Когда вы получите сообщение об успешном экспорте, вы найдете экспортированный файл сертификата открытого ключа с расширением .CER на своем компьютере.
Как скопировать контейнер/закрытую часть ключа
Краткая заметка о том, как экспортировать неэкспортируемый ключ из Рутокена.
Если при создании ЭЦП вы не установили флаг экспорта ключей, то при попытке скопировать ключ с Рутокена через КриптоПро вы получите сообщение «Ошибка копирования контейнера.». Вам не разрешено экспортировать ключ, поскольку соответствующий флаг не был установлен при генерации ключа.
Однако его можно скопировать — для этого необходимо специальное программное обеспечение:
1. утилита проверки rootkens версии 3.4.2.
2. certificatefix 1.1.27.3154.
С помощью утилиты 3.4.2 Rootoken Validation Utility вы можете экспортировать ключ Rootken на флэш-накопитель или в реестр.
Затем вы можете разблокировать его с помощью Сertfix 1.1.27.3154, щелкнув правой кнопкой мыши на нужном сертификате, удерживая клавишу Shift, и выбрав Export Activation в соответствии с новым расположением, выбранным в Rootken Validation Utility.
Важно отметить, что Certfix версии 1.1.27.3154 и выше может быть программно ограничен в своей способности сделать некоторые сертификаты ЦС экспортируемыми.
Программа проверяет наличие обновлений при запуске, поэтому необходимо заблокировать доступ в Интернет через брандмауэр Windows, чтобы предотвратить загрузку обновлений.
Копирование с помощью КриптоПро CSP
1. выберите Пуск / Панель управления / КриптоПро CSP .
Перейдите на вкладку Инструменты и нажмите кнопку Копировать контейнер. 3.
В окне Копирование контейнера закрытого ключа нажмите кнопку Обзор. 4.
Выберите контейнер, который нужно скопировать, и нажмите «Ок», а затем «Далее». 5.
5. если вы копируете из защищенного контейнера ключей, появится окно входа в систему, в котором необходимо ввести PIN-код. 6.
6. если вы не изменили PIN-код на носителе, необходимо ввести PIN-код по умолчанию в соответствии с типом носителя:
Рутокен — PIN-код по умолчанию 12345678 eToken /JaCarta — 1234567890.
7. в следующем окне необходимо ввести имя вашей копии. Придумайте имя для нового контейнера и введите его вручную. Имя контейнера может иметь русскую раскладку и пробелы. Затем нажмите «Готово». 8.
В окне «Выберите носитель» выберите носитель, в который вы хотите поместить новый контейнер. 9.
Вам будет предложено установить пароль для нового контейнера. Мы рекомендуем вам установить пароль, который вы можете легко запомнить, но который не может быть угадан посторонними лицами. Если вы не хотите устанавливать пароль, вы можете оставить поле пустым и нажать «OK».
Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»
Чтобы установить сертификат, нажмите на кнопку «OK» и d
- Выберите «Пуск» → «Панель управления» → «КриптоПро CSP» или укажите в строке поиска на панели Windows «КриптоПро CSP» и нажмите на него.
- Выберите вкладку «Сервис» и нажмите на кнопку «Просмотреть сертификаты в контейнере».
- Нажмите на кнопку «Обзор».
- Выберите контейнер для просмотра и нажмите на кнопку «ОК».
Следующие инструкции следует выполнять шаг за шагом, но следует помнить, что копирование можно производить только с помощью ICS (устройства криптографической защиты информации), иначе, если ключ будет скопирован, например, через проводник, его невозможно будет запустить на другом компьютере.
Щелкните по ярлыку КриптоПро CSP 3.0 или откройте его по пути Пуск — Панель управления. 2.
2. перейдите на вкладку «Оборудование» в системном окне и настройте считыватели, выбрав из списка установленных считывателей, а затем выбрав «Добавить». Используйте опции «Все съемные диски» и «Зарегистрировать», если их нет в списке.
Как скопировать сертификат в КриптоПро CSP — Программы и приложения
Затем выберите «Копировать контейнер» на вкладке «Инструменты» и вставьте ключевой носитель в программу чтения. Если сертификат хранится в реестре, нажмите «Обзор» и выберите нужный сертификат. 4.
В следующем окне введите имя в пустое поле с помощью команды «Поиск». При выборе имени сначала подтвердите операцию, а затем нажмите «Далее». В некоторых случаях при работе с rootken вам будет предложено ввести пароль (пин-код) — введите строку 12345678.
Инструкция по копированию сертификата через КриптоПро CSP
Создайте имя для контейнера, в который будут скопированы данные. Раскладка клавиатуры может быть русской или латинской. В имени также допускаются пробелы. После задания имени нажмите «Готово». 6.
Затем вам будет предложено ввести пустой средний ключ, в который будет скопирован контейнер. Сделайте это и нажмите «OK». 7.
7. вы можете задать пароль для создаваемой копии — это необязательный шаг, поэтому вы можете просто нажать «OK» и оставить поле пустым. Если копия создается после Rootken, необходимо снова ввести стандартную комбинацию безопасности 12345678.
Процесс копирования завершается, когда система возвращается на вкладку «Сервис».
Вы можете разблокировать PIN-код пользователя в «Панели управления Rootoken». Для выполнения этой операции необходимо знать PIN-код администратора.
Если PIN-код администратора заблокирован, корневой токен должен быть инициализирован (отформатирован). Для этого нажмите кнопку «Формат…» на вкладке «Администрирование» в «Панели управления Рутокен».
С 1 января 2022 года руководители компаний и предприниматели смогут получить электронную подпись в местном налоговом органе, включая ЦП для участия в публичных тендерах на 8 федеральных электронных торговых площадках.
Работа тендерного агента предполагает определенную форму взаимодействия с клиентом или работодателем удаленно. В связи с этим у коллег возникает вопрос
Что делать, если токен заблокирован?
Рутокен — это специальный носитель информации, который может вместить почти три десятка сертификатов электронной подписи, в зависимости от объема хранилища. На практике этот метод следует использовать, когда необходимо перенести зашифрованную информацию о владельце ключа с одного носителя на другой или временно добавить ее в цифровой сервис хранения или на жесткий диск.
Руководитель может «форкнуть» ЭП, чтобы передать ее сотруднику, уполномоченному действовать от имени организации.
Содержание:
Обычные методы переноса файлов с диска на компьютер здесь не помогут. Копирование работает только в том случае, если присутствует один из читателей списка:
Если криптографические ключи изначально были записаны на USB-накопитель, контейнер с сертификатом должен быть добавлен в корневой каталог. Он также может использоваться для одновременного хранения других данных, но информация третьей стороны должна быть «дружественной к контейнеру» и не должна мешать процессу подписания.
Примечание: Обычный USB-накопитель не следует использовать в качестве кэш-памяти, поскольку он небезопасен и мошенники могут легко получить к нему доступ. Но в качестве временного решения для хранения дополнительных файлов он подходит.
С помощью сервиса КриптоПро CSP можно скопировать подпись ФНС с рутокена. Действуйте следующим образом:
Мы указали путь для копирования файлов, после чего они появляются в указанном месте на жестком диске или USB-накопителе. Теперь вы можете скопировать папку с ключами обычным способом.
Примечание: Если вы хотите в дальнейшем использовать копию по назначению, именованная папка должна быть помещена в корневой каталог диска.
Чтобы скопировать контейнер закрытого ключа стандартным методом, необходимо открыть оснастку КриптоПро в Панели управления, перейти в раздел Инструменты и нажать Копировать.
Копирование подписи с рутокена
Ошибка копирования контейнера. Вам не разрешено экспортировать ключ, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии. Или вы просто не можете выбрать его для копирования, если у вас последняя версия КриптоПро. Он будет неактивным:
Если вы получите это сообщение об ошибке, этот метод передачи вам не подходит. Вы можете сразу перейти к следующему. Я отдельно объясню, как скопировать сертификат и его закрытый ключ в файл, чтобы можно было перенести его на другой компьютер без токена. Это делается непосредственно на вкладке Инструменты оснастки КриптоПро. Нажмите на кнопку Показать сертификаты в контейнере.
Выберите нужный сертификат и нажмите Показать свойства сертификата.
- рутокен;
- съемный диск любого образца;
- реестр ПК.
Затем щелкните в информации о сертификате на странице Re
После переноса контейнеров с закрытыми ключами путем экспорта/импорта ветки реестра с ключами иногда может возникнуть ошибка доступа к контейнерам. Кажется, что все на месте, и ключи находятся в реестре. Их можно просматривать в остальных разделах КриптоПро, но не читать. При попытке сделать это отображается ошибка:
Копирование сертификата с Рутокена через КриптоПРО
Ошибка доступа к контейнеру закрытого ключа. Ошибка 0x80090010: Доступ запрещен. Это происходит потому, что текущий пользователь, с которым вы пытаетесь получить доступ к контейнеру, не имеет полных прав на ветвь реестра, содержащую хранимые ключи. Это простое обходное решение. Вызовите редактор реестра и установите полные разрешения для текущего пользователя на ветку keys.
- открываем панель управления ПК, найдите программу КриптоПРО CSP и нажмите «Пуск»;
- переходим в раздел «Сервис»;
- кликаем «Просмотреть сертификаты в контейнере»;
- выбираем интересующий ключевой носитель во вкладке «Обзор»;
- соглашаемся с действием – «Ок»;
- нажимаем кнопку «Далее» (система может запросить PIN-код, по умолчанию пароль на рутокенах — 12345678, а для eтокенов — 1234567890);
- в появившемся окне переходим в «Свойства» и выбираем «Состав»;
- затем кликаем по действию «Копировать в файл…»;
- соглашаемся со всеми действиями установочного мастера и кликаем «Далее»;
- указываем действие «не экспортировать закрытый ключ»;
- выбираем формат DER X.509;
- указываем хранилище для дубликата и нажимаем «Ок» (название папки не меняем);
- система попросит ввести пароль два раза, а затем нажимаем «Ок».
Также убедитесь, что новые разрешения наследуют дочерние ветви с самими ключами. Обычно это так, но в каждом конкретном случае проверяйте. Это снимет ошибку доступа в контейнере закрытого ключа.
Могу ли я передать сертификат, который находится в токене, защищенном от копирования?
Копирование закрытого ключа через оснастку КриптоПро
Конечно, решение, предложенное в этой статье, не сработает. Речь идет о переносе сертификатов, которые хранятся в реестре, т.е. они уже были реплицированы. Существуют также технические средства для копирования защищенных крипто-токенов, но это не самое простое и очевидное решение.
Безопасно ли хранить сертификаты в реестре?
Это небезопасно, и я бы вообще не советовал этого делать. USB-токены для хранения сертификатов были придуманы не просто так. Они фактически защищают сертификаты от несанкционированного копирования. Если у вас нет объективной необходимости копировать сертификаты в реестр, вам не нужно этого делать. Если вам нужно создать резервную копию сертификата на случай сбоя токена, просто скопируйте его в зашифрованный файл и храните на флэш-накопителе.
Будет ли предложенный способ копирования сертификатов КриптоПро работать для VipNet?
Нет, не будет. В статье описано, как передавать сертификаты КриптоПро. Другие поставщики услуг шифрования хранят сертификаты по-другому. Универсального метода для всех них не существует.
Существует ли простой способ копирования сертификатов Crypto Pro? То, что описано в статье, слишком сложно для меня.
Да, на сайте Outline есть статья, в которой есть ссылка на программу репликации контейнеров Certfix. Вы можете использовать его.
КриптоПро CSP ошибка 0x80090010 Отказано в доступе
Если вы хотите узнать, как создавать и поддерживать системы с высокой доступностью и надежностью, как непрерывно развертывать программное обеспечение, а также как контролировать и протоколировать веб-приложения, я рекомендую онлайн-курс «Практика и инструменты DevOps» в OTUS. Курс не подходит для новичков, вам необходимы базовые навыки работы в сети и
В целях безопасности обязательно установите пароль, так как такие файлы легко взломать.
То есть на выходе я имею папку со случайным именем и набором ключей в формате key.
Часто задаваемые вопросы по теме статьи (FAQ)
Если вы попытаетесь скопировать сертификат с маркера, в некоторых случаях вы можете получить следующее сообщение об ошибке: error copying the container. Вам не разрешено экспортировать ключ, поскольку соответствующий флаг не был установлен при создании ключа. Ключ не может быть использован в указанном состоянии.
Причина этого в том, что из соображений ложной безопасности центры сертификации выпускают закрытые ключи без возможности их экспорта, тем самым увеличивая свою прибыль, поскольку если вы потеряете или сломаете свой токен, вам придется выпускать его заново, а поскольку экспорт не разрешен, вы не сможете его защитить.
Если вы получаете ошибку репликации контейнера. У вас нет разрешения на экспорт ключа, тогда метод CRYPTPRO вам не поможет.
Существуют методы извлечения закрытого ключа без использования утилиты Kryptopro. Представим, что срок действия вашего водительского удостоверения истек, и у вас не было времени купить его снова. Вы должны отчитываться перед СБР. Вы использовали КриптоПРО на другом компьютере, так как он позволяет 3 месяца бесплатного использования, CBSI просто нужно перенести существующие сертификаты в реестр Windows.
У нас есть два варианта:
Я уже подробно объяснял, как открыть оснастку сертификата, посмотрите. Откройте там контейнер «Личные — Сертификаты». Если в контейнере находится более одного сертификата с одинаковым именем, это может произойти, тогда откройте сертификат в mmc Snap-in и КриптоПро и сравните серийные номера сертификатов.
В Internet Explorer откройте «Свойства обозревателя — Содержимое — Сертификаты».
Теперь нам нужно экспортировать его, в оснастке «Сертификаты», щелкнув по нему правой кнопкой мыши. В Internet Explorer вы можете увидеть кнопку «Экспортировать немедленно».
Откроется мастер миграции сертификатов, просто нажмите «Далее» на первом шаге. Вас спросят, что вы хотите экспортировать, выберите «Да, экспортировать закрытый ключ вместе с сертификатом».
Если ваш закрытый ключ не разрешен к экспорту, эта кнопка будет отключена, и вы сможете закрыть метод и перейти к следующему.
Копирование закрытого ключа из КриптоПро
Далее необходимо указать пароль, имя и место сохранения портативного контейнера с похороненным ключом в виде файла pfx.
Мастер экспорта сертификатов покажет вам обобщенные данные, нажмите кнопку «Готово».
Откройте каталог, в который вы загрузили файл, и найдите файл pfx.
Теперь вам все еще нужно ввести
C:\User\UserName\AppData\Roaming\Microsoft\SystemCertificates\ My
Только не забудьте заменить своего пользователя. Эта папка может быть скрыта, поэтому включите скрытые папки и файлы в вашей операционной системе. Все содержимое этой папки должно быть перенесено на другой компьютер, только теперь в папку другого нужного пользователя.
После размещения папки с ключами на новом компьютере можно перенести дамп реестра. Вы должны иметь возможность открыть сохраненный reg-файл в любом текстовом редакторе.
Как я показал выше, определите SID нового пользователя, скопируйте его полностью и замените им значение в reg-файле, я отметил его стрелками.
Перенос сертификатов из реестра без КриптоПРО
Сохраните файл и запустите его. Начнется передача сертификатов (закрытых ключей), подтвердите действие.
Как вы можете видеть, импорт был успешно завершен. Теперь вы можете иметь свой закрытый и открытый ключи и работать со своей ЭЦП. Если остались вопросы, жду ваших комментариев.
- Использование оснастки mmc-Сертификаты пользователя.
- Использование Internet Explore
Одним из основных используемых векторов был Рутокен EDS. Вы можете получить следующую информацию из «Панели управления Rootoken»:
В последней строке написано «Cryptopro FKN Support: None», что означает, что в токене нет приложения, с которым может работать Cryptopro CSP SKZZ. Поэтому реализация технологии FKN с СКЗИ и токеном, как описано в конфигурации испытательного стенда, невозможна.
Аналогичная ситуация сложилась и с JaCarta GOST. Более того, CryptoPro CSP, по крайней мере, версия, используемая в тестовом стенде, использует эти ключевые векторы в качестве «обычных токенов», которые сами по себе являются только ключевыми векторами.
Это утверждение очень легко проверить. Для этого необходимо установить КриптоПро CSP на чистый компьютер без драйвера токена и вставить токен JaCarta GOST. Windows 7 распознает токен JaCarta GOST как «Microsoft Usbccid Smart Card Reader (WUDF)». Теперь вы можете попытаться создать ключ для маркера и скопировать его в реестр компьютера. Полная функциональность SKZI будет успешно работать.
Чтобы использовать продукты CRIPTO-PRO Ltd. для реализации технологии FKN, вы должны:
1. 1. приобрести специальную версию библиотеки АСУ: — для Рутокен ЭЦП — КриптоПро Рутокен CSP ACS — для JaCarta ГОСТ — СКЗИ КриптоПро FKN CSP.
2. одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие программные части (апплеты), с которыми может работать КриптоПро Рутокен CSP или КриптоПро FKN CSP соответственно.
И снова: нет. Эти устройства могут реализовать функциональность FCN (но, вероятно, в меньшей степени, чем при использовании с КриптоПро СКЗ), но для этого требуется
Массовый перенос ключей и сертификатов CryptoPro на другой компьютер
По-новому взглянем на наш тестовый стенд
Как сделать, чтобы все было хорошо?
Получается, что Рутокен ЭЦП и JaCarta ГОСТ не являются токенами с неизвлекаемым ключом?
Выводы
- Не верьте продавцам, чушь вам городящим. Использование обычных версий криптопровайдера КриптоПРО CSP и обычных Рутокен ЭЦП или JaCarta ГОСт не позволяют реализовать технологию ФКН.
- Для использования технологии ФКН совместно с продуктами ООО «КРИПТО-ПРО» необходимы как специально подготовленные токены, содержащие апплет, с которым умеет работать СКЗИ, так и специальные версии криптопровайдера КриптоПРО CSP, которые умеют работать с апплетом на токенах.
- Рутокен ЭЦП и JaCarta ГОСТ умеет самостоятельно реализовывать технологию ФКН, но для этого необходим специальный софт.
