Что такое мастер импорта сертификатов и управление сертификатами с помощью диспетчера сертификатов Windows и PowerShell

Экспорт закрытого ключа

Для экспорта закрытого ключа выполните следующие действия:

Откройте Крипто-Про CSP. Перейдите во вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере» (Рис. 1).

Рис. 1. Крипто-Про CSP. Сервис

В открывшемся окне укажите имя ключевого контейнера, нажав «Обзор» (Рис. 2).

Рис. 2. Сертификаты в контейнере закрытого ключа

Выберите ключевой контейнер пользователя, затем нажмите «Ок» (Рис. 3).

Рис. 3. Выбор ключевого контейнера

Нажмите «Далее» (Рис. 4).

Рис. 4. Контейнер закрытого ключа

Далее нажмите кнопку «Свойства» (Рис. 5).

Рис. 5. Сертификат для просмотра

В открывшемся окне перейдите во вкладку «Состав» и нажмите кнопку «Копировать в файл» (Рис. 6).

Рис. 6. Состав сертификата

Откроется мастер экспорта сертификатов. Нажмите «Далее» (Рис. 7).

Рис. 7. Мастер экспорта сертификатов

Далее отметьте «Да, экспортировать закрытый ключ» (1) и нажмите «Далее» (2) (Рис. 8).

Рис. 8. Экспортирование закрытого ключа

Отметьте следующие пункты: «Файл обмена личной информацией – PKCS #12», «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства» (1), затем нажмите кнопку «Далее» (2) (Рис. 9).

Рис. 9. Экспортированный сертификат

Укажите пароль и подтверждение пароля (1), затем нажмите кнопку «Далее» (2) (Рис. 10).

Рис. 10. Безопасность

Далее укажите имя файла, используя «Обзор» (1), затем нажмите кнопку «Далее» (2) (Рис. 11).

Рис. 11. Имя экспортируемого файла

Далее нажмите «Готово» (Рис. 12).

Рис. 12. Экспортирование закрытого ключа

Система сообщит о чтении ключевой информации, нажмите кнопку «Ок» (Рис. 13).

Рис. 13. Чтение ключевой информации

Откроется окно с информацией об успешном экспорте. Нажмите «Ок» (Рис. 14).

Рис. 14. Завершение экспорта

Импорт закрытого ключа

Для установки закрытой части ключа откройте файл, сохранённый ранее (Рис. 15).

Рис. 15. Файл, сохранённый ранее

Откроется «Мастер импорта сертификатов», нажмите кнопку «Далее» (Рис. 16).

Рис. 16. Мастер импорта сертификатов

Укажите файл, который нужно импортировать, используя кнопку «Обзор», затем нажмите «Далее» (Рис. 17).

Рис. 17. Импортируемый файл

Далее введите пароль (1), отметьте пункт «Пометить этот ключ как экспортируемый, что позволит сохранять резервную копию ключа и перемещать его.» (2), затем нажмите кнопку «Далее» (Рис. 18).

Рис. 18 Защита с помощью закрытого ключа

Отметьте пункт «Поместить все сертификаты в следующее хранилище» (1), нажмите кнопку «Обзор» (2), в открывшемся окне отметьте «Личное» (3) и нажмите «Ок» (4). В окне мастера настроек нажмите «Далее» (5) (Рис. 19).

Рис. 19. Выбор хранилища сертификата

Нажмите «Готово» (Рис. 20).

Рис. 20. Завершение мастера импорта сертификатов

В открывшемся окне КриптоПро CSP выберите носитель, на который будет импортирован ключ, затем нажмите «Ок» (Рис. 21).

Рис. 21. Выбор носителя

Далее укажите новый пароль и его подтверждение (Рис. 22).

Рис. 22. Указание пароля

Система сообщит о чтении ключевой информации, нажмите кнопку «Ок» (Рис. 23).

Рис. 23. Чтение ключевой информации

Далее введите пароль (Рис. 24).

Рис. 24. Пароль для контейнера

Далее нажмите «Ок» (Рис. 25).

Рис. 25. Чтение ключевой информации

Импорт успешно будет выполнен (Рис. 26).

Рис. 26. Заверщение импорта

Затем дважды кликните левой кнопкой мыши по нему (Рис. 1).

Рис. 1. Скачанный корневой сертификат

Во всплывающем предупреждающем окне нажмите «Открыть» (Рис. 2).

Рис. 2. Предупреждающее окно

Откроется сертификат. Во вкладке «Общие» нажмите кнопку «Установить сертификат» (Рис. 3).

Рис. 3. Корневой сертификат

Откроется окно «Мастер импорта сертификатов». Нажмите кнопку «Далее» (Рис. 4).

Рис. 4. Окно «Мастер импорта сертификатов»

Далее отметьте строку «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор» (Рис. 5).

Рис. 5. Хранилище сертификатов

В открывшемся окне выберите «Доверенные корневые центры сертификации», затем нажмите кнопку «Ок» (Рис. 6).

Рис. 6. Выбор хранилища сертификатов

В окне «Мастер импорта сертификатов» нажмите кнопку «Далее» (Рис. 7).

Рис. 7. Окно «Мастер импорта сертификатов»

Далее нажмите кнопку «Готово» (Рис. 8).

Рис. 8. Завершение «Мастера импорта сертификатов»

Дождитесь завершения установки корневого сертификата. По окончанию нажмите кнопку «Ок» (Рис. 9).

