Экспорт сертификатов Крипто-Про с компьютера под управлением Windows

Предположим, у вас есть есть настроенное рабочее место с установленными на него сертификатами, выпущенными для работы с КриптоПро. Частенько бывает, что вместе с переездом на новую систему, сертификаты со старого компа требуется забрать. Особенно это касается случаев, когда пользователь хранит сертификаты не на съемном носителе или токене, а в ресстре Windows.

Экспорт закрытых и открытых ключей в формате Pfx или Cer

Формат PFX позволяет скомпилировать в один файл сразу открытый ключ и сам контейнер ключа. Дабы не было лишней возни при переносе, можно воспользоваться именно данным форматом. Для этого жмякаем пуск — все программы — крипто-про — сертификаты.

Откроется MMC консоль с отображением древа сертификатов. Сертификаты, которыми люди обычно подписывают бухгалтерские и документооборотные штучки хранятся в ветке личное — реестр — сертификаты.

Экспорт сертификатов Крипто-Про с компьютера под управлением Windows

Выбираем интересующий нас сертификат. Правый тык — все задачи — экспорт.

Экспорт сертификатов Крипто-Про с компьютера под управлением Windows

На первом же этапе экспорта нас спросят, хотим ли мы экспортировать сразу оба ключа (закрытый+открытый), если выберем первый вариант — сформируется файл типа Pfx. Если данная надпись выделена серым, значит закрытый ключ к выбранному сертификату на компьютере не установлен.

Обратите внимание, что с в случае, когда закрытый ключ хранится на флешке, потребуется вставить её для успешного экспорта в pfx. Если поставить флаг на настройке «экспортировать все расширенные свойства», в pfx так же войдёт цепочка корневых и доверенных сертификатов, рекомендую её отметить для экономии времени.

На вкладке безопасность введите любой пароль, в дальнейшем он вам потребуется для установки данного сертификата.

Если же на первом этапе отказаться от экспорта закрытого ключа, вы получите файл с расширением .Cer, то есть открытый ключ. Рекомендую сразу экспортировать и его, т.к. КриптоПро при установке Pfx не всегда верно привязывает открытый ключ к закрытому.

Перенос и установка электронной подписи на новую АРМ

Переходим на новый АРМ или систему пользователя, берем наши два файла (pfx и cer). Правый тык на PFX — установить, при установке вас спросят пароль, который вы задавали на вкладке безопасности при экспорте. Криптопро так же спросит, куда поместить закрытый ключ — на флешку, токен или в реестр. Если заранее оговорено что пользователь будет хранить закрытый ключ на флешке — выбирайте её, если ему пофиг то можно загнать так же в реестр.

На этом этапе по идее уже всё, сертификат автоматически установится и сам построит цепочку промежуточных и доверенных сертификатов. Если Windows будет задавать вопросы об установке таких сертификатов — соглашаемся.

Проверить работоспособность электронной подписи можно запустив тестирование контейнера в крипто-про CSP. Для этого запускаем крипто-про CSP и на вкладке «сервис» жмём «протестировать» и выбираем наш закрытый ключ — в отчете не должно быть ошибок, но…

Иногда, после такой установки сертификатов, Крипто-про неверно подвязывает открытый ключ к закрытому. Если после установки pfx электронная подпись не работает — то в том же крипто-про CSP на вкладке «сервис» выбираем «Установить личный сертификат», и указываем наш заранее сформированный файлик формата Cer.

Отмечаем чек-бокс «найти контейнер автоматически» и убеждаемся в наличии галки на последнем шаге установки (Установить сертификат (цепочку сертификатов) в контейнер)

Экспорт сертификатов Крипто-Про с компьютера под управлением Windows

На вопрос от криптопровайдера, перезаписать ли пути отвечаем положительно.