- Основные способы удаления сертификата электронной цифровой подписи из реестра «криптопро»
- Введение
- Что может послужить причиной такой ошибки
- Решение ошибки: отсутствие электронного сертификата в контейнере закрытого ключа
- Особенности версий КриптоПро
- Можно ли восстановить электронную подпись?
- Удалил электронную подпись
- Потерял электронную подпись
- Что делать, если вы потеряли ЭП
- Как отозвать сертификат ЭП
- Какие проблемы могут возникнуть
- Практические приёмы работы с Реестром
- Лицензия КриптоПро в реестре [1017]
- Где хранятся ключи(закрытый ключ сертификата) в реестре? [1739]
- Восстановление закрытых ключей с неисправного компьютера
- Извлечение информации из резервной копии реестра
- Доступ к считываетлям (Calais)
- Доверенные узлы
- Удаление сертификатов с Рутокена методом форматирования
- Выборочное удаление сертификатов без форматирования
- Как удалить ЭЦП с компьютера
- Удаление сертификатов с Рутокена
- Можно ли восстановить сертификат ЭЦП после удаления
- Стоит ли удалять старые ЭЦП
- Подлежит ли сертификат в дальнейшем восстановлению
- Ошибка копирования контейнера
- Удаление «криптопро» с очисткой следов установки
- Прерванное удаление «криптопро»
- Онлайн курс по Kubernetes
- Помогла статья? Подписывайся на telegram канал автора
- Удаление средствами программы «криптопро»
- Удаление сертификатов встроенными средствами windows
- КриптоПро CSP ошибка 0x80090010 Отказано в доступе
- Удаление сертификата эцп в linux-дистрибутивах
- Когда удалять сертификаты не следует
- Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер
- Можно ли восстановить ранее удаленный сертификат
- Копирование закрытого ключа через оснастку КриптоПро
- Часто задаваемые вопросы по теме статьи (FAQ)
Основные способы удаления сертификата электронной цифровой подписи из реестра «криптопро»
Сертификаты ЭЦП удаляются такими способами:
- средствами ОС (утилита certmgr.exe);
- с помощью шифрующей программы;
- специальной утилитой Ccleaner;
- непосредственной правкой реестра Windows.
Последний вариант не рекомендуется применять, поскольку он удаляет только упоминание о файлах криптографии, физические оставляя их на диске.
На чтение 7 мин. Просмотров 60 Опубликовано 25.11.2021
Содержание
- Основные способы удаления сертификата электронной цифровой подписи из реестра «криптопро»
- Когда удалять сертификаты не следует
- Можно ли восстановить ранее удаленный сертификат
- Подлежит ли сертификат в дальнейшем восстановлению
- Прерванное удаление «криптопро»
- Удаление «криптопро» с очисткой следов установки
- Удаление сертификата эцп в linux-дистрибутивах
- Удаление сертификатов встроенными средствами windows
- Удаление средствами программы «криптопро»
Криптопровайдер КриптоПро на сегодняшний день является, пожалуй, самым популярным на рынке, по крайней мере в России. Я хочу рассказать, как быстро и удобно перенести большое количество контейнеров закрытых ключей CryptoPro и сертификатов к ним. Существует штатный механизм в самой программе, работает в ручном режиме и не подходит, когда надо перенести большое количество.
Онлайн-курс по Kubernetes – для разработчиков, администраторов, технических лидеров, которые хотят изучить современную платформу для микросервисов Kubernetes. Самый полный русскоязычный курс по очень востребованным и хорошо оплачиваемым навыкам. Курс не для новичков – нужно пройти вступительный тест.
Заказать настройку ЭЦП от 500 р.
Введение
Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это – банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим. Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме. Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:
- Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
- Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.
Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.
Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.
Перед тем как переустановить КриптоПро проверьте нет ли сертификатов, которые находятся в реестре. Если в реестре есть сертификаты, то выполните действия по инструкции.
Процесс переустановки КриптоПро можно разделить на следующие этапы:
Проверка наличия лицензии
Перед переустановкой программы убедитесь, что у вас есть лицензия на программный продукт КриптоПро.
Удаление программы
- Зайдите в Панель управления (Пуск → Настройка → Панель управления или Пуск → Панель управления).
- Запустите «Установка и удаление программ» (Windows XP) или «Программы и компоненты» (Windows Vista, Windows 7).
- В открывшемся окне выберите КриптоПро CSP и нажмите «Удалить».
- Для подтверждения удаления нажмите кнопку «Да».
- Затем нажмите кнопку «Готово» для завершения удаления, перезагрузите компьютер.
Удаление остаточной информации
Для удаления остаточной информации о КриптоПро выполните следующее:
- Сохраните на компьютер cspclean.exe
- Запустите файл cspclean.exe
- В открывшемся окне “Все продукты компании Крипто-Про будут уничтожены! Продолжить?” нажмите ДА
- В следующем окне “Удалить все ключи?” нажмите НЕТ
- Программа удалит всю остаточную информацию
- Перезагрузите компьютер.
Установка
Перед установкой программы необходимо проверить, на какую версию КриптоПро выдана лицензия.
Установите КриптоПро той версии, которая указана в лицензии.
Из нашей статьи вы узнаете:
КриптоПро — это крупнейший отечественный разработчик криптографических утилит и программ для работы с электронной подписью. Компания выпускает продукты, которые работают с популярными ОС, такими как: Windows, macOS, Linux, iOS и Android. Это позволяет использовать их не только на персональных компьютерах, но и на мобильных устройствах. Одной из таких программ является средство для криптографической защиты информации (СКЗИ) КриптоПро CSP. Утилита формирует и проверяет электронную подпись. Шифрует информацию для обеспечения конфиденциальности и целостности. Использует протоколы TLS и IPsec для защиты данных в интернет-сети.
В статье расскажем, какие версии СКЗИ КриптоПро CSP выпускаются для операционной системы Андроид.
КриптоПро Android не является привычной для пользователя программой, которую используют для настольной операционной системы. Данная утилита представлена в виде фреймворка. Программная платформа предназначена для разработчиков и встраивается в мобильное приложение или его функционал.
КриптоПро CSP 5.0 для Google Android выполняет следующие функции
- работает с электронной подписью;
- создаёт безопасную интернет-связь;
- используется для разработки браузеров, которые создают и проверяют ЭП на веб-страницах.
CryptoPro Android взаимодействует с российскими криптографическими алгоритмами, работает на основе виртуальной машины Java 2 Runtime Environment v. 1.7 и 1.8. Более подробное описание функционала, примеры приложений и дополнительная информация представлена в руководстве разработчика компании КриптоПро.
Скачать zip-файл КриптоПро CSP 5.0 для Google Android можно на сайте разработчика, где перед загрузкой требуется регистрация. Или для экономии времени воспользоваться нашей ссылкой.
Перед тем как переустановить КриптоПро проверьте нет ли сертификатов, которые находятся в реестре.
Для этого откройте КриптоПро CSP через Пуск → Панель управления (Пуск → Настройка → Панель управления → КриптоПро CSP) или Пуск → Все программы → КРИПТО-ПРО → КриптоПро CSP.
Откройте вкладку “Сервис”
→
“Просмотреть сертификаты в контейнере”. В открывшемся окне нажмите кнопку “Обзор”. Затем проверьте, есть ли ключи, справа от которых (в поле “Считыватель”) указано REGISTRY или РЕЕСТР.
Если в реестре есть сертификаты, то выполните
действия по инструкции
.
Проверка наличия лицензии
Перед переустановкой программы убедитесь, что у вас есть лицензия на программный продукт КриптоПро (либо сохраните серийный номер из ветки реестра Windows HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\05480A45343B0B0429E4860F13549069\InstallProperties – серийный номер содержится в значении параметра Product ID. Прим.: имя раздела 05480A45343B0B0429E4860F13549069 может оказаться другим).
Удаление программы
- Зайдите в Панель управления (Пуск → Панель управления или Пуск → Настройка → Панель управления).
- Запустите «Программы и компоненты»(Windows 7 и выше) или «Установка и удаление программ» (Windows XP).
- В открывшемся окне выберите КриптоПро CSP и нажмите «Удалить».
- Для подтверждения удаления нажмите кнопку «Да».
- Затем нажмите кнопку «Готово» для завершения удаления, перезагрузите компьютер.
Удаление остаточной информации
Для удаления остаточной информации о КриптоПро выполните следующее:
- Сохраните на компьютер cspclean.exe
- Запустите файл cspclean.exe
- В открывшемся окне “Все продукты компании Крипто-Про будут уничтожены! Продолжить?” нажмите ДА
- В следующем окне “Удалить все ключи?” нажмите НЕТ
- Программа удалит всю остаточную информацию
- Перезагрузите компьютер.
Из нашей статьи вы узнаете:
ЭЦП — довольно сложный цифровой продукт, обращение с которым в определенных ситуациях может потребовать некоторых навыков и знаний. Например, в ходе установки сертификатов ЭП посредством «КриптоПро» после выбора соответствующего ключевого контейнера нередко выдаются неприятные сообщения об ошибке вследствие отсутствия открытого шифровочного ключа, который необходим для обеспечения информационной безопасности, без чего система не будет принимать ЭЦП.
Такую ошибку несложно устранить без вызова специалиста или обращения в службу поддержки. Алгоритм действий, направленных на решение этой проблемы, приводится ниже.
Что может послужить причиной такой ошибки
Всплывающее окно со злополучным сообщением об ошибке появляется на экранах пользователей в тех случаях, если система не смогла обнаружить соответствующий ключ на носителе. Такая ситуация происходит при следующих действиях пользователей:
- установка сертификата впервые;
- экспортирование данных на внешний носитель;
- попытка просмотра ключей в контейнерах ключей;
- загрузка информации на компьютер извне.
В целях устранения ошибки обычно бывает достаточно произвести корректную ручную переустановку сертификата.
Решение ошибки: отсутствие электронного сертификата в контейнере закрытого ключа
Для начала запускаем «КриптоПро» нажатием кнопки «Пуск». Затем выбираем «Настройку», в возникающем на мониторе окне заходим в опцию панели управления, далее «сервис – установить личный сертификат».
Далее, через кнопку «обзор» указываем путь, где сохранен открытый ключ – файл с расширением *.cert или *.crt
Жмём «Далее», в мастере установки сертификата мы увидим путь, который указывали до нашего сертификата.
Нам отображается информация, содержащаяся в открытом ключе на пользователя, жмём «далее»
В следующем окне можно воспользоваться двумя путями поиска нужного контейнера закрытого ключа:
- «найти контейнер автоматически
- вручную через «обзор»
В первом случае КриптоПро на основе данных из открытого ключа подберет закрытый, в случае с ручным поиском нужно будет знать название закрытого ключа, чтобы выбрать его для установки
Самый простой вариант выбрать автоматический поиск, затем после «обнаружения» необходимого контейнера, мы увидим заполненную строчку с его именем и после жмём «Далее»
Личный сертификат пользователя всегда устанавливается в хранилище «Личное», можно выбрать как вручную, так и КриптоПро может сделать это за вас по умолчанию, затем подтверждаем установку цепочки сертификатов и жмём «Далее»
>
В случае успешной установки КриптоПро выдаст окно с информацией об окончании процедуры и жмём «Готово»
Затем появится окно с подтверждением данной операции, жмём «ДА»
В следующем окне увидим информацию о том, что процесс окончен успешно. Сертификат установлен в контейнер закрытого ключа.
Особенности версий КриптоПро
С января 2019 года квалифицированные сертификаты могут выпускаться только по ГОСТ 2012, выпуск по другому ГОСТу прекращен. Мы об этом писали ранее в статье. Важно помнить, что версии криптопро на ГОСТ 2012 работают только с версии 4.0 и выше. Все старые версии КриптоПро, для нормальной работы, потребуется обновить или заменить на актуальную. Сделать это нужно не позднее 31 декабря 2019 года.
Бывают ситуации, когда вам нужно восстановить свою электронную подпись, например, если вы ее потеряли или случайно удалили. В статье ответим на вопрос, можно ли восстановить электронную подпись, что делать, если вы ее потеряли или кто-то завладел ею без вашего согласия.
Можно ли восстановить электронную подпись?
Сперва ответим кратко: восстановить электронную подпись (ЭП или ЭЦП) нельзя — необходимо получать новую. За редкими исключениями.
А теперь разберемся, почему восстановление ЭП невозможно и какие исключения все-таки есть.
Электронная подпись состоит из нескольких элементов:
- Сертификат ЭП — файл, который выдает удостоверяющий центр. В нем указаны ФИО владельца, ИНН и данные организации, если сертификат выдается на юрлицо.
- Ключи ЭП: открытый (общедоступный) и закрытый (доступен только владельцу) — файлы, которые пользователь генерирует сам в момент выпуска электронной подписи.
- Носитель — токен, на котором хранят ключи, а также сертификат. Носитель часто похож на флешку.
Обычно восстановление электронной подписи ищут те, кто удалил ключи ЭП или потерял носитель, на который были записаны ключи.
Удалил электронную подпись
Если вы случайно удалили все файлы ЭП, то они стерлись из памяти компьютера безвозвратно. Это сделано для безопасности персональных данных владельца и для его защиты от мошенников.
- Восстановить удаленные ключи ЭП можно только в том случае, если у вас есть их копия. Например, если вы удалили файлы подписи с компьютера, но их копия сохранилась на токене. Тогда их можно заново установить.
- Восстановить можно только сертификат ЭП, если вы удалили его не из памяти компьютера, а из отдельного приложения. Например, удаленный из браузера сертификат можно переустановить через программу КриптоПро CSP.
Потерял электронную подпись
Потерянную электронную подпись восстановить также не получится. Если вы потеряли токен, то вы потеряли ключи электронной подписи. Закрытый и открытый ключи — это набор уникальных цифровых символов, и сгенерировать повторно точно такие же не получится. Поэтому восстановить прежнюю ЭП невозможно — придется выпустить новую.
В этой ситуации исключений нет.
Восстановить электронную подпись нельзя — нужно оформлять новую электронную подпись. Чтобы подобрать ЭП, обратитесь за консультацией к нашим менеджерам.
Получить электронную подпись
Что делать, если вы потеряли ЭП
Если вы потеряли токен, подозреваете, что ЭП скомпрометирована или уверены, что вашей подписью завладел другой человек, то сертификат нужно срочно отозвать. Отзыв — это прекращение действия электронной подписи, ее блокировка.
Даже если вы спустя какое-то время нашли токен и еще не отозвали сертификат, мы рекомендуем отозвать его и выпустить новый. Злоумышленники могли воспользоваться сертификатом за время его отсутствия и подписать документы от вашего имени. Потом будет сложно доказать, что эти документы подписали не вы.
По этой же причине мы не рекомендуем делать копии ключей электронной подписи или относиться к ним особенно бережно. Если потеряется одна из копий токена с ключами ЭП — это тоже будет считаться компрометацией, при которой рекомендуется аннулировать сертификат. Чем быстрее вы это сделаете, тем меньше операций возможный злоумышленник успеет провести от вашего имени.
Как отозвать сертификат ЭП
1. Подайте заявление на аннулирование ЭП или ЭЦП
Бланк для заполнения можно запросить в том удостоверяющем центре, где вам выдали сертификат ЭП. Для клиентов Контура шаблон заявления опубликован на сайте в разделе «Документы».
В заявлении надо указать серийный номер сертификата. Узнать его можно через программу «КриптоПро CSP»:
- открыть программу «КриптоПро CSP» на компьютере;
- выбрать вкладку «Сервис» и нажать кнопку «Просмотреть сертификаты в контейнере»;
- в открывшемся окне нажать кнопку «Обзор», выбрать нужный ключ из списка, подтвердить выбор и нажать кнопку «Далее»;
- откроется окно, где будет указан серийный номер.
Если сертификат еще не был установлен на компьютер, то заполнить заявление помогут специалисты того удостоверяющего центра, в котором вы его получали.
2. Принесите заполненное заявление в офис УЦ лично.
Отзыв сертификата — такая же важная процедура, как и его выдача. Специалисты УЦ должны идентифицировать владельца перед отзывом, поэтому отправить вместо себя доверенное лицо нельзя.
Если вы не можете посетить офис УЦ Контура лично, то можно вызвать нашего курьера. Он удостоверит личность и примет заявление.
3. Проверьте, что сертификат отозван.
Это произойдет в течение 12 часов после того, как УЦ получит от вас заявление.
Какие проблемы могут возникнуть
Если владелец электронной подписи потерял токен или его ЭП кто-то завладел, то за время, пока он не отозвал сертификат, им могут воспользоваться злоумышленники. Например, открыть на физлицо фирму-однодневку, чтобы получить микрокредит или заключить сделки и уклониться от налогов. Также возможно перевести деньги со счетов юрлица, реализовать имущество организации, победить в торгах, получить аванс, но не исполнить договор, внести изменения в ЕГРЮЛ — например, сменить руководителя.
Поэтому мы рекомендуем владельцу ЭП никому не передавать токен с сертификатом ЭП и не давать доступ к закрытому ключу ЭП другим лицам. Соблюсти конфиденциальность ключа ЭП владелец должен по закону (пп.1 п.1 ст.10 63-ФЗ).
Другие лица могут злоупотребить доверием и воспользоваться ЭП в своих целях. Если вы подозреваете, что к ЭП имел доступ другой человек, рекомендуем отозвать сертификат по инструкции выше.
Практические приёмы работы с Реестром
В данном разделе рассматриваются практические примеры работы с реестром:
Лицензия КриптоПро в реестре [1017]
Лицензия КриптоПро хранится в реестре, её можно оттуда скопировать, либо ввести.
