КАК СКОПИРОВАТЬ КОНТЕЙНЕР ЗАКРЫТОГО КЛЮЧА ЗАЧЕМ

Имя контейнера является строкой, заканчивающейся нулем, идентифицирующей носитель ключевой информации.

Имя контейнера является строкой, заканчивающейся нулем, идентифицирующей носитель ключевой информации.

Имя контейнера является строкой, заканчивающейся нулем, идентифицирующей носитель ключевой информации.

Может состоять из следующих частей:

Работа с криптоконтейнерами


Установка личных сертификатов


Установка корневых сертификатов


Установка сертификатов pfx


Просмотр сертификатов


Удаление сертификатов


Перенос контейнера с flash носителя в локальное хранилище ПК


Просмотр цепочки сертификата

Для удобства использования утилит КриптоПро создадим на них символьные ссылки, для этого выполните:

  ln -s /opt/cprocsp/bin/amd64/certmgr /usr/bin/certmgr
ln -s /opt/cprocsp/bin/amd64/csptest /usr/bin/csptest
ln -s /opt/cprocsp/sbin/amd64/cpconfig /usr/bin/cpconfig  

Просмотр версии КриптоПро:

  csptest -enum -info  

  cat /etc/opt/cprocsp/release  

  cpconfig -license -view  

Для установки лицензии выполните (с правами root):

  # cpconfig -license -set <серийный_номер>  

При использовании токенов сервис pcscd должен быть запущен. Проверка статуса pcscd:

  systemctl status pcscd  

если он выключен, то включите его:

  systemctl start pcscd
systemctl enable pcscd  

Вывод сообщений журнала службы pcscd:

  pcscd -dffff  

Узнать модель подключенного токена:

  csptest -card -enum -v -v
pcss_scan  

Работа с криптоконтейнерами


Установка личных сертификатов


Установка корневых сертификатов


Установка сертификатов pfx


Просмотр сертификатов


Удаление сертификатов


Перенос контейнера с flash носителя в локальное хранилище ПК


Просмотр цепочки сертификата

Для удобства использования утилит КриптоПро создадим на них символьные ссылки, для этого выполните:

  ln -s /opt/cprocsp/bin/amd64/certmgr /usr/bin/certmgr
ln -s /opt/cprocsp/bin/amd64/csptest /usr/bin/csptest
ln -s /opt/cprocsp/sbin/amd64/cpconfig /usr/bin/cpconfig  

Просмотр версии КриптоПро:

  csptest -enum -info  

  cat /etc/opt/cprocsp/release  

  cpconfig -license -view  

Для установки лицензии выполните (с правами root):

  # cpconfig -license -set <серийный_номер>  

При использовании токенов сервис pcscd должен быть запущен. Проверка статуса pcscd:

  systemctl status pcscd  

если он выключен, то включите его:

  systemctl start pcscd
systemctl enable pcscd  

Вывод сообщений журнала службы pcscd:

  pcscd -dffff  

Узнать модель подключенного токена:

  csptest -card -enum -v -v
pcss_scan  

Владелец цифрового автографа (далее – ЭЦП, ЭП) может дистанционно запрашивать  у удостоверяющего центра (далее – УЦ) сертификат ключа проверки электронной подписи
(далее – СКПЭП) или его обновление. Внеплановая замена производится только при определенных обстоятельствах: требуется коррекция сведений, использованных для оформления текущего документа (сменился руководитель организации, в связи с переездом был перерегистрирован юридический адрес) или до конца периода актуальности СКПЭП остается меньше двух месяцев.

Чтобы получить маркер временного доступа, пользователю нужно зарегистрировать личный кабинет и, скорее всего, понадобится заполнить электронный бланк заказа услуги. Он обязательно оформляется, если существует необходимость расширения области применения ЭП. Например, для подключения компании заявителя к процессу представления цифровой бухотчетности в ПФР, ФСС или Росстат.

Услугу удаленного создания нового или обновления текущего СКПЭП предлагают Федеральная служба по регулированию алкогольного рынка (ФСРАР), МТС-банк, УЦ  Такском и другие организации. В следующих разделах мы расскажем, как с помощью КриптоПро CSP
создать хранилище личного сертификата и скопировать контейнер закрытого ключа на подходящий носитель при использовании удаленных сервисов для запроса СКПЭП.

Подскажем, какой программный продукт КриптоПро из нашего каталога подходит под ваш бизнес.

Оставьте заявку и получите консультацию в течение 5 минут.

Многие информационные системы, связанные с подписанием каких-либо данных с помощью электронных цифровых подписей, требуют наличие подписи как сотрудника, представляющего эти данные, так и руководителя, заверяющего достоверность этих данных. К таким системам относится, например, СУФД, Госзакупки, банковские системы, системы исполнения регламентов и т.п.

При получении электронной подписи мы имеем флешку с контейнером закрытого ключа и открытый сертификат. Закрытый ключ на вашей флешке выглядит как папка со случайным набором символов.

В инструкциях к таким системам людей как правило учат устанавливать и использовать сертификаты с флешки. Оно и понятно, так безопасней. Однако те же самые правила предполагают так же отдельные носители для руководителя и специалиста, и тут возникает вопрос. Неужели кто то считает что руководитель на самом деле будет бегать со своей флешкой чтобы подписывать и проверять документы в бухгалтерии? Неужели потом он побежит утверждать закупки организации? Чаще всего ответ — нет. Однако на выходе мы получаем ситуацию, в которой в каждом компьютере воткнуто по несколько накопителей, на каждом из которых лежит по одному-двум сертификатам. Более того, я не раз был свидетелем когда флешки таскались от компа к компу т.к. у люди не знали как скопировать закрытый ключ в реестр или перенести его на другой носитель.

А потому разберем вопрос о том как установить сертификат криптопро в сам компьютер, а точнее в его реестр. Разобьем процедуру установки сертификата в реестр на несколько шагов.

Шаг №1. Вычисляем к какому контейнеру подходит наш сертификат.

Предположим что сертификатов на накопителе у нас много, в таком случае прежде чем копировать закрытый ключ в реестр нам нужно знать какой именно. Запустите КриптоПро и проследуйте во вкладку Сервис.

Нас интересует кнопка «Установить сертификат», жмякните. Через кнопку обзор найдите нужный вам открытый сертификат. Через пару шагов «далее» поставьте галку на пункте «Найти контейнер автоматически». Криптопро просканирует доступные носители и покажет имя ключевого контейнера. Если на этом моменте КриптоПро не найдет ключевой контейнер, значит подходящего к открытому ключу контейнера на флешке нет, либо он был переименован.

Шаг №2. Копируем закрытый ключ.

Теперь мы знаем имя ключевого контейнера, пока что жмем отмену и в том же КриптоПро — Сервис кликаем «Скопировать» — Обзор. Программа покажет все ключевые контейнеры на всех присоединенных носителях, наша задача — найти среди них нужный. Какой именно мы узнали ранее. Мой заканчивался на a259, его я и выбираю.

На следующем этапе можно переименовать контейнер как вам будет удобно. Укажите фамилию и, например, год сертификата, чтобы в дальнейшем легко сориентироваться. На последнем этапе копирования вас спросят пароль от контейнера, он обязательно есть если вы его задавали при создании электронной подписи. Затем нас спросят куда скопировать контейнер. Мы хотим в реестр, чтобы при использовании ЭЦП нам не нужна была флешка. При желании скопировать контейнер на другую флешку выбираем её. Так же программа даст вам возможность задать новый пароль для копии этого контейнера, есть возможность оставить контейнер без пароля. Но тут будьте внимательны, некоторые информационные системы, например СИР, требуют наличия такого пароля на контейнере.

Возможная ошибка:

Ошибка копирования контейнера 0x8007065B: Ошибка исполнения функции.

Данная ошибка возникает при попытке скопировать сертификат на не активированной копии КриптоПро. Просто активируйте =)

Данная ошибка иногда звучит немного иначе, например «Не удалось создать подпись из за ошибки. Ошибка исполнения функции»

Шаг №3. Установка сертификата.

Возвращаемся к первому шагу, жмем «Установить личный сертификат». Так же прожимаем галку «Найти ключевой контейнер автоматически. Поскольку ключ теперь у нас в реестре, Криптопро по-умолчанию подхватит именно его. Нам остается лишь завершить установку прожав далее-далее-готово. В случае если ранее на компьютере сертификат был привязан к контейнеру на флешке, программа предложит его заменить. Соглашаемся.

Всё, флешку можно вынимать. Сертификату больше не нужен носитель для хранения закрытого ключа, закрытый ключ хранится в реестре системы.

Поддерживаемые считыватели

На данный момент поддерживаются следующие считыватели (READER):

Перенос контейнера с flash-носителя в локальное хранилище ПК

1. Активируем хранилище HDIMAGE
:

     cpconfig -hardware reader -add HDIMAGE store    
 

Adding new reader:
Nick name: HDIMAGE
Succeeded, code:0x0  

2. Посмотрим, какие контейнеры доступны на флешке:

     csptest -keyset -enum_cont -fqcn -verifyc    
 

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK.  H CRYPTPROV: 32114099
\\.\FLASH\bob
OK.
Total: SYS: 0,020 sec USR: 0,080 sec UTC: 0,190 sec
[ErrorCode: 0x00000000]  

4. Посмотрим доступные контейнеры:

     csptest -keyset -enum_cont -fqcn -verifyc    
 

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK.  H CRYPTPROV: 36951475
\\.\FLASH\bob
\\.\HDIMAGE\bob
OK.
Total: SYS: 0,000 sec USR: 0,070 sec UTC: 0,160 sec
[ErrorCode: 0x00000000]  

Как видим, появился новый контейнер \\.\HDIMAGE\bob


Теперь flash-носитель можно отключить, он нам больше не понадобится.

