
Ошибка копирования контейнера. У вас нет разрешений на экчспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000b: Ключ не может быт использован в указанном состоянии.
Такая вот ошибка стала вылазить, когда хотели скопировать закрытые ключи в реестр. А все дело в том, что при генерации ключа, на том же портале fzs.roskazna.ru вы не придали полю «Экспортируемый закрытый ключ» значения. И оставили его по умолчанию «Нет». Вот такие потом не удобства и возникают. С добавлением ключа в реестр.

Tokens.exe — если неэкспортируемый ключ на токене — тогда эту утилиту юзайте!При установке обязательно поставьте 3 дополнения которые он предложит. После этого откроется полный функционал для экспорта «не экспортируемых» закрытых ключей с токенов.


CertFix.exe — с флешек лечится этой утилитой. Чтобы сделать копию такого сертификата, нам нужно:Запустить утилиту, подождать, когда загрузится список сертификатов. Напротив строки «Поиск» появится информация «Загрузка завершена».
Одновременно нажать кнопку SHIFT на клавиатуре и правой кнопкой мыши кликнуть по нужному контейнеру.Появится меню «Сделать экспортируемым». Выбираем вариант в зависимости от расположения контейнера.

В принципе на этом все. Пользуемся, очень много случаев — когда по незнанию люди переделывали ЭЦП. А это время и нервы.
Мне постоянно приходится иметь дело
с сертификатами, токенами, закрытыми ключами, криптопровайдерами и
прочим. Сейчас все завязано на это — банкинг, сдача отчетности в разные
гос органы, обращения опять же в эти органы, в том числе и физ лиц. В
общем, с этой темой рано или поздно придется познакомиться многим. Для
того, чтобы перенести все это хозяйство с одного компьютера на другой,
иногда приходится прилично повозиться, особенно тем, кто не в теме.
Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:
- Перенести
или скопировать контейнер закрытого ключа через стандартную оснастку
CryptoPro в панели управления. Это самый простой и быстрый способ, если у
вас не много сертификатов и ключей. Если же их несколько десятков, а
это не такая уж и редкость, то такой путь вам не подходит. - Скопировать
сертификаты и ключи непосредственно через перенос самих исходных файлов
и данных, где все это хранится. Объем работы одинаков и для 5 и для
50-ти сертификатов, но требуется больше усилий и знаний.
Я
опишу оба этих способа, но подробно остановлюсь именно на втором
способе. В некоторых ситуациях он является единственно возможным.
Важное замечание. Я буду переносить контейнеры закрытого ключа, которые
хранятся в реестре. Если вы храните их только на токене, то переносить
контейнеры вам не надо, только сертификаты.
- Копирование закрытого ключа через оснастку КриптоПро
- Ошибка копирования контейнера
- Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер
- У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. ошибка 0x8009000b (-2146893813) ключ не может быть использован
- Как сделать, чтобы все было хорошо?
- Получается, что рутокен эцп и jacarta гост не являются токенами с неизвлекаемым ключом?
- 8 ответов
- Импорт закрытого ключа
- Как скопировать сертификат с рутокена на компьютер, из криптопро на флешку
- Конфигурация тестового стенда
- Копирование ключей электронной подписи, как скопировать электронный ключ | такском
- Матчасть
- Методика тестирования
- Проведение тестирования
- Экспорт закрытого ключа
- Введение
- Как быть если доступ к старой системе невозможен?
- Как произвести копирование сертификата с рутокен
- Когда нужно переносить сертификаты в другое место?
- Копирование контейнера из реестра другого пользователя
- Копирование с помощью криптопро csp
- Криптопро csp ошибка 0x80090010 отказано в доступе
- Массовый перенос ключей и сертификатов cryptopro на другой компьютер
- Перенос контейнеров закрытых ключей и сертификатов cryptopro
- По-новому взглянем на наш тестовый стенд
- Примеры сценариев при импорте и экспорте сертификата
- Проведение копирования контейнера с помощью встроенных средств операционной системы windows
- Сообщение-отдел 19
- Часто задаваемые вопросы по теме статьи (faq)
- Экспорт pfx-файла и его установка
- Экспорт сертификата и закрытого ключа
- Что нужно знать о лицензиях криптопро csp
- Как видите предпосылок и вариантов переноса сертификатов из реестра на другой компьютер, предостаточно.
Копирование закрытого ключа через оснастку КриптоПро
Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.

Далее
вы выбираете текущий контейнер, который хотите скопировать. Это может
быть либо токен, либо реестр компьютера. Затем новое имя и новое
расположение контейнера. Опять же, это может быть как реестр, так и
другой токен.
Ошибка копирования контейнера
Но
тут есть важный нюанс. Если во время создания закрытого ключа он не был
помечен как экспортируемый, скопировать его не получится. У вас будет
ошибка:

Ошибка
копирования контейнера. У вас нет разрешений на экспорт ключа, потому
что при создании ключа не был установлен соответствующий флаг. Ошибка
0x8009000B (-2146893813) Ключ не может быть использован в указанном
состоянии.
Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему.
Отдельно
расскажу, как скопировать сертификат и закрытый ключ к нему в файл,
чтобы перенести на другой компьютер без использования токена. Штатные
возможности CryptoPro не позволяют скопировать закрытый ключ в файл.
Запускаем Internet Explorer, открываем его настройки и переходим на вкладку Содержание. Там нажимаем на Сертификаты.

Выбираем нужный сертификат и нажимаем Экспорт.

Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ «Да, экспортировать закрытый ключ«,
значит он не помечен как экспортируемый и перенести его таким способом
не получится. Можно сразу переходить к другому способу, который описан
ниже.

Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее.
В следующем меню ставьте все галочки, так вам будет удобнее и проще в
будущем, если вдруг опять понадобится копировать ключи уже из нового
места.

Укажите
какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В
завершении укажите имя файла, куда вы хотите сохранить закрытый ключ.
Теперь вам нужно скопировать сам сертификат. Только что мы копировали
закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять
выбираете этот же сертификат в списке, жмите Экспорт и выберите файл
формата .CER.

Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него.
В итоге у вас должны получиться 2 файла с расширениями:
- .pfx
- .cer
Вам
достаточно перенести эти 2 файла на другой компьютер и кликнуть по
каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам
достаточно будет выбрать все параметры по-умолчанию и понажимать Далее.
Сертификат и контейнер закрытого ключа к нему будут перенесены на другой
компьютер.
Я описал первый способ
переноса в ручном режиме. Им можно воспользоваться, если у вас немного
сертификатов и ключей. Если их много и руками по одному переносить
долго, то переходим ко второму способу.
Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер
В
интернете достаточно легко находится способ переноса контейнеров
закрытых ключей КриптоПро через копирование нужной ветки реестра, где
это все хранится. Я воспользуюсь именно этим способом. А вот с массовым
переносом самих сертификатов у меня возникли затруднения и я не сразу
нашел рабочий способ. Расскажу о нем тоже.
Для
дальнейшей работы нам надо узнать SID текущего пользователя, у которого
мы будем копировать или переносить сертификаты с ключами. Для этого в
командной строке выполните команду:

В данном случай zerox — имя учетной записи, для которой узнаем SID.
Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра и переходим в ветку:
где S-1-5-21-4126079715-2548991747-1835893097-1000
— SID пользователя, у которого копируем сертификаты. Выбираем папку
Keys и экспортируем ее.

Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи.
Для
переноса ключей и сертификатов нам надо скопировать на другой компьютер
сохраненную ветку реестра и директорию с сертификатами My.
Открываем файл с веткой реестра в текстовом редакторе и меняем там SID
пользователя со старого компьютера на SID пользователя нового
компьютера. Можно прям в блокноте это сделать поиском с заменой.

После
этого запускаем .reg файл и вносим данные из файла в реестр. Теперь
скопируйте папку My с сертификатами в то же место в профиле нового
пользователя. На этом перенос сертификатов и контейнеров закрытых ключей
КриптоПро завершен. Можно проверять работу.
Я
не раз пользовался этим методом, на текущий момент он 100% рабочий.
Написал статью,чтобы помочь остальным, так как сам не видел в интернете
подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя
таковой получилась.
У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. ошибка 0x8009000b (-2146893813) ключ не может быть использован
Подробная инструкция о том, как скопировать сертификат на другой носитель: копирование средствами Windows, копирование на профиле диагностики, массовое копирование, копирование с помощью КриптоПро CSP, экспорт PFX-файла и его установка, а также копирование контейнера из реестра другого пользователя.
Как сделать, чтобы все было хорошо?
Чтобы с помощью продуктов ООО “КРИПТО-ПРО” реализовать технологию ФКН, необходимо:
1. Купить специальную версию библиотеки СКЗИ: — для Рутокен ЭЦП — СКЗИ КриптоПРО Рутокен CSP. — для JaCarta ГОСТ – СКЗИ КриптоПро ФКН CSP.
2. Одновременно с библиотекой СКЗИ необходимо приобрести специально подготовленные токены, содержащие в себе программные части (апплеты), с которыми умеет работать КриптоПРО Рутокен CSP или КриптоПро ФКН CSP соответственно.
Получается, что рутокен эцп и jacarta гост не являются токенами с неизвлекаемым ключом?
Опять нет. Данные устройства могут реализовывать функционал ФКН (но, возможно, в меньшем объеме, чем при использовании их совместно с СКЗИ КриптоПРО), но для этого нужен софт, который умеет работать с апплетами размещенными на токенах. Таким софтом может быть
. Он это
. При генерации ключевой пары в мастере КриптоАРМ можно выбрать криптопровайдер, который будет использоваться, например, Rutoken ECP или eToken GOST. Это и позволит использовать токен как ФКН.
8 ответов
доступны код и двоичные файлы для консольного приложения, которое может экспортировать закрытые ключи, помеченные как не экспортируется, и он
PsExec64.exe -s -i cmd
Импорт закрытого ключа
Для установки закрытой части ключа откройте файл, сохранённый ранее (Рис. 15).
Откроется «Мастер импорта сертификатов», нажмите кнопку «Далее» (Рис. 16).
Укажите файл, который нужно импортировать, используя кнопку «Обзор», затем нажмите «Далее» (Рис. 17).
Далее введите пароль (1), отметьте пункт «Пометить этот ключ как экспортируемый, что позволит сохранять резервную копию ключа и перемещать его.» (2), затем нажмите кнопку «Далее» (Рис. 18).
Отметьте пункт «Поместить все сертификаты в следующее хранилище» (1), нажмите кнопку «Обзор» (2), в открывшемся окне отметьте «Личное» (3) и нажмите «Ок» (4). В окне мастера настроек нажмите «Далее» (5) (Рис. 19).
Нажмите «Готово» (Рис. 20).
В открывшемся окне КриптоПро CSP выберите носитель, на который будет импортирован ключ, затем нажмите «Ок» (Рис. 21).
Далее укажите новый пароль и его подтверждение (Рис. 22).
Система сообщит о чтении ключевой информации, нажмите кнопку «Ок» (Рис. 23).
Далее введите пароль (Рис. 24).
Далее нажмите «Ок» (Рис. 25).
Импорт успешно будет выполнен (Рис. 26).
Как скопировать сертификат с рутокена на компьютер, из криптопро на флешку
Если для работы используется дискета или flash-накопитель, скопировать контейнер с сертификатом можно средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и, если есть, файл сертификата — открытый ключ) поместите в корень дискеты / flash-накопителя (если поместить не в корень, то работа с сертификатом будет невозможна). Название папки при копировании рекомендуется не изменять.
В папке с закрытым ключом должно быть 6 файлов с расширением.key. Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копировать открытый ключ необязательно. Пример закрытого ключа — папки с шестью файлами и открытого ключа — файла с расширением.cer.
Если у вас MacOS, смотрите инструкцию «Как скопировать контейнер с сертификатом на MacOS».
1. Зайдите на профиль Диагностики «Копирования» .
2. Вставьте носитель, на который необходимо скопировать сертификат.
3. На нужном сертификате нажмите на кнопку «Скопировать».

Если на контейнер был задан пароль — появится сообщение «Введите пароль для устройства с которого будет скопирован сертификат».

Введите пароль и нажмите на кнопку «Далее».
4. Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».

5. Задайте имя новому контейнеру и нажмите на кнопку «Далее».

6. Должно появиться сообщение об успешном копировании сертификата.


3. Выберите носитель для хранения копии контейнера и нажмите ОК. При копировании в реестр можно поставить галочку на пункте «Копировать к ключевой контейнер компьютера», тогда после копирования контейнер будет доступен всем пользователям данного компьютера.

4. После копирования нажмите внизу слева кнопку ОбновитьЕсли хотите работать со скопированными контейнерами — необходимо .

В окне Копирование контейнера закрытого ключа нажмите на кнопку Обзор

Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее». Если вы копируете с рутокена, то появится окно ввода, в котором следует указать pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.

Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните Готово.

В окне Вставьте чистый ключевой носитель выберите носитель, на который будет помещен новый контейнер.

На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать или подобрать. Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».
Не храните пароль/pin-код в местах, к которым имеют доступ посторонние. В случае утери пароля/pin-кода использование контейнера станет невозможным.

Если вы копируете контейнер на смарт-карту ruToken, сообщение будет звучать иначе. В окне ввода укажите pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.

После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать для работы в Экстерне новый ключевой контейнер, установите его через Крипто Про.
При копировании может возникнуть «Ошибка копирования сертификата», если у вас нет лицензии на КриптоПроCSP или контейнер получил признак «неэкспортируемый». Справиться с этим поможет .
Экспорт сертификата с закрытым ключом
1. Откройте оснастку работы с сертификатами:
2. Откройте сертификат, который нужно скопировать. На вкладке «Состав» нажмите «Копировать в файл».

3. В «Мастере экспорта сертификтов» нажмите «Далее» и выберите пункт «Да, экспортировать закрытый ключ». Нажмите «Далее».

4. На следующем этапе поставьте галочки у пунктов «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства», остальные галочки необходимо убрать. Нажмите «Далее».

5. Обязательно задайте пароль для экспортируемого файла. Данный пароль не рекомендуется сообщать по электронной почте. Нажмите «Далее».

6. Укажите имя файла, выберите путь сохранения и нажмите «Далее», затем нажмите «Готово».

7. Экспортируйте открытый ключ сертификата (см. Экспорт открытого ключа).
8. Заархивируйте полученные файлы форматов .pfx и .cer.
Установка сертификата с закрытым ключом
1. Откройте .pfx файл. Сразу запустится «Мастер импорта сертификатов».
2. Укажите хранилище «Текущий пользователь» и нажмите «Далее», затем снова «Далее».


4. Выберите пункт «Поместить все сертификаты в следующее хранилище», нажмите на кнопку «Обзор», выберите «Личное» и нажмите на кнопку «ОК». Нажмите «Далее», а затем «Готово».

5. В окне КриптоПро выберите носитель, на который хотите сохранить контейнер. При необходимости задайте пароль.

6. Для корректной работы сертификата со встроенной лицензией переустановите сертификат в контейнер (см. Как установить личный сертификат в КриптоПро).
1. Необходимо найти ветку реестра с нужным контейнером. Ветки реестра, в которых может быть контейнер закрытого ключа:
2. После того, как нашли нужную ветку, нажмите правой кнопкой мыши на ветку с контейнером и выберите «Экспортировать».

3. Введите имя файла и нажмите на кнопку «Сохранить».
4. Скопируйте файл на тот компьютер, где будете работать с электронной подписью обычными средствами Windows.
5. Пройдите диагностику на сайте .
6. Как диагностика закончится, нажмите на ссылку «Показать результаты».

7. В списке результатов выберите «Информация о Windows». Скопируйте оттуда SID текущего пользователя.


8. Откройте экспортированный файл реестра с помощью «Блокнота».

9. Замените SID пользователя на скопированный ранее.

Если ветка реестра экспортируется из 32-битной ОС в 64-битную ОС, добавьте в путь ветки реестра параметр Wow6432Node как на скриншоте:
10. Сохраните изменения и закройте файл.
11. Снова нажмите на файл правой кнопкой мыши и выберите «Слияние». В появившемся окне нажмите «Да».

Должно появиться сообщение о том, что данные успешно внесены в реестр. Нажмите «ОК».

Если появляется сообщение «Ошибка при доступе к реестру», необходимо еще раз проверить все пути в файле на корректность. Также проверьте, чтобы в пути не было лишних пробелов, знаков.
12. После того, как данные будут внесены в реестр, необходимо вручную установить сертификат (см. Как установить личный сертификат).
Конфигурация тестового стенда
Соберем тестовый стенд с конфигурацией, типовой для машин, участвующих в электронном документообороте (ЭДО):
- ОС MS Windows 7 SP1
- Драйверы Рутокен для Windows (x86 и x64). Версия: v.4.1.0.0 от 20.06.2021, WHQL-certified
- Единый Клиент JaCarta и JaCarta SecurLogon. Версия 2.9.0 сборка 1531
- КриптоАРМ Стандарт Плюс 5. Версия 5.2.0.8847.
Для тестирования будут использоваться токены с неизвлекамым ключом:
- Рутокен ЭЦП. Версия 19.02.14.00 (02)
- JaCarta ГОСТ. Номер модели JC001-2.F09 v2.1
https://youtube.com/watch?v=Bsg92mm-BFQ%3Ffeature%3Doembed
Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.
Копирование ключей электронной подписи, как скопировать электронный ключ | такском
- Сертификаты:Выданные УЦ ФНС,ЕГАИС,«Лес-ЕГАИС»
- Выданные УЦ ФНС,
- ЕГАИС,
- «Лес-ЕГАИС»
Для копирования ключевого контейнера:
Если нужный носитель отсутствует:
Чтобы использовать созданный ключевой носитель, из скопированного контейнера:
- Откройте меню «Пуск» — «Панель управления» — «КриптоПро CSP» — «Сервис» — «Просмотреть сертификаты в контейнере».
- Нажмите «Обзор», отметьте нужный контейнер, нажмите «Ок» и «Далее».
- Нажмите «Установить».
- На вопрос о замене сертификата необходимо ответьте утвердительно.
- Нажмите «Готово» и «Ок».
Теперь установленный сертификат привязан к контейнеру, из которого он был установлен.
Видеоинструкция по созданию копии ключевого контейнера.
В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже.
Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:
Матчасть
То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется
Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).
Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.
Методика тестирования
Смоделируем типовой процесс подготовки Администратором информационной безопасности ключевых документов для организации ЭДО:
- генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;
- после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;
- сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом;
- с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям;
- после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.
В нашем случае мы не будем пользоваться услугами центров сертификации, а сгенерируем ключевой контейнер с самоподписанным сертификатом и разместим его в реестре компьютера (АРМа генерации ключевой информации), это и будет
исходный ключевой документ
. Затем скопируем ключевую информацию на Рутокен ЭЦП и JaCarta ГОСТ, изготовив
рабочие ключевые документы
https://youtube.com/watch?v=9ugl1Xwh5s4%3Ffeature%3Doembed
. После этого уничтожим
, удалив из реестра ключевой контейнер. И, наконец, попробуем скопировать ключевую информацию с рабочих ключевых документов обратно в реестр.
Проведение тестирования
3.Уничтожим исходный ключевой документ
4. Скопируем ключевую информацию из
Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.
Экспорт закрытого ключа
Для экспорта закрытого ключа выполните следующие действия:
Откройте Крипто-Про CSP. Перейдите во вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере» (Рис. 1).
В открывшемся окне укажите имя ключевого контейнера, нажав «Обзор» (Рис. 2).
Выберите ключевой контейнер пользователя, затем нажмите «Ок» (Рис. 3).
Нажмите «Далее» (Рис. 4).
Далее нажмите кнопку «Свойства» (Рис. 5).
В открывшемся окне перейдите во вкладку «Состав» и нажмите кнопку «Копировать в файл» (Рис. 6).
Откроется мастер экспорта сертификатов. Нажмите «Далее» (Рис. 7).
Далее отметьте «Да, экспортировать закрытый ключ» (1) и нажмите «Далее» (2) (Рис. 8).
Отметьте следующие пункты: «Файл обмена личной информацией – PKCS #12», «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства» (1), затем нажмите кнопку «Далее» (2) (Рис. 9).
Укажите пароль и подтверждение пароля (1), затем нажмите кнопку «Далее» (2) (Рис. 10).
Далее укажите имя файла, используя «Обзор» (1), затем нажмите кнопку «Далее» (2) (Рис. 11).
Далее нажмите «Готово» (Рис. 12).
Система сообщит о чтении ключевой информации, нажмите кнопку «Ок» (Рис. 13).
https://youtube.com/watch?v=Z9n2T07e6Ls%3Ffeature%3Doembed
Откроется окно с информацией об успешном экспорте. Нажмите «Ок» (Рис. 14).
Введение
Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это — банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим.
- Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
- Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.
Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.
Как быть если доступ к старой системе невозможен?
Теория – это хорошо, но практика может подкинуть самые неожиданные ситуации. Как быть, если доступ к старой системе невозможен? Скажем вышла из строя материнская плата или серьезно повреждена операционная система?
Все что нам нужно в таком случае – это доступ к файловой системе старой системы. Вы можете как напрямую подключить жесткий диск к новой системе, так и загрузиться при помощи консоли восстановления или любого более продвинутого инструмента, скажем MSDaRT.
С копированием сертификатов проблемы возникнуть не должно, их хранилище простая папка на диске, а вот с хранилищем закрытых ключей в реестре немного сложнее. Но не будем забывать, что системный реестр тоже хранится в файлах на диске. Вам следует любым доступным образом скопировать файл SOFTWARE из C:WindowsSystem32config
Затем на целевой системе откройте редактор реестра, перейдите в раздел и через Файл – Загрузить куст подключите скопированный из старой системы раздел реестра. Дайте ему осмысленное имя, скажем OLD_SOFTWARE.После чего пройдите в раздел с закрытыми ключами (с учетом новой точки монтирования) и выполните экспорт ветки .Дальнейшие действия ничем не отличаются от описанных нами в разделе Импорт ключей и сертификатов.
Как произвести копирование сертификата с рутокен
На одном накопителе Рутокен может находиться до 28 сертификатов ЭЦП (зависит от объема встроенной памяти). Этого достаточно для решения задач даже с учетом постепенного копирования на имеющийся носитель дополнительных ключей. На практике иногда приходится сталкиваться с необходимостью копирования сертификата с токена для переноса на другой или временного хранения на жестком диске, в облаке.
Перед выполнением копирования необходимо понимать, что сделать это традиционным способом с локального диска компьютера невозможно. Подобная операция доступна при наличии одного из следующих считывателей:
Если в качестве исходного носителя используется USB-накопитель, то контейнер с размещенным сертификатом должен находиться в корневой папке. Параллельно на нем может располагаться другая информация любой степени вложенности, которая не будет мешать работе с контейнером во время подписи документации.
Обратим внимание, что использование обычного USB-накопителя стоит рассматривать исключительно в качестве временной меры для хранения сертификатов и ключей из-за риска их хищения злоумышленниками. Исключением будет случай, когда подобное копирование используется для получения дополнительного комплекта файлов на случай выхода из строя Рутокен.
Когда нужно переносить сертификаты в другое место?
И так давайте рассмотрим по каким причинам у вас может появиться необходимость в копировании ваших ЭЦП в другое место.
- На текущем физическом компьютере начинает умирать жесткий диск или SSD накопитель (Как проверить жизненные показатели жесткого диска), очень частая история и жизненная, когда люди теряли все свои данные, из-за банальной жадности в покупке нового оборудования и элементарного незнания принципов резервного копирования.
- У вас производится модернизация оборудования, его улучшение и вам нужно перенести все сертификаты с закрытыми ключами на другую систему
- Вы создали отдельный сервер, в виде , где будут находится все ваши сертификаты и с ними смогут работать все необходимые сотрудники, терминал для бухгалтерии. Простой пример СБИС, и когда у вас 10-20 организаций.
Копирование контейнера из реестра другого пользователя
1. Зайдите на профиль Диагностики «Копирования» по ссылке.
Копирование с помощью криптопро csp
В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».
Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните «Готово».
В окне «Вставьте чистый ключевой носитель» выберите носитель, на который будет помещен новый контейнер.
Криптопро csp ошибка 0x80090010 отказано в доступе
Иногда после переноса контейнеров закрытых ключей через экспорт — импорт ветки реестра с ключами можно увидеть ошибку доступа к контейнерам. Вроде бы все на месте, ключи есть в реестре. Их можно увидеть в останстке CryptoPro, но не получается прочитать. При попытке это сделать возникает ошибка:
Ошибка обращения к контейнеру закрытого ключа. Ошибка 0x80090010: Отказано в доступе. Связано это с тем, что у текущего пользователя, под которым вы хотите получить доступ к контейнеру, нет полных прав на ветку реестра с хранящимися ключами. Исправить это просто. Переходите в редактор реестра и выставляйте полные права к ветке Keys для текущего пользователя.
Убедитесь так же, что новые права наследовались на дочерние ветки с самими ключами. Обычно это так, но перепроверить на всякий случай непомешает. После этого ошибка с доступом к контейнеру закрытого ключа исчезнет.
Массовый перенос ключей и сертификатов cryptopro на другой компьютер
Выше описанные методы хороши, когда у вас один или 5 ключиков в реестре, а как быть если их десятки. Помню лет 5 назад, когда я еще был младшим администратором, то я очень часто устанавливал электронные цифровые подписи главбуху, так как она работала в СБИС и сдавала там постоянно отчетность по огромному количеству организаций, по типу рога и копыта.
Держать кучу токенов было не вариант, и для таких вещей у нее все хранилось в реестре и копия сертификатов была на флешке в сейфе. Флешку потом потеряли, встал вопрос сделать резервную копию всего и плюс обновить систему, в виду нового компьютера, на операционной системе Windows 8.1. ЭЦП было штук 50, а так как я ценю свое время, то и искал методы, выполнить это быстрее, к счастью я его нашел.
Заключался метод переноса сертификатов из реестра, в выгрузке веток и подмене SID значения, но обо всем по порядку. О том, как посмотреть SID пользователя и что это такое я рассказывал.
Открываете командную строку cmd и вводите команду:
Перенос контейнеров закрытых ключей и сертификатов cryptopro
Криптопровайдер КриптоПро на сегодняшний день является, пожалуй, самым популярным на рынке, по крайней мере в России. Я хочу рассказать, как быстро и удобно перенести большое количество контейнеров закрытых ключей CryptoPro и сертификатов к ним. Существует штатный механизм в самой программе, работает в ручном режиме и не подходит, когда надо перенести большое количество.
Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «DevOps практики и инструменты» в OTUS. Курс не для новичков, для поступления нужно пройти вступительный тест.
По-новому взглянем на наш тестовый стенд
В качестве одного из ключевых носителей использовался Рутокен ЭЦП. Через «Панель управления Рутокен» о нем можно получить следующую информацию:
В последней строке указана фраза «Поддержка КриптоПРО ФКН: Нет», а это значит, что на токене нет апплета, с которым умеет работать СКЗИ КриптоПРО CSP. Таким образом, реализация технологии ФКН с использованием СКЗИ и токенов, описанных в конфигурации тестового стенда, невозможна.
