Установка сертификата и закрытого ключа
Мы опишем установку сертификата электронной подписи и закрытого ключа для ОС семейства Windows. В процессе настройки нам понадобятся права Администратора (поэтому нам может понадобится сисадмин, если он у вас есть).
Если вы еще не разобрались что такое Электронная подпись, то пожалуйста ознакомьтесь вот с этой инструкцией. Или если еще не получили электронную подпись, обратитесь в Удостоверяющий центр, рекомендуем СКБ-Контур.
Хорошо, предположим у вас уже есть электронная подпись (токен или флешка), но OpenSRO сообщает что ваш сертификат не установлен, такая ситуация может возникнуть, если вы решили настроить ваш второй или третий компьютер (разумеется подпись не «прирастает» только к одному компьютеру и ее можно использовать на нескольких компьютерах). Обычно первоначальная настройка осуществляется с помощью техподдержки Удостоверяющего центра, но допустим это не наш случай, итак поехали.
Линукс сервер
Типичная ситуация — бухгалтеру купили новый компьютер и нужно перенести на него, кроме всего прочего, Крипто-про. Кроме дистрибутива, котрый можно взять на официальном сайте, нужна еще лицензия с серийным номером, а она где-то пропала в толстых папках с актами-договорами, или никто не знает где ее искать, или тех, кто знает неудобно беспокоить по таким пустякам, и т.п.
Ключ ProductID содержит искомый серийник.
Имя раздела 05480A45343B0B0429E4860F13549069 может оказаться другим, но найти не трудно. Сюда же можно и вписать его вручную, как это в некоторых случаях предлагают сделать специалисты тех. поддержки системы контур-экстерн (http://www.kontur-extern.ru/support/faq/34/225)
Инструкция по переносу лицензии КриптоПро, закрытых ключей ЭЦП и сертификатов с одного компьютера на другой.
1. Перенос лицензии криптопро.
Серийный номер КриптоПро CSP 3.6 находится в ветке реестра
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Products 5480A45343B0B0429E4860F13549069InstallProperties]
в значении параметра ProductID (имя раздела 05480A45343B0B0429E4860F13549069 может оказаться другим).
2. Перенос закрытых ключей ЭЦП. (Имеются ввиду ЭЦП хранящиеся в реестре, для ключей хранящихся на флешках, и токенах действие не требуется.)
2.1 Узнать SID текущего пользователя (нужен пользователь у которого ключи).
Способ 1: командой
Способ 2:Найти ветку реестра[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList].Выбрать SID (имеет вид, например, S-1-5-21-1993962763-492894223-1202660629-6195), и посмотреть ProfileImagePath, в конце строки найдете имя пользователя, которому принадлежит этот SID.
2.2. Для 32 битных систем нужно экспортировать ветку [HKEY_LOCAL_MACHINESOFTWARECrypto ProSettingsUSERSSID_текущего_пользователяKeys] в reg-файл.
Для 64-битных систем нужно экспортировать ветку [HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUSERSSID_текущего_пользователяKeys].
Эти ветки доступны только для текущего пользователя и при попытке открыть их от имени другого получим: «Не удается открыть . Не удается открыть этот раздел из-за ошибки. Сведения: Отказано в доступе.» Если у вас нет возможности залогиниться под нужным пользователем, то вам поможет утилита Марка Руссиновича psexec (скачать можно с течнета или отсюда) , которая позволяет запускать процессы от имени системной учетки. С помощью psexec запускаем regedit от имени системы:
и нам становятся доступны все разделы. Этот же трюк спасет если система вообще не загружается, нужно скопировать файл C:WindowsSystem32configSOFTWARE и загрузить его как куст реестра, главное, чтобы файл не был поврежден.
2.3. В reg-файле меняем через автозамену SID_текущего_пользователя, на SID пользователя в новой сисмеме.
2.4. Запускаем reg-файл, после этого все готово, но необходимо будет заново установить личные сертификаты для того что бы привязать сертификаты к контейнерам. Если не видно контейнеров, то неправильно указали SID_пользователя, т.к. контейнеры видны только под тем пользователем, под SID’ом которого они находятся.
Если перенести ключи данным способом не получается можно скопировать ЭЦП на флешку (КриптоПро: Перенос ключей ЭЦП с дискет на флешку или в реестр).
3. Перенос сертификатов.
Способ 1. Экспорт-импорт сертификатов. Выполнить certmgr.msc. В открывшемся окне переходим Личное->Сертификаты. Далее правой кнопкой по сертификату -> Все задачи -> Экспорт. В мастере экспорта нажимаем далее, выбираем экспортировать закрытый ключ или нет, выбираем нужный формат и нажимаем далее. Импорт личных сертификатов, которые используются в КриптоПро, нужно делать через
Панель управления -> КриптоПро -> вкладка «Сервис» -> «Установить личный сертификат».
При установке личных сертификатов средствами Windows не выполняется привязка закрытого ключа ЭЦП, и, очевидно, работать ничего не будет.
Способ 2. Установка сертификатов из контейнеров ЭЦП. При установке личного сертификата в КриптоПро версии 3.6 и выше существует возможность скопировать сертификат в контейнер закрытого ключа. Данная процедура позволяет значительно облегчить процесс переноса. Если сертификат установлен в контейнер закрытого ключа, не нужно ни чего экспортировать, достаточно просто перенести контейнеры, а потом зайти в
Панель управления -> КриптоПро -> вкладка «Сервис» ->»Просмотреть сертификаты в контейнере»
выбрать нужный контейнер и нажать кнопки «Далее» и «Установить».
В том случае, если нужно перенести 100500 ключей сразу, поможет одна из составляющих пакета PKI Tools, которая автоматизирует процесс установки сертификатов из контейнеров. Скачать пакет можно отсюда или отсюда.
Как скопировать эцп с компьютера на компьютер
Электронная подпись состоит из закрытого ключа и открытого ключа (сертификат .cer)
Удостоверяющие центры выдают ЭП на ключевых носителях — РуТокен/ЕТокен, флешкарта.
Если электронная подпись Ваша организация хранит на обычной флешкарте, то в корне носителя должен быть файл с расширением .cer — сертификат безопасности. Это открытая часть ключа — открытый ключ (сертификат ключа подписи).
Если Вашей организацией используется защищенный ключевой носитель РуТокен/ЕТокен, то физически увидеть сертификат невозможно. Для этого необходимо открытый ключ экспортировать штатным функционалом системы криптографии (криптопровайдера).
Экспорт открытого ключа возможен в том случае, если ЭП уже установлена на рабочем месте пользователя. Если ЭП на компьютере пользователя еще не установлена, ее необходимо установить, воспользовавшись инструкциями, которые выдал Удостоверяющий центр. В случае возникновения трудностей с установкой, необходимо обратиться в УЦ, где была приобретена ЭП.
Экспортировать открытый ключ в файл на рабочем месте пользователя можно двумя способами:
1). Из Свойств обозревателя.
Пуск -> Панель управления -> Свойства обозревателя
(или запустите браузер Internet Explorer -> Сервис -> Свойства обозревателя)
Выберите вкладку Содержание, кнопка «Сертификаты», вкладка «Личные».
В списке сертификатов найдите нужный и отметьте его. Нажмите кнопку «Экспорт».
Запустится «Мастер импорта сертификатов».
Ответьте на вопросы мастера:
— Нет. Не экспортировать закрытый ключ.
— Файлы Х.509 (.CER) в кодировке DER
— Обзор. Выберите папку, куда необходимо сохранить файл (в этом окне внизу укажите желаемое имя файла). Сохранить.
В результате этих действий в указанной вами папке создастся открытый файл сертификата ключа ЭП.
2). Из КриптоПро CSP.
Пуск -> Панель управления -> КриптоПро CSP
Выберите вкладку «Сервис», кнопка «Посмотреть сертификаты в контейнере».
В открывшемся окне по кнопке «Обзор» выберите ключевой контейнер, сертификаты которого вы хотите посмотреть.
В небольшом окне выбора контейнера выберите требуемый считыватеть (РуТокен, ЕТокен, дисковод) и контейнер закрытого ключа на нем. ОК.
В случае наличия файла открытого ключа в контейнере закрытого ключа, система отобразит окно с информации о нем. Нажмите кнопку «Свойства».
В открывшемся окне свойств сертификата перейти на вкладку «Состав» и нажать кнопку «Копировать в файл».
Запустится «Мастер импорта сертификатов».
Ответьте на вопросы мастера:
— Нет. Не экспортировать закрытый ключ.
— Файлы Х.509 (.CER) в кодировке DER
— Обзор. Выберите папку, куда необходимо сохранить файл (в этом окне внизу укажите желаемое имя файла). Сохранить.
В результате этих действий в указанной вами папке создастся открытый файл сертификата ключа ЭП.
Как скопировать контейнер закрытого ключа VipNet CSP?
Откройте программу ViPNet CSP. Для этого перейдите в меню Пуск → Все программы → ViPNet → ViPNet CSP.
В открывшемся окне перейдите на вкладку Контейнеры, выделите нужный контейнер одним нажатием левой кнопки мыши, и нажмите кнопку Копировать.
Выберите путь сохранения копии контейнера ключа. Для этого нажмите кнопку Обзор.
Укажите папку, в которую хотите поместить копию контейнера ключа, и нажмите ОК. Введите пароль контейнера ключа, после чего задайте новый пароль, и подтвердите его.
Пароль должен содержать в себе не менее 6 символов.
На вкладке Контейнеры появится копия Вашего контейнера с указание места хранения.
Пошаговая инструкция по экспорту сертификата через QR-код:
Чтобы экспортировать сертификат на смартфон через QR-код следуйте следующим шагам:
- Установите КриптоПро CSP 5.0 (версию 5.0.11729 и выше) по ссылке: https://www.cryptopro.ru/products/csp/downloads
- Запустите утилиту «Инструменты КриптоПро»
- В нижнем левом углу нажмите кнопку «Показать расширенные»
- Перейдите в раздел Сертификаты и нажмите кнопку «Экспортировать ключи»*
- В появившемся окне «Ввод пароля на PFX» пропускаем, ничего не надо вводить
- Далее выберите опцию «Экспортировать PFX в QR-код»
- Там где «Выберите приложение» укажите «Задать вручную»** и введите следующее значение: CRYPTOARMGOST://CERT/PFX/ADD/
- Сгенерированный QR-код отсканируйте камерой телефона***.
- Нажмите на «Открыть в приложении «КриптоАРМ»»
- Введите пароль от сертификата и пароль от контейнера, если ранее они были созданы
- Появится сообщение «Сертификат успешно импортирован»
Сертификат установлен и готов для того, чтобы вы могли подписать любой документ со своего смартфона.
Установить приложение «КриптоАРМ ГОСТ» можно по ссылкам:
Примечания:
* — Сертификат подписи должен быть экспортируемым, в противном случае ключ нельзя будет перенести на другое устройство
** — В одном из ближайших обновлений «КриптоПро CSP» приложение «КриптоАРМ ГОСТ» будет добавлено в список для выбора
*** — Некоторые смартфоны могут не поддерживать распознавание QR-кодов стандартной камерой, в таком случае установите приложение для сканирования из магазина приложений
Портал «Моя ЭЦП»
Notice: Trying to access array offset on value of type bool в функции block_inject_do_injection() (строка 271 в файле /var/www/allakunin/data/www/my-ep.ru/sites/all/modules/block_inject/block_inject.module).
Иногда бывает нужно скопировать Электронную подпись с одного носителя на другой. Однако, поскольку носитель подписи (токен) является специализированным устройством, призванным обеспечить безопасность использования эцп, то просто скопировать подпись с одного носителя на другой (как обычные файлы) нельзя.
Для копирования электронной подписи, а если говорить точнее, контейнера с электронной подписью, нужно использовать функционал программы Крипто Про.
Через меню «Пуск/Программы/КриптоПРО» откройте программу КриптоПРО CSP, перейдите на закладку «Сервис» и нажмите «Скопировать контейнер»:
В открывшемся окне нажмите «Обзор», потом выберите контейнер (т.е. ключ), который хотите скопировать и нажмите «ОК»:
Вы вернетесь к предыдущему окну, в котором теперь будет проставлено имя контейнера, который вы хотите скопировать. Нажмите Далее.
Программа предложит вам ввести имя нового контейнера (копирование происходит путем создания нового контейнера, только на другом носителе). Введите любое имя, но лучше чтобы оно намекало на компанию, для которой был сформирован этот ключ.
Затем выберите носитель (дисковод, реестр или флешку), на который будет записан контейнер (при этом для дисковода или флешки надо дождаться появления номера носителя), и нажмите ОК:
Устанавливаете и запоминаете пароль. Если пароль установлен, то его надо будет указывать каждый раз, когда захотите воспользоваться контейнером (при обращении к электронной подписи).
Все, после этого контейнер запишется и вы вернетесь в главное окно программы КриптоПРО.