Сертификаты криптопро в реестре windows 10

КриптоПро один из наиболее широко используемых криптопровайдеров на территории Российской Федерации, он широко используется в системах электронного документооборота, сдачи отчетности и взаимодействия с государственными органами, поэтому встретить его можно практически в любой организации. По этой причине у системных администраторов часто встает вопрос его переноса на другой ПК. А так как криптография является для многих сложной и непонятной областью, то эта простая задача может вызвать некоторые затруднения.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Если вы ранее не сталкивались с криптографией вообще, то рекомендуем прочитать нашу статью: Введение в криптографию. Общие вопросы, проблемы и решения. Здесь мы не будем углубляться в теорию, но приведем некоторый необходимый ликбез.

В повседневной деятельности широко распространено понятие «сертификат», им оперируют все, от сотрудников удостоверяющих центров, то бухгалтеров, работающих с ЭЦП. Часто можно услышать что-то подобное: «нам купили в бухгалтерию новый компьютер, нужно перенести сертификаты». Но если подходить с точки зрения криптографии, то слово «сертификат» в данном случае употребляется неправильно. Вся современная криптография строится вокруг инфраструктуры открытых ключей (PKI), которая подразумевает наличие у каждого участника ключевой пары: открытого и закрытого ключа.

Закрытый ключ является секретным, с его помощью мы можем подписывать документы, шифровать информацию и т.д. и т.п. Закрытый ключ Усиленной квалифицированной электронной подписи (УКЭП) равнозначен нотариально заверенной подписи и его попадание в чужие руки может привести к самым тяжелым последствиям.

Открытый ключ, дополненный некоторыми дополнительными данными, выпускается в форме сертификата и является публично доступным, с его помощью можно проверить действительность цифровой подписи, выполненной закрытым ключом или убедиться в подлинности участника обмена электронными документами.

Поэтому, когда мы говорим о переносе «сертификатов», то подразумеваем необходимость перенести ключевую пару: закрытый ключ и сертификат, перенос одних только сертификатов не принесет успеха, криптография на новом узле работать не будет.

Выяснив этот момент, перейдем к хранилищам закрытых ключей. КриптоПро предполагает в таком качестве токены, флеш-накопители и системный реестр. Токены являются наиболее защищенными устройствами, извлечь закрытый ключ из них невозможно, и вы можете не опасаться несанкционированного копирования (для этого закрытый ключ должен быть помечен как неэкспортируемый). Флеш-накопители представляют некий компромисс между безопасностью и мобильностью, а реестр удобен в тех случаях, когда на одном ПК нужно одновременно работать с большим количеством ключей. И именно с ним связаны определенные сложности при переносе на другой узел.

Экспорт ключей и сертификатов

Для того, чтобы правильно экспортировать закрытые ключи, нам нужно выяснить идентификатор безопасности (SID) текущего пользователя (который работает с ЭЦП), это можно сделать командной:

wmic useraccount where name='%username%' get sid

Затем откроем редактор реестра и перейдем в ветку для 32-битных систем:

HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Users

для 64-битных систем:

\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users

Найдем и раскроем раздел с SID текущего пользователя и экспортируем оттуда ветку Keys.

Обратите внимание, что данная ветка содержит закрытые ключи, поэтому следует принять все меры безопасности и не передавать файл экспорта по открытым каналам связи и вообще исключить к нему несанкционированный доступ посторонних лиц.

После чего скопируем все сертификаты, расположенные по пути

%USERPROFILE%\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates

Это открытые ключи, никакой секретности они не представляют, поэтому просто копируем их любым доступным способом.

Импорт ключей и сертификатов

Прежде всего установим на новый узел КриптоПро, обратите внимание, что переносить ключи и сертификаты следует между одинаковыми версиями. В противном случае либо обновите версию КриптоПро на старой системе, либо установите старую версию на новой и обновите ее уже после переноса ключевых пар.

Затем снова узнаем SID пользователя, который будет работать с ЭЦП, если это текущий пользователь, то снова выполните:

wmic useraccount where name='%username%' get sid

В противном случае:

wmic useraccount where name='Name' get sid

где Name — имя пользователя.

После чего откройте на редактирование файл реестра с экспортированными закрытыми ключами и замените в нем все вхождения старого SID на SID нового пользователя.

Сохраните файл и импортируйте его в реестр. Закрытые ключи перенесены, файл переноса в целях безопасности следует удалить.

Следующим шагом скопируйте сохраненные сертификаты в

%USERPROFILE%\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates

После чего можно устанавливать и настраивать приложения работающие с криптографией, все будет работать.

Как быть если доступ к старой системе невозможен?

Теория — это хорошо, но практика может подкинуть самые неожиданные ситуации. Как быть, если доступ к старой системе невозможен? Скажем вышла из строя материнская плата или серьезно повреждена операционная система?

Все что нам нужно в таком случае — это доступ к файловой системе старой системы. Вы можете как напрямую подключить жесткий диск к новой системе, так и загрузиться при помощи консоли восстановления или любого более продвинутого инструмента, скажем MSDaRT.

С копированием сертификатов проблемы возникнуть не должно, их хранилище простая папка на диске, а вот с хранилищем закрытых ключей в реестре немного сложнее. Но не будем забывать, что системный реестр тоже хранится в файлах на диске. Вам следует любым доступным образом скопировать файл SOFTWARE из C:\Windows\System32\config

Затем на целевой системе откройте редактор реестра, перейдите в раздел HKEY_LOCAL_MACHINE и через Файл — Загрузить куст подключите скопированный из старой системы раздел реестра. Дайте ему осмысленное имя, скажем OLD_SOFTWARE.

После чего пройдите в раздел с закрытыми ключами (с учетом новой точки монтирования) и выполните экспорт ветки Keys.

Дальнейшие действия ничем не отличаются от описанных нами в разделе Импорт ключей и сертификатов.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Hi-Jacker	#1 Оставлено : 2 мая 2018 г. 16:53:57(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 18.02.2011(UTC) Сообщений: 6 Откуда: Санкт-Петербург	Есть алгоритм действий по переносу контейнера с сертификатом через реестр (нет возможности использовать другие способы)? То есть есть Windows 8.1 x64 с КриптоПро 4.0 с ключом в реестре. Нужно его экспортировать из реестра и импортировать уже в реестр Windows 10 x64 тоже с КриптоПро 4.0. Подскажите чего и как нужно делать?

Андрей Писарев	#2 Оставлено : 2 мая 2018 г. 19:25:55(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,195 Сказал «Спасибо»: 464 раз Поблагодарили: 1964 раз в 1518 постах	Здравствуйте. Автор: Hi-Jacker Есть алгоритм действий по переносу контейнера с сертификатом через реестр (нет возможности использовать другие способы)? То есть есть Windows 8.1 x64 с КриптоПро 4.0 с ключом в реестре. Нужно его экспортировать из реестра и импортировать уже в реестр Windows 10 x64 тоже с КриптоПро 4.0. Подскажите чего и как нужно делать? А что мешает использовать штатные средства, экспортировать сертификат с закрытым ключом и перенести в PFX? В Личном хранилище — правой кнопкой -> Все задачи -> Экспортировать… + отметить «вместе с закрытым ключом». Ваш вариант: По переносу через reg-файл — экспортировать в файл ветку с контейнером, изменить в файле SID пользователя, который на второй ОС и импортировать reg-файл. Подробнее можете почитать здесь вместе с инструкцией.
Техническую поддержку оказываем тут Наша база знаний
	WWW

Hi-Jacker	#3 Оставлено : 2 мая 2018 г. 20:26:33(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 18.02.2011(UTC) Сообщений: 6 Откуда: Санкт-Петербург	Автор: Андрей Писарев А что мешает использовать штатные средства, экспортировать сертификат с закрытым ключом и перенести в PFX? Если кратко, то там стоит СБИС с 88+ юридическими лицами. Ключи сперва хранились на флешке, которая навернулась — это привело к серьезным потерям времени и денег. Сейчас они хранятся в реестре. Ключи постоянно проходят перегенерацию (их в разное время заводили, а не единовременно). Мне нужно организовать резервное копирование. Сделать скрипт, который бы раз в сутки делал резерв веток реестра гораздо проще, чем насиловать флешку. К тому же в целях безопасности USB вообще хотелось бы отключить (это не моя идея). По предложенной ссылке я уже все посмотрел. По указанным путям у меня ничего нет. Хотя вариант с полным падением ОС, конечно тоже стоит предусмотреть. Отредактировано пользователем 2 мая 2018 г. 20:29:26(UTC)  | Причина: Не указана

Андрей Писарев	#4 Оставлено : 2 мая 2018 г. 21:08:40(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,195 Сказал «Спасибо»: 464 раз Поблагодарили: 1964 раз в 1518 постах	Что значит «нет»? Контейнеры под пользовательской учетной записью или компьютера? Если последнее — для этого есть отдельная ветка Keys
Техническую поддержку оказываем тут Наша база знаний
	WWW

Андрей Писарев	#5 Оставлено : 2 мая 2018 г. 21:14:50(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,195 Сказал «Спасибо»: 464 раз Поблагодарили: 1964 раз в 1518 постах	HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Keys — ключи компьютера HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\ SID-пользователя \Keys — ключи пользователя ОС
Техническую поддержку оказываем тут Наша база знаний
	WWW

basid	#6 Оставлено : 2 мая 2018 г. 23:33:57(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 995 Сказал(а) «Спасибо»: 6 раз Поблагодарили: 134 раз в 120 постах	Вероятно, лучше учитывать разрядность целевой системы и всегда использовать 32-разрядную версию утилиты reg.exe. P.S. Проверил, что на 64-разрядной Windows 7: Код: %SystemRoot%\SysWOW64\reg export "HKLM\Software\CryptoPro\Settings" файл /y корректно сохраняет содержимое (нужного) раздела по требуемому пути. В зависимости от прав (локальный администратор, он же с подъёмом привилегий и система) сохраняются: * общие разделы и раздел пользователя; * общие разделы, раздел пользователя и раздел системы; * общие разделы и разделы всех пользователей соответственно. Важно! Сохранение/восстановление должно делаться через «reg save»/»reg restore», т.к. текстовый экспорт не сохраняет права доступа. Сохранение/восстановление пригодно или в рамках конкретной системы или для встроенных и доменных пользователей в рамках конкретного домена. P.P.S. Если не ошибаюсь, то, как минимум, в десятке можно использовать опцию «reg:32» без необходимости «вычислять» разрядность операционной системы.

Андрей Писарев	#7 Оставлено : 3 мая 2018 г. 3:11:29(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,195 Сказал «Спасибо»: 464 раз Поблагодарили: 1964 раз в 1518 постах	Автор: basid Вероятно, лучше учитывать разрядность целевой системы и всегда использовать 32-разрядную версию утилиты reg.exe. P.S. Проверил, что на 64-разрядной Windows 7: Код: %SystemRoot%\SysWOW64\reg export "HKLM\Software\CryptoPro\Settings" файл /y корректно сохраняет содержимое (нужного) раздела по требуемому пути. basid, у Вас реально ветка в CryptoPro? а не в «Crypto Pro»? p.s. ждём копипаст и сообщений — «не работает экспорт»
Техническую поддержку оказываем тут Наша база знаний
	WWW

Андрей Писарев	#8 Оставлено : 3 мая 2018 г. 3:16:08(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,195 Сказал «Спасибо»: 464 раз Поблагодарили: 1964 раз в 1518 постах	Автор: basid Вероятно, лучше учитывать разрядность целевой системы и всегда использовать 32-разрядную версию утилиты reg.exe. P.S. Проверил, что на 64-разрядной Windows 7: Код: %SystemRoot%\SysWOW64\reg export "HKLM\Software\CryptoPro\Settings" файл /y корректно сохраняет содержимое (нужного) раздела по требуемому пути. В зависимости от прав (локальный администратор, он же с подъёмом привилегий и система) сохраняются: * общие разделы и раздел пользователя; * общие разделы, раздел пользователя и раздел системы; * общие разделы и разделы всех пользователей соответственно. Важно! Сохранение/восстановление должно делаться через «reg save»/»reg restore», т.к. текстовый экспорт не сохраняет права доступа. Сохранение/восстановление пригодно или в рамках конкретной системы или для встроенных и доменных пользователей в рамках конкретного домена. P.P.S. Если не ошибаюсь, то, как минимум, в десятке можно использовать опцию «reg:32» без необходимости «вычислять» разрядность операционной системы. Всё хорошо, но: 1) требуются только ключи 2) нельзя переносить «всё, что есть» в Settings (хотя — да, если только для backup) 3) Соблазн экспортировать и не думать с импортом через 32-разрядную версию утилиты reg.exe, т.е. штатным двойным щелчком — получить на 64х ОС ветку с настройками\ключами не в том месте… Отредактировано пользователем 3 мая 2018 г. 3:16:50(UTC)  | Причина: Не указана
Техническую поддержку оказываем тут Наша база знаний
	WWW

basid	#9 Оставлено : 3 мая 2018 г. 8:27:14(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 995 Сказал(а) «Спасибо»: 6 раз Поблагодарили: 134 раз в 120 постах	Автор: Андрей Писарев у Вас реально ветка в CryptoPro? Нет. Конечно ачипятка.

basid	#10 Оставлено : 3 мая 2018 г. 8:33:27(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 995 Сказал(а) «Спасибо»: 6 раз Поблагодарили: 134 раз в 120 постах	Автор: Андрей Писарев Всё хорошо, но: 1) требуются только ключи 2) нельзя переносить «всё, что есть» в Settings (хотя — да, если только для backup) 3) Соблазн экспортировать и не думать с импортом через 32-разрядную версию утилиты reg.exe, т.е. штатным двойным щелчком — получить на 64х ОС ветку с настройками\ключами не в том месте… 1 и 2: Settings — исключительно для примера. В реальной жизни будет два бэкапа — раздельно для ключей пользователя и компьютера. 3. «И не думать» — штатная ошибка не только сисадмина, но и любого IT-шника. P.S. Основополагающий принцип: «Не рыбу, но удочку» и «Не держись устава яко слепой стены».

Пользователи, просматривающие эту тему

Guest

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

КриптоПро CSP — это средство криптографической защиты информации (СКЗИ). Оно создаёт электронную подпись, шифрует и защищает передаваемые данные. У программы есть пробный период, после которого необходимо купить лицензию.

Лицензия выдаётся на специальном бланке. Её вводят при первичной или повторной установке программы. Случается, что операционную систему (ОС) компьютера требуется переустановить, а бланк с номером лицензии утерян. В этом случае пользователь может посмотреть номер ключа лицензии на ПК.

Ниже рассмотрим, где хранится ключ КриптоПро и как его посмотреть.

Где хранится лицензия КриптоПро

Лицензия программы хранится в реестре Windows. Чтобы посмотреть ключ КриптоПро в реестре, требуется зайти в редактор реестра. В нём лицензию можно скопировать или ввести её номер.

Что такое редактор реестра

Реестр Windows — это база данных, которая хранит параметры и настройки операционной системы. Он содержит в себе абсолютно все сведения, касающиеся установленного оборудования и программ: информацию об ОС, о профилях пользователей, типах создаваемых документов, свойствах папок и значках, оборудовании и портах. В том числе в реестре содержится номер лицензии установленного СКЗИ КриптоПро CSP.

Как зайти в реестр

Зайти в реестр, где хранятся ключи КриптоПро, просто так не получится. Это делается только через специальную программу — редактор реестра. Это встроенный компонент ОС Windows. Запустить его можно двумя способами, используя команду Regedit: через утилиту «Выполнить» или меню «Пуск».

Как открыть редактор реестра через утилиту «Выполнить»

Чтобы запустить редактор реестра потребуется:

1. Сочетанием клавиш Win+R открыть консоль «Выполнить».
2. В строке «Открыть:» ввести команду: regedit.
3. Нажать «ОК».

Как открыть редактор реестра через меню «Пуск»

Чтобы открыть редактор реестра другим способом, пользователю необходимо:

1. Открыть меню «Пуск».
2. В строке поиска ввести: regedit.
3. Запустить редактор реестра.

Где искать ключ от КриптоПро в реестре

После того как редактор реестра запущен, пользователю необходимо перейти в ветку реестра, которая соответствует установленной версии КриптоПро CSP:

• для КриптоПро CSP 3.6:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\05480A45343B0B0429E4860F13549069\InstallProperties;
• для КриптоПро CSP 3.9:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\68A52D936E5ACF24C9F8FE4A1C830BC8\InstallProperties;
• для КриптоПро CSP 4.0:
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7AB5E7046046FB044ACD63458B5F481C\InstallProperties;
• для КриптоПро CSP 5.0:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\08F19F05793DC7340B8C2621D83E5BE5\InstallProperties.

Далее:

1. Нажать строку «ProductID»;
2. В поле «Значение» будет указан серийный номер требуемой лицензии КриптоПро CSP.

После этого пользователь записывает ключ, переустанавливает ОС и устанавливает КриптоПро с использованием своего ключа лицензии.

Всем известно, что ЭЦП выдается только на год. При получении нового сертификата контейнер закрытого ключа и сертификат записывают на флешку и передают её владельцу. Как правило, держать носитель с ЭЦП постоянно в компьютере не всем удобно. Поэтому часто пользователи просто копируют ЭЦП на компьютер и забывают про флешку, пока она снова не понадобится. Но что делать, если старых сертификатов ЭЦП в компьютере и реестре скопилось много, и отыскать актуальный уже проблематично? В этой статье мы расскажем, как удалить ЭЦП с компьютера и оставить только актуальные действующие сертификаты ЭЦП. Если не получается удалить ЭЦП с компьютера или возникнет проблема, обращайтесь к нам за помощью. Мы будем рады вам помочь!

Как удалить ЭЦП с компьютера при помощи системной программы Windows?

Благодаря этому способу вы сможете удалить сертификаты с компьютера, так что они не будут предлагаться при входе на государственные сайты или при подписании документов. Вы сможете сразу использовать актуальную ЭЦП.

1. Запустите приложение «Сертификаты пользователя».
   1. В поиске на панели задач Windows 10 (нажмите кнопку с логотипом Windows + S) напишите «Сертификаты пользователя» и запустите приложение.
   2. Запустите приложение «Выполнить» (нажмите кнопку с логотипом Windows + R). Напишите в строке certmgr.msc и нажмите кнопку «ОК».
2. Откроется окно со всеми сертификатами на компьютере текущего пользователя.
3. Перейдите в раздел «Личное», подраздел «Сертификаты».
4. В правом окне выделите сертификаты, срок действия которых уже истёк и нажмите на кнопку с крестиком «Удалить».

1. Появится окно с предупреждением «Расшифровать данные, зашифрованные с помощью этих сертификатов, будет невозможно. Вы действительно хотите удалить сертификаты». Нажмите кнопку «Да», если согласны удалить устаревшие сертификаты ЭЦП из реестра.

Как удалить ЭЦП с компьютера при помощи приложения «Инструменты КриптоПро»?

1. Запустите приложение «Инструменты КриптоПро» (если у вас установлен КриптоПро 5 версии).
2. Перейдите в раздел «Сертификаты» и в правом окне выберите один устаревший сертификат. Нажмите кнопку «Удалить сертификат».

1. Появится предупреждение с вопросом: «Вы действительно хотите удалить этот сертификат?» Нажмите кнопку «Да».

1. Повторите вышеописанные действия для других устаревших сертификатов ЭЦП, так через приложение «Инструменты КриптоПро» можно удалить только один сертификат за раз.

Как удалить контейнеры закрытых ключей ЭЦП с компьютера при помощи КриптоПро CSP?

Удаление контейнеров закрытых ключей ЭЦП обычно не требуется, но если вы решили удалить ЭЦП с компьютера, то почему бы и не удалить контейнеры закрытых ключей этих ЭЦП? Будем чистить всё!

1. Запустите приложение КриптоПро CSP.
2. Извлеките носитель с ЭЦП из порта USB во избежание удаления ЭЦП с флешки.
3. Перейдите во вкладку «Сервис» и в разделе «Контейнер закрытого ключа» нажмите кнопку «Удалить».

1. Откроется новое окно «Удаление контейнера закрытого ключа». Нажмите кнопку «Обзор». Поиск устаревших сертификатов будет затруднён, так как будет отображаться только название контейнера закрытого ключа, без указания срока действия, издателя и владельца сертификата. Поэтому заранее посмотрите, как называются контейнеры соответствующих сертификатов.

1. В открывшемся окне выберите контейнер закрытого ключа с устаревшей ЭЦП и нажмите кнопку «ОК».

1. После этого появится предупреждение о том, что «будет произведено удаление всех закрытых ключей и сертификатов контейнера. Контейнер перестанет существовать, восстановить ключи с этого контейнера будет невозможно. Продолжить?» Нажмите кнопку «Да».

1. Потом появится новое окно с информацией о том, что контейнер был успешно удален. Нажмите кнопку «ОК».

1. Повторите ранее описанные действия для удаления других устаревших контейнеров закрытых ключей ЭЦП из реестра КриптоПро.

Получилось ли удалить ЭЦП с компьютера?

Расскажите в комментариях 😉