Функциональные возможности КриптоПро DSS
Рассмотрим основные функциональные возможностиКриптоПро DSS. В частности, ПАК КриптоПро DSS обеспечивает:
- Создание электронной подписи любого формата электронного документа.
- Широкий охват платформ и устройств. Пользователь работает с КриптоПро DSS через веб-браузер. В этой связи снижается стоимость развертывания и владения инфраструктурой ЭП, т. к. нет необходимости установки средства ЭП на каждое рабочее место пользователя, а управление всей инфраструктурой сосредоточено на одном сервере.
- Хранение закрытых ключей пользователей осуществляется в централизованном защищенном месте, что снижает риск компрометации ключей пользователей.
- Для обеспечения совместимости с традиционными приложениями предусмотрена возможность использования стандартного интерфейса CryptoAPI с помощью дополнительного модуля КриптоПро Cloud CSP.
- Предусмотрена возможность работы с локальными ключами электронной подписи на рабочих местах пользователей (режим КриптоПро DSS Lite).
- Предусмотрена интеграция с внешними информационными системами по протоколам SOAP, REST и HTTP API.
- Возможность усиления ранее созданной электронной подписи путем добавления меток времени и актуального статуса сертификата (расширения формата электронной подписи документа CAdES-BES до CAdES-T или CAdES-X Long Type1).
- Возможность применения различных схем аутентификации пользователя для доступа к его ключам, включая возможность интеграции со сторонними центрами идентификации по протоколам SAML 1.1/2.0 (WS-Security) и OAuth 2.0 (в т. ч. с корпоративным доменом на безе MS AD и OpenLDAP).
- Централизованное и локальное шифрование/расшифрование электронных документов.
- Пакетная обработка электронных документов (подписание/шифрование по API одной командой набора однотипных электронных документов).
- Поддержка нескольких экземпляров сервисов электронной подписи и центров идентификации с различными параметрами настройки функционирования на одном сервере КриптоПро DSS.
- Визуализация (отображение) подписываемых электронных документов формата PDF, docx, txt, xml. Возможно расширение перечня форматов отображаемых файлов.
- Создание видимой подписи с логотипом и текстом и в виде изображения (image appearance) с учетом требований Приказа Минкомсвязи и ФСО России от 27.05.2015 №186/258 для документов формата PDF с использованием API (SOAP/REST).
- Возможность интеграции с корпоративными хранилищами документов, поддерживающими стандарт CMIS.
- Возможность кастомизации графического веб-интерфейса (цветовой гаммы, логотипов, шрифтов и т. п.).
КриптоПро DSS поддерживает следующие форматы электронной подписи:
- электронная подпись по ГОСТ 34.10-2001 и ГОСТ Р 34.10-2012;
- усовершенствованная подпись в соответствии с ETSI TS 101 733 Electronic Signatures and Infrastructures (ESI); CMS Advanced Electronic Signatures (CAdES), рекомендациями RFC 5652, Cryptographic Message Syntax (CAdES-BES, CAdES-T и CAdES-X Long Type 1);
- подпись XML-документов (XMLDSig);
- подпись документов PDF;
- подпись документов Microsoft Office (Office Open XML).
Электронная подпись создается с использованием криптографических алгоритмов в соответствии с ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи», ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
Как создать контейнер для сертификата КриптоПро:
Для работы с сертификатами КриптоПро необходимо создать контейер, который будет хранить сертификат и его закрытый ключ. Вот пошаговая инструкция о том, как это сделать:
- Установите КриптоПро CSP: Для начала вам нужно установить КриптоПро CSP на свой компьютер. Загрузите установщик с официального сайта КриптоПро и следуйте инструкциям для установки.
- Откройте программу КриптоПро CSP: После установки откройте программу КриптоПро CSP на вашем компьютере. Вы можете найти ее в меню «Пуск» или через поиск.
- Создайте контейнер: В программе КриптоПро CSP найдите раздел «Сертификаты» или «Ключевые носители» и выберите команду «Создать контейнер».
- Выберите тип контейнера: При создании контейнера у вас будет выбор из нескольких типов контейнеров. Обычно рекомендуется выбирать «Личный контейнер», чтобы иметь доступ к закрытому ключу, но в зависимости от ваших потребностей может понадобиться использовать другой тип контейнера.
- Укажите имя контейнера: После выбора типа контейнера, вам будет предложено указать имя контейнера. Вы можете выбрать любое удобное вам имя.
- Установите пароль: Пароль нужен для защиты вашего контейнера и закрытого ключа. Введите надежный пароль, состоящий из букв, цифр и специальных символов.
- Создайте контейнер: После указания имени контейнера и установки пароля, нажмите кнопку «Создать» или «ОК», чтобы создать контейнер.
Теперь у вас есть контейнер для хранения сертификата и закрытого ключа в КриптоПро. Вы можете использовать этот контейнер для подписи и шифрования информации, а также для других операций, связанных с сертификатами.
Что такое рутокен и как его установить?
Рутокен — это небольшой USB-накопитель, предназначенный для хранения электронных данных. Их чаще всего используют для хранения ЭЦП, так как для получения доступа к информации необходимо ввести ПИН-код. Чтобы настроить рутокен, нужно сначала скачать нужные драйверы с официального сайта и установить их.
Настроить рутокен достаточно просто. После установки драйверов подключите устройство к компьютеру и выполните следующие действия:
- Активируйте панель управления.
- Во вкладке «Администрирование» нажмите на кнопку «Информация».
- В новом окне появится статус Microsoft Base Smart Card Crypto Provider — «Поддерживается», «Активировать» или «Не поддерживается». Если видите первый, нажмите «ОК», если второй — активируйте носитель. Последний означает, что устройство не поддерживает связь с Единой государственной автоматизированной информационной системой (ЕГАИС).
- Кликните по вкладке «Настройка».
- В появившихся полях «Рутокен ЭЦП Смарт-карта» и «Рутокен ЭЦП (2.0)» пропишите значение Microsoft Base Smart Card Crypto Provider.
Настройка завершена. Если вы еще не успели установить ЭЦП, можете переходить к установке. Потом вам достаточно будет скинуть данные на рутокен. Даже если вы его потеряете, или устройство украдут, ПИН-код не позволит никому воспользоваться вашей подписью.
Создание контейнера для сертификата в КриптоПро Linux: полное руководство
Шаг 1: Установка КриптоПро
Перед началом работы необходимо установить КриптоПро на Linux-систему. Существует несколько способов установки, но наиболее удобный и популярный – установка с помощью менеджера пакетов apt:
sudo apt install cryptopro-csp
После успешной установки вы можете приступить к созданию контейнера для сертификата.
Шаг 2: Генерация ключевой пары
Для создания контейнера вам понадобится сгенерировать ключевую пару, состоящую из закрытого и открытого ключей. Для этого используйте команду:
cryptcp -creatcert
Вам будет предложено ввести информацию о сертификате, такую как ФИО владельца, организация и др. Затем КриптоПро сгенерирует ключевую пару и поместит ее в контейнер.
Шаг 3: Проверка создания контейнера
Чтобы убедиться, что контейнер успешно создан, воспользуйтесь командой:
cryptcp -enumcerts
Она выведет список всех доступных сертификатов в контейнере, и вы сможете увидеть вновь созданный сертификат.
Вот и все! Теперь у вас есть контейнер с сертификатом, который вы можете использовать в различных криптографических операциях на Linux-системе
Обратите внимание, что в данном руководстве мы рассмотрели лишь базовые шаги для создания контейнера, а возможности КриптоПро Linux гораздо шире и могут быть использованы в более сложных сценариях
Основные понятия (если есть аббревиатуры, понятия и т.д.)
Ключевой носитель (Электронный идентификатор) — это компактное устройство в виде USB-брелка, которое служит для авторизации пользователя в сети или на локальном компьютере, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения персональных данных.
Защищенный носитель — это компактное устройство, предназначенное для безопасного хранения электронной подписи. Представляет собой устройство в виде USB-флешки с защищенной паролем картой памяти, на которой хранится информация для создания электронной подписи.
Рекомендации по решению проблемы зависят от типа ключевого носителя, на котором расположен контейнер:
Flash-накопитель
Если в качестве ключевого носителя используется flash-накопитель, необходимо выполнить следующие шаги:
1. Убедиться, что в что в корне носителя находится папка, содержащая файлы: header, masks, masks2, name, primary, primary2. Файлы должны иметь расширение.key, а формат названия папки должен быть следующим: xxxxxx.000
Если каких-либо файлов не хватает или их формат неверен, то, возможно, контейнер закрытого ключа был поврежден или удален.
Rutoken
Если в качестве ключевого носителя используется защищённый носитель Rutoken, необходимо выполнить следующие шаги:
1. Убедиться, что на рутокене горит лампочка. Если лампочка не горит, то следует воспользоваться следующими рекомендациями.
2. Обновить драйвер Rutoken (см. Как обновить драйвер Rutoken?).
3. Следует убедиться, что на Rutoken содержатся ключевые контейнеры. Для этого необходимо проверить количество свободной памяти на носителе, выполнив следующие шаги:
Если рутокен не виден в пункте «Считыватели» или при нажатии на кнопку «Информация» появляется сообщение «Состояние памяти ruToken не изменилось», значит, носитель был поврежден, необходимо обратиться к вашему менеджеру
В качестве ключевого носителя в сервисных центрах выдаются рутокены объемом памяти около 30000 байт. Один контейнер занимает объем порядка 4 Кб. Объем свободной памяти рутокена, содержащего один контейнер, составляет порядка 26 000 байт, двух контейнеров — 22 000 байт и т д.
Если объем свободной памяти рутокена составляет более 29-30 000 байт, то ключевые контейнеры на нем отсутствуют.
Реестр
Если в качестве ключевого носителя используется считыватель Реестр, необходимо выполнить следующие действия:
Убедиться, что в КриптоПро CSP настроен считыватель «Реестр». Для этого:
Если считыватель отсутствует, его необходимо добавить.
В качестве считывателей (устройств — носителей ключевой информации) могут использоваться flash-накопители, реестр, смарт-карты
Иногда некоторые считыватели могут быть отключены в КриптоПро CSP. Чтобы работать с такими носителями, нужно добавить соответствующие считыватели.
Чтобы добавить считыватели: 1. Запустите КриптоПро CSP от имени администратора.
2. На вкладке «Оборудование» нажмите кнопку «Настроить считыватели».
3. В появившемся окне нажмите «Добавить».
4. В Мастере установки считывателей выберите, какой считыватель добавить: «Все съемные диски», «Реестр», «Все считыватели смарт-карт».
5. Нажмите «Далее», задайте имя считывателя при необходимости, нажмите «Готово».
В некоторых случаях для корректной работы добавленного считывателя потребуется перезагрузка.
Если ни одно из предложенных выше решений не поможет устранить проблему, возможно, ключевой носитель был поврежден, вам необходимо будет обратиться к вашему менеджеру. Восстановить данные с поврежденного защищенного носителя или реестра невозможно.
Остались вопросы?
Отдел технической поддержки
Источник
Как перенести ключ КриптоПро
Чтобы это сделать:
- Вставьте флеш-накопитель с копией ключа.
- Откройте программу КриптоПро CSP (кнопка «Пуск» — Все программы« —»КРИПТО-ПРО« —»КриптоПро CSP«) (см.
- Перейдите к закладке»Сервис« и нажмите кнопку»Скопировать« (рис.
- В окне копирования контейнера закрытого ключа нажмите кнопку»Обзор».
18.04.2023 Как добавить Эцп в КриптоПро
Электронная цифровая подпись (ЭЦП) — это математический алгоритм, который позволяет проверить подлинность электронного документа и идентифицировать его автора. Чтобы использовать ЭЦП, необходимо установить ее на компьютер. мы рассмотрим, как добавить ЭЦП в программу КриптоПро.
КриптоПро — это программный комплекс, который позволяет работать с ЭЦП и защитить электронную информацию от несанкционированного доступа. Для того чтобы добавить ЭЦП в КриптоПро, необходимо выполнить несколько простых шагов.
В первую очередь, необходимо выбрать Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажать кнопку «Просмотреть сертификаты в контейнере». Затем, необходимо нажать на кнопку «Обзор» и выбрать сертификат, который вы хотите установить. После этого, необходимо нажать кнопку «Установить сертификат» в окне «Сертификат» -> вкладка «Общие».
Для того чтобы добавить ключ, необходимо перейти в «Пуск» → «Панель управления» → «КриптоПро CSP», открыть вкладку «Сервис» и нажать «Скопировать». Затем, необходимо выбрать контейнер с сертификатом, нажать «ОК» и ввести pin-код. После этого, можно оставить имя контейнера по умолчанию или ввести новое.
