Как установить сертификат кэп

Пошаговая установка ЭЦП

Шаг 1. Откройте вкладку «Панель управления» (при помощи лупы или же меню «Пуск»).

Открываем меню «Пуск», вводим в поле поиска «Панель управления», открываем полученный результат

Шаг 2. Запускаем заранее установленную программу.

В режиме «Просмотр» выставляем «Мелкие значки», находим и запускаем программу КриптоПро

Главное окно программы КриптоПро

Переходим во вкладку под названием «Сервис»

Шаг 4. Далее необходимо «Посмотреть сертификаты в контейнере закрытого ключа». Не стоит вводить имя ключевого контейнера вручную (хотя, если хотите, можете сделать именно так, это ваше право), но для удобства нажмите на вкладку «Обзор».

Нажимаем на кнопку «Обзор»

Шаг 5. После вашего клика всплывёт дополнительная вкладка, где будет необходимо выбрать именно ваш контейнер, а также доступный считыватель. Когда вы ознакомитесь со всем и проверите данные, нажмите «Oкей».

Кликаем мышкой по названию контейнера, чтобы выделить его, нажимаем «ОК»

Шаг 6. Если вы всё сделали правильно, то нас обратно вынесет на предыдущую вкладку. Больше никаких изменений нам добавлять не требуется, поэтому переходим на следующее окно, нажимая «Далее».

Нажимаем «Далее»

Шаг 7. Вы перешли на следующую вкладку. Здесь расположена абсолютно вся личная информация, которая и была зашифрована ЭЦП. Также можно найти и ознакомиться со сроком действия. Проверьте также и серийный номер своей программы и подписи (его ни в коем случае нельзя забывать). Выбираем «Свойства».

Проверяем информацию, нажимаем на кнопку «Свойства»

Шаг 8. Теперь вам предстоит установка нового сертификата.

Во вкладке «Общие» нажимаем «Установить сертификат»

Шаг 9. Вы автоматически попадёте на следующую вкладку. Здесь вам необходимо внимательно изучить всю информацию. И если вы с ней согласны, то только тогда переходите на следующую страницу.

Внимательно читаем информацию, нажимаем «Далее»

Шаг 10. Здесь нам нужно посмотреть все сертификаты, которые находятся в хранилище. В этом поможет кнопка «Обзор».

Щелкаем по кнопке «Обзор»

Выбираем папку с названием «Личное» и нажимаем «Oкей»

Шаг 12. Поздравляем! Вы успешно установили сертификат. Для полного завершения нажимаем на «Готово» и ждём всего лишь пару секунд.

Нажимаем «Готово»

Шаг 2.Запускаем заранее установленную программу.

Шаг 3.При запуске КриптоПРО нас переносит на главный экран программы. На нём, как можно заметить, весьма много складок. Нам же нужна вкладка под названием «Сервис».

Шаг 5.После вашего клика всплывёт дополнительная вкладка, где будет необходимо выбрать именно ваш контейнер, а также доступный считыватель. Когда вы ознакомитесь со всем и проверите данные, нажмите «Oкей».

Шаг 6.Если вы всё сделали правильно, то нас обратно вынесет на предыдущую вкладку. Больше никаких изменений нам добавлять не требуется, поэтому переходим на следующее окно, нажимая «Далее».

Шаг 7.Вы перешли на следующую вкладку. Здесь расположена абсолютно вся личная информация, которая и была зашифрована ЭЦП. Также можно найти и ознакомиться со сроком действия. Проверьте также и серийный номер своей программы и подписи (его ни в коем случае нельзя забывать). Выбираем «Свойства».

Шаг 8.Теперь вам предстоит установка нового сертификата.

Шаг 9.Вы автоматически попадёте на следующую вкладку. Здесь вам необходимо внимательно изучить всю информацию. И если вы с ней согласны, то только тогда переходите на следующую страницу.

Шаг 10.Здесь нам нужно посмотреть все сертификаты, которые находятся в хранилище. В этом поможет кнопка «Обзор».

Шаг 12.Поздравляем! Вы успешно установили сертификат. Для полного завершения нажимаем на «Готово» и ждём всего лишь пару секунд.

Выполнение копирования сертификата на флешку

По большому счету, процедуру копирования сертификата на USB-носитель можно организовать двумя группами способов: с помощью внутренних инструментов операционной системы и при помощи функций программы КриптоПро CSP. Далее мы подробно рассмотрим оба варианта.

Способ 1: КриптоПро CSP

Прежде всего, рассмотрим способ копирования при помощи самого приложения КриптоПро CSP. Все действия будут описаны на примере операционной системы Виндовс 7, но в целом представленный алгоритм можно использовать и для других ОС семейства Windows.

1. Перед началом манипуляций подсоедините флешку к компьютеру и перейдите в «Панель управления» системы.

Откройте раздел «Система и безопасность».

В указанной директории отыщите пункт «КриптоПро CSP» и щелкните по нему.

Откроется небольшое окошко, где требуется переместиться в раздел «Сервис».

Далее нажмите кнопку «Скопировать…».

Отобразится окошко копирования контейнера, где требуется щелкнуть по кнопке «Обзор…».

Откроется окошко выбора контейнера. Выделите из перечня наименование того из них, сертификат из которого желаете скопировать на USB-носитель, и нажмите «OK».

Затем отобразится окно аутентификации, где в поле «Введите пароль» требуется произвести ввод ключевого выражения, которым запаролен выбранный контейнер. После заполнения указанного поля нажмите «OK».

После этого происходит возврат в основное окно копирования контейнера закрытого ключа. Обратите внимание, что в поле имени ключевого контейнера к исходному наименованию автоматически добавится выражение «- Copy». Но при желании вы можете изменить название на любое другое, хоть это и не обязательно. Затем щелкните по кнопке «Готово».

Далее откроется окно выбора нового ключевого носителя. В представленном перечне выберите диск с той буквой, которой соответствует нужная флешка. После этого жмите «OK».

В отобразившемся окне аутентификации потребуется ввести дважды один и тот же произвольный пароль к контейнеру. Он может, как соответствовать ключевому выражению исходника, так и быть совершенно новым. Ограничений в этом нет. После ввода нажмите «OK».

После этого отобразится информационное окошко с сообщением, что контейнер с ключом успешно скопирован на выбранный носитель, то есть в данном случае на флешку.

Способ 2: Средства Windows

Также перенести сертификат КриптоПро на флешку можно исключительно средствами операционной системы Windows путем простого копирования через «Проводник». Данный метод подойдет только тогда, когда файл header.key содержит в себе открытый сертификат. При этом, как правило, его вес составляет не менее 1 Кб.

Как и в предыдущем способе, описания будут даны на примере действий в операционной системе Виндовс 7, но в целом подойдут и для других ОС данной линейки.

1. Подключите USB-носитель к компьютеру. Откройте «Проводник Windows» и переместитесь в ту директорию, где расположена папка с закрытым ключом, который требуется скопировать на флешку. Щелкните по ней правой кнопкой мыши (ПКМ) и из раскрывшегося меню выберите пункт «Копировать».

Затем откройте через «Проводник» флешку.

Щелкните ПКМ по пустому месту в открывшейся директории и выберите пункт «Вставить».

Каталог с ключами и сертификатом будет перенесен на флешку.

Можете открыть эту папку и проверить правильность переноса. В ней должны находится 6 файлов с расширением key.

На первый взгляд перенос сертификата КриптоПро на флешку посредством инструментов операционной системы гораздо проще и интуитивно понятнее, чем действия, через КриптоПро CSP. Но нужно отметить, что этот метод подойдет только при копировании открытого сертификата. В обратном случае вам придется для этой цели воспользоваться программой.

Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.

Когда нужно переносить сертификаты в другое место?

И так давайте рассмотрим по каким причинам у вас может появиться необходимость в копировании ваших ЭЦП в другое место.

1. На текущем физическом компьютере начинает умирать жесткий диск или SSD накопитель (Как проверить жизненные показатели жесткого диска), очень частая история и жизненная, когда люди теряли все свои данные, из-за банальной жадности в покупке нового оборудования и элементарного незнания принципов резервного копирования.
2. У вас производится модернизация оборудования, его улучшение и вам нужно перенести все сертификаты с закрытыми ключами на другую систему
3. Вы создали отдельный сервер, в виде виртуальной машины, где будут находится все ваши сертификаты и с ними смогут работать все необходимые сотрудники, терминал для бухгалтерии. Простой пример СБИС, и когда у вас 10-20 организаций.

Как установить КриптоПРО CSP 3.6?

Если вы хотите установить ЭЦП и подтвердить лицензию печати, то вам необходимо заранее установить программу для её распознавания. Без неё ничего не получится. Зачастую — это КриптоПРО CSP 3.6. Её можно либо установить с диска, предварительно купив оный в магазине, или же установить из сети Интернет.

Шаг 1. Внимательно изучите данные своего компьютера и с помощью меню «Пуск проверьте: не была ли программа уже установлена ранее (особенно, если вы в данный момент вы собрались использовать не своё устройство).

Открываем меню «Пуск» находим программу КриптоПро, запускаем ее и проверяем версию

Далее могут быть два исхода: у вас либо есть эта программа, либо её нет.

если вы её не имеете, то переходите к шагу номер два; если же она всё-таки есть на устройстве, то проверьте версию продукта, посмотрите: подойдёт ли она вам (если нет, то программу стоит переустановить, если да, то оставляем всё без изменений), также не забудьте удостовериться, что срок действия КриптоПРО не истёк! Это очень важно. Шаг 2

Если вы поняли, что данной программы у вас на компьютере, то переходим к установке. Иногда это сделать не совсем просто. Вам необходимо зайти на лицензионный сайт (это весьма важно, поскольку пиратская версия не будет работать в полном объёме) и попытаться установить программу

Шаг 2. Если вы поняли, что данной программы у вас на компьютере, то переходим к установке. Иногда это сделать не совсем просто

Вам необходимо зайти на лицензионный сайт (это весьма важно, поскольку пиратская версия не будет работать в полном объёме) и попытаться установить программу

Шаг 3. Однако мы скачиваем ещё не саму программу, а лишь установочный файл. Поэтому после того, как файл прогрузился, открываем его.

Шаг 4. Теперь устанавливаем саму программу.

Шаг 4. Дожидаемся окончательной загрузки!

Ожидаем завершения установки

Нажимаем «ОК»

Шаг 5. Чтобы программа корректно работала на вашем персональном компьютере, введите номер своей лицензии (ключа).

Во вкладке «Общие», нажимаем на кнопку «Ввод лицензии»

Заполняем поля, нажимаем «ОК»

Установка ключей в «Реестр»

Шаг 1.Необходимо настроить «Реестр». И только тогда можно уже приступить к установке ключа.

1. Перейдите в закладку «Оборудование», щелкните по опции «Настроить считыватели». В следующем окне кликните на параметр «Добавить».

Шаг 3.Вставьте его в «Реестр».

Шаг 4.Установите контейнер в программе в реестр точно также, как это делалось и с сертификатом.

1. Вернитесь в закладку «Сервис», кликните по опции «Посмотреть сертификаты в контейнере».

Открытый и закрытый ключи используются для активации неквалифицированной подписи. Ее использование возможно при наличии действующего сертификата. Ключ в открытом и закрытом виде должен находиться в корне накопителя. Помещать ключи в папки нельзя. Настройка должна проводиться непосредственно с флешки.

Потребуется войти в программу «КриптоПРО CSP» и перейти в блок «Сервис». В нем следует кликнуть по клавише «Скопировать».

Импорт ЭЦП в реестрПоиск накопителя

После выбора накопителя нужно прописать имя контейнера. Можно ввести любые слова. Чаще всего используется наименование организации. Это поможет избежать путаницы. Далее надо щелкнуть «Готово».

Обозначение контейнера

Система запросит обозначить место, куда планируется установка ключа закрытого типа. Если хранение ЭЦП будет осуществляться на ПК, то следует выбрать «Реестр» и щелкнуть «ОК». Установка ключа в реестр удобна тем, что пользователь сможет применить ЭЦП в любое удобное время. Если ключ сохранить на накопителе, то потребуется его постоянное использование для применения электронной подписи.

На следующей ступени вводится пароль. Его потребуется набрать еще 1 раз для подтверждения. Далее следует щелкнуть «ОК». Если защита от других пользователей не требуется, то можно пропустить настройку пароля.

Следующей ступенью является установка открытого ключа в контейнер. Для этого потребуются следующие действия: зайти в блок «Сервис» программного продукта «КриптоПРО CSP» и щелкнуть «Установить личный сертификат…».

Настройка открытого ключа в контейнере

Для выбора нужного ключа следует щелкнуть клавишу «Обзор».

Поиск открытого ключаОткрытие ключа

После выбора ключа для продолжения его установки надо щелкнуть «Далее».

Продолжение установки ключа

На экране отобразятся параметры сертификата. Следует щелкнуть «Далее».

Характеристика сертификатаСоединение ключей

На экране монитора появится окно, в котором потребуется поставить галку на строке «Установить сертификат (цепочку сертификатов) в контейнер». Без этой операции ЭЦП использовать невозможно. Завершается настройка ключа кликами по клавишам «Далее» и «Готово».

Завершение процесса

Шаг 1. Необходимо настроить «Реестр». И только тогда можно уже приступить к установке ключа.

1. Перейдите в закладку «Оборудование», щелкните по опции «Настроить считыватели». В следующем окне кликните на параметр «Добавить».

   Во вкладке «Оборудование» нажимаем по кнопке «Настроить считыватели», затем на кнопку «Добавить»

2. Щелкните по считывателю «Реестр», затем «Далее».

   В разделе «Доступные считыватели» выделяем «Реестр», нажимаем «Далее»

3. Подтвердите действие, нажав «Далее», в последнем окне «Готово». Перезагрузите свой ПК.

   Подтверждаем действие, нажав «Далее», затем «Готово»

Шаг 2. Скопируйте контейнер, в котором находятся ключи/ключ.

Во вкладке «Сервис» нажимаем по кнопке «Скопировать»

Кликаем мышкой по названию контейнера, нажимаем «ОК»

В поле «Имя ключевого контейнера» вводим название своего ЭПЦ, нажимаем «Готово»

Шаг 3. Вставьте его в «Реестр».

Кликаем по устройству «Реестр», нажимаем «ОК»

Шаг 4. Установите контейнер в программе в реестр точно также, как это делалось и с сертификатом.

1. Вернитесь в закладку «Сервис», кликните по опции «Посмотреть сертификаты в контейнере».

   Во вкладке «Сервис» кликаем по кнопке «Просмотреть сертификат в контейнере»

2. Выделите считыватель «Реестр» нажмите «ОК».

   Щелкаем по считывателю «Реестр», нажимаем «ОК»

3. Проверьте данные, нажмите «Установить».

   Кликаем по кнопке «Установить»

Что такое корневой сертификат (КС)

Корневой сертификат представляет собой открытый ключ, по которому определяется личность или наименование владельца подписи на документе. Фактически это электронный документ, содержащий данные по удостоверяющему центру.

С помощью программы криптошифрования устанавливается удостоверяющий центр, в списках которого содержутся сведения о владельце подписи.

Если на компьютере установлен КС, то можно скопировать электронную подпись. Производиться генерация открытого ключа с носителя, например, с рутокена.

Данные КС выдаются удостоверяющим центрам в Минкомсвязи. Его наличие подтверждает, удостоверяющий центр является официально зарегистрированным.

Без корневого сертификата нельзя использовать открытый ключ. Последний можно украсть, но без корневого сертификата этой ЭЦП воспользоваться не получится.

Кроме этого на компьютере могут использоваться неквалифицированные сертификаты, выданные различными организациями и госорганами. К ним относятся сертификат казначейства, обслуживающего банка и т.д.

Ошибка при копировании контейнера

Если при создании ключа электронной подписи он не был помечен как экспортируемый, то скопировать или скачать его на ПК с токена не получится. Система выдаст ошибку копирования (0x8009000B (-2146893813)).

Чтобы перенести сертификат с токена придется воспользоваться другим способом. Через IE пользователь открывает «Содержание» через «Настройки».

Затем нужно выбрать сертификат и нажать «Экспорт».

В новом окне пользователь выбирает экспортирование закрытого ключа и проставляет все нужные галочки.

Далее нужно указать пароль, т.к. без него продолжать нельзя. А также пользователю нужно указать имя файла и место, куда нужно сохранить закрытый ключ. Остается лишь скопировать сертификат. Для этого нужно выбрать сертификат в списке, нажать «Экспорт» и выбрать файл .CER.

При правильной последовательности появляются два файла: .pfx и .cer.

Для завершения копирования нужно лишь перенести эти файлы на другой компьютер или носитель и запустить их установку при помощи мастера установки сертификатов.

Копирование закрытого ключа электронной подписи нужно в нескольких случаях: при частых путешествиях и в работе с нескольких ПК. Также перенести ключ ЭЦП на рабочий стол можно и для того, чтобы избежать порчи и потери USB-носителя. Процесс копирования проходит в несколько последовательных шагов, а выбрать можно для этого любой удобный способ. Это может быть простое извлечение ключа из закрытого контейнера, копирование при помощи КриптоПро или системный проводник. Ошибки при работе могут возникнуть только в случае защищенного от экспорта сертификата. Тогда пользователю придется произвести копирование при помощи браузера Internet Explorer.

Возможные проблемы и как их решить

Windows не может проверить подлинность сертификата

Чаще всего такая ошибка возникает в старых версиях ОС Windows. К примеру, если используется Windows 7, необходимо обновить ее до пакета исправления SP1 и импортировать сертификата еще раз.

Также сами разработчики криптографического комплекса «Крипто Про» рекомендуют применять 64-битные системы.

Такое требование актуально для системы Windows 7 и последующих. При этом Windows XP версии SP3 выходила только в 32-битной версии, но в ней подобной проблемы никогда не возникает.

Поскольку Windows XP и Windows Vista уже серьезно устарели и поддержка этих операционных систем уже не производится, крайне рекомендуется обновить их хотя бы до Windows 7.

Ошибка с правами

Чаще всего эта ошибка возникает если у пользователя, из-под которого производят импорт сертификата УЦ, нет прав для выполнения данного действия.

Тогда требуется войти на компьютер под учетной записью администратора. Либо осуществить импорт используя опцию «Запуск от имени администратора» при щелчке мышью.

Ошибка импорта

Система Windows может сообщить об ошибке при попытке добавить сертификат в хранилище.

Она чаще всего происходит по одной из следующих причин:

• Установлена старая версия криптопровайдера — в настоящее время сертификаты выпускаются согласно ГОСТ 2012 года, для которого требуется минимально версия Крипто Про 4.0
• Копия открытого ключа данного сертификата уже была установлена в систему (проверить это можно просмотреть перечень установленных ЭЦП через панель управления Крипто Про;
• Windows не может получить доступ к реестру, либо работа с ним заканчивается ошибкой — желательно произвести проверку и восстановление реестра средствами Windows, либо использовать сторонние программы как, например, C&CLeaner.
• Время действия КС удостоверяющего центра, импорт которого пытается выполнить пользователь, истекло. Необходимо получить новый сертификат с действующим периодом.
• Поврежден сам файл сертификата УЦ. Необходимо получить новую копию и осуществить импорт снова.

Не найден локальный сертификат удостоверяющего центра

Такая ошибка чаще всего возникает при работе в системе банк-клиент. В этом случае во время установления связи между банковским сервером и клиентским компьютером, банк присылает, а у клиента его нечем проверить.

Для решения этой проблемы необходимо запросить у банка требуемый сертификат. Установить его в систему и указать, что это КС Удостоверяющего центра.

Еще одним случаем данной ошибки является установка на клиентском компьютере сертификата другого удостоверяющего центра, а не того, каким был заверен сертификат банка. В такой ситуации необходимо запросить у банка и установить в систему правильный КС.

Не установлен корневой сертификат

Если возникает проблема с установкой, в первую очередь необходимо убедиться, что на компьютере установлена лицензионная ОС Windows.

Очень часто в пиратских версиях системы функционал частично обрезается, чтобы обеспечить функционирование операционной системы без фактической лицензии, отключаются некоторые системные службы.

Еще одной часто встречающейся проблемой является использование на данном компьютере двух и более криптопровайдеров либо специализированного программного обеспечения для шифрования.

Возникает ситуация, что криптопровайдеры начинают конфликтовать друг с другом, поскольку каждый пытается управлять хранилищем сертификатов самостоятельно.

Если необходимо использовать оба (например, клиентское ПО использует разный набор криптопровайдеров), то тогда необходимо их обновить до самой актуальной версии, поскольку разработчики оперативно исправляют появляющиеся ошибки.

Где хранится закрытый ключ в реестре Windows

После процедуры добавления сертификата в реестр КриптоПРО, я бы хотел показать, где вы все это дело можете посмотреть. Ранее я вам рассказывал, о том как добавить оснастку сертификаты. Нас будет интересовать раздел «Сертификаты пользователя — Личное».

Либо вы можете зайти в свойства Internet Explorer на вкладку «Содержание’. Потом перейти в пункт «Сертификаты», где у вас будут отображаться все ваши SSL сертификаты, и те, что КриптоПРО скопировал в реестр операционной системы.

Если нужно найти ветку реестра с закрытым ключом, то я вам приводил уже пример в статье, когда я переносил ЭЦП с компьютера на компьютер.

Про копирование ЭЦП с закрытыми ключами мы разобрали, теперь ситуация обратная.

Как пользоваться ЭЦП

Перед использованием ЭП нужно подготовить необходимые инструменты. Сначала потребуется криптопровайдер – специальное программное обеспечение, которое реализует алгоритм преобразования данных. Оно позволяет создавать подпись, проверять, шифровать и расшифровывать ее.

Сертификат и ключ – элементы, выдаваемые в удостоверяющем центре. Они содержатся на специализированном защищенном носителе, который обеспечивает безопасное хранение содержимого. Такой накопитель называется токеном.

Не получится воспользоваться ЭЦП без оборудованного рабочего места. Правильно должен быть настроен браузер, чтобы не блокировалось осуществление необходимых операций. При настройках по умолчанию работа с ЭП будет невозможна из-за политики безопасности операционной системы. По этой причине нужна установка дополнительных надстроек и плагинов. Правильно настроенный браузер на 98% обеспечивает бесперебойное функционирование.

Для установки сертификата на флеш-карту выполняют следующие действия:

• вставляют в специальный разъем в корпусе компьютера;
• через панель управления находят нужное ПО;
• заходят в «Сервис» и нажимают на «Просмотреть…»;
• при помощи команды «Обзор» находят контейнер и нажимают «Ок» и «Далее»;
• кликают на кнопку «Установить»;
• в окне «Мастер импорта» подтверждают операцию клавишей «Далее»;
• отмечают пункт «Автоматически выбрать хранилище» и нажимают «Готово».

В конце операции появляется уведомление о том, что СКПЭП сохранена в папку «Личное».

Бесплатно можно создать ЭЦП в пакете MS Office. Заверять документ нужно по такому алгоритму:

1. Поставить курсор на строчку, где требуется расписаться.
2. Открыть вкладку «Вставка» и кликнуть на клавишу «Строка подписи Microsoft Office».
3. Заполнить все графы в окне, появившемся на экране.

Как работает ЭП с pdf-файлами, можно узнать через Acrobat и Adobe Reader. Для этого потребуется полная их версия.

Выглядеть подпись может по-разному, но в большинстве случаев это маленький штамп.

Есть ли у электронной подписи срок годности?

Срок действия сертификата ключа проверки электронной подписи (как квалифицированной, так и неквалифицированной) зависит от используемого средства криптографической защиты информации (СКЗИ) и удостоверяющего центра, в котором был получен сертификат.

Как правило, срок действия составляет один год.

Подписанные документы действительны и после окончания срока действия сертификата ключа проверки электронной подписи.

Обновление ЭЦП

Период действия электронной подписи равняется 1-му году. По его истечении сертификат утрачивает работоспособность. Заверить им электронные документы не получится, выдается ошибка. Для восстановления работоспособности пользователю следует направить в удостоверяющий центр запрос на формирование и регистрацию нового сертификата. Процедура его активации не отличается от первичной настройки. После начала установки предыдущий сертификат отключится. Поэтому новый рекомендуется настраивать за пару дней до окончания действия предыдущего, так как он не проверяется на действительность.

Что такое ЭЦП и сертификат закрытого ключа

Электронная цифровая подпись используется во многих программных продуктах: 1С: Предприятие (и другие программы для ведения хозяйственного или бухгалтерского учёта), СБИС++, Контур.Экстерн (и прочие решения для работы с бухгалтерской и налоговой отчётностью) и других. Также ЭЦП нашла применение в обслуживании физических лиц при решении вопросов с государственными органами.

ЭЦП — это, своего рода, гарант в мире электронного документооборота, аналогичный обычной подписи и печатями на бумажных носителях

Как и при подписании бумажных документов, процесс подписания электронных носителей информации связан с «редактированием» первичного источника.

Электронная цифровая подпись документов осуществляется путём преобразования электронного документа с помощью закрытого ключа владельца, этот процесс и называется подписанием документа

На сегодняшний день сертификаты закрытого ключа чаще всего распространяются либо на обычных USB-флешках, либо на специальных защищённых носителях с тем же USB интерфейсом (Рутокен, eToken и так далее).
При этом, каждый раз, когда возникает необходимость в подписи документов (или идентификации пользователя), нам нужно вставить носитель с ключом в компьютер, после чего проводить манипуляции с сертификатом. Соответственно, после завершения работы нам достаточно просто извлечь носитель из компьютера, чтобы нашей подписью больше никто не мог воспользоваться. Этот способ достаточно безопасен, но не всегда удобен.

Если вы используете ЭЦП у себя дома, то каждый раз подключать/отключать токен быстро надоедает. Кроме того, носитель будет занимать один USB-порт, которых и так не всегда хватает для подключения всей необходимой периферии.
Если же вы используете ЭЦП на работе, то бывает, что ключ удостоверяющим центром выдан один, а подписывать документы должны разные люди. Таскать контейнер туда-сюда тоже не удобно, да ещё бывают и случаи, когда в одно время с сертификатом работают сразу несколько специалистов.
Кроме того, и дома, и, особенно, на работе, случается, что на одном компьютере необходимо производить действия с использованием сразу нескольких ключей цифровой подписи.

Именно в тех случаях, когда использование физического носителя сертификата неудобно, можно прописать ключ ЭЦП в реестр КриптоПро (подробнее о реестре Windows в общем понимании можно почитать в соответствующей статье: Изменение параметров системного реестра Windows) и использовать сертификат, не подключая носитель к USB-порту компьютера.

Массовый перенос ключей и сертификатов CryptoPro на другой компьютер

Выше описанные методы хороши, когда у вас один или 5 ключиков в реестре, а как быть если их десятки. Помню лет 5 назад, когда я еще был младшим администратором, то я очень часто устанавливал электронные цифровые подписи главбуху, так как она работала в СБИС++ и сдавала там постоянно отчетность по огромному количеству организаций, по типу рога и копыта. Держать кучу токенов было не вариант, и для таких вещей у нее все хранилось в реестре и копия сертификатов была на флешке в сейфе. Флешку потом потеряли, встал вопрос сделать резервную копию всего и плюс обновить систему, в виду нового компьютера, на операционной системе Windows 8.1. ЭЦП было штук 50, а так как я ценю свое время, то и искал методы, выполнить это быстрее, к счастью я его нашел.

Заключался метод переноса сертификатов из реестра, в выгрузке веток и подмене SID значения, но обо всем по порядку. О том, как посмотреть SID пользователя и что это такое я рассказывал.

Открываете командную строку cmd и вводите команду:

whoami /USER

Вот это S-1-5-21-551888299-3078463796-888888888-46162 и есть SID, вашей учетной записи. Теперь когда вы его знаете, то вам нужно выгрузить ваши закрытые ключи из реестра Windows. Для этого откройте вот такую ветку:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\Номер вашего SID, который мы узнали\Keys

В контейнере Keys, вы найдете все ваши закрытые ключи от ЭЦП. С правой стороны вы увидите файлы: * header.key * masks.key * masks2.key * name.key * primary.key * primary2.key

Щелкаем правым кликом по контейнеру Keys и экспортируем его.

Сохраняем нашу ветку реестра с контейнерами закрытых ключей. Далее нам нужно скопировать открытые ключи, которые лежат по пути:

C:\Users\имя вашего пользователя\AppData\Roaming\Microsoft\SystemCertificates\My

Не забывайте только подставить своего пользователя, эта папка может быть скрытой, поэтому включите скрытые папки и файлы в вашей ОС. Все содержимое этой папки вам нужно перенести на другой компьютер, только уже в папку другого, нужного пользователя.

Как только вы поместили на новом компьютере папку Key, вы можете перенести реестровую выгрузку. Сохраненный файл в формате reg, вы должны открыть в любом текстовом редакторе.

Как я показывал выше, определите SID нового пользователя, скопируйте его полностью и замените им значение в файле reg, я отметил это стрелками.

SID начинается с S-1 и так далее

Все сохраняйте файл и запускайте его, у вас будет начат перенос сертификатов (закрытых ключей), подтверждаем действие.

Использование флешки как электронного ключа

Флешку можно использовать как аналог ЭЦП, воспользовавшись РАМ-модулем. В его задачу входит тестирование каждого электронного носителя на соответствие заложенным данным. Блокировка данных или доступ к системе зависит от результатов проверки.

Для настройки РАМ-модуля необходимо:

• установить библиотеку libpam_usb.so и утилиты, нужные для управления модулем;
• вставить в USB-порт флешку, собрать и записать всю информацию о носителе для последующей идентификации пользователя;
• ввести команду, закрепляющую имя флешки к учетной записи пользователя;
• запустить проверку корректности данных;
• наделить модуль pam_usb правом управления системой. При необнаружении подходящего носителя система должна запросить ввод пароля и логина, или заблокировать вход.

К плюсам такого использования носителя можно отнести возможность хранения на флешке информации и быстрый вход в систему, автозащиту, отсутствие необходимости запоминать большое количество информации.

Причины появления сообщения

• Сертификат может быть отозван. Например, по заявлению владельца, если его сайт взломали. 
• Сертификат выписан нелегально. Сертификат должен быть получен в удостоверяющем центре после прохождения проверки. 
• На компьютере могут отсутствовать обновления корневых сертификатов Windows. Актуально для Windows 7, инструкция по обновлению .

• Нарушена цепочка сертификатов. Сертификаты проверяются по цепочке от самоподписанного до доверенного корневого сертификата, который предоставляет удостоверяющий центр. Промежуточные сертификаты предназначены для подписания (подтверждения) другого сертификата в цепочке.

  Причины, по которым может быть нарушена цепочка сертификатов:

  • Цепочка состоит из одного самоподписанного сертификата. Такой сертификат не заверяется удостоверяющим центром и может быть опасен.
  • Цепочка не завершается доверенным корневым сертификатом.
  • Цепочка содержит сертификаты, не предназначенные для подписывания других сертификатов.
  • Истекло или не наступило время действия корневого или промежуточного сертификата. Удостоверяющий центр выдает сертификат на определенный период времени. 
  • Цепочка не может быть выстроена.
• Домен в сертификате не соответствует сайту, с которым устанавливается соединение.
• Сертификат не предназначен для подтверждения подлинности узла. Например, сертификат предназначен только для шифрования соединения между пользователем и сайтом.
• Нарушены политики использования сертификата. Политика сертификата — набор правил, определяющий использование сертификата с заданными требованиями безопасности. Каждый сертификат должен соответствовать хотя бы одной политике сертификата. Если их приведено несколько, сертификат должен удовлетворять всем политикам. 
• Нарушена структура сертификата.
• Возникла ошибка при проверке подписи сертификата.

Копирование закрытого ключа из КриптоПро

Это самый простой способ, и будет актуальным при небольшом количестве контейнеров с закрытыми ключами. Чтобы выполнить перенос сертификатов из реестра, откройте ваш КриптоПРО, вкладка «Сервис», нажимаем кнопку «Сервис», далее через кнопку «Обзор», откройте «Выбор ключевого контейнера» и укажите, какой сертификат вы будите переносить. В моем примере это контейнер «Копия сертификата в реестре (Семин Иван)».

Нажимаем «Далее», вас попросят задать новое имя контейнера с закрытым ключом, введите понятное для себя, для удобства.

У вас откроется окно с выбором носителей, вы можете выбрать либо токен, либо флешку для переноса на другое место. У меня это внешний жесткий диск Z:\.

Задаем обязательно пароль, с точки зрения безопасности, так как файлы в таком виде просто скомпрометировать.

Все, на выходе я получил папку со случайным названием и набором ключей в формате key.

Если вы пытаетесь копировать сертификат с токена, то в ряде случаев у вас может появиться ошибка: Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.

Связана такая ситуация, что в целях псевдобезопасности, удостоверяющие центры выпускают закрытые ключи без возможности экспорта, и таким образом увеличивают свою прибыль, так как в случае утери или поломки токена, вам придется его перевыпускать, а так как экспорт запрещен, то бэкапа вы сделать не сможете.

Если вы получили ошибку копирования контейнера. У вас нет разрешений на экспорт ключа, то метод с КРиптоПРО вам не поможет

Пошаговая инструкция решения проблемы

Если флеш-накопитель с ЭЦП не работает, выполняют такие действия:

1. Устанавливают программные компоненты, необходимые для корректного использования площадки. К ним относятся плагины для сайтов «Госуслуги», «Госзакупки» и т. д.
2. Убеждаются в правильности установленных на компьютере даты, времени и часового пояса.
3. Проверяют наличие сертификата в личном хранилище. При его отсутствии или повреждении выполняют переустановку. Убеждаются в том, что срок действия найденного сертификата не истек.
4. Активируют функцию представления совместимости. Эта рекомендация относится к пользователям Internet Explorer. Чтобы найти функцию, переходят в меню, открывают раздел «Параметры просмотра», пункт «Добавить адрес портала».
5. Проверяют работу системы в других браузерах. Если система по-прежнему не подписывает документ, можно попробовать использовать другое устройство.
6. Проверяют операционную систему на наличие вирусов. Для этого используют специальные утилиты, например «Антивирус Касперского».

Исследуйте операционную систему на вирусы.