- Что нужно знать о лицензиях криптопро csp
- Зачем копировать сертификаты эцп
- Как скопировать сертификат с рутокена на компьютер, из криптопро на флешку
- Копирование
- Копирование с помощью средств криптопро
- Массовое копирование
- Массовый перенос сертификатов и ключей на новый компьютер
- Перенос (экспорт) закрытого ключа эцп
- Перенос и установка
- Способы копирования эцп
- Способы переноса
- Установка ключа (импорт) эцп
- Экспорт открытого ключа эцп из свойства браузера
Что нужно знать о лицензиях криптопро csp
Лицензия распространяется на одно рабочее место, бывает бессрочной и на 1 год.
Существуют ключи со встроенной лицензией КриптоПро. Приобретать лицензию КриптоПро CSP для таких ключей не нужно — они продолжают работать даже после окончания пробного периода, так как их работа ограничена сроком действия ключа (один год). Такие ЭЦП дороже, но выгоднее, когда работа ведется с разных рабочих мест. Наличие встроенной лицензии необходимо уточнять в удостоверяющем центре, в котором приобретается ключ.
Зачем копировать сертификаты эцп
Перенос ключей и сертификатов электронной подписи необходим в нескольких случаях. Первый из них — работа с ЭЦП сразу на нескольких ПК. Переставлять флешку с ключом не всегда удобно, поэтому пользователи предпочитают иметь копию на рабочем столе. Вторая причина для создания резервной копии — возможность потери или порчи USB-носителя.
Как скопировать сертификат с рутокена на компьютер, из криптопро на флешку
Если для работы используется дискета или flash-накопитель, скопировать контейнер с сертификатом можно средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и, если есть, файл сертификата — открытый ключ) поместите в корень дискеты / flash-накопителя (если поместить не в корень, то работа с сертификатом будет невозможна). Название папки при копировании рекомендуется не изменять.
В папке с закрытым ключом должно быть 6 файлов с расширением.key. Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копировать открытый ключ необязательно. Пример закрытого ключа — папки с шестью файлами и открытого ключа — файла с расширением.cer.
Если у вас MacOS, смотрите инструкцию «Как скопировать контейнер с сертификатом на MacOS».
1. Зайдите на профиль Диагностики «Копирования» по ссылке.
2. Вставьте носитель, на который необходимо скопировать сертификат.
3. На нужном сертификате нажмите на кнопку «Скопировать».
Если на контейнер был задан пароль — появится сообщение «Введите пароль для устройства с которого будет скопирован сертификат».
Введите пароль и нажмите на кнопку «Далее».
4. Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».
5. Задайте имя новому контейнеру и нажмите на кнопку «Далее».
6. Должно появиться сообщение об успешном копировании сертификата.
- Скачайте и запустите утилиту. Дождитесь загрузки всего списка контейнеров/сертификатов и отметьте нужные галочками.
- Выберите меню «Массовые действия» и нажмите на кнопку «Копирование контейнеров».
3. Выберите носитель для хранения копии контейнера и нажмите «ОК». При копировании в реестр можно поставить галочку на пункте «Копировать к ключевой контейнер компьютера», тогда после копирования контейнер будет доступен всем пользователям данного компьютера.
4. После копирования нажмите внизу слева кнопку «Обновить».
Если хотите работать со скопированными контейнерами — необходимо установить сертификаты.
Выберите «Пуск» > «Панель управления» > «КриптоПро CSP». Перейдите на вкладку «Сервис» и кликните по кнопке «Скопировать».
В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».
Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее». Если вы копируете с рутокена, то появится окно ввода, в котором следует указать pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.
Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните «Готово».
В окне «Вставьте чистый ключевой носитель» выберите носитель, на который будет помещен новый контейнер.
На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать или подобрать. Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».
Не храните пароль/pin-код в местах, к которым имеют доступ посторонние. В случае утери пароля/pin-кода использование контейнера станет невозможным.
Если вы копируете контейнер на смарт-карту ruToken, сообщение будет звучать иначе. В окне ввода укажите pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.
После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать для работы в Экстерне новый ключевой контейнер, установите его через Крипто Про.
При копировании может возникнуть «Ошибка копирования сертификата», если у вас нет лицензии на КриптоПроCSP или контейнер получил признак «неэкспортируемый». Справиться с этим поможет инструкция.
Экспорт сертификата с закрытым ключом
1. Откройте оснастку работы с сертификатами:
— Пуск → Все программы → КриптоПро → Сертификаты
либо
— Internet Explorer → Сервис → Свойства обозревателя → вкладка Содержание → Сертификаты.
2. Откройте сертификат, который нужно скопировать. На вкладке «Состав» нажмите «Копировать в файл».
3. В «Мастере экспорта сертификтов» нажмите «Далее» и выберите пункт «Да, экспортировать закрытый ключ». Нажмите «Далее».
4. На следующем этапе поставьте галочки у пунктов «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства», остальные галочки необходимо убрать. Нажмите «Далее».
5. Обязательно задайте пароль для экспортируемого файла. Данный пароль не рекомендуется сообщать по электронной почте. Нажмите «Далее».
6. Укажите имя файла, выберите путь сохранения и нажмите «Далее», затем нажмите «Готово».
7. Экспортируйте открытый ключ сертификата (см. Экспорт открытого ключа).
8. Заархивируйте полученные файлы форматов .pfx и .cer.
Установка сертификата с закрытым ключом
1. Откройте .pfx файл. Сразу запустится «Мастер импорта сертификатов».
2. Укажите хранилище «Текущий пользователь» и нажмите «Далее», затем снова «Далее».
3. Введите пароль, который указывали при экспорте и поставьте галочку на пункте «Пометить этот ключ как экспортируемый…», иначе наче контейнер нельзя будет скопировать в дальнейшем. Нажмите «Далее».
4. Выберите пункт «Поместить все сертификаты в следующее хранилище», нажмите на кнопку «Обзор», выберите «Личное» и нажмите на кнопку «ОК». Нажмите «Далее», а затем «Готово».
5. В окне КриптоПро выберите носитель, на который хотите сохранить контейнер. При необходимости задайте пароль.
6. Для корректной работы сертификата со встроенной лицензией переустановите сертификат в контейнер (см. Как установить личный сертификат в КриптоПро).
1. Необходимо найти ветку реестра с нужным контейнером. Ветки реестра, в которых может быть контейнер закрытого ключа:
2. После того, как нашли нужную ветку, нажмите правой кнопкой мыши на ветку с контейнером и выберите «Экспортировать».
3. Введите имя файла и нажмите на кнопку «Сохранить».
4. Скопируйте файл на тот компьютер, где будете работать с электронной подписью обычными средствами Windows.
5. Пройдите диагностику на сайте https://help.kontur.ru .
6. Как диагностика закончится, нажмите на ссылку «Показать результаты».
7. В списке результатов выберите «Информация о Windows». Скопируйте оттуда SID текущего пользователя.
8. Откройте экспортированный файл реестра с помощью «Блокнота».
9. Замените SID пользователя на скопированный ранее.
Если ветка реестра экспортируется из 32-битной ОС в 64-битную ОС, добавьте в путь ветки реестра параметр Wow6432Node как на скриншоте:
10. Сохраните изменения и закройте файл.
11. Снова нажмите на файл правой кнопкой мыши и выберите «Слияние». В появившемся окне нажмите «Да».
Должно появиться сообщение о том, что данные успешно внесены в реестр. Нажмите «ОК».
Если появляется сообщение «Ошибка при доступе к реестру», необходимо еще раз проверить все пути в файле на корректность. Также проверьте, чтобы в пути не было лишних пробелов, знаков.
12. После того, как данные будут внесены в реестр, необходимо вручную установить сертификат (см. Как установить личный сертификат).
Копирование
Вначале необходимо скопировать сами данные. Делается это в несколько этапов:
1) Для того, чтобы это сделать, нужно прежде всего узнать SID — идентификатор безопасности текущего пользователя (напоминаем, что на каждом компьютере может быть не один пользователь, и что опытные люди из-под учетной записи админа без острой необходимости не работают). Для этого нужно открыть командную строку и ввести в ней следующую комбинацию:
Копирование с помощью средств криптопро
Штатный способ копирования контейнеров и сертификатов в КриптоПро таков:
- Открыть «Панель управления».
- Открыть «CryptoPro»
- Войти во вкладку «Сервис».
- Нажать пункт «Скопировать».
- Выбрать контейнер, с которого надо снять копию — как токен, так и компьютерный реестр.
- Задать новое имя и новый адрес для контейнера (в реестре или токене).
Алгоритм прост, но есть один момент, который портит всю картину: работает метод лишь в том случае, если еще на этапе создания ключа он получил отметку «Экспортируемый». Если такого флага не было проставлено, система выдаст сообщение: «Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии».
При получении такого сообщения можно смело переходить ко второму способу копирования ключей.
Массовое копирование
Чтобы перенести сразу несколько ключей ЭЦП на другой компьютер или на любой другой носитель, проще использовать консольный метод.
Массовый перенос сертификатов и ключей на новый компьютер
Второй способ копирования состоит в том, что на новом компьютере в реестре создается новая ветка — точная копия аналогичной на исходной машине. Тогда после переноса ключей и сертификатов к ним они оказываются рабочими и изначально активированными. Однако при использовании этого способа нужно вначале убедиться, что на обоих компьютерах стоит одна и та же версия Windows: попытка перенести данные с «семерки» на «десятку» может кончиться тем, что система придет в нерабочее состояние.
Перенос (экспорт) закрытого ключа эцп
- Запускаем КриптоПро CSP
- Открываем вкладку «Сервис» и нажимаем «Просмотреть сертификаты в контейнере»
- Нажав кнопку «По сертификату» увидим список всех установленных сертификатов. Выберете нужный для экспорта сертификат и нажмите «ОК».
- Для продолжения КриптоПро запросит вести пароль от ключа.
Если в контейнере отсутствуют сертификаты — вы увидите подобное сообщение. Выполнить экспорт такого сертификата не получится.
- В открывшемся окне отобразятся параметры сертификата. Нажмите «Свойства»
- Откройте вкладку «Состав» и нажмите «Копировать в файл», чтобы открылся «Мастер экспорта сертификатов»
- Выберите «Да, экспортировать закрытый ключ», нажмите «Далее»
- Ключ экспортируется в формате «.PFX». Отметьте информацию, которую необходимо передать вместе с сертификатом и нажмите «Далее».
Если вы не планируете использовать ЭЦП на рабочем месте с которого экспортируете ключ — установите галочку напротив «Удалить закрытый ключ после успешного экспорта». - Введите новый пароль
Этот пароль будет запрошен при окончании экспорта и попытке установить сертификат (при импорте). - Нажмите «Обзор», укажите путь сохранения сертификата, присвойте имя и нажмите «Сохранить».
Не обезличивайте файлы подобного рода! Присваивайте понятные имена, например: «ООО Ромашка (ЭЦП)», «Жуков АА (ЭЦП)». - При завершении работы «Мастера экспорта сертификатов» будет указан путь сохранения сертификата и параметры, экспортируемые вместе с ним. Нажмите «Готово», если все верно.
- Введите ранее заданный пароль и нажмите «ОК».
- При успешном экспорте вы получите соответствующее уведомление.
Перенос и установка
Чтобы на новом компьютере ключи и сертификаты встали на место, надо перенести на него два файла:
- Сохраненную часть реестра — ту ветку с ключами, которую экспортировали ранее.
- Найденную и скопированную директорию, где хранятся сертификаты. Переносить ее надо сразу же на нужное место, заменяя содержимое аналогичной директории. Если этого не сделать, на этапе редактирования реестра возникнут проблемы, и может потребоваться восстановление реестра из сохраненной копии.
После этого необходимо сделать следующее:
- Описанным выше способом нужно узнать идентификатор безопасности пользователя (SID) на новом компьютере.
- Открыть сохраненный и перенесенный файл с частью реестра. Сделать это надо в текстовом редакторе («Блокноте» или аналогичной программе — в зависимости от того, что установлено на компьютере).
- Вручную заменить старый SID на новый и сохранить результат в том же формате файла.
- Дважды щелкнуть по файлу с веткой реестра. Откроется окно запроса на встраивание фрагмента в общий реестр Windows. Здесь нужно дать согласие.
Все, процедура завершена. С этого момента операционная система «считает», что каждый закрытый ключ и сертификат с него были изначально правильно установлены в штатном порядке.
Способы копирования эцп
Существует несколько способов, как выгрузить сертификаты ЭЦП на рабочий стол. Для этого можно использовать программу КриптоПро, проводник Windows или консоль.
Способы переноса
Всего в КриптоПро предусмотрено два варианта копирования ключей и сертификатов:
- Штатный механизм, предусмотренный в интерфейсе CryptoPro, найти его можно в панели управления программы. Самый легкий способ, но работать надо с каждым контейнером и сертификатом отдельно. Когда их несколько десятков (а это уже не уникальный случай даже для физических лиц, не говоря об организациях), начинается долгая и муторная процедура.
- Перенос самих файлов и записей в реестре. Очень быстрый способ: одинаково легко копировать и 3, и 33 ключа. Но при этом надо иметь определенные знания о процедуре.
Далее рассмотрены будут оба способа, но особое внимание будет уделяться именно второму. Дело в том, что иногда он — единственный доступный способ сделать работающую копию. Также уточним, что речь будет идти о переносе лишь тех контейнеров ключа, которые вписаны в реестр Windows. При хранении на токене копировать ключи не нужно, потребуются на новом компьютере лишь сертификаты.
Установка ключа (импорт) эцп
- Запускаем КриптоПро CSP
- Открываем вкладку «Сервис» и нажимаем «Установить личный сертификат»
- Открылся «Мастер установки личного сертификата».
Нажимаем кнопку «Обзор», находим сертификат, который хотим установить, выделяем его и нажимаем «Открыть». - Слева от кнопки «Обзор» отображены имя импортируемого сертификата и полный путь его расположения. Если все верно, нажимаем «Далее».
- Для продолжения установки требуется ввести пароль и указать «Параметры импорта».
Импортируемый сертификат всегда защищен паролем. Пароль устанавливается при первой установке сертификата, либо при его экспорте. - Перед завершением установки вы увидите его параметры. Жмите «Готово», если все верно.
- Выберите место хранения ключа и нажмите «ОК».
Для хранения можно использовать любой носитель, подключенный к компьютеру, либо использовать реестр Windows. - Установите пароль и нажмите «ОК».
Этот пароль КриптоПро будет требовать каждый раз при использовании ключа ЭЦП. - Если всё прошло успешно, появится аналогичное уведомление.
Экспорт открытого ключа эцп из свойства браузера
В Windows 7, заходим в меню Пуск -Панель управления — Свойство браузера.
В Windows 10, правой кнопкой мыши на меню Пуск — Панель управления.
Также можно открыть Internet Explorer (не Edge в Windows 10) и в меню Сервис выбрать Свойства браузера.
Нажимаем на «Сертификаты».
Выбираем сертификат с которого необходимо экспортировать открытый ключ, нажимаем на «Экспорт».
Откроется окно «Мастер экспорта сертификатов», нажимаем «Далее».
Выбрать «Нет, не экспортировать закрытый ключ».
Выбрать формат файла: «Файлы X.509 (.CER) в кодировке DER».
Нажать обзор, выберите папку куда будет сохранен ключ и придумайте ему название (желательно указывать компанию и год сертификата).
Далее.
Готово.
