< td style="text-align: center;">
Почти в каждой организации есть электронный ключ. Они широко распространены и без них практически невозможно вести какую-либо деятельность. Они нужны для подписания отчетных документов и для многого другого. Поэтому те, кто обслуживает ИТ-сектор в организации, должны знать, что это такое. Например, сегодня мы поговорим о том, как скопировать сертификат из реестра и перенести его на другой компьютер.
Как скопировать сертификат из реестра на флешку
Представим, что вы пришли в организацию и вам нужно настроить доступ к порталу для нового сотрудника. Электронного ключа у вас нет, и вы не знаете, где его взять. В этом случае проще всего скопировать его с компьютера, на котором он установлен. Для этого берем чистую флешку и запускаем КриптоПро. Пуск - Все программы - КриптоПро - Сертификаты. А вообще копии ключей лучше хранить на отдельной флешке в шкафу.
В открывшемся окне перейдите на вкладку «Композиция» и внизу нажмите «Копировать в файл».
Мастер экспорта сертификатов откроется на первой вкладке, нажмите «Далее». Вам нужно указать, копировать закрытый ключ или нет. Нам это пока не нужно, поэтому оставляем все как есть.
Теперь мы отмечаем нужный формат сертификата в большинстве случаев, здесь все должно быть оставлено по умолчанию.
Как скопировать закрытый ключ из реестра
Для некоторых сертификатов требуется закрытый ключ. Его также можно скопировать из реестра на флешку. Это также делается просто путем запуска КриптоПро. Перейдите на вкладку "Службы" и выберите "Копировать".
Введите новое имя и нажмите "Готово".
В открывшемся окне выберите флешку.
Сейчас практически каждая организация установила на компьютер бухгалтера СКЗИ-систему криптографической защиты информации. Таким образом, мы используем . В нашем случае КриптоПро необходим для работы Клиент-Банка и программы ВЛИС++ (через эту программу бухгалтерия готовит и сдает отчеты в налоговую, Пенсионный фонд, Росстат).
При работе как с Клиент-Банком, так и с СБИС++ ключевые носители, на которых хранятся закрытые ключи и сертификаты. В качестве такого носителя может выступать дискета, флешка, защищенная флешка (Рутокен, eToken), а также реестр.
Итак, однажды наш бухгалтер устал вставлять дискету в компьютер каждый раз, когда отправляет отчеты. Более того, данный носитель довольно ненадежен и пару раз выходил из строя (приходилось). Поэтому было принято решение скопировать ключи с дискеты в реестр.
Хранить ключи в реестре, конечно, удобно. Но имейте в виду такой момент: при переустановке операционной системы на компьютер информация о ваших ключах будет безвозвратно утеряна. Поэтому после того, как вы скопируете ключи в реестр, обязательно сохраните носитель с оригиналом этих ключей.
Итак, как скопировать ключи с дискеты в реестр в КриптоПро CSP 3.6?
1. Заходим в «Пуск» — «Панель управления» — «КриптоПро CSP».
2. В открывшемся окне перейдите на вкладку «Сервис».
3. Вставьте ключевую дискету в дисковод компьютера и нажмите кнопку «Копировать контейнер». 4. Далее нажмите «Обзор» и в появившемся окне выберите контейнер, который хотите скопировать (кликните по нему один раз мышкой и нажмите «ОК»).
Имя выбранного контейнера появится в поле «Имя ключевого контейнера». Нажмите кнопку "Далее".
5. В следующем окне напишите любое имя — это будет имя копии. Нажмите Готово.
6. Далее выберите носитель «Реестр» и нажмите «ОК».
Появится окно с просьбой установить пароль. Если вам это не нужно, ничего не вводите, а просто нажмите здесь «ОК». Вот и все — мы скопировали ключ в реестр. Чтобы это проверить - там же во вкладке "Сервис" нажмите кнопку "Просмотр сертификатов в контейнере" - кнопка "Обзор" - здесь в списке ключевых контейнеров будет указанный вами реестр и имя контейнера отображается.
Мой новый пост будет посвящен программе Крипто Про, вроде ничего сложного, но с этим софтом постоянно возникают траблы, то ли потому, что с ним приходится иметь дело раз-два в год, то ли такой софт, но в общем решил сделать памятку для себя и для вас.
Задача: Разрешить доступ к программе Contour Extern на двух машинах, хорошо, приступим.
Что у нас есть: Один уже рабочий ключ на SD-карте.
Что потребуется: Нужны любые SD карты носители, так же можно залить в реестр флешку, или можно использовать так называемый RUтокен. Я установлю на RUтокен, а вы можете использовать любой из вариантов.
Да, еще одно небольшое замечание, если у вас доменный компьютер, то лучше все это делать под учетной записью администратора.
Итак, приступим
Найдите программу в меню "Пуск" или на панели управления,
Запускаем программу.
Перейдите на вкладку Сервис и нажмите кнопку Копировать.
Вам потребуется ввести пароль из 8 любых символов. Вводим пароль и нажимаем Далее.
В следующем окне нам нужно задать название контейнера, (я всегда использую 2 удобные мне организации и использую маркировку имя-01 и 02, так же можно использовать ИНН организации отделить.) после чего нажимаем кнопку Готово.
Здесь вам еще раз нужно будет ввести пароль для нового контейнера, сделать то же самое и нажать ОК.
В следующем диалоговом окне нужно выбрать носитель, куда копировать наш контейнер, я выбираю RUtoken и вам нужно выбрать носитель, куда вы собираетесь установить контейнер.
После того, как вы выбрали, нажмите кнопку Далее. Затем финиш.
Вот в принципе и все, ключ копируется. Осталось только установить его для конкретного пользователя.
Снова заходим в КриптоПро, открываем вкладку службы и нажимаем на кнопку Просмотреть сертификаты в контейнере.
В открывшемся диалоговом окне открываем нужный нам контейнер и нажимаем кнопку ОК. затем нажмите кнопку Далее.
В следующем окне нажмите кнопку Y. стать, если его нет, то нажать кнопку C свойства.
В открывшемся окне нажмите кнопку стать сертификатом. Откроется мастер импорта сертификатов, где нужно нажать Далее.
В открывшемся окне оставьте все как есть и нажмите Далее.
Если сертификат успешно установлен, вы должны увидеть следующее диалоговое окно.
Установка через меню установки личного сертификата.
Для установки сертификата нам нужен сам файл сертификата, (файл с расширением .cer) он находится на том носителе, куда мы его скопировали, в моем случае это рутокин.
Итак, снова открываем КриптоПро, переходим на вкладку Сервис и нажимаем кнопку Установить персональный сертификат.
В открывшемся окне найдите этот сертификат, нажав на кнопки Обзор.
В следующем диалоговом окне поставьте галочку рядом с Найти контейнер автоматически, после чего программа автоматически найдет нужный вам контейнер. Затем нажмите кнопку Далее.
Далее может появиться окно с выбором места хранения сертификата, нужно выбрать Personal и нажать кнопку ОК.
Затем может появиться диалоговое окно, в котором нужно нажать кнопку Да.
Затем дождитесь сообщения об успешной установке.
После этого нужно вынуть свое устройство, к которому относится контейнер с ключами и вставить обратно, после того, как устройство будет найдено, можно пробовать.
Если у вас есть какие-либо вопросы, так как в разных версиях КриптоПро могут быть разные изменения, то прошу оставлять свои комментарии, я всегда буду рад вам помочь.
Если электронная подпись была выдана в реестр ПК, то вы можете скопировать ее на носитель, следуя следующей инструкции.
Шаг 1. Откройте КриптоПро и перейдите на вкладку «Сервис», затем нажмите на кнопку «Копировать», как показано в инструкции.
Шаг 2. В появившемся окне нажмите кнопку «Обзор», чтобы выбрать контейнер, в который вы хотите скопировать электронную подпись.
Шаг 3. В появившемся списке существующих контейнеров выберите нужный контейнер, который необходимо скопировать на носитель, и нажмите кнопку "ОК".
Шаг 4. Подтвердите действие, нажав кнопку "Далее" в появившемся окне
Шаг 5. В появившемся окне укажите имя нового контейнера, который будет создан на носителе. Имя в поле вводится автоматически, поэтому его можно просто не менять. Нажмите кнопку "Готово".
Шаг 6. Появится окно выбора носителя. Выберите из списка необходимый носитель, на который вы хотите скопировать электронную подпись. Для того, чтобы понять, какой носитель выбрать из списка, посмотрите на поле «Вставленный носитель»: там либо будет написано «Носитель отсутствует», что означает, что вы выбрали несуществующий носитель, либо появится имя носителя, похожее на имя на скриншоте. Выберите и нажмите ОК.
Шаг 7. После выбора носителя появится окно для ввода пин-кода нового контейнера электронной подписи. Мы рекомендуем вводить стандартный пин-код «12345678», так как клиенты часто забывают или теряют пин-коды, после чего ЭЦП приходится переоформлять. Вы можете установить свой (другой) пин-код, если уверены, что не потеряете его. После ввода пин-кода нажмите кнопку "ОК".
Готово. Теперь контейнер электронной подписи скопирован на выбранный носитель, и вы можете им пользоваться.
Если нет желания разбираться в этих деталях, поможем. Вы даже можете вызвать нашего инженера к себе в офис.
Если для работы используется дискета или флешка, вы можете скопировать контейнер с сертификатом средствами Windows (данный способ подходит для КриптоПро CSP версий не ниже 3.0). Поместите папку с приватным ключом (и, если есть, файл сертификата - публичный ключ) в корень дискеты/флешки (если не в корень, то работа с сертификатом будет невозможна) . Не рекомендуется изменять имя папки при копировании.
Папка с закрытым ключом должна содержать 6 файлов с расширением .key. Как правило, закрытый ключ содержит открытый ключ (файл header.key в этом случае будет весить более 1 КБ). В этом случае копирование открытого ключа необязательно. Примером закрытого ключа является папка с шестью файлами, а открытым ключом является файл .cer.
Закрытый ключ Открытый ключ
Копировать диагностический профиль
<р>1. Перейдите в профиль диагностики "Копировать" по ссылке.
<р>2. Вставьте носитель, на который вы хотите скопировать сертификат.
<р>3. Нажмите кнопку "Копировать" на нужном сертификате.
Если для контейнера установлен пароль, появится сообщение "Введите пароль для устройства, с которого будет скопирован сертификат".
<р>4. Выберите носитель, на который вы хотите скопировать сертификат, и нажмите «Далее».
<р>5. Дайте имя новому контейнеру и нажмите кнопку «Далее».
<р>6. Должно появиться сообщение о том, что сертификат успешно скопирован.
Массовое копирование
- Загрузите и запустите утилиту. Дождитесь загрузки всего списка контейнеров/сертификатов и отметьте нужные галочки.
- Выберите меню "Массовые действия" и нажмите кнопку "Копировать контейнеры".
<р>3. Выберите носитель для копии контейнера и нажмите OK. При копировании в реестр можно поставить галочку "Копировать в ключевой контейнер компьютера", тогда после копирования контейнер будет доступен всем пользователям этого компьютера.
4. После копирования нажмите кнопку «Обновить» внизу слева.
Если вы хотите работать со скопированными контейнерами, вы должны это сделать.
Копирование с помощью КриптоПро CSP
Пожалуйста, выберите Пуск> Панель управления> КриптоПро CSP. Перейдите на вкладку "Сервис" и нажмите на кнопку "Копировать".
В окне «Копировать контейнер закрытого ключа» нажмите кнопку «Обзор».
Выберите контейнер, который хотите скопировать, и нажмите кнопку "ОК", затем "Далее". При копировании с руткена появится окно ввода, в котором следует ввести пин-код. Если вы не изменили PIN-код на операторе связи, стандартный PIN-код — 12345678.
Создайте и вручную укажите имя для нового контейнера.В названии контейнера допускается русская раскладка и пробелы. Затем нажмите Готово.
В окне "Вставить пустой ключевой носитель" выберите носитель, на который будет помещен новый контейнер.
Новому контейнеру будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, а посторонние не смогли его подобрать или угадать. Если вы не хотите устанавливать пароль, вы можете оставить поле пустым и нажать «ОК».
Не храните свой пароль/пин-код в местах, доступных для посторонних лиц. Если вы потеряете пароль/пин-код, вы не сможете использовать контейнер.
Если скопировать контейнер на ruToken, то сообщение звучит иначе. Введите пин-код в окно ввода. Если вы не изменили PIN-код на операторе связи, стандартный PIN-код — 12345678.
После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать новый ключевой контейнер для работы в Extern,.
Изначально электронная подпись (ЭП) выдается на физическом носителе под названием RuToken или EToken. Он хранит сертификат (он же открытый ключ, как я понимаю) и секретный (он же закрытый) ключ. Эта пара ключей объединена контейнером ключей. На одном физическом носителе может быть несколько ключевых контейнеров. По истечении срока действия сертификата он перевыпускается вместе с секретным ключом, то есть заново создается пара ключей: закрытый и открытый.
Так о чем я, в офисе стоит Рутокен с ЭЦП, одновременно нескольким сотрудникам он может понадобиться для подписи документов и тут начинаются конфликты. Но на самом деле не все так печально, если ключевой контейнер позволяет себя экспортировать, то его можно разместить из Рутокена в Реестр! Поместив контейнер в реестр и указав в сертификате, что закрытый ключ хранится в реестре по такому-то адресу, присутствие Рутокена в USB-порту исчезает.
Как это делается
Естественно, первым делом вставляем Рутокен в USB-порт. Запускаем КриптоПро CSP от имени АДМИНИСТРАТОРА и проверяем, какие носители доступны:
Если ридер есть в списке Registry, то все нормально, иначе нажимаем кнопку Добавить и с помощью в мастере установки ридера добавьте Реестр.
Далее следует протестировать контейнер ключа:
Если экспорт ключа разрешен, то приступаем к копированию ключа! Перейдите в интерфейс копирования ключей Сервис -> Копировать, выберите имя контейнера ключей, который хранится на Рутокен. Обратите внимание на настройку, если установить User, то в браузере отобразятся контейнеры ключей из реестра, экспортированные ранее для текущего пользователя ОС, если установить Computer, то будут отображаться контейнеры, экспортированные ранее для компьютера. Скопируем для пользователя:
< td style="text-align: center;">
Так о чем я, в офисе стоит Рутокен с ЭЦП, одновременно нескольким сотрудникам он может понадобиться для подписи документов и тут начинаются конфликты. Но на самом деле не все так печально, если ключевой контейнер позволяет себя экспортировать, то его можно разместить из Рутокена в Реестр! Поместив контейнер в реестр и указав в сертификате, что закрытый ключ хранится в реестре по такому-то адресу, присутствие Рутокена в USB-порту исчезает.
Как это делается
Естественно, первым делом вставляем Рутокен в USB-порт. Запускаем КриптоПро CSP от имени АДМИНИСТРАТОРА и проверяем, какие носители доступны:
Если ридер есть в списке Registry, то все нормально, иначе нажимаем кнопку Добавить и с помощью в мастере установки ридера добавьте Реестр.
Далее следует протестировать контейнер ключа:
Если экспорт ключа разрешен, то приступаем к копированию ключа! Перейдите в интерфейс копирования ключей Сервис -> Копировать, выберите имя контейнера ключей, который хранится на Рутокен. Обратите внимание на настройку, если установить User, то в браузере отобразятся контейнеры ключей из реестра, экспортированные ранее для текущего пользователя ОС, если установить Computer, то будут отображаться контейнеры, экспортированные ранее для компьютера. Скопируем для пользователя:
DeviceLock Service может распознавать диски (USB-накопители и другие съемные устройства), на которых данные хранятся в зашифрованном виде, и применять к таким дискам так называемые «зашифрованные» разрешения (см. Категория «Зашифрованные» права). Эта функция позволяет предотвратить запись конфиденциальных данных на носитель, который не поддерживает шифрование.
Продукты и технологии шифрования, которые поддерживает DeviceLock, перечислены на панели сведений, когда в дереве консоли выбран Сервис DeviceLock > Сервисные опции > Шифрование:
• Не настроено — параметр не определен в файле настроек сервиса DeviceLock. Это состояние доступно в Редакторе настроек службы DeviceLock и Диспетчере групповой политики DeviceLock.
Чтобы включить или отключить интеграцию, щелкните правой кнопкой мыши список и выберите команду «Включить» или «Отключить». Чтобы установить состояние «Не настроено», используйте команду «Отменить определение» в Редакторе настроек службы DeviceLock и Диспетчере групповой политики DeviceLock.
На данный момент DeviceLock обеспечивает интеграцию со следующими сторонними продуктами и технологиями, используемыми для шифрования данных на съемных носителях:
Примечание: DeviceLock не поставляется со сторонними продуктами для шифрования и не требует их для собственного функционирования. Интеграция DeviceLock со сторонним продуктом шифрования будет работать только в том случае, если сторонний продукт правильно установлен, настроен и работает на компьютере, на котором работает сервис DeviceLock.
Если вы не хотите, чтобы сервис DeviceLock применял «зашифрованные» разрешения к устройствам, зашифрованным с помощью определенного продукта или технологии, перечисленных выше, отключите интеграцию с помощью команды «Отключить» для соответствующего имени на панели сведений (см. «Шифрование» ). р>
Служба DeviceLock может обнаруживать зашифрованные съемные устройства хранения DriveCrypt Plus Pack (DCPP) и применять к ним «зашифрованные» разрешения, когда продукт DriveCrypt Plus Pack установлен на компьютере, на котором запущена служба DeviceLock с включенной интеграцией для DriveCrypt.
DeviceLock Service может обнаруживать USB-накопители Lexar™ SAFE S3000 и/или SAFE S3000 FIPS и применять к ним «зашифрованные» разрешения, если включена интеграция с Lexar JD SAFE S3000 и/или Lexar JD SAFE S3000 соответственно. р>
DeviceLock Service может обнаруживать USB-накопители Lexar™ SAFE PSD S1100 и применять к ним «зашифрованные» разрешения, если включена интеграция с Lexar SAFE PSD.
DeviceLock Service может обнаруживать USB-накопители, зашифрованные с помощью Rutoken, и применять к ним «зашифрованные» разрешения, если в нем включена интеграция с Rutoken Disk.
DeviceLock Service может обнаруживать зашифрованные контейнеры SafeDisk на USB-накопителях и других съемных носителях и применять к ним «зашифрованные» разрешения, если включена интеграция с SafeDisk.
Примечание. Чтобы получить доступ к контейнерам SafeDisk и работать с их содержимым, пользователи должны иметь как минимум доступ для чтения к незашифрованным съемным устройствам.
DeviceLock Service может обнаруживать зашифрованные USB-накопители Sophos SafeGuard Easy и другие съемные носители и применять к ним «зашифрованные» разрешения, если включена интеграция с SafeGuard.
Служба DeviceLock может обнаруживать USB-накопители, зашифрованные SafeToGo™, и применять к ним «зашифрованные» разрешения, если включена интеграция с SafeToGo.
Служба DeviceLock может обнаруживать съемные устройства хранения, зашифрованные с помощью Symantec Drive Encryption, и применять к ним «зашифрованные» разрешения, если продукт Symantec Drive Encryption установлен на компьютере, на котором запущена служба DeviceLock с включенной интеграцией для Symantec Drive Encryption.
Служба DeviceLock может обнаруживать съемные устройства хранения, зашифрованные с помощью TrueCrypt, и применять к ним «зашифрованные» разрешения, когда продукт TrueCrypt установлен на компьютере, на котором запущена служба DeviceLock с включенной интеграцией для TrueCrypt.
Примечание. Если тип тома TrueCrypt — «Размещенный в файлах (контейнер)», то для доступа к этому контейнеру и работы с его содержимым пользователи должны иметь как минимум доступ для чтения к незашифрованным съемным устройствам.
Служба DeviceLock может обнаруживать зашифрованные диски BitLocker To Go и применять к ним «зашифрованные» разрешения, если включена интеграция с Windows BitLocker To Go.
Примечание. Если включена интеграция с Windows BitLocker To Go, параметр групповой политики «Запретить запись на съемные диски, не защищенные BitLocker» нельзя включить. (Этот параметр находится в папке Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker\Съемные диски с данными.)
DeviceLock Service для Mac может обнаруживать внешние диски, зашифрованные FileVault, и применять к ним «зашифрованные» разрешения, если включена интеграция с Mac OS X FileVault. Интеграция с FileVault не поддерживается в операционной системе Windows, поэтому элемент Mac OS X FileVault не отображается в списке Шифрование на панели сведений, если консоль подключена к компьютеру под управлением Windows.
Читайте также: