Как установить цифровую подпись с флешки. (ЭЦП) электронная подпись для госуслуг, создание и получение
Когда вы получили на руки все данные по вашей электронной подписи, нужно разобраться, как установить сертификат ЭЦП. Перед тем, как предпринимать какие-либо действия относительно ключей ЭЦП, необходимо обеспечить операционную систему модулями поддержки eToken и цифровой подписи.
Установка корневого сертификата удостоверяющего центра
Установка ЭЦП начинается с загрузки ключевого файла, именуемого корневым сертификатом. Он находится на электронном носителе (флеш-карте).
Перед загрузкой следует убедиться в его достоверности. Раскрываем документ с расширением «cer», открываем вкладку «Состав» и пункт «Отпечаток» и удостоверяемся в том, что появившееся на экране буквенно-числовое значение соответствует нужной комбинации.
Произведение установки требует войти в операционную систему в статусе администратора и раскрыть файл, который проверяли. Находим вкладку «Общая». Из предложенного списка останавливаемся на пункте «Установить сертификат». Процедура производится посредством запуска программы мастера установки, который запрашивает одобрение для продолжения. Подтверждаем.
Следующие действия зависят от имеющейся операционной системы. Windows XP автоматически избирает хранилище для сертификата, основываясь на его типе. Версия «7» и «Vista» такой опцией не наделена. Поэтому кликаем позицию «Разместить в хранилище». Через функцию «Обзор» задаем выбранное место. Жмем «Далее» и «Готово». Появляется сообщение «Импорт успешно произведен».
Установление личного сертификата ключа подписи
Входим в систему под именем пользователя, который будет работать с устанавливаемой подписью. В меню «Пуск» открываем «Панель управления», далее – программу работы с ЭП. Нажимаем правой кнопкой. Видим вкладки:
- «безопасность»;
- «дополнительно»;
- «алгоритмы»;
- «оборудование»;
- «обслуживание» (на ней и останавливаемся).
Установка сертификата ЭЦП требует выбрать из предложенных вариантов одноименный пункт, касающийся личного сертификата. Открывается мастер установки. Жмем «Далее». Всплывет окно, требующее указать путь к файлу с личным сертификатом (он был получен в УЦ). Его имя обычно состоит из даты создания и ФИО подписанта и может иметь расширение «p7b» либо «cer».
Дальше нужно узнать, как выгрузить сертификат ЭЦП. Указываем путь при помощи кнопки «Обзор». Продолжаем, нажав «Далее». В открывшемся окне нужно выбрать контейнер с ключом ЭП, который соответствует устанавливаемому сертификату. Вставляем eToken в USB-порт. С помощью функции «Обзор» находим считыватель, который содержит ключевой носитель. В выпадающем списке открываем пункт, название которого заканчивается на «Service Provider». Жмем кнопку «Далее».
Программа установки потребует ввести пароль доступа к eToken. Обычно он состоит из десяти символов и первоначально стандартен, например – 1234567890. Пароль нужно сменить на собственный. В окне выбора хранилища сертификата нажимаем кнопку «Обзор», выбираем пункт «Личные». Нажимаем «Далее» и «Готово».
Работа с обновленным сертификатом
Перед тем, как установить новый сертификат ЭЦП, нужно удалить старый. Это даст возможность исключить в дальнейшей работе с сертификатом ошибки системы при выборе нужного.
Вставляем ключ с обновленным сертификатом в ПК. Запускаем базовую программу для работы с ЭП. Для этого заходим по пути «Пуск» и выбираем «Все программы».
Открываем меню «Сервис», далее – «Пересмотреть сертификаты в контейнере». Во всплывшем окне нажимаем «Обзор». Находим контейнер, кликаем «ОК», «Установить». Появляется сообщение об успешной установке. Жмем «ОК» и «Готово». Новый сертификат успешно установлен.
Активация подписи
После успешной установки нужно активировать свою электронную подпись. Как активировать ЭЦП? Эта операция не требует много времени и сил и происходит по такой схеме:
Если все проходит успешно, после нажатия «Проверить» видим сообщения:
- запрос подан;
- заявка подтверждена;
- сертификат выпущен.
После этого появится уже знакомая кнопка «Обзор» и «Подтвердить».
Отдельные нюансы
Вопрос о том, как установить ключ ЭЦП, может возникать во время работы с ключами ЭП в форме eToken или размещенными на флеш-картах, когда нужно перезаписать ключ в реестр. Такая потребность может появиться, если на одном ПК используется множество ЭП. Для проведения подобного действия подключаем носитель «Реестр» в программу работы с ЭП и записываем сюда контейнер для последующего использования без переносного носителя.
Многие задаются вопросом, как установить ЭЦП для государственного реестра. Статусом официального УЦ проекта «Электронное правительство» наделен ОАО «Ростелеком». Он изготовляет сертификаты для реестра административных услуг. Поэтому при установке ЭП нужно руководствоваться его инструкцией.
Как правило, электронно-цифровая подпись записывается на USB-носитель. Однако, если вам необходимо установить ЭЦП с флешки на компьютер, то есть скопировать ЭЦП на компьютер, узнайте в этой статье, как быстро и просто это сделать.
Скопировать ЭЦП на компьютер
Безусловно, постоянно носить с собой флешку не всегда удобно. Она либо может прийти в негодность, либо ее просто-напросто может не оказаться под рукой в нужный момент. В таком случае придет на помощь способ, при котором мы скопируем сертификат ЭЦП на сам компьютер, что впоследствии позволит обойтись без USB-носителя.
Для того, чтобы скопировать ЭЦП на компьютер , пожалуйста, следуйте дальнейшим инструкциям:
Вставьте USB-носитель с ЭЦП в компьютер и запустите программу КриптоПро CSP , перейдите во вкладку Сервис и нажмите Скопировать… .
В открывшемся окне выберите ключевой контейнер, для этого нажмите кнопку Обзор .
В открывшемся списке ключевых контейнеров пользователя выберите контейнер и нажмите Ок .
После выбора контейнера, его имя появится в строке Имя ключевого контейнера . В следующем окне просто нажмите Далее .
В следующем шаге необходимо указать информацию о новом контейнере, для чего введите Имя сертификата (придумайте любое имя сертификата ключа). После этого нажмите кнопку Готово .
Для вновь создаваемого контейнера существует возможность задать новый пароль. Если желаете установить пароль, дважды введите его в соответствующие поля. Если использование пароля не планируется, оставьте поля пустыми и нажмите Ок .
Итак, мы выбрали объект для копирования, указали место хранения сертификата. Теперь необходимо этот сертификат установить.
Во вкладке Сервис нажмите Просмотреть сертификаты в контейнере…
Нажав на кнопку Обзор , в открывшемся окне, если вы обратили внимание, появился еще один ключевой контейнер. Выберите вновь созданный контейнер и нажмите Ок .
После выбора нового контейнера нажмите Далее .
В открывшемся окне будет указан сертификат для просмотра. Нажмите Установить .
В итоге, после произведенных вами действий, появится сообщение об успешной установке сертификата. Нажмите Ок .
Готово. ЭЦП установлена на компьютер.
По мере вытеснения бумажного документооборота электронным все большее значение и все большее распространение получает такой инструмент как электронная подпись. Уже сейчас многие ведомства осуществляют обмен документами исключительно в электронном виде, при этом каждый юридически значимый документ подписывается электронной подписью. Она используется при работе на электронных торговых площадках, при взаимодействии с государственными информационными системами (такими как ГИС ГМП, ГИС ЖКХ и прочие) и даже может быть использована для авторизации на государственных порталах (как например gosuslugi.ru). Нет никаких сомнений в том, что в дальнейшем расширение сферы применения электронных подписей будет продолжаться, а потому специалистам в сфере информационных технологий крайне важно понимать принцип действия электронной подписи и уметь произвести необходимые мероприятия по установке и настройке программного обеспечения для работы с электронной подписью.
Конечно, изучение данного вопроса стоило бы начать с федерального закона «Об электронной подписи» (http://www.consultant.ru/document/cons_doc_LAW_112701/
), где даются определения понятий, правовой статус электронной подписи, порядок ее использования и прочая полезная информация. Однако, цель данной статьи показать, как быстро, не вдаваясь в подробности, произвести установку электронной подписи, что в некоторых случаях, в случаях, когда времени на должное изучение нет, будет весьма полезно.
Установку будем производить на компьютер под управлением операционной системы Windows 7 Professional, закрытый ключ электронной подписи на носителе eToken, а в качестве криптопровайдера будем использовать КриптоПро CSP.
Начнем с установки необходимого программного обеспечения:
- КриптоПро CSP версии 3.6 или выше;
- Драйвер носителя (при использовании eToken или Рутокен).
Драйвер для eToken можно скачать бесплатно по следующей ссылке http://www.aladdin-rd.ru/support/downloads/etoken/
, драйвер для Рутокен доступен для скачивания по ссылке http://www.rutoken.ru/support/download/drivers-for-windows/
.
В качестве носителя ключевой информации могут также использоваться и другие устройства, такие как флеш-накопитель, смарт-карта или реестр, однако использовать их не рекомендуется так как они не обеспечивают достаточный уровень защиты ключевой информации от несанкционированного доступа.
Установка сертификата ключа электронной подписи.
После того как драйвер eToken (Рутокен) и криптопровайдер КриптоПро CSP установлены, можем начинать установку сертификата ключа проверки электронной подписи.
Запускаем программу КриптоПро CSP, переходим на вкладку «Сервис» и жмем кнопку «Просмотреть сертификаты в контейнере».
В открывшемся окне нажимаем «Обзор», выбираем нужного владельца и жмем «Ок».
В следующем окне ничего не меняем, жмем «Далее».
Откроется окно, в котором мы можем увидеть краткие сведения о сертификате пользователя (информацию о владельце, срок действия сертификата и его серийный номер).
Чтобы просмотреть подробные сведения нажимаем «Свойства». Если корневой сертификат удостоверяющего центра еще не установлен (как в нашем случае), то во вкладке общие мы увидим сообщение как на рисунке ниже. Актуальный корневой сертификат удостоверяющего центра, как правило, доступен для скачивания на сайте удостоверяющего центра (организации выдавшей электронную подпись).
Возвращаемся в предыдущее окно и нажимаем «Установить» чтобы продолжить установку сертификата пользователя. Появится сообщение о том, что готовится установка сертификата. Подтверждаем установку нажатием кнопки «Да».
Появится так же сообщение от eToken PKI, с предложением записать сертификат на eToken. Отказываемся, нажимаем «Cansel».
Сертификат установлен в хранилище сертификатов. Нажимаем «Готово» чтобы завершить установку.
Установка корневого сертификата удостоверяющего центра.
Файл корневого сертификата удостоверяющего центра (с расширением.cer) открываем двойным щелчком мыши и жмем кнопку «Установить сертификат».
Откроется мастер импорта сертификатов. Жмем «Далее». Затем ставим галочку «Поместить сертификат в следующее хранилище».
Через «Обзор» указываем папку «Доверенные корневые центры сертификации». 
Жмем «Ок» и завершаем установку. Появится сообщение об успешном выполнении операции.
Теперь, открыв свойства сертификата пользователя, мы не увидим прежней ошибки.
Нам остается только протестировать контейнер закрытого ключа.
Тестирование.
Открываем КриптоПро CSP, и во вкладке «Сервис» нажимаем «Протестировать».
Находим ключевой контейнер через «Обзор» либо по соответствующему сертификату и жмем «Далее». Появится запрос на ввод pin-кода для контейнера. Вводим пароль и нажимаем «Ок». Если поставить галочку «Запомнить pin-код», система не будет запрашивать его при всяком обращении к ключевому контейнеру (в том числе при подписании документа), что не рекомендуется в целях защиты от несанкционированного доступа.
Далее откроется окно с информацией о наличии или отсутствии ошибок.
Установка электронной подписи в реестр.
Возможна ситуация, когда закрытый ключ электронной подписи необходимо размножить, чтобы использовать на нескольких компьютерах. В таких случаях оптимальным решением будет произвести установку закрытого ключа электронной подписи в реестр. Для созданного в реестре контейнера можно будет задать пароль и тем самым ограничить доступ к закрытому ключу электронной подписи, который хранится в контейнере. Съемный же носитель, после установки, можно будет передать другому пользователю. Отмечу, что такая мера оправдана в тех случаях, когда, например, несколькими сотрудниками одной организации (ведомства) используется одна и та же подпись (к примеру, подпись органа власти). В остальных же случаях, прибегать к подобным мерам не рекомендуется.
Установка считывателя «Реестр».
Первое что необходимо сделать – произвести установку считывателя. Это достаточно легко сделать с помощью мастера установки считывателей (добавление и удаление считывателей выполняется под учетной записью с правами администратора). Если при установке КриптоПро CSP Вы ставили галочку «Зарегистрировать считыватель «Реестр», как на рисунке ниже, и он присутствует в списке считывателей, можно сразу переходить к копированию контейнера закрытого ключа в реестр.
Запускаем КриптоПро CSP, во вкладке «Оборудование» нажимаем кнопку «Настроить считыватели».
В открывшемся окне жмем «Добавить».
Запустится мастер установки считывателя, жмем «Далее».
Из перечня в окне с права выбираем «Реестр» и жмем «Далее».
Затем задаем имя считывателя, либо оставляем без изменения как в нашем примере и жмем «Далее».
Завершаем работу мастера, нажимаем «Готово».
Копирование контейнера закрытого ключа в реестр.
Считыватель подготовлен, теперь нужно скопировать контейнер с ключевой информацией со съемного носителя eToken в реестр. Для этого выходим в главное меню КриптоПро CSP и во вкладке «Сервис» жмем кнопку «Скопировать». Через «Обзор» указываем контейнер, который хотим скопировать в реестр.
Затем система запросит пароль для доступа к контейнеру на съемном носителе (eToken). Вводим пароль, и в следующем окне задаем имя для ключевого контейнера, который будет создан в реестре.
В следующем окне программа предложит выбрать носитель, на который нужно записать контейнер. Выбираем «Реестр» и жмем «Ок».
Теперь необходимо задать пароль для контейнера, который мы поместили в реестр.
Вводим пароль, подтверждаем и жмем «Ок».
Теперь, запустив функцию тестирования контейнера закрытого ключа, кроме контейнера на съемном носителе, мы увидим созданный контейнер на считывателе «Реестр».
Завершаем процедуру тестирования контейнера. Если ошибок не обнаружено, переходим к установке сертификата ключа электронной подписи (если она не была произведена ранее). Процедура установки сертификата с реестра аналогична процедуре установки со съемного носителя, причем, если сертификат данного владельца уже был установлен со съемного носителя, то повторная его установка после копирования контейнера в реестр не потребуется.
При работе с носителями ключей ЭЦП, как в виде RuToken так и в виде обычных флеш-накопителей, часто могут возникать ситуации, когда есть необходимость скопировать ключ в реестр , как например в случае, если на одном рабочем месте используется слишком большое количество электронных цифровых подписей. В целом вся процедура сводится к тому, что вы подключаете носитель "Реестр" в CryptoPro и копируете туда Ваш контейнер для дальнейшей работы без участия переносного носителя. Давайте подробнее рассмотрим все необходимые действия.
Во-первых необходимо установить нужный нам считыватель, для этого открываем КриптоПро через меню "Пуск" - "Панель управления":
Жмем "Настроить считыватели" и если в появившемся окне управления считывателями Вы не видите поле "Реестр", нажимаем "Добавить". В ином случае можно пропустить данный пункт и переходить к процедуре копирования контейнера:
В мастере установки считывателей выбираем предложенный вариант "Реестр" и нажимаем "Далее":
Задаем имя считывателя, где пишем "реестр" чтобы не запутаться, жмем "далее" и видим, что носитель добавлен. Нажимаем "ОК":
Теперь нам необходимо скопировать ключ ЭЦП, для этого открываем вкладку "Сервис" в КриптоПро и жмем "Скопировать...". Убеждаемся, что Ваш носитель подключен к компьютеру и выбираем его в окне выбора ключевого контейнера через кнопку "Обзор". В нашем случае это дисковод G:
Выбираем Реестр в левом списке, жмем "ОК" и задаем новый пароль для вновь скопированного контейнера:
Контейнер скопирован, осталось установить личный сертификат и можно приступать к работе. Для этого во вкладке "Сервис" выбираем "Установить личный сертификат", кнопкой "Обзор" выбираем открытый сертификат скопированного закрытого ключа, жмем "Далее" - "Далее" - указываем контейнер "реестр" как ключевой, жмем "ОК", вводим пароль который указали выше при копировании контейнера, в имени хранилища сертификатов кнопкой "Обзор" выбираем папку "Личные" - "ОК" - "Далее" - "Готово". Теперь Вы можете подписывать с помощью ЭЦП без использования физического носителя.
Добрый день!. Продолжаем нашу с вами тему с сертификатами и работе с ними. В прошлый раз я вам подробно рассказал, как получить тестовый сертификат криптопро , посмотрите очень интересная заметка. Согласитесь, что для тестирования вам может потребоваться не один сертификат, а гораздо больше, и очень удобно иметь возможность работать с ними, без привязки к физическим токенам, например, на виртуальных машинах Vmware . Для таких задач, есть возможность поместить сертификаты КриптоПРО в реестр Windows , чем мы с вами и займемся.
Когда нужно копировать сертификаты КриптоПРО в реестр
Существует ряд задач, когда удобно иметь вашу ЭЦП подпись в реестре Windows:
1. При тестировании настроенного окружения для торговых площадок, для входа на которые используется ЭЦП подпись.
2. Когда у вас виртуальная инфраструктура и нет возможности, произвести проброс USB устройств по локальной сети
3. Ситуации, когда КриптоПРО не видит USB токена
4. Ситуации, когда USB ключей очень много и нужно работать одновременно
с 5-ю и более ключами, примером может служить программа по сдачи отчетности СБИС
Как скопировать сертификат в реестр КриптоПРО
CryptoPRo позволяет производить установку с копирование закрытого ключа (сертификата) в реестр Windows.
Хочу вас сразу предупредить, что с точки зрения безопасности, это очень не надежно и ваши закрытые ключи могут быть похищены, если вы не организовываете надлежащий уровень безопасности
И так, у меня есть USB токен SafeNet, на который я выпустил тестовую ЭЦП, ее я буду переносить вместе с закрытым ключом в реестр Windows. Открываем утилиту CryptoPRO с правами администратора.
Переходите на вкладку "Сервис" и нажимаете "скопировать"
У вас откроется окно "Контейнер закрытого ключа", тут вам нужно нажать кнопку "Обзор", что бы выбрать ваш сертификат, который вы хотите скопировать в реестр.
В итоге у вас в поле "Имя ключевого контейнера" отобразиться абракадабровое имя.
У вас появится окно с вводом пин-кода от вашего USB токена.
Теперь вам необходимо задать имя для копируемого сертификата в реестр Windows, КриптоПРО благо, это позволяет. Я назвал его "Копия сертификата в реестре (Семин Иван)"
Теперь вам необходимо положить сертификаты КриптоПРО в реестр, для этого выбираем соответствующий пункт и нажимаем "Ок".
На следующем шаге вам предложат установить новый пароль на ваш контейнер с закрытым ключом, советую установить его и желательно посложнее.
Установка закрытого ключа в реестр
Теперь когда ваш закрытый ключ находится в реестре, давайте установим личный сертификат. Для этого откройте на вкладке "Сервис" кнопку "Посмотреть сертификат в контейнере"
И выберите сертификат из реестра, он будет с тем именем, что вы ему задавали.
После чего производится установка закрытого ключа в реестр, через соответствующую кнопку.
Видим, что сертификат был установлен в хранилище "Личные" текущего пользователя.Как видите, было очень просто скопировать закрытый ключ в реестр операционной системы.
Где хранится закрытый ключ в реестре Windows
После процедуры добавления сертификата в реестр КриптоПРО, я бы хотел показать, где вы все это дело можете посмотреть. Ранее я вам рассказывал, о том как добавить оснастку сертификаты . Нас будет интересовать раздел "Сертификаты пользователя - Личное".
Либо вы можете зайти в свойства Internet Explorer на вкладку "Содержание". Потом перейти в пункт "Сертификаты", где у вас будут отображаться все ваши SSL сертификаты, и те, что КриптоПРО скопировал в реестр операционной системы.
Если нужно найти ветку реестра с закрытым ключом, то я вам приводил уже пример в статье, когда я переносил ЭЦП с компьютера на компьютер.
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\Ваш SID, как его определить читайте по ссылке\Keys\Копия сертификата в реестре (Семин Иван)
Про копирование ЭЦП с закрытыми ключами мы разобрали, теперь ситуация обратная.
Как скопировать эцп из реестра на флешку
Предположим, что у вас стоит задача скопировать контейнер из реестра, так как он уже там, то он экспортируемый, для этого открываем криптопро, "Сервис-Скопировать"
Выбираете "Обзор" и ваш сертификат из реестра.
Задаете ему новое имя, удобное для себя.
После чего вас попросят указать флешку, на которую вы будите копировать контейнер с закрытым ключом из реестра.
