Генерация закрытого ключа для сертификата

Как установить КриптоПро ЭЦП Browser plug-in

Плагин используется при создании и верификации электронной подписи, при работе на веб-страницах, когда используется ПО КриптоПро. Легко встраиваемый ЭЦП Browser plug-in поддерживает возможность работать с любым из браузеров, которые поддерживает сценарии JavaScript. Подпись может создаваться для разных типов данных: веб-страницы, текстовые сообщения, электронные документы. Если вам необходимо установить КриптоПро ЭЦП Browser plug-in, воспользуйтесь рекомендациями, приведенными ниже.

Для того чтобы установить КриптоПро ЭЦП Browser plug-in потребуется один из современных браузеров, который должен быть установлен на компьютере. Необходимо найти установочный файл и запустить его. Следуя указания Мастера Установки выполнить все этапы установки. После этого необходимо будет перезайти в веб-браузер. При новом запуске браузера должна появиться информация, что плагин загружен. Если требуется установить плагин для UNIX-платформ, обязательно потребуется установка пакета cprocsp-rdr-gui-gtk.

Владелец цифрового автографа (далее – ЭЦП, ЭП) может дистанционно запрашивать у удостоверяющего центра (далее – УЦ) сертификат ключа проверки электронной подписи (далее – СКПЭП) или его обновление. Внеплановая замена производится только при определенных обстоятельствах: требуется коррекция сведений, использованных для оформления текущего документа (сменился руководитель организации, в связи с переездом был перерегистрирован юридический адрес) или до конца периода актуальности СКПЭП остается меньше двух месяцев.

Чтобы получить маркер временного доступа, пользователю нужно зарегистрировать личный кабинет и, скорее всего, понадобится заполнить электронный бланк заказа услуги. Он обязательно оформляется, если существует необходимость расширения области применения ЭП. Например, для подключения компании заявителя к процессу представления цифровой бухотчетности в ПФР, ФСС или Росстат.

Услугу удаленного создания нового или обновления текущего СКПЭП предлагают Федеральная служба по регулированию алкогольного рынка (ФСРАР), МТС-банк, УЦ Такском и другие организации. В следующих разделах мы расскажем, как с помощью КриптоПро CSP создать хранилище личного сертификата и скопировать контейнер закрытого ключа на подходящий носитель при использовании удаленных сервисов для запроса СКПЭП.

Установить Рутокен в КриптоПро

Благодаря использованию Рутокен можно надежно защитить информацию от несанкционированного доступа. Защищенная файловая система сохранит в безопасности данные благодаря криптографическому шифрованию. Создано специально ПО, которое объединяет возможности двух программ — КриптоПро Рутокен CSP. Объединив идентификатор и СКЗИ получился надежный модуль, на котором можно безопасно хранить данные.

Так как все действия выполняются внутри ключа-идентификатора и протокол обмена данными защищен уникальной технологией, рационально использовать подобный дистрибутив при работе с электронными документами высокой важности. Если использовать отдельно Рутокен, необходимо прежде всего установить драйвера на ПО. Нельзя подключать идентификатор до установки драйверов. После инсталляции потребуется установка модулей поддержки для КриптоПро. Пройдя этапы подготовки, можно подключать ключ Рутокен. Затем следует запустить программу КриптоПро и во вкладке Оборудование настроить считыватели. Для работы идентификатора нужно выбрать пункт «Все считыватели смарт-карт» и нажать «Далее».

Практика Self-signed certificate

Начнем с классики криптографии OpenSSL. Сейчас широко используется версия 1.1.1, но ее поддержка заканчивается в 2023. Следующая версия 3.0 будет поддерживаться до 2026 года. Проверка установленной версии:

OpenSSL 1.1.1k FIPS 25 Mar 2021

Если OpenSSL не установлен, то его можно установить на всех востребованных платформах.

Реализация TLS

openssl req -x509 -new -key root_ca.key -days 365 -out root_ca.crt

openssl x509 -text -in root_ca.crt

openssl req -new -key server.key -subj “/CN=xx.xx.xx.xx/CN=server/CN=server.example.com” -out server.csr

openssl req -text -in server.csr

openssl x509 -req -in server.csr -CA root_ca.crt -CAkey root_ca.key -CAcreateserial -out server.crt -days 365 -extensions SAN -extfile openssl.cnf

• С ключами и сертификатами закончили, переходим к запуску HTTPS сервера. Копируем следующие файлы на компьютер, на котором будет работать HTTPS сервер:
• Пишем простейший HTTPS сервер, на JS:

sudo yum groupinstall ‘Development Tools’

sudo yum install nodejs

При первом запросе возникнет ошибка:

curl: (60) SSL certificate problem: self signed certificate in certificate chain

Это значит, что самоподписанный корневой сертификат нашего CA (root_ca.crt) не находится в хранилище доверительных сертификатов. Процесс загрузки сертификатов в это хранилище специфичен для операционной системы. Приведу алгоритм для RH Linux:

openssl x509 -in root_ca.crt -out root_ca.pem -outform PEM

Это значит, что мы установили TLS соединение только с проверкой сертификата сервера, а не клиента. Переходим к mTLS.

Реализация mTLS

В коде сервера включаем mTLS, а именно выставляем в true параметр requestCert, чтобы HTTPS сервер запрашивал клиентский сертификат и параметр rejectUnauthorized, чтобы сервер отклонял запросы клиентов, которые не прошли авторизацию:

Алгоритм генерации клиентских сертификатов аналогичен серверным.

openssl req -new -key client.key -subj “/CN=xx.xx.xx.xx/CN=client/CN=client.example.com” -out client.csr

openssl x509 -req -in client.csr -CA root_ca.crt -CAkey root_ca.key -CAcreateserial -out client.crt -days 365 -extensions SAN -extfile openssl.cnf

Файл openssl.cnf – такой же как и для сервера, только вместо “server” пишем “client”.

• Копируем следующие файлы на компьютер, на котором будет работать клиент:
• Теперь если просто вызвать curl:

curl: (35) error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure

Это значит, что мы установили mTLS соединение с проверкой сертификата как сервера, так и клиента. Теперь установим mTLS из браузера.

Реализация mTLS в браузере

Если просто запустить наш запрос к серверу (https://server.example.com:9443) из браузера, то выдается ошибка клиентского сертификата ERR_BAD_SSL_CLIENT_AUTH_CERT. Рабочие адреса закрасил желтым:

Для загрузки в браузер клиентский сертификат и приватный ключ надо сконвертировать в формат p12. Этот формат определяется стандартом PKCS #12 и является архивом для хранения нескольких объектов. В нашем случае файл будет хранить клиентский сертификат и его приватный ключ. Понятно, что приватный ключ – это чувствительная к разглашению информация и ее владелец не должен выкладывать p12 сертификат в открытый доступ. Для конвертации тоже используем OpenSSL:

openssl pkcs12 -inkey client.key -in client.crt -export -out client.p12

Импортируем client.p12 в браузер. Для этого, например в Chrome, идем в меню: Settings / Privacy and security / Manage certificates, в открывшемся окне нажимаем Import, выбираем наш файл client.p12 и место хранения “Personal”. Видим, что клиентский сертификат, выданный нашим удостоверяющим центром “My CN”, появился  в хранилище персональных сертификатов:

Вызываем запрос заново, уже лучше, но браузер все равно пишет, что соединение не безопасно. Это из-за того, что клиентский сертификат выдан удостоверяющим центром “My CN”, которого нет в списке доверительных CA (Trusted Root Certification Authorities).

Добавляем корневой сертификат нашего CA (root_ca.crt) в Trusted Root Certification Authorities. Делается с помощью того же вызова Import, что и для клиентского сертификата, но хранилище указываем Trusted Root Certification Authorities. Проверяем, что наш CA “My CN” появился в хранилище:

Повторяем наш запрос (https://server.example.com:9443). При первом запросе браузер находит подходящий клиентский сертификат и просит явно подтвердить его использование:

Дальнейшие вызовы проходят без запросов на подтверждение клиентского сертификата:

Если щелкнуть на замочке а адресной строке, то можно посмотреть сертификат сервера и убедиться, что мы взаимодействуем с правильным сервером (Issued to: server.example.com), сертификат которому выдан нашим удостоверяющим центром (Issued by: My CN) и время действия сертификата еще не прошло (Valid to: 31.05.2023):

Таким образом мы организовали mTLS соединение из браузера. Далее приведу для справки несколько дополнительных возможностей OpenSSL, которые могут пригодиться в процессе работы.

Дополнительные возможности OpenSSL

openssl x509 -outform der -in client.crt -out client.der

openssl x509 -inform der -in client.cer -out client.pem

Отладка с помощью OpenSSL

openssl verify -verbose -x509_strict -CAfile root_ca.pem server.crt

openssl s_server -accept 9443 -cert server.crt -key server.key

openssl s_client -connect xx.xx.xx.xx:9443 -prexit -showcerts -state -status -tlsextdebug -verify 10

• При вызове curl параметр:-k – позволяет подсоединяться к серверу без проверки цепочки сертификатов (certificate path validation). –ssl-no-revoke  – предотвращает проверку отозванных сертификатов
• -k – позволяет подсоединяться к серверу без проверки цепочки сертификатов (certificate path validation).
• –ssl-no-revoke  – предотвращает проверку отозванных сертификатов

Оглавление

• Java Cryptography
• Java Cipher
• MessageDigest
• Mac
• Signature
• KeyPair
• KeyGenerator
• KeyPairGenerator
• KeyStore
• Keytool
• Certificate
• CertificateFactory
• CertPath

Java Keytool — это инструмент командной строки, который может генерировать пары открытый ключ / закрытый ключ и сохранять их в хранилище ключей. Исполняемый файл утилиты распространяется вместе с Java SDK (или JRE), поэтому, если у вас установлен SDK, значит она у вас также будет предустановлена.
Исполняемый файл называется keytool. Чтобы выполнить его, откройте командную строку (cmd, console, shell и т.д.). и измените текущий каталог на каталог bin в каталоге установки Java SDK. Введите keytool, а затем нажмите клавишу Enter. Вы должны увидеть что-то похожее на это:

Как видите, утилита keytool поддерживает набор команд для работы с ключами, сертификатами и хранилищами ключей. В этом руководстве будут рассмотрены наиболее часто используемые из этих команд.

Скрипты Keytool

Команды утилиты Keytool принимают много аргументов, правильность установки которых может быть трудно запомнить. Поэтому рекомендуется создать несколько скриптов CMD или Shell с последовательностью команд Keytool. Эти сценарии упрощают повторное выполнение команд, а также позволяют вернуться назад и посмотреть, как было создано хранилище ключей.

Генерация ключевой пары

Генерация ключевой пары (открытый ключ / закрытый ключ) является одной из наиболее распространенных задач, для которых используется утилита Keytool. Сгенерированная пара ключей вставляется в файл KeyStore как пара ключей с собственной подписью. Вот общий формат командной строки для генерации пары ключей:

-genkeypair
-alias alias
-keyalg keyalg
-keysize keysize
-sigalg sigalg
-dname dname
-keypass keypass
-validity valDays
-storetype storetype
-keystore keystore
-storepass storepass
-providerClass provider_class_name
-providerArg provider_arg
-v
-protected
-Jjavaoption

Аргументы объяснены в разделе Аргументы Keytool. Не все эти аргументы нужны и многие являются не обязательными. Утилита сообщит вам, если вы пропустили обязательный аргумент. Вот пример команды, которая импортирует сертификат в KeyStore. Не забудьте удалить разрывы строк при вводе команды в командной строке.

“C:\Program FilesJavajdk1.8.0_111inkeytool”
-importcert
-alias testkey
-keypass 123456
-storetype JKS
-keystore keystore2.jks
-file cert.cert
-rfc
-storepass abcdef

Список записей хранилища

Чтобы вывести список записей в хранилище ключей, вы можете использовать команду list. Ниже представлен формат для команды list. Разрывы строк предназначены только для упрощения чтения. Удалите разрывы строк перед выполнением команды:

-list
-alias alias
-storetype storetype
-keystore keystore
-storepass storepass
-providerName provider_name
-providerClass provider_class_name
-providerArg provider_arg
-v
-rfc
-protected
-Jjavaoption

Вот пример команды list. Не забудьте удалить разрывы строк!

“C:\Program FilesJavajdk1.8.0_111inkeytool”
-list
-storetype JKS
-keystore keystore.jks
-storepass abcdef

Эта команда выведет список всех записей в данном хранилище ключей. Результат выполнения будет выглядеть примерно так:

Keystore type: JKS
Keystore provider: SUN

Your keystore contains 1 entry

testkey, 19-Dec-2017, PrivateKeyEntry,
Certificate fingerprint (SHA1): 4F:4C:E2:C5:DA:36:E6:A9:93:6F:10:36:9E:E5:E8:5A:6E:F2:11:16

Если вы включите аргумент alias в команду list, в список попадет только запись, соответствующая данному псевдониму. Вот пример команды list с аргументом alias:

“C:\Program FilesJavajdk1.8.0_111inkeytool”
-list
-alias testkey
-storetype JKS
-keystore keystore.jks
-storepass abcdef

Результат выполнения вышеупомянутой команды:

testkey, 15-Dec-2017, PrivateKeyEntry,
Certificate fingerprint (SHA1): 71:B0:6E:F1:E9:5A:E7:F5:5E:78:71:DC:08:80:47:E9:5F:F8:6D:25

Удаление записи хранилища ключей

Так же в в утилите keytool имеется команда, которая может удалить запись из хранилища ключей: delete. Вот формат этой команды:

-delete
-alias alias
-storetype storetype
-keystore keystore
-storepass storepass
-providerName provider_name
-providerClass provider_class_name
-providerArg provider_arg
-v
-protected
-Jjavaoption

Вот пример вызова команды delete. Не забудьте удалить разрывы строк перед запуском!

“C:\Program FilesJavajdk1.8.0_111inkeytool”
-delete
-alias testkey
-storetype JKS
-keystore keystore.jks
-storepass abcdef

Эта команда удаляет запись хранилища с псевдонимом testkey хранящегося в файле keystore.jks.

Генерация запроса на сертификат

Утилита keytool может генерировать запрос сертификата с помощью команды certreq. Запрос сертификата — это запрос к центру сертификации (ЦС) на создание публичного сертификата для вашей организации. После создания запроса на сертификат он должен быть отправлен в центр сертификации, в котором вы хотите создать сертификат (например, Verisign, Thawte или какой-либо другой центр сертификации). Прежде чем вы сможете сгенерировать запрос сертификата для личного ключа и пары открытых ключей, вы должны сгенерировать этот закрытый ключ и пару открытых ключей в хранилище ключей (или импортировать его). Как это сделать можно посмотреть в соответсвтующей главе. Вот формат команды для генерации запроса сертификата. Не забудьте удалить все разрывы строк при использовании этой команды:

-certreq
-alias alias
-sigalg sigalg
-file certreq_file
-keypass keypass
-storetype storetype
-keystore keystore
-storepass storepass
-providerName provider_name
-providerClass provider_class_name
-providerArg provider_arg
-v
-protected
-Jjavaoption

Вот пример команды -certreq:

“C:\Program FilesJavajdk1.8.0_111inkeytool”
-certreq
-alias testkey
-keypass 123456
-storetype JKS
-keystore keystore.jks
-storepass abcdef
-file certreq.certreq

Эта команда сгенерирует запрос сертификата для ключа, сохраненного с псевдонимом testkey в файле keystore.jks, и запишет запрос сертификата в файл с именем certreq.certreq.

Аргументы утилиты keytool

Ниже приведен список аргументов, которые принимают различные команды keytool. Помните, что не все команды принимают все эти аргументы. Посмотрите на конкретную команду, чтобы увидеть, какие аргументы она принимает.

Несколько важных замечаний

Первое. При переводе строки в состояние «Установить новый пароль» криптопровайдер защитит доступ к контейнеру паролем, который вы будете вводить с клавиатуры. Если вы установите переключатель на поле «Установить мастер-ключ», приложение закодирует для каталога его текущий ЗК.

Для этого выполните следующие действия:

• Введите название контейнера или выделите его из предложенного программой перечня и нажмите кнопку «Выбрать». На нем будет сохранен новый ЗК в закодированном виде.
• Жмите «Ok».
• Если вы отметите галкой строку «Создать новый контейнер», после совершения этой операции в только что сформированном защищенном каталоге будет сохранен его ЗК в закодированном виде.

Второе. Воспользовавшись опцией «Разделить ключ на несколько носителей», вы сможете защитить каталог, обеспечив доступ к нему только с нескольких устройств одновременно. Каждое из них станет носителем обособленного контейнера с собственным пин-кодом. Заполните формуляр, указав необходимые данные:

• количество загрузочных носителей, необходимых для доступа к формируемому ЗК ключевого контейнера;
• общее число устройств – между ними будут распределены части ключа.

КриптоПро CSP запустит процесс формирования новых контейнеров, участвующих в разделении исходного ключа:

• для каждого формируемого каталога открывается окошко выбора ключевого носителя – укажите нужные;
• по окончании упомянутой операции появится окно ДСЧ;
• сгенерировав числовую последовательность, дождитесь формы ввода пин-кодов к ЗК для каждого созданного контейнера.

По очереди введите их все или выберите другой метод защиты доступа к личным данным, щелкнув кнопку «Подробнее».

Как скопировать ЭП с флешки на флешку

Для того чтобы скопировать электронную подпись с флешки на флешку, откройте программу «КриптоПро», перейдите на вкладку «Сервис» и кликните «Скопировать».

Нажмите на кнопку «Обзор» и выберите ключевой контейнер (сертификат).

Нажмите «Далее» и укажите новое имя копии сертификата.

Нажмите «Готово» и в открывшемся окне укажите носитель, на который Вы хотите скопировать ключевой контейнер. В том случае, если Вы делаете копию на флешку, укажите диск Х (флеш-накопитель).

Далее укажите пароль для создаваемого сертификата. Но это необязательно. Поле «Пароль» можете оставить пустым. Нажмите «Ок».

В том случае, если «КриптоПро» не видит нужный носитель, и его наименование отсутствует в перечне устройств, откройте меню и нажмите в следующей последовательности клавиши: «Пуск» — «Панель управления» — «КриптоПро CSP» — «Оборудование» — «Настроить считыватели».

Нажмите кнопку «Добавить». Перед Вами откроется новое окно. В нем кликните «Далее» и выберите в списке нужный носитель. Нажмите на клавиши «Далее» — «Готово».

Внимание! Для того чтобы использовать созданный ключевой носитель, его нужно привязать к контейнеру, из которого он был установлен. Для этого:

• откройте меню и кликните последовательно: «Пуск» — «Панель управления» — «КриптоПро CSP» — «Сервис» — «Просмотреть сертификаты в контейнере»;
• нажмите на кнопку «Обзор», отметьте нужный контейнер и нажмите на клавиши «Ок» и «Далее»;
• кликните «Установить»;
• на вопрос о замене сертификата ответьте утвердительно;
• нажмите на кнопки «Готово» и «Ок».

Теперь установленный сертификат привязан к контейнеру, из которого он был установлен.

Как установить контейнер закрытого ключа в КриптоПро

Для установки контейнера закрытого ключа потребуется перейти на вкладку Сервис и выбрать пункт «Скопировать контейнеры». Вставив накопитель с ключевым контейнером, нужно будет его выбрать в окне обзора. Выбрав контейнер и нажав «Ок», нужно будет задать имя контейнера. Затем в окне выбора считывателя потребуется выбрать устройство и создать пароль.

Сохранность приватного ключа SSL

Организации, выдающие SSL сертификаты безопасности, не имеют доступа к вашему закрытому (или приватному) ключу шифрования – и не должны иметь – поскольку закрытые ключи создаются на уровне пользователя, то есть на вашем сервере или компьютере. Даже если Вы генерируете CSR запрос и приватный ключ на нашем сайте, Вы должны сохранить его у себя, так как на нашем сервере информация о ключе не сохраняется. Два главных фактора, от которых зависит криптографическая безопасность закрытого ключа, – это количество и случайная последовательность простых чисел, используемых при его создании. По сути, закрытый ключ — это файл с набором чисел, сгенерированных случайным образом. Конфиденциальность этой информации является гарантией безопасности вашего ключа на протяжении всего периода использования SSL-сертификата. Чтобы обеспечить сохранность вашего закрытого ключа, доступ к нему следует разрешать только тем членам вашей организации, кому он действительно необходим, например, системному администратору, который занимается установкой SSL сертификата. Кроме того, рекомендуется изменять закрытый ключ (и перевыпускать соответствующий SSL сертификат) всякий раз, когда сотрудник, располагавший доступом к нему, покидает вашу организацию.

Создание контейнера закрытого ключа

В случае, если для работы используется flash-накопитель или дискета, копирование можно выполнить средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и файл сертификата, если он есть) необходимо поместить в корень flash-накопителя (дискеты). Название папки при копировании рекомендуется не изменять.

Папка с закрытым ключом должна содержать 6 файлов с расширением.key. Ниже приведен пример содержимого такой папки.

Копирование контейнера также может быть выполнено с помощью криптопровайдера КриптоПро CSP. Для этого необходимо выполнить следующие шаги:

1. Выбрать Пуск / Панель Управления / КриптоПро CSP.

2. Перейти на вкладку Сервис и кликнуть по кнопке Скопировать. (см. рис. 1).

Рис. 1. Окно «Свойства КриптоПро CSP»

3. В окне Копирование контейнера закрытого ключа нажать на кнопку Обзор (см. рис. 2).

Рис. 2. Копирование контейнера закрытого ключа

4. Выбрать контейнер из списка, кликнуть по кнопке Ок, затем Далее.

5. Далее необходимо указать вручную имя контейнера, на который будет выполнено копирование. В названии контейнера допускается русская раскладка и пробелы. Затем выбрать Готово (см. рис. 3).

Рис. 3. Имя ключевого контейнера

6. В окне «Вставьте и выберите носитель для хранения контейнера закрытого ключа» необходимо выбрать носитель, на который будет помещен новый контейнер (см. рис. 4).

Рис. 4. Выбор чистого ключевого носителя

7. На новый контейнер будет предложено установить пароль. Установка пароля не является обязательной, можно оставить поле пустым и нажать на кнопку Ок (см. рис. 5).

Рис. 5. Установка пароля на контейнер

Если копирование выполняется на носитель Rutoken, сообщение будет звучать иначе (см. рис. 6)

Рис. 6. Pin-код для контейнера

Рекомендуется указать стандартный pin-код (12345678)

Обращаем ваше внимание: в случае утери пароля/pin-кода использование контейнера станет невозможным.

8. После выполнения копирования система вернется на вкладку Сервис в окне КриптоПро CSP. Копирование завершено. Если планируется использовать для работы в системе «Контур-Экстерн» новый ключевой контейнер, необходимо установить личный сертификат (см. Как установить личный сертификат?).

КриптоПро ЭП представляет собой пакет программ, которые имеют единую лицензию. ПО обеспечивает решение стандартных задач пользователей при создании и верификации электронной подписи (ЭП). В состав комплексного пакета входит помимо КриптоПро CSP, КриптоПро .NET и КриптоПро Office Signature. Для разрешения возможных вопросов в лицензию также включается доступ к порталу технической поддержки.

КриптоПро ЭЦП Browser plug-in — является встраиваемым модулем в КриптоПро CSP и используется для создания и верификации ЭП на веб-страницах. Соответственно, плагин дополняет КриптоПРо ЭП. Чтобы купить программу КриптоПро CSP и дополнительные модули в SoftMagazin, необходимо определиться с нужным типом лицензии.

Как найти приватный ключ SSL?

Ваш приватный ключ создается, как правило, в тот момент, когда Вы генерируете CSR запрос, или же непосредственно перед этим. Если для управления вашими приватными ключами вы используете OpenSSL (например, вы пользуетесь дистрибутивами Linux на основе Debian или Red Hat), то при выполнении команды OpenSSL req приватный ключ обычно сохраняется в том же каталоге, где была инициирована команда. Если вы используете веб-сервер Microsoft IIS, то ваш закрытый ключ SSL хранится в скрытой папке на сервере-отправителе запроса на выпуск SSL сертификата (который еще называется Certificate Signing Request или сокращенно CSR-запрос). При правильной установке, сертификат сервера будет совпадать с приватным ключом. Если приватный ключ отсутствует, это может означать:

• Сертификат не был установлен на сервере, использовавшемся для генерации CSR-запроса (актуально для серверов Microsoft IIS и некоторых других).
• Ожидающий обработку CSR запрос был сброшен веб-сервером IIS.
• Сертификат был установлен с помощью мастера импорта сертификатов, а не средствами IIS.

Разные устройства и серверы используют разные методы хранения и создания приватных ключей. Зачастую определить расположение приватного ключа на сервере довольно сложно. Ознакомление с документацией вашего устройства – самый быстрый способ разобраться, где именно приватные ключи хранятся на вашем сервере.

Как скопировать контейнер закрытого ключа

Используя функции криптомодуля, можно репродуцировать каталог, содержащий личный ЗК, предназначенный для генерации цифровой подписи. Как скопировать контейнер закрытого ключа с помощью КриптоПро CSP? Пошаговый алгоритм действий будет следующим:

• Запустите криптопровайдер.
• Перейдите ко вкладке «Сервис».
• Жмите «Скопировать».
• В новом окне щелкните кнопку «Обзор».
• Из ниспадающего перечня контейнеров выберите нужный.
• Введите название контейнера – в него будет перенесен ваш закрытый ключ. Допускается использование кириллицы и пробелов.
• Щелкайте «Готово».
• Появится новое окошко выбора ключевого носителя. Укажите подключенный к рабочей машине считыватель или выделите параметр «Реестр», если хотите репродуцировать данные в хранилище ОС.
• Криптомодуль предложит установить пароль (для каталога, скопированного в реестр ОС) или пин-код (для защищенной папки, продублированной на считыватель). Вы можете этого не делать: оставьте строку пустой и кликайте «Ok».

После завершения операции криптопровайдер перенаправит вас на вкладку «Сервис».

Подберем USB-носитель для ЭП. Доставка — в любую точку России!

Оставьте заявку и получите консультацию.

Оцените, насколько полезна была информация в статье?

Наш каталог продукции

У нас Вы найдете широкий ассортимент товаров в сегментах кассового, торгового, весового, банковского и офисного оборудования.

Посмотреть весь каталог

Установка контейнера КриптоПро

Для установки контейнера должен быть установлен и верифицирован сертификат в Личном Хранилище/Кабинете. После это нужно выполнить действия, описанные выше.

Для самостоятельного создания ключевого контейнера одним из вариантов будет создание тестового варианта на сайте тестового Удостоверяющего Центра. Здесь можно получить сертификат открытого ключа проверки ЭП. Для этого необходимо будет создать открытый и закрытый ключи и данные подтверждающие связь сертификата и его владельца.

Как создать ключевой контейнер

Ключевой контейнер – это «запароленный» каталог в хранилище (реестре) или системной библиотеке «операционки» (далее – ОС) или на защищенном ключевом USB-носителе: токене, смарт-карте. Он считается одним из инструментов защиты криптографических средств генерации и верификации ЭП, лицензий, сертификатов, паролей и другой личной информации.

Криптометод организации и иерархии персональных данных предусматривает обязательное использование защищенного каталога как части комплекса гарантий сохранности и конфиденциальности сведений, необходимых для активации ЭП. Фактически, создавая новую папку для хранения СКПЭП, доступ к которой обеспечивается путем ввода пароля, пользователь формирует новое хранилище.

Помимо выполнения основных функций – генерации и верификации ЭП – КриптоПро CSP «умеет» функционировать как зависимая компонента: приложение можно вызывать из сторонних программ. Например, через веб-интерфейс сайта УЦ, в который заявитель обратился за услугой обновления СКПЭП. КриптоПро CSP бывает необходим и для того, чтобы создать ключевой контейнер и установить в него сертификат ключа проверки ЭЦП, в том числе с обращением к службе сертификации ОС Microsoft (далее – MS) Windows Server.

Испытать работу генератора ключей и ознакомиться с процедурой запроса СКПЭП можно на странице тестового удостоверяющего центра разработчика программного модуля. Ниже мы пошагово опишем этот процесс.

Внимание! Если вы запрашиваете СКПЭП, который планируете использовать при работе с электронной почтой, указывайте «Область применения ключа». Также учитывайте: вы не получите доступа к криптофункциям для e-mail, если указанный адрес электронной почты не совпадает с зарегистрированным в MS Outlook Express.

Чтобы получить возможность применять выданный по удаленному запросу СКПЭП при обмене данными по протоколу TLS, перейдите к разделу «Область применения ключа» и укажите его тип: «Сертификат аутентификации клиента».

Копирование сертификата из КриптоПро на флешку

Часто людям, которые используют для своих нужд электронные цифровые подписи, необходимо скопировать сертификат КриптоПро на флешку. В данном уроке мы рассмотрим различные варианты выполнения данной процедуры.

Как установить сертификат ключа проверки ЭП в контейнер – подготовка

Первый шаг – это заполнение электронного формуляра данными, необходимыми для формирования запроса на создание СКПЭП. Указать потребуется Ф. И. О. заявителя и действительный адрес его электронной почты.

Для примера рассмотрим, как организована процедура в одном из самых популярных центров сертификации – УЦ Такском. Пользователям предоставляется возможность удаленно получить совершенно новый или проапдейтить имеющийся СКПЭП:

• по карточке (маркеру) временного доступа – если заявитель запрашивает документ впервые;
• по текущему сертификату – на основании уже имеющихся сведений с целью их обновления или при условии, что до окончания периода действия СКПЭП остается меньше двух месяцев и/или требуется коррекция юридического адреса и/или краткого наименования организации.

При заполнении формуляра на сайте УЦ Такском потребуется указать паспортные данные руководителя или уполномоченного сотрудника организации:

• Ф. И. О.;
• пол;
• дату и место рождения;
• гражданство;
• наименование основного документа (паспорт гражданина РФ), его серию, номер, дату выдачи;
• полное наименование выдавшего его госоргана;
• код подразделения.

После завершение ввода данных пользователю нужно нажать желтую кнопку «Продолжить». Он перенаправляется на страницу настройки уведомлений и указывает номер контактного телефона. Спустя несколько секунд приходит СМС-сообщение, содержащее код подтверждения – его нужно ввести в строку новой формы.

Выпустим и настроим электронную подпись для сотрудника прямо в день обращения!

Оставьте заявку и получите консультацию в течение 5 минут.

Второй шаг – выбор ключевого носителя:

• Криптомодуль откроет новое интерактивное окно в случае, если пользователь подключил к рабочей машине несколько токенов (или смарт-карт). Учтите: при подсоединении всего одного считывателя, последний выбирается программой автоматически – никаких оповещений программа не отсылает.
• Укажите нужное устройство или выделите параметр «Реестр», если хотите с помощью КриптоПро CSP установить сертификат сразу в контейнер хранилища ОС.
• Нажмите «Ok».
• Приложение запустит «Биологический датчик случайных чисел» (далее – БДСЧ) – работа с опцией будет доступна в новом окошке. Следуйте интерактивным подсказкам. БДСЧ генерирует первоначальную последовательность датчика случайных чисел (далее – ДСЧ).

Для успешного завершения процесса нужно нажимать кнопки клавиатуры или перемещать мышку в произвольном порядке.

Мы готовы помочь!

Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариям

Что дает установка сертификата ЭЦП КриптоПро ?

Установка сертификата ключа в реестр дает пользователю ряд преимуществ:

• работать автономно (не надо все время устанавливать флешку и запрашивать сетевое подтверждение подлинности ЭП);
• интегрироваться в любую рабочую среду;
• генерировать подпись и зашивать подтверждение ее актуальности в реквизиты в момент подписания;
• быстро архивировать и хранить документы.

Единственное, что необходимо в момент подписания документа — доступ к онлайн-службам сервиса CSP (сервер с метками времени и хранилища сертификатов).

Выполнение копирования сертификата на флешку

По большому счету, процедуру копирования сертификата на USB-носитель можно организовать двумя группами способов: с помощью внутренних инструментов операционной системы и при помощи функций программы КриптоПро CSP. Далее мы подробно рассмотрим оба варианта.

КриптоПро CSP

Прежде всего, рассмотрим способ копирования при помощи самого приложения КриптоПро CSP. Все действия будут описаны на примере операционной системы Виндовс 7, но в целом представленный алгоритм можно использовать и для других ОС семейства Windows.

Основным условием, при котором возможно копирование контейнера с ключом, является необходимость того, чтобы при создании на сайте КриптоПро он был помечен, как экспортируемый. В противном случае перенос произвести не получится.

• Перед началом манипуляций подсоедините флешку к компьютеру и перейдите в «Панель управления» системы.
• Откройте раздел «Система и безопасность».
• В указанной директории отыщите пункт «КриптоПро CSP» и щелкните по нему.
• Откроется небольшое окошко, где требуется переместиться в раздел «Сервис».

Средства Windows

Также перенести сертификат КриптоПро на флешку можно исключительно средствами операционной системы Windows путем простого копирования через «Проводник». Данный метод подойдет только тогда, когда файл header.key содержит в себе открытый сертификат. При этом, как правило, его вес составляет не менее 1 Кб.

Как и в предыдущем способе, описания будут даны на примере действий в операционной системе Виндовс 7, но в целом подойдут и для других ОС данной линейки.

• Подключите USB-носитель к компьютеру. Откройте «Проводник Windows» и переместитесь в ту директорию, где расположена папка с закрытым ключом, который требуется скопировать на флешку. Щелкните по ней правой кнопкой мыши (ПКМ) и из раскрывшегося меню выберите пункт «Копировать».
• Затем откройте через «Проводник» флешку.
• Щелкните ПКМ по пустому месту в открывшейся директории и выберите пункт «Вставить».

Внимание! Вставку нужно производить в корневую директорию USB-носителя, так как в обратном случае работа с ключом в дальнейшем будет невозможна. Также рекомендуем не переименовывать при переносе название копируемой папки.

Можете открыть эту папку и проверить правильность переноса. В ней должны находится 6 файлов с расширением key.

На первый взгляд перенос сертификата КриптоПро на флешку посредством инструментов операционной системы гораздо проще и интуитивно понятнее, чем действия, через КриптоПро CSP. Но нужно отметить, что этот метод подойдет только при копировании открытого сертификата. В обратном случае вам придется для этой цели воспользоваться программой.

Сертификат от удостоверяющего центра

Установка сертификата ЭЦП КриптоПро от УЦ выполняется в определенной последовательности:

• Далее — «Обзор», и в новом окне выбрать сертификат из списка, нажать «ОК».
• Подтвердить действие, нажав «Далее».

После нажатия кнопки «Готово» процесс завершен.

Как создать закрытый ключ?

Если вы не смогли найти ваш закрытый ключ SSL или еще не создали его, вам нужно будет это сделать, если вы хотите получить SSL сертификат. Как правило закрытый ключ нужно создавать на сервере, на котором вы планируете установить сертификат. При этом его нужно создать перед тем, как генерировать CSR-запрос или же вместе с ним, если ваше устройство это позволяет. Некоторые программы автоматизируют эти задачи, что значительно ускоряет весь процесс. Чтобы выпустить SSL сертификат, сертификационный центр «подписывает» ваш CSR-запрос, именно поэтому при оформлении сертификата, с Вами будут говорить именно о генерации CSR запроса на получение SSL сертификата, а не о создании приватного ключа. Здесть вам важно понимать, что создание CSR запроса подразумевает и создание приватного ключа. Определенному CSR запросу соответствует только один приватный ключ. Поэтому, если вы утеряли закрытый ключ (не сохранили его или случайно удалили), необходимо инициировать перевыпуск SSL сертификата с новым приватным ключом. Для этого, соответственно, необходимо создать новый CSR запрос. Поставщики SSL-сертификатов, должны предоставлять информацию о генерации приватного ключа и CSR-запроса. Инструкции, по созданию CSR-запроса и приватного ключа вы можете найти на нашем сайте. Вы также можете использовать сервис для создания приватного ключа и CSR-запроса на нашем сайте. Для этого необходимо заполнить соответствующие поля в формуляре на латинице по примеру, как показано на изображении:

В поле страна важно указать сокращенное название страны прописными буквами. Далее следует заполнить город и область, в которых вы проживаете или в которых зарегистрирована ваша организация, если сертификат заказываете как юридическое лицо. Если вы заказываете OV SSL сертификат с проверкой компании или еще более надежный EV SSL сертификат с расширенной проверкой, важно, чтобы заполненные данные совпадали с информацией в регистрационных документах вашей фирмы. Если заказываете простой сертификат, это не настолько важно, главное — не оставлять пустых полей. Также при заполнении формы лучше не использовать специальных символов, так как не все центры сертификации принимают содержащие их CSR запросы. В поле “Доменное имя” введите домен, для которого вы оформляете SSL сертификат. Если вы заказали Wildcard SSL сертификат с поддержкой поддоменов, в этом поле следует указать домен со звездочкой вначале, например, *.emaro-ssl.ru. После заполнения всех полей создается CSR запрос и ваш приватный ключ, которые выглядят следующим образом:

Очень важно на данном этапе сохранить ваш закрытый ключ, так как в целях обеспечения конфиденциальности он не сохраняется на нашем сервере и восстановить его не будет возможности. Если вы не сохраните закрытый ключ SSL, нужно будет создавать новый CSR запрос и перевыпускать SSL сертификат, что мы делаем для наших клиентов бесплатно.

Для чего эта программа?

Согласно ФЗ № 63-ФЗ, электронная подпись может быть признана в том случае, если сертификат открытого ключа проверки действителен на момент ее создания, подписания и проверки документа. Поэтому в криптокод подписи включены не только реквизиты владельца, но и доказательства ее авторства и подлинности (международный формат CAdES). С этими алгоритмами и работает платное программное обеспечение КриптоПро CSP.

Программа разработана сертифицированным производителем — компанией «КриптоПро», и построена на алгоритмах СКЗИ (криптографических технологиях). Установка КриптоПро CSP на ПК позволит вам:

• запросить у КриптоПро сервера необходимые доказательства достоверности ЭП (штампы точного времени ее генерации и факта подписания документа);
• получить у сервера подтверждение действительности ключевого сертификата (цепочка сертификатов от УЦ, вложенная в реквизиты + штамп времени).

Сначала выбирают вариант дистрибутива для операционной системы вашего компьютера. Затем вводят регистрационный ключ и запускают процесс инсталляции. После этого с сайта скачивают программный плагин, который устанавливают и настраивают согласно инструкции разработчика.

Как установить ключ в КриптоПро

При использовании большого количества на одном ПК электронных подписей, может возникнуть надобность установить ключ в реестр КриптоПро (скопировать). Для этого необходимо подключить съемный носитель с реестром КриптоПро. Открыв ПО через меню Пуск нужно будет выбрать вкладку Оборудование и нажать на «Настроить считыватели». Реестр может быть виден сразу, если его нет, потребуется создать через Мастер Установки Считывателей.

Чтобы скопировать ключ ЭЦП, нужно зайти в программе во вкладку Сервис. Выбрав «Скопировать», выбираем подключенный носитель в окне обзора. Затем потребуется ввести пароль контейнера, задать ему имя и нажать «Готово». Следует выбрать наименование Реестр и придумать новый пароль для контейнера. После копирования контейнера не забудьте установить личный сертификат в хранилище.