Как создать контейнер для сертификата в криптопро

Правильная установка ключа в КриптоПро и установка плагина КриптоПро ЭЦП Browser plug-in

КриптоПро ЭЦП Browser plug-in — является встраиваемым модулем в КриптоПро CSP и используется для создания и верификации ЭП на веб-страницах. Соответственно, плагин дополняет КриптоПРо ЭП. Чтобы купить программу КриптоПро CSP и дополнительные модули в SoftMagazin, необходимо определиться с нужным типом лицензии.

Как установить электронную подпись КриптоПро

Для установки электронной подписи необходим контейнер с ключевой информацией (флешка, RuToken и другие). Программа КриптоПро CSP должна быть установлена на компьютере. Запустив ПО, во вкладке Сервис необходимо нажать на кнопку «Посмотреть сертификаты в контейнере». После этого подключить накопитель с контейнером. Выбрав ключевой контейнер, необходимо будет ввести пин-код.

В информационном окне появятся данные о сертификате, если они соответствуют нужным, выберите Свойства. Перейдя во вкладку общие нужно будет нажать на кнопку «Установить сертификат» и выбрать личное хранилище. Стоит убедиться также в наличии корневого сертификата. Эти этапы составляют основные шаги по установке ЭП. Далее потребуется работа с Outlook, Microsoft Word и другими программами.

Установка контейнера КриптоПро

Для установки контейнера должен быть установлен и верифицирован сертификат в Личном Хранилище/Кабинете. После это нужно выполнить действия, описанные выше.

Для самостоятельного создания ключевого контейнера одним из вариантов будет создание тестового варианта на сайте тестового Удостоверяющего Центра. Здесь можно получить сертификат открытого ключа проверки ЭП. Для этого необходимо будет создать открытый и закрытый ключи и данные подтверждающие связь сертификата и его владельца.

Как установить ключ в КриптоПро

При использовании большого количества на одном ПК электронных подписей, может возникнуть надобность установить ключ в реестр КриптоПро (скопировать). Для этого необходимо подключить съемный носитель с реестром КриптоПро. Открыв ПО через меню Пуск нужно будет выбрать вкладку Оборудование и нажать на «Настроить считыватели». Реестр может быть виден сразу, если его нет, потребуется создать через Мастер Установки Считывателей.

Чтобы скопировать ключ ЭЦП, нужно зайти в программе во вкладку Сервис. Выбрав «Скопировать», выбираем подключенный носитель в окне обзора. Затем потребуется ввести пароль контейнера, задать ему имя и нажать «Готово». Следует выбрать наименование Реестр и придумать новый пароль для контейнера. После копирования контейнера не забудьте установить личный сертификат в хранилище.

Как установить контейнер закрытого ключа в КриптоПро

Для установки контейнера закрытого ключа потребуется перейти на вкладку Сервис и выбрать пункт «Скопировать контейнеры». Вставив накопитель с ключевым контейнером, нужно будет его выбрать в окне обзора. Выбрав контейнер и нажав «Ок», нужно будет задать имя контейнера. Затем в окне выбора считывателя потребуется выбрать устройство и создать пароль.

Установить Рутокен в КриптоПро

Благодаря использованию Рутокен можно надежно защитить информацию от несанкционированного доступа. Защищенная файловая система сохранит в безопасности данные благодаря криптографическому шифрованию. Создано специально ПО, которое объединяет возможности двух программ — КриптоПро Рутокен CSP. Объединив идентификатор и СКЗИ получился надежный модуль, на котором можно безопасно хранить данные.

Так как все действия выполняются внутри ключа-идентификатора и протокол обмена данными защищен уникальной технологией, рационально использовать подобный дистрибутив при работе с электронными документами высокой важности. Если использовать отдельно Рутокен, необходимо прежде всего установить драйвера на ПО. Нельзя подключать идентификатор до установки драйверов. После инсталляции потребуется установка модулей поддержки для КриптоПро. Пройдя этапы подготовки, можно подключать ключ Рутокен. Затем следует запустить программу КриптоПро и во вкладке Оборудование настроить считыватели. Для работы идентификатора нужно выбрать пункт «Все считыватели смарт-карт» и нажать «Далее».

Как установить КриптоПро ЭЦП Browser plug-in

Плагин используется при создании и верификации электронной подписи, при работе на веб-страницах, когда используется ПО КриптоПро. Легко встраиваемый ЭЦП Browser plug-in поддерживает возможность работать с любым из браузеров, которые поддерживает сценарии JavaScript. Подпись может создаваться для разных типов данных: веб-страницы, текстовые сообщения, электронные документы. Если вам необходимо установить КриптоПро ЭЦП Browser plug-in, воспользуйтесь рекомендациями, приведенными ниже.

Для того чтобы установить КриптоПро ЭЦП Browser plug-in потребуется один из современных браузеров, который должен быть установлен на компьютере. Необходимо найти установочный файл и запустить его. Следуя указания Мастера Установки выполнить все этапы установки. После этого необходимо будет перезайти в веб-браузер. При новом запуске браузера должна появиться информация, что плагин загружен. Если требуется установить плагин для UNIX-платформ, обязательно потребуется установка пакета cprocsp-rdr-gui-gtk.

Установка корневого и личного сертификатов в КриптоПро

Из нашей статьи вы узнаете:

При работе с ЭЦП во время подписи документов может понадобиться установка нового сертификата с использованием «КриптоПро CSP» — например, когда у ЭЦП закончился срок, произошла смена главного бухгалтера или директора предприятия, либо необходима установка нового сертификата после оформления в удостоверяющем центре.

Для корректной работы может потребоваться установка личного и корневого сертификата в КриптоПро. Чтобы это сделать придерживайтесь следующей инструкции.

Установка личного сертификата

Для того чтобы установить сертификат с помощью «КриптоПро CSP», выполните следующий алгоритм:

Обратите внимание, что при установке система запоминает последний контейнер, с которого была проведена операция. Например, если вы установили личный сертификат из реестра вашего компьютера, а потом повторили процедуру с флешки, то при отсутствии последней система не сможет найти контейнер.

