Резервное копирование сертификатов шифрования системы Windows

Необходимость изменить ключ файловой системы с шифрованием (EFS) может возникнуть в следующих случаях:

• Файлы на двух разных компьютерах зашифрованы двумя разными ключами, а вы хотите использовать один ключ для всех файлов.
• Внутренние правила организации требуют периодического изменения ключей.
• Вы решили использовать для шифрования файлов смарт-карту.

Ключ шифрования всегда связан (или связан) с сертификатом шифрования. Чтобы изменить ключ, следует также изменить сертификат, используемый для шифрования.

Выбор другого сертификата шифрования файлов

В левой панели выберите Сертификаты шифрования файлов.

В мастере файловой системы с шифрованием нажмите кнопку Далее . В мастере в окне Сведения о сертификате появится сертификат шифрования файлов.

Выберите сертификат, который следует использовать, и нажмите кнопку Далее .

Когда присутствуют несколько сертификатов шифрования файлов, но нужный не отображается, нажмите кнопку Выбрать сертификат , выберите желаемый сертификат, нажмите кнопку ОК , а затем Далее .

Если резервная копия сертификата отсутствует, её следует немедленно создать. Нажмите кнопку Сделать резервную копию сертификата и ключа сейчас, укажите расположение, в котором будет сохранена резервная копия, введите пароль, подтвердите его и нажмите кнопку Далее . Рекомендуется сохранять резервную копию сертификата на съемном носителе, например на диске или USB флэш-памяти, а также защитить резервную копию надежным паролем.

Установите флажки для папок, которые следует обновить новым сертификатом шифрования, или установите флажок Обновить шифрованные файлы позже и нажмите кнопку Далее .

Создание нового сертификата шифрования

Следует знать, какой тип сертификата шифрования вам нужен.

1. Откройте учетные записи.
2. На левой панели нажмите Сертификаты шифрования файлов.
3. В мастере файловой системы с шифрованием нажмите кнопку Далее .
4. Выберите Создать новый сертификат и нажмите кнопку Далее .
5. Тип сертификата, который нужно создать, и нажмите кнопку Далее .

Резервное копирование сертификата шифрования

1. Откройте учетные записи.
2. На левой панели нажмите Сертификаты шифрования файлов.
3. В мастере файловой системы с шифрованием нажмите кнопку Далее .
4. Выберите Использовать этот сертификат и нажмите кнопку Далее .

Чтобы получить дополнительные сведения о сертификате из списка, нажмите кнопку Просмотр сертификата. Чтобы выбрать другой сертификат, нажмите кнопку Выбрать сертификат, выберите сертификат, для которого требуется создать резервную копию.

Нажмите кнопку Сделать резервную копию сертификата и ключа сейчас.

Введите или укажите место, где следует сохранить резервную копию. Рекомендуется сохранять резервные копии ключей шифрования на съемных носителях, например на диске или USB флэш-памяти.

Введите и подтвердите пароль для резервной копии файла, нажмите кнопку Далее . Рекомендуется защитить резервной копии надежным паролем.

Установите флажок Обновить шифрованные файлы позже и нажмите кнопку Далее .

Обновление шифрованных файлов сертификатом шифрования

1. Откройте учетные записи.
2. На левой панели нажмите Сертификаты шифрования файлов.
3. В мастере файловой системы с шифрованием нажмите кнопку Далее .
4. Выберите Использовать этот сертификат и нажмите кнопку Далее .

Чтобы получить дополнительные сведения о сертификате из списка, нажмите кнопку Просмотр сертификата. Чтобы выбрать другой сертификат, нажмите кнопку Выбрать сертификат, выберите сертификат, для которого требуется создать резервную копию.

Если для сертификата уже создана резервная копию, выберите Сделать резервную копию сертификата и ключа позже. В противном случае следуйте инструкциям на экране для создания резервной копии сертификата перед тем, как обновить зашифрованные файлы.

Установите флажки для папок, которые следует обновить, и нажмите кнопку Далее .

Чтобы убедиться в том, что файлы были успешно обновлены, нажмите кнопку Просмотр журнала.

Создание копии сертификата файловой системы с шифрованием и ключа шифрования

В случае потери или повреждения ключа шифрования при отсутствии альтернативного способа восстановления данных они будут потеряны. В случае потери или повреждения смарт-карты, на которой хранился ключ шифрования, данные также будут потеряны.

Чтобы быть уверенным, что вы всегда будете иметь доступ к зашифрованным данным, следует создать резервные копии сертификата шифрования и ключа. Если компьютером пользуются несколько пользователей или для шифрования файлов используется смарт-карта, необходимо создать сертификат восстановления файлов.

Примечание: Эти шаги нельзя выполнить в версиях Windows 7 Starter, Windows 7 Home Basic и Windows 7 Home Premium.

Резервное копирование сертификата системы EFS

1. Откройте Диспетчер сертификатов.
2. На левой области дважды щелкните Личные.
3. Нажмите кнопку Сертификаты .
4. В главной панели выберите сертификат, который отображается в поле Файловая система с шифрованием в разделе Назначения. (Чтобы увидеть его, возможно, понадобится прокрутить содержимое папки справа.)

Если существует более одного сертификата файловой системы с шифрованием (EFS), следует создать резервную копию каждого из них.

1. В меню Действие выберите пункт Все задачи и Экспорт.
2. В мастере экспорта сертификатов нажмите кнопку, экспортировать закрытый ключ и нажмите кнопку Далее .
3. Выберите команду Файл обмена частными сведениями, нажмите кнопку Далее .
4. Введите пароль, который будет использоваться, подтвердите его и нажмите кнопку Далее . Будет создан файл, в котором хранится сертификат.
5. Введите имя и расположение файла (полный путь) или нажмите кнопку Обзор и перейдите к месту, а затем введите имя файла и нажмите кнопку Сохранить .
6. Нажмите кнопку Готово .

Примечание: Храните резервную копию сертификата файловой системы с шифрованием (EFS) в безопасном месте.

Резервная копия сертификата windows

Если для работы используется дискета или flash-накопитель, скопировать контейнер с сертификатом можно средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и, если есть, файл сертификата — открытый ключ) поместите в корень дискеты / flash-накопителя (если поместить не в корень, то работа с сертификатом будет невозможна). Название папки при копировании рекомендуется не изменять.

В папке с закрытым ключом должно быть 6 файлов с расширением.key. Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копировать открытый ключ необязательно. Пример закрытого ключа — папки с шестью файлами и открытого ключа — файла с расширением.cer.

Закрытый ключ Открытый ключ

Копирование на профиле Диагностики

1. Зайдите на профиль Диагностики «Копирования» по ссылке.

2. Вставьте носитель, на который необходимо скопировать сертификат.

3. На нужном сертификате нажмите на кнопку «Скопировать».

Если на контейнер был задан пароль — появится сообщение «Введите пароль для устройства с которого будет скопирован сертификат».

Введите пароль и нажмите на кнопку «Далее».

4. Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».

5. Задайте имя новому контейнеру и нажмите на кнопку «Далее».

6. Должно появиться сообщение об успешном копировании сертификата.

Массовое копирование

1. Скачайте и запустите утилиту. Дождитесь загрузки всего списка контейнеров/сертификатов и отметьте нужные галочками.
2. Выберите меню « Массовые действия » и нажмите на кнопку « Копирование контейнеров ».

3. Выберите носитель для хранения копии контейнера и нажмите « ОК » . При копировании в реестр можно поставить галочку на пункте «Копировать к ключевой контейнер компьютера», тогда после копирования контейнер будет доступен всем пользователям данного компьютера.

4. После копирования нажмите внизу слева кнопку « Обновить ».
Если хотите работать со скопированными контейнерами — необходимо установить сертификаты.

Копирование с помощью КриптоПро CSP

Выберите «Пуск» > «Панель управления» > «КриптоПро CSP». Перейдите на вкладку « Сервис » и кликните по кнопке « Скопировать».

В окне « Копирование контейнера закрытого ключа » нажмите на кнопку « Обзор » .

Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее». Если вы копируете с рутокена, то появится окно ввода, в котором следует указать pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.

Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните « Готово » .

В окне « Вставьте чистый ключевой носитель » выберите носитель, на который будет помещен новый контейнер.

На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать или подобрать. Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».

Не храните пароль/pin-код в местах, к которым имеют доступ посторонние. В случае утери пароля/pin-кода использование контейнера станет невозможным.

Если вы копируете контейнер на смарт-карту ruToken, сообщение будет звучать иначе. В окне ввода укажите pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.

После копирования система вернется на вкладку « Сервис » КриптоПро CSP. Копирование завершено. Если вы планируете использовать для работы в Экстерне новый ключевой контейнер, установите его через Крипто Про.

Экспорт PFX-файла и его установка

Экспорт сертификата с закрытым ключом

1. Откройте оснастку работы с сертификатами:

— Пуск → Все программы → КриптоПро → Сертификаты
либо
— ​Internet Explorer → Сервис → Свойства обозревателя → вкладка Содержание → Сертификаты.

2. Откройте сертификат, который нужно скопировать. На вкладке «Состав» нажмите «Копировать в файл».

3. В «Мастере экспорта сертификтов» нажмите «Далее» и выберите пункт «Да, экспортировать закрытый ключ». Нажмите «Далее».

4. На следующем этапе поставьте галочки у пунктов «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства», остальные галочки необходимо убрать. Нажмите «Далее».

5. Обязательно задайте пароль для экспортируемого файла. Данный пароль не рекомендуется сообщать по электронной почте. Нажмите «Далее».

6. Укажите имя файла, выберите путь сохранения и нажмите «Далее», затем нажмите «Готово».

7. Экспортируйте открытый ключ сертификата (см. Экспорт открытого ключа).

8. Заархивируйте полученные файлы форматов .pfx и .cer.

Установка сертификата с закрытым ключом

1. Откройте .pfx файл. Сразу запустится «Мастер импорта сертификатов».

2. Укажите хранилище «Текущий пользователь» и нажмите «Далее», затем снова «Далее».

3. Введите пароль, который указывали при экспорте и поставьте галочку на пункте «Пометить этот ключ как экспортируемый…», иначе наче контейнер нельзя будет скопировать в дальнейшем. Нажмите «Далее».

4. Выберите пункт «Поместить все сертификаты в следующее хранилище», нажмите на кнопку «Обзор», выберите «Личное» и нажмите на кнопку «ОК». Нажмите «Далее», а затем «Готово».

5. В окне КриптоПро выберите носитель, на который хотите сохранить контейнер. При необходимости задайте пароль.

6. Для корректной работы сертификата со встроенной лицензией переустановите сертификат в контейнер (см. Как установить личный сертификат в КриптоПро).

Копирование контейнера из реестра другого пользователя

1. Необходимо найти ветку реестра с нужным контейнером. Ветки реестра, в которых может быть контейнер закрытого ключа:

• для 32-битной ОС: HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Users\*идентификатор пользователя*\Keys\*Название контейнера*;
• для 64-битной ОС: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\USERS\*идентификатор пользователя*\Keys\*Название контейнера*.

2. После того, как нашли нужную ветку, нажмите правой кнопкой мыши на ветку с контейнером и выберите «Экспортировать».

3. Введите имя файла и нажмите на кнопку «Сохранить».

4. Скопируйте файл на тот компьютер, где будете работать с электронной подписью обычными средствами Windows.

5. Пройдите диагностику на сайте https://help.kontur.ru .

6. Как диагностика закончится, нажмите на ссылку «Показать результаты».

7. В списке результатов выберите «Информация о Windows». Скопируйте оттуда SID текущего пользователя.

8. Откройте экспортированный файл реестра с помощью «Блокнота».

9. Замените SID пользователя на скопированный ранее.

Если ветка реестра экспортируется из 32-битной ОС в 64-битную ОС, добавьте в путь ветки реестра параметр Wow6432Node как на скриншоте:

10. Сохраните изменения и закройте файл.

11. Снова нажмите на файл правой кнопкой мыши и выберите «Слияние». В появившемся окне нажмите «Да».

Должно появиться сообщение о том, что данные успешно внесены в реестр. Нажмите «ОК».
Если появляется сообщение «Ошибка при доступе к реестру», необходимо еще раз проверить все пути в файле на корректность. Также проверьте, чтобы в пути не было лишних пробелов, знаков.

12. После того, как данные будут внесены в реестр, необходимо вручную установить сертификат (см. Как установить личный сертификат).

Другие статьи по теме Установка, настройка и работа в Контур.Экстерн