Создать закрытый ключ по сертификату – 4apple.org

Создать закрытый ключ по сертификату – 4apple.org ЭЦП

Убедитесь что КриптоПро CSP 4 установлен на вашем компьютере

Для этого зайдите в меню ПускКРИПТО-ПРОКриптоПро CSP запустите его и убедитесь что версия программы не ниже 4-й.

Если у вас токен (Рутокен например)

Прежде чем система сможет с ним работать понадобится установить нужный драйвер.

Алгоритм такой: (1) Скачиваем; (2) Устанавливаем.

Для токена может понадобиться стандартный (заводской) пин-код, здесь есть стандартные пин-коды носителей.

Если закрытый ключ в виде файлов

Закрытый ключ может быть в виде 6 файлов: header.key , masks.key , masks2.key , name.key , primary.key , primary2.key

Тут есть тонкость если эти файлы записаны на жесткий диск вашего компьютера, то КриптоПро CSP не сможет их прочитать, поэтому все действия надо производить предварительно записав их на флешку (съемный носитель), причем нужно расположить их в папку первого уровня, например: E:Andrey <файлики>, если расположить в E:Andreykeys <файлики>, то работать не будет.

(Если вы не боитесь командной строки, то съемный носитель можно сэмулировать примерно так: subst x: C: mp появится новый диск (X:), в нем будет содержимое папки C: mp, он исчезнет после перезагрузки. Такой способ можно использовать если вы планируете установить ключи в реестр)

Нашли файлы, записали на флешку, переходим к следующему шагу.

Установка сертификата из закрытого ключа

Теперь нам нужно получить сертификат, сделать это можно следующим образом:

  1. Открываем КриптоПро CSP
  2. Заходим на вкладку Сервис
  3. Нажимаем кнопку Просмотреть сертификаты в контейнере, нажимаем Обзор и здесь (если на предыдущих шагах сделали все правильно) у нас появится наш контейнер. Нажимаем кнопку Далее, появятся сведения о сертификате и тут нажимаем кнопку Установить (программа может задать вопрос проставить ли ссылку на закрытый ключ, ответьте «Да»)
  4. После этого сертификат будет установлен в хранилище и станет возможным подписание документов (при этом, в момент подписания документа, нужно будет чтобы флешка или токен были вставлены в компьютер)

Использование электронной подписи без токена или флешки (установка в реестр)

Если скорость и удобство работы для вас стоит чуть выше чем безопасность, то можно установить ваш закрытый ключ в реестр Windows. Для этого нужно сделать несколько простых действий:

  1. Выполните подготовку закрытого ключа, описанную в пунктах (2) или (3)
  2. Далее открываем КриптоПро CSP
  3. Заходим на вкладку Сервис
  4. Нажимаем кнопку Скопировать
  5. С помощью кнопки Обзор выбираем наш ключ
  6. Нажимаем кнопку Далее, потом придумаем какое-нибудь имя, например «Пупкин, ООО Ромашка» и нажимаем кнопку Готово
  7. Появится окно, в котором будет предложено выбрать носитель, выбираем Реестр, жмем Ок
  8. Система попросит Установить пароль для контейнера, придумываем пароль, жмем Ок

Чтобы для сертификата проставить ссылку на этот закрытый ключ выполните действия из пункта (4).

Важное замечание: портал OpenSRO не «увидит» сертификат, если вышел срок его действия.

Многие компоненты современной ИТ инфраструктуры достаточно тесно завязаны на использование сертификатов. Что же делать, если сертификат поврежден, или же создан без правильно сгенерированного закрытого ключа? С таким «голым» файлом сертификата не будут корректно работать такие сетевые сервисы, как Exchange, IIS и т.д.Поэтому решил составить инструкцию по пересозданию закрытого ключа для установленного сертификата:

  • Откройте консоль управления сертификатами Certificates management (Start >Run >MMC >Add/Remove Snap-in >Certificates >Computer Account >Local Computer)
  • Разверните Certificates (Local Computer) >Personal >Certificates
  • Откройте свойства сертификата, для которого вы хотите пересоздать закрытый ключ. На вкладке Details выберите поле Serialnumber.
  • Скопируйте серийный номер в буфер обмена:
  • Из командной строки с правами администратора наберите следующую команду:

Результат выполнения команды будет примерно следующий, главное чтобы в нем была следующая строка «repairstorecommandcompletedsuccessfully»:

После чего в окне сертификата появится маленький золотой ключик, обозначающий что у вас имеется закрытый ключ и внизу появится надпись «You have a private key that corresponds to this certificate«.

