На чтение 11 мин Просмотров 28.2к. Опубликовано
Поскольку с 1 января 2022 года ФНС для подписи документов ввело специальная ЭЦП (электронно-цифровую подпись), которая находится на специальном носителе – рутокене. Сама по себе идея хороша, но действительность как обычно вносит свои коррективы. Дело в том, что подписывают документы зачастую несколько человек (директор, главный бухгалтер, заместитель директора) и возможности передавать рутокен просто нет. Возможность же копировать ключ ФНС не предусматривает. Как быть в такой ситуации и скопировать ключ с рутокена, расскажем в статье.
Содержание
- Что понадобится
- Что такое рутокен
- Проверяем ключ на не экспортируемость
- Копируем рутокен на компьютер или флешку
- Копируем с помощью утилиты Tokens.exe
- Используем КриптоПро CSP
- Общая информация
Что понадобится
Прежде чем приступить к работе по копированию ключа, подготовьте необходимые элементы:
- рутокен с оригиналом ключа;
- второй рутокен
- второй контейнер (флешку) куда будет записана копия ключа.
Что такое рутокен
Рутокен – это сертифицированный накопитель, обладающий дополнительной защитой, что позволяет сохранить конфиденциальные данные. На один рутокен можно записать до тридцати подписей, все зависит от объема памяти конкретного устройства.
Обычное съемное USB устройство (флешка) для постоянного хранения не годиться, поскольку не обладает достаточной защитой, в том числе от копирования информации. Поэтому флешку нужно рассматривать только как временное хранилище для переноса подписи на второй рутокен.
Проверяем ключ на не экспортируемость
Прежде чем начать работу, проверьте, может все же ключ можно экспортировать без лишних усилий с вашей стороны.
Для этого:
Копируем рутокен на компьютер или флешку
Итак, вы выяснили, что ключ имеет статус «Не экспортируемый», но скопировать его нужно. Можно действовать следующими методами:
- воспользоваться утилитой Tokens.exe;
- задействовать КриптоПро CSP;
Копируем с помощью утилиты Tokens.exe
Этот метод также позволяет перенести не экспортируемый ключ на флэшку или скопировать на ПК.
Tokens.exe – является утилитой, которая позволяет копировать ключи с рутокена, имеющие статус «не экспортируемый». Для корректного функционирования программы специалисты рекомендуют устанавливать три дополнения, идущие в комплекте с утилитой.
Обратите внимание:
Начнем:
Далее нужно убрать статус «Экспорт запрещен». Для этого понадобится еще одна программа CertFix.000032.exe. Качаем ее и устанавливаем на ПК.
Действуем следующим образом:
- запускаем CertFix.000032.exe;
- среди загрузившихся сертификатов найдите нужный;
- напротив него будет статус DENIED;
- нажмите на клавишу Shift+клик правой кнопкой мыши;
- откроется меню, где можно из списка выбрать опцию «Сделать экспортируемым»;
- обязательно задайте пароль, после выбора данной опции;
- готово, ключ на флэшке теперь имеет статус «Экспортируемый».
Теперь нужно перенести закрытый ключ с флэшки в реестр ПК. В этом поможет КриптоПро CSP. Откройте программу, в меню «Сервис» нажмите на «Скопировать» > «Копирование контейнера закрытого ключа» > «Обзор» > «Выбор ключевого контейнера» > «Ок» > «Далее» > введите Pin-код контейнера (который установили) > «Ок» > «Введите имя для создаваемого ключевого контейнера» — задайте любое имя > Готово > «Устройства» > «Реестр» > «Ок».
Готово! Теперь можно пользоваться копией ключа, размещенной в реестре.
Используем КриптоПро CSP
Перенести ЭЦП на ПК или флешку поможет сервис КриптоПро CSP.
Что нужно:
Общая информация
Вячеслав Вяткин
Приветствую тебя мой друг! Давай знакомиться?! Я администратор и автор данного сайта. Специалист с 10 летним опытом работы в сфере ИТ-технологий. Проконсультирую вас по настройке: компьютеров, ноутбуков, периферийного оборудования. Помогу решить проблемы в работе операционной системы Windows или компонентов компьютера. Подскажу как настроить ваши гаджеты.
Оцените автора
( 6 оценок, среднее 4.33 из 5 )
Первоначально решение нашел на этом портале: https://itnan.ru/. И действовал по алгоритму, который там был приведен, но с одним исключением: ссылки на две утилиты, необходимые для экспорта «неэкспортируемого ключа», там не работали. Поэтому нашел еще один ресурс, где кроме этих утилит в архивеTokens_CertFix.zip находились и другие инструкции по экспорту. Скачать можно по этой ссылке https://www.upload.ee/files/13892259/Tokens_CertFix.zip.html.
А. Копирование контейнера закрытого ключа на USB-флеш-накопитель.
Перед тем как запустить утилиту Tokens.exe проверил тип носителя контейнера с «неэкспортируемым ключем», т.к. на момент написания статьи имелись следующие экспериментальные сведения о поддерживаемых утилитой Tokens.exe типах носителей:
Рутокен (старый несертифицированный), Рутокен S, Рутокен Lite — поддерживаются;
Рутокен ЭЦП 2.0, JaCarta LT, ESMART Token ГОСТ — на момент написания статьи (январь 2022 года) не поддерживались.
У меня тип носителя был Рутокен Lite.
Поэтому далее действовал по приведенным на порталах инструкциям.
1) Подключил Рутокен и чистый USB-флеш-накопитель к компьютеру.
2) Запустил утилиту Tokens.exe.
Если на данном шаге появилось вот такое сообщение:
Кликните по каждой ссылке (1.CAPICOM, 2.Компонент диагностики Рутокен, 3.Ресурсы СКБ Контура добавлены в надежные узлы, и произведена настройка надежной зоны) и установите эти компоненты .
3) У нужного контейнера нажал «Экспорт».
4) Для экспорта указал путь к USB-флеш-накопителю.
5) Переименовал контейнер. Имя можно задать любое, отличное хотя бы на 1 символ от исходного.
6) Вынул из системника Рутокен и оставил USB-флеш-накопитель
Б. Снятие флага «экспорт запрещён» в скопированном на USB-флеш-накопитель контейнере.
1) Отключил интернет.
2) Запустил утилиту CertFix.000032.exe, загрузился список сертификатов и напротив строки «Поиск» появилась надпись «Загрузка завершена».
3) В списке выделил свой сертификат — справа в колонке экспорта стоял DENIED, нажал Shift и правый(!) клик мышкой, появилось меню с опцией «сделать экспортируемым (файловая система)».
4) Кликнул на эту опцию и задал пароль (обязательно). Готово, ключ в контейнере на флешке приобрел статус «экспортируемый».
В. Копирование контейнера закрытого ключа с USB-флеш-накопителя в реестр.
Делается стандартными средствами через КриптоПро CSP. Можно посмотреть здесь: https://zakupki-32.ru/blog/na-styke-realnogo-i-virtualnogo/pri-podklyuchenii-po-rdp-k-udalennoy-mashine-brauzer-ne-vidit-rutoken.php . Только вместо Рутокена в USB-порт вставляем USB-флеш-накопитель со скопированным на него контейнером закрытого ключа.
Г. Устанавливаем сертификат контейнера закрытого ключа в хранилище сертификатов.
Делается стандартными средствами через КриптоПро CSP: в меню «Сервис» нажать кнопку «Посмотреть сертификаты в контейнере», нажать на «Обзор», в открывшемся окне «Выбор ключевого контейнера» в «Списке ключевых контейнеров» выделить строку, где в столбце «Считыватель» указано «Реестр». Нажать «Ок».
Потом «Далее». В окне «Сертификат для просмотра» нажать «Свойства». В открывшемся окне «Сертификат» нажать «Установить сертификат» и поместить его в хранилище «Личное».
Всё.
Что понадобиться:
- Исходный токен Rutoken Lite (на который записан оригинальный контейнер)
- Второй токен Rutoken Lite (да-да)
- Флешка (хотя по идеи и внешний HDD подойдет)
Последовательность действий:
- Качаем и распаковываем архив (внизу статьи).
- Вставляем в ПК исходный токен Rutoken Lite;
- Из распакованной папки запускаем “Tokens.exe”
- Выбираем наш сертификат и нажимаем “Экспорт”:
- Закрываем “Tokens.exe” и отключаем исходный ключ;
- Вставляем флешку и копируем на неё папку с ключами которую экспортировали выше:
- Из распакованной папки запускаем “CertFix.000032.exe”;
- Тут важное замечание, что CertFix.000032.exe сразу ломится в инет и качает новую версию, выход из ситуации следующий:
- Выключаем инет на станции где проводите манипуляции.
- Блокируйте доступ в интернет приложению вашим firewall.
- Создаем 2 файла пустышки – “CertFixU.exe” и “CertFixU.exe” и даем права только на чтение.
- Тут важное замечание, что CertFix.000032.exe сразу ломится в инет и качает новую версию, выход из ситуации следующий:
- Выбираем наш сертификат (У него ещё стоит пометка в столбце “Экспорт закрытого ключа”- DENIED);
- Зажимаем на клавиатуре “Shift” и нажимаем правую кнопку мыши. Должно появиться всплывающие окно, выбираем “Сделать экспортируемым (файловая система”:
- Закрываем “CertFix.000032.exe”;
- Вставляем в ПК второй токен Rutoken Lite;
- Через КриптоПро делаю копию с флешки на новый ключ;
- Готово
Описание проблемы
Запускаем КриптоПро переходим на вкладку Сервис, там нажимаем кнопку Скопировать и выбираем носитель на который нужно скопировать ЭЦП Инструкцию по копированию ЭЦП в КриптоПро.
Но в этот раз контейнер электронной подписи просто так не скопировался, Вместо этого появилась следующая ошибка: Ошибка копирования контейнера имя контейнера. У вас нет разрешений на
экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка: Ключ не может быть использован в указанном состоянии.
Решение
Дело в том, что контейнер цифровой подписи находится на Рутокене и имеет признак «Неэкспортируемый». Но экспортировать такой контейнер всё же можно. Копирование ЭЦП с Рутокена выполнять нужно с помощью специальной программы — tokens.exe. Скачать эту программу вы можете с сайта контура перейдя по ссылке.
Запустите tokens.exe, после чего эта программа обнаружит все ЭЦП на Рутокене. Возле нужного контейнера нажмите кнопку Экспорт и укажите путь к флеке на которую хотите скопировать контейнер электронной подписи.
После проделанного программа КриптоПро должна увидеть только что скопированный контейнер. Но это ещё не всё. Контейнер ЭЦП вы скопировали на флешку, но он продолжает быть неэкспортируемым. То есть вы не сможете сделать копию контейнера с помощью КриптоПро на другую флешку или в реестр. Чтобы это исправить воспользуемся ещё одной утилитой она также размещена на сайте Контура и называется Certfix.
Запустите Certfix, после чего загрузится список сертификатов. Дальше нужно зажать клавишу SHIFT на клавиатуре и правой кнопкой мыши кликнуть по нужному контейнеру. Появится меню «Сделать экспортируемым».
Если на контейнер указан пароль потребуется его ввести.
Далее можно копировать в реестр или на флешку, с помощью средств КриптоПро.
Скачать всё одним архивом.
Начиная с 2022 года копирование сертификата выданного ФНС запрещено. Я не буду рассматривать правовую сторону этого вопроса, но меню интересовала именно техническая сторона. Собственно, я задался вопросом – можно ли по факту выполнить копирование сертификата ФНС.
В процессе поиска я нашел довольно подробное описание этого процесса. Я попробовал один из этих методов на одном из сертификатов – даже получилось. И решил сделать краткую выжимку.
Мое окружение
Операционная система: Windows 10 Professional X64 RUS.
Крипто Про: КриптоПро CSP 5.0.12000 (Kraken).
ЭЦП на Рутокен Lite.
Необходимые инструменты
Как оказалось, экспорт можно выполнить следующими инструментами:
- Утилита CertFix. Обязательно версии 2.7. В 2.8 уже не получится сделать сертификат экспортируемым.
- Утилита Token.exe.
- Дополнительный USB-накопитель, на который будет выполнен экспорт сертификата.
Копирование сертификата ФНС
На момент подготовки публикации у меня не было под рукой рутокена с ЭЦП для более подробных скриншотов, но постараюсь изложить основную последовательность шагов.
1. Сначала необходимо использовать утилиту Token.exe для экспорта сертификата с рутокена на второй USB накопитель. Запустить от имени администратора. В списке утилиты сертификаты отображаются в соответствии с их цифровыми идентификаторами, а не дружественными именами. Нужно выбрать правильный сертификат.
2. Отключаем накопитель с рутокен.
3. Отключаем доступ в интернет с рабочего места, где будет запускаться CertFix.
4. Затем необходимо использовать утилиту CertFix. Запустить нужно от имени администратора. В списке находим сертификат со второго USB накопителя. Зажимаем Shift и щелкаем правой кнопкой мыши по нужному сертификату. В контекстном меню выбираем пункт “Сделать экспортируемым (файловая система)”.
5. Готово. Проверяем.