- Восстановление закрытых ключей с неисправного компьютера
- Где хранятся ключи(закрытый ключ сертификата) в реестре? [1739]
- Доверенные узлы
- Доступ к считываетлям (calais)
- Извлечение информации из резервной копии реестра
- Как перенести сертификаты в реестре на другой компьютер — записки сумасшедшего дроида
- Копирование сертификата при помощи криптопро
- Лицензия криптопро в реестре [1017]
- Массовый перенос сертификатов эцп
- Ошибка копирования контейнера
- Папка в операционной системе
- Перенос сертификатов из реестра через internet explorer
- Поиск сертификата через certmgr
- Поиск сертификата через internet explorer
- Поиск сертификата через консоль управления
- Поиск сертификата через криптопро csp
- Реестр
Восстановление закрытых ключей с неисправного компьютера
Есть возможность восстановить закрытые ключи сертификата, если они были записаны в реестре компьютера и этот компьютер сломался.
Это можно сделать только в том случае, если жесткий диск в рабочем состоянии и есть возможность его подключить к рабочему системному блоку. Или есть копия папки C:WindowsSystem32config.
Если условия выполняются, необходимо проделать следующее:
- Подключить жесткий диск от неработающего компьютера к рабочему системному блоку;
.. index:: PsExec.exe
Где хранятся ключи(закрытый ключ сертификата) в реестре? [1739]
Реестр может использоваться в качестве ключевого носителя, другими словами, в него можно скопировать Квалифицированную электронную подпись (КЭП). После копирования закрытые ключи будут находиться:
Доверенные узлы
Если узел не добавляется в надежные узлы, можно добавить его вручную через реестр, для этого необходимо:
Доступ к считываетлям (calais)
.. index:: Calais
Иногда возникает проблема с доступом к считывателям смарт-карт. Она может быть связана с тем, что у текущего пользователя недостаточно прав на следующие ветки:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalais HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalaisReaders
Подробнее о настройке прав доступа читайте в разделе :ref:`regedit-rules`.
Извлечение информации из резервной копии реестра
Резервные копии реестра обычно создаются автоматически каждые десять дней. Сохраняются они в папке:
C:WindowsSystem32configRegBack
– для Windows 7 и Server 2008;C:Windowsrepair
– для XP и Server 2003.
Данные папки содержит те же файлы, что и C:WindowsSystem32config.
Если, например, из реестра случайно был удален контейнер закрытого ключа, теоретически, есть возможность импортировать куст из резервной копии.
Порядок действия аналогичен, описанному порядку в инструкции :ref:`kep-recovery`. Отличается только файл загружаемого куста C:WindowsSystem32configRegBackSoftware.
Как перенести сертификаты в реестре на другой компьютер — записки сумасшедшего дроида
Понадобилось перенести сертификаты и ключи от них на другой ПК как можно это сделать!
Ключи и сертификат хранятся в реестре.
Перенос ключей из КриптоПро:
SID пользователя
1. Запустить редактор реестра (Пуск->Выполнить: regedit);
2. Найти ветку реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList;
3. Выбрать SID(имеет вид, например, S-1-5-21-1993962763-492894223-1202660629-6195), и посмотреть ProfileImagePath, в конце строки найдете имя пользователя, которому принадлежит этот SID;
4. Нужно экспортировать ветку HKEY_LOCAL_MACHINESOFTWARECrypto ProSettingsUSERSSID_текущего_пользователяKeys в reg файл, допустим 1.reg. Для 64-битных систем это HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUSERSSID_текущего_пользователяKeys;
5. В 1.reg меняете через автозамену SID_текущего_пользователя, в Вашем случае, старый на нового;
6. Запускаете reg файл, после этого все готово, но необходимо будет заново установить личные сертификаты для того что бы привязать сертификаты к контейнерам. Если не будет видно контейнеров, то неправильно указали SID_пользователя, т.к. контейнеры видны только под тем пользователем, под SID’ом которого они находятся.
Перенос сертификатов
1. Запустить редактор реестра (Пуск->Выполнить: regedit);
2. Найти ветку реестра HKEY_CURRENT_USERSoftwareMicrosoftSystemCertificatesMy;
3. Нужно экспортировать ветку KEY_CURRENT_USERSoftwareMicrosoftSystemCertificatesMy в reg файл, допустим 1.reg
ВНИМАНИЕ! Если версии КриптоПро CSP разные то такой способ не пройдет, т.к. в 3,0 крипто-провайдер называется, например, Crypto-Pro GOST R 34.10-2001 KC2 CSP а в 3,6 — Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider и из-за этого возникнут проблемы при обращении к закрытому ключу.
ИЛИ
1. Откройте диспетчер сертификатов: нажмите кнопку Пуск, в поле Поиск введите certmgr.msc и нажмите клавишу ВВОД. Введите пароль администратора или подтверждение пароля, если появится соответствующий запрос.
2. Щелкните правой кнопкой сертификат, который нужно экспортировать, наведите указатель мыши на Все задачи, а затем нажмите Экспорт.
3. В мастере экспорта сертификатов щелкните Далее.
4. Если сертификат предполагается перенести на другой компьютер, щелкните Да, экспортировать закрытый ключ, в противном случае щелкните Нет, не экспортировать закрытый ключ, а затем нажмите Далее. (Эта возможность появляется, если только закрытый ключ помечен как экспортируемый и имеется доступ к закрытому ключу).
5. Выберите нужный формат и нажмите Далее.
Нет похожих записей.
Копирование сертификата при помощи криптопро
Скопировать сертификат из КриптоПро на флешку — наиболее простой и удобный способ. Его используют, если в реестре хранится небольшое количество контейнеров. Процесс происходит в несколько простых шагов:
- пользователь открывает КриптоПро, переходит во вкладку «Сервис» и далее «Обзор». В новом окне нужно выбрать имя ключевого контейнера, который будет копироваться;
- нажать «Далее» и задать новое имя для контейнера;
- далее откроется новое окно, где будет указан выбор носителя. Тут можно выбрать как флешку, так и другой диск ПК;
- затем вводится новый пароль;
- если все сделано правильно, то в выбранном месте появляется новая папка с заданным названием и набором скопированных ключей.
Лицензия криптопро в реестре [1017]
Лицензия КриптоПро хранится в реестре, её можно оттуда скопировать, либо ввести.
- Перейти в ветку:
Массовый перенос сертификатов эцп
Данный способ переноса сертификатов ЭЦП подходит как для защищенных ключей, так и для большого объема информации (если нужно скопировать сразу несколько ключей для работы в системе СБИС и т.п.).
Как скопировать ЭЦП на флешку:
- значение S-1-5-21-551888299-3078463796-888888888-46162 — это SID личной учетной записи. С его помощью можно выгрузить закрытые ключи. Пользователь открывает новую ветку командой:
Ошибка копирования контейнера
Обычно процесс переноса информации проходит без ошибок, но некоторые закрытые ключи Удостоверяющий центр помечает как «Недоступные для копирования». Делается это для того, чтобы в случае необходимости пользователи обращались в УЦ за копией. Выглядит ошибка так:
Если при повторной попытке копирования с использованием утилиты ошибка повторяется, то нужно использовать другой способ переноса информации.
Папка в операционной системе
При сохранении сертификата на компьютере программа КриптоПро CSP сама определяет конкретную папку, куда запишет ключи и сертификат. Выбрать другой путь сохранения файла пользователю не удастся.
В этом случае файл закрытого ключа проще найти и скопировать — это будет обычная папка с файлами. Путь к папке будет таким:
Перенос сертификатов из реестра через internet explorer
Для создания копии дубликата ЭЦП на флешке нужно:
- в IE открыть «Свойства браузера» / «Содержание» / «Сертификаты» / «Экспорт»;
- через правую клавишу мышки в оснастке нужного сертификата выбрать «Экспорт»;
- в мастере переноса сертификатов ЭЦП сначала нажимают «Далее», а затем напротив пункта«Экспортировать закрытый ключ вместе с сертификатом» ставят галочку;
- если эта область неактивна, значит, ключ защищен от копирования, и данный способ не подходит;
- если все работает, то следующий шаг — выбор формата загрузки;
- далее пользователь задает пароль и указывает место хранения закрытого ключа;
- завершается процесс нажатием «Готово».
Поиск сертификата через certmgr
CertMgr — это программа для работы с сертификатами на ПК. Также через программу можно посмотреть справочную информацию о консоли управления Microsoft Management Console (MMC) и о том, как настроить удаленное подключение к компьютеру.
Поиск сертификатов на ПК с помощью CertMgr аналогичен поиску через КриптоПро CSP:
- Открываем меню «Пуск» и в поисковой строке пишем название диспетчера сертификатов — «CertMgr», запускаем программу CertMgr.
- В программе — выбираем папку «Личное», тип объекта — «Сертификаты». Диспетчер выдаст перечень сертификатов, которые установлены на компьютер.
- Выбираем из списка нужный сертификат и открываем его.
Поиск сертификата через internet explorer
Internet Explorer — один из наиболее популярных браузеров для работы с сертификатами ЭП. Долгое время только его можно было использовать для сертификатов. Другие браузеры начали поддерживать работу сертификатов позже — в 2022-2022 годах. Но до сих пор использовать сертификат на некоторых ресурсах можно только в Internet Explorer.
Как найти сертификат с помощью браузера Internet Explorer:
- Открываем браузер и нажимаем: Настройки → Свойства браузера → Содержание → Сертификаты
- Появится окно с сертификатами, установленными на компьютер. Можно будет просмотреть информацию о них.
В браузере Chrome и основанных на нем браузерах (Яндекс.Браузер, Opera) сертификаты также можно найти:
Настройки браузера → Приватность и защита → Безопасность и защита → Сертификаты → Просмотр сертификатов.
В браузере Firefox найти сертификат не получится. Этот браузер не работает с российскими сертификатами и отечественными криптографическими алгоритмами.
Поиск сертификата через консоль управления
Консоль MMC (Microsoft Management Console) — это место для хранения инструментов и программ, которые предназначены для обслуживания компьютера. Эти средства называются оснастками и служат для управления оборудованием, программным обеспечением и сетевыми компонентами Windows.
Что именно находится в консоли, выбирает пользователь. Перед тем, как пользоваться инструментами консоли, сначала их нужно туда добавить, то есть «Добавить оснастку».
Рассказываем, как запустить консоль и добавить оснастку:
- Открываем меню «Пуск» и в поисковой строке указываем — «MMC».
- В результатах поиска выбираем консоль управления Windows MMC и запускаем ее.
- Нажимаем на вкладку «Файл» и выбираем функцию «Добавить или удалить оснастку». Система выдаст список доступных оснасток.
- Выбираем строку «Сертификаты» в перечне оснасток и нажимаем кнопку «Добавить».
- Указываем, для какой учетной записи выбираем оснастку — «Моей учетной записи пользователя» и нажимаем «Готово». После этого список сертификатов перейдет из перечня доступных оснасток в окне слева в перечень выбранных оснасток в окне справа.
- Подтверждаем выбор: в окне выбранных оснасток выбираем инструмент «Сертификаты» и нажимаем «Ок».
- Прописываем название консоли и выбираем, куда ее сохранить.
После добавления сертификатов в консоль управления Windows, с ними можно будет работать напрямую через эту консоль.
Как запустить консоль, в которую добавлены сертификаты:
- Открываем меню «Пуск» и в поисковой строке указываем название консоли. Например, «Консоль1».
- Выбираем консоль, запускаем ее и нажимаем: Корень консоли → Сертификаты → Личное → Сертификаты.
- Нажимаем на иконку сертификата и открываем его.
Сертификат на компьютере можно найти несколькими путями. Наиболее простые через программу КриптоПро CSP или браузер. Чуть более сложные — через диспетчер сертификатов CertMgr или консоль управления Windows.
Если поиск не дал результатов, значит сертификата на компьютере нет. Это значит, что файл сертификата удален. Восстановить его можно только в случае, если закрытый ключ не тронут. В противном случае нужно использовать копию сертификата, если заранее ее сделали, или обратиться в удостоверяющий центр за новым сертификатом.
Поиск сертификата через криптопро csp
КриптоПро CSP — это программа для работы с электронной подписью. Она есть у большинства пользователей, работающих с квалифицированной ЭП.
Чтобы найти сертификат через КриптоПро CSP на ПК:
- Открываем программу: Пуск → Все программы — КриптоПро CSP.
- В программе переходим по вкладкам: Сертификаты пользователя → Личное → Сертификаты.
- Выбираем нужный сертификат и делаем с ним то, что планировали: смотрим информацию в сертификате, экспортируем его или удаляем.
После открытия сертификата через КриптоПро CSP, вкладка с ним появится в меню «Пуск». В следующий раз сертификат можно будет открыть быстрее — сразу из этого меню.
Реестр
Реестр компьютера — это список настроек и параметров ПК. Увидеть реестр компьютера можно, набрав в строке поиска на панели «Пуск» — «regedit». Поиск позволит открыть служебную программу — редактора реестра.
Найти сертификат на ПК можно несколькими путями:
- с помощью программы КриптоПро CSP;
- программы CertMgr;
- браузера;
- консоли MMC.
Все четыре способа позволят открыть сертификат, выгрузить его в виде файла, просмотреть сведения об ЭП, а при необходимости и удалить сертификат. Когда не нужно удалять сертификат.
В КриптоПро CSP и браузере также можно скопировать сертификат вместе с закрытым ключом, в программе CertMgr и консоли ММС — только файл сертификата. Для такого копирования сертификата и его ключа рекомендуем использовать сервис копирования сертификатов на Установочном диске, где пользователю не требуется детально погружаться в механизмы работы ЭП.