В контейнере закрытого ключа … отсутствуют сертификаты — что делать?

В контейнере закрытого ключа ... отсутствуют сертификаты - что делать? ЭЦП

Введение

Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это — банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим.

  1. Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
  2. Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.

Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.

Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.

Что делать при возникновении уведомления в криптопро

Прежде всего нужно убедиться, что в ЛК сертификат был одобрен МФЦ и готов к применению. Обычно после создания электронной подписки и получения токена проходит некоторое время (2-3 дня). В личном кабинете вашего оператора в сообщениях должно прийти оповещение о том, что подпись активирована. Проверьте на данном этапе свой ЛК.

Рассмотрим пример с ошибкой, когда отсутствуют сертификаты ключа на сайте «Контур»:

  1. Перейдите по адресу ;
  2. Введите номер своего телефона и дождитесь, когда придёт код. Введите его в форму на сайте;

    Строка ввода номера телефона
    Введите номер телефона в строке

  3. СМС придёт в течение нескольких минут. Если код не пришёл, нужно проверить правильно ли вы ввели комбинацию цифр. Затем повторно нажмите «Отправить код»;
  4. На экране вы увидите список заявок. Напротив своей нажмите на кнопку «Перейти к выпуску»;Кнопка перехода к выпуску
  5. Отобразится форма с вашими личными данными. Их нужно проверить и только после этого нажать на пункте «Я подтверждаю…» и «Выпустить сертификат». Если вы найдёте в данных ошибку, необходимо обратиться в поддержку;
  6. В окне нужно указать, куда именно поместить ваш сертификат — на флешку или память (реестр) компьютера;

    Кнопка Далее
    Выберите место хранения электронной подписи

  7. Если вы выбрали съёмный диск далее уточните на какой именно. Теперь нужно подтвердить пин-код. Стандартным является 12345678, введите его и нажмите ниже кнопку для подтверждения, если он не был изменён ранее.

Что делать для своей безопасности? Не храните важные пароли на компьютере в местах, куда есть доступ другим пользователям. Они могут удалить либо узнать их. После проверки в ЛК данных, попробуйте снова открыть токен и проверить реакцию на использования подписи: в контейнере закрытого ключа отсутствует сертификат.

Если возникло сообщение: «в контейнере закрытого ключа отсутствуют сертификаты»

Необходимо установить сертификат согласно статье.

Если контейнер записан в реестр

  1. Запустите редактор реестра («Пуск» – «Выполнить» – regedit);
    Перед редактированием реестра необходимо создать его резервную копию:
    • Нажать «Файл» — «Экспорт»;
    • Ввести название резервной копии в поле «Имя файла»;
    • Указать путь для сохранения файла с расширением .reg;
    • Выбрать «Весь реестр»;
    • Нажать «Сохранить».
  2. Экспортируйте ветки реестра в произвольный каталог:
  3. Откройте выгруженный файл реестра с помощью «Блокнота»;
  4. Измените пути к ветке реестра на:
  5. Сохраните изменения;
  6. Запустите файл реестра;
  7. Согласитесь с внесением изменений в реестр.
    Важно! Сертификат ЕГАИС и «Ключ для маркировки 2.0» не отображаются в «КриптоПро».

Если контейнер находится на токене

Переустановите драйвера для токена:

Если контейнер находится на флеш-накопителе или жестком диске

Убедитесь, что папка с контейнером находится в корневой папке.Контейнер должен иметь вид Имя контейнера.XXX, где XXX – произвольный номер из трех цифр.

Если папка с контейнером и резервная копия отсутствуют, Вам необходимо получить новый сертификат. Если вам необходим сертификат:

  1. Для представления отчетности, действуйте согласно статье.
  2. Для ЭТ, вам нужно приобрести новый сертификат.

Если у вас сертификат егаис или «ключ для маркировки 2.0».

Чтобы просмотреть информацию о данных сертификатах, необходимо открыть драйвер вашего токена. Если у Вас:

Дополнительно. Зарегистрировать открытую часть сертификата ЕГАИС на «Рутокене ЭЦП 2.0» можно при помощи драйвера токена. Для этого необходимо:

Копирование закрытого ключа через оснастку криптопро

Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.

Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.

Криптопро csp ошибка 0x80090010 отказано в доступе

Иногда после переноса контейнеров закрытых ключей через экспорт — импорт ветки реестра с ключами можно увидеть ошибку доступа к контейнерам. Вроде бы все на месте, ключи есть в реестре. Их можно увидеть в останстке CryptoPro, но не получается прочитать. При попытке это сделать возникает ошибка:

Ошибка обращения к контейнеру закрытого ключа. Ошибка 0x80090010: Отказано в доступе. Связано это с тем, что у текущего пользователя, под которым вы хотите получить доступ к контейнеру, нет полных прав на ветку реестра с хранящимися ключами. Исправить это просто. Переходите в редактор реестра и выставляйте полные права к ветке Keys для текущего пользователя.

Убедитесь так же, что новые права наследовались на дочерние ветки с самими ключами. Обычно это так, но перепроверить на всякий случай непомешает. После этого ошибка с доступом к контейнеру закрытого ключа исчезнет. 

Массовый перенос ключей и сертификатов cryptopro с компьютера на компьютер

В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ.

Ошибка копирования контейнера

Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:

Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии. Либо вы просто не сможете его выбрать для копирования, если у вас последняя версия CryptoPro. Он будет неактивен:

Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему. Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Делаем это там же на вкладке Сервис в оснастке CryptoPro. Нажимаем Посмотреть сертификаты в контейнере.

Выбираем необходимый сертификат и нажимаем Посмотреть свойства сертификата.

Далее переходим на вкладку Состав в информации о сертификате и нажимаем Копировать в файл.

Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ «Да, экспортировать закрытый ключ», значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.

Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, кроме удаления. Так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.

Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи.

Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него. В итоге у вас должны получиться 2 файла с расширениями:

Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам нужно будет выбрать все параметры по умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер.

Помогла статья? подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Причина ошибки «в контейнере закрытого ключа … отсутствуют сертификаты»

Пользователи утверждают, что никаких особых действий перед появлением ошибки не производились. Возникла она сама собой. При запуске ключей с носителя появляется сообщение, и работа программы останавливается. Это может случиться из-за некоторых изменений в версиях ключей от КриптоПРО.

Данная ошибка появляется, когда возникают ошибки в файловой структуре ПО, например, в файле name.key. Учитывая эти моменты, попробуем решить появившийся сбой.

Установка закрытого ключа через личный сертификат

Попробуем установить сертификат при ошибке с контейнером закрытого ключа следующим образом:

  1. Нажмите на кнопку «Пуск», затем ПУ и выберите «КриптоПро»;
  2. В программе выберите «Сервис» и «Установить личный сертификат»;Кнопка установки личного сертификата
  3. На следующем экране нажмите «Далее» и необходимо нажать на «Обзор». Выберите подходящий сертификат;Окно выбора сертификата
  4. Нажмите снова кнопку «Далее» и «Обзор»;
  5. Укажите контейнер ключа и подтвердите открытие;
  6. В строке «Выбор хранилища…» нажмите на кнопку добавления файла;
  7. Не забудьте сделать клик на «Установить сертификат…»;Опция установки сертификата в контейнер
  8. Теперь укажите хранилище под названием «Личные» и подтвердите;
  9. В завершении нажмите «Далее», после чего ещё раз «Далее».

Если нужно заменить данный сертификат на новый, в окне запроса нужна выбрать кнопку «Да». Сертификат будет установлен через некоторое время. Дождитесь уведомления от системы. Токены (или флеш-накопители) подвержены заражению вирусами.

Это может быть полезным: Не удается установить защищенное соединение Сбербанк Онлайн.

Часто задаваемые вопросы по теме статьи (faq)

Экспорт электронной подписи пользователя

USB-диски очень чувствительны к скачкам напряжения. В результате чего легко могут выйти из строя. Поэтому не рекомендуется оставлять их в порту компьютера на долгое время, хранить в местах без влаги и беречь от воздействия ударов, царапин и пр. Любые из этих факторов могут стать причиной того, что владелец потеряет доступ к данным на флешке.

Что нужно сделать:

  1. Нажмите на кнопку «Пуск». Далее выберите «Панель управления»;
  2. Запишите в строке поиска «Свойства браузера» или «Свойства обозревателя»;Опция свойств браузера
  3. Затем нужно перейти в «Содержание» и нажать «Сертификаты»;Шаги настройки сертификатов
  4. Теперь найдите нужный в списке и ниже нажмите на кнопку «Экспорт»;

    Кнопка экспорта сертификата
    Найдите подходящий сертификат и нажмите «Экспорт»

  5. Если здесь нет сертификата, нужно перейти к экспорту средствами КриптоПро;
  6. Нажмите «Далее» и выберите «Не экспортировать…»;Опция отказа от экспорта
  7. В списке форматов выберите «X.509 в DER» и снова выберите «Далее»;
  8. Откроется окно, где нужно указать место для сохранения файла.
Оцените статью
ЭЦП64
Добавить комментарий