ИМПОРТИРОВАТЬ МОЖНО ТОЛЬКО СЕРТИФИКАТЫ НА RSA КЛЮЧИ А ИМПОРТ С РУТОКЕНА НЕВОЗМОЖЕН ТОЛЬКО СЕРТИФИКАТЫ НА RSA КЛЮЧИ

Массовое копирование

4. После копирования нажмите внизу слева кнопку « Обновить ». Если хотите работать со скопированными контейнерами — необходимо установить сертификаты.

Примеры сценариев при импорте и экспорте сертификата

Если вы мой постоянный читатель, то вам уже должны быть знакомы понятие SSL сертификата, его виды и назначение. Сейчас уже сложно себе представить работу юридических лиц, ИП и обычных граждан без сертификатов и ЭЦП. Многие программы используют их для шифрования трафика, например при документообороте или при доступе к сервису, очень частый пример, это кабинет клиент-банка.

В большинстве случаев у людей на компьютере установлена операционная система Windows, она не идеальна и бывают частые случаи ее выхода из строя. При таком раскладе у вас легко могла возникать ситуация по восстановлению вашего сертификата из хранилища Windows, или при обновлении вашего компьютера на более новый, где так же производили перенос сертификатов, я приводил такой пример для КриптоПРО. Переходим к практике.

Просмотр количества заданных попыток ввода неправильного PIN-кода Администратора

Чтобы просмотреть количество заданных попыток ввода неправильного PIN-кода Администратора:

1. Откройте Панель управления Рутокен
   .
2. На вкладке Администрирование
   нажмите Информация
   .
3. В окне Информация о Рутокен
    в строке Попыток ввода PIN-кода Администратора
   отображается количество заданных попыток.
   
   
   
   
   

Регистрация личного сертификата в локальном хранилище

Чтобы различные приложения операционной системы Windows могли обращаться к личному сертификату, хранящемуся в памяти устройства Рутокен, необходимо зарегистрировать его в локальном хранилище рабочей станции. В некоторых случаях личный сертификат регистрируется автоматически.

Данная процедура позволяет зарегистрировать личный сертификат в локальном хранилище.

Для регистрации личного сертификата в локальном хранилище:

1. Запустите  Панель управления Рутокен
   .
2. Выберите устройство Рутокен.
3. Проверьте корректность выбора устройства.
4. Перейдите на вкладку  Сертификаты
   .
5. В строке с именем сертификата в столбце Зарегистрирован
   установите флажок.
   
   
   
   
   
    

Как видите предпосылок и вариантов переноса сертификатов из реестра на другой компьютер, предостаточно.

Какие есть варианты по копированию контейнеров закрытых ключей?

• Если мы создаем единый терминал (Виртуальную машину), на которой будут коллективно работать пользователи, то можно произвести конвертирование физической тачки в виртуальную машину
• Если будет просто замена жесткого диска, то можно произвести его клонирование или перенос системы на SSD с помощью специальных утилит
• Можно воспользоваться утилитой КриптоПРО
• Воспользоваться экспортом из реестра Windows.

Настройка клиента Windows

Настройка клиента в Windows осуществляется гораздо проще, чем в Linux, т.к. весь необходимый софт уже встроен в систему.

Копирование контейнера из реестра другого пользователя

1. Необходимо найти ветку реестра с нужным контейнером. Ветки реестра, в которых может быть контейнер закрытого ключа:

2. После того, как нашли нужную ветку, нажмите правой кнопкой мыши на ветку с контейнером и выберите «Экспортировать».

3. Введите имя файла и нажмите на кнопку «Сохранить».

4. Скопируйте файл на тот компьютер, где будете работать с электронной подписью обычными средствами Windows.

6. Как диагностика закончится, нажмите на ссылку «Показать результаты».

7. В списке результатов выберите «Информация о Windows». Скопируйте оттуда SID текущего пользователя.

8. Откройте экспортированный файл реестра с помощью «Блокнота».

9. Замените SID пользователя на скопированный ранее.

Если ветка реестра экспортируется из 32-битной ОС в 64-битную ОС, добавьте в путь ветки реестра параметр Wow6432Node как на скриншоте:

10. Сохраните изменения и закройте файл.

11. Снова нажмите на файл правой кнопкой мыши и выберите «Слияние». В появившемся окне нажмите «Да».

Должно появиться сообщение о том, что данные успешно внесены в реестр. Нажмите «ОК».

Если появляется сообщение «Ошибка при доступе к реестру», необходимо еще раз проверить все пути в файле на корректность. Также проверьте, чтобы в пути не было лишних пробелов, знаков.

12. После того, как данные будут внесены в реестр, необходимо вручную установить сертификат (см. Как установить личный сертификат).

Checking if the site connection is secure

www.yaplakal.com needs to review the security of your connection before proceeding.

Подключение устройств Рутокен к компьютеру

Для подключения токена вставьте его в USB-порт компьютера. Если токен подключен корректно, то на нем начнет светиться индикатор.

Подключение смарт-карты

Для подключения смарт-карты к компьютеру
 используется

К USB-порту компьютера можно подключить как пустой считыватель, так и считыватель со вставленной смарт-картой.

Для подключения смарт-карты к компьютеру:

1. Вставьте смарт-карту в считыватель.
2. Подключите считыватель к USB-порту компьютера. Если смарт-карта подключена корректно, то на считывателе начнет светиться индикатор. Если смарт-карта вставлена в считыватель некорректно, то индикатор на считывателе может мигать. 

 
Подключение Рутокена с разъемом Type-C к компьютеру

Рутокен с разъемом Type-C подключается к компьютеру, у которого есть специальный порт USB Type-C. На некоторых компьютерах этот порт обозначен как Thunderbolt 3 (USB-C).

Если токен подключен корректно, то на нем начнет светиться индикатор.

Перенос сертификатов из реестра без КриптоПРО

Существуют методы экспортировать закрытый ключ и без изспользования утилиты КриптоПРО. Представим себе ситуацию, что у вас на него кончилась лицензия и вы не успели ее купить. Вам нужно сдать отчетность в СБИС. Вы развернули CryptoPRO на другом компьютере, так как он позволяет 3 месяца бесплатного использования, осталось для СБИС выполнить перенос сертификатов, которые у вас в реестре Windows.

У нас два варианта:

• Использование оснастки mmc-Сертификаты пользователя.
• Использование Internet Explore

Как открыть оснастку сертификаты я уже подробно рассказывал, посмотрите. Откройте там контейнер «Личное — Сертификаты». Если у вас в контейнере не один сертификат с одинаковым именем, такое может быть, то откройте сертификат в оснастке mmc и в КриптоПРО и сравните серийные номера сертификата.

В Internet Explore, откройте «Свойства браузера — Содержание — Сертификаты»

Теперь нам необходимо его экспортировать, в оснастке «Сертификаты», через правый клик, это можно сделать, в Internet Explorer, сразу видно кнопку, экспорт.

У вас откроется мастер переноса сертификатов, на первом шаге, просто нажимаем далее. После чего вас спросят, что вы хотите экспортировать, выбираем пункт «да, экспортировать закрытый ключ вместе с сертификатом»

Если ваш закрытый ключ запрещено экспортировать, то эта кнопка будет не активна, и можете сразу закрывать данный метод и переходить к следующему.

Следующим этапом в мастере экспорта сертификатов, вам необходимо выбрать формат выгрузки, это будет PFX архив.

Далее вы задаете обязательно пароль и указываете имя и место, где будите сохранять ваш переносимый контейнер с зарытым ключом в формате pfx.

Мастер экспорта сертификатов, выведет вам сводные данные, нажимаем «Готово».

Отрываем локацию, куда вы его выгрузили, и найдите свой pfx архив.

Теперь вам нужно еще выгрузить открытый ключ в формате cer, для этого так же зайдите в мастер экспорта, но на этот раз выберите «Нет, не экспортировать закрытый ключ».

Выберите формат файла «X.509 (. CER) в кодировке DEP», задайте ему имя и место сохранения. На выходе у вас появятся два файла.

Одни открытый ключ в формате cer и закрытый ключ в формате pfx. Этого набора вам будет достаточно, чтобы перенести сертификаты СБИС, Контура и остальных программ на другой компьютер.

Теперь перенесите эти файлы на другое рабочее место и просто запустите, через простой двойной клик. У вас откроется мастер импорта сертификатов, на первом окне выберите нужное вам хранилище, я в своем примере оставлю «Текущий пользователь».

На втором шаге проверяем импортируемый сертификат.

Указываем пароль, который задавали при выгрузке.

Оставляем автоматический выбор хранилища на основе типа сертификатов.

Готово. Со вторым файлом то же самое. После чего у вас будут перенесены нужные вам ключи и сам сертификат, можно работать.

Импорт RSA сертификата и ключевой пары RSA на устройство Рутокен

Данная операция позволяет импортировать на устройство Рутокен ключевую пару вместе с сертификатом из файлов форматов:

• PFX;
• P12;

Если для импорта выбран файл в формате PFX или P12, то закрытый ключ и соответствующий RSA сертификат будут скопированы на устройство Рутокен.

Если файл в формате PFX защищен паролем, то на экране отобразится окно для ввода пароля.

Если для импорта выбран файл в формате CER, то Панель управления Рутокен проверит, есть ли на устройстве закрытый ключ, соответствующий данному RSA сертификату. Если закрытый ключ действительно есть, то импортируемый RSA сертификат будет связан с данным ключом.

Для импорта RSA сертификата и ключевой пары RSA из файла на устройство Рутокен:

1. Запустите  Панель управления Рутокен
   .
2. Выберите устройство Рутокен.
3. Проверьте корректность выбора устройства.
4. Перейдите на вкладку  Сертификаты
   .
5. Нажмите Импортировать
   .
   
   
   
   
   
6. Укажите путь к файлу для импорта и нажмите Открыть
   . В результате RSA сертификат и ключевая пара RSA будут импортированы на устройство Рутокен.

Настройка клиента Ubuntu

NOTE

Настройка клиента на Linux в данный момент является достаточно длительной по времени, т.к. требует сборки отдельных программ из исходников. Мы постараемся в ближайшее время добиться, чтобы все изменения попали в официальные репозитории.

Для обеспечения подключения на уровне IPSec к серверу — используется пакет strongswan и демон xl2tp. Для упрощения подключения к сети с помощью смарт-карт – будем использовать пакет l2tp-ipsec-vpn, обеспечивающий графическую оболочку для упрощенной настройки подключения.

Начнём сборку элементов поэтапно, но перед этим установим все необходимые пакеты для непосредственной работы VPN:

sudo apt-get install xl2tpd strongswan libp11-3

Выбор метода генерации ключевых пар RSA (для устройства Рутокен ЭЦП)

Не следует использовать для генерации ключевых пар криптопровайдер Microsoft, если нет уверенности в безопасности компьютера.

Для выбора криптопровайдера для генерации ключевых пар RSA:

1. Запустите Панель управления Рутокен
   .
2. Перейдите на вкладку Настройки
   .
3.  Нажмите Настройка
   .
   
   
   
   
   
    
4. В секции  Настройки криптопровайдера Aktive Co. Rutoken CSP v1.0 
   выберите способ генерации ключевых пар RSA 2048 бит для Рутокен ЭЦП. Для этого установите переключатель в необходимое положение.
   
   
   
   
   
5. Чтобы применить изменения и продолжить работу с настройками нажмите Применить
   . 
6. Чтобы подтвердить выбор криптопровайдера нажмите ОК
   .
7. В окне с запросом на разрешение внесения изменений на компьютере нажмите Да
   .

Копируем с помощью утилиты

Этот метод также позволяет перенести не экспортируемый ключ на флэшку или скопировать  на ПК.

Tokens.exe – является утилитой, которая позволяет копировать ключи с рутокена, имеющие статус «не экспортируемый». Для корректного функционирования программы специалисты рекомендуют устанавливать три дополнения, идущие в комплекте с утилитой.

Далее нужно убрать статус «Экспорт запрещен». Для этого понадобится еще одна программа CertFix.000032.exe. Качаем ее и устанавливаем на ПК.

Действуем следующим образом:

• среди загрузившихся сертификатов найдите нужный;
• напротив него будет статус DENIED
• нажмите на клавишу Shift+клик правой кнопкой мыши;
• откроется меню, где можно из списка выбрать опцию «Сделать экспортируемым»;
• обязательно задайте пароль, после выбора данной опции;
• готово, ключ на флэшке теперь имеет статус «Экспортируемый».

Готово! Теперь можно пользоваться  копией ключа, размещенной в реестре.

Ошибка импорта сертификатов для ключей RSA

Импорт сертификатов для ключей RSA может вызвать ошибки из-за различных причин. Рассмотрим некоторые основные ошибки, которые могут возникнуть.

1. Неправильный формат файла сертификата

Одна из распространенных ошибок при импорте сертификатов для ключей RSA — это использование неправильного формата файла сертификата. В большинстве случаев, сертификаты для ключей RSA должны быть в формате PEM (Privacy-Enhanced Mail). Проверьте, что вы используете правильный формат файла сертификата.

2. Несовместимость версий сертификатов и ключей

Еще одна частая проблема — это несовместимость версий сертификатов и ключей. Если сертификат и ключ были созданы с использованием разных версий криптографического алгоритма RSA, то импорт может завершиться ошибкой. Убедитесь, что версии сертификата и ключа совпадают.

3. Неправильный пароль для ключа

Если при импорте сертификата требуется вводить пароль для ключа, то важно указать правильный пароль. Неправильный пароль может привести к ошибке импорта. Проверьте правильность введенного пароля и убедитесь, что он соответствует паролю, использованному при создании ключа.

4. Поврежденный файл сертификата или ключа

Если файл сертификата или ключа поврежден или содержит ошибки, то импорт может быть невозможен. Убедитесь, что файлы целостны и правильно сформированы без ошибок.

Важно внимательно проверить указанные выше аспекты, чтобы избежать ошибок при импорте сертификатов для ключей RSA. При возникновении ошибок рекомендуется обратиться к документации или поддержке, чтобы получить более детальную информацию о причинах возникновения ошибок и способах их устранения.

Изменение количества устройств Рутокен S для одновременной работы нескольких токенов на компьютере

Так как может потребоваться перезагрузка компьютера, перед изменением количества устройств Рутокен S для одновременной работы нескольких токенов на компьютере рекомендуется закрыть все работающие приложения

Эта настройка используется:

• если пользователю необходимо увеличить количество устройств Рутокен S для одновременной работы нескольких токенов на компьютере;
• если операционной системой не распознаются новые, подключаемые устройства Рутокен. В этом случае необходимо уменьшить количество устройств Рутокен S для одновременной работы;
• если на компьютере вообще не используются Рутокен S.

Для изменения количества устройств Рутокен S для одновременной работы нескольких токенов на компьютере:

1. Запустите Панель управления Рутокен
   .
2. Перейдите на вкладку Настройки
   .
3. В раскрывающемся списке Количество считывателей Рутокен S
   выберите необходимое число.
4. Нажмите Изменить
   .
   
   
   
   
   
5. Если выбранное число меньше ранее установленного:

   — на экране может отобразиться сообщение о необходимости перезагрузить операционную систему. Нажмите Да
   ;

   — в окне с запросом на разрешение вносить изменения на компьютере нажмите Да
   .

6. В окне с запросом на разрешение вносить изменения на компьютере нажмите Да
   .
7. Если после произведенных действий и перезагрузки компьютера настройка не произведена, то необходимо переподключить устройства Рутокен, подключенные к компьютеру.

Перенос сертификатов в виде пошаговой инструкции

Первые два пункта я описывать тут не стану, так как я уже это подробно рассказывал, посмотрите по ссылкам. Я расскажу, об остальных методах и начнем мы с классического КриптоПРО.

Данный метод подойдет для тех ситуаций, когда у вас один или 2 сертификата (ЭЦП). Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит, и там придется выбирать 4-й метод.

Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты

Изменение Администратором PIN-кода Пользователя

Администратор может изменить PIN-код Пользователя только в том случае, если при форматировании устройства была выбрана политика смены PIN-кода — «Пользователь и Администратор» («Администратор»).

Для просмотра текущей политики смены PIN-кода откройте  сведения об устройстве Рутокен
.

Рекомендуемая длина PIN-кода — 6-10 символов. Использование короткого PIN-кода (1-5 символов) заметно снижает уровень безопасности, а длинного PIN-кода (более 10 символов) может привести к увеличению количества ошибок при его вводе.

Для изменения PIN-кода Пользователя:

1. Запустите Панель управления Рутокен
   .
2. Выберите устройство Рутокен.
3. Проверьте корректность выбора устройства.
4. Нажмите Ввести PIN-код
   .
5. Установите переключатель в положение Администратор
   и введите PIN-код Администратора.
6. Нажмите ОК
   .
   
   
   
   
   
7. Нажмите Изменить
   .
   
   
   
   
   
8. Установите переключатель в положение Пользователь
   .
9. В полях  Введите новый
   PIN-код
   и Подтвердите новый
   PIN-код
    введите новый PIN-код.
   
    
   
   
   
10. Нажмите ОК
    .

Запрещаем экспортирование сертификата

Производим экспорт сертификата, в итоге у вас получится архив pfx. Он будет содержать как открытый, так и закрытый ключ. Теперь попробуйте произвести импорт сертификата. Обратите внимание, что в момент импорта, вам не нужно ставить галку «Разрешить экспорт закрытого ключа» именно ей мы не дадим его выгрузку.

Вводим пинкод (чаще всего он стандартный у рутокен, если вы его не меняли)

У вас может появиться в некоторых случаях ошибка «импортированы могут быть только сертификаты для ключей RSA»

Для ее решения нам нужно преобразовать сертификат pfx. Нам потребуется утилита OpenSSL. С помощью OpenSSL экспортируем закрытый ключ из PFX-файла:

• pkcs12 -in newcert.pfx -nocerts -out encrypted.key
• Проводим те же действия с сертификатом: pkcs12 -in newcert.pfx -nokeys -out cert.pem
• Записываем сконвертированный закрытый ключ на Рутокен
• Удаляем старый сертификат, после проверки нового.

Надеюсь вам поможет данный метод, запретить экспортирование приватного ключа с рутокен, если у вас есть дополнения или другие методы, то напишите о них в комментариях.

Альтернативные способы работы с сертификатами для ключей RSA

Несмотря на то, что импорт сертификатов для ключей RSA невозможен из некоторых причин, существует несколько альтернативных способов работы с ними.

1. Использование генерации нового ключа

Если невозможно импортировать сертификат для конкретного ключа RSA, можно попробовать генерацию нового ключа. Для этого необходимо использовать криптографическую библиотеку, которая поддерживает генерацию ключей RSA. Создав новый ключ, можно получить новый сертификат и использовать его для нужных целей.

2. Использование другого типа ключа

Если ключи RSA не подходят для импорта сертификата, можно рассмотреть возможность использования другого типа ключей. Например, вместо RSA можно использовать DSA или ECDSA. При этом необходимо учитывать совместимость с системами и программным обеспечением, с которыми предстоит работать.

3. Обращение к сертифицированным удостоверяющим центрам

Сертифицированные удостоверяющие центры (УЦ) могут выдавать сертификаты собственным ключам для различных типов шифрования, включая RSA. При обращении к УЦ можно получить сертификат для нужного ключа и использовать его при необходимости.

4. Вторичное использование сертификата

Если сертификат для ключа RSA невозможно импортировать в нужный контекст, можно рассмотреть возможность его вторичного использования в других целях. Например, сертификат может быть использован для подтверждения авторства документов или удостоверения личности в другой среде.

В целом, хотя импорт сертификатов для ключей RSA может быть невозможен по различным причинам, всегда можно найти альтернативные способы работы с ними. Главное – гибкость и адаптивность в выборе подходящего решения для конкретной задачи.

Ввод PIN-кода Администратора для работы с устройством Рутокен

После ввода неправильного PIN-кода Администратора несколько раз подряд, он блокируется. P IN-код Администратора разблокировать невозможно. В случае блокировки PIN-кода Администратора необходимо отформатировать устройство Рутокен, но при этом будут безвозвратно удалены все данные, хранящиеся на нем

Для ввода PIN-кода Администратора:

1. Запустите Панель управления Рутокен
   .
   
   
   
   
   
2. Выберите устройство Рутокен.
3. Проверьте корректность выбора устройства.
4. Нажмите Ввести PIN-код
   .
5. Установите переключатель в положение Администратор
   и введите PIN-код Администратора.
6. Нажмите ОК
   .
   
   
   
   
   

Настройка PPP

UPD: предложенные нами изменения были приняты начиная с версии pppd 2.4.9. Поэтому пакет pppd можно взять из репозиториев.

Желательно поставить последнюю версию pppd. Для этого выполним следующую последовательность команд:

sudo yum install git make gcc openssl-devel

git clone «https://github.com/jjkeijser/ppp»

cd ppp

./configure —prefix /usr

make -j4

sudo make install

Впишите в файл /etc/ppp/options.xl2tpd следующее (если там присутствуют какие-то значения, то их можно удалить):

ipcp-accept-local

ipcp-accept-remote

ms-dns 8.8.8.8

ms-dns 1.1.1.1

noccp

auth

crtscts

idle 1800

mtu 1410

mru 1410

nodefaultroute

debug

lock

proxyarp

connect-delay 5000

Выписываем корневой сертификат и сертификат сервера:

#директория с сертификатами пользователей, УЦ и сервера

sudo mkdir /etc/ppp/certs

#директория с закрытыми ключами сервера и УЦ

sudo mkdir /etc/ppp/keys

#запрещаем любой доступ к этой дирректории кроме администатора

sudo chmod 0600 /etc/ppp/keys/

#генерируем ключ и выписываем сертификат УЦ

sudo openssl genrsa -out /etc/ppp/keys/ca.pem 2048

sudo openssl req -key /etc/ppp/keys/ca.pem -new -x509 -out /etc/ppp/certs/ca.pem -subj «/C=RU/CN=L2TP CA»

#генерируем ключ и выписываем сертификат сервера

sudo openssl genrsa -out /etc/ppp/keys/server.pem 2048

sudo openssl req -new -out server.req -key /etc/ppp/keys/server.pem -subj «/C=RU/CN=centos.vpn.server.ad»

sudo openssl x509 -req -in server.req -CAkey /etc/ppp/keys/ca.pem -CA /etc/ppp/certs/ca.pem -out /etc/ppp/certs/server.pem -CAcreateserial

Таким образом, мы закончили с основной настройкой сервера. Остальная часть конфигурации сервера связана с добавлением новых клиентов.

Разблокировка Администратором PIN-кода Пользователя

PIN-код Пользователя блокируется в том случае, если пользователь несколько раз подряд ввел его с ошибкой. P IN-код Пользователя может разблокировать только администратор.

После того как PIN-код Пользователя будет разблокирован, счетчик неудачных попыток аутентификации примет исходное значение (заданное при форматировании устройства Рутокен).

После разблокировки PIN-код Пользователя не изменится. Администратор может задать новый PIN-код Пользователя только при форматировании устройства Рутокен.

Для того чтобы разблокировать PIN-код Пользователя:

1. Запустите  Панель управления Рутокен
   .
2. Выберите устройство Рутокен.
3. Проверьте корректность выбора устройства.
4. Нажмите Ввести PIN-код
   .
5. Установите переключатель в положение Администратор
   и введите PIN-код Администратора.
6. Нажмите ОК
   .
   
   
   
   
   
    
   
   
7. В секции Управление PIN-кодами
   нажмите Разблокировать
   . В окне с сообщением об успешном выполнении операции нажмите ОК
   .
   
   
   
   
   
    

   
   
   
   
    
   
   В результате PIN-код Пользователя будет разблокирован.

Настройка клиента L2tpIpsecVpn

Запускаем установленный клиент:

После запуска у вас должен открыться апплет L2tpIpsecVPN. Нажмём на него правой кнопкой мыши и произведём настройку соединения:

Для работы с токенами, в первую очередь, укажем путь opensc движка OpenSSL и PKCS#11 библиотеки. Для этого откройте вкладку «Preferences» для настройки параметров openssl:

После этого данная сеть станет доступна в панели настроек. Дважды кликнем правой кнопкой мыши по новой сети, чтобы настроить её. На первой вкладке необходимо произвести настройки IPsec. Зададим адрес сервера и общий ключ:

После этого переходим на вкладку настройки PPP и укажем там имя пользователя, под которым мы хотим зайти в сеть:

После этого откроем вкладку Properties и укажем путь до ключа, сертификата клиента и УЦ:

Закроем данную вкладку и выполним финальную настройку, для этого откроем вкладку «IP settings» и поставим галочку напротив опции «Obtain DNS server address automatically»:

После всех настроек закроем все вкладки и перезагрузим клиент:

Установка strongswan (IPsec)

В первую очередь, настроим firewall для работы ipsec

Затем приступим к установке

sudo yum install epel-release ipsec-tools dnf

sudo dnf install strongswan

После установки необходимо задать конфигурацию для strongswan (одну из реализаций IPSec). Для этого отредактируем файл /etc/strongswan/ipsec.conf :

config setup

nat_traversal=yes

virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12

oe=off

protostack=netkey

conn L2TP-PSK-NAT

rightsubnet=vhost:%priv

also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT

authby=secret

pfs=no

auto=add

keyingtries=3

rekey=no

ikelifetime=8h

keylife=1h

type=transport

left=%any

leftprotoport=udp/1701

right=%any

rightprotoport=udp/%any

ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024

Также зададим общий пароль для входа. Общий пароль должен быть известен всем участникам сети для аутентификации. Данный способ и является заведомо ненадёжным, т.к. данный пароль с лёгкостью может стать известным личностям, которым мы не хотим предоставлять доступ к сети.

Тем не менее, даже этот факт не повлияет на безопасность организации сети, т.к. основное шифрование данных и аутентификация пользователей осуществляется протоколом PPP. Но справедливости ради стоит заметить, что strongswan поддерживает более безопасные технологии для аутентификации, например, с помощью приватных ключей. Так же в strongswan имеется возможность обеспечить аутентификацию с помощью смарт-карт, но пока поддерживается ограниченный круг устройств и поэтому аутентификация с помощью токенов и смарт-карт Рутокен пока затруднительна. Зададим общий пароль через файл /etc/strongswan/ipsec.secrets:

# ipsec.secrets — strongSwan IPsec secrets file

%any %any : PSK «SECRET_PASSPHRASE»

sudo systemctl enable strongswan

sudo systemctl restart strongswan

Удаление личного сертификата из локального хранилища

Для удаления личного сертификата из локального хранилища:

1. Запустите  Панель управления Рутокен
   .
2. Выберите устройство Рутокен.
3. Проверьте корректность выбора устройства.
4. Перейдите на вкладку  Сертификаты
   .
5. В строке с именем личного сертификата в столбце Зарегистрирован
   снимите флажок.

Выбор устройства в Панели управления Рутокен

Если к компьютеру подключено несколько устройств Рутокен одновременно, то перед началом работы необходимо выбрать устройство, с которым будут выполняться операции.

Для выбора устройства:

1. Запустите Панель управления Рутокен
   .
2. На вкладке Администрирование
   в раскрывающемся списке Подключенные Рутокен
   выберите устройство.

   
   
   

Установка ПО для работы с токенами

Установите последнюю версию библиотеки librtpkcs11ecp.so с сайта, также библиотеки для работы со смарт-картами:

sudo apt-get install pcscd pcsc-tools opensc libengine-pkcs11-openssl

Подключите Рутокен и проверьте, что он распознается системой:

pkcs11-tool —module /usr/lib/librtpkcs11ecp.so -O -l

Инструкция по копированию ЭЦП с дискеты или флэшки на Рутокен

ИНСТРУКЦИЯ по копированию ЭЦП

с дискеты или флэшки на Рутокен

В соответствии с законом «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» владелец закрытого ключа ЭЦП несет персональную ответственность за его хранение!

Почему ключи раздают на дискетах

Дискета была и пока остается самым доступным и самым дешевым носителем, на который можно записать достаточно длинную ключевую комбинацию символов. Именно в силу своей дешевизны и простоты использования многие компании продолжают раздавать ключевую информацию, в т. ч. ключи ЭЦП, именно на дискетах, не смотря на то, что надежность дискет по современным меркам ниже удовлетворительной, а дисководы уже почти не встречаются.

Зачем нужен токен, зачем копировать ключи на токен

USB-токены гораздо надежнее, чем дискеты, защищены от воздействия физических факторов. Помимо этого, токены обеспечивают криптографическую защиту хранимой информации. В отличие от дискет для доступа к информации в памяти токена необходимо знать специальный pin-код. Еще одним существенным отличием USB-токенов от дискет является установка в системе специального драйвера.

Так зачем же копировать ключ ЭЦП с привычной дискеты на непривычный токен?

Причин несколько. Во-первых, это отсутствие дисковода на том компьютере, на котором будет работать обладатель ключа ЭЦП. Если еще можно найти оставшийся от давних времен компьютер, оснащенный дисководом, то ожидать, что на таком допотопном оборудовании осуществляются серьезные работы, уже будет чересчур смелым предположением.

Во-вторых, любой, кто сталкивался в своей жизни с дискетами, знает, что информацию на дискете лучше сразу же продублировать, ввиду крайней ненадежности этих самых дискет!

Ну и, в-третьих, украсть ключ ЭЦП с дискеты у неосторожного пользователя сможет даже школьник, в то время как считать информацию из памяти токена, не зная секретного pin-кода, практически невозможно.

Что нам для этого потребуется

Для копирования ключа ЭЦП с дискеты на токен необходимо, чтобы на компьютере присутствовали дисковод и usb-порт. Была установлена операционная система Windows XP, Vista, 7. Так же необходимо, чтобы был установлен КриптоПро CSP.

Как узнать версию КриптоПро CSP

Для начала необходимо определить версию установленного КриптоПро CSP. Для этого необходимо зайти в Панель управления и запустить плагин КриптоПро CSP. На закладке Общие будет указана версия продукта.

В зависимости от того, какая версия КриптоПро CSP (КриптоПро 3.6 или КриптоПро 3.0) установлена, дальнейшие действия по настройке КриптоПро CSP для копирования контейнера на токен будут несколько отличаться.

1. Очень важно правильно определить версию КриптоПро CSP!

В зависимости от того, какая версия КриптоПро CSP (3.0 или 3.6) установлена у пользователя, дальней-шие действия по настройке системы будут существенно отличаться!

2. При работе с контейнерами КриптоПро CSP на любых видах носителей во время операций с содержи-мым контейнеров ЗАПРЕЩАЕТСЯ отключать носитель от компьютера до завершения операции! В против-ном случае возможны необратимые повреждения содержимого контейнера!

Первый шаг зависит от версии КриптоПро CSP

a) Для КриптоПро 3.6 необходимо установить драйверы Рутокен: (http://**/hotline/instruction/drivers/).

b) Для КриптоПро 3.0 необходимо установить решение Рутокен для КриптоПро CSP:

(http://**/download/software/rtSup_CryptoPro. exe. zip).

Дальнейшие шаги инструкции не зависят от версии КриптоПро CSP

Скопировать контейнер с дискеты на Рутокен средствами КриптоПро CSP:

· В Панели управления компьютером запустите плагин КриптоПро CSP

· На закладке Сервис нажмите на кнопку Скопировать контейнер:

· В появившемся окне выбора контейнера нажмите на кнопку Обзор:

· В списке контейнеров укажите тот, который находится на дискете или флешке. Нажмите на кнопку ОК:

· В появившемся окне запроса введите пароль для выбранного контейнера, если он был назначен. Нажмите на кнопку ОК:

· Введите имя контейнера, который будет создан при копировании ваших данных на Рутокен. Нажмите на кнопку ОК:

· Подключите Рутокен к компьютеру.

· В появившемся окне выбора считывателей необходимо указать тот, к которому подключен Рутокен и нажать на кнопку ОК:

· В появившемся окне запроса введите Pin-код подключенного устройства Рутокен (по умолчанию: ). Нажмите на кнопку ОК:

· Дождитесь, пока произойдет копирование контейнера на токен (во время копирования индикатор на токене будет мерцать).

Зарегистрировать сертификат в локальном хранилище сертификатов

· Чтобы убедиться в том, что контейнер с сертификатом скопирован на Рутокен, в плагине управления КриптоПро CSP на закладке Сервис нажмите Просмотреть сертификаты в контейнере:

· В появившейся форме нажмите на кнопку Обзор и выберите контейнер на Рутокен, скопированный туда ранее, как описано в предыдущем разделе, нажмите на кнопку ОК:

· Нажмите на кнопку Далее:

· В открывшемся окне сертификата убедитесь, что данные верны и нажмите на кнопку Свойства:

· В открывшемся окне сертификата нажмите на кнопку Установить сертификат:

· Откроется мастер установки сертификата, в котором необходимо указать хранилище, в которое будет помещен ваш сертификат. Как правило, это Личное хранилище. Выберите нужные параметры и нажмите на кнопку Готово:

· Должно появиться сообщение об успешной установке сертификата.

· Закройте окно свойств сертификата:

Теперь вы можете пользоваться ключевой информацией, хранящейся на Рутокен, указывая соответствующий сертификат в хранилище.

Не устанавливается драйвер или решение Рутокен для КриптоПро CSP

Настройка сервера

Установим все необходимые пакеты.

Копирование на профиле Диагностики

1. Зайдите на профиль Диагностики «Копирования» по ссылке.

2. Вставьте носитель, на который необходимо скопировать сертификат.

3. На нужном сертификате нажмите на кнопку «Скопировать».

Если на контейнер был задан пароль — появится сообщение «Введите пароль для устройства с которого будет скопирован сертификат».

Введите пароль и нажмите на кнопку «Далее».

4. Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».

5. Задайте имя новому контейнеру и нажмите на кнопку «Далее».

6. Должно появиться сообщение об успешном копировании сертификата.

Удаление для личного сертификата RSA атрибута «по умолчанию»

Чтобы удалить для личного сертификата RSA атрибут «по умолчанию»:

1. Запустите  Панель управления Рутокен
   .
2. Выберите устройство Рутокен.
3. Проверьте корректность выбора устройства.
4. Перейдите на вкладку Сертификаты
   .
5. Щелкните левой кнопкой мыши по названию личного сертификата RSA.
6. Нажмите По умолчанию.
   
   
   
   
   
   
   
   
7. Укажите PIN-код Пользователя и нажмите ОК
   . В результате личный сертификат RSA не будет использоваться по умолчанию. 

Просмотр информации о сертификате (ключевой паре, личном сертификате), сохраненном на устройстве Рутокен

Для просмотра информации о сертификате (ключевой паре, личном сертификате), сохраненном на устройстве Рутокен:

Запустите 
Панель управления Рутокен

.

Выберите устройство Рутокен.

Проверьте корректность выбора устройства.

Выберите пункт меню Свойства
.

Для сертификата:

На вкладке Общие
указаны: 

• поддерживаемые способы использования сертификата;
• имя получателя сертификата;
• название центра сертификации, выдавшего сертификат;
• период действия сертификата;
• дополнительные сведения о сертификате (кнопка  Заявление поставщика
  ).

На вкладке Состав
указано полное описание сертификата:

• уникальный серийный номер, присвоенный сертификату центром сертификации;
• алгоритм хеширования, используемый центром сертификации для цифровой подписи сертификата;
• тип и длина открытого ключа;
• сводка данных (отпечаток) сертификата.
  
  
  
  
  

На вкладке Путь сертификации
указан  
путь от выбранного сертификата до центров сертификации, выдавших сертификат. Нажав Просмотреть сертификат
 можно получить дополнительные сведения о сертификатах каждого центра сертификации в пути.

Для ключевой пары:

Для ключевой пары КриптоПро CSP (при просмотре параметров ключевой пары КриптоПро CSP необходимо ввести PIN-код Пользователя):

Выбор настроек для PIN-кода

В Панели управления Рутокен можно задать настройки для PIN-кода. Перечень настроек указан в Таблице 3
.

Настройка  Запомнить PIN-код
 позволяет уменьшить количество вводов PIN-кода в прикладных приложениях за счет кратковременного хранения их криптопровайдером в зашифрованной памяти. Не следует использовать данную настройку, если нет уверенности в безопасности компьютера.

Настройка Кодирование PIN-кода в UTF-8
позволяет безопасно использовать PIN-коды, содержащие кириллические символы. 

Для выбора настроек для PIN-кода:

1. Запустите  Панель управления Рутокен
   .
2. Перейдите на вкладку Настройки
   .
3. В разделе Настройки PIN-кода
   нажмите Настройка
   .
   
   
   
   
   
    
   
   
4. Установите флажки рядом с названиями необходимых настроек.
   
   
   
   
   
5. Чтобы применить изменения и продолжить работу с настройками нажмите Применить
   . 
6. Чтобы подтвердить выбор настроек нажмите

   ОК
   
   .

В окне с запросом на разрешение внесения изменений на компьютере нажмите

Да

.

Экспорт сертификата в файл

Иногда возникает необходимость передать сертификат, сохраненный на устройстве Рутокен другому пользователю. Для этого сертификат необходимо экспортировать в файл.

В Панели управления Рутокен имеется поддержка следующих форматов файлов сертификатов:

CER;

P7B.

В Панели управления Рутокен существует два способа экспорта сертификата в файл:

1 способ

Для экспорта сертификата с устройства Рутокен в файл:

Запустите 

Панель управления Рутокен

.

Выберите устройство Рутокен.

Проверьте корректность выбора устройства.

Перейдите на вкладку 
Сертификаты

.

Щелкните левой кнопкой мыши по имени сертификата.

Нажмите

Экспортировать

.

Если необходимо экспортировать только сертификат, то установите переключатель рядом с названием формата файла для экспорта.

Если необходимо экспортировать сертификат вместе с ключевой парой, то установите переключатель в положение Файл обмена личной информацией PKCS #12 (. PFX)
, дважды укажите пароль или установите флажок Без пароля 
(если не хотите задавать пароль). 

Рядом с полем Путь
нажмите Обзор
 и выберите файл на компьютере.

2 способ

Для экспорта сертификата с устройства Рутокен в файл:

1. Запустите  Панель управления Рутокен
   .
2. Выберите устройство Рутокен.
3. Проверьте корректность выбора устройства.
4. Перейдите на вкладку  Сертификаты
   .
5. Щелкните правой кнопкой мыши по имени сертификата.
6. Выберите пункт меню  Экспортировать
   .
   
   
   
   
   
7. Если необходимо экспортировать только сертификат, то установите переключатель рядом с названием формата файла для экспорта.
8. Если необходимо экспортировать сертификат вместе с ключевой парой, то установите переключатель в положение  Файл обмена личной информацией PKCS #12 (. PFX)
   , дважды укажите пароль или установите флажок  Без пароля 
   (если не хотите задавать пароль).
9. Рядом с полем  Путь
    нажмите Обзор
    и выберите файл на компьютере.
10.  Нажмите Экспорт
    . В результате сертификат будет экспортирован в указанный файл.

Для экспорта корневого доверенного сертификата:

1. Запустите Панель управления Рутокен
   .
2. Выберите устройство Рутокен.
3. Проверьте корректность выбора устройства.
4. Перейдите на вкладку Сертификаты
   .
5. Щелкните левой кнопкой мыши по имени личного сертификата.
6. Нажмите Свойства
   .
7. Перейдите на вкладку Состав
   .
8. Нажмите  Копировать в файл
   .
   
   
   
   
   
9. Нажмите Далее
   .
10. Установите переключатель рядом с названием необходимого формата и нажмите  Далее
    .
    
    
    
    
    
11. Нажмите Обзор.
12.  Выберите файл на компьютере или внешнем носителе и нажмите Далее
    .
    
    
    
    
    
13. Нажмите Готово
    . В результате сертификат будет экспортирован в указанный файл.

Установка пропатченного ppp

sudo apt-get -y install git make gcc libssl-dev

git clone «https://github.com/jjkeijser/ppp»

cd ppp

./configure —prefix /usr

make -j4

sudo make install

Экспорт PFX-файла и его установка

Экспорт сертификата с закрытым ключом

1. Откройте оснастку работы с сертификатами:

2. Откройте сертификат, который нужно скопировать. На вкладке «Состав» нажмите «Копировать в файл».

3. В «Мастере экспорта сертификтов» нажмите «Далее» и выберите пункт «Да, экспортировать закрытый ключ». Нажмите «Далее».

4. На следующем этапе поставьте галочки у пунктов «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства», остальные галочки необходимо убрать. Нажмите «Далее».

5. Обязательно задайте пароль для экспортируемого файла. Данный пароль не рекомендуется сообщать по электронной почте. Нажмите «Далее».

6. Укажите имя файла, выберите путь сохранения и нажмите «Далее», затем нажмите «Готово».

7. Экспортируйте открытый ключ сертификата (см. Экспорт открытого ключа).

Установка сертификата с закрытым ключом

2. Укажите хранилище «Текущий пользователь» и нажмите «Далее», затем снова «Далее».

4. Выберите пункт «Поместить все сертификаты в следующее хранилище», нажмите на кнопку «Обзор», выберите «Личное» и нажмите на кнопку «ОК». Нажмите «Далее», а затем «Готово».

5. В окне КриптоПро выберите носитель, на который хотите сохранить контейнер. При необходимости задайте пароль.

6. Для корректной работы сертификата со встроенной лицензией переустановите сертификат в контейнер (см. Как установить личный сертификат в КриптоПро).

Копирование средствами Windows

Если для работы используется дискета или flash-накопитель, скопировать контейнер с сертификатом можно средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и, если есть, файл сертификата — открытый ключ) поместите в корень дискеты / flash-накопителя (если поместить не в корень, то работа с сертификатом будет невозможна). Название папки при копировании рекомендуется не изменять.

В папке с закрытым ключом должно быть 6 файлов с расширением.key. Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копировать открытый ключ необязательно. Пример закрытого ключа — папки с шестью файлами и открытого ключа — файла с расширением.cer.

Закрытый ключ Открытый ключ

Копирование с помощью КриптоПро CSP

В окне « Копирование контейнера закрытого ключа » нажмите на кнопку « Обзор » .

Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее». Если вы копируете с рутокена, то появится окно ввода, в котором следует указать pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.

В окне « Вставьте чистый ключевой носитель » выберите носитель, на который будет помещен новый контейнер.

На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать или подобрать. Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».

Не храните пароль/pin-код в местах, к которым имеют доступ посторонние. В случае утери пароля/pin-кода использование контейнера станет невозможным.

После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать для работы в Экстерне новый ключевой контейнер, установите его через Крипто Про.

Генерация ключевой пары и сертификата

Для успешной аутентификации клиенту необходимо:

• сгенерировать ключевую пару;
• иметь корневой сертификат УЦ;
• иметь сертификат для своей ключевой пары, подписанный корневым УЦ.

Для клиента на Linux

Для начала сгенерируем ключевую пару на токене и создадим заявку на сертификат:

Появившуюся заявку client.req отправьте в УЦ. После того как вы получите сертификат для своей ключевой пары, запишите его на токен с тем же id, что и у ключа:

pkcs11-tool —module /usr/lib/librtpkcs11ecp.so -l -y cert -w ./client.pem —id 45

Для клиентов Windows и Linux (более универсальный способ)

Данный способ является более универсальным, т.к. позволяет сгенерировать ключ и сертификат, который будет успешно распознаваться у пользователей Windows и Linux, но он требует наличие машины на Windows для проведения процедуры генерации ключей.

