Экспорт PFX-файла и его установка – УЦ АЙТИКОМ

Экспорт PFX-файла и его установка - УЦ АЙТИКОМ Сертификаты
На чтение 15 мин. Просмотров 49 Опубликовано
Содержание
  1. Введение
  2. Vipnet csp и криптопро csp на одном компьютере
  3. Випнет и криптопро на одном устройстве
  4. Детальнее о криптопро csp 5.0
  5. Как скопировать электронную подпись на технологии vipnet csp?
  6. Копирование закрытого ключа через оснастку криптопро
  7. Криптопро 5.0 и vipnet 4.2
  8. Криптопро csp ошибка 0x80090010 отказано в доступе
  9. Массовый перенос ключей и сертификатов cryptopro с компьютера на компьютер
  10. Настройка скзи
  11. Одновременное использование криптопро csp и vipnet csp
  12. Подробнее о vipnet csp версии 4.2
  13. Помогла статья? подписывайся на telegram канал автора
  14. Ручная установка сертификата в контейнер vipnet csp
  15. Совместимость vipnet csp и криптопро csp
  16. Удаление скзи
  17. Часто задаваемые вопросы по теме статьи (faq)

Введение

Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это – банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим.

  1. Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
  2. Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.

Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.


Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.

Vipnet csp и криптопро csp на одном компьютере

Большинство удостоверяющих центров (УЦ) выдает сертификаты и ключи ЭП, сформированные на платформах КриптоПро. У разработчика сильная программа дистрибуции. УЦ заинтересованы в распространении связанного с их услугами платного продукта и получают за это материальное вознаграждение.

ViPNet CSP — бесплатный криптопровайдер. Создан компанией ОАО «ИнфоТеКС» — одним из лидеров рынка информационной безопасности в России. Софт подходит для работы с любой электронной подписью. Многие пользователи предпочитают работать именно с ViPNet CSP.

Некоторые электронные торговые площадки требуют взаимодействия с продуктами КриптоПро. В этом случае придется инсталлировать обе программы на один компьютер.

Добиться симбиоза двух криптопровайдеров на одном ПК возможно, если четко выполнить инструкции. Для начала — три простых совета, которые помогут корректно использовать софт:

  1. Уточните наименование и версию криптопровайдера, которым пользуется центр сертификации, выдавший вам ЭП. Это поможет определиться с выбором основного софта.
  2. Учитывайте, что у ключевых контейнеров КриптоПро CSP и ViPNet СSP разные форматы. По сути, все применяемые программы должны быть совместимы с УЦ.
  3. Как с юридической, так и с технической точки зрения, работать с ЭП можно только через сертифицированные приложения.

Випнет и криптопро на одном устройстве

Для выполнения определённых рабочих задач потребуется совместимость с отечественными ПО или возможность использования электронной подписи, которая находится на облачном сервисе. В этом плане возможности ViPNet CSP 4 ограничены. Такие задачи решает продукция компании КриптоПро. Криптопровайдер КриптоПро CSP и программу КриптоАРМ можно купить в нашем интернет-магазине.

Детальнее о криптопро csp 5.0

Инновационное поколение криптомодуля. Достоинства предыдущих продуктов линейки приумножены, недостатки — учтены и устранены. Программа воспринимает практически все ключевые носители, в том числе облачные. Традиционный интерфейс сохранен. Криптопровайдер обеспечивает:

  • возможность создания и проверки ЭП;
  • гарантию конфиденциальности сведений;
  • контроль целостности данных путем кодирования и формирования имитозащиты;
  • возможность организации аутентичных, защищенных пользовательских соединений по протоколам TLS/IPsec;
  • целостность прикладного и системного софта — путем отслеживания и предотвращения несанкционированных действий со стороны третьих лиц.

КриптоПро CSP 5.0 поддерживает больший набор алгоритмов в сравнении с ViPNet 4.2: это и инструкции отечественных ГОСТ, и зарубежные криптостандарты.

Реализована опция вызова криптофункций из сторонних программ через «классические» интерфейсы:

  • CryptoProAPI;
  • PKCS#11;
  • Open SSL engine;
  • Java CSP;
  • Qt SSL.

Настоящая опциональная новинка — кроссплатформенный графический модуль CryptoPro Tool. «Инструменты КриптоПро» — приложение, адаптированное под работу трех «операционок»: Windows, Linux и macOS. Пользователь может в привычном режиме заниматься решением текущих задач:

  • управлять контейнерами, ключевыми носителями и настройками криптомодулей;
  • генерировать и верифицировать ЭП по стандарту PKCS#7.

Доступ к необходимым опциям реализован в простом интерфейсе. Для продвинутых пользователей предусмотрен спецрежим, открывающий расширенные возможности. Софт по-прежнему остается платным — с прайс-листом можно ознакомиться здесь.

Про сертификаты:  Комплект сертификатов на борту транспортного средства при международной перевозке

Как скопировать электронную подпись на технологии vipnet csp?

Для начала копирования электронной подписи необходимо открыть программу ViPNet CSP. Скорее всего, вы не найдете ярлык программы на рабочем столе.

Чтобы открыть программу, выполните следующие действия:

Нажмите кнопку «Пуск» на панели главного меню операционной системы (как правило, эта кнопка расположена в левом нижнем углу экрана) (см. рис. 1).

Пуск


Рис. 1. Пуск

Нажав на кнопку «Пуск», просто начните вводить слово «vipnet» с помощью клавиатуры. Система сама поймет, что вы выполняете поиск приложения, и предложит вам выполнить запуск. Выберите приложение «ViPNet CSP» (см. рис. 2).

VipNet CSP


Рис. 2. VipNet CSP

После выбора приложения может пройти несколько минут, и система выполнит запуск выбранной программы. После того как программа откроется, в левой части открывшегося окна перейдите на закладку «Контейнеры» (как правило, эта вкладка открывается по умолчанию, но, если этого не произошло, пожалуйста, выберите этот пункт).

Появится список электронных подписей, которые находятся на компьютере (см. рис. 3).

Список электронных подписей, которые находятся на компьютере


Рис. 3. Список электронных подписей, которые находятся на компьютере

Большинство электронных подписей подписываются наименованием и датой создания. Если на данном компьютере много различных подписей, вам необходимо найти подпись с актуальной датой и нужным наименованием организации или ИП.

После того как вы нашли нужную подпись, нажмите на неё, для того чтобы выделить её из всего списка. Затем нажмите на панели ниже кнопку «Копировать».

Для того чтобы продолжить, на данном этапе вам необходимо вставить в компьютер подготовленный защищенный носитель.

В открывшемся окне (после нажатия кнопки «Копировать») система предложит выбрать путь для сохранения копии электронной подписи. Нажмите на кнопку «Обзор» (см. рис. 4).

Путь для сохранения электронной подписи


Рис. 4. Путь для сохранения электронной подписи

После нажатия кнопки «Обзор» откроется окно «Обзор папок» (см. рис. 5).

Обзор папок


Рис. 5. Обзор папок

Вам необходимо выбрать носитель, как правило, он располагается в разделе «Компьютер» и может иметь название «Диск X» (где X – это буква латинского алфавита). Если вы затрудняетесь в выборе, попробуйте отдельно открыть «Компьютер» с ярлыка на рабочем столе и посмотреть букву, которая присвоена вашему носителю (см. рис. 6).

Устройства и диски


Рис. 6. Устройства и диски

После того как вы убедитесь в названии носителя, можете выбрать его и продолжить копирование.

В некоторых случаях система может запросить пароль к электронной подписи. Попросите владельца компьютера ввести пароль от подписи, а затем нажмите «ОК» (см. рис. 7).

Ввод пароля от электронной подписи


Рис. 7. Ввод пароля от электронной подписи

Далее система предложит указать новый пароль для электронной подписи. Это обязательное условие. Пароль может быть любым, главный критерий – минимум 6 символов (буквы, цифры, знаки). Укажите пароль и подтвердите его, затем нажмите «ОК». Запишите пароль или запомните, он потребуется вам в дальнейшей работе (см. рис. 8).

Ввод нового пароля для электронной подписи


Рис. 8. Ввод нового пароля для электронной подписи

На данный момент можно считать подпись скопированной. Вы можете дополнительно проверить это, открыв защищенный носитель и увидев там файл с названием, которое было указано при копировании.

Копирование закрытого ключа через оснастку криптопро

Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.

Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.

Криптопро 5.0 и vipnet 4.2

КриптоПро CSP — флагман российского рынка информационной безопасности. «Глянцевый» и востребованный продукт со множеством программных дополнений. В комплекте с базовым модулем, он способен превратить компьютер в защищенную рабочую станцию.

ViPNet CSP — пока бесплатный альтернативный криптопровайдер, снискавший популярность пользователей. Соревнование двух «шифровальщиков» напоминает соперничество семейств «операционок» Windows и Unix.

Можно ли «подружить» самых знаменитых российских криптопровайдеров?

Криптопро csp ошибка 0x80090010 отказано в доступе

Иногда после переноса контейнеров закрытых ключей через экспорт – импорт ветки реестра с ключами можно увидеть ошибку доступа к контейнерам. Вроде бы все на месте, ключи есть в реестре. Их можно увидеть в останстке CryptoPro, но не получается прочитать. При попытке это сделать возникает ошибка:

Ошибка обращения к контейнеру закрытого ключа. Ошибка 0x80090010: Отказано в доступе. Связано это с тем, что у текущего пользователя, под которым вы хотите получить доступ к контейнеру, нет полных прав на ветку реестра с хранящимися ключами. Исправить это просто. Переходите в редактор реестра и выставляйте полные права к ветке Keys для текущего пользователя.

Про сертификаты:  Витамин Д3 НСП (NSP) | купить со скидкой | Отзывы

Убедитесь так же, что новые права наследовались на дочерние ветки с самими ключами. Обычно это так, но перепроверить на всякий случай непомешает. После этого ошибка с доступом к контейнеру закрытого ключа исчезнет. 

Массовый перенос ключей и сертификатов cryptopro с компьютера на компьютер

В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ.

Настройка скзи

Для настройки и регистрации СКЗИ VipNet CSP 4 необходимо:

  1. Найти скачанный файл, для этого перейти в меню «Пуск», «Все программы», «ViPNet», «ViPNet CSP»;
  2. В открывшемся окне выбрать пункт «Зарегистрировать ViPNet CSP» и нажать «Далее»;
  3. В следующем окне выбрать пункт «Запрос на регистрацию (получить код регистрации)» и нажать «Далее»;
  4. В окне «Способ запроса на регистрацию» выбрать пункт «Через Интернет (online)» и нажать «Далее». При выполнении операции компьютер должен быть подключен к сети Интернет;
  5. В окне «Регистрация ViPNet CSP» заполнить все поля и ввести полученный серийный номер. Нажать «Далее»;
  6. После успешной регистрации нажать «Готово».

Одновременное использование криптопро csp и vipnet csp

Возможно ли? Нет. Сертифицированные версии криптомодулей вместе работать не будут. Одновременное использование КриптоПро CSP и ViPNet CSP может серьезно навредить операционной системе. Причина — в нюансах использования CryptoAPI каждым из криптомодулей.

API расшифровывается как Application Programming Interface. CryptoAPI — один из интерфейсов прикладного программирования Windows. Именно он — «поставщик» сервисов шифрования и для самой «операционки», и для установленного софта. Среди функций — и те, что «разрешают» криптомодулям:

  • кодировать данные;
  • визировать документацию электронной подписью;
  • защищать персональные ключи.

Эти функции не требуют выполнения криптоопераций. Они выступают посредниками между программами и CSP — Cryptographic Service Provider (поставщиком сервиса шифрования).Оба криптомодуля — СКЗИ, выполняют примерно одинаковые операции и служат для решения схожих задач.

Конфликт стартует при попытках критопровайдеров заменять друг друга. Работая одновременно, оба вызываются генерировать ЭП на базе выбранного ключа — стоит только попытаться завизировать какой-нибудь документ. Если один из них «не знает» заданного вами сертификата или ключа, случится сбой.

Подробнее о vipnet csp версии 4.2

Сертифицирована ФСБ России в соответствии с Приказом № 796 (от 27.12.2021). В связке с другими продуктами «ИнфоТеКС», например, ViPNet CryptoFile, представляет собой цельный стек для обработки ЭП. И главное — бесплатный.

Что «умеет» криптопровайдер? Генерировать и верифицировать ЭП по актуальным отечественным алгоритмам. Например, по ГОСТ Р 34.10-2021. Криптомодуль выполняет следующие задачи:

  • хеширует сведения;
  • кодирует информацию;
  • обеспечивает ее имитозащиту.

Приложение обеспечивает информационную защищенность классов:

  • КС1 — в базовой вариации;
  • КС2 — в вариации 2, работающей в паре с аппаратно-программным модулем доверенной загрузки (АПМДЗ);
  • КС3 — в вариации 3, применяемой вместе с АПМЗД и приложением ViPNet SysLocler.

Защищенность третьего класса обеспечивается путем формирования обособленной софт-среды. Версия 4.2 отлично подходит:

  • для обмена документацией с контрагентами — через системы юридически значимого ЭДО;
  • для подачи онлайн-отчетности в налоговую службу;
  • для удаленного взаимодействия с интернет-сервисами — по защищенным протоколам передачи данных;
  • для дополнения сторонних приложений криптофункциями.

Также криптомодуль поддерживает:

  • внешние накопители (токены), предназначенные для хранения ключей и сертификатов ЭП и использующие протокол PKCS#11;
  • экспорт и импорт программных средств электронной подписи в формат #PKCS12;
  • вызов криптофункций через API PKCS#11 и MS CryptoAPI/CNG.

Криптопровайдер соответствует требованиям ФЗ № 63 (от 06.04.2021) и внесен в нотификацию Таможенного союза. Согласно документу, любое лицо, пересекающее рубежи ТС, вправе транспортировать модуль без каких-либо дополнительных разрешительно-сопроводительных бумаг.

Примечание. Разработчик оставляет за собой право:

  • менять комплект поставки;
  • вносить редакции в программный код криптомодуля без оповещения заказчика.

Изменения не могут ухудшать свойств ПО.

Помогла статья? подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Ручная установка сертификата в контейнер vipnet csp

Установка сертификата в контейнер, как правило, осуществляется автоматически. Ручная установка сертификата в контейнер может потребоваться только в исключительных случаях, когда автоматическая установка сертификата не была произведена успешно.

Для того, чтобы установить личный сертификат в контейнер откройте СКЗИ VipNet CSP (Пуск → Программы – VipNet CSP) и на вкладке Контейнеры ключей нажмите кнопку Установить сертификат…

Про сертификаты:  Контур Диадок - вход в личный кабинет

Экспорт PFX-файла и его установка - УЦ АЙТИКОМ

Далее будет предложено указать имя файла сертификата. Выберите путь к файлу, после чего нажмите кнопку Открыть.

Откроется окно мастера установки сертификатов. Нажмите кнопку Далее:

Экспорт PFX-файла и его установка - УЦ АЙТИКОМ

На следующем шаге необходимо будет выбрать в какое хранилище пользователей будет установлен сертификат. По умолчанию будет выбрано хранилище Текущего пользователя. Нажмите кнопку Далее:

Экспорт PFX-файла и его установка - УЦ АЙТИКОМ

Из выпадающего списка выберите пункт Найти контейнер с закрытым ключом и нажмите Далее:

Экспорт PFX-файла и его установка - УЦ АЙТИКОМ

Программа в фоновом режиме произведет поиск контейнера закрытого ключа, после чего отобразит подходящий контейнер, если он имеется на ПК. Если программа не найдет контейнер автоматически, Вы можете выбрать из выпадающего списка пункт Указать контейнер с закрытым ключом, после чего указать местонахождение контейнера самостоятельно. После выбора контейнера нажмите кнопку ОК:

Экспорт PFX-файла и его установка - УЦ АЙТИКОМ

Сертификат успешно установлен в контейнер. Нажмите кнопку Готово.

Совместимость vipnet csp и криптопро csp

Последовательность действий при отладке криптомодулей напрямую зависит от того, какой софт установлен первым.

Предупреждение! Четко следуйте инструкциям. Импровизации могут привести к дестабилизации работы «операционки».

На рабочей машине предустановлен ViPNet. Алгоритм действий при инсталляции КриптоПро CSP:

  1. Откроется мастер установки. Задайте тип: «Выборочная».
  2. Кликайте «Далее».

Появится окошко со списком компонент, идущих в дополнение к криптомодулю. Найдите иконку с изображением накопителя — она расположена слева от пункта «Расширенная совместимость с продуктами Microsoft». Если рядом стоит «крестик», щелкните по нему и смените статус на вышеуказанный.

  1. Жмите «Далее».

Перезагрузите рабочую машину после установки приложения. Основным СКЗИ останется ViPNet CSP. Если нужно инсталлировать его на ПК с предустановленным КриптоПро CSP, последний придется отключать. Как это сделать?

Настраиваем совместимость с ViPNet CSP — отключаем КриптоПро CSP:

  1. В главном меню Windows жмите «Пуск» и выбирайте «Панель управления → Программы и компоненты».
  2. Найдите и выделите нужное приложение.
  3. Щелкните «Изменить».
  4. Откроется окошко Мастера установки. Прочтите приветствие и кликните «Далее».

Выберите иконку с крестиком, чтобы удалить компоненту «Совместимость с продуктами Microsoft».

  1. Перезагрузите компьютер.

Чтобы продолжить применение КриптоПро CSP в привычном режим, верните криптопровайдеру статус основного. В настройках Мастера установки активируйте компоненту «Совместимость с продуктами Microsoft», отметив ее иконкой накопителя. После этого отключите ViPNet CSP:

  • запустите программу;
  • дождитесь появления приветственного окошка и перейдите к настройкам;
  • выберите пункт «Дополнительно» в вертикальном меню, расположенном в левой части экрана;
  • снимите флажок с опции «Поддержка работы ViPNet CSP через MS Crypto API» — она находится в блоке «Дополнительные параметры».

Чтобы вернуть приложению «руль», деактивируйте компоненту совместимости КриптоПро CSP. После этих действий обязательно перезагрузите компьютер. Слева от опции «Поддержка работы ViPNet CSP через MS Crypto API» установите флажок. Последние манипуляции — проверка интернет-соединения:

  1. Введите в строку браузера адрес любого сайта. Работайте строго в Internet Explorer!
  2. Страница загрузилась — конфигурация готова к работе.

Если увидите сообщение «Не удалось отобразить страницу», следуйте инструкции:

  1. Переходите к главному меню Windows: «Пуск → Выполнить».
  2. Набирайте в адресной строке regedit, чтобы попасть в реестр.
  3. Следуйте по этому пути: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaOSConfig и щелкайте по субкаталогу.
  4. Найдите поле Security Packages. Значение sspp замените параметром schannel.

Чтобы редактировать файлы реестра, нужны права администратора. Если текущих системных полномочий недостаточно, следуйте алгоритму:

  1. Правой клавишей мышки щелкайте субкаталог, указанный в п. 3.
  2. В открывшемся ниспадающем списке жмите пункт «Разрешения».
  3. Задайте группу «Администраторы».
  4. Установите флажок возле расширения «Полный доступ».
  5. Щелкните OK.

Если к изменению прав нет доступа:

  1. Жмите «Дополнительно».
  2. Щелкайте пункт «Изменить».
  3. Вводите адрес действующей электронной почты — он должен быть связан с «учеткой» Microsoft. В качестве альтернативы можно указать ее имя.
  4. Кликайте OK.
  5. Отметьте флажком действие «Заменить владельца подконтейнеров и объектов».
  6. Снова щелкайте OK.

Не забудьте поставить галочку возле разрешения «Полный доступ».

Удаление скзи

Перед удалением СКЗИ нужно сделать резервную копию контейнеров закрытых ключей.

  1. Для удаления криптопровайдера необходимо перейти в «Пуск», «Панель управления», «Программы и компоненты» или «Установка и удаление программ». В списке установленных программ найти «VipNet CSP», нажать правой кнопкой мыши на строку «VipNet CSP» и выбрать пункт «Удалить»;
  2. Далее произойдёт удаление криптопровайдера, после которого необходимо перезагрузить компьютер.
  3. После удаления нужно очистить реестр от записей, принадлежащих программе.

Часто задаваемые вопросы по теме статьи (faq)

Есть ли какой-то очень простой способ скопировать сертификаты crypto pro? То, что описано в статье слишком сложно для меня.

Да, есть статья на сайте контура, в ней ссылка на утилиту для копирования контейнеров Certfix. Можете воспользоваться ей.

Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат