Решение всех проблем, связанных с паролем от ЭЦП: что делать, если забыл ПИН-код

Форум КриптоПро

Форум Темы Сообщения Последнее сообщение    Общие вопросы
Общие вопросы
 (15 просматривают)
Лицензирование, законодательство, юридическая значимость etc.
2,153 16,372 Про и Api  
Андрей ПисаревСегодня
в 15:35:41(UTC)
FAQ
Ответы на часто задаваемые вопросы
11 16 Где найти информацию по судебной практике с ЭЦП  
Юрий Маслов13.04.2012 16:44:44(UTC)
Работа в компании КриптоПро и не только
Вакансии и вопросы трудоустройства специалистов по информационной безопасности
Подфорумы:
Архив
53 116 Android разработчик  
Наталья Мовчан30.07.2019 16:48:34(UTC)
Изменения в продуктах КриптоПро
Описания вносимых изменений в продукты
25 154 Как обновить КриптоПро 3,9 до 4,0?  
Андрей Писарев29.04.2019 19:44:29(UTC)    Средства криптографической защиты информации
КриптоПро NGate
Обсуждение высокопроизводительного VPN-шлюза на базе протокола TLS
12 32 Существует ли инструкция по создания…  
Андрей Куликов10.09.2019 13:29:58(UTC)
Android
Продукты КриптоПро для платформы Google Android
93 498 Запретить загрузку тестовых сертификатов  
Евгений Афанасьев12.09.2019 12:32:07(UTC)
Apple
 (2 просматривают)
Продукты КриптоПро для платформ Apple (Mac OS, iOS)
442 3,266 Ошибки при задании пароля длиной более 8…  
Агафьин Сергей09.09.2019 12:14:57(UTC)
КриптоПро CSP и вирусы/антивирусы
 (1 просматривают)
Обсуждение проявлений вредоносного ПО
27 323 CryptoPro CSP (4 и 5) и Symantec Endpoint…  
Илья Харченко17.07.2019 8:52:51(UTC)
КриптоПро CSP 5.0
 (19 просматривают)
Высказываем пожелания к перспективному продукту
119 805  Крипто про 5 не устанавливается  
Андрей 321Вчера
в 22:51:11(UTC)
КриптоПро CSP 4.0
 (42 просматривают)
Обсуждение КриптоПро CSP 4.0
1,229 7,130 Помогите реализовать подобное?  
Максим КоллегинСегодня
в 16:47:30(UTC)
КриптоПро CSP 3.9
 (3 просматривают)
Обсуждение КриптоПро CSP 3.9
423 3,134  AstraLinux КриптоПро zakupki.gov.ru авторизация…  
two_oceansВчера
в 12:46:39(UTC)
КриптоПро CSP 3.6
 (1 просматривают)
Обсуждение КриптоПро CSP 3.6
2,261 14,044 Проблема с сертификатами корневыми и тд.  
Александр Лавник26.08.2019 12:05:41(UTC)
Linux, Solaris etc.
 (4 просматривают)
Продукты для *nix* платформ
445 2,973 Линукс.КриптоПро 4 R4.Не подписывает на…  
celigorСегодня
в 15:22:09(UTC)
КриптоПро JCP, JavaTLS
 (4 просматривают)
Обсуждение Java платформы
1,346 8,759  TLS с ГОСТ 2012 на JDK 1.8  
mor_crazy79Сегодня
в 15:54:39(UTC)
КриптоПро .NET
 (4 просматривают)
Криптография в .NET (ex-Sharpei)
652 4,806  Запрос к ГИС ЖКХ с ключом ГОСТ2012  
oleg_kashinВчера
в 14:01:02(UTC)
КриптоПро ЭЦП (усовершенствованная ЭЦП)
 (6 просматривают)
Обсуждение CAdES, Browser plug-in, TSP, OCSP etc.
1,265 9,040 удалили файлы сертификата  
zarechye_terСегодня
в 12:33:52(UTC)
КриптоПро PDF
 (2 просматривают)
Обсуждение КриптоПро PDF
178 1,304 Подписать документ пдф и отдельный файл с…  
Андрей ПисаревВчера
в 19:26:00(UTC)
КриптоПро EFS
Обсуждение КриптоПро EFS
12 50 Знакомство с EFS  
Дмитрий Пичулин12.04.2018 11:00:52(UTC)
КриптоПро IPsec
Обсуждение КриптоПро IPSec для Windows и других платформ
31 338  не работает ipsec на win10 сборка 1903  
Regis12.09.2019 14:17:24(UTC)
КриптоПро Office Signature
 (1 просматривают)
Обсуждение XMLDSig плагина для MS Office 2007/2010
98 633 Версия 1.0 не подписывает Office2007, а версия…  
Игорь Александрович19.08.2019 10:57:57(UTC)
КриптоПро DSS
 (2 просматривают)
Обсуждение КриптоПро DSS
104 652 Не открывается кабинет оператора DSS  
Грибанов АнтонСегодня
в 16:58:05(UTC)
КриптоПро SVS
Обсуждение сервиса проверки подписи
24 82 Снятие подписи  
Грибанов Антон05.09.2019 8:56:35(UTC)
Встраивание
 (1 просматривают)
CryptoAPI, CAPICOM
1,123 7,103 Изменение/сброс пароля через API  
Андрей ПисаревВчера
в 19:27:22(UTC)
Другие продукты
 (4 просматривают)
HSM, Winlogon, cryptcp, ЭЦП процессор etc.
466 3,566 WinHttpRequest и Zakupki.gov.ru и сертификаты с…  
Дмитрий ПичулинСегодня
в 16:21:50(UTC)
Open Source
 (1 просматривают)
Open Source продукты КриптоПро
37 342 Ошибка при установке защищенного соединения…  
Санчир Момолдаев06.09.2019 21:36:34(UTC)    КриптоПро УЦ
СМЭВ и ЕСИA
 (1 просматривают)
Вопросы подключения и передачи данных
22 241 КриптоПро Шлюз УЦ-СМЭВ  
Захар Тихонов17.09.2019 13:58:33(UTC)
КриптоПро УЦ 1.5
Обсуждение текущей версии КриптоПро УЦ
762 5,149  Ошибки на странице запроса сертификата  
thelearning27.08.2019 11:05:24(UTC)
КриптоПро УЦ 2.0
 (7 просматривают)
Обсуждение новой версии КриптоПро УЦ
654 5,978 Длинное значение CN  
Захар ТихоновВчера
в 13:27:51(UTC)
   Средства защиты информации
Secure Pack Rus
Средство защиты информации Secure Pack Rus
Нет сообщений    Устаревшие продукты
КриптоПро УЭК CSP
 (2 просматривают)
Обсуждение криптопровайдера для УЭК
53 790 Работа плагина для портала Госуслуг в Google…  
Русев Андрей03.02.2018 14:40:16(UTC)
КриптоПро CSP 3.0
 (1 просматривают)
Обсуждение КриптоПро CSP 3.0
791 4,186 В чем отличия KC1 и KC2 версий продукта  
Русев Андрей16.02.2018 21:48:38(UTC)
КриптоПро CSP 2.0, 1.1
Обсуждение КриптоПро CSP 2.0, 1.1
210 1,067 Перенос на другой компьютер  
aXiEd12.12.2016 11:52:19(UTC)
КриптоПро УЦ 1.4
Обсуждение предыдущих версий КриптоПро УЦ
432 2,462 Помогите разобраться с CERTUTIL  
dmitrygis13.12.2016 7:44:36(UTC) Отметить все форумы как прочитанные | RSS Лента
Atom Лента

Как восстановить пароль ЭЦП, если забыл его: ПИН-КОД по умолчанию

При установке ключа ЭЦП в операционную систему в первый раз необходимо ввести персональный пароль доступа. С его помощью открывается доступ к содержимому рутокена и программа (а именно — КриптоПро CSP) получает возможность с ним взаимодействовать. В будущем повторно этот PIN-код не запрашивается при использовании на том же ПК. А что делать, если код доступа был забыт или утерян? Как восстановить пароль ЭЦП?

Содержание

Как использовать персональный пароль

В большинстве удостоверяющих центров при выдаче USB-токенов на них устанавливают стандартный код доступа (он присваивается автоматически):

  • для рутокенов — это 12345678;
  • для eToken — 1234567890;
  • для смарт-карт (JaCarta) — 11111111.

Именно их и потребуется вводить при первом подключении носителя ключа сертификата к ПК и при последующей его установки в среду операционной системы. Естественно, пользователь на свое усмотрение в будущем может заменить пароль на любой другой с помощью КриптоПро CSP актуальной версии.

В некоторых же удостоверяющих центрах пароль ЭЦП по умолчанию устанавливают иной или вовсе генерируют случайный набор чисел. Его обязательно сообщают владельцу электронной подписи при выдаче токена.

Внимание!
Крайне важно сохранить данный код доступа, но при этом его не следует сообщать третьим лицам, так как они впоследствии смогут установить ключ сертификата на любой другой ПК и использовать ЭЦП без ведома его владельца.

При использовании токена на определенном компьютере пароль вводится только один раз. Далее он автоматически запоминается устройством (добавляется к установленному контейнеру), поэтому повторно его вводить уже не потребуется. Но если будет произведена переустановка ОС или замечено определенное оборудование в ПК, то установку придется выполнять повторно, для генерации ключа снова потребуется один раз ввести пароль.

Мнение эксперта
Михаил Житняков
Ведущий специалист по программному обеспечению
Важное замечание
: в некоторых удостоверяющих центрах пароль от ЭЦП по умолчанию устанавливают свой собственный. Следует у представителя УЦ уточнять эту информацию. К примеру, ранее так делали в «Контур» для всех рутокенов версии 2.0, позже — стали применять стандартные.

Как узнать ранее введенный пароль

Как узнать пароль ЭЦП, если ключ сертификата уже установлен в операционную систему? Для этого понадобится установленная и активированная программа КриптоПро CSP версии 3.6 или выше.

Выполняется это следующим образом:

  1. Зайти в директорию, куда была установлена программа КриптоПро CSP. Если путь установки не менялся, то основная папка приложения будет расположена в «Program Files» на диске, где установлена Windows.
  2. В папке с установленной программой необходимо найти файл с названием «csptest» — именно с помощью данной утилиты можно посмотреть пароль, закрепленный за установленным в систему сертификатом.
  3. Запустить утилиту, в открывшемся окне ввести cd «C:Program FilesCrypto ProCSP» (обязательно соблюдать регистр и пунктуацию).
  4. Ввести команду csptest -keyset -enum_cont -fqcn -verifycontext. Она выведет список всех установленных в систему контейнеров ЭЦП (если на ПК используется только одна подпись, то в списке будет единственный пункт).
  5. Ввести команду csptest -passwd -showsaved -container «». Вместо xxxxxxxx необходимо указать наименование контейнера, по которому пароль и нужно получить (с соблюдением синтаксиса и регистра). После нажатия клавиши Enter будет выведена информация о введенном при установке ключе пароля и иная сервисная информация.

Важно!
Этот метод работает только в том случае, если пользователь забыл какой пароль на ЭЦП использовался при его установке, но сам сертификат при этом уже был инсталлирован в операционную систему. Сам рутокен при этом не понадобится. А вот сбросить PIN-код по умолчанию таким образом не получится. Кстати, для выполнения данной процедры не обязательно иметь лицензированный КриптоПро. Достаточно просто установить данную программу без ввода лицензионного ключа.

Утилиту csptest можно скачать отдельно, она распространяется бесплатно в форме bat-файла. Однако полноценно работать она будет только при установленных КриптоПро CSP (так как использует их исполнительные файлы).

Что делать, если забыл пароль и сертификат не устанавливался

Если же сертификат в ОС не установлен или выполнялась переустановка Windows, но пароль для доступа к ЭП утерян, то следует попробовать воспользоваться вышеуказанными паролями по умолчанию. Если же и этот вариант не сработает, то воспользоваться своей электронной подписью пользователь уже не сможет. Ему потребуется повторно обращаться в удостоверяющий центр и регистрировать новый ЭЦП. То же самое следует выполнять, если носитель ключа сертификата был механически разрушен.

Можно ли как-то восстановить пароль от ЭЦП?

Мнение эксперта
Михаил Житняков
Ведущий специалист по программному обеспечению
Нет, такой возможности не предусмотрено. Это сделано для того, чтобы минимизировать риск компрометации электронной подписи третьими лицами. Даже если они завладеют самим токеном, то восстановить пароль к ЭЦП или сбросить его к «заводскому» у них не получится, так как такая возможность не предусмотрена даже на аппаратном уровне устройства. Сделать это можно только с помщью КриптоПро CSP и только с того компьютера, где ранее был установлен сертификат ЭЦП.

Как получит новый сертификат

Что делать если забыл пароль от ЭЦП и восстановить его невозможно? Повторно обращаться в удостоверяющий центр и выпускать новый сертификат. При этом ранее выданная подпись, независимо от срока её действия, будет аннулирована, при попытке подписать ею документ или пройти проверку подлинности ключа ничего не получится, так как на шлюзе Минкомсвязи ЭЦП будет считаться как недействительной. Соответственно, подписанные ею файлы не будут иметь юридическую силу.

Справка:
для выпуска новой ЭЦП можно использовать ранее выданный рутокен, покупать новый не обязательно.

Потребуется предоставить в удостоверяющий центр базовый набор документов:

  • паспорт;
  • ИНН;
  • СНИЛС;
  • выписка из реестра ФНС (только для предпринимателей).

Далее — все стандартно. Нужно будет оплатить стоимость выпуска нового сертификата, изготавливают его в течение 2 — 4 дней. После его получения можно его использовать для авторизации на сайтах портала Госуслуг.

Как изменить пароль по пин-коду администратора

Именно на USB-рутокенах предусмотрена возможность разблокировки и «обнуления» пароля с панели администратора КриптоПро CSP. Только после того, как будет установлен стандартный пароль ЭЦП потребуется также переустановить сертификаты, установленные в среду ОС.

Итак, разблокировка выполняется следующим образом:

  • запустить КриптоПро CSP из панели управления;
  • выбрать «Ввести PIN-код» (в закладке «Администрирование»);
  • выбрать «Администратор» и ввести код 87654321;
  • нажать «Ок», в появившемся окне — «Разблокировать».

После — будет установлен стандартный PIN-код. Но это сработает лишь в том случае, если PIN-код администратора не менялся с момента получения USB-рутокена. В некоторых удостоверяющих центрах данный PIN-код ставят другой — следует у них же и уточнять эту информацию. После разблокировки рутокена его стандартный пароль будет 12345678. Его же можно будет использовать для установки нового сертификата в Windows.

Эта процедура не позволит узнать какой пароль на ЭЦП по умолчанию использовался ранее, но дает возможность установить новый. Естественно, в дальнейшем его рекомендуется изменить.

Итого, как поменять пароль на ЭЦП если забыл? Если стандартные, используемые по умолчанию, не подходят, то изменить код удастся только на рутокенах, но только при наличии PIN-кода администратора. В остальных случаях узнать ранее введенный PIN-код можно только при установленном в ОС сертификате ЭЦП. В других ситуациях — токен будет заблокирован и восстановить его не получится, потребуется перевыпуск сертификата.

Перенос контейнеров закрытых ключей и сертификатов CryptoPro

Криптопровайдер КриптоПро на сегодняшний день является, пожалуй, самым популярным на рынке, по крайней мере в России. Я хочу рассказать, как быстро и удобно перенести большое количество контейнеров закрытых ключей CryptoPro и сертификатов к ним. Существует штатный механизм в самой программе, работает в ручном режиме и не подходит, когда надо перенести большое количество.

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую по программе, основанной на информации из официального курса MikroTik Certified Network Associate
. Курс стоящий, все подробности читайте по ссылке. Есть бесплатные курсы.

Введение

Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это — банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим. Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме.

Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:

  1. Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
  2. Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.

Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.

Копирование закрытого ключа через оснастку КриптоПро

Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления
открыть оснастку CryptoPro
, перейти в раздел Сервис
и нажать Скопировать
.

Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.

Ошибка копирования контейнера

Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:

Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.

Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему.

Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Штатные возможности CryptoPro не позволяют скопировать закрытый ключ в файл.

Запускаем Internet Explorer, открываем его настройки и переходим на вкладку Содержание
. Там нажимаем на Сертификаты
.

Выбираем нужный сертификат и нажимаем Экспорт
.

Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом
» нет возможности выбрать ответ «Да, экспортировать закрытый ключ
«, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.

Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее
. В следующем меню ставьте все галочки, так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.

Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке, жмите Экспорт и выберите файл формата .CER.

Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него.

В итоге у вас должны получиться 2 файла с расширениями:

  • .pfx
  • .cer

Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам достаточно будет выбрать все параметры по-умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер.

Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.

Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер

В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже.

Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:

wmic useraccount where name='zerox' get sid

В данном случай zerox — имя учетной записи, для которой узнаем SID.

Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра и переходим в ветку:

HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsUsersS-1-5-21-4126079715-2548991747-1835893097-1000Keys

где S-1-5-21-4126079715-2548991747-1835893097-1000 — SID пользователя, у которого копируем сертификаты. Выбираем папку Keys и экспортируем ее.

Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи.

Теперь нам нужно скопировать сразу все сертификаты. В Windows 7, 8 и 10 они живут в директории — C:UserszeroxAppDataRoamingMicrosoftSystemCertificatesMy

. Сохраняйте эту директорию.

Для переноса ключей и сертификатов нам надо скопировать на другой компьютер сохраненную ветку реестра и директорию с сертификатами My
. Открываем файл с веткой реестра в текстовом редакторе и меняем там SID пользователя со старого компьютера на SID пользователя нового компьютера. Можно прям в блокноте это сделать поиском с заменой.

После этого запускаем .reg файл и вносим данные из файла в реестр. Теперь скопируйте папку My с сертификатами в то же место в профиле нового пользователя. На этом перенос сертификатов и контейнеров закрытых ключей КриптоПро завершен. Можно проверять работу.

Я не раз пользовался этим методом, на текущий момент он 100% рабочий. Написал статью,чтобы помочь остальным, так как сам не видел в интернете подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя таковой получилась.

Онлайн курс Основы сетевых технологий

Теоретический курс с самыми базовыми знаниями по сетям
. Курс подходит и начинающим, и людям с опытом. Практикующим системным администраторам курс поможет упорядочить знания и восполнить пробелы. А те, кто только входит в профессию, получат на курсе базовые знания и навыки, без воды и избыточной теории. После обучения вы сможете ответить на вопросы:

  • На каком уровне модели OSI могут работать коммутаторы;
  • Как лучше организовать работу сети организации с множеством отделов;
  • Для чего и как использовать технологию VLAN;
  • Для чего сервера стоит выносить в DMZ;
  • Как организовать объединение филиалов и удаленный доступ сотрудников по vpn;
  • и многое другое.

Уже знаете ответы на вопросы выше? Или сомневаетесь? Попробуйте пройти тест по основам сетевых технологий. Всего 53 вопроса, в один цикл теста входит 10 вопросов в случайном порядке. Поэтому тест можно проходить несколько раз без потери интереса. Бесплатно и без регистрации. Все подробности на странице .

Помогла статья? Есть возможность отблагодарить автора

Ссылка на основную публикацию
Похожие публикации