Как найти приватный ключ ssl?

Ваш приватный ключ создается, как правило, в тот момент, когда Вы генерируете CSR запрос, или же непосредственно перед этим. Если для управления вашими приватными ключами вы используете OpenSSL (например, вы пользуетесь дистрибутивами Linux на основе Debian или Red Hat), то при выполнении команды OpenSSL req приватный ключ обычно сохраняется в том же каталоге, где была инициирована команда.

Если вы используете веб-сервер Microsoft IIS, то ваш закрытый ключ SSL хранится в скрытой папке на сервере-отправителе запроса на выпуск SSL сертификата (который еще называется Certificate Signing Request или сокращенно CSR-запрос). При правильной установке, сертификат сервера будет совпадать с приватным ключом. Если приватный ключ отсутствует, это может означать:

  • Сертификат не был установлен на сервере, использовавшемся для генерации CSR-запроса (актуально для серверов Microsoft IIS и некоторых других).
  • Ожидающий обработку CSR запрос был сброшен веб-сервером IIS.
  • Сертификат был установлен с помощью мастера импорта сертификатов, а не средствами IIS.

Разные устройства и серверы используют разные методы хранения и создания приватных ключей. Зачастую определить расположение приватного ключа на сервере довольно сложно. Ознакомление с документацией вашего устройства – самый быстрый способ разобраться, где именно приватные ключи хранятся на вашем сервере.

Как создать закрытый ключ?

Если вы не смогли найти ваш закрытый ключ SSL или еще не создали его, вам нужно будет это сделать, если вы хотите получить SSL сертификат. Как правило закрытый ключ нужно создавать на сервере, на котором вы планируете установить сертификат. При этом его нужно создать перед тем, как генерировать CSR-запрос или же вместе с ним, если ваше устройство это позволяет. Некоторые программы автоматизируют эти задачи, что значительно ускоряет весь процесс. Чтобы выпустить SSL сертификат, сертификационный центр «подписывает» ваш CSR-запрос, именно поэтому при оформлении сертификата, с Вами будут говорить именно о генерации CSR запроса на получение SSL сертификата, а не о создании приватного ключа. Здесть вам важно понимать, что создание CSR запроса подразумевает и создание приватного ключа. Определенному CSR запросу соответствует только один приватный ключ. Поэтому, если вы утеряли закрытый ключ (не сохранили его или случайно удалили), необходимо инициировать перевыпуск SSL сертификата с новым приватным ключом. Для этого, соответственно, необходимо создать новый CSR запрос. Поставщики SSL-сертификатов, должны предоставлять информацию о генерации приватного ключа и CSR-запроса. Инструкции, по созданию CSR-запроса и приватного ключа вы можете найти на нашем сайте. Вы также можете использовать сервис для создания приватного ключа и CSR-запроса на нашем сайте. Для этого необходимо заполнить соответствующие поля в формуляре на латинице по примеру, как показано на изображении: Создать закрытый ключ по сертификату – 4apple.org

Сохранность приватного ключа ssl

Организации, выдающие SSL сертификаты безопасности, не имеют доступа к вашему закрытому (или приватному) ключу шифрования – и не должны иметь – поскольку закрытые ключи создаются на уровне пользователя, то есть на вашем сервере или компьютере. Даже если Вы генерируете CSR запрос и приватный ключ на нашем сайте, Вы должны сохранить его у себя, так как на нашем сервере информация о ключе не сохраняется.

Два главных фактора, от которых зависит криптографическая безопасность закрытого ключа, – это количество и случайная последовательность простых чисел, используемых при его создании. По сути, закрытый ключ — это файл с набором чисел, сгенерированных случайным образом.

Конфиденциальность этой информации является гарантией безопасности вашего ключа на протяжении всего периода использования SSL-сертификата. Чтобы обеспечить сохранность вашего закрытого ключа, доступ к нему следует разрешать только тем членам вашей организации, кому он действительно необходим, например, системному администратору, который занимается установкой SSL сертификата.

Установка личного сертификата криптопро

Установить личный сертификат можно двумя способами:

  1. Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»
  2. Через меню КриптоПро CSP «Установить личный сертификат»

Установка через меню «Просмотреть сертификаты в контейнере»

1. Выберите «Пуск» > «Панель управления» > «КриптоПро CSP», перейдите на вкладку «Сервис» и кликните по кнопке «Просмотреть сертификаты в контейнере».

Создать закрытый ключ по сертификату – 4apple.org

2. В открывшемся окне нажмите на кнопку «Обзор», чтобы выбрать контейнер для просмотра. После выбора контейнера нажмите на кнопку «Ок».

Создать закрытый ключ по сертификату – 4apple.org

3. В открывшемся окне нажмите кнопку «Далее». 

4. В следующем окне нажмите на кнопку «Установить», после чего утвердительно ответьте на уведомление о замене сертификата (если оно появится). Сертификат установлен.

5. Если кнопка «Установить» отсутствует, то в окне «Сертификат для просмотра» нажмите на кнопку «Свойства».

Создать закрытый ключ по сертификату – 4apple.org

6. В открывшемся окне выберите «Установить сертификат».

Создать закрытый ключ по сертификату – 4apple.org

7. В окне «Мастер импорта сертификатов» выберите «Далее». В следующем окне оставьте переключатель на пункте «Автоматически выбрать хранилище на основе типа сертификата» и нажмите «Далее». Сертификат будет установлен в хранилище «Личные».

Создать закрытый ключ по сертификату – 4apple.org

8. В следующем окне выберите «Далее», затем нажмите на кнопку «Готово» и дождитесь сообщения об успешной установке.

Создать закрытый ключ по сертификату – 4apple.org

Для установки понадобится файл сертификата (файл с расширением.cer). Файл сертификата можно экспортировать из хранилища «Личные». Если в хранилище нет нужного сертификата, то обратитесь в техническую поддержку по адресу help@kontur.ru, указав ИНН и КПП организации и суть проблемы.

1. Выберите «Пуск»«Панель управления»«КриптоПро CSP». В окне Свойства КриптоПро CSP перейдите на вкладку «Сервис» и кликните по кнопке «Установить личный сертификат».

Создать закрытый ключ по сертификату – 4apple.org

2. В окне «Мастер импорта сертификатов» нажмите на кнопку «Далее». В следующем окне кликните по кнопке «Обзор» и выберите файл сертификата.

Создать закрытый ключ по сертификату – 4apple.org

3. Далее укажите путь к сертификату и нажмите на кнопку «Открыть»>«Далее».

Создать закрытый ключ по сертификату – 4apple.org

4. В следующем окне кликните по кнопке «Далее». 

Создать закрытый ключ по сертификату – 4apple.org

5. Нажмите кнопку «Обзор».

Создать закрытый ключ по сертификату – 4apple.org

6. Укажите контейнер закрытого ключа, соответствующий сертификату, и нажмите кнопку «Ок». 

Создать закрытый ключ по сертификату – 4apple.org

7. После выбора контейнера нажмите на кнопку «Далее».

Создать закрытый ключ по сертификату – 4apple.org

8. В окне «Выбор хранилища сертификатов» кликните по кнопке «Обзор». 

Если установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, то поставьте галку «Установить сертификат в контейнер».

Создать закрытый ключ по сертификату – 4apple.org

9. Выберите хранилище «Личные» и нажмите «ОК».

Создать закрытый ключ по сертификату – 4apple.org

10. После выбора хранилища нажмите на кнопку «Далее», затем «Готово». После нажатия на кнопку «Готово» может появиться вопрос о замене существующего сертификата новым. В окне запроса выберите «Да».

Дождитесь сообщения об успешной установке. Сертификат установлен.

Оцените статью
ЭЦП64
Добавить комментарий