5. Установим пользовательский сертификат с привязкой к закрытому контейнеру \\.\HDIMAGE\bob

  certmgr -inst -file cert-bob.cer -cont '\\.\HDIMAGE\bob'  

Установка корневых сертификатов

При установке корневых сертификатов достаточно указать хранилище u
R
oot
. При указании m
R
oot
(при наличии прав администратора) корневой сертификат будет доступен всем пользователям системы.

1. Установка в хранилище КриптоПро :

  certmgr -inst -store uRoot -file <название-файла>cer  

2. Установка в хранилище ПК:

  certmgr -inst -store mRoot -file <название-файла>cer  

3. Установка списка отозванных сертификатов crl
:

  certmgr -inst -crl -file <название-файла>crl  

Вид уникального номера

Вид уникального номера (UNIQUE) носителя в зависимости от его типа носителя:

Вид имени папки (FOLDER) носителя в зависимости от типа носителя:

Список поддерживаемых считывателей и типов носителей может быть изменен.

См. также

CPAcquireContext()
, CPGetProvParam()
, CPSetProvParam()
, CPAcquireContext в MS CSP

, CPGetProvParam в MS CSP

, CPSetProvParam в MS CSP

, CryptAcquireContext в MS CryptoAPI 2.0

, CryptGetProvParam в MS CryptoAPI 2.0

, CryptSetProvParam в MS CryptoAPI 2.0

Несколько важных замечаний

Первое.
При переводе строки в состояние «Установить новый пароль» криптопровайдер защитит доступ к контейнеру паролем, который вы будете вводить с клавиатуры. Если вы установите переключатель на поле «Установить мастер-ключ», приложение закодирует для каталога его текущий ЗК.

Для этого выполните следующие действия:

1. Введите название контейнера или выделите его из предложенного программой перечня и нажмите кнопку «Выбрать». На нем будет сохранен новый ЗК в закодированном виде.
2. Жмите «Ok».
3. Если вы отметите галкой строку «Создать новый контейнер», после совершения этой операции в только что сформированном защищенном каталоге будет сохранен его ЗК в закодированном виде.

Второе.
Воспользовавшись опцией «Разделить ключ на несколько носителей», вы сможете защитить каталог, обеспечив доступ к нему только с нескольких устройств одновременно. Каждое из них станет носителем обособленного контейнера с собственным пин-кодом. Заполните формуляр, указав необходимые данные:

• количество загрузочных носителей, необходимых для доступа к формируемому ЗК ключевого контейнера;
• общее число устройств – между ними будут распределены части ключа.

КриптоПро CSP
запустит процесс формирования новых контейнеров, участвующих в разделении исходного ключа:

• для каждого формируемого каталога открывается окошко выбора ключевого носителя – укажите нужные;
• по окончании упомянутой операции появится окно ДСЧ;
• сгенерировав числовую последовательность, дождитесь формы ввода пин-кодов к ЗК для каждого созданного контейнера.

По очереди введите их все или выберите другой метод защиты доступа к личным данным, щелкнув кнопку «Подробнее».

Как создать ключевой контейнер

Ключевой контейнер – это «запароленный» каталог в хранилище (реестре) или системной библиотеке «операционки» (далее – ОС) или на защищенном ключевом USB-носителе: токене, смарт-карте. Он считается одним из инструментов защиты криптографических средств генерации и верификации ЭП, лицензий, сертификатов, паролей и другой личной информации.

Криптометод организации и иерархии персональных данных предусматривает обязательное использование защищенного каталога как части комплекса гарантий сохранности и конфиденциальности сведений, необходимых для активации ЭП. Фактически, создавая новую папку для хранения СКПЭП, доступ к которой обеспечивается путем ввода пароля, пользователь формирует новое хранилище.

Помимо выполнения основных функций – генерации и верификации ЭП – КриптоПро CSP «умеет» функционировать как зависимая компонента: приложение можно вызывать из сторонних программ. Например, через веб-интерфейс сайта УЦ, в который заявитель обратился за услугой обновления СКПЭП. КриптоПро CSP бывает необходим и для того, чтобы создать ключевой контейнер и установить в него сертификат ключа проверки ЭЦП, в том числе с обращением к службе сертификации ОС Microsoft (далее – MS) Windows Server.

Испытать работу генератора ключей и ознакомиться с процедурой запроса СКПЭП можно на странице тестового удостоверяющего центра разработчика программного модуля. Ниже мы пошагово опишем этот процесс.

Внимание!
Если вы запрашиваете СКПЭП, который планируете использовать при работе с электронной почтой, указывайте «Область применения ключа». Также учитывайте: вы не получите доступа к криптофункциям для e-mail, если указанный адрес электронной почты не совпадает с зарегистрированным в MS Outlook Express.

Чтобы получить возможность применять выданный по удаленному запросу СКПЭП при обмене данными по протоколу TLS, перейдите к разделу «Область применения ключа» и укажите его тип: «Сертификат аутентификации клиента».

Как установить сертификат ключа проверки ЭП в контейнер – подготовка

Первый шаг – это заполнение электронного формуляра данными, необходимыми для формирования запроса на создание СКПЭП. Указать потребуется Ф. И. О. заявителя и действительный адрес его электронной почты.

Для примера рассмотрим, как организована процедура в одном из самых популярных центров сертификации – УЦ Такском. Пользователям предоставляется возможность удаленно получить совершенно новый или проапдейтить имеющийся СКПЭП:

• по карточке (маркеру) временного доступа – если заявитель запрашивает документ впервые;
• по текущему сертификату – на основании уже имеющихся сведений с целью их обновления или при условии, что до окончания периода действия СКПЭП остается меньше двух месяцев и/или требуется коррекция юридического адреса и/или краткого наименования организации.

При заполнении формуляра на сайте УЦ Такском потребуется указать паспортные данные руководителя или уполномоченного сотрудника организации:

• Ф. И. О.;
• пол;
• дату и место рождения;
• гражданство;
• наименование основного документа (паспорт гражданина РФ), его серию, номер, дату выдачи;
• полное наименование выдавшего его госоргана;
• код подразделения.

После завершение ввода данных пользователю нужно нажать желтую кнопку «Продолжить». Он перенаправляется на страницу настройки уведомлений и указывает номер контактного телефона. Спустя несколько секунд приходит СМС-сообщение, содержащее код подтверждения – его нужно ввести в строку новой формы.

Решим любые проблемы с вашим оборудованием!

Оставьте заявку и получите консультацию в течение 5 минут.

Второй шаг – выбор ключевого носителя:

1. Криптомодуль откроет новое интерактивное окно в случае, если пользователь подключил к рабочей машине несколько токенов (или смарт-карт). Учтите: при подсоединении всего одного считывателя, последний выбирается программой автоматически – никаких оповещений программа не отсылает.
2. Укажите нужное устройство или выделите параметр «Реестр», если хотите с помощью КриптоПро CSP установить сертификат сразу в контейнер хранилища ОС.
3. Нажмите «Ok».
4. Приложение запустит «Биологический датчик случайных чисел» (далее – БДСЧ) – работа с опцией будет доступна в новом окошке. Следуйте интерактивным подсказкам. Б ДСЧ генерирует первоначальную последовательность датчика случайных чисел (далее – ДСЧ).

Для успешного завершения процесса нужно нажимать кнопки клавиатуры или перемещать мышку в произвольном порядке.

Мы готовы помочь!

Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариям

Просмотр сертификатов

1. Просмотр установленных сертификатов:

  certmgr -list  

2. Просмотр установленных сертификатов в локальном хранилище uMy
:

  certmgr -list -store uMy  

3. Просмотр сертификатов в хранилище ПК (обычно сюда устанавливаются корневых сертификаты):

  $ certmgr -list -store uRoot  

4. Просмотр сертификатов в контейнере:

  certmgr -list -container '\\.\Aladdin R. D.  JaCarta 00 00\8df47e71-18ae-49c1-8738-9b4b0944dcd4'  

5. Просмотр промежуточных сертификатов:

  certmgr -list -store uca  

Просмотр цепочки сертификата

Просмотр необходимых корневых сертификатов и сертификатов отзыва вы можете посмотреть следующей командой:

1) Для сертификатов, хранящихся в личном хранилище:

  certmgr -list -store uMy  

Интересующие строки, информирующие о необходимом сертификате начинаются со слов

  URL сертификата УЦ
URL списка отзыва  

Или в английском варианте:

  CA cert URL
CDP  

2) Для просмотра цепочки на токене выполните следующую команду:

  certmgr -list -cont '<CONTAINER>'  
  
  

Где вместо ‘<CONTAINER>’ укажите ваш контейнер, к примеру ‘\\.\Aladdin R. D. JaCarta 00 00\8df47e71-18ae-49c1-8738-9b4b0944dcd4’

3. Просмотр цепочки из файла сертификата:

  certmgr -list -file 'путь_к_файлу'  

Дата последнего изменения:
09.12.2022

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter
.

