Привет, друзья! Это наша третья статья о работе с программой КриптоПро и ЭЦП и в ней мы рассмотрим вопрос о том, как копировать с руТокена неэкспортируемый ключ электронной подписи на обычную флешку или в реестр операционной системы!

↑ Как копировать с руТокена неэкспортируемый ключ электронной подписи на обычную флешку или в реестр операционной системы

↑ Зачем переносить с руТокена ключ электронной подписи на обычную флешку или в реестр операционной системы

Если вы работали с ЭЦП, то наверняка знаете, что если при составления заявления на получение сертификата электронной подписи и закрытого ключа на ПОРТАЛе ЗАЯВИТЕЛЯ в Информационной системе "Удостоверяющего центра Федерального казначейства", вы не поставите галочку на пункте "Да. Экспортируемый закрытый ключ", то ваш сертификат электронной подписи и соответствующая ему ключевая пара на Рутокене или реестре операционной системы будет не экспортируемой. То есть, перенести на другой компьютер её простым способом с помощью Крипто-Про или Панели управления Рутокеном у вас не получится. Если ЭЦП будет заказывать неопытный человек, то он обязательно пропустит этот момент. Что касается выдачи ключей в ФНС, то там даже выбора нет и вам выдадут неэкспортируемую пару.

Это может быть очень неудобно и даже опасно в вашей работе, ведь придётся пускать за свой ПК другого человека, приведу простой пример. Обычно в организации работают несколько бухгалтеров, юристов и один специалист по закупкам, как правило, в течении дня кому-то может понадобится ЭЦП старшего бухгалтера для подписания какого-то электронного документа и если электронная подпись привязана к его компьютеру, то сделать это будет можно только на его ПК, то есть в течении дня ему несколько раз придётся освобождать своё рабочее место другому человеку. Если же его ЭП будет находиться на рутокене, то придётся постоянно передавать этот токен из рук в руки. Или главбуху понадобится подпись директора организации, опять же придётся садиться за его компьютер, тоже неудобно. Как быть? В этом случае можно перенести главбуху на его компьютер все необходимые электронные подписи.

Итак, рассмотрим всё на примере из жизни. К нашему ноутбуку подсоединена обычная флешка и Рутокен (синего цвета) с неэкспортируемой электронной подписью.

Запускаем Панель управления Рутокен, выбираем "Сертификаты", выделяем необходимый и жмём "Экспортировать".

Получаем сообщение "Ключевую пару, соответствующую сертификату, невозможно экспортировать через Панель управления Рутокен".

Если запустить КриптоПро CSP и выбрать вкладку "Сервис", затем "Скопировать", потом "Обзор", то наш ключ будет в разделе неэкспортируемых, соответственно кнопка "ОК" неактивна.

Многие не разобравшись до конца могут привести в пример утилиту CertFix.000032.exe, но и она вам именно здесь не поможет, хотя использовать мы её всё же будем во второй части статьи.

Как видим, в экспорте нам тоже отказано DENIED.

Жмём "Shift" на клавиатуре и щёлкаем правой мышью на "Экспорт", видим, что пункты "Сделать экспортируемым" неактивны.

↑ Перенос неэкспортируемого ключа электронной подписи на обычную флешку утилитой Tokens.exe

Утилита Tokens.exe произведёт перенос вашей ЭЦП на обычную флешку и уже затем мы перенесём электронную подпись в реестр вашей операционной системы. После первого запуска Tokens выдаст вам ошибку работы с рутокеном, поэтому нужно установить дополнительные компоненты в систему пройдясь по ссылкам или установите отдельно компоненты через установщик rtcomlite.000185.exe.

В главном окне программы Tokens будут отображены все подключенные к компьютеру токены и находящиеся на них электронные ключи. Выбираем нашу ЭЦП и жмём "Экспорт".

В открывшемся окне проводника выбираем диск или флешку, на которую мы хотим перенести электронный ключ, в нашем случае (E:), жмём ОК.

В данном окне изменяем имя нашей ЭЦП, к примеру, добавляем к названию слово "копия" и жмём ОК.

Теперь копия нашей электронной подписи находится на флешке (буква диска E:). В папке 2560 находятся в электронные ключи. 

Давайте посмотрим, увидит ли КриптоПро CSP копию нашей ЭЦП на флешке. Запускаем программу.

Да, КриптоПро CSP видит ЭЦП на токене и её копию на нашей флешке.

Друзья, на данном этапе мы создали копию нашей электронной подписи (в виде папки 2560 с ключами) на флешке и теперь мы можем переносить её на любой другой носитель информации, другую флешку или USB-диск или любой раздел обычного HDD, всё это понятно, но теперь вот такой вопрос. Как установить неэкспортированный ключ в реестр операционной системы? К примеру, попросит вас один сотрудник вашей организации установить ЭЦП второго сотрудника, с его разрешения, себе на компьютер. 

Запускаем Крипто-Про. Сервис ->Скопировать. Видим, что наша скопированная на флешку (диск E:) ЭЦП, как и оригинальная на токене, является неэкспортируемой.

↑ Перенос неэкспортируемого ключа электронной подписи в реестр Windows утилитой CertFix.000032.exe

Вот здесь нам и понадобится утилита CertFix.000032.exe.

Здесь меня могут поправить, что запускать нужно версию программы 1.1.27, да ещё при отключенном интернете, чтобы утилита не смогла автоматически обновиться до версии 1.1.28, но я уже давно использую обновлённую версию с включенным инетом и всё всегда получалось.

В главном окне программы находим нашу перенесённую на обычную флешку ЭЦП, видим что в экспорте отказано DENIED, но мы всё равно жмём "Shift" на клавиатуре и щёлкаем правой мышью на нашей ЭЦП, видим, что пункт "Сделать экспортируемым" активен, его и выбираем.

Теперь наша электронная подпись на флешке является экспортируемой и её можно перенести в реестр операционной системы любого компьютера.

В главном окне КриптоПро выбираем Сервис -> Скопировать.

Обзор.

Выделяем нашу ЭЦП и ОК.

Далее.

Готово.

Выбираем Реестр и ОК.

Я не назначал пароль, поэтому просто жму ОК.

Вот и всё! Наша электронная подпись скопирована в реестр.

Можно открыть КриптоПро и убедится в этом.

↑ Где в реестре находится электронный ключ ЭП

В реестре ваша подпись находится по пути:

Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\S-1-5-21-554005077-1236604879-1505408231-1001\Keys\Имя вашей ЭЦП

↑ Установка сертификата пользователя в хранилище личных сертификатов

Друзья, установили мы с вами электронный ключ ЭП в реестр и флешка нам больше не нужна, но такая подпись работать будет не на всех государственных порталах, к примеру на госуслугах https://www.gosuslugi.ru/ будет, а на https://sobi.cert.roskazna.ru нет. Давайте убедимся в этом.

Пуск ->Выполнить, вводим certmgr.msc и видим, что в хранилище личных сертификатов мы с вами не установили наш сертификат,

который нам выдали в казначействе.

Перейдём на https://www.gosuslugi.ru/ с помощью электронной подписи.

Выбираем нашу организацию.

Если устанавливали пин-код, то вводим его, если не устанавливали, то просто жмём "Продолжить без пин-кода".

Вот мы и вошли на госуслуги с помощью ЭЦП нашей организации (ключ ЭП находится только в реестре, но сертификат в хранилище не установлен).

Теперь пробуем войти на сайт казначейства https://sobi.cert.roskazna.ru и у нас это не получается, причина - отсутствие личного сертификата в хранилище.

Проверяем ещё одним способом. Входим в Яндекс браузер для организаций и пробуем сделать тестовую подпись с помощью плагина ЭЦП Browser Plug-in и в подтверждение моих слов получаем ответ, что при такой конфигурации не все приложения и порталы могут работать.

Кстати, установить сертификат мы можем в этом окне нажав на кнопку "Установить", но это было бы слишком просто поэтому предлагаю сделать это с помощью программы КриптоПро.

Устанавливаем сертификат с помощью программы КриптоПро.

Сам сертификат с расширением .cer для установки использовать не будем, так как информация о нём есть в контейнере закрытого ключа, который мы с вами установили в реестр.

Сервис ->Просмотреть сертификаты в контейнере.

Обзор.

Выбираем нашу ЭЦП в реестре и ОК.

Далее.

Установить.

Запускаем утилиту командной строки для управления сертификатами - certmgr.msc и видим в хранилище "Личное" установленный нами сертификат.

Входим на сайт казначейства под установленным нами сертификатом.

Теперь мы знаем, что при работе с электронной подписью квалифицированный сертификат этой подписи должен быть установлен в хранилище сертификатов нашей операционной системы.