Как найти контейнер криптопро в реестре

Ой! Данный функционал ещё в разработке

В том случае, когда в качестве криптопровайдера используется СКЗИ КриптоПро CSP, а в качестве считывателя используется реестр, контейнеры хранятся в ветке реестра:

  • В x32 операционных системах контейнеры находятся в ветке: HKEY_LOCAL_MACHINESOFTWARECryptoProSettingsUsers{SID}Keys
  • В x64 операционных системах контейнеры находятся в ветке: HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCryptoProSettingsUsers{SID}Keys

Если контейнеры требуется перенести вручную на другой ПК, выгрузите ветку реестра.

На том рабочем месте, куда нужно импортировать контейнеры, проверьте разрядность ОС и узнайте SID пользователя.

SID – Идентификатор безопасности пользователя ОС Windows. У каждого пользователя Windows свой SID. Для того, чтобы узнать SID пользователя запустите ОС Windows под его учетной записью, после чего перейдите в командную строку (Пуск → Выполнить → cmd) и введите команду whoami/user. Команда отобразит основные сведения о текущем пользователе, включая его SID

Пример SID: S-1-5-12-12345678-1234567890-1234567890-1234.

После этого откройте с помощью блокнота выгруженный файл реестра в формате .reg, измените SID и, если необходимо, путь к конечной ветке.

После этого загрузите ветку реестра в систему.

Номер статьи: 129674850
Обновлено: 25.07.2022 12:04+0000

Практические приёмы работы с Реестром¶

В данном разделе рассматриваются практические примеры работы с реестром:

  • Лицензия КриптоПро в реестре [1017]
  • Где хранятся ключи(закрытый ключ сертификата) в реестре? [1739]
  • Восстановление закрытых ключей с неисправного компьютера
  • Извлечение информации из резервной копии реестра
  • Доступ к считываетлям (Calais)
  • Доверенные узлы

Лицензия КриптоПро в реестре [1017]¶

Лицензия КриптоПро хранится в реестре, её можно оттуда скопировать, либо ввести.

  1. Перейти в ветку:

КриптоПро 3.6:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstaller
UserDataS-1-5-18Products05480A45343B0B0429E4860F13549069InstallProperties

КриптоПро 3.9:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstaller
UserDataS-1-5-18Products68A52D936E5ACF24C9F8FE4A1C830BC8InstallProperties

КриптоПро 4.0:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInstaller
UserDataS-1-5-18Products7AB5E7046046FB044ACD63458B5F481CInstallProperties

КриптоПро 3.0:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionInstallerUserDataS-1-5-18
Products0CC4F742C3275A04A9832E2E2CD4BE64InstallPropertiesProductID
  1. Открыть двойным нажатием левой кнопки мыши параметр ProductID и прописать в поле Значение серийный номер лицензии (можно с дефисами, можно без). Либо скопировать номер лицензии оттуда.

Где хранятся ключи(закрытый ключ сертификата) в реестре? [1739]¶

Реестр может использоваться в качестве ключевого носителя, другими словами, в него можно скопировать Квалифицированную электронную подпись (КЭП). После копирования закрытые ключи будут находиться:

  • для 32-битной ОС:
HKEY_LOCAL_MACHINESOFTWARECryptoProSettings
Users(идентификатор пользователя)Keys(Название контейнера)
  • для 64-битной ОС:
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettings
USERS(идентификатор пользователя)Keys(Названиеконтейнера)
  • В некоторых случаях сертификат попадает сюда:
HKEY_USERSS-1-5-21-{SID}_ClassesVirtualStoreMACHINESOFTWARE
[Wow6432Node]Crypto ProSettingsUSERSS-1-5-21-{SID}Keys

Где SID (идентификатор пользователя) (англ. Security Identifier (SID)) — структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера.

Узнать SID пользователя можно через командную строку («Пуск → Выполнить → cmd»), введя команду WHOAMI /USER.

Рис. 23 – Узнать SID пользователя через командную строку

Рис. 23 – Узнать SID пользователя через командную строку

Совет

Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью».


Восстановление закрытых ключей с неисправного компьютера¶

Есть возможность восстановить закрытые ключи сертификата, если они были записаны в реестре компьютера и этот компьютер сломался.

Это можно сделать только в том случае, если жесткий диск в рабочем состоянии и есть возможность его подключить к рабочему системному блоку. Или есть копия папки C:WindowsSystem32config.

Если условия выполняются, необходимо проделать следующее:

  1. Подключить жесткий диск от неработающего компьютера к рабочему системному блоку;
  1. Скачать утилиту PsExec.exe и скопировать ее в корень диска C.

Открыть редактор реестра с помощью утилиты PsExec.exe (см. раздел Работа через утилиту PsExec). В командной строке («Пуск → Выполнить → cmd») ввести команду;

C:PsExec.exe -i -s regedit.exe
  1. Загрузить куст HKEY_LOCAL_MACHINESoftware (см. раздел Загрузка и выгрузка куста):

    • Перейти в раздел HKEY_LOCAL_MACHINE;
    • Выбрать «Файл → Загрузить куст»;
    • В файловом менеджере выбрать соответствующий файл куста с нерабочего компьютера C:WindowsSystem32configSOFTWARE;
    • Задать произвольное имя загруженному кусту, например, AZAZAZ.

Загрузка куста может занять некоторое время.

  1. Перейти в раздел, в котором хранятся КЭП;
  • для 32-битной ОС:
HKEY_LOCAL_MACHINEASASASCryptoProSettings
Users(идентификатор пользователя)Keys(Название контейнера)
  • для 64-битной ОС:
HKEY_LOCAL_MACHINEASASASWow6432NodeCrypto ProSettings
USERS(идентификатор пользователя)Keys(Названиеконтейнера)

В некоторых случаях сертификат попадает сюда:

HKEY_USERSS-1-5-21-{SID}_ClassesVirtualStoreMACHINESOFTWARE
[Wow6432Node]Crypto ProSettingsUSERSS-1-5-21-{SID}Keys
  1. После того, как найден нужный раздел с ключами:
  • Нажать на подраздел keys правой кнопкой мыши и выбрать пункт «Экспортировать» (см. раздел Создание резервной копии реестра (Экспорт)).
  • Выбрать место для сохранения и задать имя файла. Экспортированный файл будет иметь расширение .reg.
  • Если требуется, перенести экспортированный файл с расширением .reg на другой компьютер.
  1. Открыть экспортированный файл с расширением .reg в текстовом редакторе (Notepad++, Блокнот) и изменить в файле идентификатор пользователя (SID) на идентификатор текущего пользователя, для этого:

Рис. 24 – Изменение пути к веткам реестра

Рис. 24 – Изменение пути к веткам реестра

  • В командной строке («Пуск → Выполнить → cmd») ввести команду WHOAMI /USER (см. рисунок Рис. 23 – Узнать SID пользователя через командную строку).

Совет

Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью».

Важно

Если разрядность(битность) текущей системы отличается от той, на которой находился контейнер закрытого ключа, то необходимо проверить и при необходимости исправить путь в текстовом редакторе.

  1. Сохранить изменения в файле и открыть его двойным щелчком мыши (см. раздел Восстановление реестра из резервной копии (Импорт)). Разрешить внести изменения в реестр.
  1. В конце рекомендуется выгрузить ранее загруженный куст «Файл → Выгрузить куст».

Совет

Можно запускать реестр и не используя утилиту PsExec.exe, но тогда придется добавлять загруженным веткам права и разрешения вручную так, как описано в разделе Права доступа (Разрешения). Это не критично, если речь идет, например, о копировании всего одного контейнера закрытого ключа. Если файлов много, то гораздо быстрее и удобнее использовать PsExec.exe.

Рекомендую всегда держать на готове утилиту PsExec.exe, ее скачивание и копирование занимает не так много времени.


Извлечение информации из резервной копии реестра¶

Резервные копии реестра обычно создаются автоматически каждые десять дней. Сохраняются они в папке:

  • C:WindowsSystem32configRegBack – для Windows 7 и Server 2008;
  • C:Windowsrepair – для XP и Server 2003.

Данные папки содержит те же файлы, что и C:WindowsSystem32config.

Если, например, из реестра случайно был удален контейнер закрытого ключа, теоретически, есть возможность импортировать куст из резервной копии.

Порядок действия аналогичен, описанному порядку в инструкции Восстановление закрытых ключей с неисправного компьютера. Отличается только файл загружаемого куста C:WindowsSystem32configRegBackSoftware.


Доступ к считываетлям (Calais)¶

Иногда возникает проблема с доступом к считывателям смарт-карт. Она может быть связана с тем, что у текущего пользователя недостаточно прав на следующие ветки:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalais

HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalaisReaders

Подробнее о настройке прав доступа читайте в разделе Права доступа (Разрешения).

Примечание

Может возникнуть ситуация, когда текущий пользователь системы даже не будет являться владельцем данных веток реестра, следовательно, у него не будет прав на них. В таком случае, необходимо сначала добавить текущего пользователя во владельцы этих веток, а затем проставить ему соответствующие права, как описано в разделе Права доступа (Разрешения) данного руководства.


Доверенные узлы¶

Если узел не добавляется в надежные узлы, можно добавить его вручную через реестр, для этого необходимо:

  1. Перейти в ветку HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomains;
  2. Добавить подраздел с названием домена, например, kontur.ru;
  3. В добавленном подразделе создать еще один подраздел с названием субдомена: extern;
  4. Добавить параметр DWORD https со значением 2

Рис. 25 – Добавление зон надежных узлов вручную

Рис. 25 – Добавление зон надежных узлов вручную

Передовые виртуальные и выделенные серверы для проектов любой сложности и структуры.

Операционная система Windows умерла и нет возможности восстановить. В системе находились ключевые контейнеры записанные в реестр и на других носителях их не существует. Перенесем ключевые контейнеры со старого реестра в новую систему.

Содержание:

  • 1 Введение
  • 2 Ключевые контейнеры в реестре как с ними работать?
  • 3 Необходимые данные в старом реестре
    • 3.1 Подключаем старый реестр в новый
    • 3.2 Серийный номер КриптоПро в реестре
    • 3.3 Где хранятся контейнеры ключей в реестре
    • 3.4
    • 3.5 Сохранение ключевых контейнеров
  • 4 Добавление контейнеров в новый реестр
    • 4.1 Смотрим UID необходимого пользователя
    • 4.2
    • 4.3 Меняем данные в файле
    • 4.4 Экспортирует контейнеры в новый реестр
    • 4.5
    • 4.6 Выгружаем старый реестр
    • 4.7 Проверка добавления ключевых контейнеров
    • 4.8 Перенос личных сертификатов пользователя
      • 4.8.1 Добавление сертификата через Крипто ПРО
      • 4.8.2 Перенос всех сертификатов
  • 5 Вывод

Введение

Конечно лучше всегда хранить резервные копии всех получаемых ключей, но это делают только те кто уже имел проблемы с потерей а в последствии долгим и мучительным процессом восстановления необходимых ключей. Самая большая проблема в том что не каждый контейнер в реестре содержит в себе открытый ключ. Государственным учреждениям выдают, как правило на флешке, ключевой контейнер и личный сертификат которые работают в системе только в связке. Некоторые бережно хранят эту связку ну а большинство устанавливают контейнер в реестр системы и используют дальше флэшку в личных целях не задумываясь удаляя все лишнее в случае необходимости. Сохранность данных дело каждого мое дело решить задачу из сложившихся реалий о чем я и поведаю. Вариант подойдёт и для случая когда нет желание переносить каждый ключ а хочется перенести все сразу на новый компьютер.

Ключевые контейнеры в реестре как с ними работать?

Для работы со старым реестрам нужны права на открытие необходимых данных иначе вылезет предупреждение:

key_reestr_windows_sevo44_2

Для работы со старым реестром выполним следующие действия:

  • Скачиваем программу PsTools и распаковываем в любую папку;
  • Копируем необходимый файл PsExec.exe в папку C:WindowsSystem32;
  • Запускаем командную строку cmd от имени администратора;
  • Вставляем команду psexec -i -d -s c:windowsregedit.exe и нажимаем Enter.

Вот так это должно выглядеть в cmd:

key_reestr_windows_sevo44_3

Теперь вы можем спокойно работать с реестром и не получать предупреждения о невозможности просмотра данных.

Необходимые данные в старом реестре

Файлы реестра находятся по пути Windows/system32/config файл который нас интересует называется SOFTWARE. В нашем случае он был исправен в противном случае восстановить нужные данные не получиться.

Подключаем старый реестр в новый

Для подключения необходимо выполнить следующие действия:

  • Выбрать необходимую ветку реестра HKEY_LOCAL_MACHINE;
  • Перейти в меню Файл → Загрузить куст;
  • Выбрать необходимый файл SOFTWARE;
  • Назначить имя загруженному кусту (в моем случае old).

После успешного подключение вы увидите куст с введенным ранее названием.

Серийный номер КриптоПро в реестре

Определить какая стояла версия и серийный номер можно посмотрев записи на скрине ниже (внизу указан путь где смотреть):

key_reestr_windows_sevo44_1

Где хранятся контейнеры ключей в реестре

Все контейнеры вы можете найти по пути (для 64): HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettings
USERS(идентификатор пользователя)Keys(Название контейнера)

key_reestr_windows_sevo44_4

Сохранение ключевых контейнеров

Теперь нам необходимо экспортировать раздел с ключами для выполнения необходимых изменений и загрузки в рабочий реестр. После экспортирования я получил файл с названием reestr.reg.

Добавление контейнеров в новый реестр

Перед тем как добавить в новый реестр контейнеры нам надо сменить uid пользователя и отредактировать путь убрав название загруженного куста.

Смотрим UID необходимого пользователя

В командной строке cmd вносим команду WHOAMI /USER и видим нужный sid пользователя:

key_reestr_windows_sevo44_5

Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью». Вставляется текст по нажатию правой кнопки мыши!

key_reestr_windows_sevo446

Меняем данные в файле

Открываем файл в блокноте и делаем замену:

key_reestr_windows_sevo44_7

Не забудьте убрать название куда добавляли куст! Вам надо загрузить в рабочую часть реестра!

Экспортирует контейнеры в новый реестр

key_reestr_windows_sevo448

Выгружаем старый реестр

Не ищите возможности удаления старого куста который мы добавляли! Ненужный больше куст можно только выгрузить!

Проверка добавления ключевых контейнеров

Открываем программу Crypto Pro и смотрим что у нас есть в реестре:

key_reestr_windows_sevo4410

Всё прошло успешно и все ключевые контейнеры присутствуют.

Перенос личных сертификатов пользователя

Добавление сертификата через Крипто ПРО

Берём открытый сертификат что нам нужен и устанавливаем его через Crypto Pro указав автоматический поиск контейнера. В случае если ставили контейнеры не вводя пароль просто жмите Ентер ( если вводили то ищите куда записали).

Все действия с ключами выполняйте через программу Crypto Pro!

Перенос всех сертификатов

Все сертификаты в системе Windows находятся по пути C:UsersНУЖНЫЙ ПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificatesMy. Достаточно скопировать эту папку в аналогичное место на новом компьютере и ключи будут перенесены.

Вывод

Вывод только один — храните резервные копии ключей. В моем случае мне  удалось восстановить закрытые контейнеры ключей и личные сертификаты. Стараюсь всегда или переносить ключи в реестра и хранить оригиналы, если это возможно. Не ленитесь делать резервные копии.

Понравилась статья? Поделитесь ей с друзьями!

Пожалуйста, оставляйте свои комментарии

Читая их я получаю информацию которая позволяет мне улучшить качество написания статей. Кроме того, оставляя комментарии вы помогаете сайту получить более высокий рейтинг у поисковых систем. Давайте общаться.


Offline

Hi-Jacker

 


#1
Оставлено
:

2 мая 2018 г. 16:53:57(UTC)

Hi-Jacker

Статус: Новичок

Группы: Участники

Зарегистрирован: 18.02.2011(UTC)
Сообщений: 6
Откуда: Санкт-Петербург

Есть алгоритм действий по переносу контейнера с сертификатом через реестр (нет возможности использовать другие способы)? То есть есть Windows 8.1 x64 с КриптоПро 4.0 с ключом в реестре. Нужно его экспортировать из реестра и импортировать уже в реестр Windows 10 x64 тоже с КриптоПро 4.0. Подскажите чего и как нужно делать?


Вверх


Online

Андрей Писарев

 


#2
Оставлено
:

2 мая 2018 г. 19:25:55(UTC)

Андрей *

Статус: Сотрудник

Группы: Участники

Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,946
Мужчина
Российская Федерация

Сказал «Спасибо»: 455 раз
Поблагодарили: 1889 раз в 1464 постах

Здравствуйте.

Автор: Hi-Jacker Перейти к цитате

Есть алгоритм действий по переносу контейнера с сертификатом через реестр (нет возможности использовать другие способы)? То есть есть Windows 8.1 x64 с КриптоПро 4.0 с ключом в реестре. Нужно его экспортировать из реестра и импортировать уже в реестр Windows 10 x64 тоже с КриптоПро 4.0. Подскажите чего и как нужно делать?

А что мешает использовать штатные средства, экспортировать сертификат с закрытым ключом и перенести в PFX?

В Личном хранилище – правой кнопкой -> Все задачи -> Экспортировать…
+ отметить “вместе с закрытым ключом”.

Ваш вариант:
По переносу через reg-файл – экспортировать в файл ветку с контейнером,
изменить в файле SID пользователя, который на второй ОС и импортировать reg-файл.

Подробнее можете почитать здесь вместе с инструкцией.

Техническую поддержку оказываем тут
Наша база знаний


Вверх

WWW


Offline

Hi-Jacker

 


#3
Оставлено
:

2 мая 2018 г. 20:26:33(UTC)

Hi-Jacker

Статус: Новичок

Группы: Участники

Зарегистрирован: 18.02.2011(UTC)
Сообщений: 6
Откуда: Санкт-Петербург

Автор: Андрей Писарев Перейти к цитате

А что мешает использовать штатные средства, экспортировать сертификат с закрытым ключом и перенести в PFX?

Если кратко, то там стоит СБИС с 88+ юридическими лицами. Ключи сперва хранились на флешке, которая навернулась – это привело к серьезным потерям времени и денег. Сейчас они хранятся в реестре. Ключи постоянно проходят перегенерацию (их в разное время заводили, а не единовременно). Мне нужно организовать резервное копирование. Сделать скрипт, который бы раз в сутки делал резерв веток реестра гораздо проще, чем насиловать флешку. К тому же в целях безопасности USB вообще хотелось бы отключить (это не моя идея).
По предложенной ссылке я уже все посмотрел. По указанным путям у меня ничего нет. Хотя вариант с полным падением ОС, конечно тоже стоит предусмотреть.

Отредактировано пользователем 2 мая 2018 г. 20:29:26(UTC)
 | Причина: Не указана


Вверх


Online

Андрей Писарев

 


#4
Оставлено
:

2 мая 2018 г. 21:08:40(UTC)

Андрей *

Статус: Сотрудник

Группы: Участники

Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,946
Мужчина
Российская Федерация

Сказал «Спасибо»: 455 раз
Поблагодарили: 1889 раз в 1464 постах

Что значит “нет”?
Контейнеры под пользовательской учетной записью или компьютера?

Если последнее – для этого есть отдельная ветка Keys

Техническую поддержку оказываем тут
Наша база знаний


Вверх

WWW


Online

Андрей Писарев

 


#5
Оставлено
:

2 мая 2018 г. 21:14:50(UTC)

Андрей *

Статус: Сотрудник

Группы: Участники

Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,946
Мужчина
Российская Федерация

Сказал «Спасибо»: 455 раз
Поблагодарили: 1889 раз в 1464 постах

HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsKeys – ключи компьютера
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUsers SID-пользователя Keys – ключи пользователя ОС

Техническую поддержку оказываем тут
Наша база знаний


Вверх

WWW


Offline

basid

 


#6
Оставлено
:

2 мая 2018 г. 23:33:57(UTC)

basid

Статус: Активный участник

Группы: Участники

Зарегистрирован: 21.11.2010(UTC)
Сообщений: 962

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 131 раз в 118 постах

Вероятно, лучше учитывать разрядность целевой системы и всегда использовать 32-разрядную версию утилиты reg.exe.

P.S. Проверил, что на 64-разрядной Windows 7:

Код:

%SystemRoot%SysWOW64reg export "HKLMSoftwareCryptoProSettings" файл /y

корректно сохраняет содержимое (нужного) раздела по требуемому пути.

В зависимости от прав (локальный администратор, он же с подъёмом привилегий и система) сохраняются:
* общие разделы и раздел пользователя;
* общие разделы, раздел пользователя и раздел системы;
* общие разделы и разделы всех пользователей
соответственно.

Важно!
Сохранение/восстановление должно делаться через “reg save”/”reg restore”, т.к. текстовый экспорт не сохраняет права доступа.
Сохранение/восстановление пригодно или в рамках конкретной системы или для встроенных и доменных пользователей в рамках конкретного домена.

P.P.S. Если не ошибаюсь, то, как минимум, в десятке можно использовать опцию “reg:32” без необходимости “вычислять” разрядность операционной системы.


Вверх


Online

Андрей Писарев

 


#7
Оставлено
:

3 мая 2018 г. 3:11:29(UTC)

Андрей *

Статус: Сотрудник

Группы: Участники

Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,946
Мужчина
Российская Федерация

Сказал «Спасибо»: 455 раз
Поблагодарили: 1889 раз в 1464 постах

Автор: basid Перейти к цитате

Вероятно, лучше учитывать разрядность целевой системы и всегда использовать 32-разрядную версию утилиты reg.exe.

P.S. Проверил, что на 64-разрядной Windows 7:

Код:

%SystemRoot%SysWOW64reg export "HKLMSoftwareCryptoProSettings" файл /y

корректно сохраняет содержимое (нужного) раздела по требуемому пути.

basid,
у Вас реально ветка в CryptoPro?
а не в “Crypto Pro”?

p.s. ждём копипаст и сообщений – “не работает экспорт”

Техническую поддержку оказываем тут
Наша база знаний


Вверх

WWW


Online

Андрей Писарев

 


#8
Оставлено
:

3 мая 2018 г. 3:16:08(UTC)

Андрей *

Статус: Сотрудник

Группы: Участники

Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,946
Мужчина
Российская Федерация

Сказал «Спасибо»: 455 раз
Поблагодарили: 1889 раз в 1464 постах

Автор: basid Перейти к цитате

Вероятно, лучше учитывать разрядность целевой системы и всегда использовать 32-разрядную версию утилиты reg.exe.

P.S. Проверил, что на 64-разрядной Windows 7:

Код:

%SystemRoot%SysWOW64reg export "HKLMSoftwareCryptoProSettings" файл /y

корректно сохраняет содержимое (нужного) раздела по требуемому пути.

В зависимости от прав (локальный администратор, он же с подъёмом привилегий и система) сохраняются:
* общие разделы и раздел пользователя;
* общие разделы, раздел пользователя и раздел системы;
* общие разделы и разделы всех пользователей
соответственно.

Важно!
Сохранение/восстановление должно делаться через “reg save”/”reg restore”, т.к. текстовый экспорт не сохраняет права доступа.
Сохранение/восстановление пригодно или в рамках конкретной системы или для встроенных и доменных пользователей в рамках конкретного домена.

P.P.S. Если не ошибаюсь, то, как минимум, в десятке можно использовать опцию “reg:32” без необходимости “вычислять” разрядность операционной системы.

Всё хорошо, но:
1) требуются только ключи
2) нельзя переносить “всё, что есть” в Settings (хотя – да, если только для backup)
3) Соблазн экспортировать и не думать с импортом через 32-разрядную версию утилиты reg.exe,
т.е. штатным двойным щелчком – получить на 64х ОС ветку с настройкамиключами не в том месте…

Отредактировано пользователем 3 мая 2018 г. 3:16:50(UTC)
 | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний


Вверх

WWW


Offline

basid

 


#9
Оставлено
:

3 мая 2018 г. 8:27:14(UTC)

basid

Статус: Активный участник

Группы: Участники

Зарегистрирован: 21.11.2010(UTC)
Сообщений: 962

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 131 раз в 118 постах

Автор: Андрей Писарев Перейти к цитате

у Вас реально ветка в CryptoPro?

Нет. Конечно ачипятка.


Вверх


Offline

basid

 


#10
Оставлено
:

3 мая 2018 г. 8:33:27(UTC)

basid

Статус: Активный участник

Группы: Участники

Зарегистрирован: 21.11.2010(UTC)
Сообщений: 962

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 131 раз в 118 постах

Автор: Андрей Писарев Перейти к цитате

Всё хорошо, но:
1) требуются только ключи
2) нельзя переносить “всё, что есть” в Settings (хотя – да, если только для backup)
3) Соблазн экспортировать и не думать с импортом через 32-разрядную версию утилиты reg.exe,
т.е. штатным двойным щелчком – получить на 64х ОС ветку с настройкамиключами не в том месте…

1 и 2: Settings – исключительно для примера. В реальной жизни будет два бэкапа – раздельно для ключей пользователя и компьютера.
3. “И не думать” – штатная ошибка не только сисадмина, но и любого IT-шника.

P.S. Основополагающий принцип:
“Не рыбу, но удочку”
и
“Не держись устава яко слепой стены”.


Вверх

Пользователи, просматривающие эту тему

Guest (2)

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Содержание

  1. Как найти сертификат ЭЦП на компьютере
  2. Файлы сертификатов в проводнике
  3. Просмотр сертификатов через КриптоПРО
  4. Просмотр сертификатов через Certmgr
  5. Доступ к сертификатам через Internet Explorer
  6. Просмотр сертификатов через консоль управления
  7. Другие варианты
  8. Как найти эцп в реестре на компьютере
  9. Когда нужно копировать сертификаты КриптоПРО в реестр
  10. Как скопировать сертификат в реестр КриптоПРО
  11. Установка закрытого ключа в реестр
  12. Где хранится закрытый ключ в реестре Windows
  13. Как скопировать эцп из реестра на флешку
  14. Где хранится на компьютере сертификат электронной подписи
  15. Что такое сертификат пользователя
  16. Как долго нужно хранить документ
  17. Где хранится ЭЦП в реестре
  18. Где хранится сертификат в ОС Windows
  19. Добавление новой ЭЦП
  20. Установка через контейнер
  21. Установка через меню ЛС

Как найти сертификат ЭЦП на компьютере

Электронную подпись можно использовать на сколь угодно компьютерах, в том числе и одновременно. Но для того же переноса сертификата необходимо понимать, где он хранится на самом компьютере и каким образом его можно найти. К тому же, для переноса ЭЦП потребуется не только сам личный сертификат, но и удостоверяющего доверенного центра, который электронную подпись и выдал. Так где хранятся сертификаты ЭЦП на компьютере?

Файлы сертификатов в проводнике

В среде Windows (начиная с Vista и в более поздних версиях операционной системы) абсолютно все пользовательские сертификаты хранятся по адресу C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates, где вместо ПОЛЬЗОВАТЕЛЬ – имя учетной записи, по которой сейчас и работает операционная система. Но там хранятся только открытые сертификаты, доступные только для чтения.

А вот закрытый сертификат ЭЦП не копируется на жесткий диск – он хранится исключительно на защищенном USB-рутокене и используется как раз для генерации открытых ключей (при этом нужно ещё вводить секретный пароль, который предоставляет удостоверяющий центр). Если же физически скопировать открытый сертификат на другой компьютер, то пользоваться им можно будет лишь в том случае, если там же установлен корневой сертификат удостоверяющего центра, выдавшего ЭЦП. В противном случае – сертификат не пройдет проверку подлинности.

Где ещё на компьютере хранится сертификат электронной подписи? Ещё одна копия, для программного использования, хранится в шифрованном виде в папке Windows, но получить доступ туда или даже скопировать сам файл сертификата не получится – операционная система не предоставит таких прав доступа.

Ещё следует учесть, что для просмотра файлов сертификатов пользователь должен обладать правами администратора. Если же он вошел в систему как «Гость», то к системным папкам на диске С (или другом, где установлена сама система) он не сможет получить доступ.

Просмотр сертификатов через КриптоПРО

Как найти сертификат ЭЦП на компьютере через КриптоПРО (программа-дистрибутив, который используется для работы с электронными подписями)? Для этого необходимо:

После этого появится диалоговое окно со списком всех установленных сертификатов на жестком диске. Там же можно посмотреть информацию по каждому из них, удалить из системы, скопировать весь контейнер (связка открытого ключа и сертификата удостоверяющего центра – это позволит пользоваться ЭЦП на другом компьютере).

blok vnimaniaОпять же, для доступа к данному меню необходимо, чтобы у пользователя имелись права администратора (или предоставлена возможность пользоваться программой от администратора ПК). В противном случае – программа выдаст сообщение о невозможности получить доступ к списку установленных в системе сертификатов.

Можно редактировать список сертификатов и непосредственно из программы КриптоПРО (запустить можно из «Панели управления»). Там доступен более широкий функционал для работы с ЭЦП, а также сертификатами удостоверяющих центров.

Просмотр сертификатов через Certmgr

В операционных системах семейства Windows также имеется встроенный менеджер для работы с установленными сертификатами. Через него можно просмотреть и личные ключи, и сертификаты удостоверяющих центров, партнеров Microsoft (для предоставления привилегий определенным программам).

Где на компьютере найти сертификат цифровой подписи при помощи менеджера? Для этого необходимо:

Для запуска менеджера, а также удаления или копирования файлов сертификатов необходимо обладать правами администратора. В противном случае – программа даже не запустится, ссылаясь на недостаточный уровень прав доступа.

Данное приложение также имеет ряд ограничений по работе с шифрованными сертификатами (со специальной кодировкой данных). Поэтому она не всегда корректно отображает все установленные пользовательские цифровые подписи.

Доступ к сертификатам через Internet Explorer

Как найти электронную подпись на компьютере при помощи Internet Explorer? Данный веб-обозреватель имеется в Windows XP и более старших версиях, но может отсутствовать в определенных редакциях Windows 10. При необходимости – его можно бесплатно скачать с официального сайта Microsoft по ссылке https://www.microsoft.com/uk-ua/download/internet-explorer.aspx (необходимо будет указать используемую версию Windows).

Где хранится сертификат ЭЦП и как его найти через Internet Explorer? Необходимо запустить сам веб-обозреватель, далее:

После – появится окно со списком всех установленных в системе сертификатов, в том числе и от сторонних поставщиков программного обеспечения (в отдельной вкладке). Из данного меню можно удалить открытые ключи, но не корневые сертификаты удостоверяющих центров.

Доступ к списку сертификатов в Internet Explorer также можно получить из меню «Центр управления сетями и общим доступом» из «Панели управления» (в левой колонке внизу будет пункт «Свойства обозревателя»).

blok vnimaniaЭтот вариант найти файлы сертификатов на компьютере удобен тем, что позволяет просмотреть их список даже без наличия прав администратора. Но вот удалять их уже не получится (но в большинстве случаев этого и не требуется).

Просмотр сертификатов через консоль управления

Это ещё один встроенный в Windows инструмент, позволяющий на компьютере найти ключ ЭЦП.

Для просмотра сертификатов через консоль управления необходимо выполнить:

Затем также можно выбрать просмотр сертификатов по определенной учетной записи, зарегистрированной в Windows. Чтобы таким методом найти ЭЦП на компьютере также нужно обладать правами администратора.

Через MMC (Просмотр сертификатов в консоли управления) также можно добавлять, удалять, копировать контейнеры с электронной подписью (включая сертификат удостоверяющего центра), но далеко не всем такой метод покажется удобным, так как некоторые команды также придется вводить именно через командную строку. Данный инструмент больше подходит для использования системными администраторами, когда через сервер выполняется настройка прав доступа всех подключенных компьютеров.

Другие варианты

Есть ещё масса других сторонних программ, которые точно так же позволяют работать с сертификатами, установленными в операционной системе. Но вот пользоваться ими не рекомендуется – никто не может гарантировать, что в исходном коде подобного приложения нет команды отправки сертификата на внешний сервер. Единственная сертифицированная в Минкомсвязи программа для работы с электронными подписями – это именно КриптоПРО CSP (на текущий момент актуальны версии 3.5 или старше). Её использование – это своего рода гарантия защиты от возможной компрометации ЭЦП.

Итого, где находится сертификат электронной подписи на компьютере? В системной папке пользователя, а удобней всего с ключами работать при помощи программы КриптоПРО CSP. С её помощью можно совершить быстрый перенос электронной подписи с одного компьютера на другой даже без использования USB-рутокена. А для быстрого просмотра самих ключей или удаления некоторых из них удобней всего использовать Internet Explorer.

Источник

Как найти эцп в реестре на компьютере

kriptoproДобрый день! Уважаемые читатели и гости крупного IT блога рунета pyatilistnik.org. Продолжаем нашу с вами тему с сертификатами и работе с ними. В прошлый раз я вам подробно рассказал, как получить тестовый сертификат криптопро, посмотрите очень интересная заметка. Согласитесь, что для тестирования вам может потребоваться не один сертификат, а гораздо больше, и очень удобно иметь возможность работать с ними, без привязки к физическим токенам, например, на виртуальных машинах Vmware. Для таких задач, есть возможность поместить сертификаты КриптоПРО в реестр Windows, чем мы с вами и займемся.

Когда нужно копировать сертификаты КриптоПРО в реестр

Существует ряд задач, когда удобно иметь вашу ЭЦП подпись в реестре Windows:

1. При тестировании настроенного окружения для торговых площадок, для входа на которые используется ЭЦП подпись.
2. Когда у вас виртуальная инфраструктура и нет возможности, произвести проброс USB устройств по локальной сети
3. Ситуации, когда КриптоПРО не видит USB токена
4. Ситуации, когда USB ключей очень много и нужно работать одновременно с 5-ю и более ключами, примером может служить программа по сдачи отчетности СБИС

Как скопировать сертификат в реестр КриптоПРО

CryptoPRo позволяет производить установку с копирование закрытого ключа (сертификата) в реестр Windows.

И так, у меня есть USB токен SafeNet, на который я выпустил тестовую ЭЦП, ее я буду переносить вместе с закрытым ключом в реестр Windows. Открываем утилиту CryptoPRO с правами администратора.

kak skopirovat sertifikat v reestr kriptopro 01

Переходите на вкладку «Сервис» и нажимаете «скопировать»

kak skopirovat sertifikat v reestr kriptopro 02

У вас откроется окно «Контейнер закрытого ключа», тут вам нужно нажать кнопку «Обзор», что бы выбрать ваш сертификат, который вы хотите скопировать в реестр.

kak skopirovat sertifikat v reestr kriptopro 03

В итоге у вас в поле «Имя ключевого контейнера» отобразиться абракадабровое имя.

Kak skopirovat klyuch v reestr 01

Kak skopirovat klyuch v reestr 02

У вас появится окно с вводом пин-кода от вашего USB токена.

Kak skopirovat klyuch v reestr 03

Теперь вам необходимо задать имя для копируемого сертификата в реестр Windows, КриптоПРО благо, это позволяет. Я назвал его «Копия сертификата в реестре (Семин Иван)»

Zadaem imya sertifikata v reestre

Теперь вам необходимо положить сертификаты КриптоПРО в реестр, для этого выбираем соответствующий пункт и нажимаем «Ок».

sertifikatyi kriptopro v reestre 01

На следующем шаге вам предложат установить новый пароль на ваш контейнер с закрытым ключом, советую установить его и желательно посложнее.

sertifikatyi kriptopro v reestre 02

Установка закрытого ключа в реестр

Теперь когда ваш закрытый ключ находится в реестре, давайте установим личный сертификат. Для этого откройте на вкладке «Сервис» кнопку «Посмотреть сертификат в контейнере»

Ustanovka zakryitogo klyucha v reestr 01

Далее в окне «онтейнер закрытого ключа» нажмите кнопку «Обзор».

Ustanovka zakryitogo klyucha v reestr 03

И выберите сертификат из реестра, он будет с тем именем, что вы ему задавали.

ustanovka sertifikata v reestr kriptopro 02

Ustanovka zakryitogo klyucha v reestr 04

После чего производится установка закрытого ключа в реестр, через соответствующую кнопку.

Ustanovka zakryitogo klyucha v reestr 05

Видим, что сертификат был установлен в хранилище «Личные» текущего пользователя.Как видите, было очень просто скопировать закрытый ключ в реестр операционной системы.

Где хранится закрытый ключ в реестре Windows

skopirovat zakryityiy klyuch v reestr 01

Либо вы можете зайти в свойства Internet Explorer на вкладку «Содержание’. Потом перейти в пункт «Сертификаты», где у вас будут отображаться все ваши SSL сертификаты, и те, что КриптоПРО скопировал в реестр операционной системы.

sertifikatyi kriptopro v reestre

Если нужно найти ветку реестра с закрытым ключом, то я вам приводил уже пример в статье, когда я переносил ЭЦП с компьютера на компьютер.

kak skopirovat rutoken v reestr

Про копирование ЭЦП с закрытыми ключами мы разобрали, теперь ситуация обратная.

Как скопировать эцп из реестра на флешку

Предположим, что у вас стоит задача скопировать контейнер из реестра, так как он уже там, то он экспортируемый, для этого открываем криптопро, «Сервис-Скопировать»skopirovat sertifikat iz reestra na fleshku 01

Выбираете «Обзор» и ваш сертификат из реестра.

skopirovat sertifikat iz reestra na fleshku 02

Задаете ему новое имя, удобное для себя.

skopirovat sertifikat iz reestra na fleshku 03

После чего вас попросят указать флешку, на которую вы будите копировать контейнер с закрытым ключом из реестра.

skopirovat sertifikat iz reestra na fleshku 04

Обязательно задайте новый пароль.

skopirovat sertifikat iz reestra na fleshku 05

Ну и собственно теперь открывайте вашу флешку и лицезрейте перенесенный на него контейнер, он будет состоять из файликов с форматом key.

skopirovat sertifikat iz reestra na fleshku 06

Как видите КриптоПРО, это конвейер, который позволяет легко скопировать сертификат из реестра на флешку или даже дискету, если они еще используются.

Источник

Где хранится на компьютере сертификат электронной подписи

Важная составляющая электронной подписи — сертификат, который не только хранит важную информацию, но и является своеобразным паспортом участника электронного документооборота. Чтобы работа с ЭП не вызывала затруднений, пользователю необходимо знать о том, где хранится электронная подпись и ее сертификат, и как установить или добавить ЭЦП с ключом в хранилище.

Что такое сертификат пользователя

Сертификат цифровой подписи — это бумажный или электронный документ, выданный аккредитованным удостоверяющим центром, и подтверждающий принадлежность ЭЦП конкретному владельцу. В процессе генерации ключа вся информация о его владельце сохраняется, а полученный файл и есть сертификат ключа ЭЦП. Обязательная составляющая файла — открытый ключ и данные о владельце подписи, а также УЦ, выдавшем ЭП.

sertifikat twg

Как долго нужно хранить документ

Сертификат ЭЦП действителен лишь в течение строго установленного периода времени, равного одному году. По прошествии года цифровая подпись теряет свою функциональность и становится обязательной к замене. Вместе с новой ЭП владелец получает и новый сертификат.

Сколько времени нужно хранить сертификат ЭЦП зависит от того, какая информация в нем содержится. Полезный срок действия и содержание документа связаны между собой: чем больше информации, тем полезный срок действия документа меньше. Объясняется это тем, что данные, указанные в документе, могут измениться. Часто владельцы ЭЦП ждут истечения срока действия подписи, чтобы обновить информацию, поэтому минимум информации в электронном документе позволит продлить его актуальность.

В удостоверяющем центре сроки хранения ключа в электронной форме определяются договорными условиями между УЦ и владельцем ЭЦП. В течение срока хранения ключа все участники информационной системы имеют к нему доступ. После аннулирования сроки хранения в УЦ определяются статьей ФЗ о законном сроке исковой давности. После его истечения сертификат исключается из единого реестра ключей ЭЦП и переводится на архивное хранение, которое составляет 5 лет. В течение этого срока выдача копий осуществляется по запросу и в соответствии с действующим законодательством.

На бумажном носителе ключ хранится в течение срока, установленного ФЗ РФ об архивном деле и архивах. С 2003 г. согласно новым поправкам срок хранения составляет 50 лет с момента поступления документа.

Где хранится ЭЦП в реестре

В реестре хранить ключи электронной подписи можно как на обычном ключевом носителе. После переноса они находятся в папках:

SID — это идентификатор пользователя или информационная структура переменной длины, идентифицирующая персональную запись пользователя или группы, ПК или домена. Узнать его можно через командную строку при помощи команды WHOAMI/User:

registry sertifikat polzovatelja jecp

Для удобства пользователя номер можно скопировать в файл на рабочем столе, чтобы каждый раз не выполнять операцию по его проверке.

Где хранится сертификат в ОС Windows

Установка или просмотр корневого или личного сертификата (ЛС) невозможна без знания места хранения подписи в ОС. Все версии Windows помещают ключи ЭЦП в так называемый контейнер, который раздел на часть для пользователя и ПК.

Поменять настройки хранения ключа можно через mmc оснастку, которая выводится комбинацией клавиш WIN+R:

sertifikat polzovatelja jecp Windows Run

В корне консоли комбинацией клавиш CTRL+M через Файл можно добавить или удалить оснастку:

gde hranyatsya sertifikatyi v windows

В открывшемся окне пользователь выбирает поле доступных оснасток, затем «Сертификаты» и нажимает добавление:

gde hranyatsya sertifikatyi v window

Диспетчер позволяет добавить новую оснастку для персональной учетной записи, учетной записи ПК или службы. Если добавляется учетная запись ПК, то в ней есть дополнительные настройки:

gde hranyatsya sertifikatyi v windows 6

Выбрать необходимо локальный ПК, после чего нажать «Готово». Откроется вот такое окно:

gde hranyatsya sertifikatyi v wind

Созданную оснастку нужно сохранить через пункт меню «Файл». Для удобства работы местом сохранения выбирают рабочий стол:

gde hranyatsya sertifikatyi

В корневой консоли область сертификатов разделена на 2 части для пользователя и ПК. Область пользователя содержит несколько папок:

Обычно изначально папка «Личное» не содержит сертификатов. Перенести один сертификат в папку можно через запрос или импорт:

gde hranyatsya sertifikatyi v windows 7 2

Далее необходимо нажать в мастере импортирования «Далее». Нужный сертификат обычно имеет следующий формат:

gde hranyatsya sertifikatyi v windows 7 4

Через вкладку доверенных сертификатов откроется большой список корневых, который необходим для нормальной работы на интернет-пространстве:

gde hranyatsya sertifikatyi v windows 7 4 1

Состав любого из них можно посмотреть через двойной щелчок мыши, а из действий пользователю доступен экспорт для последующей переустановки на другой ПК. Экспорт возможен в разных распространенных форматах:

gde hranyatsya sertifikatyi v windows 7 4 2

Полезной для пользователя будет и папка, содержащая недействительные и просроченные сертификаты. Поскольку их своевременное обновление и замена позволят избежать проблем с работой компьютера.

Добавление новой ЭЦП

Добавить в хранилище сертификатов через меню КриптоПро CSP новый объект можно двумя способами:

Для ОС Windows 7 без установленного SP1 рекомендован второй путь.

Установка через контейнер

Для начала нужно открыть Панель управления ПК, выбрать там КриптоПро и вкладку Сервис, после чего нажать кнопку просмотра:

Image sertifikat polzovatelja jecp

В новом окне через «Обзор» пользователь выбирает нужный контейнер, и подтверждает действие через «ОК»:

Im sertifikat polzovatelja jecp

Если после нажатия «Далее» выходит ошибка о том, что в контейнере закрытых ключей и сертификатов не обнаружен ключ шифрования, то рекомендуется совершить установку вторым методом.

В программе КриптоПро CSP версии 3.6 и выше в открывшемся окне необходимо нажать «Далее», «Установить» и согласиться с предложенными условиями. В иных версиях программы в поле «Сертификат для просмотра» пользователь должен открыть свойства.

Image

Следующий шаг: через вкладку «Общие» перейти к установке сертификата:

Image svedenia

На последних версиях ПО просто выберите хранилище ключей ЭЦП. Обычно после подтверждения действия в автоматическом режиме ключ попадает в папку «Личные»:

Image gotovo

Если все сделано правильно, то появится сообщение об успешном импорте.

Установка через меню ЛС

sertifikat polzovatelja jecp lic

Откроется Мастер установки, в котором сначала пользователь нажимает «Далее», а затем переходит к выбору нужного файла через «Обзор»:

sertifikat polzovatelja jecp mas

Чтобы выбрать путь, нужно открыть хранилище сертификатов, и нажать «Далее». Пароль на хранилище ключей обычно стандартный, и равен комбинации чисел от 1 до 6:

sertifikat polzovatelja jecp pol

Если есть необходимость, то в новом окне можно посмотреть информацию о сертификате, а если нет — можно сразу переходить к следующему шагу:

sertifikat polzovatelja jecp inf

Пользователь должен ввести или указать контейнер закрытого ключа КриптоПро, который содержит искомый электронный документ. Сделать это можно через кнопку «Обзор»:

sertifikat polzovatelja jecp kont

Подтверждает свой выбор пользователь через нажатие «Далее»:

sertifikat polzovatelja jecp vib

Следующий шаг — выбор хранилища, куда будет помещен новый ключ. Для этого в соответствующем окне нажимают «Обзор». В версии КриптоПро 3.6 и выше необходимо также установить флажок напротив пункта об установке сертификата в контейнер:

sertifikat polzovatelja jecfl

Далее нужно выбрать хранилище и подтвердить действие:

Image hran

Если после последующего нажатия «Далее» и «Готово» появилось сообщение о том, что данный сертификат уже имеется на ПК, и его можно заменить на новый с проставленной ссылкой на закрытый ключ, то нужно нажать «Да». При правильно выполненных действиях в течение нескольких секунд появится сообщение об успешной установке ЛС на компьютер.

Работа с электронной цифровой подписью иногда требует обновления или переустановки сертификатов, а также проверки их актуальности. Для этого пользователю необходимо знать и место их хранения в реестре, и в операционной системе и понимать, как можно осуществить установку или экспорт. Обычно процесс поиска интересующего ключа ЭЦП занимает несколько минут и при следовании инструкции не вызывает ошибок или проблем. Если во время установки сертификатов происходят повторяющиеся сбои или системные ошибки, то лучше обратиться в службу технической поддержки для разъяснения ситуации.

Источник

Добавить комментарий