Установка сертификата и закрытого ключа

Мы опишем установку сертификата электронной подписи и закрытого ключа для ОС семейства Windows. В процессе настройки нам понадобятся права Администратора (поэтому нам может понадобится сисадмин, если он у вас есть).

Если вы еще не разобрались что такое Электронная подпись, то пожалуйста ознакомьтесь вот с этой инструкцией. Или если еще не получили электронную подпись, обратитесь в Удостоверяющий центр, рекомендуем СКБ-Контур.

Хорошо, предположим у вас уже есть электронная подпись (токен или флешка), но OpenSRO сообщает что ваш сертификат не установлен, такая ситуация может возникнуть, если вы решили настроить ваш второй или третий компьютер (разумеется подпись не «прирастает» только к одному компьютеру и ее можно использовать на нескольких компьютерах). Обычно первоначальная настройка осуществляется с помощью техподдержки Удостоверяющего центра, но допустим это не наш случай, итак поехали.

1. Убедитесь что КриптоПро CSP 4 установлен на вашем компьютере

Для этого зайдите в меню Пуск КРИПТО-ПРО КриптоПро CSP запустите его и убедитесь что версия программы не ниже 4-й.

Если ее там нет, то скачайте, установите и перезапустите браузер.

2. Если у вас токен (Рутокен например)

Прежде чем система сможет с ним работать понадобится установить нужный драйвер.

Алгоритм такой: (1) Скачиваем; (2) Устанавливаем.

Для токена может понадобиться стандартный (заводской) пин-код, здесь есть стандартные пин-коды носителей.

3. Если закрытый ключ в виде файлов

Закрытый ключ может быть в виде 6 файлов: header.key , masks.key , masks2.key , name.key , primary.key , primary2.key

Тут есть тонкость если эти файлы записаны на жесткий диск вашего компьютера, то КриптоПро CSP не сможет их прочитать, поэтому все действия надо производить предварительно записав их на флешку (съемный носитель), причем нужно расположить их в папку первого уровня, например: E:\Andrey\ <файлики>, если расположить в E:\Andrey\keys\ <файлики>, то работать не будет.

(Если вы не боитесь командной строки, то съемный носитель можно сэмулировать примерно так: subst x: C:\tmp появится новый диск (X:), в нем будет содержимое папки C:\tmp, он исчезнет после перезагрузки. Такой способ можно использовать если вы планируете установить ключи в реестр)

Нашли файлы, записали на флешку, переходим к следующему шагу.

4. Установка сертификата из закрытого ключа

Теперь нам нужно получить сертификат, сделать это можно следующим образом:

1. Открываем КриптоПро CSP
2. Заходим на вкладку Сервис
3. Нажимаем кнопку Просмотреть сертификаты в контейнере, нажимаем Обзор и здесь (если на предыдущих шагах сделали все правильно) у нас появится наш контейнер. Нажимаем кнопку Далее, появятся сведения о сертификате и тут нажимаем кнопку Установить (программа может задать вопрос проставить ли ссылку на закрытый ключ, ответьте «Да»)
4. После этого сертификат будет установлен в хранилище и станет возможным подписание документов (при этом, в момент подписания документа, нужно будет чтобы флешка или токен были вставлены в компьютер)

5. Использование электронной подписи без токена или флешки (установка в реестр)

Если скорость и удобство работы для вас стоит чуть выше чем безопасность, то можно установить ваш закрытый ключ в реестр Windows. Для этого нужно сделать несколько простых действий:

1. Выполните подготовку закрытого ключа, описанную в пунктах (2) или (3)
2. Далее открываем КриптоПро CSP
3. Заходим на вкладку Сервис
4. Нажимаем кнопку Скопировать
5. С помощью кнопки Обзор выбираем наш ключ
6. Нажимаем кнопку Далее, потом придумаем какое-нибудь имя, например «Пупкин, ООО Ромашка» и нажимаем кнопку Готово
7. Появится окно, в котором будет предложено выбрать носитель, выбираем Реестр, жмем Ок
8. Система попросит Установить пароль для контейнера, придумываем пароль, жмем Ок

Чтобы для сертификата проставить ссылку на этот закрытый ключ выполните действия из пункта (4).

Важное замечание: портал OpenSRO не «увидит» сертификат, если вышел срок его действия.

Как скопировать контейнер/закрытую часть ключа?

Если для работы используется дискета или flash-накопитель, копирование можно выполнить средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и файл сертификата — открытый ключ, если он есть) необходимо поместить в корень дискеты (flash-накопителя). Название папки при копировании рекомендуется не изменять. Папка с закрытым ключом должна содержать 6 файлов с расширением .key.

Пример закрытого ключа — папки с шестью файлами, и открытого ключа — файла с расширением .cer.

Копирование контейнера также можно выполнить с помощью КриптоПро CSP. Для этого необходимо выполнить следующие шаги:Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копирование открытого ключа выполнять не обязательно.

Копирование с помощью КриптоПро CSP

1. Выбрать Пуск / Панель Управления / КриптоПро CSP.

2. Перейти на вкладку Сервис и кликнуть по кнопке Скопировать контейнер.

3. В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».

4. Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее».

5. Если вы копируете с защищённого ключевого носителя, то появится окно ввода, в котором следует указать pin-код.

6. Если вы не меняли pin-код на носителе, стандартный pin-код необходимо вводить соответственно его типу:

Rutoken — стандартный pin-код 12345678
eToken /JaCarta – 1234567890

7. В следующем окне необходимо ввести имя Вашей копии. Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните «Готово».

8. В окне «Выбор ключевого носителя» выберите носитель, на который будет помещен новый контейнер.

9. На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать или подобрать. Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».

В случае утери пароля/pin-кода использование контейнера станет невозможным.

10. Если вы копируете контейнер на смарт-карту ruToken/eToken /JaCarta, окно запроса будет выглядеть так:

11. В окне ввода укажите pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код

Rutoken — 12345678
eToken /JaCarta – 1234567890

12. После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено.

13. Для работы с копией ключевого контейнера необходимо установить личный сертификат.

14. В меню Пуск выберите пункт «КРИПТО-ПРО», запустите приложение «КриптоПро CSP»

15. Перейдите на вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере»:

16. В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится в Реестре):

17. После выбора контейнера нажмите кнопку Ок, затем Далее

18. Если после нажатия на кнопку Далее Вы видите такое сообщение:

19. «В контейнере закрытого ключа отсутствует открытый ключ шифрования», следует установить сертификат по рекомендациям, описанным в разделе «Установка через меню «Установить личный сертификат».

20. В окне Сертификат для просмотра нажмите кнопку Установить:

21. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

22. Дождитесь сообщения об успешной установке:

23. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Установка через меню «Установить личный сертификат».

1. Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer).

2. В меню Пуск выберите пункт «КРИПТО-ПРО», запустите приложение «КриптоПро CSP»

3. Перейдите на вкладку «Сервис» и нажмите кнопку «Установить личный сертификат»:

4. В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):

5. В следующем окне нажмите кнопку Далее; в окне Сертификат для установки нажмите Далее.

6. Поставьте галку в окне Найти контейнер автоматически (в нашем примере контейнер находится в Реестре компьютера) и нажмите Далее:

7. В следующем окне отметьте пункт Установить сертификат (цепочку сертификатов) в контейнер и нажмите Далее:

8. В окне Завершение мастера установки личного сертификата нажмите Готово.

9. Если КриптоПро CSP запрашивает pin-код от контейнера, введите нужный код или попробуйте стандартные pin-коды носителей:

Rutoken — 12345678
eToken /JaCarta – 1234567890

10. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

11. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Остались вопросы?

Отдел технической поддержки

Контейнер закрытого ключа был поврежден или удален

Сертификат находится на Рутокене

Для восстановления контейнера, находящегося на Рутокене, выполните следующие действия:

1. Запустите утилиту Tokens.exe.
2. Если появится сообщение про пин-код, нажмите на кнопку «ОК».
   
3. Выберите, какой контейнер нужно экспортировать, и нажмите на кнопку «Экспорт».
4. Скопируйте на локальный диск или flash-карту и действуйте по инструкции (см. Сертификат находится на flash-карте, диске или реестре).

Если у нужного контейнера нет кнопки «Экспорт», откройте полную отладочную информацию:

Если в нужном контейнере три файла или меньше, то такой контейнер не восстановить. Пример того, как выглядят три файла:

Если 4 файла или больше, то нажмите на кнопку «Экспорт» и сохраните содержимое в папку и попробуйте восстановить контейнер.

Если предложенное решение не помогло, обратитесь в техническую поддержку по адресу help@kontur.ru. К письму приложите следующее:

• Номер диагностики. Зайдите на портал диагностики по адресу https://help.kontur.ru, нажмите на кнопку «Начать диагностику», после ее завершения нажмите на кнопку «Выполнить рекомендуемые действия», «Выбрать все» и начните «Установку и настройку». Пройдите диагностику повторно.
• Скриншоты окон с возникшим затруднением/ошибкой и результатом теста контейнера. Для этого в КриптоПро перейдите на вкладку «Сервис», нажмите на кнопку «Протестировать» и выберите нужный контейнер. Нажмите на клавишу PrintScreen (PrtScr) и откройте Word либо любой графический редактор, например, Paint, и вставьте изображение с помощью функции «Вставка» или сочетания клавиш «Ctrl+V». Сохраните файл.

Сертификат находится на flash-карте, диске или реестре компьютера

Для восстановления контейнера, находящегося на flash-карте, диске или реестре, выполните следующие действия:

1. Скачайте и запустите утилиту certfix, дождитесь загрузки всего списка контейнеров и сертификатов.
2. Установите флажок у контейнера и нажмите на вкладку «Действия с сертификатом» → «Восстановить контейнер либо ПКМ» по нужному контейнеру → кнопка «Восстановить контейнер (в зависимости от местоположения контейнера): Реестр или Файловая система».
   
   Если предложенное решение не помогло, обратитесь в техническую поддержку по адресу help@kontur.ru. К письму приложите следующее:

• Номер диагностики. Зайдите на портал диагностики по адресу https://help.kontur.ru, нажмите на кнопку «Начать диагностику», после ее завершения нажмите на кнопку «Выполнить рекомендуемые действия», «Выбрать все» и начните «Установку и настройку». Пройдите диагностику повторно.
• Скриншоты окон с возникшим затруднением/ошибкой и результатом теста контейнера. Для этого в КриптоПро перейдите на вкладку «Сервис», нажмите на кнопку «Протестировать» и выберите нужный контейнер. Нажмите на клавишу PrintScreen (PrtScr) и откройте Word либо любой графический редактор, например, Paint, и вставьте изображение с помощью функции «Вставка» или сочетания клавиш «Ctrl+V». Сохраните файл.

Также для восстановления сертификата можно воспользоваться утилитой HeaderFix, если

Если сертификат находится на диске или flash-карте, выполните следующие действия :

Нажмите на кнопку «Обзор» и укажите полный путь до файла header.key (находится в папке с контейнером).

Выберите криптографический алгоритм: ГОСТ 2001 или ГОСТ 2012(256).

Выберите сертификат из хранилища «Личные» либо укажите путь к файлу открытого ключа (имеет расширение.cer).

Нажмите кнопку «Исправить».

Если предложенное решение не помогло, обратитесь в техническую поддержку по адресу help@kontur.ru. К письму приложите следующее:

• Номер диагностики. Зайдите на портал диагностики по адресу https://help.kontur.ru, нажмите на кнопку «Начать диагностику», после ее завершения нажмите на кнопку «Выполнить рекомендуемые действия», «Выбрать все» и начните «Установку и настройку». Пройдите диагностику повторно.
• Скриншоты окон с возникшим затруднением/ошибкой и результатом теста контейнера. Для этого в КриптоПро перейдите на вкладку «Сервис», нажмите на кнопку «Протестировать» и выберите нужный контейнер. Нажмите на клавишу PrintScreen (PrtScr) и откройте Word либо любой графический редактор, например, Paint, и вставьте изображение с помощью функции «Вставка» или сочетания клавиш «Ctrl+V». Сохраните файл.

Если сертификат находится в реестре компьютера, проделайте следующие действия:

1. Запустите утилиту headerfix.exe.
2. Отметьте пункт «1б. Из реестра».
3. В выпадающем списке выберите контейнер и нажмите «Анализ».
   
4. Выберите криптографический алгоритм: ГОСТ 2001 или ГОСТ 2012(256).
5. Выберите нужный сертификат из хранилища «Личные» либо укажите путь к файлу открытого ключа (имеет расширение.cer).
6. Нажмите кнопку «Исправить».
7. Нажмите на кнопку «Открыть папку с исправленным контейнером».
8. Скопируйте эту папку на носитель, подходящий для работы — флешку, дискету или несистемный жесткий диск компьютера. При необходимости после этого можно сделать копию этого контейнера обратно в реестр по инструкции: Копирование с помощью КриптоПро CSP.
9. Для использования восстановленного контейнера необходимо переустановить сертификат по инструкции Установка через меню «Просмотреть сертификаты в контейнере».

Если предложенное решение не помогло, обратитесь в техническую поддержку по адресу help@kontur.ru. К письму приложите следующее:

• Номер диагностики. Зайдите на портал диагностики по адресу https://help.kontur.ru, нажмите на кнопку «Начать диагностику», после ее завершения нажмите на кнопку «Выполнить рекомендуемые действия», «Выбрать все» и начните «Установку и настройку». Пройдите диагностику повторно.
• Скриншоты окон с возникшим затруднением/ошибкой и результатом теста контейнера. Для этого в КриптоПро перейдите на вкладку «Сервис», нажмите на кнопку «Протестировать» и выберите нужный контейнер. Нажмите на клавишу PrintScreen (PrtScr) и откройте Word либо любой графический редактор, например, Paint, и вставьте изображение с помощью функции «Вставка» или сочетания клавиш «Ctrl+V». Сохраните файл.

Сертификат был удален

Если контейнер был удален, восстановление данных возможно только в том случае, если ключевым носителем является дискета или flash-карта.

Если данные на носителе были повреждены, рекомендуется восстановить их при помощи программы KillCopy.

Если данные были удалены с носителя (после удаления данных форматирование носителя не выполнялось), можно попробовать восстановить их при помощи программы Recuva.

Для работы может использоваться копия ключевого контейнера, если таковая имеется. Предварительно установите сертификат через КриптоПро (см. Как установить личный сертификат).

Если предложенное программное обеспечение не помогло восстановить контейнер, обратитесь в сервисный центр для незапланированной замены ключа (см. Найти свой сервисный центр).