Как копировать с руТокена неэкспортируемый ключ электронной подписи на обычную флешку или в реестр операционной системы

Категория: Программы
Добавил: access_timeОпубликовано: 13-07-2024 visibilityПросмотров: 6 632 chat_bubble_outlineКомментариев: 17
Как копировать с руТокена неэкспортируемый ключ электронной подписи на обычную флешку или в реестр операционной системы


Привет, друзья! Это наша третья статья о работе с программой КриптоПро и ЭЦП и в ней мы рассмотрим вопрос о том, как копировать с руТокена неэкспортируемый ключ электронной подписи на обычную флешку или в реестр операционной системы!


Как копировать с руТокена неэкспортируемый ключ электронной подписи на обычную флешку или в реестр операционной системы


Зачем переносить с руТокена ключ электронной подписи на обычную флешку или в реестр операционной системы

Если вы работали с ЭЦП, то наверняка знаете, что если при составления заявления на получение сертификата электронной подписи и закрытого ключа на ПОРТАЛе ЗАЯВИТЕЛЯ в Информационной системе "Удостоверяющего центра Федерального казначейства", вы не поставите галочку на пункте "Да. Экспортируемый закрытый ключ", то ваш сертификат электронной подписи и соответствующая ему ключевая пара на Рутокене или реестре операционной системы будет не экспортируемой. То есть, перенести на другой компьютер её простым способом с помощью Крипто-Про или Панели управления Рутокеном у вас не получится. Если ЭЦП будет заказывать неопытный человек, то он обязательно пропустит этот момент. Что касается выдачи ключей в ФНС, то там даже выбора нет и вам выдадут неэкспортируемую пару.

Это может быть очень неудобно и даже опасно в вашей работе, ведь придётся пускать за свой ПК другого человека, приведу простой пример. Обычно в организации работают несколько бухгалтеров, юристов и один специалист по закупкам, как правило, в течении дня кому-то может понадобится ЭЦП старшего бухгалтера для подписания какого-то электронного документа и если электронная подпись привязана к его компьютеру, то сделать это будет можно только на его ПК, то есть в течении дня ему несколько раз придётся освобождать своё рабочее место другому человеку. Если же его ЭП будет находиться на рутокене, то придётся постоянно передавать этот токен из рук в руки. Или главбуху понадобится подпись директора организации, опять же придётся садиться за его компьютер, тоже неудобно. Как быть? В этом случае можно перенести главбуху на его компьютер все необходимые электронные подписи.

Итак, рассмотрим всё на примере из жизни. К нашему ноутбуку подсоединена обычная флешка и Рутокен (синего цвета) с неэкспортируемой электронной подписью.



Запускаем Панель управления Рутокен, выбираем "Сертификаты", выделяем необходимый и жмём "Экспортировать".

Получаем сообщение "Ключевую пару, соответствующую сертификату, невозможно экспортировать через Панель управления Рутокен".

Если запустить КриптоПро CSP и выбрать вкладку "Сервис", затем "Скопировать", потом "Обзор", то наш ключ будет в разделе неэкспортируемых, соответственно кнопка "ОК" неактивна.



Многие не разобравшись до конца могут привести в пример утилиту CertFix.000032.exe, но и она вам именно здесь не поможет, хотя использовать мы её всё же будем во второй части статьи.

Как видим, в экспорте нам тоже отказано DENIED.

Жмём "Shift" на клавиатуре и щёлкаем правой мышью на "Экспорт", видим, что пункты "Сделать экспортируемым" неактивны.


Перенос неэкспортируемого ключа электронной подписи на обычную флешку утилитой Tokens.exe

Утилита Tokens.exe произведёт перенос вашей ЭЦП на обычную флешку и уже затем мы перенесём электронную подпись в реестр вашей операционной системы. После первого запуска Tokens выдаст вам ошибку работы с рутокеном, поэтому нужно установить дополнительные компоненты в систему пройдясь по ссылкам или установите отдельно компоненты через установщик rtcomlite.000185.exe.

В главном окне программы Tokens будут отображены все подключенные к компьютеру токены и находящиеся на них электронные ключи. Выбираем нашу ЭЦП и жмём "Экспорт".

В открывшемся окне проводника выбираем диск или флешку, на которую мы хотим перенести электронный ключ, в нашем случае (E:), жмём ОК.

В данном окне изменяем имя нашей ЭЦП, к примеру, добавляем к названию слово "копия" и жмём ОК.

Теперь копия нашей электронной подписи находится на флешке (буква диска E:). В папке 2560 находятся в электронные ключи. 

Давайте посмотрим, увидит ли КриптоПро CSP копию нашей ЭЦП на флешке. Запускаем программу.

Да, КриптоПро CSP видит ЭЦП на токене и её копию на нашей флешке.

Друзья, на данном этапе мы создали копию нашей электронной подписи (в виде папки 2560 с ключами) на флешке и теперь мы можем переносить её на любой другой носитель информации, другую флешку или USB-диск или любой раздел обычного HDD, всё это понятно, но теперь вот такой вопрос. Как установить неэкспортированный ключ в реестр операционной системы? К примеру, попросит вас один сотрудник вашей организации установить ЭЦП второго сотрудника, с его разрешения, себе на компьютер. 

Запускаем Крипто-Про. Сервис ->Скопировать. Видим, что наша скопированная на флешку (диск E:) ЭЦП, как и оригинальная на токене, является неэкспортируемой.


Перенос неэкспортируемого ключа электронной подписи в реестр Windows утилитой CertFix.000032.exe

Вот здесь нам и понадобится утилита CertFix.000032.exe.

Здесь меня могут поправить, что запускать нужно версию программы 1.1.27, да ещё при отключенном интернете, чтобы утилита не смогла автоматически обновиться до версии 1.1.28, но я уже давно использую обновлённую версию с включенным инетом и всё всегда получалось.

В главном окне программы находим нашу перенесённую на обычную флешку ЭЦП, видим что в экспорте отказано DENIED, но мы всё равно жмём "Shift" на клавиатуре и щёлкаем правой мышью на нашей ЭЦП, видим, что пункт "Сделать экспортируемым" активен, его и выбираем.

Теперь наша электронная подпись на флешке является экспортируемой и её можно перенести в реестр операционной системы любого компьютера.

В главном окне КриптоПро выбираем Сервис -> Скопировать.

Обзор.

Выделяем нашу ЭЦП и ОК.

Далее.

Готово.

Выбираем Реестр и ОК.

Я не назначал пароль, поэтому просто жму ОК.

Вот и всё! Наша электронная подпись скопирована в реестр.

Можно открыть КриптоПро и убедится в этом.


Где в реестре находится электронный ключ ЭП

В реестре ваша подпись находится по пути:

Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\S-1-5-21-554005077-1236604879-1505408231-1001\Keys\Имя вашей ЭЦП


Установка сертификата пользователя в хранилище личных сертификатов

Друзья, установили мы с вами электронный ключ ЭП в реестр и флешка нам больше не нужна, но такая подпись работать будет не на всех государственных порталах, к примеру на госуслугах https://www.gosuslugi.ru/ будет, а на https://sobi.cert.roskazna.ru нет. Давайте убедимся в этом.

Пуск ->Выполнить, вводим certmgr.msc и видим, что в хранилище личных сертификатов мы с вами не установили наш сертификат,

который нам выдали в казначействе.

Перейдём на https://www.gosuslugi.ru/ с помощью электронной подписи.

Выбираем нашу организацию.

Если устанавливали пин-код, то вводим его, если не устанавливали, то просто жмём "Продолжить без пин-кода".

Вот мы и вошли на госуслуги с помощью ЭЦП нашей организации (ключ ЭП находится только в реестре, но сертификат в хранилище не установлен).

Теперь пробуем войти на сайт казначейства https://sobi.cert.roskazna.ru и у нас это не получается, причина - отсутствие личного сертификата в хранилище.

Проверяем ещё одним способом. Входим в Яндекс браузер для организаций и пробуем сделать тестовую подпись с помощью плагина ЭЦП Browser Plug-in и в подтверждение моих слов получаем ответ, что при такой конфигурации не все приложения и порталы могут работать.

Статус: Действителен
Установлен в хранилище: Нет. При такой конфигурации не все приложения и порталы могут работать
Установить

Кстати, установить сертификат мы можем в этом окне нажав на кнопку "Установить", но это было бы слишком просто поэтому предлагаю сделать это с помощью программы КриптоПро.

Устанавливаем сертификат с помощью программы КриптоПро.

Сам сертификат с расширением .cer для установки использовать не будем, так как информация о нём есть в контейнере закрытого ключа, который мы с вами установили в реестр.

Сервис ->Просмотреть сертификаты в контейнере.

Обзор.

Выбираем нашу ЭЦП в реестре и ОК.

Далее.

Установить.

Запускаем утилиту командной строки для управления сертификатами - certmgr.msc и видим в хранилище "Личное" установленный нами сертификат.

Входим на сайт казначейства под установленным нами сертификатом.

Теперь мы знаем, что при работе с электронной подписью квалифицированный сертификат этой подписи должен быть установлен в хранилище сертификатов нашей операционной системы

tagsКлючевые слова
     Рекомендуем другие статьи по данной теме
Ctrl
Enter
Заметили ошибку
Выделите и нажмите Ctrl+Enter

Добавить комментарий

Комментарии (17)

  1. img
    7 сентября 2024 08:52 admin
    Администратор

    а вы почему интересуетесь, работаете с КриптоПро?

    Цитировать replyОтветить
  2. img
    7 сентября 2024 08:45 fomka

    Если У Вас остались, выложите куда-нибудь, пожалуйста. 

    Цитировать replyОтветить
  3. img
    7 сентября 2024 08:07 admin
    Администратор
    утилиты Tokens.exe и  CertFix.000032.exe откуда скачивали?

    я уж не помню, давно дело было.

    Цитировать replyОтветить
  4. img
    7 сентября 2024 07:10 fomka

    Добрый день!  admin, утилиты Tokens.exe и  CertFix.000032.exe откуда скачивали? Это же нестандартные от Рутокена?

    В инете они есть, просто не хотелось бы вирусов наловить.

    Цитировать replyОтветить
  5. img
    16 августа 2024 16:14 admin
    Администратор

    Об этом тоже постараюсь написать.

    Цитировать replyОтветить
  6. img
    16 августа 2024 12:26 Гость Алексей
    Гость

    Добрый день! 

    К сожалению этот способ подходит только для Рутокен Lite.

    С джакарт и есмарт и другие нужно делать иначе.

    Цитировать replyОтветить
  7. img
    15 августа 2024 09:41 Дмитрий
    Гость

    c Rutoken 2.0 не работает вроде как.

    Цитировать replyОтветить
  8. img
    18 июля 2024 12:19 admin
    Администратор

    Можно, напишу статью.

    Цитировать replyОтветить
  9. img
    17 июля 2024 13:57 Даниил
    Гость

    Как скопировать ключ ЭЦП на другой компьютер без КриптоПро?

    Цитировать replyОтветить
  10. img
    15 июля 2024 17:01 admin
    Администратор

    Да.

    Цитировать replyОтветить
  11. img
    15 июля 2024 17:01 Даниил
    Гость

    В конце статьи вы устанавливаете сертификат пользователя в хранилище личных сертификатов не имея самого файла сертификата с расширением .cer, то есть, прямо из контейнера закрытого ключа, который есть в реестре?

    Цитировать replyОтветить
  12. img
    14 июля 2024 11:00 admin
    Администратор

    Вы говорите, что без установленного сертификата в личном хранилище подпись работать не будет, но я бы сказал по другому, подпись работать будет, просто не на всех порталах, к примеру на госуслугах будет, но я дополню статью.

    Цитировать replyОтветить
  13. img
    14 июля 2024 10:59 vw7ks1id5o
    Гость

    Думаю в конец этой статьи нужно добавить пару скринов о внесении личного сертификата в хранилище сертификатов, потом открыть Яндекс Браузер и сделать тестовую подпись с помощью ЭЦП, тогда статья будет законченной.

    Цитировать replyОтветить
  14. img
    13 июля 2024 21:03 admin
    Администратор

    Да, я согласен, хотел продолжить в следующей статье.

    Цитировать replyОтветить
  15. img
    13 июля 2024 21:01 vw7ks1id5o
    Гость

    У вас такая подпись работать не будет, так как вы забыли установить сертификат в хранилище. Проверьте работу подписи в браузере, выйдет ошибка: 

    "Установлен в хранилище: Нет. При такой конфигурации не все приложения и порталы могут работать. Установить".

    Если нажать "установить", то сертификат установится в хранилище и всё, можно работать. Или установите сертификат с помощью КриптоПро.

    Цитировать replyОтветить
  16. img
    12 июля 2024 20:57 admin
    Администратор

    Да.

    Цитировать replyОтветить
  17. img
    12 июля 2024 15:32 Erik 91
    Гость

    Если я скопирую не экспортируемую пару с руТокена на обычную флешку с помощью проги Tokens, потом к другому компьютеру подсоединю эту флешку и другой компьютер увидит эту пару? Установленная на другом ПК Криптопро увидит скопированную ЭЦП?

    Цитировать replyОтветить