Поддерживаемые носители

Поддерживаются следующие типы носителей (MEDIA):

Работа с криптоконтейнерами

1. Проверить наличие доступных контейнеров:

     csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251    
 

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK.  H CRYPTPROV: 16778675
\\.\Aladdin R. D.  JaCarta 00 00\8df47e71-18ae-49c1-8738-9b4b0944dcd4
\\.\FLASH\bob
\\.\HDIMAGE\bob
OK.
Total: SYS: 0,010 sec USR: 0,110 sec UTC: 6,240 sec
[ErrorCode: 0x00000000]  

Имена контейнеров используются для установки личных сертификатов.

• Считыватель HDIMAGE
  размещается в /var/opt/cprocsp/keys/<имя пользователя>/
  т.е в данном случае используется жесткий диск для хранения ключей.
• Считыватель FLASH
  означает, что используется флешка для хранения приватных ключей.
• Также считывателем может выступать токен.

2. Имена контейнеров могут содержать символы на кириллице, поэтому чтобы корректно отобразить контейнеры используйте следующую команду:

  csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251  

Для дальнейшего использования имен контейнеров содержащих кодировку cp1251
, выведем список контейнеров с уникальными именами:

     csptest -keyset -enum_cont -fqcn -verifyc -uniq    
 

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK.  H CRYPTPROV: 23397811
\\.\Aladdin R. D.  JaCarta 00 00\8df47e71-18ae-49c1-8738-9b4b0944dcd4 | \\.\Aladdin R. D.  JaCarta 00 00\SCARD\JACARTA_6082028344937676\CC00\E412
OK.
Total: SYS: 0,000 sec USR: 0,110 sec UTC: 6,230 sec
[ErrorCode: 0x00000000]  

3. Просмотр подробной информации о контейнере:

  csptest -keyset -container '\\.\HDIMAGE\bob' -info  

4. Перечисление контейнеров пользователя:

  csptest -keyset -enum_cont -verifycontext -fqcn  

5. Перечисление контейнеров компьютера:

  csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys  

6. Открыть(проверить) контейнер пользователя:

  csptest -keyset -check -cont '\\.\имя считывателя\имя контейнера'  

7. Открыть(проверить) контейнер компьютера:

  csptest -keyset -check -cont '\\.\имя считывателя\имя контейнера' -machinekeyset  

Возможные значения имени контейнера

Во всех перечисленных выше формах (кроме NULL), оконечный символ \ не влияет на смысл контейнера.

Пользователь задаёт имя контейнера, возможно с заданием имени считывателя, в аргументах функции CPAcquireContext
.

Функция CPGetProvParam
возвращает:

• имя контейнера (CONTAINER) как параметр PP_CONTAINER
• и возвращает уникальное имя (MEDIA\UNIQUE\FOLDER\CRC) контейнера как параметр PP_UNIQUE_CONTAINER (Значение UNIQUE отсутствует для считывателей, не поддерживающих уникальность имен. Значение CRC отсутствует для носителей, поддерживающих длинные имена, т.е. для которых имя FOLDER ВСЕГДА совпадает с именем NAME).

Установка личных сертификатов

1. Установка сертификата без привязки к ключам:

  certmgr -inst -file cert_bob.cer  

2. Установка личного сертификата cert_bob.cer, сертификат при этом попадает в пользовательское хранилище uMy
. Приватный ключ находится на флешке.

  certmgr -inst -file cert_bob.cer -store uMy -cont '\\.\FLASH\bob'  

в команде указывается сертификат cert_bob.cer, который ассоциируется с приватным контейнером \\.\FLASH\bob’

3. Установка сертификата с токена (в конце команды указывается контейнер)

  /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\\.\Aladdin R. D.  JaCarta 00 00\8df47e71-18ae-49c1-8738-9b4b0944dcd4'  

Установка сертификатов pfx

1. Необходимо установить пакет cprocsp-rsa
, который находится в составе дистрибутива КриптоПро ( linux-amd64
).

2. Выполним команду от локального
(доменного) пользователя:

  /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -pfx -pin <пинкод> -file 'путь до pfx'  

Цепочка сертификатов будет отображаться в утилите « Ключевые носители и сертификаты
» в « Личное хранилище сертификатов
».

Возможные значения имени контейнера

Во всех перечисленных выше формах (кроме NULL), оконечный символ \ не влияет на смысл контейнера.

Пользователь задаёт имя контейнера, возможно с заданием имени считывателя, в аргументах функции CPAcquireContext
.

Функция CPGetProvParam
возвращает:

• имя контейнера (CONTAINER) как параметр PP_CONTAINER
• и возвращает уникальное имя (MEDIA\UNIQUE\FOLDER\CRC) контейнера как параметр PP_UNIQUE_CONTAINER (Значение UNIQUE отсутствует для считывателей, не поддерживающих уникальность имен. Значение CRC отсутствует для носителей, поддерживающих длинные имена, т.е. для которых имя FOLDER ВСЕГДА совпадает с именем NAME).

Полный список поддерживаемых считывателей и типов носителей можно найти в Формуляре к конкретной версии «КриптоПро CSP»

См. также

CPAcquireContext()
, CPGetProvParam()
, CPSetProvParam()
, CPAcquireContext в MS CSP

, CPGetProvParam в MS CSP

, CPSetProvParam в MS CSP

, CryptAcquireContext в MS CryptoAPI 2.0

, CryptGetProvParam в MS CryptoAPI 2.0

, CryptSetProvParam в MS CryptoAPI 2.0

Создаем пароль для контейнера

Третий шаг – ввод пин-кода для контейнера, создаваемого средствами КриптоПро CSP
. Сохраните его в надежном месте: если вы его потеряете или забудете, пользоваться СКПЭП станет невозможно. Придется оформлять новый документ.

Примечание.
При желании повысить уровень защиты личной информации вызовите опцию «Подробнее». В КриптоПро CSP откроется форма с перечнем способов охраны доступа к закрытому ключу (далее – ЗК) создаваемого контейнера – вы сможете выбрать одно из следующих действий:

• установить новый pin-код;
• задать мастер-ключ (закодировать текущий ЗК и преобразовать его в новый);
• сегментировать пароль и разместить его по частям на нескольких носителях.

В токенах и смарт-картах реализована функция поддержки аппаратного pin-кода – если вы используете одного из подобных устройств для создания нового контейнера, скорее всего, КриптоПро CSP «попросит» ввести пароль, который задается по умолчанию:

• 1234567890 – для eToken/JaCarta;
• 12345678 – для Рутокен/ESMART.

Чтобы защитить создаваемый каталог, укажите в поле «Новый пароль» определенную комбинацию символов, которая известна только вам. Повторите ее в строке «Подтверждение» и кликните «Ok».

Вы можете пропустить этот шаг и не задавать пин-код.

Просмотр цепочки сертификата

Просмотр необходимых корневых сертификатов и сертификатов отзыва вы можете посмотреть следующей командой:

1) Для сертификатов, хранящихся в личном хранилище:

  certmgr -list -store uMy  

Интересующие строки, информирующие о необходимом сертификате начинаются со слов

  URL сертификата УЦ
URL списка отзыва  

Или в английском варианте:

  CA cert URL
CDP  

2) Для просмотра цепочки на токене выполните следующую команду:

  certmgr -list -cont '<CONTAINER>'  
  
  

Где вместо ‘<CONTAINER>’ укажите ваш контейнер, к примеру ‘\\.\Aladdin R. D. JaCarta 00 00\8df47e71-18ae-49c1-8738-9b4b0944dcd4’

3. Просмотр цепочки из файла сертификата:

  certmgr -list -file 'путь_к_файлу'  

Дата последнего изменения:
09.12.2022

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter
.

Удаление сертификатов

1. Удалить сертификат из личного хранилища сертификатов

Просмотрите установленные сертификаты:

  certmgr -list  

Изучите список всех установленных сертификатов (в общем списке отображаются абсолютно все сертификаты).

Для удаления следует выполнить команду в Терминале:

  certmgr -delete -store uMy  

Если установлено более одного сертификата, то будет предложено указать номер удаляемого сертификата.

2. Удалить сертификаты, установленные в хранилище КриптоПро:

  certmgr -delete -store uRoot  

Если установлено более одного сертификата, то будет предложено указать номер удаляемого сертификата.

3. Удалить все сертификаты, установленные в хранилище КриптоПро:

  certmgr -delete -all -store uRoot  

4. Удалить все сертификаты, установленные в хранилище ПК:

  certmgr -delete -store mRoot  

Поддерживаемые носители

Поддерживаются следующие типы носителей (MEDIA):

Перенос контейнера с flash-носителя в локальное хранилище ПК

1. Активируем хранилище HDIMAGE
:

     cpconfig -hardware reader -add HDIMAGE store    
 

Adding new reader:
Nick name: HDIMAGE
Succeeded, code:0x0  

2. Посмотрим, какие контейнеры доступны на флешке:

     csptest -keyset -enum_cont -fqcn -verifyc    
 

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK.  H CRYPTPROV: 32114099
\\.\FLASH\bob
OK.
Total: SYS: 0,020 sec USR: 0,080 sec UTC: 0,190 sec
[ErrorCode: 0x00000000]  

4. Посмотрим доступные контейнеры:

     csptest -keyset -enum_cont -fqcn -verifyc    
 

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK.  H CRYPTPROV: 36951475
\\.\FLASH\bob
\\.\HDIMAGE\bob
OK.
Total: SYS: 0,000 sec USR: 0,070 sec UTC: 0,160 sec
[ErrorCode: 0x00000000]  

Как видим, появился новый контейнер \\.\HDIMAGE\bob


Теперь flash-носитель можно отключить, он нам больше не понадобится.

5. Установим пользовательский сертификат с привязкой к закрытому контейнеру \\.\HDIMAGE\bob

  certmgr -inst -file cert-bob.cer -cont '\\.\HDIMAGE\bob'  

Установка личных сертификатов

1. Установка сертификата без привязки к ключам:

  certmgr -inst -file cert_bob.cer  

2. Установка личного сертификата cert_bob.cer, сертификат при этом попадает в пользовательское хранилище uMy
. Приватный ключ находится на флешке.

  certmgr -inst -file cert_bob.cer -store uMy -cont '\\.\FLASH\bob'  

в команде указывается сертификат cert_bob.cer, который ассоциируется с приватным контейнером \\.\FLASH\bob’

3. Установка сертификата с токена (в конце команды указывается контейнер)

  /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\\.\Aladdin R. D.  JaCarta 00 00\8df47e71-18ae-49c1-8738-9b4b0944dcd4'  

Установка корневых сертификатов

При установке корневых сертификатов достаточно указать хранилище u
R
oot
. При указании m
R
oot
(при наличии прав администратора) корневой сертификат будет доступен всем пользователям системы.

1. Установка в хранилище КриптоПро :

  certmgr -inst -store uRoot -file <название-файла>cer  

2. Установка в хранилище ПК:

  certmgr -inst -store mRoot -file <название-файла>cer  

3. Установка списка отозванных сертификатов crl
:

  certmgr -inst -crl -file <название-файла>crl  

Поддерживаемые считыватели

На данный момент поддерживаются следующие считыватели (READER):

Возможные значения имени контейнера

Во всех перечисленных выше формах (кроме NULL), оконечный символ \ не влияет на смысл контейнера.

Пользователь задаёт имя контейнера, возможно с заданием имени считывателя, в аргументах функции CPAcquireContext
.

Функция CPGetProvParam
возвращает:

• имя контейнера (CONTAINER) как параметр PP_CONTAINER
• и возвращает уникальное имя (MEDIA\UNIQUE\FOLDER\CRC) контейнера как параметр PP_UNIQUE_CONTAINER (Значение UNIQUE отсутствует для считывателей, не поддерживающих уникальность имен. Значение CRC отсутствует для носителей, поддерживающих длинные имена, т.е. для которых имя FOLDER ВСЕГДА совпадает с именем NAME).

Просмотр сертификатов

1. Просмотр установленных сертификатов:

  certmgr -list  

2. Просмотр установленных сертификатов в локальном хранилище uMy
:

  certmgr -list -store uMy  

3. Просмотр сертификатов в хранилище ПК (обычно сюда устанавливаются корневых сертификаты):

  $ certmgr -list -store uRoot  

4. Просмотр сертификатов в контейнере:

  certmgr -list -container '\\.\Aladdin R. D.  JaCarta 00 00\8df47e71-18ae-49c1-8738-9b4b0944dcd4'  

5. Просмотр промежуточных сертификатов:

  certmgr -list -store uca  

Вид уникального номера

Вид уникального номера (UNIQUE) носителя в зависимости от его типа носителя:

Вид имени папки (FOLDER) носителя в зависимости от типа носителя:

Список поддерживаемых считывателей и типов носителей может быть изменен.

См. также

CPAcquireContext()
, CPGetProvParam()
, CPSetProvParam()
, CPAcquireContext в MS CSP

, CPGetProvParam в MS CSP

, CPSetProvParam в MS CSP

, CryptAcquireContext в MS CryptoAPI 2.0

, CryptGetProvParam в MS CryptoAPI 2.0

, CryptSetProvParam в MS CryptoAPI 2.0

Работа с криптоконтейнерами

1. Проверить наличие доступных контейнеров:

     csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251    
 

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK.  H CRYPTPROV: 16778675
\\.\Aladdin R. D.  JaCarta 00 00\8df47e71-18ae-49c1-8738-9b4b0944dcd4
\\.\FLASH\bob
\\.\HDIMAGE\bob
OK.
Total: SYS: 0,010 sec USR: 0,110 sec UTC: 6,240 sec
[ErrorCode: 0x00000000]  

Имена контейнеров используются для установки личных сертификатов.

• Считыватель HDIMAGE
  размещается в /var/opt/cprocsp/keys/<имя пользователя>/
  т.е в данном случае используется жесткий диск для хранения ключей.
• Считыватель FLASH
  означает, что используется флешка для хранения приватных ключей.
• Также считывателем может выступать токен.

2. Имена контейнеров могут содержать символы на кириллице, поэтому чтобы корректно отобразить контейнеры используйте следующую команду:

  csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251  

Для дальнейшего использования имен контейнеров содержащих кодировку cp1251
, выведем список контейнеров с уникальными именами:

     csptest -keyset -enum_cont -fqcn -verifyc -uniq    
 

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK.  H CRYPTPROV: 23397811
\\.\Aladdin R. D.  JaCarta 00 00\8df47e71-18ae-49c1-8738-9b4b0944dcd4 | \\.\Aladdin R. D.  JaCarta 00 00\SCARD\JACARTA_6082028344937676\CC00\E412
OK.
Total: SYS: 0,000 sec USR: 0,110 sec UTC: 6,230 sec
[ErrorCode: 0x00000000]  

3. Просмотр подробной информации о контейнере:

  csptest -keyset -container '\\.\HDIMAGE\bob' -info  

4. Перечисление контейнеров пользователя:

  csptest -keyset -enum_cont -verifycontext -fqcn  

5. Перечисление контейнеров компьютера:

  csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys  

6. Открыть(проверить) контейнер пользователя:

  csptest -keyset -check -cont '\\.\имя считывателя\имя контейнера'  

7. Открыть(проверить) контейнер компьютера:

  csptest -keyset -check -cont '\\.\имя считывателя\имя контейнера' -machinekeyset  

Установка сертификатов pfx

1. Необходимо установить пакет cprocsp-rsa
, который находится в составе дистрибутива КриптоПро ( linux-amd64
).

2. Выполним команду от локального
(доменного) пользователя:

  /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -pfx -pin <пинкод> -file 'путь до pfx'  

Цепочка сертификатов будет отображаться в утилите « Ключевые носители и сертификаты
» в « Личное хранилище сертификатов
».

Как скопировать контейнер закрытого ключа

Используя функции криптомодуля, можно репродуцировать каталог, содержащий личный ЗК, предназначенный для генерации цифровой подписи. Как скопировать контейнер закрытого ключа с помощью КриптоПро CSP
? Пошаговый алгоритм действий будет следующим:

1. Запустите криптопровайдер.
2. Перейдите ко вкладке «Сервис».
3. Жмите «Скопировать».
4. В новом окне щелкните кнопку «Обзор».
5. Из ниспадающего перечня контейнеров выберите нужный.
6. Щелкайте «Ok» –> «Далее».
7. Введите название контейнера – в него будет перенесен ваш закрытый ключ. Допускается использование кириллицы и пробелов.
8. Щелкайте «Готово».
9. Появится новое окошко выбора ключевого носителя. Укажите подключенный к рабочей машине считыватель или выделите параметр «Реестр», если хотите репродуцировать данные в хранилище ОС.
10. Криптомодуль предложит установить пароль (для каталога, скопированного в реестр ОС) или пин-код (для защищенной папки, продублированной на считыватель). Вы можете этого не делать: оставьте строку пустой и кликайте «Ok».

После завершения операции криптопровайдер перенаправит вас на вкладку «Сервис».

За 30 минут настроим вашу версию КриптоПро CSP для работы «под ключ»!

Оставьте заявку и получите консультацию.

Стратегический консультант в области оптимизации бизнес-процессов с 2005 года, специализируется на складской логистике и розничной торговле.

Оцените, насколько полезна была информация в статье?

Наш каталог продукции

У нас Вы найдете широкий ассортимент товаров в сегментах

кассового, торгового, весового, банковского и офисного оборудования.

Посмотреть весь каталог

Удаление сертификатов

1. Удалить сертификат из личного хранилища сертификатов

Просмотрите установленные сертификаты:

  certmgr -list  

Изучите список всех установленных сертификатов (в общем списке отображаются абсолютно все сертификаты).

Для удаления следует выполнить команду в Терминале:

                                                                                                                certmgr -delete -store uMy                                                                                                                

Если установлено более одного сертификата, то будет предложено указать номер удаляемого сертификата.

                                                                                                                2.  Удалить сертификаты, установленные в хранилище КриптоПро:  
  


  
  certmgr -delete -store uRoot  
 Если установлено более одного сертификата, то будет предложено указать номер удаляемого сертификата.
 3.  Удалить все сертификаты, установленные в хранилище КриптоПро:
  certmgr -delete -all -store uRoot  
 4.  Удалить все сертификаты, установленные в хранилище ПК:
  certmgr -delete -store mRoot  
ЭЦП:  Облачный криптопровайдер -