Неэкспортируемые контейнеры крипто про как перенести

Не каждый владелец электронной подписи захочет передавать свои данные, записанные на специальный носитель, сотруднику или стороннему специалисту, чтобы тот выполнял действия от его имени. В этом случае поможет копия подписи, полученной в ФНС. Стандартные способы переноса данных здесь не помогут, но варианты решения все-таки есть. Подробности читайте в статье.

1. Можно ли скопировать неэкспортируемую ЭП от ФНС? 2. Копирование подписи с рутокена 3. Копирование сертификата с Рутокена через КриптоПРО 4. Копирование ЭП через функционал Windows 5. Копирование ЭП из реестра 6. Запись контейнера на рутокен с другого устройства 7. Заключение

Из нашей статьи вы узнаете:

Для работы с электронной подписью (ЭП) требуется настроенное рабочее место. Для этого на ПК устанавливают средство криптографической защиты информации (СКЗИ). Такая программа создаёт ЭП и шифрует передаваемые данные. Также с её помощью можно перенести электронную подпись на другой компьютер. Одним из самых популярных СКЗИ является отечественная программа КриптоПро CSP от компании Cryptopro.

Купить подходящую лицензию КриптоПро рекомендуем в нашем интернет-магазине. Оставьте короткую заявку, для бесплатной консультации специалиста.

В статье подробно рассмотрим, как перенести сертификат электронной подписи на другой компьютер несколькими способами.

Форум КриптоПро

Средства криптографической защиты информации

КриптоПро CSP 4.0

Экспорт контейнера, который при создании не был помечен как экспортируемый

Важное замечание

Для корректного экспорта ключа в pfx файл на рабочем месте должен быть установлен только ViPNet CSP.

Для корректного импорта ключа из pfx файла на рабочем месте должен быть установлен только КриптоПро CSP.

Если перенос ключа выполняется на одном и том же компьютере, то вначале вам необходимо создать pfx файл ключа согласно приложенной инструкции, после этого удалить ViPNet CSP, перезагрузить ПК, установить КриптоПро CSP и выполнить импорт ключа.

1. В окне «ViPNet CSP» в разделе «Контейнеры ключей» выберите контейнер ключей, содержащий сертификат или сертификат и закрытый ключ, которые вы хотите экспортировать. Нажмите кнопку «Свойства» либо дважды щелкните нужный контейнер ключей.

2. В окне «Свойства контейнера ключей» нажмите кнопку «Открыть».

3. В окне «Сертификат» перейдите на вкладку «Состав» и нажмите кнопку «Копировать в файл».

4. На странице приветствия мастера экспорта сертификатов нажмите кнопку «Далее».

5. На странице «Экспортирование закрытого ключа» укажите, что хотите вместе с сертификатом экспортировать закрытый ключ.

6. На странице «Формат экспортируемого файла» выберите формат PKCS #12 (.PFX).

7. На странице «Пароль» задайте и подтвердите пароль доступа к экспортируемому закрытому ключу.

8. На странице «Имя файла экспорта» укажите папку, в которой вы хотите создать файл с экспортируемыми ключами, и задайте имя этого файла.

9. На странице завершения работы мастера экспорта сертификатов нажмите кнопку «Готово».

В результате сертификат с закрытым ключом будут сохранены в файл.

Для установки pfx файла необходимо использовать «Инструменты КриптоПро».

1. Запустите «Инструменты КриптоПро» (Пуск – Все программы – КриптоПро — Инструменты КриптоПро).

2. В разделе «Сертификаты» включите расширенные настройки кнопкой «Показать расширенные».

3. Импортируйте ключ нажав на кнопку «Импортировать ключи».

4. В открывшемся окне укажите путь к pfx файлу, а затем пароль к нему.

5. В предложенном списке выберите носитель, на котором будет сохранен контейнер закрытого ключа.

В случае если контейнер в «ViPNet CSP» был создан на Рутокен ЭЦП никаких действий для конвертирования не требуется. Данные контейнеры сразу корректно отображаются в «КриптоПро CSP 5.0».

А. Копирование контейнера закрытого ключа на USB-флеш-накопитель.

Перед тем как запустить утилиту Tokens.exe проверил тип носителя контейнера с «неэкспортируемым ключем», т.к. на текущий момент имеются следующие экспериментальные сведения о поддерживаемых утилитой Tokens.exe типах носителей: Рутокен (старый несертифицированный), Рутокен S, Рутокен Lite — поддерживаются; Рутокен ЭЦП 2.0, JaCarta LT, ESMART Token ГОСТ — не поддерживаются. У меня тип носителя был  Рутокен Lite.

Поэтому далее действовал по приведенным на порталах инструкциям.

1) Подключил Рутокен и чистый USB-флеш-накопитель к компьютеру. 
2) Запустил утилиту Tokens.exe.
  Если на данном шаге появилось вот такое сообщение:

Кликните по каждой ссылке (1.CAPICOM, 2.Компонент диагностики Рутокен, 3.Ресурсы СКБ Контура добавлены в надежные узлы, и произведена настройка надежной зоны) и установите эти компоненты .

3) У нужного контейнера нажал «Экспорт».

4) Для экспорта указал путь к USB-флеш-накопителю.

5) Переименовал контейнер. Имя можно задать любое, отличное хотя бы на 1 символ от исходного.
6) Вынул из системника Рутокен и оставил USB-флеш-накопитель

Б. Снятие флага «экспорт запрещён» в скопированном на USB-флеш-накопитель контейнере.

