Server Admin Авторский блог системного администратора
Криптопровайдер КриптоПро на сегодняшний день является, пожалуй, самым популярным на рынке, по крайней мере в России. Я хочу рассказать, как быстро и удобно перенести большое количество контейнеров закрытых ключей CryptoPro и сертификатов к ним. Существует штатный механизм в самой программе, работает в ручном режиме и не подходит, когда надо перенести большое количество.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном онлайн-курcе по администрированию MikroTik. Автор курcа – сертифицированный тренер MikroTik Дмитрий Скоромнов. Более 40 лабораторных работ по которым дается обратная связь. В три раза больше информации, чем в MTCNA.
Заказать настройку ЭЦП от 500 р.
Введение
Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это - банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим. Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме. Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:
- Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
- Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.
Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.
Копирование закрытого ключа через оснастку КриптоПро
Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.
Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.
Ошибка копирования контейнера
Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:
Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии. Либо вы просто не сможете его выбрать для копирования, если у вас последняя версия CryptoPro. Он будет неактивен:
Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему. Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Делаем это там же на вкладке Сервис в оснастке CryptoPro. Нажимаем Посмотреть сертификаты в контейнере.
Выбираем необходимый сертификат и нажимаем Посмотреть свойства сертификата.
Далее переходим на вкладку Состав в информации о сертификате и нажимаем Копировать в файл.
Если у вас после слов "Экспортировать закрытый ключ вместе с сертификатом" нет возможности выбрать ответ "Да, экспортировать закрытый ключ", значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.
Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, кроме удаления. Так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.
Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке из оснастки Crypto Pro, жмёте Копировать в файл, экспортировать БЕЗ закрытого ключа. И выбираете файл формата .CER.
Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него. В итоге у вас должны получиться 2 файла с расширениями:
- .pfx
- .cer
Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам нужно будет выбрать все параметры по умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер. Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.
Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер
В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже. Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:
wmic useraccount where name='user' get sid
В данном случай user - имя учетной записи, для которой узнаем SID. Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра (regedit.exe) и переходим в ветку:
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\S-1-5-21-4126888996-1677807805-1843639151-1000\Keys
где S-1-5-21-4126888996-1677807805-1843639151-1000 - SID пользователя, у которого копируем сертификаты. Выбираем папку Keys и экспортируем ее. Этот путь актуален для 64-х битных систем - Windows 7, 8, 10. В 32-х битных путь может быть немного другой. Я специально не проверял, но поиском по реестру вы при желании найдете его.
Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи. Теперь нам нужно скопировать сразу все сертификаты. В Windows 7, 8 и 10 они живут в директории - C:\Users\user\AppData\Roaming\Microsoft\SystemCertificates\My. Сохраняйте эту директорию. Для переноса ключей и сертификатов нам надо скопировать на другой компьютер сохраненную ветку реестра и директорию с сертификатами My.
После того, как перенесли файлы со старого компьютера на новый, открываем файл с веткой реестра в текстовом редакторе и меняем там SID пользователя со старого компьютера на SID пользователя нового компьютера. Можно прям в блокноте это сделать поиском с заменой.
После этого запускаем .reg файл и вносим данные из файла в реестр. Теперь скопируйте папку My с сертификатами в то же место в профиле нового пользователя. На этом перенос сертификатов и контейнеров закрытых ключей КриптоПро завершен. Можно проверять работу. Я не раз пользовался этим методом, на текущий момент он 100% рабочий. Написал статью, чтобы помочь остальным, так как сам не видел в интернете подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя таковой получилась.
КриптоПро CSP ошибка 0x80090010 Отказано в доступе
Иногда после переноса контейнеров закрытых ключей через экспорт - импорт ветки реестра с ключами можно увидеть ошибку доступа к контейнерам. Вроде бы все на месте, ключи есть в реестре. Их можно увидеть в останстке CryptoPro, но не получается прочитать. При попытке это сделать возникает ошибка:
Ошибка обращения к контейнеру закрытого ключа. Ошибка 0x80090010: Отказано в доступе. Связано это с тем, что у текущего пользователя, под которым вы хотите получить доступ к контейнеру, нет полных прав на ветку реестра с хранящимися ключами. Исправить это просто. Переходите в редактор реестра и выставляйте полные права к ветке Keys для текущего пользователя.
Убедитесь так же, что новые права наследовались на дочерние ветки с самими ключами. Обычно это так, но перепроверить на всякий случай непомешает. После этого ошибка с доступом к контейнеру закрытого ключа исчезнет.
Часто задаваемые вопросы по теме статьи (FAQ)
Очевидно, что предложенное в статье решение для этого не подойдет. Ведь тут идет речь о переносе сертификатов, которые хранятся в реестре, то есть уже были скопированы. Технические средства для копирования защищенных крипто контейнеров тоже существуют, но это не такое простое и очевидное решение.
Это не безопасно и в общем случае я не рекомендую это делать. USB токены для хранения сертификатов придуманы не просто так. Они реально защищают сертификаты от несанкционированного копирования. Если у вас нет объективной необходимости копировать сертификаты в реестр, лучше этого не делать. Если вам нужно сделать бэкап сертификата на случай поломки токена, то просто скопируйте его в зашифрованный архив и сохраните на флешке.
Нет, не подойдет. В статье описан способ переноса сертификатов CryptoPro. Другие криптопровайдеры хранят сертификаты по-другому. Универсального способа для всех не существует.
Да, есть статья на сайте контура, в ней ссылка на утилиту для копирования контейнеров Certfix. Можете воспользоваться ей.
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Огромное спасибо за статью. Все просто и понятно, помогла перенести неэкспортируемые ключи.
Здравствуйте! Существует ли способ установки закрытого ключа ЭЦП на сетевом ресурсе с возможностью его использования несколькими пользователями? Либо запрет для пользователя подписи документа только закрытым ключом без использования открытого ключа?
На сетевом ресурсе вряд ли получится настроить хранение ключа. Мне такие технические решения неизвестны. Максимум, что можно, это скопировать ключ с Рутокен Лайт и перенести в реестр других компьютеров для использования.
Добрый день, подскажите как это можно сделать ? перенести с рутокен лайт сертификат?
У меня нет под рукой подходящих инструментов. Я видел такую программу и обсуждение к ней. Называлась Tokens.exe. Только аккуратнее, если будете её искать. Качайте только с доверенных источников.
чси
Добрый день. Можно развернуть терминальный сервер и пускать, перенести на него ЭЦП и уже оттуда всем работать, подключаясь по RDP к этому серверу.
Спасибо! Доступно, понятно...
Добрый день , а как сделать , чтобы не бегать на каждый комп и делать слияние , я создал скрипт, но его чтобы запустить нужно так же бегать и делать с той учетной записи , чтобы заменился SID в реестре и тд. Может кто подскажет?
Добрый день! Помогите сделать закрытый ключ экспортируемым. ЭЦП 2,0 с сертификатами ФСБ, описанные выше утилиты не работаю, экспортировать кнопки нет. Если есть решение, напишите пожалуйста на почту kokos-87@bk.ru
Современные сертификаты, которые записывает налоговая, невозможно экспортировать.
Видел скопированный на флешку ключ от фнс
Добрый день , а как сделать , чтобы не бегать на каждый комп и делать слияние , я создал скрипт, но его чтобы запустить нужно так же бегать и делать с той учетной записи , чтобы заменился SID в реестре и тд. Может кто подскажет?
есть такая возможность. в инете в других статьях рассказывают об этом.используется старая добрая утилита tokens.exe Вариант сработает если носитель рутокен (рутокен ЭЦП 2.0 НЕ подходит)
Это сработает на носителе Rutoken Lite. На более продвинутых ЭЦП 2.0 и 3.0. не сработает.
Очень голословное утверждение. пост перед вами - все описывает. все легко и просто. проделывал это не один десяток раз
Кто-нибудь разобрался с копированием ключа с ДжаКарты?
Ребята, это вам поможет
https://disk.yandex.ru/d/T97G7WM0fMew7g
мини инструкция внутри
Спасибо все работает- получилось прогой CertFix.001121 снять запрет.
Добрый день, помогите решить проблему с переносом контейнеров. Сделал все по инструкции, открываю КриптоПРО,смотрю сертификатов нет, если пробую установить, то выдает ошибку " обращения к контейнеру закрытого ключа 0x80090016 набор ключей не существует"
Здравствуйте не получается скопировать закрытый не экспортируемый ключ ФНС с eTokena возможно ли решить эту проблему?
нет и не будет.
Спасибо вам огромное! Благодаря вашей статье у меня получилось добыть закрытый ключ!!!
Удачи вам!
Здравствуйте! С рутокеном теперь нет проблем с переносом в реести или на флешку. Достался ключ JaCarta и никаким способом теперь не получается перенести ЭЦП. Может кто нашёл решение?
Добрый день! Вам удалось решить эту проблему?
Если непереносимые ключи на рутокене, 1) запускаем Tokens.exe -> Экспорт (на пример) на флешку. Далее 2) отключаем доступ в интернет, запускаем CertFix.001069.exe (именно старые версии, в новых эта возможность заблокирована; если интернет не отключить - CertFix обновится), находим в списке необходимый контейнер -> Shift+ПКМ -> Сделать экспортируемым.
Если непереносимые ключи на флешке, начинаем с пункта 2).
Сергей, откуда можно скачать именно эту версию программы? Мне поддержка контура её не предоставляет!
CertFix.001069.exe - https://disk.yandex.ru/d/nHEtCCKsyZgFSw
Спасибо, но всё равно при нажатии Shift+ПКМ -> Сделать экспортируемым всё равно кнопка неактивна даже на старой версии программы. Залажу без интернета. Не понимаю что могло пойти не так...
https://i.imgur.com/3GsVqCx.png
https://i.imgur.com/xtgpj4G.png
Судя по скринам, у Вас ключи на рутокене. Перенесите на флешку или реестр.
Если непереносимые ключи на рутокене – перенесите их на флэшку или реестр.
Вот краткое содержимое вашего совета )
А это возможно сделать, если вот такое выскакивает? И с помощью какой программы?
https://i.imgur.com/1GP0rzB.png
Но на самом деле помогло, спасибо.
Только Tokens не сразу заработал, выдавал ошибку Не удалось создать ActiveX-объект "rtCOMLite.rtContext" (rtComLite.dll), ошибка:
Невозможно создание объекта сервером программирования объектов (0x800A01AD, -2146827859)
У кого будет тоже самое, гуглите Контур Установочный Диск, проходите диагностику и ставьте предложенные компоненты.
Токенс заработал после этого.
Спасибо! С более ранней версией программы удалось открыть экспорт в файловую систему и затем через крипто про уже можно копировать в реестр.
Добавлю ещё видеоинструкцию
https://rutube.ru/video/aeb53798e5cfd6aa878ff15ca5bb78fb/
Добрый день! Можно ли этим способом перенести контейнер ключей при истекшей лицензии крипто про?
Вопрос снят, дело было не в крипто про, а в том, что помимо сида, в блокноте, нужно еще и путь изменять, если меняется разрядность процессора. Все заработало!
no
Ещё добавлю несколько способов:
1. Через КриптоПро можно копировать в файл на диск. А чтобы не подключать токен, флешку или ещё одни раздел диска, можно создать папку и сделать её как диск через команду cmd: SUBST. Т.е. создали папку, назначили её как диск, скопировали туда контейнер через КриптоПро. После этого можно удалить назначение папке диска.
2. КриптоПро 5 может использовать файловые ключи, обычно они лежат в папке "%userprofile%\appdata\Local\Crypto Pro", а если хранятся в реестре, то можно скопировать их в файл и перенести на другой ПК в эту же папку.
Замечание:
При ручном копировании файлов pfx и cer не достаточно их запустить на другом ПК.
Закрытый ключ (pfx) можно установить через двойной клик, но потом надо в закрытый ключ устанавливать сертификат, что делается через КриптоПро на вкладке "Сервис" кнопка "Установить личный сертификат...". А если двойным кликом установить сертификат (cer), то ЭЦП работать не будет, т.к. контейнер не будет связан с сертификатом, и вы получите ошибку в контейнере закрытого ключа не найдены сертификаты.
и ещё:
sid узнать проще через команду в cmd: whoami /user
Интересно, про команду SUBST не знал. Оказывается windows может тоже монтировать папки в устройство как юникс
Добрый день.
Чтобы узнать SSID пользователя можно воспользоваться командой попроще - whoami /user , ее и проще запомнить.
К сожалению, не понятно как массово переносить ключи с сервера терминалов. Т.е. есть 10+ пользователей, у каждого по несколько ключей. Только подключаться вручную к каждому, получается. ПРи попытке копировать ключи из-под другого пользователя (с админскими глобальными правами даже) - выдается отказано в доступе.
Спасибо вам большое! я бухгалтер и благодаря вашей статье за 40 минут противный ключ заработал в эдо 1с.
Поздравляю и сочувствую, что приходится самому во всём этом разбираться.
Добрый день!
Получила токен из ФНС, он не копируется...
Tokens.exe и CertFix.001069.exe скачала, но дальше нифига не пойму что и как... Сертификат открытую часть ключа я и без этих программ могу скопировать. но дальше-то ничего не могу сделать: то есть скопировать в реестр или на другой носитель
На каком носителе получили, rutoken/jacarta?
Александр, а с какого именно рутокена удалось вытащить файлы? Странно что получилось, ведь исходя из логики работы все операции происходят внутри токена и не просачиваются в ОС. Поэтому даже дамп, на основе обращения к внутренней памяти устройства, сделать не возможно. Или всё таки возможно?
С любого токена в реестр копируешь через крипто про, а с реестра уже куда хотишь.
Я денег заплачу если ты сможешь скопировать хоть куда не экспортируемый ключ, который мы тут обсуждаем, с носителя s или lite.
Скопировать не экспортируемый ключ с Рутокена можно. Обращайся.
Спасибо, буду иметь в виду. Пока нашли вариант - успели сделать ключи в конце прошлого года у сбиса, они нормальные экспортируемые. Сделали даже тех организаций, у которых ещё пол года срок был. А к тому времени может ещё что и изменится.
Добрый день! Подскажите, как экспортировали?
А можно мне?) У меня такого пути, как в статье, почему то, нет.
Спасибо за статью! Если закончилась демо-версия Крипто-про, фокус с переносом на комп с лицензией не удастся?
У меня успешно получилось экспортировать не экспортируемый ключ с рутокена на флэшку в виде папки с набором файлов (header.key,marks.key,marks2.key,name.key,primary.key,primary2.key). И теперь я могу эту папку и соответственно контейнер копировать в корень любой флэшки и множить сколько угодно. Средствами КриптоПро скопировать не получается по-прежнему. КрПр ругается на флаг, установленный при создании. Можно ли в наборе файлов изменить этот флаг? Хочу положить контейнер на другой рутокен. Реально?
Могу помочь со снятием флага "неэкспортируемый". Делается это через утилиту CertFix.
Помогайте. Как это делать утилитой?
Мне нужна такая помощь оперативно. Как связаться?
Спасибо огромное, я не айтишник, обычный бухгалтер, но после вашей статьи легко и просто перенесла сертификаты удаленно на другой компьютер.Здорово, что есть такие умные люди.
Есть ещё один нюанс при втором способе копировании ключей и сертификатов - должна быть одинаковая версия КриптоПро на обоих компьютерах.
Всем привет. Решил поделиться своим опытом.
Запускаем КриптоПро от имени Администратора. В "Сервисе" "Скопировать", копирую контейнеры из "Пользователя" в "Компьютер".
Если вам нужно перенести на другой компьютер, просто экспортируем ветку \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Keys и импортируем на новом компьютере. Затем обратная процедура копирования из "Компьютера" в "Пользователя.
Решается две проблемы, с SID и ошибкой "0x80090010 Отказано в доступе".
Это удобно при копировании в Терминалке, из профиля оного пользователя в другой(экспорт-импорт не нужен).
у меня при переносе потерялась половина контейнеров ключей, я не проверил и переустановил винду, поэтому, проверяйте все ли ключи скопировались
Еще возник вопрос: как скопировать только сертификаты типа Федеральное казначейство и подобные с одного пк на другой? спасибо за ответ.
Привет, в реестре не нашел Keys
Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\S-1-5-21-1536696783-720335841-1205894690-1001 _ дальше только KeyDevices и Random.
Этот способ прикрыли, или что то ни так делаю?
Огромное спасибо. Сработало.
Получается, что вся безопасность весьма условна.
Да, при желании все копируется, даже некопируемые контейнеры.
Спасибо. Но структура реестра несколько не сошлась. WOW6432Node увидел только в WS2008R2, в W7 сразу идёт Крипто Про. Но в первой не увидел Keys, только девайсы. Завтра попробую перенос.
Добрый день! Переносил ключи из Win7-32 на Win10-64.
В Win7-32 путь в реестре
\HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS\S-1-5-21-.....\Keys
а в Win10-64, как и у вас
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\S-1-5-21-......\Keys
Все получилось, спасибо за статью!
В случае когда нужно перенести из реестра только одну запись с ключом.
Как понять какие файлы из папки My надо перенести на новый компьютер вместе с этим ключом?
Боюсь копирование всего содержимого может поломать работу чего-то из уже установленных програм.
С первым способом ничего не получалось, 2 дня мучилась, а с копированием ветки реестра все получилось за 10 минут. Огромное, человеческое спасибо вам автор! Я хоть и гуманитарий, но по вашей инструкции все получилось. Шлю вам лучи добра и большой плюс к карме)))
Я думаю после копирования данных 1 способом. На втором компьютере, вам необходимо было после установки закрытого контейнера прописать сертификат в контейнер. В крипто про есть пункт установить личный сертификат, а далее автоматический поиск контейнера. И он сам себя пропишет.
Да Вы же вообще золотой человек! Спасибо Вам!
Только что самостоятельно дошёл до этого способа копирования контейнеров и хотел написать для себя шпаргалку, чтоб не забыть, а тут - раз и всё уже есть как нужно..
Владимир, здравия!
Подскажите как можно перенести саму КриптоПро с компа на комп при утере лицензии на программу.
Поясню для понимания: прежний сис.админ уволился и сменил номер. Сотруднику купили новый комп. Теперь нужно перенести КриптоПро на него. Для работы используется РуТокен (или как это еще называется. флешка).
Заранее, спасибо.
Лицензионный номер крипто про дается вместе с покупкой программы. Нужно искать документы. Где в установленной версии его найти, я не знаю. У меня не получалось это сделать. Всегда искал документы с лицензией.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\
3.9 05480A45343B0B0429E4860F13549069\InstallProperties
4+ 7AB5E7046046FB044ACD63458B5F481C\InstallProperties
ProductID
При переносе с пк на пк эти ключи подходят (тоже самое отображает программа на главной, но без последнего октета, который есть в реестре)
Столкнулся с такой проблемой, что SID пользователя от которого переношу ключи не получается узнать. Слетела ОС и пришлось переустанавливать всё. Диски старые подключены, файлик с реестром скопирован, но как узнать SID?
Так в старом реестре же все сиды есть. Можно там посмотреть.
Автоматизация cmd\bat
@echo off
setlocal
msg * Starting Export %username% Cert
mkdir %systemdrive%\Cert_User
set "exec=wmic useraccount where name="%username%" get sid /value"
for /f %%i in (' "%exec%" ') do 1>nul set "%%i"
reg export "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\%sid%\Keys" %systemdrive%\Cert_User\%username%_Cert.reg /y
start %systemdrive%\Cert_User
Скопировал в cmd.cmd файл, но перменная sid не определяется. Подскажите, что не так? Кодировка или код? Или кавычки?
Скорее всего кавычки. При копировании их надо заново все расставить. Движок сайта их изменяет.
Совсем немного подправил для разных ОС (x86 и x64)
@echo off
setlocal
echo Starting Export %username% Cert
if not exist "%systemdrive%\Cert_User" mkdir "%systemdrive%\Cert_User"
for /f "tokens=2 delims==" %%i in ('"wmic useraccount where name="%UserName%" get SID /value"') do 1>nul set sid=%%i
if exist "C:\Program Files (x86)" reg export "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\%sid%\Keys" %systemdrive%\Cert_User\%username%_Cert.reg /y
if not exist "C:\Program Files (x86)" reg export "HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Users\%sid%\Keys" %systemdrive%\Cert_User\%username%_Cert.reg /y
start %systemdrive%\Cert_User
Спасибо.
Доброго времени!!! Хотел скопировать с рутокена в реестр компа выскочила "Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии."
Второй способ не работает по той же причине.
Подскажите есть ещё варианты, именно с токена в реестр компа.
Заранее спасибо
Не знаю других вариантов. Если ключ на самом токене помечен как неэкспортируемый, то так просто его оттуда не вытащить.
https://www.kontur-extern.ru/support/faq/50/704
Здравствуйте! Сегодня установила ключ ЭЦП, как я понимаю, в реестр. Могу я его скопировать на обычную флешку? Те, кто выдали, сказали, что спец. рутокен не нужен в моем случае (маркировка обуви). При копировании на флешку ключ остается и в реестре ПК, и на флешке? Или он удаляется из реестра полностью. Спасибо.
Можно сделать копию ключа и скопировать его на флешку. Из реестра он не пропадет.
Вот так "Копирование закрытого ключа через оснастку КриптоПро
Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать."?
Нет, через оснастку crypto pro можно скопировать только в реестр или другой токен. Нужно через свойства Internet Explorer сделать экспорт сначала закрытого ключа, а потом сертификата.
Здравствуйте! Экспорт закрытого ключа не получилось сделать, эти строки были не активны. Сделала только экспорт сертификата. Почему так, и что можно сделать? Спасибо.
При копировании закрытого ключа в реестр он был помечен как неэкспортируемый, поэтому его не получается сохранить в файл. Вариант сохранения ключа только один - сохранить ветку реестра с ним, как показано у меня в статье. И эту ветку сохранить на ту же флешку. По сути, это контейнер и есть, его можно будет установить на другой компьютер.
Извините за частые вопросы, больше не у кого спрашивать. У меня нет папки Keys в папке с SID номером. Что я делаю не так?
Возможно нет прав на ветку реестра. Такое бывает например если подключать файл реестра (software) (именно там хранятся ключи когда крипто сохраняет их в реестре) на другом компьютере. В таком случае надо стать владельцем ветки и добавить себе прав (+ заменить заменить для подконтейнеров). Потом заново открыть реестр и подпапки появятся.
!Не делать на боевой системе! или сделать бекап нужной ветки перед этим!
Кстати автору неплохо бы дополнить статью для случае когда Windows c нужными ключами мертва, но есть доступ к файлам с нее.
А можно в Крипто Про скопировать в файл с закрытым ключом?
Потом переслать этот файл для размещения на токене?
Да, можно.
Доброго времени суток, уважаемый автор! Спасибо за интересную и полезную статью. Можете ли Вы что-то подсказать в моей ситуации. Я обслуживаю организации по IT. Недавно моими клиентами стали несколько нотариальных контор. У них такая система: есть рутокен с личным сертификатом нотариуса, которым подписываются все нотариальные действия. А так как компьютеров много, то все бегают за этим ключом чтоб вставить его к компьютер и подписать что-нибудь... В обычной ситуации я просто сохранил бы сертификат с ключом в реестр и всё, но нотариальный сертификат помечен как "неэкспортируемый". И Крипто-Про его сохранять в реестр отказывается с соответствующей пометкой. Можно ли его всё-таки отвязать от рутокена, что скажете?
Так если сертификат личный, не очень понимаю, зачем с ним носиться по компьютерам? Пусть нотариус с ним и работает. Я бы не стал ничего предпринимать в такой ситуации. Сертификат нотариуса штука серьезная. Если его каким-то образом скопировать и распространить по компьютерам, то можно получить большие проблемы в случае с утечкой такого ключа.
Причем крайним потом станет системный администратор, который отвязал ключ от носителя в обход запрета на это действие. Я бы не стал брать на себя такую ответственность. Об этом не думаешь, пока все хорошо, но случиться может всякое. Рекомендую разъяснить суть ключа и безопасности, связанной с ним. Пусть лучше ходят и руками этот ключ втыкают, чем хранят на компьютерах.
Спасибо за совет
Спасибо! Отличная статья.
Привет. все сделал по инструкции, но контейнеры нашлись только старые, а новые нет!!
Я может и не в тему от комментирую статью. Но дубликаты , а так же кучу сертификатов с контейнерами просто копирую и вставляю. Далее узнаю серийник USB-Flash оригинала и с помощью VolumeID v2.1 вбиваю серийник оригинала на дубль.
КриптоПро привязывается к серийному номер ТОМА (не УСТРОЙСТВА), который перегенерируется каждый раз после форматирования тома.
На сайте СКБ контура, появилась утилита которая очень упрощает перенос ключей с одного ПК на другой, рекомендую.
https://h.kontur.ru/certfix
Перенос можно выполнить даже без флешки, я использую команду subst (cопоставление имени диска указанному пути), с помощью которой монтирую папку в качестве диска. Затем с помощью утилиты certfix.exe выгружаю в нее сертификаты с контейнерами. Затем все переношу на другой ПК.
Классно! Прикольно!!!
На картинке 5 ясно показанно что сертификат с закрытым ключем вы не скопируете. Как же вы его скопировали или это просто пример?
Вы статью то читали или только картинки смотрели? Там же прямым текстом написано, что надо делать в таком случае:
"Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ "Да, экспортировать закрытый ключ", значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже."
УРААААААААА! У меня все получилось!!!!!!! Огромное Вам спасибо. Мы мучились три дня, пока я не наткнулась на вашу страницу.
Милана, можете описать пошагово как у Вас вышло? Я - чайник, все коменты читаю, пробую но нифига ничего не выходит.
Токен из ФНС и он не хочет никак копировать закрытую часть ключа....
Крипто при втором способе сертификаты увидел, а вот Россельхозбанк (для которого они и нужны) - нет
Банк использует ключи, которые в крипто про? Чаще всего у банков свои ключи, хранящиеся отдельно от Крипто Про.
Затрудняюсь однозначно ответить. Для работы с ключами необходима установка и Крипто Про, и крипто-плагина bss
Все сертификаты перенес, КриптоАРМ все видит, винда все видит, браузеры все видят, а КриптоПРО НЕТ!!!!
Как их всосать в КриптоПРО???
Исходники:
1. Перенос на машину с рабочим КриптоПРО, КриптоАРМ и тп - новые сертификаты не видит.
2. Новая машина с 10 виндой (чистенькая). Ничего нет кроме винды, дров Рутокена и КриптоПРО 4 - дальше все по инструкции. Браузер (IE) сертификаты нашел, а КриптоПРО нет.
При этом Рутокены с ключами все видят нормально.
Исправьте мои корявые ручки плиз)))
КриптоПРО хранит сертификаты в реестре. Если все правильно перенести, то он увидит их. Если это не так - вы где-то ошибаетесь. Способ, описанный в статье, на 100% рабочий.
Если переносили через ветки реестра, то есть вероятность, что импорт был выполнен не туда. Win10 сколько бит?
Карен Григорьевич 22.04.2018 at 00:44
Еще момент. Если ОС 64 битная, то копировать ключи в реестр следует в ветку WOW64
КриптоПро по прежнему не видит сертификаты по вкладке "Просмотреть сертификаты в контейнере", но при этом все процессы, связанные с шифрованием проходят нормально. Видимо в связке "Винда 10 (64) + КриптоПро 4.0.9944" есть какая-то заморочка. При просмотре реестра, после запуска КриптоПро, вылезает еще одна строка в разделе реестра ,,,,,,/Users и она пустая. Сильно подозреваю, что КриптоПро как раз оттуда и пытается считывать инфу.
Еще раз повторяю, на процессы шифрования это никак не влияет, поэтому за сам способ переноса огромное спасибо.
сижу в сб с такой же задачей форумы перерыл все. крипто про тем более. все шлак. есть 44базы 1с 81 сертификат и 10 уе***ких бухов.
да все знают как перенести 1 сертификат или контейнер. а что делать с 10*81? операций???
вобщем способ пашет.
админу кинул на корюшку к пиву. за сэкономленные нервы)
Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер - по этой инструкции все выполнено, но:
В процессе подписи произошла ошибка: Error: Не удается найти указанный файл
Автор - **** *****! Из-за тебя, *****, контейнер криптопро стерся (посмотри на свой ***** скриншот) и **** его теперь куда поставишь!
***** автор.
Реально! Огромное благодарю за облегчение работы админа!
Подтверждаю! Тоже перенес сегодня все по статье, когда буху менял системник.
Способ 100% рабочий, сегодня переносил реестровые ключи с профиля на профиль, после добавления ПК в домен. Спасибо огромное!
А что делать если на другом компьютере стоит VIPNet, а не Крипто-ПРО? Я имею ввиду как здесь работать с реестром.
Не знаю, это совершенно другой софт. Надо смотреть, где он хранит ключи. Моя статья актуальна исключительно для переноса ключей КриптоПро.
Ключи для крипто про и вип нет - это разные ключи и друг с другом не курят. C VipNet вообще все просто. Открыть випнет - вкладка контейнеры - если контейнеров много, они как правило хранятся в одном месте. Как правило процесс генерации ключей запускается не самим криптопровайдером, а использующим его софт (1с отчетность, Астрал Отчет и др. в каждом софте настроен свой путь для хранения ключей по умолчанию...Гдето это путь можно менять на этапе генерации - гдето нет. ) Сам контейнер - это цельный файл, копировать его легко, как и любой другой. Единственно, что, возможно, копирование каталога с сертами тут не проканает. - 1) Перенос каталога с контейнерами ключей в любое место на ПК. 2) Указание в випнет пути этого каталога. 3) Последовательное добавление контейнеров из выпадющего списка во вкладке контейнеры. Инициализация каждого контейнера (установка серта из контейнера закрытого ключа) - по сути строиться связь между контейнером и сертом в хранилище сертификатов
Спасибо за обстоятельный ответ. Думаю, многим будет полезен.
Рад помочь. Статья отличная. Особенно раздел по работе с частью реестра.
Касаемо VipNet CSP и Крипто про. Все таки это конкуренты. И работают с крипто ядром винды по разному. Пытаться ставить их на одном ПК крайне не рекомендуемо и даже опасно. В лучшем случае - это ошибки при шифровании (расшифровке), вплоть до умирания абсолютно всех сертов в хранилище сертификатов "Личное" ("Ваш сертификат имеет недействительную цифровую подпись") В худшем - положите ОС. После перезагрузки, которая рекомендуема после инсталляции любого из них, ос может не загрузится. Так что, если вас нарочито пытаются склонить к установке их на одном ПК, для удобства конкретного пользователя, отбрыкивайтесь как можете. В ход могут идти любые страшилки, тем более, что они обоснованы. Да, есть способы их подружить на одном ПК. Это последовательность установки и тд. Но по хорошему, это шаманские пляски и костыли.
с 4й версии Випнета все отлично дружит. с 3й были проблемы и танцы.
Еще момент. Если ОС 64 битная, то копировать ключи в реестр следует в ветку WOW64, если X32 то, по стандартному пути. В реестре хранить ключи крайне опасно. Это нарушение системы безопасности, так как при удаленном взломе ПК, банковские сертификаты подписи могут попасть к злоумышленникам путем экспорта ветки реестра, а если кейлогер был установлен, то можно на удаленном пк сформировать платежку и перевести средства организации.
Да, все верно. Это нужно понимать. Обычно в реестре хранят ключи от контура и всяких отчетностей. Лично я от банков никогда с токенов не переношу в реестр.
Нет. Это не нарушение безопасности. В формуляре к КриптоПро CSP четко прописана возможность хранения ключей в реестре, при соблюдении требований безопасности, которые расписаны в документации к КриптоПро, в формуляре есть конкретная ссылка.
Если контейнер хранится на токене (Jakarta или e-token) и защищен от копирования то ни один способ Вам не поможет. Можно сделать перегенерацию сертификата с указанием хранилища "реестр" и уже потом, если вдруг понадобится переносить спокойно.
Это очевидно. Мы же переносим контейнер, который либо уже в реестре, либо его можно скопировать в реестр.
Спасибо.
Неоднократно переносил вторым способом. Мне он кажется даже проще.
Но при этом как то нет четкого понимания всех этих понятий: контейнер, закрытый ключ, где хранится.
Не подскажите адекватную статью/ книгу чтобы уложить в мозгах?
Да я сам немного плаваю в этой теме. В целом есть понимание, как работает, но не более.
Повозился в свое время с этими задачами, когда вел аутсорс бухов...
есть проще вариант - на облако выкинул скрины - может кому пригодится
https://cloud.mail.ru/public/m9V6/8tJs5foHa
ИМХО это на много проще описанного в статье
И так же в Крипто Про есть возможность в качестве контейнера использовать реестр ( когда устанавливаем контейнер выбираем не флэшку а реестр если конечно были установлены драйвера на контейнер «Реестр» при установке крипто про ) Данный способ официально безопасен только в нормальных операционных системах(Linux подобных ) так как в Linux более менее нормально относятся к безопасности данных, но так как использование сертификатов в операционной системе винодовс само по себе нарушение безопасности (в виду закрытости исходного кода) мы также пользуемся этой функцией и в винде
можете если есть вопросы писать мне попробую ответить maat@bk.ru
Что за бред? "есть возможность в качестве контейнера использовать реестр" и "Данный способ официально безопасен только в нормальных операционных системах(Linux подобных )" в линуксе вообще реестра нет. Что значит официально безопасен?
Файл посмотрел. Чтобы сэкономить время остальным, скажу что там. Там инструкция как сделать экспорт и перенести один сертификат. То же самое, что тут в статье в первом способе. То есть ручной труд. Автор не понял смысл статьи. Тут рассказано, как перенести разом, скажем, 50 ключей. Руками это очень долго и нудно.
Что за бред? - улыбнуло)))
линуксе вообще реестра нет. - имелось в виду хранение сертификатов в системе (в линуксе есть хранение сертификатов в системе - не спорю он называется не реестр)
Что значит официально безопасен -а то что хранение контейнеров в системе в винде крипто-провайдером, исходя из соображений безопасности, запрещён. а в линуксе разрешен - с условием правильной конфигурации прав и SeLinux.
как сделать экспорт и перенести один сертификата - это утверждение сомнительно так как можно экспортировать ветками - обычно при переустановке необходимо экспортировать 3 ветки - 5 кликов мыши на каждую - без углублений в реестр и т.д. - занимает 1,5-2 минуты в общей сложности + использование стандартной оснастки без запоминания веток реестра... ИМХО что в купе даёт универсальный инструмент для винды и без заморочек.
Файл посмотрел. Чтобы сэкономить время остальным, скажу что там - звучит как детектив прочитал не интересно всех убил садовник!!! круто
Не понял, что значит "хранение контейнеров в системе в винде крипто-провайдером, исходя из соображений безопасности, запрещён". Если запрещен, то как получается хранить и копировать средствами самой КриптоПро, из ее оснастки? Это штатный функционал.
То, что это может быть не безопасно, очевидно. Нужен комплексный подход к обеспечению безопасности. Нужно, как минимум, пароль на контейнер ставить. Но лично я своими глазами наблюдаю постоянно, как токены хранятся в тумбочке бухглатера, а пароли наклеены на перегородку стола тут же, на рабочем месте.
Если запрещен, то как получается хранить и копировать средствами самой КриптоПро - блокнот позволяет писать скрипты и командная строка позволяет положить Ось в 1 строчку.у меня друг безопасник - говорит нельзя ставить в ось имеющую уязвимости и не регламентированные возможности личные сертификаты (тем более казначейские) ибо они могут свободно сливаться "дружественным" странам. Именно под этим лозунгом США повсеместно использует Linux (Mac), они ведь не используют виндовс, и запретила на своей територии использовать касперского
Это все понятно. Но степень паранои должна соответствовать степени важности информации. Допустим, ключ контура ушел в США. Что они с ним будут делать? Сдавать отчетность за вас? То, что в винде закладки, это очевидно. У нас вся оборона сейчас в обязательном порядке переводится на линукс. Но коммерсам, думаю, не стоит об этом переживать. Вся информация о них с другого уровня уходит, точно не через ключи для электронной отчетности :)
> То, что в винде закладки, это очевидно.
а где всё эти чекисты, которые в своё время получили исходники винды? Опять в свой карман смотрели? И смысл закладки в изолированной сети? А с чего вдруг в линукс их нет, когда внезапно находят многолетние дыры, как в SSL?
> У нас вся оборона сейчас в обязательном порядке переводится на линукс
Вот только что-то ещё ни одного положительного отзыва не видел. Как обычно - распил очевидный, в отличие от не очевидного результата