Перед генерацией запросов и импортом сертификатов необходимо добавить корневой сертификат VPN сети в список доверенных. Для этого откроем его и в открывшемся окне выберем опцию «Установить сертификат»:

В открывшемся окне выберем установку сертификата для локального пользователя:

Установим сертификат в хранилище доверенных корневых сертификатов УЦ:

После всех этих действий соглашаемся со всеми дальнейшими пунктами. Теперь система настроена.

Создадим файл cert.tmp со следующим содержимым:

После этого сгенерируем ключевую пару и создадим заявку на сертификат. Для этого откроем powershell и введём следующую команду:

certreq.exe -new -pin $PIN .cert.tmp .client.req

Отправьте созданную заявку client.req в ваш УЦ и дождитесь получения сертификата client.pem. Его можно записать на токен и добавить в хранилище сертификатов Windows с помощью следующей команды:

certreq.exe -accept .client.pem

Стоит заметить, что аналогичные действия можно воспроизвести с помощью графического интерфейса программы mmc, но данный способ является более времязатратным и менее программируемым.

Форматирование Администратором устройства Рутокен

В ходе форматирования устройства все, созданные на нем объекты удалятся. Останутся только те объекты, которые были сохранены в защищенной памяти (для Рутокен ЭЦП Flash). Также при форматировании задаются новые значения PIN-кодов или выбираются значения, используемые по умолчанию.

Если пользователь исчерпал все попытки ввода PIN-кода Администратора, то существует возможность вернуть устройство в заводское состояние. Для такого форматирования ввод PIN-кода Администратора не требуется.

При возврате к заводскому состоянию устройства Рутокен ЭЦП Flash содержимое Flash-памяти тоже очистится, а информация, записанная в ней будет удалена безвозвратно.

При форматировании устройства Рутокен все данные на нем, в том числе ключи и сертификаты, будут удалены безвозвратно.

В процессе форматирования не следует отключать устройство Рутокен от компьютера, так как это может привести к его поломке.

Для запуска процесса форматирования устройства Рутокен:

Указание имени устройства Рутокен при форматировании

Для указания имени устройства Рутокен при форматировании в поле  Имя токена
укажите новое имя устройства.

Изменение политики при форматировании

В зависимости от политики, выбранной при форматировании устройства Рутокен, PIN-код Пользователя может быть изменен:

• только Пользователем (если установлен переключатель «Пользователь»);
• Пользователем и Администратором (если установлен переключатель «Пользователь и Администратор»);
• только Администратором (если установлен переключатель «Администратор»).

Для того чтобы понять какую политику выбрать пройдите по ссылке «Какую политику я должен выбрать?» (расположенную в секции PIN-код пользователя может менять
).

Для изменения политики в секции PIN-код Пользователя может менять
установите переключатель в необходимое положение.

Указание нового PIN-кода Пользователя (Администратора) при форматировании

Для того чтобы задать новый PIN-код Пользователя (Администратора), который будет доступен только после завершения процесса форматирования:

1. в соответствующей секции снимите флажок  Использовать
   PIN-код по умолчанию
   ;
2. в полях Новый
   PIN-код
   и Подтверждение
   введите новый PIN-код.

   
   
   

Указание минимальной длины PIN-кода Пользователя (Администратора) при форматировании

Рекомендуемая длина PIN-кода — 6-10 символов. Использование короткого PIN-кода (1-5 символов) заметно снижает уровень безопасности, а длинного PIN-кода (более 10 символов) может привести к увеличению количества ошибок при его вводе.

Для того чтобы задать минимальную длину PIN-кода Пользователя (Администратора), в соответствующей секции из раскрывающегося списка  Минимальная длина
PIN-кода
выберите необходимое значение.

Указание максимального количества попыток ввода PIN-кода Пользователя (Администратора) при форматировании

Для повышения уровня безопасности следует изменить исходное значение. Рекомендуемое количество попыток ввода PIN-кода — 5 раз. Небольшое количество попыток (1-4 раза) может привести к случайной блокировке PIN-кода, большое количество (более 5 раз) — снизит уровень информационной безопасности.

Для того чтобы задать максимальное количество попыток ввода PIN-кода Пользователя (Администратора), в соответствующей секции из раскрывающегося списка  Попытки ввода
PIN-кода
выберите необходимое значение.

Просмотр количества заданных попыток ввода неправильного PIN-кода Пользователя

Чтобы просмотреть количество заданных попыток ввода неправильного PIN-кода Пользователя:

1. Откройте Панель управления Рутокен
   .
2. На вкладке Администрирование
   нажмите Информация
   .
3. В окне Информация о Рутокен
    в строке Попыток ввода PIN-кода Пользователя
   отображается количество заданных попыток.
   
   
   
   
   

Установка через меню «Установить личный сертификат»

2. В окне Мастер импорта сертификатов» нажмите на кнопку Далее. В следующем окне кликните по кнопке Обзор файл сертификата.

3. Далее укажите путь к сертификату и нажмите на кнопку ОткрытьДалее.

4. В следующем окне кликните по кнопке Далее

5. Нажмите кнопку Обзор.

6. Укажите контейнер закрытого ключа, соответствующий сертификату, и нажмите кнопку Ок

7. После выбора контейнера нажмите на кнопку Далее.

8. В окне Выбор хранилища сертификатов кликните по кнопке Обзор

Если установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, то поставьте галку Установить сертификат в контейнер

9. Выберите хранилище Личные и нажмите ОК.

10. После выбора хранилища нажмите на кнопку Далее, затем Готово. После нажатия на кнопку Готово может появиться вопрос о замене существующего сертификата новым. В окне запроса выберите Да.

Дождитесь сообщения об успешной установке. Сертификат установлен.

Добрый день! Уважаемые читатели и гости крупнейшего IP блога России pyatilistnik.org. В прошлый раз я вам рассказал, о том, как установить сертификат в реестр Windows . Сегодня я вам расскажу, каким образом вы можете выполнить перенос сертификата на другой компьютер, это очень частая и жизненная ситуация с которой сталкиваются многие системные администраторы. Захотелось с вами поделиться опытом, о массовом переносе контейнеров с закрытыми ключами, находящимися в области реестра Windows. Использовать мы будем как КриптоПРО, так и встроенные механизмы. Уверен будет интересно.