1) Отключил интернет.
2) Запустил утилиту CertFix.000032.exe, загрузился список сертификатов и напротив строки «Поиск» появилась надпись «Загрузка завершена».

3) В списке выделил свой сертификат — справа в колонке экспорта стоял DENIED, нажал Shift и правый(!) клик мышкой, появилось меню с опцией «сделать экспортируемым (файловая система)».
4) Кликнул на эту опцию и задал пароль (обязательно). Готово, ключ в контейнере на флешке приобрел статус «экспортируемый».

В. Копирование контейнера закрытого ключа с USB-флеш-накопителя в реестр.

Делается стандартными средствами через КриптоПро CSP. Можно посмотреть здесь: https://zakupki-32.ru/blog/na-styke-realnogo-i-virtualnogo/pri-podklyuchenii-po-rdp-k-udalennoy-mashine-brauzer-ne-vidit-rutoken.php

Г. Устанавливаем сертификат контейнера закрытого ключа в хранилище сертификатов.

Делается стандартными средствами через КриптоПро CSP: в меню «Сервис» нажать кнопку «Посмотреть сертификаты в контейнере», нажать на «Обзор», в открывшемся окне «Выбор ключевого контейнера» в «Списке ключевых контейнеров» выделить строку, где в столбце «Считыватель» указано «Реестр». Нажать «Ок».
Потом «Далее». В окне «Сертификат для просмотра» нажать «Свойства». В открывшемся окне «Сертификат» нажать «Установить сертификат» и поместить его в хранилище «Личное».

Есть насущный вопрос: как скопировать контейнер ЭЦП от удостоверяющего центра ФНС России в реестр?

Воспользовался утилитами tokens.exe и CertFix по инструкции. Контейнер из Рутокена я извлёк, но в реестр скопировать его не смог. Выскакивает сообщение о том, что контейнер не может быть скопирован, поскольку не установлен соответствующий флаг.

Кто каким образом смог преодолеть запрет на копирование контейнера в реестр?

А если не в реестр копировать, а на флешку, как раньше и потом установить в реестр, так не пробовали?

Пробовал. Не помогло.

При формировании заявки в УЦ можно поставить флажок на запрет копирования. Может быть у Вас тот самый случай. Обратитесь в техподдержку УЦ.

В техподдержку УЦ ФНС России? На предмет некопируемости контейнера выданного их УЦ сертификата? Это шутка?

Вот ведь хлопоты создали всем с этой неизвлекаемостью. И это ещё электронная подпись моя собственная. Я не представляю, как выкручиваются те, кто сейчас работает с электронными подписями клиентов. Ужас ужасный.

Именно тот случай. Всем известный. Это ЭЦП от УЦ ФНС России.

Чтобы извлекать ЭЦП выданные ФНС, то изначально нужно записывать на Рутокен Лайт, остальные варианты не извлекаемые, так что имейте ввиду, когда следующий раз будете покупать токен для ЭЦП ФНС.

Понял. Спасибо за информацию!

Не обязательно Lite. Рутокен S тоже легко копируется.

Не копируется. Или, по крайней мере, не так уж легко копируется. У меня как раз он.

Ну вы сами написали, что скопировали файловую систему. Если не получается запихать в реестр у вас, то скопируйте на флэшку и пользуйтесь с флэшки. Можно виртуальную флэшку подключить.
А так-то там простая инструкция есть в соседних топиках. Поиском по форуму найдите. Штуки 3-4 уже ветки на эту тему.

Да весь смысл в том, чтобы не пользоваться внешним носителем, ибо это неудобно: уже и USB-портов не хватает.

Не нашёл такую инструкцию. Нашёл другую (см. в начале темы), но она не сработала.

Похоже, не судьба. Мучение одно с этими USB-носителями: хоть обвешайся ими.

Спасибо за помощь!

Однако ссылка для загрузки этой версии указанной утилиты не работает.

Попробуйте тут https://wdho.ru/aebec5. Версия 32. Правда, я не очень опытный пользователь файлообменников, так что если не получится, пришлите адрес почты в личку, отправлю.

Кстати, везде пишут, что при использовании утилиты надо отключать интернет, чтобы не обновилась.

В данном вопросе необходимо учить матчасть)))) и сделать верный выбор при покупке токена.

У Вас можно попросить программу токенс? Ее контур уже удалил.

Квалифицированная электронная подпись состоит из открытого и закрытого ключа. Обе составляющие создаются с помощью криптографических алгоритмов. Для работы с КЭП нужно использовать оба ключа — каждый из них выполняет свою функцию.

Что такое открытый ключ ЭЦП

Открытый ключ электронной подписи представляется в виде электронного сертификата или бумажного документа. Сертификат выдаётся только удостоверяющим центром и содержит информацию, которая используется для проверки подписи владельца и шифрования данных.

Открытый ключ можно использовать для работы с партнёрами, в отличие от закрытого, который хранится в защищённом месте. Контрагенты могут использовать открытый ключ владельца для шифрования данных, которые ему посылают. Это означает, что после отправки этих данных, получить доступ к ним сможет только владелец закрытой части ключа.

Сертификат содержит в себе следующие данные:

• срок действия сертификата;
• реквизиты удостоверяющего центра;
• ФИО владельца сертификата;
• название криптографического алгоритма;

Электронный сертификат виден на обычных носителях в виде файла с расширением .cer, а на защищённых картах Рутокен, eToken и JaCarta он скрыт. Чтобы увидеть скрытый сертификат, его необходимо экспортировать.

