Как скопировать сертификат с рутокена на компьютер

Обновлено: 21.11.2024

Некоторое время назад в рамках проекта возникла необходимость ограничить одновременное количество компьютеров, имеющих доступ к веб-приложению, работающему в локальной сети заказчика.

Решение использовать аппаратные USB-токены для идентификации компьютера пришло само собой. Выбор остановился на Рутокен ЭЦП: работает без драйверов, для работы в Web-приложении нужен только плагин для браузера, выпущенный разработчиком. Так как токен должен идентифицировать компьютер, а не пользователя, работа с ним должна быть полностью «прозрачной»: если он есть, то система просто молча работает, не задавая пользователю лишних вопросов.

Принято решение: при входе в систему подписать учетные данные пользователя неквалифицированной подписью сертификата, хранящегося на Рутокен, с помощью плагина Рутокен, и проверить на сервере. После успешного входа в систему с помощью плагина проверьте физическое наличие того же токена, а при его отсутствии выйдите из системы. В рамках упомянутого проекта этого было достаточно.

Необходимо создать собственный центр сертификации (ЦС) для обмена подписанными сообщениями, а точнее, для отправки подписанных сообщений от клиента на сервер. Клиентские сертификаты должны располагаться на USB-токенах в контейнерах с закрытыми ключами, а проверка подписи должна выполняться на сервере с помощью инструментов OpenSSL.

Итак, задача: установка и настройка на линукс-сервере УЦ. Разверните клиентские сертификаты, которые идентифицируют компьютеры на USB-токенах.

Для ее решения вам потребуется:

a) Добавьте директивы для подключения механизма токенов в начало файла:


б) раскомментировать строку


в) в секции [v3_req] указать следующие параметры:


d) в секции [v3_ca] уберите критическую опцию из параметра basicConstraints:

Для чего? Честный ответ: не знаю. Однако все примеры корневых сертификатов, которые я скачал, пытаясь разобраться в теме, были без признака критичности. Я задаюсь вопросом «за что?» более опытные коллеги.

д) дополнительно установить значения по умолчанию, которые будут предлагаться при выдаче самозаверяющих сертификатов и формировании запросов на выдачу клиентских сертификатов. Эти параметры находятся в разделе [req_distinguished_name] .

Параметр с постфиксом _default является значением по умолчанию. Пример:

Когда система попросит вас ввести параметр countryName , в квадратных скобках будет указано, что она оставит значение AU по умолчанию.

На этом настройка конфигурации OpenSSL завершена. Осталось указать OpenSSL, что необходимо его использовать. Для этого установите переменную среды OPENSSL_CONF:

а) создать в нем подкаталоги:

demoCA
demoCA/private
demoCA/newcerts

Примечание: имя demoCA записывается в разделе [CA_default] файла openssl.cnf. Вы можете изменить его (на шаге 2) и затем работать с ним вместо demoCA.

Алгоритм действий в целом прост:

а) выдаем корневой сертификат удостоверяющего центра по алгоритму ГОСТ:

  • сгенерировать закрытый ключ для выдачи самозаверяющего сертификата ЦС
  • создайте самозаверяющий сертификат X509, используя сгенерированный ключ
  • создать пару ключей (так называемый контейнер закрытого ключа)
  • создайте запрос на подпись сертификата, используя сгенерированный токен-ключ
  • выдать сертификат для этого запроса
  • сохраните сертификат токена в контейнере закрытого ключа

Генерация закрытого ключа для сертификата ЦС (используем алгоритм ГОСТ):

Мы выпускаем самозаверяющий сертификат ЦС:


Обратите внимание: мы указали в командной строке, что необходимо использовать расширения v3_ca из конфига openssl_cnf. Именно там находится наш ЦС. Срок действия 10 лет. Обычное дело для ЦА. Но возможно и большее.

В процессе выдачи сертификата система попросит ввести значения параметров, которые находятся в секции [req_distinguished_name] нашего файла openssl.cnf.

Теперь мы приступаем к операциям с токенами. Если токен новый или отформатирован со значениями по умолчанию, то ПИН пользователя на нем 12345678. Я исхожу из предположения, что это именно так. В противном случае необходимо указать правильный PIN-код пользователя и вообще постараться, чтобы в приведенных ниже примерах имена уже существующих на токене объектов не пересекались с введенными.

В первую очередь мы сгенерируем пару ключей. OpenSSL не умеет выполнять эту операцию на Рутокен, поэтому воспользуемся утилитой pkcs11-tool из пакета OpenSC:

Важное примечание: мы указали идентификатор 303030303031.Каждые две цифры этого id — не что иное, как ASCII-код символов «0» и «1» соответственно. Для операций с OpenSSL это будет иметь вид "id=000001" Мы

формируем запрос сертификата:


Если все сделано правильно, то система

  • запросить PIN-код
  • будет запрашивать параметры имени сертификата (из раздела [req_distinguished_name])
  • выдаст файл запроса на подпись сертификата


Система отобразит сертификат, спросит о решении подписать его (ответьте «y») и о решении сохранить новый сертификат (снова ответьте «y»).

Сохраняем полученный сертификат для токена:

Тестирование созданного «чуда». Для этого подписываем и проверяем подпись фразы «Hello, world!»:


Если все сделано правильно, система запросит PIN-код, подпишет сообщение, затем проверит подпись и в случае успеха выведет исходное сообщение и результат проверки («успех»)

Примечание . Возвращаясь к заглавной задаче и подписанию с помощью плагина, следует отметить, что по умолчанию плагин выдает результат подписания не в формате PEM, а в формате DER, закодированном в base64. Поэтому для проверки подписи нужно сначала декодировать из base64, а при проверке указать входной формат DER.

Изначально электронная подпись (ЭП) выдается на физическом носителе под названием RuToken или EToken. Он хранит сертификат (он же открытый ключ, как я понимаю) и секретный (он же закрытый) ключ. Эта пара ключей объединена контейнером ключей. На одном физическом носителе может быть несколько ключевых контейнеров. По истечении срока действия сертификата он перевыпускается вместе с секретным ключом, то есть заново создается пара ключей: закрытый и открытый.

Так о чем я, в офисе есть Рутокен с ЭП, одновременно может требоваться несколько сотрудников для подписания документов, и тогда начинаются конфликты. Но на самом деле не все так печально, если ключевой контейнер позволяет себя экспортировать, то его можно разместить из Рутокена в Реестр! Поместив контейнер в реестр и указав в сертификате, что закрытый ключ хранится в реестре по определенному адресу, присутствие Рутокена в USB-порту исчезает.

Как это делается

Естественно, первым делом вставляем Рутокен в USB-порт. Запускаем КриптоПро CSP от имени АДМИНИСТРАТОРА и проверяем, какие носители доступны:
Если ридер есть в списке Registry, то все нормально, в противном случае нажимаем кнопку Добавить и с помощью мастер установки читалки, добавьте реестр.

Следующий шаг — проверка контейнера ключей:
Если экспорт ключа разрешен, то приступим к копированию ключа! Перейдите в интерфейс копирования ключей Сервис -> Копировать, выберите имя контейнера ключей, который хранится на Рутокен. Обратите внимание на настройку, если установить пользователя, то в браузере будут отображаться ключевые контейнеры из реестра, экспортированные ранее для текущего пользователя ОС, если установить компьютер, то будут отображаться экспортированные ранее контейнеры для компьютера. Скопируем для пользователя:

< td style="text-align: center;">

Почти в каждой организации есть электронный ключ. Они широко распространены и без них практически невозможно вести какую-либо деятельность. Они нужны для подписания отчетных документов и для многого другого. Поэтому те, кто обслуживает ИТ-сектор в организации, должны знать, что это такое. Например, сегодня мы поговорим о том, как скопировать сертификат из реестра и перенести его на другой компьютер.

Как скопировать сертификат из реестра на флешку

Представим, что вы пришли в организацию и вам нужно настроить доступ к порталу для нового сотрудника. Электронного ключа у вас нет, и вы не знаете, где его взять.В этом случае проще всего скопировать его с компьютера, на котором он установлен. Для этого берем чистую флешку и запускаем КриптоПро. Пуск - Все программы - КриптоПро - Сертификаты. А вообще копии ключей лучше хранить на отдельной флешке в шкафу.

В открывшемся окне перейдите на вкладку «Композиция» и внизу нажмите «Копировать в файл».

Мастер экспорта сертификатов откроется на первой вкладке, нажмите «Далее». Вам нужно указать, копировать закрытый ключ или нет. Нам это пока не нужно, поэтому оставляем все как есть.

Теперь мы отмечаем нужный формат сертификата в большинстве случаев, здесь все должно быть оставлено по умолчанию.

Как скопировать закрытый ключ из реестра

Для некоторых сертификатов требуется закрытый ключ. Его также можно скопировать из реестра на флешку. Это также делается просто путем запуска КриптоПро. Перейдите на вкладку "Службы" и выберите "Копировать".

Введите новое имя и нажмите "Готово".

В открывшемся окне выберите флешку.

Сейчас практически каждая организация установила на компьютер бухгалтера СКЗИ-систему криптографической защиты информации. Таким образом, мы используем . В нашем случае КриптоПро необходим для работы Клиент-Банка и программы ВЛИС++ (через эту программу бухгалтерия готовит и сдает отчеты в налоговую, Пенсионный фонд, Росстат).

При работе как с Клиент-Банком, так и с СБИС++ ключевые носители, на которых хранятся закрытые ключи и сертификаты. В качестве такого носителя может выступать дискета, флешка, защищенная флешка (Рутокен, eToken), а также реестр.

Итак, однажды наш бухгалтер устал вставлять дискету в компьютер каждый раз, когда отправляет отчеты. Более того, данный носитель довольно ненадежен и пару раз выходил из строя (приходилось). Поэтому было принято решение скопировать ключи с дискеты в реестр.

Хранить ключи в реестре, конечно, удобно. Но имейте в виду такой момент: при переустановке операционной системы на компьютер информация о ваших ключах будет безвозвратно утеряна. Поэтому после того, как вы скопируете ключи в реестр, обязательно сохраните носитель с оригиналом этих ключей.

Итак, как скопировать ключи с дискеты в реестр в КриптоПро CSP 3.6?
1. Заходим в «Пуск» — «Панель управления» — «КриптоПро CSP».
2. В открывшемся окне перейдите на вкладку «Сервис».
3. Вставьте ключевую дискету в дисковод компьютера и нажмите кнопку «Копировать контейнер». 4. Далее нажмите «Обзор» и в появившемся окне выберите контейнер, который хотите скопировать (кликните по нему один раз мышкой и нажмите «ОК»).
Имя выбранного контейнера появится в поле «Имя ключевого контейнера». Нажмите кнопку "Далее".
5. В следующем окне напишите любое имя — это будет имя копии. Нажмите Готово.
6. Далее выберите носитель «Реестр» и нажмите «ОК».
Появится окно с просьбой установить пароль. Если вам это не нужно, ничего не вводите, а просто нажмите здесь «ОК». Вот и все — мы скопировали ключ в реестр. Чтобы это проверить - там же во вкладке "Сервис" нажмите кнопку "Просмотр сертификатов в контейнере" - кнопка "Обзор" - здесь в списке ключевых контейнеров будет указанный вами реестр и имя контейнера отображается.

Мой новый пост будет посвящен программе Крипто Про, вроде ничего сложного, но с этим софтом постоянно возникают траблы, то ли потому, что с ним приходится иметь дело раз-два в год, то ли такой софт, но в общем решил сделать памятку для себя и для вас.

Задача: Разрешить доступ к программе Contour Extern на двух машинах, хорошо, приступим.

