Сейчас представить нормальную деятельность какого ли предприятия даже самого меленького без использования электронных цифровых подписей практически не возможно. Скажу больше, большинство обычных граждан так же использую различные ЭЦП. Все это связанно с тем что имея ЭЦП можно не выходя из офиса или дома отправлять подписанные документы (договора), сдавать отчетность, пользоваться различными ресурсами, участвовать в различных аукционах и многое другое. С одной стороны все это упрощает ведение деятельности но с другой вызывает кучу проблем, в первую очередь это связанно с получением ЭЦП, выдаются они на 1 год, в некоторых случаях плюс несколько месяцев, все зависит от удостоверяющего центра (УЦ). Для использования ЭЦП нужно настраивать рабочие места а это дополнительное ПО (Все оно платное), различные плагины и расширения для браузеров. В общем проблем с ЭЦП хватает. Так же на этапе получения и заполнения заявлений важно все указать правильно, в противном случае можно получить дополнительные проблемы. Сегодня рассмотрим одну ошибку «0x8009000B» которая появляется в момент копирования закрытого ключа и связанна она с невнимательностью во время заполнения заявления на получение ЭЦП в УЦ или через сайт.
Ошибка 0x8009000B Ключ не может быть использован в указанном состоянии
И так у Вас есть ЭЦП и Вы пытаетесь скопировать закрытый ключ с флешки в системный реестр Windows, либо наоборот и видите сообщение следующего вида.
Ошибка копирования контейнера … У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B Ключ не может быть использован в указанном состоянии.
Это говорит о том что во время создания закрытого ключа не был отмечен пункт который разрешает экспорт закрытого ключа. Проверить это достаточно легко, открываем КриптоПро переходим на вкладку «Сервис» и выбираем пункт «Протестировать …»
Далее выбираем сертификат и смотрим на результат, в открывшемся окне ищем пункт «Экспорт ключа» и если на против стоит «Запрещено» то увы произвести экспорт (копирование) никакими средствами не получиться.
1 Если вы получили ЭЦП в УЦ на Рутокене, eToken то использовать его можно будет только подключив съемный носитель к компьютеру.
2 Если закрытый ключ находиться на обычной флешке то его можно скопировать на другую флешку либо другой диск и использовать.
3 Если ЭЦП Вы получали через личный кабинет (такое возможно при продлении) и закрытый ключ скопировали в реестр, то его можно перенести на другой ПК, но это лучше поручить опытному человеку, так как если вы что-то сломаете в реестре то можно попасть на переустановку ОС.
Кстати выглядит эта опция примерно вот так, это заявление на продление ЭЦП федерального казначейства.
В принципе тут нет ничего страшного, если необходимо установить такую ЭЦП на несколько рабочих место, то можно воспользоваться флешками или например, если в системе есть дополнительный жесткий диск D,E,B не важно какой, закрытый ключ можно скопировать туда.
Если скопировать закрытый ключи в корень диска С, система его не увидит!!!
…. Захотелось с вами поделиться опытом, о массовом переносе контейнеров с закрытыми ключами, находящимися в области реестра Windows. Использовать мы будем как КриптоПРО, так и встроенные механизмы. Уверен будет интересно.
Когда нужно переносить сертификаты в другое место?
И так давайте рассмотрим по каким причинам у вас может появиться необходимость в копировании ваших ЭЦП в другое место.
- На текущем физическом компьютере начинает умирать жесткий диск или SSD накопитель (Как проверить жизненные показатели жесткого диска), очень частая история и жизненная, когда люди теряли все свои данные, из-за банальной жадности в покупке нового оборудования и элементарного незнания принципов резервного копирования.
- У вас производится модернизация оборудования, его улучшение и вам нужно перенести все сертификаты с закрытыми ключами на другую систему
- Вы создали отдельный сервер, в виде виртуальной машины, где будут находится все ваши сертификаты и с ними смогут работать все необходимые сотрудники, терминал для бухгалтерии. Простой пример СБИС, и когда у вас 10-20 организаций.
Как видите предпосылок и вариантов переноса сертификатов из реестра на другой компьютер, предостаточно.
Какие есть варианты по копированию контейнеров закрытых ключей?
- Если мы создаем единый терминал (Виртуальную машину), на которой будут коллективно работать пользователи, то можно произвести конвертирование физической тачки в виртуальную машину
- Если будет просто замена жесткого диска, то можно произвести его клонирование или перенос системы на SSD с помощью специальных утилит
- Можно воспользоваться утилитой КриптоПРО
- Воспользоваться экспортом из реестра Windows.
Перенос сертификатов в виде пошаговой инструкции
Первые два пункта я описывать тут не стану, так как я уже это подробно рассказывал, посмотрите по ссылкам. Я расскажу, об остальных методах и начнем мы с классического КриптоПРО.
Данный метод подойдет для тех ситуаций, когда у вас один или 2 сертификата (ЭЦП). Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит, и там придется выбирать 4-й метод.
Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты
Копирование закрытого ключа из КриптоПро
Это самый простой способ, и будет актуальным при небольшом количестве контейнеров с закрытыми ключами. Чтобы выполнить перенос сертификатов из реестра, откройте ваш КриптоПРО, вкладка «Сервис», нажимаем кнопку «Сервис», далее через кнопку «Обзор», откройте «Выбор ключевого контейнера» и укажите, какой сертификат вы будите переносить. В моем примере это контейнер «Копия сертификата в реестре (Семин Иван)».
Нажимаем «Далее», вас попросят задать новое имя контейнера с закрытым ключом, введите понятное для себя, для удобства.
У вас откроется окно с выбором носителей, вы можете выбрать либо токен, либо флешку для переноса на другое место. У меня это внешний жесткий диск Z:.
Задаем обязательно пароль, с точки зрения безопасности, так как файлы в таком виде просто скомпрометировать.
Все, на выходе я получил папку со случайным названием и набором ключей в формате key.
Если вы пытаетесь копировать сертификат с токена, то в ряде случаев у вас может появиться ошибка: Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.
Связана такая ситуация, что в целях псевдобезопасности, удостоверяющие центры выпускают закрытые ключи без возможности экспорта, и таким образом увеличивают свою прибыль, так как в случае утери или поломки токена, вам придется его перевыпускать, а так как экспорт запрещен, то бэкапа вы сделать не сможете.
Если вы получили ошибку копирования контейнера. У вас нет разрешений на экспорт ключа, то метод с КРиптоПРО вам не поможет
Перенос сертификатов из реестра без КриптоПРО
Существуют методы экспортировать закрытый ключ и без использования утилиты КриптоПРО. Представим себе ситуацию, что у вас на него кончилась лицензия и вы не успели ее купить. Вам нужно сдать отчетность в СБИС. Вы развернули CryptoPRO на другом компьютере, так как он позволяет 3 месяца бесплатного использования, осталось для СБИС выполнить перенос сертификатов, которые у вас в реестре Windows.
У нас два варианта:
- Использование оснастки mmc-Сертификаты пользователя.
- Использование Internet Explore
Откройте там контейнер «Личное — Сертификаты». Если у вас в контейнере не один сертификат с одинаковым именем, такое может быть, то откройте сертификат в оснастке mmc и в КриптоПРО и сравните серийные номера сертификата.
В Internet Explore, откройте «Свойства браузера — Содержание — Сертификаты»
Теперь нам необходимо его экспортировать, в оснастке «Сертификаты», через правый клик, это можно сделать, в Internet Explorer, сразу видно кнопку, экспорт.
У вас откроется мастер переноса сертификатов, на первом шаге, просто нажимаем далее. После чего вас спросят, что вы хотите экспортировать, выбираем пункт «да, экспортировать закрытый ключ вместе с сертификатом»
Если ваш закрытый ключ запрещено экспортировать, то эта кнопка будет не активна, и можете сразу закрывать данный метод и переходить к следующему.
Следующим этапом в мастере экспорта сертификатов, вам необходимо выбрать формат выгрузки, это будет PFX архив.
Далее вы задаете обязательно пароль и указываете имя и место, где будите сохранять ваш переносимый контейнер с зарытым ключом в формате pfx.
Мастер экспорта сертификатов, выведет вам сводные данные, нажимаем «Готово».
Отрываем локацию, куда вы его выгрузили, и найдите свой pfx архив.
Теперь вам нужно еще выгрузить открытый ключ в формате cer, для этого так же зайдите в мастер экспорта, но на этот раз выберите «Нет, не экспортировать закрытый ключ».
Выберите формат файла «X.509 (.CER) в кодировке DEP», задайте ему имя и место сохранения. На выходе у вас появятся два файла.
Одни открытый ключ в формате cer и закрытый ключ в формате pfx. Этого набора вам будет достаточно, чтобы перенести сертификаты СБИС, Контура и остальных программ на другой компьютер.
Теперь перенесите эти файлы на другое рабочее место и просто запустите, через простой двойной клик. У вас откроется мастер импорта сертификатов, на первом окне выберите нужное вам хранилище, я в своем примере оставлю «Текущий пользователь».
