Резервная копия
Рекомендуем сделать копию сертификата на случай утери или повреждения ключевого носителя.
Возможно сделать только для сертификата, который выпущен на физическое лицо. Сертификат на ИП и руководителя организации хранится в единственном экземпляре.
- Перейдите в личный кабинет удостоверяющего центра (подробнее см. в инструкции Вход в личный кабинет).
- Найдите нужный сертификат в списке и нажмите на него.
- Нажмите «Сделать резервную копию».
Если копируете сертификат на дискету, флешку или в реестр, появится окно ввода пароля. Восстановить утерянный пароль невозможно, поэтому рекомендуем оставить поля для паролей пустыми. Нажмите «ОК».
Оцените статью или оставьте отзыв
Как установить личный сертификат через КриптоПро CSP
Чтобы установить сертификат с помощью КриптоПро CSP через «Просмотреть сертификаты в контейнере», выполните следующее:
- Выберите «Пуск» → «Панель управления» → «КриптоПро CSP» или укажите в строке поиска на панели Windows «КриптоПро CSP» и нажмите на него.
- Выберите вкладку «Сервис» и нажмите «Просмотреть сертификаты в контейнере».
Если появляется сообщение «В контейнере закрытого ключа отсутствует открытый ключ шифрования», установите сертификат с помощью кнопки «Установить личный сертификат».
Если кнопка «Установить» отсутствует, выполните следующее:
-
В окне «Сертификат для просмотра» нажмите «Свойства».
По кнопке «Установить личный сертификат»
Для установки понадобится файл сертификата с расширением *.cer. Файл можно экспортировать по инструкции Экспорт файла открытого ключа. Если в хранилище нет нужного сертификата, то обратитесь в техническую поддержку по адресу help@skbkontur.ru. В письме укажите ИНН и КПП организации и суть проблемы.
Чтобы установить сертификат:
- Выберите «Пуск» → «Панель управления» → «КриптоПро CSP» или укажите в строке поиска на панели Windows «КриптоПро CSP» и нажмите на него.
- Выберите вкладку «Сервис» и нажмите «Установить личный сертификат».
Установка сертификата ЭЦП на Рутокен
Использование Рутокен позволяет пользователям КриптоПро CSP обезопасить ключевую информацию от несанкционированного доступа. Ключи и сертификаты будут храниться в защищённой файловой системе Рутокен. Но прежде чем перейти к настройке Рутокен, очень важно разобраться с цифровой подписью.
Об электронной цифровой подписи
Электронная цифровая подпись — это специальная информация, которая добавляется к электронному документу и даёт возможность убедиться в том, вносились ли изменения в электронный документ после его подписания, а также гарантированно установить лицо, подписавшее данный документ. Добавить электронную цифровую подпись к электронному документу возможно с помощью личного ключа и специального программного обеспечения.
Что же такое личный ключ? Личный ключ — это набор символов в виде компьютерного файла. При этом личный ключ играет роль шариковой ручки при подписании документа на бумаге.
Для проверки ЭЦП на электронном документе используется другой набор символов — открытый ключ. После формирования сертификата открытый ключ становится его частью и не используется отдельно.
Квалифицированный сертификат (далее — сертификат) — это документ, который удостоверяет подлинность и принадлежность открытого ключа пользователю. Такой документ выдаётся аккредитованным удостоверяющим центром и существует в электронном виде. Для проверки ЭЦП на документе необходимо специальное программное обеспечение.
Сертификат служит для проверки ЭЦП на документе, не является секретным и может свободно распространяться через интернет и другие открытые каналы связи. Добавить на электронный документ ЭЦП с помощью сертификата или получить с него ваш личный ключ невозможно.
В итоге мы получаем следующее. Один субъект подписывает документ с помощью личного ключа и специального программного обеспечения, а другой проверяет подпись на этом документе. При этом лицу, которое проверяет подпись, иметь свой личный ключ и сертификат необязательно.
Инструкция. Настройка Рутокен. Как установить сертификат ЭЦП
Рутокен представляет собой маленький USB-токен, предназначенный для безопасного хранения электронной информации, а также хранения ЭЦП. Для того чтобы правильно настроить Рутокен, необходимо скачать нужные драйверы. Их вы можете загрузить с официального сайта www.rutoken.ru. Запустив скачанный с сайта файл, выполните последовательные действия в мастере установки, нажимая «Далее». После завершения действий установки нажать «Закрыть». Далее произойдёт настройка Рутокен.
Настройка Рутокена для работы с ЕГАИС
Шаг 1
Вставляем USB-токен в компьютер
Как скопировать ЭЦП с рутокена
Сертификат электронной цифровой подписи — электронный либо бумажный документ, дающий право проконтролировать достоверность текстового или иного файла, принадлежность операции конкретному владельцу. Его выдает специализированный удостоверяющий центр (УЦ), где идет оформление ЭЦП. В обязательном порядке в нем есть следующая информация:
- наименование средства ЭЦП;
- наименование УЦ, которое выпустило сертификат;
- данные о датах начала и завершения действия ЭЦП;
- ключ для выполнения проверки ЭЦП;
- сведения об актуальной точке списка отозванных сертификатов (СОС).
Также в состав сертификата входит информация о владельце ЭЦП. Для физического (частного) лица — это фамилия имя и отчество, номер СНИЛС, ИНН при наличии. Для юрлица — это наименование компании, адрес расположения, ИНН. Дополнительно в сертификате могут находиться сведения о сфере применения, данные об издателе и иные данные.
В общем случае сертификат ЭЦП состоит из трех компонентов:
- закрытый ключ (служит для формирования уникальной ЭЦП при подписи каждого документа);
- открытый ключ (служит для контроля подлинности подписи автором);
- внесенные в систему данные о владельце.
Как правило, срок действия сертификата составляет 1 год с момента выдачи, по истечение которого надо повторно получать новый. Сделано это для повышения общей надежности и предотвращения компрометации конфиденциальных данных.
Как произвести копирование сертификата с Рутокен
На одном накопителе Рутокен может находиться до 28 сертификатов ЭЦП (зависит от объема встроенной памяти). Этого достаточно для решения задач даже с учетом постепенного копирования на имеющийся носитель дополнительных ключей. На практике иногда приходится сталкиваться с необходимостью копирования сертификата с токена для переноса на другой или временного хранения на жестком диске, в облаке. Также актуальна обратная операция, позволяющая создать копию ЭЦП на другом носителе для передачи ее коллеге, который также получил право на использование.
Перед выполнением копирования необходимо понимать, что сделать это традиционным способом с локального диска компьютера невозможно. Подобная операция доступна при наличии одного из следующих считывателей:
- Рутокен;
- съемный диск любого типа;
- реестр компьютера.
Если в качестве исходного носителя используется USB-накопитель, то контейнер с размещенным сертификатом должен находиться в корневой папке. Параллельно на нем может располагаться другая информация любой степени вложенности, которая не будет мешать работе с контейнером во время подписи документации.
Обратим внимание, что использование обычного USB-накопителя стоит рассматривать исключительно в качестве временной меры для хранения сертификатов и ключей из-за риска их хищения злоумышленниками. Исключением будет случай, когда подобное копирование используется для получения дополнительного комплекта файлов на случай выхода из строя Рутокен.
Как выполнить копирование сертификата с Рутокена через КриптоПРО
Для решения задачи понадобится программа КриптоПРО CSP. Непосредственно копирование ЭЦП с токена идет следующим образом:
- запускаем КриптоПРО CSP через панель управления вашего ПК;
- переходим на вкладку «Сервис»;
- нажимаем кнопку «Просмотреть сертификаты в контейнере»;
- находим через кнопку «Обзор» и в списке ключевых носителей выбираем необходимый;
- подтверждаем выбор клавишей ОК;
- нажимаем кнопку «Далее» (на этом этапе может понадобиться ввод PIN-кода, который в статусе «по умолчанию» для ruToken составляет 12345678, а для eToken 1234567890);
- в открывшемся новом окне выбираем «Свойства» и переходим во вкладку «Состав»;
- нажимаем «Копировать в файл…» и в мастере сертификатов нажимаем «Далее»;
- помечаем, что нам не нужно экспортировать закрытый ключ, выбрав соответствующую опцию;
- выбираем необходимую кодировку (DER X.509);
- определяем место хранения копии и дополнительно подтверждаем его кнопкой ОК (менять название папки не следует);
- вводим дважды пароль для копии и подтверждаем его кнопкой ОК.
В указанном нами месте на жестком диске или USB-носителе появится новая папка с ключами, которую далее можно копировать «традиционным» способом.
Обратим внимание, что если вы планируете далее использовать скопированную ЭЦП по прямому назначению, то находиться указанная папка должна в корневой директории диска.
Проведение копирования контейнера с помощью встроенных средств операционной системы Windows
При использовании USB-накопителя либо дискеты все можно выполнить стандартными средствами Windows. Для этого достаточно скопировать папку с сертификатом на конкретный носитель. Внутри этой папки будет 6 файлов с одинаковым расширением .key. Также здесь может находиться ключ в виде файла типа keyName.cer, копировать который необязательно.
Файлы для электронной цифровой подписи имеют следующие наименования (все имеют расширение .key):
- header:
- masks;
- masks2;
- name;
- primary;
- primary2.
Файл primary.key включает в себя 32 байта ключа, представленного в формате ASN1. При этом данное значение представляет собой только 50% искомого ключа, так как полная его версия может быть получена при делении на маску с учетом модуля Q.
Файл masks.key включает 32 байта маски ключа, которая также представлена в формате ASN1. Также здесь есть 12 байт данных для генерации ключа при условии, что криптографический контейнер защищен от несанкционированного доступа паролем (последний также принимает участие при генерации уникального ключа хранения). Завершает перечень информации в файле контрольная сумма, занимающая 4 байта.
Файл header.key представляет собой набор параметров ЭЦП и другую общую информацию.
Как выполнить копирование ЭП из реестра
Внимание!
Рекомендуется использовать данный способ в тех случаях, когда выполнение штатными средствами СКЗИ копирование не удалось.
Если вы желаете скопировать криптографический контейнер с требуемым нам сертификатом непосредственно из реестра компьютера, то сначала необходимо найти папку, где он располагается. В зависимости от версии Windows необходимо перейти по следующему адресу в ветке реестра:
- для 32-разрядной: HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Users\*Наш идентификатор пользователя ЭЦП*\Keys\*Имя контейнера с ЭЦП*; (HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Users\\Keys\)
- для 64-разрядной: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\USERS\*Наш идентификатор пользователя ЭЦП*\Keys\*Имя контейнера ЭЦП*. (HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\CryptoPro\Settings\Users\\Keys\)
Теперь достаточно для копирования выполнить действия в соответствии со следующим алгоритмом:
- выделите интересующую папку и правой кнопкой мыши вызовите контекстное меню;
- выполните команду «Экспортировать»;
- введите название файла и сохраните его;
- скопируйте полученный файл на жесткий диск компьютера, где планируете организовать рабочее место обычным способом;
- откройте скопированный файл реестра (формат .reg,), через «Блокнот» или иное аналогичное приложение;
- измените в открытом файле SID* пользователя (он имеет аналогичный формат и обычно расположен в третьей строке сверху);
- добавьте после папки Software дополнительно Wow6432Node в случае, если копирование идет из Windows 32-бита в версию с 64-бита;
- сохраните все изменения;
- выберите опять файл реестра;
- произведите «Слияние», выбрав этот пункт в контекстном меню.
*Примечание:
SID — Идентификатор безопасности пользователя ОС Windows. У каждого пользователя Windows свой SID. Для того чтобы узнать SID пользователя запустите ОС Windows под его учетной записью, после чего перейдите в командную строку (Пуск → Выполнить → cmd) и введите команду whoami/user. Команда отобразит основные сведения о текущем пользователе, включая его SID.
Пример SID: S-1-5-12-12345678-1234567890-1234567890-1234.
Если все действия были выполнены верно, то должно на экране появиться сообщение об успешных изменениях в реестре. Если есть ошибки, то появится с ошибкой и вам нужно проконтролировать корректность указанного пути к файлу. После завершения процедуры все данные о контейнере будут находиться в реестре операционной системы, а вам понадобится для работы только установить вручную личный сертификат. Сделать это можно с помощью стандартных инструментов КриптоПро CSP.
Выгрузка личного сертификата с исходного компьютера: Для начала на ПК (исходный), с которого идет установка, выполняем его экспорт следующим образом:
- переходим на вкладку «Содержание» в настройках вашего браузера;
- нажимаем на кнопку под названием «Сертификаты»;
- находим актуальный для нас сертификат и нажимаем кнопку «Экспорт»;
- нажимаем кнопку «Далее» в появившемся на мониторе окне;
- выбираем пункт «Нет, не экспортировать закрытый ключ» и опять нажимаем «Далее»;
- выбираем нужный формат сертификата в виде файла X.509 (.CER) с кодировкой DER;
- указываем каталог, где будет сохранен сертификат и сохраняем его.
- Данный файл необходимо перенести на конечный ПК.
- Необходимо запустить КриптоПРО CSP и перейти на вкладку «Сервис» и выбрать пункт «Просмотреть сертификат в контейнере»;
- Нажмите кнопку «Обзор» и выберете ранее перенесенный контейнер из отображенного списка;
- После выбора контейнера откроется «Сертификаты в контейнере закрытого» ключа. Нажмите кнопку кнопку «Установить»;
В случае успеха будет выдано окно о завершении операции. Нажмите кнопку «ОК»
Как перенести нужный контейнер на Рутокен из другого источника
В идеальном случае, контейнер с действующим сертификатом должен храниться в реестре либо на токене, где обеспечен максимальный уровень защиты. Для копирования его на Рутокен необходимо предварительно подключить считыватель и проконтролировать его доступность через КриптоПро. Если ее нет, то настраиваем, а в противном случае, выполняем действия в соответствии со следующим алгоритмом:
- переходим на вкладку «Сервис»;
- нажимаем на кнопку «Скопировать»;
- выбираем нужный нам контейнер с помощью кнопки «Обзор»;
- нажимаем кнопку «Далее»;
- вводим PIN-код;
- указываем наименование контейнера, который будет находиться на токене;
- выбираем актуальный носитель;
- вводим пользовательский PIN-код Рутокена;
- нажимаем для контроля копирования кнопку «Просмотреть сертификаты контейнера» во вкладке Сервис.
Для использования обновленного контейнера для подписи различных документов необходимо переместить сертификат с токена непосредственно в хранилище. В зависимости от вашей версии КриптоПро необходимо либо нажать на кнопку «Установить» либо сначала нажать «Свойства» и затем выбрав соответствующую операцию по установке нужного сертификата. В дальнейшем достаточно соблюдать рекомендации специального мастера.
Обратим внимание, что если уже этим сертификатом пользовались на компьютере с использованием другого носителя, то старый необходимо удалить из хранилища. Для этого можно использовать несколько способов. Если вы планируете это сделать на компьютере под управлением Windows, то придерживайтесь следующего алгоритма:
- запустите браузер Internet Explorer (версия, как минимум 8.0);
- перейдите в настройках во вкладку «Свойства браузера» (раздел «Сервис»);
- перейдите теперь на вкладку «Содержание»;
- кликните по пункту «Сертификаты»;
- выберите лишний сертификат и после этого нажмите на кнопку «Удалить»;
- подтвердите действие.
Удалить также можно с помощью программы КриптоПро CSP, которое значительно упрощает действия с контейнерами. Для проведения операции сделайте ряд действий:
- запустите программное обеспечение;
- перейдите теперь на вкладку «Сервис»;
- выберите раздел «Удалить» или «Удалить контейнер» (название зависит от конкретной версии программного обеспечения);
- выберите в окне сертификат, от которого вы хотите избавиться;
- подтвердите действие, нажав кнопку «Готово».
Подобным образом рекомендовано также удалять ненужные уже сертификаты или иные электронные подписи, которые уже недействительны, или если обновление ЭЦП запланировано в другом удостоверяющем центре. В этих случаях старый корневой сертификат больше не нужен, но одновременно вы не сможете открывать зашифрованные «старыми» ЭЦП документы.
При необходимости решить вопросы с копированием, организацией рабочих мест, где понадобится использование ЭЦП Рутокен любого типа, обращайтесь в компанию «Астрал-М». Мы специализируемся на внедрении в компаниях IT-решений по автоматизации электронного документооборота, выпуске электронных цифровых подписей любой степени сложности. Вы получите высокое качество услуг по доступной цене. Дополнительно мы предлагаем возможность оформления ЭЦП в ускоренном формате, когда заявка будет выполнена в течение 1-2 часов при наличии пакета документов.