Рис. 9. Предупреждение о безопасности

Для установки личного сертификата электронной подписи компании используйте один из способов:

Установка сертификата автоматически с выбором хранилища

1.    Для того, чтобы установить личный сертификат, откройте «КриптоПро CSP» (Рис. 1).

Рис. 1. Меню «Пуск»

2.    В открывшейся программе перейдите во вкладку «Сервис», затем нажмите «Просмотреть сертификаты в контейнере» (Рис. 2).

Рис. 2. Вкладка «Сервис»

3.    В открывшемся окне нажмите кнопку «Обзор» (Рис. 3).

Рис. 3. Окно «Сертификаты в контейнере закрытого ключа»

4.    Выберите ключевой контейнер из списка и нажмите кнопку «Ок» (Рис. 4).

Рис. 4. Выбор ключевого контейнера

5.    В окне «Сертификаты в контейнере закрытого ключа» нажмите кнопку «Далее» (Рис. 5).

Рис. 5. Окно «Сертификаты в контейнере закрытого ключа»

6.    Затем нажмите кнопку «Установить» (Рис. 6).

Рис. 6. Просмотр сертификата

7.    Сертификат установится в хранилище «Личные» текущего пользователя.

Установка сертификата вручную с выбором хранилища

Для установки личного сертификата (сертификата вашей организации) вручную выполните следующие действия.

На рабочем столе нажмите кнопку «Пуск», выберите «Панель управления», затем «КриптоПро CSP». В появившемся окне «КриптоПро CSP» перейдите на вкладку «Сервис» и нажмите кнопку «Посмотреть сертификаты в контейнере» (Рис. 7).

Рис. 7. Окно «КриптоПро CSP»

В открывшемся окне нажмите кнопку «Обзор» (Рис. 8).

Рис. 8. Сертификаты в контейнере закрытого ключа

Выберите нужный контейнер и нажмите кнопку «Ок» (Рис. 9).

Рис. 9. Выбор контейнера закрытого ключа

В следующем окне кликните по кнопке «Далее» (Рис. 10).

Рис. 10. Сертификаты в контейнере закрытого ключа

Нажмите кнопку «Свойства» (Рис. 11).

Рис. 11. Просмотр сертификата

В открывшемся окне нажмите кнопку «Установить сертификат» (Рис. 12).

Рис. 12. Сведения о выбранном сертификате

Выберите расположение хранилища «Текущий пользователь» и нажмите «Далее» (Рис. 13).

Рис. 13. Выбор расположения хранилища

Укажите расположение сертификата вручную, выбрав «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор» для выбора хранилища сертификатов (Рис. 14).

Рис. 14. Выбор расположения сертификата

Выберите «Личное» и нажмите «Ок» (Рис. 15).

Рис. 15. Список хранилищ

Нажмите кнопку «Далее» (Рис. 16).

Рис. 16. Выбор хранилища

Нажмите кнопку «Готово» (Рис. 17).

Рис. 17. Импорт сертификата

Нажмите кнопку «Ок» (Рис. 18).

Рис. 18. Завершение импорта сертификата

Установка сертификата через «Личный сертификат»

Для установки личного сертификата (сертификата вашей организации) через «Личный сертификат» выполните следующие действия.

На рабочем столе нажмите кнопку «Пуск», выберите «Панель управления», затем «КриптоПро CSP». В появившемся окне «КриптоПро CSP» перейдите на вкладку «Сервис» и нажмите кнопку «Установить личный сертификат» (Рис. 19).

Рис. 19. Окно «КриптоПро CSP»

В открывшемся окне нажмите кнопку «Обзор» (Рис. 20).

Рис. 20. Расположение файла сертификата

Выберите нужный сертификат и нажмите кнопку «Открыть» (Рис. 21).

Рис. 21. Выбор сертификата

В следующем окне нажмите кнопку «Далее» (Рис. 22).

Рис. 22. Расположение файла сертификата

Нажмите кнопку «Далее» (Рис. 23).

Рис. 23. Сертификат для установки

В открывшемся окне отметьте поле «Найти контейнер автоматически» (1) и нажмите кнопку «Далее» (2) (Рис. 24).

В окне «Хранилище сертификатов» нажмите кнопку «Далее» (Рис. 25).

Рис. 25. Хранилище сертификатов

Нажмите «Готово» (Рис. 26).

Рис. 26. Мастер установки личного сертификата

Отобразятся сообщения о чтении ключевой информации и произведении записи информации, нажмите «Ок»  (Рис. 27, 28).

Рис. 27. Список хранилищ

Рис. 28. Список хранилищ

Если ранее сертифкат уже был в хранилище, то система предложит заменить его. Нажмите кнопку «Да» (Рис. 29).

Рис. 29. Замена сертификата

Сертификат будет установлен.

Данный материал является переводом оригинальной статьи «ATA Learning : Michael Soule : Manage Certs with Windows Certificate Manager and PowerShell».

Работа с сертификатами обычно является одной из тех дополнительных задач, которые вынужден брать на себя системный администратор Windows. Диспетчер Сертификатов Windows (Windows Certificate Manager) — это один из основных инструментов, который позволяет выполнять эту работу.

Понимание хранилищ сертификатов

В диспетчере сертификатов Windows все сертификаты находятся в логических хранилищах, называемых «хранилищами сертификатов». Хранилища сертификатов – это «корзины», в которых Windows хранит все сертификаты, которые в настоящее время установлены, и сертификат может находиться более чем в одном хранилище.

К сожалению, хранилища сертификатов — не самая интуитивно понятная концепция для работы. О том, как различать эти хранилища и как с ними работать, вы прочитаете ниже.

Каждое хранилище находится в Реестре Windows и в файловой системе. При работе с сертификатом в хранилище вы взаимодействуете с логическим хранилищем, не изменяя напрямую реестр или файловую систему. Этот более простой способ позволяет вам работать с одним объектом, в то время как Windows заботится о том, как представить этот объект на диске.

Иногда можно встретить хранилища сертификатов, называемые физическими или логическими хранилищами. Физические хранилища ссылаются на фактическую файловую систему или место в реестре, где хранятся разделы реестра и / или файл(ы). Логические хранилища — это динамические ссылки, которые ссылаются на одно или несколько физических хранилищ. С логическими хранилищами намного проще работать, чем с физическими хранилищами для наиболее распространенных случаев использования.

Windows хранит сертификаты в двух разных областях — в контексте пользователя и компьютера. Сертификат помещается в один из этих двух контекстов в зависимости от того, должен ли сертификат использоваться одним пользователем, несколькими пользователями или самим компьютером. В остальной части этой статьи сертификат в контексте пользователя и компьютера будет неофициально называться сертификатами пользователей и сертификатами компьютеров.

Сертификаты пользователей

Если вы хотите, чтобы сертификат использовался одним пользователем, то идеальным вариантом будет хранилище пользовательских сертификатов внутри Диспетчера сертификатов Windows. Это общий вариант использования процессов аутентификации на основе сертификатов, таких как проводной IEEE 802.1x.

Сертификаты пользователей находятся в профиле текущего пользователя и логически отображаются только в контексте этого пользователя. Сертификаты пользователей «сопоставлены» и уникальны для каждого пользователя даже в одних и тех же системах.

Компьютерные сертификаты

Если сертификат будет использоваться всеми пользователями компьютера или каким-либо системным процессом, его следует поместить в хранилище в контексте компьютера. Например, если сертификат будет использоваться на веб-сервере для шифрования связи для всех клиентов, размещение сертификата в контексте компьютера будет подходящим вариантом.

Вы увидите, что хранилище сертификатов компьютера логически сопоставлено для всех пользовательских контекстов. Это позволяет всем пользователям использовать сертификаты в хранилище сертификатов компьютера в зависимости от разрешений, настроенных для закрытого ключа.

Сертификаты компьютера находятся в кусте реестра локального компьютера и в подкаталогах ProgramData. Сертификаты пользователя находятся в кусте реестра текущего пользователя и в подкаталогах AppData. Ниже вы можете увидеть, где каждый тип хранилища находится в реестре и файловой системе.

Предварительные требования

В оставшейся части этой статьи вы найдете несколько примеров, демонстрирующих взаимодействие с хранилищами сертификатов Windows. Чтобы воспроизвести эти примеры, убедитесь, что выполняются следующие требования:

• Windows Vista, Windows Server 2008 или более новая операционная система. В показанных примерах используется Windows 10 Корпоративная версии 1903.
• Вам не потребуется устанавливать какие-либо специальные сертификаты, но использование самозаверяющего сертификата полезно.

Управление сертификатами в Windows

В Windows есть три основных способа управления сертификатами:

• Оснастка консоли управления Microsoft (MMC) сертификатов (certmgr.msc)
• PowerShell
• Инструмент командной строки certutil

PowerShell против диспетчера сертификатов Windows

Поскольку в Windows можно управлять сертификатами несколькими способами, встаёт вопрос выбора, что лучше использовать — GUI (MMC) или командную строку с PowerShell.

Во-первых, рассмотрим жизненный цикл сертификата. Если вы собираетесь установить или удалить один сертификат только один раз, рассмотрите возможность использования MMC. Но если вы управляете несколькими сертификатами или выполняете одну и ту же задачу снова и снова, использование командной строки может оказаться правильным решением. Даже если вы не умеете писать сценарии PowerShell, вам стоит этому научиться, если у вас есть много разных сертификатов, которыми нужно управлять.

Давайте сначала посмотрим, как обнаружить сертификаты, установленные в Windows, с помощью диспетчера сертификатов и PowerShell.

Использование диспетчера сертификатов Windows (certmgr. msc)

Чтобы просмотреть сертификаты с помощью MMC, откройте Диспетчер сертификатов: откройте меню «Пуск» и введите certmgr.msc. Это вызовет Windows Certificates MMC. Это начальное представление предоставит обзор всех логических хранилищ, отображаемых в левом окне.

На снимке экрана ниже видно, что выбрано логическое хранилище доверенных корневых центров сертификации

Просмотр физических хранилищ

Теперь вы можете видеть, что дополнительные контейнеры показаны в примере логического хранилища доверенных корневых центров сертификации, показанном ранее. Сертификаты по-прежнему сгруппированы относительно их логических хранилищ, но теперь вы можете увидеть физическое хранилище «Реестр».

Проверка атрибутов в диспетчере сертификатов Windows

Есть много атрибутов сертификата, которые вы можете увидеть при просмотре их с помощью MMC. Например, вы, вероятно, захотите выбрать определенные сертификаты по их атрибутам. Самый простой способ сделать это — указать Serial Number сертификата или значение Thumbprint. Если сертификат был подписан центром сертификации (CA), при выдаче он будет иметь серийный номер. Thumbprint вычисляется каждый раз при просмотре сертификата.

Вы можете увидеть некоторые атрибуты сертификата, открыв его в MMC, как показано ниже.

Следует отметить одну важную особенность — встроенные закрытые ключи. Сертификаты в Windows также могут иметь соответствующий закрытый ключ. Эти закрытые ключи хранятся в соответствующих физических хранилищах в виде зашифрованных файлов.

Чтобы быстро отличать сертификаты с соответствующим закрытым ключом и без него, посмотрите на значок сертификата. В Диспетчере сертификатов Windows, если значок просто выглядит как лист бумаги с лентой, соответствующий закрытый ключ отсутствует. Если у сертификата есть закрытый ключ, вы увидите ключ на значке MMC, и ключ в нижней части вкладки «Общие» при открытии сертификата

Использование PowerShell по физическому хранилищу

Как и в случае с MMC, вы можете просматривать сертификаты и управлять ими с помощью PowerShell. Давайте сначала проверим сертификаты в их физических хранилищах (реестр и файловая система).

Используя PowerShell командлет Get-ChildItem, вы можете перечислить все ключи и значения внутри родительского пути в реестре. Приведенная ниже команда перечислит все сертификаты вошедшего в систему пользователя в логическом хранилище промежуточных центров сертификации.

Каждая запись в кусте реестра, который вы видите, будет соответствовать отпечатку сертификата доверенного центра сертификации и его сертификату в соответствующем свойстве. Вы можете увидеть пример вывода ниже.

Другое распространенное хранилище — это Personal store. Ваши сертификаты для этого хранилища находятся в файловой системе, а не в реестре. В следующих командах мы покажем эти различные физические пути и их цели.

Каждый файл в каталоге, возвращенный приведенной ниже командой, соответствует сертификату, установленному в личном хранилище текущего пользователя.

Каждый файл, возвращаемый в приведенной ниже команде, является ссылкой на объект для закрытого ключа, созданный поставщиком хранилища ключей (KSP). Имя файла соответствует идентификатору ключа субъекта сертификата. К каждому устанавливаемому вами закрытому ключу будет добавлен соответствующий файл.

Каждый файл в каталоге, возвращаемый следующей командой, является уникальным контейнером для зашифрованного закрытого ключа, созданного KSP. Нет прямой связи между именем файла и сертификатом, но файл является целью указателя в предыдущей команде.

Использование PowerShell по логическому хранилищу

Поскольку работа с сертификатами на их физических путях встречается редко, в остальных примерах вы будете работать с логическими хранилищами.

PowerShell может получить доступ к логическим хранилищам Windows с помощью PSDrive-объекта «», который сопоставляет сертификаты с физическими хранилищами так же, как это делает MMC.

К сожалению, MMC и «Cert:» не маркируют логические хранилища одинаково. Ниже вы можете увидеть сравнительную таблицу общих хранилищ и их названий как в MMC, так и в «Cert:» PSDrive.

Выбор сертификатов

Когда вы работаете с сертификатами, вам понадобится способ фильтрации и выбора сертификатов для выполнения определенных операций. В большинстве случаев вы будете фильтровать и выбирать сертификаты на основе значения определенного расширения.

Для следующих примеров вам нужно начать с перечисления всех установленных сертификатов в хранилище корневого ЦС.

Возвращенные объекты будут объектами сертификатов, которые вы можете использовать в следующих примерах.

Общие расширения уже доступны как свойства объектов сертификата. В приведенном ниже примере вы используете Get-Member для вывода списка всех свойств возвращаемых объектов.

Как видим, некоторые из этих расширений, например «Issuer», помогают найти сертификат, который вы ищете. Расширения предоставляют информацию о сертификате, например, кому он выдан, для чего его можно использовать и любые ограничения на него.

Покажем пример взаимодействия с свойствами типа ScriptProperty. В приведенной ниже команде вы извлекаете Key Usages.

Новая часть, которую мы вводим в приведенной выше команде, — это метод форматирования, который выполняет декодирование ASN.1. Вы передаете ему логическое значение (например, $true), чтобы определить, хотим ли мы, чтобы возвращаемый объект был однострочным или многострочным.

Попробуем использовать значение Thumbprint из сертификата в приведенной ниже команде. Значение Thumbprint устанавливается как переменная PowerShell и используется для выбора конкретного сертификата в приведенных ниже командах.

Создание самозаверяющих (self-signed) сертификатов с помощью PowerShell

PowerShell может создавать самозаверяющие (self-signed) сертификаты с помощью командлета New-SelfSignedCertificate. Самозаверяющие сертификаты полезны для тестирования, поскольку они позволяют генерировать пару открытого и закрытого ключей без использования центра сертификации.

Теперь давайте создадим самозаверяющий сертификат в хранилищах текущего пользователя и локального компьютера, чтобы использовать его в примерах для следующих шагов.

В приведенном ниже примере PowerShell создает пару открытого и закрытого ключей, самозаверяющий сертификат и устанавливает их все в соответствующие хранилища сертификатов.

Использование самозаверяющих сертификатов для продуктивных сервисов не рекомендуется, поскольку не существует всех механизмов, основанных на доверии.

Импорт и экспорт сертификатов в MMC

Криптография с открытым ключом основана на широкой доступности открытого ключа. Учитывая это, вам нужны стандартные способы эффективного обмена сертификатами. Не менее важна безопасность ваших личных ключей. Хранение закрытых ключей на недоступных носителях или с материалами для аварийного восстановления — обычная практика для определенных закрытых ключей.

Оба они требуют способов хранения этих криптографических объектов в стандартных форматах. Экспорт предоставляет функции для сохранения этих объектов и обеспечения использования широко распространенных стандартных форматов файлов. Импорт позволяет вам переносить криптографические объекты в операционные системы Windows.

Экспорт сертификатов из MMC относительно прост. Чтобы экспортировать сертификат без закрытого ключа, щелкните сертификат в MMC, выберите меню «Все задачи», а затем «Экспорт».

Экспорт закрытых ключей

Чтобы экспортировать сертификат с соответствующим закрытым ключом, вы должны соответствовать двум критериям:

• Вошедшая в систему учетная запись должна иметь разрешение на закрытый ключ (только для сертификатов компьютеров);
• Закрытый ключ должен быть помечен как экспортируемый.

Чтобы проверить разрешения для закрытых ключей локального компьютера, вы можете выбрать сертификат с закрытым ключом, выбрать «Все задачи» и «Управление закрытыми ключами» в MMC «Сертификаты». В открывшемся диалоговом окне отображаются записи управления доступом для закрытых ключей.

Когда выше обозначенные условия выполнены, вы можете выбрать сертификат, щелкнуть «Все задачи», а затем «Экспорт», как если бы вы использовали сертификат только с открытым ключом. При экспорте теперь у вас должна присутствовать возможность выбора экспорта закрытого ключа («Yes, export the private key»), как показано ниже.

Когда вы экспортируете закрытый ключ в Windows, вы можете сохранить файл только как PFX. Этот и другие типы файлов и форматы кодирования подробно описаны в этом посте.

Для остальных параметров, отображаемых в мастере экспорта, вы можете использовать значения по умолчанию. В таблице ниже приводится краткое изложение каждого из них.

Импорт сертификатов

Функция импорта одинакова для всех поддерживаемых типов файлов сертификатов. Единственная разница в том, что если файл содержит закрытый ключ, вы можете «Отметить этот ключ как экспортируемый», о чем вы узнаете подробнее ниже. Windows будет использовать мастер импорта сертификатов.

При использовании мастера импорта сертификатов для PFX вам потребуется указать пароль, используемый для шифрования закрытого ключа. Вот еще один обзор вариантов импорта.

Сертификаты для подписи кода PowerShell — хороший вариант использования надежной защиты закрытого ключа.

С автоматическим размещением сертификатов следует проявлять осторожность. Скорее всего, вы получите наилучшие результаты, выбрав хранилище сертификатов вручную.

Импорт и экспорт сертификатов в PowerShell

Теперь, когда вы выбрали сертификат, вы можете использовать команду Export-Certificate, чтобы сохранить файл в кодировке DER, используя команду ниже.

Теперь давайте посмотрим на экспорт закрытого ключа. Ниже вы проверяете, что у выбранного сертификата есть закрытый ключ. Если он не возвращает True, то команда Get-Item, скорее всего, выбрала неправильный сертификат.

Ниже вы установите пароль, который будет использоваться для шифрования закрытого ключа. Затем экспортируйте выбранный сертификат в файл PFX и используйте пароль, который вы ввели ранее, чтобы зашифровать файл.

В случае, если необходимо выполнить импорт, как и при экспорте, есть две команды. Одна команда для импорта сертификатов и одна для импорта файлов PFX.

Ниже команда Import-Certificate импортирует файл в формате DER, который вы экспортировали ранее, в личное хранилище текущего пользователя.

Допустим, вы тоже хотите установить закрытый ключ этого сертификата.

Имейте в виду, что пароль должен быть защищенной строкой. Кроме того, если вы импортируете в хранилище локального компьютера (например, «»), вам нужно будет запустить команду из командной строки администратора с повышенными привилегиями.

В приведенном выше примере вы также используете параметр с командой, отмечая закрытый ключ как экспортируемый в будущем. По умолчанию (без указания этого параметра) экспорт не используется. Экспортируемые закрытые ключи – отельный аспект информационной безопасности, заслуживающий отдельного внимания.

Удаление сертификатов с помощью PowerShell

При удалении сертификатов помните, что понятие «Корзина Windows» в этом случае отсутствует. Как только вы удалите сертификат, он исчезнет! Это означает, что очень важно подтвердить, что вы удаляете правильный сертификат, путем проверки уникального идентификатора, такого как серийный номер или значение расширения Thumbprint.

Как и выше, в приведенной ниже команде мы выбираем самозаверяющий сертификат из личного хранилища текущего пользователя.

Ниже вы можете увидеть свойства отпечатка, серийного номера и темы для выбранного сертификата, чтобы убедиться, что это именно тот сертификат, который вы собираетесь выбрать.

Убедитесь, что вы выбрали правильный сертификат, который собираетесь удалить.

Приведенная ниже команда удаляет все выбранные объекты сертификата, используйте с осторожностью! Передав объект через конвейер в командлет Remove-Item в приведенной ниже команде, вы удалите все содержимое сертификата без каких-либо запросов на проверку.

Резюме

На протяжении всей этой статьи вы работали с сертификатами в Windows, изучая, как получить к ним доступ, и некоторые инструменты, которые можно использовать при работе с ними. По этой теме можно изучить гораздо больше, в том числе о том, как связать установленные сертификаты с конкретными службами или даже о том, как реализовать инфраструктуру закрытого открытого ключа (PKI) путем развертывания собственных центров сертификации (CA).

Из нашей статьи вы узнаете:

Для работы с электронной подписью (ЭП) требуется настроенное рабочее место. Для этого на ПК устанавливают средство криптографической защиты информации (СКЗИ). Такая программа создаёт ЭП и шифрует передаваемые данные. Также с её помощью можно перенести электронную подпись на другой компьютер. Одним из самых популярных СКЗИ является отечественная программа КриптоПро CSP от компании Cryptopro.

Купить подходящую лицензию КриптоПро рекомендуем в нашем интернет-магазине. Оставьте короткую заявку, для бесплатной консультации специалиста.

В статье подробно рассмотрим, как перенести сертификат электронной подписи на другой компьютер несколькими способами.

Когда нужно переносить сертификаты в другое место

Перенос сертификатов КриптоПро на другой компьютер осуществляется по нескольким причинам:

• неисправность внутренних компонентов или программного обеспечения персонального компьютера;
• модернизация текущего оборудования;
• создание выделенного сервера для хранения сертификатов электронной подписи.

Важно! Контейнер закрытого ключа, который записан на токене, перенести не получится. Разрешено переносить только сертификаты ЭП и контейнеры, хранящиеся в реестре.

Выбрать подходящий токен для КЭП рекомендуем в нашем интернет-магазине. В каталоге представлены только сертифицированные модели токенов.

Перенос сертификатов

Перенос сертификатов на другой компьютер можно осуществить через:

• СКЗИ КриптоПро;
• браузер Internet Explorer;
• реестр Windows.

Перенос сертификатов с одного компьютера на другой с помощью КриптоПро

Чтобы перенести сертификат закрытого ключа ЭП с помощью КриптоПро потребуется:

• Подключить к ПК внешний физический носитель, на который будет осуществляться перенос: флешку или жёсткий диск.
• Открыть панель управления и запустить КриптоПро CSP.
• Переключиться на вкладку «Сервис» и нажать «Скопировать».
• В открывшемся окне выбрать необходимый для экспорта сертификат и нажать «Ок».
• Вписать название для контейнера и нажать «Готово».
• В новом окне выбрать подключённый внешний носитель и подтвердить действие.
• Ключи сохраняются в файлах с расширением key. Далее потребуется перенести их с внешнего носителя на другой ПК.

Система не позволит пользователю перенести неэкспортируемый ключ. Если попытаться скопировать УКЭП, появится уведомление об ошибке.

Перенос сертификатов КриптоПро из реестра

Осуществлять перенос лицензии КриптоПро вместе с ключами и сертификатами можно без использования СКЗИ. Делается это с помощью браузера Internet Explorer и консоли управления Microsoft. Алгоритм действий отличается, но заканчивается одинаковыми настройками в мастере импорта и экспорта.

Перенос сертификатов с помощью браузера Internet Explorer

• Запустить Internet Explorer.
• Открыть «Свойства браузера».
• Во вкладке «Содержание» выбрать «Сертификаты».
• В открывшемся списке выбрать необходимый сертификат и нажать «Экспорт».
• Далее запускается «Мастер переноса и импорта». Как с ним работать, рассмотрим после следующего способа, так как действия будут аналогичны.

Перенос сертификатов с помощью консоли управления Microsoft

• Открыть консоль нажатием клавиш WIN+R.
• Ввести команду: MMC.
• В открывшемся окне выбрать «Личное», далее «Сертификаты».
• Выбрать требуемый сертификат и нажать на него правой кнопкой мыши.
• Выбрать «Все задачи», потом «Экспорт».
• После этого запускается «Мастер переноса и импорта».

Мастер переноса и импорта

После того как открылся «Мастер переноса и импорта», пользователю необходимо скопировать закрытый ключ:

• В приветственном окне нажать «Далее».
• Отметить пункт «Да, экспортировать закрытый ключ».
• Указать формат выгрузки — архив .pfx.
• Задать пароль и имя.
• Выбрать место хранения и нажать «ОК».
• После завершения операции нажать «Готово».

Для выгрузки открытого ключа используются те же способы, но на этапе подтверждения экспорта пользователю понадобится выбрать его отмену. После этого необходимо выполнить следующие шаги:

• Нажать «ОК».
• В появившемся списке указать формат — X.509 (.cer) в кодировке DEP и нажать «ОК».
• Задать имя и указать место для переноса файлов.

В памяти внешнего носителя должно появиться два файла: открытый ключ в формате .cer и закрытый ключ в формате .pfx.

Выгрузка файлов на другой ПК

После переноса сертификатов и ключей на другой компьютер, потребуется настроить рабочее место. Для этого необходимо:

• Запустить файл двойным кликом.
• В «Мастере импорта сертификатов» нажать «Далее».
• Выбрать хранилище — «Текущий пользователь» или «Локальный диск».
• Нажать «Далее», потом «Обзор».
• Выбрать первый файл для импорта, ввести пароль доступа и нажать «Далее».
• Отметить пункт «Автоматически выбрать хранилище на основе типа сертификата».
• Нажать «Далее» и «Готово».

Второй файл устанавливается аналогичным образом.

Перенос сертификатов КриптоПро на другой компьютер за минуту

Существует массовый перенос электронных подписей на другой ПК. Для этого в реестре создаётся точная копия ветки расположения файлов. Главное правило — оба компьютера должны иметь одну и ту же версию операционной системы Windows. Для этого необходимо:

Какие сертификаты можно экспортировать

Представленные способы подходят для ключей электронной подписи, которые имеют отметку «Экспортируемый». К ним относятся простые и неквалифицированные ЭП. Их используют для внутреннего электронного документооборота. Эти правила прописываются в учредительных документах компании. Для взаимодействия с партнёрами нужно заключать дополнительное соглашение. Сдавать отчётность в государственные органы с такой подписью нельзя.

Неэкспортированные ключи имеют усиленные квалифицированные электронные подписи (УКЭП). УКЭП равнозначна своему рукописному аналогу. Она подтверждает личность владельца и делает электронные документы юридически значимыми. С их помощью можно заключать различные сделки, участвовать в торгах, вести электронный документооборот с контрагентами и госслужбами без дополнительных соглашений. В зависимости от вида владельца УКЭП получают в разных удостоверяющих центрах.

Физическим лицам и работникам юридического лица выдают УКЭП в квалифицированных удостоверяющих центрах, которые имеют аккредитацию Минцифры.

Для решения повседневных задач и дистанционной работы с юридически значимыми документами рекомендуем квалифицированные ЭП от УЦ «Калуга Астрал». В каталоге представлены тарифы для физлиц и сотрудников организаций.

Индивидуальные предприниматели и руководители юридического лица могут получить УКЭП только в УЦ ФНС или у её доверенных лиц.

Для ускоренного выпуска квалифицированной ЭП юрлица и ИП рекомендуем воспользоваться услугой Получение КЭП в ФНС под ключ. Специалисты УЦ «Калуга Астрал» помогут сэкономить время на получение электронной подписи и настройку рабочего места, а пройти идентификацию и получить подпись вы сможете через филиалы нашего партнёра — доверенного лица ФНС УЦ «Основание».

Ключ электронной подписи (ЭП или ЭЦП) записывают на физический носитель — токен. Он взаимодействует с персональным компьютером при подписании цифровых документов. Активация носителя происходит через USB-разъём. Одним из популярных российских производителей физических носителей для электронной подписи является компания Рутокен. Ниже приведём подробную инструкцию о том, как установить ЭЦП с Рутокена на компьютер.

Выбрать подходящий носитель для КЭП рекомендуем в нашем интернет-магазине. В каталоге представлены только сертифицированные модели токенов.

Где получить квалифицированную электронную подпись

Квалифицированная электронная подпись равнозначна рукописной и придаёт электронным документам юридическую значимость. С помощью неё сдают отчётность в государственные органы и ведут электронный документооборот с партнёрами и работниками. Получить квалифицированный сертификат электронной подписи можно только в специализированных удостоверяющих центрах. Для должностных лиц им является Казначейство РФ, участников финансового рынка — Центробанк, а руководителей юрлица и ИП — УЦ ФНС и её доверенные лица. Электронная подпись в этих ведомствах предоставляется бесплатно, а клиенты обслуживаются в порядке очереди.

Для ускоренного выпуска квалифицированной ЭП для руководителя юрлица и ИП рекомендуем воспользоваться услугой Получение КЭП в ФНС под ключ. Специалисты УЦ «Калуга Астрал» помогут сэкономить время на получение электронной подписи и настройку рабочего места, а пройти идентификацию и получить подпись вы сможете через филиалы нашего партнёра — доверенного лица УЦ «Основание».

Можно ли скопировать подпись от ФНС на компьютер

Электронную подпись, полученную в налоговой, скопировать с Рутокена или любого другого носителя нельзя. УЦ ФНС изготавливает сертификаты ЭП в контейнере с неэкспортируемыми закрытыми ключами.

При попытке копирования ключа пользователь получает ошибку или уведомление о том, что данный ключ неэкспортируемый:

Чтобы доверенное лицо или работник организации могли сдавать отчётность и подписывать документы от имени компании, потребуется личная ЭП и доверенность.

Как работать с ЭЦП без флешки

Чтобы работать с электронной подписью без носителя, требуется установить поочерёдно три компонента:

• КриптоПро;
• Драйвер Рутокен;
• Сертификат Рутокен.

Регистрация и установка программного решения КриптоПро

Перед работой с электронной подписью пользователю необходимо настроить рабочее место. Для этого на персональный компьютер устанавливают специальные программы:

• средство криптографической защиты информации (СКЗИ) — для создания электронной подписи и шифрования информации;
• соответствующий плагин — для работы ЭП в интернете.

Отечественный разработчик КриптоПро является одной из ведущих компаний по производству продуктов для работы с электронной подписью. Он выпускает такие программы как КриптоПро CSP и КриптоПро ЭЦП Browser plug-in.

Пробную версию дистрибутивов КриптоПро скачивают на сайте разработчика. Перед этим проходят регистрацию. По истечении трёх месяцев понадобится купить лицензию.

Купить подходящую лицензию продукта КриптоПро рекомендуем в нашем интернет-магазине. Оставьте короткую заявку, для бесплатной консультации специалиста

Установить КриптоПро на компьютер легко. После скачивания требуется запустить дистрибутив и следовать подсказкам мастера установки.

С подробными инструкциями по настройке программ рекомендуем ознакомиться в наших статьях:

Установка драйвера Рутокен

Установить драйвер потребуется в несколько шагов.

• Закрыть все программы перед установкой.
• Запустить файл rtDrivers и перезагрузить компьютер.

Следующим этапом необходимо настроить считыватель Рутокена в приложении КриптоПро от имени администратора.

Установка сертификата ЭЦП с Рутокен

Установить ЭЦП с Рутокен можно тремя способами: с помощью «Панели управления Рутокен», через кнопки «Просмотреть сертификаты в контейнере» или «Установить личный сертификат».

Панель управления Рутокен

Инструкция по установке сертификата через панель управления Рутокен.

Кнопка «Просмотреть сертификаты в контейнере»

Для установки сертификата ЭЦП на компьютер из Рутокен через сертификаты потребуется:

Кнопка «Установить личный сертификат»

Ниже приведена инструкция, как установить сертификат Рутокен с расширением .cer. Для этого необходимо:

После этих действий подпись можно использовать без Рутокена.

Заключение

Установка ЭЦП с Рутокена разрешена только в случае, если сертификат ключа электронной подписи выпущен на физическое лицо. Способ подходит для бухгалтеров, работников и доверенных лиц, которые имеют право действовать от имени компании с помощью доверенности.

Скопировать подпись ИП или юрлица с Рутокен и других сертифицированных носителей невозможно технически. Данные действия считаются противоправными и квалифицируются законом как компрометация ключа подписи. Если ФНС установит факт компрометации, то вся подписанная таким ключом отчётность будет признана недействительной.

Что такое корневой сертификат

Корневой сертификат — это файл, который содержит сервисную информацию об удостоверяющем центре. Криптопровайдер получает доступ к этой зашифрованной информации, тем самым подтверждая подлинность личной электронной подписи.

На основе корневого сертификата удостоверяющего центра строится цепочка доверия сертификатам. Любая электронная подпись, выпущенная удостоверяющем центром корректно работает только при наличии корневого сертификата.

Какую информацию содержит корневой сертификат

В корневом сертификате хранится информация с датами его действия. Также криптопровайдер с помощью корневого сертификата получает доступ к реестру организации.

Возможна ли установка электронной подписи без корневого сертификата

Установить электронную подпись на компьютер можно без корневого сертификата. Однако, при проверке она может оказаться недействительной. В этом случае подписать какой-либо электронный документ не получится.

Без корневого сертификата система будет выдавать ошибку: «Невозможно проверить электронную подпись». Это касается как и подписи, установленной на компьютер, так и подписи на защищённом токене.

Как установить корневой сертификат

Установка корневого сертификата универсальна для любого удостоверяющего центра:

После этих действий корневой сертификат удостоверяющего центра будет установлен.

Получить квалифицированную электронную подпись можно в удостоверяющем центре, аккредитованном Минкомсвязи. Чтобы получить ЭЦП в УЦ«Астрал-М» нужно выполнить четыре простых шага:

• Оставьте заявку, заполнив форму обратной связи на странице «Астрал-ЭТ».
• Подготовьте необходимый пакет документов и отправьте на проверку специалистам УЦ «Астрал-М».
• Оплатите выставленный счёт.
• Получите готовую электронную подпись.

Использовать корневой сертификат нужно именного того удостоверяющего центра, который выдал электронную подпись.

Установить личный сертификат можно одним из способов:

Через меню КриптоПро «Просмотреть сертификаты в контейнере»

Чтобы установить сертификат с помощью КриптоПро через «Просмотреть сертификаты в контейнере», выполните следующее:

• Выберите вкладку «Сервис» и нажмите на кнопку «Просмотреть сертификаты в контейнере».
• Нажмите на кнопку «Обзор».
• Выберите контейнер для просмотра и нажмите на кнопку «ОК».
• Если появится окно c заменой сертификата, выберите «Да».

отсутствует, выполните следующее:

• » и в открывшемся окне выберите «Установить сертификат».
• В окне Мастер импорта сертификатов нажмите Далее
• Выберите  Автоматически выбрать хранилище на основе типа сертификата и нажмите Далее. Сертификат будет установлен в хранилище Личные.
• Нажмите на кнопку Далее.
• Нажмите Готово. Дождитесь сообщения об успешной установке.

Через меню КриптоПро «Установить личный сертификат»

Чтобы установить сертификат:

Копирование сертификата, выданного УЦ ФНС, невозможно.

Ниже описаны варианты копирования для сертификатов, выданных УЦ Контура для сотрудников организации и физических лиц.

Копирование средствами Windows

Если для работы используется дискета, flash-накопитель или не системный диск, скопировать контейнер с сертификатом можно средствами Windows — этот способ подходит для версий КриптоПро CSP не ниже 3.0. Папку с закрытым ключом (и, если есть, файл сертификата — открытый ключ) поместите в корень дискеты, корень flash-накопителя или в корень не системного диска. Если поместить не в корень, то работа с сертификатом будет невозможна. Название папки при копировании рекомендуется не изменять.

В папке с закрытым ключом должно быть 6 файлов с расширением *.key. Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копировать открытый ключ необязательно. Пример закрытого ключа — папки с шестью файлами и открытого ключа — файла с расширением *.cer.

Копирование на профиле Диагностики

• Зайдите на профиль Диагностики «Копирования» по ссылке https://help.kontur.ru/copycert.
• Вставьте носитель, на который необходимо скопировать сертификат.
• На нужном сертификате нажмите на кнопку «Скопировать».
• Если на контейнер был задан пароль — появится сообщение  «Введите пароль для устройства с которого будет скопирован сертификат». Введите пароль и нажмите  «Далее».
• Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».
• Укажите имя новому контейнеру и нажмите на кнопку «Далее».
• Должно появиться сообщение об успешном копировании сертификата.