На втором шаге проверяем импортируемый сертификат.
Указываем пароль, который задавали при выгрузке.
Оставляем автоматический выбор хранилища на основе типа сертификатов.
Готово. Со вторым файлом то же самое. После чего у вас будут перенесены нужные вам ключи и сам сертификат, можно работать.
Массовый перенос ключей и сертификатов CryptoPro на другой компьютер
Выше описанные методы хороши, когда у вас один или 5 ключиков в реестре, а как быть если их десятки. Помню лет 5 назад, когда я еще был младшим администратором, то я очень часто устанавливал электронные цифровые подписи главбуху, так как она работала в СБИС++ и сдавала там постоянно отчетность по огромному количеству организаций, по типу рога и копыта. Держать кучу токенов было не вариант, и для таких вещей у нее все хранилось в реестре и копия сертификатов была на флешке в сейфе. Флешку потом потеряли, встал вопрос сделать резервную копию всего и плюс обновить систему, в виду нового компьютера, на операционной системе Windows 8.1. ЭЦП было штук 50, а так как я ценю свое время, то и искал методы, выполнить это быстрее, к счастью я его нашел.
Заключался метод переноса сертификатов из реестра, в выгрузке веток и подмене SID значения, но обо всем по порядку. О том, как посмотреть SID пользователя и что это такое я рассказывал.
Открываете командную строку cmd и вводите команду:
Вот это S-1-5-21-551888299-3078463796-888888888-46162 и есть SID, вашей учетной записи. Теперь когда вы его знаете, то вам нужно выгрузить ваши закрытые ключи из реестра Windows. Для этого откройте вот такую ветку:
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsUsersНомер вашего SID, который мы узналиKeys
В контейнере Keys, вы найдете все ваши закрытые ключи от ЭЦП. С правой стороны вы увидите файлы:
* header.key
* masks.key
* masks2.key
* name.key
* primary.key
* primary2.key
Щелкаем правым кликом по контейнеру Keys и экспортируем его.
Сохраняем нашу ветку реестра с контейнерами закрытых ключей. Далее нам нужно скопировать открытые ключи, которые лежат по пути:
C:Usersимя вашего пользователяAppDataRoamingMicrosoftSystemCertificatesMy
Не забывайте только подставить своего пользователя, эта папка может быть скрытой, поэтому включите скрытые папки и файлы в вашей ОС. Все содержимое этой папки вам нужно перенести на другой компьютер, только уже в папку другого, нужного пользователя.
Как только вы поместили на новом компьютере папку Key, вы можете перенести реестровую выгрузку. Сохраненный файл в формате reg, вы должны открыть в любом текстовом редакторе.
Как я показывал выше, определите SID нового пользователя, скопируйте его полностью и замените им значение в файле reg, я отметил это стрелками.
SID начинается с S-1 и так далее
Все сохраняйте файл и запускайте его, у вас будет начат перенос сертификатов (закрытых ключей), подтверждаем действие.
Как видите импорт успешно завершен. Все теперь ваши закрытые и открытые ключи на месте и вы можете работать с вашими ЭЦП, и можно считать, что перенос сертификатов с одного компьютера на другой в массовом масштабе, осуществлен успешно.
Смотрите так же: ФЗС — Как выпустить электронную подпись в казначействе в 2019 году
Многие информационные системы, связанные с подписанием каких-либо данных с помощью электронных цифровых подписей, требуют наличие подписи как сотрудника, представляющего эти данные, так и руководителя, заверяющего достоверность этих данных. К таким системам относится, например, СУФД, Госзакупки, банковские системы, системы исполнения регламентов и т.п.
При получении электронной подписи мы имеем флешку с контейнером закрытого ключа и открытый сертификат. Закрытый ключ на вашей флешке выглядит как папка со случайным набором символов.
В инструкциях к таким системам людей как правило учат устанавливать и использовать сертификаты с флешки. Оно и понятно, так безопасней. Однако те же самые правила предполагают так же отдельные носители для руководителя и специалиста, и тут возникает вопрос. Неужели кто то считает что руководитель на самом деле будет бегать со своей флешкой чтобы подписывать и проверять документы в бухгалтерии? Неужели потом он побежит утверждать закупки организации? Чаще всего ответ — нет. Однако на выходе мы получаем ситуацию, в которой в каждом компьютере воткнуто по несколько накопителей, на каждом из которых лежит по одному-двум сертификатам. Более того, я не раз был свидетелем когда флешки таскались от компа к компу т.к. у люди не знали как скопировать закрытый ключ в реестр или перенести его на другой носитель.
А потому разберем вопрос о том как установить сертификат криптопро в сам компьютер, а точнее в его реестр. Разобьем процедуру установки сертификата в реестр на несколько шагов.
Шаг №1. Вычисляем к какому контейнеру подходит наш сертификат.
Предположим что сертификатов на накопителе у нас много, в таком случае прежде чем копировать закрытый ключ в реестр нам нужно знать какой именно. Запустите КриптоПро и проследуйте во вкладку Сервис.
Нас интересует кнопка «Установить сертификат», жмякните. Через кнопку обзор найдите нужный вам открытый сертификат. Через пару шагов «далее» поставьте галку на пункте «Найти контейнер автоматически». Криптопро просканирует доступные носители и покажет имя ключевого контейнера. Если на этом моменте КриптоПро не найдет ключевой контейнер, значит подходящего к открытому ключу контейнера на флешке нет, либо он был переименован.
Шаг №2. Копируем закрытый ключ.
Теперь мы знаем имя ключевого контейнера, пока что жмем отмену и в том же КриптоПро — Сервис кликаем «Скопировать» — Обзор. Программа покажет все ключевые контейнеры на всех присоединенных носителях, наша задача — найти среди них нужный. Какой именно мы узнали ранее. Мой заканчивался на a259, его я и выбираю.
На следующем этапе можно переименовать контейнер как вам будет удобно. Укажите фамилию и, например, год сертификата, чтобы в дальнейшем легко сориентироваться. На последнем этапе копирования вас спросят пароль от контейнера, он обязательно есть если вы его задавали при создании электронной подписи. Затем нас спросят куда скопировать контейнер. Мы хотим в реестр, чтобы при использовании ЭЦП нам не нужна была флешка. При желании скопировать контейнер на другую флешку выбираем её. Так же программа даст вам возможность задать новый пароль для копии этого контейнера, есть возможность оставить контейнер без пароля. Но тут будьте внимательны, некоторые информационные системы, например СИР, требуют наличия такого пароля на контейнере.
Возможная ошибка:
Ошибка копирования контейнера 0x8007065B: Ошибка исполнения функции.
Данная ошибка возникает при попытке скопировать сертификат на не активированной копии КриптоПро. Просто активируйте =)
Данная ошибка иногда звучит немного иначе, например «Не удалось создать подпись из за ошибки. Ошибка исполнения функции»
Шаг №3. Установка сертификата.
Возвращаемся к первому шагу, жмем «Установить личный сертификат». Так же прожимаем галку «Найти ключевой контейнер автоматически. Поскольку ключ теперь у нас в реестре, Криптопро по-умолчанию подхватит именно его. Нам остается лишь завершить установку прожав далее-далее-готово. В случае если ранее на компьютере сертификат был привязан к контейнеру на флешке, программа предложит его заменить. Соглашаемся.
Всё, флешку можно вынимать. Сертификату больше не нужен носитель для хранения закрытого ключа, закрытый ключ хранится в реестре системы.
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
«Ошибка копирования контейнера: 0х80090023 (-2146893789) Маркер безопасности не имеет доступног
Cherep |
|
|
Статус: Новичок Группы: Участники
|
Напоролся на весьма необычную проблему. При попытке копирования ключевого контейнера (ЭЦП) в устройство хранения ключевой информации Rutoken (при помощи программы КриптоПро) возникает »счастье» — «Ошибка копирования контейнера ХХХХХ: 0х80090023 (-2146893789) Маркер безопасности не имеет доступного места для хранения дополнительного контейнера». Перерыл кучу форумов, включая производителей Rutoken, но ни одно из предложенных решений проблемы не подошло. Судя по инету — косяк замучал не только меня одного… Сводились они к рекомендациям по переустановке утилиты шифрования КриптоПро, драйверов Rutoken, изменении количества контейнеров и проверке доступного места на Rutoken. Сия проблема была обнаружена у клиента на новёхоньком компьютере и свежеустановленной Windows XP Prof RUS. Ошибка повторилась после установки комплекта софта ещё на 3-х компьютерах клиента (тоже новенькие). Изрёк мысль: »Что-то у вас не так с дистрибутивом Windows, т.к. копирование на Rutoken на моём буке прошло без проблем«… Пожал плечами и забыл… ЗРЯ!!! Проблема повторилась спустя пару дней у другого клиента. Опять достал бук и скопировал… Приехав в офис долго изгалялся с подозрительным токеном вплоть до форматирования. Успокоился. Опять ЗРЯ!!! Проблема повторилась на следующем выезде, но бук был с собой и проблемку порешал быстро… ПРИЗАДУМАЛСЯ… ОШИБКА 0х80090023 (-2146893789) •При попытке скопировать ключевой контейнер ЭЦП с USB-флешки на Rutoken ОШИБКА •при попытке скопировать ключевой контейнер ЭЦП откуда угодно (Rutoken, реестр и т.д.) на USB-флешку — открытый ключ не копируется, появляется только каталог закрытого контейнера с шестью файлами. В НОРМЕ •копирование ключевого контейнера ЭЦП с USB-флешки в реестр Windows Сегодня провёл анализ версий установленных драйверов Rutoken у клиентов и сравнил с установленной на буке. Все одинаковые, последние. На буке оказалась старенькая версия, обрадовался и обновил на последнюю — проблема не проявляется… Шит! Не там копал… До кучи проверил версии КриптоПро, везде свеженькие, а на буке старенькая. Поставил последнюю и: «ВОТ ОНО ЧО МИХАЛЫЧ! ВОТ ОНО ЧО!» Проблема проявилась во всей красе! Тудыть!!! Снёс и поставил обратно старенькую КриптоПро — больше проблем нет! косячная версия Версия ядра СКЗИ 3.6.5359 КС1 нормальная версия Версия ядра СКЗИ 3.6.5355 КС1 Источник Отредактировано пользователем 25 декабря 2011 г. 23:27:36(UTC) |
 |
WWW |
|
Laroux |
|
|
Статус: Активный участник Группы: Участники Сказал «Спасибо»: 81 раз |
Не сдержался… вообще не в тему… не реклама (никак, поверьте, не связан с аладином)… Отказались мы от руТокенов в пользу еТокенов. Уже года два как (пусть и чуток дороже). Потому что: |
|
|
WWW |
|
DVAckom |
|
|
Статус: Активный участник Группы: Участники Сказал(а) «Спасибо»: 17 раз |
И что ответили разработчики Rutoken? |
|
|
|
|
Cherep |
|
|
Статус: Новичок Группы: Участники
|
Laroux написал: 3. «привередливые» (см. пример выше) При чем тут Rutoken, если проблема исчезает откатом на старую версию КриптоПро? Цитата: И что ответили разработчики Rutoken? Спасибо за информацию, но Вы обратились не по адресу — мы не являемся разработчиками продукта КриптоПро. Мы с такой проблемой не сталкивались, хотя проверяем свои драйвера периодически на самых разных версиях КриптоПро. К нам так же никогда не обращались пользователи с такой проблемой. Отредактировано пользователем 26 декабря 2011 г. 14:59:35(UTC) |
|
|
WWW |
|
rozhkov |
|
|
Статус: Активный участник Группы: Участники
|
Попробуйте на машине на которой не работает создать новый закрытый ключ вместе с самоподписанным сертификатом следующей командой: |
|
|
|
|
Laroux |
|
|
Статус: Активный участник Группы: Участники Сказал «Спасибо»: 81 раз |
Cherep написал: При чем тут Rutoken, если проблема исчезает откатом на старую версию КриптоПро? ну здрасте… а драйверов вы не ставите? Отредактировано пользователем 26 декабря 2011 г. 15:57:06(UTC) |
|
|
WWW |
|
Cherep |
|
|
Статус: Новичок Группы: Участники
|
Драйвера токена были разными. Глюк проявлялся только на определенной версии КриптоПро и только при копировании с участием флешки |
|
|
WWW |
|
Femi |
|
|
Статус: Padawan Группы: Администраторы Сказала «Спасибо»: 11 раз |
Правильно ли я понимаю, что все эти «проверки» Вы выполняете на одном и том же рутокене? Что по поводу: Цитата: Попробуйте на машине на которой не работает создать новый закрытый ключ вместе с самоподписанным сертификатом следующей командой: ? |
|
Техническую поддержку оказываем тут. |
|
|
|
|
|
Cherep |
|
|
Статус: Новичок Группы: Участники
|
Femi написал: Правильно ли я понимаю, что все эти «проверки» Вы выполняете на одном и том же рутокене? Токены были разные в 3-х вариантах: |
|
|
WWW |
|
Cherep |
|
|
Статус: Новичок Группы: Участники
|
Femi написал: Что по поводу: Цитата: Попробуйте на машине на которой не работает создать новый закрытый ключ вместе с самоподписанным сертификатом следующей командой: ? Всё генерится… Единственное замечание: на косячной версии долго вошкал мышкой, ДСЧ долго что-то соображал… На флешку (000) и токен — генерится все ОК! На флешку сгенерил и на нормальной Крипте (001)
Попытался начать копирование контейнера ан косячной Крипте (и с флешки и токена), спросило новый PIN, а далее вылетело вот это, что ошибкой похоже не является, т.к. сие окошко вылетело и на нормальной версии Крипты
зы: ещё раз повторюсь. Генерация полноценных ключей (закрытый+открытый) идет нормально! Косяк вылазит при копировании с флешки на токен Отредактировано пользователем 27 декабря 2011 г. 14:26:05(UTC) |
|
|
WWW |
| Пользователи, просматривающие эту тему |
|
Guest |
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
«Ошибка копирования контейнера: 0х80090023 (-2146893789) Маркер безопасности не имеет доступног
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Post Views: 8 754
Ошибка копирования контейнера. У вас нет разрешений на экчспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000b: Ключ не может быт использован в указанном состоянии.
