Такском перенос сертификата на другой компьютер

Записки IT специалиста

Автор: Уваров А.С.
21.09.2020

КриптоПро один из наиболее широко используемых криптопровайдеров на территории Российской Федерации, он широко используется в системах электронного документооборота, сдачи отчетности и взаимодействия с государственными органами, поэтому встретить его можно практически в любой организации. По этой причине у системных администраторов часто встает вопрос его переноса на другой ПК. А так как криптография является для многих сложной и непонятной областью, то эта простая задача может вызвать некоторые затруднения.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Если вы ранее не сталкивались с криптографией вообще, то рекомендуем прочитать нашу статью: Введение в криптографию. Общие вопросы, проблемы и решения. Здесь мы не будем углубляться в теорию, но приведем некоторый необходимый ликбез.

В повседневной деятельности широко распространено понятие «сертификат», им оперируют все, от сотрудников удостоверяющих центров, то бухгалтеров, работающих с ЭЦП. Часто можно услышать что-то подобное: «нам купили в бухгалтерию новый компьютер, нужно перенести сертификаты». Но если подходить с точки зрения криптографии, то слово «сертификат» в данном случае употребляется неправильно. Вся современная криптография строится вокруг инфраструктуры открытых ключей (PKI), которая подразумевает наличие у каждого участника ключевой пары: открытого и закрытого ключа.

Закрытый ключ является секретным, с его помощью мы можем подписывать документы, шифровать информацию и т.д. и т.п. Закрытый ключ Усиленной квалифицированной электронной подписи (УКЭП) равнозначен нотариально заверенной подписи и его попадание в чужие руки может привести к самым тяжелым последствиям.

Открытый ключ, дополненный некоторыми дополнительными данными, выпускается в форме сертификата и является публично доступным, с его помощью можно проверить действительность цифровой подписи, выполненной закрытым ключом или убедиться в подлинности участника обмена электронными документами.

Поэтому, когда мы говорим о переносе «сертификатов», то подразумеваем необходимость перенести ключевую пару: закрытый ключ и сертификат, перенос одних только сертификатов не принесет успеха, криптография на новом узле работать не будет.

Выяснив этот момент, перейдем к хранилищам закрытых ключей. КриптоПро предполагает в таком качестве токены, флеш-накопители и системный реестр. Токены являются наиболее защищенными устройствами, извлечь закрытый ключ из них невозможно, и вы можете не опасаться несанкционированного копирования (для этого закрытый ключ должен быть помечен как неэкспортируемый). Флеш-накопители представляют некий компромисс между безопасностью и мобильностью, а реестр удобен в тех случаях, когда на одном ПК нужно одновременно работать с большим количеством ключей. И именно с ним связаны определенные сложности при переносе на другой узел.

Как видите предпосылок и вариантов переноса сертификатов из реестра на другой компьютер, предостаточно.

Какие есть варианты по копированию контейнеров закрытых ключей?

Если мы создаем единый терминал (Виртуальную машину), на которой будут коллективно работать пользователи, то можно произвести конвертирование физической тачки в виртуальную машину
Если будет просто замена жесткого диска, то можно произвести его клонирование или перенос системы на SSD с помощью специальных утилит
Можно воспользоваться утилитой КриптоПРО
Воспользоваться экспортом из реестра Windows.

Ошибка копирования контейнера

Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:

Ошибка копирования контейнера

Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.

Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему.

Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Штатные возможности CryptoPro не позволяют скопировать закрытый ключ в файл.

Запускаем Internet Explorer, открываем его настройки и переходим на вкладку Содержание. Там нажимаем на Сертификаты.

Посмотреть список сертификатов в системе

Выбираем нужный сертификат и нажимаем Экспорт.

Экспорт сертификата CryptoPro

Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ «Да, экспортировать закрытый ключ«, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.

Невозможно экспортировать закрытый ключ

Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.

Формат экспортируемого ключа

Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке, жмите Экспорт и выберите файл формата .CER.

Перенос сертификата

Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него.

В итоге у вас должны получиться 2 файла с расширениями:

Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам достаточно будет выбрать все параметры по-умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер.

Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.

Копирование с помощью криптопровайдера КриптоПро CSP

На рабочем столе компьютера откройте меню «Пуск». Затем перейдите в «Панель управления» и выберите «КриптоПро CSP».

Перейдите на вкладку «Сервис» и нажмите на кнопку «Скопировать».

Нажмите на кнопку «Обзор».

Выберите контейнер из предложенного списка. После нажмите на кнопку «ОК», а затем на кнопку «Далее».

