Перенос контейнеров закрытых ключей и сертификатов CryptoPro
Криптопровайдер КриптоПро на сегодняшний день является, пожалуй, самым популярным на рынке, по крайней мере в России. Я хочу рассказать, как быстро и удобно перенести большое количество контейнеров закрытых ключей CryptoPro и сертификатов к ним. Существует штатный механизм в самой программе, работает в ручном режиме и не подходит, когда надо перенести большое количество.
Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «DevOps практики и инструменты» в OTUS. Курс не для новичков, для поступления нужно пройти вступительный тест.
Перенос КриптоПро CSP и ключей подписи
1. Установить Крипто Про CSP следуя инструкции инсталлятора
В процессе установки потребуется ввести серийный номер КриптоПро CSP. Серийный номер Вы можете получить из накладной на поставку ПК «Спринтер» (при подключении организации после февраля 2008г.). Если подключение было до февраля 2008г., то для получения серийного номера КриптоПро CSP позвоните по тел.: (4922)38-12-99 или 44-10-38.
2. Установить корневой сертификат удостоверяющего центра
На сайте www.nalog33.ru выбрать раздел «Удостоверяющий центр», щелкнуть левой кнопкой мыши по ссылке сертификат удостоверяющего центра ООО «Такском» и сохранить корневой сертификат Удостоверяющего центра на своем компьютере. (при запросе «Имя пользователя» и «Пароль» ввести данные используемые вами для доступа к разделу обновлений). Затем нажать правой кнопкой мыши по сохраненному сертификату и в открывшемся контекстном меню выбрать пункт «Установить сертификат», в результате чего будет запущен мастер импорта сертификатов.
Нажать кнопку «Далее»
В следующем окне «Мастер импорта сертификатов» необходимо установить переключатель выбора хранилища в положение «Поместить все сертификаты в следующее хранилище», а с помощью кнопки «Обзор» – указать в качестве имени хранилища «Доверенные корневые центры сертификации», нажать «Ок», «Далее».
Нажать кнопку «Готово»
3. Экспорт сертификата
Перед тем как установить личный сертификат на новом рабочем месте, должна быть выполнена процедура экспорта сертификата со «старого» рабочего места, которую можно осуществить одним из двух способов.
ВАЖНО! Если с одного компьютера сдается отчетность нескольких организаций, необходимо повторить процедуру экспорта личного рабочего сертификата для каждой организации, в указанном ниже порядке.
1 способ: Вставить в компьютер ключевой носитель, запустить Internet Explorer и последовательно выбрать в меню пункты «Сервис» – «Свойства обозревателя». В открывшемся окне «Свойства обозревателя» следует перейти на закладку «Содержание», нажать на кнопку «Сертификаты» и перейти на закладку «Личные». При этом откроется окно со списком установленных личных сертификатов, в котором нужно выделить экспортируемый сертификат и нажать на кнопку «Экспорт».
В открывшемся окне мастера экспорта сертификатов следует нажать кнопку «Далее».
В следующем окне на вопрос об экспорте закрытого ключа вместе с сертификатом следует ответить «Нет» (установить переключатель в положение «Нет»).
В окне выбора формата файла сертификата нужно установить переключатель в положение «Файлы в DER-кодировке…»
В следующем окне с помощью кнопки «Обзор» необходимо указать съемный носитель (дискета, флешка), на который копируется сертификат и имя файла сертификата (любое).
нажимаем кнопку «Сохранить», «Далее», «Готово».
2 способ: Вставить в компьютер ключевой носитель, запустить программу «КриптоПро CSP» (Пуск – Настройка – Панель управления – КриптоПро CSP) и на закладке «Сервис» нажать кнопку «Просмотреть сертификаты в контейнере», затем нажать кнопку «Обзор».
В окне «Выбор ключевого контейнера» выбираем контейнер, откуда будем копировать личный сертификат, нажимаем кнопку «Ок», «Далее».
В появившемся окне «Сертификаты в контейнере закрытого ключа», нажать кнопку «Свойства»
Откроется окно «Сертификат», где надо перейти на вкладку «Состав» и нажать кнопку «Копировать в файл…», расположенную в нижней части окна
В открывшемся окне мастера экспорта сертификатов следует нажать кнопку «Далее».
В следующем окне на вопрос об экспорте закрытого ключа вместе с сертификатом следует ответить «Нет» (установить переключатель в положение «Нет»).
В окне выбора формата файла сертификата нужно установить переключатель в положение «Файлы в DER-кодировке…»
В следующем окне с помощью кнопки «Обзор» необходимо указать съемный носитель (дискета, флешка), на который копируется сертификат и имя файла сертификата (любое).
нажимаем кнопку «Сохранить», «Далее», «Готово».
Примечание. Если на прежнем рабочем месте ключи подписи находились в Реестре, то помимо экспорта личного сертификата, также необходимо выполнить процедуру копирования закрытого контейнера из Реестра.
Для копирования ключевой информации из Реестра на дискету (на флэш-носитель) следует запустить программу «КриптоПро CSP» («Пуск – Настройка – Панель управления – КриптоПро CSP») и перейти на закладку «Сервис» и нажать кнопку «Скопировать контейнер».
Далее откроется окно мастера копирования «Копирование контейнера закрытого ключа», где следует нажать на кнопку «Обзор».
В открывшемся окне «Выбор ключевого контейнера» следует выделить мышью строку с ключевым контейнером — Реестр и нажать кнопку «ОК», «Далее».
В следующем окне в поле «Имя ключевого контейнера» следует ввести имя ключевого контейнера (любое), на который копируется ключевая информация из Реестра.
После этого нужно нажать кнопку «Готово». В открывшемся окне в поле «Устройства» следует выбрать требуемый считыватель («Дисковод А» – для считывателя дискета или «Дисковод [буква диска флеш-носителя]» – для флеш-носителя), выделив его мышью, и нажать кнопку «ОК».
Копирования закрытого контейнера с дискеты (флеш-носителя) в Реестр делается аналогично.
4. Установка личного сертификата.
Для установки личного сертификата Вам потребуется:
а) файл личного сертификата (процедура экспорта описана в п.3 данной инструкции)
б) закрытый контейнер (находится на съемном носителе или в Реестре)
ВАЖНО! Если с одного компьютера сдается отчетность нескольких организаций, необходимо повторить процедуру установки личного рабочего сертификата для каждой организации, в указанном ниже порядке.
Для установки личного сертификата с ключевого носителя нужно запустить программу «КриптоПро CSP» («Пуск – Настройка – Панель управления – КриптоПро CSP») и на закладке «Сервис» нажать кнопку «Установить личный сертификат».
В окне «Мастер установки личного сертификата» нажать кнопку «Обзор» и указать путь к ранее скопированному личному сертификату, который имеет маску *.cer.
нажать кнопку «Далее», появится окно, содержащее данные сертификата
Затем в окне «Мастер установки личного сертификата» нажать кнопку «Обзор» и в появившемся окне «Выбор ключевого контейнера» нужно указать имя ключевого контейнера, нажать на «ОК».
В этом же окне мастера установки личного сертификата нужно нажать кнопку выбора в поле «Выберите CSP для выбора ключевых контейнеров», выбрать «GOST R 34.10-2001 Cryptographic Service Provider» и нажать кнопку «Далее».
В следующем окне нажать на кнопку «Обзор» и в появившемся окне «Выбор хранилища сертификата» выбрать хранилище Личные, нажать «Ок», «Далее».
После завершения работы мастера установки личного сертификата нужно нажать кнопку «Готово».
Как скопировать средствами Windows
Это самый простой и быстрый вариант переноса информации. Но скопировать получится только те ключи, которые внесены в реестровую запись Windows. И еще одно условие — версия «КриптоПро» от 3.0 и выше.
Если вы пользуйтесь ЭЦП на дискете или обычной флешке (не токене), то скопируйте папки с закрытым и открытым (если он есть) ключами в корень накопителя. Наименование папок не меняйте. Для проверки откройте папку с закрытым ключом. Ее содержимое всегда выглядит так:
Если в закрытой папке есть шесть файлов с расширением .key, копировать открытый сертификат нет необходимости.
Другой вариант — копирование с помощью мастера экспорта сертификатов. Следуйте инструкции:
Шаг 1. Выберите ЭЦП для переноса. Как и где найти сертификат ЭПЦ на компьютере в операционной системе Windows:
- «Пуск».
- «Панель управления».
- «Свойства обозревателя/браузера».
В свойствах находите вкладку содержание и раздел «Сертификаты».
Шаг 2. Переходите в нужный раздел — во вкладку «Личные». Выбираете искомый контейнер. Необходимое действие — «Экспорт».
Шаг 3. Мастер экспорта сертификатов предложит экспортировать закрытый ключ вместе с сертификатом. Нажмите «Нет» и переходите дальше.
Шаг 4. В открывшейся форме выберите такой вариант.
Шаг 5. Выберите директорию, куда сохраните ключ (используйте «Обзор»).
Нажмите «Далее» и «Готово». Копирование завершено.
Используйте скопированную ЭЦП без подключения цифрового носителя.
Ошибка копирования контейнера
Обычно процесс переноса информации проходит без ошибок, но некоторые закрытые ключи Удостоверяющий центр помечает как «Недоступные для копирования». Делается это для того, чтобы в случае необходимости пользователи обращались в УЦ за копией. Выглядит ошибка так:
Если при повторной попытке копирования с использованием утилиты ошибка повторяется, то нужно использовать другой способ переноса информации.
LiveInternetLiveInternet
Источник http://northschool.ru/wp-content/uploads/2015/01/Kuhnya-Pogody-.pdf журнал «Химия и жизнь».
UPD от 27 ноября 2012 г. Я смотрю, интерес с этому посту не затихает, поэтому считаю своим долгом предупредить, что пост написан в конце 2009 года, то есть три года назад. За это время могло многое поменяться. Доверяй, как говорится, но проверяй.
Тем, кто вообще не имеет отношения к отправке бухгалтерской отчетности по каналам связи, тем этот пост читать не стоит. Этот пост для тех, у кого случилась ситуация переезда/смены компьютера и всё такое прочее, а на старом компе стоит пресловутый такскомовский Референт. И стоит задача перенести сдачу отчетности организации и все данные об уже отправленной отчетности на новый компьютер.
1. Копируем ВСЮ папку C:Dipost (указываю путь по умолчанию, у вас может быть другой путь) со старого компьютера в любое удобное место — на флэшку, диск или по сети. Только имейте ввиду, что поскольку Дипост содержит кучу всякого мелкого файлА, копируется всё это чрезвычайно медленно, поэтому лучше вначале заархивировать, а потом переносить.
2. Экспортируем серитификат пользователя (их может быть несколько, если отчетность сдаётся по нескольким организациям). для этого нужно приготовить ключевую дискету и копировать сертификаты на неё. Запускам браузер, идем Сервис — Свойства обозревателя. далее на вкладку Содержание — Сертификаты — Личные. Откроется окно, в котором можно промотреть установленные личные сертификаты пользователей, подвечиваем необходимый сертификат, жмем Экспорт.
Далее следуем указаниям мастера сертификатов. Для сохранения указываем путь к ключевой дискете, в качестве имени выбираем любое. Расширение сертификата должно быть *.cer. Также поступаем с остальными необходимыми сертификатами (естественно, что просроченные копировать не надо).
Совет: настоятельно рекомендую экспортировать сертификаты пользователя СРАЗУ после генерации новых ключей, вдруг потом пригодятся.
3. Таким же образом экспортируем ключевой сертификат Authority Center (его можно найти на закладке «Доверенные корневые центры сертификации») — это надо сделать на тот случай, если этот сертификат не «подцепит» Мастер обновлений. Кстати, последний сертификат должен действовать до 2013 года.
Здесь всё. Теперь можно переходить в новому компьютеру и начинать работать на нём.
4. Первым делом устанавливаем «Средства электронного документооборота» с диска, предоставленного новому клиенту Такскомом. Этот диск, кстати, тоже настоятельно рекомендую после первичной установки сохранить. Установка не представляет никаких проблем, более того, на том же установочном диске в папке с документацией можно найти подробную пошаговую инструкцию в картинках (за что техподдержке Такскома огромное спасибо).
Потом устанавливаем Крипто-Про (если ещё не установлено, ибо это средство криптографической защиты является самой популярной на сегодня криптографической программой и используется для чёртовой тучи разных нужд, вроде банка-клиента, электронной торговли и тому подобное).
Установка программы «Налогоплательщик» — опциональна. Кто-то пользуется им, кто-то предпочитает верстать отчётность непосредственно в 1С или аналогичных программах, это не суть.
5. Потом запускаем Мастер обновлений: Пуск — Программы — Taxcom — Sprinter — Мастер обновлений. Запускам, вводим свой логин и пароль доступа (он указан на регистрационной карточке, которую выдают каждому новому клиенту. Что-что, а вот эту карточку имеет смысл хранить как зеницу ока). Далее следуем указаниям мастера.
6. После успешного обновления закрываем все мастера и сам Референт и просто копируем папку Dipost из того места, где мы её спрятали (см. п.1) в папку Dipost на новом компьютере. На все (!) замечания, что такой-то файл уже существует — говорим «Заменить».
Вплоть до этого момента всё должно происходить в режиме Да, Да, ОК, Ура, Согласен, Даёшь. т.е. безо всяких проблем, тупо выполняя указания соответствующих мастеров.
7. Теперь, если всё выполнено правильно, мы имеем полностью настроенный ящик в Референте, сохранённую почту, но отчетность отправлять еще нельзя. Для завершения настройки нужно установить рабочий сертификат пользователя и привязать его к ключевой дискете.
Для этого выполняем импорт сертификатов, которые мы сохраняли на дискету в п. 2. Действуем точно так же как при экспорте, только жмём кнопку «Импорт» и выполняем все указания мастера импорта сертификатов.
8. Теперь надо связать ключевой сертификат и ключи дискеты. Делается это через программу КриптоПро. Запускам её Пуск — Настройка — Панель управления — КриптоПро CSP, идём на вкладку Сервис — Установить личный сертификат
Далее следуем указаниям Мастера установки личного сертификата. ВАЖНО: если при создании ключа был указан пароль на контейнер, его введение потребуется на этом шаге. Никаких особенных проблем тоже быть не должно.
9. Теперь перезагружаемся, запускаем Референт и проводим Авто-тест, пользуясь ключевой дискетой.
Вот и всё! Вдруг кому-то пригодится.
И ещё — запоминайте пароли (а лучше — записывайте и храните в недоступном месте), храните дистрибутивы и не выбрасывайте регистрационные сведения — всё это может оказаться полезным.
Копирование средствами Windows
Если электронная подпись хранится на дискете или флешке, скопировать контейнер с сертификатом можно просто средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Для копирования переместите папку с закрытым ключом в основную папку флешки (корневую папку). Если у вас есть файл сертификата, то переместите его вместе с папкой.
В папке с закрытым ключом должны находиться шесть файлов с расширением.key:
Вместе с завершением перемещения этой папки будет закончено копирование закрытого ключа.
Чтобы начать работу со скопированным сертификатом, его нужно установить, следуя указаниям этой инструкции.
Перенос сертификатов в виде пошаговой инструкции
Первые два пункта я описывать тут не стану, так как я уже это подробно рассказывал, посмотрите по ссылкам. Я расскажу, об остальных методах и начнем мы с классического КриптоПРО.
Данный метод подойдет для тех ситуаций, когда у вас один или 2 сертификата (ЭЦП). Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит, и там придется выбирать 4-й метод.
Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты
Массовое перемещение закрытых ключей
Идеальный вариант – перенесение ключей способом копирования всех данных конкретной ветки. Для этой операции потребуется узнать SID настоящего владельца, вбив в командную строку следующее: wmic useraccount where name=’zerox’ get sid, где zerox является именем записи учета. Далее нужно скопировать данные ключей в файл, открыв редактор реестра и выбрав папку Keys. После сохранения ветки реестра можно быть уверенным, что в ней сохранены все закрытые ключи. С целью переноса ключей и сертификатов, кроме самой ветки, необходимо сохранить директорию с сертификатами «My». Затем, открыв файл с веткой реестра с помощью текстового редактора, надо поменять SID бывшего пользователя на данные, принадлежащие новому, после чего следует запустить .reg файл, скопировать папку «My» в нужное место профиля, опять же, для удобства использования новым владельцем.
Наличие на персональном компьютере ЭЦП – это гарантия оперативной фиксации подлинности личной документации и отсутствие риска внесения изменений на всех этапах сделки между партнерами.