Получаем подпись в ФНС: как выбрать носитель
Чтобы бесплатно получить подпись в ФНС, индивидуальный предприниматель, юридическое лицо или нотариус должны приобрести специальный токен. Токен — это носитель электронной подписи, он служит для хранения ключа ЭП и его использования.
В этой статье мы разберёмся в том, какие носители существуют, в чём разница между ними и расскажем, как с ними работать и какие ошибки могут возникнуть во время их эксплуатации.
Создание резервной копии закрытого ключа КриптоПро CSP
Если копия закрытого ключа создается на компьютере, где в информационной базе есть заявление на подключение к 1С-Отчетности, то чтобы узнать место хранения контейнера закрытого ключа выполните следующее (рис. 1):
- Перейдите в раздел «Настройки» в окне 1С-Отчетности.
- Перейдите по гиперссылке «Список заявлений».
Если в информационной базе нет заявления на подключение к 1С-Отчетности, то следуйте инструкции, начиная с рис. 3.
При этом откроется форма списка заявлений. Щелкните дважды по строке с заявлением, чтобы открыть его и перейдите к закладке «Служебная информация» (рис. 2).
В поле «Путь к контейнеру закрытого ключа» указан путь хранения ключа. В конце строки пути указывается имя файла контейнера закрытого ключа, который нужно будет перенести на другой компьютер.
В нашем примере: REGISTRY\1cmastersystem_2017
Запомните имя файла контейнера, чтобы можно было выбрать его из списка, если на компьютере установлено несколько ключей.
Для копирования файла контейнера закрытого ключа необходимо открыть программу КриптоПро CSP (кнопка «Пуск» — Все программы» — «КРИПТО-ПРО» — «КриптоПро CSP») (рис. 3, 4).
Перейдите на закладку «Сервис» и нажмите кнопку «Скопировать» (рис. 5).
Появится окно копирования контейнера закрытого ключа (рис. 6).
Нажмите кнопку «Обзор», выберите имя контейнера и нажмите «ОК». Если ключевых контейнеров несколько, то чтобы увидеть полный путь к файлу контейнера выберите переключатель «Уникальные имена».
Имя ключевого контейнера появится в строке выбора (рис. 7). Нажмите «Далее».
Введите имя для создаваемого ключевого контейнера и нажмите «Готово» (рис. 8).
Вставьте флеш-накопитель, на которую будет скопирован контейнер ключа, выберите ее в разделе «Устройства» и нажмите «ОК» (рис. 9).
Задайте пароль для создаваемого контейнера и нажмите «ОК» (рис. 10).
Контейнер ключа будет скопирован на флеш-накопитель.
забрать сертификат с etoken
Есть etoken pro, на котором лежит сертификат. А можно ли как-либо его оттуда забрать?
Пока в голову приходит только одна мысль — подключить етокен в firefox и каким-то образом оттуда сохранить сертификат.
Есть ли еще какие-нибудь варианты, например через pkcs11-tool?
Без приватной части наверняка можно.
На всякий случай подписываюсь на тред.
У меня аналогичный вопрос. Интересно послушать знатоков.
eToken’ы создаются специально для безопасного хранения ключей и аппаратного шифрования. Если приватный ключ можно извлечь — это дыра.
Но, публичный ключ должен же отдаваться без проблем.
Сертификат достаётся без проблем. Я использовал certutil (-a -L, кажется), т.к. pkcs-utils хочет много странных параметров. С приватным ключом сложнее. По pkcs11 передают, что он неэкспортируемый. Означает ли это, что его никак не достать, не знаю.
Не выйдет. Вся суть этого действа в том, чтобы сделать недоставляемый секретный ключ. Как минимум — недоставаемый без пароля (PIN-кода) администратора. Если оного нет — всё, задача мертвая. если есть — надо смотреть. Но насколько я помню, даже тогда эта задача не всегда решается.
Да, ни FF, ни линукс не помогут. На карте/токене собственный процессор и собственная память, к которой никак доступ без специальных инструментов не получить.
Массовое перемещение закрытых ключей
Идеальный вариант – перенесение ключей способом копирования всех данных конкретной ветки. Для этой операции потребуется узнать SID настоящего владельца, вбив в командную строку следующее: wmic useraccount where name=’zerox’ get sid, где zerox является именем записи учета. Далее нужно скопировать данные ключей в файл, открыв редактор реестра и выбрав папку Keys. После сохранения ветки реестра можно быть уверенным, что в ней сохранены все закрытые ключи. С целью переноса ключей и сертификатов, кроме самой ветки, необходимо сохранить директорию с сертификатами «My». Затем, открыв файл с веткой реестра с помощью текстового редактора, надо поменять SID бывшего пользователя на данные, принадлежащие новому, после чего следует запустить .reg файл, скопировать папку «My» в нужное место профиля, опять же, для удобства использования новым владельцем.
Наличие на персональном компьютере ЭЦП – это гарантия оперативной фиксации подлинности личной документации и отсутствие риска внесения изменений на всех этапах сделки между партнерами.
Как скопировать сертификат с етокен на компьютер
Перед тем, как установить личный сертификат необходимо его экспортировать в файл с расширением *.cer — как это сделать описано в вопросе «Где взять файл сертификата?».
1) запустите КриптоПро CSP: Пуск → Все программы → КриптоПро → КриптоПро CSP и на вкладке Сервис нажмите кнопку Установить личный сертификат…
2) в открывшемся Мастере установки личного сертификата укажите место хранения файла личного сертификата (затем нажмите Далее и в следующем окне тоже)
3) затем поставьте галочку у пункта Найти контейнер автоматически
4) а на следующем этапе у пункта Установить сертификат в контейнер
Если у вас не был ранее сохранен пин-код пользователя Рутокен, то на последнем этапе его нужно будет ввести. Напоминаем, что стандартный пин-код пользователя — 12345678.
«Электронный экспресс» — это электронные услуги в составе информационно-правового обеспечения ГАРАНТ. Компания «Гарант» основана в 1990 году.
Как скопировать ключи с дискеты или флешки в реестр
Сейчас практически в каждой организации на компьютере бухгалтера установлена СКЗИ – система криптографической защиты информации. В качестве таковой у нас используется КриптоПро CSP. В нашем случае КриптоПро необходимо для работы Клиент-Банка и программы СБИС++ (через эту программу бухгалтерия готовит и сдает отчетность в налоговую, пенсионный фонд, росстат).
Основными функциями СКЗИ КриптоПро являются:
- проверка секретных ключей плательщика при отправке электронных документов по каналам связи;
- шифрование документов плательщика при отправке отчетности;
- расшифровка полученных ответов от иснпекций.
При работе как с Клиент-Банком, так и со СБИС++ используются ключевые носители, на которых хранятся секретные ключи и сертификаты. В качестве такого носителя может выступать дискета, флешка, защищенный флеш-накопитель (Rutoken, eToken), а также реестр.
Так вот, однажды нашему бухгалтеру надоело каждый раз при отправке отчетности вставлять в компьютер дискету. Кроме того, данный носитель довольно ненадежный и пару раз выходил из строя (приходилось восстанавливать из копии). Поэтому было принято решение скопировать ключи с дискеты в реестр.
Хранить ключи в реестре – это конечно удобно. Но имейте в виду такой момент: при переустановке операционной системы на компьютере информация о ваших ключах будет безвозвратно утеряна. Так что после того, как скопируете ключи в реестр – обязательно сохраните носитель с оригиналом этих ключей.
Итак, как же скопировать ключи с дискеты в реестр в КриптоПро CSP 3.6?
1. Зайдите в “Пуск” – “Панель управления” – “КриптоПро CSP”.
2. В открывшемся окне перейдите на вкладку “Сервис”.
3. Вставьте ключевую дискету в флоппи-дисковод компьютера и нажмите кнопку “Скопировать контейнер”.
4. Далее нажмите “Обзор” и в появившемся окошке выберите тот контейнер, который необходимо скопировать (щелкните по нему один раз мышкой и нажмите “ОК”).
Имя выбранного контейнера появится в поле “Имя ключевого контейнера”. Нажмите “Далее”.
5. В следующем окне напишите любое имя – так будет называться копия. Нажмите “Готово”.
6. Далее выберите носитель “Реестр” и нажмите “ОК”.
Появится окошко с предложением установить пароль. Если вам это не нужно – ничего не вводите, а просто нажмите здесь “ОК”.
Вот и все – мы скопировали ключ в реестр. Чтобы проверить это – там же во вкладке “Сервис” нажмите кнопку “Просмотреть сертификаты в контейнере” – “Обзор” – здесь в списке ключевых контейнеров отобразится реестр и то имя контейнера, которое вы задали.
Точно таким же образом, мы можем скопировать ключ в реестр не только с дискеты, но и с флешки, и с Rutoken или eToken.
Кстати, после этого, скорее всего придется переустановить сертификат и в бухгалтерской программе. Например, в СБИСе я переустанавливал сертификат в карточке нашей организации.