Криптопро где хранятся ключи в реестре
Перейти к содержимому

Криптопро где хранятся ключи в реестре

  • автор:

Практические приёмы работы с Реестром¶

В данном разделе рассматриваются практические примеры работы с реестром:

Лицензия КриптоПро в реестре [1017]¶

Лицензия КриптоПро хранится в реестре, её можно оттуда скопировать, либо ввести.

  1. Перейти в ветку:

КриптоПро 3.6:

КриптоПро 3.9:

КриптоПро 4.0:

КриптоПро 3.0:

  1. Открыть двойным нажатием левой кнопки мыши параметр ProductID и прописать в поле Значение серийный номер лицензии (можно с дефисами, можно без). Либо скопировать номер лицензии оттуда.

Где хранятся ключи(закрытый ключ сертификата) в реестре? [1739]¶

Реестр может использоваться в качестве ключевого носителя, другими словами, в него можно скопировать Квалифицированную электронную подпись (КЭП). После копирования закрытые ключи будут находиться:

  • для 32-битной ОС:
  • для 64-битной ОС:
  • В некоторых случаях сертификат попадает сюда:

Где SID (идентификатор пользователя) (англ. Security Identifier (SID)) — структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера.

Узнать SID пользователя можно через командную строку («Пуск → Выполнить → cmd»), введя команду WHOAMI /USER .

Рис. 23 – Узнать SID пользователя через командную строку

Рис. 23 – Узнать SID пользователя через командную строку

Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью».

Восстановление закрытых ключей с неисправного компьютера¶

Обязательно ознакомьтесь с главой Работа с Редактором реестра и разделами:

Есть возможность восстановить закрытые ключи сертификата, если они были записаны в реестре компьютера и этот компьютер сломался.

Это можно сделать только в том случае, если жесткий диск в рабочем состоянии и есть возможность его подключить к рабочему системному блоку. Или есть копия папки C:\Windows\System32\config\ .

Если условия выполняются, необходимо проделать следующее:

  1. Подключить жесткий диск от неработающего компьютера к рабочему системному блоку;
    утилиту PsExec.exe и скопировать ее в корень диска C .

Открыть редактор реестра с помощью утилиты PsExec.exe (см. раздел Работа через утилиту PsExec ). В командной строке («Пуск → Выполнить → cmd») ввести команду;

Загрузить куст HKEY_LOCAL_MACHINE\Software (см. раздел Загрузка и выгрузка куста ):

  • Перейти в раздел HKEY_LOCAL_MACHINE ;
  • Выбрать «Файл → Загрузить куст»;
  • В файловом менеджере выбрать соответствующий файл куста с нерабочего компьютера C:\Windows\System32\config\SOFTWARE ;
  • Задать произвольное имя загруженному кусту, например, AZAZAZ .
  1. Перейти в раздел, в котором хранятся КЭП ;
  • для 32-битной ОС:
  • для 64-битной ОС:

В некоторых случаях сертификат попадает сюда:

  1. После того, как найден нужный раздел с ключами:
  • Нажать на подраздел keys правой кнопкой мыши и выбрать пункт «Экспортировать» (см. раздел Создание резервной копии реестра (Экспорт) ).
  • Выбрать место для сохранения и задать имя файла. Экспортированный файл будет иметь расширение .reg .
  • Если требуется, перенести экспортированный файл с расширением .reg на другой компьютер.
  1. Открыть экспортированный файл с расширением .reg в текстовом редакторе (Notepad++, Блокнот) и изменить в файле идентификатор пользователя (SID) на идентификатор текущего пользователя, для этого:

Рис. 24 – Изменение пути к веткам реестра

Рис. 24 – Изменение пути к веткам реестра

  • В командной строке («Пуск → Выполнить → cmd») ввести команду WHOAMI /USER (см. рисунок Рис. 23 – Узнать SID пользователя через командную строку ).

Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью».

Если разрядность(битность) текущей системы отличается от той, на которой находился контейнер закрытого ключа, то необходимо проверить и при необходимости исправить путь в текстовом редакторе.

  1. Сохранить изменения в файле и открыть его двойным щелчком мыши (см. раздел Восстановление реестра из резервной копии (Импорт) ). Разрешить внести изменения в реестр.

Перед тем, как вносить изменения в реестр, обязательно создавайте его резервную копию. Подробнее в разделе Создание резервной копии реестра (Экспорт) .

  1. В конце рекомендуется выгрузить ранее загруженный куст «Файл → Выгрузить куст».

Можно запускать реестр и не используя утилиту PsExec.exe , но тогда придется добавлять загруженным веткам права и разрешения вручную так, как описано в разделе Права доступа (Разрешения) . Это не критично, если речь идет, например, о копировании всего одного контейнера закрытого ключа. Если файлов много, то гораздо быстрее и удобнее использовать PsExec.exe .

Рекомендую всегда держать на готове утилиту PsExec.exe , ее скачивание и копирование занимает не так много времени.

Извлечение информации из резервной копии реестра¶

Резервные копии реестра обычно создаются автоматически каждые десять дней. Сохраняются они в папке:

  • C:\Windows\System32\config\RegBack – для Windows 7 и Server 2008;
  • C:\Windows\repair – для XP и Server 2003.

Данные папки содержит те же файлы, что и C:\Windows\System32\config\ .

Если, например, из реестра случайно был удален контейнер закрытого ключа, теоретически, есть возможность импортировать куст из резервной копии.

Порядок действия аналогичен, описанному порядку в инструкции Восстановление закрытых ключей с неисправного компьютера . Отличается только файл загружаемого куста C:\Windows\System32\config\RegBack\Software .

Доступ к считываетлям (Calais)¶

Иногда возникает проблема с доступом к считывателям смарт-карт. Она может быть связана с тем, что у текущего пользователя недостаточно прав на следующие ветки:

Подробнее о настройке прав доступа читайте в разделе Права доступа (Разрешения) .

Может возникнуть ситуация, когда текущий пользователь системы даже не будет являться владельцем данных веток реестра, следовательно, у него не будет прав на них. В таком случае, необходимо сначала добавить текущего пользователя во владельцы этих веток, а затем проставить ему соответствующие права, как описано в разделе Права доступа (Разрешения) данного руководства.

Доверенные узлы¶

Если узел не добавляется в надежные узлы, можно добавить его вручную через реестр, для этого необходимо:

Ключевые контейнеры в реестре

Операционная система Windows умерла и нет возможности восстановить. В системе находились ключевые контейнеры записанные в реестр и на других носителях их не существует. Перенесем ключевые контейнеры со старого реестра в новую систему.

Введение

Конечно лучше всегда хранить резервные копии всех получаемых ключей, но это делают только те кто уже имел проблемы с потерей а в последствии долгим и мучительным процессом восстановления необходимых ключей. Самая большая проблема в том что не каждый контейнер в реестре содержит в себе открытый ключ. Государственным учреждениям выдают, как правило на флешке, ключевой контейнер и личный сертификат которые работают в системе только в связке. Некоторые бережно хранят эту связку ну а большинство устанавливают контейнер в реестр системы и используют дальше флэшку в личных целях не задумываясь удаляя все лишнее в случае необходимости. Сохранность данных дело каждого мое дело решить задачу из сложившихся реалий о чем я и поведаю. Вариант подойдёт и для случая когда нет желание переносить каждый ключ а хочется перенести все сразу на новый компьютер.

Ключевые контейнеры в реестре как с ними работать?

Для работы со старым реестрам нужны права на открытие необходимых данных иначе вылезет предупреждение:

key_reestr_windows_sevo44_2

Для работы со старым реестром выполним следующие действия:

  • Скачиваем программу PsTools и распаковываем в любую папку;
  • Копируем необходимый файл PsExec.exe в папку C:\Windows\System32;
  • Запускаем командную строку cmd от имени администратора;
  • Вставляем команду psexec -i -d -s c:\windows\regedit.exe и нажимаем Enter.

Вот так это должно выглядеть в cmd:

key_reestr_windows_sevo44_3

Теперь вы можем спокойно работать с реестром и не получать предупреждения о невозможности просмотра данных.

Необходимые данные в старом реестре

Файлы реестра находятся по пути Windows/system32/config файл который нас интересует называется SOFTWARE. В нашем случае он был исправен в противном случае восстановить нужные данные не получиться.

Подключаем старый реестр в новый

Для подключения необходимо выполнить следующие действия:

  • Выбрать необходимую ветку реестра HKEY_LOCAL_MACHINE;
  • Перейти в меню Файл → Загрузить куст;
  • Выбрать необходимый файл SOFTWARE;
  • Назначить имя загруженному кусту (в моем случае old).

После успешного подключение вы увидите куст с введенным ранее названием.

Серийный номер КриптоПро в реестре

Определить какая стояла версия и серийный номер можно посмотрев записи на скрине ниже (внизу указан путь где смотреть):

key_reestr_windows_sevo44_1

Где хранятся контейнеры ключей в реестре

Все контейнеры вы можете найти по пути (для 64): HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings
\USERS\(идентификатор пользователя)\Keys\(Название контейнера)

key_reestr_windows_sevo44_4

Сохранение ключевых контейнеров

Теперь нам необходимо экспортировать раздел с ключами для выполнения необходимых изменений и загрузки в рабочий реестр. После экспортирования я получил файл с названием reestr.reg.

Добавление контейнеров в новый реестр

Перед тем как добавить в новый реестр контейнеры нам надо сменить uid пользователя и отредактировать путь убрав название загруженного куста.

Смотрим UID необходимого пользователя

В командной строке cmd вносим команду WHOAMI /USER и видим нужный sid пользователя:

key_reestr_windows_sevo44_5

Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью». Вставляется текст по нажатию правой кнопки мыши!

key_reestr_windows_sevo446

Меняем данные в файле

Открываем файл в блокноте и делаем замену:

key_reestr_windows_sevo44_7

Не забудьте убрать название куда добавляли куст! Вам надо загрузить в рабочую часть реестра!

Экспортирует контейнеры в новый реестр

key_reestr_windows_sevo448

Выгружаем старый реестр

Не ищите возможности удаления старого куста который мы добавляли! Ненужный больше куст можно только выгрузить!

Проверка добавления ключевых контейнеров

Открываем программу Crypto Pro и смотрим что у нас есть в реестре:

key_reestr_windows_sevo4410

Всё прошло успешно и все ключевые контейнеры присутствуют.

Перенос личных сертификатов пользователя

Добавление сертификата через Крипто ПРО

Берём открытый сертификат что нам нужен и устанавливаем его через Crypto Pro указав автоматический поиск контейнера. В случае если ставили контейнеры не вводя пароль просто жмите Ентер ( если вводили то ищите куда записали).

Все действия с ключами выполняйте через программу Crypto Pro!

Перенос всех сертификатов

Все сертификаты в системе Windows находятся по пути C:\Users\НУЖНЫЙ ПОЛЬЗОВАТЕЛЬ\AppData\Roaming\Microsoft\SystemCertificates\My. Достаточно скопировать эту папку в аналогичное место на новом компьютере и ключи будут перенесены.

Вывод

Вывод только один — храните резервные копии ключей. В моем случае мне удалось восстановить закрытые контейнеры ключей и личные сертификаты. Стараюсь всегда или переносить ключи в реестра и хранить оригиналы, если это возможно. Не ленитесь делать резервные копии.

Читая их я получаю информацию которая позволяет мне улучшить качество написания статей. Кроме того, оставляя комментарии вы помогаете сайту получить более высокий рейтинг у поисковых систем. Давайте общаться.

Присоеденяйтесь к общению Telegram чате

Читая их я получаю информацию которая позволяет мне улучшить качество написания статей. Кроме того, оставляя комментарии вы помогаете сайту получить более высокий рейтинг у поисковых систем. Давайте общаться.

Учавствуйте в проекте «Команда ADMINS»

Читая их я получаю информацию которая позволяет мне улучшить качество написания статей. Кроме того, оставляя комментарии вы помогаете сайту получить более высокий рейтинг у поисковых систем. Давайте общаться.

Читая их я получаю информацию которая позволяет мне улучшить качество написания статей. Кроме того, оставляя комментарии вы помогаете сайту получить более высокий рейтинг у поисковых систем. Давайте общаться.

2 комментариев для статьи “ Ключевые контейнеры в реестре ”

Да уж, тема злободневная. Сам много ковырялся с этими сертификатами. Теперь всегда делаю локальную копию при возможности. Главное, не забыть забэкапить сертификат и закрытый ключ от него.

Но совсем все я конечно понимаю с этими сертификатами но если пойму обязательно напишу.

Как перенести сертификаты в реестре на другой компьютер

Перенос ключей из КриптоПро:
SID пользователя
1. Запустить редактор реестра (Пуск->Выполнить: regedit);
2. Найти ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList;
3. Выбрать SID(имеет вид, например, S-1-5-21-1993962763-492894223-1202660629-6195), и посмотреть ProfileImagePath, в конце строки найдете имя пользователя, которому принадлежит этот SID;
4. Нужно экспортировать ветку HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS\SID_текущего_пользователя\Keys в reg файл, допустим 1.reg. Для 64-битных систем это HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\USERS\SID_текущего_пользователя\Keys;
5. В 1.reg меняете через автозамену SID_текущего_пользователя, в Вашем случае, старый на нового;
6. Запускаете reg файл, после этого все готово, но необходимо будет заново установить личные сертификаты для того что бы привязать сертификаты к контейнерам. Если не будет видно контейнеров, то неправильно указали SID_пользователя, т.к. контейнеры видны только под тем пользователем, под SID’ом которого они находятся.

Перенос сертификатов
1. Запустить редактор реестра (Пуск->Выполнить: regedit);
2. Найти ветку реестра HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\My;
3. Нужно экспортировать ветку KEY_CURRENT_USER\Software\Microsoft\SystemCertificates\My в reg файл, допустим 1.reg
ВНИМАНИЕ! Если версии КриптоПро CSP разные то такой способ не пройдет, т.к. в 3,0 крипто-провайдер называется, например, Crypto-Pro GOST R 34.10-2001 KC2 CSP а в 3,6 — Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider и из-за этого возникнут проблемы при обращении к закрытому ключу.

Как скопировать лицензию КриптоПро CSP на другой компьютер

Если вы работаете с электронной подписью(ЭП), рано или поздно может потребоваться копирование лицензии КриптоПро CSP на другой компьютер.

Серийный номер КриптоПро CSP находится в ветке реестра

в значении параметра ProductID (имя раздела 05480A45343B0B0429E4860F13549069 может оказаться другим).

Может так же оказаться, что разделов в ветке Products несколько. В этом случае необходимо пройтись по каждому разделу и найти ProductID, который соответствует номеру КриптоПро на вкладке «Общие».

Но есть более легкий способ скопировать лицензию КриптоПро CSP.

Для этого потребуется программа CryptoPRO KEY Viewer(ссылка на программу ниже). CryptoPRO KEY Viewer небольшая программа для просмотра ключей от CryptoPRO 3.6/3.9/4.0/5.0.

Программа имеет простой интерфейс. Содержит четыре кнопки и текстовое поле от куда можно скопировать ключ. Ключи достает с вашего реестра на компьютере.

Операционная система: windows xp/vista/7/8/10/11

Скачиваем программу с сайта и запускаем.

Выбираем нужную версию КриптоПро CSP из списка.

    Копируем ключ лицензии на другой компьютер.

Пуск->Все программы->КриптоПро->КриптоПро CSP->Ввод/ввести лицензию.

В открывшемся окне введите 25-значный серийный номер.

После успешной активации нужно удалить лицензию на старом компьютере по условиям лицензионного соглашения.

Что будет, если ввести лицензию КриптоПро на второй компьютер?

Лицензия дается на рабочее место.Используя его на нескольких компьютерах, вы нарушаете условия лицензионного соглашения.

Можно ли перенести лицензию КриптоПро с 4.0 версии на 5.0?

Нет. Лицензия КриптоПро активируется только на той версии, на которую она приобреталась.

Прочитали статью, но не смогли решить проблему? С радостью помогу Вам в решении проблемы!

Cкопирую лицензию КриптоПро CSP на другой компьютер

Копирование «некопируемой» электронной подписи(ЭП) с Рутокена Lite.

Настройка компьютера для работы с ЭП от 500 руб.

Можете связаться со мной по Telegram.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *