Копирование закрытого ключа — Permanent Marker

Копирование закрытого ключа — Permanent Marker ЭЦП

Почему так получилось?

Если вы хоть раз направляли запрос на создание сертификатов в удостоверяющий центр, то знаете, что между подачей запроса и формированием закрытого ключа и фактического выпуска открытого сертификата ключа электронной подписи может пройти от 3 дней до недели, и даже месяца, если в документах при подаче была допущена ошибка.

Как правило именно этот промежуток времени и сыграл с вами злую шутку. Исправить данную ошибку довольно просто — необходимо пересоздать закрытый ключ, для этого нам нужно экспортировать сертификат вместе с закрытым ключом в формате pfx и переустановить ЭЦП с pfx.

На этом знающие люди пошли делать экспорт (не забывая для экспорта сменить дату на день, когда контейнер закрытого ключа стал просрочен), а те, кто этого делать не умеют, читают инструкцию ниже.

Введение

Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это — банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим.

  1. Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
  2. Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.

Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.

Использование флеш-накопителя с файловой системой fat32

Отсутствие необходимых прав доступа к файловой системе флешки – наиболее частая причина появления ошибки 0x80090010. Потому первым делом рекомендуем проверить, какая файловая система используется в вашем флеш-накопитель – FAT32 или NTFS.

Для этого:

  1. Подключите накопитель к ПК;
  2. В Проводнике наведите на него курсор мышки, и нажмите её правую клавишу;
  3. В появившемся меню выберите «Свойства». Появится окно, в котором отобразится файловая система вашей флешки.

Если у вас файловая система NTFS, то рекомендуем переформатировать флешку на FAT32, и уже затем использовать её для записи служебных файлов.

Конвертация NTFS в FAT32
Переконвертируйте флешку из NTFS в FAT32

Также рекомендуем перейти в указанном окне «Свойства», выбрать там вкладку «Безопасность», и при необходимости открыть доступ к нужным служебным файлам.

Ещё может помочь внесение флешки в исключения антивируса, который может блокировать корректный доступ к накопителю.

Копирование закрытого ключа через оснастку криптопро

Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.

Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.

Криптопро csp ошибка 0x80090010 отказано в доступе

Иногда после переноса контейнеров закрытых ключей через экспорт — импорт ветки реестра с ключами можно увидеть ошибку доступа к контейнерам. Вроде бы все на месте, ключи есть в реестре. Их можно увидеть в останстке CryptoPro, но не получается прочитать. При попытке это сделать возникает ошибка:

Ошибка обращения к контейнеру закрытого ключа. Ошибка 0x80090010: Отказано в доступе. Связано это с тем, что у текущего пользователя, под которым вы хотите получить доступ к контейнеру, нет полных прав на ветку реестра с хранящимися ключами. Исправить это просто. Переходите в редактор реестра и выставляйте полные права к ветке Keys для текущего пользователя.

Убедитесь так же, что новые права наследовались на дочерние ветки с самими ключами. Обычно это так, но перепроверить на всякий случай непомешает. После этого ошибка с доступом к контейнеру закрытого ключа исчезнет. 

Массовый перенос ключей и сертификатов cryptopro с компьютера на компьютер

В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ.

Ошибка копирования контейнера

Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:

Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии. Либо вы просто не сможете его выбрать для копирования, если у вас последняя версия CryptoPro. Он будет неактивен:

Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему. Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Делаем это там же на вкладке Сервис в оснастке CryptoPro. Нажимаем Посмотреть сертификаты в контейнере.

Выбираем необходимый сертификат и нажимаем Посмотреть свойства сертификата.

Далее переходим на вкладку Состав в информации о сертификате и нажимаем Копировать в файл.

Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ «Да, экспортировать закрытый ключ«, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.

Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, кроме удаления. Так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.

Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи.

Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него. В итоге у вас должны получиться 2 файла с расширениями:

Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам нужно будет выбрать все параметры по умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер.

Причины ошибки с кодом 0x80090010: отказано в доступе в континент ап

Как известно, АП «Континент» — это аппаратно-программный комплекс, обеспечивающий защиту информационных сетей от вторжений со стороны Интернета. Комплекс гарантирует конфиденциальность передачи данных по открытым каналам связи с помощью VPN, и имеет высокую степень доверия со стороны государственных структур Российской Федерации, а также различных бизнес-структур.

Одной из популярных проблем при работе АП «Континент» является подпись с ошибкой № 0x80090010 (отказано в доступе). Она появляется при попытке подписания документов, выполнения сеанса сетевой связи с другими системными фискальными элементами и другими смежными операциями.

Причины для этого могут быть следующие:

Причины:Особенности:
Отсутствуют необходимые права для доступа к файловой системе закрытого ключа на флешке (если на последней используется файловая система NTFS)Обычно такое случается в ситуации, когда контейнер с файлами создавался на одном ПК, а используется на другом. Это наиболее распространённая причина появления проблемы.
Отсутствуют необходимые права для доступа к нужным файлам на жёстком дискеОбычно это происходит в ситуации, когда у учётной записи пользователя на данном компьютере отсутствуют необходимые права.
Истёк срок действия закрытого ключаОсобенно это актуально в случае Крипто-ПРО 4, которая считает закрытые ключи сроком более 15 месяцев утратившими свой статус. При этом при просмотре открытого ключа электронно-цифровой подписи он может быть вполне действителен и актуален.

Также причиной может быть использование устаревшей версии системы Крипто-Про. Давайте разберём способы, позволяющие исправить подпись с кодом 0x80090010, когда может быть отказано в доступе в программе Континент АП.

Вас также заинтересует: «Этот сертификат содержит недействительную цифровую подпись» в КриптоПро.

Проверка права учётной записи пользователя в ос windows, если отказано в доступе

Также рекомендуем проверить права доступа учётной записи пользователя в реестре ОС Виндовс.

Для этого выполните следующее:

  1. Нажмите на Win R;
  2. В появившемся окошке наберите regedit и нажмите Энтер;Окно "Выполнить"
  3. В открывшемся окне реестра перейдите по пути:

Решение проблемы

Перед реализацией дальнейших решений, проделайте предыдущие действия указанные в начале статьи. В случае безрезультатности последних —  вывод только один — вы используете версию Crypto-Pro 4.0. Недостаток последней заключается в том. что Крипто-Про 4.0 воспринимает ключи, созданные 15 месяцев назад как просроченные (хотя срок «годности» 2 года).

Если вы использовали все вышеуказанные методы но ни один не помог, попробуйте совершить следующие действия:

  1. Воспользуйте элетронной печатью на другом компьютере. Зачастую возникшая проблема состоит именно в программном обеспечении или «железе» ПК. В случае успеха — переустановите систему первому компьютеру.
  2. Обратитесь в техническую помощь, возможно ключ сделан с ошибкой. Попробуйте воспользоваться электронной подписью коллеги (если таковой имеется). Таким образом узнаем работоспособность программного обеспечения и железа, к которому подключен ключ
  3. Ошибки могут возникать в случае, когда ключ создан был только недавно, активация еще не прошла. В таком случае — необходимо немного подождать и проверить снова. Зачастую такая проблема возникает в государственных органах с новыми сотрудниками. Подпись выдается сразу, работать начинает на следующий день.
  4. В случае отсутствия антивируса на компьютере — установите и проверьте последний путем углубленной проверки. Очистите компьютер от вредоносных программ, которые приводят к поломке как установленные программы, так и систему вцелом.
  5. При безрезультатности всех вышеперечисленных методов решения проблемы 0x80090010, рекомендуем обратиться непосредственно в техническую поддержку за заменой действующего ключа.

Сертификат в реестре, на usb-флеш-накопителе, локальном компьютере или дискете.

Чтобы сделать копию такого сертификата, необходимо:

Симптомы ошибки

Ошибка проявляется при попытке подписать документ в СУФД, при входе на электронные торговые площадки и в целом при любых операциях с электронной подписью. При этом срок действия сертификата не истёк, хоть и приближается с окончанию.

Установка актуальной версии системы криптопро в континент ап при ошибке 0x80090010

Также рекомендуем обновить вашу версию «Крипто-Про» до самой актуальной. Это может помочь устранить ошибку с кодом 0x80090010.

Часто задаваемые вопросы по теме статьи (faq)

Можно ли перенести сертификат, который находится на токене и защищен от копирования?

Очевидно, что предложенное в статье решение для этого не подойдет. Ведь тут идет речь о переносе сертификатов, которые хранятся в реестре, то есть уже были скопированы. Технические средства для копирования защищенных крипто контейнеров тоже существуют, но это не такое простое и очевидное решение.Безопасно ли хранить сертификаты в реестре?

Это не безопасно и в общем случае я не рекомендую это делать. USB токены для хранения сертификатов придуманы не просто так. Они реально защищают сертификаты от несанкционированного копирования. Если у вас нет объективной необходимости копировать сертификаты в реестр, лучше этого не делать.

Нет, не подойдет. В статье описан способ переноса сертификатов CryptoPro. Другие криптопровайдеры хранят сертификаты по-другому. Универсального способа для всех не существует.Есть ли какой-то очень простой способ скопировать сертификаты crypto pro? То, что описано в статье слишком сложно для меня.

Да, есть статья на сайте контура, в ней ссылка на утилиту для копирования контейнеров Certfix. Можете воспользоваться ей.

Бывает случаи, когда при копировании сертификата возникает ошибка: «Ошибка копирования контейнера». Делимся инструкцией, что делать в такой ситуации.

При копировании сертификата возникает ошибка:

«Ошибка копирования контейнера 123456789@28-07-2022 Иванов Иван Иванович: У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии»

Для решения данной проблемы необходимо:

Crypto Pro 5.0

  1. Проверить наличие лицензии на КриптоПроCSP. Ошибка может возникать на КриптоПРО CSP с истекшими сертификатами со встроенной лицензией. Для автоматического ввода лицензии нужно перейти ссылке и установить лицензию по инструкции.
  2. Повторить копирование сертификата.
  3. Если в имени контейнера есть строка типа: _копия_a0b63dd8 (например 06208439@2022-12-29-ЗАО ПФ СКБ Контур_копия_a0b63dd8), то контейнер имеет признак неэкспортируемый. Следуйте инструкции в зависимости от носителя:

    сертификат в реестре, на USB-флеш-накопителе, локальном компьютере или дискете
    сертификат на рутокене

  4. При копировании, в окне выбора контейнера, нужно поставить переключатель Уникальные имена, продолжить копирование.

    Копирование закрытого ключа — Permanent Marker

  5. Проверить, что КриптоПро запущена с правами администратора. На вкладке «Общие» не должно быть ссылки «Запустить с правами администратора». Если ссылка есть — нажать на ее.
    Копирование закрытого ключа — Permanent Marker

Заключение

В нашей статье мы разобрали, почему появляется подпись с ошибкой 0x80090010 и текстом «Отказано в доступе» в программе Континент АП, и как её исправить. Наиболее часто причиной проблемы является отсутствие прав при доступе к флешь-накопителю, с использующейся на нём системой NTFS.

Оцените статью
ЭЦП64
Добавить комментарий