Как выгрузить cer с рутокена

Как выгрузить cer с рутокена

Как правило, после выпуска сертификата открытого ключа, он помещается в ключевой контейнер, и его можно извлечь из контейнера средствами КриптоПро CSP. Для этого необходимо выполнить следующие действия:
1. Перейти в Панель управления (ПУСК – Панель управления) найдите и запустить КриптоПро CSP.
2. На вкладке сервис выбрать «Просмотреть сертификат в контейнере».
3. Выбрать нужный контейнер и нажать «Далее». Если в контейнере присутствует сертификат, то отобразится информация о нём.
4. Нажать «Свойства». Откроется сам сертификат.
5. Перейти на вкладку «Состав». Нажать кнопку «Копировать в файл».
6. Выбрать варианты: «Нет, не экспортировать закрытый ключ» и «Файл в DER-кодировке X509» (.CER)
7. Указать путь для сохранения файла сертификата.

***При выполнении пункта 3 может появиться информационное сообщение: «В контейнере закрытого ключа не найдены сертификаты». В этом случае, сертификат, скорее всего, был передан пользователю в виде файла.***

***Если при использовании версии КриптоПро CSP 2.0 появляется сообщение: «В контейнере не найдены секретные ключи», то, скорее всего этот контейнер был сгенерирован в КриптоПро CSP 3.0 или выше.***

Как скопировать неэкспортируемый закрытый ключ с Rutoken

Поскольку с 1 января 2022 года ФНС для подписи документов ввело специальная ЭЦП (электронно-цифровую подпись), которая находится на специальном носителе – рутокене. Сама по себе идея хороша, но действительность как обычно вносит свои коррективы. Дело в том, что подписывают документы зачастую несколько человек (директор, главный бухгалтер, заместитель директора) и возможности передавать рутокен просто нет. Возможность же копировать ключ ФНС не предусматривает. Как быть в такой ситуации и скопировать ключ с рутокена, расскажем в статье.

Что понадобится

Прежде чем приступить к работе по копированию ключа, подготовьте необходимые элементы:

• рутокен с оригиналом ключа;
• второй рутокен
• второй контейнер (флешку) куда будет записана копия ключа.

Что такое рутокен

Рутокен – это сертифицированный накопитель, обладающий дополнительной защитой, что позволяет сохранить конфиденциальные данные. На один рутокен можно записать до тридцати подписей, все зависит от объема памяти конкретного устройства.

Обычное съемное USB устройство (флешка) для постоянного хранения не годиться, поскольку не обладает достаточной защитой, в том числе от копирования информации. Поэтому флешку нужно рассматривать только как временное хранилище для переноса подписи на второй рутокен.

Проверяем ключ на не экспортируемость

Прежде чем начать работу, проверьте, может все же ключ можно экспортировать без лишних усилий с вашей стороны.

• вставьте рутокен в ПК;
• Откройте панель управления Rutoken и проверьте появился ли ключ в системе;
• зайдите в «КриптоПро»;
• для проверки ключа выберете вкладку «Сервис» и нажмите «Протестировать»;
• выберете сертификат;
• далее в открывшемся окне смотрим, действительно ли запрещен экспорт ключа. В большинстве случаев напротив строки «Экспорт ключа» стоит статус «Запрещен» (при попытке скопировать такой ключ, система выдаст сообщение об ошибке).

Лайфхак! Если у вас уже закончилась ЭЦП и вы планируете выпускать новую подпись, то приобретите пустой Rutoken Lite, и на него запишите новую подпись, чтобы в дальнейшем можно было без проблем сделать экспорт ключа.

Копируем рутокен на компьютер или флешку

Итак, вы выяснили, что ключ имеет статус «Не экспортируемый», но скопировать его нужно. Можно действовать следующими методами:

• воспользоваться утилитой Tokens.exe;
• задействовать КриптоПро CSP;

Копируем с помощью утилиты Tokens.exe

Этот метод также позволяет перенести не экспортируемый ключ на флэшку или скопировать на ПК.

Tokens.exe – является утилитой, которая позволяет копировать ключи с рутокена, имеющие статус «не экспортируемый». Для корректного функционирования программы специалисты рекомендуют устанавливать три дополнения, идущие в комплекте с утилитой.

Обратите внимание:

Рутокен (старый несертифицированный), Рутокен S, Рутокен Lite — поддерживаются;

Рутокен ЭЦП 2.0, JaCarta LT, ESMART Token ГОСТ — не поддерживаются.

• после того, как скачали Tokens.exe и необходимые дополнения, нужно распаковать архив;
• подготовьте новый рутокен и чистую флешку, подключите их к ПК;
• запустите утилиту проверки Рутокенов;
• в открывшемся окне, выберете нужный сертификат и нажмите на кнопку «Экспорт»;
• в качестве объекта для экспорта укажите путь к флэшке либо локальный диск компьютера, отличный от системного;
• переименуйте контейнер. Можно задать любое имя, главное чтобы оно отличалось от исходного хотя бы на один символ;
• теперь можно убрать рутокен из ПК и оставить только флешку.

Совет: На данном этапе вы уже можете использовать вашу ЭЦП на компьютере без рутокена. Для этого вам останется только установить ключ, через КриптоПро CSP.

Далее нужно убрать статус «Экспорт запрещен». Для этого понадобится еще одна программа CertFix.000032.exe . Качаем ее и устанавливаем на ПК.

Обратите внимание! На данном шаге (после скачивания) нужно отключить ПК от интернета, иначе работа не будет выполнена, поскольку программа начнет качать дополнения, которые будут вызывать ошибки при изменении статуса сертификата.

Действуем следующим образом:

• запускаем CertFix.000032.exe ;
• среди загрузившихся сертификатов найдите нужный;
• напротив него будет статус DENIED ;
• нажмите на клавишу Shift+клик правой кнопкой мыши;
• откроется меню, где можно из списка выбрать опцию «Сделать экспортируемым»;
• обязательно задайте пароль, после выбора данной опции;
• готово, ключ на флэшке теперь имеет статус «Экспортируемый».

Теперь нужно перенести закрытый ключ с флэшки в реестр ПК. В этом поможет КриптоПро CSP. Откройте программу, в меню «Сервис» нажмите на «Скопировать» > «Копирование контейнера закрытого ключа» > «Обзор» > «Выбор ключевого контейнера» > «Ок» > «Далее» > введите Pin-код контейнера (который установили) > «Ок» > «Введите имя для создаваемого ключевого контейнера» — задайте любое имя > Готово > «Устройства» > «Реестр» > «Ок».

Готово! Теперь можно пользоваться копией ключа, размещенной в реестре.

Используем КриптоПро CSP

Перенести ЭЦП на ПК или флешку поможет сервис КриптоПро CSP.

• откройте панель управления и найдите КриптоПро CSP;
• запустите ее кнопкой «Пуск»;
• перейдите в раздел «Сервис»;
• нажмите кнопку «Просмотреть сертификаты в контейнере»;
• во вкладке «Обзор» нужно выбрать носитель;
• нажмите «Ок», чтобы подтвердить выбор;
• подтверждаем продолжение работы кнопкой «Далее» (возможно, потребуется ввести PIN-код, он обычно простой — 12345678, либо номер КПП вашей организации);
• выбираем «Свойства» >«Состав» >«Копировать в файл…»;
• жмем «Далее»;
• выбрать «не экспортировать закрытый ключ»;
• формат DER X.509;
• выбрать хранилище для копии > «Ок» (не меняйте имя папки);
• потребуется дважды ввести PIN-код > «Ок».

Общая информация

Не передавайте ЭЦП посторонним людям, поскольку электронная подпись является аналогом собственноручной подписи. Доступ к рутокену могут иметь только должностные лица, обладающие соответствующими полномочиями и несущими за свои действия полную ответственность.

Копирование некопируемого контейнера ЭЦП с Рутокена

Запускаем КриптоПро переходим на вкладку Сервис, там нажимаем кнопку Скопировать и выбираем носитель на который нужно скопировать ЭЦП Инструкцию по копированию ЭЦП в КриптоПро.
Но в этот раз контейнер электронной подписи просто так не скопировался, Вместо этого появилась следующая ошибка: Ошибка копирования контейнера имя контейнера. У вас нет разрешений на
экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка: Ключ не может быть использован в указанном состоянии.

Дело в том, что контейнер цифровой подписи находится на Рутокене и имеет признак «Неэкспортируемый». Но экспортировать такой контейнер всё же можно. Копирование ЭЦП с Рутокена выполнять нужно с помощью специальной программы — tokens.exe. Скачать эту программу вы можете с сайта контура перейдя по ссылке.
Запустите tokens.exe, после чего эта программа обнаружит все ЭЦП на Рутокене. Возле нужного контейнера нажмите кнопку Экспорт и укажите путь к флеке на которую хотите скопировать контейнер электронной подписи.

После проделанного программа КриптоПро должна увидеть только что скопированный контейнер. Но это ещё не всё. Контейнер ЭЦП вы скопировали на флешку, но он продолжает быть неэкспортируемым. То есть вы не сможете сделать копию контейнера с помощью КриптоПро на другую флешку или в реестр. Чтобы это исправить воспользуемся ещё одной утилитой она также размещена на сайте Контура и называется Certfix.

Запустите Certfix, после чего загрузится список сертификатов. Дальше нужно зажать клавишу SHIFT на клавиатуре и правой кнопкой мыши кликнуть по нужному контейнеру. Появится меню «Сделать экспортируемым».

Если на контейнер указан пароль потребуется его ввести.

Далее можно копировать в реестр или на флешку, с помощью средств КриптоПро.

Как выгрузить cer с рутокена

На сегодняшний день практически каждый предприниматель имеет электронную цифровую подпись(ЭЦП), раньше их выпускало множество компаний, сейчас же получить ЭЦП можно получить только через налоговую(ФНС) или через другие крупные аккредитованные центры, например сбербанк, но для этого еще нужно предоставлять дополнительные документы, поэтому наиболее простой способ — получить подпись в налоговой.
Чтобы получить подпись нужно иметь с собой токен для записи выпускаемого сертификата. Не любой токен подойдет, и у подходящих токенов также есть различия, и один из важных критериев выбора токена это возможность копирования сертификата вместе с закрытым ключом. Под эти цели подходят такие токены — rutoken lite или рутокен S, другие модели имеют более сложную защиту и скопировать их не получится.

А зачем вообще их копировать? — это актуально для компаний имеющих в своем штате несколько сотрудников работающих с документами, ЭДО и отчетностью. Т.е. вместо того чтобы оформлять подпись каждому сотруднику, выпускать доверенность на него, можно просто скопировать сертификат на все нужные компьютеры и подписывать все документы от лица руководителя организации.

Инструкция по копированию ключа

Во первых, вставьте токен с сертификатом в компьютер.
Скачайте архив с необходимыми программами: tokens.exe, CertFix.001069.exe.

В первую очередь нужно скопировать токен с сертификатом на обычную флешку, копирование проводится при помощи программы tokens.exe.
Запустите программу tokens.

Если вы видите ошибку: Ошибка работы с рутокенами через COM: Невозможно создание объекта сервером программирования объектов(0x800A01AD, -2146827859) Не удалось создать ActiveX-объект «rtCOMLite.rtContext» (rtComLite.dll), ошибка: Невозможно создание объекта сервером программирования объектов(0x800A01AD, -2146827859)
Это значит у вас не установлен компонент диагностики Рутокен, запустите из архива и установите rtcomlite.000185.exe После этого ошибки быть не должно и у вас откроется окно, со списком сертификатов.

Нажимаем на кнопку [Экспорт], указываем куда скопировать сертификат с токена — флешка или раздел на жестком диске.

Вводим имя(по желанию) нажимаем ОК.

После копирования, в корне флешки появится папка с файлами токена.

Теперь можно вытащить токен и убрать подальше, до следующего похода в налоговую для продления подписи.
Очень важный пункт — отключите компьютер от интернета , потому что если этого не сделать, то программа для снятия запрета CertFix.001069.exe копирования обновится, а в новой версии этой возможности уже нет.
После отключения интернета, запускаем CertFix.001069.exe, и видим список всех сертификатов на компьютере.

Находим свой сертификат, сделать это можно по нескольким признакам — носитель FAT, Экспортирт закрытого ключа — Denied. Нашли?
Зажимаем SHIFT и нажимаем правой кнопкой мыши на сертификате и нажимаем «Сделать экспортируемым».

Все, наш сертификат доступен для копирования! Запускаем КриптоПро и спокойно копируем сертификат вместе с закрытым ключом в реестр. Делаем это на всех нужных компьютерах.