Привет, друзья! Это наша третья статья о работе с программой КриптоПро и ЭЦП и в ней мы рассмотрим вопрос о том, как копировать с руТокена неэкспортируемый ключ электронной подписи на обычную флешку или в реестр операционной системы!

↑ Как копировать с руТокена неэкспортируемый ключ электронной подписи на обычную флешку или в реестр операционной системы

↑ Зачем переносить с руТокена ключ электронной подписи на обычную флешку или в реестр операционной системы

Если вы работали с ЭЦП, то наверняка знаете, что если при составления заявления на получение сертификата электронной подписи и закрытого ключа на ПОРТАЛе ЗАЯВИТЕЛЯ в Информационной системе «Удостоверяющего центра Федерального казначейства», вы не поставите галочку на пункте «Да. Экспортируемый закрытый ключ», то ваш сертификат электронной подписи и соответствующая ему ключевая пара на Рутокене или реестре операционной системы будет не экспортируемой. То есть, перенести на другой компьютер её простым способом с помощью Крипто-Про или Панели управления Рутокеном у вас не получится. Если ЭЦП будет заказывать неопытный человек, то он обязательно пропустит этот момент. Что касается выдачи ключей в ФНС, то там даже выбора нет и вам выдадут неэкспортируемую пару.

Это может быть очень неудобно и даже опасно в вашей работе, ведь придётся пускать за свой ПК другого человека, приведу простой пример. Обычно в организации работают несколько бухгалтеров, юристов и один специалист по закупкам, как правило, в течении дня кому-то может понадобится ЭЦП старшего бухгалтера для подписания какого-то электронного документа и если электронная подпись привязана к его компьютеру, то сделать это будет можно только на его ПК, то есть в течении дня ему несколько раз придётся освобождать своё рабочее место другому человеку. Если же его ЭП будет находиться на рутокене, то придётся постоянно передавать этот токен из рук в руки. Или главбуху понадобится подпись директора организации, опять же придётся садиться за его компьютер, тоже неудобно. Как быть? В этом случае можно перенести главбуху на его компьютер все необходимые электронные подписи.

Итак, рассмотрим всё на примере из жизни. К нашему ноутбуку подсоединена обычная флешка и Рутокен (синего цвета) с неэкспортируемой электронной подписью.

Запускаем Панель управления Рутокен, выбираем «Сертификаты», выделяем необходимый и жмём «Экспортировать».

Получаем сообщение «Ключевую пару, соответствующую сертификату, невозможно экспортировать через Панель управления Рутокен».

Если запустить КриптоПро CSP и выбрать вкладку «Сервис», затем «Скопировать», потом «Обзор», то наш ключ будет в разделе неэкспортируемых, соответственно кнопка «ОК» неактивна.

Многие не разобравшись до конца могут привести в пример утилиту CertFix.000032.exe, но и она вам именно здесь не поможет, хотя использовать мы её всё же будем во второй части статьи.

Как видим, в экспорте нам тоже отказано DENIED.

Жмём «Shift» на клавиатуре и щёлкаем правой мышью на «Экспорт», видим, что пункты «Сделать экспортируемым» неактивны.

↑ Перенос неэкспортируемого ключа электронной подписи на обычную флешку утилитой Tokens.exe

Утилита Tokens.exe произведёт перенос вашей ЭЦП на обычную флешку и уже затем мы перенесём электронную подпись в реестр вашей операционной системы. После первого запуска Tokens выдаст вам ошибку работы с рутокеном, поэтому нужно установить дополнительные компоненты в систему пройдясь по ссылкам или установите отдельно компоненты через установщик rtcomlite.000185.exe.

В главном окне программы Tokens будут отображены все подключенные к компьютеру токены и находящиеся на них электронные ключи. Выбираем нашу ЭЦП и жмём «Экспорт».

В открывшемся окне проводника выбираем диск или флешку, на которую мы хотим перенести электронный ключ, в нашем случае (E:), жмём ОК.

В данном окне изменяем имя нашей ЭЦП, к примеру, добавляем к названию слово «копия» и жмём ОК.

Теперь копия нашей электронной подписи находится на флешке (буква диска E:). В папке 2560 находятся в электронные ключи. 

Давайте посмотрим, увидит ли КриптоПро CSP копию нашей ЭЦП на флешке. Запускаем программу.

Да, КриптоПро CSP видит ЭЦП на токене и её копию на нашей флешке.

Друзья, на данном этапе мы создали копию нашей электронной подписи (в виде папки 2560 с ключами) на флешке и теперь мы можем переносить её на любой другой носитель информации, другую флешку или USB-диск или любой раздел обычного HDD, всё это понятно, но теперь вот такой вопрос. Как установить неэкспортированный ключ в реестр операционной системы? К примеру, попросит вас один сотрудник вашей организации установить ЭЦП второго сотрудника, с его разрешения, себе на компьютер. 

Запускаем Крипто-Про. Сервис ->Скопировать. Видим, что наша скопированная на флешку (диск E:) ЭЦП, как и оригинальная на токене, является неэкспортируемой.

↑ Перенос неэкспортируемого ключа электронной подписи в реестр Windows утилитой CertFix.000032.exe

Вот здесь нам и понадобится утилита CertFix.000032.exe.

Здесь меня могут поправить, что запускать нужно версию программы 1.1.27, да ещё при отключенном интернете, чтобы утилита не смогла автоматически обновиться до версии 1.1.28, но я уже давно использую обновлённую версию с включенным инетом и всё всегда получалось.

В главном окне программы находим нашу перенесённую на обычную флешку ЭЦП, видим что в экспорте отказано DENIED, но мы всё равно жмём «Shift» на клавиатуре и щёлкаем правой мышью на нашей ЭЦП, видим, что пункт «Сделать экспортируемым» активен, его и выбираем.

Теперь наша электронная подпись на флешке является экспортируемой и её можно перенести в реестр операционной системы любого компьютера.

В главном окне КриптоПро выбираем Сервис -> Скопировать.

Обзор.

Выделяем нашу ЭЦП и ОК.

Далее.

Готово.

Выбираем Реестр и ОК.

Я не назначал пароль, поэтому просто жму ОК.

Вот и всё! Наша электронная подпись скопирована в реестр.

Можно открыть КриптоПро и убедится в этом.

↑ Где в реестре находится электронный ключ ЭП

В реестре ваша подпись находится по пути:

КомпьютерHKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsUsersS-1-5-21-554005077-1236604879-1505408231-1001KeysИмя вашей ЭЦП