Как установить корневой сертификат КриптоПро

Для корректной работы сервера надо установить предварительно корневой сертификат в ваше хранилище. Для его получения необходим тестовый центр по сертификации продукта, куда можно попасть при наличии прав администратора. Также для предотвращения проблем необходимо добавить адрес интернет-сайта в список доверенных. Запросите сертификат, загрузив его из сертификационного центра. Чтобы его установить, откройте его и выполните следующие действия:

Если процесс пройдёт корректно, то корневой сертификат появится в хранилище среди доверенных центров.

Как установить контейнер закрытого ключа в реестр

После успешного копирования контейнера личный сертификат нужно установить в хранилище «Личные».

Ошибки при установке

Довольно распространённой проблемой при установке становится зависание компьютера. Обычно это связано с установкой нелицензионного ПО, наличием ошибок или отсутствием критических обновлений. Также проблемы могут возникнуть в следующих случаях:

Для корректной работы рекомендуем использовать только лицензионное ПО. Приобрести его и получить комплексную техническую поддержку можно в компании «Астрал-М». Мы входим в число официальных дилеров компании «КриптоПро», что подтверждает информация на сайте разработчика. Обращаясь в «Астрал-М», вы получаете:

Для приобретения электронной подписи или криптопровайдера заполните форму обратной связи, чтобы наш специалист связался с вами.

Создать закрытый ключ по сертификату

Мы опишем установку сертификата электронной подписи и закрытого ключа для ОС семейства Windows. В процессе настройки нам понадобятся права Администратора (поэтому нам может понадобится сисадмин, если он у вас есть).

Если вы еще не разобрались что такое Электронная подпись, то пожалуйста ознакомьтесь вот с этой инструкцией. Или если еще не получили электронную подпись, обратитесь в Удостоверяющий центр, рекомендуем СКБ-Контур.

Хорошо, предположим у вас уже есть электронная подпись (токен или флешка), но OpenSRO сообщает что ваш сертификат не установлен, такая ситуация может возникнуть, если вы решили настроить ваш второй или третий компьютер (разумеется подпись не «прирастает» только к одному компьютеру и ее можно использовать на нескольких компьютерах). Обычно первоначальная настройка осуществляется с помощью техподдержки Удостоверяющего центра, но допустим это не наш случай, итак поехали.

1. Убедитесь что КриптоПро CSP 4 установлен на вашем компьютере

Для этого зайдите в меню Пуск КРИПТО-ПРО КриптоПро CSP запустите его и убедитесь что версия программы не ниже 4-й.

Если ее там нет, то скачайте, установите и перезапустите браузер.

2. Если у вас токен (Рутокен например)

Прежде чем система сможет с ним работать понадобится установить нужный драйвер.

Алгоритм такой: (1) Скачиваем; (2) Устанавливаем.

Для токена может понадобиться стандартный (заводской) пин-код, здесь есть стандартные пин-коды носителей.

3. Если закрытый ключ в виде файлов

(Если вы не боитесь командной строки, то съемный носитель можно сэмулировать примерно так: subst x: C: mp появится новый диск (X:), в нем будет содержимое папки C: mp, он исчезнет после перезагрузки. Такой способ можно использовать если вы планируете установить ключи в реестр)

Нашли файлы, записали на флешку, переходим к следующему шагу.

4. Установка сертификата из закрытого ключа

Теперь нам нужно получить сертификат, сделать это можно следующим образом:

5. Использование электронной подписи без токена или флешки (установка в реестр)

Если скорость и удобство работы для вас стоит чуть выше чем безопасность, то можно установить ваш закрытый ключ в реестр Windows. Для этого нужно сделать несколько простых действий:

Чтобы для сертификата проставить ссылку на этот закрытый ключ выполните действия из пункта (4).

Важное замечание: портал OpenSRO не «увидит» сертификат, если вышел срок его действия.

Многие компоненты современной ИТ инфраструктуры достаточно тесно завязаны на использование сертификатов. Что же делать, если сертификат поврежден, или же создан без правильно сгенерированного закрытого ключа? С таким «голым» файлом сертификата не будут корректно работать такие сетевые сервисы, как Exchange, IIS и т.д.
Поэтому решил составить инструкцию по пересозданию закрытого ключа для установленного сертификата:

Результат выполнения команды будет примерно следующий, главное чтобы в нем была следующая строка «repairstore command completed successfully»:

После чего в окне сертификата появится маленький золотой ключик, обозначающий что у вас имеется закрытый ключ и внизу появится надпись «You have a private key that corresponds to this certificate«.

Сохранность приватного ключа SSL

Организации, выдающие SSL сертификаты безопасности, не имеют доступа к вашему закрытому (или приватному) ключу шифрования – и не должны иметь – поскольку закрытые ключи создаются на уровне пользователя, то есть на вашем сервере или компьютере. Даже если Вы генерируете CSR запрос и приватный ключ на нашем сайте, Вы должны сохранить его у себя, так как на нашем сервере информация о ключе не сохраняется. Два главных фактора, от которых зависит криптографическая безопасность закрытого ключа, – это количество и случайная последовательность простых чисел, используемых при его создании. По сути, закрытый ключ — это файл с набором чисел, сгенерированных случайным образом. Конфиденциальность этой информации является гарантией безопасности вашего ключа на протяжении всего периода использования SSL-сертификата. Чтобы обеспечить сохранность вашего закрытого ключа, доступ к нему следует разрешать только тем членам вашей организации, кому он действительно необходим, например, системному администратору, который занимается установкой SSL сертификата. Кроме того, рекомендуется изменять закрытый ключ (и перевыпускать соответствующий SSL сертификат) всякий раз, когда сотрудник, располагавший доступом к нему, покидает вашу организацию.

Как найти приватный ключ SSL?

Ваш приватный ключ создается, как правило, в тот момент, когда Вы генерируете CSR запрос, или же непосредственно перед этим. Если для управления вашими приватными ключами вы используете OpenSSL (например, вы пользуетесь дистрибутивами Linux на основе Debian или Red Hat), то при выполнении команды OpenSSL req приватный ключ обычно сохраняется в том же каталоге, где была инициирована команда. Если вы используете веб-сервер Microsoft IIS, то ваш закрытый ключ SSL хранится в скрытой папке на сервере-отправителе запроса на выпуск SSL сертификата (который еще называется Certificate Signing Request или сокращенно CSR-запрос). При правильной установке, сертификат сервера будет совпадать с приватным ключом. Если приватный ключ отсутствует, это может означать:

Разные устройства и серверы используют разные методы хранения и создания приватных ключей. Зачастую определить расположение приватного ключа на сервере довольно сложно. Ознакомление с документацией вашего устройства – самый быстрый способ разобраться, где именно приватные ключи хранятся на вашем сервере.

Как создать закрытый ключ?

Если вы не смогли найти ваш закрытый ключ SSL или еще не создали его, вам нужно будет это сделать, если вы хотите получить SSL сертификат. Как правило закрытый ключ нужно создавать на сервере, на котором вы планируете установить сертификат. При этом его нужно создать перед тем, как генерировать CSR-запрос или же вместе с ним, если ваше устройство это позволяет. Некоторые программы автоматизируют эти задачи, что значительно ускоряет весь процесс. Чтобы выпустить SSL сертификат, сертификационный центр «подписывает» ваш CSR-запрос, именно поэтому при оформлении сертификата, с Вами будут говорить именно о генерации CSR запроса на получение SSL сертификата, а не о создании приватного ключа. Здесть вам важно понимать, что создание CSR запроса подразумевает и создание приватного ключа. Определенному CSR запросу соответствует только один приватный ключ. Поэтому, если вы утеряли закрытый ключ (не сохранили его или случайно удалили), необходимо инициировать перевыпуск SSL сертификата с новым приватным ключом. Для этого, соответственно, необходимо создать новый CSR запрос. Поставщики SSL-сертификатов, должны предоставлять информацию о генерации приватного ключа и CSR-запроса. Инструкции, по созданию CSR-запроса и приватного ключа вы можете найти на нашем сайте. Вы также можете использовать сервис для создания приватного ключа и CSR-запроса на нашем сайте. Для этого необходимо заполнить соответствующие поля в формуляре на латинице по примеру, как показано на изображении: В поле страна важно указать сокращенное название страны прописными буквами. Далее следует заполнить город и область, в которых вы проживаете или в которых зарегистрирована ваша организация, если сертификат заказываете как юридическое лицо. Если вы заказываете OV SSL сертификат с проверкой компании или еще более надежный EV SSL сертификат с расширенной проверкой, важно, чтобы заполненные данные совпадали с информацией в регистрационных документах вашей фирмы. Если заказываете простой сертификат, это не настолько важно, главное – не оставлять пустых полей. Также при заполнении формы лучше не использовать специальных символов, так как не все центры сертификации принимают содержащие их CSR запросы. В поле «Доменное имя» введите домен, для которого вы оформляете SSL сертификат. Если вы заказали Wildcard SSL сертификат с поддержкой поддоменов, в этом поле следует указать домен со звездочкой вначале, например, *.emaro-ssl.ru. После заполнения всех полей создается CSR запрос и ваш приватный ключ, которые выглядят следующим образом: Очень важно на данном этапе сохранить ваш закрытый ключ, так как в целях обеспечения конфиденциальности он не сохраняется на нашем сервере и восстановить его не будет возможности. Если вы не сохраните закрытый ключ SSL, нужно будет создавать новый CSR запрос и перевыпускать SSL сертификат, что мы делаем для наших клиентов бесплатно.

Генерация закрытого ключа для сертификата

Мы опишем установку сертификата электронной подписи и закрытого ключа для ОС семейства Windows. В процессе настройки нам понадобятся права Администратора (поэтому нам может понадобится сисадмин, если он у вас есть).

Если вы еще не разобрались что такое Электронная подпись, то пожалуйста ознакомьтесь вот с этой инструкцией. Или если еще не получили электронную подпись, обратитесь в Удостоверяющий центр, рекомендуем СКБ-Контур.

Хорошо, предположим у вас уже есть электронная подпись (токен или флешка), но OpenSRO сообщает что ваш сертификат не установлен, такая ситуация может возникнуть, если вы решили настроить ваш второй или третий компьютер (разумеется подпись не «прирастает» только к одному компьютеру и ее можно использовать на нескольких компьютерах). Обычно первоначальная настройка осуществляется с помощью техподдержки Удостоверяющего центра, но допустим это не наш случай, итак поехали.

1. Убедитесь что КриптоПро CSP 4 установлен на вашем компьютере

Для этого зайдите в меню Пуск КРИПТО-ПРО КриптоПро CSP запустите его и убедитесь что версия программы не ниже 4-й.

Если ее там нет, то скачайте, установите и перезапустите браузер.

2. Если у вас токен (Рутокен например)

Прежде чем система сможет с ним работать понадобится установить нужный драйвер.

Алгоритм такой: (1) Скачиваем; (2) Устанавливаем.

Для токена может понадобиться стандартный (заводской) пин-код, здесь есть стандартные пин-коды носителей.

3. Если закрытый ключ в виде файлов

(Если вы не боитесь командной строки, то съемный носитель можно сэмулировать примерно так: subst x: C: mp появится новый диск (X:), в нем будет содержимое папки C: mp, он исчезнет после перезагрузки. Такой способ можно использовать если вы планируете установить ключи в реестр)

Нашли файлы, записали на флешку, переходим к следующему шагу.

4. Установка сертификата из закрытого ключа

Теперь нам нужно получить сертификат, сделать это можно следующим образом:

5. Использование электронной подписи без токена или флешки (установка в реестр)

Если скорость и удобство работы для вас стоит чуть выше чем безопасность, то можно установить ваш закрытый ключ в реестр Windows. Для этого нужно сделать несколько простых действий:

Чтобы для сертификата проставить ссылку на этот закрытый ключ выполните действия из пункта (4).

Важное замечание: портал OpenSRO не «увидит» сертификат, если вышел срок его действия.

Один из этапов получения электронной подписи — генерации ключевого контейнера и запроса на сертификат.

ЭП для работы на торговых площадках НЕЛЬЗЯ генерировать на незащищенный носитель (флэшка, реестр, дискета) и токен со встроенной СКЗИ (Рутокен ЭЦП, JaCarta SE).

Чтобы приступить к генерации в заявке на электронную подпись, нажмите кнопку «Подготовить ключ ЭП» и вставьте чистый носитель, на котором будет хранится электронная подпись. Дальнейший порядок зависит от того СКЗИ, которым вы пользуетесь:

КриптоПро CSP

Рутокен ЭЦП и Рутокен ЭЦП 2.0

Перед генерацией ЭП на Рутокен ЭЦП или Рутокен ЭЦП 2.0, кроме ситуаций продления ЭП, необходимо выполнить форматирование носителя.

Введите пароль на носитель и нажмите «Ок».

Если на вашем компьютере уже установлено СКЗИ, дополнительно появится окно выбора СКЗИ. Выберите Рутокен ЭЦП и нажмите «Ок».

JaCarta PKI/ГОСТ/SE

Перед генерацией ЭП на JaCarta PKI/ГОСТ/SE, кроме ситуаций продления ЭП, необходимо выполнить инициализацию носителя.

Введите пароль (pin-код ГОСТ) на носитель и нажмите «Ок».

Если на вашем компьютере уже установлено СКЗИ, дополнительно появится окно выбора СКЗИ. Выберите JaCarta ГОСТ и нажмите «Ок».

КСКПЭП – квалифицированный сертификат ключа проверки электронной подписи.
КЭП – квалифицированная электронная подпись.

Криптопровайдер – средство защиты криптографической защиты информации. Программа с помощью которой генерируется закрытая часть электронной подписи и которая позволяет производить работу с электронной подписью. Данная галочка проставляется автоматически.

Экспортируемый ключ – возможность копирования электронной подписи на другой носитель. При отсутствии галочки копирование электронной подписи будет невозможно.

ЛКМ – левая кнопка мыши.

ПКМ – правая кнопка мыши.

CRM-AGENT – приложение, разработанное специалистами УЦ для упрощения процедуры генерации ключевой пары, создания запроса и записи сертификата.

После посещения удостоверяющего центра и прохождения процедуры сверки личности, на указанную Вами в заявлении электронную почту, УЦ прислал письмо, содержащее ссылку для генерации. Если Вы не получали письма, обратитесь к Вашему менеджеру или в Техническую поддержку УЦ по контактному номеру из этого руководства.

Рис.1 – Страница генерации

Нажмите на ссылку «Скачать приложение» для начала загрузки. Если ничего не произошло после нажатия, кликните по ссылке ПКМ > «Открыть ссылку в новой вкладке». После скачивания приложения запустите установку.

В процессе установки приложения « crm – agent » появится сообщение с запросом доступа (Рис.2).

Рис.2 – Запрос доступа

После окончания установки приложения вернитесь на страницу с генерацией. Появится сообщение о «Предоставлении доступа» (Рис.3).

Рис.3 – Доступ к хранилищу сертификатов

Нажмите «Продолжить» и, в появившемся окне, «Предоставить доступ» (Рис.4).

Рис.4 – Доступ к хранилищу сертификатов 2

Если не появилась кнопка «Продолжить»

Для устранения ситуации необходимо:

Отключить антивирус, установленный на вашем компьютере;

Открыть новую вкладку в браузере;

Ввести в адресную строку браузера адрес без пробелов – 127.0.0.1:90 – и перейти (нажать Enter на клавиатуре);

При появлении сообщения браузера «Ваше подключение не защищено», добавьте страницу в исключения браузера. Например, Chrome : «Дополнительные» – «Все равно перейти на сайт». Для остальных браузеров воспользуйтесь соответствующей инструкцией разработчика.

После появления сообщения об ошибке, вернитесь на страницу с генерацией и повторите Пункт 2 данной инструкции.

В случае, если у вас отсутствуют предустановленные криптопровайдеры, после этапа предоставления доступа появятся ссылки для скачивания КриптоПРО (Рис.5).

Рис.5 – Загрузка КриптоПРО

Это важно: приложение « crm – agent » обнаруживает любые криптопровайдеры на компьютере, и, если у Вас установлена отличная от КриптоПРО CSP программа (например, VipNET CSP ), свяжитесь со специалистами технической поддержки УЦ для консультации.

Нажмите на ссылку «КриптоПРО 4.0» на странице генерации или на аналогичную ссылку ниже для загрузки файла установки КриптоПРО на компьютер.

Рис.5 – Установка КриптоПРО

Пропустите окно, нажав «Далее». Установка КриптоПРО завершена.

Таблица 1 – Драйверы для защищенных носителей

Внешний вид USB-носителя

Ссылка на загрузку драйверов

ruToken

12345678

eToken

1234567890

JaCarta LT

1234567890

MS-Key

11111111

Esmart *

12345678

JaCarta LT Nano

JaCarta ГОСТ

JaCarta S/E

1234567890

Визуально определите ваш носитель.

Для работы с одним из этих носителей необходимо установить драйвер. Перейдите по соответствующей ссылке, скачайте драйвер и установите его на компьютер. Установку драйвера проводите с параметрами по умолчанию.

Теперь Вы можете приступать к формированию запроса на сертификат. На экране у вас появится сообщение об этом (Рис.6). Нажмите кнопку «Продолжить» для начала формирования запроса.

Рис.6 – Начало формирования запроса

Откроется дополнительное окно с предложением выбрать, куда записать КЭП (Рис.7). Есть возможность выбрать в качестве носителя:

Реестр – хранилище «внутри» компьютера;

Диск – обычный флэш-накопитель;

Рис.7 – Выбор носителя

Передвигая ползунок, выберите носитель для хранения КЭП и нажмите «ОК». Если был выбран «Реестр», то система в дальнейшем предупредит о возможном риске. Продолжите, если Вы осознанно выбрали реестр в качестве носителя для КЭП. Если случайно, то повторите формирование запроса повторно.

Это важно: в качестве хранилища КЭП для электронных торговых площадок можно использовать только защищенный носитель — токен. Если нет токена или драйвер установлен, но сам токен не работает, то свяжитесь со специалистами технической поддержки УЦ для консультации.

После выбора носителя откроется окно генерации «Датчик случайных чисел» (Рис.8). Для заполнения шкалы необходимо быстро и часто нажимать на цифровые клавиши на клавиатуре или передвигать мышь в пределах окна. Может потребоваться повторить процедуру несколько раз.

Рис.8 – Датчик случайных чисел

По окончанию процесса откроется окно с предложением задать пароль (Рис.8) для контейнера, если был выбран обычный флеш-накопитель или реестр. Рекомендуется не задавать пароль и пропускать данный пункт нажатием кнопки «ОК» без ввода и подтверждения пароля.

Это важно: количество попыток ввода pin ограничено и, если pin введен неверно несколько раз, то носитель может быть заблокирован. В таком случае, свяжитесь со специалистами технической поддержки УЦ для консультации.

