Добрый день! Уважаемые читатели и гости крупнейшего IP блога России pyatilistnik.org. В прошлый раз я вам рассказал, о том, как установить сертификат в реестр Windows . Сегодня я вам расскажу, каким образом вы можете выполнить перенос сертификата на другой компьютер, это очень частая и жизненная ситуация с которой сталкиваются многие системные администраторы. Захотелось с вами поделиться опытом, о массовом переносе контейнеров с закрытыми ключами, находящимися в области реестра Windows. Использовать мы будем как КриптоПРО, так и встроенные механизмы. Уверен будет интересно.
Добрый день! Уважаемые читатели и гости крупного IT блога рунета pyatilistnik.org. Продолжаем нашу с вами тему с сертификатами и работе с ними. В прошлый раз я вам подробно рассказал, как получить тестовый сертификат криптопро, посмотрите очень интересная заметка. Согласитесь, что для тестирования вам может потребоваться не один сертификат, а гораздо больше, и очень удобно иметь возможность работать с ними, без привязки к физическим токенам, например, на виртуальных машинах Vmware. Для таких задач, есть возможность поместить сертификаты КриптоПРО в реестр Windows, чем мы с вами и займемся.
Обновлено 11.09.2018
Добрый день! Уважаемые читатели и гости крупнейшего IT блога в России pyatilistnik.org. В прошлый раз мы разбирали ситуацию, что утилита КриптоПРО не видела токен Jacarta, согласитесь, что при решении этой проблемы было бы здорово иметь тестовый ключ с сертификатом, и параллельно ваш коллега мог бы тоже траблшутить. Еще тестовый сертификат CryptoPRO может быть полезен, при процедуре переноса контейнера КриптоПРО из реестра в случае с не экспортируемым закрытым ключом. Сегодня я вас научу генерировать нормальный, тестовый сертификат шифрования или подписи для разных задачу.
Офис на Нагатинской
г. Москва, ст. метро Нагатинская , ул. Нагатинская д. 1
пн–пт: 9:30–18:00
Офис на Цветном бульваре
г. Москва, ст. метро Цветной бульвар, ул. Садовая-Самотечная, д.12, корп. 1
пн–сб: 9:30–18:00
Офис на Волоколамской (рядом с ИФНС 46)
г. Москва, Походный проезд, д.4, корп.1
пн,ср,пт: 9:30–18:00; вт,чт: 9:00-20:00
Техподдержка
Работаем 24/7
8 (495) 730 73 47
Отдел продаж
8 (495) 730 73 45
Техподдержка
8 (495) 730 16 19
ОФД Техподдержка
Офис на Нагатинской
г. Москва, ст. метро Нагатинская , ул. Нагатинская д. 1
пн–пт: 9:30–18:00
Офис на Цветном бульваре
г. Москва, ст. метро Цветной бульвар, ул. Садовая-Самотечная, д.12, корп. 1
пн–сб: 9:30–18:00
Офис на Волоколамской (рядом с ИФНС 46)
г. Москва, Походный проезд, д.4, корп.1
пн,ср,пт: 9:30–18:00; вт,чт: 9:00-20:00
Техподдержка
Работаем 24/7
В случае, если закрытый ключ состоит из шести файлов .key: header.key, masks.key, masks2.key, name.key, primary.key, primary2.key, которые находятся в одной общей папке, перенесите папку с файлами на USB-накопитель (USB-флеш-накопитель, жёсткий диск) для отображения файлов в программе КриптоПро CSP.
Обратите внимание, файлы должны находиться в папке первого уровня (Рис. 1).
Затем проверьте отображение файлов в КриптоПро CSP. Для этого откройте программу, откройте раздел «Сервис» → «Просмотреть сертификаты в контейнере» (Рис. 2).
Далее нажмите кнопку «Обзор». Откроется окно выбора контейнера. При корректном отображении файлов будет строка: Считыватель – Наименование USB-накопителя, Имя контейнера – Наименование папки с файлами (Рис. 3).
Далее выполните установку личного сертификата по инструкции:
/ru-ru/support/kb/333#1.
- Как скопировать сертификат в реестр КриптоПРО
- Пример установки отдельно взятого сертификата из контейнера
- Установка сертификатов используя КриптоПРО в Linux
- Копирование закрытого ключа из КриптоПро
- Где хранится закрытый ключ в реестре Windows
- Автоматическая настройка
- Генерация тестового сертификата
- Как скопировать эцп из реестра на флешку
- Перенос сертификатов из реестра без КриптоПРО
- Перенос сертификатов в виде пошаговой инструкции
- Установка КриптоПро ЭЦП Browser plug-in.
- Когда нужно переносить сертификаты в другое место?
- Установка закрытого ключа в реестр
- Когда нужно копировать сертификаты КриптоПРО в реестр
- Настроить компьютер для работы с ЭП
- Массовый перенос ключей и сертификатов CryptoPro на другой компьютер
- Как видите предпосылок и вариантов переноса сертификатов из реестра на другой компьютер, предостаточно.
Как скопировать сертификат в реестр КриптоПРО
CryptoPRo позволяет производить установку с копирование закрытого ключа (сертификата) в реестр Windows.
Хочу вас сразу предупредить, что с точки зрения безопасности, это очень не надежно и ваши закрытые ключи могут быть похищены, если вы не организовываете надлежащий уровень безопасности
И так, у меня есть USB токен SafeNet, на который я выпустил тестовую ЭЦП, ее я буду переносить вместе с закрытым ключом в реестр Windows. Открываем утилиту CryptoPRO с правами администратора.
Переходите на вкладку “Сервис” и нажимаете “скопировать”
У вас откроется окно “Контейнер закрытого ключа”, тут вам нужно нажать кнопку “Обзор”, что бы выбрать ваш сертификат, который вы хотите скопировать в реестр.
В итоге у вас в поле “Имя ключевого контейнера” отобразиться абракадабровое имя.
Нажимаем далее.
У вас появится окно с вводом пин-кода от вашего USB токена.
Теперь вам необходимо задать имя для копируемого сертификата в реестр Windows, КриптоПРО благо, это позволяет. Я назвал его “Копия сертификата в реестре (Семин Иван)”
Теперь вам необходимо положить сертификаты КриптоПРО в реестр, для этого выбираем соответствующий пункт и нажимаем “Ок”.
На следующем шаге вам предложат установить новый пароль на ваш контейнер с закрытым ключом, советую установить его и желательно посложнее.
Пример установки отдельно взятого сертификата из контейнера
При необходимости скопируйте ключевой контейнер \\.\FLASH\.\sidorov на жесткий диск:
/opt/cprocsp/bin/amd64/csptest -keycopy -contsrc '\\.\FLASH\sidorov' -contdest '\\.\HDIMAGE\sidor'CSP (Type:80) v4.0.9009 KC1 Release Ver:4.0.9797 OS:Linux CPU:AMD64 FastCode:READY:AVX.
CryptAcquireContext succeeded.HCRYPTPROV: 38556259
CryptAcquireContext succeeded.HCRYPTPROV: 38770755
Total: SYS: 0,000 sec USR: 0,100 sec UTC: 14,920 sec
[ErrorCode: 0x00000000]
Наличие [ErrorCode: 0x00000000] в завершении каждой команды КриптоПРО говорит о ее успешном выполнении.
Проверьте наличие нового контейнера \\.\HDIMAGE\sidor:
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifycCSP (Type:80) v4.0.9009 KC1 Release Ver:4.0.9797 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 34554467
\\.\FLASH\ivanov
\\.\FLASH\petrov
\\.\FLASH\sidorov
\\.\FLASH\vasiliev
\\.\FLASH\smirnov
\\.\HDIMAGE\sidor
OK.
Total: SYS: 0,010 sec USR: 0,050 sec UTC: 0,130 sec
[ErrorCode: 0x00000000]
Установите личный сертификат:
/opt/cprocsp/bin/amd64/certmgr -inst -cont '\.HDIMAGEsidor'Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
Install:
=============================================================================
1-------
Issuer : OGRN=1234567890123, INN=1234567890, STREET=Арбат, [email protected], C=RU, S=77 г.Москва, L=Москва, O=ООО 'Беркут', OU=Удостоверяющий центр, CN=UCESTP
Subject : SNILS=12345678901, OGRN=1234567890123, INN=0011234567890, [email protected], C=RU, S=10 Республика Карелия, L=Петрозаводск, O=ООО Ромашка, CN=Сидоров Николай Павлович, T=Администратор, G=Николай Павлович, SN=Сидоров
Serial : 0x12C40953000000000019
SHA1 Hash : 0xdd0ea8db46a372571c55315cd7e4d8e2de8fb9b6
SubjKeyID : 5fc37e578cce0abe739c4da227f68a2f9abcb128
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 09/08/2016 06:07:00 UTC
Not valid after : 09/11/2017 06:17:00 UTC
PrivateKey Link : No
CA cert URL : <mark>http://cert1.ucestp.ru/estp.crt</mark>
Extended Key Usage : 1.3.6.1.5.5.7.3.4
1.3.6.1.5.5.7.3.2
=============================================================================
[ErrorCode: 0x00000000]
Скачайте корневой сертификат по ссылке выше (из поля CA cert URL
): http://cert1.ucestp.ru/estp.crt и перенесите его, например, в домашнюю папку:
cp ~/Загрузки/estp.crt ~/estp.crt
Установите корневой сертификат (возможно потребуются права суперпользователя):
/opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file ~/estp.crtCertmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
Install:
=============================================================================
1-------
Issuer : OGRN=1234567890123, INN=1234567890, STREET=Арбат, [email protected], C=RU, S=77 г.Москва, L=Москва, O=ООО 'Беркут', OU=Удостоверяющий центр, CN=UCESTP
Subject : OGRN=1234567890123, INN=1234567890, STREET=Арбат, [email protected], C=RU, S=77 г.Москва, L=Москва, O=ООО 'Беркут', OU=Удостоверяющий центр, CN=UCESTP
Serial : 0x50D7BC0E4A3EC9994454EB83013EE5F5
SHA1 Hash : 0xd2144a3e098b6f2decb224257f48e2b7c6d85209
SubjKeyID : 07b753cd561dee8e5e83407be4575ecc05bfec14
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 17/06/2016 13:15:21 UTC
Not valid after : 17/06/2021 13:25:01 UTC
PrivateKey Link : No
=============================================================================
[ErrorCode: 0x00000000]
Проверьте установку личного сертификата:
/opt/cprocsp/bin/amd64/certmgr -list -store uMyCertmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
=============================================================================
1-------
Issuer : OGRN=1234567890123, INN=1234567890, STREET=Арбат, [email protected], C=RU, S=77 г.Москва, L=Москва, O=ООО 'Беркут', OU=Удостоверяющий центр, CN=UCESTP
Subject : SNILS=12345678901, OGRN=1234567890123, INN=0011234567890, [email protected], C=RU, S=10 Республика Карелия, L=Петрозаводск, O=ООО Ромашка, CN=Сидоров Николай Павлович, T=Администратор, G=Николай Павлович, SN=Сидоров
Serial : 0x12C40953000000000019
SHA1 Hash : 0xdd0ea8db46a372571c55315cd7e4d8e2de8fb9b6
SubjKeyID : 5fc37e578cce0abe739c4da227f68a2f9abcb128
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 09/08/2016 06:07:00 UTC
Not valid after : 09/11/2017 06:17:00 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\sidor.000\2B01
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0
CA cert URL : http://cert1.ucestp.ru/estp.crt
Extended Key Usage : 1.3.6.1.5.5.7.3.4
1.3.6.1.5.5.7.3.2
=============================================================================
[ErrorCode: 0x00000000]
Установка сертификатов используя КриптоПРО в Linux
Описание процесса установки приведено на примере дистрибутива семейства Debian (x64).Названия файлов и директорий могут варьироваться от системы к системе.
При установке личных сертификатов не нужны права суперпользователя, и наоборот, при установке сертификатов УЦ(корневых и промежуточных) могут потребоваться такие права.
Подключите USB носитель с ключевыми контейнерами и проверьте результат команды:
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifycCSP (Type:80) v4.0.9009 KC1 Release Ver:4.0.9797 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 16188003
\\.\FLASH\ivanov
\\.\FLASH\petrov
\\.\FLASH\sidorov
\\.\FLASH\vasiliev
\\.\FLASH\smirnov
OK.
Total: SYS: 0,020 sec USR: 0,060 sec UTC: 0,180 sec
Можно сразу установить личные сертификатов из всех доступных контейнеров одной командой:/opt/cprocsp/bin/amd64/csptestf -absorb -certsПроизойдет установка сертификатов, находящихся во всех доступных в момент запуска команды контейнерах (съемных флэш-носителях, жесткого диска и т. д.) в хранилище uMy.
Копирование закрытого ключа из КриптоПро
Это самый простой способ, и будет актуальным при небольшом количестве контейнеров с закрытыми ключами. Чтобы выполнить перенос сертификатов из реестра, откройте ваш КриптоПРО, вкладка “Сервис”, нажимаем кнопку “Сервис”, далее через кнопку “Обзор”, откройте “Выбор ключевого контейнера” и укажите, какой сертификат вы будите переносить. В моем примере это контейнер “Копия сертификата в реестре (Семин Иван)”.
Нажимаем “Далее”, вас попросят задать новое имя контейнера с закрытым ключом, введите понятное для себя, для удобства.
У вас откроется окно с выбором носителей, вы можете выбрать либо токен, либо флешку для переноса на другое место. У меня это внешний жесткий диск Z:\.
Задаем обязательно пароль, с точки зрения безопасности, так как файлы в таком виде просто скомпрометировать.
Все, на выходе я получил папку со случайным названием и набором ключей в формате key.
Если вы пытаетесь копировать сертификат с токена, то в ряде случаев у вас может появиться ошибка: Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.
Связана такая ситуация, что в целях псевдобезопасности, удостоверяющие центры выпускают закрытые ключи без возможности экспорта, и таким образом увеличивают свою прибыль, так как в случае утери или поломки токена, вам придется его перевыпускать, а так как экспорт запрещен, то бэкапа вы сделать не сможете.
Если вы получили ошибку копирования контейнера. У вас нет разрешений на экспорт ключа, то метод с КРиптоПРО вам не поможет
Где хранится закрытый ключ в реестре Windows
После процедуры добавления сертификата в реестр КриптоПРО, я бы хотел показать, где вы все это дело можете посмотреть. Ранее я вам рассказывал, о том как добавить оснастку сертификаты. Нас будет интересовать раздел “Сертификаты пользователя – Личное”.
Либо вы можете зайти в свойства Internet Explorer на вкладку “Содержание’. Потом перейти в пункт “Сертификаты”, где у вас будут отображаться все ваши SSL сертификаты, и те, что КриптоПРО скопировал в реестр операционной системы.
Если нужно найти ветку реестра с закрытым ключом, то я вам приводил уже пример в статье, когда я переносил ЭЦП с компьютера на компьютер.
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\Ваш SID, как его определить читайте по ссылке\Keys\Копия сертификата в реестре (Семин Иван)
Про копирование ЭЦП с закрытыми ключами мы разобрали, теперь ситуация обратная.
Автоматическая настройка
Сервис диагностики Контур
Используйте мастер как после получения новой подписи, так и после продления ЭП, например, чтобы установить ее в хранилище «Личные».
- Подключите носитель с ЭП к компьютеру.
- Запустите мастер настройки ПК:
- для СБИС;
- для работы на ЭТП и госпорталах.
- Установите или обновите ПО, которое предложит мастер настройки. Напротив всех пунктов должен появиться значок
.
- Выберите вашу электронную подпись.
- Когда все работы будут завершены, появится кнопка «Начать работу». Нажмите ее, чтобы перейти в личный кабинет и отправить первый отчет или утвердить отгрузочные документы на приобретенную ЭП.
Если планируете использовать ЭП на торговых площадках и госпорталах, сначала зарегистрируйтесь на них.
РУКОВОДСТВО ПО УСТАНОВКЕ И НАСТРОЙКЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ДЛЯ РАБОТЫ С ЭЛЕКТРОННОЙ ПОДПИСЬЮ НА ПОРТАЛЕ «ЛИЧНЫЙ КАБИНЕТ НАЛОГОПЛАТЕЛЬЩИКА ИНДИВИДУАЛЬНОГО ПРЕДПРИНИМАТЕЛЯ»
1.1. СВЕДЕНИЯ О ТЕХНИЧЕСКИХ И ПРОГРАММНЫХ СРЕДСТВАХ, ОБЕСПЕЧИВАЮЩИХ РАБОТУ
Для работы с электронной подписью (ЭП) в Личном кабинете налогоплательщика индивидуального предпринимателя необходимо на рабочее место пользователя установить следующее программное обеспечение (ПО):
• Операционная система Microsoft Windows XP или выше, либо Mac OS X 10.13 или выше;
• Криптопровайдер с поддержкой алгоритмов шифрования ГОСТ 34.10-2001, ГОСТ 28147-89, ГОСТ Р 34.11-2012;
(Сертифицированная версия КриптоПро CSP 4.0 R3 с официального сайта );
• Браузер с поддержкой шифрования защищенных соединений по ГОСТ 34.10-2001, ГОСТ 28147-89, ГОСТ Р 34.11-2012. Например:
o Internet Explorer 11;
o Спутник версии gostssl не ниже 3.0.1324.0 с плагином Крипто ПРО ЭЦП browser plug-in версии не ниже 2.0.12888. При установке браузера Спутник на ПК необходимо выбирать вариант браузера «С поддержкой отечественной криптографии».
o Яндекс.Браузер версии 17.9.1 или выше. Поддержка ГОСТ шифрования есть только в версии для Windows. Для работы в Яндекс.Браузере необходимо установить КриптоПро CSP и проверить, что в настройках браузера в разделе «Сеть» включены галочки «Использовать DNS-сервер с шифрованием DNSCrypt» и «Пытаться соединиться с сайтами, использующими шифрование ГОСТ, с помощью Windows SSPI»;
• Программный компонент для работы с электронной подписью с использованием Web-браузера (Крипто ПРО ЭЦП browser plug-in можно скачать по ссылке http://www.cryptopro.ru/products/cades/plugin/).
Необходимо установить сертификаты:
• Сертификат Головного Удостоверяющего Центра в хранилище сертификатов «Доверенные корневые центры» (скачать);
• Сертификат удостоверяющего центра Минкомсвязи в хранилище сертификатов «Доверенные корневые центры» (скачать);
• В случае использования криптопровайдера Signal-COM CSP необходимо осуществить экспорт пользовательского сертификата в локальное хранилище.
В случае использования криптопровайдера КриптоПро CSP:
• Цепочку квалифицированных сертификатов ключей проверки электронной подписи (далее КСКПЭП), начиная от КСКПЭП УЦ, непосредственно выдавшего юридическому лицу его КСКПЭП, и до корневого КСКПЭП, последнего в цепочке сертификатов, в соответствующие хранилища:
o Самоподписанный (поле «Кому выдан» совпадает с полем «Кем выдан») КСКПЭП удостоверяющего центра – в хранилище сертификатов «Доверенные корневые центры»;
o Остальные сертификаты цепочки – в хранилище сертификатов «Промежуточные центры сертификации»;
• Квалифицированный сертификат ключа проверки электронной подписи (КСКПЭП), выданный юридическому лицу удостоверяющим центром, аккредитованным в сети доверенных удостоверяющих центров Минкомсвязи России, участником которой является и ФНС России, в хранилище сертификатов «Личные».
Могут быть использованы КСКПЭП, выданные для представления налоговой и бухгалтерской отчетности по телекоммуникационным каналам связи.
Кроме того, необходимо выполнить следующие настройки:
• Установить узел https://lkip.nalog.ru и https://lkipgost.nalog.ru в зону надежных узлов. (см. п.1.6. Установка узлов https://lkip.nalog.ru и https://lkipgost.nalog.ru в зону надежных узлов)
• Порт 443, должен быть открыт для отправки и приема данных из сети Интернет.
Это можно сделать двумя способами:
o Перейдите по ссылке https://gmail.com/. Если появляется сообщение «Невозможно отобразить страницу», значит, порт закрыт.
o Выберите меню Пуск / Выполнить, в строке наберите telnet lkipgost.nalog.ru 443 Если открылось окно консоли (пустое черное окно), значит, порт открыт.
Если порт закрыт, может появиться сообщение об ошибке или запрете доступа. Может появиться окно с попыткой подключения, которое через некоторое время закрывается.
Внимание! В Windows Vista/7 функция telnet по-умолчанию отключена. Чтобы ее включить, нужно зайти в качестве Администратора в меню Пуск / Панель управления / Программы и компоненты / Включение и отключение компонентов Windows. В открывшемся окне включите опцию «Клиент Telnet». Далее повторите попытку входа в систему. Обычно доступ блокируется брандмауэром Windows или сторонними программами, например, антивирусами.
1.2. УСТАНОВКА INTERNET EXPLORER
Рекомендуется обновлять версию Internet Explorer до максимально возможной (зависит от установленной ОС пользователя), а также регулярно проводить Windows-обновления и доставлять все необходимые патчи и компоненты безопасности для браузера Internet Explorer. Это же относится и к остальным браузерам.
1.3. УСТАНОВКА КРИПТОПРО ЭЦП BROWSER PLUG-IN ДЛЯ WINDOWS
Компонент для подписания документов с использованием Web-браузера доступен по ссылке http://www.cryptopro.ru/products/cades/plugin/downloads. Вы можете также автоматически скачать компонент для вашей версии ОС, перейдя по ссылке http://www.cryptopro.ru/products/cades/plugin/get_2_0
Загрузите КриптоПро ЭЦП browser plug-in для Windows (актуальную версию):
Запустите приложение:
Выполняется установка:
Нажмите «Выполнить» в окне завершения установки ЭЦП browser plug-in для Windows.
Завершите установку ЭЦП browser plug-in:
1.4. УСТАНОВКА СЕРТИФИКАТОВ ГОЛОВНОГО УДОСТОВЕРЯЮЩЕГО ЦЕНТРА И УЦ МИНКОМСВЯЗИ В ХРАНИЛИЩЕ СЕРТИФИКАТОВ «ДОВЕРЕННЫЕ КОРНЕВЫЕ ЦЕНТРЫ»
Для установки сертификатов вам потребуется перейти с помощью браузера Internet Explorer по ссылкам https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2 и
https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
для скачивания сертификатов, далее нажмите «Открыть».
Далее нажмите «Установить сертификат»:
В открывшемся окне мастера импорта сертификатов нажмите «Далее».
Выберите «Поместить все сертификаты в следующее хранилище», после чего нажмите «Обзор…»:
Укажите «Доверенные корневые центры сертификации», нажмите «ОК»:
Нажмите «Далее»:
Для завершения работы мастера импорта сертификатов нажмите «Готово»:
Подтвердите установку сертификата, нажав кнопку «Да»:
1.5. УСТАНОВКА УЗЛОВ HTTPS://LKIP.NALOG.RU И HTTPS://LKIPGOST.NALOG.RU В ЗОНУ НАДЕЖНЫХ УЗЛОВ
В браузере Internet Explorer зайдите в меню «Сервис» и выберите пункт «Свойства обозревателя». В появившемся окне перейдите на вкладку «Безопасность», выберите «Надежные узлы» и нажмите кнопку «Узлы»:
Добавьте узел https://lkip.nalog.ru и узел https://lkipgost.nalog.ru в список.
- УСТАНОВКА И НАСТРОЙКА КРИПТОПРО CSP
2.1. УСТАНОВКА
Если на рабочее место пользователя установлен другой криптопровайдер (отличный от КриптоПро), то рекомендуется его удалить.
Внимание! Если на рабочее место пользователя установлено программное обеспечение КриптоПро версии 3.0, его необходимо удалить.
Загрузите дистрибутив КриптоПро CSP с официального сайта по ссылке http://www.cryptopro.ru/products/csp/downloads.
При установке КриптоПро CSP следуйте инструкциям мастера установки:
В блоке «Требуемые библиотеки поддержки» необходимо выбрать все опции:
После завершения установки обязательно перезагрузите компьютер.
2.2. УСТАНОВКА КСКПЭП, ВЫДАННОГО ИНДИВИДУАЛЬНОМУ ПРЕДПРИНИМАТЕЛЮ УДОСТОВЕРЯЮЩИМ ЦЕНТРОМ, АККРЕДИТОВАННЫМ В СЕТИ ДОВЕРЕННЫХ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ МИНКОМСВЯЗИ РОССИИ, УЧАСТНИКОМ КОТОРОЙ ЯВЛЯЕТСЯ И ФНС РОССИИ, В ХРАНИЛИЩЕ СЕРТИФИКАТОВ «ЛИЧНЫЕ»
Подключите носитель КСКПЭП (дискету, e-token с сертификатом) к компьютеру.
В меню «Пуск» выберите Программы - Крипто-Про - КриптоПро CSP:
Вариант установки 1 (через кнопку «Посмотреть сертификаты в контейнере…»):
На вкладке «Сервис» нажмите «Посмотреть сертификаты в контейнере…»:
Нажмите «Обзор…» рядом с полем «Имя ключевого контейнера»:
Выберите ключевой контейнер, соответствующий подключенному носителю электронной подписи:
Нажмите «ОК».
После того, как имя контейнера отобразится в поле «Имя ключевого контейнера», нажмите «Далее».
Внимание! Если при выборе ключевого контейнера появляется показанное ниже окно, это означает, что истек срок действия лицензии КриптоПро CSP. В этом случае необходимо обязательно обновить лицензию, иначе работа с Личным кабинетом не будет возможна.
Нажмите «Установить»:
Нажмите «ОК»:
Вариант установки 2 (через кнопку «Установить личный сертификат…»):
Для установки понадобится файл сертификата (файл с расширением .cer). Он может находится, например, на дискете или на жестком диске компьютера (если Вы делали копию сертификата или Вам присылали его по электронной почте). Также файл сертификата можно экспортировать из хранилища Личные.
На вкладке «Сервис» нажмите кнопку «Установить личный сертификат…»:
В окне «Мастер установки личного сертификата» нажмите кнопку «Обзор» рядом с полем «Имя файла сертификата», чтобы выбрать файл сертификата:
Укажите путь к сертификату (файл с расширением .cer) и нажмите на кнопку «Открыть»:
В поле «Имя файла сертификата» отобразится выбранный сертификат, нажмите «Далее».
В окне «Сертификат для установки» кликните по кнопке «Далее».
Выберите «Обзор», чтобы указать соответствующий контейнер закрытого ключа.
Выберите нужный ключевой контейнер. Нажмите «ОК».
После того, как имя контейнера отобразится в поле «Имя ключевого контейнера», нажмите «Далее».
В окне «Выбор хранилища сертификатов» кликните по кнопке «Обзор».
Выберите хранилище «Личное» и нажмите «ОК».
После выбора хранилища нажмите на кнопку «Далее».
Затем нажмите на кнопку «Готово».
После нажатия на кнопку «Готово» может появиться такое сообщение: «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?». В таком случае необходимо выбрать «Да».
В сообщении об успешной установке нажмите «ОК». Если у Вас отобразилось сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», то сообщение «Сертификат был установлен в хранилище «Личные» текущего пользователя» может не появиться.
Внимание! Если при установке КСКПЭП в хранилище сертификатов «Личные» появляется сообщение «Закрытый ключ на указанном контейнере не соответствует открытому ключу в сертификате. Выберите другой ключевой контейнер», попробуйте сделать следующее:
- Запустите редактор реестра (Пуск/ввести в поисковую строку “regedit”/ ввод).
- Перейдите в следующую ветвь редактора реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS, найдите ветку с названием S-1-5-21-887842899-779666540-1964827887-17186 (где S-1-5-21-887842899-779666540-1964827887-17186- SID пользователя).
- Зайдите в KeyDevices и удалите там passwords.
- Удалите содержимое папки C:\Documents and Settings\имя пользователя \Application Data\Microsoft\SystemCertificates\My\Keys.
- Установите заново сертификат.
Если выполнение описанных выше действий, не решило Вашу проблему, обратитесь в Удостоверяющий центр, выдавший КСКПЭП.
2.3. ВЫСТРАИВАНИЕ ЦЕПОЧКИ КСКПЭП
Установите КСКПЭП, выданный индивидуальному предпринимателю удостоверяющим центром в хранилище сертификатов «Личные» (см. п.2.2 Установка КСКПЭП, выданного индивидуальному предпринимателю удостоверяющим центром, аккредитованным в сети доверенных удостоверяющих центров Минкомсвязи России, участником которой является и ФНС России, в хранилище сертификатов «Личные»).
Далее необходимо выстроить цепочку доверия к установленному личному сертификату. Для этого нужно установить сертификаты устанавливающие доверие.
Чтобы найти сведения о следующем сертификате в цепочке, в меню «Пуск» выберите Программы - Крипто-Про - Сертификаты. Откройте папку «Сертификаты – текущий пользователь» - Личные - Реестр - Сертификаты:
Выберите установленный сертификат, кликнув по нему два раза левой кнопкой мыши. Перейдите на вкладку «Состав»:
Выберите в верхнем окне строку «Доступ к информации о центрах сертификации» и нижнем окне отобразится ссылка на сертификат. По данной ссылке можно скачать сертификат.
В случае отсутствия строки «Доступ к информации о центрах сертификации», можно посмотреть, кто издал искомый сертификат на вкладке «Состав», значение в поле «Издатель».
Перед установкой сертификата, откройте его (кликнув по нему два раза левой кнопкой мыши), чтобы узнать какой это сертификат: самоподписанный или нет. Перейдите на вкладку «Состав».
У самоподписанного сертификата поля «Издатель» и «Субъект» на вкладке «Состав» имеют одинаковые значения.
Вариант 1
Если сертификат самоподписанный, то его нужно устанавливать в доверенные корневые центры сертификации. Установка аналогична установке сертификата Головного Удостоверяющего Центра (см. п.1.5 Установка сертификатов Головного Удостоверяющего Центра и УЦ Минкомсвязи в хранилище сертификатов «Доверенные корневые центры»).
После установки самоподписанного сертификата цепочка доверия к личному сертификату будет выстроена.
Вариант 2
Если у сертификата поля «Издатель» и «Субъект» на вкладке «Состав» имеют различные значения, то данный сертификат необходимо устанавливать в промежуточные центры сертификации.
Для этого загрузите сертификат по кнопке «Открыть».
