Содержание
- 1 Форум КриптоПро
- 2 Блог
- 3 Причина прекращения действия закрытого ключа
- 4 Как узнать срок действия закрытого ключа?
- 5 Экспорт закрытого ключа с сертификатом в формат PFX
- 6 Импорт закрытого ключа с сертификатом из формата PFX
- 7 Перенос контейнеров закрытых ключей и сертификатов CryptoPro
- 8 Введение
- 9 Копирование закрытого ключа через оснастку КриптоПро
- 10 Ошибка копирования контейнера
- 11 Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер
- 12 Онлайн курс Основы сетевых технологий
Форум КриптоПро
в 13:22:57(UTC)
Архив
в 22:51:11(UTC)
в 11:15:43(UTC)
в 12:46:39(UTC)
в 20:28:03(UTC)
в 10:28:25(UTC)
в 14:01:02(UTC)
в 12:33:52(UTC)
в 19:26:00(UTC)
в 15:24:48(UTC)
в 19:27:22(UTC)
в 18:52:38(UTC)
в 13:27:51(UTC)
| Atom Лента
Блог
Информация обновлена: 10.08.2019
Причина прекращения действия закрытого ключа
В CSP Крипто Про 4 версии, в отличии от 3 версии, есть ограничение на срок использования закрытого ключа. Вся суть этого неприятного сюрприза для владельца сертификата в том, что сертификат еще действует, а закрытый ключ уже нет. На закрытый ключ проецируется срок действия сертификата. Поскольку закрытый ключ генерируется за несколько дней или недель до создания сертификата, то соответственно закрытый ключ заканчивается раньше на несколько дней или недель. Как так то?!!!!!!! — была моя первая реакция. Но, к счастью, это можно победить.
Как узнать срок действия закрытого ключа?
В КриптоПро вкладка «Сервис» — кнопка «Протестировать» — кнопка «Обзор» — выбираем контейнер закрытого ключа который надо протестировать — кнопка «Далее» — вводим пароль от контейнера. В окне «Тестирование контейнера закрытого ключа» видим две разные даты. Если срок действия закрытого ключа 26 сентября уже наступил, то электронная подпись не работает, хотя сертификат действителен по 28 сентября.
Для продления закрытого ключа надо сделать экспорт сертификата и закрытого ключа в формат PFX и потом сделать установку из файла PFX.
Экспорт закрытого ключа с сертификатом в формат PFX
Формат PFX на сегодняшний день является единственным стандартным способом для хранения закрытых ключей и сертификатов в одном зашифрованном файле.
Файл PXF делаем с помощью КриптоПро. Вкладка «Сервис» — кнопка «Просмотреть сертификаты в контейнере».
Выбираем ключевой контейнер нажав на кнопку «Обзор».
В окне «Выбор ключевого контейнера» выбираем контейнер (он должен быть с установленным сертификатом, если сертификат не установлен, то вот инструкция как это сделать) и нажимаем «ОК».
В следующем окне нажимаем «Далее».
В следующем окне нажимаем кнопку «Свойства».
Далее — вкладка «Состав» — кнопка «Копировать в файл».
Нажимаем «Далее».
Выбираем «Да, экспортировать закрытый ключ», нажимаем кнопку «Далее».
Выбираем «Файл обмена личной информацией — PKCS #12 (.PFX)» и «Экспортировать все расширенные свойства», нажимаем «Далее».
Задаем пароль и нажимаем «Далее».
Нажимаем «Обзор» чтобы выбрать папку для нашего pxf файла.
Мне проще сохранить pxf файл на рабочем столе. Задаю имя и нажимаю «Сохранить».
Нажимаю «Далее».
Нажимаем «Готово».
Вводим пароль и нажимаем «ОК».
Экспорт успешно завершен.
В результате экспорта на рабочем столе получим такой файл.
Импорт закрытого ключа с сертификатом из формата PFX
Кликаем по файлу PFX и видим окно «Мастер импорта сертификатов», нажимаем «Далее».
В следующем окне нажимаем «Далее».
Вводим пароль от закрытого ключа, нажимаем «Далее».
Хранилище выбираем автоматически, нажимаем «Далее».
Нажимаем кнопку «Готово».
Далее будут стандартные запросы от КриптоПро — выбор носителя для хранения контейнера и пароли. При этом имя контейнера будет выглядеть как случайный набор символов. В финале увидим такое сообщение.
В результате вышеописанных действий срок действия закрытого ключа составит 1 год и 3 месяца от даты манипуляций с файлом PFX.
Перенос контейнеров закрытых ключей и сертификатов CryptoPro
Криптопровайдер КриптоПро на сегодняшний день является, пожалуй, самым популярным на рынке, по крайней мере в России. Я хочу рассказать, как быстро и удобно перенести большое количество контейнеров закрытых ключей CryptoPro и сертификатов к ним. Существует штатный механизм в самой программе, работает в ручном режиме и не подходит, когда надо перенести большое количество.
. Курс стоящий, все подробности читайте по ссылке. Есть бесплатные курсы.
Введение
Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это — банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим. Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме.
Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:
- Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
- Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.
Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.
Копирование закрытого ключа через оснастку КриптоПро
Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления
открыть оснастку CryptoPro
, перейти в раздел Сервис
и нажать Скопировать
.
Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.
Ошибка копирования контейнера
Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:
Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.
Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему.
Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Штатные возможности CryptoPro не позволяют скопировать закрытый ключ в файл.
Запускаем Internet Explorer, открываем его настройки и переходим на вкладку Содержание
. Там нажимаем на Сертификаты
.
Выбираем нужный сертификат и нажимаем Экспорт
.
Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом
» нет возможности выбрать ответ «Да, экспортировать закрытый ключ
«, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.
Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее
. В следующем меню ставьте все галочки, так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.
Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке, жмите Экспорт и выберите файл формата .CER.
Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него.
В итоге у вас должны получиться 2 файла с расширениями:
- .pfx
- .cer
Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам достаточно будет выбрать все параметры по-умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер.
Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.
Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер
В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже.
Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:
wmic useraccount where name='zerox' get sid
В данном случай zerox — имя учетной записи, для которой узнаем SID.
Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра и переходим в ветку:
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsUsersS-1-5-21-4126079715-2548991747-1835893097-1000Keys
где S-1-5-21-4126079715-2548991747-1835893097-1000 — SID пользователя, у которого копируем сертификаты. Выбираем папку Keys и экспортируем ее.
Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи.
Теперь нам нужно скопировать сразу все сертификаты. В Windows 7, 8 и 10 они живут в директории — C:UserszeroxAppDataRoamingMicrosoftSystemCertificatesMy
. Сохраняйте эту директорию.
Для переноса ключей и сертификатов нам надо скопировать на другой компьютер сохраненную ветку реестра и директорию с сертификатами My
. Открываем файл с веткой реестра в текстовом редакторе и меняем там SID пользователя со старого компьютера на SID пользователя нового компьютера. Можно прям в блокноте это сделать поиском с заменой.
После этого запускаем .reg файл и вносим данные из файла в реестр. Теперь скопируйте папку My с сертификатами в то же место в профиле нового пользователя. На этом перенос сертификатов и контейнеров закрытых ключей КриптоПро завершен. Можно проверять работу.
Я не раз пользовался этим методом, на текущий момент он 100% рабочий. Написал статью,чтобы помочь остальным, так как сам не видел в интернете подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя таковой получилась.
Онлайн курс Основы сетевых технологий
Теоретический курс с самыми базовыми знаниями по сетям
. Курс подходит и начинающим, и людям с опытом. Практикующим системным администраторам курс поможет упорядочить знания и восполнить пробелы. А те, кто только входит в профессию, получат на курсе базовые знания и навыки, без воды и избыточной теории. После обучения вы сможете ответить на вопросы:
- На каком уровне модели OSI могут работать коммутаторы;
- Как лучше организовать работу сети организации с множеством отделов;
- Для чего и как использовать технологию VLAN;
- Для чего сервера стоит выносить в DMZ;
- Как организовать объединение филиалов и удаленный доступ сотрудников по vpn;
- и многое другое.
Уже знаете ответы на вопросы выше? Или сомневаетесь? Попробуйте пройти тест по основам сетевых технологий. Всего 53 вопроса, в один цикл теста входит 10 вопросов в случайном порядке. Поэтому тест можно проходить несколько раз без потери интереса. Бесплатно и без регистрации. Все подробности на странице .