Описание пакетов КриптоПро
Пакет | Описание |
---|---|
Базовые пакеты: | |
cprocsp-curl | Библиотека libcurl с реализацией шифрования по ГОСТ |
lsb-cprocsp-base | Основной пакет КриптоПро CSP |
lsb-cprocsp-capilite | Интерфейс CAPILite и утилиты |
lsb-cprocsp-kc1 | Провайдер криптографической службы KC1 |
lsb-cprocsp-rdr | Поддержка ридеров и RNG |
Дополнительные пакеты: | |
cprocsp-rdr-gui-gtk | Графический интерфейс для диалоговых операций |
cprocsp-rdr-rutoken | Поддержка карт Рутокен |
cprocsp-rdr-jacarta | Поддержка карт JaCarta |
cprocsp-rdr-pcsc | Компоненты PC/SC для ридеров КриптоПро CSP |
lsb-cprocsp-pkcs11 | Поддержка PKCS11 |
Для просмотра всех установленных пакетов КриптоПро CSP можно использовать команду:
dpkg -l | grep cprocsp
Пример вывода команды:
ii cprocsp-cptools-gtk-64 5.0.12000-6 amd64 GUI application for various CSP tasks. Build 12000. ii cprocsp-curl-64 5.0.12000-6 amd64 CryptoPro cURL shared library and application. Build 12000. ii cprocsp-rdr-cloud-64 5.0.12000-6 amd64 DSS keys support module ii cprocsp-rdr-cpfkc-64 5.0.12000-6 amd64 FKC support module ii cprocsp-rdr-cryptoki-64 5.0.12000-6 amd64 Module for PKCS11 keys support. Build 12000. ii cprocsp-rdr-edoc-64 5.0.12000-6 amd64 Electronic documents support module ii cprocsp-rdr-emv-64 5.0.12000-6 amd64 EMV/Gemalto support module ii cprocsp-rdr-gui-gtk-64 5.0.12000-6 amd64 CryptoPro CSP GTK GUI components. Build 12000. ii cprocsp-rdr-infocrypt-64 5.0.12000-6 amd64 Infocrypt FKC support module ii cprocsp-rdr-inpaspot-64 5.0.12000-6 amd64 Inpaspot support module ii cprocsp-rdr-kst-64 5.0.12000-6 amd64 MorphoKST support module ii cprocsp-rdr-mskey-64 5.0.12000-6 amd64 Mskey support module ii cprocsp-rdr-novacard-64 5.0.12000-6 amd64 Novacard support module ii cprocsp-rdr-pcsc-64 5.0.12000-6 amd64 CryptoPro CSP. PC/SC devices support. Build 12000. ii cprocsp-rdr-rosan-64 5.0.12000-6 amd64 Rosan support module ii cprocsp-rdr-rutoken-64 5.0.12000-6 amd64 Rutoken support module ii lsb-cprocsp-base 5.0.12000-6 all CryptoPro CSP directories and scripts. Build 12000. ii lsb-cprocsp-ca-certs 5.0.12000-6 all CryptoPro CA certificates. Build 12000. ii lsb-cprocsp-capilite-64 5.0.12000-6 amd64 CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 12000. ii lsb-cprocsp-import-ca-certs 5.0.12000-6 all Import OS root certificates in CryptoPro CSP. Build 12000. ii lsb-cprocsp-kc1-64 5.0.12000-6 amd64 CryptoPro CSP KC1. Build 12000. ii lsb-cprocsp-pkcs11-64 5.0.12000-6 amd64 CryptoPro PKCS11. Build 12000. ii lsb-cprocsp-rdr-64 5.0.12000-6 amd64 CryptoPro CSP common libraries and utilities. Build 12000.
Установка программы
Чтобы включить КриптоПро, нужно, чтобы это ПО было установлено на ПК. Для инсталляции нужны администраторские права. При инсталляции можно будет задать дополнительные настройки посредством панели свойств. Потом требуется перезагрузка ПК, чтобы установка была корректной.
Для включения данного ПО потребуется войти в «Пуск», а в этом меню — в «Программы». Открывшийся перечень позволяет запустить программу и изменять настройки либо управлять лицензиями.
Чтобы установить ЭП, требуется контейнер, содержащий ключевые данные (это может быть RuToken, флэшка и др.). КриптоПро ЭЦП нужно инсталлировать на ПК. После её запуска нужно войти в Сервис и нажать «Посмотреть сертификаты в контейнере». Потом нужно подключение накопителя, содержащего контейнер. После выбора ключевого контейнера потребуется ввод пин-кода.
Окно информации покажет сведения про сертификат. В случае их соответствия нужным следует выбрать «Свойства». Пройдя в «Общие», понадобится нажатие на «Установить сертификат» с последующим выбором личного хранилища. Следует удостовериться в том, что имеется корневой сертификат. Данные этапы является главными шагами при установке ЭЦП. Затем понадобится поработать с Outlook, Word и иным ПО.
Чтобы установить контейнер, потребуется установить и верифицировать сертификат. Это делается в Личном Хранилище/Кабинете. Затем потребуется сделать то, что описано выше.
Чтобы самостоятельно создать ключевой контейнер, потребуется создать вначале тестовый вариант. Это следует сделать на портале Удостоверяющего Центра. Там же возможно получение сертификата ключа, обеспечивающего проверку ЭЦП. С этой целью понадобится создание ключей (открытый и закрытый) и информации, которая подтверждает связь между сертификатом и его владельцем.
Извлечение подписанного файла
Чтобы извлечь файл, необходимо указать его имя в конце команды проверки подписи:
cryptcp -verify raport.pdf.sig raport.pdf
Графический интерфейс КриптоПро CSP v. 5.0 (cptools)
В версии КриптоПро 5 появился графический инструмент для работы с сертификатами — cptools. Инструмент можно запустить из консоли:
cptools
/opt/cprocsp/bin/amd64/cptools
Удаление КриптоПро CSP
Для того, чтобы удалить ПО КриптоПро CSP, в терминале FLY следует ввести последовательно 3 команды:
sudo rm -rf /opt/cprocspsudo rm -rf /var/opt/cprocsp/sudo rm -rf /etc/opt/cprocsp/
Отключение сообщений о необходимости перехода на ГОСТ Р 34.10-2012
В соответствии с принятым в 2014 году до 1 января 2019 года попытка использования ГОСТ Р 34.10-2001 (кроме проверки подписи) на всех выпущенных к настоящему моменту сертифицированных версиях КриптоПро CSP 3.9, 4.0 и КриптоПро JCP 2.0 с 1 января 2019 года вызовет ошибку/предупреждение (в зависимости от продукта и режима работы), которые могут привести к неработоспособности автоматических/автоматизированных систем при использовании ими ключей ГОСТ Р 34.10-2001
В случае если ваша система использует ключи ГОСТ Р 34.10-2001, просим принять во внимание инструкцию
Для отключения данных предупреждений в КриптоПро CSP, нужно добавить два ключа в конфигурационный файл /etc/opt/cprocsp/config64.ini в существующую секцию Parameters:
# Параметры провайдера warning_time_gen_2001=ll:9223372036854775807 warning_time_sign_2001=ll:9223372036854775807
Создание тестового сертификата КриптоПро
Тестовый сертификат может пригодиться для проверки работы различных приложений или для тестирования при их разработке.
Введение
Для создания тестового сертификата есть два пути. Первый путь подразумевает использование КриптоПро ЭЦП Browser plug-in, второй же путь предназначен для того, чтобы без него обойтись.
Путь 1
- Установить корневой сертификат КриптоПро вместе со списком отозванных сертификатов (ссылка). Краткую рекомендацию по установке можно видеть здесь (ссылка) в пункте «Установка сертификатов».
- Использовать Тестовый центр КриптоПро для генерации личного тестового сертификата. Ниже можно увидеть то, как должна выглядеть при этом тестовая страница (если нужно впоследствии копировать контейнер с сертификатом и закрытым ключом на носитель, надо использовать опцию «пометить ключ как экспортируемый»).
После проделанных действий сертификат автоматически установится и будет размещён в контейнере, расположенном на жёстком диске компьютера, с которого был сделан запрос. После этого его можно скопировать на требуемое устройство. Для копирования контейнера 1 в контейнер 2 можно использовать следующую команду:
где пути к контейнерам и их названия можно узнать с помощью следующей команды:
Установка сертификата и закрытого ключа
Мы опишем установку сертификата электронной подписи и закрытого ключа для ОС семейства Windows. В процессе настройки нам понадобятся права Администратора (поэтому нам может понадобится сисадмин, если он у вас есть).
Если вы еще не разобрались что такое Электронная подпись, то пожалуйста ознакомьтесь вот с этой инструкцией. Или если еще не получили электронную подпись, обратитесь в Удостоверяющий центр, рекомендуем СКБ-Контур.
Хорошо, предположим у вас уже есть электронная подпись (токен или флешка), но OpenSRO сообщает что ваш сертификат не установлен, такая ситуация может возникнуть, если вы решили настроить ваш второй или третий компьютер (разумеется подпись не «прирастает» только к одному компьютеру и ее можно использовать на нескольких компьютерах). Обычно первоначальная настройка осуществляется с помощью техподдержки Удостоверяющего центра, но допустим это не наш случай, итак поехали.
1. Убедитесь что КриптоПро CSP 4 установлен на вашем компьютере
Для этого зайдите в меню Пуск КРИПТО-ПРО КриптоПро CSP запустите его и убедитесь что версия программы не ниже 4-й.
Если ее там нет, то скачайте, установите и перезапустите браузер.
2. Если у вас токен (Рутокен например)
Прежде чем система сможет с ним работать понадобится установить нужный драйвер.
- Драйверы Рутокен:https://www.rutoken.ru/support/download/drivers-for-windows/
- Драйверы eToken:https://www.aladdin-rd.ru/support/downloads/etoken
- Драйверы JaCarta:https://www.aladdin-rd.ru/support/downloads/jacarta
Алгоритм такой: (1) Скачиваем; (2) Устанавливаем.
Для токена может понадобиться стандартный (заводской) пин-код, здесь есть стандартные пин-коды носителей.
3. Если закрытый ключ в виде файлов
Закрытый ключ может быть в виде 6 файлов: header.key , masks.key , masks2.key , name.key , primary.key , primary2.key
Тут есть тонкость если эти файлы записаны на жесткий диск вашего компьютера, то КриптоПро CSP не сможет их прочитать, поэтому все действия надо производить предварительно записав их на флешку (съемный носитель), причем нужно расположить их в папку первого уровня, например: E:\Andrey\ , если расположить в E:\Andrey\keys\ , то работать не будет.
(Если вы не боитесь командной строки, то съемный носитель можно сэмулировать примерно так: subst x: C:\tmp появится новый диск (X:), в нем будет содержимое папки C:\tmp, он исчезнет после перезагрузки. Такой способ можно использовать если вы планируете установить ключи в реестр)
Нашли файлы, записали на флешку, переходим к следующему шагу.
4. Установка сертификата из закрытого ключа
Теперь нам нужно получить сертификат, сделать это можно следующим образом:
- Открываем КриптоПро CSP
- Заходим на вкладку Сервис
- Нажимаем кнопку Просмотреть сертификаты в контейнере, нажимаем Обзор и здесь (если на предыдущих шагах сделали все правильно) у нас появится наш контейнер. Нажимаем кнопку Далее, появятся сведения о сертификате и тут нажимаем кнопку Установить (программа может задать вопрос проставить ли ссылку на закрытый ключ, ответьте «Да»)
- После этого сертификат будет установлен в хранилище и станет возможным подписание документов (при этом, в момент подписания документа, нужно будет чтобы флешка или токен были вставлены в компьютер)
5. Использование электронной подписи без токена или флешки (установка в реестр)
Если скорость и удобство работы для вас стоит чуть выше чем безопасность, то можно установить ваш закрытый ключ в реестр Windows. Для этого нужно сделать несколько простых действий:
- Выполните подготовку закрытого ключа, описанную в пунктах (2) или (3)
- Далее открываем КриптоПро CSP
- Заходим на вкладку Сервис
- Нажимаем кнопку Скопировать
- С помощью кнопки Обзор выбираем наш ключ
- Нажимаем кнопку Далее, потом придумаем какое-нибудь имя, например «Пупкин, ООО Ромашка» и нажимаем кнопку Готово
- Появится окно, в котором будет предложено выбрать носитель, выбираем Реестр, жмем Ок
- Система попросит Установить пароль для контейнера, придумываем пароль, жмем Ок
Чтобы для сертификата проставить ссылку на этот закрытый ключ выполните действия из пункта (4).
Важное замечание: портал OpenSRO не «увидит» сертификат, если вышел срок его действия
Идентификация токена
Для просмотра списка настроенных считывателей можно воспользоваться командой:
/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view
Nick name: HDIMAGE Connect name: Reader name: HDD key storage Nick name: CLOUD Connect name: Reader name: Cloud Token Nick name: Aktiv Rutoken lite 00 00 Connect name: Reader name: Aktiv Rutoken lite 00 00
Чтобы узнать модели подключенных токенов ввести команду:
/opt/cprocsp/bin/amd64/csptest -card -enum -v -v
Aktiv Rutoken lite 00 00 Card present, ATR=3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2 Unknown applet Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,310 sec
Проверить наличие носителей с контейнерами можно с помощью команды:
/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum -unique
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251
- \\.\HDIMAGE\<имя_контейнера> — контейнеры на локальных носителях;
- \\.\Aktiv Rutoken ECP 00 00\<имя_носителя> — контейнеры на токенах.
Возможные значения имени контейнера:
Значение | Описание |
---|---|
NULL | Контейнер по умолчанию. Если конфигурация «КриптоПро CSP» настроена на хранение ключей на диске, то именем контейнера по умолчанию является имя пользователя ОС, вызвавшего CSP. |
CONTAINER | Имя контейнера. |
MEDIAUNIQUE | Контейнер по умолчанию на носителе (MEDIAUNIQUE). |
MEDIAUNIQUECONTAINER | Контейнер на заданном носителе (MEDIAUNIQUE). Если носитель не поддерживает уникальных имен, то уникальное имя носителя отсутствует, но символ опускать в этом случае нельзя. Если носитель поддерживает длинные имена (например, реестр), то имя контейнера в этом случае совпадает FOLDER. |
MEDIAUNIQUEFOLDERCRC | Контейнер на заданном носителе (MEDIAUNIQUE) в папке FOLDER с именем CRC16 которого в нижнем регистре в кодировке UTF8 совпадает с CRC. Если носитель не поддерживает уникальных имен, то уникальное имя носителя отсутствует, но символ опускать в этом случае нельзя. Данный формат не может использоваться для создания контейнеров. |
\.READERMEDIAUNIQUE | Контейнер по умолчанию на носителе (MEDIAUNIQUE), с заданным именем считывателя. |
\.READERMEDIAUNIQUECONTAINER | Контейнер на заданном носителе (MEDIAUNIQUE), с заданным именем считывателя. Если носитель не поддерживает уникальных имен, то уникальное имя носителя отсутствует, но символ опускать в этом случае нельзя. |
\.READERMEDIAUNIQUEFOLDERCRC | Контейнер на заданном носителе (MEDIAUNIQUE) в папке FOLDER, с заданным именем считывателя и CRC16 имени контейнера в нижнем регистре в кодировке UTF8 совпадает с CRC. Если носитель не поддерживает уникальных имен, то уникальное имя носителя отсутствует, но символ опускать в этом случае нельзя. Если носитель поддерживает длинные имена (например, реестр), то имя контейнера в этом случае совпадает с FOLDER. Данный формат не может использоваться для создания контейнеров. |
\.READERCONTAINER | Имя контейнера на заданном считывателе. |
\.READER | Контейнер по умолчанию на заданном считывателе. |
Во всех перечисленных выше формах (кроме NULL), оконечный символ не влияет на смысл контейнера.
Полный список поддерживаемых считывателей и типов носителей можно найти в Формуляре к конкретной версии «КриптоПро CSP»
Источник
Основные понятия (если есть аббревиатуры, понятия и т.д.)
Ключевой носитель (Электронный идентификатор) — это компактное устройство в виде USB-брелка, которое служит для авторизации пользователя в сети или на локальном компьютере, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения персональных данных.
Защищенный носитель — это компактное устройство, предназначенное для безопасного хранения электронной подписи. Представляет собой устройство в виде USB-флешки с защищенной паролем картой памяти, на которой хранится информация для создания электронной подписи.
Рекомендации по решению проблемы зависят от типа ключевого носителя, на котором расположен контейнер:
Flash-накопитель
Если в качестве ключевого носителя используется flash-накопитель, необходимо выполнить следующие шаги:
1. Убедиться, что в что в корне носителя находится папка, содержащая файлы: header, masks, masks2, name, primary, primary2. Файлы должны иметь расширение.key, а формат названия папки должен быть следующим: xxxxxx.000
Если каких-либо файлов не хватает или их формат неверен, то, возможно, контейнер закрытого ключа был поврежден или удален.
Rutoken
Если в качестве ключевого носителя используется защищённый носитель Rutoken, необходимо выполнить следующие шаги:
1. Убедиться, что на рутокене горит лампочка. Если лампочка не горит, то следует воспользоваться следующими рекомендациями.
2. Обновить драйвер Rutoken (см. Как обновить драйвер Rutoken?).
3. Следует убедиться, что на Rutoken содержатся ключевые контейнеры. Для этого необходимо проверить количество свободной памяти на носителе, выполнив следующие шаги:
Если рутокен не виден в пункте «Считыватели» или при нажатии на кнопку «Информация» появляется сообщение «Состояние памяти ruToken не изменилось», значит, носитель был поврежден, необходимо обратиться к вашему менеджеру
В качестве ключевого носителя в сервисных центрах выдаются рутокены объемом памяти около 30000 байт. Один контейнер занимает объем порядка 4 Кб. Объем свободной памяти рутокена, содержащего один контейнер, составляет порядка 26 000 байт, двух контейнеров — 22 000 байт и т д.
Если объем свободной памяти рутокена составляет более 29-30 000 байт, то ключевые контейнеры на нем отсутствуют.
Реестр
Если в качестве ключевого носителя используется считыватель Реестр, необходимо выполнить следующие действия:
Убедиться, что в КриптоПро CSP настроен считыватель «Реестр». Для этого:
Если считыватель отсутствует, его необходимо добавить.
В качестве считывателей (устройств — носителей ключевой информации) могут использоваться flash-накопители, реестр, смарт-карты
Иногда некоторые считыватели могут быть отключены в КриптоПро CSP. Чтобы работать с такими носителями, нужно добавить соответствующие считыватели.
Чтобы добавить считыватели: 1. Запустите КриптоПро CSP от имени администратора.
2. На вкладке «Оборудование» нажмите кнопку «Настроить считыватели».
3. В появившемся окне нажмите «Добавить».
4. В Мастере установки считывателей выберите, какой считыватель добавить: «Все съемные диски», «Реестр», «Все считыватели смарт-карт».
5. Нажмите «Далее», задайте имя считывателя при необходимости, нажмите «Готово».
В некоторых случаях для корректной работы добавленного считывателя потребуется перезагрузка.
Если ни одно из предложенных выше решений не поможет устранить проблему, возможно, ключевой носитель был поврежден, вам необходимо будет обратиться к вашему менеджеру. Восстановить данные с поврежденного защищенного носителя или реестра невозможно.
Остались вопросы?
Отдел технической поддержки
Источник
Защита и использование контейнера закрытого ключа
Один из основных способов защиты контейнера закрытого ключа — установка пароля. С помощью пароля можно предотвратить несанкционированный доступ к ключу, а также обеспечить его конфиденциальность. Пароль может быть установлен при создании контейнера или добавлен позже с помощью специальных инструментов.
Кроме установки пароля, контейнер закрытого ключа может быть также защищен другими механизмами, такими как использование аппаратных средств защиты (токенов или смарт-карт), аутентификация по отпечатку пальца или другим биометрическим данным.
После обеспечения безопасности контейнера закрытого ключа, его можно использовать для различных операций криптографии, таких как генерация электронной подписи, шифрование данных или аутентификация.
Для использования контейнера закрытого ключа необходимо иметь доступ к нему с помощью специального программного обеспечения, которое позволяет работать с криптографическими операциями. Таким программным обеспечением может быть, например, КриптоПро CSP или КриптоПро JCP.
При использовании контейнера закрытого ключа необходимо соблюдать определенные правила безопасности, такие как хранение ключа в надежном месте, регулярное создание резервных копий или отзыв и замена утративших актуальность ключей.
Таким образом, защита и использование контейнера закрытого ключа являются важными аспектами криптографической безопасности, позволяющими обеспечить конфиденциальность и целостность информации.
Rutoken
Если в качестве ключевого носителя используется смарт-карта Rutoken, необходимо выполнить следующие шаги:
1.
Убедиться, что на рутокене горит лампочка. Если лампочка не горит, то следует воспользоваться следующими рекомендациями.
2.
Убедиться, что в КриптоПро CSP настроен считыватель «Rutoken»(для КриптоПро CSP 3.6 — «Все считыватели смарт-карт»). Для этого:
- Выбрать меню «Пуск» > «Панель управления» > «КриптоПро CSP»;
- Перейти на вкладку «Оборудование» и нажать на кнопку «Настроить считыватели».
Если считыватель отсутствует, его необходимо добавить (см. Как настроить считыватели в КриптоПро CSP ?).
3.
В окне «Выбор ключевого контейнера» установить переключатель «Уникальные имена».
4.
Удалить запомненные пароли. Для этого:
- Выбрать меню «Пуск» > «Панель управления» > «КриптоПро CSP»;
- Перейти на вкладку «Сервис» и нажать на кнопку «Удалить запомненные пароли»;
- Отметить пункт «Пользователя» и нажать на кнопку «ОК».
5.
Обновить модули поддержки, необходимые для работы Rutoken. Для этого:
- Отключить смарт-карту от компьютера;
- Выбрать меню «Пуск» > «Панель управления» > «Установка и удаление программ» (для Windows Vista \ Seven «Пуск» > «Панель управления» > «Программы и компоненты»);
- Выбрать из открывшегося списка «Rutoken Support Modules» и нажать на кнопку «Удалить».
После удаления модулей необходимо перезагрузить компьютер.
Загрузить и установить последнюю версию модулей поддержки. Дистрибутив доступен для загрузки на сайте компании Актив .
После установки модулей необходимо перезагрузить компьютер.
6.
Следует увеличить количество отображаемых в КриптоПро CSP контейнеров на Rutoken, воспользовавшисьследующей инструкцией.
7.
Обновить драйвер Rutoken (см. Как обновить драйвер Rutoken ?).
8.
Следует убедиться, что на Rutoken содержатся ключевые контейнеры. Для этого необходимо проверить количество свободной памяти на носителе, выполнив следующие шаги:
- Открыть «Пуск» («Настройки») > «Панель управления» > «Панель управления Рутокен» (если данный пункт отсутствует, то следует обновить драйвер Rutoken).
- В открывшемся окне «Панели управления Рутокен» в пункте «Считыватели» следует выбрать «Activ Co. ruToken 0 (1,2)» и нажать на кнопку «Информация».
Если рутокен не виден в пункте «Считыватели» или при нажатии на кнопку «Информация» появляется сообщение «Состояние памяти ruToken не изменилось», значит, носитель был поврежден, необходимо обратиться в сервисный центр для незапланированной замены ключа.
Проверить, какое значение указано в строке «Свободная память (байт)».
В качестве ключевого носителя в сервисных центрах выдаются рутокены объемом памяти около 30000 байт. Один контейнер занимает объем порядка 4 Кб. Объем свободной памяти рутокена, содержащего один контейнер, составляет порядка 26 000 байт, двух контейнеров — 22 000 байт и т д.
Если объем свободной памяти рутокена составляет более 29-30 000 байт, то ключевые контейнеры на нем отсутствуют. Следовательно, сертификат содержится на другом носителе.
Программа для работы с ЭЦП
Для работы с ключами ЭЦП требуется КриптоПро CSP версии 4.0 или старше. Скачать программу безопаснее с официального сайта КриптоПро CSP.
Перед загрузкой установочного файла вас попросят зарегистрироваться или войти в ранее созданный личный кабинет.
КриптоПро CSP работает в бесплатном режиме до 90 дней с момента первой установки. Этого времени хватит для регистрации ИП/ООО и внесения изменений.
По истечению ознакомительного периода КриптоПро перестаёт работать с установленными ключами, но сохраняет свои базовые возможности: устанавливать новые ключи, проверять их на работоспособности, экспортировать на другие носители и т.д.
Важная информация
Переустановка КриптоПро CSP не обнуляет действие пробного периода. Даже если установить версию 5.0 поверх 4.0 или наоборот.
Что нужно знать о лицензиях КриптоПро CSP
Лицензия распространяется на одно рабочее место, бывает бессрочной и на 1 год.
Существуют ключи со встроенной лицензией КриптоПро. Приобретать лицензию КриптоПро CSP для таких ключей не нужно — они продолжают работать даже после окончания пробного периода, так как их работа ограничена сроком действия ключа (один год). Такие ЭЦП дороже, но выгоднее, когда работа ведется с разных рабочих мест. Наличие встроенной лицензии необходимо уточнять в удостоверяющем центре, в котором приобретается ключ.
Установка ключа (импорт) ЭЦП
- Запускаем КриптоПро CSP
- Открываем вкладку «Сервис» и нажимаем «Установить личный сертификат»
- Открылся «Мастер установки личного сертификата».
Нажимаем кнопку «Обзор», находим сертификат, который хотим установить, выделяем его и нажимаем «Открыть». - Слева от кнопки «Обзор» отображены имя импортируемого сертификата и полный путь его расположения. Если все верно, нажимаем «Далее».
- Для продолжения установки требуется ввести пароль и указать «Параметры импорта».
Импортируемый сертификат всегда защищен паролем. Пароль устанавливается при первой установке сертификата, либо при его экспорте. - Перед завершением установки вы увидите его параметры. Жмите «Готово», если все верно.
- Выберите место хранения ключа и нажмите «ОК».
Для хранения можно использовать любой носитель, подключенный к компьютеру, либо использовать реестр Windows. - Установите пароль и нажмите «ОК».
Этот пароль КриптоПро будет требовать каждый раз при использовании ключа ЭЦП. - Если всё прошло успешно, появится аналогичное уведомление.
Перенос (экспорт) закрытого ключа ЭЦП
- Запускаем КриптоПро CSP
- Открываем вкладку «Сервис» и нажимаем «Просмотреть сертификаты в контейнере»
- Нажав кнопку «По сертификату» увидим список всех установленных сертификатов. Выберете нужный для экспорта сертификат и нажмите «ОК».
- Для продолжения КриптоПро запросит вести пароль от ключа.
Если в контейнере отсутствуют сертификаты — вы увидите подобное сообщение. Выполнить экспорт такого сертификата не получится. - В открывшемся окне отобразятся параметры сертификата. Нажмите «Свойства»
- Откройте вкладку «Состав» и нажмите «Копировать в файл», чтобы открылся «Мастер экспорта сертификатов»
- Выберите «Да, экспортировать закрытый ключ», нажмите «Далее»
- Ключ экспортируется в формате «.PFX». Отметьте информацию, которую необходимо передать вместе с сертификатом и нажмите «Далее».
Если вы не планируете использовать ЭЦП на рабочем месте с которого экспортируете ключ — установите галочку напротив «Удалить закрытый ключ после успешного экспорта». - Введите новый пароль
Этот пароль будет запрошен при окончании экспорта и попытке установить сертификат (при импорте). - Нажмите «Обзор», укажите путь сохранения сертификата, присвойте имя и нажмите «Сохранить».
Не обезличивайте файлы подобного рода! Присваивайте понятные имена, например: «ООО Ромашка (ЭЦП)», «Жуков АА (ЭЦП)». - При завершении работы «Мастера экспорта сертификатов» будет указан путь сохранения сертификата и параметры, экспортируемые вместе с ним. Нажмите «Готово», если все верно.
- Введите ранее заданный пароль и нажмите «ОК».
- При успешном экспорте вы получите соответствующее уведомление.
Как записать электронную подпись на флешку
Записать сертификат ЭП на флешку или токен можно тремя способами:
- в личном кабинете удостоверяющего центра;
- с помощью криптопровайдера КриптоПро CSP;
- с помощью средств Windows;
- в профиле Контур.Диагностики.
Инструкции ниже подойдут для записи сертификата и на флешку, и на токен. Исключение — пункты про установку пароля или пин-кода. При записи ЭП на флешку нужно придумать и установить свой пароль. Но если вы записываете ЭП на токен, устанавливать пин-код не нужно. Программа или сервис попросят вас ввести пароль, только если он отличается от стандартного.
Как записать сертификат в личном кабинете
Если вы еще не выпустили сертификат ЭП и хотите сразу записать его на съемный носитель:
- Зайдите в личный кабинет на сайте удостоверяющего центра. Сервис попросит пройти аутентификацию: введите номер телефона, который указали в заявлении на получение ЭП. В течение двух минут на этот номер придет одноразовый пароль для входа. Этот пароль будет действовать только 5 минут, если вы не успеете ввести его за это время — запросите пароль еще раз.
- Затем вставьте в компьютер носитель, на который вы хотите записать сертификат ЭП — флешку или токен.
- В личном кабинете найдите нужный сертификат и нажмите на кнопку «Перейти к выпуску». Система автоматически проверит ваш компьютер и предупредит, если на него нужно установить дополнительные программы.
- Следуйте указаниям системы, чтобы выпустить сертификат.
- Если вы записываете ЭП на флешку, придумайте и установите на нее пароль в открывшемся окне.
Если вы записываете ЭП на токен со стандартным паролем — пропустите этот пункт. Но если вы меняли стандартный пароль на собственный — введите его в открывшемся окне. - После выпуска сертификат можно установить на носитель. Для этого нажмите на кнопку «Установить сертификат».
Если у вас есть сертификат для одного из сервисов Контура, например, Экстерна или Диадока, и вы хотите установить его на флешку или токен:
- Зайдите в личный кабинет на сайте удостоверяющего центра.
- Выберите сертификат электронной подписи, который хотите записать.
- Вставьте флешку или токен в компьютер.
- Нажмите на кнопку «Сделать резервную копию».
- Выберите носитель, на который сервис запишет сертификат.
- Если вы копируете ЭП на флешку придумайте пароль и установите его в открывшемся окне. Этот пароль нужно вводить каждый раз, когда вы используете ЭП. Забытый пароль нельзя восстановить, однако мы не рекомендуем пропускать этот шаг — без пароля ваши данные останутся без защиты.
Если вы устанавливаете ЭП на токен со стандартным паролем — пропустите этот шаг. А если вы задавали на токене собственный пароль — введите его в специальном окне. - После ввода пароля система запишет сертификат ЭП на носитель.
Как записать ЭП с помощью КриптоПро CSP
- На компьютере откройте меню «Пуск», выберите выберите пункт «Панель управления» и нажмите на иконку «КриптоПро CSP».
- Во вкладке «Сервис» нажмите на кнопку «Скопировать».
- В открывшемся окне нажмите на кнопку «Обзор» и выберите контейнер закрытого ключа ЭП, который хотите скопировать на флешку.
- Укажите имя контейнера, на который программа скопирует сертификат.
- Вставьте флешку компьютер и укажите в программе на какой носитель записать ЭП.
- Если вы копируете ЭП на флешку, придумайте и установите пароль в специальном окне. Не пропускайте этот шаг, если хотите защитить свои данные. Без пароля любой пользователь, взявший флешку, сможет воспользоваться вашей подписью. Если вы устанавливаете ЭП на токен со стандартным паролем — пропустите этот шаг. А если вы меняли пароль на токене на собственный — введите его в специальном окне.
- После этого программа скопирует контейнер на токен или флешку и вернется во вкладку «Сервис».
Как записать ЭП с помощью средств Windows
- Найдите папку с закрытым ключом ЭП на компьютере. В этой папке должно быть шесть файлов с расширением.key.
- Скопируйте эту папку на выбранную флешку. Проверьте, чтобы в папке на флешке оказались все шесть файлов.
Как записать ЭП в профиле Контур.Диагностики
- Зайдите на страницу «Копирование сертификатов» Контур.Диагностики.
- Вставьте в компьютер флешку, на которую хотите записать сертификат.
- Выберите нужный сертификат из списка и нажмите кнопку «Скопировать».
- Введите пароль от контейнера при необходимости.
- Выберите носитель, на который программа запишет сертификат ЭП.
- Придумайте название для нового контейнера и нажмите кнопку «Далее».