Инструкция как экспортировать открытый ключ

Экспортировать открытый ключ электронной подписи можно через свойства обозревателя либо из криптопровайдера КриптоПро CSP. При этом носитель с ключом должен быть подключён к компьютеру.

Экспорт открытого ключа через свойства обозревателя

2. Перейдите на вкладку «Содержание» и нажмите на кнопку «Сертификаты».

3. В списке выберите нужный сертификат, щёлкнув по его названию, и нажмите кнопку «Экспорт».

4.В окне «Мастер экспорта сертификатов» нажмите кнопку «Далее», затем «Нет, не экспортировать закрытый ключ» и снова «Далее».

5. В окне «Формат экспортируемого файла» выберите «Файлы в DER-кодировке X.509 (.CER)» и нажмите кнопку «Далее».

Экспорт открытого ключа из КриптоПро CSP

2. Перейдите на вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере».

4. В окне «Сертификат для просмотра» нажмите кнопку «Свойства».

5. Перейдите на вкладку «Состав» и нажмите кнопку «Копировать в файл».

6. В окне «Мастер экспорта сертификатов» нажмите кнопку «Далее», затем «Нет, не экспортировать закрытый ключ» и снова «Далее».

7. В окне «Формат экспортируемого файла» выберите «Файлы в DER-кодировке X.509 (.CER)» и нажмите кнопку «Далее».

Что такое закрытый ключ ЭЦП

Закрытый ключ представлен в виде уникального набора символов, которые используются криптографическим алгоритмом для создания защищённой части электронной подписи.

Владелец электронной подписи использует именно закрытую часть для подписания электронных документов. Любой, кто получает доступ к закрытому ключу электронной подписи, может им воспользоваться. Поэтому его хранят на защищённых носителях: смарт-карте, токене, USB-носителе или дискете.

Хранить закрытый ключ можно на компьютере, однако это небезопасно — воспользоваться им сможет любой, кто имеет доступ к компьютеру. Самым защищённым носителем считается смарт-карта, так как на ней используется двухфакторная аутентификация.

Как и в случае с сертификатом, закрытый ключ может быть как скрыт так и виден, в зависимости от носителя. Он представлен в виде папки, которая содержит несколько файлов с расширением .key, поэтому закрытый ключ также называют контейнером. Скрытый контейнер с закрытым ключом нужно экспортировать, чтобы получить к нему прямой доступ.

Инструкция как экспортировать закрытый ключ

Выполнять экспорт закрытого ключа электронной подписи можно из криптопровайдера КриптоПро CSP.

• Перейдите на вкладку «Сервис» и нажмите на кнопку «Скопировать контейнер».
• Если вы копируете закрытый ключ с защищённого носителя, введите pin-код.
• Введите название копии закрытого ключа и нажмите «Готово».
• В окне «Выбор ключевого носителя» выберите носитель, на который будет произведено копирование контейнера с закрытым ключом.
• Установите пароль на контейнер. Несмотря на то что этот шаг необязательный, установка пароля обеспечит дополнительную защиту.

Открытый и закрытый ключи квалифицированной электронной подписи выполняют разные функции, но для работы нужны обе части. В некоторых случаях владельцу ЭЦП нужно сделать экспорт на другой носитель, воспользоваться он может как средствами Windows, так и криптопровайдером КриптоПро CSP.

Получается, лучше покупать Рутокен Лайт? С них как понимаю все нормально копируется?

ещё Рутокен S

Сбер выпускает подписи на Рутокен TLS — у кого был опыт копирование данной ЭЦП?

Добрый день! Дополню еще, не забудьте поставить пароль на флешку. А то я бился не мог понять почему не хочет видеть. А так по инструкции скопировал, всем спасибо!

Всем добрый день!

Вчера бухгалтеру позвонил сотрудник Контура и сказал, что с 1 июля 2022 года ввели санкции за использование ЭЦП из реестра, размещённого на компьютере, и что уже есть прецеденты.

Честно говоря, больше попахивает разводом, т.к. по итогам разговора на почту было прислано письмо о том, что можно получить ЭЦП, не посещая ФНС, а через Контур, — и приложен список филиалов, оказывающих данную услугу.

Но так как бухгалтер теперь нервничает, а у меня не получилось найти информацию, подтверждающую утверждения сотрудника Контура, прошу вашей помощи. Вдруг кто-то что-то об этом достоверно слышал (о введении санкций) или был участником «прецедентов».

Впервые слышу о таком. Какая-то чушь, как мне кажется.

Чушь,как сотрудник контура может увидеть с реестра подписывался или с токена?

Добрый день! Значит Рукетон покупать Lile. Программу токен. И что еще надо чтобы экспортировать эцп на пк.

А этот алгоритм не подойдет?​

Иногда случается так что необходимо перенести клиент-банк или другое разнообразное бухгалтерское и не очень ПО с одного компьютера на другой. В том случае когда в качестве криптопровайдера выступает СКЗИ Крипто-ПРО обычно проблем не возникает — СКЗИ имеет штатные средства копирования ключей. Но не всегда все гладко — в том случае, когда ключевой контейнер находится в реестре Windows, и при генерации ключа

не быларазрядность ОСSID

пользователя, блокнотом правим .reg файл(меняем SID и, если необходимо, путь к конечной ветке), и импортируем его в реестр.
Также этим методом очень удобно бекапить и клонировать ключи тогда, когда их много(например в аутсорс-бухгалтериях).
P.S. Не забывайте после переноса установить сертификаты из криптоконтейнеров в «Личные».

Добавление от Ghool

В крипто-про на контейнеры можно ставить пин-код.
А так же при вводе этого пин-кода можно поставить галочку «сохранить» — и в дальнейшем его вводить не придётся.
Иногда после этого пин-код благополучно забывают (что и произошло у нас в компании).

При копировании вышеописанным методом, контейнер остаётся защищён пин-кодом — а вот «сохранение» этого пин-кода не переносится на новый компьютер.

Что можно сделать в таком случае?

И вот после этого уже копируем ветку реестра на новый комп.

Кстати, что бы не мучаться с подменой SID — можно копировать сертификаты в контейнер компьютера а не пользователя, тогда они будут храниться тут:

Вот так и работаем с гемором. Возят туда/сюда.

То ли ещё будет.

Решили проблему другим способом:
Получили экспортируемый сертификат на токене и электронную доверенность в СБИС на гл. бухгалтера. Функционал тот же, только сертификат копируемый.

Решили проблему другим способом:
Получили экспортируемый сертификат на токене и электронную доверенность в СБИС на гл. бухгалтера. Функционал тот же, только сертификат копируемый.

экспортируемые — потому что не ФНС выдавала и не на гендира)

Добрый день. Есть ли у кого опыт, информация:

Вопрос ведь актуальный как минимум для бухгалтерских организаций (МЧД еще не везде работает), для сопровождающих торги и подобным.

Добрый день! При попытке перевыпустить сертификат на гендиректора сайт ФНС пишет ошибку:
«Личный кабинет юридического лица

Проверка носителя ключевой информации — Ошибка

Контейнер закрытого ключа должен находиться на устройстве, обеспечивающем неизвлекаемость.»
Что можно сделать? Рутокен тот же

При этом, на этот же носитель перевыпустили сертификат ИП (первично в налоговой получали два сертификата на один носитель, так как физлицо ИП и гендир ООО один и тот же)

Мастер переноса и импорта

После того как открылся «Мастер переноса и импорта», пользователю необходимо скопировать закрытый ключ:

• В приветственном окне нажать «Далее».
• Отметить пункт «Да, экспортировать закрытый ключ».
• Указать формат выгрузки — архив .pfx.
• Задать пароль и имя.
• Выбрать место хранения и нажать «ОК».
• После завершения операции нажать «Готово».

Для выгрузки открытого ключа используются те же способы, но на этапе подтверждения экспорта пользователю понадобится выбрать его отмену. После этого необходимо выполнить следующие шаги:

• Нажать «ОК».
• В появившемся списке указать формат — X.509 (.cer) в кодировке DEP и нажать «ОК».
• Задать имя и указать место для переноса файлов.

В памяти внешнего носителя должно появиться два файла: открытый ключ в формате .cer и закрытый ключ в формате .pfx.

Перенос сертификатов с одного компьютера на другой с помощью КриптоПро

Чтобы перенести сертификат закрытого ключа ЭП с помощью КриптоПро потребуется:

• Подключить к ПК внешний физический носитель, на который будет осуществляться перенос: флешку или жёсткий диск.
• Открыть панель управления и запустить КриптоПро CSP.
• Переключиться на вкладку «Сервис» и нажать «Скопировать».
• В открывшемся окне выбрать необходимый для экспорта сертификат и нажать «Ок».
• Вписать название для контейнера и нажать «Готово».
• В новом окне выбрать подключённый внешний носитель и подтвердить действие.
• Ключи сохраняются в файлах с расширением key. Далее потребуется перенести их с внешнего носителя на другой ПК.

Система не позволит пользователю перенести неэкспортируемый ключ. Если попытаться скопировать УКЭП, появится уведомление об ошибке.

Криптопро ошибка при копировании контейнера 0x8009000b

Добрый день! Уважаемые читатели и гости крупнейшего IP блога России pyatilistnik.org. В прошлый раз я вам рассказал, о том, как установить сертификат в реестр Windows . Сегодня я вам расскажу, каким образом вы можете выполнить перенос сертификата на другой компьютер, это очень частая и жизненная ситуация с которой сталкиваются многие системные администраторы. Захотелось с вами поделиться опытом, о массовом переносе контейнеров с закрытыми ключами, находящимися в области реестра Windows. Использовать мы будем как КриптоПРО, так и встроенные механизмы. Уверен будет интересно.

Выгрузка файлов на другой ПК

После переноса сертификатов и ключей на другой компьютер, потребуется настроить рабочее место. Для этого необходимо:

• Запустить файл двойным кликом.
• В «Мастере импорта сертификатов» нажать «Далее».
• Выбрать хранилище — «Текущий пользователь» или «Локальный диск».
• Нажать «Далее», потом «Обзор».
• Выбрать первый файл для импорта, ввести пароль доступа и нажать «Далее».
• Отметить пункт «Автоматически выбрать хранилище на основе типа сертификата».
• Нажать «Далее» и «Готово».

Второй файл устанавливается аналогичным образом.

Запись контейнера на рутокен с другого устройства

Для максимального обеспечения безопасности данных криптографию лучше всего хранить в реестре операционной системы или на защищенном токене.

Перед копированием контейнера необходимо убедиться, что рутокен открывается через КриптоПРО. Если носитель недоступен в программе, то нужно выполнить его настройки.

Если все в порядке, то выполняем следующие шаги:

• заходим в раздел «Сервис»;
• выбираем действие «Скопировать»;
• во вкладке «Обзор» выбираем необходимый контейнер и кликаем «Далее»;
• прописываем PIN;
• выбираем название контейнера, который записываем на накопитель;
• указываем пользовательский PIN-код рутокена;
• в разделе «Сервис» выбираем «Просмотреть сертификаты контейнера».

Необходимо перенести сертификат с накопителя в хранилище, чтобы иметь возможность работать в ЭП и подписывать документы. В разных обновлениях КриптоПРО потребуется либо просто нажать кнопку «Установить», либо перейти в «Свойства» и выбрать данное действие. После чего следуем подсказкам установочного мастера.

если сертификат уже использовался на ПК с другим накопителем, то его нужно стереть в хранилище.

Как удалить старый сертификат с помощью программы КриптоПРО CSP:

• после запуска ПО открываем раздел «Сервис»;
• нажимаем «Удалить»;
• указываем сертификат для его удаления;
• кликаем по клавише «Готово».

Действия будут аналогичны также для удаления неактуальных сертификатов и подписей, полученных в других УЦ.

АО «ТЭК-ТОРГ» Электронная торговая площадка

Перенос сертификатов КриптоПро на другой компьютер осуществляется по нескольким причинам:

• неисправность внутренних компонентов или программного обеспечения персонального компьютера;
• модернизация текущего оборудования;
• создание выделенного сервера для хранения сертификатов электронной подписи.

Важно! Контейнер закрытого ключа, который записан на токене, перенести не получится. Разрешено переносить только сертификаты ЭП и контейнеры, хранящиеся в реестре.

Выбрать подходящий токен для КЭП рекомендуем в нашем интернет-магазине. В каталоге представлены только сертифицированные модели токенов.

Перенос сертификатов КриптоПро из реестра

Осуществлять перенос лицензии КриптоПро вместе с ключами и сертификатами можно без использования СКЗИ. Делается это с помощью браузера Internet Explorer и консоли управления Microsoft. Алгоритм действий отличается, но заканчивается одинаковыми настройками в мастере импорта и экспорта.

Перенос сертификатов из реестра без КриптоПРО

Существуют методы экспортировать закрытый ключ и без изспользования утилиты КриптоПРО. Представим себе ситуацию, что у вас на него кончилась лицензия и вы не успели ее купить. Вам нужно сдать отчетность в СБИС. Вы развернули CryptoPRO на другом компьютере, так как он позволяет 3 месяца бесплатного использования, осталось для СБИС выполнить перенос сертификатов, которые у вас в реестре Windows.

У нас два варианта:

• Использование оснастки mmc-Сертификаты пользователя.
• Использование Internet Explore

Как открыть оснастку сертификаты я уже подробно рассказывал, посмотрите. Откройте там контейнер «Личное — Сертификаты». Если у вас в контейнере не один сертификат с одинаковым именем, такое может быть, то откройте сертификат в оснастке mmc и в КриптоПРО и сравните серийные номера сертификата.

В Internet Explore, откройте «Свойства браузера — Содержание — Сертификаты»

Теперь нам необходимо его экспортировать, в оснастке «Сертификаты», через правый клик, это можно сделать, в Internet Explorer, сразу видно кнопку, экспорт.

У вас откроется мастер переноса сертификатов, на первом шаге, просто нажимаем далее. После чего вас спросят, что вы хотите экспортировать, выбираем пункт «да, экспортировать закрытый ключ вместе с сертификатом»

Если ваш закрытый ключ запрещено экспортировать, то эта кнопка будет не активна, и можете сразу закрывать данный метод и переходить к следующему.

Следующим этапом в мастере экспорта сертификатов, вам необходимо выбрать формат выгрузки, это будет PFX архив.

Далее вы задаете обязательно пароль и указываете имя и место, где будите сохранять ваш переносимый контейнер с зарытым ключом в формате pfx.

Мастер экспорта сертификатов, выведет вам сводные данные, нажимаем «Готово».

Отрываем локацию, куда вы его выгрузили, и найдите свой pfx архив.

Теперь вам нужно еще выгрузить открытый ключ в формате cer, для этого так же зайдите в мастер экспорта, но на этот раз выберите «Нет, не экспортировать закрытый ключ».

Выберите формат файла «X.509 (.CER) в кодировке DEP», задайте ему имя и место сохранения. На выходе у вас появятся два файла.

Одни открытый ключ в формате cer и закрытый ключ в формате pfx. Этого набора вам будет достаточно, чтобы перенести сертификаты СБИС, Контура и остальных программ на другой компьютер.

Теперь перенесите эти файлы на другое рабочее место и просто запустите, через простой двойной клик. У вас откроется мастер импорта сертификатов, на первом окне выберите нужное вам хранилище, я в своем примере оставлю «Текущий пользователь».

На втором шаге проверяем импортируемый сертификат.

Указываем пароль, который задавали при выгрузке.

Оставляем автоматический выбор хранилища на основе типа сертификатов.

Готово. Со вторым файлом то же самое. После чего у вас будут перенесены нужные вам ключи и сам сертификат, можно работать.

Копирование подписи с рутокена

Рутокен – это особый накопитель, который вмещает в себя почти три десятка сертификатов электронной подписи в зависимости от объема памяти. На практике приходится пользоваться этим способом, когда необходимо перенести зашифрованную информацию о владельце ключа с одного носителя на другой или временно добавить в цифровое сервисное хранилище или на винчестер.

Руководитель может «раздвоить» ЭП для передачи сотруднику, наделенному полномочиями выполнять действия от лица организации.

Стандартные методы переноса фалов с носителя на компьютер здесь не помогут. Копирование получится выполнить только при наличии одного из считывателей из списка:

• рутокен;
• съемный диск любого образца;
• реестр ПК.

Если изначально криптографические средства ключа записаны на USB-носитель, то контейнер с сертификатом должен быть добавлен в корневую папку. Одновременно его можно использовать и для хранения других данных, но сторонняя информация должна «дружить» с контейнером и не препятствовать работе с подписью.

обычный USB-носитель следует использовать как временный вариант для хранения данных, т.к. он не обладает необходимой степенью защиты, и доступ к нему легко могут получить мошенники. Но как временный вариант для записи на него дополнительных фалов такой накопитель вполне подходит.

Как видите предпосылок и вариантов переноса сертификатов из реестра на другой компьютер, предостаточно.

Какие есть варианты по копированию контейнеров закрытых ключей?

• Если мы создаем единый терминал (Виртуальную машину), на которой будут коллективно работать пользователи, то можно произвести конвертирование физической тачки в виртуальную машину
• Если будет просто замена жесткого диска, то можно произвести его клонирование или перенос системы на SSD с помощью специальных утилит
• Можно воспользоваться утилитой КриптоПРО
• Воспользоваться экспортом из реестра Windows.

Перенос сертификатов КриптоПро на другой компьютер за минуту

Существует массовый перенос электронных подписей на другой ПК. Для этого в реестре создаётся точная копия ветки расположения файлов. Главное правило — оба компьютера должны иметь одну и ту же версию операционной системы Windows. Для этого необходимо:

Копирование ЭП через функционал Windows

Если параметры ключа изначально записаны на USB-носитель, то перенос данных можно выполнить в операционной системе традиционным способом – скопировать фалы на нужный считыватель. В папке находятся 6 фалов формата .key. Вы можете увидеть ключ с расширением keyName.cer, который переносить не обязательно.

Какие сертификаты можно экспортировать

Представленные способы подходят для ключей электронной подписи, которые имеют отметку «Экспортируемый». К ним относятся простые и неквалифицированные ЭП. Их используют для внутреннего электронного документооборота. Эти правила прописываются в учредительных документах компании. Для взаимодействия с партнёрами нужно заключать дополнительное соглашение. Сдавать отчётность в государственные органы с такой подписью нельзя.

Неэкспортированные ключи имеют усиленные квалифицированные электронные подписи (УКЭП). УКЭП равнозначна своему рукописному аналогу. Она подтверждает личность владельца и делает электронные документы юридически значимыми. С их помощью можно заключать различные сделки, участвовать в торгах, вести электронный документооборот с контрагентами и госслужбами без дополнительных соглашений. В зависимости от вида владельца УКЭП получают в разных удостоверяющих центрах.

Физическим лицам и работникам юридического лица выдают УКЭП в квалифицированных удостоверяющих центрах, которые имеют аккредитацию Минцифры.

Для решения повседневных задач и дистанционной работы с юридически значимыми документами рекомендуем квалифицированные ЭП от УЦ «Калуга Астрал». В каталоге представлены тарифы для физлиц и сотрудников организаций.

Индивидуальные предприниматели и руководители юридического лица могут получить УКЭП только в УЦ ФНС или у её доверенных лиц.

Для ускоренного выпуска квалифицированной ЭП юрлица и ИП рекомендуем воспользоваться услугой Получение КЭП в ФНС под ключ. Специалисты УЦ «Калуга Астрал» помогут сэкономить время на получение электронной подписи и настройку рабочего места, а пройти идентификацию и получить подпись вы сможете через филиалы нашего партнёра — доверенного лица ФНС УЦ «Основание».

Массовый перенос ключей и сертификатов CryptoPro на другой компьютер

Выше описанные методы хороши, когда у вас один или 5 ключиков в реестре, а как быть если их десятки. Помню лет 5 назад, когда я еще был младшим администратором, то я очень часто устанавливал электронные цифровые подписи главбуху, так как она работала в СБИС++ и сдавала там постоянно отчетность по огромному количеству организаций, по типу рога и копыта. Держать кучу токенов было не вариант, и для таких вещей у нее все хранилось в реестре и копия сертификатов была на флешке в сейфе. Флешку потом потеряли, встал вопрос сделать резервную копию всего и плюс обновить систему, в виду нового компьютера, на операционной системе Windows 8.1. ЭЦП было штук 50, а так как я ценю свое время, то и искал методы, выполнить это быстрее, к счастью я его нашел.

Заключался метод переноса сертификатов из реестра, в выгрузке веток и подмене SID значения, но обо всем по порядку. О том, как посмотреть SID пользователя и что это такое я рассказывал.

Открываете командную строку cmd и вводите команду:

Вот это S-1-5-21-551888299-3078463796-888888888-46162 и есть SID, вашей учетной записи. Теперь когда вы его знаете, то вам нужно выгрузить ваши закрытые ключи из реестра Windows. Для этого откройте вот такую ветку:

В контейнере Keys, вы найдете все ваши закрытые ключи от ЭЦП. С правой стороны вы увидите файлы: * header.key * masks.key * masks2.key * name.key * primary.key * primary2.key

Щелкаем правым кликом по контейнеру Keys и экспортируем его.

Сохраняем нашу ветку реестра с контейнерами закрытых ключей. Далее нам нужно скопировать открытые ключи, которые лежат по пути:

Не забывайте только подставить своего пользователя, эта папка может быть скрытой, поэтому включите скрытые папки и файлы в вашей ОС. Все содержимое этой папки вам нужно перенести на другой компьютер, только уже в папку другого, нужного пользователя.

Как только вы поместили на новом компьютере папку Key, вы можете перенести реестровую выгрузку. Сохраненный файл в формате reg, вы должны открыть в любом текстовом редакторе.

Как я показывал выше, определите SID нового пользователя, скопируйте его полностью и замените им значение в файле reg, я отметил это стрелками.

Все сохраняйте файл и запускайте его, у вас будет начат перенос сертификатов (закрытых ключей), подтверждаем действие.

Как видите импорт успешно завершен. Все теперь ваши закрытые и открытые ключи на месте и вы можете работать с вашими ЭЦП, и можно считать, что перенос сертификатов с одного компьютера на другой в массовом масштабе, осуществлен успешно. Если остались вопросы, то жду их в комментариях.

Копирование ЭП из реестра

При необходимости скопировать файлы с криптографией из реестра ПК первым делом нужно понять, в какой папке они содержатся. Путь к необходимому контейнеру будет отличаться в зависимости от версии операционной системы:

Далее следуйте инструкции:

• находим необходимую папку и кликаем по ней правой кнопкой мыши;
• в появившемся меню выбираем действие «Экспортировать»;
• даем название файлу и сохраняем его;
• записываем полученный файл на винчестер, который будет служить для вас рабочим местом;
• открываем полученный файл формата .reg (для этого используем «Блокнот» или альтернативную программку);
• изменяем в открытом файле SID* пользователя (чаще всего он находится в 3-й строке сверху);
• если копируем из версии ОС 32 бита в версию 64 бита, то добавляем после папки Software дополнительно Wow6432Node;
• нажимаем «Сохранить»;
• снова выделяем файл в реестре;
• в контекстном меню нажимаем строку «Слияние».

Если все сделано правильно, система уведомит об успешных изменениях в реестре. Если где-то была допущена ошибка, то проверьте корректность указанного пути к файлу.

Если все фалы легли ровно в реестр ПК, остается лишь добавить личный сертификат – это делается вручную с помощью программы КриптоПро CSP.

Инструкция по выгрузке личного сертификата с исходного ПК:

• заходим в настройки браузера и выбираем раздел «Содержание»;
• кликаем «Сертификаты»;
• выбираем искомый сертификат и запускаем экспортирование;
• нажимаем «Далее»;
• указываем действие не экспортировать закрытый ключ» и снова кликаем «Далее»;
• нас интересует формат сертификата в виде файла X.509 (.CER) с кодировкой DER;
• выбираем хранилище для сертификата и нажимаем «Сохранить».

Переносим файл на компьютер, который будет использоваться для работы:

• запускаемь КриптоПРО CSP и заходим в раздел «Сервис»;
• выбираем действие «Просмотреть сертификат в контейнере»;
• кликаем по клавише «Обзор»;
• в появившемся списке выделяем ранее записанный контейнер;
• нажимаем «Установить» в появившемся окне «Сертификаты в контейнере закрытого ключа»;
• если все выполнено верно, то система уведомит об успешном результате. Подтверждаем – «Ок».

Перенос сертификатов на другой компьютер можно осуществить через:

• СКЗИ КриптоПро;
• браузер Internet Explorer;
• реестр Windows.

Копирование закрытого ключа из КриптоПро

Это самый простой способ, и будет актуальным при небольшом количестве контейнеров с закрытыми ключами. Чтобы выполнить перенос сертификатов из реестра, откройте ваш КриптоПРО, вкладка «Сервис», нажимаем кнопку «Сервис», далее через кнопку «Обзор», откройте «Выбор ключевого контейнера» и укажите, какой сертификат вы будите переносить. В моем примере это контейнер «Копия сертификата в реестре (Семин Иван)».

Нажимаем «Далее», вас попросят задать новое имя контейнера с закрытым ключом, введите понятное для себя, для удобства.

У вас откроется окно с выбором носителей, вы можете выбрать либо токен, либо флешку для переноса на другое место. У меня это внешний жесткий диск Z:.

Задаем обязательно пароль, с точки зрения безопасности, так как файлы в таком виде просто скомпрометировать.

Все, на выходе я получил папку со случайным названием и набором ключей в формате key.

Связана такая ситуация, что в целях псевдобезопасности, удостоверяющие центры выпускают закрытые ключи без возможности экспорта, и таким образом увеличивают свою прибыль, так как в случае утери или поломки токена, вам придется его перевыпускать, а так как экспорт запрещен, то бэкапа вы сделать не сможете.

Копирование сертификата с Рутокена через КриптоПРО

Скопировать подпись ФНС с рутокена можно с помощью сервиса КриптоПРО CSP. Выполните следующие действия:

• открываем панель управления ПК, найдите программу КриптоПРО CSP и нажмите «Пуск»;
• переходим в раздел «Сервис»;
• кликаем «Просмотреть сертификаты в контейнере»;
• выбираем интересующий ключевой носитель во вкладке «Обзор»;
• соглашаемся с действием – «Ок»;
• нажимаем кнопку «Далее» (система может запросить PIN-код, по умолчанию пароль на рутокенах — 12345678, а для eтокенов — 1234567890);
• в появившемся окне переходим в «Свойства» и выбираем «Состав»;
• соглашаемся со всеми действиями установочного мастера и кликаем «Далее»;
• указываем действие «не экспортировать закрытый ключ»;
• указываем хранилище для дубликата и нажимаем «Ок» (название папки не меняем);
• система попросит ввести пароль два раза, а затем нажимаем «Ок».

Мы указали путь для копирования фалов, после чего они появятся в заданном месте на жестком диске или USB-накопителе. Теперь папку с ключами можно копировать стандартным путем.

если далее в работе вы будете пользоваться дубликатом по прямому назначению, то названная папка должна быть размещена в корневой директории диска.

Перенос сертификатов в виде пошаговой инструкции

Первые два пункта я описывать тут не стану, так как я уже это подробно рассказывал, посмотрите по ссылкам. Я расскажу, об остальных методах и начнем мы с классического КриптоПРО.

Перенос сертификатов с помощью браузера Internet Explorer

• Запустить Internet Explorer.
• Открыть «Свойства браузера».
• Во вкладке «Содержание» выбрать «Сертификаты».
• В открывшемся списке выбрать необходимый сертификат и нажать «Экспорт».
• Далее запускается «Мастер переноса и импорта». Как с ним работать, рассмотрим после следующего способа, так как действия будут аналогичны.

Можно ли скопировать неэкспортируемую ЭП от ФНС?

С 1 января 2022 года руководители компаний и предприниматели могут получать электронную подпись в местном отделении налоговой инспекции, в том числе и ЭП для участия в закупках на 8 федеральных электронных торговых площадках.

Работа тендерного специалиста предполагает дистанционный формат взаимодействия с клиентом или работодателем. В связи с этим у коллег возникает вопрос: как скопировать электронную подпись от ФНС?

Не каждый владелец готов передать ЭП специалисту. Налоговая не случайно наложила запрет на копирование подписи, т.к. конфиденциальные данные о владельце могут попасть не в те руки. И хранить сертификат ключа рекомендуется на специальном токене, а не на обычной флешке, т.к. токены оснащены особым уровнем защиты данных.

Можете попробовать скопировать ЭП традиционными способами и увидите системное уведомление об ошибке:

Обновленные средства КриптоПро также не приведут к желаемому результату – на экране появится надпись, что контейнер неэкспортируемый:

Самый простой способ не нарушать предписание ФНС – наделить сотрудника/специалиста полномочиями заниматься деятельностью от лица компании, т.е. выдать ему доверенность.

Но что делать, если скопировать неэкспортируемую подпись от ФНС все же нужно. Давайте разберем, какие есть варианты.

Когда нужно переносить сертификаты в другое место?

И так давайте рассмотрим по каким причинам у вас может появиться необходимость в копировании ваших ЭЦП в другое место.

• На текущем физическом компьютере начинает умирать жесткий диск или SSD накопитель (Как проверить жизненные показатели жесткого диска), очень частая история и жизненная, когда люди теряли все свои данные, из-за банальной жадности в покупке нового оборудования и элементарного незнания принципов резервного копирования.
• У вас производится модернизация оборудования, его улучшение и вам нужно перенести все сертификаты с закрытыми ключами на другую систему
• Вы создали отдельный сервер, в виде виртуальной машины, где будут находится все ваши сертификаты и с ними смогут работать все необходимые сотрудники, терминал для бухгалтерии. Простой пример СБИС, и когда у вас 10-20 организаций.

Перенос неэкспортируемых контейнеров Крипто-ПРО

При экспорте контейнера закрытого ключа из реестра может возникнуть ошибка:

Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x800900B (-2146893813)/ Ключ не может быть использован в указанном состоянии.

В этом случае для копирования контейнера закрытого ключа необходимо выгрузить нужную ветку реестра.

• Нажимаем сочетание клавиш Win+R. Появится окно «Выполнить»
• Нажимаем правой кнопкой мыши (пкм) по «Keys» и выбираем «Экспортировать»
• Далее будет предложено окно для выбора места экспорта. Необходимо выбрать место хранение и наименование файла в формате .reg
• Перед импортом данного файла на новую систему его необходимо отредактировать в блокноте, открываем с помощью блокнота
• В данном случае представлены пути хранения 64-разрядной Win10, если предыдущая ОС была тоже 64-разрядная, то пути должны совпадать и необходимо отредактировать только (О том как узнать SID на ПК есть много публикаций в Интернет). Если пути различаются, то необходимо привести в соответствие с картинкой.
• Далее открываем на новом ПК «Редактор Реестра»
• Заходим в меню «Файл»/»Импорт» и указываем наш отредактированный .reg-файл
• После импорта файла вид реестра будет иметь вид
• Далее обязательно требуется установить личный сертификат

Перенос сертификатов с помощью консоли управления Microsoft

• Открыть консоль нажатием клавиш WIN+R.
• Ввести команду: MMC.
• В открывшемся окне выбрать «Личное», далее «Сертификаты».
• Выбрать требуемый сертификат и нажать на него правой кнопкой мыши.
• Выбрать «Все задачи», потом «Экспорт».
• После этого запускается «Мастер переноса и импорта».

Заключение

Мы рассмотрели несколько способов, как сделать копию электронной подписи, полученной в ФНС. Это избавит вас от ненужных встреч с партнерами для физической передачи подписи.

Некоторые компании частично перевели сотрудников на удаленный формат работы. В этом случае также удобно передать копию ЭП уполномоченному доверенностью работнику, а оригинал подписи будет храниться в офисе или непосредственно у ее владельца.

Если остались вопросы, задавайте их в комментариях. Не забудьте оценить статью и поделиться с коллегами. До новых встреч!