Такая вот ошибка стала вылазить, когда хотели скопировать закрытые ключи в реестр. А все дело в том, что при генерации ключа, на том же портале fzs.roskazna.ru вы не придали полю «Экспортируемый закрытый ключ» значения. И оставили его по умолчанию «Нет». Вот такие потом не удобства и возникают. С добавлением ключа в реестр.
Tokens.exe — если неэкспортируемый ключ на токене — тогда эту утилиту юзайте!
При установке обязательно поставьте 3 дополнения которые он предложит. После этого откроется полный функционал для экспорта «не экспортируемых» закрытых ключей с токенов.
CertFix.exe — с флешек лечится этой утилитой.
Чтобы сделать копию такого сертификата, нам нужно:
Запустить утилиту, подождать, когда загрузится список сертификатов. Напротив строки «Поиск» появится информация «Загрузка завершена».
Одновременно нажать кнопку SHIFT на клавиатуре и правой кнопкой мыши кликнуть по нужному контейнеру.
Появится меню «Сделать экспортируемым». Выбираем вариант в зависимости от расположения контейнера.
В принципе на этом все. Пользуемся, очень много случаев — когда по незнанию люди переделывали ЭЦП. А это время и нервы.
RG45
Случайный прохожий
-
#1
Привет форумчане. Есть usb токен с личным сертификатом пользователя. Задача скопировать сертификат на другой токен.
На компьютере с windows 7 установлено Крипто ПРО 64 разряда, при попытке копировать контейнер появляется ошибка:
Ошибка копирования контейнера 123: Ошибка 0x80090020 (-2146893792) Внутренняя ошибка.
Сертификат копируется с токена Aladdin eToken PRO 72k (java) на такой же. В реестр сертификат записывается без проблем, а на другой токен нет. Помогите с ошибкой..
Последнее редактирование модератором: 08.11.2018
-
#2
Нужно зарезервировать 4кб в контейнерах. Нужно воспользоваться программкой во вложении.
Скачиваем программу, вставляем токен на который копируем, нажимаем на кнопку в программе.
Далее повторите копирование контейнера через крипто про.
-
container_util.exe.zip
37,4 КБ
· Просмотры: 3
Последнее редактирование модератором: 08.11.2018
Содержание материала
- Копирование закрытого ключа через оснастку КриптоПро
- Ошибка копирования контейнера
- Перенос сертификатов из реестра без КриптоПРО
- Перенос сертификатов в виде пошаговой инструкции
- Свежие записи
- Экспорт PFX-файла иего установка
- Копирование напрофиле Диагностики
- Перенос сертификатов из реестра через Internet Explorer
- Массовый перенос сертификатов ЭЦП
Копирование закрытого ключа через оснастку КриптоПро
Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.
Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.
Ошибка копирования контейнера
Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:
Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии. Либо вы просто не сможете его выбрать для копирования, если у вас последняя версия CryptoPro. Он будет неактивен:
Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему. Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Делаем это там же на вкладке Сервис в оснастке CryptoPro. Нажимаем Посмотреть сертификаты в контейнере.
Выбираем необходимый сертификат и нажимаем Посмотреть свойства сертификата.
Далее переходим на вкладку Состав в информации о сертификате и нажимаем Копировать в файл.
Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ «Да, экспортировать закрытый ключ«, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.
Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, кроме удаления. Так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.
Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке из оснастки Crypto Pro, жмёте Копировать в файл, экспортировать БЕЗ закрытого ключа. И выбираете файл формата .CER.
Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него. В итоге у вас должны получиться 2 файла с расширениями:
- .pfx
- .cer
Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам нужно будет выбрать все параметры по умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер. Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.
Перенос сертификатов из реестра без КриптоПРО
Существуют методы экспортировать закрытый ключ и без изспользования утилиты КриптоПРО. Представим себе ситуацию, что у вас на него кончилась лицензия и вы не успели ее купить. Вам нужно сдать отчетность в СБИС. Вы развернули CryptoPRO на другом компьютере, так как он позволяет 3 месяца бесплатного использования, осталось для СБИС выполнить перенос сертификатов, которые у вас в реестре Windows.
У нас два варианта:
- Использование оснастки mmc-Сертификаты пользователя.
- Использование Internet Explore
Как открыть оснастку сертификаты я уже подробно рассказывал, посмотрите. Откройте там контейнер «Личное — Сертификаты». Если у вас в контейнере не один сертификат с одинаковым именем, такое может быть, то откройте сертификат в оснастке mmc и в КриптоПРО и сравните серийные номера сертификата.
В Internet Explore, откройте «Свойства браузера — Содержание — Сертификаты»
Теперь нам необходимо его экспортировать, в оснастке «Сертификаты», через правый клик, это можно сделать, в Internet Explorer, сразу видно кнопку, экспорт.
У вас откроется мастер переноса сертификатов, на первом шаге, просто нажимаем далее. После чего вас спросят, что вы хотите экспортировать, выбираем пункт «да, экспортировать закрытый ключ вместе с сертификатом»
Если ваш закрытый ключ запрещено экспортировать, то эта кнопка будет не активна, и можете сразу закрывать данный метод и переходить к следующему.
Следующим этапом в мастере экспорта сертификатов, вам необходимо выбрать формат выгрузки, это будет PFX архив.
Далее вы задаете обязательно пароль и указываете имя и место, где будите сохранять ваш переносимый контейнер с зарытым ключом в формате pfx.
Мастер экспорта сертификатов, выведет вам сводные данные, нажимаем «Готово».
Отрываем локацию, куда вы его выгрузили, и найдите свой pfx архив.
Теперь вам нужно еще выгрузить открытый ключ в формате cer, для этого так же зайдите в мастер экспорта, но на этот раз выберите «Нет, не экспортировать закрытый ключ».
Выберите формат файла «X.509 (.CER) в кодировке DEP», задайте ему имя и место сохранения. На выходе у вас появятся два файла.
Одни открытый ключ в формате cer и закрытый ключ в формате pfx. Этого набора вам будет достаточно, чтобы перенести сертификаты СБИС, Контура и остальных программ на другой компьютер.
Теперь перенесите эти файлы на другое рабочее место и просто запустите, через простой двойной клик. У вас откроется мастер импорта сертификатов, на первом окне выберите нужное вам хранилище, я в своем примере оставлю «Текущий пользователь».
На втором шаге проверяем импортируемый сертификат.
Указываем пароль, который задавали при выгрузке.
Оставляем автоматический выбор хранилища на основе типа сертификатов.
Готово. Со вторым файлом то же самое. После чего у вас будут перенесены нужные вам ключи и сам сертификат, можно работать.
Перенос сертификатов в виде пошаговой инструкции
Первые два пункта я описывать тут не стану, так как я уже это подробно рассказывал, посмотрите по ссылкам. Я расскажу, об остальных методах и начнем мы с классического КриптоПРО.
Данный метод подойдет для тех ситуаций, когда у вас один или 2 сертификата (ЭЦП). Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит, и там придется выбирать 4-й метод.
Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты
Свежие записи
- Качество воздуха в квартире
- Трояны и бэкдоры в кнопочных мобильных телефонах российской розницы
- Решение проблемы «Ошибка инициализации модуля: EF_00_00XXXXXX» при обновлении конфигурации 1С:Предприятие
- Поддельная точка доступа на ESP8266
- Как работать с API без знаний программирования: применяем опыт топ-агентств по SEO
Экспорт PFX-файла иего установка
Экспорт сертификата с закрытым ключом:
- Откройте окно «Сертификаты» одним из способов:
- «Пуск» → «Все программы» → «КриптоПро» → «Сертификаты».
- «Internet Explorer» → «Сервис» → «Свойства обозревателя» → вкладка «Содержание» → «Сертификаты.
- Откройте сертификат, который нужно скопировать. На вкладке «Состав» нажмите «Копировать в файл».
- В «Мастере экспорта сертификатов» нажмите «Далее» и выберите пункт «Да, экспортировать закрытый ключ». Нажмите «Далее».
- Выберите пункты «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства», остальные пункты должны быть не выбраны. Нажмите «Далее».
- Обязательно задайте пароль для экспортируемого файла. Данный пароль не рекомендуется сообщать по электронной почте. Нажмите «Далее».
- Укажите имя файла, выберите путь, куда его сохранить, и нажмите «Далее».
- Нажмите «Готово».
- Экспортируйте открытый ключ сертификата (см. Экспорт открытого ключа).
- Заархивируйте полученные файлы форматов *.pfx и *.cer.
Установка сертификата с закрытым ключом
- Откройте *.pfx файл. Запустится «Мастер импорта сертификатов».
- Укажите хранилище «Текущий пользователь» и нажмите «Далее», затем снова «Далее».
- Введите пароль, который указывали при экспорте и выберите пункт «Пометить этот ключ как экспортируемый…», иначе контейнер нельзя будет скопировать в дальнейшем. Нажмите «Далее».
- Выберите пункт «Поместить все сертификаты в следующее хранилище», нажмите на кнопку «Обзор», выберите «Личное» и нажмите на кнопку «ОК». Нажмите «Далее», а затем «Готово».
- Выберите носитель, на который хотите сохранить контейнер. При необходимости задайте пароль.
- Для корректной работы сертификата со встроенной лицензией переустановите сертификат в контейнер (см. Как установить личный сертификат в КриптоПро).
Копирование напрофиле Диагностики
- Зайдите на профиль Диагностики «Копирования» по ссылке .
- Вставьте носитель, на который необходимо скопировать сертификат.
- На нужном сертификате нажмите на кнопку «Скопировать».
- Если на контейнер был задан пароль — появится сообщение «Введите пароль для устройства с которого будет скопирован сертификат». Введите пароль и нажмите «Далее».
- Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».
- Укажите имя новому контейнеру и нажмите на кнопку «Далее».
- Должно появиться сообщение об успешном копировании сертификата.
Перенос сертификатов из реестра через Internet Explorer
Для создания копии дубликата ЭЦП на флешке нужно:
- в IE открыть «Свойства браузера» / «Содержание» / «Сертификаты» / «Экспорт»;
- через правую клавишу мышки в оснастке нужного сертификата выбрать «Экспорт»;
- в мастере переноса сертификатов ЭЦП сначала нажимают «Далее», а затем напротив пункта«Экспортировать закрытый ключ вместе с сертификатом» ставят галочку;
- если эта область неактивна, значит, ключ защищен от копирования, и данный способ не подходит;
- если все работает, то следующий шаг — выбор формата загрузки;
- далее пользователь задает пароль и указывает место хранения закрытого ключа;
- завершается процесс нажатием «Готово».
Массовый перенос сертификатов ЭЦП
Данный способ переноса сертификатов ЭЦП подходит как для защищенных ключей, так и для большого объема информации (если нужно скопировать сразу несколько ключей для работы в системе СБИС и т.п.).
Как скопировать ЭЦП на флешку:
- через командную строку задать команду whoami /USER;
- значение S-1-5-21-551888299-3078463796-888888888-46162 — это SID личной учетной записи. С его помощью можно выгрузить закрытые ключи. Пользователь открывает новую ветку командой:
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsUsersSIDKeys
- контейнер keys содержит все закрытые ключи электронной подписи, а в соседнем окне будет список файлов. Правой кнопкой мыши нужно кликнуть по контейнеру и выбрать его экспорт;
Далее пользователю необходимо скопировать и открытые ключи. Для этого вводят команду:
C:Usersимя вашего пользователяAppDataRoamingMicrosoftSystemCertificatesMy
Хранится они могут в закрытой папке, поэтому предварительно желательно включить скрытые файлы и папки в настройке ОС. Перенести необходимо все содержимое папки:
Для нового хранения используют папку key с закрытыми ключами, сохраненный файл можно открыть через любой текстовый редактор. В новом файле значение для SID нужно заменить на значение пользователя, после чего подтвердить начало выгрузки сертификатов:
Если все сделано правильно, то через несколько секунд появится уведомление об успешно выполненной операции:
Необходимость копирования ключей ЭЦП на флешку или другой ПК может быть вызвана неисправностью компьютера, частыми поездками и невозможностью использовать только один носитель, а также работой с большими объемами отчетности. Перенести данные электронной подписи на другой носитель можно при помощи стандартного ПО КриптоПро или Internet Explorer. Эти способы просты, но не подходят для работы с защищенными ключами. Скопировать закрытые ключи, имеющие защиту УЦ, можно при помощи массового переноса через командную строку Windows.