Jak nainstalovat osobní certifikát v crypto pro. Jak nainstalovat osobní certifikát v crypto pro Pokud je soukromý klíč ve formě souborů


Digitální podpisy(EDS) se již dlouho a pevně začaly používat jako vládní instituce a v soukromých společnostech. Technologie je implementována prostřednictvím bezpečnostních certifikátů, obecných pro organizaci i osobních. Ty jsou nejčastěji uloženy na flash discích, což ukládá určitá omezení. Dnes vám řekneme, jak nainstalovat takové certifikáty z flash disku do počítače.

Navzdory své spolehlivosti mohou flash disky také selhat. Kromě toho není vždy vhodné vkládat a vyjímat disk pro práci, zejména na krátkou dobu. Certifikát z média klíče lze nainstalovat na produkční stroj, aby se předešlo těmto problémům.

Postup závisí na verzi Cryptopro CSP, která se na vašem počítači používá: pro nejnovější verze Metoda 1 je vhodná, pro starší - metoda 2. Ta druhá je mimochodem univerzálnější.

Metoda 1: Automatická instalace

Nejnovější verze Cryptopro DSP mají užitečnou funkci automatické instalace osobního certifikátu z externího média na pevný disk. Chcete-li jej povolit, proveďte následující.

  1. Prvním krokem je spuštění CryptoPro CSP. Otevřít nabídku "Start", v něm přejděte na "Ovládací panel".


    Klikněte levým tlačítkem myši na označenou položku.
  2. Otevře se pracovní okno programu. OTEVŘENO "Servis" a vyberte možnost zobrazení certifikátů označených na snímku obrazovky níže.

  3. Klikněte na tlačítko recenze.


    Program vás vyzve k výběru umístění kontejneru, v našem případě flash disku.


    Vyberte ten, který chcete, a klikněte "Další.".
  4. Otevře se náhled certifikátu. Potřebujeme jeho vlastnosti - klikněte na požadované tlačítko.


    V dalším okně klikněte na tlačítko instalace certifikátu.

  5. Otevře se nástroj pro import certifikátu. Chcete-li pokračovat, stiskněte "Další".


    Musíte vybrat umístění úložiště. V nejnovějších verzích CryptoPro je lepší ponechat výchozí nastavení.


    Dokončete práci s nástrojem stisknutím "připraven".

  6. Zobrazí se zpráva oznamující, že import byl úspěšný. Zavřete jej kliknutím "OK".


    Problém je vyřešen.

Tato metoda je dnes nejrozšířenější, ale v některých možnostech certifikátu ji nelze použít.

Metoda 2: Metoda ruční instalace

Zastaralé verze CryptoPro podporují pouze ruční instalaci osobního certifikátu. Navíc v některých případech mohou nejnovější verze softwaru převzít takový soubor do použití prostřednictvím importního nástroje zabudovaného do CryptoPro.

  1. Nejprve se ujistěte, že flash disk, který se používá jako klíč, obsahuje soubor certifikátu ve formátu CER.

  2. Otevřete CryptoPro DSP stejným způsobem, jak je popsáno v metodě 1, ale tentokrát se rozhodnete nainstalovat certifikáty.

  3. Otevře se "Průvodce instalací osobního certifikátu". Pokračujte výběrem umístění souboru CER.


    Vyberte svůj flash disk a složku s certifikátem (takové dokumenty jsou zpravidla umístěny v adresáři s vygenerovanými šifrovacími klíči).


    Poté, co se ujistíte, že je soubor rozpoznán, stiskněte "Další".

  4. Dalším krokem je zkontrolovat vlastnosti certifikátu, abyste se ujistili, že jste vybrali ten správný. Po kontrole stiskněte "Další".

  5. Dalšími kroky jsou určení kontejneru klíčů pro váš soubor CER. Klikněte na příslušné tlačítko.


    Ve vyskakovacím okně vyberte požadované umístění.


    Vraťte se do nástroje pro import a klikněte znovu "Další".

  6. Dále musíte vybrat úložiště pro import soubor s digitálním podpisem. Klikněte "Recenze".


    Protože náš certifikát je osobní, musíme označit odpovídající složku.

    Pozor: pokud tuto metodu používáte na nejnovějším CryptoPro, pak nezapomeňte zaškrtnout políčko "Nainstalujte certifikát (řetěz certifikátů) do kontejneru"!

  7. Dokončete pomocí nástroje pro import.

  8. Chystáme se vyměnit klíč za nový, takže klidně klikněte "Ano" v dalším okně.


    Postup je u konce, můžete podepsat dokumenty.

    9. Tato metoda je poněkud složitější, ale v některých případech je to jediný způsob instalace certifikátů.

Abychom to shrnuli, připomeňme: instalujte certifikáty pouze na důvěryhodné počítače!

Instalace certifikátu a soukromého klíče

Popíšeme si instalaci certifikátu elektronický podpis a soukromý klíč pro operační systémy Windows. Během procesu nastavení budeme potřebovat administrátorská práva (můžeme tedy potřebovat administrátora systému, pokud jej máte).

Pokud jste ještě nepřišli na to, co je Elektronický podpis, přečtěte si prosím Or pokud jste ještě neobdrželi elektronický podpis, kontaktujte Certifikační centrum, doporučujeme SKB-Kontur.

Předpokládejme, že již máte elektronický podpis (token nebo flash disk), ale OpenSRO hlásí, že váš certifikát není nainstalován, tato situace může nastat, pokud se rozhodnete nakonfigurovat svůj druhý nebo třetí počítač (podpis samozřejmě „neroste ” pouze na jeden počítač a lze jej použít na více počítačích). Obvykle se počáteční nastavení provádí s pomocí technické podpory certifikačního centra, ale řekněme, že to není náš případ, takže pojďme.

1. Ujistěte se, že je na vašem počítači nainstalován CryptoPro CSP 4

Chcete-li to provést, přejděte do nabídky Start CRYPTO-PRO CryptoPro CSP spusťte jej a ujistěte se, že verze programu není nižší než 4.

Pokud tam není, stáhněte, nainstalujte a restartujte prohlížeč.

2. Pokud máte token (například Rutoken)

Než s ním bude moci systém pracovat, budete muset nainstalovat potřebný ovladač.

  • Ovladače Rutoken: https://www.rutoken.ru/support/download/drivers-for-windows/
  • Ovladače eToken: https://www.aladdin-rd.ru/support/downloads/etoken
  • Ovladače JaCarta: https://www.aladdin-rd.ru/support/downloads/jacarta

Algoritmus je následující: (1) Download; (2) Nainstalujte.

3. Pokud je soukromý klíč ve formě souborů

Soukromý klíč může mít podobu 6 souborů: header.key, masks.key, masks2.key, name.key, primary.key, primary2.key

Je zde jemnost pokud jsou tyto soubory zapsány na pevný disk vašeho počítače, CryptoPro CSP je nebude moci číst, takže všechny akce je nutné provést tak, že je nejprve zapíšete na flash disk (vyměnitelné médium) a musíte je umístit do složku první úrovně, například: E:\Andrey\( soubory), pokud se nachází v E:\Andrey\ klíče\(soubory), pak to nebude fungovat.

(Pokud se nebojíte příkazového řádku, pak lze vyměnitelné úložiště emulovat asi takto: subst x: C:\tmp objeví se nový disk (X:), bude obsahovat obsah složky C:\tmp , po restartu zmizí. Tuto metodu lze použít, pokud plánujete nainstalovat klíče do registru)

Našli jsme soubory, nahráli je na flash disk a přešli k dalšímu kroku.

4. Instalace certifikátu ze soukromého klíče

Nyní potřebujeme získat certifikát, můžeme to udělat takto:

  1. Otevírací CryptoPro CSP
  2. Přejděte na kartu Servis
  3. Stiskněte tlačítko Zobrazit certifikáty v kontejneru, stiskněte Recenze a zde (pokud jsme v předchozích krocích udělali vše správně) budeme mít svůj kontejner. Stiskněte tlačítko Další, zobrazí se informace o certifikátu a poté klikněte na tlačítko Instalovat(program se může zeptat, zda má poskytnout odkaz na soukromý klíč, odpovězte "Ano")
  4. Poté bude certifikát nainstalován do úložiště a stane se možný podpis dokumenty (zároveň při podpisu dokumentu bude nutné vložit flash disk nebo token do počítače)

5. Použití elektronického podpisu bez tokenu nebo flash disku (instalace do registru)

Pokud je pro vás rychlost a snadnost použití o něco vyšší než zabezpečení, můžete svůj soukromý klíč nainstalovat do registru Windows. Chcete-li to provést, musíte provést několik jednoduchých kroků:

  1. Proveďte přípravu soukromého klíče popsanou v krocích (2) nebo (3)
  2. Dále otevíráme CryptoPro CSP
  3. Přejděte na kartu Servis
  4. Stiskněte tlačítko Kopie
  5. Pomocí tlačítka Recenze vyberte náš klíč
  6. Stiskněte tlačítko Další, pak vymyslíme nějaký název, například „Pupkin, LLC Romashka“ a stiskneme tlačítko Připraven
  7. Zobrazí se okno, ve kterém budete požádáni o výběr média, vyberte registr, klikněte OK
  8. Systém se zeptá Nastavte heslo pro kontejner, vymyslete heslo, klikněte OK

Důležitá poznámka: portál OpenSRO certifikát „neuvidí“, pokud vypršela doba jeho platnosti.

Často dostáváme otázku: jak nainstalovat certifikát přes CryptoPpo CSP. Situace mohou být různé: ředitel nebo hlavní účetní se změnil, dostali nový certifikát v certifikačním centru atd. Dříve vše fungovalo, ale nyní ne. Řekneme vám, co musíte udělat pro instalaci osobního digitálního certifikátu do vašeho počítače.

Můžete nainstalovat osobní certifikát dvěma způsoby:

1. Prostřednictvím nabídky CryptoPro CSP „Zobrazit certifikáty v kontejneru“

2. Prostřednictvím nabídky CryptoPro CSP „Instalovat osobní certifikát“

Pokud vaše pracoviště používá operační systém Windows 7 bez SP1, pak nainstalujte certifikát dle doporučení volby č. 2.

Možnost č. 1. Nainstalujte pomocí nabídky „Zobrazit certifikáty v kontejneru“.

Chcete-li nainstalovat certifikát:

1. Vyberte Start -> Ovládací panely -> CryptoPro CSP -> záložka Nástroje a klikněte na tlačítko „Zobrazit certifikáty v kontejneru“.

2. V okně, které se otevře, klikněte na tlačítko „Procházet“. Vyberte kontejner a potvrďte svou volbu tlačítkem OK.


Pokud se zobrazí zpráva „V kontejneru není žádný soukromý klíč“. veřejný klíčšifrování“, pokračujte v instalaci digitální certifikát podle možnosti č. 2.

4. Pokud je na vašem počítači nainstalována verze „CryptoPro CSP“ 3.6 R2 (verze produktu 3.6.6497) nebo vyšší, pak v okně, které se otevře, klikněte na tlačítko „Instalovat“. Poté odsouhlaste návrh na nahrazení certifikátu.

Pokud tlačítko „Instalovat“ chybí, v okně „Certifikát k prohlížení“ klikněte na tlačítko „Vlastnosti“.


5. V okně „Certifikát“ -> záložka „Obecné“ klikněte na tlačítko „Instalovat certifikát“.


6. V okně „Průvodce importem certifikátu“ vyberte „Další“.

7. Pokud máte nainstalovanou verzi „CryptoPro CSP“ 3.6, pak v dalším okně ponechte přepínač na položce „Automaticky vybrat úložiště podle typu certifikátu“ a klikněte na „Další“. Certifikát se automaticky nainstaluje do „Osobního“ úložiště.



Možnost 2. Nainstalujte pomocí nabídky „Instalovat osobní certifikát“.

K instalaci budete ve skutečnosti potřebovat samotný soubor certifikátu (s příponou .cer). Může být umístěn například na disketě, na tokenu nebo na pevném disku počítače.

Chcete-li nainstalovat certifikát:

1. Vyberte Start -> Ovládací panely -> CryptoPro CSP -> záložka Nástroje a klikněte na tlačítko „Instalovat osobní certifikát“.


2. V okně „Průvodce instalací osobního certifikátu“ klikněte na tlačítko „Další“. V dalším okně vyberte soubor certifikátu kliknutím na „Procházet“.


3. Zadejte cestu k certifikátu a klikněte na tlačítko „Otevřít“ a poté na „Další“.


4. V dalším okně můžete zobrazit informace o certifikátu. Klikněte na „Další“.


5. V dalším kroku zadejte nebo specifikujte kontejner soukromého klíče, který odpovídá vybranému certifikátu. Chcete-li to provést, použijte tlačítko „Procházet“.



Pokud jste nainstalovali CryptoPro CSP 3.6 R2 (verze produktu 3.6.6497) nebo vyšší, zaškrtněte políčko „Instalovat certifikát do kontejneru“.


8. Vyberte „Osobní“ úložiště a klikněte na OK.


9. Vybrané úložiště. Nyní klikněte na „Další“ a poté na „Dokončit“. Poté se může zobrazit zpráva:


V tomto případě klikněte na „Ano“.

10. Počkejte na zprávu, že osobní certifikát byl úspěšně nainstalován na váš počítač.

To je vše, můžete podepisovat dokumenty pomocí nového certifikátu.

Mnoho komponent moderní IT infrastruktury je poměrně úzce svázáno s používáním certifikátů. Co dělat, pokud je certifikát poškozen nebo vytvořen bez správně vygenerovaného soukromého klíče? Síťové služby, jako je Exchange, IIS atd., nebudou s takto „nahým“ souborem certifikátu správně fungovat.
Proto jsem se rozhodl zkompilovat pokyny pro opětovné vytvoření soukromého klíče pro nainstalovaný certifikát:

  • Otevřete konzolu pro správu certifikátů ( Start > Běh > MMC > Přidat/odebrat modul snap-in > Certifikáty > Počítačový účet > Místní počítač)
  • Rozšířit Certifikáty (místní počítač) > Osobní > Certifikáty
  • Otevřete vlastnosti certifikátu, pro který chcete znovu vygenerovat soukromý klíč. Na kartě Podrobnosti vyberte pole Seriálčíslo.
  • Zkopírujte sériové číslo do schránky:
  • Z příkazového řádku s právy správce zadejte následující příkaz:
certutil -repairstore my "<Серийный номер>"

Výsledek provedení příkazu bude něco takového, hlavní je, že obsahuje následující řádek „ opravna příkaz dokončeno úspěšně»:

Poté se v okně certifikátu objeví malý zlatý klíč, který značí, že máte soukromý klíč a nápis „ Máte soukromý klíč, který odpovídá tomuto certifikátu«.

Pokud žádné z níže navržených řešení problém nevyřeší, mohla být klíčová média poškozena a vyžaduje obnovu (viz). Obnovení dat z poškozené čipové karty nebo registru není možné.

Pokud existuje kopie kontejneru klíčů na jiném médiu, musíte ji použít pro práci po instalaci certifikátu.

Disketa

Pokud jako kontejner klíčů používáte disketu, musíte provést následující kroky:

1. Ujistěte se, že v kořenovém adresáři diskety je složka obsahující soubory: header, masks, masks2, name, primary, primary2. Soubory musí mít příponu .key a formát názvu složky musí být xxxxxx.000.

kontejner soukromého klíče byl poškozen nebo odstraněn

2. Ujistěte se, že je čtečka „Disk Drive X“ nakonfigurována v CryptoPro CSP (pro CryptoPro CSP 3.6 – „Všechny vyměnitelné jednotky“), kde X je písmeno jednotky Postup:

  • Vyberte nabídku „Start“ > „Ovládací panely“ > „CryptoPro CSP“;

?).

3. V okně CryptoPro CSP „Výběr kontejneru klíčů“ vyberte přepínač „Unikátní názvy“.

4.

  • Vyberte nabídku „Start“ > „Ovládací panely“ > „CryptoPro CSP“;
  • Přejděte na kartu „Služba“ a klikněte na tlačítko „Odstranit zapamatovaná hesla“;

5. Jak zkopírovat kontejner s certifikátem na jiné médium?).

Flash disk

Pokud je jako klíčové médium použit flash disk, musíte provést následující kroky:

1. Ujistěte se, že v kořenovém adresáři média je složka obsahující soubory: header, masks, masks2, name, primary, primary2 . Soubory musí mít příponu .key a formát názvu složky musí být následující: xxxxxx.000 .

Pokud některé soubory chybí nebo je jejich formát nesprávný, kontejner soukromého klíče mohl být poškozen nebo odstraněn. Musíte také zkontrolovat, zda tato složka obsahuje šest souborů na jiném médiu.

2. Ujistěte se, že čtečka „Disk drive X“ je nakonfigurována v CryptoPro CSP (pro CryptoPro CSP 3.6 – „Všechny vyměnitelné jednotky“), kde X je písmeno jednotky Postup:

  • Vyberte nabídku „Start“ > „Ovládací panely“ > „CryptoPro CSP“;
  • Přejděte na kartu „Vybavení“ a klikněte na tlačítko „Konfigurovat čtečky“.

Pokud čtečka chybí, je třeba ji přidat (viz Jak nakonfigurovat čtečky v CryptoPro CSP?).

3.

4. Odstraňte zapamatovaná hesla. Postup:

  • Vyberte nabídku „Start“ > „Ovládací panely“ > „CryptoPro CSP“;
  • Vyberte položku „Uživatel“ a klikněte na tlačítko „OK“.

5. Vytvořte kopii kontejneru klíčů a použijte ji pro práci (viz Jak zkopírovat kontejner s certifikátem na jiné médium?).

6. Pokud je na vašem pracovišti nainstalován CryptoPro verze CSP 2.0 nebo 3.0 a jednotka A (B) je přítomna v seznamu klíčových médií, pak musí být odstraněna. Postup:

  • Vyberte nabídku „Start“ > „Ovládací panely“ > „CryptoPro CSP“;
  • Přejděte na kartu „Vybavení“ a klikněte na tlačítko „Konfigurovat čtečky;“.
  • Vyberte čtečku „Disk Drive A“ nebo „Disk Drive B“ a klikněte na tlačítko „Delete“.

Po vyjmutí této čtečky nebude možné s disketou pracovat.

Rutoken

Pokud je jako klíčový nosič použita čipová karta Rutoken, musíte provést následující kroky:

1. Ujistěte se, že kontrolka na rutokenu svítí. Pokud se kontrolka nerozsvítí, měli byste použít následující doporučení.

2. Ujistěte se, že je čtečka „Rutoken“ nakonfigurována v CryptoPro CSP (pro CryptoPro CSP 3.6 – „Všechny čtečky čipových karet“).

  • Vyberte nabídku „Start“ > „Ovládací panely“ > „CryptoPro CSP“;
  • Přejděte na kartu „Vybavení“ a klikněte na tlačítko „Konfigurovat čtečky“.

Pokud čtečka chybí, je třeba ji přidat (viz Jak nakonfigurovat čtečky v CryptoPro CSP?).

3. V okně „Vyberte kontejner klíčů“ vyberte přepínač „Unikátní názvy“.

4. Odstraňte zapamatovaná hesla. Postup:

  • Vyberte nabídku „Start“ > „Ovládací panely“ > „CryptoPro CSP“ ;
  • Přejděte na kartu „Služba“ a klikněte na tlačítko „Odstranit zapamatovaná hesla“;
  • Vyberte položku „Uživatel“ a klikněte na tlačítko „OK“.

5. Aktualizujte podpůrné moduly potřebné pro fungování Rutokenu. Postup:

  • Odpojte čipovou kartu od počítače;
  • Vyberte nabídku „Start“ > „Ovládací panely“ > „Přidat nebo odebrat programy“ (pro Windows Vista\Seven „Start“ > „Ovládací panely“ > „Programy a funkce“);
  • Ze seznamu, který se otevře, vyberte „Podpůrné moduly Rutoken“ a klikněte na tlačítko „Odstranit“.

Po vyjmutí modulů je třeba restartovat počítač .

  • Stáhněte a nainstalujte nejnovější verzi modulů podpory. Distribuce je k dispozici ke stažení na webu Aktiv.

Po instalaci modulů musíte restartovat počítač.

6. Měli byste zvýšit počet kontejnerů Rutoken zobrazených v CryptoPro CSP pomocí následujících pokynů .

7. Aktualizujte ovladač Rutoken (viz Jak aktualizovat ovladač Rutoken?).

8. Měli byste se ujistit, že Rutoken obsahuje klíčové kontejnery. Chcete-li to provést, musíte zkontrolovat množství volné paměti na médiu podle následujících kroků:

  • Otevřete „Start“ („Nastavení“) > „Ovládací panely“ > „Ovládací panel Rutoken“ (pokud tato položka chybí, měli byste aktualizovat ovladač Rutoken).
  • V okně „Rutoken Control Panel“, které se otevře, v položce „Readers“ vyberte „Activ Co. ruToken 0 (1,2)“ a klikněte na tlačítko „Informace“.

Pokud ruToken není viditelný v položce „Čtenáři“ nebo když kliknete na tlačítko „Informace“, zobrazí se zpráva „Stav paměti ruToken se nezměnil“, pak je médium poškozeno, musíte kontaktovat servisní středisko. neplánovaná výměna klíče.

  • Zkontrolujte, jaká hodnota je uvedena v řádku „Uvolnit paměť (bajty)“.

Servisní centra vydávají kořenové tokeny s kapacitou paměti asi 30 000 bajtů jako klíčová média. Jeden kontejner zabere asi 4 KB. Množství volné paměti rootkenu obsahujícího jeden kontejner je asi 26 000 bajtů, dva kontejnery - 22 000 bajtů atd.

Pokud je volná paměť kořenového tokenu více než 29–30 000 bajtů, pak na něm nejsou žádné klíčové kontejnery. Proto je certifikát obsažen na jiném médiu.

Registr

Pokud se jako klíčové médium používá čtečka registru, musíte provést následující kroky:

1. Ujistěte se, že čtečka „Register“ je nakonfigurována v CryptoPro CSP. Postup:

  • Vyberte nabídku „Start“ > „Ovládací panely“ > „CryptoPro CSP“;
  • Přejděte na kartu „Vybavení“ a klikněte na tlačítko „Konfigurovat čtečky“.

Pokud čtečka chybí, je třeba ji přidat (viz Jak nakonfigurovat čtečky v CryptoPro CSP?).

2. V okně „Vyberte kontejner klíčů“ vyberte přepínač „Unikátní názvy“.

3. Odstraňte zapamatovaná hesla. Postup:

  • Vyberte nabídku „Start“ > „Ovládací panely“ > „CryptoPro CSP“;
  • Přejděte na kartu « Service“ a klikněte na tlačítko „Smazat zapamatovaná hesla“;
  • Vyberte položku „Uživatel“ a klikněte na tlačítko „OK“.