Как разрешить экспорт закрытого ключа в сертификате

Как разрешить экспорт закрытого ключа в сертификате

Ошибка копирования контейнера. У вас нет разрешений на экчспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000b: Ключ не может быт использован в указанном состоянии.

Такая вот ошибка стала вылазить, когда хотели скопировать закрытые ключи в реестр. А все дело в том, что при генерации ключа, на том же портале fzs.roskazna.ru вы не придали полю «Экспортируемый закрытый ключ» значения. И оставили его по умолчанию «Нет». Вот такие потом не удобства и возникают. С добавлением ключа в реестр.

Как разрешить экспорт закрытого ключа в сертификате

Tokens.exe — если неэкспортируемый ключ на токене — тогда эту утилиту юзайте!При установке обязательно поставьте 3 дополнения которые он предложит. После этого откроется полный функционал для экспорта «не экспортируемых» закрытых ключей с токенов.

Как разрешить экспорт закрытого ключа в сертификате

Как разрешить экспорт закрытого ключа в сертификате

CertFix.exe — с флешек лечится этой утилитой. Чтобы сделать копию такого сертификата, нам нужно:Запустить утилиту, подождать, когда загрузится список сертификатов. Напротив строки «Поиск» появится информация «Загрузка завершена».

Одновременно нажать кнопку SHIFT на клавиатуре и правой кнопкой мыши кликнуть по нужному контейнеру.Появится меню «Сделать экспортируемым». Выбираем вариант в зависимости от расположения контейнера.

Как разрешить экспорт закрытого ключа в сертификате

В принципе на этом все. Пользуемся, очень много случаев — когда по незнанию люди переделывали ЭЦП. А это время и нервы.

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами успешно настроили сеть на CentOS 7.6, двигаемся вперед. В сегодняшней публикации я вам хочу продемонстрировать, как вы можете выполнить экспорт сертификата или импорт сертификата из хранилища Windows. Уверен, что вы сами с легкостью можете найти кучу разных сценариев при которых вы можете использовать мою инструкцию.

Примеры сценариев при импорте и экспорте сертификата

Если вы мой постоянный читатель, то вам уже должны быть знакомы понятие SSL сертификата, его виды и назначение. Сейчас уже сложно себе представить работу юридических лиц, ИП и обычных граждан без сертификатов и ЭЦП. Многие программы используют их для шифрования трафика, например при документообороте или при доступе к сервису, очень частый пример, это кабинет клиент-банка.

В большинстве случаев у людей на компьютере установлена операционная система Windows, она не идеальна и бывают частые случаи ее выхода из строя. При таком раскладе у вас легко могла возникать ситуация по восстановлению вашего сертификата из хранилища Windows, или при обновлении вашего компьютера на более новый, где так же производили перенос сертификатов, я приводил такой пример для КриптоПРО. Переходим к практике.

Импорт сертификата в Windows

Ранее я вам рассказывал, где в операционной системе Windows хранятся сертификаты и вы помните, что там есть два глобальных контейнера:

  • Первый, это для компьютера
  • Второй для пользователя

Я в своем примере буду импортировать сертификат в раздел локального компьютера, в личное расположение. И так у меня есть Wildcard сертификат имеющий формат PFX архива. Существует два метода импорта сертификата в операционных системах Windows:

  • Через графический мастер импорта сертификатов
  • Через использование утилиты командной строки certutil

Давайте начнем с самого простого метода, через графический интерфейс. У меня есть файл pyatilistnik.pfx. Я щелкаю по нему двойным кликом и запускаю мастер импорта сертификатов.

Как разрешить экспорт закрытого ключа в сертификате

Я указываю, что буду копировать сертификат в хранилище локального компьютера, нажимаю далее.

Как разрешить экспорт закрытого ключа в сертификате

Мастер импорта сертификата попытается удостовериться, какой файл вы будите копировать, поддерживаются форматы PFX, P12, p7b и SST.

Как разрешить экспорт закрытого ключа в сертификате

На следующем этапе вы указываете пароль от данного сертификата, при желании можете поставить галку «Пометить этот ключ как экспортируемый, что позволит сохранить резервную копию ключа и перемещать его». Данная галка полезна при использовании сертификата их реестра, ну и потом можно будет его при необходимости перенести, но это МЕНЕЕ БЕЗОПАСНО, не не смертельно если есть пароль.

