Ой! Данный функционал ещё в разработке
В том случае, когда в качестве криптопровайдера используется СКЗИ КриптоПро CSP, а в качестве считывателя используется реестр, контейнеры хранятся в ветке реестра:
- В x32 операционных системах контейнеры находятся в ветке: HKEY_LOCAL_MACHINESOFTWARECryptoProSettingsUsers{SID}Keys
- В x64 операционных системах контейнеры находятся в ветке: HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCryptoProSettingsUsers{SID}Keys
Если контейнеры требуется перенести вручную на другой ПК, выгрузите ветку реестра.
На том рабочем месте, куда нужно импортировать контейнеры, проверьте разрядность ОС и узнайте SID пользователя.
SID – Идентификатор безопасности пользователя ОС Windows. У каждого пользователя Windows свой SID. Для того, чтобы узнать SID пользователя запустите ОС Windows под его учетной записью, после чего перейдите в командную строку (Пуск → Выполнить → cmd) и введите команду whoami/user. Команда отобразит основные сведения о текущем пользователе, включая его SID
Пример SID: S-1-5-12-12345678-1234567890-1234567890-1234.
После этого откройте с помощью блокнота выгруженный файл реестра в формате .reg, измените SID и, если необходимо, путь к конечной ветке.
После этого загрузите ветку реестра в систему.
Номер статьи: 129674850
Обновлено: 25.07.2022 12:04+0000
Практические приёмы работы с Реестром¶
В данном разделе рассматриваются практические примеры работы с реестром:
- Лицензия КриптоПро в реестре [1017]
- Где хранятся ключи(закрытый ключ сертификата) в реестре? [1739]
- Восстановление закрытых ключей с неисправного компьютера
- Извлечение информации из резервной копии реестра
- Доступ к считываетлям (Calais)
- Доверенные узлы
Лицензия КриптоПро в реестре [1017]¶
Лицензия КриптоПро хранится в реестре, её можно оттуда скопировать, либо ввести.
- Перейти в ветку:
КриптоПро 3.6:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstaller UserDataS-1-5-18Products05480A45343B0B0429E4860F13549069InstallPropertiesКриптоПро 3.9:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstaller UserDataS-1-5-18Products68A52D936E5ACF24C9F8FE4A1C830BC8InstallPropertiesКриптоПро 4.0:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstaller UserDataS-1-5-18Products7AB5E7046046FB044ACD63458B5F481CInstallPropertiesКриптоПро 3.0:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18 Products0CC4F742C3275A04A9832E2E2CD4BE64InstallPropertiesProductID
- Открыть двойным нажатием левой кнопки мыши параметр
ProductID
и прописать в полеЗначение
серийный номер лицензии (можно с дефисами, можно без). Либо скопировать номер лицензии оттуда.
Где хранятся ключи(закрытый ключ сертификата) в реестре? [1739]¶
Реестр может использоваться в качестве ключевого носителя, другими словами, в него можно скопировать Квалифицированную электронную подпись (КЭП). После копирования закрытые ключи будут находиться:
- для 32-битной ОС:
HKEY_LOCAL_MACHINESOFTWARECryptoProSettings Users(идентификатор пользователя)Keys(Название контейнера)
- для 64-битной ОС:
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettings USERS(идентификатор пользователя)Keys(Названиеконтейнера)
- В некоторых случаях сертификат попадает сюда:
HKEY_USERSS-1-5-21-{SID}_ClassesVirtualStoreMACHINESOFTWARE [Wow6432Node]Crypto ProSettingsUSERSS-1-5-21-{SID}Keys
Где SID (идентификатор пользователя) (англ. Security Identifier (SID)) — структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера.
Узнать SID пользователя можно через командную строку («Пуск → Выполнить → cmd»), введя команду WHOAMI /USER
.
Рис. 23 – Узнать SID пользователя через командную строку
Совет
Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью».
Восстановление закрытых ключей с неисправного компьютера¶
Есть возможность восстановить закрытые ключи сертификата, если они были записаны в реестре компьютера и этот компьютер сломался.
Это можно сделать только в том случае, если жесткий диск в рабочем состоянии и есть возможность его подключить к рабочему системному блоку. Или есть копия папки C:WindowsSystem32config
.
Если условия выполняются, необходимо проделать следующее:
- Подключить жесткий диск от неработающего компьютера к рабочему системному блоку;
- Скачать утилиту
PsExec.exe
и скопировать ее в корень дискаC
.
Открыть редактор реестра с помощью утилиты
PsExec.exe
(см. раздел Работа через утилиту PsExec). В командной строке («Пуск → Выполнить → cmd») ввести команду;C:PsExec.exe -i -s regedit.exe
-
Загрузить куст
HKEY_LOCAL_MACHINESoftware
(см. раздел Загрузка и выгрузка куста):- Перейти в раздел
HKEY_LOCAL_MACHINE
; - Выбрать «Файл → Загрузить куст»;
- В файловом менеджере выбрать соответствующий файл куста с нерабочего компьютера
C:WindowsSystem32configSOFTWARE
; - Задать произвольное имя загруженному кусту, например,
AZAZAZ
.
- Перейти в раздел
Загрузка куста может занять некоторое время.
- Перейти в раздел, в котором хранятся КЭП;
- для 32-битной ОС:
HKEY_LOCAL_MACHINEASASASCryptoProSettings Users(идентификатор пользователя)Keys(Название контейнера)
- для 64-битной ОС:
HKEY_LOCAL_MACHINEASASASWow6432NodeCrypto ProSettings USERS(идентификатор пользователя)Keys(Названиеконтейнера)В некоторых случаях сертификат попадает сюда:
HKEY_USERSS-1-5-21-{SID}_ClassesVirtualStoreMACHINESOFTWARE [Wow6432Node]Crypto ProSettingsUSERSS-1-5-21-{SID}Keys
- После того, как найден нужный раздел с ключами:
- Нажать на подраздел
keys
правой кнопкой мыши и выбрать пункт «Экспортировать» (см. раздел Создание резервной копии реестра (Экспорт)).- Выбрать место для сохранения и задать имя файла. Экспортированный файл будет иметь расширение
.reg
.- Если требуется, перенести экспортированный файл с расширением
.reg
на другой компьютер.
- Открыть экспортированный файл с расширением
.reg
в текстовом редакторе (Notepad++, Блокнот) и изменить в файле идентификатор пользователя (SID) на идентификатор текущего пользователя, для этого:
Рис. 24 – Изменение пути к веткам реестра
- В командной строке («Пуск → Выполнить → cmd») ввести команду
WHOAMI /USER
(см. рисунок Рис. 23 – Узнать SID пользователя через командную строку).
Совет
Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью».
Важно
Если разрядность(битность) текущей системы отличается от той, на которой находился контейнер закрытого ключа, то необходимо проверить и при необходимости исправить путь в текстовом редакторе.
- Сохранить изменения в файле и открыть его двойным щелчком мыши (см. раздел Восстановление реестра из резервной копии (Импорт)). Разрешить внести изменения в реестр.
- В конце рекомендуется выгрузить ранее загруженный куст «Файл → Выгрузить куст».
Совет
Можно запускать реестр и не используя утилиту PsExec.exe
, но тогда придется добавлять загруженным веткам права и разрешения вручную так, как описано в разделе Права доступа (Разрешения). Это не критично, если речь идет, например, о копировании всего одного контейнера закрытого ключа. Если файлов много, то гораздо быстрее и удобнее использовать PsExec.exe
.
Рекомендую всегда держать на готове утилиту PsExec.exe
, ее скачивание и копирование занимает не так много времени.
Извлечение информации из резервной копии реестра¶
Резервные копии реестра обычно создаются автоматически каждые десять дней. Сохраняются они в папке:
C:WindowsSystem32configRegBack
– для Windows 7 и Server 2008;C:Windowsrepair
– для XP и Server 2003.
Данные папки содержит те же файлы, что и C:WindowsSystem32config
.
Если, например, из реестра случайно был удален контейнер закрытого ключа, теоретически, есть возможность импортировать куст из резервной копии.
Порядок действия аналогичен, описанному порядку в инструкции Восстановление закрытых ключей с неисправного компьютера. Отличается только файл загружаемого куста C:WindowsSystem32configRegBackSoftware
.
Доступ к считываетлям (Calais)¶
Иногда возникает проблема с доступом к считывателям смарт-карт. Она может быть связана с тем, что у текущего пользователя недостаточно прав на следующие ветки:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalais HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalaisReaders
Подробнее о настройке прав доступа читайте в разделе Права доступа (Разрешения).
Примечание
Может возникнуть ситуация, когда текущий пользователь системы даже не будет являться владельцем данных веток реестра, следовательно, у него не будет прав на них. В таком случае, необходимо сначала добавить текущего пользователя во владельцы этих веток, а затем проставить ему соответствующие права, как описано в разделе Права доступа (Разрешения) данного руководства.
Доверенные узлы¶
Если узел не добавляется в надежные узлы, можно добавить его вручную через реестр, для этого необходимо:
- Перейти в ветку
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomains
; - Добавить подраздел с названием домена, например,
kontur.ru
; - В добавленном подразделе создать еще один подраздел с названием субдомена:
extern
; - Добавить параметр DWORD
https
со значением2
Рис. 25 – Добавление зон надежных узлов вручную
Операционная система Windows умерла и нет возможности восстановить. В системе находились ключевые контейнеры записанные в реестр и на других носителях их не существует. Перенесем ключевые контейнеры со старого реестра в новую систему.
Содержание:
- 1 Введение
- 2 Ключевые контейнеры в реестре как с ними работать?
- 3 Необходимые данные в старом реестре
- 3.1 Подключаем старый реестр в новый
- 3.2 Серийный номер КриптоПро в реестре
- 3.3 Где хранятся контейнеры ключей в реестре
- 3.4
- 3.5 Сохранение ключевых контейнеров
- 4 Добавление контейнеров в новый реестр
- 4.1 Смотрим UID необходимого пользователя
- 4.2
- 4.3 Меняем данные в файле
- 4.4 Экспортирует контейнеры в новый реестр
- 4.5
- 4.6 Выгружаем старый реестр
- 4.7 Проверка добавления ключевых контейнеров
- 4.8 Перенос личных сертификатов пользователя
- 4.8.1 Добавление сертификата через Крипто ПРО
- 4.8.2 Перенос всех сертификатов
- 5 Вывод
Введение
Конечно лучше всегда хранить резервные копии всех получаемых ключей, но это делают только те кто уже имел проблемы с потерей а в последствии долгим и мучительным процессом восстановления необходимых ключей. Самая большая проблема в том что не каждый контейнер в реестре содержит в себе открытый ключ. Государственным учреждениям выдают, как правило на флешке, ключевой контейнер и личный сертификат которые работают в системе только в связке. Некоторые бережно хранят эту связку ну а большинство устанавливают контейнер в реестр системы и используют дальше флэшку в личных целях не задумываясь удаляя все лишнее в случае необходимости. Сохранность данных дело каждого мое дело решить задачу из сложившихся реалий о чем я и поведаю. Вариант подойдёт и для случая когда нет желание переносить каждый ключ а хочется перенести все сразу на новый компьютер.
Ключевые контейнеры в реестре как с ними работать?
Для работы со старым реестрам нужны права на открытие необходимых данных иначе вылезет предупреждение:
Для работы со старым реестром выполним следующие действия:
- Скачиваем программу PsTools и распаковываем в любую папку;
- Копируем необходимый файл PsExec.exe в папку C:WindowsSystem32;
- Запускаем командную строку cmd от имени администратора;
- Вставляем команду psexec -i -d -s c:windowsregedit.exe и нажимаем Enter.
Вот так это должно выглядеть в cmd:
Теперь вы можем спокойно работать с реестром и не получать предупреждения о невозможности просмотра данных.
Необходимые данные в старом реестре
Файлы реестра находятся по пути Windows/system32/config файл который нас интересует называется SOFTWARE. В нашем случае он был исправен в противном случае восстановить нужные данные не получиться.
Подключаем старый реестр в новый
Для подключения необходимо выполнить следующие действия:
- Выбрать необходимую ветку реестра HKEY_LOCAL_MACHINE;
- Перейти в меню Файл → Загрузить куст;
- Выбрать необходимый файл SOFTWARE;
- Назначить имя загруженному кусту (в моем случае old).
После успешного подключение вы увидите куст с введенным ранее названием.
Серийный номер КриптоПро в реестре
Определить какая стояла версия и серийный номер можно посмотрев записи на скрине ниже (внизу указан путь где смотреть):
Где хранятся контейнеры ключей в реестре
Все контейнеры вы можете найти по пути (для 64): HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettings
USERS(идентификатор пользователя)Keys(Название контейнера)
Сохранение ключевых контейнеров
Теперь нам необходимо экспортировать раздел с ключами для выполнения необходимых изменений и загрузки в рабочий реестр. После экспортирования я получил файл с названием reestr.reg.
Добавление контейнеров в новый реестр
Перед тем как добавить в новый реестр контейнеры нам надо сменить uid пользователя и отредактировать путь убрав название загруженного куста.
Смотрим UID необходимого пользователя
В командной строке cmd вносим команду WHOAMI /USER и видим нужный sid пользователя:
Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью». Вставляется текст по нажатию правой кнопки мыши!
Меняем данные в файле
Открываем файл в блокноте и делаем замену:
Не забудьте убрать название куда добавляли куст! Вам надо загрузить в рабочую часть реестра!
Экспортирует контейнеры в новый реестр
Выгружаем старый реестр
Не ищите возможности удаления старого куста который мы добавляли! Ненужный больше куст можно только выгрузить!
Проверка добавления ключевых контейнеров
Открываем программу Crypto Pro и смотрим что у нас есть в реестре:
Всё прошло успешно и все ключевые контейнеры присутствуют.
Перенос личных сертификатов пользователя
Добавление сертификата через Крипто ПРО
Берём открытый сертификат что нам нужен и устанавливаем его через Crypto Pro указав автоматический поиск контейнера. В случае если ставили контейнеры не вводя пароль просто жмите Ентер ( если вводили то ищите куда записали).
Все действия с ключами выполняйте через программу Crypto Pro!
Перенос всех сертификатов
Все сертификаты в системе Windows находятся по пути C:UsersНУЖНЫЙ ПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificatesMy. Достаточно скопировать эту папку в аналогичное место на новом компьютере и ключи будут перенесены.
Вывод
Вывод только один — храните резервные копии ключей. В моем случае мне удалось восстановить закрытые контейнеры ключей и личные сертификаты. Стараюсь всегда или переносить ключи в реестра и хранить оригиналы, если это возможно. Не ленитесь делать резервные копии.
Понравилась статья? Поделитесь ей с друзьями!
Пожалуйста, оставляйте свои комментарии
Читая их я получаю информацию которая позволяет мне улучшить качество написания статей. Кроме того, оставляя комментарии вы помогаете сайту получить более высокий рейтинг у поисковых систем. Давайте общаться.
Hi-Jacker |
|
Статус: Новичок Группы: Участники
|
Есть алгоритм действий по переносу контейнера с сертификатом через реестр (нет возможности использовать другие способы)? То есть есть Windows 8.1 x64 с КриптоПро 4.0 с ключом в реестре. Нужно его экспортировать из реестра и импортировать уже в реестр Windows 10 x64 тоже с КриптоПро 4.0. Подскажите чего и как нужно делать? |
|
|
Андрей Писарев |
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 455 раз |
Здравствуйте. Автор: Hi-Jacker Есть алгоритм действий по переносу контейнера с сертификатом через реестр (нет возможности использовать другие способы)? То есть есть Windows 8.1 x64 с КриптоПро 4.0 с ключом в реестре. Нужно его экспортировать из реестра и импортировать уже в реестр Windows 10 x64 тоже с КриптоПро 4.0. Подскажите чего и как нужно делать? А что мешает использовать штатные средства, экспортировать сертификат с закрытым ключом и перенести в PFX? В Личном хранилище – правой кнопкой -> Все задачи -> Экспортировать… Ваш вариант: Подробнее можете почитать здесь вместе с инструкцией. |
Техническую поддержку оказываем тут |
|
|
WWW |
Hi-Jacker |
|
Статус: Новичок Группы: Участники
|
Автор: Андрей Писарев А что мешает использовать штатные средства, экспортировать сертификат с закрытым ключом и перенести в PFX? Если кратко, то там стоит СБИС с 88+ юридическими лицами. Ключи сперва хранились на флешке, которая навернулась – это привело к серьезным потерям времени и денег. Сейчас они хранятся в реестре. Ключи постоянно проходят перегенерацию (их в разное время заводили, а не единовременно). Мне нужно организовать резервное копирование. Сделать скрипт, который бы раз в сутки делал резерв веток реестра гораздо проще, чем насиловать флешку. К тому же в целях безопасности USB вообще хотелось бы отключить (это не моя идея). Отредактировано пользователем 2 мая 2018 г. 20:29:26(UTC) |
|
|
Андрей Писарев |
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 455 раз |
Что значит “нет”? Если последнее – для этого есть отдельная ветка Keys |
Техническую поддержку оказываем тут |
|
|
WWW |
Андрей Писарев |
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 455 раз |
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsKeys – ключи компьютера |
Техническую поддержку оказываем тут |
|
|
WWW |
basid |
|
Статус: Активный участник Группы: Участники Сказал(а) «Спасибо»: 6 раз |
Вероятно, лучше учитывать разрядность целевой системы и всегда использовать 32-разрядную версию утилиты reg.exe. P.S. Проверил, что на 64-разрядной Windows 7: Код:
корректно сохраняет содержимое (нужного) раздела по требуемому пути. В зависимости от прав (локальный администратор, он же с подъёмом привилегий и система) сохраняются: Важно! P.P.S. Если не ошибаюсь, то, как минимум, в десятке можно использовать опцию “reg:32” без необходимости “вычислять” разрядность операционной системы. |
|
|
Андрей Писарев |
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 455 раз |
Автор: basid Вероятно, лучше учитывать разрядность целевой системы и всегда использовать 32-разрядную версию утилиты reg.exe. P.S. Проверил, что на 64-разрядной Windows 7: Код:
корректно сохраняет содержимое (нужного) раздела по требуемому пути. basid, p.s. ждём копипаст и сообщений – “не работает экспорт” |
Техническую поддержку оказываем тут |
|
|
WWW |
Андрей Писарев |
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 455 раз |
Автор: basid Вероятно, лучше учитывать разрядность целевой системы и всегда использовать 32-разрядную версию утилиты reg.exe. P.S. Проверил, что на 64-разрядной Windows 7: Код:
корректно сохраняет содержимое (нужного) раздела по требуемому пути. В зависимости от прав (локальный администратор, он же с подъёмом привилегий и система) сохраняются: Важно! P.P.S. Если не ошибаюсь, то, как минимум, в десятке можно использовать опцию “reg:32” без необходимости “вычислять” разрядность операционной системы. Всё хорошо, но: Отредактировано пользователем 3 мая 2018 г. 3:16:50(UTC) |
Техническую поддержку оказываем тут |
|
|
WWW |
basid |
|
Статус: Активный участник Группы: Участники Сказал(а) «Спасибо»: 6 раз |
Автор: Андрей Писарев у Вас реально ветка в CryptoPro? Нет. Конечно ачипятка. |
|
|
basid |
|
Статус: Активный участник Группы: Участники Сказал(а) «Спасибо»: 6 раз |
Автор: Андрей Писарев Всё хорошо, но: 1 и 2: Settings – исключительно для примера. В реальной жизни будет два бэкапа – раздельно для ключей пользователя и компьютера. P.S. Основополагающий принцип: |
|
|
Пользователи, просматривающие эту тему |
Guest (2) |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Содержание
- Как найти сертификат ЭЦП на компьютере
- Файлы сертификатов в проводнике
- Просмотр сертификатов через КриптоПРО
- Просмотр сертификатов через Certmgr
- Доступ к сертификатам через Internet Explorer
- Просмотр сертификатов через консоль управления
- Другие варианты
- Как найти эцп в реестре на компьютере
- Когда нужно копировать сертификаты КриптоПРО в реестр
- Как скопировать сертификат в реестр КриптоПРО
- Установка закрытого ключа в реестр
- Где хранится закрытый ключ в реестре Windows
- Как скопировать эцп из реестра на флешку
- Где хранится на компьютере сертификат электронной подписи
- Что такое сертификат пользователя
- Как долго нужно хранить документ
- Где хранится ЭЦП в реестре
- Где хранится сертификат в ОС Windows
- Добавление новой ЭЦП
- Установка через контейнер
- Установка через меню ЛС
Как найти сертификат ЭЦП на компьютере
Электронную подпись можно использовать на сколь угодно компьютерах, в том числе и одновременно. Но для того же переноса сертификата необходимо понимать, где он хранится на самом компьютере и каким образом его можно найти. К тому же, для переноса ЭЦП потребуется не только сам личный сертификат, но и удостоверяющего доверенного центра, который электронную подпись и выдал. Так где хранятся сертификаты ЭЦП на компьютере?
Файлы сертификатов в проводнике
В среде Windows (начиная с Vista и в более поздних версиях операционной системы) абсолютно все пользовательские сертификаты хранятся по адресу C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates, где вместо ПОЛЬЗОВАТЕЛЬ – имя учетной записи, по которой сейчас и работает операционная система. Но там хранятся только открытые сертификаты, доступные только для чтения.
А вот закрытый сертификат ЭЦП не копируется на жесткий диск – он хранится исключительно на защищенном USB-рутокене и используется как раз для генерации открытых ключей (при этом нужно ещё вводить секретный пароль, который предоставляет удостоверяющий центр). Если же физически скопировать открытый сертификат на другой компьютер, то пользоваться им можно будет лишь в том случае, если там же установлен корневой сертификат удостоверяющего центра, выдавшего ЭЦП. В противном случае – сертификат не пройдет проверку подлинности.
Где ещё на компьютере хранится сертификат электронной подписи? Ещё одна копия, для программного использования, хранится в шифрованном виде в папке Windows, но получить доступ туда или даже скопировать сам файл сертификата не получится – операционная система не предоставит таких прав доступа.
Ещё следует учесть, что для просмотра файлов сертификатов пользователь должен обладать правами администратора. Если же он вошел в систему как «Гость», то к системным папкам на диске С (или другом, где установлена сама система) он не сможет получить доступ.
Просмотр сертификатов через КриптоПРО
Как найти сертификат ЭЦП на компьютере через КриптоПРО (программа-дистрибутив, который используется для работы с электронными подписями)? Для этого необходимо:
После этого появится диалоговое окно со списком всех установленных сертификатов на жестком диске. Там же можно посмотреть информацию по каждому из них, удалить из системы, скопировать весь контейнер (связка открытого ключа и сертификата удостоверяющего центра – это позволит пользоваться ЭЦП на другом компьютере).
Опять же, для доступа к данному меню необходимо, чтобы у пользователя имелись права администратора (или предоставлена возможность пользоваться программой от администратора ПК). В противном случае – программа выдаст сообщение о невозможности получить доступ к списку установленных в системе сертификатов.
Можно редактировать список сертификатов и непосредственно из программы КриптоПРО (запустить можно из «Панели управления»). Там доступен более широкий функционал для работы с ЭЦП, а также сертификатами удостоверяющих центров.
Просмотр сертификатов через Certmgr
В операционных системах семейства Windows также имеется встроенный менеджер для работы с установленными сертификатами. Через него можно просмотреть и личные ключи, и сертификаты удостоверяющих центров, партнеров Microsoft (для предоставления привилегий определенным программам).
Где на компьютере найти сертификат цифровой подписи при помощи менеджера? Для этого необходимо:
Для запуска менеджера, а также удаления или копирования файлов сертификатов необходимо обладать правами администратора. В противном случае – программа даже не запустится, ссылаясь на недостаточный уровень прав доступа.
Данное приложение также имеет ряд ограничений по работе с шифрованными сертификатами (со специальной кодировкой данных). Поэтому она не всегда корректно отображает все установленные пользовательские цифровые подписи.
Доступ к сертификатам через Internet Explorer
Как найти электронную подпись на компьютере при помощи Internet Explorer? Данный веб-обозреватель имеется в Windows XP и более старших версиях, но может отсутствовать в определенных редакциях Windows 10. При необходимости – его можно бесплатно скачать с официального сайта Microsoft по ссылке https://www.microsoft.com/uk-ua/download/internet-explorer.aspx (необходимо будет указать используемую версию Windows).
Где хранится сертификат ЭЦП и как его найти через Internet Explorer? Необходимо запустить сам веб-обозреватель, далее:
После – появится окно со списком всех установленных в системе сертификатов, в том числе и от сторонних поставщиков программного обеспечения (в отдельной вкладке). Из данного меню можно удалить открытые ключи, но не корневые сертификаты удостоверяющих центров.
Доступ к списку сертификатов в Internet Explorer также можно получить из меню «Центр управления сетями и общим доступом» из «Панели управления» (в левой колонке внизу будет пункт «Свойства обозревателя»).
Этот вариант найти файлы сертификатов на компьютере удобен тем, что позволяет просмотреть их список даже без наличия прав администратора. Но вот удалять их уже не получится (но в большинстве случаев этого и не требуется).
Просмотр сертификатов через консоль управления
Это ещё один встроенный в Windows инструмент, позволяющий на компьютере найти ключ ЭЦП.
Для просмотра сертификатов через консоль управления необходимо выполнить:
Затем также можно выбрать просмотр сертификатов по определенной учетной записи, зарегистрированной в Windows. Чтобы таким методом найти ЭЦП на компьютере также нужно обладать правами администратора.
Через MMC (Просмотр сертификатов в консоли управления) также можно добавлять, удалять, копировать контейнеры с электронной подписью (включая сертификат удостоверяющего центра), но далеко не всем такой метод покажется удобным, так как некоторые команды также придется вводить именно через командную строку. Данный инструмент больше подходит для использования системными администраторами, когда через сервер выполняется настройка прав доступа всех подключенных компьютеров.
Другие варианты
Есть ещё масса других сторонних программ, которые точно так же позволяют работать с сертификатами, установленными в операционной системе. Но вот пользоваться ими не рекомендуется – никто не может гарантировать, что в исходном коде подобного приложения нет команды отправки сертификата на внешний сервер. Единственная сертифицированная в Минкомсвязи программа для работы с электронными подписями – это именно КриптоПРО CSP (на текущий момент актуальны версии 3.5 или старше). Её использование – это своего рода гарантия защиты от возможной компрометации ЭЦП.
Итого, где находится сертификат электронной подписи на компьютере? В системной папке пользователя, а удобней всего с ключами работать при помощи программы КриптоПРО CSP. С её помощью можно совершить быстрый перенос электронной подписи с одного компьютера на другой даже без использования USB-рутокена. А для быстрого просмотра самих ключей или удаления некоторых из них удобней всего использовать Internet Explorer.
Источник
Как найти эцп в реестре на компьютере
Добрый день! Уважаемые читатели и гости крупного IT блога рунета pyatilistnik.org. Продолжаем нашу с вами тему с сертификатами и работе с ними. В прошлый раз я вам подробно рассказал, как получить тестовый сертификат криптопро, посмотрите очень интересная заметка. Согласитесь, что для тестирования вам может потребоваться не один сертификат, а гораздо больше, и очень удобно иметь возможность работать с ними, без привязки к физическим токенам, например, на виртуальных машинах Vmware. Для таких задач, есть возможность поместить сертификаты КриптоПРО в реестр Windows, чем мы с вами и займемся.
Когда нужно копировать сертификаты КриптоПРО в реестр
Существует ряд задач, когда удобно иметь вашу ЭЦП подпись в реестре Windows:
1. При тестировании настроенного окружения для торговых площадок, для входа на которые используется ЭЦП подпись.
2. Когда у вас виртуальная инфраструктура и нет возможности, произвести проброс USB устройств по локальной сети
3. Ситуации, когда КриптоПРО не видит USB токена
4. Ситуации, когда USB ключей очень много и нужно работать одновременно с 5-ю и более ключами, примером может служить программа по сдачи отчетности СБИС
Как скопировать сертификат в реестр КриптоПРО
CryptoPRo позволяет производить установку с копирование закрытого ключа (сертификата) в реестр Windows.
И так, у меня есть USB токен SafeNet, на который я выпустил тестовую ЭЦП, ее я буду переносить вместе с закрытым ключом в реестр Windows. Открываем утилиту CryptoPRO с правами администратора.
Переходите на вкладку «Сервис» и нажимаете «скопировать»
У вас откроется окно «Контейнер закрытого ключа», тут вам нужно нажать кнопку «Обзор», что бы выбрать ваш сертификат, который вы хотите скопировать в реестр.
В итоге у вас в поле «Имя ключевого контейнера» отобразиться абракадабровое имя.
У вас появится окно с вводом пин-кода от вашего USB токена.
Теперь вам необходимо задать имя для копируемого сертификата в реестр Windows, КриптоПРО благо, это позволяет. Я назвал его «Копия сертификата в реестре (Семин Иван)»
Теперь вам необходимо положить сертификаты КриптоПРО в реестр, для этого выбираем соответствующий пункт и нажимаем «Ок».
На следующем шаге вам предложат установить новый пароль на ваш контейнер с закрытым ключом, советую установить его и желательно посложнее.
Установка закрытого ключа в реестр
Теперь когда ваш закрытый ключ находится в реестре, давайте установим личный сертификат. Для этого откройте на вкладке «Сервис» кнопку «Посмотреть сертификат в контейнере»
Далее в окне «онтейнер закрытого ключа» нажмите кнопку «Обзор».
И выберите сертификат из реестра, он будет с тем именем, что вы ему задавали.
После чего производится установка закрытого ключа в реестр, через соответствующую кнопку.
Видим, что сертификат был установлен в хранилище «Личные» текущего пользователя.Как видите, было очень просто скопировать закрытый ключ в реестр операционной системы.
Где хранится закрытый ключ в реестре Windows
Либо вы можете зайти в свойства Internet Explorer на вкладку «Содержание’. Потом перейти в пункт «Сертификаты», где у вас будут отображаться все ваши SSL сертификаты, и те, что КриптоПРО скопировал в реестр операционной системы.
Если нужно найти ветку реестра с закрытым ключом, то я вам приводил уже пример в статье, когда я переносил ЭЦП с компьютера на компьютер.
Про копирование ЭЦП с закрытыми ключами мы разобрали, теперь ситуация обратная.
Как скопировать эцп из реестра на флешку
Предположим, что у вас стоит задача скопировать контейнер из реестра, так как он уже там, то он экспортируемый, для этого открываем криптопро, «Сервис-Скопировать»
Выбираете «Обзор» и ваш сертификат из реестра.
Задаете ему новое имя, удобное для себя.
После чего вас попросят указать флешку, на которую вы будите копировать контейнер с закрытым ключом из реестра.
Обязательно задайте новый пароль.
Ну и собственно теперь открывайте вашу флешку и лицезрейте перенесенный на него контейнер, он будет состоять из файликов с форматом key.
Как видите КриптоПРО, это конвейер, который позволяет легко скопировать сертификат из реестра на флешку или даже дискету, если они еще используются.
Источник
Где хранится на компьютере сертификат электронной подписи
Важная составляющая электронной подписи — сертификат, который не только хранит важную информацию, но и является своеобразным паспортом участника электронного документооборота. Чтобы работа с ЭП не вызывала затруднений, пользователю необходимо знать о том, где хранится электронная подпись и ее сертификат, и как установить или добавить ЭЦП с ключом в хранилище.
Что такое сертификат пользователя
Сертификат цифровой подписи — это бумажный или электронный документ, выданный аккредитованным удостоверяющим центром, и подтверждающий принадлежность ЭЦП конкретному владельцу. В процессе генерации ключа вся информация о его владельце сохраняется, а полученный файл и есть сертификат ключа ЭЦП. Обязательная составляющая файла — открытый ключ и данные о владельце подписи, а также УЦ, выдавшем ЭП.
Как долго нужно хранить документ
Сертификат ЭЦП действителен лишь в течение строго установленного периода времени, равного одному году. По прошествии года цифровая подпись теряет свою функциональность и становится обязательной к замене. Вместе с новой ЭП владелец получает и новый сертификат.
Сколько времени нужно хранить сертификат ЭЦП зависит от того, какая информация в нем содержится. Полезный срок действия и содержание документа связаны между собой: чем больше информации, тем полезный срок действия документа меньше. Объясняется это тем, что данные, указанные в документе, могут измениться. Часто владельцы ЭЦП ждут истечения срока действия подписи, чтобы обновить информацию, поэтому минимум информации в электронном документе позволит продлить его актуальность.
В удостоверяющем центре сроки хранения ключа в электронной форме определяются договорными условиями между УЦ и владельцем ЭЦП. В течение срока хранения ключа все участники информационной системы имеют к нему доступ. После аннулирования сроки хранения в УЦ определяются статьей ФЗ о законном сроке исковой давности. После его истечения сертификат исключается из единого реестра ключей ЭЦП и переводится на архивное хранение, которое составляет 5 лет. В течение этого срока выдача копий осуществляется по запросу и в соответствии с действующим законодательством.
На бумажном носителе ключ хранится в течение срока, установленного ФЗ РФ об архивном деле и архивах. С 2003 г. согласно новым поправкам срок хранения составляет 50 лет с момента поступления документа.
Где хранится ЭЦП в реестре
В реестре хранить ключи электронной подписи можно как на обычном ключевом носителе. После переноса они находятся в папках:
SID — это идентификатор пользователя или информационная структура переменной длины, идентифицирующая персональную запись пользователя или группы, ПК или домена. Узнать его можно через командную строку при помощи команды WHOAMI/User:
Для удобства пользователя номер можно скопировать в файл на рабочем столе, чтобы каждый раз не выполнять операцию по его проверке.
Где хранится сертификат в ОС Windows
Установка или просмотр корневого или личного сертификата (ЛС) невозможна без знания места хранения подписи в ОС. Все версии Windows помещают ключи ЭЦП в так называемый контейнер, который раздел на часть для пользователя и ПК.
Поменять настройки хранения ключа можно через mmc оснастку, которая выводится комбинацией клавиш WIN+R:
В корне консоли комбинацией клавиш CTRL+M через Файл можно добавить или удалить оснастку:
В открывшемся окне пользователь выбирает поле доступных оснасток, затем «Сертификаты» и нажимает добавление:
Диспетчер позволяет добавить новую оснастку для персональной учетной записи, учетной записи ПК или службы. Если добавляется учетная запись ПК, то в ней есть дополнительные настройки:
Выбрать необходимо локальный ПК, после чего нажать «Готово». Откроется вот такое окно:
Созданную оснастку нужно сохранить через пункт меню «Файл». Для удобства работы местом сохранения выбирают рабочий стол:
В корневой консоли область сертификатов разделена на 2 части для пользователя и ПК. Область пользователя содержит несколько папок:
Обычно изначально папка «Личное» не содержит сертификатов. Перенести один сертификат в папку можно через запрос или импорт:
Далее необходимо нажать в мастере импортирования «Далее». Нужный сертификат обычно имеет следующий формат:
Через вкладку доверенных сертификатов откроется большой список корневых, который необходим для нормальной работы на интернет-пространстве:
Состав любого из них можно посмотреть через двойной щелчок мыши, а из действий пользователю доступен экспорт для последующей переустановки на другой ПК. Экспорт возможен в разных распространенных форматах:
Полезной для пользователя будет и папка, содержащая недействительные и просроченные сертификаты. Поскольку их своевременное обновление и замена позволят избежать проблем с работой компьютера.
Добавление новой ЭЦП
Добавить в хранилище сертификатов через меню КриптоПро CSP новый объект можно двумя способами:
Для ОС Windows 7 без установленного SP1 рекомендован второй путь.
Установка через контейнер
Для начала нужно открыть Панель управления ПК, выбрать там КриптоПро и вкладку Сервис, после чего нажать кнопку просмотра:
В новом окне через «Обзор» пользователь выбирает нужный контейнер, и подтверждает действие через «ОК»:
Если после нажатия «Далее» выходит ошибка о том, что в контейнере закрытых ключей и сертификатов не обнаружен ключ шифрования, то рекомендуется совершить установку вторым методом.
В программе КриптоПро CSP версии 3.6 и выше в открывшемся окне необходимо нажать «Далее», «Установить» и согласиться с предложенными условиями. В иных версиях программы в поле «Сертификат для просмотра» пользователь должен открыть свойства.
Следующий шаг: через вкладку «Общие» перейти к установке сертификата:
На последних версиях ПО просто выберите хранилище ключей ЭЦП. Обычно после подтверждения действия в автоматическом режиме ключ попадает в папку «Личные»:
Если все сделано правильно, то появится сообщение об успешном импорте.
Установка через меню ЛС
Откроется Мастер установки, в котором сначала пользователь нажимает «Далее», а затем переходит к выбору нужного файла через «Обзор»:
Чтобы выбрать путь, нужно открыть хранилище сертификатов, и нажать «Далее». Пароль на хранилище ключей обычно стандартный, и равен комбинации чисел от 1 до 6:
Если есть необходимость, то в новом окне можно посмотреть информацию о сертификате, а если нет — можно сразу переходить к следующему шагу:
Пользователь должен ввести или указать контейнер закрытого ключа КриптоПро, который содержит искомый электронный документ. Сделать это можно через кнопку «Обзор»:
Подтверждает свой выбор пользователь через нажатие «Далее»:
Следующий шаг — выбор хранилища, куда будет помещен новый ключ. Для этого в соответствующем окне нажимают «Обзор». В версии КриптоПро 3.6 и выше необходимо также установить флажок напротив пункта об установке сертификата в контейнер:
Далее нужно выбрать хранилище и подтвердить действие:
Если после последующего нажатия «Далее» и «Готово» появилось сообщение о том, что данный сертификат уже имеется на ПК, и его можно заменить на новый с проставленной ссылкой на закрытый ключ, то нужно нажать «Да». При правильно выполненных действиях в течение нескольких секунд появится сообщение об успешной установке ЛС на компьютер.
Работа с электронной цифровой подписью иногда требует обновления или переустановки сертификатов, а также проверки их актуальности. Для этого пользователю необходимо знать и место их хранения в реестре, и в операционной системе и понимать, как можно осуществить установку или экспорт. Обычно процесс поиска интересующего ключа ЭЦП занимает несколько минут и при следовании инструкции не вызывает ошибок или проблем. Если во время установки сертификатов происходят повторяющиеся сбои или системные ошибки, то лучше обратиться в службу технической поддержки для разъяснения ситуации.
Источник