— —
Новости компании
25.06.2023
Цель: Перенести закрытый ключ электронной подписи (ЭЦП) с защищенного носителя Рутокен (часто выданного ФНС) в реестр компьютера или папку %APPDATA%\Crypto Pro\. Это может потребоваться для работы на терминальных серверах, использования ключа несколькими программами без постоянного подключения токена или для создания резервной копии.
Внимание: Процедура предназначена для копирования ключей, на которые установлен запрет экспорта (статус "Неэкспортируемый"). Обычно такую защиту ставят удостоверяющие центры, включая ФНС. Метод работает благодаря особенностям программной реализации токенов Рутокен Lite и некоторых других моделей .
Важные меры предосторожности
Перед началом работ настоятельно рекомендуется:
Отключить интернет на компьютере, где будет запускаться утилита CertFix. Программа пытается скачать обновления, что может помешать процессу .
Позаботиться о безопасности. Рекомендуется выполнять все действия на изолированной виртуальной машине (ВМ), которую после завершения можно "уничтожить". Это минимизирует риски компрометации ключа, так как приватный ключ будет временно храниться в незащищенном виде .
Убедиться в типе носителя. Утилита Tokens.exe работает не со всеми моделями. Поддерживаются: Рутокен Lite, Рутокен S, старые версии Рутокен. Не поддерживаются: Рутокен ЭЦП 2.0, Рутокен 3.0, JaCarta LT, ESMART Token ГОСТ (на них аппаратная реализация не позволяет выгрузить ключ через эту утилиту) .
Необходимое программное обеспечение
Вам потребуется комплект утилит от СКБ Контур, часто распространяемый в архиве Tokens_CertFix.zip:
Tokens.exe — для копирования контейнера с Рутокен на промежуточную флешку .
CertFix.000032.exe (или аналогичная версия) — для снятия флага запрета экспорта с ключа, лежащего на флешке .
Где взять? Архивы доступны на технических порталах и в сообществах IT-специалистов. Будьте внимательны и проверяйте скачиваемые файлы антивирусом .
Этап 1: Экспорт контейнера на USB-флешку (Утилита Tokens.exe)
На этом этапе мы скопируем закрытый ключ и сертификат с токена Рутокен на обычную флешку.
Подготовка оборудования. Вставьте в компьютер два носителя:
Исходный Рутокен с "неэкспортируемым" ключом.
Чистую USB-флешку (отформатированную, например, в FAT32).
Запуск утилиты. Запустите файл Tokens.exe от имени администратора. Программа просканирует подключенные устройства и отобразит список доступных контейнеров.
Выбор и экспорт. Найдите в списке свой сертификат. Нажмите кнопку «Экспорт» .
Если кнопка неактивна или программа не видит токен, возможно, ваша модель не поддерживается.
Выбор пути. В открывшемся окне укажите путь к вашей USB-флешке. Лучше сохранять в корень диска, чтобы избежать проблем с путями .
Переименование. Обязательно измените имя контейнера. Оно должно отличаться от исходного хотя бы на один символ (например, добавить в конце "_1") .
Результат. Нажмите "ОК". На флешке появится папка с именем контейнера, внутри которой будут файлы ключа (header.key, masks.key, name.key, primary.key и др.) .
Этап 2: Снятие запрета на экспорт (Утилита CertFix)
Контейнер на флешке пока что является точной копией токена и всё ещё имеет атрибут DENIED (запрет экспорта). Убедитесь, что интернет отключен.
Извлеките Рутокен. Оставьте в компьютере только флешку с скопированным контейнером .
Запустите CertFix. Запустите файл CertFix.000032.exe (или аналогичный). Дождитесь надписи «Загрузка завершена» в строке статуса .
Выбор сертификата. В списке найдите свой сертификат. В колонке "Экспорт закрытого ключа" у него будет стоять статус DENIED .
Волшебное действие. Выделите строку с сертификатом. Зажмите клавишу Shift на клавиатуре и, не отпуская её, нажмите правую кнопку мыши на выделенной строке .
Активация экспорта. В появившемся контекстном меню выберите пункт «Сделать экспортируемым (файловая система)» .
Установка пароля. Система запросит пароль. Задайте пароль (обязательно). Впоследствии при работе с ключом его нужно будет вводить или можно убрать через настройки КриптоПро. После этой операции статус контейнера на флешке должен смениться на ALLOWED .
Этап 3: Импорт в реестр Windows (Windows 10)
Теперь у нас есть "чистый" контейнер на флешке, готовый для копирования в реестр.
Откройте КриптоПро CSP. Зайдите в Панель управления -> КриптоПро CSP (или найдите через поиск в Пуске).
Запустите копирование. Перейдите на вкладку «Сервис» и нажмите кнопку «Скопировать» .
Выбор исходного контейнера. Нажмите «Обзор» и выберите контейнер, который находится на флешке (в списке он будет с пометкой "Диск" или "Съемный носитель"). Нажмите "Далее".
Задание имени и места назначения. Введите новое имя для контейнера в реестре. На вопрос о считывателе укажите «Реестр».
Альтернативный путь: Если вы хотите скопировать контейнер не в реестр, а в папку профиля C:\Users\Имя_Пользователя\AppData\Roaming\Crypto Pro\, то на этом шаге в качестве считывателя нужно выбрать «Файловая система» и указать путь.
Завершение. Следуйте инструкциям мастера. Если на предыдущем этапе всё сделано правильно, ошибка о запрете экспорта не появится, и ключ успешно скопируется .
Этап 4: Установка сертификата
После копирования контейнера в реестр необходимо установить сам сертификат в хранилище "Личное", чтобы компьютер мог его корректно использовать.
В КриптоПро CSP на вкладке «Сервис» нажмите кнопку «Просмотреть сертификаты в контейнере» .
Нажмите «Обзор» и выберите ваш новый контейнер, расположенный в реестре. Нажмите "ОК", затем "Далее".
В открывшемся окне сертификата нажмите кнопку «Свойства», затем «Установить сертификат».
Выберите хранилище «Личное» и завершите работу мастера.
Проверка результата
Извлеките и исходный Рутокен, и флешку из компьютера.
В КриптоПро CSP на вкладке «Сервис» нажмите «Протестировать...» .
В списке должен отображаться ваш контейнер со считывателем «Реестр» (или путь к папке).
Пройдите тестирование. Результат должен быть: "Ошибок не обнаружено".
Заключение и важные замечания
Ответственность. Копирование ключей, особенно с запретом экспорта, часто нарушает лицензионную политику удостоверяющего центра. Вы выполняете эти действия на свой страх и риск.
Риски безопасности. Закрытый ключ, хранящийся в реестре или в папке на диске, гораздо уязвимее, чем ключ на защищенном токене. Злоумышленник, получивший доступ к вашему компьютеру, может украсть его.
Не сработало? Если Tokens.exe не видит ключ на Рутокен 2.0 или 3.0, значит, ключ был сгенерирован аппаратными средствами токена, и данный метод неприменим .
Для 1С. После успешного переноса не забудьте в настройках подключения к информационным базам или в программах ЭДО указать использование сертификата из хранилища ("Выбрать сертификат..."), чтобы программа увидела новый ключ в реестре.
Копирование закрытого контейнера с Рутокен в реестр Windows с помощью утилит СКБ Контур
Копирование закрытого контейнера с Рутокен в реестр Windows с помощью утилит СКБ КонтурЦель: Перенести закрытый ключ электронной подписи (ЭЦП) с защищенного носителя Рутокен (часто выданного ФНС) в реестр компьютера или папку %APPDATA%\Crypto Pro\. Это может потребоваться для работы на терминальных серверах, использования ключа несколькими программами без постоянного подключения токена или для создания резервной копии.
Внимание: Процедура предназначена для копирования ключей, на которые установлен запрет экспорта (статус "Неэкспортируемый"). Обычно такую защиту ставят удостоверяющие центры, включая ФНС. Метод работает благодаря особенностям программной реализации токенов Рутокен Lite и некоторых других моделей .
Важные меры предосторожности
Перед началом работ настоятельно рекомендуется:
Отключить интернет на компьютере, где будет запускаться утилита CertFix. Программа пытается скачать обновления, что может помешать процессу .
Позаботиться о безопасности. Рекомендуется выполнять все действия на изолированной виртуальной машине (ВМ), которую после завершения можно "уничтожить". Это минимизирует риски компрометации ключа, так как приватный ключ будет временно храниться в незащищенном виде .
Убедиться в типе носителя. Утилита Tokens.exe работает не со всеми моделями. Поддерживаются: Рутокен Lite, Рутокен S, старые версии Рутокен. Не поддерживаются: Рутокен ЭЦП 2.0, Рутокен 3.0, JaCarta LT, ESMART Token ГОСТ (на них аппаратная реализация не позволяет выгрузить ключ через эту утилиту) .
Необходимое программное обеспечение
Вам потребуется комплект утилит от СКБ Контур, часто распространяемый в архиве Tokens_CertFix.zip:
Tokens.exe — для копирования контейнера с Рутокен на промежуточную флешку .
CertFix.000032.exe (или аналогичная версия) — для снятия флага запрета экспорта с ключа, лежащего на флешке .
Где взять? Архивы доступны на технических порталах и в сообществах IT-специалистов. Будьте внимательны и проверяйте скачиваемые файлы антивирусом .
Этап 1: Экспорт контейнера на USB-флешку (Утилита Tokens.exe)
На этом этапе мы скопируем закрытый ключ и сертификат с токена Рутокен на обычную флешку.
Подготовка оборудования. Вставьте в компьютер два носителя:
Исходный Рутокен с "неэкспортируемым" ключом.
Чистую USB-флешку (отформатированную, например, в FAT32).
Запуск утилиты. Запустите файл Tokens.exe от имени администратора. Программа просканирует подключенные устройства и отобразит список доступных контейнеров.
Выбор и экспорт. Найдите в списке свой сертификат. Нажмите кнопку «Экспорт» .
Если кнопка неактивна или программа не видит токен, возможно, ваша модель не поддерживается.
Выбор пути. В открывшемся окне укажите путь к вашей USB-флешке. Лучше сохранять в корень диска, чтобы избежать проблем с путями .
Переименование. Обязательно измените имя контейнера. Оно должно отличаться от исходного хотя бы на один символ (например, добавить в конце "_1") .
Результат. Нажмите "ОК". На флешке появится папка с именем контейнера, внутри которой будут файлы ключа (header.key, masks.key, name.key, primary.key и др.) .
Этап 2: Снятие запрета на экспорт (Утилита CertFix)
Контейнер на флешке пока что является точной копией токена и всё ещё имеет атрибут DENIED (запрет экспорта). Убедитесь, что интернет отключен.
Извлеките Рутокен. Оставьте в компьютере только флешку с скопированным контейнером .
Запустите CertFix. Запустите файл CertFix.000032.exe (или аналогичный). Дождитесь надписи «Загрузка завершена» в строке статуса .
Выбор сертификата. В списке найдите свой сертификат. В колонке "Экспорт закрытого ключа" у него будет стоять статус DENIED .
Волшебное действие. Выделите строку с сертификатом. Зажмите клавишу Shift на клавиатуре и, не отпуская её, нажмите правую кнопку мыши на выделенной строке .
Активация экспорта. В появившемся контекстном меню выберите пункт «Сделать экспортируемым (файловая система)» .
Установка пароля. Система запросит пароль. Задайте пароль (обязательно). Впоследствии при работе с ключом его нужно будет вводить или можно убрать через настройки КриптоПро. После этой операции статус контейнера на флешке должен смениться на ALLOWED .
Этап 3: Импорт в реестр Windows (Windows 10)
Теперь у нас есть "чистый" контейнер на флешке, готовый для копирования в реестр.
Откройте КриптоПро CSP. Зайдите в Панель управления -> КриптоПро CSP (или найдите через поиск в Пуске).
Запустите копирование. Перейдите на вкладку «Сервис» и нажмите кнопку «Скопировать» .
Выбор исходного контейнера. Нажмите «Обзор» и выберите контейнер, который находится на флешке (в списке он будет с пометкой "Диск" или "Съемный носитель"). Нажмите "Далее".
Задание имени и места назначения. Введите новое имя для контейнера в реестре. На вопрос о считывателе укажите «Реестр».
Альтернативный путь: Если вы хотите скопировать контейнер не в реестр, а в папку профиля C:\Users\Имя_Пользователя\AppData\Roaming\Crypto Pro\, то на этом шаге в качестве считывателя нужно выбрать «Файловая система» и указать путь.
Завершение. Следуйте инструкциям мастера. Если на предыдущем этапе всё сделано правильно, ошибка о запрете экспорта не появится, и ключ успешно скопируется .
Этап 4: Установка сертификата
После копирования контейнера в реестр необходимо установить сам сертификат в хранилище "Личное", чтобы компьютер мог его корректно использовать.
В КриптоПро CSP на вкладке «Сервис» нажмите кнопку «Просмотреть сертификаты в контейнере» .
Нажмите «Обзор» и выберите ваш новый контейнер, расположенный в реестре. Нажмите "ОК", затем "Далее".
В открывшемся окне сертификата нажмите кнопку «Свойства», затем «Установить сертификат».
Выберите хранилище «Личное» и завершите работу мастера.
Проверка результата
Извлеките и исходный Рутокен, и флешку из компьютера.
В КриптоПро CSP на вкладке «Сервис» нажмите «Протестировать...» .
В списке должен отображаться ваш контейнер со считывателем «Реестр» (или путь к папке).
Пройдите тестирование. Результат должен быть: "Ошибок не обнаружено".
Заключение и важные замечания
Ответственность. Копирование ключей, особенно с запретом экспорта, часто нарушает лицензионную политику удостоверяющего центра. Вы выполняете эти действия на свой страх и риск.
Риски безопасности. Закрытый ключ, хранящийся в реестре или в папке на диске, гораздо уязвимее, чем ключ на защищенном токене. Злоумышленник, получивший доступ к вашему компьютеру, может украсть его.
Не сработало? Если Tokens.exe не видит ключ на Рутокен 2.0 или 3.0, значит, ключ был сгенерирован аппаратными средствами токена, и данный метод неприменим .
Для 1С. После успешного переноса не забудьте в настройках подключения к информационным базам или в программах ЭДО указать использование сертификата из хранилища ("Выбрать сертификат..."), чтобы программа увидела новый ключ в реестре.