Решено: Как удалить сертификат из хранилища Windows » MHelp.kz

Решено: Как удалить сертификат из хранилища Windows » MHelp.kz ЭЦП

Восстановление удаленного сертификата эп

В электронной подписи хранятся конфиденциальные данные пользователя. Так как они нуждаются в защите, то сертификаты при удалении полностью стираются из памяти минуя корзину.

Восстановлению обычными программами она не подлежит. Это сделано для того, чтобы данные пользователя были в сохранности и защищены от мошеннических действий.

Восстановлению подлежит только открытая часть сертификата ЭЦП, которая хранилась вместе с закрытым ключом в одном контейнере. Например, при удалении сертификата через браузер удаляется только открытая часть, а закрытая продолжает храниться на носителе. Поэтому, если вы ее случайно удалили, то воспользовавшись программой КриптоПро есть возможность его восстановить.

Закрытый ключ ЭЦП восстановить нельзя. Его можно заново установить на компьютер, если сохранили копию закрытого ключа и сертификата на съемном или другом носителе.

Если вы случайно удалили закрытую часть ключа и не имеете его копию, то нужно будет обратить в удостоверяющий центр и заказать перевыпуск или получить новый сертификат. Стоит учесть, что при помощи нового или перевыпущенного сертификата открыть ранее подписанные документы не получится.

Как удалить сертификат встроенными средствами windows

Перед тем, как удалять сертификат удостоверяющего центра, убедитесь, что срок действия ЭЦП закончился.

Если была заменена скомпрометированная ЭП пользователя на новую, то корневой сертификат УЦ (закрытую часть ЭП) удалять не нужно, так как его все равно нужно будет снова устанавливать.

Удалить сертификат ЭЦП на компьютере с ОС Windows 7 можно следующими способами:

  • в браузере Internet Explorer;
  • при помощи менеджера сертификатов.

Чтобы воспользоваться этими инструментами, вам необходимо иметь права администратора.

Удаление ЭЦП в Internet Explorer:

  1. В строке «Сервис» браузера перейти на вкладку «Свойства браузера»;
  2. Во всплывшем диалоговом окне выбрать вкладку «Содержание», а ней перейти на пункт «Сертификаты»;
  3. В полученном списке сертификатов поочередно выбираем сертификаты, которые необходимо удалить, нажимаем на кнопку «Удалить» и подтверждаем действие.

Данный способ подходит в тех случаях, когда необходимо удалить общедоступную часть сертификата ЭЦП с компьютера.

При этом сертификат УЦ, хотя и не будет отражаться в списке, будет занимать место на компьютере.

Если вам необходимо удалить сертификаты полностью вместе с закрытой частью ЭП, то следует воспользоваться встроенным менеджером сертификатов, проделав следующие шаги:

  1. Открыть меню «Пуск» ввести команду certmgr.msc  в строке «Выполнить» и нажать «Enter»;
  2. Слева будет отображаться древовидный список всех сертификатов, которые добавлены в систему;
  3. Поочередно раскрывайте группы «Личное» и «Доверенные корневые сертификаты удостоверяющих центров», выбирайте сертификаты, которые нужно удалить, выбирая для каждого пункт «Удалить» из контекстного меню, подтвердите действие во всплывшем диалоговом окне.

В Windows 10 есть возможность удалять сертификаты во всех браузерах при помощи настройки «Свойства: Интернет». Для это выбрать в панели инструментов «Сеть и интернет», перейти на пункт «Управление настройками браузера». В окне «Свойства: Интернет» во вкладке «Содержание» выбираем Сертификаты.

Опытные пользователи иногда прибегают к удалению записи сертификата ЭП из реестра. При этом сам файл сертификата продолжает храниться на носителе, но он не отображается ни в менеджере сертификатов, ни в программе КриптоПро CSP.

Когда не стоит удалять электронную подпись

Необходимость в удалении сертификата ЭЦП может быть разной, например, пользователь намерен сменить рабочий компьютер на другой, поэтому ему нужно стереть свои личные данные. Иногда не стоит стирать свои данные безвозвратно, а лучше скопировать электронную подпись на съемный носитель.

Несмотря на то, что по истечению года, невозможно подписать старым сертификатом новые документы, его лучше не спешить удалять. Он может пригодятся для расшифровки старых документов.

Документы

То есть вместе с документами в электронном виде необходимо хранить соответствующую электронную подпись.

Новый сертификат, выданный даже на того же человека не подходит для расшифровки старых документов.

Те, кто много лет работают с отчетной документацией, рекомендуют хранить недействующие сертификаты на жестком вместе со старыми документами, зашифрованными ими. Можно, например, сделать неактуальные сертификаты скрытыми в общем списке.

Это самое разумное решение, особенно, если главная задача – сократить список сертификатов ЭЦП в окне выбора.

Перенос контейнера с flash-носителя в локальное хранилище пк

1. Активируем хранилище HDIMAGE:

cpconfig -hardware reader -add HDIMAGE store 

Adding new reader:
Nick name: HDIMAGE
Succeeded, code:0x0

2. Посмотрим, какие контейнеры доступны на флешке:

csptest -keyset -enum_cont -fqcn -verifyc 

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 32114099
\.FLASHbob
OK.
Total: SYS: 0,020 sec USR: 0,080 sec UTC: 0,190 sec
[ErrorCode: 0x00000000]

Просмотр сертификатов

1. Просмотр установленных сертификатов:

certmgr -list

2. Просмотр установленных сертификатов в локальном хранилище uMy:

certmgr -list -store uMy

3. Просмотр сертификатов в хранилище ПК (обычно сюда устанавливаются корневых сертификаты):

$ certmgr -list -store uRoot

4. Просмотр сертификатов в контейнере:

certmgr -list -container '\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4'

5. Просмотр промежуточных сертификатов:

certmgr -list -store uca

Работа с криптоконтейнерами

1. Проверить наличие доступных контейнеров:

csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251  

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 16778675
\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4
\.FLASHbob
\.HDIMAGEbob
OK.
Total: SYS: 0,010 sec USR: 0,110 sec UTC: 6,240 sec
[ErrorCode: 0x00000000]

Имена контейнеров используются для установки личных сертификатов.

  • Считыватель HDIMAGE размещается в /var/opt/cprocsp/keys/<имя пользователя>/ т.е в данном случае используется жесткий диск для хранения ключей.
  • Считыватель FLASH означает, что используется флешка для хранения приватных ключей.
  • Также считывателем может выступать токен.

2. Имена контейнеров могут содержать символы на кириллице, поэтому чтобы корректно отобразить контейнеры используйте следующую команду:

csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251

Для дальнейшего использования имен контейнеров содержащих кодировку cp1251, выведем список контейнеров с уникальными именами:

csptest -keyset -enum_cont -fqcn -verifyc -uniq 

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 23397811
\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4 | \.Aladdin R.D. JaCarta 00 00SCARDJACARTA_6082028344937676CC00E412
OK.
Total: SYS: 0,000 sec USR: 0,110 sec UTC: 6,230 sec
[ErrorCode: 0x00000000]

3. Просмотр подробной информации о контейнере:

csptest -keyset -container '\.HDIMAGEbob' -info

4. Перечисление контейнеров пользователя:

csptest -keyset -enum_cont -verifycontext -fqcn

5. Перечисление контейнеров компьютера:

csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys

6. Открыть(проверить) контейнер пользователя:

csptest -keyset -check -cont '\.имя считывателяимя контейнера'

7. Открыть(проверить) контейнер компьютера:

csptest -keyset -check -cont '\.имя считывателяимя контейнера' -machinekeyset

Удаление сертификата эц в linux

В операционной системе Linux отсутствует встроенный менеджер сертификатов. Поэтому для удаления ненужных сертификатов используют специальное программное обеспечение. Последовательность действий, которые нужно проделать в таких программах схожа, но отдельные команды, которые вводятся в терминале, различаются. Рассмотрим, как удалить ЭЦП при помощи командной строки:

  1. Откройте командный интерпретатор;
  2. Введите в командной строке(терминале) команду certmgr –list;
  3. Выберите из полученного счистка и скопируйте название сертификата, который нужно удалить;
  4. Введите в терминале команду следующего вида: certmgr -del -c -m хххх.cer, где «хххх.cer» — это номер удаляемого сертификата.

В окне будут отображаться данные по всем сертификатам, которые присутствуют на компьютере, не только ЭЦП, но и полученные на Почте России, поэтому нужно быть внимательными, чтобы удалить только ненужные.

Удаление сертификатов

1. Удалить сертификат из личного хранилища сертификатов

Просмотрите установленные сертификаты:

certmgr -list

Изучите список всех установленных сертификатов (в общем списке отображаются абсолютно все сертификаты).

Для удаления следует выполнить команду в Терминале:

certmgr -delete -store uMy

Если установлено более одного сертификата, то будет предложено указать номер удаляемого сертификата.

2. Удалить сертификаты, установленные в хранилище КриптоПро:

certmgr -delete -store uRoot

Если установлено более одного сертификата, то будет предложено указать номер удаляемого сертификата.

3. Удалить все сертификаты, установленные в хранилище КриптоПро:

certmgr -delete -all -store uRoot

4. Удалить все сертификаты, установленные в хранилище ПК:

certmgr -delete -store mRoot

Удаление сертификатов при помощи специального по

В зависимости от того, какое средство криптографической защиты используется для работы сертификата, зависит и способ его удаления. Вышеописанные способы подойдут для сертификатов, которые работают с дистрибутивом КриптоПро CSP. Данная программная платформа выпускается на территории РФ. Она позволяет удалять ЭП вместе с корневым сертификатом удостоверяющего центра.

Порядок удаления ЭЦП при помощи КриптоПро:

  1. Откройте «Панель управления» при помощи меню «Пуск»;
  2. Запустите ПО «КриптоПро»;
  3. В окне приложения выберите вкладку «Сервис»;
  4. Нажмите «Удалить» (в версиях ПО меньше 3.5 нажать «Удалить контейнер»);
  5. Во всплывшем диалоговом окне нажать «Готово».

Данный способ подходит для недействительных сертификатов ЭЦП вместе с закрытой частью ЭЦП. Если планируется смена УЦ, то в сохранении корневого сертификата нет необходимости, но и расшифровать документы, созданные с устаревшей ЭЦП, больше не будет возможности.

Установка корневых сертификатов

При установке корневых сертификатов достаточно указать хранилище uRoot. При указании mRoot (при наличии прав администратора) корневой сертификат будет доступен всем пользователям системы.

1. Установка в хранилище КриптоПро:

certmgr -inst -store uRoot -file <название-файла>.cer

2. Установка в хранилище ПК:

certmgr -inst -store mRoot -file <название-файла>cer

3. Установка списка отозванных сертификатов crl:

certmgr -inst -crl -file <название-файла>.crl

Установка личных сертификатов

1. Установка сертификата без привязки к ключам:

certmgr -inst -file cert_bob.cer

2. Установка личного сертификата cert_bob.cer, сертификат при этом попадает в пользовательское хранилище uMy. Приватный ключ находится на флешке.

certmgr -inst -file cert_bob.cer -store uMy -cont '\.FLASHbob'

в команде указывается сертификат cert_bob.cer, который ассоциируется с приватным контейнером \.FLASHbob’

3. Установка сертификата с токена (в конце команды указывается контейнер)

/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\.Aladdin R.D. JaCarta 00 008df47e71-18ae-49c1-8738-9b4b0944dcd4'

Установка сертификатов pfx

1. Необходимо установить пакет cprocsp-rsa, который находится в составе дистрибутива КриптоПро (linux-amd64).

2. Выполним команду от локального (доменного) пользователя:

/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -pfx -pin <пинкод> -file 'путь до pfx'

Цепочка сертификатов будет отображаться в утилите «Ключевые носители и сертификаты» в «Личное хранилище сертификатов».

Оцените статью
ЭЦП64
Добавить комментарий