Просмотр ключа криптопро в реестре windows 10

Спасибо, что откликнулись!

Благодарим за интерес, проявленный к нашей компании.
Мы свяжемся с вами в ближайшее время.

Спасибо, что подписались!

Теперь вы будете получать письма от Такснета

Спасибо, что оставили отзыв!

Мы уже читаем его, чтобы стать еще лучше.

Ноя 16, 2022 12:01

Hi-Jacker	#1 Оставлено : 2 мая 2018 г. 16:53:57(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 18.02.2011(UTC) Сообщений: 6 Откуда: Санкт-Петербург	Есть алгоритм действий по переносу контейнера с сертификатом через реестр (нет возможности использовать другие способы)? То есть есть Windows 8.1 x64 с КриптоПро 4.0 с ключом в реестре. Нужно его экспортировать из реестра и импортировать уже в реестр Windows 10 x64 тоже с КриптоПро 4.0. Подскажите чего и как нужно делать?

Андрей Писарев	#2 Оставлено : 2 мая 2018 г. 19:25:55(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,750 Сказал «Спасибо»: 451 раз Поблагодарили: 1840 раз в 1423 постах	Здравствуйте. Автор: Hi-Jacker Есть алгоритм действий по переносу контейнера с сертификатом через реестр (нет возможности использовать другие способы)? То есть есть Windows 8.1 x64 с КриптоПро 4.0 с ключом в реестре. Нужно его экспортировать из реестра и импортировать уже в реестр Windows 10 x64 тоже с КриптоПро 4.0. Подскажите чего и как нужно делать? А что мешает использовать штатные средства, экспортировать сертификат с закрытым ключом и перенести в PFX? В Личном хранилище — правой кнопкой -> Все задачи -> Экспортировать… + отметить «вместе с закрытым ключом». Ваш вариант: По переносу через reg-файл — экспортировать в файл ветку с контейнером, изменить в файле SID пользователя, который на второй ОС и импортировать reg-файл. Подробнее можете почитать здесь вместе с инструкцией.
Техническую поддержку оказываем тут Наша база знаний
	WWW

Hi-Jacker	#3 Оставлено : 2 мая 2018 г. 20:26:33(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 18.02.2011(UTC) Сообщений: 6 Откуда: Санкт-Петербург	Автор: Андрей Писарев А что мешает использовать штатные средства, экспортировать сертификат с закрытым ключом и перенести в PFX? Если кратко, то там стоит СБИС с 88+ юридическими лицами. Ключи сперва хранились на флешке, которая навернулась — это привело к серьезным потерям времени и денег. Сейчас они хранятся в реестре. Ключи постоянно проходят перегенерацию (их в разное время заводили, а не единовременно). Мне нужно организовать резервное копирование. Сделать скрипт, который бы раз в сутки делал резерв веток реестра гораздо проще, чем насиловать флешку. К тому же в целях безопасности USB вообще хотелось бы отключить (это не моя идея). По предложенной ссылке я уже все посмотрел. По указанным путям у меня ничего нет. Хотя вариант с полным падением ОС, конечно тоже стоит предусмотреть. Отредактировано пользователем 2 мая 2018 г. 20:29:26(UTC)  | Причина: Не указана

Андрей Писарев	#4 Оставлено : 2 мая 2018 г. 21:08:40(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,750 Сказал «Спасибо»: 451 раз Поблагодарили: 1840 раз в 1423 постах	Что значит «нет»? Контейнеры под пользовательской учетной записью или компьютера? Если последнее — для этого есть отдельная ветка Keys
Техническую поддержку оказываем тут Наша база знаний
	WWW

Андрей Писарев	#5 Оставлено : 2 мая 2018 г. 21:14:50(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,750 Сказал «Спасибо»: 451 раз Поблагодарили: 1840 раз в 1423 постах	HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsKeys — ключи компьютера HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUsers SID-пользователя Keys — ключи пользователя ОС
Техническую поддержку оказываем тут Наша база знаний
	WWW

basid	#6 Оставлено : 2 мая 2018 г. 23:33:57(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 934 Сказал(а) «Спасибо»: 6 раз Поблагодарили: 126 раз в 114 постах	Вероятно, лучше учитывать разрядность целевой системы и всегда использовать 32-разрядную версию утилиты reg.exe. P.S. Проверил, что на 64-разрядной Windows 7: Код: %SystemRoot%SysWOW64reg export "HKLMSoftwareCryptoProSettings" файл /y корректно сохраняет содержимое (нужного) раздела по требуемому пути. В зависимости от прав (локальный администратор, он же с подъёмом привилегий и система) сохраняются: * общие разделы и раздел пользователя; * общие разделы, раздел пользователя и раздел системы; * общие разделы и разделы всех пользователей соответственно. Важно! Сохранение/восстановление должно делаться через «reg save»/»reg restore», т.к. текстовый экспорт не сохраняет права доступа. Сохранение/восстановление пригодно или в рамках конкретной системы или для встроенных и доменных пользователей в рамках конкретного домена. P.P.S. Если не ошибаюсь, то, как минимум, в десятке можно использовать опцию «reg:32» без необходимости «вычислять» разрядность операционной системы.

Андрей Писарев	#7 Оставлено : 3 мая 2018 г. 3:11:29(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,750 Сказал «Спасибо»: 451 раз Поблагодарили: 1840 раз в 1423 постах	Автор: basid Вероятно, лучше учитывать разрядность целевой системы и всегда использовать 32-разрядную версию утилиты reg.exe. P.S. Проверил, что на 64-разрядной Windows 7: Код: %SystemRoot%SysWOW64reg export "HKLMSoftwareCryptoProSettings" файл /y корректно сохраняет содержимое (нужного) раздела по требуемому пути. basid, у Вас реально ветка в CryptoPro? а не в «Crypto Pro»? p.s. ждём копипаст и сообщений — «не работает экспорт»
Техническую поддержку оказываем тут Наша база знаний
	WWW

Андрей Писарев	#8 Оставлено : 3 мая 2018 г. 3:16:08(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,750 Сказал «Спасибо»: 451 раз Поблагодарили: 1840 раз в 1423 постах	Автор: basid Вероятно, лучше учитывать разрядность целевой системы и всегда использовать 32-разрядную версию утилиты reg.exe. P.S. Проверил, что на 64-разрядной Windows 7: Код: %SystemRoot%SysWOW64reg export "HKLMSoftwareCryptoProSettings" файл /y корректно сохраняет содержимое (нужного) раздела по требуемому пути. В зависимости от прав (локальный администратор, он же с подъёмом привилегий и система) сохраняются: * общие разделы и раздел пользователя; * общие разделы, раздел пользователя и раздел системы; * общие разделы и разделы всех пользователей соответственно. Важно! Сохранение/восстановление должно делаться через «reg save»/»reg restore», т.к. текстовый экспорт не сохраняет права доступа. Сохранение/восстановление пригодно или в рамках конкретной системы или для встроенных и доменных пользователей в рамках конкретного домена. P.P.S. Если не ошибаюсь, то, как минимум, в десятке можно использовать опцию «reg:32» без необходимости «вычислять» разрядность операционной системы. Всё хорошо, но: 1) требуются только ключи 2) нельзя переносить «всё, что есть» в Settings (хотя — да, если только для backup) 3) Соблазн экспортировать и не думать с импортом через 32-разрядную версию утилиты reg.exe, т.е. штатным двойным щелчком — получить на 64х ОС ветку с настройкамиключами не в том месте… Отредактировано пользователем 3 мая 2018 г. 3:16:50(UTC)  | Причина: Не указана
Техническую поддержку оказываем тут Наша база знаний
	WWW

basid	#9 Оставлено : 3 мая 2018 г. 8:27:14(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 934 Сказал(а) «Спасибо»: 6 раз Поблагодарили: 126 раз в 114 постах	Автор: Андрей Писарев у Вас реально ветка в CryptoPro? Нет. Конечно ачипятка.

basid	#10 Оставлено : 3 мая 2018 г. 8:33:27(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 934 Сказал(а) «Спасибо»: 6 раз Поблагодарили: 126 раз в 114 постах	Автор: Андрей Писарев Всё хорошо, но: 1) требуются только ключи 2) нельзя переносить «всё, что есть» в Settings (хотя — да, если только для backup) 3) Соблазн экспортировать и не думать с импортом через 32-разрядную версию утилиты reg.exe, т.е. штатным двойным щелчком — получить на 64х ОС ветку с настройкамиключами не в том месте… 1 и 2: Settings — исключительно для примера. В реальной жизни будет два бэкапа — раздельно для ключей пользователя и компьютера. 3. «И не думать» — штатная ошибка не только сисадмина, но и любого IT-шника. P.S. Основополагающий принцип: «Не рыбу, но удочку» и «Не держись устава яко слепой стены».

Пользователи, просматривающие эту тему

Guest (2)

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Как найти сертификат ЭЦП на компьютере

Электронную подпись можно использовать на сколь угодно компьютерах, в том числе и одновременно. Но для того же переноса сертификата необходимо понимать, где он хранится на самом компьютере и каким образом его можно найти. К тому же, для переноса ЭЦП потребуется не только сам личный сертификат, но и удостоверяющего доверенного центра, который электронную подпись и выдал. Так где хранятся сертификаты ЭЦП на компьютере?

Файлы сертификатов в проводнике

В среде Windows (начиная с Vista и в более поздних версиях операционной системы) абсолютно все пользовательские сертификаты хранятся по адресу C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates, где вместо ПОЛЬЗОВАТЕЛЬ – имя учетной записи, по которой сейчас и работает операционная система. Но там хранятся только открытые сертификаты, доступные только для чтения.

А вот закрытый сертификат ЭЦП не копируется на жесткий диск – он хранится исключительно на защищенном USB-рутокене и используется как раз для генерации открытых ключей (при этом нужно ещё вводить секретный пароль, который предоставляет удостоверяющий центр). Если же физически скопировать открытый сертификат на другой компьютер, то пользоваться им можно будет лишь в том случае, если там же установлен корневой сертификат удостоверяющего центра, выдавшего ЭЦП. В противном случае – сертификат не пройдет проверку подлинности.

Где ещё на компьютере хранится сертификат электронной подписи? Ещё одна копия, для программного использования, хранится в шифрованном виде в папке Windows, но получить доступ туда или даже скопировать сам файл сертификата не получится – операционная система не предоставит таких прав доступа.

Ещё следует учесть, что для просмотра файлов сертификатов пользователь должен обладать правами администратора. Если же он вошел в систему как «Гость», то к системным папкам на диске С (или другом, где установлена сама система) он не сможет получить доступ.

Просмотр сертификатов через КриптоПРО

Как найти сертификат ЭЦП на компьютере через КриптоПРО (программа-дистрибутив, который используется для работы с электронными подписями)? Для этого необходимо:

После этого появится диалоговое окно со списком всех установленных сертификатов на жестком диске. Там же можно посмотреть информацию по каждому из них, удалить из системы, скопировать весь контейнер (связка открытого ключа и сертификата удостоверяющего центра – это позволит пользоваться ЭЦП на другом компьютере).

Опять же, для доступа к данному меню необходимо, чтобы у пользователя имелись права администратора (или предоставлена возможность пользоваться программой от администратора ПК). В противном случае – программа выдаст сообщение о невозможности получить доступ к списку установленных в системе сертификатов.

Можно редактировать список сертификатов и непосредственно из программы КриптоПРО (запустить можно из «Панели управления»). Там доступен более широкий функционал для работы с ЭЦП, а также сертификатами удостоверяющих центров.

Просмотр сертификатов через Certmgr

В операционных системах семейства Windows также имеется встроенный менеджер для работы с установленными сертификатами. Через него можно просмотреть и личные ключи, и сертификаты удостоверяющих центров, партнеров Microsoft (для предоставления привилегий определенным программам).

Где на компьютере найти сертификат цифровой подписи при помощи менеджера? Для этого необходимо:

Для запуска менеджера, а также удаления или копирования файлов сертификатов необходимо обладать правами администратора. В противном случае – программа даже не запустится, ссылаясь на недостаточный уровень прав доступа.

Данное приложение также имеет ряд ограничений по работе с шифрованными сертификатами (со специальной кодировкой данных). Поэтому она не всегда корректно отображает все установленные пользовательские цифровые подписи.

Доступ к сертификатам через Internet Explorer

Как найти электронную подпись на компьютере при помощи Internet Explorer? Данный веб-обозреватель имеется в Windows XP и более старших версиях, но может отсутствовать в определенных редакциях Windows 10. При необходимости – его можно бесплатно скачать с официального сайта Microsoft по ссылке https://www.microsoft.com/uk-ua/download/internet-explorer.aspx (необходимо будет указать используемую версию Windows).

Где хранится сертификат ЭЦП и как его найти через Internet Explorer? Необходимо запустить сам веб-обозреватель, далее:

После – появится окно со списком всех установленных в системе сертификатов, в том числе и от сторонних поставщиков программного обеспечения (в отдельной вкладке). Из данного меню можно удалить открытые ключи, но не корневые сертификаты удостоверяющих центров.

Доступ к списку сертификатов в Internet Explorer также можно получить из меню «Центр управления сетями и общим доступом» из «Панели управления» (в левой колонке внизу будет пункт «Свойства обозревателя»).

Этот вариант найти файлы сертификатов на компьютере удобен тем, что позволяет просмотреть их список даже без наличия прав администратора. Но вот удалять их уже не получится (но в большинстве случаев этого и не требуется).

Просмотр сертификатов через консоль управления

Это ещё один встроенный в Windows инструмент, позволяющий на компьютере найти ключ ЭЦП.

Для просмотра сертификатов через консоль управления необходимо выполнить:

Затем также можно выбрать просмотр сертификатов по определенной учетной записи, зарегистрированной в Windows. Чтобы таким методом найти ЭЦП на компьютере также нужно обладать правами администратора.

Через MMC (Просмотр сертификатов в консоли управления) также можно добавлять, удалять, копировать контейнеры с электронной подписью (включая сертификат удостоверяющего центра), но далеко не всем такой метод покажется удобным, так как некоторые команды также придется вводить именно через командную строку. Данный инструмент больше подходит для использования системными администраторами, когда через сервер выполняется настройка прав доступа всех подключенных компьютеров.

Другие варианты

Есть ещё масса других сторонних программ, которые точно так же позволяют работать с сертификатами, установленными в операционной системе. Но вот пользоваться ими не рекомендуется – никто не может гарантировать, что в исходном коде подобного приложения нет команды отправки сертификата на внешний сервер. Единственная сертифицированная в Минкомсвязи программа для работы с электронными подписями – это именно КриптоПРО CSP (на текущий момент актуальны версии 3.5 или старше). Её использование – это своего рода гарантия защиты от возможной компрометации ЭЦП.

Итого, где находится сертификат электронной подписи на компьютере? В системной папке пользователя, а удобней всего с ключами работать при помощи программы КриптоПРО CSP. С её помощью можно совершить быстрый перенос электронной подписи с одного компьютера на другой даже без использования USB-рутокена. А для быстрого просмотра самих ключей или удаления некоторых из них удобней всего использовать Internet Explorer.

Источник

Как найти эцп в реестре на компьютере

Добрый день! Уважаемые читатели и гости крупного IT блога рунета pyatilistnik.org. Продолжаем нашу с вами тему с сертификатами и работе с ними. В прошлый раз я вам подробно рассказал, как получить тестовый сертификат криптопро, посмотрите очень интересная заметка. Согласитесь, что для тестирования вам может потребоваться не один сертификат, а гораздо больше, и очень удобно иметь возможность работать с ними, без привязки к физическим токенам, например, на виртуальных машинах Vmware. Для таких задач, есть возможность поместить сертификаты КриптоПРО в реестр Windows, чем мы с вами и займемся.

Когда нужно копировать сертификаты КриптоПРО в реестр

Существует ряд задач, когда удобно иметь вашу ЭЦП подпись в реестре Windows:

1. При тестировании настроенного окружения для торговых площадок, для входа на которые используется ЭЦП подпись.
2. Когда у вас виртуальная инфраструктура и нет возможности, произвести проброс USB устройств по локальной сети
3. Ситуации, когда КриптоПРО не видит USB токена
4. Ситуации, когда USB ключей очень много и нужно работать одновременно с 5-ю и более ключами, примером может служить программа по сдачи отчетности СБИС

Как скопировать сертификат в реестр КриптоПРО

CryptoPRo позволяет производить установку с копирование закрытого ключа (сертификата) в реестр Windows.

И так, у меня есть USB токен SafeNet, на который я выпустил тестовую ЭЦП, ее я буду переносить вместе с закрытым ключом в реестр Windows. Открываем утилиту CryptoPRO с правами администратора.

Переходите на вкладку «Сервис» и нажимаете «скопировать»

У вас откроется окно «Контейнер закрытого ключа», тут вам нужно нажать кнопку «Обзор», что бы выбрать ваш сертификат, который вы хотите скопировать в реестр.

В итоге у вас в поле «Имя ключевого контейнера» отобразиться абракадабровое имя.

У вас появится окно с вводом пин-кода от вашего USB токена.

Теперь вам необходимо задать имя для копируемого сертификата в реестр Windows, КриптоПРО благо, это позволяет. Я назвал его «Копия сертификата в реестре (Семин Иван)»

Теперь вам необходимо положить сертификаты КриптоПРО в реестр, для этого выбираем соответствующий пункт и нажимаем «Ок».

На следующем шаге вам предложат установить новый пароль на ваш контейнер с закрытым ключом, советую установить его и желательно посложнее.

Установка закрытого ключа в реестр

Теперь когда ваш закрытый ключ находится в реестре, давайте установим личный сертификат. Для этого откройте на вкладке «Сервис» кнопку «Посмотреть сертификат в контейнере»

Далее в окне «онтейнер закрытого ключа» нажмите кнопку «Обзор».

И выберите сертификат из реестра, он будет с тем именем, что вы ему задавали.

После чего производится установка закрытого ключа в реестр, через соответствующую кнопку.

Видим, что сертификат был установлен в хранилище «Личные» текущего пользователя.Как видите, было очень просто скопировать закрытый ключ в реестр операционной системы.

Где хранится закрытый ключ в реестре Windows

Либо вы можете зайти в свойства Internet Explorer на вкладку «Содержание’. Потом перейти в пункт «Сертификаты», где у вас будут отображаться все ваши SSL сертификаты, и те, что КриптоПРО скопировал в реестр операционной системы.

Если нужно найти ветку реестра с закрытым ключом, то я вам приводил уже пример в статье, когда я переносил ЭЦП с компьютера на компьютер.

Про копирование ЭЦП с закрытыми ключами мы разобрали, теперь ситуация обратная.

Как скопировать эцп из реестра на флешку

Предположим, что у вас стоит задача скопировать контейнер из реестра, так как он уже там, то он экспортируемый, для этого открываем криптопро, «Сервис-Скопировать»

Выбираете «Обзор» и ваш сертификат из реестра.

Задаете ему новое имя, удобное для себя.

После чего вас попросят указать флешку, на которую вы будите копировать контейнер с закрытым ключом из реестра.

Обязательно задайте новый пароль.

Ну и собственно теперь открывайте вашу флешку и лицезрейте перенесенный на него контейнер, он будет состоять из файликов с форматом key.

Как видите КриптоПРО, это конвейер, который позволяет легко скопировать сертификат из реестра на флешку или даже дискету, если они еще используются.

Источник

Где хранится на компьютере сертификат электронной подписи

Важная составляющая электронной подписи — сертификат, который не только хранит важную информацию, но и является своеобразным паспортом участника электронного документооборота. Чтобы работа с ЭП не вызывала затруднений, пользователю необходимо знать о том, где хранится электронная подпись и ее сертификат, и как установить или добавить ЭЦП с ключом в хранилище.

Что такое сертификат пользователя

Сертификат цифровой подписи — это бумажный или электронный документ, выданный аккредитованным удостоверяющим центром, и подтверждающий принадлежность ЭЦП конкретному владельцу. В процессе генерации ключа вся информация о его владельце сохраняется, а полученный файл и есть сертификат ключа ЭЦП. Обязательная составляющая файла — открытый ключ и данные о владельце подписи, а также УЦ, выдавшем ЭП.

Как долго нужно хранить документ

Сертификат ЭЦП действителен лишь в течение строго установленного периода времени, равного одному году. По прошествии года цифровая подпись теряет свою функциональность и становится обязательной к замене. Вместе с новой ЭП владелец получает и новый сертификат.

Сколько времени нужно хранить сертификат ЭЦП зависит от того, какая информация в нем содержится. Полезный срок действия и содержание документа связаны между собой: чем больше информации, тем полезный срок действия документа меньше. Объясняется это тем, что данные, указанные в документе, могут измениться. Часто владельцы ЭЦП ждут истечения срока действия подписи, чтобы обновить информацию, поэтому минимум информации в электронном документе позволит продлить его актуальность.

В удостоверяющем центре сроки хранения ключа в электронной форме определяются договорными условиями между УЦ и владельцем ЭЦП. В течение срока хранения ключа все участники информационной системы имеют к нему доступ. После аннулирования сроки хранения в УЦ определяются статьей ФЗ о законном сроке исковой давности. После его истечения сертификат исключается из единого реестра ключей ЭЦП и переводится на архивное хранение, которое составляет 5 лет. В течение этого срока выдача копий осуществляется по запросу и в соответствии с действующим законодательством.

На бумажном носителе ключ хранится в течение срока, установленного ФЗ РФ об архивном деле и архивах. С 2003 г. согласно новым поправкам срок хранения составляет 50 лет с момента поступления документа.

Где хранится ЭЦП в реестре

В реестре хранить ключи электронной подписи можно как на обычном ключевом носителе. После переноса они находятся в папках:

SID — это идентификатор пользователя или информационная структура переменной длины, идентифицирующая персональную запись пользователя или группы, ПК или домена. Узнать его можно через командную строку при помощи команды WHOAMI/User:

Для удобства пользователя номер можно скопировать в файл на рабочем столе, чтобы каждый раз не выполнять операцию по его проверке.

Где хранится сертификат в ОС Windows

Установка или просмотр корневого или личного сертификата (ЛС) невозможна без знания места хранения подписи в ОС. Все версии Windows помещают ключи ЭЦП в так называемый контейнер, который раздел на часть для пользователя и ПК.

Поменять настройки хранения ключа можно через mmc оснастку, которая выводится комбинацией клавиш WIN+R:

В корне консоли комбинацией клавиш CTRL+M через Файл можно добавить или удалить оснастку:

В открывшемся окне пользователь выбирает поле доступных оснасток, затем «Сертификаты» и нажимает добавление:

Диспетчер позволяет добавить новую оснастку для персональной учетной записи, учетной записи ПК или службы. Если добавляется учетная запись ПК, то в ней есть дополнительные настройки:

Выбрать необходимо локальный ПК, после чего нажать «Готово». Откроется вот такое окно:

Созданную оснастку нужно сохранить через пункт меню «Файл». Для удобства работы местом сохранения выбирают рабочий стол:

В корневой консоли область сертификатов разделена на 2 части для пользователя и ПК. Область пользователя содержит несколько папок:

Обычно изначально папка «Личное» не содержит сертификатов. Перенести один сертификат в папку можно через запрос или импорт:

Далее необходимо нажать в мастере импортирования «Далее». Нужный сертификат обычно имеет следующий формат:

Через вкладку доверенных сертификатов откроется большой список корневых, который необходим для нормальной работы на интернет-пространстве:

Состав любого из них можно посмотреть через двойной щелчок мыши, а из действий пользователю доступен экспорт для последующей переустановки на другой ПК. Экспорт возможен в разных распространенных форматах:

Полезной для пользователя будет и папка, содержащая недействительные и просроченные сертификаты. Поскольку их своевременное обновление и замена позволят избежать проблем с работой компьютера.

Добавление новой ЭЦП

Добавить в хранилище сертификатов через меню КриптоПро CSP новый объект можно двумя способами:

Для ОС Windows 7 без установленного SP1 рекомендован второй путь.

Установка через контейнер

Для начала нужно открыть Панель управления ПК, выбрать там КриптоПро и вкладку Сервис, после чего нажать кнопку просмотра:

В новом окне через «Обзор» пользователь выбирает нужный контейнер, и подтверждает действие через «ОК»:

Если после нажатия «Далее» выходит ошибка о том, что в контейнере закрытых ключей и сертификатов не обнаружен ключ шифрования, то рекомендуется совершить установку вторым методом.

В программе КриптоПро CSP версии 3.6 и выше в открывшемся окне необходимо нажать «Далее», «Установить» и согласиться с предложенными условиями. В иных версиях программы в поле «Сертификат для просмотра» пользователь должен открыть свойства.

Следующий шаг: через вкладку «Общие» перейти к установке сертификата:

На последних версиях ПО просто выберите хранилище ключей ЭЦП. Обычно после подтверждения действия в автоматическом режиме ключ попадает в папку «Личные»:

Если все сделано правильно, то появится сообщение об успешном импорте.

Установка через меню ЛС

Откроется Мастер установки, в котором сначала пользователь нажимает «Далее», а затем переходит к выбору нужного файла через «Обзор»:

Чтобы выбрать путь, нужно открыть хранилище сертификатов, и нажать «Далее». Пароль на хранилище ключей обычно стандартный, и равен комбинации чисел от 1 до 6:

Если есть необходимость, то в новом окне можно посмотреть информацию о сертификате, а если нет — можно сразу переходить к следующему шагу:

Пользователь должен ввести или указать контейнер закрытого ключа КриптоПро, который содержит искомый электронный документ. Сделать это можно через кнопку «Обзор»:

Подтверждает свой выбор пользователь через нажатие «Далее»:

Следующий шаг — выбор хранилища, куда будет помещен новый ключ. Для этого в соответствующем окне нажимают «Обзор». В версии КриптоПро 3.6 и выше необходимо также установить флажок напротив пункта об установке сертификата в контейнер:

Далее нужно выбрать хранилище и подтвердить действие:

Если после последующего нажатия «Далее» и «Готово» появилось сообщение о том, что данный сертификат уже имеется на ПК, и его можно заменить на новый с проставленной ссылкой на закрытый ключ, то нужно нажать «Да». При правильно выполненных действиях в течение нескольких секунд появится сообщение об успешной установке ЛС на компьютер.

Работа с электронной цифровой подписью иногда требует обновления или переустановки сертификатов, а также проверки их актуальности. Для этого пользователю необходимо знать и место их хранения в реестре, и в операционной системе и понимать, как можно осуществить установку или экспорт. Обычно процесс поиска интересующего ключа ЭЦП занимает несколько минут и при следовании инструкции не вызывает ошибок или проблем. Если во время установки сертификатов происходят повторяющиеся сбои или системные ошибки, то лучше обратиться в службу технической поддержки для разъяснения ситуации.

Источник

Практические приёмы работы с Реестром

В данном разделе рассматриваются практические примеры работы с реестром:

• :ref:`csp-license`
• :ref:`kep-registry`
• :ref:`kep-recovery`
• :ref:`RegBack`
• :ref:`label-calais`
• :ref:`AddToTrusted`

Лицензия КриптоПро в реестре [1017]

Лицензия КриптоПро хранится в реестре, её можно оттуда скопировать, либо ввести.

1. Перейти в ветку:

КриптоПро 3.6:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstaller
UserDataS-1-5-18Products5480A45343B0B0429E4860F13549069InstallProperties

КриптоПро 3.9:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstaller
UserDataS-1-5-18Products68A52D936E5ACF24C9F8FE4A1C830BC8InstallProperties

КриптоПро 4.0:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstaller
UserDataS-1-5-18Products7AB5E7046046FB044ACD63458B5F481CInstallProperties

КриптоПро 3.0:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18
ProductsCC4F742C3275A04A9832E2E2CD4BE64InstallPropertiesProductID

1. Открыть двойным нажатием левой кнопки мыши параметр ProductID и прописать в поле Значение серийный номер лицензии (можно с дефисами, можно без). Либо скопировать номер лицензии оттуда.

---

Где хранятся ключи(закрытый ключ сертификата) в реестре? [1739]

Реестр может использоваться в качестве ключевого носителя, другими словами, в него можно скопировать Квалифицированную электронную подпись (КЭП). После копирования закрытые ключи будут находиться:

• для 32-битной ОС:

HKEY_LOCAL_MACHINESOFTWARECryptoProSettings
Users(идентификатор пользователя)Keys(Название контейнера)

• для 64-битной ОС:

HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettings
USERS(идентификатор пользователя)Keys(Названиеконтейнера)

• В некоторых случаях сертификат попадает сюда:

HKEY_USERSS-1-5-21-{SID}_ClassesVirtualStoreMACHINESOFTWARE
[Wow6432Node]Crypto ProSettingsUSERSS-1-5-21-{SID}Keys

Где SID (идентификатор пользователя) (англ. Security Identifier (SID)) — структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера.

.. index:: Security Identifier (SID)

Узнать SID пользователя можно через командную строку («Пуск → Выполнить → cmd»), введя команду WHOAMI /USER.

Рис. 23 – Узнать SID пользователя через командную строку

Tip

Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью».

---

Восстановление закрытых ключей с неисправного компьютера

Tip

Обязательно ознакомьтесь с главой :ref:`work-whith-regedit` и разделами:

• :ref:`open-regedit`
• :ref:`hive-load`;
• :ref:`regedit-rules`;
• :ref:`all-rules`;
• :ref:`psexec`.

Есть возможность восстановить закрытые ключи сертификата, если они были записаны в реестре компьютера и этот компьютер сломался.

Это можно сделать только в том случае, если жесткий диск в рабочем состоянии и есть возможность его подключить к рабочему системному блоку. Или есть копия папки C:WindowsSystem32config.

Если условия выполняются, необходимо проделать следующее:

1. Подключить жесткий диск от неработающего компьютера к рабочему системному блоку;

.. index:: PsExec.exe

1. Скачать утилиту PsExec.exe и скопировать ее в корень диска C.

Открыть редактор реестра с помощью утилиты PsExec.exe (см. раздел :ref:`psexec`). В командной строке («Пуск → Выполнить → cmd») ввести команду;

C:PsExec.exe -i -s regedit.exe

1. Загрузить куст HKEY_LOCAL_MACHINESoftware (см. раздел :ref:`hive-load`):

   • Перейти в раздел HKEY_LOCAL_MACHINE;
   • Выбрать «Файл → Загрузить куст»;
   • В файловом менеджере выбрать соответствующий файл куста с нерабочего компьютера C:WindowsSystem32configSOFTWARE;
   • Задать произвольное имя загруженному кусту, например, AZAZAZ.

Загрузка куста может занять некоторое время.

1. Перейти в раздел, в котором хранятся :abbr:`КЭП (Квалифицированная электронная подпись)`;

• для 32-битной ОС:

HKEY_LOCAL_MACHINEASASASCryptoProSettings
Users(идентификатор пользователя)Keys(Название контейнера)

• для 64-битной ОС:

HKEY_LOCAL_MACHINEASASASWow6432NodeCrypto ProSettings
USERS(идентификатор пользователя)Keys(Названиеконтейнера)

В некоторых случаях сертификат попадает сюда:

HKEY_USERSS-1-5-21-{SID}_ClassesVirtualStoreMACHINESOFTWARE
[Wow6432Node]Crypto ProSettingsUSERSS-1-5-21-{SID}Keys

1. После того, как найден нужный раздел с ключами:

• Нажать на подраздел keys правой кнопкой мыши и выбрать пункт «Экспортировать» (см. раздел :ref:`export`).
• Выбрать место для сохранения и задать имя файла. Экспортированный файл будет иметь расширение .reg.
• Если требуется, перенести экспортированный файл с расширением .reg на другой компьютер.

.. index:: Security Identifier (SID)

1. Открыть экспортированный файл с расширением .reg в текстовом редакторе (Notepad++, Блокнот) и изменить в файле идентификатор пользователя (SID) на идентификатор текущего пользователя, для этого:

Рис. 24 – Изменение пути к веткам реестра

• В командной строке («Пуск → Выполнить → cmd») ввести команду WHOAMI /USER (см. рисунок :ref:`registry-023`).

Tip

Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью».

Important

Если разрядность(битность) текущей системы отличается от той, на которой находился контейнер закрытого ключа, то необходимо проверить и при необходимости исправить путь в текстовом редакторе.

1. Сохранить изменения в файле и открыть его двойным щелчком мыши (см. раздел :ref:`import`). Разрешить внести изменения в реестр.

После этого выполнить установку открытого ключа через Крпто Про CSP (Инструкция по установке личного сертификата).

Warning

Перед тем, как вносить изменения в реестр, обязательно создавайте его резервную копию. Подробнее в разделе :ref:`export`.

1. В конце рекомендуется выгрузить ранее загруженный куст «Файл → Выгрузить куст».

Tip

Можно запускать реестр и не используя утилиту PsExec.exe, но тогда придется добавлять загруженным веткам права и разрешения вручную так, как описано в разделе :ref:`regedit-rules`. Это не критично, если речь идет, например, о копировании всего одного контейнера закрытого ключа. Если файлов много, то гораздо быстрее и удобнее использовать PsExec.exe.

Рекомендую всегда держать на готове утилиту PsExec.exe, ее скачивание и копирование занимает не так много времени.

---

Извлечение информации из резервной копии реестра

Резервные копии реестра обычно создаются автоматически каждые десять дней. Сохраняются они в папке:

• C:WindowsSystem32configRegBack – для Windows 7 и Server 2008;
• C:Windowsrepair – для XP и Server 2003.

Данные папки содержит те же файлы, что и C:WindowsSystem32config.

Если, например, из реестра случайно был удален контейнер закрытого ключа, теоретически, есть возможность импортировать куст из резервной копии.

Порядок действия аналогичен, описанному порядку в инструкции :ref:`kep-recovery`. Отличается только файл загружаемого куста C:WindowsSystem32configRegBackSoftware.

---

Доступ к считываетлям (Calais)

.. index:: Calais

Иногда возникает проблема с доступом к считывателям смарт-карт. Она может быть связана с тем, что у текущего пользователя недостаточно прав на следующие ветки:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalais

HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalaisReaders

Подробнее о настройке прав доступа читайте в разделе :ref:`regedit-rules`.

Note

Может возникнуть ситуация, когда текущий пользователь системы даже не будет являться владельцем данных веток реестра, следовательно, у него не будет прав на них. В таком случае, необходимо сначала добавить текущего пользователя во владельцы этих веток, а затем проставить ему соответствующие права, как описано в разделе :ref:`regedit-rules` данного руководства.

---

Доверенные узлы

Если узел не добавляется в надежные узлы, можно добавить его вручную через реестр, для этого необходимо:

1. Перейти в ветку HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomains;
2. Добавить подраздел с названием домена, например, kontur.ru;
3. В добавленном подразделе создать еще один подраздел с названием субдомена: extern;
4. Добавить параметр DWORD https со значением 2

Рис. 25 – Добавление зон надежных узлов вручную

Если вы работаете с электронной подписью(ЭП), рано или поздно может потребоваться копирование лицензии КриптоПро CSP на другой компьютер.

Серийный номер КриптоПро CSP находится в ветке реестра

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18Products5480A45343B0B0429E4860F13549069InstallProperties]

в значении параметра ProductID (имя раздела 05480A45343B0B0429E4860F13549069 может оказаться другим).

Может так же оказаться, что разделов в ветке Products несколько. В этом случае необходимо пройтись по каждому разделу и найти ProductID, который соответствует номеру КриптоПро на вкладке «Общие».

Но есть более легкий способ скопировать лицензию КриптоПро CSP.

Для этого потребуется программа CryptoPRO KEY Viewer(ссылка на программу ниже).
CryptoPRO KEY Viewer небольшая программа для просмотра ключей от CryptoPRO 3.6/3.9/4.0/5.0.

Программа имеет простой интерфейс. Содержит четыре кнопки и текстовое поле от куда можно скопировать ключ. Ключи достает с вашего реестра на компьютере.

Операционная система: windows xp/vista/7/8/10/11

Лицензия: бесплатно.

• Скачиваем программу с сайта и запускаем.
  

• Выбираем нужную версию КриптоПро CSP из списка.

• Копируем ключ лицензии на другой компьютер.

• 

• Для активации лицензии на новом компьютере выполните команду:

• Пуск->Все программы->КриптоПро->КриптоПро CSP->Ввод/ввести лицензию.

В открывшемся окне введите 25-значный серийный номер.

После успешной активации нужно удалить лицензию на старом компьютере по условиям лицензионного соглашения.

Что будет, если ввести лицензию КриптоПро на второй компьютер?

Лицензия дается на рабочее место.Используя его на нескольких компьютерах, вы нарушаете условия лицензионного соглашения.

Можно ли перенести лицензию КриптоПро с 4.0 версии на 5.0?

Нет. Лицензия КриптоПро активируется только на той версии, на которую она приобреталась.

Скачать программу

Прочитали статью, но не смогли решить проблему? С радостью помогу Вам в решении проблемы!

Cкопирую лицензию КриптоПро CSP на другой компьютер

Копирование «некопируемой» электронной подписи(ЭП) с Рутокена Lite.

Настройка компьютера для работы с ЭП от 500 руб.

Можете связаться со мной по Telegram.

Операционная система Windows умерла и нет возможности восстановить. В системе находились ключевые контейнеры записанные в реестр и на других носителях их не существует. Перенесем ключевые контейнеры со старого реестра в новую систему.

Содержание:

• 1 Введение
• 2 Ключевые контейнеры в реестре как с ними работать?
• 3 Необходимые данные в старом реестре
  • 3.1 Подключаем старый реестр в новый
  • 3.2 Серийный номер КриптоПро в реестре
  • 3.3 Где хранятся контейнеры ключей в реестре
  • 3.4 Сохранение ключевых контейнеров
• 4 Добавление контейнеров в новый реестр
  • 4.1 Смотрим UID необходимого пользователя
  • 4.2 Меняем данные в файле
  • 4.3 Экспортирует контейнеры в новый реестр
  • 4.4 Выгружаем старый реестр
  • 4.5 Проверка добавления ключевых контейнеров
  • 4.6 Перенос личных сертификатов пользователя
    • 4.6.1 Добавление сертификата через Крипто ПРО
    • 4.6.2 Перенос всех сертификатов
• 5 Вывод

Введение

Конечно лучше всегда хранить резервные копии всех получаемых ключей, но это делают только те кто уже имел проблемы с потерей а в последствии долгим и мучительным процессом восстановления необходимых ключей. Самая большая проблема в том что не каждый контейнер в реестре содержит в себе открытый ключ. Государственным учреждениям выдают, как правило на флешке, ключевой контейнер и личный сертификат которые работают в системе только в связке. Некоторые бережно хранят эту связку ну а большинство устанавливают контейнер в реестр системы и используют дальше флэшку в личных целях не задумываясь удаляя все лишнее в случае необходимости. Сохранность данных дело каждого мое дело решить задачу из сложившихся реалий о чем я и поведаю. Вариант подойдёт и для случая когда нет желание переносить каждый ключ а хочется перенести все сразу на новый компьютер.

Ключевые контейнеры в реестре как с ними работать?

Для работы со старым реестрам нужны права на открытие необходимых данных иначе вылезет предупреждение:

Для работы со старым реестром выполним следующие действия:

• Скачиваем программу PsTools и распаковываем в любую папку;
• Копируем необходимый файл PsExec.exe в папку C:WindowsSystem32;
• Запускаем командную строку cmd от имени администратора;
• Вставляем команду psexec -i -d -s c:windowsregedit.exe и нажимаем Enter.

Вот так это должно выглядеть в cmd:

Теперь вы можем спокойно работать с реестром и не получать предупреждения о невозможности просмотра данных.

Необходимые данные в старом реестре

Файлы реестра находятся по пути Windows/system32/config файл который нас интересует называется SOFTWARE. В нашем случае он был исправен в противном случае восстановить нужные данные не получиться.

Подключаем старый реестр в новый

Для подключения необходимо выполнить следующие действия:

• Выбрать необходимую ветку реестра HKEY_LOCAL_MACHINE;
• Перейти в меню Файл → Загрузить куст;
• Выбрать необходимый файл SOFTWARE;
• Назначить имя загруженному кусту (в моем случае old).

После успешного подключение вы увидите куст с введенным ранее названием.

Серийный номер КриптоПро в реестре

Определить какая стояла версия и серийный номер можно посмотрев записи на скрине ниже (внизу указан путь где смотреть):

Где хранятся контейнеры ключей в реестре

Все контейнеры вы можете найти по пути (для 64): HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettings
USERS(идентификатор пользователя)Keys(Название контейнера)

Сохранение ключевых контейнеров

Теперь нам необходимо экспортировать раздел с ключами для выполнения необходимых изменений и загрузки в рабочий реестр. После экспортирования я получил файл с названием reestr.reg.

Добавление контейнеров в новый реестр

Перед тем как добавить в новый реестр контейнеры нам надо сменить uid пользователя и отредактировать путь убрав название загруженного куста.

Смотрим UID необходимого пользователя

В командной строке cmd вносим команду WHOAMI /USER и видим нужный sid пользователя:

Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью». Вставляется текст по нажатию правой кнопки мыши!

Меняем данные в файле

Открываем файл в блокноте и делаем замену:

Не забудьте убрать название куда добавляли куст! Вам надо загрузить в рабочую часть реестра!

Экспортирует контейнеры в новый реестр

Выгружаем старый реестр

Не ищите возможности удаления старого куста который мы добавляли! Ненужный больше куст можно только выгрузить!

Проверка добавления ключевых контейнеров

Открываем программу Crypto Pro и смотрим что у нас есть в реестре:

Всё прошло успешно и все ключевые контейнеры присутствуют.

Перенос личных сертификатов пользователя

Добавление сертификата через Крипто ПРО

Берём открытый сертификат что нам нужен и устанавливаем его через Crypto Pro указав автоматический поиск контейнера. В случае если ставили контейнеры не вводя пароль просто жмите Ентер ( если вводили то ищите куда записали).

Все действия с ключами выполняйте через программу Crypto Pro!

Перенос всех сертификатов

Все сертификаты в системе Windows находятся по пути C:UsersНУЖНЫЙ ПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificatesMy. Достаточно скопировать эту папку в аналогичное место на новом компьютере и ключи будут перенесены.

Вывод

Вывод только один — храните резервные копии ключей. В моем случае мне  удалось восстановить закрытые контейнеры ключей и личные сертификаты. Стараюсь всегда или переносить ключи в реестра и хранить оригиналы, если это возможно. Не ленитесь делать резервные копии.

Понравилась статья? Поделитесь ей с друзьями!