Где найти сертификат ЭЦП на компьютере, установка электронной цифровой подписи

Основные этапы такой процедуры:

1. Вы настраиваете архивацию закрытых ключей на сервере.
2. В момент выдачи сертификата, его закрытый ключ копируется в базу данных и шифруется с помощью специального сертификата – Key Recovery Agent (KRA).
3. При необходимости восстановленияэкспорта какого-либо закрытого ключа, он расшифровывается с помощью Key Recovery Agent (KRA).

Рассмотрим, как эти шаги выполняются.

Что такое электронная подпись — простым языком для новичков мира цифровой экономики

30 октября 2021

В статье даны ответы на вопросы: «Как выглядит электронная подпись», «Как работает ЭЦП», рассмотрены ее возможности и основные компоненты, а также представлена наглядная пошаговая инструкция процесса подписания файла электронной подписью.

Что такое электронная подпись?

Электронная подпись – это не предмет, который можно взять в руки, а реквизит документа, позволяющий подтвердить принадлежность ЭЦП ее владельцу, а также зафиксировать состояние информации/данных (наличие, либо отсутствие изменений) в электронном документе с момента его подписания.

Справочно:

Сокращенное название (согласно федеральному закону № 63) — ЭП, но чаще используют устаревшую аббревиатуру ЭЦП (электронная цифровая подпись). Это, например, облегчает взаимодействие с поисковиками в интернете, так как ЭП может также означать электрическую плиту, электровоз пассажирский и т.д.

Согласно законодательству РФ, квалифицированная электронная подпись — это эквивалент подписи, проставляемой «от руки», обладающий полной юридической силой. Помимо квалифицированной в России представлены еще два вида ЭЦП:

— неквалифицированная — обеспечивает юридическую значимость документа, но только после заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП, позволяет подтвердить авторство документа и проконтролировать его неизменность после подписания,

— простая — не придает подписанному документу юридическую значимость до заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП и без соблюдении законодательно закрепленных условий по ее использованию (простая электронная подпись должна содержаться в самом документе, ее ключ применяться в соответствии с требованиями информационной системы, где она используется, и прочее согласно ФЗ-63, ст.9), не гарантирует его неизменность с момента подписания, позволяет подтвердить авторство. Ее применение не допускается в случаях, связанных с государственной тайной.

Возможности электронной подписи

Физическим лицам ЭЦП обеспечивает удаленное взаимодействие с государственными, учебными, медицинскими и прочими информационными системами через интернет.

Юридическим лицам электронная подпись дает допуск к участию в электронных торгах, позволяет организовать юридически-значимый электронный документооборот (ЭДО) и сдачу электронной отчетности в контролирующие органы власти.

Возможности, которые предоставляет ЭЦП пользователям, сделали ее важной составляющей повседневной жизни и рядовых граждан, и представителей компаний.

Что означает фраза «клиенту выдана электронная подпись»? Как выглядит ЭЦП?

Сама по себе подпись является не предметом, а результатом криптографических преобразований подписываемого документа, и ее нельзя «физически» выдать на каком-либо носителе (токене, smart-карте и т.д.). Также ее нельзя увидеть, в прямом значении этого слова; она не похожа на росчерк пера либо фигурный оттиск. О том, как «выглядит» электронная подпись, расскажем чуть ниже.

Справочно:

Криптографическое преобразование — это зашифровка, которая построена на использующем секретный ключ алгоритме. Процесс восстановления исходных данных после криптографического преобразования без данного ключа, по мнению специалистов, должен занять большее время, чем срок актуальности извлекаемой информации.

Flash-носитель — это компактный носитель данных, в состав которого входит flash-память и адаптер (usb-флешка).

Токен — это устройство, корпус которого аналогичен корпусу usb-флешки, но карта памяти защищена паролем. На токене записана информация для создания ЭЦП. Для работы с ним необходимо подключение к usb-разъему компьютера и введения пароля.

Smart-карта — это пластиковая карта, позволяющая проводить криптографические операции за счет встроенной в нее микросхемы.

Sim-карта с чипом — это карта мобильного оператора, снабженная специальным чипом, на которую на этапе производства безопасным образом устанавливается java-приложение, расширяющее ее функциональность.

Как же следует понимать фразу «выдана электронная подпись», которая прочно закрепилась в разговорной речи участников рынка? Из чего состоит электронная подпись?

Выданная электронная подпись состоит из 3 элементов:

1 – средство электронной подписи, то есть необходимое для реализации набора криптографических алгоритмов и функций техническое средство. Это может быть либо устанавливаемый на компьютер криптопровайдер (КриптоПро CSP, ViPNet CSP), либо самостоятельный токен со встроенным криптопровайдером (Рутокен ЭЦП, JaCarta ГОСТ), либо «электронное облако».

Справочно:

Криптопровайдер — это независимый модуль, выступающий «посредником» между операционной системой, которая с помощью определенного набора функций управляет им, и программой или аппаратным комплексом, выполняющим криптографические преобразования.

Важно: токен и средство квалифицированной ЭЦП на нем должны быть сертифицированы ФСБ РФ в соответствии с требованиями федерального закона № 63.

2 – ключевая пара, которая представляет из себя два обезличенных набора байт, сформированных средством электронной подписи. Первый из них – ключ электронной подписи, который называют «закрытым». Он используется для формирования самой подписи и должен храниться в секрете.

Размещение «закрытого» ключа на компьютере и flash-носителе крайне небезопасно, на токене — отчасти небезопасно, на токене/smart-карте/sim-карте в неизвлекаемом виде — наиболее безопасно. Второй — ключ проверки электронной подписи, который называют «открытым».

3 – сертификат ключа проверки ЭЦП, который выпускает удостоверяющий центр (УЦ). Его назначение — связать обезличенный набор байт «открытого» ключа с личностью владельца электронной подписи (человеком или организацией). На практике это выглядит следующим образом:

например, Иван Иванович Иванов (физическое лицо) приходит в удостоверяющий центр, предъявляет паспорт, а УЦ выдает ему сертификат, подтверждающий, что заявленный «открытый» ключ принадлежит именно Ивану Ивановичу Иванову. Это необходимо для предотвращения мошеннической схемы, во время развертывания которой злоумышленник в процессе передачи «открытого» кода может перехватить его и подменить своим.

Таким образом, преступник получит возможность выдавать себя за подписанта. В дальнейшем, перехватывая сообщения и внося изменения, он сможет подтверждать их своей ЭЦП. Именно поэтому роль сертификата ключа проверки электронной подписи крайне важна, и за его корректность несет финансовую и административную ответственность удостоверяющий центр.

В соответствии с законодательством РФ различают:

— «сертификат ключа проверки электронной подписи» формируется для неквалифицированной ЭЦП и может быть выдан удостоверяющим центром;

— «квалифицированный сертификат ключа проверки электронной подписи» формируется для квалифицированной ЭЦП и может быть выдан только аккредитованным Министерством связи и массовых коммуникаций УЦ.

Условно можно обозначить, что ключи проверки электронной подписи (наборы байт) — понятия технические, а сертификат «открытого» ключа и удостоверяющий центр — понятия организационные. Ведь УЦ представляет собой структурную единицу, которая отвечает за сопоставление «открытых» ключей и их владельцев в рамках их финансово-хозяйственной деятельности.

Подводя итог вышеизложенному, фраза «клиенту выдана электронная подпись» состоит из трех слагаемых:

1. Клиент приобрел средство электронной подписи.
2. Он получил «открытый» и «закрытый» ключ, с помощью которых формируется и проверяется ЭЦП.
3. УЦ выдал клиенту сертификат, подтверждающий, что «открытый» ключ из ключевой пары принадлежит именно этому человеку.

Вопрос безопасности

Требуемые свойства подписываемых документов:

• целостность;
• достоверность;
• аутентичность (подлинность; «неотрекаемость» от авторства информации).

Их обеспечивают криптографические алгоритмы и протоколы, а также основанные на них программные и программно-аппаратные решения для формирования электронной подписи.

С определенной долей упрощения можно говорить, что безопасность электронной подписи и сервисов, предоставляемых на ее основе, базируется на том, что «закрытые» ключи электронной подписи хранятся в секрете, в защищенном виде, и что каждый пользователь ответственно хранит их и не допускает инцидентов.

Примечание: при приобретении токена важно поменять заводской пароль, таким образом, никто не сможет получить доступ к механизму ЭЦП кроме ее владельца.

Как подписать файл электронной подписью?

Для подписания файла ЭЦП нужно выполнить несколько шагов. В качестве примера рассмотрим, как поставить квалифицированную электронную подпись на свидетельство на товарный знак Единого портала Электронной подписи в формате .pdf. Нужно:

1. Кликнуть на документ правой кнопкой мышки и выбрать криптопровайдер (в данном случае КриптоАРМ) и графу «Подписать».

2. Пройти путь в диалоговых окнах криптопровайдера:

Выбрать кнопку «Далее».