При успешном завершении генерации появится следующее (Рис.9) сообщение:

Рис.9 – Завершение генерации

Завершена процедура по созданию закрытой части ключа электронной подписи и отправка запроса на сертификат. Если в качестве носителя у Вас флеш-накопитель (флешка), то доступ к файлам электронной подписи открыт пользователям и антивирусному ПО. В таком случае есть риск утери закрытой части, после чего потребуется перевыпуск. Чтобы обезопасить себя от нежелательных последствий хранения КЭП на флеш-накопителе, сохраните копию папки с флеш-накопителя на своём компьютере и заархивируйте скопированный образец.

Это важно: категорически не рекомендуется осуществлять действия с этими файлами: перенос, изменение наименования, редактирование. При утере электронной подписи, требуется платный перевыпуск КЭП. Создавать копию созданной в процессе генерации папки – безопасно.

Спустя 5 минут после завершения этапа генерации, обновите страницу генерации, нажав клавишу F5 или соответствующую кнопку в браузере. Если запрос на выпуск сертификата уже одобрили, появится страница для записи сертификата в контейнер ключа (Рис.10). По ссылке из пункта 1 «Скачайте бланк для подписи» на этой странице скачайте бланк сертификата, распечатайте его. Владелец сертификата, на чье имя была выпущена КЭП, должен подписать бланк.

Рис.10 – Сертификат одобрен

Подписанный документ необходимо отсканировать и загрузить скан на сервер нашего удостоверяющего центра с помощью кнопки на этой же странице. После этого станут доступны две ссылки (Рис.11).

Рис.11 – Бланк загружен

Кликните на ссылку «Записать сертификат на ключевой носитель», откроется дополнительное окно (Рис.12).

Рис.12 – Запись сертификата

Нажмите кнопку «Продолжить» – в появившемся окошке «Предоставить доступ». Для завершения записи кликните кнопку «Начать». Появится сообщение об успехе операции (Рис. 13).

Рис.12 – Завершение записи сертфиката

Все готово, электронная подпись успешно создана. Для проверки работоспособности КЭП, откройте письмо, которое придёт после создания КЭП. В письме будет содержаться ссылка на сервис по подписанию закрывающих документов с помощью электронной подписи. Пройдите процедуру подписания и скачайте подписанные документы.

Установка личного сертификата с привязкой к закрытому ключу

Установка личного сертификата с привязкой к закрытому ключу

Проверка наличия сертификата в контейнере

Перед установкой личного сертификата с носителя ruToken или eToken необходимо проверить наличие сертификата в контейнере, для этого:

Откройте вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере»

В открывшемся окне нажмите кнопку «Обзор»

Выберите контейнер, который необходимо проверить на наличие в нем сертификата, и нажмите кнопку «Ок»

После того, как в поле «Имя ключевого контейнера» установится название контейнера, нажмите кнопку «Далее»

Если откроется окно «Введите pin-код для контейнера», необходимо ввести Pin-код для носителя.
Pin-код по умолчанию: 12345678

Если появится сообщение «В контейнере закрытого ключа **** отсутствует сертификат открытого ключа шифрования», значит в контейнере отсутствует личный сертификат.

Если открылось окно «Сертификат для просмотра», значит в контейнере есть личный сертификат и вы можете его установить.

Экспорт личного сертификата

Для установки сертификата нажмите кнопку «Свойства»

Во вкладке «Состав» нажмите кнопку «Копировать в файл. »

Для подтверждения копирования нажмите кнопку «Далее»

Для подтверждения копирования нажмите кнопку «Далее»

Для подтверждения копирования нажмите кнопку «Далее»

В следующем окне нажмите кнопку «Обзор. »

1. Выбирете рабочий стол

2. Напишите имя файла Например :«Сертификат»

3. Нажмите кнопку «Сохранить»

Для подтверждения копирования нажмите кнопку «Далее»

Для подтверждения копирования нажмите кнопку «Готово»

После того как Экспорт будет выполнен успешно нажмите кнопку «ОК»

Установка личного сертификата

Откройте вкладку «Сервис» и нажмите кнопку «Установить личный сертификт. »

В открывшемся окне нажмите кнопку «Обзор»

В следующем окне нажмите кнопку «Далее»

В следующем окне нажмите кнопку «Далее»

В следующем окне нажмите кнопку «Обзор»

В следующем окне нажмите кнопку «Далее»

В следующем окне нажмите кнопку «Обзор»

В следующем окне нажмите кнопку «Далее»

В следующем окне нажмите кнопку «Готово»

Установка сертификата и закрытого ключа

Мы опишем установку сертификата электронной подписи и закрытого ключа для ОС семейства Windows. В процессе настройки нам понадобятся права Администратора (поэтому нам может понадобится сисадмин, если он у вас есть).

Если вы еще не разобрались что такое Электронная подпись, то пожалуйста ознакомьтесь вот с этой инструкцией. Или если еще не получили электронную подпись, обратитесь в Удостоверяющий центр, рекомендуем СКБ-Контур.

Хорошо, предположим у вас уже есть электронная подпись (токен или флешка), но OpenSRO сообщает что ваш сертификат не установлен, такая ситуация может возникнуть, если вы решили настроить ваш второй или третий компьютер (разумеется подпись не «прирастает» только к одному компьютеру и ее можно использовать на нескольких компьютерах). Обычно первоначальная настройка осуществляется с помощью техподдержки Удостоверяющего центра, но допустим это не наш случай, итак поехали.

1. Убедитесь что КриптоПро CSP 4 установлен на вашем компьютере

Для этого зайдите в меню Пуск КРИПТО-ПРО КриптоПро CSP запустите его и убедитесь что версия программы не ниже 4-й.

Если ее там нет, то скачайте, установите и перезапустите браузер.

2. Если у вас токен (Рутокен например)

Прежде чем система сможет с ним работать понадобится установить нужный драйвер.

Алгоритм такой: (1) Скачиваем; (2) Устанавливаем.

Для токена может понадобиться стандартный (заводской) пин-код, здесь есть стандартные пин-коды носителей.

3. Если закрытый ключ в виде файлов

Тут есть тонкость если эти файлы записаны на жесткий диск вашего компьютера, то КриптоПро CSP не сможет их прочитать, поэтому все действия надо производить предварительно записав их на флешку (съемный носитель), причем нужно расположить их в папку первого уровня, например: E:\Andrey\ <файлики>, если расположить в E:\Andrey\keys\ <файлики>, то работать не будет.

(Если вы не боитесь командной строки, то съемный носитель можно сэмулировать примерно так: subst x: C:\tmp появится новый диск (X:), в нем будет содержимое папки C:\tmp, он исчезнет после перезагрузки. Такой способ можно использовать если вы планируете установить ключи в реестр)

Нашли файлы, записали на флешку, переходим к следующему шагу.

4. Установка сертификата из закрытого ключа

Теперь нам нужно получить сертификат, сделать это можно следующим образом:

5. Использование электронной подписи без токена или флешки (установка в реестр)

Если скорость и удобство работы для вас стоит чуть выше чем безопасность, то можно установить ваш закрытый ключ в реестр Windows. Для этого нужно сделать несколько простых действий:

Чтобы для сертификата проставить ссылку на этот закрытый ключ выполните действия из пункта (4).

Важное замечание: портал OpenSRO не «увидит» сертификат, если вышел срок его действия.

Как установить личный сертификат

Подробная инструкция: как установить личный сертификат в программе КриптоПро.

Подготовить, проверить и сдать отчетность в ФНС, ПФР, ФСС, Росстат, РАР, РПН через интернет

Установить личный сертификат можно двумя способами:

Установка через меню «Просмотреть сертификаты в контейнере»

1. Выберите «Пуск» > «Панель управления» > «КриптоПро CSP», перейдите на вкладку «Сервис» и кликните по кнопке «Просмотреть сертификаты в контейнере».

2. В открывшемся окне нажмите на кнопку «Обзор», чтобы выбрать контейнер для просмотра. После выбора контейнера нажмите на кнопку «Ок».

3. В открывшемся окне нажмите кнопку «Далее».

4. В следующем окне нажмите на кнопку « Установить», после чего утвердительно ответьте на уведомление о замене сертификата (если оно появится). Сертификат установлен.

5. Если кнопка « Установить » отсутствует, то в окне « Сертификат для просмотра » нажмите на кнопку « Свойства ».

Подготовить, проверить и сдать отчетность в ФНС, ПФР, ФСС, Росстат, РАР, РПН через интернет

Установка через меню «Установить личный сертификат»

3. Далее укажите путь к сертификату и нажмите на кнопку « Открыть »> « Далее » .

4. В следующем окне кликните по кнопке « Далее ».

5. Нажмите кнопку « Обзор » .

6. Укажите контейнер закрытого ключа, соответствующий сертификату, и нажмите кнопку « Ок ».

7. После выбора контейнера нажмите на кнопку « Далее » .

8. В окне « Выбор хранилища сертификатов » кликните по кнопке « Обзор ».

Если установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, то поставьте галку « Установить сертификат в контейнер ».

Дождитесь сообщения об успешной установке. Сертификат установлен.

Подготовить, проверить и сдать отчетность в ФНС, ПФР, ФСС, Росстат, РАР, РПН через интернет

Как создать контейнер для сертификата в криптопро

Установка личного сертификата на компьютер можно осуществить с помощью функций программы КриптоПро CSP. Откройте программу любым удобным способом (см. раздел 5).

Вариант 1. Устанавливаем через меню «Установить личный сертификат»

Для установки Вам понадобится сам файл сертификата (с расширением .cer). Он может находиться на флешке, на токене или на жёстком диске компьютера. Файл передаёт Вам сервисный центр ГК «Екей Ру» при получении заказа, обычно записывая на съёмный носитель информации. Перед установкой сертификата в хранилище компьютера, скопируйте файл сертификата на компьютер и запомните местоположение

Рисунок 9. Запуск мастера установки личного сертификата

Запустится «Мастер установки личного сертификата». С помощью кнопки «Обзор» находим на компьютере необходимый для установки сертификат (расширение .cer) и подтверждаем выбор кнопкой «Открыть» В окне “Мастер установки личного сертификата” нажмите на кнопку «Далее».

В следующем окне «Мастер установки личного сертификата» Вы можете просмотреть информацию о сертификате.

Сверьте данные и нажмите «Далее». Если данные не соответствуют Вашему сертификату, то нажмите «Назад» и повторите процедуру выбора сертификата ( рис.9 ), следующим шагом сверьте данные и нажмите «Далее». Введите или укажите контейнер закрытого ключа, соответствующий выбранному сертификату. Для этого воспользуйтесь кнопкой «Обзор»

В стандартных случаях контейнер закрытого ключа записан на подключенное к ПК устройство или отторгаемый носитель информации (флешка, Рутокен, jaCarta). Это устройство Вы (Вам) присоединяли к ПК в момент генерации закрытого ключа электронной подписи при формировании заказа в сервисном центре ГК «Екей Ру». Обязательно подключите данное устройство к компьютеру, без этого процедура установки личного сертификата невозможна.

рассматриваемом примере закрытый ключ находится на диске E и имеется копия в Реестре компьютера (о копировании контейнера будет рассказано дальше). нужный контейнер закрытого ключа на диске и нажмём кнопку «Далее»-> «Далее»->«Готово» для завершения процедуры.

Результатом станет вывод окна с информацией о выполнении операции:

Удачная установка личного сертификата для текущего пользователя данного компьютера.

Выбранный личный сертификат ранее уже был установлен для текущего пользователя данного компьютера. Вы можете отменить действие кнопкой «Нет», либо согласится на переустановку кнопкой «Да». Рекомендуем согласиться с операцией, выбрав «Да». Это гарантирует Вам правильность дальнейших операций с помощью установленного личного сертификата.

Вариант 2. Устанавливаем через меню «Просмотреть сертификаты в контейнере»*

*Вариант актуален при условии, что сертификат уже установлен в контейнер силами сотрудника СЦ ГК «Екей Ру» (или Вами самостоятельно)

В стандартных случаях контейнер закрытого ключа записан на подключенное к ПК устройство или отторгаемый носитель информации (флешка, Рутокен, jaCarta). Это устройство Вы (Вам) присоединяли к ПК в момент генерации закрытого ключа электронной подписи при формировании заказа в сервисном центре ГК «Екей Ру». Обязательно подключите данное устройство к компьютеру, без этого процедура установки личного сертификата невозможна.

В рассматриваемом примере закрытый ключ находится на диске E и имеется копия в Реестре компьютера (о копировании контейнера будет рассказано дальше). Выберем нужный контейнер закрытого ключа на диске, подтвердим «ОК» и нажмём кнопку «Далее».

Кнопкой «Свойства» можно просмотреть подробную информацию в виде файла сертификата. Если данные верны, нажмите «Установить».

Рисунок 10. Предосмотр устанавливаемого личного сертификата

Результатом станет вывод окна с информацией о выполнении операции:

Удачная установка личного сертификата для текущего пользователя данного компьютера.

Выбранный личный сертификат ранее уже был установлен для текущего пользователя данного компьютера. Вы можете отменить действие кнопкой «Нет», либо согласится на переустановку кнопкой «Да». Рекомендуем согласиться с операцией, выбрав «Да». Это гарантирует Вам правильность дальнейших операций с помощью установленного личного сертификата.

Сертификат установлен, можно продолжить работу, подписывая информацию электронной подписью.

Рисунок 11. Вид корневого сертификата ООО «Екей УЦ»

Рисунок 12. Мастер установки корневого сертификата

Если существует необходимость сделать копию контейнера закрытого ключа в реестр компьютера или на другое отторгаемое устройство, воспользуйтесь функцией «Скопировать».

Резервное копирование контейнера закрытого ключа повышает риск компрометации ключа. Ответственность за хранение и использование закрытого ключа, а так же всех его копий, лежит на владельце, указанного в составе сертификата (поле CN).

Откроется окно Копирование контейнера закрытого ключа, нажмите на кнопку «Обзор». Выберите контейнер из списка и подтвердите выбор кнопкой «Ок», затем «Далее».

Далее необходимо указать вручную имя контейнера, на который будет выполнено копирование. В названии контейнера допускается русская раскладка и пробелы. Затем выбрать «Готово» ( рис. 14 ).

Рисунок 14. Создание копии контейнера закрытого ключа

Завершите действие кнопкой «Готово»

Введите пароль на контейнер, если он запрашивается системой

Данное окно будет всплывать каждый раз при копировании или ином действии (в том числе подписании документов электронной подписью), если при генерации закрытого ключа Вы поставили пароль на контейнер. Пароль известен только тому, кто генерировал данный закрытый ключ, и восстановлению при утере не подлежит! Рекомендация – при генерации не ставить пароль на контейнер, если есть вероятность, что пароль будет забыт. При трёх (или более) неправильных попытках ввода пароля контейнер блокируется, исключая возможность создавать электронную подпись на основе данного закрытого ключа.

Подключите к компьютеру носитель информации, на который планируется записать резервную копию, и/или найдите его в списке предложенных устройств ( рис.15 ). Подтвердите свой выбор кнопкой «Ок».

Рисунок 15. Выбор ключевого носителя для копирования на него ключа

Для копирования контейнера закрытого ключа в реестр компьютера, выберите «Реестр».

Следующим шагом будет предложено поставить пароль на создаваемый контейнер. Установка пароля не является обязательной процедурой, поэтому можно оставить поле пустым и нажать на кнопку «Ок».

Рисунок 16.

Рисунок 17.

Обращаем ваше внимание: в случае утери пароля/pin-кода использование контейнера станет невозможным.

После выполнения копирования система вернётся на вкладку «Сервис» в окне КриптоПро CSP. Копирование завершено. Если планируется использовать для работы новый ключевой контейнер, необходимо установить личный сертификат, выбрав в качестве контейнера закрытого ключа скопированный контейнер (ориентируйтесь по названию ключевого контейнера). Как установить личный сертификат можно посмотреть в п.6

Если Вам необходимо просмотреть содержимое контейнера, записанного на устройство или в реестр компьютера, и проверить его работоспособность, Вы можете воспользоваться функцией программы.

Программа откроет все доступные для просмотра контейнеры закрытых ключей. На примере рис. 18 показаны три контейнера: на флеш-карте (Диск Е), на другой флеш-карте (Диск F) и в Реестре компьютера (Реестр). Протестируем скопированный контейнер на диске Е.

Если нужный контейнер не появляется в списке выбора, проверьте подключено ли устройство, на который был записан (скопирован) контейнер.

Выберем «Копия Пушкин А С» и нажмём «ОК» для подтверждения и кнопку «Далее».

Рисунок 18 Выбор ключевого контейнера

Рисунок 19. Результат тестирования контейнера

Потребность в удалении может возникнуть при смене операционной системы, ошибках в работе программы, либо смене компьютера. Удаление можно производить стандартными средствами Windows либо при помощи специальной программы.

Чтобы удалить СКЗИ классическим способом, необходимо зайти через «Панель управления» в папку «Программы и компоненты», выбрать в окне «Удаление или изменение программы» программу КриптоПро CSP и нажать согласие «Да» на удаление ( см рис. 20 )

Рисунок 20. Удаление программы КриптоПро 4.0

После деинсталляции рекомендуем перезагрузить компьютер.

Рисунок 21. Поиск утилиты cspclean на сайте производителя

После запуска утилиты появится окно с предупреждением, что все продукты компании КриптоПро будут уничтожены. Нажмите «Да».

Как только утилита удалит КриптоПро CSP, следует перезагрузить компьютер.

С более подробной инструкцией Вы можете ознакомиться на сайте производителя программы.

Как создать контейнер для сертификата в криптопро

Добрый день! Уважаемые читатели и гости крупного IT блога рунета pyatilistnik.org. Продолжаем нашу с вами тему с сертификатами и работе с ними. В прошлый раз я вам подробно рассказал, как получить тестовый сертификат криптопро, посмотрите очень интересная заметка. Согласитесь, что для тестирования вам может потребоваться не один сертификат, а гораздо больше, и очень удобно иметь возможность работать с ними, без привязки к физическим токенам, например, на виртуальных машинах Vmware. Для таких задач, есть возможность поместить сертификаты КриптоПРО в реестр Windows, чем мы с вами и займемся.

Когда нужно копировать сертификаты КриптоПРО в реестр

Существует ряд задач, когда удобно иметь вашу ЭЦП подпись в реестре Windows:

1. При тестировании настроенного окружения для торговых площадок, для входа на которые используется ЭЦП подпись.
2. Когда у вас виртуальная инфраструктура и нет возможности, произвести проброс USB устройств по локальной сети
3. Ситуации, когда КриптоПРО не видит USB токена
4. Ситуации, когда USB ключей очень много и нужно работать одновременно с 5-ю и более ключами, примером может служить программа по сдачи отчетности СБИС

Как скопировать сертификат в реестр КриптоПРО

CryptoPRo позволяет производить установку с копирование закрытого ключа (сертификата) в реестр Windows.

И так, у меня есть USB токен SafeNet, на который я выпустил тестовую ЭЦП, ее я буду переносить вместе с закрытым ключом в реестр Windows. Открываем утилиту CryptoPRO с правами администратора.

Переходите на вкладку «Сервис» и нажимаете «скопировать»

У вас откроется окно «Контейнер закрытого ключа», тут вам нужно нажать кнопку «Обзор», что бы выбрать ваш сертификат, который вы хотите скопировать в реестр.

В итоге у вас в поле «Имя ключевого контейнера» отобразиться абракадабровое имя.

У вас появится окно с вводом пин-кода от вашего USB токена.

Теперь вам необходимо задать имя для копируемого сертификата в реестр Windows, КриптоПРО благо, это позволяет. Я назвал его «Копия сертификата в реестре (Семин Иван)»

Теперь вам необходимо положить сертификаты КриптоПРО в реестр, для этого выбираем соответствующий пункт и нажимаем «Ок».

На следующем шаге вам предложат установить новый пароль на ваш контейнер с закрытым ключом, советую установить его и желательно посложнее.

Установка закрытого ключа в реестр

Теперь когда ваш закрытый ключ находится в реестре, давайте установим личный сертификат. Для этого откройте на вкладке «Сервис» кнопку «Посмотреть сертификат в контейнере»

Далее в окне «онтейнер закрытого ключа» нажмите кнопку «Обзор».

И выберите сертификат из реестра, он будет с тем именем, что вы ему задавали.

После чего производится установка закрытого ключа в реестр, через соответствующую кнопку.

Видим, что сертификат был установлен в хранилище «Личные» текущего пользователя.Как видите, было очень просто скопировать закрытый ключ в реестр операционной системы.

Где хранится закрытый ключ в реестре Windows

Либо вы можете зайти в свойства Internet Explorer на вкладку «Содержание’. Потом перейти в пункт «Сертификаты», где у вас будут отображаться все ваши SSL сертификаты, и те, что КриптоПРО скопировал в реестр операционной системы.

Если нужно найти ветку реестра с закрытым ключом, то я вам приводил уже пример в статье, когда я переносил ЭЦП с компьютера на компьютер.

Про копирование ЭЦП с закрытыми ключами мы разобрали, теперь ситуация обратная.

Как скопировать эцп из реестра на флешку

Предположим, что у вас стоит задача скопировать контейнер из реестра, так как он уже там, то он экспортируемый, для этого открываем криптопро, «Сервис-Скопировать»

Выбираете «Обзор» и ваш сертификат из реестра.

Задаете ему новое имя, удобное для себя.

После чего вас попросят указать флешку, на которую вы будите копировать контейнер с закрытым ключом из реестра.

Обязательно задайте новый пароль.

Ну и собственно теперь открывайте вашу флешку и лицезрейте перенесенный на него контейнер, он будет состоять из файликов с форматом key.

Как видите КриптоПРО, это конвейер, который позволяет легко скопировать сертификат из реестра на флешку или даже дискету, если они еще используются.

Поддержка и помощь

Спасибо!

Наш менеджер уже увидел Ваше обращение и спешит помочь Вам как можно скорее!

В рабочее время (пн – пт с 9:00 до 18:00) наши менеджеры очень активны и общительны и с радостью ответят Вам в течение дня.

В остальное время – дожидайтесь ответа на следующий рабочий день.

А пока предлагаем вам:

Заказ обратного звонка

Как скопировать контейнер закрытого ключа в КриптоПро?

Копирование контейнера закрытого ключа – обязательное действие при переустановке СБиС на другой компьютер. Вы также можете скопировать сертификат, если хотите создать запасной ключ электронной подписи.

КриптоПро: копирование сертификата

Шаг 1. Открытие программы КриптоПро

Чтобы открыть программу проделайте следующий путь:

Нажмите меню Пуск, затем перейдите в Программы ⇒ КриптоПро ⇒ КриптоПро CSP и включите вкладку Сервис.

В открытом окне Сервис нажмите кнопку Скопировать контейнер.

Шаг 2. Копирование контейнера закрытого ключа

После нажатия кнопки Скопировать контейнер, система отобразит окно Копирование контейнера закрытого ключа.

В открытом окне необходимо заполнить поле Имя ключевого контейнера.

Шаг 3. Ввод ключевого контейнера

Существует 3 способа, как заполнить поле Имя ключевого контейнера:

Выбрать из списка посредством нажатия кнопки Обзор

Поиск по сертификату ЭЦП

Кроме заполнения поля Имя ключевого контейнера, необходимо заполнить оставшиеся опции поиска:

После того, как все поля заполнены, нажмите кнопку Далее.

Если на доступ к закрытому ключу установлен пароль, то система попросит ввести его. Введите пароль и нажмите кнопку ОК.

Шаг 4. Ввод нового ключевого контейнера

Система вновь отобразит окно Копирование контейнера закрытого ключа, в котором необходимо ввести имя нового ключевого контейнера и установить переключатель Введенное имя задает ключевой контейнер в положение Пользователь или Компьютер, в зависимости от того, в каком хранилище требуется разместить скопированный контейнер.

После ввода нажмите кнопку Готово.

Шаг 5. Выбор носителя для скопированного контейнера

На Вашем экране появится окно, в котором необходимо выбрать носитель для скопированного контейнера.

Вставьте носитель (токен, флешка, дискета) в считыватель и нажмите кнопку ОК.

Шаг 6. Установка пароля

Система отобразит окно установки пароля на доступ к закрытому ключу.

Введите пароль, подтвердите его, при необходимости установите флажок Запомнить пароль.

Если данный флажок будет установлен, то пароль сохранится в специальном хранилище на локальном компьютере, и при обращении к закрытому ключу пароль будет автоматически считываться из этого хранилища, а не вводиться пользователем.

После ввода необходимых данных нажмите кнопку ОК. Средство криптозащиты информации «КриптоПро CSP» скопирует контейнер закрытого ключа.

Если у Вас остались вопросы, Вы можете заказать консультацию специалиста.