Аналогичная ситуация и с JaCarta ГОСТ. Более того, СКЗИ КриптоПРО CSP, по крайней мере та версия, которая использовалась в тестовом стенде, использует данные ключевые носители как «обычные токены», которые, в свою очередь, являются просто носителями ключа.
Это утверждение очень просто подтвердить. Для этого надо поставить СКЗИ КриптоПРО CSP на чистую машину без драйверов от токенов и подключить токен JaCarta ГОСТ. ОС Windows 7 обнаружит токен JaCarta ГОСТ как «Устройство чтения смарт-карт Microsoft Usbccid (WUDF)». теперь можно попробовать создать ключ на токене и скопировать его в реестр компьютера. Весь функционал СКЗИ успешно отработает.
Примеры сценариев при импорте и экспорте сертификата
Если вы мой постоянный читатель, то вам уже должны быть знакомы понятие SSL сертификата, его виды и назначение. Сейчас уже сложно себе представить работу юридических лиц, ИП и обычных граждан без сертификатов и ЭЦП. Многие программы используют их для шифрования трафика, например при документообороте или при доступе к сервису, очень частый пример, это кабинет клиент-банка.
В большинстве случаев у людей на компьютере установлена операционная система Windows, она не идеальна и бывают частые случаи ее выхода из строя. При таком раскладе у вас легко могла возникать ситуация по восстановлению вашего сертификата из хранилища Windows, или при обновлении вашего компьютера на более новый, где так же производили перенос сертификатов, я приводил такой пример для КриптоПРО. Переходим к практике.
Проведение копирования контейнера с помощью встроенных средств операционной системы windows
При использовании USB-накопителя либо дискеты все можно выполнить стандартными средствами Windows. Для этого достаточно скопировать папку с сертификатом на конкретный носитель. Внутри этой папки будет 6 файлов с одинаковым расширением .key. Также здесь может находиться ключ в виде файла типа keyName.cer, копировать который необязательно.
Файлы для электронной цифровой подписи имеют следующие наименования (все имеют расширение .key):
Файл primary.key включает в себя 32 байта ключа, представленного в формате ASN1. При этом данное значение представляет собой только 50% искомого ключа, так как полная его версия может быть получена при делении на маску с учетом модуля Q.
Файл masks.key включает 32 байта маски ключа, которая также представлена в формате ASN1. Также здесь есть 12 байт данных для генерации ключа при условии, что криптографический контейнер защищен от несанкционированного доступа паролем (последний также принимает участие при генерации уникального ключа хранения). Завершает перечень информации в файле контрольная сумма, занимающая 4 байта.
Файл header.key представляет собой набор параметров ЭЦП и другую общую информацию.
Сообщение-отдел 19
Типовые ошибки ЭБ
Jinn Sign Extension Provider
Jinn Sign Extension Provider может не до конца установится, если использовать предложенную папку по умолчанию (папка в профиле пользователя). Если пользователь на кирилице 100% будут проблемы.
Надо изменить папку на C:Program FilesSecurity Code (если х64, то папку C:Program Files(х86)Security Code)
Параметры командной строки для тихой установки Jinn Sign Extension Provider сразу для всех пользователей Windows (путь можете указать свой, лишь бы он был доступен для всех пользователей):
ПРИМЕЧАНИЕ: Командную строку нужно запускать по правой кнопки мыши с выбором “Запуск от имени администратора”
Jinn не видит контейнер
Не корректно установленный или вообще не установленный eXtended Container(пути решения представлены ниже).
Так же бывают проблемы с отобраджением сертификатов по ГОСТу 2001. Без необходимости eXtended Container лучше не ставить.
Второй причиной может заключаться в названии организации, для сертификатов по ГОСТу 2021, превышает 127 символов(а в некоторых случаях и 74 символа), то jinn просто не видит контейнер с таким сертификатом.
Решение – конвертация контейнера. Утилита конвертации контейнеров КриптоПро в PKCS#15 доводилась. Инструкция по использованию в архиве. Для работы на рабочем месте должен быть установлен КриптоПро CSP.
Континент TLS 2 “Доступ к конфигурационному файлу запрещен”
Ошибка Континент TLS 2 “Доступ к конфигурационному файлу запрещен” связана с отсутствием прав на чтение-запись.
Так же встречаются аналогичные проблемы с директориями.
1. Через панель управления удалить ВСЕ продукты КриптоПро и Кода Безопасности, перезагрузка
2. Удаление через cspclean (CryptoPRO)и cspcleaner -to (Код Безопасности), перезагрузка,
4. Установить необходимых библиотеки Visual C (vcredist). Есть в составе продуктов Кода Безопасности
5. Установка КриптоПро 4.0.9944 или 4.0.9963, перезагрузка
6. Установка Jinn v1.0.3050
7. Установка Jinn Sign Extension Provider
8. Установка eXtended Container(ранее XC) v 1.0.2.2
5. Установка TLS клиента 2.0.1440
Желательно ставить x86(32 разрядное ПО) Если работаем через IE запускаем из ..Program Files(х86)..
В противном случае соблюдаем разрядность для всего ПО.
На заметку Континент АП 3.7.7.651
Для установивших Континент АП 3.7.7.651 с криптопровайдером КБ(Код Безопасности) CSP
Для правильной установки Континент TLS-клиент». Версия 2 придётся удалять Континент АП и вычистить следы утилитой от кода безопасности с параметрами -to из командной строки от имени администратора. При установке Континент АП обязательно должен быть установлен КриптоПРО. Тогда TLS клиент не будет пытаться установить или обновить свой криптопровайдер. Затем устанавливаем Континент АП с его криптопровайдером.
Не забываем удалить:
Часто задаваемые вопросы по теме статьи (faq)
Можно ли перенести сертификат, который находится на токене и защищен от копирования?