На этом шаге при необходимости можно выбрать другой файл для подписания, либо пропустить этот этап и сразу перейти к следующему диалоговому окну.

Поля «Кодировка и расширение» не требуют редактирования. Ниже можно выбрать, где будет сохранен подписанный файл. В примере, документ с ЭЦП будет размещен на рабочем столе (Desktop).

Возможные проблемы

Из типичных проблем пользователи чаще всего сталкиваются со следующими:

1. Ошибка о сроке действия сертификата. Указывает на то, что ЭЦП уже не активен, так как прошло 12 месяцев с даты его выдачи. Также возникает в том случае, если на ПК установлена неверная дата и время.
2. Ошибка отказа в установке сертификата. Указывает на то, что служба поддержки сертификатов и криптографии не запущена. Также возникает при использовании пиратских «урезанных» копий ОС Windows, где некоторые службы полностью вырезаны.
3. Ошибка чтения сертификата с рутокена. Возникает при повреждении USB токена, реже – при выходе из строя USB-входа.
4. Ошибка проверки сертификата. Возникает при отсутствии доступа в интернет, когда производится попытка подписи электронного документа. Для этих целей рекомендуется выполнять подпись через КриптоПро – программа работает и в локальном режиме.

В общем, установка ЭЦП на компьютер не представляет ничего сложного, разработчики ПО позаботились о том, чтобы с данной задачей справился и не опытный пользователь ПК. За помощью же можно обратиться либо в удостоверяющий центр, либо в справочную службу КриптоПро – они довольно быстро отвечают на все вопросы от пользователей в рабочее время.

Документация

Как долго надо хранить сертификат эцп

Нужно ли владельцу электронной подписи хранить сертификаты ЭЦП после истечения срока их действия? Да, желательно сохранить их у себя в электронном или бумажном виде, так как они могут пригодиться в любой момент для подтверждения юридической значимости ранее подписанных с помощью них документов.

Но еще раз напомним, что это лишь рекомендация для владельцев ЭЦП. Обязанность хранить сертификаты законодательно закреплена за выдавшими их аккредитованными удостоверяющими центрами (п. 1 ст. 15 закона «Об электронной подписи» от 06.04.2021 № 63-ФЗ).

Период хранения выданных сертификатов ограничен только сроком деятельности аккредитованного центра. То есть пока аккредитованный цент работает — можно в любой момент запросить у него информацию о ранее выданных сертификатах. Но как только удостоверяющий центр прекращает свою деятельность — обязанность по хранению сертификатов с него снимается.

В будущем планируется перевести хранение всех выданных сертификатов под контроль единой государственной базы, чтобы минимизировать риск их утери в случае прекращения деятельности аккредитованных центров. Но пока такой системы хранения нет, поэтому негласно ответственность за сохранность сертификата полностью лежит на его владельце.

Как удалить старые сертификаты эцп

Удалить старые сертификаты ЭЦП будет намного проще, чем установить или обновить новые. Для этого нужно зайти в программу «Сертификаты» через меню «Пуск» — «Программы» — «Крипто-Про», открыть подпапку «Личное», выбрать старый сертификат, нажать правой клавишей мыши и из появившегося меню выбрать функцию «Удалить». Сертификат будет удален.

Но специалисты не рекомендуют этого делать, так как устаревшие сертификаты могут понадобиться для просмотра ранее подписанных документов и отчетов. Например, при удалении старых сертификатов просмотреть отчеты и письма, переданные с их помощью через ТКС, уже будет нельзя. И придется обращаться в аккредитованные центры с просьбой предоставить удаленные сертификаты.

Чтобы старые сертификаты сохранились в электронном виде, но и не появлялись в списке действующих сертификатов, достаточно вместо удаления сертификата открыть его двойным щелчком левой клавиши мыши и в появившемся окне на вкладке «Состав» нажать на кнопку «Свойства».

Настройка архивации закрытых ключей на сервере.

Вам понадобится сертификат Key Recovery Agent (KRA), выданный для вашей учетной записи.

• В оснастке Certificate Authority, откройте Certificate Templates, и сделайте шаблон Key Recovery Agent доступным для выдаи сертификатов (правой кнопкой по Certificate Templates, выбрать New и выбрать Certificate Template to Issue).

• Теперь под учетной записью администратора на сервере Certificate Authority, вы должны запросить сертификат KRA через оснастку своиъ личных сертификатов (certmgr.msc). Этот выданный для вас сертификат должен появиться в вашем хранилище Personal Certificates.

• В оснастке Certificate Authority, щелкаем правой кнопкой на CA и выбираем Properties. На вкладке Recovery Agents, выбираем Archive the key и жмем Add для добавления сертификатов KRA. Выбираем свой сертификат и жмем Apply.

• В настройках шаблона сертификатов пользователей должна быть настроена возможность архивации закрытых ключей. Для этого выбираем Certificate Templates и жмем Manage. Выбираем нужный сертификат и жмем Properties. Открываем вкладку Request Handling и выбираем Archive subject’s encryption private key.

• Теперь закрытые ключи для вновь выданных сертификатов будут заархивированы в базе данных сервера центра сертификации. Когда ключ сертификата заархивирован, ставится пометка в колонке Archived Key (ее надо добавить через View, Add/Remove Columns).

Общие сведения о процессе установки

Установка сертификата ЭЦП на компьютер проводится по следующему алгоритму:

• установка программной платформы для работы с электронными подписями;
• генерация совместимого сертификата ЭЦП;
• установка сертификата в операционную систему;
• прописывание сертификата в реестре (сейчас это выполняется автоматически, вручную вводить какие-либо изменения не нужно).

Для работы с ЭЦП используется программная платформа КриптоПро CSP. На текущий момент доступны 2 актуальные версии приложения – 3.5 и 5.0. В принципе, функционал у них практически идентичен, но в версии 5.0 реализовано больше протоколов защиты, поэтому именно она и рекомендуема к использованию. КриптоПро CSP – это единственная программа, сертифицирована в РФ для работы с ЭЦП.

Перевыпуск сертификата эцп

Иногда возникают ситуации, когда владелец электронной подписи теряет USB-носитель, меняет свои личные или юридические реквизиты или же законодательство вносит изменения в требования к электронным подписям. В таких случаях понадобится перевыпуск сертификата.

В большинстве случаев эта услуга предоставляется удостоверяющими центрами на платной основе. И лишний раз менять реквизиты или терять USB-ключи финансово невыгодно. Правда, некоторые удостоверяющие центры предлагают услугу «Сопровождение сертификата», которая позволяет до определенного числа за период действия сертификата перевыпускать его за более низкую стоимость.

В случае перевыпуска сертификата ЭЦП просто обновить его не получится — придется устанавливать заново. Для установки нового сертификата понадобится программа КриптоПро CSP, находящаяся в меню «Пуск» — «Настройки» — «Панель управления». В этой программе на вкладке «Сервис» установить новый сертификат можно либо через кнопку «Просмотреть сертификаты в контейнере…», либо через кнопку «Установить личный сертификат…».

Установка сертификата

1. Перейти в «Панель управления».
2. Дважды кликнуть левой кнопкой мыши на «КриптоПро CSP».
3. Откроется окно «Свойства», в нем необходимо перейти во вкладку «Сервис».
4. Если имеется USB-рутокен – его на этом этапе необходимо подсоединить к USB-входу компьютера или ноутбука (можно и до запуска КриптоПро CSP, но не позже).
5. Во вкладке «Сервис» выбрать «Просмотреть сертификаты на контейнере».
6. В следующем окне – выбрать устройство, с которого и необходимо считать ключ ЭЦП (оно будет одно, если в USB имеется только один рутокен).
7. Нажать «Далее», дождаться интеграции сертификата в систему, выбрать «Готово».
8. В появившемся окне выбрать «Установить сертификат» (если не сделать этого, то после перезагрузки ПК ЭЦП будет не активным).

В последнем окне также будут указаны сведения из ЭЦП. Продолжать установку следует только в том случае, если данные – верные, соответствуют действительным данным владельца ключа.

Если система выдаст запрос на выбор хранилища сертификата, то рекомендуется отмечать пункт «Личное». После этого данные ЭЦП будут добавлены в реестр, для последующего его использования вставлять в USB рутокен не потребуется, сертификат будет привязан к используемому оборудованию.

Вышеуказанная инструкция актуальна для всех версий ОС Windows (XP и старше). В дальнейшем, при использовании офисного пакета Microsoft Office можно прямо из программы выполнять подпись и заверение документов установленным сертификатом буквально в несколько кликов.

И перед тем как установить ключ электронной подписи на компьютер рекомендуется инсталлировать любой современный антивирус, обновив и его базу данных (сигнатур). В Windows 10 это не обязательно, так как в данной версии операционной системы имеется интегрированный антивирус Microsoft Essential.

Подробная видео-инструкция:

Централизованное резервное копирование сертификатов и закрытых ключей средствами службы сертификатов microsoft

Централизованное резервное копирование цифровых сертификатов устраняет ряд сложностей, которые возникают при ручном архивировании сертификатов:

Суть централизованного автоматического архивирования сертификатов сводится к архивированию базы Службы Сертификатов.

Но! По умолчанию база Службы Сертификатов содержит в себе только сами сертификаты, а закрытые ключи всегда генерируются на локальных компьютерах и затем никуда из локального хранилища не передаются.

Как же заставить локальные компьютеры передавать центру сертификатов свой закрытый ключ?

Ответ следующий. До начала генерации запросов на получение клиентских сертификатов системный администратор должен выполнить следующие действия:

После выполнения этих действий клиентский компьютер в процессе получения клиентского сертификата будет автоматически передавать на сервер сертификации свой закрытый ключ, а центр сертификации, в свою очередь, будет сохранять этот ключ в базе сертификатов в зашифрованном виде (с помощью ключа KRA) как дополнительный атрибут сертификата.

Восстановление сертификата вместе с закрытым ключом выполняется с помощью сертификата и закрытого ключа KRA в стандартный файл .pfx, который затем импортируется на клиентском компьютере.

Планирование безопасного хранения и применения закрытого ключа KRA является критически важным элементом политики безопасности цифровых сертификатов. Закрытый ключ KRA, фактически, становится мастер-ключом, позволяющим дешифровать любые закрытые ключи, сохраненные в базе Службы Сертификатов.

При планировании политики централизованного архивирования ключей необходимо учитывать и некоторые ограничения. Некоторые из них перечислены ниже:

Пошаговое руководство по централизованному архивированию ключей есть в учебном курсе 6426 “Конфигурирование и устранение неисправностей решений идентификации и управления доступом на основе Windows Server 2008 Active Directory”.

Экспорт архивных ключей

Когда закрытый ключ сертификата попал в архив, этот ключ может быть восстановлен под учетной записью администратора, у которого есть сертификат Key Recovery Agent (и этот сертификат использовался для шифрации закрытого ключа). Чтобы запустить команду на экспорт, необходимо знать серийный номер сертификата, ключ которого будем восстанавливать. Серийный номер можно посмотреть на вкладке Details в свойствах сертификата.

Используя серийный номер восстанавливаемого сертификата мы получаем некую структуру BLOB (предположительно, просто бинарный код из базы, точнее не знаю). Затем преобразовываем BLOB-сертификат в pfx-файл, который содержит в себе открытый и закрытый ключи. Этот файл должен быть защищен паролем. Ниже представлены команды, как это делается.

Итоги

Таким образом, сертификат является неотъемлемой частью ключа электронной подписи, подтверждает подлинность и достоверность этого ключа, выступает в качестве его юридически значимого документального сопровождения. При отсутствии сертификата ключ ЭЦП будет считаться недействительным.

Эта документация перемещена в архив и не поддерживается.

Обновлено: Сентябрь 2021 г.

При развертывании службы восстановления сайтов Azure требуется сертификат для регистрации серверов диспетчера виртуальных машин (VMM) в хранилищах службы восстановления сайтов Azure и для проверки подлинности серверов VMM в службе восстановления сайтов Azure.

Перед началом развертывания подготовьте сертификаты следующим образом.

Затем при настройке хранилища вы передадите CER-сертификат. При регистрации сервера VMM в хранилище во время установки поставщика службы восстановления сайтов Azure выбирается PFX-файл сертификата, соответствующий CER-файлу сертификата, загруженному в хранилище.

Следующие компоненты являются обязательными для сервера управления.

• Можно использовать любой действительный SSL-сертификат, выданный центром сертификации Microsoft Enterprise либо другим центром сертификации, который является доверенным для Майкрософт (корневые сертификаты которого распространяются по программе корневых сертификатов Майкрософт). Дополнительные сведения об этой программе см. в статье Участники программы корневых сертификатов Майкрософт . Вместо этого для тестирования можно использовать самозаверяющий сертификат, созданный с помощью средства Makecert.exe.
• Сертификат должен иметь вид x.509 v3.
• Длина ключа должна быть не менее 2048 бит.
• Сертификат должен иметь действительную подпись ClientAuthentification EKU.
• Сертификат должен быть действителен в настоящее время, а его период действия не должен превышать 3 года.
• Сертификат должен находиться в личном хранилище сертификатов на локальном компьютере.
• Чтобы можно было передать сертификат в хранилище, он должен иметь формат CER и содержать открытый ключ.
• CER-сертификат необходимо экспортировать в PFX-файл (содержащий закрытый ключ). Этот PFX-файл должен быть помещен на каждый сервер VMM, который требуется зарегистрировать в хранилище.

Обратите внимание, что в любой момент времени с каждым хранилищем связан только один сертификат. При необходимости можно передать сертификат, чтобы заменить им текущий сертификат, связанный с хранилищем.

Вы можете использовать любой сертификат, соответствующий . Также с помощью средства MakeCert можно создать CER-сертификат, который будет соответствовать этим требованиям.

1. На компьютер, на котором будет работать средство MakeCert, загрузите последнюю версию пакета средств разработки программного обеспечения Windows (SDK). Обратите внимание, что команда makecert.exe входит в базовый пакет SDK Windows, поэтому загружать и устанавливать весь пакет SDK не требуется.
2. На странице Указание расположения выберите Установить пакет средств разработки программного обеспечения Windows для Windows 8.1 на этот компьютер.
3. На странице Участие в программе улучшения качества программного обеспечения (CEIP) выберите нужный вам параметр.
4. На странице Выбор компонентов для установки снимите все флажки, кроме пакета средств разработки программного обеспечения Windows .
5. После завершения установки проверьте наличие файла makecert.exe в папке C:ProgramFiles (x86)Windows Kits\binx64.
6. Откройте командную строку (cmd.exe) с правами доступа администратора и перейдите в папку с программой makecert.exe.
7. Для создания самозаверяющего сертификата выполните следующую команду. Замените CertificateName именем, которое будет назначено сертификату, а после -e укажите дату истечения срока действия сертификата.

   makecert.exe -r -pe -n CN=CertificateName -ss my -sr localmachine -eku 1.3.6.1.5.5.7.3.2 -len 2048 -e 01/01/2021 CertificateName.cer

Сертификат будет создан и сохранен в ту же папку, в которой находится программа. Для экспорта его можно переместить в более доступное расположение.

На сервере, на котором была запущена программа makecert.exe, выполните шаги этой процедуры для экспорта CER-файла и в формат PFX.

1. В меню Пуск введите mmc.exe
2. В меню Файл щелкните . Откроется диалоговое окно .
3. На вкладке Доступные оснастки щелкните Сертификаты и затем Добавить .
4. Выберите Учетная запись компьютера и нажмите кнопку Далее .
5. Выберите Локальный компьютер и нажмите кнопку Готово .
6. В MMC в дереве консоли разверните узел Сертификаты и затем узел Личные .
7. В области сведений щелкните нужный сертификат.
8. В меню Действие укажите на Все задачи и нажмите кнопку Экспорт . Откроется мастер экспорта сертификатов. Нажмите кнопку Далее .
9. На странице Экспорт закрытого ключа щелкните Да, экспортировать закрытый ключ . Нажмите кнопку Далее . Обратите внимание, что это требуется, только если после установки закрытый ключ нужно экспортировать на другие серверы.
10. На странице Формат экспортируемого файла выберите Personal Information Exchange — PKCS #12 (PFX) . Нажмите кнопку Далее .
11. На странице Пароль введите пароль и подтверждение пароля для шифрования закрытого ключа. Нажмите кнопку Далее .
12. Следуйте дальнейшим инструкциям мастера, чтобы экспортировать сертификат в формате PFX.

    После экспорта PFX-файла скопируйте его на каждый сервер VMM, который необходимо зарегистрировать, а затем импортируйте следующим образом. Обратите внимание, что, если программа MakeCert.exe запускалась на сервере VMM, нет необходимости импортировать сертификат на этот сервер.

    Если VMM развернут в кластере, то будет необходимо импортировать сертификат в каждый узел кластера.

    1. Скопируйте файлы сертификата с закрытым ключом (PFX) в папку на локальном сервере.
    2. В меню Пуск введите mmc.exe и нажмите клавишу ВВОД , чтобы запустить консоль управления Майкрософт (ММС).
    3. В консоли MMC в меню Консоль выберите Добавить или удалить оснастку .
    4. В диалоговом окне Добавление и удаление оснастки выберите Сертификаты и нажмите кнопку Добавить .
    5. Откроется диалоговое окно Оснастка сертификата . Выберите Учетная запись компьютера и нажмите кнопку Далее .
    6. Выберите Локальный компьютер и нажмите кнопку Готово .
    7. В диалоговом окне Добавить или удалить оснастку нажмите кнопку ОК .
    8. В консоли MMC разверните узел Сертификаты , щелкните правой кнопкой мыши Личные , укажите пункт Все задачи и щелкните Импорт , чтобы запустить мастер импорта сертификатов.
    9. На странице Добро пожаловать в мастер импорта сертификатов щелкните Далее .
    10. На странице Импортируемый файл щелкните Обзор и найдите папку, содержащую нужный PFX-файл сертификата. Выберите файл и щелкните Открыть .
    11. На странице Пароль в поле Пароль введите пароль для файла закрытого ключа, указанный в предыдущей процедуре, и нажмите кнопку Далее .
    12. На странице Хранилище сертификатов выберите Установить все сертификаты в следующее хранилище , щелкните Обзор , выберите Личное хранилище, затем щелкните кнопку ОК и Далее .
    13. На странице Завершение работы мастера импорта сертификатов нажмите кнопку Готово .

        Назначение: Windows 7, Windows Server 2008 R2

        Сертификат можно экспортировать, чтобы импортировать его копию на другой компьютер или устройство, либо чтобы сохранить копию сертификата в безопасном месте.

        При экспорте сертификатов для импорта на компьютер с другой операционной системой Windows предпочтительным форматом экспорта является формат PKCS #7. В этом формате сохраняется цепочка центров сертификации, или путь сертификации, любого сертификата, включающего подписи других сторон, связанные с подписями сертификата.

        При экспорте сертификатов для импорта на компьютер с другой операционной системой может поддерживаться формат PKCS #7. Если он не поддерживается, для взаимодействия предоставляется двоичный формат кодирования DER или формат Base64.

        Для выполнения этой процедуры необходимо быть, как минимум, членом группы Пользователи или Администраторы локальной системы. Дополнительные сведения см. в подразделе «Дополнительная информация» данного раздела.

        Чтобы экспортировать сертификат

        Откройте оснастку «Сертификаты» для пользователя, компьютера или службы.

        В дереве консоли в логическом хранилище, содержащем сертификат для экспорта, щелкните Сертификаты .

        В области сведений щелкните сертификат, который нужно экспортировать.

        В меню Действие наведите указатель на пункт Все задачи , а затем щелкните Экспорт .

        В мастере экспорта сертификатов щелкните Нет, не экспортировать закрытый ключ . (Эта возможность появляется только в случае, если закрытый ключ помечен как экспортируемый и к нему имеется доступ.)

        Укажите в мастере экспорта сертификатов следующие сведения.

        • Выберите формат файла для сохранения экспортированного сертификата: формат DER, формат Base64 или PKCS #7.
        • Если сертификат экспортируется в файл PKCS #7, имеется возможность включить сертификаты в пути сертификации.

    14. При необходимости в поле Пароль введите пароль для шифрования экспортируемого закрытого ключа. В поле Подтверждение вновь введите тот же самый пароль и нажмите кнопку Далее .

        В поле Имя файла введите имя файла и путь для файла PKCS #7, в котором будут храниться экспортированный сертификат и закрытый ключ. Нажмите кнопку Далее , а затем нажмите кнопку Готово .

    Дополнительная информация

    • Управлять сертификатами пользователя может пользователь или администратор. Сертификаты, выпущенные для компьютера или службы, могут управляться только администратором или пользователем, наделенным надлежащими разрешениями.
    • Сведения о том, как открыть оснастку «Сертификаты», см. в разделе .
    • После завершения работы мастера экспорта сертификатов сертификат остается в хранилище сертификатов в дополнение ко вновь созданному файлу. Если необходимо убрать сертификат из хранилища сертификатов, необходимо удалить его.

    Назначение: Windows 7, Windows Server 2008 R2

    Иногда требуется экспортировать сертификат с закрытым ключом для сохранения на съемном носителе или для использования на другом компьютере. Для данной процедуры существуют следующие ограничения:

    • Закрытый ключ можно экспортировать только тогда, когда он указан в запросе сертификата или шаблоне сертификата, который использовался для создания сертификата.
    • Усиленная защита (также называемая «iteration count «) включается по умолчанию в мастере экспорта сертификатов, когда экспортируется сертификат со связанным закрытым ключом. Усиленная защита несовместима с некоторыми программами, поэтому при использовании закрытого ключа с какой-либо программой, не поддерживающей усиленную защиту, следует снять флажок Включить усиленную защиту .

    Для выполнения этой процедуры необходимо быть, как минимум, членом группы Пользователи или Администраторы локальной системы. Дополнительные сведения см. в разделе «Дополнительная информация» настоящего документа.

    Чтобы экспортировать сертификат с закрытым ключом

    Откройте оснастку «Сертификаты» для пользователя, компьютера или службы.

    В дереве консоли в логическом хранилище, содержащем сертификат для экспорта, щелкните Сертификаты .

    В области сведений щелкните сертификат, который нужно экспортировать.

    В меню Действие выберите Все задачи , а затем выберите Экспорт .

    В мастере экспорта сертификатов выберите параметр Да, экспортировать закрытый ключ . (Эта возможность появляется только в случае, если закрытый ключ помечен как экспортируемый и к нему имеется доступ.)

    В группе Формат экспортируемого файла выполните какое-либо из описанных далее действий и нажмите кнопку Далее .

    • Чтобы включить все сертификаты в путь сертификации, установите флажок Включить по возможности все сертификаты в путь сертификации .
    • Чтобы удалить закрытый ключ в случае удачного завершения экспорта, установите флажок Удалить закрытый ключ после успешного экспорта .
    • Чтобы экспортировать расширенные свойства сертификата, установите флажок Экспортировать все расширенные свойства .

13. В поле Пароль введите пароль для шифрования экспортируемого закрытого ключа. В поле Подтверждение вновь введите пароль и нажмите кнопку Далее .

    В поле Имя файла введите имя файла и путь для файла PKCS #12, в котором будет храниться экспортированный сертификат и закрытый ключ. Нажмите кнопку Далее , а затем кнопку Готово .

После завершения работы мастера экспорта сертификатов сертификат останется не только во вновь созданном файле, но и в хранилище сертификатов. Если необходимо убрать сертификат из хранилища сертификатов, необходимо удалить его.

Дополнительная информация

• Управление сертификатами пользователей могут осуществлять соответствующий пользователь или администратор. Управлять сертификатами, выданными компьютеру или службе, может только администратор или пользователь, которому были предоставлены соответствующие разрешения.
• Сведения о том, как открыть оснастку «Сертификаты», см. в разделе .

Программа «КриптоАРМ» позволяет экспортировать сертификат из хранилища в файл.

Экспорт сертификата может понадобиться для выполнения следующих задач:

• Архивирование сертификата
• Архивирование сертификата и связанного с ним закрытого ключа
• Копирование сертификата для использования на другом компьютере
• Удаление сертификата и его закрытого ключа с компьютера владельца сертификата для установки на другом компьютере

Когда сертификат экспортируется, он копируется из хранилища сертификатов в файл, использующий стандартный формат хранения сертификатов.

Экспортировать сертификаты из хранилища в файл вы можете через Главное окно программы (вид «Эксперт») .

Для того чтобы экспортировать сертификат:

1. В дереве элементов главного окна выберите раздел Сертификаты. Откроется список хранилищ сертификатов:

• личное хранилище сертификатов;
• сертификаты других пользователей;
• промежуточные центры сертификации;
• доверенные корневые центры сертификации;

Выберите хранилище, в котором содержится сертификат для экспортирования.

Если экспортируемый сертификат – ГОСТ, введите пароль для доступа к ключевому контейнеру.

1. Откроется стандартный диалог Мастер экспорта сертификатов . Ознакомьтесь с порядком экспорта сертификатов и нажмите на кнопку Далее .
2. Вы можете экспортировать закрытый ключ вместе с сертификатом. Для этого поставьте переключатель напротив пункта Да, экспортировать закрытый ключ . В случае выбора пункта Нет, не экспортировать закрытый ключ будет произведена операция экспорта только сертификата (и его открытого ключа).

! Если при создании запроса на сертификат вы не пометили ключи как «экспортируемые», то вы сможете экспортировать сертификат (без закрытого ключа). В этом случае переключатель Да, экспортировать закрытый ключ будет заблокирован.

1. Если вы экспортируете только сертификат (без закрытого ключа), то в следующем окне выберите следующие форматы экспортируемого файла:

• Файлы в DER-кодировке X.509 (.CER)
• Файлы в Base64-кодировке X.509 (.CER)
• Стандарт Cryptographic Message Syntax — сертификаты PKCS #7 (.p7b)

1. Если вы экспортируете сертификат с закрытым ключом, то вам будет доступен только один формат экспортируемого файла — файл обмена личной информацией — PKCS#12 (.PFX) . При этом вы имеете возможность:

• включить по возможности все сертификаты в путь сертификата;
• включить усиленную защиту (требуется IE 5.0, NT 4.0 SP4 или выше);
• удалить закрытый ключ после успешного экспорта.

1. Для обеспечения безопасности следует защитить закрытый ключ паролем.
2. Укажите имя экспортируемого файла и путь экспорта.
3. По окончании операции возникнет сообщение об успешном экспорте сертификата.