Хочу вас сразу предупредить, что с точки зрения безопасности, это очень не надежно и ваши закрытые ключи могут быть похищены, если вы не организовываете надлежащий уровень безопасности И так, у меня есть USB токен SafeNet, на который я выпустил тестовую ЭЦП, ее я буду переносить вместе с закрытым ключом в реестр Windows. Открываем утилиту CryptoPRO с правами администратора.
Переходите на вкладку «Сервис» и нажимаете «скопировать» У вас откроется окно «Контейнер закрытого ключа», тут вам нужно нажать кнопку «Обзор», что бы выбрать ваш сертификат, который вы хотите скопировать в реестр. В итоге у вас в поле «Имя ключевого контейнера» отобразиться абракадабровое имя. Нажимаем далее. У вас появится окно с вводом пин-кода от вашего USB токена.
Теперь вам необходимо задать имя для копируемого сертификата в реестр Windows, КриптоПРО благо, это позволяет.
Я назвал его «Копия сертификата в реестре
Оглавление:
В общем, с этой темой рано или поздно придется познакомиться многим.
Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме.Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:
Я опишу оба этих способа, но подробно остановлюсь именно на втором способе.
В некоторых ситуациях он является единственно возможным.
В противном случае перенос произвести не получится. Перед началом манипуляций подсоедините флешку к компьютеру и перейдите в «Панель управления» системы.
Откройте раздел «Система и безопасность».
В указанной директории отыщите пункт «КриптоПро CSP» и щелкните по нему. Откроется небольшое окошко, где требуется переместиться в раздел «Сервис».
Далее нажмите кнопку «Скопировать…». Отобразится окошко копирования контейнера, где требуется щелкнуть по кнопке «Обзор…». Откроется окошко выбора контейнера.
Выделите из перечня наименование того из них, сертификат из которого желаете скопировать на USB-носитель, и нажмите «OK».
Затем отобразится окно аутентификации, где в поле «Введите пароль» требуется произвести ввод ключевого выражения, которым запаролен выбранный контейнер. После заполнения указанного поля нажмите «OK».
После этого происходит возврат в основное окно копирования контейнера закрытого ключа.
Зайдите на профиль Диагностики «Копирования» .
2. Вставьте носитель, на который необходимо скопировать сертификат. 3. На нужном сертификате нажмите на кнопку «Скопировать». Если на контейнер был задан пароль — появится сообщение
«Введите пароль для устройства с которого будет скопирован сертификат»
.
Введите пароль и нажмите на кнопку «Далее».
3.
2.2.
Сведения: Отказано в доступе.» Если у вас нет возможности залогиниться под нужным пользователем, то вам поможет утилита Марка Руссиновича psexec (скачать можно или ) , которая позволяет запускать процессы от имени системной учетки.
С помощью psexec запускаем regedit от имени системы: psexec -i -d -s c:\windows\regedit.exe и нам становятся доступны все разделы. Этот же трюк спасет если система вообще не загружается, нужно скопировать
Для этого берем чистую флешку запускаем Крипто Про.
Пуск — Все программы — Крипто Про — Сертификаты. Вообще лучше хранить копии ключей на отдельной флешки у себя в шкафу. Далее ищем в хранилище нужный сертификат и открываем его.
В открывшемся окне переходим на вкладку Состав и снизу кликаем Копировать в файл. Откроется мастер экспорта сертификатов на первой вкладке кликаем далее.
Нужно указать копировать закрытый ключ или нет. Нам он пока не нужен по этому оставляем все как есть. Теперь отмечаем необходимый формат сертификата в большинстве случаев тут нужно оставлять все по умолчанию.
Далее указываем имя и место куда будет скопирова сертификат. Нажимаем далее и готово, сертификат скопирован.
Для некоторых сертификатов нужен закрытый ключ. Его также можно скопировать из реестра на флешку.
Запускаете reg файл, после этого все готово, но необходимо будет заново установить личные сертификаты для того что бы привязать сертификаты к контейнерам.
Нужно экспортировать ветку KEY_CURRENT_USER\Software\Microsoft\SystemCertificates\My в reg файл, допустим 1.reg ВНИМАНИЕ! Если версии КриптоПро CSP разные то такой способ не пройдет, т.к. в 3,0 крипто-провайдер называется, например, Crypto-Pro GOST R 34.10-2001 KC2 CSP а в 3,6 — Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider и из-за этого возникнут проблемы при обращении к закрытому ключу.
ИЛИ 1. Откройте
Также этим методом очень удобно бекапить и клонировать ключи тогда, когда их много(например в аутсорс-бухгалтериях).
P.S. Не забывайте после переноса установить сертификаты из криптоконтейнеров в «Личные». Добавление от В крипто-про на контейнеры можно ставить пин-код.
А так же при вводе этого пин-кода можно поставить галочку «сохранить» — и в дальнейшем его вводить не придётся. Иногда после этого пин-код благополучно забывают (что и произошло у нас в компании).
При копировании вышеописанным методом, контейнер остаётся защищён пин-кодом — а вот «сохранение» этого пин-кода не переносится на новый компьютер. Что можно сделать в таком случае?
Если исходный компьютер ещё жив — заходим в панель управления -> КриптоПро CSP -> Сервис -> Скопировать Выбираем нужный контейнер (кнопка «обзор» или «по сертификату», как проще найти) -> Далее -> вводим название нового контейнера -> далее -> устанавливаем на него новый пароль.
Тут можно выбрать как флешку, так и другой диск ПК;
Для создания копии дубликата ЭЦП на флешке нужно:
Папку с закрытым ключом (и, если есть, файл сертификата — открытый ключ) поместите в корень дискеты / flash-накопителя (если поместить не в корень, то работа с сертификатом будет невозможна). Название папки при копировании рекомендуется не изменять.
В папке с закрытым ключом должно быть 6 файлов с расширением.key. Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб).
В этом случае копировать открытый ключ необязательно. Пример закрытого ключа — папки с шестью файлами и открытого ключа — файла с расширением.cer.
Закрытый ключ Открытый ключ 1.
Зайдите на профиль Диагностики «Копирования» по ссылке. 2. Вставьте носитель, на который необходимо скопировать сертификат.
3. На нужном сертификате нажмите на кнопку «Скопировать». Если на контейнер был задан пароль — появится сообщение
«Введите пароль для устройства с которого будет скопирован сертификат»
. Введите пароль и нажмите на кнопку «Далее».
4.
Система отобразит окно, в котором необходимо выбрать носитель для копированного контейнера. Откроется окно установки пароля на доступ к закрытому ключу.
Введите пароль, подтвердите его, и нажмите кнопку ОК.
На выходе у вас появятся два файла. Одни открытый ключ в формате cer и закрытый ключ в формате pfx. Этого набора вам будет достаточно, чтобы перенести сертификаты СБИС, Контура и остальных программ на другой компьютер.
Теперь перенесите эти файлы на другое рабочее место и просто запустите, через простой двойной клик. У вас откроется мастер импорта сертификатов, на первом окне выберите нужное вам хранилище, я в своем примере оставлю «Текущий пользователь».
На втором шаге проверяем импортируемый сертификат. Указываем пароль, который задавали при выгрузке. Оставляем автоматический выбор хранилища на основе типа сертификатов.
Готово. Со вторым файлом то же самое.
Внимание У меня это внешний жесткий диск Z:\.
Система отобразит окно, в котором необходимо выбрать носитель для копированного контейнера.
Откроется окно установки пароля на доступ к закрытому ключу. Введите пароль, подтвердите его, и нажмите кнопку ОК. На выходе у вас появятся два файла.
Одни открытый ключ в формате cer и закрытый ключ в формате pfx. Этого набора вам будет достаточно, чтобы перенести сертификаты СБИС, Контура и остальных программ на другой компьютер. Теперь перенесите эти файлы на другое рабочее место и просто запустите, через простой двойной клик.
У вас откроется мастер импорта сертификатов, на первом окне выберите нужное вам хранилище, я в своем примере оставлю «Текущий пользователь». На втором шаге проверяем импортируемый сертификат. Указываем пароль, который задавали при выгрузке.
Оставляем автоматический выбор хранилища на основе типа сертификатов.
Готово. Со вторым файлом то же самое.