Экспортировать неэкспортируемый сертификат с рутокена
Небольшая заметка как экспортировать неэкспортируемый ключ с Rutoken.
Если при создании ЭЦП не был установлен флаг дающий возможность экспортировать ключ, то при попытке скопировать ключ с Rutoken через КриптоПро у вас появится «Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг».
Но скопировать его все равно можно — для этого понадобится специальное ПО:
1. Утилита проверки Рутокенов версии 3.4.2
2. Сертфикс 1.1.27.3154
При помощи утилиты проверки Рутокенов версии 3.4.2 вы сможете экспортировать ключ с Рутокен на флешуку или реестр
После чего при помощи помощи Сертфикс 1.1.27.3154 вы сможете снять блокировку зажав клавишу Shift и кликнув по нужному сертификату правой кнопкой мыши выбрав пункт активации экспорта согласно вашему новому месту хранения выбранного в утилите проверки Рутокенов.
Важным моментом является то, что версия Сертфикс выше 1.1.27.3154 может быть программно ограничена на возможность сделать сертификат некоторых удостоверяющих центров экспортируемым.
Обновление программа проверяет при запуске, поэтому чтобы обновление не загрузилось необходимо заблокировать доступ в интернет для нее через брандмауэр Windows.
Как скопировать сертификат открытого ключа с рутокена на компьютер
Если для работы используется дискета или flash-накопитель, копирование можно выполнить средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и файл сертификата — открытый ключ, если он есть) необходимо поместить в корень дискеты (flash-накопителя). Название папки при копировании рекомендуется не изменять. Папка с закрытым ключом должна содержать 6 файлов с расширением.key.
Пример закрытого ключа — папки с шестью файлами, и открытого ключа — файла с расширением.cer.
Закрытый ключ Открытый ключ
Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копирование открытого ключа выполнять не обязательно.
Копирование контейнера также можно выполнить с помощью КриптоПро CSP. Для этого необходимо выполнить следующие шаги:
1. Выбрать Пуск / Панель Управления / КриптоПро CSP.
2. Перейти на вкладку Сервис и кликнуть по кнопке Скопировать контейнер (см. рис. 1).
Рис. 1. Окно «Свойства КриптоПро CSP»
3. В окне Копирование контейнера закрытого ключа нажать на кнопку Обзор (см. рис. 2).
Рис. 2. Копирование контейнера закрытого ключа
4. Выбрать контейнер из списка, кликнуть по кнопке Ок, затем Далее (см. рис. 3).
Рис. 3. Выбор контейнера
Если копирование производится с рутокена, то появится окно ввода пин-кода, в котором следует указать стандартный pin-код — 12345678.
5. Далее необходимо указать вручную имя контейнера, на который будет выполнено копирование. В названии контейнера допускается русская раскладка и пробелы. Затем выбрать Готово (см. рис. 4).
Рис. 4. Имя ключевого контейнера
6. В окне Вставьте чистый ключевой носитель необходимо выбрать носитель, на который будет помещен новый контейнер (см. рис. 5).
Рис. 5. Выбор чистого ключевого носителя
7. На новый контейнер будет предложено установить пароль. Установка пароля не является обязательной, можно оставить поле пустым и нажать на кнопку Ок (см. рис. 6).
Рис. 6. Установка пароля на контейнер
Если копирование выполняется на смарт-карту ruToken, сообщение будет звучать иначе (см. рис. 7). Следует указать стандартный pin-код — 12345678.
Рис. 7. Pin-код для контейнера
Обращаем ваше внимание: в случае утери пароля/pin-кода использование контейнера станет невозможным.
8. После выполнения копирования система вернется на вкладку Сервис в окне КриптоПро CSP. Копирование завершено. Если планируется использовать для работы в системе «Контур-Экстерн» новый ключевой контейнер, необходимо установить личный сертификат (см. Как установить личный сертификат?).
Добавление считывателя Реестр в КриптоПро CSP
В первую очередь, чтобы наш КриптоПро смог работать с прописанными локально ключами, требуется добавить сам вариант подобного считывателя.
Для того, чтобы установить в CSP утилиту новый тип носителя, запускаем программу от имени администратора правой кнопкой мыши или из меню самой утилиты на вкладке Общие
Теперь переходим на вкладку Оборудование и нажимаем на кнопку Настроить считыватели.
Если в открывшемся окне нет варианта Реестр, то, чтобы его здесь вывести, жмём на кнопку Добавить.
Далее, следуя командам Мастера установки считывателя поэтапно перемещаемся по окнам:
- Жмём кнопку Далее в первом окне.
- Из списка считывателей от всех производителей выбираем вариант Реестр и снова жмём Далее .
- Вводим произвольное имя считывателя, можно оставить название по умолчанию. Жмём Далее .
- В последнем окне видим оповещение, что после завершения настройки считывателя рекомендуется перезагрузить компьютер. Жмём кнопку Готово и самостоятельно перезагружаем машину.
Первый этап завершён. Считыватель Реестр добавлен , о чём свидетельствует соответствующий пункт в окне Управление считывателями ( напоминаем, что данное окно вызывается по пути КриптоПро — Оборудование — Настроить считыватели. )
Как скопировать сертификат открытого ключа с рутокена на компьютер
Если сертификат и закрытый ключ находятся на токене, то для работы с таким сертификатом его надо установить в локальное хранилище.
Это можно сделать через программный интерфейс приложения КриптоАРМ ГОСТ или с помощью команд программы КриптоПРО CSP.
Установка сертификата из ключевого контейнера в КриптоАРМ ГОСТ на Windows.
Для установки сертификата из ключевого контейнера нужно выбрать в меню Сертификаты подпункт Ключи. В левой области представления отображаются все подключенные хранилища контейнеров закрытых ключей. В правой области отображается информация о сертификате в выделенном контейнере.
В каждом из хранилищ отображаются контейнеры закрытых ключей. В случае отсутствия контейнеров в хранилище, оно может быть скрыто как пустое.
После выбора контейнера отображается информация о находящемся в нем сертификате.
По кнопке Установить сертификат происходит установка сертификата в Личное хранилище сертификатов. Данный сертификат становится доступен для выполнения операций подписи, шифрования и расшифрования.
Для удаления контейнера нужно нажать кнопку Удалить контейнер и подтвердить операцию.
Если установить флаг Удалить связанный с контейнером сертификат, то вместе с контейнером сертификат удалится из хранилища личных сертификатов. Если флаг не установлен, сертификат останется в хранилище личных сертификатов без привязки к ключевому контейнеру. Таким сертификатом нельзя выполнять операции подписи и расшифрования.
В приложении реализован поиск контейнеров по символьному совпадению в названии контейнера.
Установка сертификата с помощью программы КриптоПРО CSP.
Установка с помощью программы КриптоПРО CSP отличается в операционных системах Windows, Linux и OS X.
- Установка на операционной системе Windows выполняется следующим образом.
Нужно подключить токен (например, Рутокен) и открыть программу КритоПро CSP. В появившемся диалоге перейти на вкладку Сервис и нажать на кнопку Просмотреть сертификаты в контейнере.
Далее нажать Обзор и выбрать контейнер.
После выбора контейнера нажать кнопку Далее.
В контейнере содержится сертификат, сведения о котором будут отображены на последнем шаге мастера. Этот сертификат можно установить в систему, нажав на кнопку Установить.
После успешной установки сертификата можно открыть приложение КриптоАРМ ГОСТ и перейти на вкладку Сертификаты. Установленный сертификат должен отображаться в списке Личные сертификаты.
Установка сертификата на Linux
- Для установки сертификата под операционной системой Linux нужно подключить токен (например, Рутокен) и открыть Терминал (Terminal). Далее следует ввести команду
Aktiv Rutoken ECP 00 00
Total: SYS: 0.010 sec USR: 0.000 sec UTC: 0.430 sec
ErrorCode: 0x00000000]
В команде под подразумевается один из следующих идентификаторов платформы:
ia32 — для 32-разрядных систем; amd64 — для 64-разрядных систем.
Далее нужно ввести команду:
sudo /opt/cprocsp/sbin/ /cpconfig -hardware reader -add «имя_устройства», где в кавычках указывается имя устройства. Например, sudo /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add «Aktiv Rutoken ECP»
Затем потребуется ввести пароль администратора (пользователя root), после чего должно появиться сообщение вида:
Adding new reader:
Nick name: Aktiv Rutoken ECP
Succeeded, code:0x0
Для просмотра контейнеров на токене можно ввести команду
/opt/cprocsp/bin/ /csptest -keys -verifyc -enu –fq -u
В результате получаем имя устройства и имя контейнера и после символа | — имя устройства и уникальное имя:
\.Aktiv Rutoken ECPимя_контейнера | \.Aktiv Rutoken ECPуникальное_имя
Затем требуется ввести для копирования сертификата с токена
/opt/cprocsp/bin/ /certmgr -inst -cont ‘\.Aktiv Rutoken ECPуникальное_имя’
В кавычках должно быть указано имя Вашего устройства и уникальное имя контейнера (справа от символа |). В терминале должна вывестись информация об установленном Вами сертификате.
После завершения установки можно открыть программу КриптоАРМ ГОСТ и перейти на вкладку Сертификаты. Установленный сертификат должен отображаться в списке Личные сертификаты. Если сертификат отображается как действительный (зеленый индикатор), то с ним можно работать. Если сертификат отображается как недействительный (красный индикатор), то надо устанавливать корневой и промежуточные сертификаты. Для получения корневых и промежуточных сертификатов лучше обратиться в удостоверяющий центр.
- Для установки сертификата по операционной системой OS X требуется подключить токен (например, Рутокен) и открыть Терминал (Terminal). В терминале следует ввести команду:
Aktiv Rutoken ECP 00 00
Total: SYS: 0.010 sec USR: 0.000 sec UTC: 0.430 sec
ErrorCode: 0x00000000]
Затем требуется ввести команду
sudo /opt/cprocsp/sbin/cpconfig -hardware reader -add «имя_устройства», где в кавычках указывается имя устройства. Например, sudo /opt/cprocsp/sbin/cpconfig — hardware reader -add «Aktiv Rutoken ECP»
Далее требуется ввести пароль администратора (пользователя root). В результате должно быть выведено сообщение вида:
Adding new reader:
Nick name: Aktiv Rutoken ECP
Succeeded, code:0x0
Для просмотра контейнеров на токене ввести команду: /opt/cprocsp/bin/csptest -keys -verifyc -enu –fq -u
В итоге получаем имя устройства и имя контейнера и после символа | — имя устройства и уникальное имя:
\.Aktiv Rutoken ECPимя_контейнера | \.Aktiv Rutoken ECPуникальное_имя
Ввести или вставить команду для копирования сертификата с токена
/opt/cprocsp/bin/certmgr -inst -cont ‘\.Aktiv Rutoken ECPуникальное_имя’
В кавычках должно быть имя Вашего устройства и уникальное имя контейнера (справа от символа |).
В терминале должна вывестись информация об установленном Вами сертификате.
После установки требуется открыть программу КриптоАРМ ГОСТ, перейти на вкладку Сертификаты. Установленный сертификат должен отображаться в списке Личные сертификаты. Если сертификат отображается как действительный (зеленый индикатор), то с ним можно работать. Если сертификат отображается как недействительный (красный индикатор), то надо устанавливать корневой и промежуточные сертификаты. Для получения корневых и промежуточных сертификатов лучше обратиться в удостоверяющий центр.
Экспорт открытого ключа с помощью программы КриптоПро
Запускаем Пуск -> Все программы -> КриптоПро -> КриптоПро CSP
Выбрать вкладку «Сервис», далее «Просмотреть сертификаты в контейнере».
Нажимаем обзор, выбираем необходимый сертификат для экспорт открытого ключа .cer.
Переходим во вкладку Состав -> Копировать в файл.
Нажимаем «Далее» в окне «Мастер экспорта сертификатов»,
Выбрать «Нет, не экспортировать закрытый ключ».
Выбрать формат файла: «Файлы X.509 (.CER) в кодировке DER».
Нажать обзор, выберите папку куда будет сохранен ключ и придумайте ему название (желательно указывать компанию и год сертификата).
Готово.
Как быть если доступ к старой системе невозможен?
Теория — это хорошо, но практика может подкинуть самые неожиданные ситуации. Как быть, если доступ к старой системе невозможен? Скажем вышла из строя материнская плата или серьезно повреждена операционная система?
Все что нам нужно в таком случае — это доступ к файловой системе старой системы. Вы можете как напрямую подключить жесткий диск к новой системе, так и загрузиться при помощи консоли восстановления или любого более продвинутого инструмента, скажем MSDaRT.
С копированием сертификатов проблемы возникнуть не должно, их хранилище простая папка на диске, а вот с хранилищем закрытых ключей в реестре немного сложнее. Но не будем забывать, что системный реестр тоже хранится в файлах на диске. Вам следует любым доступным образом скопировать файл SOFTWARE из C:WindowsSystem32config
Затем на целевой системе откройте редактор реестра, перейдите в раздел HKEY_LOCAL_MACHINE и через Файл — Загрузить куст подключите скопированный из старой системы раздел реестра. Дайте ему осмысленное имя, скажем OLD_SOFTWARE.
После чего пройдите в раздел с закрытыми ключами (с учетом новой точки монтирования) и выполните экспорт ветки Keys.
Дальнейшие действия ничем не отличаются от описанных нами в разделе Импорт ключей и сертификатов.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
