Настройка цифровой подписи в криптопро. Где хранится закрытый ключ в реестре Windows

Перенос контейнеров закрытых ключей и сертификатов CryptoPro

Настройка цифровой подписи в криптопро. Где хранится закрытый ключ в реестре Windows

Криптопровайдер КриптоПро на сегодняшний день является, пожалуй, самым популярным на рынке, по крайней мере в России. Я хочу рассказать, как быстро и удобно перенести большое количество контейнеров закрытых ключей CryptoPro и сертификатов к ним. Существует штатный механизм в самой программе, работает в ручном режиме и не подходит, когда надо перенести большое количество.

Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Администратор Linux» в OTUS. Курс не для новичков, для поступления нужно пройти .

Заказать настройку ЭЦП от 500 р.

Введение

Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим.

Сейчас все завязано на это — банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим.

Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме.

Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:

  1. Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
  2. Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.

Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.

Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.

Копирование закрытого ключа через оснастку КриптоПро

Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.

Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.

Ошибка копирования контейнера

Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:

Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.

Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему.

Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Штатные возможности CryptoPro не позволяют скопировать закрытый ключ в файл.

Запускаем Internet Explorer, открываем его настройки и переходим на вкладку . Там нажимаем на Сертификаты.

Выбираем нужный сертификат и нажимаем Экспорт.

Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ «Да, экспортировать закрытый ключ«, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.

Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.

Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке, жмите Экспорт и выберите файл формата .CER.

Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него.

В итоге у вас должны получиться 2 файла с расширениями:

Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам достаточно будет выбрать все параметры по-умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер.

Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.

Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер

В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже.

Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:

wmic useraccount where name='zerox' get sid

В данном случай zerox — имя учетной записи, для которой узнаем SID.

Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра и переходим в ветку:

\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\S-1-5-21-4126079715-2548991747-1835893097-1000\Keys

где S-1-5-21-4126079715-2548991747-1835893097-1000 — SID пользователя, у которого копируем сертификаты. Выбираем папку Keys и экспортируем ее.

Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи.

Теперь нам нужно скопировать сразу все сертификаты. В Windows 7, 8 и 10 они живут в директории — C:\Users\zerox\AppData\Roaming\Microsoft\SystemCertificates\My. Сохраняйте эту директорию.

Для переноса ключей и сертификатов нам надо скопировать на другой компьютер сохраненную ветку реестра и директорию с сертификатами My. Открываем файл с веткой реестра в текстовом редакторе и меняем там SID пользователя со старого компьютера на SID пользователя нового компьютера. Можно прям в блокноте это сделать поиском с заменой.

После этого запускаем .reg файл и вносим данные из файла в реестр. Теперь скопируйте папку My с сертификатами в то же место в профиле нового пользователя. На этом перенос сертификатов и контейнеров закрытых ключей КриптоПро завершен. Можно проверять работу.

Я не раз пользовался этим методом, на текущий момент он 100% рабочий. Написал статью,чтобы помочь остальным, так как сам не видел в интернете подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя таковой получилась.

Онлайн курс по Linux

Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Администратор Linux» в OTUS. Курс не для новичков, для поступления нужны базовые знания по сетям и установке Linux на виртуалку.

Обучение длится 5 месяцев, после чего успешные выпускники курса смогут пройти собеседования у партнеров. Что даст вам этот курс:

  • Знание архитектуры Linux.
  • Освоение современных методов и инструментов анализа и обработки данных.
  • Умение подбирать конфигурацию под необходимые задачи, управлять процессами и обеспечивать безопасность системы.
  • Владение основными рабочими инструментами системного администратора.
  • Понимание особенностей развертывания, настройки и обслуживания сетей, построенных на базе Linux.
  • Способность быстро решать возникающие проблемы и обеспечивать стабильную и бесперебойную работу системы.

Проверьте себя на вступительном тесте и смотрите подробнее программу по . Заказать настройку ЭЦП от 500 р.

Помогла статья? Есть возможность отблагодарить автора

Источник: https://serveradmin.ru/perenos-konteynerov-zakryityih-klyuchey-i-sertifikatov-cryptopro/

✅Где хранятся сертификаты ЭЦП✅на компьютере

Настройка цифровой подписи в криптопро. Где хранится закрытый ключ в реестре Windows

Электронную подпись можно использовать на сколь угодно компьютерах, в том числе и одновременно.

Но для того же переноса сертификата необходимо понимать, где он хранится на самом компьютере и каким образом его можно найти.

К тому же, для переноса ЭЦП потребуется не только сам личный сертификат, но и удостоверяющего доверенного центра, который электронную подпись и выдал. Так где хранятся сертификаты ЭЦП на компьютере?

Файлы сертификатов в проводнике

А вот закрытый сертификат ЭЦП не копируется на жесткий диск – он хранится исключительно на защищенном USB-рутокене и используется как раз для генерации открытых ключей (при этом нужно ещё вводить секретный пароль, который предоставляет удостоверяющий центр). Если же физически скопировать открытый сертификат на другой компьютер, то пользоваться им можно будет лишь в том случае, если там же установлен корневой сертификат удостоверяющего центра, выдавшего ЭЦП. В противном случае – сертификат не пройдет проверку подлинности.

Где ещё на компьютере хранится сертификат электронной подписи? Ещё одна копия, для программного использования, хранится в шифрованном виде в папке Windows, но получить доступ туда или даже скопировать сам файл сертификата не получится – операционная система не предоставит таких прав доступа.

Ещё следует учесть, что для просмотра файлов сертификатов пользователь должен обладать правами администратора. Если же он вошел в систему как «Гость», то к системным папкам на диске С (или другом, где установлена сама система) он не сможет получить доступ.

https://www.youtube.com/watch?v=Mm-7wUTdEz0

Сам файл сертификата имеет расширение .cer или .csr (в зависимости от кодировки), занимает буквально несколько килобайт памяти.

Точно такие же файлы используются в дистрибутивах Linux, в MacOS – это уже стандартизированный формат электронных подписей.

Также нередко в вышеуказанных папках можно найти файлы сертификатов стандарта .x509, однако в РФ такие для личного использования не применяются.

Просмотр сертификатов через КриптоПРО

После этого появится диалоговое окно со списком всех установленных сертификатов на жестком диске. Там же можно посмотреть информацию по каждому из них, удалить из системы, скопировать весь контейнер (связка открытого ключа и сертификата удостоверяющего центра – это позволит пользоваться ЭЦП на другом компьютере).

Опять же, для доступа к данному меню необходимо, чтобы у пользователя имелись права администратора (или предоставлена возможность пользоваться программой от администратора ПК). В противном случае – программа выдаст сообщение о невозможности получить доступ к списку установленных в системе сертификатов.

Можно редактировать список сертификатов и непосредственно из программы КриптоПРО (запустить можно из «Панели управления»). Там доступен более широкий функционал для работы с ЭЦП, а также сертификатами удостоверяющих центров.

Просмотр сертификатов через Certmgr

В операционных системах семейства Windows также имеется встроенный менеджер для работы с установленными сертификатами. Через него можно просмотреть и личные ключи, и сертификаты удостоверяющих центров, партнеров Microsoft (для предоставления привилегий определенным программам).

Для запуска менеджера, а также удаления или копирования файлов сертификатов необходимо обладать правами администратора. В противном случае – программа даже не запустится, ссылаясь на недостаточный уровень прав доступа.

Данное приложение также имеет ряд ограничений по работе с шифрованными сертификатами (со специальной кодировкой данных). Поэтому она не всегда корректно отображает все установленные пользовательские цифровые подписи.

Доступ к сертификатам через Internet Explorer

Как найти электронную подпись на компьютере при помощи Internet Explorer? Данный веб-обозреватель имеется в Windows XP и более старших версиях, но может отсутствовать в определенных редакциях Windows 10. При необходимости – его можно бесплатно скачать с официального сайта Microsoft по ссылке https://www.microsoft.com/uk-ua/download/internet-explorer.aspx (необходимо будет указать используемую версию Windows).

После – появится окно со списком всех установленных в системе сертификатов, в том числе и от сторонних поставщиков программного обеспечения (в отдельной вкладке). Из данного меню можно удалить открытые ключи, но не корневые сертификаты удостоверяющих центров.

Доступ к списку сертификатов в Internet Explorer также можно получить из меню «Центр управления сетями и общим доступом» из «Панели управления» (в левой колонке внизу будет пункт «Свойства обозревателя»).

Этот вариант найти файлы сертификатов на компьютере удобен тем, что позволяет просмотреть их список даже без наличия прав администратора. Но вот удалять их уже не получится (но в большинстве случаев этого и не требуется).

Просмотр сертификатов через консоль управления

Это ещё один встроенный в Windows инструмент, позволяющий на компьютере найти ключ ЭЦП.

Затем также можно выбрать просмотр сертификатов по определенной учетной записи, зарегистрированной в Windows. Чтобы таким методом найти ЭЦП на компьютере также нужно обладать правами администратора.

Через MMC (Просмотр сертификатов в консоли управления) также можно добавлять, удалять, копировать контейнеры с электронной подписью (включая сертификат удостоверяющего центра), но далеко не всем такой метод покажется удобным, так как некоторые команды также придется вводить именно через командную строку. Данный инструмент больше подходит для использования системными администраторами, когда через сервер выполняется настройка прав доступа всех подключенных компьютеров.

Другие варианты

Есть ещё масса других сторонних программ, которые точно так же позволяют работать с сертификатами, установленными в операционной системе.

Но вот пользоваться ими не рекомендуется – никто не может гарантировать, что в исходном коде подобного приложения нет команды отправки сертификата на внешний сервер.

Единственная сертифицированная в Минкомсвязи программа для работы с электронными подписями – это именно КриптоПРО CSP (на текущий момент актуальны версии 3.5 или старше). Её использование – это своего рода гарантия защиты от возможной компрометации ЭЦП.

Итого, где находится сертификат электронной подписи на компьютере? В системной папке пользователя, а удобней всего с ключами работать при помощи программы КриптоПРО CSP.

С её помощью можно совершить быстрый перенос электронной подписи с одного компьютера на другой даже без использования USB-рутокена.

А для быстрого просмотра самих ключей или удаления некоторых из них удобней всего использовать Internet Explorer.

Источник: https://Pro-ECP.ru/etsp/instruktsii/kak-najti-sertifikat-etsp-na-kompyutere.html

Прописать сертификат закрытого ключа в реестр КриптоПро

Настройка цифровой подписи в криптопро. Где хранится закрытый ключ в реестре Windows

Электронный документооборот всё плотнее входит в нашу жизнь.
Сегодня данный вопрос касается уже далеко не только офисных сотрудников предприятий и индивидуальных предпринимателей, работа с электронными документами всё чаще облегчает решение повседневных проблем рядовым гражданам и в быту.

Разумеется, что с расширением применяемости электронных документов шире становится и распространение электронной цифровой подписи, сокращённо – ЭЦП.

Именно о повышении удобства в работе с ЭЦП и пойдёт речь дальше, а именно, мы рассмотрим, как добавить ключ ЭЦП в реестр КриптоПро на компьютере.

Что такое ЭЦП и сертификат закрытого ключа

Электронная цифровая подпись используется во многих программных продуктах: 1С: Предприятие (и другие программы для ведения хозяйственного или бухгалтерского учёта), СБИС++, Контур.Экстерн (и прочие решения для работы с бухгалтерской и налоговой отчётностью) и других. Также ЭЦП нашла применение в обслуживании физических лиц при решении вопросов с государственными органами.

ЭЦП – это, своего рода, гарант в мире электронного документооборота, аналогичный обычной подписи и печатями на бумажных носителях

Как и при подписании бумажных документов, процесс подписания электронных носителей информации связан с “редактированием” первичного источника.

Электронная цифровая подпись документов осуществляется путём преобразования электронного документа с помощью закрытого ключа владельца, этот процесс и называется подписанием документа

На сегодняшний день сертификаты закрытого ключа чаще всего распространяются либо на обычных USB-флешках, либо на специальных защищённых носителях с тем же USB интерфейсом (Рутокен, eToken и так далее).

При этом, каждый раз, когда возникает необходимость в подписи документов (или идентификации пользователя), нам нужно вставить носитель с ключом в компьютер, после чего проводить манипуляции с сертификатом.

Соответственно, после завершения работы нам достаточно просто извлечь носитель из компьютера, чтобы нашей подписью больше никто не мог воспользоваться. Этот способ достаточно безопасен, но не всегда удобен.

Если вы используете ЭЦП у себя дома, то каждый раз подключать/отключать токен быстро надоедает. Кроме того, носитель будет занимать один USB-порт, которых и так не всегда хватает для подключения всей необходимой периферии.

Если же вы используете ЭЦП на работе, то бывает, что ключ удостоверяющим центром выдан один, а подписывать документы должны разные люди. Таскать контейнер туда-сюда тоже не удобно, да ещё бывают и случаи, когда в одно время с сертификатом работают сразу несколько специалистов.

Кроме того, и дома, и, особенно, на работе, случается, что на одном компьютере необходимо производить действия с использованием сразу нескольких ключей цифровой подписи.

Именно в тех случаях, когда использование физического носителя сертификата неудобно, можно прописать ключ ЭЦП в реестр КриптоПро (подробнее о реестре Windows в общем понимании можно почитать в соответствующей статье: Изменение параметров системного реестра Windows) и использовать сертификат, не подключая носитель к USB-порту компьютера.

Добавление считывателя Реестр в КриптоПро CSP

В первую очередь, чтобы наш КриптоПро смог работать с прописанными локально ключами, требуется добавить сам вариант подобного считывателя.

Для того, чтобы установить в CSP утилиту новый тип носителя, запускаем программу от имени администратора правой кнопкой мыши или из меню самой утилиты на вкладке Общие

Теперь переходим на вкладку Оборудование и нажимаем на кнопку Настроить считыватели…
Если в открывшемся окне нет варианта Реестр, то, чтобы его здесь вывести, жмём на кнопку Добавить…

Далее, следуя командам Мастера установки считывателя поэтапно перемещаемся по окнам:

  1. Жмём кнопку Далее в первом окне.
  2. Из списка считывателей от всех производителей выбираем вариант Реестр и снова жмём Далее.
  3. Вводим произвольное имя считывателя, можно оставить название по умолчанию. Жмём Далее.
  4. В последнем окне видим оповещение, что после завершения настройки считывателя рекомендуется перезагрузить компьютер. Жмём кнопку Готово и самостоятельно перезагружаем машину.

Первый этап завершён. Считыватель Реестр добавлен, о чём свидетельствует соответствующий пункт в окне Управление считывателями (напоминаем, что данное окно вызывается по пути КриптоПро – Оборудование – Настроить считыватели…)

Копирование ключа в Реестр КриптоПро CSP

Чтобы прописать ключевой контейнер в локальное хранилище, подсоединяем физический носитель с ключом к компьютеру.

Теперь снова запускаем утилиту КриптоПро, открываем вкладку Сервис и жмём на кнопку Скопировать…
Далее в окне Мастера копирования контейнера закрытого ключа жмём кнопку Обзор (либо По сертификату…) и выбираем наш ключевой носитель, подтвердив выбор кнопкой OK, после чего переходим к следующему окну кнопкой Далее.

В новом окне задаём произвольное понятное имя создаваемому контейнеру ключа и нажимаем кнопку Готово. Затем для записи ключа выбираем созданный нами ранее тип считывателя Реестр, подтвердив выбор кнопкой OK.

После подтверждения нам необходимо установить Пароль на созданный ключевой контейнер, по умолчанию, чаще всего, используют пароль 12345678, но для более безопасной работы пароль можно задать сложнее.

После ввода пароля жмём на кнопку OK.

Всё, ключевой контейнер добавлен в Реестр КриптоПро.

Установка сертификата закрытого ключа КриптоПро CSP

В завершении настройки подписи документов без подключения носителя ключа к компьютеру нам остаётся только установить сертификат закрытого ключа из контейнера созданного носителя.

Чтобы установить сертификат в КриптоПро необходимо проделать следующее:

  1. В утилите CSP на вкладке Сервис жмём на кнопку Просмотреть сертификаты в контейнере…
  2. В открывшемся окне нажимаем на кнопку Обзор, где по заданному нами имени выбираем искомый носитель, подтвердив выбор кнопкой OK. Нажимаем Далее.
  3. В завершающем окне проверяем правильность выбора сертификата и подтверждаем решение кнопкой Установить.

Теперь у нас установлен Сертификат закрытого ключа из локального носителя Реестр.

Настройка КриптоПро завершена, но вам следует помнить, что для многих программных продуктов также потребуется перепрописать новый ключ в настройках системы.
После проделанных действий мы можем подписывать документы без подключения ключа, будь то Рутокен, eToken или какой-то другой физический носитель.

Источник: http://miradmin.ru/cryptopro-key/

Как установить сертификат в реестр через КриптоПРО

Настройка цифровой подписи в криптопро. Где хранится закрытый ключ в реестре Windows

Добрый день! Уважаемые читатели и гости крупного IT блога рунета pyatilistnik.org. Продолжаем нашу с вами тему с сертификатами и работе с ними. В прошлый раз я вам подробно рассказал, как получить тестовый сертификат криптопро, посмотрите очень интересная заметка.

Согласитесь, что для тестирования вам может потребоваться не один сертификат, а гораздо больше, и очень удобно иметь возможность работать с ними, без привязки к физическим токенам, например, на виртуальных машинах Vmware.

Для таких задач, есть возможность поместить сертификаты КриптоПРО в реестр Windows, чем мы с вами и займемся.

Когда нужно копировать сертификаты КриптоПРО в реестр

Существует ряд задач, когда удобно иметь вашу ЭЦП подпись в реестре Windows:

1. При тестировании настроенного окружения для торговых площадок, для входа на которые используется ЭЦП подпись.
2.

Когда у вас виртуальная инфраструктура и нет возможности, произвести проброс USB устройств по локальной сети
3. Ситуации, когда КриптоПРО не видит USB токена
4.

Ситуации, когда USB ключей очень много и нужно работать одновременно с 5-ю и более ключами, примером может служить программа по сдачи отчетности СБИС

Как скопировать сертификат в реестр КриптоПРО

CryptoPRo позволяет производить установку с копирование закрытого ключа (сертификата) в реестр Windows.

Хочу вас сразу предупредить, что с точки зрения безопасности, это очень не надежно и ваши закрытые ключи могут быть похищены, если вы не организовываете надлежащий уровень безопасности

И так, у меня есть USB токен SafeNet, на который я выпустил тестовую ЭЦП, ее я буду переносить вместе с закрытым ключом в реестр Windows. Открываем утилиту CryptoPRO с правами администратора.

Переходите на вкладку “Сервис” и нажимаете “скопировать”

У вас откроется окно “Контейнер закрытого ключа”, тут вам нужно нажать кнопку “Обзор”, что бы выбрать ваш сертификат, который вы хотите скопировать в реестр.

В итоге у вас в поле “Имя ключевого контейнера” отобразиться абракадабровое имя.

Нажимаем далее.

У вас появится окно с вводом пин-кода от вашего USB токена.

Стандартные пароли E-token и Рутокен

Теперь вам необходимо задать имя для копируемого сертификата в реестр Windows, КриптоПРО благо, это позволяет. Я назвал его “Копия сертификата в реестре (Семин Иван)”

Теперь вам необходимо положить сертификаты КриптоПРО в реестр, для этого выбираем соответствующий пункт и нажимаем “Ок”.

На следующем шаге вам предложат установить новый пароль на ваш контейнер с закрытым ключом, советую установить его и желательно посложнее.

Установка закрытого ключа в реестр

Теперь когда ваш закрытый ключ находится в реестре, давайте установим личный сертификат. Для этого откройте на вкладке “Сервис” кнопку “Посмотреть сертификат в контейнере”

Далее в окне “онтейнер закрытого ключа” нажмите кнопку “Обзор”.

И выберите сертификат из реестра, он будет с тем именем, что вы ему задавали.

Нажимаем далее.

После чего производится установка закрытого ключа в реестр, через соответствующую кнопку.

Видим, что сертификат был установлен в хранилище “Личные” текущего пользователя.Как видите, было очень просто скопировать закрытый ключ в реестр операционной системы.

Где хранится закрытый ключ в реестре Windows

После процедуры добавления сертификата в реестр КриптоПРО, я бы хотел показать, где вы все это дело можете посмотреть. Ранее я вам рассказывал, о том как добавить оснастку сертификаты. Нас будет интересовать раздел “Сертификаты пользователя – Личное”.

Либо вы можете зайти в свойства Internet Explorer на вкладку “'. Потом перейти в пункт “Сертификаты”, где у вас будут отображаться все ваши SSL сертификаты, и те, что КриптоПРО скопировал в реестр операционной системы.

Если нужно найти ветку реестра с закрытым ключом, то я вам приводил уже пример в статье, когда я переносил ЭЦП с компьютера на компьютер.

\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\Ваш SID, как его определить читайте по ссылке\Keys\Копия сертификата в реестре (Семин Иван)

Про копирование ЭЦП с закрытыми ключами мы разобрали, теперь ситуация обратная.

Как скопировать эцп из реестра на флешку

Предположим, что у вас стоит задача скопировать контейнер из реестра, так как он уже там, то он экспортируемый, для этого открываем криптопро, “Сервис-Скопировать”

Выбираете “Обзор” и ваш сертификат из реестра.

Задаете ему новое имя, удобное для себя.

После чего вас попросят указать флешку, на которую вы будите копировать контейнер с закрытым ключом из реестра.

Обязательно задайте новый пароль.

Ну и собственно теперь открывайте вашу флешку и лицезрейте перенесенный на него контейнер, он будет состоять из файликов с форматом key.

Как видите КриптоПРО, это конвейер, который позволяет легко скопировать сертификат из реестра на флешку или даже дискету, если они еще используются.

Источник: http://pyatilistnik.org/installing-the-certificate-in-the-registry/

Где хранится на компьютере сертификат электронной подписи

Настройка цифровой подписи в криптопро. Где хранится закрытый ключ в реестре Windows

Важная составляющая электронной подписи — сертификат, который не только хранит важную информацию, но и является своеобразным паспортом участника электронного документооборота. Чтобы работа с ЭП не вызывала затруднений, пользователю необходимо знать о том, где хранится электронная подпись и ее сертификат, и как установить или добавить ЭЦП с ключом в хранилище.

Что такое сертификат пользователя

Сертификат цифровой подписи — это бумажный или электронный документ, выданный аккредитованным удостоверяющим центром, и подтверждающий принадлежность ЭЦП конкретному владельцу.

В процессе генерации ключа вся информация о его владельце сохраняется, а полученный файл и есть сертификат ключа ЭЦП.

Обязательная составляющая файла — открытый ключ и данные о владельце подписи, а также УЦ, выдавшем ЭП.

Как долго нужно хранить документ

Сертификат ЭЦП действителен лишь в течение строго установленного периода времени, равного одному году. По прошествии года цифровая подпись теряет свою функциональность и становится обязательной к замене. Вместе с новой ЭП владелец получает и новый сертификат.

Сколько времени нужно хранить сертификат ЭЦП зависит от того, какая информация в нем содержится. Полезный срок действия и содержание документа связаны между собой: чем больше информации, тем полезный срок действия документа меньше.

Объясняется это тем, что данные, указанные в документе, могут измениться.

Часто владельцы ЭЦП ждут истечения срока действия подписи, чтобы обновить информацию, поэтому минимум информации в электронном документе позволит продлить его актуальность.

В удостоверяющем центре сроки хранения ключа в электронной форме определяются договорными условиями между УЦ и владельцем ЭЦП. В течение срока хранения ключа все участники информационной системы имеют к нему доступ.

После аннулирования сроки хранения в УЦ определяются статьей ФЗ о законном сроке исковой давности. После его истечения сертификат исключается из единого реестра ключей ЭЦП и переводится на архивное хранение, которое составляет 5 лет.

В течение этого срока выдача копий осуществляется по запросу и в соответствии с действующим законодательством.

На бумажном носителе ключ хранится в течение срока, установленного ФЗ РФ об архивном деле и архивах. С 2003 г. согласно новым поправкам срок хранения составляет 50 лет с момента поступления документа.

Где хранится ЭЦП в реестре

В реестре хранить ключи электронной подписи можно как на обычном ключевом носителе. После переноса они находятся в папках:

  • HKEY_LOCAL_MACHINE\SOFTWARE\CryptoPro\Setting\Users\(идентификатор пользователя)\Keys\ имя контейнера (для 32-битной ОС Windows);
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\CryptoPro\Setting\Users\(идентификатор пользователя)\Keys\ имя контейнера (для 364-битной ОС Windows);
  • Иногда хранятся сертификаты эцп на компьютере тут: HKEY_USERS\S-1-5-21-{SID}_Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\CryptoPro\Setting\USERS\S-1-5-21-{SID}\Keys.

SID — это идентификатор пользователя или информационная структура переменной длины, идентифицирующая персональную запись пользователя или группы, ПК или домена. Узнать его можно через командную строку при помощи команды WHOAMI/User:

Для удобства пользователя номер можно скопировать в файл на рабочем столе, чтобы каждый раз не выполнять операцию по его проверке.

Где хранится сертификат в ОС Windows

Установка или просмотр корневого или личного сертификата (ЛС) невозможна без знания места хранения подписи в ОС. Все версии Windows помещают ключи ЭЦП в так называемый контейнер, который раздел на часть для пользователя и ПК.

Поменять настройки хранения ключа можно через mmc оснастку, которая выводится комбинацией клавиш WIN+R:

В корне консоли комбинацией клавиш CTRL+M через Файл можно добавить или удалить оснастку:

В открывшемся окне пользователь выбирает поле доступных оснасток, затем «Сертификаты» и нажимает добавление:

Диспетчер позволяет добавить новую оснастку для персональной учетной записи, учетной записи ПК или службы. Если добавляется учетная запись ПК, то в ней есть дополнительные настройки:

Выбрать необходимо локальный ПК, после чего нажать «Готово». Откроется вот такое окно:

Созданную оснастку нужно сохранить через пункт меню «Файл». Для удобства работы местом сохранения выбирают рабочий стол:

В корневой консоли область сертификатов разделена на 2 части для пользователя и ПК. Область пользователя содержит несколько папок:

  • Личное;
  • Корневые доверительные и промежуточные сертификаты;
  • Пользовательские объекты AD;
  • Сертификаты, к которым не установлено доверие;
  • Доверенные лица и издатели и т.п.

Обычно изначально папка «Личное» не содержит сертификатов. Перенести один сертификат в папку можно через запрос или импорт:

Далее необходимо нажать в мастере импортирования «Далее». Нужный сертификат обычно имеет следующий формат:

  • PKCS # 12 (.PFX, .P12);
  • Стандарт Cryprograhic Message Syntax — сертификаты PKCS #7;
  • Хранилище сериализованных сертификатов.

Через вкладку доверенных сертификатов откроется большой список корневых, который необходим для нормальной работы на интернет-пространстве:

Состав любого из них можно посмотреть через двойной щелчок мыши, а из действий пользователю доступен экспорт для последующей переустановки на другой ПК. Экспорт возможен в разных распространенных форматах:

Полезной для пользователя будет и папка, содержащая недействительные и просроченные сертификаты. Поскольку их своевременное обновление и замена позволят избежать проблем с работой компьютера.

Добавление новой ЭЦП

Добавить в хранилище сертификатов через меню КриптоПро CSP новый объект можно двумя способами:

  • Через «Посмотреть установленные сертификаты в контейнере»;
  • Через «Установить личный сертификат (ЛС)».

Для ОС Windows 7 без установленного SP1 рекомендован второй путь.

Установка через контейнер

Для начала нужно открыть Панель управления ПК, выбрать там КриптоПро и вкладку Сервис, после чего нажать кнопку просмотра:

В новом окне через «Обзор» пользователь выбирает нужный контейнер, и подтверждает действие через «ОК»:

Если после нажатия «Далее» выходит ошибка о том, что в контейнере закрытых ключей и сертификатов не обнаружен ключ шифрования, то рекомендуется совершить установку вторым методом.

В программе КриптоПро CSP версии 3.6 и выше в открывшемся окне необходимо нажать «Далее», «Установить» и согласиться с предложенными условиями. В иных версиях программы в поле «Сертификат для просмотра» пользователь должен открыть свойства.

Следующий шаг: через вкладку «Общие» перейти к установке сертификата:

На последних версиях ПО просто выберите хранилище ключей ЭЦП. Обычно после подтверждения действия в автоматическом режиме ключ попадает в папку «Личные»:

Если все сделано правильно, то появится сообщение об успешном импорте.

Установка через меню ЛС

Установка ключа ЭЦП этим способом требует наличия файла с расширением .cer, который обычно находится на жестком диске ПК или на токене. Начинается работа аналогичным образом через панель управления ПК, папки с программой КриптоПро и вкладки «Сервис». Нажать нужно на кнопку установки личного сертификата:

Откроется Мастер установки, в котором сначала пользователь нажимает «Далее», а затем переходит к выбору нужного файла через «Обзор»:

Чтобы выбрать путь, нужно открыть хранилище сертификатов, и нажать «Далее». Пароль на хранилище ключей обычно стандартный, и равен комбинации чисел от 1 до 6:

Если есть необходимость, то в новом окне можно посмотреть информацию о сертификате, а если нет — можно сразу переходить к следующему шагу:

Пользователь должен ввести или указать контейнер закрытого ключа КриптоПро, который содержит искомый электронный документ. Сделать это можно через кнопку «Обзор»:

Подтверждает свой выбор пользователь через нажатие «Далее»:

Следующий шаг — выбор хранилища, куда будет помещен новый ключ. Для этого в соответствующем окне нажимают «Обзор». В версии КриптоПро 3.6 и выше необходимо также установить флажок напротив пункта об установке сертификата в контейнер:

Далее нужно выбрать хранилище и подтвердить действие:

Если после последующего нажатия «Далее» и «Готово» появилось сообщение о том, что данный сертификат уже имеется на ПК, и его можно заменить на новый с проставленной ссылкой на закрытый ключ, то нужно нажать «Да». При правильно выполненных действиях в течение нескольких секунд появится сообщение об успешной установке ЛС на компьютер.

Работа с электронной цифровой подписью иногда требует обновления или переустановки сертификатов, а также проверки их актуальности. Для этого пользователю необходимо знать и место их хранения в реестре, и в операционной системе и понимать, как можно осуществить установку или экспорт.

Обычно процесс поиска интересующего ключа ЭЦП занимает несколько минут и при следовании инструкции не вызывает ошибок или проблем.

Если во время установки сертификатов происходят повторяющиеся сбои или системные ошибки, то лучше обратиться в службу технической поддержки для разъяснения ситуации.

Источник: https://myedo.ru/elektronnaya-podpis/nastrojka-i-oshibki/gde-hranyatsya-sertifikaty-na-kompyutere

Ключевые контейнеры в реестре | сЭВО:эволюция работ

Настройка цифровой подписи в криптопро. Где хранится закрытый ключ в реестре Windows

Операционная система Windows умерла и нет возможности восстановить. В системе находились ключевые контейнеры записанные в реестр и на других носителях их не существует. Перенесем ключевые контейнеры со старого реестра в новую систему.

Ключевые контейнеры в реестре как с ними работать?

Для работы со старым реестрам нужны права на открытие необходимых данных иначе вылезет предупреждение:

Для работы со старым реестром выполним следующие действия:

  • Скачиваем программу PsTools и распаковываем в любую папку;
  • Копируем необходимый файл PsExec.exe в папку C:\Windows\System32;
  • Запускаем командную строку cmd от имени администратора;
  • Вставляем команду psexec -i -d -s c:\windows\regedit.exe и нажимаем Enter.

Вот так это должно выглядеть в cmd:

Теперь вы можем спокойно работать с реестром и не получать предупреждения о невозможности просмотра данных.

Необходимые данные в старом реестре

Файлы реестра находятся по пути Windows/system32/config файл который нас интересует называется SOFTWARE. В нашем случае он был исправен в противном случае восстановить нужные данные не получиться.

Подключаем старый реестр в новый

Для подключения необходимо выполнить следующие действия:

  • Выбрать необходимую ветку реестра HKEY_LOCAL_MACHINE;
  • Перейти в меню Файл → Загрузить куст;
  • Выбрать необходимый файл SOFTWARE;
  • Назначить имя загруженному кусту (в моем случае old).

После успешного подключение вы увидите куст с введенным ранее названием.

Серийный номер КриптоПро в реестре

Определить какая стояла версия и серийный номер можно посмотрев записи на скрине ниже (внизу указан путь где смотреть):

Где хранятся контейнеры ключей в реестре

Все контейнеры вы можете найти по пути (для 64): HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings
\USERS\(идентификатор пользователя)\Keys\(Название контейнера)

Сохранение ключевых контейнеров

Теперь нам необходимо экспортировать раздел с ключами для выполнения необходимых изменений и загрузки в рабочий реестр. После экспортирования я получил файл с названием reestr.reg.

Добавление контейнеров в новый реестр

Перед тем как добавить в новый реестр контейнеры нам надо сменить uid пользователя и отредактировать путь убрав название загруженного куста.

Смотрим UID необходимого пользователя

В командной строке cmd вносим команду WHOAMI /USER и видим нужный sid пользователя:

Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью». Вставляется текст по нажатию правой кнопки мыши!

Меняем данные в файле

Открываем файл в блокноте и делаем замену:

Не забудьте убрать название куда добавляли куст! Вам надо загрузить в рабочую часть реестра!

Выгружаем старый реестр

Не ищите возможности удаления старого куста который мы добавляли!Ненужный больше куст можно только выгрузить!

Проверка добавления ключевых контейнеров

Открываем программу Crypto Pro и смотрим что у нас есть в реестре:

Всё прошло успешно и все ключевые контейнеры присутствуют.

Добавление сертификата через Крипто ПРО

Берём открытый сертификат что нам нужен и устанавливаем его через Crypto Pro указав автоматический поиск контейнера. В случае если ставили контейнеры не вводя пароль просто жмите Ентер ( если вводили то ищите куда записали).

Все действия с ключами выполняйте через программу Crypto Pro!

Перенос всех сертификатов

Все сертификаты в системе Windows находятся по пути C:\Users\НУЖНЫЙ ПОЛЬЗОВАТЕЛЬ\AppData\Roaming\Microsoft\SystemCertificates\My. Достаточно скопировать эту папку в аналогичное место на новом компьютере и ключи будут перенесены.

Вывод

Вывод только один — храните резервные копии ключей. В моем случае мне  удалось восстановить закрытые контейнеры ключей и личные сертификаты. Стараюсь всегда или переносить ключи в реестра и хранить оригиналы, если это возможно. Не ленитесь делать резервные копии.

, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник: https://sevo44.ru/kljuchevye-kontejnery-v-reestre-windows/

Правник
Добавить комментарий