Содержание
- 1 Форум КриптоПро
- 2 Как восстановить пароль ЭЦП, если забыл его: ПИН-КОД по умолчанию
- 3 Как использовать персональный пароль
- 4 Как узнать ранее введенный пароль
- 5 Что делать, если забыл пароль и сертификат не устанавливался
- 6 Можно ли как-то восстановить пароль от ЭЦП?
- 7 Как получит новый сертификат
- 8 Как изменить пароль по пин-коду администратора
- 9 Перенос контейнеров закрытых ключей и сертификатов CryptoPro
- 10 Введение
- 11 Копирование закрытого ключа через оснастку КриптоПро
- 12 Ошибка копирования контейнера
- 13 Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер
- 14 Онлайн курс Основы сетевых технологий
Форум КриптоПро
в 15:35:41(UTC)
Архив
в 22:51:11(UTC)
в 16:47:30(UTC)
в 12:46:39(UTC)
в 15:22:09(UTC)
в 15:54:39(UTC)
в 14:01:02(UTC)
в 12:33:52(UTC)
в 19:26:00(UTC)
в 16:58:05(UTC)
в 19:27:22(UTC)
в 16:21:50(UTC)
в 13:27:51(UTC)
| Atom Лента
Как восстановить пароль ЭЦП, если забыл его: ПИН-КОД по умолчанию
При установке ключа ЭЦП в операционную систему в первый раз необходимо ввести персональный пароль доступа. С его помощью открывается доступ к содержимому рутокена и программа (а именно — КриптоПро CSP) получает возможность с ним взаимодействовать. В будущем повторно этот PIN-код не запрашивается при использовании на том же ПК. А что делать, если код доступа был забыт или утерян? Как восстановить пароль ЭЦП?
Как использовать персональный пароль
В большинстве удостоверяющих центров при выдаче USB-токенов на них устанавливают стандартный код доступа (он присваивается автоматически):
- для рутокенов — это 12345678;
- для eToken — 1234567890;
- для смарт-карт (JaCarta) — 11111111.
Именно их и потребуется вводить при первом подключении носителя ключа сертификата к ПК и при последующей его установки в среду операционной системы. Естественно, пользователь на свое усмотрение в будущем может заменить пароль на любой другой с помощью КриптоПро CSP актуальной версии.
В некоторых же удостоверяющих центрах пароль ЭЦП по умолчанию устанавливают иной или вовсе генерируют случайный набор чисел. Его обязательно сообщают владельцу электронной подписи при выдаче токена.
Внимание!
Крайне важно сохранить данный код доступа, но при этом его не следует сообщать третьим лицам, так как они впоследствии смогут установить ключ сертификата на любой другой ПК и использовать ЭЦП без ведома его владельца.
При использовании токена на определенном компьютере пароль вводится только один раз. Далее он автоматически запоминается устройством (добавляется к установленному контейнеру), поэтому повторно его вводить уже не потребуется. Но если будет произведена переустановка ОС или замечено определенное оборудование в ПК, то установку придется выполнять повторно, для генерации ключа снова потребуется один раз ввести пароль.
: в некоторых удостоверяющих центрах пароль от ЭЦП по умолчанию устанавливают свой собственный. Следует у представителя УЦ уточнять эту информацию. К примеру, ранее так делали в «Контур» для всех рутокенов версии 2.0, позже — стали применять стандартные.
Как узнать ранее введенный пароль
Как узнать пароль ЭЦП, если ключ сертификата уже установлен в операционную систему? Для этого понадобится установленная и активированная программа КриптоПро CSP версии 3.6 или выше.
Выполняется это следующим образом:
- Зайти в директорию, куда была установлена программа КриптоПро CSP. Если путь установки не менялся, то основная папка приложения будет расположена в «Program Files» на диске, где установлена Windows.
- В папке с установленной программой необходимо найти файл с названием «csptest» — именно с помощью данной утилиты можно посмотреть пароль, закрепленный за установленным в систему сертификатом.
- Запустить утилиту, в открывшемся окне ввести cd «C:Program FilesCrypto ProCSP» (обязательно соблюдать регистр и пунктуацию).
- Ввести команду csptest -keyset -enum_cont -fqcn -verifycontext. Она выведет список всех установленных в систему контейнеров ЭЦП (если на ПК используется только одна подпись, то в списке будет единственный пункт).
- Ввести команду csptest -passwd -showsaved -container «». Вместо xxxxxxxx необходимо указать наименование контейнера, по которому пароль и нужно получить (с соблюдением синтаксиса и регистра). После нажатия клавиши Enter будет выведена информация о введенном при установке ключе пароля и иная сервисная информация.
Важно!
Этот метод работает только в том случае, если пользователь забыл какой пароль на ЭЦП использовался при его установке, но сам сертификат при этом уже был инсталлирован в операционную систему. Сам рутокен при этом не понадобится. А вот сбросить PIN-код по умолчанию таким образом не получится. Кстати, для выполнения данной процедры не обязательно иметь лицензированный КриптоПро. Достаточно просто установить данную программу без ввода лицензионного ключа.
Утилиту csptest можно скачать отдельно, она распространяется бесплатно в форме bat-файла. Однако полноценно работать она будет только при установленных КриптоПро CSP (так как использует их исполнительные файлы).
Что делать, если забыл пароль и сертификат не устанавливался
Если же сертификат в ОС не установлен или выполнялась переустановка Windows, но пароль для доступа к ЭП утерян, то следует попробовать воспользоваться вышеуказанными паролями по умолчанию. Если же и этот вариант не сработает, то воспользоваться своей электронной подписью пользователь уже не сможет. Ему потребуется повторно обращаться в удостоверяющий центр и регистрировать новый ЭЦП. То же самое следует выполнять, если носитель ключа сертификата был механически разрушен.
Можно ли как-то восстановить пароль от ЭЦП?
Как получит новый сертификат
Что делать если забыл пароль от ЭЦП и восстановить его невозможно? Повторно обращаться в удостоверяющий центр и выпускать новый сертификат. При этом ранее выданная подпись, независимо от срока её действия, будет аннулирована, при попытке подписать ею документ или пройти проверку подлинности ключа ничего не получится, так как на шлюзе Минкомсвязи ЭЦП будет считаться как недействительной. Соответственно, подписанные ею файлы не будут иметь юридическую силу.
Справка:
для выпуска новой ЭЦП можно использовать ранее выданный рутокен, покупать новый не обязательно.
Потребуется предоставить в удостоверяющий центр базовый набор документов:
- паспорт;
- ИНН;
- СНИЛС;
- выписка из реестра ФНС (только для предпринимателей).
Далее — все стандартно. Нужно будет оплатить стоимость выпуска нового сертификата, изготавливают его в течение 2 — 4 дней. После его получения можно его использовать для авторизации на сайтах портала Госуслуг.
Как изменить пароль по пин-коду администратора
Именно на USB-рутокенах предусмотрена возможность разблокировки и «обнуления» пароля с панели администратора КриптоПро CSP. Только после того, как будет установлен стандартный пароль ЭЦП потребуется также переустановить сертификаты, установленные в среду ОС.
Итак, разблокировка выполняется следующим образом:
- запустить КриптоПро CSP из панели управления;
- выбрать «Ввести PIN-код» (в закладке «Администрирование»);
- выбрать «Администратор» и ввести код 87654321;
- нажать «Ок», в появившемся окне — «Разблокировать».
После — будет установлен стандартный PIN-код. Но это сработает лишь в том случае, если PIN-код администратора не менялся с момента получения USB-рутокена. В некоторых удостоверяющих центрах данный PIN-код ставят другой — следует у них же и уточнять эту информацию. После разблокировки рутокена его стандартный пароль будет 12345678. Его же можно будет использовать для установки нового сертификата в Windows.
Итого, как поменять пароль на ЭЦП если забыл? Если стандартные, используемые по умолчанию, не подходят, то изменить код удастся только на рутокенах, но только при наличии PIN-кода администратора. В остальных случаях узнать ранее введенный PIN-код можно только при установленном в ОС сертификате ЭЦП. В других ситуациях — токен будет заблокирован и восстановить его не получится, потребуется перевыпуск сертификата.
Перенос контейнеров закрытых ключей и сертификатов CryptoPro
Криптопровайдер КриптоПро на сегодняшний день является, пожалуй, самым популярным на рынке, по крайней мере в России. Я хочу рассказать, как быстро и удобно перенести большое количество контейнеров закрытых ключей CryptoPro и сертификатов к ним. Существует штатный механизм в самой программе, работает в ручном режиме и не подходит, когда надо перенести большое количество.
. Курс стоящий, все подробности читайте по ссылке. Есть бесплатные курсы.
Введение
Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это — банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим. Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме.
Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:
- Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
- Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.
Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.
Копирование закрытого ключа через оснастку КриптоПро
Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления
открыть оснастку CryptoPro
, перейти в раздел Сервис
и нажать Скопировать
.
Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.
Ошибка копирования контейнера
Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:
Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.
Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему.
Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Штатные возможности CryptoPro не позволяют скопировать закрытый ключ в файл.
Запускаем Internet Explorer, открываем его настройки и переходим на вкладку Содержание
. Там нажимаем на Сертификаты
.
Выбираем нужный сертификат и нажимаем Экспорт
.
Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом
» нет возможности выбрать ответ «Да, экспортировать закрытый ключ
«, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.
Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее
. В следующем меню ставьте все галочки, так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.
Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке, жмите Экспорт и выберите файл формата .CER.
Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него.
В итоге у вас должны получиться 2 файла с расширениями:
- .pfx
- .cer
Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам достаточно будет выбрать все параметры по-умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер.
Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.
Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер
В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже.
Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:
wmic useraccount where name='zerox' get sid
В данном случай zerox — имя учетной записи, для которой узнаем SID.
Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра и переходим в ветку:
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsUsersS-1-5-21-4126079715-2548991747-1835893097-1000Keys
где S-1-5-21-4126079715-2548991747-1835893097-1000 — SID пользователя, у которого копируем сертификаты. Выбираем папку Keys и экспортируем ее.
Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи.
Теперь нам нужно скопировать сразу все сертификаты. В Windows 7, 8 и 10 они живут в директории — C:UserszeroxAppDataRoamingMicrosoftSystemCertificatesMy
. Сохраняйте эту директорию.
Для переноса ключей и сертификатов нам надо скопировать на другой компьютер сохраненную ветку реестра и директорию с сертификатами My
. Открываем файл с веткой реестра в текстовом редакторе и меняем там SID пользователя со старого компьютера на SID пользователя нового компьютера. Можно прям в блокноте это сделать поиском с заменой.
После этого запускаем .reg файл и вносим данные из файла в реестр. Теперь скопируйте папку My с сертификатами в то же место в профиле нового пользователя. На этом перенос сертификатов и контейнеров закрытых ключей КриптоПро завершен. Можно проверять работу.
Я не раз пользовался этим методом, на текущий момент он 100% рабочий. Написал статью,чтобы помочь остальным, так как сам не видел в интернете подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя таковой получилась.
Онлайн курс Основы сетевых технологий
Теоретический курс с самыми базовыми знаниями по сетям
. Курс подходит и начинающим, и людям с опытом. Практикующим системным администраторам курс поможет упорядочить знания и восполнить пробелы. А те, кто только входит в профессию, получат на курсе базовые знания и навыки, без воды и избыточной теории. После обучения вы сможете ответить на вопросы:
- На каком уровне модели OSI могут работать коммутаторы;
- Как лучше организовать работу сети организации с множеством отделов;
- Для чего и как использовать технологию VLAN;
- Для чего сервера стоит выносить в DMZ;
- Как организовать объединение филиалов и удаленный доступ сотрудников по vpn;
- и многое другое.
Уже знаете ответы на вопросы выше? Или сомневаетесь? Попробуйте пройти тест по основам сетевых технологий. Всего 53 вопроса, в один цикл теста входит 10 вопросов в случайном порядке. Поэтому тест можно проходить несколько раз без потери интереса. Бесплатно и без регистрации. Все подробности на странице .