На вкладке «Общие» окна с информацией о сертификате нажмите «Установить сертификат».
Выберите «Поместить все сертификаты в следующее хранилище», после чего нажмите «Обзор…»:
Укажите «Промежуточные центры сертификации», нажмите «ОК»:
Нажмите «Далее»:
Для завершения работы мастера импорта сертификатов нажмите «Готово»:
Если отобразится предупреждение системы безопасности, подтвердите установку сертификата, нажав кнопку «Да».
Далее смотрим сведения о следующем сертификате в цепочке, в меню «Пуск» выберите Программы - Крипто-Про - Сертификаты. Откройте папку «Сертификаты – текущий пользователь» - Промежуточные центры сертификации - Реестр - Сертификаты:
Выберите установленный сертификат, кликнув по нему два раза левой кнопкой мыши. Перейдите на вкладку «Состав», где в строке «Доступ к информации о центрах сертификации» и нижнем окне отобразится ссылка на следующий сертификат в цепочке.
Таким образом, необходимо установить все сертификаты, пока не дойдете до самоподписанного сертификата. После установки самоподписанного сертификата будет выстроена цепочка доверия к личному сертификату.
2.4. ПРОВЕРКА УСТАНОВКИ СЕРТИФИКАТОВ
В меню «Пуск» выберите Программы - Крипто-Про - Сертификаты. Откройте папку «Сертификаты – текущий пользователь» - Личные - Реестр - Сертификаты:
Выберите установленный сертификат, кликнув по нему два раза левой кнопкой мыши. Перейдите на вкладку «Путь сертификации»:
На вкладке «Путь сертификации» должна отображаться цепочка сертификатов, с помощью которых устанавливается доверие. Верхний сертификат должен быть самоподписанным.
В поле «Состояние сертификата» должно отображаться сообщение о действительности сертификата.
Сертификат Головного Удостоверяющего Центра и самоподписанный КСКПЭП удостоверяющего центра, выдавшего КСКПЭП юридическому лицу, будет размещаться в хранилище сертификатов «Доверенные корневые центры сертификации»:
Остальные сертификаты цепочки будут размещаться в хранилище сертификатов «Промежуточные центры сертификации»:
2.5. PIN-КОД
При возникновении окна с просьбой ввести pin-код во время работы в системе, установки или копирования сертификата, необходимо указать pin-код пользователя сертификатом. Pin-код выдается удостоверяющим центром вместе с сертификатом.
Внимание! Если выданный pin-код пользователя был самостоятельно изменен пользователем, то в данном окне следует прописать новый pin-код. Информация о новом pin-коде хранится только у пользователя.
- УСТАНОВКА И НАСТРОЙКА SIGNAL-COM CSP
3.1. УСТАНОВКА
Внимание! На рабочем месте может быть установлен только один криптопровайдер.
Если у Вас уже установлен какой-либо криптопровайдер, установите криптопровайдер Signal-COM CSP на другое рабочее место.
Запустите установочный файл Signal-COM CSP, в зависимости от разрядности системы выберете нужный файл
В окне установщика нажмите кнопку “Далее”
Ознакомьтесь с условиями Лицензионного соглашения, для принятия условий выберите “Я принимаю условия лицензионного соглашения” и нажмите кнопку “Далее”
В окне сведений о пользователе введите пользователя, название организации и ключ продукта и нажмите кнопку “Далее”
В окне выбора компонент выберете необходимые компоненты и нажмите кнопку “Далее”
по умолчанию устанавливаются компоненты CSP и TLS
Нажмите кнопку “Установить”
Дождитесь, пока завершится процесс установки
В окне выбора ключевого носителя для создания контейнера RNG Initialization Container выберете “Локальный компьютер” и нажмите кнопку “Ок”
Для инициализации генератора случайных чисел нажимайте кнопки клавиатуры или перемещайте мышь до окончания процесса
Нажмите кнопку “Готово”
Для завершения процесса установки Signal-COM CSP и перезагрузки системы нажмите “Да”
Если после перезагрузки системы появится окно с просьбой выбора ключевого контейнера для инициализации генератора случайных чисел, то выполните действия описанные ниже. Если данное окно не появится, то перейдите к следующему пункту.
В появившемся окне нажмите кнопку “Отмена”
Для инициализации генератора случайных чисел нажимайте кнопки клавиатуры или перемещайте мышь до окончания процесса
Создайте ключевой контейнер для инициализации генератора случайных чисел, нажав кнопку “Да”
Выберете “Системный реестр” – “Текущий пользователь” и нажмите кнопку “ОК”
3.2. ЭКСПОРТ СЕРТИФИКАТА
Войдите в меню “Пуск” и откройте программу “Администратор”
Нажмите на ключевом контейнере правой кнопкой мыши и выберете “Сертификат” – “Экспорт” – “В хранилище”, как показано на рисунке.
Нажмите кнопку “ОК”
Узнать используемую версию Signal-COM CSP можно через программу “Администратор” в меню “Справка” – “О программе”.
- УСТАНОВКА И НАСТРОЙКА VIPNET CSP
4.1. УСТАНОВКА
Внимание! На рабочем месте может быть установлен только один криптопровайдер.
Если у Вас уже установлен какой-либо криптопровайдер, установите криптопровайдер VipNet CSP на другое рабочее место. Убедитесь, что Ваше рабочее место подходит для работы VipNet CSP.
Запустите установочный файл VipNet CSP.
Ознакомьтесь с условиями Лицензионного соглашения, для принятия условий выберите “Я принимаю условия лицензионного соглашения” и нажмите кнопку “Продолжить”
В окне “Способ установки” нажмите “Настроить”. В меню “Выбор компонентов” откройте подменю “Поддержка работы VipNet CSP через Microsoft CryptoAPI” и включите/установите “Поддержку протокола TLS/SSL”. После этого продолжите установку.
Для полной установки ПО нажмите “Установить сейчас”.
Выполните перезагрузку компьютера.
При первом запуске VipNet CSP выберете “Зарегистрировать VipNet CSP” и нажмите “Далее”, для регистрации копии ПО.
Выберете “Запрос на регистрацию (получить код регистрации)” и нажмите “Далее”.
Выберете “Через Интернет (online)” и нажмите “Далее”.
Введите свою электронную почту и серийный номер, который Вам прислали на почту после скачки VipNet CSP и нажмите “Далее”.
Нажмите “Готово”.
4.2. УСТАНОВКА КОНТЕЙНЕРА СЕРТИФИКАТА
Запустите программу ViPNet CSP.
Нажмите “Добавить контейнер”.
Нажмите “обзор” и выберете папку, в которой находиться контейнер с сертификатами и нажмите “Ок”
На вопрос хотите ли Вы установить найденные в контейнере сертификаты в системное хранилище текущего пользователя, ответьте “Да”.
- УСТАНОВКА И НАСТРОЙКА «ЛИССИ-CSP»
5.1. УСТАНОВКА
Для начала процесса установки необходимо загрузить последнюю версию дистрибутива с сайта – http://soft.lissi.ru/products/skzi/lissi-csp/download_lissi_csp/).
Существует 2 варианта дистрибутива «ЛИССИ-CSP»:
LISSI-CSP-Setup-win32.exe – предназначен для установки только на 32-х разрядные ОС Windows.
LISSI-CSP-Setup-x64.exe предназначен для установки только на 64-х раз- рядные ОС Windows.
Выберите подходящий вам вариант и выполните его загрузку. После загрузки запустите процесс установки дважды кликнув на файл инсталлятора.
Если запущенный инсталлятор не предназначен для вашей системы, то вы увидите окно с соответствующим уведомлением:
В том случае, если на компьютере установлен «КриптоПро CSP», то на экране появится диалог с уведомлением. В этом случае до установки «ЛИССИ-CSP» необходимо удалить программный пакет «КриптоПро», либо отказаться от установки «ЛИССИ-CSP» на этой системе.
В случае успешного прохождения всех проверок на экране появится диалог с приглашением на установку. Следует нажать кнопку «Далее».
В следующем окне необходимо выбрать вариант установки «ЛИССИ-CSP».
Вариант «Ограниченная по времени версия (2 дня)» означает, что программа будет работать в течение 2 дней с момента установки. За это время вам потребуется активировать «ЛИССИ-CSP». Программа перестанет работать, если не произвести процедуру активации в течение 2 дней. Также данный вариант следует использовать, если на этом компьютере уже был ранее установлен «ЛИССИ-CSP» (ранее установленная лицензия сохраниться).
Вариант «Активировать через интернет» означает, что «ЛИССИ-CSP» будет автоматически активирован через сеть интернет (требуется наличие доступа в сеть интернет на том компьютере, где производится установка «ЛИССИ-CSP»). Для этого потребуется ввести серийный номер «ЛИССИ-CSP», указанный в лицензионном соглашении, в соответствующем поле.
После ввода серийного номера нажмите кнопку «Далее» для продолжения установки.
На следующем шаге следует указать папку, в которую будет установлен пакет, либо согласиться использовать каталог, предложенный по умолчанию, и нажать кнопку «Далее».
Следующее окно информирует о готовности к началу процесса установки. Для запуска нажмите кнопку «Установить».
После нажатия начнётся процесс установки следующих компонент:
программного комплекса «ЛИССИ-CSP»
программной библиотеки защиты информации «СКЗИ «ЛИРССЛ».
В самом конце на экране появится диалог, информирующий о необходимости перезагрузки системы. Для немедленной перезагрузки выберите «Да, перезагрузить компьютер сейчас» и нажмите «Завершить».
Для работы «ЛИССИ-CSP» после демонстрационного периода необходимо пройти процедуру активации. При покупке лицензии «ЛИССИ-CSP» вы получили серийный номер (он указан в лицензионном соглашении).
Активация через интернет:
Если «ЛИССИ-CSP» ещё не установлен на компьютере, то активировать «ЛИССИ- CSP» через интернет можно на этапе установки путём ввода серийного номера указанного в лицензионном соглашении.
Если «ЛИССИ-CSP» уже установлен на компьютере, то необходимо запустить утилиту «Настройка ЛИССИ-CSP» («Пуск | Программы | LISSI-Soft | ЛИССИ- CSP | Настройка CSP»).
В появившемся диалоге с вкладками перейти на вкладку «О программе».
Нажать на кнопку «Ввод серийного номера…», в появившемся окне в поле ввода ввести серийный номер, указанный в лицензионном соглашении, и нажать кнопку «ОК».
Для выполнения этой операции пользователь должен иметь права администратора системы (для ОС Vista и Windows 7 перед появлением окна потребуется подтвердить переход программы в режим администратора).
В случае успешного завершения процедуры активации появится диалоговое окно с уведомлением об успешной установке лицензии.
Если у пользователя, от имени которого запущена программа нет прав администратора, то обновить лицензию не получится.
5.2. УСТАНОВКА КОНТЕЙНЕРА СЕРТИФИКАТА
Для управления ключевыми контейнерами «ЛИССИ-CSP» используется утилита «Управление контейнерами». Для запуска утилиты выполните команду «Пуск | Программы | LISSI-Soft | ЛИССИ-CSP | Управление контейнерами».
После запуска утилиты в окне «Контейнеры» появится иерархический список носителей, поддерживаемых «ЛИССИ-CSP» и присутствующих в данный момент. Для отображения съёмных носителей (электронные USB ключи, флэшка, дискета) необходимо, чтобы они были вставлены в USB-порт (в случае с дискетой в дисковод) компьютера.
Носитель может содержать список представленных на нём ключевых контейнеров. Если носитель не содержит список, то это означает, что на нём нет ключевых контейнеров «ЛИССИ-CSP».
Внимание! Утилита «Управление контейнерами» не увидит контейнеры, сформированные другими криптопровайдерами (например, «КриптоПро CSP»). Причина в том, что формат контейнера провайдера является закрытой информацией и известен лишь производителю соответствующего провайдера.
Если ключевой носитель был вставлен в порт компьютера после запуска утилиты, то для его отображения в окне утилиты необходимо нажать кнопку «Обновить».
Для удаления контейнера с ключевого носителя необходимо выбрать мышкой нужный контейнер в окне «Контейнеры» и нажать кнопку «Удалить контейнер». Для удаления всех контейнеров на выбранном носителе необходимо выбрать носитель и нажать кнопку «Удалить все контейнеры». Для удаления контейнеров в реестре, на флешке или дискете ввод пароля не требуется. Для удаления контейнеров на электронных USB ключах (Rutoken, eToken, и др.) необходимо ввести PIN-код.
Внимание! Если у вас нет резервной копии, то после удаления контейнера его уже невозможно будет восстановить.
Для просмотра сертификата в контейнере необходимо либо выбрать мышкой нужный контейнер и нажать кнопку «Просмотр сертификата», либо навести мышкой на ключевой контейнер, нажать правую кнопку мыши и в появившемся контекстном меню выбрать «Просмотр сертификата». Если сертификат присутствует в контейнере, то на экране отобразится диалоговое окно «Сертификат» с информацией о сертификате в контейнере.
Если контейнер не содержит сертификат, то на экране появится диалог с соответствующим уведомлением.
Сертификат в контейнере носителя можно просмотреть не только с помощью утилиты «Управление контейнерами». Средства системы, например, «Internet Explorer» также видят этот сертификат без дополнительных действий по импорту сертификата в систему.
Это обеспечивается специальным компонентом провайдера, предоставляющим системе информацию о всех сертификатах в контейнерах. Удалить такой сертификат средствами системы не получится. Сертификат исчезнет автоматически, если извлечь из компьютера носитель с контейнером или удалить контейнер средствами утилиты «Управление контейнерами».
Кнопка «Изменить сертификат» предназначена для обновления сертификата контейнера, а также для возможности положить сертификат в контейнер, в том случае, если он в нём отсутствует. Обновление сертификата может потребоваться в случае продления срока его действия.
Изменить сертификат контейнера можно только в случае точного соответствия открытого ключа сертификата открытому ключу в контейнере.
Для изменения сертификата контейнера либо выберете нужный контейнер в окне «Контейнеры» и нажмите кнопку «Изменить сертификат», либо наведите мышкой на контейнер, сертификат которого вы хотите изменить, нажмите правую кнопку мыши и в появившемся контекстном меню выберите вкладку «Изменить сертифи- кат». Потребуется ввести пароль (PIN-код) для доступа к контейнеру.
Если сертификат уже присутствует в контейнере, то утилита сообщит об этом с требованием подтверждения запрошенной операции. Нажмите кнопку «Да» для продолжения.
В следующем окне потребуется выбрать файл с сертификатом, который будет помещён в выбранный контейнер, и нажать «Открыть».
В случае успеха вы увидите окно с соответствующим сообщением. Оно информирует о том, что новый сертификат был успешно положен в контейнер на место старого.
Для установки сертификата центра сертификации необходимо двойным щелчком мыши щёлкнуть по файлу с нужным сертификатом. Результатом на это действие будет отображение на экране диалога «Сертификат». Нажмите кнопку «Установить сертификат…» в нижней части вкладки «Общие» диалога.
На экране появится диалог мастера импорта сертификатов. Нажмите в нём кнопку «Далее» для начала процедуры импорта.
На экране появится диалог выбора типа хранилища, в которое будет установлен сертификат центра сертификации. Установите переключатель в положение «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор…».
На экране появится диалог выбора хранилища сертификатов. Если вы устанавливаете корневой сертификат (самоподписанный), то выберете в дереве папку «Доверенные корневые центры сертификации», если же вы устанавливаете промежуточный сертификат (подписанный другим центром сертификации), то выберете в дереве папку «Промежуточные центры сертификации», и нажмите «OK».
Нажмите кнопку «Далее».
На следующем шаге нажмите «Готово».
На экране появится диалог «Предупреждение о безопасности». Нажмите кнопку «Да» для начала импорта сертификата.
Нажмите «OK» для завершения процесса импорта.
Источники:
https://sbis.ru/help/ep/workplace
Генерация тестового сертификата
Как я и писал выше вы много, где сможете его применять, я когда знакомился с миром сертификатов и электронных подписей, то использовал тестовые ЭЦП от КриптоПРО для проверки правильности настройки программного обеспечения для работы на электронных, торговых площадках. Чтобы сгенерировать тестовый электронный сертификат, компания КриптоПРО предоставила вам специальный удостоверяющий, виртуальный центр, которым мы и воспользуемся. Переходим по ссылке:
https://www.cryptopro.ru/certsrv/
В самом низу у вас будет ссылка на пункт “Сформировать ключи и отправить запрос на сертификат”.
Я вам советую этот сайт открывать в Internet Explore, меньше будет глюков. Как открыть Internet Explore в Windows 10, читайте по ссылке слева
Если же вы хотите использовать другой браузер, то установите КриптоПро ЭЦП Browser plug-in.
Как скопировать эцп из реестра на флешку
Предположим, что у вас стоит задача скопировать контейнер из реестра, так как он уже там, то он экспортируемый, для этого открываем криптопро, “Сервис-Скопировать”
Выбираете “Обзор” и ваш сертификат из реестра.
Задаете ему новое имя, удобное для себя.
После чего вас попросят указать флешку, на которую вы будите копировать контейнер с закрытым ключом из реестра.
Обязательно задайте новый пароль.
Ну и собственно теперь открывайте вашу флешку и лицезрейте перенесенный на него контейнер, он будет состоять из файликов с форматом key.
Как видите КриптоПРО, это конвейер, который позволяет легко скопировать сертификат из реестра на флешку или даже дискету, если они еще используются.
Перенос сертификатов из реестра без КриптоПРО
Существуют методы экспортировать закрытый ключ и без изспользования утилиты КриптоПРО. Представим себе ситуацию, что у вас на него кончилась лицензия и вы не успели ее купить. Вам нужно сдать отчетность в СБИС. Вы развернули CryptoPRO на другом компьютере, так как он позволяет 3 месяца бесплатного использования, осталось для СБИС выполнить перенос сертификатов, которые у вас в реестре Windows.
У нас два варианта:
- Использование оснастки mmc-Сертификаты пользователя.
- Использование Internet Explore
Как открыть оснастку сертификаты я уже подробно рассказывал, посмотрите. Откройте там контейнер “Личное – Сертификаты”. Если у вас в контейнере не один сертификат с одинаковым именем, такое может быть, то откройте сертификат в оснастке mmc и в КриптоПРО и сравните серийные номера сертификата.
В Internet Explore, откройте “Свойства браузера – Содержание – Сертификаты”
Теперь нам необходимо его экспортировать, в оснастке “Сертификаты”, через правый клик, это можно сделать, в Internet Explorer, сразу видно кнопку, экспорт.
У вас откроется мастер переноса сертификатов, на первом шаге, просто нажимаем далее. После чего вас спросят, что вы хотите экспортировать, выбираем пункт “да, экспортировать закрытый ключ вместе с сертификатом”
Если ваш закрытый ключ запрещено экспортировать, то эта кнопка будет не активна, и можете сразу закрывать данный метод и переходить к следующему.
Следующим этапом в мастере экспорта сертификатов, вам необходимо выбрать формат выгрузки, это будет PFX архив.
Далее вы задаете обязательно пароль и указываете имя и место, где будите сохранять ваш переносимый контейнер с зарытым ключом в формате pfx.
Мастер экспорта сертификатов, выведет вам сводные данные, нажимаем “Готово”.
Отрываем локацию, куда вы его выгрузили, и найдите свой pfx архив.
Теперь вам нужно еще выгрузить открытый ключ в формате cer, для этого так же зайдите в мастер экспорта, но на этот раз выберите “Нет, не экспортировать закрытый ключ”.
Выберите формат файла “X.509 (.CER) в кодировке DEP”, задайте ему имя и место сохранения. На выходе у вас появятся два файла.
Одни открытый ключ в формате cer и закрытый ключ в формате pfx. Этого набора вам будет достаточно, чтобы перенести сертификаты СБИС, Контура и остальных программ на другой компьютер.
Теперь перенесите эти файлы на другое рабочее место и просто запустите, через простой двойной клик. У вас откроется мастер импорта сертификатов, на первом окне выберите нужное вам хранилище, я в своем примере оставлю “Текущий пользователь”.
На втором шаге проверяем импортируемый сертификат.
Указываем пароль, который задавали при выгрузке.
Оставляем автоматический выбор хранилища на основе типа сертификатов.
Готово. Со вторым файлом то же самое. После чего у вас будут перенесены нужные вам ключи и сам сертификат, можно работать.
Перенос сертификатов в виде пошаговой инструкции
Первые два пункта я описывать тут не стану, так как я уже это подробно рассказывал, посмотрите по ссылкам. Я расскажу, об остальных методах и начнем мы с классического КриптоПРО.
Данный метод подойдет для тех ситуаций, когда у вас один или 2 сертификата (ЭЦП). Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит, и там придется выбирать 4-й метод.
Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты
Установка КриптоПро ЭЦП Browser plug-in.
Сама инсталляция плагина, очень простая, скачиваем его и запускаем.
Для запуска нажмите “Выполнить”
Далее у вас появится окно с уведомлением, что будет произведена установка КриптоПро ЭЦП Browser plug-in, соглашаемся.
После инсталляции утилиты, вам нужно будет обязательно перезапустить ваш браузер.
Открыв ваш браузер, вы увидите предупредительный значок, нажмите на него.
В открывшемся окне нажмите “Включить расширение”
Не забудьте установить КриптоПРО CSP на компьютер, где будет генерироваться сертификат
Теперь у нас все готово. Нажимаем “Сформировать ключи и отправить запрос на сертификат”. Согласитесь с выполнением операции.
У вас откроется форма расширенного запроса сертификата. Вначале заполним раздел “Идентифицирующие сведения”. В него входят пункты:
- Имя
- Электронная почта
- Организация
- Подразделение
- Город
- Область
- Страна
Далее вам нужно указать тип требуемого сертификата. В двух словах, это область применения ЭЦП:
- Сертификат проверки подлинности клиента (самый распространенный вариант, по сути для подтверждения, что вы это вы)
- Сертификат защиты электронной почты
- Сертификат подписи кода
- Сертификат подписи штампа времени
- Сертификат IPSec, для VPN тунелей.
- Другие, для специальных OID
Я оставляю “Сертификат проверки подлинности клиента”.
Далее вы задаете параметры ключа, указываете, что будет создан новый набор ключей, указываете гост CSP, от него зависит минимальная длина ключа. Обязательно пометьте ключ как экспортируемый, чтобы вы его могли при желании выгружать в реестр или копировать на флешку.
Для удобства еще можете заполнить поле “Понятное имя”, для быстрой идентификации вашей тестовой ЭЦП от КриптоПРО. Нажимаем выдать тестовый сертификат.
У вас появится запрос на создание, в котором вам необходимо указать устройство, на которое вы будите записывать тестовый сертификат КриптоПРО, в моем случае это е-токен.
Как только вы выбрали нужное устройство появится окно с генерацией случайной последовательности, в этот момент вам необходимо нажмить любые клавиши или водить мышкой, это защита от ботов.
Все наш контейнер КриптоПРО сформирован и для его записи введите пин-код.
Вам сообщат, что запрошенный вами сертификат был вам выдан, нажимаем “Установить этот сертификат”.
Если у вас еще не установленны корневые сертификаты данного центра сертификации, то вы получите вот такую ошибку:
Данный ЦС не является доверенным
Для ее устранения нажмите на ссылку “установите этот сертификат ЦС”
У вас начнется его скачивание.
Запускаем его, как видите в левом верхнем углу красный значок, чтобы его убрать нажмите “Установить сертификат”, оставьте для пользователя.
Далее выбираем пункт “Поместить все сертификаты в следующее хранилище” и через кнопку обзор указываете контейнер “Доверенные корневые центры сертификации”. Далее ок.
На последнем этапе у вас выскочит окно с предупреждением, о подтверждении установки сертификатов, нажимаем “Да”.
Открываем снова окно с выпуском тестового сертификата КриптоПРО и заново нажимаем “Установить сертификат”, в этот раз у вас вылезет окно с вводом вашего пин-кода от вашего носителя.
Если вы его ввели правильно, то увидите, что новый сертификат успешно установлен.
Теперь открывайте ваш КриптоПРО и посмотрите есть ли сертификат в контейнере. Как видите в контейнере есть наша ЭЦП.
Если посмотреть состав, то видим все наши заполненные поля. Вот так вот просто выпустить бесплатный, тестовый сертификат КриптоПРО, надеюсь было не сложно.
Когда нужно переносить сертификаты в другое место?
И так давайте рассмотрим по каким причинам у вас может появиться необходимость в копировании ваших ЭЦП в другое место.
- На текущем физическом компьютере начинает умирать жесткий диск или SSD накопитель (Как проверить жизненные показатели жесткого диска), очень частая история и жизненная, когда люди теряли все свои данные, из-за банальной жадности в покупке нового оборудования и элементарного незнания принципов резервного копирования.
- У вас производится модернизация оборудования, его улучшение и вам нужно перенести все сертификаты с закрытыми ключами на другую систему
- Вы создали отдельный сервер, в виде виртуальной машины, где будут находится все ваши сертификаты и с ними смогут работать все необходимые сотрудники, терминал для бухгалтерии. Простой пример СБИС, и когда у вас 10-20 организаций.
Установка закрытого ключа в реестр
Теперь когда ваш закрытый ключ находится в реестре, давайте установим личный сертификат. Для этого откройте на вкладке “Сервис” кнопку “Посмотреть сертификат в контейнере”
Далее в окне “онтейнер закрытого ключа” нажмите кнопку “Обзор”.
И выберите сертификат из реестра, он будет с тем именем, что вы ему задавали.
Нажимаем далее.
После чего производится установка закрытого ключа в реестр, через соответствующую кнопку.
Видим, что сертификат был установлен в хранилище “Личные” текущего пользователя.Как видите, было очень просто скопировать закрытый ключ в реестр операционной системы.
Когда нужно копировать сертификаты КриптоПРО в реестр
Существует ряд задач, когда удобно иметь вашу ЭЦП подпись в реестре Windows:
1. При тестировании настроенного окружения для торговых площадок, для входа на которые используется ЭЦП подпись. 2. Когда у вас виртуальная инфраструктура и нет возможности, произвести проброс USB устройств по локальной сети 3. Ситуации, когда КриптоПРО не видит USB токена 4. Ситуации, когда USB ключей очень много и нужно работать одновременно с 5-ю и более ключами, примером может служить программа по сдачи отчетности СБИС
Настроить компьютер для работы с ЭП
Вы приобрели электронную подпись в удостоверяющем центре «Тензор». Чтобы работать с ней, настройте компьютер. Это можно сделать вручную, но мы рекомендуем мастер настройки рабочего места. Он сам установит программное обеспечение для ЭП.
Для использования ЭП потребуется установить:
- Средство криптографической защиты информации (далее — СКЗИ) — специальную программу для подписания документов электронной подписью и шифрования.
- Корневые сертификаты УЦ «Тензор».
- Драйверы для носителей электронной подписи (Рутокен или JaCarta).
- КриптоПро Browser plug-in для создания и проверки электронной подписи в браузере.
- Также для работы на ЭТП может потребоваться настройка браузера Microsoft Internet Explorer.
Массовый перенос ключей и сертификатов CryptoPro на другой компьютер
Выше описанные методы хороши, когда у вас один или 5 ключиков в реестре, а как быть если их десятки. Помню лет 5 назад, когда я еще был младшим администратором, то я очень часто устанавливал электронные цифровые подписи главбуху, так как она работала в СБИС++ и сдавала там постоянно отчетность по огромному количеству организаций, по типу рога и копыта. Держать кучу токенов было не вариант, и для таких вещей у нее все хранилось в реестре и копия сертификатов была на флешке в сейфе. Флешку потом потеряли, встал вопрос сделать резервную копию всего и плюс обновить систему, в виду нового компьютера, на операционной системе Windows 8.1. ЭЦП было штук 50, а так как я ценю свое время, то и искал методы, выполнить это быстрее, к счастью я его нашел.
Заключался метод переноса сертификатов из реестра, в выгрузке веток и подмене SID значения, но обо всем по порядку. О том, как посмотреть SID пользователя и что это такое я рассказывал.
Открываете командную строку cmd и вводите команду:
Вот это S-1-5-21-551888299-3078463796-888888888-46162 и есть SID, вашей учетной записи. Теперь когда вы его знаете, то вам нужно выгрузить ваши закрытые ключи из реестра Windows. Для этого откройте вот такую ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\Номер вашего SID, который мы узнали\Keys
В контейнере Keys, вы найдете все ваши закрытые ключи от ЭЦП. С правой стороны вы увидите файлы: * header.key * masks.key * masks2.key * name.key * primary.key * primary2.key
Щелкаем правым кликом по контейнеру Keys и экспортируем его.
Сохраняем нашу ветку реестра с контейнерами закрытых ключей. Далее нам нужно скопировать открытые ключи, которые лежат по пути:
C:\Users\имя вашего пользователя\AppData\Roaming\Microsoft\SystemCertificates\My
Не забывайте только подставить своего пользователя, эта папка может быть скрытой, поэтому включите скрытые папки и файлы в вашей ОС. Все содержимое этой папки вам нужно перенести на другой компьютер, только уже в папку другого, нужного пользователя.
Как только вы поместили на новом компьютере папку Key, вы можете перенести реестровую выгрузку. Сохраненный файл в формате reg, вы должны открыть в любом текстовом редакторе.
Как я показывал выше, определите SID нового пользователя, скопируйте его полностью и замените им значение в файле reg, я отметил это стрелками.
SID начинается с S-1 и так далее
Все сохраняйте файл и запускайте его, у вас будет начат перенос сертификатов (закрытых ключей), подтверждаем действие.
Как видите импорт успешно завершен. Все теперь ваши закрытые и открытые ключи на месте и вы можете работать с вашими ЭЦП, и можно считать, что перенос сертификатов с одного компьютера на другой в массовом масштабе, осуществлен успешно. Если остались вопросы, то жду их в комментариях.
Как видите предпосылок и вариантов переноса сертификатов из реестра на другой компьютер, предостаточно.
Какие есть варианты по копированию контейнеров закрытых ключей?
- Если мы создаем единый терминал (Виртуальную машину), на которой будут коллективно работать пользователи, то можно произвести конвертирование физической тачки в виртуальную машину
- Если будет просто замена жесткого диска, то можно произвести его клонирование или перенос системы на SSD с помощью специальных утилит
- Можно воспользоваться утилитой КриптоПРО
- Воспользоваться экспортом из реестра Windows.