- Перейти в ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer \UserData\S-1-5-18\Products\05480A45343B0B0429E4860F13549069\InstallPropertiesHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer \UserData\S-1-5-18\Products\68A52D936E5ACF24C9F8FE4A1C830BC8\InstallPropertiesHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer \UserData\S-1-5-18\Products\7AB5E7046046FB044ACD63458B5F481C\InstallPropertiesHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18 \Products\0CC4F742C3275A04A9832E2E2CD4BE64\InstallProperties\ProductID
- Открыть двойным нажатием левой кнопки мыши параметр
ProductIDи прописать в полеЗначениесерийный номер лицензии (можно с дефисами, можно без). Либо скопировать номер лицензии оттуда.
Где хранятся ключи(закрытый ключ сертификата) в реестре? [1739]
Реестр может использоваться в качестве ключевого носителя, другими словами, в него можно скопировать Квалифицированную электронную подпись (КЭП). После копирования закрытые ключи будут находиться:
- для 32-битной ОС:
HKEY_LOCAL_MACHINE\SOFTWARE\CryptoPro\Settings\ Users\(идентификатор пользователя)\Keys\(Название контейнера)
- для 64-битной ОС:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings \USERS\(идентификатор пользователя)\Keys\(Названиеконтейнера)
- В некоторых случаях сертификат попадает сюда:
HKEY_USERS\S-1-5-21-{SID}_Classes\VirtualStore\MACHINE\SOFTWARE
\[Wow6432Node]\Crypto Pro\Settings\USERS\S-1-5-21-{SID}\Keys\
Где SID (идентификатор пользователя) (англ. Security Identifier (SID)) — структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера.
.. index:: Security Identifier (SID)
Рис. 23 – Узнать SID пользователя через командную строку
Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью».
Восстановление закрытых ключей с неисправного компьютера
Обязательно ознакомьтесь с главой :ref:`work-whith-regedit` и разделами:
Есть возможность восстановить закрытые ключи сертификата, если они были записаны в реестре компьютера и этот компьютер сломался.
Это можно сделать только в том случае, если жесткий диск в рабочем состоянии и есть возможность его подключить к рабочему системному блоку. Или есть копия папки C:\Windows\System32\config\.
Если условия выполняются, необходимо проделать следующее:
- Подключить жесткий диск от неработающего компьютера к рабочему системному блоку;
.. index:: PsExec.exe
C:\PsExec.exe -i -s regedit.exe
Загрузить куст HKEY_LOCAL_MACHINE\Software (см. раздел :ref:`hive-load`):
- Перейти в раздел
HKEY_LOCAL_MACHINE; - Выбрать «Файл → Загрузить куст»;
- В файловом менеджере выбрать соответствующий файл куста с нерабочего компьютера
C:\Windows\System32\config\SOFTWARE; - Задать произвольное имя загруженному кусту, например,
AZAZAZ.
- Перейти в раздел
Загрузка куста может занять некоторое время.
- для 32-битной ОС:
HKEY_LOCAL_MACHINE\ASASAS\CryptoPro\Settings\ Users\(идентификатор пользователя)\Keys\(Название контейнера)
- для 64-битной ОС:
HKEY_LOCAL_MACHINE\ASASAS\Wow6432Node\Crypto Pro\Settings \USERS\(идентификатор пользователя)\Keys\(Названиеконтейнера)В некоторых случаях сертификат попадает сюда:
HKEY_USERS\S-1-5-21-{SID}_Classes\VirtualStore\MACHINE\SOFTWARE \[Wow6432Node]\Crypto Pro\Settings\USERS\S-1-5-21-{SID}\Keys\
- После того, как найден нужный раздел с ключами:
- Нажать на подраздел
keysправой кнопкой мыши и выбрать пункт «Экспортировать» (см. раздел ).- Выбрать место для сохранения и задать имя файла. Экспортированный файл будет иметь расширение
.reg.- Если требуется, перенести экспортированный файл с расширением
.regна другой компьютер.
.. index:: Security Identifier (SID)
- Открыть экспортированный файл с расширением
.regв текстовом редакторе (Notepad++, Блокнот) и изменить в файле идентификатор пользователя (SID) на идентификатор текущего пользователя, для этого:
Рис. 24 – Изменение пути к веткам реестра
Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью».
Если разрядность(битность) текущей системы отличается от той, на которой находился контейнер закрытого ключа, то необходимо проверить и при необходимости исправить путь в текстовом редакторе.
После этого выполнить установку открытого ключа через Крпто Про CSP (Инструкция по установке личного сертификата).
Перед тем, как вносить изменения в реестр, обязательно создавайте его резервную копию. Подробнее в разделе :ref:`export`.
- В конце рекомендуется выгрузить ранее загруженный куст «Файл → Выгрузить куст».
Можно запускать реестр и не используя утилиту PsExec.exe, но тогда придется добавлять загруженным веткам права и разрешения вручную так, как описано в разделе :ref:`regedit-rules`. Это не критично, если речь идет, например, о копировании всего одного контейнера закрытого ключа. Если файлов много, то гораздо быстрее и удобнее использовать PsExec.exe.
Рекомендую всегда держать на готове утилиту PsExec.exe, ее скачивание и копирование занимает не так много времени.
Извлечение информации из резервной копии реестра
Резервные копии реестра обычно создаются автоматически каждые десять дней. Сохраняются они в папке:
C:\Windows\System32\config\RegBack– для Windows 7 и Server 2008;C:\Windows\repair– для XP и Server 2003.
Данные папки содержит те же файлы, что и C:\Windows\System32\config\.
Если, например, из реестра случайно был удален контейнер закрытого ключа, теоретически, есть возможность импортировать куст из резервной копии.
Порядок действия аналогичен, описанному порядку в инструкции :ref:`kep-recovery`. Отличается только файл загружаемого куста C:\Windows\System32\config\RegBack\Software.
Доступ к считываетлям (Calais)
.. index:: Calais
Иногда возникает проблема с доступом к считывателям смарт-карт. Она может быть связана с тем, что у текущего пользователя недостаточно прав на следующие ветки:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Readers
Подробнее о настройке прав доступа читайте в разделе :ref:`regedit-rules`.
Может возникнуть ситуация, когда текущий пользователь системы даже не будет являться владельцем данных веток реестра, следовательно, у него не будет прав на них. В таком случае, необходимо сначала добавить текущего пользователя во владельцы этих веток, а затем проставить ему соответствующие права, как описано в разделе :ref:`regedit-rules` данного руководства.
Доверенные узлы
Если узел не добавляется в надежные узлы, можно добавить его вручную через реестр, для этого необходимо:
- Перейти в ветку
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains; - Добавить подраздел с названием домена, например,
kontur.ru; - В добавленном подразделе создать еще один подраздел с названием субдомена:
extern; - Добавить параметр DWORD
httpsсо значением2
Рис. 25 – Добавление зон надежных узлов вручную
Из нашей статьи вы узнаете:
Электронную цифровую подпись выдают на срок 12—15 месяцев для предотвращения компрометации или кражи данных. Ее оформляют на сотрудников, которые могут со временем уволиться, получить ЭЦП иного типа.
Итогом становится образование на носителе довольно большого массива устаревших сертификатов, которые занимают место и путают пользователя при необходимости совершить подпись документа. Выходом станет удаление устаревших из них с Рутокена, что можно сделать с помощью форматирования либо выборочно.
Удаление сертификатов с Рутокена методом форматирования
Это самый радикальный способ действия, предусматривающий полное форматирование устройства. В его рамках происходит удаление объектов, которые были внесены на Рутокен с момента его выпуска, что потребует повторной инициализации. Для совершения процедуры выполните следующие действия:
- перейдите на вкладку «Администрирование» в панели управления;
- выберите в панели управления Рутокен пункт «Ввести PIN-код»;
- установите в диалоговом окне режим администратора;
- введите PIN администратора (по умолчанию он 87654321 либо собственный при смене стандартного).
После завершения успешной авторизации в режиме администратора станет доступна кнопка «Отформатировать». После нажатия на нее будет открыто диалоговое новое окно для указания конкретных параметров. Внеся последние, достаточно нажать кнопку «Начать» и подтвердить действие в дополнительном окне. Мы специализируемся на внедрении IT-решений по автоматизации документооборота, предлагая клиентам выгодные условия и индивидуальный подбор ПО с учетом специфики бизнеса.
Обратим внимание, что нельзя форматировать Рутокен, который был выдан сотрудниками удостоверяющего центра (УЦ) одновременно с электронной подписью. Если вы это сделаете, то полученная ЭЦП будет уничтожена, что потребует повторного обращения за ее оформлением.
Выборочное удаление сертификатов без форматирования
Этот способ подойдет для случаев, когда необходимо удалить действующий сертификат уже уволенного сотрудника компании, очистив реестр от лишних записей. Для операции выполните следующие действия:
- перейдите на вкладку «Администрирование» в панели управления;
- откройте вкладку «Сертификаты» и выберите необходимый, который надо удалить;
- введите при необходимости пароль пользователя (по умолчанию 12345678 либо тот, который был установлен вами самостоятельно);
- выберите необходимый сертификат в открывшейся таблице;
- кликните на ссылку с удалением, которая появится в правой колонке таблицы.
Как удалить ЭЦП с компьютера
Удалять электронную подпись с компьютера нужно, если, например, владелец меняет устройство. В этом случае ЭЦП обязательно должно быть удалено со старого компьютера, чтобы никто не смог получить доступ к подписи.
Удалять сертификат при его устаревании не обязательно, — с его помощью можно расшифровывать старые документы. При этом новым сертификатом расшифровать старые документы не получится.
Как удалить ЭЦП с помощью Windows
Чтобы удалить электронную подпись при помощи системных средств Windows, проделайте следующие действия:
- Нажмите клавишу с логотипом Windows и клавишу S одновременно или нажмите на значок лупы в левом нижнем углу.
- В поисковой строке напишите «Сертификат» и запустите найденное приложение «Управление сертификатами пользователей».
- В открывшемся окне перейдите в раздел «Личное» → «Сертификаты».
- В окне справа выделите нужные сертификаты, нажмите на них правой кнопкой и выберите «Удалить». Нажмите «Да», когда выскочит предупреждение.
Как удалить ЭЦП в Linux
Так как в Linux отсутствуют системные средства, позволяющие удалять сертификаты пользователя, нужно использовать дополнительную программу. В данном случае мы будем использовать одну из самых популярных программ — Mono.
После скачивания и установки программы (инструкция находится на сайте), выполните следующие действия:
- Запустите терминал и введите команду «certmgr –list».
- Найдите нужный сертификат и скопируйте его название.
- Введите команду «certmgr -del -c -m» и через пробел вставьте название сертификата с расширением.
Как удалить ЭЦП при помощи «Инструменты КриптоПро»
Для тех, у кого установлен «КриптоПро CSP» версии 5.0, могут воспользоваться «Инструментами КриптоПро» — графическим приложением для Windows, Linux и MacOS. С его помощью можно удалить сертификат электронной подписи.
Выполните следующие действия:
- Запустите приложение «Инструментами КриптоПро» и перейдите в раздел «Сертификаты».
- Выберите нужный сертификат и нажмите кнопку «Удалить сертификат».
- Нажмите «Да», когда выскочит предупреждение.
В программе можно удалять только один сертификат за раз, так что описанные действия придётся выполнять для каждого из сертификатов, которые нужно удалить.
Как удалить закрытый ключ ЭЦП с помощью «КриптоПро CSP»
Обычно удаляют только сертификаты электронной подписи, но если требуется удалить и контейнеры закрытых ключей, это можно сделать с помощью программы «КриптоПро CSP».
Предварительно вытащив носитель с электронной подписи из устройства, выполните следующие действия:
- Запустите приложение «КриптоПро CSP», перейдите во вкладку «Сервис» → «Контейнер закрытого ключа» → «Удалить».
- В окне «Удаление контейнера закрытого ключа» нажмите кнопку «Обзор».
- Найдя нужный контейнер, выделите его и нажмите «Ок». Нажмите «Да», когда выскочит предупреждение.
- После удаления нажмите «Ок».
Удаление сертификатов с Рутокена
Метод форматирования
Это самый радикальный способ действия, предусматривающий полное форматирование устройства. В его рамках происходит удаление объектов, которые были внесены на Рутокен с момента его выпуска, что потребует повторной инициализации. Для совершения процедуры выполните следующие действия:
- перейдите на вкладку «Администрирование» в панели управления;
- выберите в панели управления Рутокен пункт «Ввести PIN-код»;
- установите в диалоговом окне режим администратора;
- введите PIN администратора (по умолчанию он 87654321 либо собственный при смене стандартного).
После завершения успешной авторизации в режиме администратора станет доступна кнопка «Отформатировать». После нажатия на нее будет открыто диалоговое новое окно для указания конкретных параметров. Внеся последние, достаточно нажать кнопку «Начать» и подтвердить действие в дополнительном окне. Мы специализируемся на внедрении IT-решений по автоматизации документооборота, предлагая клиентам выгодные условия и индивидуальный подбор ПО с учетом специфики бизнеса.
Обратим внимание, что нельзя форматировать Рутокен, который был выдан сотрудниками удостоверяющего центра (УЦ) одновременно с электронной подписью. Если вы это сделаете, то полученная ЭЦП будет уничтожена, что потребует повторного обращения за ее оформлением.
Выборочное удаление сертификатов без форматирования
Этот способ подойдет для случаев, когда необходимо удалить действующий сертификат уже уволенного сотрудника компании, очистив реестр от лишних записей. Для операции выполните следующие действия:
- перейдите на вкладку «Администрирование» в панели управления;
- откройте вкладку «Сертификаты» и выберите необходимый, который надо удалить;
- введите при необходимости пароль пользователя (по умолчанию 12345678 либо тот, что был установлен вами самостоятельно);
- выберите необходимый сертификат в открывшейся таблице;
- кликните на ссылку с удалением, которая появится в правой колонке таблицы.
Можно ли восстановить сертификат ЭЦП после удаления
Электронная подпись содержит конфиденциальные данные конкретного пользователя. Для предотвращения их хищения и дополнительной защиты сертификаты удаляются, минуя «Корзину», поэтому восстановить их невозможно.
Доступно только восстановление открытой части сертификата, которая находилась в контейнере вместе с закрытым ключом. Если в нем был только закрытый ключ, то сертификат можно повторно запросить в удостоверяющем центре (УЦ), где была оформлена ЭЦП. При случайном или намеренном удалении сертификата из интернет-браузера можно его восстановить программой «КриптоПро».
При случайном удалении закрытого ключа восстановить его можно только при наличии копии на токене либо USB-накопителе. Если последнего нет, то придется повторно обращаться в удостоверяющий центр для перевыпуска сертификата (отдельные тарифные планы предлагают подобную возможность на платной основе).
Стоит ли удалять старые ЭЦП
При удалении устаревших электронных цифровых подписей необходимо понимать, что затем не удастся открывать зашифрованные с их помощью документы. Произойдет это даже в случае, если новая ЭЦП будет установлена на пользователя, чьи данные были в устаревших сертификатах. Подобное особенно актуально при работе с отчетными документами, которые могут понадобиться в будущем.
Для предотвращения описанной выше проблемы можно не удалять ненужные сертификаты цифровых подписей, а просто скрыть их из общего списка. Это упростит поиск нужной ЭЦП в окне выбора и одновременно сохранит доступ ко всему массиву зашифрованных на компьютере документов.
Подлежит ли сертификат в дальнейшем восстановлению
Информация об удаленных сертификатах нигде не кешируется и не сохраняется в корзине, что делает невозможным их последующее восстановление даже при использовании специальной программы cpfixit.exe, возвращающей настройки безопасности реестра Windows. При ошибочном удалении ключа ЭЦП доступна только повторная установка либо добавление при помощи USB-рутокен КриптоПро.
Следует обратить внимание на получение соответствующих прав при работе с ЭЦП – для удаления достаточно иметь статус «Пользователя», а для установки потребуются полномочия «Администратора».
Ошибка копирования контейнера
Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:
Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии. Либо вы просто не сможете его выбрать для копирования, если у вас последняя версия CryptoPro. Он будет неактивен:
Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему. Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Делаем это там же на вкладке Сервис в оснастке CryptoPro. Нажимаем Посмотреть сертификаты в контейнере.
Выбираем необходимый сертификат и нажимаем Посмотреть свойства сертификата.
Далее переходим на вкладку Состав в информации о сертификате и нажимаем Копировать в файл.
Если у вас после слов “Экспортировать закрытый ключ вместе с сертификатом” нет возможности выбрать ответ “Да, экспортировать закрытый ключ”, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.
Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, кроме удаления. Так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.
Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке из оснастки Crypto Pro, жмёте Копировать в файл, экспортировать БЕЗ закрытого ключа. И выбираете файл формата .CER.
Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него. В итоге у вас должны получиться 2 файла с расширениями:
- .pfx
- .cer
Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам нужно будет выбрать все параметры по умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер. Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.
Удаление «криптопро» с очисткой следов установки
Устранение всех следов пребывания программы на компьютере осуществляется в 3 этапа:
- удаление приложения;
- очистка реестра утилитой Ccleaner;
- устранение остаточных следов установки «КриптоПро».
Порядок действий:
- клавишами Win R вызывается командный интерпретатор;
- запускается appwiz.cpl;
- отмечается галочкой отказ от повторного вывода этого окна;
- находится нужная версия «КриптоПро CSP» и дается команда удалить ее;
- производится перезагрузка компьютера, система выдаст сообщение о необходимости этой операции;
- далее из командной строки вызывается утилита Ccleaner и галочкой отмечается пункт «Очистка»;
- после выполнения задания выделяются галочкой «Реестр» и «Поиск проблем»;
- на экран будет выведен список параметров, оставшихся в реестре;
- они удаляются нажатием кнопки «Исправить выбранное»;
- последние 2 действия Ccleaner повторяются до полной деинсталляции файлов;
- в завершение очищается кеш установки, для этого делаются видимыми скрытые каталоги и удаляется папка «C:ProgramDataCryptoPRO».
По завершении всех действий в компьютере не остается следов пребывания криптографического пакета в реестре и на диске.
Прерванное удаление «криптопро»
Удаление файлов через оснастку Windows «Программы» или установочный диск может быть прервано вследствие аппаратного или программного сбоя. В такой ситуации возможно сохранение на компьютере части секретной информации. Для ее полного удаления следует воспользоваться специальной утилитой cspclean.exe:
- запустить файл cspclean.exe;
- перезагрузить компьютер;
- выполнить повторный запуск.
Если на компьютере остаются работающие компоненты программ «КриптоПро» или «КриптоАРМ» – тогда следует отказаться от использования этого сервиса и выбрать другой метод очистки.
Онлайн курс по Kubernetes
Онлайн-курс по Kubernetes – для разработчиков, администраторов, технических лидеров, которые хотят изучить современную платформу для микросервисов Kubernetes. Самый полный русскоязычный курс по очень востребованным и хорошо оплачиваемым навыкам. Курс не для новичков – нужно пройти вступительный тест.
Если вы ответите “да” хотя бы на один вопрос, то это ваш курс:
- устали тратить время на автоматизацию?
- хотите единообразные окружения?;
- хотите развиваться и использовать современные инструменты?
- небезразлична надежность инфраструктуры?
- приходится масштабировать инфраструктуру под растущие потребности бизнеса?
- хотите освободить продуктовые команды от части задач администрирования и автоматизации и сфокусировать их на развитии продукта?
Сдавайте вступительный тест по ссылке и присоединяйтесь к новому набору!.
Заказать настройку ЭЦП от 500 р.
Помогла статья? Подписывайся на telegram канал автора
Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.
Удаление средствами программы «криптопро»
Приложение «КриптоПро CSP» предоставляет все возможности для работы с ЭЦП. Оно устанавливает, стирает, копирует и скрывает файлы сертификатов и ключей. Удаление просроченных и ненужных файлов с расширением “.key” требует выполнения следующих действий:
- запустить приложение «КриптоПро»;
- перейти на вкладку «Сервис» в окне программы;
- развернуть список ключей ЭЦП;
- отметить нужную запись;
- нажать на «Удалить» либо «Удалить контейнер» (определяется версией ПО);
- подтвердить действие.
https://youtube.com/watch?v=nPNa11c3QRo%3Ffeature%3Doembed
Преимуществом этого способа является то, что «КриптоПро» удаляет каждую запись по отдельности либо сразу все вместе с корневым сертификатом УЦ.
Удаление сертификатов встроенными средствами windows
Следует уточнить, что удалять сертификат удостоверяющего центра следует только при окончании срока действия ЭЦП. Если же та электронная подпись, которой ранее владел пользователь, была попросту заменена на новую из-за компрометации, потери или иных схожих причин, то удалять корневой сертификат удостоверяющего центра не нужно – его в будущем все равно придется повторно инсталлировать.
Как удалить просроченные сертификаты ЭЦП на компьютере с Windows? Для этого необходимо:
- запустить Internet Explorer (версии 8.0 или выше);
- в строке «Сервис» перейти на вкладку «Свойства браузера»;
- в появившемся диалоговом окне перейти на вкладку «Содержание», кликнуть на пункт «Сертификаты»;
- в списке поочередно выбрать каждый сертификат ЭЦП, который необходимо удалить, затем кликнуть на «Удалить» и подтвердить выполнение задачи.
Только если таким методом удалить сертификат подписи с компьютера, то ключ удостоверяющего центра все равно останется на жестком диске. Он нигде не будет отображаться, однако будет занимать место на носителе.
Как ещё удалить лишние сертификаты ЭЦП? Можно воспользоваться мастером для работы с сертификатами.
- Для его запуска потребуется открыть меню «Пуск» и в строке «Выполнить» набрать команду certmgr.exe, далее нажать клавишу «Enter».
- В левой части появившегося окна будет древовидный список со всеми добавленными в систему сертификатами. В указанном случае понадобятся пункты «Личное» и «Доверенные корневые сертификаты удостоверяющих центров».
- Поочередно следует раскрыть указанные группы, вручную выбрать ненужные сертификаты и при помощи контекстного меню (кликнув правой клавишей мыши) – удалить их из системы (подтвердив свой выбор в диалоговом окне).
Есть ещё один вариант как удалить старую ЭЦП с компьютера, о котором часто упоминают на разного рода тематических форумах. Для этого удаляется соответствующая запись о наличии установленного сертификата из реестра Windows. Однако использовать такой вариант не рекомендуется – сам файл сертификата при этом остается в системе, но не будет отображаться ни в КриптоПРО CSP, ни в менеджере установленных сертификатов (certmgr.exe).
КриптоПро CSP ошибка 0x80090010 Отказано в доступе
Иногда после переноса контейнеров закрытых ключей через экспорт – импорт ветки реестра с ключами можно увидеть ошибку доступа к контейнерам. Вроде бы все на месте, ключи есть в реестре. Их можно увидеть в останстке CryptoPro, но не получается прочитать. При попытке это сделать возникает ошибка:
Ошибка обращения к контейнеру закрытого ключа. Ошибка 0x80090010: Отказано в доступе. Связано это с тем, что у текущего пользователя, под которым вы хотите получить доступ к контейнеру, нет полных прав на ветку реестра с хранящимися ключами. Исправить это просто. Переходите в редактор реестра и выставляйте полные права к ветке Keys для текущего пользователя.
Убедитесь так же, что новые права наследовались на дочерние ветки с самими ключами. Обычно это так, но перепроверить на всякий случай непомешает. После этого ошибка с доступом к контейнеру закрытого ключа исчезнет.
Удаление сертификата эцп в linux-дистрибутивах
В Linux-дистрибутивах используется множество программ для работы с персональными сертификатами. Самая распространенная среди таковых – Mono. Данная программа по сути представляет аналог менеджера сертификата из Windows, однако большая часть функций выполняются через терминал.
Самый простой вариант как удалить ЭЦП с компьютера следующий:
- запустить терминал, ввести команду certmgr –list;
- изучить список всех установленных сертификатов (в общем списке отображаются абсолютно все, а не только по ЭЦП);
- ввести команду certmgr -del -c -m 11111.cer, где вместо 11111.cer будет указано имя того сертификата, от которого необходимо избавиться.
С помощью других менеджеров принцип удаления сертификатов ЭЦП будет схожим, но могут отличаться команды, вводимые в терминал – следует с ними ознакомиться заблаговременно (через команду help).
Когда удалять сертификаты не следует
Те, кто уже достаточно давно работает с электронными отчетными документами (для отправки, например, в налоговую), не рекомендуют удалять устаревшие ЭЦП с жесткого диска, так как после этого невозможно будет открыть старые документы, зашифрованные с их использованием. Такая ситуация возникнет даже в том случае, если установлен новая ЭЦП на того же пользователя, которому принадлежат устаревшие сертификаты.
И перед тем как удалить старые сертификаты ЭЦП с компьютера необходимо упомянуть, что их можно оставить, но скрыть из общего списка (из того, в котором выбирают подпись, которая будет использована для шифрования документа). Во многих случаях это тоже будет более разумным вариантом, если главная задача – это просто очистить список сертификатов в окне выбора.
Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер
В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже. Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:
wmic useraccount where name='user' get sid
В данном случай user – имя учетной записи, для которой узнаем SID. Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра (regedit.exe) и переходим в ветку:
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\S-1-5-21-4126888996-1677807805-1843639151-1000\Keys
где S-1-5-21-4126888996-1677807805-1843639151-1000 – SID пользователя, у которого копируем сертификаты. Выбираем папку Keys и экспортируем ее. Этот путь актуален для 64-х битных систем – Windows 7, 8, 10. В 32-х битных путь может быть немного другой. Я специально не проверял, но поиском по реестру вы при желании найдете его.
Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи. Теперь нам нужно скопировать сразу все сертификаты. В Windows 7, 8 и 10 они живут в директории – C:\Users\user\AppData\Roaming\Microsoft\SystemCertificates\My. Сохраняйте эту директорию. Для переноса ключей и сертификатов нам надо скопировать на другой компьютер сохраненную ветку реестра и директорию с сертификатами My.
После того, как перенесли файлы со старого компьютера на новый, открываем файл с веткой реестра в текстовом редакторе и меняем там SID пользователя со старого компьютера на SID пользователя нового компьютера. Можно прям в блокноте это сделать поиском с заменой.
После этого запускаем .reg файл и вносим данные из файла в реестр. Теперь скопируйте папку My с сертификатами в то же место в профиле нового пользователя. На этом перенос сертификатов и контейнеров закрытых ключей КриптоПро завершен. Можно проверять работу. Я не раз пользовался этим методом, на текущий момент он 100% рабочий. Написал статью, чтобы помочь остальным, так как сам не видел в интернете подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя таковой получилась.
Можно ли восстановить ранее удаленный сертификат
Ранее удаленный сертификат из системы восстановить не получится. Он не попадает в «Корзину», не резервируется, так как в данном файле содержится конфиденциальная информация. С целью защиты персональных данных пользователей доступ к таким данным в том же Windows специально усложнен.
Если же пользователь случайно удалил сертификат, который ему нужен, то потребуется его повторно установить в систему или добавить из USB-рутокена через КриптоПРО CSP. Это же касается и корневых сертификатов удостоверяющих центров (но их получить гораздо проще – они находятся в открытом доступе).
Итого, удалить сертификат электронной подписи из системы достаточно просто. Ни секретного пароля, ни рутокена при этом не понадобится – достаточно обладать правами администратора (пользователи из группы «Гость» не смогут получить доступ к настройкам браузера Internet Explorer или мастера работы с сертификатами).
Копирование закрытого ключа через оснастку КриптоПро
Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.
Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.
Часто задаваемые вопросы по теме статьи (FAQ)
Можно ли перенести сертификат, который находится на токене и защищен от копирования?
Очевидно, что предложенное в статье решение для этого не подойдет. Ведь тут идет речь о переносе сертификатов, которые хранятся в реестре, то есть уже были скопированы. Технические средства для копирования защищенных крипто контейнеров тоже существуют, но это не такое простое и очевидное решение.
Безопасно ли хранить сертификаты в реестре?
Это не безопасно и в общем случае я не рекомендую это делать. USB токены для хранения сертификатов придуманы не просто так. Они реально защищают сертификаты от несанкционированного копирования. Если у вас нет объективной необходимости копировать сертификаты в реестр, лучше этого не делать. Если вам нужно сделать бэкап сертификата на случай поломки токена, то просто скопируйте его в зашифрованный архив и сохраните на флешке.
Подойдет ли предложенный способ копирования сертификатов CryptoPro для VipNet?
Нет, не подойдет. В статье описан способ переноса сертификатов CryptoPro. Другие криптопровайдеры хранят сертификаты по-другому. Универсального способа для всех не существует.
Есть ли какой-то очень простой способ скопировать сертификаты crypto pro? То, что описано в статье слишком сложно для меня.
Да, есть статья на сайте контура, в ней ссылка на утилиту для копирования контейнеров Certfix. Можете воспользоваться ей.