Как разрешить экспорт закрытого ключа в сертификате

Далее вы выбираете куда вы будите помещать сертификат при импорте, я выберу ручное помещение в личное хранилище.

Как разрешить экспорт закрытого ключа в сертификате

Как разрешить экспорт закрытого ключа в сертификате

Завершаем мастер импорта сертификатов.

Как разрешить экспорт закрытого ключа в сертификате

В результате импортирование сертификата успешно выполнено.

Как разрешить экспорт закрытого ключа в сертификате

Давайте удостоверимся, что у вас появился ваш сертификат, тут вы можете воспользоваться оснасткой mmc «сертификаты» или же утилитой certutil. Я покажу оба варианта, откройте командную строку или оболочку PowerShell и выполните:

Как разрешить экспорт закрытого ключа в сертификате

В итоге у вас будет список всех ваших сертификатов, если знаете его CN, то можете отфильтровать по findstr. Второй вариант, это в окне выполнить открыть mmc и добавить там оснастку «Сертификаты» (Подробнее по ссылке выше про mmc).

Как разрешить экспорт закрытого ключа в сертификате

В контейнере «Личное — Сертификаты» я вижу свой Wildcard SSL сертификат, и по значку я вижу, что в нем есть закрытый ключ. Я его удалю, чтобы импортировать его с помощью certutil.

Как разрешить экспорт закрытого ключа в сертификате

Для импорта сертификата вам нужно через команду cd перейти в каталог, где хранится pfx архив. В моем примере, это каталог C:Tempwildcard.

Далее импортируем наш сертификат. пишем команду:

certutil -importPFX -p «12345678» my pyatilistnik.pfx

Где -p, это пароль, а pyatilistnik.pfx имя файла.

Как разрешить экспорт закрытого ключа в сертификате

Все с копированием сертификата в ваше локальное хранилище мы разобрались, переходим к экспорту.

Экспорт сертификата Windows

Давайте теперь проделаем процедуру обратного порядка. Первым делом я произведу экспорт сертификата из графического интерфейса. В оснастке «Сертификаты» найдите нужный вам. Щелкните по нему правым кликом и выберите «Все задачи — Экспорт’.

Как разрешить экспорт закрытого ключа в сертификате

У вас откроется окно мастера экспорта сертификатов, нажимаем далее.

Как разрешить экспорт закрытого ключа в сертификате

Если есть возможно и закрытый ключ экспортируемый, то можете выставить режим «Да, экспортировать закрытый ключ».

Как разрешить экспорт закрытого ключа в сертификате

Вам будет предложено выбрать формат выгрузки, тут могут быть расширения cer DER, cer Base-64, p7b, PFX. Так как у меня сертификат Wildcard, то я могу выгрузить в «Файл обмена личной информацией -PKCS # 12(.PFX)». Если вы планируете после экспорта удалить из личного хранилища ваш сертификат, то можете тут выставить соответствующую галку. Так же может выгрузить все расширения, после чего нажимаем далее.

Читать также:  Заявление о получении квалифицированного сертификата ключа проверки электронной подписи юридического

Как разрешить экспорт закрытого ключа в сертификате

Задаем обязательный пароль два раза, лучше сразу задавать стойкий пароль.

Как разрешить экспорт закрытого ключа в сертификате

В следующем окне мастера по экспорту сертификатов, вы задаете его имя и где он будет сохранен.

Как разрешить экспорт закрытого ключа в сертификате

Как разрешить экспорт закрытого ключа в сертификате

Завершаем процедуру экспорта pfx архива из нашего хранилища сертификатов.

Как разрешить экспорт закрытого ключа в сертификате

Экспорт успешно выполнен.

Как разрешить экспорт закрытого ключа в сертификате

Теперь давайте произведем экспорт с помощью утилиты certutil. Перед тем, как это сделать, нам необходимо вычислить серийный номер сертификата.Для этого выполните команду:

Находим поле «Серийный номер» у нужного сертификата и копируем его.

Как разрешить экспорт закрытого ключа в сертификате

Далее пишем команду для экспорта сертификата;

certutil -exportPFX -p «12345678» my 790000fa279f2bd96421c6e2bc00010000fa27 export-cert-2.pfx

Все успешно отработало.

