Головна  /  Операційні системи (ОС)  /  КріптоПро не створює контейнер. Копіювання за допомогою КріптоПро CSP

КріптоПро не створює контейнер. Копіювання за допомогою КріптоПро CSP

Операційні системи (ОС)
19.09.2020

При установці особистого сертифіката через меню «Встановити особистий сертифікат», після вибору ключового контейнера, з'являється повідомлення про помилку «Секретний ключ в контейнері не відповідає відкритому ключу».

Для вирішення даної проблеми необхідно виконати наступні кроки (після виконання кожного пункту слід повторювати установку сертифіката)

1. Якщо в якості ключового носія використовується дискета, слід перевірити, чи не захищена вона від запису (на дискеті, захищеної від записи, обидві прорізи, розташовані по кутах носія, відкриті).

3. Зробити копію ключового контейнера і виконати установку сертифіката з дубліката (див. Як скопіювати контейнер з сертифікатом на інший носій?).

4. Якщо на робочому місці використовується Кріпто Про CSP 3.6 R2 або R3 (версія продукту 3.6.6497 і вище), то необхідно провести установку сертифіката через меню Встановити особистий сертифікат і у вікні «Контейнер закритого ключа» (пункт 5 інструкції) поставити галку у поля «Знайти контейнер автоматично».

Версія встановленого криптопровайдера вказується на вкладці «Загальні» (меню «Пуск»\u003e «Панель управління»\u003e «КріптоПро CSP").

5. Ключові контейнери, згенеровані на КріптоПро CSP 3.0 або 3.6, будуть непрацездатні на КріптоПро CSP 2.0.

Якщо встановлено КріптоПро CSP 2.0, а запит сертифіката був проведений на робочому місці з КріптоПро CSP 3.0 або 3.6, то можливі наступні рішення:

В іншому випадку слід перейти до пункту 6.

6. Можливо, пошкоджений сертифікат відкритого ключа (файл з расшіреніем.cer). Необхідно звернутися в службу технічної підтримки за адресою [Email protected] для отримання копії. При зверненні обов'язково вказати ІПН і КПП організації.

7. Можливо, пошкоджений контейнер закритого ключа. Якщо в якості ключового носія використовується дискета або флеш-карта, рекомендується виконати відновлення даних (див.

Установка сертифіката та закритого ключа

Ми опишемо установку сертифіката електронного підпису і закритого ключа для ОС сімейства Windows. В процесі настройки нам знадобляться права Адміністратора (тому нам може знадобиться системний адміністратор, якщо він у вас є).

Якщо ви ще не розібралися що таке Електронний підпис, то будь ласка ознайомтеся Або якщо ще не отримали електронний підпис, Зверніться в Засвідчувальний центр, рекомендуємо СКБ-Контур.

Добре, припустимо у вас вже є електронний підпис (токен або флешка), але OpenSRO повідомляє що ваш сертифікат не встановлено, така ситуація може виникнути, якщо ви вирішили налаштувати ваш другий чи третій комп'ютер (зрозуміло підпис не "приростає" тільки до одного комп'ютера і її можна використовувати на кількох комп'ютерах). Зазвичай початкова настройка здійснюється за допомогою техпідтримки Засвідчуючого центру, але припустимо це не наш випадок, тож поїхали.

1. Переконайтеся що КріптоПро CSP 4 встановлений на вашому комп'ютері

Для цього треба зайти в меню Пуск КРИПТО-ПРО КріптоПро CSP запустіть його і переконайтеся що версія програми не нижче 4-й.

Якщо її там немає, то скачайте, встановіть і запустіть браузер.

2. Якщо у вас токен (Рутокен наприклад)

Перш ніж система зможе з ним працювати знадобиться встановити потрібний драйвер.

  • драйвери Рутокен:https://www.rutoken.ru/support/download/drivers-for-windows/
  • драйвери eToken: https://www.aladdin-rd.ru/support/downloads/etoken
  • драйвери JaCarta:https://www.aladdin-rd.ru/support/downloads/jacarta

Алгоритм такий: (1) Завантажуємо; (2) Встановлюємо.

3. Якщо закритий ключ у вигляді файлів

Закритий ключ може бути у вигляді 6 файлів: header.key, masks.key, masks2.key, name.key, primary.key, primary2.key

Тут є тонкість якщо ці файли записані на жорсткий диск вашого комп'ютера, то КріптоПро CSP не зможе їх прочитати, тому всі дії треба проводити попередньо записавши їх на флешку (знімний носій), причому потрібно розташувати їх в папку першого рівня, наприклад: E: \\ Andrey \\ ( файліки), якщо розташувати в E: \\ Andrey \\ keys\\ (Файліки), то працювати не буде.

(Якщо ви не боїтеся командного рядка, то знімний носій можна семуліровать приблизно так: subst x: C: \\ tmp з'явиться новий диск (X :), в ньому буде вміст папки C: \\ tmp, він зникне після перезавантаження. Такий спосіб можна використовувати якщо ви плануєте встановити ключі до реєстру)

Знайшли файли, записали на флешку, переходимо до наступного кроку.

4. Встановлення сертифікату з закритого ключа

Тепер нам потрібно отримати сертифікат, зробити це можна в такий спосіб:

  1. відкриваємо КріптоПро CSP
  2. Заходимо на вкладку сервіс
  3. натискаємо кнопку Переглянути сертифікати в контейнері, натискаємо огляді тут (якщо на попередніх кроках зробили все правильно) у нас з'явиться наш контейнер. натискаємо кнопку далі, З'являться відомості про сертифікат і тут натискаємо кнопку встановити (Програма може поставити запитання проставити чи посилання на закритий ключ, дайте відповідь "Так")
  4. Після цього сертифікат буде встановлено в сховище і стане можливим підписання документів (при цьому, в момент підписання документа, потрібно буде щоб флешка або токен були вставлені в комп'ютер)

5. Використання електронного підпису без токена або флешки (установка в реєстр)

Якщо швидкість і зручність роботи для вас коштує трохи вище ніж безпека, то можна встановити ваш закритий ключ до реєстру Windows. Для цього потрібно зробити кілька простих дій:

  1. Виконайте підготовку закритого ключа, описану в пунктах (2) або (3)
  2. далі відкриваємо КріптоПро CSP
  3. Заходимо на вкладку сервіс
  4. натискаємо кнопку Скопіювати
  5. За допомогою кнопки огляд вибираємо наш ключ
  6. натискаємо кнопку далі, Потім придумаємо якусь ім'я, наприклад "Пупкін, ТОВ Ромашка" і натискаємо кнопку Готово
  7. З'явиться вікно, в якому буде запропоновано вибрати носій, вибираємо Реєстр,тиснемо Ок
  8. система попросить Встановити пароль для контейнера, придумуємо пароль, тиснемо Ок

Важливе зауваження: портал OpenSRO не «побачить" сертифікат, якщо вийшов термін його дії.

Доброго дня!. Продовжуємо нашу з вами тему з сертифікатами та роботі з ними. Минулого разу я вам докладно розповів, як отримати тестовий сертифікат КріптоПро, подивіться дуже цікава замітка. Погодьтеся, що для тестування вам може знадобитися не один сертифікат, а набагато більше, і дуже зручно мати можливість працювати з ними, без прив'язки до фізичних токені, наприклад, на віртуальних машинах Vmware. Для таких завдань, є можливість помістити сертифікати КріптоПро до реєстру Windows, Ніж ми з вами і займемося.

Коли потрібно копіювати сертифікати КріптоПро до реєстру

Існує ряд завдань, коли зручно мати вашу ЕЦП підпис в реєстрі Windows:

1. При тестуванні налаштованого оточення для торговельних майданчиків, для входу на які використовується ЕЦП підпис.
2. Коли у вас віртуальна інфраструктура і немає можливості, зробити кидок USB пристроїв по локальній мережі
3. Ситуації, коли КріптоПро не бачить USB токена
4. Ситуації, коли USB ключів дуже багато і потрібно працювати одночасно з 5-ю і більш ключами, прикладом може служити програма по здачі звітності НВІС

Як скопіювати сертифікат до реєстру КріптоПро

CryptoPRo дозволяє проводити встановлення з копіювання закритого ключа (Сертифіката) до реєстру Windows.

Хочу вас відразу попередити, що з точки зору безпеки, це дуже не надійно і ваші закриті ключі можуть бути викрадені, якщо ви не організовуєте належний рівень безпеки

І так, у мене є USB токен SafeNet, на який я випустив тестову ЕЦП, її я буду переносити разом з закритим ключем до реєстру Windows. Відкриваємо утиліту CryptoPRO з правами адміністратора.

Переходьте на вкладку "Сервіс" і натискаєте "скопіювати"

У вас відкриється вікно "Контейнер закритого ключа", тут вам потрібно натиснути кнопку "Огляд", що б вибрати ваш сертифікат, який ви хочете скопіювати в реєстр.

В результаті у вас в поле "Ім'я ключового контейнера" \u200b\u200bвідобразитися абракадабровое ім'я.

У вас з'явиться вікно з введенням пін-коду від вашого USB токена.

Тепер вам необхідно задати ім'я для копійованого сертифіката до реєстру Windows, КріптоПро благо, це дозволяє. Я назвав його "Копія сертифіката в реєстрі (Сьомін Іван)"

Тепер вам необхідно покласти сертифікати КріптоПро до реєстру, для цього вибираємо відповідний пункт і натискаємо "Ок".

На наступному кроці вам запропонують встановити новий пароль на ваш контейнер з закритим ключем, раджу встановити його і бажано складніше.

Установка закритого ключа до реєстру

Тепер коли ваш закритий ключ знаходиться в реєстрі, давайте встановимо особистий сертифікат. Для цього відкрийте на вкладці "Сервіс" кнопку "Подивитися сертифікат в контейнері"

І виберіть сертифікат з реєстру, він буде з тим ім'ям, що ви йому задавали.

Після чого проводиться установка закритого ключа до реєстру, через відповідну кнопку.

Бачимо, що сертифікат був встановлений в сховище "Особисті" поточного пользователя.Как бачите, було дуже просто скопіювати закритий ключ до реєстру операційної системи.

Де зберігається закритий ключ в реєстрі Windows

Після процедури додавання сертифіката до реєстру КріптоПро, я б хотів показати, де ви все це справа можете подивитися. Раніше я вам розповідав, про те як додати оснастку сертифікати. Нас буде цікавити "Управління сертифікатами користувача - Приватне".

Або ви можете зайти в властивості Internet Explorer на вкладку "Зміст". Потім перейти в пункт "Сертифікати", де у вас будуть відображатися всі ваші SSL сертифікати, і ті, що КріптоПро скопіював в реєстр операційної системи.

Якщо потрібно знайти гілку реєстру з закритим ключем, то я вам приводив вже приклад в статті, коли я переносив ЕЦП з комп'ютера на комп'ютер.

\\ HKEY_LOCAL_MACHINE \\ SOFTWARE \\ WOW6432Node \\ Crypto Pro \\ Settings \\ Users \\ Ваш SID, як його визначити читайте за посиланням \\ Keys \\ Копія сертифіката в реєстрі (Сьомін Іван)

Про копіювання ЕЦП з закритими ключами ми розібрали, тепер ситуація зворотна.

Як скопіювати ЕЦП з реєстру на флешку

Припустимо, що у вас стоїть завдання скопіювати контейнер з реєстру, так як він вже там, то він експортований, для цього відкриваємо КріптоПро, "Сервіс-Скопіювати"

Вибираєте "Огляд" і ваш сертифікат з реєстру.

Задаєте йому нове ім'я, зручне для себе.

Після чого вас попросять вказати флешку, на яку ви будите копіювати контейнер з закритим ключем з реєстру.

Часто до нас звертаються з питанням, як встановити сертифікат через КріптоПpo CSP. Ситуації бувають різні: змінився директор або головбух, отримали новий сертифікат в засвідчувальному центрі і т.п. Раніше все працювало, а тепер немає. Розповідаємо, що потрібно робити, щоб встановити особистий цифровий сертифікат на комп'ютер.

Ви можете встановити особистий сертифікат двома способами:

1. Через меню КріптоПро CSP «Переглянути сертифікати в контейнері»

2. Через меню КріптоПро CSP «Встановити особистий сертифікат»

Якщо на робочому місці використовується операційна система Windows 7 без SP1, то встановлювати сертифікат слід за рекомендаціями варіанту № 2.

Варіант № 1. Встановлюємо через меню «Переглянути сертифікати в контейнері»

Щоб встановити сертифікат:

1. Виберіть Пуск -\u003e Панель управління -\u003e КріптоПро CSP -\u003e вкладка Сервіс та натисніть кнопку "Переглянути сертифікати в контейнері".

2. У вікні, натисніть на кнопку "Огляд". Виберіть контейнер і підтвердіть свій вибір кнопкою ОК.


Якщо з'явиться повідомлення "У контейнері закритого ключа відсутній відкритий ключ шифрування", перейдіть до установки цифрового сертифікату за варіантом № 2.

4. Якщо на вашому комп'ютері встановлена \u200b\u200bверсія "КріптоПро CSP" 3.6 R2 (версія продукту 3.6.6497) або вище, то у вікні, натисніть на кнопку "Встановити". Після цього погодьтеся з пропозицією замінити сертифікат.

Якщо кнопка "Встановити" відсутній, у вікні "Сертифікат для перегляду" натисніть кнопку "Властивості".


5. У вікні "Сертифікат" -\u003e вкладка "Загальні" натисніть на кнопку "Встановити сертифікат".


6. У вікні "Майстер імпорту сертифікатів" виберіть "Далі".

7. Якщо у вас заставлена \u200b\u200bверсія "КріптоПро CSP" 3.6, то в наступному вікні досить залишити перемикач на пункті "Автоматично вибрати сховище на основі типу сертифіката" і натиснути "Далі". Сертифікат буде автоматично встановлений в сховище "Особисті".



Варіант 2. Встановлюємо через меню «Встановити особистий сертифікат»

Для установки вам знадобиться, власне, сам файл сертифіката (з расшіреніем.cer). Він може знаходитися, наприклад, на дискеті, на токені або на жорсткому диску комп'ютера.

Щоб встановити сертифікат:

1. Виберіть Пуск -\u003e Панель управління -\u003e КріптоПро CSP -\u003e вкладка Сервіс та натисніть кнопку "Встановити особистий сертифікат".


2. У вікні "Майстер установки особистого сертифіката" натисніть на кнопку "Далі". У наступному вікні, щоб вибрати файл сертифіката, натисніть "Огляд".


3. Вкажіть шлях до сертифіката і натисніть на кнопку "Відкрити", потім "Далі".


4. У наступному вікні ви можете переглянути інформацію про сертифікат. Натисніть "Далі".


5. На наступному кроці введіть або вкажіть контейнер закритого ключа, який відповідає обраному сертифікату. Для цього скористайтеся кнопкою "Огляд".



Якщо у вас встановлена \u200b\u200bверсія КріптоПро CSP 3.6 R2 (версія продукту 3.6.6497) або вище, поставте прапор "Встановити сертифікат в контейнер".


8. Виберіть сховище "Особисті" та натисніть ОК.


9. Місце ви вибрали. Тепер натисніть "Далі", потім - "Готово". Після цього може з'явитися повідомлення:


У цьому випадку натисніть "Так".

10. Дочекайтеся повідомлення про успішну установку особистого сертифіката на комп'ютер.

Все, можна підписувати документи, використовуючи новий сертифікат.

Електронний документооберт все щільніше входить в наше життя.
Сьогодні це питання стосується вже далеко не тільки офісних співробітників підприємств і індивідуальних підприємців, робота з електронними документами все частіше полегшує вирішення повсякденних проблем пересічних громадян і в побуті. Зрозуміло, що з розширенням вживаності електронних документів ширше стає і поширення електронного цифрового підпису, Скорочено - ЕЦП.
Саме про підвищення зручності в роботі з ЕЦП і піде мова далі, а саме, ми розглянемо, як додати ключ ЕЦП в реєстр КріптоПро на комп'ютері.

Що таке ЕЦП і сертифікат закритого ключа

Електронний цифровий підпис використовується в багатьох програмних продуктах: 1с Підприємство (І інші програми для ведення господарського або бухгалтерського обліку), НВІС ++ , Контур.Екстерн (І інші рішення для роботи з бухгалтерською та податковою звітністю) та інших. Також ЕЦП знайшла застосування в обслуговуванні фізичних осіб при вирішенні питань з державними органами.

ЕЦП - це, свого роду, гарант в світі електронного документообігу, аналогічний до підпису і печатками на паперових носіях

Як і під час підписання паперових документів, процес підписання електронних носіїв інформації пов'язаний з " редагуванням"Первинного джерела.

Електронний цифровий підпис документів здійснюється шляхом перетворення електронного документа за допомогою закритого ключа власника, цей процес і називається підписанням документа

На сьогоднішній день сертифікати закритого ключа найчастіше поширюються або на звичайних USB-флешках, або на спеціальних захищених носіях з тим же USB інтерфейсом ( Рутокен , eToken і так далі).
При цьому, кожен раз, коли виникає необхідність в підпису документів (або ідентифікації користувача), нам потрібно вставити носій з ключем в комп'ютер, після чого проводити маніпуляції з сертифікатом. Відповідно, після завершення роботи нам досить просто витягти носій з комп'ютера, щоб нашим підписом більше ніхто не міг скористатися. Цей спосіб досить безпечний, але не завжди зручний.

Якщо ви використовуєте ЕЦП у себе вдома, то кожен раз підключати / відключати токен швидко набридає. Крім того, носій буде займати один USB-порт, Яких і так не завжди вистачає для підключення всієї необхідної периферії.
Якщо ж ви використовуєте ЕЦП на роботі, то буває, що ключ підтверджуючий центр видано один, а підписувати документи повинні різні люди. Тягати контейнер туди-сюди теж не зручно, та ще бувають і випадки, коли в один час з сертифікатом працюють відразу кілька фахівців.
Крім того, і вдома, і, особливо, на роботі, трапляється, що на одному комп'ютері необхідно проводити дії з використанням відразу декількох ключів цифрового підпису.

Саме в тих випадках, коли використання фізичного носія сертифіката незручно, можна прописати ключ ЕЦП в реєстр КріптоПро (Докладніше про реєстр Windows в загальному розумінні можна почитати у відповідній статті: Зміна параметрів системного реєстру Windows) і використовувати сертифікат, не підключаючи носій до USB-порту комп'ютера.

Додавання зчитувача Реєстр в КріптоПро CSP

В першу чергу, щоб наш КріптоПро зміг працювати з прописаними локально ключами, потрібно додати сам варіант подібного зчитувача.

Для того щоб встановити в CSP утиліту новий тип носія, Запускаємо програму від імені адміністратора правою кнопкою миші або з меню самої утиліти на вкладці Загальні

Тепер переходимо на вкладку Устаткування і натискаємо на кнопку Налаштувати зчитувачі ...
Якщо у вікні немає варіанту Реєстр, То, щоб його тут вивести, тиснемо на кнопку Додати ...

  1. Тиснемо кнопку Далі в першому вікні.
  2. Зі списку зчитувачів від всіх виробників вибираємо варіант Реєстр і знову тиснемо Далі.
  3. Вводимо довільне ім'я зчитувача, можна залишити назву за замовчуванням. Тиснемо Далі.
  4. В останньому вікні бачимо оповіщення, що після завершення налаштування зчитувача рекомендується перезавантажити комп'ютер. Тиснемо кнопку Готово і самостійно перезавантажуємо машину.

Перший етап завершений. Зчитувач Реєстр доданий , Про що свідчить відповідний пункт у вікні управління зчитувачами (нагадуємо, що дане вікно викликається шляхом КріптоПро - Устаткування - Налаштувати зчитувачі ...)

Копіювання ключа до Реєстру КріптоПро CSP

щоб прописати ключовий контейнер в локальне сховище, Приєднуємо фізичний носій з ключем до комп'ютера.

Тепер знову запускаємо утиліту КріптоПро, відкриваємо вкладку Сервіс і тиснемо на кнопку Скопіювати ...
Далі у вікні Майстри копіювання контейнера закритого ключа тиснемо кнопку Огляд (або За сертифікатом ...) І вибираємо наш ключовий носій, підтвердивши вибір кнопкою OK, після чого переходимо до наступного вікна кнопкою Далі.

У новому вікні задаємо довільне зрозуміле ім'я створюваному контейнеру ключа і натискаємо кнопку Готово. Потім для запису ключа вибираємо створений нами раніше тип зчитувача Реєстр, Підтвердивши вибір кнопкою OK.
Після підтвердження нам необхідно встановити Пароль на створений ключовий контейнер, за замовчуванням, найчастіше, використовують пароль 12345678 , Але для більш безпечної роботи пароль можна задати складніше. Після введення пароля тиснемо на кнопку OK.

Усе, ключовий контейнер доданий до Реєстру КріптоПро .

Установка сертифіката закритого ключа КріптоПро CSP

На завершення налаштування підпису документів без підключення носія ключа до комп'ютера нам залишається тільки встановити сертифікат закритого ключа з контейнера створеного носія.

Щоб встановити сертифікат в КріптоПро необхідно виконати наступне:

  1. В утиліті CSP на вкладці Сервіс тиснемо на кнопку Переглянути сертифікати в контейнері ...
  2. У вікні, натискаємо на кнопку Огляд, де по заданому нами імені вибираємо шуканий носій, підтвердивши вибір кнопкою OK. Натискаємо Далі.
  3. У завершальному вікні перевіряємо правильність вибору сертифіката і підтверджуємо рішення кнопкою Встановити.

Тепер у нас встановлено Сертифікат закритого ключа з локального носія Реєстр .

Налаштування КріптоПро завершена, але вам слід пам'ятати, що для багатьох програмних продуктів також буде потрібно перепрописати новий ключ в настройках системи.
Після виконаних дій ми можемо підписувати документи без підключення ключа, Будь то Рутокен, eToken або якийсь інший фізичний носій.