Очевидно, что предложенное в статье решение для этого не подойдет. Ведь тут идет речь о переносе сертификатов, которые хранятся в реестре, то есть уже были скопированы. Технические средства для копирования защищенных крипто контейнеров тоже существуют, но это не такое простое и очевидное решение.Безопасно ли хранить сертификаты в реестре?
Это не безопасно и в общем случае я не рекомендую это делать. USB токены для хранения сертификатов придуманы не просто так. Они реально защищают сертификаты от несанкционированного копирования. Если у вас нет объективной необходимости копировать сертификаты в реестр, лучше этого не делать.
Нет, не подойдет. В статье описан способ переноса сертификатов CryptoPro. Другие криптопровайдеры хранят сертификаты по-другому. Универсального способа для всех не существует.Есть ли какой-то очень простой способ скопировать сертификаты crypto pro? То, что описано в статье слишком сложно для меня.
Да, есть статья на сайте контура, в ней ссылка на утилиту для копирования контейнеров Certfix. Можете воспользоваться ей.
Бывает случаи, когда при копировании сертификата возникает ошибка: «Ошибка копирования контейнера». Делимся инструкцией, что делать в такой ситуации.
Для решения данной проблемы необходимо:
Crypto Pro 5.0
- Проверить наличие лицензии на КриптоПроCSP. Ошибка может возникать на КриптоПРО CSP с истекшими сертификатами со встроенной лицензией. Для автоматического ввода лицензии нужно перейти и установить лицензию .
- Повторить копирование сертификата.
- При копировании, в окне выбора контейнера, нужно поставить переключатель Уникальные имена, продолжить копирование.
- Проверить, что КриптоПро запущена с правами администратора. На вкладке «Общие» не должно быть ссылки «Запустить с правами администратора». Если ссылка есть — нажать на ее.
Экспорт pfx-файла и его установка
https://youtube.com/watch?v=pdWwLv6sor4%3Ffeature%3Doembed
Экспорт сертификата и закрытого ключа
Инструкция по работе с сертификатами пользователей всистеме DIRECTUM
Экспортсертификата и закрытого ключа
Закрытый ключ и сертификатдля пользователя следует экспортировать в файлы. Будет получено двафайла: сертификат с расширением «.» для регистрации всистемеи закрытый ключ срасширением «.PFX» для установки на компьютерепользователя.
Экспорт сертификата в файл«.CER»
Шаг 1. Накомпьютере, где был запрошен сертификат пользователя, запуститьInternet Explorer;
выбрать изверхнего меню ;
перейти назакладку «Содержание»;
Шаг 3. В окне«Сертификаты»:
перейти назакладку «Личные»;
выбрать изсписка сертификат, который нужно экспортировать;
Шаг 4. Окно«Мастер экспорта сертификатов»:
Шаг 5. Окно«Мастер экспорта сертификатов»/ «Экспортирование закрытогоключа»:
установитьпереключатель «Нет, не экспортировать закрытый ключ»;
Шаг 6. Окно«Мастер экспорта сертификатов»/ «Формат экспортируемогофайла»:
установитьпереключатель «Файлы в DER-кодировке X.509 (.CER)»;
Шаг 7. Окно«Мастер экспорта сертификатов»/ «Имя файла экспорта»:
Шаг 8. Окно«Мастер экспорта сертификатов»/«Завершение работы мастера экспортасертификатов»:
Шаг 9. Окно«Мастер экспорта сертификатов»:
Полученный файл срасширением .CER будет использован для регистрации сертификата всистеме DIRECTUM.
Экспорт закрытого ключа вфайл «.PFX»
Шаг 2. В окне«Сертификаты»:
Шаг 3. Окно«Мастер экспорта сертификатов»:
Шаг 4. Окно«Мастер экспорта сертификатов»/ «Экспортирование закрытогоключа»:
установитьпереключатель «Да, экспортировать закрытый ключ»;
Шаг 5. Окно«Мастер экспорта сертификатов»/ «Формат экспортируемогофайла»:
установитьпереключатель «Файл обмена личной информацией – PKCS #12(.PFX)»;
установитьгалочки «Включить по возможности все сертификаты в путьсертификата», «Включить усиленную защиту (требуется IE 5.0, NT 4.0SP4 или выше)», «Удалить закрытый ключ после успешногоэкспорта»;
Шаг 6. Окно«Мастер экспорта сертификатов»/«Пароль»:
ввести пароль надоступ к сертификату и подтверждение пароля;
Полученный файл срасширением «.» будет использован дляимпорта закрытого ключа на компьютер пользователя.
Общие сведения оработе с сертификатами;
Генерация для пользователя закрытого ключа и сертификата наMicrosoft Windows 2000 Server;
Генерация для пользователя закрытого ключа и сертификата наMicrosoft Windows 2003 Server;
Регистрация сертификатов в системе DIRECTUM;
Установка закрытого ключа;
Что нужно знать о лицензиях криптопро csp
Лицензия распространяется на одно рабочее место, бывает бессрочной и на 1 год.
Существуют ключи со встроенной лицензией КриптоПро. Приобретать лицензию КриптоПро CSP для таких ключей не нужно — они продолжают работать даже после окончания пробного периода, так как их работа ограничена сроком действия ключа (один год). Такие ЭЦП дороже, но выгоднее, когда работа ведется с разных рабочих мест. Наличие встроенной лицензии необходимо уточнять в удостоверяющем центре, в котором приобретается ключ.
Как видите предпосылок и вариантов переноса сертификатов из реестра на другой компьютер, предостаточно.
Какие есть варианты по копированию контейнеров закрытых ключей?
- На текущем физическом компьютере начинает умирать жесткий диск или SSD накопитель (Как проверить жизненные показатели жесткого диска), очень частая история и жизненная, когда люди теряли все свои данные, из-за банальной жадности в покупке нового оборудования и элементарного незнания принципов резервного копирования.
- У вас производится модернизация оборудования, его улучшение и вам нужно перенести все сертификаты с закрытыми ключами на другую систему
- Вы создали отдельный сервер, в виде виртуальной машины, где будут находится все ваши сертификаты и с ними смогут работать все необходимые сотрудники, терминал для бухгалтерии. Простой пример СБИС, и когда у вас 10-20 организаций.



