификат действителен» — ошибка устранена.

Генерация тестового сертификата

Как я и писал выше вы много, где сможете его применять, я когда знакомился с миром сертификатов и электронных подписей, то использовал тестовые ЭЦП от КриптоПРО для проверки правильности настройки программного обеспечения для работы на электронных, торговых площадках. Чтобы сгенерировать тестовый электронный сертификат, компания КриптоПРО предоставила вам специальный удостоверяющий, виртуальный центр, которым мы и воспользуемся. Переходим по ссылке:

В самом низу у вас будет ссылка на пункт “Сформировать ключи и отправить запрос на сертификат”.

сертификат для шифрования криптопро

Я вам советую этот сайт открывать в Internet Explore, меньше будет глюков. Как открыть Internet Explore в Windows 10, читайте по ссылке слева

Если же вы хотите использовать другой браузер, то установите КриптоПро ЭЦП Browser plug-in.

Установка КриптоПро ЭЦП Browser plug-in.

Сама инсталляция плагина, очень простая, скачиваем его и запускаем.

сертификат для шифрования криптопро

Для запуска нажмите “Выполнить”

сертификат для шифрования криптопро

Далее у вас появится окно с уведомлением, что будет произведена установка КриптоПро ЭЦП Browser plug-in, соглашаемся.

сертификат для шифрования криптопро

После инсталляции утилиты, вам нужно будет обязательно перезапустить ваш браузер.

сертификат для шифрования криптопро

Открыв ваш браузер, вы увидите предупредительный значок, нажмите на него.

сертификат для шифрования криптопро

В открывшемся окне нажмите “Включить расширение”

сертификат для шифрования криптопро

Не забудьте установить КриптоПРО CSP на компьютер, где будет генерироваться сертификат

Теперь у нас все готово. Нажимаем “Сформировать ключи и отправить запрос на сертификат”. Согласитесь с выполнением операции.

сертификат для шифрования криптопро

У вас откроется форма расширенного запроса сертификата. Вначале заполним раздел “Идентифицирующие сведения”. В него входят пункты:

  • Имя
  • Электронная почта
  • Организация
  • Подразделение
  • Город
  • Область
  • Страна

сертификат для шифрования криптопро

Далее вам нужно указать тип требуемого сертификата. В двух словах, это область применения ЭЦП:

  • Сертификат проверки подлинности клиента (самый распространенный вариант, по сути для подтверждения, что вы это вы)
  • Сертификат защиты электронной почты
  • Сертификат подписи кода
  • Сертификат подписи штампа времени
  • Сертификат IPSec, для VPN тунелей.
  • Другие, для специальных OID

Я оставляю “Сертификат проверки подлинности клиента”.

сертификат для шифрования криптопро

Далее вы задаете параметры ключа, указываете, что будет создан новый набор ключей, указываете гост CSP, от него зависит минимальная длина ключа. Обязательно пометьте ключ как экспортируемый, чтобы вы его могли при желании выгружать в реестр или копировать на флешку.

сертификат для шифрования криптопро

Для удобства еще можете заполнить поле “Понятное имя”, для быстрой идентификации вашей тестовой ЭЦП от КриптоПРО. Нажимаем выдать тестовый сертификат.

сертификат для шифрования криптопро

У вас появится запрос на создание, в котором вам необходимо указать устройство, на которое вы будите записывать тестовый сертификат КриптоПРО, в моем случае это е-токен.

сертификат для шифрования криптопро

Как только вы выбрали нужное устройство появится окно с генерацией случайной последовательности, в этот момент вам необходимо нажмить любые клавиши или водить мышкой, это защита от ботов.

сертификат для шифрования криптопро

Все наш контейнер КриптоПРО сформирован и для его записи введите пин-код.

сертификат для шифрования криптопро

Вам сообщат, что запрошенный вами сертификат был вам выдан, нажимаем “Установить этот сертификат”.

сертификат для шифрования криптопро

Если у вас еще не установленны корневые сертификаты данного центра сертификации, то вы получите вот такую ошибку:

Данный ЦС не является доверенным

Для ее устранения нажмите на ссылку “установите этот сертификат ЦС”

сертификат для шифрования криптопро

У вас начнется его скачивание.

сертификат для шифрования криптопро

Запускаем его, как видите в левом верхнем углу красный значок, чтобы его убрать нажмите “Установить сертификат”, оставьте для пользователя.

сертификат для шифрования криптопро

Далее выбираем пункт “Поместить все сертификаты в следующее хранилище” и через кнопку обзор указываете контейнер “Доверенные корневые центры сертификации”. Далее ок.

сертификат для шифрования криптопро

На последнем этапе у вас выскочит окно с предупреждением, о подтверждении установки сертификатов, нажимаем “Да”.

сертификат для шифрования криптопро

Открываем снова окно с выпуском тестового сертификата КриптоПРО и заново нажимаем “Установить сертификат”, в этот раз у вас вылезет окно с вводом вашего пин-кода от вашего носителя.

сертификат для шифрования криптопро

Если вы его ввели правильно, то увидите, что новый сертификат успешно установлен.

сертификат для шифрования криптопро

Теперь открывайте ваш КриптоПРО и посмотрите есть ли сертификат в контейнере. Как видите в контейнере есть наша ЭЦП.

сертификат для шифрования криптопро

Если посмотреть состав, то видим все наши заполненные поля. Вот так вот просто выпустить бесплатный, тестовый сертификат КриптоПРО, надеюсь было не сложно.

сертификат для шифрования криптопро

Сертификаты не отвечают критериям КриптоПро

Ошибка всплывает при попытке авторизоваться в информационной госсистеме (например, «Электронный Бюджет» и др. Пользователь видит сообщение следующего содержания:

сертификат для шифрования криптопро

сертификат для шифрования криптопро

Не все бывают в наличии, поэтому удаляйте те, что есть. Процедура не вредит системе и сохраненным файлам, но помогает не в каждом случае (обычно ошибку удается устранить при установке корневого сертификата).

Массовый перенос ключей и сертификатов CryptoPro на другой компьютер

Выше описанные методы хороши, когда у вас один или 5 ключиков в реестре, а как быть если их десятки. Помню лет 5 назад, когда я еще был младшим администратором, то я очень часто устанавливал электронные цифровые подписи главбуху, так как она работала в СБИС++ и сдавала там постоянно отчетность по огромному количеству организаций, по типу рога и копыта. Держать кучу токенов было не вариант, и для таких вещей у нее все хранилось в реестре и копия сертификатов была на флешке в сейфе. Флешку потом потеряли, встал вопрос сделать резервную копию всего и плюс обновить систему, в виду нового компьютера, на операционной системе Windows 8. ЭЦП было штук 50, а так как я ценю свое время, то и искал методы, выполнить это быстрее, к счастью я его нашел.

Заключался метод переноса сертификатов из реестра, в выгрузке веток и подмене SID значения, но обо всем по порядку. О том, как посмотреть SID пользователя и что это такое я рассказывал.

Открываете командную строку cmd и вводите команду:

сертификат для шифрования криптопро

Вот это S-1-5-21-551888299-3078463796-888888888-46162 и есть SID, вашей учетной записи. Теперь когда вы его знаете, то вам нужно выгрузить ваши закрытые ключи из реестра Windows. Для этого откройте вот такую ветку:

сертификат для шифрования криптопро

В контейнере Keys, вы найдете все ваши закрытые ключи от ЭЦП. С правой стороны вы увидите файлы: * header. key * masks. key * masks2. key * name. key * primary. key * primary2. key

Щелкаем правым кликом по контейнеру Keys и экспортируем его.

сертификат для шифрования криптопро

Сохраняем нашу ветку реестра с контейнерами закрытых ключей. Далее нам нужно скопировать открытые ключи, которые лежат по пути:

Не забывайте только подставить своего пользователя, эта папка может быть скрытой, поэтому включите скрытые папки и файлы в вашей ОС. Все содержимое этой папки вам нужно перенести на другой компьютер, только уже в папку другого, нужного пользователя.

сертификат для шифрования криптопро

Как только вы поместили на новом компьютере папку Key, вы можете перенести реестровую выгрузку. Сохраненный файл в формате reg, вы должны открыть в любом текстовом редакторе.

сертификат для шифрования криптопро

Как я показывал выше, определите SID нового пользователя, скопируйте его полностью и замените им значение в файле reg, я отметил это стрелками.

SID начинается с S-1 и так далее

сертификат для шифрования криптопро

Все сохраняйте файл и запускайте его, у вас будет начат перенос сертификатов (закрытых ключей), подтверждаем действие.

сертификат для шифрования криптопро

Как видите импорт успешно завершен. Все теперь ваши закрытые и открытые ключи на месте и вы можете работать с вашими ЭЦП, и можно считать, что перенос сертификатов с одного компьютера на другой в массовом масштабе, осуществлен успешно. Если остались вопросы, то жду их в комментариях.

сертификат для шифрования криптопро

Создание подписанного документа

Подписать можно абсолютно любой файл.

Перейдите в пункт “Создание подписи”

сертификат для шифрования криптопро

Нажмите на кнопку “Выбрать файл для подписи” и выберите файл, который нужно подписать.

сертификат для шифрования криптопро

сертификат для шифрования криптопро

Выберите подпись, которой необходимо подписать документ. Обратите внимание – ЭЦП должно быть актуальной.

После выбора ЭЦП станет активной кнопка “Подписать”. Необходимо её нажать. Если документ подписан и нет ошибок – под кнопкой “подписать появится соответствующая надпись. Либо будет указана ошибка с кодом.

Далее перейдите в папку, где хранился подписываемый документ, в нем будет два файла – сам документ и его подпись. Размещать или пересылать необходимо оба документа.

сертификат для шифрования криптопро

Для чего эта программа?

Согласно ФЗ № 63-ФЗ, электронная подпись может быть признана в том случае, если сертификат открытого ключа проверки действителен на момент ее создания, подписания и проверки документа. Поэтому в криптокод подписи включены не только реквизиты владельца, но и доказательства ее авторства и подлинности (международный формат CAdES). С этими алгоритмами и работает платное программное обеспечение КриптоПро CSP.

Программа разработана сертифицированным производителем — компанией «КриптоПро», и построена на алгоритмах СКЗИ (криптографических технологиях). Установка КриптоПро CSP на ПК позволит вам:

  • запросить у КриптоПро сервера необходимые доказательства достоверности ЭП (штампы точного времени ее генерации и факта подписания документа);
  • получить у сервера подтверждение действительности ключевого сертификата (цепочка сертификатов от УЦ, вложенная в реквизиты + штамп времени).

Сначала выбирают вариант дистрибутива для операционной системы вашего компьютера. Затем вводят регистрационный ключ и запускают процесс инсталляции. После этого с сайта скачивают программный плагин, который устанавливают и настраивают согласно инструкции разработчика.

Инструменты КриптоПро

Для работы с ЭЦП запустите утилиту “Инструменты КриптоПро”. В ней собраны все необходимые инструменты для работы с ЭЦП

Установка сертификата УЦ, который выдал ЭЦП

В КриптоПро» установка сертификата возможна и через раздел «Установка личных сертификатов». После запуска программы CSP и подключения flash-носителя необходимо сделать следующее:

  • На вкладке «Сервис» перейти в «Установить личный сертификат».
  • Кликнуть «Далее» и «Обзор».
  • Выбрать номер своего сертификата, затем «Открыть» — «Далее».
  • Указать контейнер, нажав «Обзор», а затем «ОК».
  • И снова нажать «Обзор» — «Личное» — «ОК».
  • Кликнуть «Готово».

Сертификат прописан в реестре и может использоваться для работы.

Установка закрытого ключа в реестр

Теперь когда ваш закрытый ключ находится в реестре, давайте установим личный сертификат. Для этого откройте на вкладке “Сервис” кнопку “Посмотреть сертификат в контейнере”

сертификат для шифрования криптопро

Далее в окне “онтейнер закрытого ключа” нажмите кнопку “Обзор”.

сертификат для шифрования криптопро

И выберите сертификат из реестра, он будет с тем именем, что вы ему задавали.

сертификат для шифрования криптопро

сертификат для шифрования криптопро

После чего производится установка закрытого ключа в реестр, через соответствующую кнопку.

сертификат для шифрования криптопро

Видим, что сертификат был установлен в хранилище “Личные” текущего пользователя. Как видите, было очень просто скопировать закрытый ключ в реестр операционной системы.

Читайте также:  ИП жалуются на проблемы с электронной подписью для ЕГАИС. Объясняем, как их избежать

«1С-ЭДО» не видит КриптоПро CSP

«1С-ЭДО» — программа для обмена электронными документами, интегрированная в учетную базу «1С». Сервис позволяет удаленно взаимодействовать с контрагентами и отправлять отчетность в надзорные органы (ФНС, ПФР, ФСС, Росстат и др. Чтобы документы приобрели юридическую силу, их необходимо заверить квалифицированной ЭП. Если сервис «1С-ЭДО» «не видит» ключ в КриптоПро CSP, рекомендованы следующие действия:

  • проверить, установлена ли на компьютере актуальная версия криптопровайдера;
  • при наличии СКЗИ уточнить, соответствует ли оно той программе, которая была указана в настройках обмена с «1С».

Как проверить настройки криптопровайдера:

  • Запустить сервис «1С-ЭДО».
  • Нажать кнопку «Настройки».
  • В подразделе «Документооборот с контролирующими органами» нажать кнопку «Здесь».

Если в поле «Криптопровайдер» указана не та программа, которая установлена на ПК (например, VipNet), поменяйте ее в настройках и сохраните клавишей ОК. Для правильной работы сервиса ЭДО рекомендуется использовать на одном АРМ только один из сертифицированных провайдеров.

Оформим электронную подпись для вашего бизнеса. Установим и настроим в день подачи заявки!

Установка корневого сертификата КриптоПро в реестр

Установка корневого сертификата КриптоПро закрытого ключа необходима для создания и подтверждения достоверности ЭП. Сертификаты приватных ключей вам выдает УЦ на Рутокенах – USB-флешках с защитой данных. Когда необходимо завизировать документ электронной подписью, вам каждый раз необходимо вставлять флешку в ПК и активировать сертификат.

То есть установку носителя с ключом необходимо выполнять каждый раз, когда нужно подписать электронный документ. Это обязательное действие создает ряд проблем: постоянно занят один USB-порт на ПК, flash-носитель и разъем изнашиваются быстрее, всегда существует угроза просто потерять флешку, оставить ее на работе или дома, откуда также можно отправлять электронные письма с подписью.

При ведении ЭДО в офисе также есть вопросы. Например, как быть, если электронный ключ с сертификатом один, а отправляют документы разные доверенные сотрудники? Что делать, если уволился сотрудник, на которого зарегистрирована ЭП? Что делать, если нужно одновременно отправить несколько документов с разных компьютеров?

Эти проблемы быстро и эффективно решает установка сертификата ЭЦП КриптоПро в реестр — то есть сразу на корпоративный сервер или в ПК. Потом с этим корневым сертификатом можно будет работать в любое время, не используя съемный flash-носитель.

Установка ключа ЭЦП КриптоПро проста, но требует предварительной инсталляции считывателя ключа. Для этого нужно:

  • Один раз подключить к ПК съемный flash-носитель.
  • Запустить программу, пользуясь правами администратора.
  • Перейти в раздел «Оборудование».
  • Выбрать «Настроить типы оборудования» — «Реестр».
  • Указать имя носителя и нажать «Далее».
  • Кликнуть «Готово» и перезагрузить ПК.

Теперь ключ прописан в реестре сервиса «КриптоПро», и вы в любой момент сможете извлекать его оттуда, используя сертификат без подключения флешки с Рутокеном в USB-порт.

Далее необходимо инсталлировать сертификат ключа с помощью той же программы. Установка электронной подписи в Крипто Про может быть выполнена двумя способами, имеющими некоторые отличия: путем инсталляции индивидуального или универсального (выданного УЦ) сертификата.

Оформим ЭЦП для вашего бизнеса. Поможем установить и настроить в день подачи заявки!

Сертификат от удостоверяющего центра

Установка сертификата ЭЦП КриптоПро от УЦ выполняется в определенной последовательности:

  • Далее — «Обзор», и в новом окне выбрать сертификат из списка, нажать «ОК».
  • Подтвердить действие, нажав «Далее».

После нажатия кнопки «Готово» процесс завершен.

Глава первая

Все манипуляции с PDF документом приведены в чистой версии ОС Windows 10, русская домашняя редакция, как наиболее вероятной среде работы простого пользователя. Набор софта, используемый в статье, также является непрофессиональным и доступным для всех.

Для начала я открыл документ в просмотрщике Foxit Reader, который использую как основной:

сертификат для шифрования криптопро

сертификат для шифрования криптопро

Это выглядит очень и очень подозрительно — документ модифицирован непонятно кем, сертификат также не является доверенным. Система не может проверить цепочку доверия для данного сертификата и помечает его недействительным.

Кроме имени организации, которой выдан сертификат, видно наименование выдавшей его организации, ООО “ИТК”. Поиск по запросу “ООО ИТК сертификат” вывел меня на страницу Установка корневого сертификата Удостоверяющего центра ООО «ИТК». Это официальный сайт ООО «Интернет Технологии и Коммуникации», который является одним из удостоверяющих центров, выдающих сертификаты ЭП.

сертификат для шифрования криптопро

Снова открываем сертификат из документа. И чуда не произошло, цепочка доверия от корневого до конечного не строится!

Изучаем ЭП подробнее: в Foxit Reader есть дополнительная информация о свойствах подписи:

сертификат для шифрования криптопро

Ага, алгоритм хеширования ГОСТовский, ЭП создана в КриптоПро PDF. Возможно, Windows не знает про ГОСТ шифрование и поэтому ему нужен дополнительный криптопровайдер.

Идём на сайт КриптоПро, регистрируемся, скачиваем пробную версию КриптоПро CSP 5. 0 на 3 месяца. Что будет дальше — не совсем понятно, возможно всё превратится в тыкву, посмотрим.

Снова открываем просмотр сертификата ЭП:

сертификат для шифрования криптопро

Выглядит уже лучше. Видно, что система считает сертификат действительным, построена цепочка от корневого сертификата через промежуточный.

Сообщение о проверке немного улучшилось, но всё равно Foxit Reader не может проверить сертификат (вероятно дело в ГОСТовском алгоритме):

сертификат для шифрования криптопро

В Adobe Acrobat Reader DC проверка тоже не успешна:

сертификат для шифрования криптопро

И на этом вроде бы можно остановиться: Foxit Reader подтверждает, что документ не был изменен после подписания, руками можно проверить, что сертификат подтверждается системой и действителен. Но всё же хочется довести дело до конца, чтобы хотя бы одна программа сказала: да, документ действителен, всё хорошо.

Вспоминаем, что полис подписан в программе КриптоПро PDF. Вероятно, что раз она может создавать такие подписи, то уж наверняка должна их и проверять. Ставим.

+1 триал версия на 90 дней, хотя вроде бы надпись при установке успокаивает, что при использовании продукта в Adobe Acrobat Reader DC лицензия не нужна.

сертификат для шифрования криптопро

Ура, долгожданное сообщение о том, что всё хорошо.

Подведем промежуточный итог. Для проверки действительности ЭП на документе нужно:

  • Узнать, какой удостоверяющий центр выдал сертификат, которым подписан документ, установить его промежуточный и, если такого еще нет, корневой сертификат (в нашем случае из rar архива с Google Drive);
  • Установить в систему криптопровайдер (вероятно, существуют другие криптопровайдеры, которые обучат Windows ГОСТовским криптоалгоритмам) КриптоПро CSP с триалом на 3 месяца и неизвестностью после;
  • Для проверки подписи из Adobe Acrobat Reader DC установить КриптоПро PDF (без CSP он не ставится).

Вот такой алгоритм вырисовывается из поверхностного анализа темы за вечер. Проблема проверки цифровой подписи была решена, но видно трудности, которые могут возникнуть у рядового пользователя:

  • Нужно понять, какого софта не хватает в системе и где его взять, из коробки ничего не работает. В данной статье приведены примеры на основе продуктов КриптоПро только потому, что это название встретилось в информации о создании ЭП. Нужно изучать тему в поиске аналогов;
  • Проверка полноценно заработала только в Adobe Acrobat Reader DC, в Foxit Reader проверка ЭП неполная, нет долгожданной зелёной галочки. Нужно копать дальше, вероятно есть решения.

Перенос сертификатов в виде пошаговой инструкции

Первые два пункта я описывать тут не стану, так как я уже это подробно рассказывал, посмотрите по ссылкам. Я расскажу, об остальных методах и начнем мы с классического КриптоПРО.

Данный метод подойдет для тех ситуаций, когда у вас один или 2 сертификата (ЭЦП). Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит, и там придется выбирать 4-й метод.

Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты

Где хранится закрытый ключ в реестре Windows

После процедуры добавления сертификата в реестр КриптоПРО, я бы хотел показать, где вы все это дело можете посмотреть. Ранее я вам рассказывал, о том как добавить оснастку сертификаты. Нас будет интересовать раздел “Сертификаты пользователя – Личное”.

сертификат для шифрования криптопро

Либо вы можете зайти в свойства Internet Explorer на вкладку “Содержание’. Потом перейти в пункт “Сертификаты”, где у вас будут отображаться все ваши SSL сертификаты, и те, что КриптоПРО скопировал в реестр операционной системы.

сертификат для шифрования криптопро

Если нужно найти ветку реестра с закрытым ключом, то я вам приводил уже пример в статье, когда я переносил ЭЦП с компьютера на компьютер.

сертификат для шифрования криптопро

Про копирование ЭЦП с закрытыми ключами мы разобрали, теперь ситуация обратная.

Инструкция по созданию файла, подписанного ЭЦП, с использованием ПО КриптоПро

сертификат для шифрования криптопро

Для собственного использования создал инструкцию для подведов. Буду рад, если кому-нибудь пригодится в работе. Ниже представлен текст с картинками из инструкции по созданию подписанного ЭЦП электронного документа, с использованием ПО КриптоПро. В самом конце приложена ссылка на исходник, он выполнен в виде Гугл документа, шаблон – брошюра, формат листа А4. Его можно использовать по своему усмотрению.

Когда нужно копировать сертификаты КриптоПРО в реестр

Существует ряд задач, когда удобно иметь вашу ЭЦП подпись в реестре Windows:

При тестировании настроенного окружения для торговых площадок, для входа на которые используется ЭЦП подпись. Когда у вас виртуальная инфраструктура и нет возможности, произвести проброс USB устройств по локальной сети 3. Ситуации, когда КриптоПРО не видит USB токена 4. Ситуации, когда USB ключей очень много и нужно работать одновременно с 5-ю и более ключами, примером может служить программа по сдачи отчетности СБИС

Когда нужно переносить сертификаты в другое место?

И так давайте рассмотрим по каким причинам у вас может появиться необходимость в копировании ваших ЭЦП в другое место.

  • На текущем физическом компьютере начинает умирать жесткий диск или SSD накопитель (Как проверить жизненные показатели жесткого диска), очень частая история и жизненная, когда люди теряли все свои данные, из-за банальной жадности в покупке нового оборудования и элементарного незнания принципов резервного копирования.
  • У вас производится модернизация оборудования, его улучшение и вам нужно перенести все сертификаты с закрытыми ключами на другую систему
  • Вы создали отдельный сервер, в виде виртуальной машины, где будут находится все ваши сертификаты и с ними смогут работать все необходимые сотрудники, терминал для бухгалтерии. Простой пример СБИС, и когда у вас 10-20 организаций.
Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector