Перенос контейнеров закрытых ключей и сертификатов CryptoPro
Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это — банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим. Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме.
by zerox https://serveradmin.ru/perenos-konteynerov-zakryityih-klyuchey-i-sertifikatov-cryptopro/
Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:
- Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
- Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.
Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным. Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.
Как установить сертификат с токена на компьютер при помощи программы “КриптоАРМ” версии 5
Как установить квалифицированный сертификат ключа электронной подписи на компьютер при помощи программы “КриптоАРМ” версии 5?
Для того, чтобы подписывать документы электронной подписью, в первую очередь, необходимо иметь сертификат ключа электронной подписи. Сертификаты бывают разных видов, далее речь пойдет только о квалифицированных сертификатах.
Для получения квалифицированного сертификата пользователь должен обратиться в один из аккредитованных удостоверяющих центров. Стоимость сертификата зависит от количества поддерживаемых торговых площадок, а также от наличия дополнительных услуг (ускоренный выпуск, сопровождение, обучение и т.п.).
При получении сертификат записывается на ключевой носитель информации, который может выглядеть как USB-токен или смарт-карта. Наиболее популярными в России являются USB-токены Рутокен, eToken и JaCarta.
ШАГ 1. Установка программного обеспечения
Перед началом установки сертификата на компьютер необходимо убедиться, что на рабочем месте было установлено необходимое программное обеспечение:
КриптоАРМ. Актуальную версию дистрибутива программы “КриптоАРМ” можно бесплатно скачать на официальном сайте компании “Цифровые технологии”. Для пользователей, устанавливающих программу впервые, доступен ознакомительный период сроком 14 дней. Для продолжения работы с программой после ознакомительного периода необходимо приобрести соответствующую лицензию.
Криптовайдер. «КриптоАРМ Стандарт Плюс» и «КриптоАРМ Терминал» (версия для серверных операционных систем) поддерживают работу с КриптоПРО CSP, КриптоПро Рутокен CSP, КриптоПро eToken CSP, ViPNet CSP, Signal-COM CSP, ЛИССИ-CSP, AVEST CSP, Tumar CSP, а также с СКЗИ «Криптотокен» в составе изделии «JaCarta ГОСТ» («еТокеn ГОСТ») и СКЗИ «Рутокен ЭЦП» в составе изделий «Рутокен ЭЦП». Разные криптопровайдеры имеют различную лицензионную политику. Перед началом работы с электронной подписью убедитесь, что криптопровайдер не требует установить лицензию.
Драйвер для ключевого носителя. Программа “КриптоАРМ” поддерживает работу с различными видами ключевых носителей Рутокен, eToken, JaCarta, Gemalto, ESMART и УЭК. Для корректной работы с некоторыми из них требуется установка соответствующего дистрибутива. Найти дистрибутив, как правило, можно на сайте производителя ключевого носителя.
ШАГ 2. Установка сертификата.
Подключите ключевой носитель к компьютеру. Убедитесь, что загорелся светодиод на токене или считывателе карт.
Откройте главное окно программы “КриптоАРМ” и в дереве папок выберите ветку “Электронные ключи” . Дождитесь, когда программа «КриптоАРМ» считает все сертификаты, хранящиеся на ключевом носителе. Процесс происходит в автоматическом режиме и может занять несколько минут в зависимости от производительности компьютера и количества сертификатов на ключевом носителе.
После завершения процесса считывания информации в правой половине окна будут отображены сертификаты, хранящиеся на ключевом носителе. При этом неустановленные на компьютере сертификаты будут отображены серым цветом. Выберите интересующие вас сертификаты и нажмите кнопку Установить на панели или в контекстном меню.
Выберите интересующие вас сертификаты и нажмите кнопку Установить выбранные или на кнопку Установить все .
В дереве папок выберите “Личное хранилище сертификатов”. В данной папке должны отобразиться ваши сертификаты со статусом «Ошибка построения пути сертификации».
Для автоматического построения пути сертификации в Настройках программы воспользуйтесь режимом Квалифицированная подпись . Внимание! Данный режим предназначен только для квалифицированных сертификатов и требует наличия соединения с интернетом!
Если все описанные выше условия были выполнены правильно, то статус ваших сертификатов изменится.
Если режим Квалифицированная подпись вам не помог и статус сертификатов не изменился, то отключите его. Для «ручного» построения пути сертификации в Свойствах сертификата нажмите Просмотреть – Путь сертификации – Просмотр сертификата (предварительно выбрав корневой сертификат УЦ) – Установить сертификат
При установке корневого сертификата важно поместить его в хранилище Доверенные корневые центры сертификации
Если все описанные выше условия были выполнены правильно, то статус ваших сертификатов изменится.
ВНИМАНИЕ! Если на одном из этапов установки сертификата возникла ошибка, Вы можете обратиться в нашу службу технической поддержки .
Изучение инструкции и установка программного обеспечения
Для получения регистрационного свидетельства Вам необходимо установить программное обеспечение:
Перед подачей онлайн-заявки на получение ЭЦП, ознакомьтесь с инструкцией пользователя.
Как установить сертификат подписи через КриптоПро CSP
135 129
Часто к нам обращаются с вопросом, как установить сертификат через КриптоПpo CSP. Ситуации бывают разные: сменился директор или главбух, получили новый сертификат в удостоверяющем центре и т.п. Раньше все работало, а теперь нет. Рассказываем, что нужно делать, чтобы установить личный цифровой сертификат на компьютер.
Вы можете установить личный сертификат двумя способами:
1. Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»
2. Через меню КриптоПро CSP «Установить личный сертификат»
Если на рабочем месте используется операционная система Windows 7 без SP1, то устанавливать сертификат следует по рекомендациям варианта № 2.
Вариант № 1. Устанавливаем через меню «Просмотреть сертификаты в контейнере»
Чтобы установить сертификат:
1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Просмотреть сертификаты в контейнере”.
2. В открывшемся окне нажмите на кнопку “Обзор”. Выберите контейнер и подтвердите свой выбор кнопкой ОК.
3. В следующем окне нажмите “Далее”.
Если появится сообщение “В контейнере закрытого ключа отсутствует открытый ключ шифрования”, перейдите к установке цифрового сертификата по варианту № 2.
4. Если на вашем компьютере установлена версия “КриптоПро CSP” 3.6 R2 (версия продукта 3.6.6497) или выше, то в открывшемся окне нажмите на кнопку “Установить”. После этого согласитесь с предложением заменить сертификат.
Если кнопка “Установить” отсутствует, в окне “Сертификат для просмотра” нажмите кнопку “Свойства”.
5. В окне “Сертификат” — > вкладка “Общие” нажмите на кнопку “Установить сертификат”.
6. В окне “Мастер импорта сертификатов” выберите “Далее”.
7. Если у вас уставлена версия “КриптоПро CSP” 3.6, то в следующем окне достаточно оставить переключатель на пункте “Автоматически выбрать хранилище на основе типа сертификата” и нажать “Далее”. Сертификат будет автоматически установлен в хранилище “Личные”.
8. В следующем окне нажмите “Далее”, затем “Готово” и дождитесь сообщения об успешной установке сертификата: “Импорт успешно выполнен”.
Вариант 2. Устанавливаем через меню «Установить личный сертификат»
Для установки вам понадобится, собственно, сам файл сертификата (с расширением .cer). Он может находиться, например, на дискете, на токене или на жестком диске компьютера.
Чтобы установить сертификат:
1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Установить личный сертификат”.
2. В окне “Мастер установки личного сертификата” нажмите на кнопку “Далее”. В следующем окне, чтобы выбрать файл сертификата, нажмите “Обзор”.
3. Укажите путь к сертификату и нажмите на кнопку “Открыть”, затем “Далее”.
4. В следующем окне вы можете просмотреть информацию о сертификате. Нажмите “Далее”.
5. На следующем шаге введите или укажите контейнер закрытого ключа, который соответствует выбранному сертификату. Для этого воспользуйтесь кнопкой “Обзор”.
6. Выбрав контейнер, нажмите “Далее”.
7. Дальше вам необходимо выбрать хранилище, куда будет установлен сертификат. Для этого в окне “Выбор хранилища сертификатов” нажмите на кнопку “Обзор”.
Если у вас установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, поставьте флаг “Установить сертификат в контейнер”.
8. Выберите хранилище “Личные” и нажмите ОК.
9. Хранилище вы выбрали. Теперь нажмите “Далее”, затем — “Готово”. После этого может появиться сообщение:
В этом случае нажмите “Да”.
10. Дождитесь сообщения об успешной установке личного сертификата на компьютер.
Как скопировать сертификат из Криптопро на компьютер?
- В программе «КриптоПро» перейдите на вкладку «Сервис» и нажмите «Скопировать».
- Нажмите «Обзор» и выберите ключевой контейнер (сертификат) для копирования.
- Нажмите «Далее» и укажите новое произвольное имя для копии контейнера.
- Зайдите на профиль Диагностики «Копирования» по ссылке.
- Вставьте носитель, на который необходимо скопировать сертификат.
- На нужном сертификате нажмите на кнопку «Скопировать». .
- Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».
О чем нужно помнить при хранении квалифицированной ЭЦП
Один носитель — для одного сотрудника
Если записать ЭП разных сотрудников на один носитель, то нарушится конфиденциальность закрытых ключей. И по закону все подписи будут считаться недействительными.
Нельзя передавать свою ЭП другому человеку
Электронная подпись — это аналог собственноручной. Она служит идентификатором владельца. Если отдать ЭП другому человеку, а он подпишет документ, с которым вы не согласны, то оспорить это решение не удастся.
Нельзя хранить ЭП в открытом доступе
Квалифицированную электронную подпись нужно хранить в сейфе или другом защищенном месте. Носитель, который просто лежит на столе, легко украсть, чтобы подписать пару «лишних» документов. А когда вы это заметите, то даже в суде не сможете доказать свою непричастность.
При смене реквизитов меняйте и ЭП
Компания изменила свое название, владелец ЭП уволился или поменял должность? Меняйте подпись. Не затягивайте с этим, чтобы не столкнуться с пачкой платежек, подписанных неизвестно кем, и не нарушать п. 1 ст. 2 Федерального закона №63-ФЗ «Об электронной подписи», требующий обеспечить точную идентификацию владельца ЭП. Для замены электронной подписи обратитесь к менеджеру, который ее выдавал. Или свяжитесь с удостоверяющим центром «Тензор» удобным для вас способом.
Вовремя продлевайте ЭП
Если не продлить электронную подпись, она станет недействительной. И вы не сможете подписать ни один электронный документ, пока не получите новую ЭП в удостоверяющем центре. О том, как продлить электронную подпись, читайте в нашей статье.
Защитите рабочее место
Антивирусное ПО защищает вас от любых неприятных сюрпризов. Вирусы способны имитировать поведение владельца подписи, чтобы подписать несколько нужных злоумышленнику документов. И доказать, что подпись ставили не вы, будет тяжело.
Не храните пароли на бумажках
Это правило — основа компьютерной безопасности. Оно относится не только к электронным подписям, но и ко всем другим сферам. Пароль от токена, заботливо записанный на стикере возле компьютера, несказанно обрадует злоумышленника.