По умолчанию КриптоПро создает имя для копии. Оно состоит из повторяющегося имени копируемого контейнера, к которому добавляется слово «Копия»/«Copy». Мы рекомендуем оставить имя в таком виде и ничего в нем не менять, чтобы вы потом не потерялись в большом количестве контейнеров. Для продолжения операции нажмите на кнопку «Готово».

Если вы хотите изменить имя контейнера, придумайте его и введите в соответствующее окно. После этого нажмите на кнопку «Готово».

Вставьте носитель, на котором будет храниться новый контейнер. Затем выберите его в следующем окне.

Программа предложит установить пароль для нового контейнера. Это является рекомендуемой, но не обязательной процедурой. При желании вы можете оставить поле для пароля пустым и нажать на кнопку «ОК». На эту же кнопку нужно нажать, после установки пароля.

Обратите внимание, в случае утери пароля, использовать контейнер закрытого ключа не получится. Если вы установили пароль, постарайтесь его запомнить.

После завершения процедуры программа вернется на вкладку «Сервис» в окне «КриптоПро CSP».

Чтобы работать с перенесенным сертификатом, его нужно установить, следуя указаниям этой инструкции.

LiveInternetLiveInternet

Источник http://northschool.ru/wp-content/uploads/2015/01/Kuhnya-Pogody-.pdf журнал «Химия и жизнь».

UPD от 27 ноября 2012 г. Я смотрю, интерес с этому посту не затихает, поэтому считаю своим долгом предупредить, что пост написан в конце 2009 года, то есть три года назад. За это время могло многое поменяться. Доверяй, как говорится, но проверяй.

Тем, кто вообще не имеет отношения к отправке бухгалтерской отчетности по каналам связи, тем этот пост читать не стоит. Этот пост для тех, у кого случилась ситуация переезда/смены компьютера и всё такое прочее, а на старом компе стоит пресловутый такскомовский Референт. И стоит задача перенести сдачу отчетности организации и все данные об уже отправленной отчетности на новый компьютер.

1. Копируем ВСЮ папку C:Dipost (указываю путь по умолчанию, у вас может быть другой путь) со старого компьютера в любое удобное место — на флэшку, диск или по сети. Только имейте ввиду, что поскольку Дипост содержит кучу всякого мелкого файлА, копируется всё это чрезвычайно медленно, поэтому лучше вначале заархивировать, а потом переносить.

2. Экспортируем серитификат пользователя (их может быть несколько, если отчетность сдаётся по нескольким организациям). для этого нужно приготовить ключевую дискету и копировать сертификаты на неё. Запускам браузер, идем Сервис — Свойства обозревателя. далее на вкладку Содержание — Сертификаты — Личные. Откроется окно, в котором можно промотреть установленные личные сертификаты пользователей, подвечиваем необходимый сертификат, жмем Экспорт.

Далее следуем указаниям мастера сертификатов. Для сохранения указываем путь к ключевой дискете, в качестве имени выбираем любое. Расширение сертификата должно быть *.cer. Также поступаем с остальными необходимыми сертификатами (естественно, что просроченные копировать не надо).

Совет: настоятельно рекомендую экспортировать сертификаты пользователя СРАЗУ после генерации новых ключей, вдруг потом пригодятся.

3. Таким же образом экспортируем ключевой сертификат Authority Center (его можно найти на закладке «Доверенные корневые центры сертификации») — это надо сделать на тот случай, если этот сертификат не «подцепит» Мастер обновлений. Кстати, последний сертификат должен действовать до 2013 года.

Здесь всё. Теперь можно переходить в новому компьютеру и начинать работать на нём.

4. Первым делом устанавливаем «Средства электронного документооборота» с диска, предоставленного новому клиенту Такскомом. Этот диск, кстати, тоже настоятельно рекомендую после первичной установки сохранить. Установка не представляет никаких проблем, более того, на том же установочном диске в папке с документацией можно найти подробную пошаговую инструкцию в картинках (за что техподдержке Такскома огромное спасибо).

Потом устанавливаем Крипто-Про (если ещё не установлено, ибо это средство криптографической защиты является самой популярной на сегодня криптографической программой и используется для чёртовой тучи разных нужд, вроде банка-клиента, электронной торговли и тому подобное).

Установка программы «Налогоплательщик» — опциональна. Кто-то пользуется им, кто-то предпочитает верстать отчётность непосредственно в 1С или аналогичных программах, это не суть.

5. Потом запускаем Мастер обновлений: Пуск — Программы — Taxcom — Sprinter — Мастер обновлений. Запускам, вводим свой логин и пароль доступа (он указан на регистрационной карточке, которую выдают каждому новому клиенту. Что-что, а вот эту карточку имеет смысл хранить как зеницу ока). Далее следуем указаниям мастера.

6. После успешного обновления закрываем все мастера и сам Референт и просто копируем папку Dipost из того места, где мы её спрятали (см. п.1) в папку Dipost на новом компьютере. На все (!) замечания, что такой-то файл уже существует — говорим «Заменить».

Вплоть до этого момента всё должно происходить в режиме Да, Да, ОК, Ура, Согласен, Даёшь. т.е. безо всяких проблем, тупо выполняя указания соответствующих мастеров.

7. Теперь, если всё выполнено правильно, мы имеем полностью настроенный ящик в Референте, сохранённую почту, но отчетность отправлять еще нельзя. Для завершения настройки нужно установить рабочий сертификат пользователя и привязать его к ключевой дискете.

Для этого выполняем импорт сертификатов, которые мы сохраняли на дискету в п. 2. Действуем точно так же как при экспорте, только жмём кнопку «Импорт» и выполняем все указания мастера импорта сертификатов.

8. Теперь надо связать ключевой сертификат и ключи дискеты. Делается это через программу КриптоПро. Запускам её Пуск — Настройка — Панель управления — КриптоПро CSP, идём на вкладку Сервис — Установить личный сертификат

Далее следуем указаниям Мастера установки личного сертификата. ВАЖНО: если при создании ключа был указан пароль на контейнер, его введение потребуется на этом шаге. Никаких особенных проблем тоже быть не должно.

9. Теперь перезагружаемся, запускаем Референт и проводим Авто-тест, пользуясь ключевой дискетой.

Вот и всё! Вдруг кому-то пригодится.

И ещё — запоминайте пароли (а лучше — записывайте и храните в недоступном месте), храните дистрибутивы и не выбрасывайте регистрационные сведения — всё это может оказаться полезным.

Способы копирования ЭЦП

Существует несколько способов, как выгрузить сертификаты ЭЦП на рабочий стол. Для этого можно использовать программу КриптоПро, проводник Windows или консоль.

Извлечение сертификата из контейнера

Как извлечь сертификат из контейнера закрытого ключа:

Запустить КриптоПро CSP.
Перейти во вкладку «Сервис».
Нажать «Посмотреть сертификаты в контейнере».

Просмотр ключей в контейнере

Обзор контейнеров

В новом окне будет список контейнеров закрытого ключа, из которого выбирают нужный, и нажимают «ОК».

Выбор закрытого ключа

Затем нажать «Далее».

Продолжение переноса ключа эцп

При необходимости ввести pin-код и нажать «ОК».

Введение пин-кода

В открывшемся окне необходимо нажать кнопку «Свойства».

Свойства закрытого ключа

Перейти на вкладку «Состав» и нажать кнопку «Копировать».

Копирование закрытого ключа

В новом окне нажимают «Далее» и выбирают пункт «Не экспортировать закрытый ключ».

Мастер экспорта ключей

В следующем рабочем окне выбирают первый пункт кодировки.

Кодировка закрытого ключа

Затем нажимают «Обзор», выбирают путь сохранения сертификата и указывают имя файла, нажимают «Сохранить».

Сохранение файла закрытого ключа

Для завершения процесса нужно нажать на кнопку «Далее», затем «Готово».

Копирование закрытого ключа в реестр

Экспортировать закрытый ключ вместе с сертификатом можно и в реестр, а оттуда — переместить на рабочий стол или в любое удобное место на ПК. Для этого также используется программа КриптоПро.

Запустить КриптоПро, открыть меню «Сервис» и нажать «Копировать».

Копирование в КриптоПро

В новом окне выбрать контейнер, где хранятся закрытые ключи.

Выбор ключевого контейнера

Нажать «Далее» и перейти к копированию контейнера, а в поле «Имя контейнера» ввести название ЭЦП.

Копирование контейнера закрытого ключа эцп

Затем выбрать «Реестр».

Переход в реестр эцп

Для установки скопированного сертификата нужно:

Еще раз открыть КриптоПро и во вкладке «Сервис» выбрать «Посмотреть сертификаты в контейнере».

Просмотр ключа эцп в контейнере

Через «Обзор» выбрать нужный сертификат.

Выбор нужного контейнера эцп

Проверить данные сертификата, срок действия и фио или иные данные.

Проверка данных

Последовательно нажать «Установить», «Да», «Ок».

Экспорт сертификата с закрытым ключом прошел успешно, и теперь для работы с ЭЦП не нужно больше подключать носитель.

Копирование при помощи мастера экспорта ключей

Есть еще один способ переноса электронной подписи на компьютер. Для этого необходимо проделать следующие действия:

Проделать путь «Пуск», «Панель управления», «Свойства обозревателя».

Свойства обозревателя закрытых ключей эцп

Выбрать вкладку «Содержание», после чего через кнопку «Сертификаты» перейти во вкладку «Личные», а в открывшемся списке найти сертификат, который необходимо скопировать. Нажать «Экспорт».

Экспорт ключа эцп

В открывшемся мастере экспорта сертификатов нажимают «Далее».

Мастер экспорта эцп

Поставить нужные галочки.

Выбор опций экспорта ключа эцп

Выбрать первый пункт (файлам с расширением Х.509).

Выбор расширения

Через «Обзор» выбрать место, куда необходимо сохранить закрытый ключ.

Перенос эцп

Нажать последовательно «Далее» и «Готово».

Имя экспортируемого файла

Завершение переноса ключа эцп

После копирования закрытого ключа использовать электронную подпись можно также без предварительного подключения USB-носителя.

Массовое копирование

Чтобы перенести сразу несколько ключей ЭЦП на другой компьютер или на любой другой носитель, проще использовать консольный метод.

Для копирования необходимо узнать SID пользователя. Сделать это можно при помощи команды wmic useraccount where name=’zerox’ get sid.

Для копирования контейнеров в файл нужно открыть редактор реестра и перейти в ветку: HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsUsersS-1-5-21-4126079715-2548991747-1835893097-1000Keys.

Затем пользователь выбирает и экспортирует папку Keys.

Папка закрытых ключей эцп

Ветку с закрытыми ключами сохраняют в отдельный файл. Теперь нужно скопировать все сертификаты. В OS Windows 7 и старше они находятся в директории C:UserszeroxAppDataRoamingMicrosoftSystemCertificatesMy. Для переноса ветку реестра копируют, затем открывают в текстовом редакторе и меняют значение SID для нового ПК или пользователя.

Остается лишь запустить файл с расширением .reg и загрузить данные в реестр. После этого пользователь копирует папку с сертификатами на другой компьютер.

Перенос КриптоПро CSP и ключей подписи

1. Установить Крипто Про CSP следуя инструкции инсталлятора

В процессе установки потребуется ввести серийный номер КриптоПро CSP. Серийный номер Вы можете получить из накладной на поставку ПК «Спринтер» (при подключении организации после февраля 2008г.). Если подключение было до февраля 2008г., то для получения серийного номера КриптоПро CSP позвоните по тел.: (4922)38-12-99 или 44-10-38.

2. Установить корневой сертификат удостоверяющего центра

На сайте www.nalog33.ru выбрать раздел «Удостоверяющий центр», щелкнуть левой кнопкой мыши по ссылке сертификат удостоверяющего центра ООО «Такском» и сохранить корневой сертификат Удостоверяющего центра на своем компьютере. (при запросе «Имя пользователя» и «Пароль» ввести данные используемые вами для доступа к разделу обновлений). Затем нажать правой кнопкой мыши по сохраненному сертификату и в открывшемся контекстном меню выбрать пункт «Установить сертификат», в результате чего будет запущен мастер импорта сертификатов.

Нажать кнопку «Далее»

В следующем окне «Мастер импорта сертификатов» необходимо установить переключатель выбора хранилища в положение «Поместить все сертификаты в следующее хранилище», а с помощью кнопки «Обзор» – указать в качестве имени хранилища «Доверенные корневые центры сертификации», нажать «Ок», «Далее».

Нажать кнопку «Готово»

3. Экспорт сертификата

Перед тем как установить личный сертификат на новом рабочем месте, должна быть выполнена процедура экспорта сертификата со «старого» рабочего места, которую можно осуществить одним из двух способов.

ВАЖНО! Если с одного компьютера сдается отчетность нескольких организаций, необходимо повторить процедуру экспорта личного рабочего сертификата для каждой организации, в указанном ниже порядке.

1 способ: Вставить в компьютер ключевой носитель, запустить Internet Explorer и последовательно выбрать в меню пункты «Сервис» – «Свойства обозревателя». В открывшемся окне «Свойства обозревателя» следует перейти на закладку «Содержание», нажать на кнопку «Сертификаты» и перейти на закладку «Личные». При этом откроется окно со списком установленных личных сертификатов, в котором нужно выделить экспортируемый сертификат и нажать на кнопку «Экспорт».

В открывшемся окне мастера экспорта сертификатов следует нажать кнопку «Далее».

В следующем окне на вопрос об экспорте закрытого ключа вместе с сертификатом следует ответить «Нет» (установить переключатель в положение «Нет»).

В окне выбора формата файла сертификата нужно установить переключатель в положение «Файлы в DER-кодировке…»

В следующем окне с помощью кнопки «Обзор» необходимо указать съемный носитель (дискета, флешка), на который копируется сертификат и имя файла сертификата (любое).

нажимаем кнопку «Сохранить», «Далее», «Готово».

2 способ: Вставить в компьютер ключевой носитель, запустить программу «КриптоПро CSP» (Пуск – Настройка – Панель управления – КриптоПро CSP) и на закладке «Сервис» нажать кнопку «Просмотреть сертификаты в контейнере», затем нажать кнопку «Обзор».

В окне «Выбор ключевого контейнера» выбираем контейнер, откуда будем копировать личный сертификат, нажимаем кнопку «Ок», «Далее».

В появившемся окне «Сертификаты в контейнере закрытого ключа», нажать кнопку «Свойства»

Откроется окно «Сертификат», где надо перейти на вкладку «Состав» и нажать кнопку «Копировать в файл…», расположенную в нижней части окна

В открывшемся окне мастера экспорта сертификатов следует нажать кнопку «Далее».

В окне выбора формата файла сертификата нужно установить переключатель в положение «Файлы в DER-кодировке…»

нажимаем кнопку «Сохранить», «Далее», «Готово».

Примечание. Если на прежнем рабочем месте ключи подписи находились в Реестре, то помимо экспорта личного сертификата, также необходимо выполнить процедуру копирования закрытого контейнера из Реестра.

Для копирования ключевой информации из Реестра на дискету (на флэш-носитель) следует запустить программу «КриптоПро CSP» («Пуск – Настройка – Панель управления – КриптоПро CSP») и перейти на закладку «Сервис» и нажать кнопку «Скопировать контейнер».

Далее откроется окно мастера копирования «Копирование контейнера закрытого ключа», где следует нажать на кнопку «Обзор».

В открывшемся окне «Выбор ключевого контейнера» следует выделить мышью строку с ключевым контейнером — Реестр и нажать кнопку «ОК», «Далее».

В следующем окне в поле «Имя ключевого контейнера» следует ввести имя ключевого контейнера (любое), на который копируется ключевая информация из Реестра.

После этого нужно нажать кнопку «Готово». В открывшемся окне в поле «Устройства» следует выбрать требуемый считыватель («Дисковод А» – для считывателя дискета или «Дисковод [буква диска флеш-носителя]» – для флеш-носителя), выделив его мышью, и нажать кнопку «ОК».

Копирования закрытого контейнера с дискеты (флеш-носителя) в Реестр делается аналогично.

4. Установка личного сертификата.

Для установки личного сертификата Вам потребуется:
а) файл личного сертификата (процедура экспорта описана в п.3 данной инструкции)
б) закрытый контейнер (находится на съемном носителе или в Реестре)

ВАЖНО! Если с одного компьютера сдается отчетность нескольких организаций, необходимо повторить процедуру установки личного рабочего сертификата для каждой организации, в указанном ниже порядке.

Для установки личного сертификата с ключевого носителя нужно запустить программу «КриптоПро CSP» («Пуск – Настройка – Панель управления – КриптоПро CSP») и на закладке «Сервис» нажать кнопку «Установить личный сертификат».

В окне «Мастер установки личного сертификата» нажать кнопку «Обзор» и указать путь к ранее скопированному личному сертификату, который имеет маску *.cer.

нажать кнопку «Далее», появится окно, содержащее данные сертификата

Затем в окне «Мастер установки личного сертификата» нажать кнопку «Обзор» и в появившемся окне «Выбор ключевого контейнера» нужно указать имя ключевого контейнера, нажать на «ОК».

В этом же окне мастера установки личного сертификата нужно нажать кнопку выбора в поле «Выберите CSP для выбора ключевых контейнеров», выбрать «GOST R 34.10-2001 Cryptographic Service Provider» и нажать кнопку «Далее».

В следующем окне нажать на кнопку «Обзор» и в появившемся окне «Выбор хранилища сертификата» выбрать хранилище Личные, нажать «Ок», «Далее».