Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер
В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже.
Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:
В данном случай zerox — имя учетной записи, для которой узнаем SID.
Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра и переходим в ветку:
где S-1-5-21-4126079715-2548991747-1835893097-1000 — SID пользователя, у которого копируем сертификаты. Выбираем папку Keys и экспортируем ее.
Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи.
Теперь нам нужно скопировать сразу все сертификаты. В Windows 7, 8 и 10 они живут в директории — C:UserszeroxAppDataRoamingMicrosoftSystemCertificatesMy. Сохраняйте эту директорию.
Для переноса ключей и сертификатов нам надо скопировать на другой компьютер сохраненную ветку реестра и директорию с сертификатами My. Открываем файл с веткой реестра в текстовом редакторе и меняем там SID пользователя со старого компьютера на SID пользователя нового компьютера. Можно прям в блокноте это сделать поиском с заменой.
После этого запускаем .reg файл и вносим данные из файла в реестр. Теперь скопируйте папку My с сертификатами в то же место в профиле нового пользователя. На этом перенос сертификатов и контейнеров закрытых ключей КриптоПро завершен. Можно проверять работу.
Я не раз пользовался этим методом, на текущий момент он 100% рабочий. Написал статью,чтобы помочь остальным, так как сам не видел в интернете подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя таковой получилась.
Если электронную подпись нужно использовать на нескольких компьютерах или скопировать сертификат на запасной носитель, то необходимо знать, где ее искать. Обычно сертификаты хранятся в одном месте, но в зависимости от типа используемой операционной системы путь к хранилищу может быть разным.
Что такое сертификат ЭЦП
Сегодня все чаще встречается дистанционное оформление бумаг. Сделки заключаются удаленно, присутствие сторон необязательно. Удостоверяющий центр выпускает специальную бумагу в электронном или бумажном формате. С его помощью подтверждается подлинность цифровой подписи, перекрывается доступ сторонним лицам к закрытой информации.
В сертификате ЭЦП содержатся следующие данные:
- сведения о владельце;
- срок действия;
- название удостоверяющего центра, издавшего документ;
- наименование средства;
- проверочный ключ;
- информация об ограничениях в области применения.
Аккредитованный удостоверяющий центр в момент выпуска документа генерирует ключ проверки. При этом сохраняются сведения о владельце электронной подписи в специальном файловом массиве.
Ошибка копирования контейнера
Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:
Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии. Либо вы просто не сможете его выбрать для копирования, если у вас последняя версия CryptoPro. Он будет неактивен:
Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему. Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Делаем это там же на вкладке Сервис в оснастке CryptoPro. Нажимаем Посмотреть сертификаты в контейнере.
Выбираем необходимый сертификат и нажимаем Посмотреть свойства сертификата.
Далее переходим на вкладку Состав в информации о сертификате и нажимаем Копировать в файл.
Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ «Да, экспортировать закрытый ключ», значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.
Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, кроме удаления. Так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.
Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке из оснастки Crypto Pro, жмёте Копировать в файл, экспортировать БЕЗ закрытого ключа. И выбираете файл формата .CER.
Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него. В итоге у вас должны получиться 2 файла с расширениями:
- .pfx
- .cer
Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам нужно будет выбрать все параметры по умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер. Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.
Пошаговая инструкция: как перенести СБиС на другой компьютер
Переустанавливать СБиС требуется в четырех случаях:
- Обновление операционной системы
- Переустановка операционной системы
- Смена компьютера
- Поломка компьютера
Во всех этих случаях необходимо переустановить СБиС. Вы можете обратиться к специалисту или перенести СБиС на другой компьютер самостоятельно. Следуйте пошаговой инструкции по переносу СБиС++ (версия 2.4) с одного компьютера на другой.
Обязательно соблюдайте порядок шагов по переносу СБиС.
Шаг 1. Подготовить данные для переноса СБиС на другой компьютер
Для этого нужно:
- Зайти в «Мой компьютер»;
- Выбрать локальный диск, на котором установлена программа СБиС++;
- Найти папку СБиС++ Документооборот (СБиС++ Электронная отчетность);
- Зайти в нее и на папке «db» нажать правой кнопкой мыши (ПКМ).
- Выбрать пункт «Свойства»;
- На вкладке «Общие» посмотреть размер данной папки:
- Зайдите в «Мой компьютер»;
- Нажмите на нужный локальный диск ПКМ;
- Выберите пункт «Свойства»;
- Посмотрите на вкладке «Общие» наличие свободного места:
Свободного пространства должно быть не меньше 3 ГБ + пространство, занимаемое папкой «db», которое Вы выяснили в пункте 2.
- Зайдите в меню «Пуск»;
- Выберите пункт «Панель управления»:
Далее в расположенных по алфавиту иконках найдите значок КриптоПро CSP и откройте его двумя нажатиями левой кнопки мыши (далее по тексту ЛКМ).
В разделе «Сертификаты в контейнере закрытого ключа» нажмите ЛКМ «Просмотреть сертификаты в контейнере…»:
В столбце «Считыватель» посмотрите наименование носителя секретного ключа (это может быть съемный носитель или реестр):
- Если секретный ключ находится в реестре, обязательно! скопируйте его на носитель, следуя инструкции «Как копировать ЭЦП в КриптоПро».
- Теперь можно начать копирование папки «db» на новый ПК по сети или на съемный носитель (с последующим копированием на локальный диск нового компьютера).
Шаг 2. Установить программу СБиС++ на новом рабочем месте
1. Нужно перейти на сайт программы (нажатием ЛКМ на ссылку выделенную синим цветом, которая находится на втором пункте данного шага);
Шаг 3. Установить и настроить средство криптозащиты информации (СКЗИ)
- Выберите любого из ваших НП (если их несколько);
Нажмите «Далее» и ожидайте окна с предупреждением, что сейчас на компьютер будет установлена СКЗИ
- После перезагрузки нужно настроить считыватели.
- Напомню, что путь к КриптоПро это: «Пуск» -> «Панель управления» или «Пуск» -> «Все программы» (см. рис. 18, 19):
Вставьте носитель секретного ключа и нажмите кнопку «Настроить считыватели…» в разделе «Считыватели закрытых ключей»:
В окне «Управление считывателями» нажмите кнопку «Добавить…»
Далее нужно выбрать из списка «Доступные считыватели» носитель секретного ключа и завершить добавление считывателя, следуя указаниям мастера по установке считывателей:
На этом настройка КриптоПро закончена, осталось лишь присоединить носитель секретного ключа к программе СБиС++.
Шаг 4. Настроить СБиС++
- Откройте СБиС++;
- В левом верхнем углу нажмите на наименование налогоплательщика
Нажмите на кнопку «Изменить» в панели окна «Выбор налогоплательщика»
В открывшемся окне перейдите на вкладку «Ответственные лица» и кликните ЛКМ дважды по сотруднику с подтипом руководитель
В окне «Ответственное лицо» в разделе «Сертификаты ответственного лица» нажмите ЛКМ один раз на присутствующий сертификат, после чего нажмите на клавиатуре клавишу «Delete», программа предложит удалить запись, согласитесь, нажав кнопку «Да»
Далее в поле, где ранее была запись о сертификате, двойным нажатием ЛКМ запустите «Мастер создания сертификата». В открытом окне мастера в разделе способ установки сертификата выберите пункт «Установить с носителя» и нажмите далее
Если у вас несколько организаций, будет выдан список сертификатов на носителе. В поле «Кому выдан» найдите нужную организацию и выберите сертификат.
Далее завершите регистрацию сертификата, следуя указаниям мастера по установке.
После завершения настройки сертификатов проверьте систему. Для этого сверху в панели программы выберите пункт «Сервис», в открывшемся контекстном меню выберите пункт «Протокол проверки системы» и дождитесь выполнения проверки. На экране появится протокол проверки с указанием, готова система к сдаче отчетности или нет. Если же система не готова к сдаче отчетности, просмотрите ошибки и исправьте их.
В период широко распространяющегося внедрения инновационных технологий электронный документооборот уверенно вытесняет стандартные бумажные носители. Для защиты официальной информации от несанкционированного использования цифровой подписи сторонними лицами нужно знать, где хранятся сертификаты ЭЦП на компьютере.
Экспорт PFX-файла и его установка
Экспорт сертификата с закрытым ключом
1. Откройте плагин для работы с сертификатами:
— Пуск → Все программы → КриптоПро → Сертификатыили— Internet Explorer → Инструменты → Свойства обозревателя → вкладка Содержание → Сертификаты.
2. Откройте сертификат, который вы хотите скопировать. На вкладке «Композиция» нажмите «Копировать в файл».
3. В мастере экспорта сертификатов нажмите «Далее» и выберите «Да, экспортировать закрытый ключ». Нажмите кнопку «Далее».
4. На следующем шаге установите флажки «Включить все сертификаты в путь сертификации, если это возможно» и «Экспортировать все расширенные свойства», остальные флажки должны быть сняты. Нажмите кнопку «Далее».
5. Обязательно установите пароль для экспортируемого файла. Не рекомендуется сообщать этот пароль по электронной почте. Нажмите кнопку «Далее».
6. Укажите имя файла, выберите путь для сохранения и нажмите «Далее», затем нажмите «Готово».
7. Экспортируйте открытый ключ сертификата (см. Экспорт открытого ключа).
8. Заархивируйте полученные файлы .pfx и .cer.
Установка сертификата закрытого ключа
1. Откройте файл .pfx. Немедленно запустится мастер импорта сертификатов».
2. Указываем репозиторий «Текущий пользователь» и нажимаем «Далее», затем снова «Далее».
3. Введите пароль, указанный при экспорте, и установите флажок «Отметить этот ключ как экспортируемый…», иначе в дальнейшем контейнер не сможет быть скопирован. Нажмите кнопку «Далее».
4. Выберите «Поместить все сертификаты в следующее хранилище», нажмите кнопку «Обзор», выберите «Личные» и нажмите кнопку «ОК». Нажмите «Далее», а затем «Готово».
5. В окне КриптоПро выберите носитель, на котором хотите сохранить контейнер. При необходимости установите пароль.
6. Для корректной работы сертификата с интегрированной лицензией переустановите сертификат в контейнере (см. Как установить персональный сертификат в КриптоПро).
Отчет легко и без ошибок. Удобный сервис для подготовки и отправки отчетов через Интернет. Даем доступ к Extern на 14 дней!
Использование сертификата с накопителя
Чтобы использовать сертификат с USB-накопителя, потребуется применить специальное программное обеспечение – криптопровайдер. Это ПО при помощи интернет-соединения осуществляет проверку электронной подписи. На территории Российской Федерации на законных основаниях можно пользоваться только одной программной – КриптоПро CSP выше версии 3.0.
Работа программы КриптоПро максимально эффективна на версиях операционной системы Windows 7 и выше. Если использовать Word от Microsoft версии 2003 года, то функционал будет ограничен по сравнению с Word 2007.
Если требуется осуществить процедуру электронной подписи через любой браузер, то нужно использовать расширение КриптоАРМ. Оно позволяет получить доступ к системам веб-сервисов, например, площадки электронных торгов от Сбербанка.
Что такое рутокен и как его установить?
Рутокен — это небольшой USB-накопитель, предназначенный для хранения электронных данных. Их чаще всего используют для хранения ЭЦП, так как для получения доступа к информации необходимо ввести ПИН-код. Чтобы настроить рутокен, нужно сначала скачать нужные драйверы с официального сайта и установить их.
Настроить рутокен достаточно просто. После установки драйверов подключите устройство к компьютеру и выполните следующие действия:
- Активируйте панель управления.
- Во вкладке «Администрирование» нажмите на кнопку «Информация».
- В новом окне появится статус Microsoft Base Smart Card Crypto Provider — «Поддерживается», «Активировать» или «Не поддерживается». Если видите первый, нажмите «ОК», если второй — активируйте носитель. Последний означает, что устройство не поддерживает связь с Единой государственной автоматизированной информационной системой (ЕГАИС).
- Кликните по вкладке «Настройка».
- В появившихся полях «Рутокен ЭЦП Смарт-карта» и «Рутокен ЭЦП (2.0)» пропишите значение Microsoft Base Smart Card Crypto Provider.
Настройка завершена. Если вы еще не успели установить ЭЦП, можете переходить к установке. Потом вам достаточно будет скинуть данные на рутокен. Даже если вы его потеряете, или устройство украдут, ПИН-код не позволит никому воспользоваться вашей подписью.
Область применения
Электронная подпись постоянно расширяет свою область применения. Изначально она использовалась только крупными компаниями, но сегодня оформляется мелкими организациями (для юр. лиц и ИП) и физическими лицами. В бизнесе ЭЦП встречается в следующих сферах:
- документооборот – позволяет установить лицо, которое подписало созданный документ. Используемую ЭЦП нельзя подделать из-за способа ее создания, что позволяет гарантировать получение адресатом бумаги в первозданном виде без искажения информации;
- документооборот между физическими лицами – самая новая сфера использования, из-за своей специфики достаточно редко применяется;
- использование электронных документов в качестве доказательств в арбитражном суде;
- получение услуг на портале Госуслуги;
- сокращение затрат путем отправления электронной отчетности;
- электронные торги на виртуальных площадках.
С ходом времени появляются новые сферы, где начинает использоваться электронная подпись. Именно такой метод защиты является надежным для передачи электронной документации.
Как посмотреть сертификат ЭЦП
Посмотреть установленные сертификаты можно при помощи Internet Explorer, Certmgr, консоль управления или КриптоПро. Пользоваться другими компьютерными программами не рекомендуется: они могут иметь встроенную команду отправки ключа ЭЦП на сторонний сервер, что приведет к компрометации подписи и невозможности ее использования.
Через КриптоПро
Как найти сертификат ЭЦП на компьютере при помощи КриптоПро:
- открыть «Пуск»;
- через вкладку «Все программы» перейти в «КриптоПро»;
- выбрать вкладку «Сертификаты».
Этим способом могут воспользоваться пользователи или администраторы ПК (если пользователю будет отказано в доступе, необходимо дополнительно запросить права администратора). В открывшемся окне будет список всех сертификатов, установленных на данном ПК. В содержащем сертификаты хранилище, можно посмотреть информацию по каждому, скопировать контейнер закрытых ключей КриптоПро на другой компьютер, внешний носитель или удалить недействительный ключ ЭЦП.
Через Certmgr
Найти файл сертификата можно и при помощи встроенного менеджера, который присутствует во всех ОС Windows. Через него можно не только посмотреть все личные сертификаты, но и сертификаты УЦ и партнеров Microsoft.
Метод может использоваться только администратором ПК. Для просмотра нужно:
- открыть «Пуск»;
- ввести команду certmgr.msc в строку поиска и нажать Enter;
- в левой колонке открывшегося окна будет список личных и корневых сертификатов.
Через Internet Explorer
Интернет-браузер IE входит в комплектацию всех ОС семейства Windows XP и выше и позволяет также найти сертификаты ЭЦП на компьютере. Для просмотра нужно:
- запустить браузер;
- через «Меню» перейти в «Свойства браузера»;
- в новом окне выбрать вкладку «Содержание»;
- выбрать «Сертификаты».
Далее откроется окно с перечнем всех сертификатов, установленных пользователем и сторонними поставщиками ПО. В данном меню возможен перенос ключей и сертификатов на внешний носитель, удаление открытых ключей. Удаление корневых сертификатов УЦ через меню IE невозможно.
Через консоль управления
Просмотр сертификатов в ОС Windows через консоль управления запускается в несколько этапов:
- пользователь открывает командную строку;
- вводит команду mmc и нажимает Enter;
- нажимает на «Файл» и «Добавить/удалить оснастку cryptopro»;
- выбирает последовательно «Добавить» и «Добавить изолированную оснастку»;
- выбирает «Сертификаты».
Дополнительно можно просмотреть ключи ЭЦП по конкретной учетной записи. Способ также доступен только пользователям с правами администратора ПК. Через консоль можно не только просматривать информация, но и удалять, копировать, добавлять контейнеры с ключами ЭЦП. Неудобство метода в том, что все команды необходимо вводить вручную. Обычны работа через консоль осуществляется на windows server для настройки прав доступа всех пользователей.
Как скопировать ЭП с флешки на компьютер
Есть несколько способов, как скопировать ЭЦП в реестр компьютера: через инструменты Windows, сервисы «КриптоПро» или сертифицированный флеш-носитель. Разберем каждый из них подробно.
Через Windows
Ключ переносят на ПК с дискеты, флешки или другого носителя через функционал Windows. Но сначала проверьте, какая версия «КриптоПро CSP» у вас установлена — понадобится не ниже 3.0.
Чтобы скопировать ЭЦП, надо перенести в корень нового носителя папку с закрытым ключом и файлом сертификата — открытым ключом. Название папки не меняйте. Но обязательно следите, чтобы файлы записались в корень: в другой локации ключ работать не будет.
ВАЖНО!
Ищите закрытый ключ по расширению .key. Обычно он находится в папке с пятью другими ключами с аналогичным расширением. Открытый ключ располагается отдельно — найдите его по расширению .cer. Но бывают закрытые ключи, в которые уже включили открытые: у них расширение header.key и вес больше одного килобайта. Копируют такой файл тоже вместе. Искать и копировать отдельно открытый ключ не требуется.
Общий алгоритм, как скопировать ЭЦП с флешки на компьютер через сервисы Windows:
- Перейдите в свойства браузера и найдите вкладку «Содержание». Для работы нужен раздел «Сертификаты».
- Зайдите во вкладку «Личные». Найдите контейнер с нужным сертификатом и экспортируйте его. Закрытый ключ экспортировать не надо. Как только запустится мастер сертификатов, нажмите «Нет, не экспортировать закрытый ключ».
- Выберите формат DER-кода.
- Определите место, куда копируете ЭЦП.
- Нажмите кнопку копирования, затем «Готово».
Через «КриптоПро»
Для работы с электронной подписью нужна программа криптографической защиты, чтобы шифровать и контролировать закрытую информацию. Одна из таких программ — «КриптоПро CSP». Последний релиз — 5.0, но пользователи смогут работать с другими версиями не ниже 3.0.
Приведем пошаговую инструкцию, как владельцу скопировать цифровую подпись через криптопрограмму:
Шаг 1. Заходим в «Пуск» и переходим в Панель управления. Нам нужна программа «КриптоПро CSP». Переходим во вкладку «Сервис». Выбираем действие «Скопировать».
Шаг 2. В открывшемся окне выбираем контейнер с ключом ЭЦП. Для этого нажимаем «Обзор» и находим нужный файл. Переходим дальше.
Шаг 3. Приступаем к копированию ЭЦП. Вводим имя нового контейнера: необязательно использовать английский алфавит, подойдут и русские буквы. Пробелы тоже допускаются. Кликаем «Готово».
Шаг 4. Записываем ключ на накопитель. Вставляем носитель и выбираем устройство.
Шаг 5. Задаем новый пароль и подтверждаем его в следующей строчке. Пароль задавать необязательно. Но личный пароль — это дополнительная защита: рекомендуем придумать уникальный пароль и записать его в защищенное место.
Если вместо флеш-накопителя используете сертифицированный токен, то введите pin-код.
Сохраняем пароль или pin-код. Дожидаемся окончания копирования.
Шаг 6. Устанавливаем скопированный сертификат. После того как копирование завершится, система откроет вкладку «Сервис». Нам надо посмотреть сертификаты в контейнере.
Шаг 7. Нажимаем «Обзор». Выбираем сертификат и проверяем содержимое.
На флеш-носитель
Цифровой ключ копируют на флешку при помощи инструментов «КриптоПро». То есть процесс практически идентичен копированию на ключевой носитель через криптопрограмму. Вот что надо сделать:
- Зайти в «КриптоПро» через Панель управления.
- Выбрать сертификат.
- Скопировать его на нужный флеш-накопитель.
- Задать пароль.
- Сохранить и проверить работу ЭП.
Места хранения ЭЦП
Допускается использовать ЭЦП одновременно на нескольких устройствах. Предварительно нужно узнать, где на персональном компьютере хранится файл сертификата.
На ПК
Доступ к открытому ключу для возможности его прочтения на ПК можно получить посредством проводника. Для этого задается направление по адресу: C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates. Способ используется на платформе Vista и более поздних версиях программного обеспечения.
Место хранения ЭЦП защищено от чужого доступа. Получить доступ к закрытому сертификату через жесткий диск компьютера не удастся. Информация, предназначенная для генерации открытых ключей, заносится на защищенный USB-рутокен. Открыть файл можно исключительно после ввода пароля, полученного в аккредитованном удостоверяющем центре.
Кроме того, найти сертификат ЭЦП на компьютере можно в зашифрованном формате в отдельной папке Windows. Просмотреть или сделать дубликаты содержащихся в ней данных не удастся, т.к. операционная система ограничивает доступ.
В операционной системе Windows XP
В ОС Windows XP открытые ключи размещаются в персональном хранилище. От несанкционированного изменения общедоступные сведения защищает электронная подпись аккредитованного центра сертификации. Для просмотра ищем папку Documents and Setting. После этого вводится следующая информация:
- имя пользователя;
- ApplicationData;
- Microsoft SystemCertificates;
- My Certificates;
- наименование профиля.
Windows XP хранит сертификаты в личном хранилище сертификатов.
В перемещаемых пользовательских профилях контейнер закрытого ключа хранится в папке RSA на доменном контроллере, защищенном специальным шифрованием с использованием симметричного кода. Для создания базового шифра, состоящего из 64 символов, задействуется генератор случайных чисел. Загрузка сертификационного файла выполняется на время работы компьютера.
В реестре
Допускается хранить сертификаты ЭЦП в реестре по аналогии со стандартными ключевыми носителями. Найти перенесенные ключи цифровой подписи можно в папках:
- HKEY_LOCAL_MACHINE\SOFTWARE\CryptoPro\Setting\Users\(идентификатор пользователя)\Keys\ название контейнера (для 32-битной ОС Windows);
- для 364-битной операционной системы «Виндовс» файл находится по адресу: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\CryptoPro\Setting\Users\(идентификатор пользователя)\Keys\ наименование сертификата;
- в отдельных случаях для поиска папки, в которой хранится электронная подпись, задается направление: HKEY_USERS\S-1-5-21-{SID}_Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\CryptoPro\Setting\USERS\S-1-5-21-{SID}\Keys.
Сертификаты ЭЦП хранятся в реестре Windows в специальном разделе.Под Keys SID подразумевается персональное пользовательское имя, удостоверяющее подлинность подписи.
В системе Linux
Задействовав утилиту Csptest, размещенную в директории /opt/cprocsp/bin/<архитектура>, находят сертификационные файлы ЭЦП в операционной системе Linux.
Перечень открытых ключей персонального компьютера: csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys.
Список сертификатов пользователя: csptest -keyset -enum_cont -verifycontext -fqcn.
Csptest позволяет выполнять криптографические операции с целью проверки работоспособности CSP.
На жестком диске размещено хранилище HDImageStore, куда заносятся закрытые ключи. Доступ к ним открыт и для JCP.
Для хранения сертификатов в ОС Linux создается специальная директория. Путь к ним открывается вручную вводом особых команд.
Как долго нужно хранить документ
Сертификат ЭЦП действителен лишь в течение строго установленного периода времени, равного одному году. По прошествии года цифровая подпись теряет свою функциональность и становится обязательной к замене. Вместе с новой ЭП владелец получает и новый сертификат.
Сколько времени нужно хранить сертификат ЭЦП зависит от того, какая информация в нем содержится. Полезный срок действия и содержание документа связаны между собой: чем больше информации, тем полезный срок действия документа меньше. Объясняется это тем, что данные, указанные в документе, могут измениться.
В удостоверяющем центре сроки хранения ключа в электронной форме определяются договорными условиями между УЦ и владельцем ЭЦП. В течение срока хранения ключа все участники информационной системы имеют к нему доступ. После аннулирования сроки хранения в УЦ определяются статьей ФЗ о законном сроке исковой давности.
На бумажном носителе ключ хранится в течение срока, установленного ФЗ РФ об архивном деле и архивах. С 2003 г. согласно новым поправкам срок хранения составляет 50 лет с момента поступления документа.
Исправление сбоя 0x800b010a
При возникновении данной проблемы электронная подпись станет недействительной, и подписать ею файл не получится. Сбой может произойти при различных условиях, от чего будет зависеть вариант решения.
Так как ошибка с кодом 0x800b010a и пояснением «Не удаётся построить цепочку сертификатов для доверенного корневого центра» или другим описанием, например, «Ошибка вычисления подписи», возникает из-за невозможности построения элементов, то основная задача заключается в проверке всех участвующих звеньев и восстановлении цепи. Рассмотрим подробнее, как исправить проблему разными способами, актуальными в том или ином случае.
ВАЖНО. На компьютере должна быть установлена версия системы не ниже Windows 7 и обеспечено стабильное интернет-подключение.
Проверка сроков
В некоторых случаях проблема спровоцирована истёкшим сроком действия сертификатов. Если вы своевременно не обновили их и не запросили свежие ключи, то решение заключается в просмотре сведений и выборе актуального на текущий момент сертификата. Для этого выбираем из списка нужный и жмём кнопку «Просмотр». Необходимые сведения доступны на вкладке «Общие». При необходимости обновляем, а в случае отсутствия доверия устанавливаем в корректную директорию. Невозможность отслеживания пути до доверенного центра говорит о нарушении общей цепи, вероятно, не установлены промежуточные сертификаты.
Проверка наличия основного ГУЦ
Если ошибка всё ещё беспокоит, переходим к следующему варианту устранения проблемы
Кроме проверки актуальности ключей, важно также убедиться в наличии основного ключа ПАК, являющегося первым и главным звеном в последовательной цепи сертификатов
Выполняем пошагово такие манипуляции:
- запускаем директории КриптоПРО, используя «Пуск», идём в раздел «Сертификаты»;
- здесь открываем «Текущий пользователь» – «Личное» – «Реестр» – «Сертификаты»;
- находим некорректный ключ (обычно проблемные объекты помечаются красным крестом), в его свойствах выберем пункт «Путь сертификации»;
- при отсутствии загружаем с официального ресурса (установить сертификат);
- инсталляция проходит стандартным образом посредством мастера установки, в ходе процедуры указываем хранилище для ключа – каталог «Доверенные корневые центры сертификации», после чего завершаем импорт, подтвердив действие;
- аналогичным методом проверяем ключ ПАК «УЦ 1 ИС ГУЦ» и «УЦ 2 ИС ГУЦ». При необходимости также можно скачать их с официального сайта, отправив в хранилище «Промежуточные центры сертификации».
ВАЖНО. Устанавливая сертификат Головного удостоверяющего центра, следует загрузить его в папку «Доверенные корневые центры сертификации», личный располагаем в каталоге «Личные», а прочие – в «Промежуточные центры сертификации».
Проверка CryptoPro
Если внутренний сбой не был устранён, можно попытаться выполнить переустановку КриптоПРО путём полного удаления софта с компьютера и установки свежей версии:
- переходим к оснастке «Панель управления» любым удобным способом, например, используя ярлык на рабочем столе (при наличии), из меню «Пуск» или с помощью консоли «Выполнить» (Win+R) и команды Control;
- выбираем пункт «Удаление программы» (раздел «Программы»);
-
находим в списке нужное приложение и жмём «Удалить», перезагружаем компьютер. Альтернативный вариант – использование оснастки «Параметры» (в Windows 10). В разделе «Система» здесь будет подраздел «Приложения и возможности», где по аналогии с «Панелью управления» можно найти программу и удалить нажатием соответствующей кнопки;
СОВЕТ. Ресурс КриптоПРО предлагает также загрузить специальную утилиту для очистки следов установки продуктов, рекомендуем воспользоваться и ею, после чего снова перезагрузить устройство и приступать к установке софта.
- на сайте КриптоПРО идём в Центр загрузки (раздел «Скачать») и выбираем подходящий дистрибутив. Загружаем и устанавливаем ПО стандартным образом.
При работе в тестовом режиме рекомендуем также проверить правильность указанного адреса службы штампов времени (TSP).
В решении проблем с функционированием программы КриптоПРО и прочих продуктов может также помочь поддержка на сайте cryptopro.ru/support.
Сертификаты – текущий пользователь
Данная область содержит вот такие папки:
- Личное > сюда попадают личные сертификаты (открытые или закрытые ключи), которые вы устанавливаете с различных рутокенов или etoken
- Доверительные корневые центры сертификации > это сертификаты центров сертификации, доверяя им вы автоматически доверяете всем выпущенным ими сертификатам, нужны для автоматической проверки большинства сертификатов в мире. Данный список используется при цепочках построения доверительных отношений между CA, обновляется он в месте с обновлениями Windows.
- Доверительные отношения в предприятии
- Промежуточные центры сертификации
- Объект пользователя Active Directory
- Доверительные издатели
- Сертификаты, к которым нет доверия
- Сторонние корневые центры сертификации
- Доверенные лица
- Поставщики сертификатов проверки подлинности клиентов
- Local NonRemovable Certificates
- Доверительные корневые сертификаты смарт-карты
В папке личное, по умолчанию сертификатов нет, если вы только их не установили. Установка может быть как с токена или путем запроса или импорта сертификата.
В мастере импортирования вы жмете далее.
далее у вас должен быть сертификат в формате:
- PKCS # 12 (.PFX, .P12)
- Стандарт Cryprograhic Message Syntax – сертификаты PKCS #7 (.p7b)
- Хранилище сериализованных сертификатов (.SST)
На вкладке доверенные центры сертификации, вы увидите внушительный список корневых сертификатов крупнейших издателей, благодаря им ваш браузер доверяет большинству сертификатов на сайтах, так как если вы доверяете корневому, значит и всем кому она выдал.
Двойным щелчком вы можете посмотреть состав сертификата.
Из действий вы их можете только экспортировать, чтобы потом переустановить на другом компьютере.
Экспорт идет в самые распространенные форматы.
Еще интересным будет список сертификатов, которые уже отозвали или они просочились.
Список пунктов у сертификатов для компьютера, слегка отличается и имеет вот такие дополнительные пункты:
- AAD Token Issue
- Windows Live ID Token
- Доверенные устройства
- Homegroup Machine Certificates
Думаю у вас теперь не встанет вопрос, где хранятся сертификаты в windows и вы легко сможете найти и корневые сертификаты и открытые ключи.
На каких флешках можно хранить ЭЦП
Можно производить запись ЭЦП на флешки:
- Стандартный USB-накопитель. Самое простое решение, которое не рекомендуется для хранения сертификатов из-за отсутствия дополнительной защиты. Это позволяет злоумышленникам легко перехватить ключ для получения доступа к зашифрованным файлам. Большинство удостоверяющих центров отказывает в такой услуге.
- Защищенный USB-накопитель. По своей структуре является той же USB-флешкой, но с дополнительными разделами во внутренней памяти. Чтобы получить доступ к таким участкам памяти, потребуется вводить пароль. Именно здесь и будет храниться электронная подпись. Такой уровень защиты является умеренным и позволит отразить лишь атаки неопытных хакеров.
- USB-токены, оснащенные криптопроцессором. Чаще всего их можно встретить под названием «Рутокен 1.0». Минусом такого способа хранения электронной подписи является использование закрытого ключа, из-за чего злоумышленник сможет украсть его уже с жесткого диска.
- USB-токен, который может самостоятельно сгенерировать ЭЦП. Чаще именуются как «Рутокен 2.0». Обладает полным набором положительных качеств стандартных USB-токенов, к чему добавляется возможность самостоятельной генерации открытых ключей, устанавливаемых на персональный компьютер. Получить доступ к защищенному разделу памяти можно только через криптопроцессор, из-за чего получение данных закрытого ключа третьим лицом невозможно.
Удостоверяющие центры, предоставляющие услуги высокого качества, производят записи электронных ключей исключительно на USB-токены. Только так клиент сможет получить усиленную защиту.