Как экспортировать закрытый и открытый ключ электронной подписи при помощи Windows или криптопровайдера КриптоПро CSP
Контейнер ключей электронной подписи состоит из открытого, закрытого ключа и сертификата. Все его составляющие создаются с помощью криптографических алгоритмов. Для работы с квалифицированной электронной подписью (КЭП) нужно использовать оба ключа — каждый из них выполняет свою функцию.
Важно! Ключи, полученные в аккредитованных удостоверяющих центрах, можно хранить на токене или в компьютере. Удостоверяющий центр ФНС записывает контейнеры ключей только на токены и ставит ограничения на их копирование. Ключи, полученные в налоговой, экспортировать на другие носители запрещено.
- Что такое закрытый ключ ЭП
- Что такое закрытый ключ ЭП
- Что такое открытый ключ ЭЦП
- Экспорт закрытого ключа
- Импорт закрытого ключа
- 1. Установка сертификата автоматически с выбором хранилища
- 2. Установка сертификата вручную с выбором хранилища
- 3. Установка сертификата через «Личный сертификат»
- Как экспортировать закрытый ключ
- Экспорт сертификата через свойства обозревателя
- Экспорт сертификата из КриптоПро CSP
- Как экспортировать закрытый ключ
Что такое закрытый ключ ЭП
Закрытый ключ представлен в виде уникального набора символов, которые используются криптографическим алгоритмом для создания электронной подписи в электронном документе.
Владелец электронной подписи использует именно закрытую часть для подписания электронных документов. Любой, кто получает доступ к закрытому ключу электронной подписи, может им воспользоваться. Поэтому его хранят на защищённых носителях: смарт-карте, токене, USB-носителе или дискете.
Хранить закрытый ключ можно на компьютере, однако это небезопасно — воспользоваться им сможет любой, кто имеет доступ к компьютеру. Самым защищённым носителем считается смарт-карта, так как на ней используется двухфакторная аутентификация.
Закрытый ключ хранится в контейнере. В формате КриптоПро контейнер представлен в виде папки, которая содержит несколько файлов с расширением .key. Випнет имеет другой формат, в нём контейнер представлен в виде единственного файла без расширения.
Что такое закрытый ключ ЭП
Закрытый ключ представлен в виде уникального набора символов, которые используются криптографическим алгоритмом для создания электронной подписи в электронном документе.
Владелец электронной подписи использует именно закрытую часть для подписания электронных документов. Любой, кто получает доступ к закрытому ключу электронной подписи, может им воспользоваться. Поэтому его хранят на защищённых носителях: смарт-карте, токене, USB-носителе или дискете.
Хранить закрытый ключ можно на компьютере, однако это небезопасно — воспользоваться им сможет любой, кто имеет доступ к компьютеру. Самым защищённым носителем считается смарт-карта, так как на ней используется двухфакторная аутентификация.
Закрытый ключ хранится в контейнере. В формате КриптоПро контейнер представлен в виде папки, которая содержит несколько файлов с расширением .key. Випнет имеет другой формат, в нём контейнер представлен в виде единственного файла без расширения.
Что такое открытый ключ ЭЦП
Открытая часть ключевой пары ЭЦП представляется в виде электронного сертификата или бумажного документа
. Сертификат выдаётся только удостоверяющим центром и содержит информацию, которая используется для проверки подписи владельца и шифрования данных.
ЭЦП — это устаревшее понятие. Расшифровывается как электронная цифровая подпись. В настоящее время используется более ёмкое название ЭП, которое расшифровывается как электронная подпись.
Открытый ключ можно использовать для работы с партнёрами, в отличие от закрытого, который хранится в защищённом месте. Контрагенты могут использовать открытый ключ владельца для шифрования данных, которые ему посылают. Это означает, что после отправки этих данных получить доступ к ним сможет только владелец закрытой части ключа.
Сертификат содержит в себе следующие данные:
- открытый ключ;
- срок действия сертификата;
- реквизиты удостоверяющего центра;
- ФИО владельца сертификата;
- название криптографического алгоритма;
- цифровую подпись.
Электронный сертификат виден на обычных носителях в виде файла с расширением .cer, а на защищённых картах Рутокен, eToken и JaCarta его можно посмотреть с помощью криптопровайдера или драйвера носителя.
