Истек срок действия закрытого ключа. Крипто Про 4.0. Как продлить?

Что такое электронная подпись (ЭП) и из чего она состоит?

Электронная подпись (ЭП) — заменяет собственноручную подпись и печать на документе бумажного формата. ЭП идентифицирует автора, позволяет определить, вносились ли изменения в документ после его подписания, а также защищает документ от просмотра третьими лицами.

Технология электронной подписи (ЭП) реализуется на связке открытого и закрытого ключа (так называемой ключевой пары).

Сертификат ЭП подтверждает принадлежность ее владельцу и содержит:

·         закрытый ключ — для генерации электронных подписей;

·         открытый ключ — для проверки подлинности подписи получателем;

·         сведения о владельце — для проверки получателем информации об авторе документа.

Открытый и закрытый ключ электронной цифровой подписи решают разные задачи. Открытый ключ ЭП предназначен для зашифровки информации, в то время как закрытый ключ ЭП призван обеспечить ее расшифровку. При этом первый элемент можно без опасений передавать, не рискуя при этом сохранностью данных. Работа ключевой пары осуществляется только при взаимодействии двух составляющих.

Введение

Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это – банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим.

1. Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
2. Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.

Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.

Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.

Открытый электронный ключ

Открытый ключ известен всем пользователям системы и необходим для проверки электронной подписи. Именно открытую часть ЭП мы видим в интерфейсе программ 1С (об этом ниже). С его помощью получатель документа устанавливает авторство документа и неизменность документа после подписания. Открытая часть сертификата представляет собой файл с расширением *.cer:

Открытая часть сертификата

Как правило он имеет три раздела в своем составе:

·         общую информацию (1 – для чего предназначен сертификат, 2 – кому и кем выдан, сроки действия (как правило сертификаты действительны в течение 1 года), 3 – кнопку перехода к помощнику установки сертификата);

Открытая электронная подпись

·         вкладка «Состав» – тут представлена информация по большей части для технических специалистов, такая как алгоритм шифрования, хеширования, идентификатор ключа, параметры и значение открытого ключа, отпечаток и т.д.; также на этой вкладке есть возможность экспорта сертификата с заданными параметрами;

Вкладка состав открытого ключа электронной подписи

·         вкладка «Путь сертификации» содержит информацию об удостоверяющем центре, выдавшем ключ, организации и владельце электронной подписи.

Путь сертификации открытой электронной подписи

Выдача открытой части ключевой пары ЭП осуществляется уполномоченным государственным органом — удостоверяющим центром. Для учета выданных сертификатов УЦ ведет специальный реестр. Спектр выполняемых органом задач охватывает также отзыв истекших либо скомпрометированных сертификатов с последующим обновлением существующей базы.

Использование в программах 1С (на примере конфигурации 1С:Бухгалтерия предприятия, редакция 3.0)

Хранилище ключей электронной подписи в интерфейсе 1С:Бухгалтерия предприятия, редакция 3.0 можно найти в разделе «Администрирование – Обмен электронными документами – Настройки электронной подписи и шифрования».

Хранилище ключей в 1С Бухгалтерия предприятия, редакция 3.0

В этом окне программы можно либо добавить уже существующий и установленный на компьютере сертификат электронной подписи (1), либо создать и отправить заявление на выпуск нового сертификата (2):

Добавления сертификата в 1С Бухгалтерия предприятия, редакция 3.0

Для отправки заявления на выпуск сертификата и создания закрытого электронного ключа потребуется установленная программа-криптопровайдер (КриптоПро CSP либо VipNet CSP). Рассмотрим формирование и отправку заявления на примере КриптоПро CSP. Для начала заполняем поля заявления и печатаем документы, которые необходимо предоставить в обслуживающую организацию:

Заявление на выпуск сертификата в 1С:Бухгалтерия предприятия, редакция 3.0

Вот пример заявления на присоединение к регламенту удостоверяющего центра:

Заявление на присоединение к регламенту удостоверяющего центра

Комплект документов, который понадобится отправить в обслуживающую организацию:

Документы для присоединения к регламенту удостоверяющего центра

Далее открывается окно для выбора места – куда будет записан закрытый ключ ЭП:

Путь записи ключа ЭП

После выбора – нажимаем ОК и переходим к следующему шагу генерации ключа:

Генерация ключа в 1С:Бухгалтерия предприятия, редакция 3.0

После того, как закрытая часть ключа создана – предлагается задать пароль:

Создание пароля для ключа в 1С:Бухгалтерия предприятия, редакция 3.0

После отправки заявления и документов в обслуживающую организацию Вы можете отследить его статус в форме заявления:

Статус заявления в 1С:Бухгалтерия предприятия, редакция 3.0

После обработки заявления можно обновить его статус и получить открытую часть выпущенного нового сертификата, которая автоматически установится на компьютер пользователя.

В случае добавления сертификата из имеющихся и установленных на компьютере (например, Вы ранее уже выпускали сертификат в рамках сервиса 1С:Отчетность 8 – рекомендуем уточнить у обслуживающей организации условия выпуска сертификата – в зависимости от договора ИТС сервис может предоставляться бесплатно) – нужно зайти в список сертификатов, выбрать нужный (если список пустой, установить сертификат на компьютер с помощью помощника установки), затем нажать «Далее»:

Добавление сертификата в 1С Бухгалтерия предприятия, редакция 3.0

Ввести пароль от сертификата и нажать кнопку «Добавить»:

Начало работы с сертификатом в 1С:Бухгалтерия предприятия, редакция 3.0

В случае, если сертификат проходит проверку (пароля, сроков действия, алгоритмов шифрования, связи с закрытым ключом), то он добавляется в список установленных в программе 1С 8.3 Бухгалтерия предприятия 3.0.

Если же возникнут проблемы с проверкой параметров сертификата, то потребуется либо их устранить, либо выбрать другой. Пример неудачного прохождения проверки:

Неудачная проверка сертификата в 1С:Бухгалтерия предприятия, редакция 3.0

Добавленные сертификаты можно использовать в программе 1С:Бухгалтерия предприятия, редакция 11, например, в учетной записи сервиса 1С:ЭДО для обмена юридически значимыми документами с Вашими контрагентами.

Использование сертификатов в 1С:Бухгалтерия предприятия, редакция 3.0

В отправляемых документах появится пометка, что проставлена электронная подпись:

Пометка про ЭП в документе

Также можно выгрузить электронную карточку документа и отправить в контролирующие органы вместе с выгрузкой подписи, которая была проставлена в документе:

Выгрузка сертификата

Выгрузка сертификата в 1С:Бухгалтерия предприятия, редакция 3.0

Специалист компании «Кодерлайн»

Игнаток Маргарита

Импорт закрытого ключа

Для установки закрытой части ключа откройте файл, сохранённый ранее (Рис. 15).

Откроется «Мастер импорта сертификатов», нажмите кнопку «Далее» (Рис. 16).

Укажите файл, который нужно импортировать, используя кнопку «Обзор», затем нажмите «Далее» (Рис. 17).

Далее введите пароль (1), отметьте пункт «Пометить этот ключ как экспортируемый, что позволит сохранять резервную копию ключа и перемещать его.» (2), затем нажмите кнопку «Далее» (Рис. 18).

Отметьте пункт «Поместить все сертификаты в следующее хранилище» (1), нажмите кнопку «Обзор» (2), в открывшемся окне отметьте «Личное» (3) и нажмите «Ок» (4). В окне мастера настроек нажмите «Далее» (5) (Рис. 19).

Нажмите «Готово» (Рис. 20).

В открывшемся окне КриптоПро CSP выберите носитель, на который будет импортирован ключ, затем нажмите «Ок» (Рис. 21).

Далее укажите новый пароль и его подтверждение (Рис. 22).

Система сообщит о чтении ключевой информации, нажмите кнопку «Ок» (Рис. 23).

Далее введите пароль (Рис. 24).

Далее нажмите «Ок» (Рис. 25).

Импорт успешно будет выполнен (Рис. 26).

Импорт закрытого ключа с сертификатом из формата pfx

Кликаем по файлу PFX и видим окно «Мастер импорта сертификатов», нажимаем «Далее».

В следующем окне нажимаем «Далее».

Вводим пароль от закрытого ключа, нажимаем «Далее».

Хранилище выбираем автоматически, нажимаем «Далее».

Нажимаем кнопку «Готово».

Далее будут стандартные запросы от КриптоПро — выбор носителя для хранения контейнера и пароли. При этом имя контейнера будет выглядеть как случайный набор символов. В финале увидим такое сообщение.

В результате вышеописанных действий срок действия закрытого ключа составит 1 год и 3 месяца от даты манипуляций с файлом PFX.

Как узнать срок действия закрытого ключа?

В КриптоПро вкладка «Сервис» — кнопка «Протестировать» — кнопка «Обзор» — выбираем контейнер закрытого ключа который надо протестировать — кнопка «Далее» — вводим пароль от контейнера. В окне «Тестирование контейнера закрытого ключа» видим две разные даты.

Для продления закрытого ключа надо сделать экспорт сертификата и закрытого ключа в формат PFX и потом сделать установку из файла PFX.

Копирование закрытого ключа через оснастку криптопро

Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.

Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.

Криптопро csp ошибка 0x80090010 отказано в доступе

Иногда после переноса контейнеров закрытых ключей через экспорт – импорт ветки реестра с ключами можно увидеть ошибку доступа к контейнерам. Вроде бы все на месте, ключи есть в реестре. Их можно увидеть в останстке CryptoPro, но не получается прочитать. При попытке это сделать возникает ошибка:

Ошибка обращения к контейнеру закрытого ключа. Ошибка 0x80090010: Отказано в доступе. Связано это с тем, что у текущего пользователя, под которым вы хотите получить доступ к контейнеру, нет полных прав на ветку реестра с хранящимися ключами. Исправить это просто. Переходите в редактор реестра и выставляйте полные права к ветке Keys для текущего пользователя.

Убедитесь так же, что новые права наследовались на дочерние ветки с самими ключами. Обычно это так, но перепроверить на всякий случай непомешает. После этого ошибка с доступом к контейнеру закрытого ключа исчезнет. 

Массовый перенос ключей и сертификатов cryptopro с компьютера на компьютер

В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ.

Открытый и закрытый ключ сертификата

Одна из сфер употребления системы асимметричного шифрования — SSL-сертификаты. Подробнее о нем вы можете прочитать в статье Для чего нужен SSL-сертификат. Длина шифра SSL (иными словами, степень его надежности) складывается из длины открытой и закрытой частей ключа:

1. открытый ключ — 4096 бит,
2. закрытый ключ — 128-256 бит.

Размер ключа SSL гарантирует защищенность зашифрованной информации и сохранность передачи данных. Данные шифруются при обращении браузера к серверу с помощью открытого публичного ключа. Закрытый ключ шифрования генерируется при выпуске SSL-сертификата и сообщается только администратору домена. Такое шифрование применяется на этапе расшифровки информации, поступающей от браузера.

Поясним процесс обмена информацией между браузером и сервером по защищенному соединению с помощью наглядного примера, используемого в криптографии.

У нас есть два персонажа: Боб (сервер) и Алиса (браузер пользователя). Боб передает Алисе навесной замок. Открыть этот замок может только Боб, так как ключ есть только у него.

Получив замок, Алиса надевает его на ящик, в котором содержится некая секретная информация, и посылает обратно Бобу. Аналогично, браузер шифрует сообщение публичным ключом и отдает серверу.

Ящик с замком попадет к Бобу, тот откроет замок своим ключом и узнает секретную информацию. Так, сервер расшифровывает сообщение закрытым ключом, который есть только у него.

Помогла статья? подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Причина прекращения действия закрытого ключа

В CSP Крипто Про 4 версии, в отличии от 3 версии, есть ограничение на срок использования закрытого ключа. Вся суть этого неприятного сюрприза для владельца сертификата в том, что сертификат еще действует, а закрытый ключ уже нет. На закрытый ключ проецируется срок действия сертификата.

Поскольку закрытый ключ генерируется за несколько дней или недель до создания сертификата, то соответственно закрытый ключ заканчивается раньше на несколько дней или недель. Как так то?!!!!!!! — была моя первая реакция. Но, к счастью, это можно победить.

Часто задаваемые вопросы по теме статьи (faq)

Экспорт закрытого ключа

Для экспорта закрытого ключа выполните следующие действия:

Откройте Крипто-Про CSP. Перейдите во вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере» (Рис. 1).

В открывшемся окне укажите имя ключевого контейнера, нажав «Обзор» (Рис. 2).

Выберите ключевой контейнер пользователя, затем нажмите «Ок» (Рис. 3).

Нажмите «Далее» (Рис. 4).

Далее нажмите кнопку «Свойства» (Рис. 5).

В открывшемся окне перейдите во вкладку «Состав» и нажмите кнопку «Копировать в файл» (Рис. 6).

Откроется мастер экспорта сертификатов. Нажмите «Далее» (Рис. 7).

Далее отметьте «Да, экспортировать закрытый ключ» (1) и нажмите «Далее» (2) (Рис. 8).

Отметьте следующие пункты: «Файл обмена личной информацией – PKCS #12», «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства» (1), затем нажмите кнопку «Далее» (2) (Рис. 9).

Укажите пароль и подтверждение пароля (1), затем нажмите кнопку «Далее» (2) (Рис. 10).

Далее укажите имя файла, используя «Обзор» (1), затем нажмите кнопку «Далее» (2) (Рис. 11).

Далее нажмите «Готово» (Рис. 12).

Система сообщит о чтении ключевой информации, нажмите кнопку «Ок» (Рис. 13).

Откроется окно с информацией об успешном экспорте. Нажмите «Ок» (Рис. 14).