Чтобы загрузить ЭЦП на компьютер с Windows, необходимо установить на устройство специально программное обеспечение для взаимодействия с электронно-цифровыми подписями. Затем, подключите носитель ключа к устройству и следуйте инструкциям на экране, чтобы выполнить установку сертификата ЭЦП в операционную систему.
Для того чтобы установить новый ключ ЭЦП, необходимо запустить КриптоПро CSP и перейти на вкладку «Сервис». Затем, нажать кнопку «Обзор» и выбрать контейнер электронной подписи, затем нажать кнопку «Далее». Для завершения установки необходимо нажать кнопку «Готово».
Если КриптоПро не видит ключ, это может означать, что на ПК установлен устаревший релиз программы, и его необходимо обновить. Для начала проверьте сертификат, выбрав меню «Пуск» → «Все программы» → «КриптоПро». Откройте «КриптоПро CSP сервис» и выберите команду «Протестировать».
Чтобы установить электронный ключ на флешку, необходимо на компьютере открыть меню «Пуск», выбрать пункт «Панель управления» и нажать на иконку «КриптоПро CSP». Затем, во вкладке «Сервис» нажать на кнопку «Скопировать» и выбрать контейнер закрытого ключа ЭП, который хотите скопировать на флешку.
Чтобы импортировать ключ ЭЦП, необходимо запустить Менеджер сертификатов без авторизации, зайти во вкладку «Файл» и нажать «Импорт сертификата/СОС». Завершив процедуру экспорта сертификата в личное хранилище Microsoft, закройте Менеджер сертификатов и проверьте доступность Вашего нового сертификата в почтовом клиенте.
Наконец, чтобы установить сертификат с Рутокена в Криптопро, необходимо выбрать «Пуск» → «Панель управления» → «КриптоПро CSP» → вкладка «Сервис» → кнопка «Установить личный сертификат». Затем, в окне «Мастер импорта сертификатов» необходимо нажать «Далее» → «Обзор» и выбрать файл сертификата. После этого, необходимо указать путь к сертификату, нажать «Открыть» → «Далее» → «Далее» и нажать «Обзор».
Пошаговая инструкция установки личного сертификата
Чтобы установить личный сертификат, не записанный на ключевой носитель, нужно:
- Запустить программу КриптоПро: «Пуск»/«Настройка»/«Панель управления»/«КриптоПро CSP».
- Перейти через раздел «Сервис» во вкладку «Установить личный сертификат».
- Нажать «Далее».
- Указать путь к закрытому ключу электронной цифровой подписи через кнопку «Обзор». Пользователь в открывшейся папке выбирает файл, заканчивающийся расширением .cer.
- После этого пользователю предстоит нажать «Открыть».
- В поле «Имя файла» должен появиться путь доступа к ключу ЭЦП, после чего для продолжения установки нажимают кнопку «Далее».
- В новом окне появляется сервисное сообщение КриптоПро CSP с данными владельца подписи и нового сертификата. Информацию нужно проверить и нажать «Далее».
Следующий шаг — это выбор ключевого контейнера. Пользователь должен:
В рабочем окне «Контейнер закрытого ключа» нажать «Обзор» и выбрать контейнер, соответствующий названию ЭЦП.
- Нажать «Далее» после того, как в графе «Имя ключевого контейнера» появится название контейнера.
- При необходимости ввести пин-код ключевого носителя.
Затем нужно выбрать хранилище. Делает это так:
Пользователь нажимает «Обзор» и выбирает «Личное хранилище».
После того как название хранилища отразится в соответствующей графе пользователь нажимает «Далее».
После выбора контейнера для подтверждения установки нужно нажать «Готово».
Если выйдет сообщение о том, что сертификат уже есть в хранилище, нужно нажать «Да».
Установка в КриптоПРО версии 3.62 R2
Установка личного сертификата в КриптоПро версии 3.62 R2 и выше происходит иначе. В окне программы следует выбрать пункт «Установить» и подтвердить замену (если требуется). Если запроса на замену не вышло, нужно открыть вкладку «Сертификат для просмотра» и выбрать «Свойства».
В новом окне выбрать пункт «Установить».
После этого запустится «Мастер установки», в котором нужно нажать кнопку «Далее». После этого следует выбрать пункт «Поместить все сертификаты в хранилище». Для выбора хранилища нужно нажать «Обзор».
Для дальнейшей установки нужно выбрать «Личное хранилище».
В новом окне пользователю предстоит последовательно нажать «Далее» и «Готово». Через несколько секунд появится сообщение об успешной замене (установке) сертификата.
Ошибка отсутствия ключа электронной цифровой подписи в контейнера возникает обычно из-за отсутствия соответствующего сертификата. Решить проблему просто: установить личный сертификат и перезагрузить ПК. Способ установки зависит от версии используемого программного обеспечения КриптоПро и занимает всего несколько минут. Если после замены или установки открытого ключа проблема не исчезла, лучше обратиться в сервисный центр для перевыпуска электронной подписи.
Создание контейнера
Формирование хранилища — сложный и ответственный процесс, который требуется выполнить предельно внимательно. Самостоятельно установить контейнер можно следующим образом:
- При формировании блока хранения сведений отобразится окно, где предоставлены варианты выбора носителя. Подобная форма отображается на мониторе пользователя, когда имеется несколько устройств считывания. Если ЭЦП один, то будет выбран автоматически.
- Отобразится окно ДСЧ, кроме случаев, когда БДСЧ является аппаратной составляющей ПК. Биологический ДСЧ позволяет выполнять генерацию начальных символов, являющихся компонентами обычного ДСЧ. Чтобы процесс формирования был успешно завершен, следует перемещать курсор мыши по экрану и нажимать кнопки на клавиатуре.
- Когда БДСЧ завершит работу, система автоматически запустит диалоговое окно, где потребуется ввести пароль, обеспечивающий доступ к формируемому контейнеру. Пользователь имеет возможность самостоятельно ввести идентификационную комбинацию, открывающую доступ к ЗК. PIN-код вводится в два поля — «новый пароль» и «подтверждение». Созданный шифр вступит в силу после нажатия на «Ок». В случае выполнения генерации чисел и букв на носитель, предусматривающий функцию внесения аппаратного пароля либо пин-кода, придется ввести данные, которые соответствуют предоставлению доступа к накопителю.
- Ввод пароля в СКЗИ является далеко не единственной мерой обеспечения защищенного доступа к ЗК. Чтобы выбрать оптимальный механизм безопасности в меню создания пароля следует нажать на пункт «Подробнее». На экране отобразятся варианты мер предотвращения несанкционированного использования ключа контейнера. Способом защиты файла и предоставлением доступа только его обладателю, в случае носителя с поддержкой пароля, является пин-код. На мониторе отобразятся параметры ввода пароля (комбинации символов в текстовом формате), мастер ключа (выполнение криптографии файла, хранимого на другом контейнере), а также раздела файлов на несколько носителей. Чтобы вернуться к выбору защитных систем следует снова нажать на «Подробнее».
- Выбрав пункт «Установка нового пароля», следует понимать, что придуманный PIN станет защитным средством, устанавливаемым в соответствии с требованиями положения №3 текущей инструкции.
- Определившись с тем, что будет интегрирован мастер ключ, следует понимать, что зашифрованные данные перенесутся в иное криптографическое назначение. Выполнение мероприятия возможно после того, как введено значение хранилища или определено его местоположение при помощи кнопки «Выбрать». Отобразится перечень доступных контейнеров.
- Система произведет шифрование ключа на базе выбранного хранилища. Операционная система программного обеспечения открывает широкие возможности в сфере криптографии ЗК. Можно создать новый контейнер, нажав на соответствующий пункт в меню.
- При выборе значения «Раздел на несколько элементов» произойдет равномерное распределение доступа к ключу между некоторым числом носителей. Каждое из физических хранилищ является автономной базой данных с индивидуальными идентификационными сведениями в рамках рассматриваемого проекта.
- Для корректной работы системы потребуется ввести число носителей, обеспечивающих загрузку.
- Потребуется ввести общее число цифровых хранителей, между которыми распределятся объекты.
На следующем этапе произойдет формирование новых цифровых контейнеров, являющихся предметом распределения исходной информации. Сумма формируемых блоков пропорциональна значению, указанному в графе общего числа носителей:
- при формировании каждого участка нужно выбирать персональный элемент идентификации;
- когда для каждого фрагмента запрограммировано физическое местоположение, отобразится меню БДСЧ, где запустится генерация специальных последовательностей;
- система предложит ввести пароли для каждого сформированного объекта. Защитные файлы можно изменить нажатием кнопки «Подробнее»;
- окончательная настройка будет завершена после того, как каждый субъект хранения будет успешно задан.
Создание и экспорт контейнера для сертификата в КриптоПро Linux: пошаговая инструкция
В этой статье мы рассмотрим пошаговую инструкцию по созданию и экспорту контейнера для сертификата в КриптоПро Linux. Этот процесс включает в себя несколько этапов и требует определенных действий.
- Установка КриптоПро CSP.
- Генерация закрытого и открытого ключей.
- Создание запроса на сертификат.
- Получение и установка сертификата.
- Экспорт контейнера.
Давайте рассмотрим каждый из этих этапов подробнее.
Установка КриптоПро CSP
Первым шагом является установка КриптоПро CSP на вашу систему. Для этого выполните следующие действия:
- Скачайте установочный пакет КриптоПро CSP с официального сайта.
- Разархивируйте скачанный файл.
- Запустите установку, следуя инструкциям мастера установки.
Генерация закрытого и открытого ключей
После успешной установки КриптоПро CSP перейдите к генерации закрытого и открытого ключей. Для этого выполните следующие действия:
- Откройте терминал и выполните команду , чтобы сгенерировать закрытый ключ.
- Затем выполните команду , чтобы сгенерировать открытый ключ.
Создание запроса на сертификат
После генерации ключей перейдите к созданию запроса на сертификат. Для этого выполните следующие действия:
- Откройте терминал и выполните команду , чтобы создать запрос на сертификат.
- Заполните необходимую информацию, такую как имя организации, название департамента и т. д.
Получение и установка сертификата
После создания запроса на сертификат отправьте его в удостоверяющий центр и получите сертификат. После получения сертификата выполните следующие действия:
- Откройте терминал и выполните команду , чтобы преобразовать формат сертификата.
- Затем выполните команду , чтобы скопировать сертификат в директорию .
Экспорт контейнера
Последним шагом является экспорт контейнера для сертификата. Для этого выполните следующие действия:
- Откройте терминал и выполните команду , чтобы экспортировать контейнер.
- Укажите пароль для контейнера и сохраните его в безопасном месте.
Вот и все! Теперь вы знаете, как создать и экспортировать контейнер для сертификата в КриптоПро Linux. Пользуйтесь этой информацией по необходимости и успешно выполняйте операции с сертификатами!
Установка сертификата и закрытого ключа
Мы опишем установку сертификата электронной подписи и закрытого ключа для ОС семейства Windows. В процессе настройки нам понадобятся права Администратора (поэтому нам может понадобится сисадмин, если он у вас есть).
Если вы еще не разобрались что такое Электронная подпись, то пожалуйста ознакомьтесь вот с этой инструкцией. Или если еще не получили электронную подпись, обратитесь в Удостоверяющий центр, рекомендуем СКБ-Контур.
Хорошо, предположим у вас уже есть электронная подпись (токен или флешка), но OpenSRO сообщает что ваш сертификат не установлен, такая ситуация может возникнуть, если вы решили настроить ваш второй или третий компьютер (разумеется подпись не «прирастает» только к одному компьютеру и ее можно использовать на нескольких компьютерах). Обычно первоначальная настройка осуществляется с помощью техподдержки Удостоверяющего центра, но допустим это не наш случай, итак поехали.
1. Убедитесь что КриптоПро CSP 4 установлен на вашем компьютере
Для этого зайдите в меню Пуск КРИПТО-ПРО КриптоПро CSP запустите его и убедитесь что версия программы не ниже 4-й.
Если ее там нет, то скачайте, установите и перезапустите браузер.
2. Если у вас токен (Рутокен например)
Прежде чем система сможет с ним работать понадобится установить нужный драйвер.
- Драйверы Рутокен:https://www.rutoken.ru/support/download/drivers-for-windows/
- Драйверы eToken:https://www.aladdin-rd.ru/support/downloads/etoken
- Драйверы JaCarta:https://www.aladdin-rd.ru/support/downloads/jacarta
Алгоритм такой: (1) Скачиваем; (2) Устанавливаем.
Для токена может понадобиться стандартный (заводской) пин-код, здесь есть стандартные пин-коды носителей.
3. Если закрытый ключ в виде файлов
Закрытый ключ может быть в виде 6 файлов: header.key , masks.key , masks2.key , name.key , primary.key , primary2.key
Тут есть тонкость если эти файлы записаны на жесткий диск вашего компьютера, то КриптоПро CSP не сможет их прочитать, поэтому все действия надо производить предварительно записав их на флешку (съемный носитель), причем нужно расположить их в папку первого уровня, например: E:\Andrey\ , если расположить в E:\Andrey\keys\ , то работать не будет.
(Если вы не боитесь командной строки, то съемный носитель можно сэмулировать примерно так: subst x: C:\tmp появится новый диск (X:), в нем будет содержимое папки C:\tmp, он исчезнет после перезагрузки. Такой способ можно использовать если вы планируете установить ключи в реестр)
Нашли файлы, записали на флешку, переходим к следующему шагу.
4. Установка сертификата из закрытого ключа
Теперь нам нужно получить сертификат, сделать это можно следующим образом:
- Открываем КриптоПро CSP
- Заходим на вкладку Сервис
- Нажимаем кнопку Просмотреть сертификаты в контейнере, нажимаем Обзор и здесь (если на предыдущих шагах сделали все правильно) у нас появится наш контейнер. Нажимаем кнопку Далее, появятся сведения о сертификате и тут нажимаем кнопку Установить (программа может задать вопрос проставить ли ссылку на закрытый ключ, ответьте «Да»)
- После этого сертификат будет установлен в хранилище и станет возможным подписание документов (при этом, в момент подписания документа, нужно будет чтобы флешка или токен были вставлены в компьютер)
5. Использование электронной подписи без токена или флешки (установка в реестр)
Если скорость и удобство работы для вас стоит чуть выше чем безопасность, то можно установить ваш закрытый ключ в реестр Windows. Для этого нужно сделать несколько простых действий:
- Выполните подготовку закрытого ключа, описанную в пунктах (2) или (3)
- Далее открываем КриптоПро CSP
- Заходим на вкладку Сервис
- Нажимаем кнопку Скопировать
- С помощью кнопки Обзор выбираем наш ключ
- Нажимаем кнопку Далее, потом придумаем какое-нибудь имя, например «Пупкин, ООО Ромашка» и нажимаем кнопку Готово
- Появится окно, в котором будет предложено выбрать носитель, выбираем Реестр, жмем Ок
- Система попросит Установить пароль для контейнера, придумываем пароль, жмем Ок
Чтобы для сертификата проставить ссылку на этот закрытый ключ выполните действия из пункта (4).
Важное замечание: портал OpenSRO не «увидит» сертификат, если вышел срок его действия
Шаг 2: установка драйвера рутокен
Установка ЭЦП на компьютер предполагает настройку специального драйвера — рутокена. Делается это в несколько последовательных шагов, а на время установки нужно закрыть все приложения. Скачать драйвера и модули рутокен можно с официального портала (https://www.rutoken.ru/support/download/drivers-for-windows/) согласно установленной версии OS Windows. После скачивания необходимо запустить установку файла rtDrivers и перезагрузить ПК.
После этого необходимо настроить считыватель рутокена в приложении КриптоПро. Для этого нужно:
- подключить рутокен к ПК через USB-порт;
- открыть Пуск — Программы — КриптоПро CSP — запуск от имени Администратора (правой кнопкой мыши по ярлыку программы);
- перейти во вкладку «Оборудование»;
- нажать «Настроить считыватели».
Если последовательность соблюдена, то откроется окно с доступными считывателями. Если в нем нет пункта «Все считыватели смарт-карт» нужно нажать «Добавить». При неактивной кнопке необходимо перейти во вкладку «Общие» и выбрать «Запустить с правами администратора»:
Затем для продолжения установки пользователь нажимает «Далее» и выбирает в новом окне «Все считыватели смарт-карт» — «Далее»:
Продолжается установка повторным нажатием «Далее».
Завершается процесс сохранением настроек путем последовательного нажатия «Готово» — «Ок» — «Ок».
Часто задаваемые вопросы по теме статьи (FAQ)
Можно ли перенести сертификат, который находится на токене и защищен от копирования?
Очевидно, что предложенное в статье решение для этого не подойдет. Ведь тут идет речь о переносе сертификатов, которые хранятся в реестре, то есть уже были скопированы. Технические средства для копирования защищенных крипто контейнеров тоже существуют, но это не такое простое и очевидное решение.
Безопасно ли хранить сертификаты в реестре?
Это не безопасно и в общем случае я не рекомендую это делать. USB токены для хранения сертификатов придуманы не просто так. Они реально защищают сертификаты от несанкционированного копирования. Если у вас нет объективной необходимости копировать сертификаты в реестр, лучше этого не делать. Если вам нужно сделать бэкап сертификата на случай поломки токена, то просто скопируйте его в зашифрованный архив и сохраните на флешке.
Подойдет ли предложенный способ копирования сертификатов CryptoPro для VipNet?
Нет, не подойдет. В статье описан способ переноса сертификатов CryptoPro. Другие криптопровайдеры хранят сертификаты по-другому. Универсального способа для всех не существует.
Есть ли какой-то очень простой способ скопировать сертификаты crypto pro? То, что описано в статье слишком сложно для меня.
Да, есть статья на сайте контура, в ней ссылка на утилиту для копирования контейнеров Certfix. Можете воспользоваться ей.
Взято с SERVERADMIN.RU
Пошаговая инструкция установки личного сертификата
Чтобы установить личный сертификат, не записанный на ключевой носитель, нужно:
- Запустить программу КриптоПро: «Пуск»/«Настройка»/«Панель управления»/«КриптоПро CSP».
- Перейти через раздел «Сервис» во вкладку «Установить личный сертификат».
- Нажать «Далее».
- Указать путь к закрытому ключу электронной цифровой подписи через кнопку «Обзор». Пользователь в открывшейся папке выбирает файл, заканчивающийся расширением .cer.
- После этого пользователю предстоит нажать «Открыть».
- В поле «Имя файла» должен появиться путь доступа к ключу ЭЦП, после чего для продолжения установки нажимают кнопку «Далее».
- В новом окне появляется сервисное сообщение КриптоПро CSP с данными владельца подписи и нового сертификата. Информацию нужно проверить и нажать «Далее».
Следующий шаг — это выбор ключевого контейнера. Пользователь должен:
В рабочем окне «Контейнер закрытого ключа» нажать «Обзор» и выбрать контейнер, соответствующий названию ЭЦП.
- Нажать «Далее» после того, как в графе «Имя ключевого контейнера» появится название контейнера.
- При необходимости ввести пин-код ключевого носителя.
Затем нужно выбрать хранилище. Делает это так:
Пользователь нажимает «Обзор» и выбирает «Личное хранилище».
После того как название хранилища отразится в соответствующей графе пользователь нажимает «Далее».
После выбора контейнера для подтверждения установки нужно нажать «Готово».
Если выйдет сообщение о том, что сертификат уже есть в хранилище, нужно нажать «Да».
Установка в КриптоПРО версии 3.62 R2
Установка личного сертификата в КриптоПро версии 3.62 R2 и выше происходит иначе. В окне программы следует выбрать пункт «Установить» и подтвердить замену (если требуется). Если запроса на замену не вышло, нужно открыть вкладку «Сертификат для просмотра» и выбрать «Свойства».
В новом окне выбрать пункт «Установить».
После этого запустится «Мастер установки», в котором нужно нажать кнопку «Далее». После этого следует выбрать пункт «Поместить все сертификаты в хранилище». Для выбора хранилища нужно нажать «Обзор».
Для дальнейшей установки нужно выбрать «Личное хранилище».
В новом окне пользователю предстоит последовательно нажать «Далее» и «Готово». Через несколько секунд появится сообщение об успешной замене (установке) сертификата.
Ошибка отсутствия ключа электронной цифровой подписи в контейнера возникает обычно из-за отсутствия соответствующего сертификата. Решить проблему просто: установить личный сертификат и перезагрузить ПК. Способ установки зависит от версии используемого программного обеспечения КриптоПро и занимает всего несколько минут. Если после замены или установки открытого ключа проблема не исчезла, лучше обратиться в сервисный центр для перевыпуска электронной подписи.