Что у нас есть: Один уже рабочий ключ на SD-карте.

Что потребуется: Нужны любые SD карты носители, так же можно залить в реестр флешку, или можно использовать так называемый RUтокен. Я установлю на RUтокен, а вы можете использовать любой из вариантов.

Да, еще небольшое замечание, если у вас доменный комп, то лучше все это делать под учетной записью администратора.

Итак, приступим

Найдите программу в меню "Пуск" или на панели управления,

Запускаем программу.

Перейдите на вкладку Сервис и нажмите кнопку Копировать.

Вам потребуется ввести пароль из 8 любых символов. Вводим пароль и нажимаем Далее.

В следующем окне нам нужно задать название контейнера, (я всегда использую 2 удобные мне организации и использую маркировку имя-01 и 02, так же можно использовать ИНН организации отделить.) после чего нажимаем кнопку Готово.

Здесь вам еще раз нужно будет ввести пароль для нового контейнера, сделать то же самое и нажать ОК.

В следующем диалоговом окне нужно выбрать носитель, куда копировать наш контейнер, я выбираю RUtoken и вам нужно выбрать носитель, куда вы собираетесь установить контейнер.

После того, как вы выбрали, нажмите кнопку Далее. Затем финиш.

Вот в принципе и все, ключ копируется. Осталось только установить его для конкретного пользователя.

Снова заходим в КриптоПро, открываем вкладку службы и нажимаем на кнопку Просмотреть сертификаты в контейнере.

В открывшемся диалоговом окне открываем нужный нам контейнер и нажимаем кнопку ОК. затем нажмите кнопку Далее.

В следующем окне нажмите кнопку Y. стать, если его нет, то нажать кнопку C свойства.

В открывшемся окне нажмите кнопку стать сертификатом. Откроется мастер импорта сертификатов, где нужно нажать Далее.

В открывшемся окне оставьте все как есть и нажмите Далее.

Если сертификат успешно установлен, вы должны увидеть следующее диалоговое окно.

Установка через меню установки личного сертификата.

Для установки сертификата нам нужен сам файл сертификата, (файл с расширением .cer) он находится на том носителе, куда мы его скопировали, в моем случае это рутокин.

Итак, снова открываем КриптоПро, переходим на вкладку Сервис и нажимаем кнопку Установить персональный сертификат.

В открывшемся окне найдите этот сертификат, нажав на кнопки Обзор.

В следующем диалоговом окне поставьте галочку рядом с Найти контейнер автоматически, после чего программа автоматически найдет нужный вам контейнер. Затем нажмите кнопку Далее.

Далее может появиться окно с выбором места хранения сертификата, нужно выбрать Personal и нажать кнопку ОК.

Затем может появиться диалоговое окно, в котором нужно нажать кнопку Да.

Затем дождитесь сообщения об успешной установке.

После этого нужно вынуть свое устройство, к которому относится контейнер с ключами и вставить обратно, после того, как устройство будет найдено, можно пробовать.

Если у вас есть какие-либо вопросы, так как в разных версиях КриптоПро могут быть разные изменения, то прошу оставлять свои комментарии, я всегда буду рад вам помочь.

Если электронная подпись была выдана в реестр ПК, то вы можете скопировать ее на носитель, следуя следующей инструкции.

Шаг 1. Откройте КриптоПро и перейдите на вкладку «Сервис», затем нажмите на кнопку «Копировать», как показано в инструкции.

Шаг 2. В появившемся окне нажмите кнопку «Обзор», чтобы выбрать контейнер, в который вы хотите скопировать электронную подпись.

Шаг 3. В появившемся списке существующих контейнеров выберите нужный контейнер, который необходимо скопировать на носитель, и нажмите кнопку "ОК".

Шаг 4. Подтвердите действие, нажав кнопку "Далее" в появившемся окне

Шаг 5. В появившемся окне укажите имя нового контейнера, который будет создан на носителе. Имя в поле вводится автоматически, поэтому его можно просто не менять. Нажмите кнопку "Готово".

Шаг 6. Появится окно выбора носителя. Выберите из списка необходимый носитель, на который вы хотите скопировать электронную подпись. Для того, чтобы понять, какой носитель выбрать из списка, посмотрите на поле «Вставленный носитель»: там либо будет написано «Носитель отсутствует», что означает, что вы выбрали несуществующий носитель, либо появится имя носителя, похожее на имя на скриншоте. Выберите и нажмите ОК.

Шаг 7. После выбора носителя появится окно для ввода пин-кода нового контейнера электронной подписи. Мы рекомендуем вводить стандартный пин-код «12345678», так как клиенты часто забывают или теряют пин-коды, после чего ЭЦП приходится переоформлять. Вы можете установить свой (другой) пин-код, если уверены, что не потеряете его. После ввода пин-кода нажмите кнопку "ОК".

Готово. Теперь контейнер электронной подписи скопирован на выбранный носитель, и вы можете им пользоваться.

Если нет желания разбираться в этих деталях, поможем. Вы даже можете вызвать нашего инженера к себе в офис.

Мой новый пост будет посвящен программе Крипто Про, вроде ничего сложного, но с этим софтом постоянно возникают траблы, то ли потому, что с ним приходится иметь дело раз-два в год, то ли такой софт, но в общем решил сделать памятку для себя и для вас.

Задача: Обеспечить доступ к программе Контур Экстерн на двух машинах, ну ладно, приступим.

Что у нас есть: Один уже рабочий ключ на SD-карте.

Что нужно: Нужна любая медиа SD карта, флешку тоже можно залить в реестр, а можно использовать так называемый RUтокен. Я буду устанавливать на RUтокен, но вы можете использовать любой из вариантов.

Да, еще одно маленькое замечание, если у вас доменный компьютер, то лучше все это делать под учетной записью администратора.

Итак, приступим

Находим программу в меню пуск или панели управления,

Запускаем программу.

Перейдите на вкладку Сервис и нажмите кнопку Копировать.

Вам потребуется ввести пароль из любых 8 символов. Вводим пароль и нажимаем Далее.

В следующем окне нам нужно задать наименование контейнера, (я всегда использую 2 удобные для меня организации и использую наименование маркировки-01 и 02, так же для разделения можно использовать ИНН организации.) А затем нажмите кнопку Готово.

Здесь вам снова нужно будет ввести пароль для нового контейнера, сделать то же самое и нажать ОК.

В следующем диалоговом окне нужно выбрать носитель, куда копировать наш контейнер, я выбираю RUtoken и вам нужно выбрать носитель, куда вы собираетесь установить контейнер.

После того, как вы выбрали, нажмите кнопку Далее. Затем финиш.

В общем, это почти все, ключ скопирован. Осталось только установить его для конкретного пользователя.

Снова зайдите в КриптоПро, откройте вкладку сервиса и нажмите на кнопку Просмотреть сертификаты в контейнере.

В открывшемся диалоговом окне открываем нужный нам контейнер и нажимаем кнопку ОК. затем нажмите кнопку Далее.

В следующем окне нажмите кнопку У стать, если ее нет, то нажмите кнопку С свойства.

В открывшемся окне нажмите кнопку У получить сертификат. Откроется мастер импорта сертификатов, где нужно нажать Далее.

В открывшемся окне нужно оставить все как есть и нажать Далее.

Если сертификат успешно установлен, вы должны увидеть следующее диалоговое окно.

Установка через меню установки личного сертификата.

Для установки сертификата нам нужен сам файл сертификата, (файл с расширением .cer) он находится на том носителе, куда мы его скопировали, в моем случае это рутокин.

Итак, снова открываем КриптоПро, переходим на вкладку Сервис и нажимаем кнопку Установить персональный сертификат.

В открывшемся окне находим этот сертификат, нажав на кнопку Обзор.

В следующем диалоговом окне поставьте галочку напротив Найти контейнер автоматически, после чего программа автоматически найдет нужный вам контейнер. Затем нажмите кнопку Далее.

Далее может появиться окно с выбором места хранения сертификата, нужно выбрать Личный и нажать кнопку ОК.

Затем может появиться диалоговое окно, в котором нужно нажать кнопку Да.

Затем дождитесь сообщения об успешной установке.

После этого нужно вынуть свое устройство, к которому относится контейнер с ключами и вставить обратно, после того, как устройство будет найдено, можно пробовать.

Если у вас есть вопросы, так как в разных версиях КриптоПро могут быть разные изменения, то просите оставлять свои комментарии, я всегда буду рад вам помочь.

Для переноса контейнера закрытого ключа (ключ) и пользовательского сертификата (сертификат) вам потребуется:
- ключевая дискета с ключом и сертификатом
- компьютер с дисководом ( компьютер 1)
- компьютер без дисковода (комп 2) с которого будут отправляться налоговые отчеты
- обычная флешка ( флешка)
- дистрибутив КриптоПро любой версии и ридер Реестра к нему

Шаг первый: подготовка компьютера и копирование ключа

Установите дистрибутив КриптоПро на компьютер 1

Запустите снап КриптоПро CSP из Панели управления.
Вставьте в компьютер 1 флешку.

В новом окне нажмите кнопку "Добавить".

Проверьте Диск?: как показано на рисунках.

Нажмите "Далее", "Готово" и "ОК".

Теперь вставьте ключевую дискету.

Перейдите на вкладку "Сервис", нажмите кнопку "Копировать контейнер".
В новом окне нажмите кнопку "Обзор" и укажите "Диск A:" в качестве контейнера ключей для копирования.

Теперь укажите имя нового контейнера ключей и нажмите «Готово», после чего программа попросит указать устройство для записи ключа. В данном случае это наша флешка (Диск?). Выберите его и нажмите "ОК", когда будет предложено ввести пароль, снова нажмите "ОК".

После этого с дискеты нужно скопировать файл сертификата (файл с расширением *.cer) на флешку через проводник или любым другим способом.

Второй шаг: подготовка компьютера 2 и установка ключа

Установите дистрибутив КриптоПро на компьютер 2 (пропустите этот пункт, если на нем уже установлен КриптоПро).

Запустить снап КриптоПро CSP из Панели управления.
Вставить в компьютер 2 флешки.

Перейдите на вкладку "Оборудование", нажмите кнопку "Настроить считыватели".

В новом окне нажмите кнопку "Добавить", затем "Далее>", отметьте Диск?: как показано на рисунках.

Буква диска должна совпадать с буквой диска, назначенной операционной системой.
Нажмите «Далее», «Готово» и «ОК».

Теперь таким же образом добавьте Реестр считывателя и через вкладку "Сервис" скопируйте контейнер закрытого ключа с Диска ?: в Реестр считывателя (в качестве источника для копирования укажите Диск?:, а Реестр в качестве места назначения).

Скопируйте сертификат с USB на компьютер 2.

В КриптоПро CSP на вкладке «Сервис» нажмите кнопку «Установить персональный сертификат», следуйте инструкциям мастера установки. При выборе контейнера ключей укажите Registry.

Подключитесь к Интернету и попробуйте использовать систему Контур-Экстерн.

Если система Контур-Экстерн устанавливается на компьютер впервые, обязательно скачайте и запустите

Копировать с помощью Windows

Если для работы используется дискета или флешка, вы можете скопировать контейнер с сертификатом средствами Windows (данный способ подходит для КриптоПро CSP версий не ниже 3.0). Поместите папку с приватным ключом (и, если есть, файл сертификата - публичный ключ) в корень дискеты/флешки (если не в корень, то работа с сертификатом будет невозможна) . Не рекомендуется изменять имя папки при копировании.

Папка с закрытым ключом должна содержать 6 файлов с расширением .key. Как правило, закрытый ключ содержит открытый ключ (файл header.key в этом случае будет весить более 1 КБ). В этом случае копирование открытого ключа необязательно. Примером закрытого ключа является папка с шестью файлами, а открытым ключом — файл с расширением .cer.

Закрытый ключ Открытый ключ

Копировать в профиль диагностики

<р>1. Перейдите в профиль диагностики "Копировать" по ссылке.

<р>2. Вставьте носитель, на который вы хотите скопировать сертификат.

<р>3. Нажмите кнопку "Копировать" на нужном сертификате.

Если для контейнера установлен пароль, появится сообщение «Введите пароль для устройства, с которого будет скопирован сертификат».

<р>4. Выберите носитель, на который вы хотите скопировать сертификат, и нажмите «Далее».

<р>5. Дайте имя новому контейнеру и нажмите кнопку «Далее».

<р>6. Должно появиться сообщение о том, что сертификат успешно скопирован.

Массовое копирование

  1. Загрузите и запустите утилиту. Дождитесь загрузки всего списка контейнеров/сертификатов и отметьте нужные галочки.
  2. Выберите меню "Массовые действия" и нажмите кнопку "Копировать контейнеры".

<р>3. Выберите носитель для копии контейнера и нажмите OK. При копировании в реестр можно поставить галочку "Копировать в ключевой контейнер компьютера", тогда после копирования контейнер будет доступен всем пользователям этого компьютера.


4. После копирования нажмите кнопку «Обновить» внизу слева.
Если вы хотите работать со скопированными контейнерами, вы должны это сделать.

Копирование с помощью КриптоПро CSP

Пожалуйста, выберите Пуск> Панель управления> КриптоПро CSP. Перейдите на вкладку "Сервис" и нажмите на кнопку "Копировать".

В окне «Копировать контейнер закрытого ключа» нажмите кнопку «Обзор».

Выберите контейнер, который хотите скопировать, и нажмите кнопку "ОК", затем "Далее". При копировании с руткена появится окно ввода, в котором следует ввести пин-код. Если вы не меняли пин-код на носителе, стандартный пин-код — 12345678.

Создайте и вручную укажите имя для нового контейнера.В имени контейнера допускается русская раскладка и пробелы. Затем нажмите "Готово".

В окне "Вставить пустой ключевой носитель" выберите носитель, на который будет помещен новый контейнер.


Новому контейнеру будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, а посторонние не смогли его подобрать или угадать. Если вы не хотите устанавливать пароль, вы можете оставить поле пустым и нажать «ОК».

Не храните свой пароль/пин-код в местах, доступных для посторонних лиц. Если вы потеряете пароль/пин-код, вы не сможете использовать контейнер.


При копировании контейнера на ruToken сообщение звучит иначе. Введите пин-код в окно ввода. Если вы не меняли пин-код на носителе, стандартный пин-код — 12345678.

После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать новый ключевой контейнер для работы в Extern,.

Почти в каждой организации есть электронный ключ. Они широко распространены и без них практически невозможно вести какую-либо деятельность. Они нужны для подписания документов, для сдачи отчетов и для многого другого. Поэтому тем, кто обслуживает ИТ-сферу в организации, необходимо знать, что это такое. Например, сегодня мы поговорим о том, как скопировать сертификат из реестра и перенести его на другой компьютер.

Как скопировать сертификат из реестра на флешку

Представим, что вы пришли в организацию и вам нужно настроить доступ к порталу для нового сотрудника. У вас нет электронного ключа и вы не знаете, где его взять. В этом случае проще всего скопировать его с компьютера, на котором он установлен. Для этого возьмите чистую флешку и запустите КриптоПро. Пуск - Все программы - КриптоПро - Сертификаты. А вообще копии ключей лучше хранить на отдельной флешке в шкафу.

В открывшемся окне перейдите на вкладку "Композиция" и внизу нажмите "Копировать в файл".

Мастер экспорта сертификатов откроется на первой вкладке, нажмите «Далее». Вам нужно указать, копировать закрытый ключ или нет. Нам это пока не нужно, поэтому оставляем все как есть.

Теперь отмечаем нужный формат сертификата в большинстве случаев, здесь нужно оставить все по умолчанию.

Как скопировать закрытый ключ из реестра

Для некоторых сертификатов требуется закрытый ключ. Его также можно скопировать из реестра на флешку. Это также делается простым запуском КриптоПро. Перейдите на вкладку службы и выберите пункт Копировать.

Введите новое имя и нажмите "Готово".

Копия EPC будет полезна для:

  • гарантии безопасности подписи
  • удобство использования

Некоторые центры сертификации предоставляют услуги резервного копирования.

Копирование электронной подписи с защищенного носителя выполняется с помощью программы КриптоПРО CSP.

Копия ЭЦП делается на защищенном носителе, например Рутокен/Этокен. Обычный USB-накопитель не подойдет.

Копировать из КриптоПро CSP

Прежде всего, скачайте и установите программу КриптоПРО CSP с лицензионного сайта. Вставьте носитель ЭЦП в компьютер. Запустите ранее установленную программу. Откройте раздел - Сервис → «Копировать».

В появившемся окне выберите Обзор. Выберите носитель, который хотите скопировать → «ОК» → «Далее».В строку для ввода пин-кода вставьте пин-код от вашего оператора ЭП

Назовите новый контейнер, используя русскую раскладку и пробелы. Нажмите → «Готово».

В строке - "Вставить пустой ключевой носитель" укажите пустой носитель. Программа предложит вам установить пароль. Этот шаг является необязательным. Нажмите → «ОК». Стоит отметить, что если вы потеряете свой PIN-код, вы не сможете использовать контейнер. При регистрации электронной подписи на Рутокен используйте пин-код, выданный удостоверяющим центром.

По завершении операции окно закроется. На носителе появится новый контейнер, который будет копией ЭЦП.

Если у вас возникнут проблемы при самостоятельном создании дубликата, вы можете обратиться в наш ЦС. Наши менеджеры будут рады ответить на ваши вопросы. Свяжитесь с нами!

Изначально электронная подпись (ЭП) выдается на физическом носителе под названием RuToken или EToken. Он хранит сертификат (он же открытый ключ, как я понимаю) и секретный (он же закрытый) ключ. Эта пара ключей объединена контейнером ключей. На одном физическом носителе может быть несколько ключевых контейнеров. По истечении срока действия сертификата он перевыпускается вместе с секретным ключом, то есть заново создается пара ключей: закрытый и открытый.

Итак, о чем я, в офисе стоит Рутокен с ЭЦП, одновременно нескольким сотрудникам он может понадобиться для подписи документов и тут начинаются конфликты. Но на самом деле не все так печально, если ключевой контейнер позволяет себя экспортировать, то его можно разместить из Рутокена в Реестр! Поместив контейнер в реестр и указав в сертификате, что закрытый ключ хранится в реестре по такому-то адресу, присутствие Рутокена в USB-порту исчезает.

Как это делается

Естественно, первым делом вставляем Рутокен в USB-порт. Запускаем КриптоПро CSP от имени АДМИНИСТРАТОРА и проверяем, какие носители доступны:
Если ридер есть в списке Registry, то все нормально, иначе нажимаем кнопку Добавить и с помощью в мастере установки ридера добавьте Реестр.

Далее следует протестировать контейнер ключа:
Если экспорт ключа разрешен, то приступаем к копированию ключа! Перейдите в интерфейс копирования ключей Сервис -> Копировать, выберите имя контейнера ключей, который хранится на Рутокен. Обратите внимание на настройку, если установить User, то в браузере отобразятся контейнеры ключей из реестра, экспортированные ранее для текущего пользователя ОС, если установить Computer, то будут отображаться контейнеры, экспортированные ранее для компьютера. Скопируем для пользователя:

< td style="text-align: center;">

Копировать с помощью Windows

Если для работы используется дискета или флешка, вы можете скопировать контейнер с сертификатом средствами Windows (данный способ подходит для КриптоПро CSP версий не ниже 3.0). Поместите папку с приватным ключом (и, если есть, файл сертификата - публичный ключ) в корень дискеты/флешки (если не в корень, то работа с сертификатом будет невозможна) . Не рекомендуется изменять имя папки при копировании.

Папка с закрытым ключом должна содержать 6 файлов с расширением .key. Как правило, закрытый ключ содержит открытый ключ (файл header.key в этом случае будет весить более 1 КБ). В этом случае копирование открытого ключа необязательно. Примером закрытого ключа является папка с шестью файлами, а открытым ключом — файл с расширением .cer.

Закрытый ключ Открытый ключ

Копировать в профиль диагностики

<р>1. Перейдите в профиль диагностики "Копировать" по ссылке.

<р>2. Вставьте носитель, на который вы хотите скопировать сертификат.

<р>3. Нажмите кнопку "Копировать" на нужном сертификате.

Если для контейнера установлен пароль, появится сообщение «Введите пароль для устройства, с которого будет скопирован сертификат».

<р>4. Выберите носитель, на который вы хотите скопировать сертификат, и нажмите «Далее».

<р>5. Дайте имя новому контейнеру и нажмите кнопку «Далее».

<р>6. Должно появиться сообщение о том, что сертификат успешно скопирован.

Массовое копирование

  1. Загрузите и запустите утилиту. Дождитесь загрузки всего списка контейнеров/сертификатов и отметьте нужные галочки.
  2. Выберите меню "Массовые действия" и нажмите кнопку "Копировать контейнеры".

<р>3. Выберите носитель для копии контейнера и нажмите OK. При копировании в реестр можно поставить галочку "Копировать в ключевой контейнер компьютера", тогда после копирования контейнер будет доступен всем пользователям этого компьютера.


4. После копирования нажмите кнопку «Обновить» внизу слева.
Если вы хотите работать со скопированными контейнерами, вы должны это сделать.

Копирование с помощью КриптоПро CSP

Пожалуйста, выберите Пуск> Панель управления> КриптоПро CSP. Перейдите на вкладку "Сервис" и нажмите на кнопку "Копировать".

В окне «Копировать контейнер закрытого ключа» нажмите кнопку «Обзор».

Выберите контейнер, который хотите скопировать, и нажмите кнопку "ОК", затем "Далее". При копировании с руткена появится окно ввода, в котором следует ввести пин-код. Если вы не меняли пин-код на носителе, стандартный пин-код — 12345678.

Создайте и вручную укажите имя для нового контейнера. В имени контейнера допускается русская раскладка и пробелы. Затем нажмите "Готово".

В окне "Вставить пустой ключевой носитель" выберите носитель, на который будет помещен новый контейнер.


Новому контейнеру будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, а посторонние не смогли его подобрать или угадать. Если вы не хотите устанавливать пароль, вы можете оставить поле пустым и нажать «ОК».

Не храните свой пароль/пин-код в местах, доступных для посторонних лиц. Если вы потеряете пароль/пин-код, вы не сможете использовать контейнер.


При копировании контейнера на ruToken сообщение звучит иначе. Введите пин-код в окно ввода. Если вы не меняли пин-код на носителе, стандартный пин-код — 12345678.

После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать новый ключевой контейнер для работы в Extern,.

Изначально электронная подпись (ЭП) выдается на физическом носителе под названием RuToken или EToken. Он хранит сертификат (он же открытый ключ, как я понимаю) и секретный (он же закрытый) ключ. Эта пара ключей объединена контейнером ключей. На одном физическом носителе может быть несколько ключевых контейнеров. По истечении срока действия сертификата он перевыпускается вместе с секретным ключом, то есть заново создается пара ключей: закрытый и открытый.

Итак, о чем я, в офисе стоит Рутокен с ЭЦП, одновременно нескольким сотрудникам он может понадобиться для подписи документов и тут начинаются конфликты.Но на самом деле не все так печально, если ключевой контейнер позволяет себя экспортировать, то его можно разместить из Рутокена в Реестр! Поместив контейнер в реестр и указав в сертификате, что закрытый ключ хранится в реестре по такому-то адресу, присутствие Рутокена в USB-порту исчезает.

Как это делается

Естественно, первым делом вставляем Рутокен в USB-порт. Запускаем КриптоПро CSP от имени АДМИНИСТРАТОРА и проверяем, какие носители доступны:
Если ридер есть в списке Registry, то все нормально, иначе нажимаем кнопку Добавить и с помощью в мастере установки ридера добавьте Реестр.

Далее следует протестировать контейнер ключа:
Если экспорт ключа разрешен, то приступаем к копированию ключа! Перейдите в интерфейс копирования ключей Сервис -> Копировать, выберите имя контейнера ключей, который хранится на Рутокен. Обратите внимание на настройку, если установить User, то в браузере отобразятся контейнеры ключей из реестра, экспортированные ранее для текущего пользователя ОС, если установить Computer, то будут отображаться контейнеры, экспортированные ранее для компьютера. Скопируем для пользователя:

TrueCrypt — это программное обеспечение, позволяющее создать виртуальный зашифрованный логический диск, хранящийся в файловой системе в виде файла. Все данные, записываемые на этот диск, включая имена файлов и каталогов, шифруются на лету. Также возможно полностью зашифровать разделы. жесткий диск или USB-носитель. Смонтированный раздел идентичен обычному логическому диску или съемному диску, что позволяет работать с ним со всеми встроенными в операционную систему утилитами, такими как проверка диска и дефрагментация.

Рутокен — это устройство, выполненное в виде usb-брелока, которое служит для авторизации пользователя на компьютере, защиты данных, безопасного удаленного доступа к информационным ресурсам и т. д.

Чем больше мы пользуемся компьютером и чем больше он входит в нашу жизнь, тем чаще мы начинаем задумываться о безопасности хранимой на нем информации. Не говоря уже о предприятиях, когда проблемы в безопасности хранимой информации могут привести к большим убыткам.
В этой статье мы рассмотрим, как можно создать в системе виртуальный зашифрованный диск, для доступа к которому нужен ключевой файл, который находится на руткене.

Установите TrueCrypt и драйвер rootken


Как рекомендуют разработчики руткена, пока не установлены драйвера, подключать его нельзя. Процедура установки аналогична установке любого приложения. На все вопросы отвечаем положительно и принимаем условия лицензионного соглашения. Распакуйте файл перевода TrueCrypt в папку, где он был установлен. Запускаем TrueCrypt и меняем язык на русский в настройках - Настройки\Язык, выбираем русский и ОК.

Подключаем руткен к usb порту


После подключения к TrueCrypt запустите "Настройки токена безопасности" - Сервис\Токены безопасности, в открывшемся окне запустите "Автоопределение библиотеки". При успешном поиске путь к библиотеке будет заполнен автоматически, затем ОК.

Создать файл ключа


Теперь нам нужно создать файл ключа. Для этого откройте «Генератор файлов ключей» — Сервис\Генератор файлов ключей. Перед нами генерация ключей.

Для сохранения файла ключа нажмите «Создать и сохранить файл», выберите путь и сохраните файл ключа. Мы получим уведомление об успешном сохранении ключа.

Запись ключа в руткен


Все готово для записи ключа в руткен - Service\Security Token Key Files. Должен появиться запрос пароля Рутокен (если не появился, видимо библиотека не указана), введите пароль пользователя Рутокен (по умолчанию 12345678). В открывшемся окне нажимаем «Импортировать кл. файл в токен», указываем файл ключа, который мы сгенерировали в предыдущем пункте, а затем указываем, как он будет вызываться на рутокене.

Если добавлено успешно, оно появится в списке с указанным вами именем.


Если вы планируете использовать ключ только от руткена, то необходимо удалить сохраненный на компьютере ключ.

Теперь руткен полностью готов к работе с TrueCrypt, можно создавать зашифрованный том.

Создать зашифрованный том


ВНИМАНИЕ! Все дальнейшие необдуманные действия с вашей стороны с винчестером вы делаете на свой страх и риск! Я описываю самый безопасный способ создания скрытого раздела. Если вы не хотите потерять данные, следуйте инструкциям.

Чтобы создать новый том, используйте Мастер создания томов TrueCrypt — Тома\Создать новый раздел.
Запустится «Мастер создания тома TrueCrypt». Выбираем " Создать зашифрованный файловый контейнер ", т.е. виртуальный зашифрованный диск будет храниться в одном файле.

Выберите, где вы будете хранить файл на диске. Если поставить галочку напротив «Не сохранять историю», то вам придется каждый раз указывать расположение файла.

В настройках шифрования необходимо указать алгоритм шифрования, который будет использоваться для шифрования созданного диска. Каждый алгоритм имеет свою скорость работы, чтобы посмотреть скорость шифрования/дешифрования для всех алгоритмов, нажмите "тест".

Теперь вам нужно ввести размер создаваемого тома.
Пришло время указать ключевой файл и пароль. Нажимаем «Файлы ключей», если вашего ключа нет, то в этом окне нажимаем «Файлы токенов», вводим пароль руткена и выбираем токен.

Двигаемся дальше, где нам уже нужно указать параметры (файловая система, кластер и тип файла: динамический или статический) и отметить наш будущий диск. Разбиение на разделы занимает некоторое время, чем больше объем, тем больше времени потребуется на разбиение.

В конце процесса вы получите уведомление об успешном создании тома.

Смонтировать созданный том


В главном окне TrueCrypt нажмите «Файл», выберите файл тома и нажмите «Монтировать».
Если у вас не подключен руткен, вы получите сообщение об ошибке «Файл ключа токена безопасности не найден». Подключите руткен, если он не подключен. Нажмите «Файлы ключей» и выберите ключ руткена.

Если пароль введен правильно, руткен подключен и выбран нужный ключ, то вы увидите смонтированный новый диск. Удачной работы!
Важно! При монтировании диска руткен необходимо отключить от usb порта, как советуют сами разработчики, чтобы продлить ему жизнь. От себя тоже советую настроить автоматическое размонтирование при неактивности.

Эта статья создана для пользователей ЭЦП, которые испытывают трудности с переносом ключей с дискеты 3,5А на другой более надежный носитель.

В статье также описан процесс установки новых сертификатов. Данную операцию следует начинать в следующем порядке: Пункты 1-3 (вместо «Копировать» выбрать «Установить персональный сертификат») И далее продолжить с пункта 15.

Чтобы не возникло сложностей с определением в программе КриптоПроЦСП USB носителя, есть бесплатная утилита для поддержания средств КриптоПРО и Рутокен в актуальном состоянии. Данную проверку можно запустить с сайта: http://help.kontur.ru (необходим вход через браузер Internet Explorer). На этой странице вам нужно будет выполнить предварительную подготовку (скачать и установить небольшую программу), а затем нажать «Начать диагностику«.

Будут проверены все компоненты:

Выберите «Исправить выявленные проблемы » и в следующем окне выберите те программы, которые нуждаются в обновлении.

Перенос сертификата и ключей ЭЦП с Диска 3.5А на USB-flash (данная операция работает для ключей СЭД, АП Континет, Контур-налоговая отчетность, Покупки)

Для ruToken эта методика тоже работает, кроме ключей для Континент-AP

(Диск I обозначает USB-флешку, при установке Дисковода в окне обязательно будет Дисковод 3,5А)

<р>6. Скопируйте имя ключевого контейнера в буфер обмена, в данном примере это «04261445_…………» и нажмите «Далее»

<р>7. В этом окне вставьте из буфера обмена «Имя ключевого контейнера» и плюс добавьте или измените символы в имени

В следующем окне нужно выбрать, куда мы хотим скопировать ключи ЭЦП:

<р>8. Выбираем ruToken (Диск I )

<р>9. При выборе ruToken необходимо ввести пароль доступа к электронному ключу (пароль по умолчанию 12345678)

И как видно из картинки на РуТокене (Диск I) добавлен еще один контейнер (тогда можно закрыть проверку нажатием кнопки "Отмена").

<р>14. Установите флажки и нажмите "ОК"

<р>16. Выбрать сертификат, который будет подтверждать скопированные на РуТокен ключи ЭЦП (в этом пункте меню, независимо от того, с какого носителя указан сам сертификат).

Если для работы используется дискета или флешка, можно скопировать контейнер с сертификатом средствами Windows (данный способ подходит для версий КриптоПро CSP не ниже 3.0). Поместите папку с приватным ключом (и, если есть, файл сертификата - публичный ключ) в корень дискеты/флешки (если разместить вне корня, то работа с сертификатом будет невозможна). Не рекомендуется изменять имя папки при копировании.

Папка с закрытым ключом должна содержать 6 файлов с расширением .key. Как правило, закрытый ключ содержит открытый ключ (файл header.key в этом случае будет весить более 1 КБ). В этом случае копирование открытого ключа необязательно. Пример закрытого ключа — папки с шестью файлами и открытым ключом — файл с расширением .cer.

Закрытый ключ Открытый ключ

Копировать в профиль диагностики

<р>1. Перейдите в профиль диагностики "Копировать" по ссылке.

<р>2. Вставьте носитель, на который вы хотите скопировать сертификат.

<р>3. Нажмите кнопку "Копировать" на нужном сертификате.

Если для контейнера установлен пароль, появится сообщение «Введите пароль для устройства, с которого будет скопирован сертификат».

<р>4. Выберите носитель, на который вы хотите скопировать сертификат, и нажмите «Далее».

<р>5. Дайте имя новому контейнеру и нажмите кнопку «Далее».

<р>6. Должно появиться сообщение о том, что сертификат успешно скопирован.

Массовое копирование

  1. Загрузите и запустите утилиту. Дождитесь загрузки всего списка контейнеров/сертификатов и отметьте нужные галочки.
  2. Выберите меню "Массовые действия" и нажмите кнопку "Копировать контейнеры".

<р>3. Выберите носитель для копии контейнера и нажмите OK. При копировании в реестр можно поставить галочку "Копировать на компьютер-контейнер ключа", тогда после копирования контейнер будет доступен всем пользователям этого компьютера.


4. После копирования нажмите кнопку «Обновить» внизу слева.
Если вы хотите работать со скопированными контейнерами, вы должны это сделать.

Копирование с помощью КриптоПро CSP

Пожалуйста, выберите Пуск> Панель управления> КриптоПро CSP. Перейдите на вкладку "Сервис" и нажмите на кнопку "Копировать".

В окне «Копировать контейнер закрытого ключа» нажмите кнопку «Обзор».

Выберите контейнер, который хотите скопировать, и нажмите кнопку "ОК", затем "Далее". При копировании с руткена появится окно ввода, в котором следует ввести пин-код. Если вы не меняли пин-код на носителе, стандартный пин-код — 12345678.

Создайте и вручную укажите имя для нового контейнера. В имени контейнера допускается русская раскладка и пробелы. Затем нажмите "Готово".


Новому контейнеру будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, а посторонние не смогли его подобрать или угадать. Если вы не хотите устанавливать пароль, вы можете оставить поле пустым и нажать «ОК».

Не храните свой пароль/пин-код в местах, доступных для посторонних лиц. Если вы потеряете пароль/пин-код, вы не сможете использовать контейнер.


При копировании контейнера на ruToken сообщение звучит иначе. Введите пин-код в окно ввода. Если вы не меняли пин-код на носителе, стандартный пин-код — 12345678.

После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать новый ключевой контейнер для работы в Extern,.

Читайте также: