Экспорт контейнеров закрытого ключа из VipNet CSP в КриптоПро CSP

Перенос vipnet csp на другой компьютер. Пошаговая инструкция как скопировать сертификат ЭЦП

При переносе электронной отчетности на другой компьютер или переустановки программы шифрования нужно скопировать электронные подписи. В пошаговой инструкции показываем, как произвести корректное копирование электронных подписей через программу ViPNet CSP.

Шаг 1. Откройте программу VipNet

Скорее всего вы не найдете ярлык на рабочем столе. Чтобы открыть программу следуйте четырем шагам:

1. Перейдите в меню «Пуск»
2. Откройте пункт «Все программы»
3. Найдите папку с наименованием «ViPNet»
4. Нажмите на значок с названием «ViPNet CSP»

Откроется программа шифрования VipNet.

Шаг 2. Откройте электронную подпись для копирования

В левой части открывшегося окна перейдите на закладку «Контейнеры». Появится список электронных подписей, которые находятся на вашем компьютере.

Выберите из списка электронную подпись для копирования. Нажмите на кнопку «Копировать» .

Шаг 3. Выберете место копирования электронной подписи

Система предложит выбрать директорию, в которую будет скопирована подпись. Нажмите на кнопку «Обзор» .

В окне «Обзор папок» укажите место копирования электронной подписи. Затем нажмите «ОК».

Внимание! Директория, в которую копируются подписи, не должна назваться infotecs или containers, если дальше вы планируете полное удаление ViPNet CSP.

Шаг 4. Скопируйте электронную подпись

В некоторых случаях система запросит пароль электронной подписи. Введите его и нажмите «ОК».

Электронная подпись скопирована.

Есть два варианта, которыми может быть установлена электронная подпись:

1. В систему может быть установлен только сертификат открытого ключа подписи, а контейнер подписи (содержащий закрытый ключ) останется хранится на носителе электронной подписи. В этом случае каждый раз, когда необходимо будет использовать подпись, потребуется, чтобы в компьютер был вставлен носитель электронной подписи.
2. В систему может быть скопирован как сам контейнер подписи (содержащий закрытый ключ), так и сертификат открытого ключа подписи. В этом случае для использования подписи не потребуется вставлять носитель электронной подписи, т.к. закрытый ключ хранится на компьютере.

Главный принцип хранения электронной подписи заключается в том, чтобы к ней имел доступ только владелец подписи. Для этого отлично подходит использование таких носителей электронной подписи, как USB-токен. В случае копирования и последующего хранения электронной подписи в компьютере она может быть скомпрометирована, например, в результате деятельности компьютерного вируса, взлома, получения доступа к компьютеру других лиц (как внешних по отношению к организации, так и внутренних).

Предварительные действия

1. Убедитесь, что установлен драйвер носителя электронной подписи (например, RuToken)
2. Запустите ViPNet CSP (ярлык запуска находится на рабочем столе)

Убедитесь, что присутствует галка «Включить поддержку работы ViPNet CSP через MS Crypto API». При ее отсутствии – включите.

Процедура экспорта

После того, как требуемые контейнеры указаны в VipNet CSP, а сертификаты из них установлены в хранилище Личное, перейдите к процедуре экспорта.

Откройте папку с утилитой и запустите файл ImportKeysFromStore.bat. Появится командная строка и через некоторое время всплывающее окно Убедитесь, что все ключевые носители подключены, нажмите ОК:

Спустя некоторое время появится всплывающее окно со списком сертификатов, которые были экспортированы, это сигнализирует об успехе операции:

Системные требования

• Процессор — Intel Core 2 Duo или другой схожий по производительности x86-совместимый процессор с количеством ядер 2 и более.
• Объем оперативной памяти — не менее 1 Гб.
• Свободное место на жестком диске — не менее 100 Мб.
• Операционная система Windows — Windows Server 2003 (32-разрядная), Windows Vista (32/64-разрядная), Windows 7 (32/64-разрядная), Windows Server 2008 (32/64-разрядная), Windows Server 2008 R2 (64-разрядная), Windows 8 (32/64-разрядная), Windows Server 2012 (64-разрядная), Windows 8.1 (32/64-разрядная), Windows Server 2012 R2 (64-разрядная).
• При использовании более ранних версий Windows, чем Windows 8, на компьютере должен быть установлен накопительный пакет обновления часовых поясов KB2570791.
• Для операционной системы должен быть установлен последний пакет обновлений.
• Internet Explorer — версия 8.0 или выше.

• На компьютере не должно быть установлено никаких программ КриптоПро.
• На компьютере должно быть установлено точное время.

Нюансы

Необязательно копировать все файлы из папки «%ProgramFiles%InfoTeCSViPNet Client», но так удобнее. На самом деле, достаточно скопировать только следующие файлы и папки:

• d_station (ключевая информация);
• databases (ключевая информация);
• Protocol (если нужны протоколы сеансов обмена сообщениями);
• TaskDir (если нужны файлы принятые по файловому обмену);
• Папки ключей пользователей, обычно user_AAAA (где AAAA — шестнадцатеричный идентификатор пользователя ViPNet). Папка ключей пользователя может совпадать с папкой куда установлен ViPNet Client, тогда следует скопировать папку key_disk.
• MS (текущий архив писем «Деловой почты»);
• MSArch (папка архивов «Деловой почты» по умолчанию);
• autoproc.dat (настройки автопроцессинга);
• wmail.ini (настройки «Деловой почты»);
• файлы AP*.TXT: APAXXXX.TXT, APCXXXX.TXT, APIXXXX.TXT, APLXXXX.TXT, APNXXXX.CRC,
  APNXXXX.CRG, APNXXXX.TXT, APSXXXX.TXT, APUXXXX.TXT (где XXXX — шестнадцатеричный
  идентификатор сетевого узла);
• infotecs.re (файл лицензии);
• iplir.cfg, iplirmain.cfg (конфигурация фильтров открытой и закрытой сети Vipnet Monitor);
• ipliradr.do$ (конфигурация фильтров открытой и закрытой сети Vipnet Monitor);
• linkXXXX.txt, nodeXXXX.tun (где XXXX — шестнадцатеричный идентификатор сетевого
  узла);
• mftp.ini. (конфигурация модуля MFTP)

Если, всё-таки, нужно установить VipNet Client на новом компьютере в другую папку, по другому пути:

Бывает такое, что на логическом диске C: нового компьютера может не хватить места для больших архивов писем. Тогда Вы можете скопировать архивы писем на другой логический диск, а путь к ним указать вручную. Это можно сделать следующим образом:

• В файле wmail.ini в качестве значения параметра MSArchDir укажите путь к хранилищу архивов писем;

Для инициализации контейнера и установки сертификата необходимо выполнить следующие действия:

1. Откройте программу ViPNet CSP . Для этого перейдите в меню Пуск → Все программы → ViPNet CSP → ViPNet CSP.

2. Откроется окно Контейнеры ключей . Программа автоматически найдет созданные ранее контейнеры. Выделите необходимый контейнер и нажмите кнопку Свойства .

Если необходимого контейнера нет в списке, перейдите к .

3. В открывшемся окне нажмите кнопку Открыть

4. Откроется сертификат. Нажмите кнопку Установить сертификат .

5. Запустится Мастер импорта сертификатов . Не изменяя никаких настроек, последовательно нажимайте Далее → Далее → Готово . После этого появится окно с сообщением о том, что импорт сертификата успешно выполнен.

Контейнер и сертификат готовы к работе!

В случае, если необходимого контейнера нет в списке контейнеров VipNet CSP, в разделе Контейнеры ключей нажмите кнопку Добавить контейнер .

7. Нажмите кнопку Обзор . Программа предложит выбрать папку, в которой находится Ваш контейнер ключа.

8. После выбора контейнера откроется окно с подтверждением. Также будет предложено установить сертификат пользователя в системное хранилище сертификатов, подтвердите действия, нажав кнопку Да .

Примечание. При перемещении контейнера ключа в другой каталог, его необходимо добавить (проинициализировать) повторно.

Есть два варианта, которыми может быть установлена электронная подпись:

1. В систему может быть установлен только сертификат открытого ключа подписи, а контейнер подписи (содержащий закрытый ключ) останется хранится на носителе электронной подписи. В этом случае каждый раз, когда необходимо будет использовать подпись, потребуется, чтобы в компьютер был вставлен носитель электронной подписи.
2. В систему может быть скопирован как сам контейнер подписи (содержащий закрытый ключ), так и сертификат открытого ключа подписи. В этом случае для использования подписи не потребуется вставлять носитель электронной подписи, т.к. закрытый ключ хранится на компьютере.

Главный принцип хранения электронной подписи заключается в том, чтобы к ней имел доступ только владелец подписи. Для этого отлично подходит использование таких носителей электронной подписи, как USB-токен. В случае копирования и последующего хранения электронной подписи в компьютере она может быть скомпрометирована, например, в результате деятельности компьютерного вируса, взлома, получения доступа к компьютеру других лиц (как внешних по отношению к организации, так и внутренних).

Предварительные действия

1. Убедитесь, что установлен драйвер носителя электронной подписи (например, RuToken)
2. Запустите ViPNet CSP (ярлык запуска находится на рабочем столе)

Убедитесь, что присутствует галка «Включить поддержку работы ViPNet CSP через MS Crypto API». При ее отсутствии – включите.

Как перенести 1С-Отчетность на новое рабочее место. Порядок действий с CryptoPro

Иногда в процессе работы требуется перенести базу 1С на новый компьютер. В настоящее время все больше пользователей могут справиться с этой задачей самостоятельно: достаточно скопировать каталог и установить платформу на новый компьютер. Но для переноса базы с 1С-Отчетностью, помимо сохранения самой базы, дополнительно нужно выполнить сохранение контейнеров с ключами и установку криптопровайдера (или СКЗИ).

Подробнее остановимся на порядке действий в случае с платным CryptoPro. Пусть Компьютер 1 – рабочее место, где уже ведется работа в базе 1С с подключенным сервисом 1С-Отчетность. Компьютер 2 – рабочее место, на которое необходимо перенести базу с 1С-Отчетностью. В целом, порядок переноса контейнеров для CryptoPro такой же, как и для ViPNet: нужно скопировать контейнер на Компьютер 2, установить криптопровайдер и добавить контейнеры в список.

Для начала запустим Crypto Pro на Компьютере 1 и настроим флешку, на которую будем копировать контейнер, в качестве считывателя, иначе криптопровайдер ее не увидит. Если на рабочем столе нет ярлыка, то Crypto Pro можно запустить через «Все программы» или Панель управления. После запуска переходим на закладку «Оборудование» и нажимаем кнопку «Настроить считыватели», после чего нажимаем «Добавить» и в следующем окне в качестве считывателя указываем внешний носитель, на который будем копировать контейнер (носитель при этом должен быть вставлен в разъем компьютера):

Для того чтобы скопировать контейнер ключей из реестра, где он хранится, нужно запустить Crypto Pro, перейти на вкладку «Сервис» и нажать кнопку «Скопировать». Далее выбрать имя контейнера (имя используемого контейнера можно посмотреть в базе 1С в настройках последнего по дате заявления на подключение) и нажать «Далее»:

На следующем этапе указываем имя копируемого контейнера (можно произвольное), в качестве носителя выбираем любой внешний носитель (в данном случае флешку) и создаем пароль для переносимого контейнера (любой, не менее шести символов):

Контейнер скопирован. ПРИМЕЧАНИЕ: Переносить на новый компьютер нужно ВСЕ действующие контейнеры. Т.е. если в одной базе ведется несколько организаций с подключенным сервисом 1С-Отчетность, или сервис подключен в нескольких базах, скопировать нужно контейнеры для всех организаций и для всех баз.

Установка и регистрация криптопровайдера

Перед загрузкой и установкой криптопровайдера на Компьютер 2 нужно обратить внимание на версию ранее используемого продукта:

Дело в том, что лицензия Crypto Pro, которая приобретается платно, зависит от версии программы. Если на Компьютер 2 установить версию СКЗИ, отличную от ранее используемой, то уже приобретенная лицензия не подойдет и придется покупать новую.

Скачать Crypto Pro на Компьютер 2 можно на сайте разработчика «КРИПТО ПРО»: ГлавнаяЗагрузкаCrypto Pro CSP. Для получения продукта необходимо заполнить на сайте регистрационную форму, после чего можно перейти к скачиванию, выбрав нужную версию:

ПРИМЕЧАНИЕ: Если версия операционной системы на Компьютере 2 не позволяет установить Crypto Pro той же версии, что и используемая ранее на Компьютере 1, то потребуется приобретение обновления лицензии до новой версии криптопровайдера.

После загрузки криптопровайдера его нужно установить, запустив скачанный файл CSPSetup.ехе.

Установленный продукт необходимо зарегистрировать. Для регистрации открываем окно криптопровайдера, на закладке «Общие» нажимаем «Ввод лицензии» и указываем регистрационные данные, включая серийный номер:

Установка сертификатов

Перед тем, как установить сертификаты, нужно добавить контейнер с ключом подписи в реестр. Для этого запускаем установленный Crypto Pro, переходим на закладку «Оборудование» и нажимаем кнопку «Настроить считыватели», после чего нажимаем «Добавить» и в следующем окне в качестве считывателя указываем внешний носитель, на который ранее скопировали контейнер.

После завершения настройки переходим на вкладку «Сервис»«Скопировать» и по кнопке «Обзор» указываем контейнер на внешнем носителе:

Далее нужно задать имя контейнера (можно произвольное), в качестве носителя выбрать «Реестр» и ввести пароль от создаваемого контейнера (любой, не менее шести символов):

Следующим шагом будет установка сертификатов. На вкладке «Сервис» нажимаем «Просмотреть сертификаты в контейнере» и по кнопке «Обзор» указываем нужный контейнер:

Откроется окно просмотра сертификата. Здесь нужно нажать кнопку «Установить», а затем еще раз «Установить сертификат»

Работа с криптопровайдером завершена. Теперь нужно запустить базу 1С и произвести настройки учетной записи.

Настройка учетной записи в программе 1С

Чтобы продолжить работу с 1С-Отчетностью, нужно произвести настройку учетной записи в программе. Настройка производится одинаково, независимо от того, какой из криптопровайдеров установлен на компьютере. Для этого запускаем базу 1С и открываем окно настроек учетной записи. В 1С:Бухгалтерии ред. 3.0 это окно можно открыть в меню «Учет, налоги и отчетность»Регламентированные отчетыНастройкиНастройки обмена с ФНС, ПФР и Росстатомзначок «Лупа» в строке «Учетная запись документооборота»:

В других программах учетную запись можно открыть в справочнике «Организации»закладка «Документооборот»значок «Лупа» в строке «Учетная запись документооборота». В открывшемся окне учетной записи нужно нажать кнопку «Настроить автоматически сейчас».

После выполнения всех описанных действий можно отправлять отчеты в контролирующие органы.

КриптоПро CSP ошибка 0x80090010 Отказано в доступе

Иногда после переноса контейнеров закрытых ключей через экспорт — импорт ветки реестра с ключами можно увидеть ошибку доступа к контейнерам. Вроде бы все на месте, ключи есть в реестре. Их можно увидеть в останстке CryptoPro, но не получается прочитать. При попытке это сделать возникает ошибка:

Ошибка обращения к контейнеру закрытого ключа. Ошибка 0x80090010: Отказано в доступе. Связано это с тем, что у текущего пользователя, под которым вы хотите получить доступ к контейнеру, нет полных прав на ветку реестра с хранящимися ключами. Исправить это просто. Переходите в редактор реестра и выставляйте полные права к ветке Keys для текущего пользователя.

Убедитесь так же, что новые права наследовались на дочерние ветки с самими ключами. Обычно это так, но перепроверить на всякий случай непомешает. После этого ошибка с доступом к контейнеру закрытого ключа исчезнет.

Первый способ как перенести Vipnet Client на другой компьютер

Первый способ можно использовать если на узле нет сложных настроек, а письма, сохраненные в VipNet «Деловая почта», не важны и их не нужно хранить, или когда на узле вообще нет писем.

Как Вы поняли, этот способ подразумевает обычную установку VipNet Client на новом компьютере. Единственное, что Вам понадобится сделать, это подгрузить в программу ключевой дистрибутив (*.dst) сетевого узла, который использовался на старом ПК . Лучше всего попросить администратора сети VipNet сформировать и выдать Вам новый дистрибутив, но можно попробовать воспользоваться тем, который Вам выдали изначально, если он не устарел.

Если Вы не знаете, где Ваш дистрибутив (такое бывает), и администратор не спешит выслать Вам новый, то переходите ко второму способу.

Итак, первый способ перенести VipNet на другой компьютер:

1. Отключите старый компьютер от локальной сети или полностью выключите на нём Vipnet Client. Два одинаковых узла не могут одновременно находиться в одной виртуальной сети Vipnet ;
2. Установите на новом компьютере Vipnet Client;
3. Установите в Vipnet Client ключевой дистрибутив узла? который использовался на старом компьютере;
4. Установите требуемые настройки VipNet Client;
5. Теперь, если всё работает, можно удалить Vipnet Client со старого ПК.

5. Установка списка отзывов сертификатов

После скачивания файла списка отзывов сертификата и сохранения его в нужный каталог, откройте его правой кнопкой мыши через меню «Установить список отзыва (CRL)»

Перед Вами откроется «Мастер импорта сертификатов». Следуйте указаниям «Мастера импорта сертификатов». На этапе импорта необходимо убедиться, что пункт «Автоматически выбрать хранилище на основе типа сертификата» выбран и нажать Далее

После успешного импорта сертификата нажмите Готово.

Проверить корректность выстроенной цепочки сертификатов в системном хранилище Windows Вы можете на вкладке «Путь сертификации». Сертификаты не должны иметь иконок с красными крестами, а в разделе «Состояние сертификата» должен быть статус «Этот сертификат действителен»

Закройте окно криптопровайдера «VipNet CSP», нажав кнопку ОК

После получения контейнера ключа и при использовании его «1С» для работы с сервисом «1С-ЭДО», программа криптографической защиты информации может запросить пароль от контейнера закрытого ключа