Открытый ключ позволяет проверить электронную подпись под документом, в отличие от закрытого ключа, который нужен для создания электронной подписи. Доступ к закрытому ключу имеет только владелец, а открытый ключ доступен всем участникам электронного взаимодействия. Сертификат ЭП даёт возможность идентифицировать владельца.
Экспорт закрытого ключа
Для экспорта закрытого ключа выполните следующие действия:
Откройте Крипто-Про CSP. Перейдите во вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере» (Рис. 1).
В открывшемся окне укажите имя ключевого контейнера, нажав «Обзор» (Рис. 2).
Выберите ключевой контейнер пользователя, затем нажмите «Ок» (Рис. 3).
Нажмите «Далее» (Рис. 4).
Далее нажмите кнопку «Свойства» (Рис. 5).
В открывшемся окне перейдите во вкладку «Состав» и нажмите кнопку «Копировать в файл» (Рис. 6).
Откроется мастер экспорта сертификатов. Нажмите «Далее» (Рис. 7).
Далее отметьте «Да, экспортировать закрытый ключ»
и нажмите «Далее»
Отметьте следующие пункты: «Файл обмена личной информацией – PKCS #12», «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства»
, затем нажмите кнопку «Далее»
Укажите пароль и подтверждение пароля
, затем нажмите кнопку «Далее»
Далее укажите имя файла, используя «Обзор»
, затем нажмите кнопку «Далее»
Далее нажмите «Готово» (Рис. 12).
Система сообщит о чтении ключевой информации, нажмите кнопку «Ок» (Рис. 13).
Откроется окно с информацией об успешном экспорте. Нажмите «Ок» (Рис. 14).
Импорт закрытого ключа
Для установки закрытой части ключа откройте файл, сохранённый ранее (Рис. 15).
Откроется «Мастер импорта сертификатов», нажмите кнопку «Далее» (Рис. 16).
Укажите файл, который нужно импортировать, используя кнопку «Обзор», затем нажмите «Далее» (Рис. 17).
Далее введите пароль
, отметьте пункт «Пометить этот ключ как экспортируемый, что позволит сохранять резервную копию ключа и перемещать его.»
Отметьте пункт «Поместить все сертификаты в следующее хранилище»
, нажмите кнопку «Обзор»
и нажмите «Ок» . В окне мастера настроек нажмите «Далее» (Рис. 19).
Нажмите «Готово» (Рис. 20).
В открывшемся окне КриптоПро CSP выберите носитель, на который будет импортирован ключ, затем нажмите «Ок» (Рис. 21).
Далее укажите новый пароль и его подтверждение (Рис. 22).
Система сообщит о чтении ключевой информации, нажмите кнопку «Ок» (Рис. 23).
Далее введите пароль (Рис. 24).
Далее нажмите «Ок» (Рис. 25).
Импорт успешно будет выполнен (Рис. 26).
Далее выполните установку личного сертификата по инструкции: /ru-ru/support/kb/333#1
.
Согласно википедии сертификат открытого ключа
он же файл открытого ключа, электронная цифровая подпись, сертификат ключа подписи, сертификат ключа проверки электронной подписи (согласно ст. 2 Федерального Закона от 06.04.2011 «Об электронной подписи» № 63-ФЗ) — цифровой или бумажный документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Содержит информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название центра сертификации.
Открытый ключ может быть использован для организации защищённого канала связи с владельцем двумя способами:
Для того чтобы обмениваться зашифрованными сообщениями, сначала нужно обменяться сертификатами открытого ключа. Сообщение шифруется с помощью открытого ключа получателя и расшифровывается его закрытым ключом.
Экспорт файла открытого ключа можно осуществить следующими способами:
1.
Экспорт из хранилища Личные:
- Для этого выбрать в настройках браузера (например Internet Explorer)
Настройки / Свойства обозревателя
/ Содержание
и нажать на кнопку Сертификаты.
- Найти нужный сертификат и нажать Экспорт
.
- В окне Мастер экспорта сертификатов
нажать на кнопку Далее
.Затем отметить пункт Нет, не экспортировать закрытый ключ
и выбрать Далее.
- В окне Формат экспортируемого файла
выбрать Файлы X.509 (. CER) в кодировке DER
и нажать на кнопку Далее.
- В следующем окне необходимо кликнуть Обзор
, указать имя и каталог для сохранения файла.Затем нажать на кнопку Сохранить.
- В следующем окне нажать на кнопку Далее
, затем Готово
. Дождаться сообщения об успешном экспорте.
2. Экспорт файла открытого ключа с помощью КриптоПро CSP:
- Выбрать меню Пуск / Панель управления / КриптоПро CSP
.Перейти на вкладку Сервис
и нажать на кнопку Просмотреть сертификаты в контейнере
.
- В открывшемся окне нажать на кнопку Обзор
, чтобы выбрать контейнер для просмотра.После выбора контейнера нажать на кнопку ОK.
- В следующем окне кликнуть по кнопке Далее.
- В окне Сертификат для просмотра
необходимо нажать кнопку Свойства
в открывшемся файле сертификата следует перейти на вкладку Состав
и нажать кнопку Копировать в файл.
- Далее следуем инструкции Мастера экспорта сертификатов
нажимая Далее
— Нет, не экспортировать закрытый ключ
—Далее
выбираем
Файлы X.509 (. CER) в кодировке DER
и снова Далее. - В следующем окне необходимо кликнуть по кнопке Обзор
, указать имя и каталог для сохранения файла.Затем нажать на кнопку Сохранить
.
- В следующем окне нажать на кнопку Далее
, затем Готово
.
- Дождаться сообщения об успешном экспорте. Закрыть все окна программы Крипто Про.
Если экспортировать сертификат не удалось
ни первым, ни вторым способом, то для получения файла открытого ключа следует обратиться в службу технической поддержки удостоверяющего центра, где был получен ваш сертификат. Информацию об удостоверяющем центре можно посмотреть в самом сертификате.
После экспорта файла открытого ключа мы можем переслать его тому человеку, с которым планируем обмениваться зашифрованными сообщениями.
Для того чтобы зашифровать документ вам потребуется КриптоПРО CSP
КриптоAPM
. Дополнительных настроек, кроме размещения файла сертификата открытого ключа в хранилище Сертификаты других пользователей, как правило не требуется.
Если инструкция показалась вам полезной -делитесь ей, кнопки для этого вы найдете прямо под статьей.
Часто к нам обращаются с вопросом, как установить сертификат через КриптоПpo CSP
. Ситуации бывают разные: сменился директор или главбух, получили новый сертификат в удостоверяющем центре и т.п. Раньше все работало, а теперь нет. Рассказываем, что нужно делать, чтобы установить личный цифровой сертификат на компьютер.
Вы можете установить личный сертификат двумя способами:
1. Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»
2. Через меню КриптоПро CSP «Установить личный сертификат»
Если на рабочем месте используется операционная система Windows 7 без SP1, то устанавливать сертификат следует по рекомендациям варианта № 2.
Вариант № 1. Устанавливаем через меню «Просмотреть сертификаты в контейнере»
Чтобы установить сертификат:
1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Просмотреть сертификаты в контейнере”.
2. В открывшемся окне нажмите на кнопку “Обзор”. Выберите контейнер и подтвердите свой выбор кнопкой ОК.
3. В следующем окне нажмите “Далее”.
Если появится сообщение “В контейнере закрытого ключа отсутствует открытый ключ шифрования”, перейдите к установке цифрового сертификата по варианту № 2.
4. Если на вашем компьютере установлена версия “КриптоПро CSP” 3.6 R2 (версия продукта 3.6.6497) или выше, то в открывшемся окне нажмите на кнопку “Установить”. После этого согласитесь с предложением заменить сертификат.
Если кнопка “Установить” отсутствует, в окне “Сертификат для просмотра” нажмите кнопку “Свойства”.
5. В окне “Сертификат” — > вкладка “Общие” нажмите на кнопку “Установить сертификат”.
6. В окне “Мастер импорта сертификатов” выберите “Далее”.
7. Если у вас уставлена версия “КриптоПро CSP” 3.6, то в следующем окне достаточно оставить переключатель на пункте “Автоматически выбрать хранилище на основе типа сертификата” и нажать “Далее”. Сертификат будет автоматически установлен в хранилище “Личные”.
8. В следующем окне нажмите “Далее”, затем “Готово” и дождитесь сообщения об успешной установке сертификата: “Импорт успешно выполнен”.
Вариант 2. Устанавливаем через меню «Установить личный сертификат»
Для установки вам понадобится, собственно, сам файл сертификата (с расширением .cer). Он может находиться, например, на дискете, на токене или на жестком диске компьютера.
Чтобы установить сертификат:
1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Установить личный сертификат”.
2. В окне “Мастер установки личного сертификата” нажмите на кнопку “Далее”. В следующем окне, чтобы выбрать файл сертификата, нажмите “Обзор”.
3. Укажите путь к сертификату и нажмите на кнопку “Открыть”, затем “Далее”.
4. В следующем окне вы можете просмотреть информацию о сертификате. Нажмите “Далее”.
5. На следующем шаге введите или укажите контейнер закрытого ключа, который соответствует выбранному сертификату. Для этого воспользуйтесь кнопкой “Обзор”.
6. Выбрав контейнер, нажмите “Далее”.
7. Дальше вам необходимо выбрать хранилище, куда будет установлен сертификат. Для этого в окне “Выбор хранилища сертификатов” нажмите на кнопку “Обзор”.
Если у вас установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, поставьте флаг “Установить сертификат в контейнер”.
8. Выберите хранилище “Личные” и нажмите ОК.
9. Хранилище вы выбрали. Теперь нажмите “Далее”, затем — “Готово”. После этого может появиться сообщение:
В этом случае нажмите “Да”.
10. Дождитесь сообщения об успешной установке личного сертификата на компьютер.
Все, можно подписывать документы, используя новый сертификат.
Для установки личного сертификата электронной подписи компании используйте один из способов:
1. Установка сертификата автоматически с выбором хранилища
1.
Для того, чтобы установить личный сертификат, откройте «КриптоПро CSP» (Рис. 1).
2.
В открывшейся программе перейдите во вкладку «Сервис», затем нажмите «Просмотреть сертификаты в контейнере» (Рис. 2).
3.
В открывшемся окне нажмите кнопку «Обзор» (Рис. 3).
4.
Выберите ключевой контейнер из списка и нажмите кнопку «Ок» (Рис. 4).
5.
В окне «Сертификаты в контейнере закрытого ключа» нажмите кнопку «Далее» (Рис. 5).
6.
Затем нажмите кнопку «Установить» (Рис. 6).
7.
Сертификат установится в хранилище «Личные» текущего пользователя.
2. Установка сертификата вручную с выбором хранилища
Для установки личного сертификата (сертификата вашей организации) вручную выполните следующие действия.
На рабочем столе нажмите кнопку «Пуск», выберите «Панель управления», затем «КриптоПро CSP». В появившемся окне «КриптоПро CSP» перейдите на вкладку «Сервис» и нажмите кнопку «Посмотреть сертификаты в контейнере» (Рис. 7).
В открывшемся окне нажмите кнопку «Обзор» (Рис. 8).
Выберите нужный контейнер и нажмите кнопку «Ок» (Рис. 9).
В следующем окне кликните по кнопке «Далее» (Рис. 10).
Нажмите кнопку «Свойства» (Рис. 11).
Если информация не подгрузилась, значит выбрали не тот контейнер (Рис. 9). Вернитесь «назад» и выберите другой контейнер, пока не подгрузятся данные в окне согласно рисунку 11.
В открывшемся окне нажмите кнопку «Установить сертификат» (Рис. 12).
Выберите расположение хранилища «Текущий пользователь» и нажмите «Далее» (Рис. 13).
Укажите расположение сертификата вручную, выбрав «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор» для выбора хранилища сертификатов (Рис. 14).
Выберите «Личное» и нажмите «Ок» (Рис. 15).
Нажмите кнопку «Далее» (Рис. 16).
Нажмите кнопку «Готово» (Рис. 17).
Нажмите кнопку «Ок» (Рис. 18).
3. Установка сертификата через «Личный сертификат»
Для установки личного сертификата (сертификата вашей организации) через «Личный сертификат» выполните следующие действия.
На рабочем столе нажмите кнопку «Пуск», выберите «Панель управления», затем «КриптоПро CSP». В появившемся окне «КриптоПро CSP» перейдите на вкладку «Сервис» и нажмите кнопку «Установить личный сертификат» (Рис. 19).
В открывшемся окне нажмите кнопку «Обзор» (Рис. 20).
Выберите нужный сертификат и нажмите кнопку «Открыть» (Рис. 21).
В следующем окне нажмите кнопку «Далее» (Рис. 22).
Нажмите кнопку «Далее» (Рис. 23).
В открывшемся окне отметьте поле «Найти контейнер автоматически»
и нажмите кнопку «Далее»
В окне «Хранилище сертификатов» нажмите кнопку «Далее» (Рис. 25).
Нажмите «Готово» (Рис. 26).
Отобразятся сообщения о чтении ключевой информации и произведении записи информации, нажмите «Ок» (Рис. 27, 28).
Если ранее сертифкат уже был в хранилище, то система предложит заменить его. Нажмите кнопку «Да» (Рис. 29).
Сертификат будет установлен.
Как экспортировать закрытый ключ
Отдельно, закрытый ключ практически никогда не экспортируется. Копируется сразу ключевая пара — открытый ключ вместе с закрытым.
Выполнять экспорт закрытого и открытого ключа электронной подписи можно из криптопровайдера КриптоПро CSP.
Важно! Если закрытый ключ сделан с использованием другого криптопровайдера, то экспортировать его через КриптоПро не получится.
- В системе Windows перейдите в «Пуск» → «Панель управления» → «КриптоПро CSP».
- Перейдите на вкладку «Сервис» и нажмите на кнопку «Скопировать контейнер».
Экспорт сертификата через свойства обозревателя
- В системе Windows перейдите в «Пуск» → «Панель управления» → «Свойства обозревателя (Свойства браузера)».
- Перейдите на вкладку «Содержание» и нажмите на кнопку «Сертификаты».
- В списке выберите нужный сертификат, щёлкнув по его названию, и нажмите кнопку «Экспорт».
- В окне «Мастер экспорта сертификатов» нажмите кнопку «Далее», затем «Нет, не экспортировать закрытый ключ» и снова «Далее».
- В окне «Формат экспортируемого файла» выберите «Файлы X.509 (. CER) в кодировке DER» или «Файлы X.509 (. CER) в кодировке Base-64» и нажмите кнопку «Далее».
- Выберите место сохранения сертификата, нажав кнопку «Обзор», затем нажмите на кнопку «Сохранить» → «Далее» → «Готово».
Экспорт сертификата из КриптоПро CSP
- В системе Windows перейдите в «Пуск» → «Панель управления» → «КриптоПро CSP».
- Перейдите на вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере».
- Нажмите кнопку «Обзор», выберите нужный контейнер и нажмите «Ок» → «Далее».
- В окне «Сертификат для просмотра» нажмите кнопку «Свойства».
- Перейдите на вкладку «Состав» и нажмите кнопку «Копировать в файл».
- В окне «Мастер экспорта сертификатов» нажмите кнопку «Далее», затем «Нет, не экспортировать закрытый ключ» и снова «Далее».
- В окне «Формат экспортируемого файла» выберите «Файлы X.509 (. CER) в кодировке DER» или «Файлы X.509 (. CER) в кодировке Base-64» и нажмите кнопку «Далее».
- Выберите место сохранения сертификата, нажав кнопку «Обзор», затем нажмите на кнопку «Сохранить» → «Далее» → «Готово».
Как экспортировать закрытый ключ
Отдельно, закрытый ключ практически никогда не экспортируется. Копируется сразу ключевая пара — открытый ключ вместе с закрытым.
Выполнять экспорт закрытого и открытого ключа электронной подписи можно из криптопровайдера КриптоПро CSP.
Важно! Если закрытый ключ сделан с использованием другого криптопровайдера, то экспортировать его через КриптоПро не получится.
- В системе Windows перейдите в «Пуск» → «Панель управления» → «КриптоПро CSP».
- Перейдите на вкладку «Сервис» и нажмите на кнопку «Скопировать контейнер».
- В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор», выберите нужный контейнер и нажмите «Ок» → «Далее».
- Если вы копируете закрытый ключ с защищённого носителя, введите pin-код этого носителя. Также может потребоваться ввести пин-код контейнера ключей, если он установлен.
- Введите название копии закрытого ключа и нажмите «Готово».
Как экспортировать открытый ключ и сертификат
Экспортировать открытый ключ электронной подписи можно только вместе с закрытым ключом.