Как найти эцп в криптопро csp

Часто к нам обращаются с вопросом, как установить сертификат через КриптоПpo CSP. Ситуации бывают разные: сменился директор или главбух, получили новый сертификат в удостоверяющем центре и т.п. Раньше все работало, а теперь нет. Рассказываем, что нужно делать, чтобы установить личный цифровой сертификат на компьютер.

Вы можете установить личный сертификат двумя способами:

1. Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»

2. Через меню КриптоПро CSP «Установить личный сертификат»

Если на рабочем месте используется операционная система Windows 7 без SP1, то устанавливать сертификат следует по рекомендациям варианта № 2.

Вариант № 1. Устанавливаем через меню «Просмотреть сертификаты в контейнере»

Чтобы установить сертификат:

1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Просмотреть сертификаты в контейнере”.

2. В открывшемся окне нажмите на кнопку “Обзор”. Выберите контейнер и подтвердите свой выбор кнопкой ОК.

3. В следующем окне нажмите “Далее”.

Если появится сообщение “В контейнере закрытого ключа отсутствует открытый ключ шифрования”, перейдите к установке цифрового сертификата по варианту № 2.

4. Если на вашем компьютере установлена версия “КриптоПро CSP” 3.6 R2 (версия продукта 3.6.6497) или выше, то в открывшемся окне нажмите на кнопку “Установить”. После этого согласитесь с предложением заменить сертификат.

Если кнопка “Установить” отсутствует, в окне “Сертификат для просмотра” нажмите кнопку “Свойства”.

5. В окне “Сертификат” — > вкладка “Общие” нажмите на кнопку “Установить сертификат”.

6. В окне “Мастер импорта сертификатов” выберите “Далее”.

7. Если у вас уставлена версия “КриптоПро CSP” 3.6, то в следующем окне достаточно оставить переключатель на пункте “Автоматически выбрать хранилище на основе типа сертификата” и нажать “Далее”. Сертификат будет автоматически установлен в хранилище “Личные”.

8. В следующем окне нажмите “Далее”, затем “Готово” и дождитесь сообщения об успешной установке сертификата: “Импорт успешно выполнен”.

Вариант 2. Устанавливаем через меню «Установить личный сертификат»

Для установки вам понадобится, собственно, сам файл сертификата (с расширением .cer). Он может находиться, например, на дискете, на токене или на жестком диске компьютера.

Чтобы установить сертификат:

1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Установить личный сертификат”.

2. В окне “Мастер установки личного сертификата” нажмите на кнопку “Далее”. В следующем окне, чтобы выбрать файл сертификата, нажмите “Обзор”.

3. Укажите путь к сертификату и нажмите на кнопку “Открыть”, затем “Далее”.

4. В следующем окне вы можете просмотреть информацию о сертификате. Нажмите “Далее”.

5. На следующем шаге введите или укажите контейнер закрытого ключа, который соответствует выбранному сертификату. Для этого воспользуйтесь кнопкой “Обзор”.

6.  Выбрав контейнер, нажмите “Далее”.

7. Дальше вам необходимо выбрать хранилище, куда будет установлен сертификат. Для этого в окне “Выбор хранилища сертификатов” нажмите на кнопку “Обзор”.

Если у вас установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, поставьте флаг “Установить сертификат в контейнер”.

8. Выберите хранилище “Личные” и нажмите ОК.

9. Хранилище вы выбрали. Теперь нажмите “Далее”, затем — “Готово”. После этого может появиться сообщение:

В этом случае нажмите “Да”.

10.  Дождитесь сообщения об успешной установке личного сертификата на компьютер.

Все, можно подписывать документы, используя новый сертификат.

Как скопировать электронную подписьПодписать документ с помощью ITCOM КриптоДок одной, двумя или несколькими электронными подписями

Для корректной работы с электронной подписью пользователю необходимы определённые программы. На рабочий компьютер устанавливают средство криптографической защиты информации (СКЗИ) и специальный плагин. Из самых популярных таких программ можно выделить КриптоПро CSP и КриптоПро ЭЦП Browser plug-in. Они взаимодействуют практически со всеми операционными системами. Для их установки пользователю требуется:

1. Скачать дистрибутив.
2. Закрыть работающие приложения.
3. Сохранить и запустить установочный файл.
4. Следовать подсказкам мастера установки.
5. Ввести номер лицензии.
6. Перезагрузить ПК.

После перезагрузки компьютера программы требуется запустить и настроить. В статье приведена подробная инструкция, как это сделать в операционной системе Windows.

Как настроить КриптоПро на Windows

Настройка КриптоПро происходит в несколько этапов. Ниже расскажем, как настроить КриптоПро CSP и КриптоПро ЭЦП Browser plug-in. А именно, научимся добавлять сайт в список доверенных и экспортировать файл открытого ключа разными способами.

Добавление сайта в список доверенных

КриптоПро запрашивает разрешение на взаимодействие с сайтом (где *** — название сайта). Для подтверждения доступа пользователь нажимает кнопку «ОК».

Если пользователь пользуется определённым сайтом постоянно, его можно освободить от данных действий. Чтобы внести адрес сайта в список доверенных, необходимо:

1. Нажать на панели управления «Пуск» → «Все программы» → «КриптоПро» → «Настройки ЭЦП Browser Plug-in».



2. Выбрать пункт настройки ЭЦП Browser Plug-in.
3. На странице «Настройки КриптоПро ЭЦП Browser Plug-in» в графе «Добавить узел» указать требуемый адрес.
4. Нажать кнопку с иконкой в виде крестика.



5. Далее «Сохранить» и перезапустить браузер.

После данных действий доступ будет осуществляться автоматически без запроса.

Экспорт файла открытого ключа из хранилища «Личные»

Для экспорта требуется:

1. Нажать одновременно клавиши Win + R.
2. Ввести пароль администратора или подтвердить пароль в случае запроса.
3. В диалоговом окне нажать «Выполнить» и ввести: certmgr.msc.



4. Нажать «ОК»
5. В окне «Сертификаты» выбрать из списка требуемый сертификат и нажать на него правой кнопкой мыши.
6. Выбрать «Все задачи», далее «Экспорт».

Важно! Если в списке нет необходимого сертификата: перейти к пункту «Экспорт файла открытого ключа с помощью КриптоПро CSP».



7. В окне «Мастер экспорта сертификатов» нажать «Далее».
8. Выбрать пункт «Нет, не экспортировать закрытый ключ» и нажать «Далее».



9. В окне «Мастер экспорта сертификатов» выбрать пункт «Файлы в DER-кодировке X.509 (.CER)» и нажать «Далее».



10. Выбрать «Файлы в DER-кодировке X.509 (.CER)» и нажать «Далее».
11. В открывшемся окне нажать «Обзор». После указания имени и каталога для сохранения файла нажать «Сохранить».



12. В открывшемся окне нажать «Далее» и «Готово».

После указанных действий появится уведомление о завершении экспорта сертификата.

Экспорт файла открытого ключа с помощью «КриптоПро CSP»

Для экспорта файла открытого ключа электронной подписи пользователю необходимо:

• Открыть меню «Пуск» на панели управления и выбрать «Панель управления» → «КриптоПро CSP».
• Во вкладке «Сервис» нажать «Просмотреть сертификаты в контейнере».



• В открывшемся окне нажать «Обзор».
• Выбрать требуемый контейнер и нажать «Ок».



• В открывшемся окне нажать «Далее».

Важно! Если появится уведомление «В контейнере закрытого ключа отсутствует открытый ключ шифрования», необходимо обратиться в службу поддержки УЦ, выпустившего сертификат.

• В окне «Сертификаты в контейнере закрытого ключа» нажать «Свойства».



• В открывшемся файле выбрать вкладку «Состав» и нажать «Копировать в файл».



• В открывшемся окне «Мастер экспорта сертификатов» нажать «Далее».
• Выбрать «Нет, не экспортировать закрытый ключ» и нажать «Далее».



• В окне «Мастер экспорта сертификатов» выбрать «Файлы в DER-кодировке X.509 (.CER)» и нажать «Далее».



• Нажать «Обзор», после указания имени и каталога для сохранения файла, нажать «Сохранить».



• В открывшемся окне нажать «Далее» и «Готово».
• Появится уведомление об успешном экспорте сертификата.

Настройка рабочего места КриптоПро CSP 5.0

Подключение КриптоПро к электронной подписи в версии КриптоПро CSP 5.0 происходит немного иначе. Рассмотрим, какие действия требуется выполнить для установки облачного сертификата электронной подписи:

Установка сертификата

1. Запустить программу «Инструменты КриптоПро» из списка всех программ.



2. Перейти во вкладку «Облачный провайдер».
3. Указать адрес сервера авторизации и сервера DSS. Данные адреса получают в удостоверяющем центре, выпустившим облачную ЭЦП. Строка «Уникальное имя» заполняется автоматически. После этого нажать на «Установить сертификаты».



4. Ввести логин пользователя и нажать «Далее».



5. Ввести пароль и нажать «Войти».



Важно! Логин и пароль пользователя предоставляет удостоверяющий центр, выпустивший сертификат ЭЦП.

6. Выбрать один из доступных методов аутентификации.



7. В интерфейсе программы «Инструменты КриптоПро» появится уведомление об успешной установке.

Проверка работоспособности

1. Перейти во вкладку «Создание подписи».
2. Выбрать требуемый облачный сертификат и любой файл для подписи.
3. Нажать «Подписать».



4. Далее понадобится войти в сервис электронной подписи, указав свой логин и пароль.
5. Появится уведомление об успешном создании подписи.

Облачная электронная подпись полностью готова к работе.

Где купить КриптоПро

КриптоПро CSP можно скачать на официальном сайте разработчика. Перед этим необходимо пройти регистрацию на сайте cryptopro.ru. По истечении трёх месяцев понадобится купить лицензию. КриптоПро Browser Plug-in предоставляется разработчиком бесплатно.

Если электронную подпись нужно использовать на нескольких компьютерах или скопировать сертификат на запасной носитель, то необходимо знать, где ее искать. Обычно сертификаты хранятся в одном месте, но в зависимости от типа используемой операционной системы путь к хранилищу может быть разным.

Где хранится ЭЦП на компьютере

Найти сертификат ключа электронной подписи на ОС Windows Vista и выше можно по адресу: C:Users/ПОЛЬЗОВАТЕЛЬ/App/Data/Roaming/MicrosoftSystem/Certificates. Где «‎Пользователь» — это название учетной записи ПК. В целях безопасности система сохраняет в данной папке только открытый, т.е. доступный всем, ключ ЭЦП. Закрытый ключ не копируется на жесткий диск и хранится на токене. Используется он для генерации открытых ключей.

Для программного пользования открытый ключ хранится в папке Windows в зашифрованном виде. Скопировать этот файл не получится, т.к. система не дает права доступа к нему. Просмотр установленных сертификатов возможен только администратор ПК.

Сертификат ЭЦП имеет формат .cer или .csr, и занимает несколько КВ памяти. В операционных системах MacOS и Linux формат файла не меняется, поскольку является единым для использования на территории РФ.

Как посмотреть сертификат ЭЦП

Посмотреть установленные сертификаты можно при помощи Internet Explorer, Certmgr, консоль управления или КриптоПро. Пользоваться другими компьютерными программами не рекомендуется: они могут иметь встроенную команду отправки ключа ЭЦП на сторонний сервер, что приведет к компрометации подписи и невозможности ее использования.

Через КриптоПро

Как найти сертификат ЭЦП на компьютере при помощи КриптоПро:

1. открыть «‎Пуск»;
2. через вкладку «‎Все программы» перейти в «‎КриптоПро»;
3. выбрать вкладку «‎Сертификаты».

Этим способом могут воспользоваться пользователи или администраторы ПК (если пользователю будет отказано в доступе, необходимо дополнительно запросить права администратора). В открывшемся окне будет список всех сертификатов, установленных на данном ПК. В содержащем сертификаты хранилище, можно посмотреть информацию по каждому, скопировать контейнер закрытых ключей КриптоПро на другой компьютер, внешний носитель или удалить недействительный ключ ЭЦП.

Через Certmgr

Найти файл сертификата можно и при помощи встроенного менеджера, который присутствует во всех ОС Windows. Через него можно не только посмотреть все личные сертификаты, но и сертификаты УЦ и партнеров Microsoft.

Метод может использоваться только администратором ПК. Для просмотра нужно:

1. открыть «‎Пуск»;
2. ввести команду certmgr.msc в строку поиска и нажать Enter;
3. в левой колонке открывшегося окна будет список личных и корневых сертификатов.

С шифрованными сертификатами приложение работает ограниченно и не всегда корректно отражает все электронные подписи, установленные пользователем.

Через Internet Explorer

Интернет-браузер IE входит в комплектацию всех ОС семейства Windows XP и выше и позволяет также найти сертификаты ЭЦП на компьютере. Для просмотра нужно:

1. запустить браузер;
2. через «‎Меню» перейти в «‎Свойства браузера»;
3. в новом окне выбрать вкладку «‎Содержание»;
4. выбрать «‎Сертификаты».

Далее откроется окно с перечнем всех сертификатов, установленных пользователем и сторонними поставщиками ПО. В данном меню возможен перенос ключей и сертификатов на внешний носитель, удаление открытых ключей. Удаление корневых сертификатов УЦ через меню IE невозможно.

Через консоль управления

Просмотр сертификатов в ОС Windows через консоль управления запускается в несколько этапов:

1. пользователь открывает командную строку;
2. вводит команду mmc и нажимает Enter;
3. нажимает на «‎Файл» и «‎Добавить/удалить оснастку cryptopro»;
4. выбирает последовательно «‎Добавить» и «Добавить изолированную оснастку»;
5. выбирает «Сертификаты».

Дополнительно можно просмотреть ключи ЭЦП по конкретной учетной записи. Способ также доступен только пользователям с правами администратора ПК. Через консоль можно не только просматривать информация, но и удалять, копировать, добавлять контейнеры с ключами ЭЦП. Неудобство метода в том, что все команды необходимо вводить вручную. Обычны работа через консоль осуществляется на windows server для настройки прав доступа всех пользователей.

Где в реестре хранится ЭЦП

Иногда реестр используется как ключевой носитель, т.е. он подходит для импорта и экспорта сертификатов. Где находится сертификат ЭЦП зависит от битности системы:

• для 32-битной ОС путь выглядит так: HKEY_LOCAL_MACHINESOFTWARECryptoProSettings Users(идентификатор пользователя)Keys(Название контейнера)
• для 64-битной ОС путь к ключам такой: HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettings USERS(идентификатор пользователя)Keys(Название хранилища)
• реже ключи электронной подписи можно найти тут: HKEY_USERSS-1-5-21-{SID}_ClassesVirtualStoreMACHINESOFTWARE [Wow6432Node]Crypto ProSettingsUSERSS-1-5-21-{SID}Keys

SID — это идентификатор пользователя, который идентифицирует данную учетную запись. Узнать его можно через командную строку и команду WHOAMI/USER.

Где хранится сертификат ЭЦП в ОС Windows XP

К базовым компонентам ОС Windows XP относятся службы сертификации, а XP Professional уже поддерживает многоуровневые иерархии центра сертификации (ЦС) как с изолированными и интерактивными ЦС, так и сети ЦС с доверительными перекрестными отношениями.

Открытые ключи ЭЦП Windows XP хранит в личном хранилище, а т.к. они представляют собой общедоступную информацию, то хранятся в виде открытого текста. Сертификаты пользователя находятся по адресу:

Documents and Settings<имя_пользователя>ApplicationDataMicrosoft SystemCertificatesMyCertificates. Они автоматически вносятся в локальный реестр при каждом входе в систему. Если профиль перемещаемый, то открытые ключи хранятся обычно не на ПК, а следуют за пользователем при каждом входе в систему с внешнего носителя.

Такие поставщики услуг криптографии, как Enchanced CSP и Base CSP хранят закрытые ключи электронной подписи в папке %SystemRoot%Documents and Settings<имя_пользователя> Application DataMicrosoftCryptoRSA. Если профиль перемещаемый, то они расположены в папке RSA на контроллере домена. В этом случае на ПК они загружаются только на время работы профиля. Все файлы в данной папке шифруются случайным симметричным ключом автоматически. Основной ключ пользователя имеет длину в 64 символа и создается проверенным генератором случайных чисел.

Где хранится ЭЦП в системах Linux

В Linux системах список контейнеров с закрытыми ключами можно найти при помощи утилиты csptest. Находится она в директории:  /opt/cprocsp/bin/<архитектура>.

Список контейнеров компьютера: csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys. Список контейнеров пользователя: csptest -keyset -enum_cont -verifycontext -fqcn. В списках имена контейнеров даются в виде, понятном для бинарных утилит, входящих в состав дистрибутива CSP.

Закрытые ключи хранятся в хранилище HDImageStore на жестком диске, и доступны они и для CSP, и для JCP.

Просмотреть список ключей электронной подписи на ОС Windows может только пользователь с правами администратора. Обычно ключи хранятся в системных папках и имеют расширение .cer или .csr. Чтобы посмотреть список, удалить ненужные элементы или скопировать их на внешний носитель можно воспользоваться программой КриптоПро, браузером Internet Explorer, консолью управления или специальной утилитой certmgr. В Windows XP открытые и закрытые ключи хранятся в разных папках, а закрытые дополнительно шифруются паролем, состоящим из комбинации случайных чисел. Системы Linux хранят все сертификаты в отдельной директории, а пусть к ним задается вручную при помощи команд.

Как правило, после выпуска сертификата открытого ключа, он помещается в ключевой контейнер, и его можно извлечь из контейнера средствами КриптоПро CSP. Для этого необходимо выполнить следующие действия:
1. Перейти в Панель управления (ПУСК – Панель управления) найдите и запустить КриптоПро CSP.
2. На вкладке сервис выбрать «Просмотреть сертификат в контейнере».
3. Выбрать нужный контейнер и нажать «Далее». Если в контейнере присутствует сертификат, то отобразится информация о нём.
4. Нажать «Свойства». Откроется сам сертификат.
5. Перейти на вкладку «Состав». Нажать кнопку «Копировать в файл».
6. Выбрать варианты: «Нет, не экспортировать закрытый ключ» и «Файл в DER-кодировке X509» (.CER)
7. Указать путь для сохранения файла сертификата.

***При выполнении пункта 3 может появиться информационное сообщение: «В контейнере закрытого ключа не найдены сертификаты». В этом случае, сертификат, скорее всего, был передан пользователю в виде файла.***

***Если при использовании версии КриптоПро CSP 2.0 появляется сообщение: «В контейнере не найдены секретные ключи», то, скорее всего этот контейнер был сгенерирован в КриптоПро CSP 3.0 или выше.***