Крипто про как перенести сертификат с одного компьютера на другой

Экспорт сертификатов Крипто-Про с компьютера под управлением Windows

Предположим, у вас есть есть настроенное рабочее место с установленными на него сертификатами, выпущенными для работы с КриптоПро. Частенько бывает, что вместе с переездом на новую систему, сертификаты со старого компа требуется забрать. Особенно это касается случаев, когда пользователь хранит сертификаты не на съемном носителе или токене, а в ресстре Windows.

p, blockquote 1,0,0,0,0 —>

Создание резервной копии закрытого ключа КриптоПро CSP

Если копия закрытого ключа создается на компьютере, где в информационной базе есть заявление на подключение к 1С-Отчетности, то чтобы узнать место хранения контейнера закрытого ключа выполните следующее (рис. 1):

  1. Перейдите в раздел «Настройки» в окне 1С-Отчетности.
  2. Перейдите по гиперссылке «Список заявлений».

Если в информационной базе нет заявления на подключение к 1С-Отчетности, то следуйте инструкции, начиная с рис. 3.

При этом откроется форма списка заявлений. Щелкните дважды по строке с заявлением, чтобы открыть его и перейдите к закладке «Служебная информация» (рис. 2).

В поле «Путь к контейнеру закрытого ключа» указан путь хранения ключа. В конце строки пути указывается имя файла контейнера закрытого ключа, который нужно будет перенести на другой компьютер.

В нашем примере: REGISTRY\1cmastersystem_2017

Запомните имя файла контейнера, чтобы можно было выбрать его из списка, если на компьютере установлено несколько ключей.

Для копирования файла контейнера закрытого ключа необходимо открыть программу КриптоПро CSP (кнопка «Пуск» — Все программы» — «КРИПТО-ПРО» — «КриптоПро CSP») (рис. 3, 4).

Перейдите на закладку «Сервис» и нажмите кнопку «Скопировать» (рис. 5).

Появится окно копирования контейнера закрытого ключа (рис. 6).

Нажмите кнопку «Обзор», выберите имя контейнера и нажмите «ОК». Если ключевых контейнеров несколько, то чтобы увидеть полный путь к файлу контейнера выберите переключатель «Уникальные имена».

Имя ключевого контейнера появится в строке выбора (рис. 7). Нажмите «Далее».

Введите имя для создаваемого ключевого контейнера и нажмите «Готово» (рис. 8).

Вставьте флеш-накопитель, на которую будет скопирован контейнер ключа, выберите ее в разделе «Устройства» и нажмите «ОК» (рис. 9).

Задайте пароль для создаваемого контейнера и нажмите «ОК» (рис. 10).

Контейнер ключа будет скопирован на флеш-накопитель.

Перенос сертификата на другой компьютер из реестра

Перенос сертификата из реестра на другой компьютер заключается в экспорте ветки Keys из реестра ( Win + R regedit Enter ):

Где S-1-5-22-4136589715-5648997447-1896583097-0023 — это SID пользователя, у которого были установлены экспортируемые сертификаты. Если вам необходимо перенести только один конкретный сертификат, то ищем его в Keys в виде директории и экспортируем именно его. Сохраняем его в файл *.reg.

Теперь нам нужно узнать SID пользователя Windows, которому мы собираемся перенести экспортированные сертификаты. Узнать это можно выполнив команду из командной строки ( Win + R cmd Enter ):

Теперь в экспортированных сертификатах (в файле *.reg) необходимо SID старого пользователя (в данном примере это S-1-5-22-4136589715-5648997447-1896583097-0023) заменить на только что полученный при помощи выполнении команды выше. Файл открывается любым текстовым редактором. На вашь вкус

Запускаем REG файл, соглашаемся с предупреждением о внесении данных в реестр windows.

Теперь необходимо установить личные сертификаты для привязки сертификатов к контейнерам, установив сертификаты в личный хранилище. Можно также это сделать(помимо КонтурПро CSP) в автоматическом режиме через сервис диагностики Контура

Копирование ключей электронной подписи

    В программе «КриптоПро» перейдите на вкладку «Сервис» и нажмите «Скопировать».

Копирование в реестр

Копирование на внешний носитель

Копирование на Рутокен

Копирование на токен Jakarta

    Откройте меню «Пуск» — «Панель управления» — «КриптоПро CSP» — «Оборудование» — «Настроить считыватели».

  • Откройте меню «Пуск» — «Панель управления» — «КриптоПро CSP» — «Сервис» — «Просмотреть сертификаты в контейнере».
  • Нажмите «Обзор», отметьте нужный контейнер, нажмите «Ок» и «Далее».
  • Нажмите «Установить».
  • На вопрос о замене сертификата необходимо ответьте утвердительно.
  • Нажмите «Готово» и «Ок».

Теперь установленный сертификат привязан к контейнеру, из которого он был установлен.

Перенос сертификатов и криптоконтейнеров КриптоПро

Давненько я ничего не писал. И вот снова небольшой квест и рецепт, который не является чем-то новым. Но мне надоело его искать и как многое другое, это то чем я пользуюсь иногда. Если вам надо перенести криптоконтейнеры, ключи и сертификаты с одного ПК на другой в случае КриптоПро, прошу под далее. Мне часто приходится делать это удаленно, что исключает копирование на USB-Flash.

Начнем с того что выгрузим криптоконтейнеры с компьютера источника на второй компьютер.

1. Откроем редактор реестра (Пуск->Выполнить: regedit).

2. Найдем ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

3. Определим SID пользователя(имеет вид, например, S-1-5-21-988151986-1848342132-923548625-1000), и посмотреть ProfileImagePath, в конце строки найдете имя пользователя, которому принадлежит этот SID.

4. Нужно экспортировать ветку HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS\S-1-5-21-988151986-1848342132-923548625-1000\Keys в reg файл, допустим key_crypto.reg.

Для 64-битных систем это HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\USERS\S-1-5-21-988151986-1848342132-923548625-1000\Keys

5. В key_crypto.reg меняете через поиск и замену S-1-5-21-988151986-1848342132-923548625-1000, в Вашем случае, старый на нового.

6. Запускаете key_crypto.reg файл, после этого все готово, но необходимо будет заново установить личные сертификаты для того что бы привязать сертификаты к контейнерам.

Если не будет видно контейнеров, то неправильно указали S-1-5-21-988151986-1848342132-923548625-1000, т.к. контейнеры видны только под тем пользователем, под SID’ом которого они находятся.

1. Откроем редактор реестра (Пуск->Выполнить: regedit).

2. Находим ветку реестра HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\My

3. Нужно экспортировать ветку KEY_CURRENT_USER\Software\Microsoft\SystemCertificates\My в reg файл, допустим key_crypto.reg.

Откройте диспетчер сертификатов: нажмите кнопку Пуск, в поле Поиск введите certmgr.msc и нажмите клавишу ВВОД.‌ Введите пароль администратора или подтверждение пароля, если появится соответствующий запрос.

Щелкните правой кнопкой сертификат, который нужно экспортировать, наведите указатель мыши на Все задачи, а затем нажмите Экспорт.

В мастере экспорта сертификатов щелкните Далее.

Если сертификат предполагается перенести на другой компьютер, щелкните Да, экспортировать закрытый ключ, в противном случае щелкните Нет, не экспортировать закрытый ключ, а затем нажмите Далее. (Эта возможность появляется, если только закрытый ключ помечен как экспортируемый и имеется доступ к закрытому ключу.)

Выберите нужный формат и нажмите Далее.

  • windows
  • regedit
  • КриптоПро CryptoPro криптоконтейнеры
  • КриптоПро
  • CryptoPro
  • Криптоконтейнеры
  • реестр
  • сертификаты
  • Назад
  • Вперед

Если вам помогла статья или информация была полезной. Благодарность, не должна знать границ.

Линукс сервер

Типичная ситуация — бухгалтеру купили новый компьютер и нужно перенести на него, кроме всего прочего, Крипто-про. Кроме дистрибутива, котрый можно взять на официальном сайте, нужна еще лицензия с серийным номером, а она где-то пропала в толстых папках с актами-договорами, или никто не знает где ее искать, или тех, кто знает неудобно беспокоить по таким пустякам, и т.п.

Ключ ProductID содержит искомый серийник.
Имя раздела 05480A45343B0B0429E4860F13549069 может оказаться другим, но найти не трудно. Сюда же можно и вписать его вручную, как это в некоторых случаях предлагают сделать специалисты тех. поддержки системы контур-экстерн (http://www.kontur-extern.ru/support/faq/34/225)

Инструкция по переносу лицензии КриптоПро, закрытых ключей ЭЦП и сертификатов с одного компьютера на другой.
1. Перенос лицензии криптопро.
Серийный номер КриптоПро CSP 3.6 находится в ветке реестра
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Products5480A45343B0B0429E4860F13549069InstallProperties
в значении параметра ProductID (имя раздела 05480A45343B0B0429E4860F13549069 может оказаться другим).
2. Перенос закрытых ключей ЭЦП. (Имеются ввиду ЭЦП хранящиеся в реестре, для ключей хранящихся на флешках, и токенах действие не требуется.)
2.1 Узнать SID текущего пользователя (нужен пользователь у которого ключи).
Способ 1: командой

Способ 2:Найти ветку реестраHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList.Выбрать SID (имеет вид, например, S-1-5-21-1993962763-492894223-1202660629-6195), и посмотреть ProfileImagePath, в конце строки найдете имя пользователя, которому принадлежит этот SID.
2.2. Для 32 битных систем нужно экспортировать ветку HKEY_LOCAL_MACHINESOFTWARECrypto ProSettingsUSERSSID_текущего_пользователяKeys в reg-файл.
Для 64-битных систем нужно экспортировать ветку HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUSERSSID_текущего_пользователяKeys.
Эти ветки доступны только для текущего пользователя и при попытке открыть их от имени другого получим: «Не удается открыть . Не удается открыть этот раздел из-за ошибки. Сведения: Отказано в доступе.» Если у вас нет возможности залогиниться под нужным пользователем, то вам поможет утилита Марка Руссиновича psexec (скачать можно с течнета или отсюда) , которая позволяет запускать процессы от имени системной учетки. С помощью psexec запускаем regedit от имени системы:

и нам становятся доступны все разделы. Этот же трюк спасет если система вообще не загружается, нужно скопировать файл C:WindowsSystem32configSOFTWARE и загрузить его как куст реестра, главное, чтобы файл не был поврежден.
2.3. В reg-файле меняем через автозамену SID_текущего_пользователя, на SID пользователя в новой сисмеме.
2.4. Запускаем reg-файл, после этого все готово, но необходимо будет заново установить личные сертификаты для того что бы привязать сертификаты к контейнерам. Если не видно контейнеров, то неправильно указали SID_пользователя, т.к. контейнеры видны только под тем пользователем, под SID’ом которого они находятся.
Если перенести ключи данным способом не получается можно скопировать ЭЦП на флешку (КриптоПро: Перенос ключей ЭЦП с дискет на флешку или в реестр).
3. Перенос сертификатов.
Способ 1. Экспорт-импорт сертификатов. Выполнить certmgr.msc. В открывшемся окне переходим Личное->Сертификаты. Далее правой кнопкой по сертификату -> Все задачи -> Экспорт. В мастере экспорта нажимаем далее, выбираем экспортировать закрытый ключ или нет, выбираем нужный формат и нажимаем далее. Импорт личных сертификатов, которые используются в КриптоПро, нужно делать через
Панель управления -> КриптоПро -> вкладка «Сервис» -> «Установить личный сертификат».
При установке личных сертификатов средствами Windows не выполняется привязка закрытого ключа ЭЦП, и, очевидно, работать ничего не будет.
Способ 2. Установка сертификатов из контейнеров ЭЦП. При установке личного сертификата в КриптоПро версии 3.6 и выше существует возможность скопировать сертификат в контейнер закрытого ключа. Данная процедура позволяет значительно облегчить процесс переноса. Если сертификат установлен в контейнер закрытого ключа, не нужно ни чего экспортировать, достаточно просто перенести контейнеры, а потом зайти в
Панель управления -> КриптоПро -> вкладка «Сервис» ->»Просмотреть сертификаты в контейнере»
выбрать нужный контейнер и нажать кнопки «Далее» и «Установить».

В том случае, если нужно перенести 100500 ключей сразу, поможет одна из составляющих пакета PKI Tools, которая автоматизирует процесс установки сертификатов из контейнеров. Скачать пакет можно отсюда или отсюда.

Оцените статью
Fobosworld.ru
Добавить комментарий

Adblock
detector