Перенос контейнеров закрытых ключей и сертификатов CryptoPro
Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это — банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим. Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме.
by zerox https://serveradmin.ru/perenos-konteynerov-zakryityih-klyuchey-i-sertifikatov-cryptopro/
Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:
- Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
- Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.
Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным. Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.
Как перенести сертификат КриптоПро CSP
Экспортировать сертификаты можно конечно и через КриптоПро (CryptoPro), но это слишком много кнопок нужно нажать . И так с каждым сертификатом:
Установка перенесённых сертификатов из КриптоПро выполняется на той же вкладке Сервис ► Просмотреть сертификаты в контейнере. ► Обзор выбираем необходимый сертификат Далее ► Установить ► Oк .
Восстановление закрытого ключа КриптоПро CSP из резервной копии
Чтобы восстановить закрытый ключ из копии на новом рабочем месте (компьютере) необходимо сначала установить программу КриптоПро CSP.
Затем можно скопировать файл контейнера на диск или оставить на флеш-накопителе.
Если вы решили хранить закрытый ключ на диске, то его нужно установить его в специальный реестр.
Чтобы это сделать:
- Вставьте флеш-накопитель с копией ключа.
- Откройте программу КриптоПро CSP (кнопка «Пуск» — Все программы» — «КРИПТО-ПРО» — «КриптоПро CSP») (см. рис. 3).
- Перейдите к закладке «Сервис» и нажмите кнопку «Скопировать» (рис. 11).
- В окне копирования контейнера закрытого ключа нажмите кнопку «Обзор». При этом откроется окно выбора ключевого контейнера, в котором будут указаны все найденные контейнеры ключей, в т.ч. и находящиеся на флеш-накопителе.
- Выделите имя контейнера, находящегося на флеш-накопителе и нажмите «ОК».
Имя ключевого контейнера появится в строке выбора (рис. 12). Нажмите «Далее».
В случае, если для контейнера был задан пароль, введите его в окне ввода пароля и нажмите «ОК».
Введите имя для создаваемого ключевого контейнера (можно оставить прежнее имя) и нажмите «Готово» (рис. 13).
Выберите «Реестр» в разделе «Устройства» и нажмите «ОК».
Задайте пароль для создаваемого контейнера и нажмите «ОК» (рис. 14).
Далее требуется установить сертификат закрытого ключа в хранилище.
Откройте программу КриптоПро CSP (кнопка «Пуск» — Все программы» — «КРИПТО-ПРО» — «КриптоПро CSP») (см. рис. 3).
Перейдите на закладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере» (рис. 15).
Нажмите кнопку «Обзор» в окне «Сертификаты в контейнере закрытого ключа» и выберите имя контейнера из списка (рис. 16).
Если вы скопировали контейнер закрытого ключа в реестр, как описано выше, то выберите имя контейнера из реестра (указано в колонке «Считыватель»). Если не выполняли копирование и работаете с флеш-накопителя — выберите имя контейнера, который находится на флеш-накопителе.
Имя выбранного ключевого контейнера будет вставлено в окно «Сертификаты в контейнере закрытого ключа» (рис. 17). Нажмите «Далее».
При этом появится окно сертификата для просмотра (рис. 18). Нажмите кнопку «Установить».
При этом появится сообщение об успешной установке сертификата в хранилище (рис. 19).
Копирование с помощью КриптоПро CSP
1. Выбрать Пуск / Панель Управления / КриптоПро CSP.
2. Перейти на вкладку Сервис и кликнуть по кнопке Скопировать контейнер.
3. В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».
4. Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее».
5. Если вы копируете с защищённого ключевого носителя, то появится окно ввода, в котором следует указать pin-код.
6. Если вы не меняли pin-код на носителе, стандартный pin-код необходимо вводить соответственно его типу:
Rutoken — стандартный pin-код 12345678
eToken /JaCarta – 1234567890
7. В следующем окне необходимо ввести имя Вашей копии. Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните «Готово».
8. В окне «Выбор ключевого носителя» выберите носитель, на который будет помещен новый контейнер.
9. На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать или подобрать. Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».
В случае утери пароля/pin-кода использование контейнера станет невозможным.
10. Если вы копируете контейнер на смарт-карту ruToken/eToken /JaCarta, окно запроса будет выглядеть так:
11. В окне ввода укажите pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код
Rutoken — 12345678
eToken /JaCarta – 1234567890
12. После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено.
13. Для работы с копией ключевого контейнера необходимо установить личный сертификат.
14. В меню Пуск выберите пункт «КРИПТО-ПРО», запустите приложение «КриптоПро CSP»
15. Перейдите на вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере»:
16. В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится в Реестре):
17. После выбора контейнера нажмите кнопку Ок, затем Далее
18. Если после нажатия на кнопку Далее Вы видите такое сообщение:
19. «В контейнере закрытого ключа отсутствует открытый ключ шифрования», следует установить сертификат по рекомендациям, описанным в разделе «Установка через меню «Установить личный сертификат».
20. В окне Сертификат для просмотра нажмите кнопку Установить:
21. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:
22. Дождитесь сообщения об успешной установке:
23. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.
Шаг 2. Экспортируем ключи
Приступаем к экспорту ключей. Путь, по которому находится контейнер с ключами может отличаться в зависимости от некоторых условий, а именно:
В 32 разрядной Windows:
HKEY_LOCAL_MACHINESOFTWARECryptoProSettingsUsers\Keys(Название контейнера)
В 64 разрядной Windows:
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUSERS\Keys(Название контейнера)
В некоторых случаях (виртуальные машины) сертификат попадает сюда:
HKEY_USERSS-1-5-21-_ClassesVirtualStoreMACHINESOFTWAREWow6432NodeCrypto ProSettingsUSERS\Keys(Название контейнера)
Где SID это значение, которые мы выяснили на Шаге 1, оно как правило имеет вид S-1-5-21-1155488311-1545672654-485675444-1000. Название контейнера — это название наших ключей, их может быть большее одного.
Делаем экспорт куста Keys.
Аналогичным образом выясняем SID и место нахождения контейнера на ПК приемнике.
Криптопро перенос эцп на другой компьютер
«Переноса» КриптоПро CSP с одного компьютера на другой как такового нет. При необходимости использовать уже введенную лицензию на другом рабочем месте выполните установку КриптоПро CSP и введите эту же лицензию одним из описанных способов. После этого необходимо удалить КриптоПро CSP с предыдущей рабочей машины. Использование одной лицензии разрешается только на одном рабочем месте или сервере единовременно.
Серийный номер лицензии находится на официальном бланке. В случае, если лицензия утеряна и она приобреталась в КриптоПро, можно оформить услугу по восстановлению бланка лицензии.
Перед установкой КриптоПро CSP на новый компьютер убедитесь, что вы устанавливаете версию, которая указана в бланке вашей лицензии.
Не забудьте о переносе используемых сертификатов и соответствующих им закрытых ключей.