Как разрешить экспорт закрытого ключа в сертификате

На выходе я получил файл export-cert-2.pfx. Открыть архив с сертификатом вы легко сможете через утилиту keytool или Key Store Explorer.

Как разрешить экспорт закрытого ключа в сертификате

На этом у меня все, мы с вами разобрали алгоритм и методы по импортированию и экспортированию сертификатов в операционной системе Windows. остались вопросы или пожелания, то я жду их в комментариях. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Подготовить, проверить и сдать отчетность в ФНС, ПФР, ФСС, Росстат, РАР, РПН через интернет

Установить личный сертификат можно двумя способами:

Установка через меню «Просмотреть сертификаты в контейнере»

Как разрешить экспорт закрытого ключа в сертификате

2. В открывшемся окне нажмите на кнопку «Обзор», чтобы выбрать контейнер для просмотра. После выбора контейнера нажмите на кнопку «Ок».

Как разрешить экспорт закрытого ключа в сертификате

3. В окне нажмите кнопку «Далее».

4. В  окне нажмите на кнопку Установить», после чего утвердительно ответьте на уведомление о замене сертификата (если оно появится).

5. Если кнопка Установить отсутствует, то в окне Сертификат для просмотра нажмите на кнопку Свойства

Как разрешить экспорт закрытого ключа в сертификате

6. В открывшемся окне выберите Установить сертификат.

Как разрешить экспорт закрытого ключа в сертификате

7. В окне Мастер импорта сертификатов выберите Далее. В следующем окне оставьте переключатель на пункте Автоматически выбрать хранилище на основе типа сертификата и нажмите Далее. Сертификат будет установлен в хранилище Личные.

Как разрешить экспорт закрытого ключа в сертификате

8. В следующем окне выберите Далее, затем нажмите на кнопку Готово и дождитесь сообщения об успешной установке.

Как разрешить экспорт закрытого ключа в сертификате

Установка через меню «Установить личный сертификат»

Как разрешить экспорт закрытого ключа в сертификате

2. В окне Мастер импорта сертификатов» нажмите на кнопку Далее. В следующем окне кликните по кнопке Обзор файл сертификата.

Как разрешить экспорт закрытого ключа в сертификате

3. Далее укажите путь к сертификату и нажмите на кнопку ОткрытьДалее.

Как разрешить экспорт закрытого ключа в сертификате

4. В следующем окне кликните по кнопке Далее

Как разрешить экспорт закрытого ключа в сертификате

5. Нажмите кнопку Обзор.

Как разрешить экспорт закрытого ключа в сертификате

6. Укажите контейнер закрытого ключа, соответствующий сертификату, и нажмите кнопку Ок

Как разрешить экспорт закрытого ключа в сертификате

7. После выбора контейнера нажмите на кнопку Далее.

Как разрешить экспорт закрытого ключа в сертификате

8. В окне Выбор хранилища сертификатов кликните по кнопке Обзор

Если установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, то поставьте галку Установить сертификат в контейнер

Как разрешить экспорт закрытого ключа в сертификате

9. Выберите хранилище Личные и нажмите ОК.

Как разрешить экспорт закрытого ключа в сертификате

10. После выбора хранилища нажмите на кнопку Далее, затем Готово. После нажатия на кнопку Готово может появиться вопрос о замене существующего сертификата новым. В окне запроса выберите Да.

Дождитесь сообщения об успешной установке. Сертификат установлен.

Как разрешить экспорт закрытого ключа в сертификате

Добрый день! Уважаемые читатели и гости крупнейшего IP блога России pyatilistnik.org. В прошлый раз я вам рассказал, о том, как установить сертификат в реестр Windows . Сегодня я вам расскажу, каким образом вы можете выполнить перенос сертификата на другой компьютер, это очень частая и жизненная ситуация с которой сталкиваются многие системные администраторы. Захотелось с вами поделиться опытом, о массовом переносе контейнеров с закрытыми ключами, находящимися в области реестра Windows. Использовать мы будем как КриптоПРО, так и встроенные механизмы. Уверен будет интересно.

Когда нужно переносить сертификаты в другое место?

И так давайте рассмотрим по каким причинам у вас может появиться необходимость в копировании ваших ЭЦП в другое место.

  • На текущем физическом компьютере начинает умирать жесткий диск или SSD накопитель (Как проверить жизненные показатели жесткого диска), очень частая история и жизненная, когда люди теряли все свои данные, из-за банальной жадности в покупке нового оборудования и элементарного незнания принципов резервного копирования.
  • У вас производится модернизация оборудования, его улучшение и вам нужно перенести все сертификаты с закрытыми ключами на другую систему
  • Вы создали отдельный сервер, в виде виртуальной машины, где будут находится все ваши сертификаты и с ними смогут работать все необходимые сотрудники, терминал для бухгалтерии. Простой пример СБИС, и когда у вас 10-20 организаций.

Как видите предпосылок и вариантов переноса сертификатов из реестра на другой компьютер, предостаточно.

Какие есть варианты по копированию контейнеров закрытых ключей?

  • Если мы создаем единый терминал (Виртуальную машину), на которой будут коллективно работать пользователи, то можно произвести конвертирование физической тачки в виртуальную машину
  • Если будет просто замена жесткого диска, то можно произвести его клонирование или перенос системы на SSD с помощью специальных утилит
  • Можно воспользоваться утилитой КриптоПРО
  • Воспользоваться экспортом из реестра Windows.

Перенос сертификатов в виде пошаговой инструкции

Первые два пункта я описывать тут не стану, так как я уже это подробно рассказывал, посмотрите по ссылкам. Я расскажу, об остальных методах и начнем мы с классического КриптоПРО.

Данный метод подойдет для тех ситуаций, когда у вас один или 2 сертификата (ЭЦП). Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит, и там придется выбирать 4-й метод.

Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты

Копирование закрытого ключа из КриптоПро

Это самый простой способ, и будет актуальным при небольшом количестве контейнеров с закрытыми ключами. Чтобы выполнить перенос сертификатов из реестра, откройте ваш КриптоПРО, вкладка «Сервис», нажимаем кнопку «Сервис», далее через кнопку «Обзор», откройте «Выбор ключевого контейнера» и укажите, какой сертификат вы будите переносить. В моем примере это контейнер «Копия сертификата в реестре (Семин Иван)».

Как разрешить экспорт закрытого ключа в сертификате

Нажимаем «Далее», вас попросят задать новое имя контейнера с закрытым ключом, введите понятное для себя, для удобства.

Как разрешить экспорт закрытого ключа в сертификате

У вас откроется окно с выбором носителей, вы можете выбрать либо токен, либо флешку для переноса на другое место. У меня это внешний жесткий диск Z:.

Читать также:  Наращивание ресниц. Шаблон сертификата. Артикул 92348

Как разрешить экспорт закрытого ключа в сертификате

Задаем обязательно пароль, с точки зрения безопасности, так как файлы в таком виде просто скомпрометировать.

Как разрешить экспорт закрытого ключа в сертификате

Все, на выходе я получил папку со случайным названием и набором ключей в формате key.

Как разрешить экспорт закрытого ключа в сертификате

Если вы пытаетесь копировать сертификат с токена, то в ряде случаев у вас может появиться ошибка: Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.

Как разрешить экспорт закрытого ключа в сертификате

Связана такая ситуация, что в целях псевдобезопасности, удостоверяющие центры выпускают закрытые ключи без возможности экспорта, и таким образом увеличивают свою прибыль, так как в случае утери или поломки токена, вам придется его перевыпускать, а так как экспорт запрещен, то бэкапа вы сделать не сможете.

Если вы получили ошибку копирования контейнера. У вас нет разрешений на экспорт ключа, то метод с КРиптоПРО вам не поможет

Перенос сертификатов из реестра без КриптоПРО

Существуют методы экспортировать закрытый ключ и без изспользования утилиты КриптоПРО. Представим себе ситуацию, что у вас на него кончилась лицензия и вы не успели ее купить. Вам нужно сдать отчетность в СБИС. Вы развернули CryptoPRO на другом компьютере, так как он позволяет 3 месяца бесплатного использования, осталось для СБИС выполнить перенос сертификатов, которые у вас в реестре Windows.

У нас два варианта:

  • Использование оснастки mmc-Сертификаты пользователя.
  • Использование Internet Explore

Как открыть оснастку сертификаты я уже подробно рассказывал, посмотрите. Откройте там контейнер «Личное — Сертификаты». Если у вас в контейнере не один сертификат с одинаковым именем, такое может быть, то откройте сертификат в оснастке mmc и в КриптоПРО и сравните серийные номера сертификата.

Как разрешить экспорт закрытого ключа в сертификате

В Internet Explore, откройте «Свойства браузера — Содержание — Сертификаты»

Как разрешить экспорт закрытого ключа в сертификате

Теперь нам необходимо его экспортировать, в оснастке «Сертификаты», через правый клик, это можно сделать, в Internet Explorer, сразу видно кнопку, экспорт.

Как разрешить экспорт закрытого ключа в сертификате

У вас откроется мастер переноса сертификатов, на первом шаге, просто нажимаем далее. После чего вас спросят, что вы хотите экспортировать, выбираем пункт «да, экспортировать закрытый ключ вместе с сертификатом»

Как разрешить экспорт закрытого ключа в сертификате

Если ваш закрытый ключ запрещено экспортировать, то эта кнопка будет не активна, и можете сразу закрывать данный метод и переходить к следующему.

Как разрешить экспорт закрытого ключа в сертификате

Следующим этапом в мастере экспорта сертификатов, вам необходимо выбрать формат выгрузки, это будет PFX архив.

Как разрешить экспорт закрытого ключа в сертификате

Далее вы задаете обязательно пароль и указываете имя и место, где будите сохранять ваш переносимый контейнер с зарытым ключом в формате pfx.

Как разрешить экспорт закрытого ключа в сертификате

Мастер экспорта сертификатов, выведет вам сводные данные, нажимаем «Готово».

Как разрешить экспорт закрытого ключа в сертификате

Отрываем локацию, куда вы его выгрузили, и найдите свой pfx архив.

Как разрешить экспорт закрытого ключа в сертификате

Теперь вам нужно еще выгрузить открытый ключ в формате cer, для этого так же зайдите в мастер экспорта, но на этот раз выберите «Нет, не экспортировать закрытый ключ».

Как разрешить экспорт закрытого ключа в сертификате

Выберите формат файла «X.509 (.CER) в кодировке DEP», задайте ему имя и место сохранения. На выходе у вас появятся два файла.

Как разрешить экспорт закрытого ключа в сертификате

Одни открытый ключ в формате cer и закрытый ключ в формате pfx. Этого набора вам будет достаточно, чтобы перенести сертификаты СБИС, Контура и остальных программ на другой компьютер.

Как разрешить экспорт закрытого ключа в сертификате

Теперь перенесите эти файлы на другое рабочее место и просто запустите, через простой двойной клик. У вас откроется мастер импорта сертификатов, на первом окне выберите нужное вам хранилище, я в своем примере оставлю «Текущий пользователь».

Как разрешить экспорт закрытого ключа в сертификате

На втором шаге проверяем импортируемый сертификат.

Как разрешить экспорт закрытого ключа в сертификате

Указываем пароль, который задавали при выгрузке.

Как разрешить экспорт закрытого ключа в сертификате

Оставляем автоматический выбор хранилища на основе типа сертификатов.

Как разрешить экспорт закрытого ключа в сертификате

Готово. Со вторым файлом то же самое. После чего у вас будут перенесены нужные вам ключи и сам сертификат, можно работать.

Массовый перенос ключей и сертификатов CryptoPro на другой компьютер

Выше описанные методы хороши, когда у вас один или 5 ключиков в реестре, а как быть если их десятки. Помню лет 5 назад, когда я еще был младшим администратором, то я очень часто устанавливал электронные цифровые подписи главбуху, так как она работала в СБИС++ и сдавала там постоянно отчетность по огромному количеству организаций, по типу рога и копыта. Держать кучу токенов было не вариант, и для таких вещей у нее все хранилось в реестре и копия сертификатов была на флешке в сейфе. Флешку потом потеряли, встал вопрос сделать резервную копию всего и плюс обновить систему, в виду нового компьютера, на операционной системе Windows 8.1. ЭЦП было штук 50, а так как я ценю свое время, то и искал методы, выполнить это быстрее, к счастью я его нашел.

Заключался метод переноса сертификатов из реестра, в выгрузке веток и подмене SID значения, но обо всем по порядку. О том, как посмотреть SID пользователя и что это такое я рассказывал.

Открываете командную строку cmd и вводите команду:

Как разрешить экспорт закрытого ключа в сертификате

Вот это S-1-5-21-551888299-3078463796-888888888-46162 и есть SID, вашей учетной записи. Теперь когда вы его знаете, то вам нужно выгрузить ваши закрытые ключи из реестра Windows. Для этого откройте вот такую ветку:

Как разрешить экспорт закрытого ключа в сертификате

В контейнере Keys, вы найдете все ваши закрытые ключи от ЭЦП. С правой стороны вы увидите файлы: * header.key * masks.key * masks2.key * name.key * primary.key * primary2.key

Щелкаем правым кликом по контейнеру Keys и экспортируем его.

Как разрешить экспорт закрытого ключа в сертификате

Сохраняем нашу ветку реестра с контейнерами закрытых ключей. Далее нам нужно скопировать открытые ключи, которые лежат по пути:

Не забывайте только подставить своего пользователя, эта папка может быть скрытой, поэтому включите скрытые папки и файлы в вашей ОС. Все содержимое этой папки вам нужно перенести на другой компьютер, только уже в папку другого, нужного пользователя.

Читать также:  Надо ли менять сертификат на материнский капитал при смене фамилии после замужества

Как разрешить экспорт закрытого ключа в сертификате

Как только вы поместили на новом компьютере папку Key, вы можете перенести реестровую выгрузку. Сохраненный файл в формате reg, вы должны открыть в любом текстовом редакторе.

Как разрешить экспорт закрытого ключа в сертификате

Как я показывал выше, определите SID нового пользователя, скопируйте его полностью и замените им значение в файле reg, я отметил это стрелками.

SID начинается с S-1 и так далее

Как разрешить экспорт закрытого ключа в сертификате

Все сохраняйте файл и запускайте его, у вас будет начат перенос сертификатов (закрытых ключей), подтверждаем действие.

Как разрешить экспорт закрытого ключа в сертификате

Как видите импорт успешно завершен. Все теперь ваши закрытые и открытые ключи на месте и вы можете работать с вашими ЭЦП, и можно считать, что перенос сертификатов с одного компьютера на другой в массовом масштабе, осуществлен успешно. Если остались вопросы, то жду их в комментариях.

Как разрешить экспорт закрытого ключа в сертификате

Поскольку с 1 января 2022 года ФНС для подписи документов ввело специальная ЭЦП (электронно-цифровую подпись), которая находится на специальном носителе – рутокене. Сама по себе идея хороша, но действительность как обычно вносит свои коррективы. Дело в том, что подписывают документы зачастую несколько человек (директор, главный бухгалтер, заместитель директора) и возможности передавать рутокен просто нет. Возможность же копировать ключ ФНС не предусматривает. Как быть в такой ситуации и скопировать ключ с рутокена, расскажем в статье.

Прежде чем приступить к работе по копированию ключа, подготовьте необходимые элементы:

  • рутокен с оригиналом ключа;
  • второй контейнер (флешку) куда будет записана копия ключа.

Что такое рутокен

Рутокен – это сертифицированный накопитель, обладающий дополнительной защитой, что позволяет сохранить конфиденциальные данные. На один рутокен можно записать до тридцати подписей, все зависит от объема памяти конкретного устройства.

Обычное съемное USB устройство (флешка) для постоянного хранения не годиться, поскольку не обладает достаточной защитой, в том числе от копирования информации. Поэтому флешку нужно рассматривать только как временное хранилище для переноса подписи на второй рутокен.

Проверяем ключ на не экспортируемость

Прежде чем начать работу, проверьте, может все же ключ можно экспортировать без лишних усилий с вашей стороны.

Копируем рутокен на компьютер или флешку

Итак, вы выяснили, что ключ имеет статус «Не экспортируемый», но скопировать его нужно. Можно действовать следующими методами:

Копируем с помощью утилиты

Этот метод также позволяет перенести не экспортируемый ключ на флэшку или скопировать  на ПК.

Tokens.exe – является утилитой, которая позволяет копировать ключи с рутокена, имеющие статус «не экспортируемый». Для корректного функционирования программы специалисты рекомендуют устанавливать три дополнения, идущие в комплекте с утилитой.

Далее нужно убрать статус «Экспорт запрещен». Для этого понадобится еще одна программа CertFix.000032.exe. Качаем ее и устанавливаем на ПК.

Действуем следующим образом:

  • среди загрузившихся сертификатов найдите нужный;
  • напротив него будет статус DENIED
  • нажмите на клавишу Shift+клик правой кнопкой мыши;
  • откроется меню, где можно из списка выбрать опцию «Сделать экспортируемым»;
  • обязательно задайте пароль, после выбора данной опции;
  • готово, ключ на флэшке теперь имеет статус «Экспортируемый».

Готово! Теперь можно пользоваться  копией ключа, размещенной в реестре.

Используем КриптоПро CSP

Перенести ЭЦП на ПК или флешку поможет сервис КриптоПро CSP.

Приветствую тебя мой друг! Давай знакомиться?! Я администратор и автор данного сайта. Специалист с 10 летним опытом работы в сфере ИТ-технологий. Проконсультирую вас по настройке: компьютеров, ноутбуков, периферийного оборудования. Помогу решить проблемы в работе операционной системы Windows или компонентов компьютера. Подскажу как настроить ваши гаджеты.

( 2 оценки, среднее 5 из 5 )

Как разрешить экспорт закрытого ключа в сертификате

Добрый день уважаемые читатели и подписчики блога Pyatilistnik.org, сегодня я хочу с вами поделиться опытом вот в таком вопросе, есть токен на котором записана ЭЦП, но проблема в том, что ее можно экспортировать, а это с точки зрения безопасности не очень хорошо, так как не совсем честный сотрудник или человек, может ее выгрузить и использовать в своих целях, я вас научу, как запретить экспорт закрытого ключа с рутокен.

По умолчанию запрет на экспортируемый ключ ставится еще при создании токена, на центре сертификации. Если же там этого не сделали, то мы сделаем вот такой финт.

Установка драйверов и модуля управления Rutoken

Как разрешить экспорт закрытого ключа в сертификате

В момент установки РУТОКЕН токен должен быть отсоединен от компьютера

Далее в пуске находим «Панель управления рутокеном»

Как разрешить экспорт закрытого ключа в сертификате

Далее в открывшейся программе, переходим на вкладку «Сертификаты». Если у вас будет предупреждение:

Использование сертификата невозможно по одной из причин:

  • КриптоПро CSP не настроен для работы
  • Контейнер с сертификатом поврежден

Данная ошибка, в 99 процентов случаев выскакивает из-за отсутствия или просроченной лицензии КриптоПро CSP.

Как разрешить экспорт закрытого ключа в сертификате

После установки КриптоПро все выглядит как нужно и доступна кнопка экспорта закрытого ключа.

Как разрешить экспорт закрытого ключа в сертификате

Запрещаем экспортирование сертификата

Производим экспорт сертификата, в итоге у вас получится архив pfx. Он будет содержать как открытый, так и закрытый ключ. Теперь попробуйте произвести импорт сертификата. Обратите внимание, что в момент импорта, вам не нужно ставить галку «Разрешить экспорт закрытого ключа» именно ей мы не дадим его выгрузку.

Как разрешить экспорт закрытого ключа в сертификате

Вводим пинкод (чаще всего он стандартный у рутокен, если вы его не меняли)

Как разрешить экспорт закрытого ключа в сертификате

У вас может появиться в некоторых случаях ошибка «импортированы могут быть только сертификаты для ключей RSA»

Как разрешить экспорт закрытого ключа в сертификате

Для ее решения нам нужно преобразовать сертификат pfx. Нам потребуется утилита OpenSSL. С помощью OpenSSL экспортируем закрытый ключ из PFX-файла:

  • pkcs12 -in newcert.pfx -nocerts -out encrypted.key
  • Проводим те же действия с сертификатом: pkcs12 -in newcert.pfx -nokeys -out cert.pem
  • Записываем сконвертированный закрытый ключ на Рутокен
  • Удаляем старый сертификат, после проверки нового.

Надеюсь вам поможет данный метод, запретить экспортирование приватного ключа с рутокен, если у вас есть дополнения или другие методы, то напишите о них в комментариях.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *