Предположим, у вас есть есть настроенное рабочее место с установленными на него сертификатами, выпущенными для работы с КриптоПро. Частенько бывает, что вместе с переездом на новую систему, сертификаты со старого компа требуется забрать. Особенно это касается случаев, когда пользователь хранит сертификаты не на съемном носителе или токене, а в ресстре Windows.
Экспорт закрытых и открытых ключей в формате Pfx или Cer
Формат PFX позволяет скомпилировать в один файл сразу открытый ключ и сам контейнер ключа. Дабы не было лишней возни при переносе, можно воспользоваться именно данным форматом. Для этого жмякаем пуск - все программы - крипто-про - сертификаты.
Откроется MMC консоль с отображением древа сертификатов. Сертификаты, которыми люди обычно подписывают бухгалтерские и документооборотные штучки хранятся в ветке личное - реестр - сертификаты.
Выбираем интересующий нас сертификат. Правый тык - все задачи - экспорт.
На первом же этапе экспорта нас спросят, хотим ли мы экспортировать сразу оба ключа (закрытый+открытый), если выберем первый вариант - сформируется файл типа Pfx. Если данная надпись выделена серым, значит закрытый ключ к выбранному сертификату на компьютере не установлен.
Обратите внимание, что с в случае, когда закрытый ключ хранится на флешке, потребуется вставить её для успешного экспорта в pfx. Если поставить флаг на настройке "экспортировать все расширенные свойства", в pfx так же войдёт цепочка корневых и доверенных сертификатов, рекомендую её отметить для экономии времени.
На вкладке безопасность введите любой пароль, в дальнейшем он вам потребуется для установки данного сертификата.
Если же на первом этапе отказаться от экспорта закрытого ключа, вы получите файл с расширением .Cer, то есть открытый ключ. Рекомендую сразу экспортировать и его, т.к. КриптоПро при установке Pfx не всегда верно привязывает открытый ключ к закрытому.
Перенос и установка электронной подписи на новую АРМ
Переходим на новый АРМ или систему пользователя, берем наши два файла (pfx и cer). Правый тык на PFX - установить, при установке вас спросят пароль, который вы задавали на вкладке безопасности при экспорте. Криптопро так же спросит, куда поместить закрытый ключ - на флешку, токен или в реестр. Если заранее оговорено что пользователь будет хранить закрытый ключ на флешке - выбирайте её, если ему пофиг то можно загнать так же в реестр.
На этом этапе по идее уже всё, сертификат автоматически установится и сам построит цепочку промежуточных и доверенных сертификатов. Если Windows будет задавать вопросы об установке таких сертификатов - соглашаемся.
Проверить работоспособность электронной подписи можно запустив тестирование контейнера в крипто-про CSP. Для этого запускаем крипто-про CSP и на вкладке "сервис" жмём "протестировать" и выбираем наш закрытый ключ - в отчете не должно быть ошибок, но...
Иногда, после такой установки сертификатов, Крипто-про неверно подвязывает открытый ключ к закрытому. Если после установки pfx электронная подпись не работает - то в том же крипто-про CSP на вкладке "сервис" выбираем "Установить личный сертификат", и указываем наш заранее сформированный файлик формата Cer.
Отмечаем чек-бокс "найти контейнер автоматически" и убеждаемся в наличии галки на последнем шаге установки (Установить сертификат (цепочку сертификатов) в контейнер)
На вопрос от криптопровайдера, перезаписать ли пути отвечаем положительно.