Утилита Csptest.exe¶
Утилита сsptest.exe , входит в состав программы КриптоПро и позволяет выполнять операции через командную строку. Это дает возможность автоматизировать выполняемые действия с помощью скриптов.
Далее будут рассмотрены основные команды утилиты сsptest.exe и скрипты, позволяющие выполнить массовое копирование контейнеров закрытых ключей и установку сертификатов.
Для удобства, перед выполнением команд перейдите в папку C:\Program Files\Crypto Pro\CSP , выполнив в командной строке команду: cd "C:\Program Files\Crypto Pro\CSP"
Справка по csptest.exe¶
Посмотреть все параметры утилиты сsptest.exe :
Основные команды csptest.exe¶
Просмотр списка контейнеров закрытых ключей¶
Список контейнеров выводится с помощью параметра -keyset :
Для просмотра списка контейнеров на съемных носителях используется параметр -machinekeys . В данном случае не будут показаны ключи, установленные в реестр:
Пример вывода команды:
Флешки и дискеты обозначаются как FAT12_x , где и x буква, присвоенная съемному носителю.
Носитель будет отображен данной командной только в том случае, если на нем есть контейнеры.
Копирование контейнера¶
Копирование контейнера осуществляется с помощью параметра -keycopy :
- -src — имя контейнера. Имена контейнеров уникальны, поэтому можно не указывать путь к носителю, КриптоПро сама найдет путь к контейнеру.
- -dest — имя скопированного контейнера, оно должно отличаться от исходного имени. Так же можно указать путь к контейнеру, например, если указать -dest "\\.\FAT12_H\2015ZAO_3" , то контейнер будет скопирован на флэшку. Если не указать путь к носителю, а просто задать название контейнеру, то крипто про выведет графический диалог выбора носителя для копирования.
- -pinsrc — пароль от исходного контейнера, если пинкода нет, то данный параметр можно не указывать.
- -pindest — пароль на скопированный контейнер. Чтобы подавить графический диалог установки пароля при автоматическом копировании контейнеров, можно указать пустой пароль, выполнив -pindest=""
Например, рассмотрим копирование контейнера с рутокена в реестр:
Аналогичная ситуация с рутокенами, в данном случае программа не различает понятия пароль и пин-код. Т.е. чтобы скопировать контейнер с рутокена на носитель можно команде -pinsrc присвоить стандарнтный пин-код от Рутокена 12345678 . В таком случае не будет выводиться запрос на ввод пин-кода Рутокена.
Копирование на Рутокен¶
К сожалению, копирование контейнера на Рутокен работает не совсем гладко. Если параметру -dest указать значение \\.\Aktiv Co. ruToken 0\Имя_контейнера , то будет выведено пустое окно КриптоПро для выбора ключевого носителя.
В данном случае лучше передать параметру -dest просто название контейнера, без указания пути к носителю, но тогда при копировании каждого контейнера будет появляться уже не пустое окно КриптоПро для выбора ключевого носителя, в котором надо будет вручную выбирать нужный Рутокен.
С другой стороны, такое поведения достаточно удобно при копировании большого числа контейнеров на разные Рутокены. Можно контролировать заполненность носителя.
КриптоПРО: Bat файл создания ЭЦП
Сегодняшнюю небольшую запись я решил посветить теме создания электронной цифровой подписи средствами криптопровайдера «КриптоПРО». Речь пойдет о Bat файле, который можно будет использовать для автоматизации подписи электронных документов.
Для того что бы автоматизировать процесс подписывания электронных документов нам понадобится:
1) Крипто-ПРО CSP;
2) USB Ключ (например рутокен), вставленный в USB порт;
3) Блокнот (Notepad.exe);
4) Установленные сертификаты для Вашего ключа;
Камнем преткновения во всей этой истории является файл csptest.exe который находится в директории КриптоПро (по умолчанию C:\Program Files\Crypto Pro\CSP\csptest.exe).
Откроем командную строку и выполним команду:
Мы увидим все возможные параметры данного exe файла.
Для того, что бы увидеть параметры той или иной глобальной опции, достаточно вызвать данный файл с этой опцией, например
Таким образом, чтобы подписать файл через cmd средствами csptest.exe нужно вызвать команду:
где:
-my — Указывает владельца ключа;
-in — Указывает какой файл нужно подписывать. Если файл находится не в папке с csptest то нужно указывать полный путь.;
-out — Указывает имя файла подписи;
Проверить подпись можно на сайте Госулсуг по данной ссылке .
Скорей всего. Если сейчас загрузить данный файл на сайте госуслуги, то появится ошибка. Вызвано это тем, что необходима информация об удостоверяющем центре. Так же не будет лишней дата и время подписи документов. Для этого к нашей команде нужно добавить два параметра:
Если же нам нужна подпись в осоединенном формате, то добавим еще один параметр:
Примечание:Если подпись документа выполняется с ошибкой
Unable to open file
An error occurred in running the program.
.\signtsf.c:321:Cannot open input file.
Error number 0x2 (2).
Не удается найти указанный файл.
при вызове, как в последнем примере, и Вы уверены в правильности путей в параметре -in и -out, попробуйте создать подпись по первому примеру, а после выполнить команду с полным набором параметров.
Основную команду для подписи мы получили. Теперь немного упростим процедуру. Сделаем bat файл, при запуске которого будет подписывать файл Secret.txt, находящийся в тойже папке что и bat файл. Откроем блокнот и запишем слудующий код:
Нажимаем «Файл» -> «Сохранить как» -> ЗадаемИмя с .bat -> «Сохранить»
Собсвенно и все. Для справки:
chcp 1251 — Задает кодировку для CMD. Необходимо для валидной обработки русских букв в коде;
set CurPath=%cd% — Сохраняет путь текущей директории CMD в переменную CurPath;
cd — Задает текущий путь CMD;
call — Запускает программу;
КриптоПро
КриптоПро — линейка криптографических утилит (вспомогательных программ), так называемых «криптопровайдеров». Они используются во многих программах российских разработчиков для генерации ЭЦП, работы с сертификатами, организации структуры PKI и т.д. (см.сайт).
Совместимость
По информации разработчика, с ALT Linux совместимы следующие продукты КриптоПро:
- КриптоПро CSP
- КриптоПро JCP
- КриптоПро HSM
- КриптоПро TSP
- КриптоПро OCSP
- КриптоПро ЭЦП Browser plug-in
- КриптоПро SSF
- КриптоПро Stunnel
- Браузер КриптоПро Fox
Установка КриптоПро CSP
Загрузка
Архив с программным обеспечением (КриптоПро CSP 4.0 R4 — сертифицированная версия, КриптоПро CSP 5.0 — несертифицированная) можно загрузить после предварительной регистрации:
- linux-ia32.tgz (19,3 МБ, для i586) — для 32-разрядных систем (x86, rpm) ;
- linux-amd64.tgz (20,1 МБ, для x86_64) — для 64-разрядных систем (x64, rpm) .
Установка
1. Установите пакет cryptopro-preinstall :
2. Распакуйте архив, скачанный с официального сайта КриптоПро:
Таблица 1. Описание необходимых пакетов КриптоПро.
Пакет | Описание |
---|---|
Базовые пакеты: | |
cprocsp-curl | Библиотека libcurl с реализацией шифрования по ГОСТ |
lsb-cprocsp-base | Основной пакет КриптоПро CSP |
lsb-cprocsp-capilite | Интерфейс CAPILite и утилиты |
lsb-cprocsp-kc1 | Провайдер криптографической службы KC1 |
lsb-cprocsp-kc2 | Провайдер криптографической службы KC2 (требует наличия аппаратного датчика случайных чисел или гаммы) |
lsb-cprocsp-rdr | Поддержка ридеров и RNG |
Дополнительные пакеты: | |
cprocsp-cptools-gtk | Инструменты КриптоПро — кроссплатформенный графический интерфейс |
cprocsp-rdr-gui-gtk | Графический интерфейс для диалоговых операций |
cprocsp-rdr-rutoken | Поддержка карт Рутокен |
cprocsp-rdr-jacarta | Поддержка карт JaCarta |
cprocsp-rdr-pcsc | Компоненты PC/SC для ридеров КриптоПро CSP |
lsb-cprocsp-pkcs11 | Поддержка PKCS11 |
ifd-rutokens | Конфигурация Рутокеновских карт (или можно взять pcsc-lite-rutokens из репозитория) |
3. Установите пакеты КриптоПро:
-
под правами пользователя root перейдите в папку с распакованным архивом:
- установите пакеты для поддержки токенов (Рутокен S и Рутокен ЭЦП):
- установите пакет для поддержки токенов (JaCarta):
- установите пакет для поддержки носителей с неизвлекаемыми ключами:
- Для установки сертификатов Главного удостоверяющего центра:
Также можно выполнить установку КриптоПро, запустив ./install_gui.sh в распакованном каталоге и выбрав необходимые модули:
Примечания:
- Для КриптоПро CSP 3.6 R2 потребуется установить пакет cprocsp-compat-altlinux-1.0.0-1.noarch.rpm
- Для установки cprocsp-rdr-gui может понадобиться libXm.so.3 ( libopenmotif3 ) и для вывода кириллицы fonts-bitmap-cyr_rfx-iso8859-5 .
- Для установки cprocsp-rdr-gui-gtk потребуется предварительно установить libpangox-compat .
- В версии 4.0.0-alt5 пакета cryptopro-preinstall добавлены подпакеты:
- cryptopro-preinstall-base для установки с cprocsp-compat-altlinux , «предоставляющим» lsb (в случае нежелательности «лишних» зависимостей вроде libqt3 ), и
- cryptopro-preinstall-full для автоустановки зависимостей cprocsp-rdr-gui .
Обновление
Для обновления КриптоПро необходимо:
-
Запомнить текущую конфигурацию:
-
набор установленных пакетов:
Прописывание путей к исполняемым файлам
Утилиты КриптоПро расположены в директориях /opt/cprocsp/sbin/<название_архитектуры> и /opt/cprocsp/bin/<название_архитектуры> .
Чтобы каждый раз не вводить полный путь к утилитам КриптоПро:
- после установки пакета cryptopro-preinstall начните новый сеанс пользователя в консоли;
- выполните от имени пользователя, который будет запускать команды (будет действовать до закрытия терминала):
Проверка лицензии
Проверить срок истечения лицензии можно командой (обратите внимание на строки Expires:):
Для установки другой лицензии выполните (под root):
Проверка версии
Проверить версию КриптоПро можно командой:
Удаление КриптоПро
Настройка оборудования
Настройка устройств хранения (носителей) и считывания (считывателей) ключевой информации и датчиков случайных чисел.
Считыватели (readers) — устройства, предназначенные для чтения ключей. К считывателям относится считыватели дискет (FAT12), считыватели флеш-накопителей (FLASH), считыватели смарт-карт и токенов, считыватель образа дискеты на жестком диске (HDIMAGE) и др.
Ключевые носители (media) являются местом хранения электронной подписи. В качестве носителя ключевой информации могут использоваться: защищенный флэш-накопитель (токен) (Рутокен, JaCarta, ESMART и др.), смарт-карта, флэш-накопитель, дискета.
Ключевые контейнеры — это способ хранения закрытых ключей, реализованный в КриптоПро. Их физическое представление зависит от типа ключевого носителя (на флеш-накопителе, дискете, жестком диске это каталог в котором хранится набор файлов с ключевой информацией; в случае со смарт-картами — файлы в защищенной памяти смарт-карты).
Встроенный в «КриптоПро CSP» датчик случайных чисел (далее ДСЧ) используется для генерации ключей.
Для смарт-карт: ключи дополнительно защищаются кодом доступа к защищенной памяти смарт-карты (PIN). При всех операциях с защищенной памятью (чтение, запись, удаление. ) требуется вводить PIN. Для других носителей: для повышения безопасности на контейнер можно установить пароль. В этом случае всё содержимое контейнера хранится не в открытом виде, а в зашифрованном на этом пароле. Пароль задается при создании контейнера, в дальнейшем для чтения ключей из контейнера необходимо будет вводить пароль.
Управление считывателями
Просмотр доступных (настроенных) считывателей:
Инициализация считывателя HDIMAGE, если его нет в списке доступных считывателей (под правами root):
Считыватель HDIMAGE размещается на /var/opt/cprocsp/keys/<имя пользователя>/ .
Для работы со считывателем PC/SC требуется пакет cprocsp-rdr-pcsc. После подключения считывателя можно просмотреть список видимых считывателей (не зависимо от того, настроены ли они в КриптоПро как считыватели, зависит только от того, какие установлены драйверы для считывателей):
Инициализация считывателя Aktiv Co. Rutoken S 00 00 (требуется, если считыватель есть в списке видимых считывателей и отсутствует в списке настроенных), в параметре -add указывается имя, которое было получено при просмотре видимых считывателей, в параметре -name — удобное для обращения к считывателю имя, например, Rutoken (под правами root):
Современные аппаратные и программно-аппаратные хранилища ключей, такие как Рутокен ЭЦП или eSmart ГОСТ, поддерживаются через интерфейс PCSC. За реализацию этого интерфейса отвечает служба pcscd , которую необходимо запустить перед началом работы с соответствующими устройствами:
Утилита Csptest.exe — Документация Руководство по командной строке Windows 18.08.2015
Электронная цифровая подпись
Основные команды csptest.exe¶
Копирование контейнера ¶
Копирование контейнера осуществляется с помощью параметра -keycopy :
- -src — имя контейнера. Имена контейнеров уникальны, поэтому можно не указывать путь к носителю, КриптоПро сама найдет путь к контейнеру.
- -dest — имя скопированного контейнера, оно должно отличаться от исходного имени. Так же можно указать путь к контейнеру, например, если указать -dest «\.FAT12_H2021ZAO_3» , то контейнер будет скопирован на флэшку. Если не указать путь к носителю, а просто задать название контейнеру, то крипто про выведет графический диалог выбора носителя для копирования.
- -pinsrc — пароль от исходного контейнера, если пинкода нет, то данный параметр можно не указывать.
- -pindest — пароль на скопированный контейнер. Чтобы подавить графический диалог установки пароля при автоматическом копировании контейнеров, можно указать пустой пароль, выполнив -pindest=»»
Например, рассмотрим копирование контейнера с рутокена в реестр:
3 Работа с сертификатами КриптоПро — РЕД ОС
Работа с криптоконтейнерами
Установка личных сертификатов
Установка корневых сертификатов
Просмотр сертификатов
Удаление сертификатов
Перенос контейнера с flash носителя в локальное хранилище ПКДля удобства использования утилит КриптоПро создадим на них символьные ссылки, для этого выполните:
Просмотр версии КриптоПро:
Для установки лицензии выполните (с правами root):
При использовании токенов сервис pcscd должен быть запущен. Проверка статуса pcscd:
если он выключен, то включите его:
Вывод сообщений журнала службы pcscd:
Узнать модель подключенного токена:
Работа с криптоконтейнерами
1. Проверить наличие доступных контейнеров:
Имена контейнеров используются для установки личных сертификатов.
- Считыватель HDIMAGE размещается в /var/opt/cprocsp/keys/<имя пользователя>/ т.е в данном случае используется жесткий диск для хранения ключей.
- Считыватель FLASH означает, что используется флешка для хранения приватных ключей.
- Также считывателем может выступать токен.
2. Имена контейнеров могут содержать символы на кириллице, поэтому чтобы корректно отобразить контейнеры используйте следующую команду:
Для дальнейшего использования имен контейнеров содержащих кодировку cp1251, выведем список контейнеров с уникальными именами:
3. Просмотр подробной информации о контейнере:
4. Перечисление контейнеров пользователя:
5. Перечисление контейнеров компьютера:
6. Открыть(проверить) контейнер пользователя:
7. Открыть(проверить) контейнер компьютера:
Установка личных сертификатов
Установку личных сертификатов необходимо производить в консоли обычного пользователя (не root).
1. Установка сертификата без привязки к ключам:2. Установка личного сертификата cert_bob.cer, сертификат при этом попадает в пользовательское хранилище uMy. Приватный ключ находится на флешке.
в команде указывается сертификат cert_bob.cer, который ассоциируется с приватным контейнером \.FLASHbob’
3. Установка сертификата с токена (в конце команды указывается контейнер)
если сертификат не привязан к контейнеру на токене, то при установке укажите путь до него через параметр -file:
Установка корневых сертификатов
При установке корневых сертификатов достаточно указать хранилище u R oot . При указании m R oot (при наличии прав администратора) корневой сертификат будет доступен всем пользователям системы.
1. Установка в хранилище КриптоПро :
2. Установка в хранилище ПК:
3. Установка списка отозванных сертификатов crl:
1. Просмотр установленных сертификатов:
2. Просмотр установленных сертификатов в локальном хранилище uMy:
3. Просмотр сертификатов в хранилище ПК (обычно сюда устанавливаются корневых сертификаты):
4. Просмотр сертификатов в контейнере:
5. Просмотр промежуточных сертификатов:
Удаление сертификат ов
1. Удалить сертификат из личного хранилища сертификатов
Просмотрите установленные сертификаты:Изучите список всех установленных сертификатов (в общем списке отображаются абсолютно все сертификаты).
Для удаления следует выполнить команду в Терминале:
Если установлено более одного сертификата, то будет предложено указать номер удаляемого сертификата.
2. Удалить сертификаты, установленные в хранилище КриптоПро:
Если установлено более одного сертификата, то будет предложено указать номер удаляемого сертификата.
3. Удалить все сертификаты, установленные в хранилище КриптоПро:
4. Удалить все сертификаты, установленные в хранилище ПК:
Перенос контейнер а с flash носителя в локальное хранилище ПК
1. Активируем хранилище HDIMAGE:
2. Посмотрим, какие контейнеры доступны на флешке:
Перейдите на Flash носитель и скопируйте этот контейнер — каталог bob.000 с приватными (закрытыми) ключами в /var/opt/cprocsp/keys/user — в этом каталоге находится локальное хранилище HDIMAGE
3. Посмотрим доступные контейнеры:
Как видим, появился новый контейнер \.HDIMAGEbob
Теперь flash носитель можно отключить, он нам больше не понадобится.5. Установим пользовательский сертификат с привязкой к закрытому контейнеру \.HDIMAGEbob
Microsoft подтверждает ошибку сертификата в windows 10
Microsoft недавно признала новую ошибку в Windows 10, и компания заявляет, что единственное, что можно сделать, – это просто вернуться к предыдущей версии операционной системы.
В частности, софтверный гигант из Редмонда заявляет, что сертификаты могут отсутствовать после обновления до более новой версии Windows 10.
И, судя по всему, все вызвано последними кумулятивными обновлениями, выпущенными компанией. Проблему вызывают обновления от сентября 2020 года и более новые, поэтому устройства могут остаться без системных и пользовательских сертификатов, если юзеры обновят операционную систему с помощью этих накопительных обновлений.
«Системные и пользовательские сертификаты могут быть потеряны при обновлении устройства с Windows 10 версии 1809 или новее до более поздней версии Windows 10», – поясняет компания.
«Устройства будут затронуты только в том случае, если они уже установили какое-либо последнее накопительное обновление (LCU), выпущенное 16 сентября 2020 года, а затем перейдут к обновлению до более поздней версии Windows 10, для версии которой не был выпущен LCU.
В первую очередь это происходит, когда управляемые устройства обновляются с использованием устаревших пакетов с помощью инструмента управления обновлениями, такого как Windows Server Update Services (WSUS) или Microsoft Endpoint Configuration Manager.
Интересно, что затронуты были не все, и Microsoft заявляет, что устройства, которые подключаются напрямую к Центру обновления Windows, или устройства, использующие Центр обновления Windows для бизнеса, не увидят эту ошибку просто потому, что они всегда получают последнее накопительное обновление, которое также включает самые последние исправления.
Проблема затрагивает все версии Windows 10, выпущенные после обновления October 2021 Update, а именно:
• Windows 10 версии 1903• Windows 10 версии 1909• Windows 10 версии 2004• Windows 10 версии 20H2• Windows Server версии 1903• Windows Server версии 1909• Windows Server версии 2004• Windows Server версии 20H2
Интересно, что Microsoft заявляет, что уже работает над исправлением, но пока что единственный способ избежать ошибки – это просто перейти на предыдущую версию Windows 10, которую вы использовали до обновления. Очевидно, что если эта опция все еще доступна, то переход на более раннюю версию разрешен только в первые 10 или 30 дней после установки нового обновления функций, в зависимости от ваших настроек.
Microsoft заявляет, что она уже начала работу по исправлению этой ошибки, и как только патч будет доступен, компания опубликует новые кумулятивные обновления, которые позволят пользователям устанавливать новые версии Windows 10 без риска потери своих сертификатов.
Rosa crypto tool
Как следует из названия, это утилита для работы с электронной подписью и шифрованием для дистрибутива ROSA Linux. В данный момент утилита доступна в репозиториях Rosa Linux и Alt Linux.
Эта утилита разрабатывается одним человеком – Михаилом Вознесенским. У нее простой, но удобный интерфейс. На данный момент утилита находится в активной разработке – с ноября 2021 года мне удалось протестировать три версии. Последняя версия, доступная на момент написание статьи — 0.2.2.
Что внутри? Утилита написана на Python с использованием PyQt4 для графического интерфейса.
Установить ее можно, использовав «Управление программами» в Rosa Linux.
Вставляем токен и запускаем утилиту.
Видим, что токен определился успешно и был найден наш сертификат.
Интерфейс программы настолько прост, что описывать и показывать в статье все его функции не имеет смысла. Попробуем только подписать файл.
Выбираем файл и жмем “Подписать файл”. Получаем вот такое предупреждение.
Нажимаем «OK» и получаем информацию о том, что файл был подписан успешно.
Основное достоинство этой утилиты в том, что она совершенно бесплатная, в отличии нашего следующего продукта.
По сравнению с использованием «КриптоПро CSP» из консоли:
На порядок проще использовать;— Отсутствуют различные параметры подписи.
Исходный код программы доступен в публичном репозитории на ABF:abf.io/uxteam/rosa-crypto-tool-develСистема контроля версий, которую использует «НТЦ ИТ РОСА», интегрирована в сборочную среду и базируется на Git. Можно вполне использовать любой клиент git.
Надеюсь, разработчики других отечественных дистрибутивов Linux, таких как Astra Linux, GosLinux и другие добавят в свои дистрибутивы пакеты с rosa-crypto-tool.
Добавление информации проверки после подписания
При выполнении некоторых рабочих процессов информация проверки подписи недоступна в момент подписания, но может быть получена позднее. К примеру, такая ситуация может возникнуть, если представитель компании подписывает контракт с использованием ноутбука, находясь на борту самолета. При этом компьютер не может выполнить подключение к Интернету для получения информации об отметках времени и аннулировании, которую необходимо добавить к подписи. При появлении позднее доступа в Интернет, любое лицо, выполняющее проверку подписи, сможет добавить эту информацию в документ PDF. Эта информация может также использоваться при всех последующих проверках подписи.
Информация и методы, использованные для включения этой информации с длительным сроком подтверждения (LTV) в файл PDF, соответствуют стандарту, описанному в части 4 стандарта ETSI 102 778 PDF Advanced Electronic Signatures (PAdES) (Улучшенная электронная подпись PDF). Дополнительные сведения см. по адресу: blogs.adobe.com/security/2009/09/eliminating_the_penone_step_at.html . Данный пункт меню недоступен, если подпись недействительна или документ подписан с использованием сертификата самоподписания. Команда также недоступна, если время проверки и текущее время одинаковы.
Задание уровня надежности сертификата
На вкладке «Надежность» выберите любой из следующих элементов, для которых этот сертификат можно объявить надежным.
Надежными объявляются документы, сертифицированные автором с помощью его подписи. Вы доверяете лицу, подписавшему документ, сертифицировать документы и соглашаетесь на выполнение действий с сертифицированным документом.
Если выбран этот параметр, становятся доступными следующие параметры:
Разрешает воспроизведение видеоклипов, звуковых файлов и прочего динамического содержимого в сертифицированном документе.
Встроенный сценарий JavaScript с высоким уровнем полномочий
Разрешает запуск привилегированных сценариев JavaScript в файлах PDF. Файлы JavaScript могут использоваться во вредоносных целях. Целесообразно выбрать этот параметр только если это требуется в сертификатах, которым вы доверяете.
Привилегированные операции системы
Разрешает подключения к сети Интернет, создание междоменных сценариев, печать в автоматическом режиме, ссылки на внешние объекты и действия методологии импорта и экспорта в сертифицированные документы.
Дополнительную информацию см. в файле PDF под названием Digital Signature Guide (Руководство по использованию цифровых подписей) по адресу www.adobe.com/go/learn_acr_security_en .
Запуск консоли
Для запуска консоли выполните следующие действия:
- Выберите меню «Пуск» → «Выполнить» (или на клавиатуре одновременно нажмите на клавиши «Win R»).
- Введите mmc и нажать на кнопку «ОК».
- Выберите меню «Файл» → «Добавить или удалить оснастку».
- Выберите из списка оснастку «Сертификаты» и нажмите на кнопку «Добавить».
- В открывшемся окне выберите «Моей учетной записи пользователя» и нажмите на кнопку «Готово».
- Выберите из списка справа добавленную оснастку и нажмите на кнопку «ОК».
Импорт сертификата в windows
Ранее я вам рассказывал, где в операционной системе Windows хранятся сертификаты и вы помните, что там есть два глобальных контейнера:
- Первый, это для компьютера
- Второй для пользователя
Я в своем примере буду импортировать сертификат в раздел локального компьютера, в личное расположение. И так у меня есть Wildcard сертификат имеющий формат PFX архива. Существует два метода импорта сертификата в операционных системах Windows:
- Через графический мастер импорта сертификатов
- Через использование утилиты командной строки certutil
Давайте начнем с самого простого метода, через графический интерфейс. У меня есть файл pyatilistnik.pfx. Я щелкаю по нему двойным кликом и запускаю мастер импорта сертификатов.
Я указываю, что буду копировать сертификат в хранилище локального компьютера, нажимаю далее.
Мастер импорта сертификата попытается удостовериться, какой файл вы будите копировать, поддерживаются форматы PFX, P12, p7b и SST.
На следующем этапе вы указываете пароль от данного сертификата, при желании можете поставить галку “Пометить этот ключ как экспортируемый, что позволит сохранить резервную копию ключа и перемещать его”. Данная галка полезна при использовании сертификата их реестра, ну и потом можно будет его при необходимости перенести, но это МЕНЕЕ БЕЗОПАСНО, не не смертельно если есть пароль.
Далее вы выбираете куда вы будите помещать сертификат при импорте, я выберу ручное помещение в личное хранилище.
Завершаем мастер импорта сертификатов.
В результате импортирование сертификата успешно выполнено.
Давайте удостоверимся, что у вас появился ваш сертификат, тут вы можете воспользоваться оснасткой mmc “сертификаты” или же утилитой certutil. Я покажу оба варианта, откройте командную строку или оболочку PowerShell и выполните:
certutil -store -v My
В итоге у вас будет список всех ваших сертификатов, если знаете его CN, то можете отфильтровать по findstr. Второй вариант, это в окне выполнить открыть mmc и добавить там оснастку “Сертификаты” (Подробнее по ссылке выше про mmc).
В контейнере “Личное – Сертификаты” я вижу свой Wildcard SSL сертификат, и по значку я вижу, что в нем есть закрытый ключ. Я его удалю, чтобы импортировать его с помощью certutil.
Для импорта сертификата вам нужно через команду cd перейти в каталог, где хранится pfx архив. В моем примере, это каталог C:Tempwildcard.
Далее импортируем наш сертификат. пишем команду:
certutil -importPFX -p “12345678” my pyatilistnik.pfx
Где -p, это пароль, а pyatilistnik.pfx имя файла.
Все с копированием сертификата в ваше локальное хранилище мы разобрались, переходим к экспорту.
Использование creative cloud cleaner tool для устранения неполадок при установке приложений
a) Выберите язык: введите e для английского языка, j для японского, затем нажмите Enter .
б) Ознакомьтесь с Лицензионным соглашением Adobe с конечным пользователем: введите y , чтобы принять его условия, или n , чтобы отклонить его условия (в этом случае выполнение сценария будет прекращено). Нажмите Enter .
в) Введите число, соответствующее выбранному параметру, затем нажмите Enter . Например, введите 4 (Приложения CC), если вы хотите удалить приложение Creative Cloud.
г) Чтобы удалить приложение, выберите продукт, который необходимо удалить, введите соответствующий названию приложения номер и нажмите клавишу Enter .
Если у вас возникли неполадки с синхронизацией файлов, возможно, вам придется удалить CoreSync . Для этого введите 1 или 4 и нажмите Enter . Затем введите соответствующий CoreSync номер и нажмите Enter .д) Для подтверждения удаления записи: введите y и нажмите Enter .
е) (необязательно) Если не удается подключиться к серверам Adobe, повторите эти действия, чтобы исправить файл хоста. После принятия лицензионного соглашения с конечным пользователем введите 12, чтобы выбрать вариант файла хоста. Подтвердите, что требуется исправить файл хоста: введите y , после чего нажмите Enter . Cleaner Tool создает резервные копии файла хоста (с названием hosts_bkup) в одном каталоге, которые можно восстановить при возникновении проблемы.
Как удалить контейнеры закрытых ключей эцп с компьютера при помощи криптопро csp?
Удаление контейнеров закрытых ключей ЭЦП обычно не требуется, но если вы решили удалить ЭЦП с компьютера, то почему бы и не удалить контейнеры закрытых ключей этих ЭЦП? Будем чистить всё!
- Запустите приложение КриптоПро CSP .
- Извлеките носитель с ЭЦП из порта USB во избежание удаления ЭЦП с флешки.
- Перейдите во вкладку “Сервис” и в разделе “Контейнер закрытого ключа” нажмите кнопку “Удалить”.
- Откроется новое окно “Удаление контейнера закрытого ключа”. Нажмите кнопку “Обзор” . Поиск устаревших сертификатов будет затруднён, так как будет отображаться только название контейнера закрытого ключа, без указания срока действия, издателя и владельца сертификата. Поэтому заранее посмотрите, как называются контейнеры соответствующих сертификатов.
- В открывшемся окне выберите контейнер закрытого ключа с устаревшей ЭЦП и нажмите кнопку “ОК” .
- После этого появится предупреждение о том, что “будет произведено удаление всех закрытых ключей и сертификатов контейнера. Контейнер перестанет существовать, восстановить ключи с этого контейнера будет невозможно. Продолжить?” Нажмите кнопку “Да” .
- Потом появится новое окно с информацией о том, что контейнер был успешно удален. Нажмите кнопку “ОК”.
- Повторите ранее описанные действия для удаления других устаревших контейнеров закрытых ключей ЭЦП из реестра КриптоПро.
Получилось ли удалить ЭЦП с компьютера?
Расскажите в комментариях
Как удалить сертификат встроенными средствами windows
Самым простым, но от этого не менее действенным является способ работы через Windows. Сделать это можно буквально за несколько минут.
Чтобы удалить просроченные сертификаты ЭЦП с персонального компьютера необходимо выполнить ряд следующих действий:
- Запустить браузер Internet Explorer 8.0 или более новую.
- В разделе «Сервис» выбрать опцию «Свойства браузера».
- Перейти во вкладку «Содержание», затем выбрать «Сертификаты».
- В открывшемся списке ЭЦП найти те, что нужно удалить, кликнуть на выбранные и подтвердить удаление.
Этот способ довольно простой и не требует никаких специальных знаний или навыков.
ВАЖНО ! При таком методе ключ удостоверяющего центра всё равно останется на жестком диске и будет занимать место.
Есть ещё один несложный способ удаления ЭЦП через встроенные средства Виндоус. Для этого существует мастер по работе с сертификатами.
Алгоритм действий должен быть таков:
- Нажимаем на кнопку меню «Пуск» в панели управления.
- В строке «Выполнить» набираем команду certmgr.exe и нажимаем Enter.
- Откроется окно с полным перечнем установленных на ПК сертификатов. Необходимо вручную удалять каждый лишний из них через контекстное меню. Кликаем правой кнопкой мыши — выбираем удалить — подтверждаем.
Описанные выше способы являются безопасными и никак не повлияют на нормальную работу компьютера. Однако, на различных сайтах и форумах можно встретить ещё несколько советов и рекомендаций, как удалять просроченные ЭЦП на Windows. Например, удалить запись об установленном сертификате из реестра.
Настройка управления данными для автоматического удаления завершенных соглашений из систем adobe sign
Документы/файлы/вложения в сравнении с соглашениями и транзакциями
- Документы/файлы/вложения — это все отдельные файлы, загруженные в систему Adobe Sign. Это компоненты соглашения.
- Соглашения — это объекты, которые Adobe Sign создает из загруженных файлов, отображаемые для клиентов для заполнения и/или подписания получателями. «Соглашение» — это термин, используемый для определения и объекта во время получения подписей, и окончательного PDF-файла.
- Транзакции включают в себя соглашение и все связанные с ним записи и документацию, которые создаются для соглашения или по нему. (Например, отчеты об аудите, результаты аутентификации, .csv-страницы с данными на уровне полей.)
Правило и RuleID
Термин Правило (в контексте этой статьи) описывает предписанный процесс. В этом случае процесс, который управляет удалением соглашения из системы Adobe Sign. Это общий термин, описывающий применение переменного условия (когда удалять соглашение) к другому объекту (в данном случае — соглашениям).
Термин RuleID используется для описания определенного настроенного правила. При создании правила ему назначается уникальный идентификационный номер (т. е. RuleID ), отличающий его от остальных правил. Настроенный RuleID — это буквальный объект, связанный с соглашением.
Завершающая стадия соглашения
Правила хранения запускаются, когда соглашение достигает своей «завершающей стадии».
Завершающая стадия достигается, когда отсутствуют дальнейшие действия, которые могут быть предприняты получателями для завершения соглашения. Доступно три завершающих стадии.
- Завершено — эта стадия наступает, когда все процессы соглашения со всеми получателями успешно завершены.
- Отменено — отклоненное соглашение остановлено целенаправленным действием. У такого действия может быть несколько источников:
- Отменено отправителем
- Отклонено получателем
- Сбой из-за ошибки аутентификации получателя
- Сбой из-за системной ошибки
Подпись средствами «криптопро csp»
В составе «КриптоПро CSP» есть утилита csptestf, позволяющая выполнять различные криптографические операции. Как я уже писал выше, у этой утилиты есть 2 недостатка:
Подписать можно с помощью команды:
Здесь,my — параметр, в котором надо указать часть Common Name сертификата для подписи;
detached — позволяет создать открепленную подпись;
alg GOST94_256 — задает алгоритм хэширования, который будет использоваться при создании подписи.
Более подробную информацию о возможных параметрах вы можете получить, выполнив команду:
Такой интерфейс отлично подходит для подготовленного пользователя или для автоматизации операций в скриптах.
Поговорим теперь об утилитах, которые облегчают жизнь обычным пользователям при работе с подписью и шифрованием в Linux.
Способ 1: команда «format»
Формально Вы проделаете все то же, что и в случае стандартного форматирования, но только средствами командной строки.
Инструкция в данном случае выглядит следующим образом:
-
Вызов командной строки можно осуществить через утилиту «Выполнить» ( «WIN» «R» ), введя команду «cmd» .
При возникновении ошибки, можно попытаться проделать то же самое, но в «безопасном режиме» – так никакие лишние процессы не помешают форматированию.
Способ 2: панель управления
Также есть возможность посмотреть сертификаты в Windows 7 через «Панель управления».
-
Открываем «Пуск» и переходим в «Панель управления» .
После прочтения данной статьи вам не составит никакого труда открыть «Хранилище сертификатов» Windows 7 и узнать подробную информацию о свойствах каждой цифровой подписи в вашей системе.
Способ 2: утилита «diskpart»
Diskpart – специальная утилита для управления дисковым пространством. Ее широкий функционал предусматривает форматирование носителя.
Чтобы воспользоваться данной утилитой, сделайте вот что:
-
После запуска «cmd» , наберите команду diskpart . Нажмите «Enter» на клавиатуре.
Таким образом можно задать все необходимые настройки форматирования флешки. При этом важно не перепутать букву или номер диска, чтобы не стереть данные с другого носителя. В любом случае выполнить поставленную задачу несложно. Преимущество командной строки в том, что этот инструмент есть у всех пользователей Виндовс без исключения. Если у Вас есть возможность воспользоваться специальными программами для удаления, воспользуйтесь одной из тех, которые указаны в нашем уроке.
Урок: Как навсегда удалить информацию с флешки
Если у Вас возникли какие-либо проблемы, пишите о них в комментариях. Мы обязательно поможем!
Установка длительного срока подтверждения подписи
Длительный срок подтверждения подписи позволяет выполнять подтверждение подписей в течение продолжительного периода времени после подписания документа. Для установки длительного срока подтверждения подписи необходимо наличие всех элементов, требуемых для подтверждения подписи документа PDF. Эти элементы могут быть добавлены при подписании документа или после создания подписи.
При отсутствии определенных элементов подтверждение подписи будет доступно лишь течение ограниченного периода времени. Ограничение вступает в силу, когда срок действия сертификатов, связанных с подписью, истекает или сертификаты аннулируются. После того, как срок действия сертификата истекает, лицо, выдавшее сертификат, теряет ответственность за предоставление статуса аннулирования этого сертификата. Подтверждение подписи не может быть выполнено при отсутствии статуса аннулирования.
Элементы, требуемые для подтверждения подписи, включают цепочку сертификатов подписи, статус аннулирования сертификата и отметку времени (необязательно). Если необходимые элементы доступны и встроены во время подписания, при проверке подписи могут потребоваться внешние источники. Если все необходимые элементы доступны, в Acrobat и Reader поддерживается их добавление. Создатель документа PDF должен предоставить права использования для пользователей Reader («Файл» > «Сохранить в другом формате» > «PDF с расширенными функциями Reader»).).
Установка криптопро в astra linux
В последние годы многие госслужбы и частные компании взяли курс на импортозамещение, все чаще выбирая Линукс в качестве операционной системы. Особую популярность среди российских пользователей получили аналоги этой ОС — Astra Linux, Rosa Linux, ГосЛинукс и др.
Процедуру установки КриптоПро рассмотрим на примере Astra Linux (ОС на базе ядра Линукс, используемая преимущественно в бюджетных учреждениях).
Чтобы загрузить дистрибутив для инсталляции СКЗИ, зайдите в «Центр загрузок», выберите сертифицированный релиз КриптоПро и deb-пакет для скачивания (с учетом разрядности ОС).
На СКЗИ для Линукс распространяются стандартные правила лицензирования и 3-месячный демо-период для ознакомления.
Распакуйте сохраненный на ПК архив с расширением tgz. Процесс установки осуществляется через консоль с помощью ввода специальных текстовых команд. Для инсталляции в Linux есть два варианта: вручную или автоматически. Рассмотрим второй способ:
- перейдите в папку с распакованным архивом и через контекстное меню выберите команду «Открыть в терминале»;
- запустите автоматическую инсталляцию CryptoPro командой sudo./install_gui.sh — откроется Мастер установки;
- навигацию в окне Мастера осуществляйте с помощью кнопки Tab — отметьте все доступные к установке компоненты клавишей Next и нажмите «Install».
По завершении процедуры в окне Терминала появится уведомление об успешной инсталляции.
Когда закончится демо-период, купите лицензию и введите ее номер в настройках с помощью команды:
Вместо Х укажите серийный номер из лицензионного соглашения.
Процедура инсталляции криптопровайдера для других версий ОС семейства Linux предполагает аналогичный порядок действий.
Установка криптопро для mac os
Подготовка компьютера на базе MacOS для работы с цифровой подписью начинается с тех же процедур, что и для описанных выше ОС. Зайдите на официальный портал «Крипто-ПРО» и сохраните бесплатный дистрибутив КриптоПро для Mac OS:
- запустите установочный файл ru.cryptopro.csp;
- разрешите программе внести изменения на ваш ПК клавишей «Продолжить»;
- дайте согласие с условиями лицензионного соглашения;
- завершите инсталляцию клавишей «Установить»;
- дождитесь окончания и закройте окно.
Дальнейшие настройки выполняются через стандартное приложение MacOS Terminal — открывается через меню Finder → «Переход» → «Утилиты».
Для добавления сертификата в реестр подключите к компьютеру ключевой носитель и введите команду в окне Терминала:
/opt/cprocsp/bin/csptestf -absorb-certs -autoprov
Команда для проверки статуса лицензии:
/opt/cprocsp/sbin/cpconfig -license -view
Активация лицензии:
sudo /opt/cprocsp/sbin/cpconfig -license -set номер_лицензии
В качестве USB-носителя для интеграции с MacOS подойдет Рутокен Lite или Рутокен ЭЦП. Флешки eToken и JaCarta не функционируют в связке с CryptoPro для Мак ОС.
Для визирования электронной информации в Mac OS можно воспользоваться программным комплексом Trusted eSign, описанным выше.
Установка программы
Вспомогательный компонент взаимодействует со всеми версиями Windows выше 2003. С полным списком поддерживаемых ОС можно ознакомиться в соответствующем разделе.
СКЗИ для Windows применима для большинства сфер электронного документооборота, где требуется юридически значимая информация, заверенная квалифицированной ЭЦП (КЭЦП):
Процедура установки КриптоПро для Windows 10 предполагает следующий порядок действий:
- запустить загруженный на ПК дистрибутив и нажать кнопку «Установить»;
- если лицензия еще не куплена, пропустить строку с серийным номером и нажать клавишу «Далее» (при наличии лицензии — ввести номер из соглашения);
- выбрать тип установки: «Обычная» — набор базовых функций, «Дополнительный опции» — формирование конфигурации вручную (для продвинутых пользователей);
- подтвердить операцию клавишей «Установить».
По завершении инсталляции рекомендуется перезапустить компьютер, чтобы изменения вступили в силу. Такой алгоритм действий применим для всех версий Windows.
После загрузки криптопровайдера остается инсталлировать драйвер USB-носителя, добавить сертификат в хранилище, настроить веб-браузер, и можно приступать к работе с ЭП.
Экспорт сертификата windows
Давайте теперь проделаем процедуру обратного порядка. Первым делом я произведу экспорт сертификата из графического интерфейса. В оснастке “Сертификаты” найдите нужный вам. Щелкните по нему правым кликом и выберите “Все задачи – Экспорт’.
У вас откроется окно мастера экспорта сертификатов, нажимаем далее.
Если есть возможно и закрытый ключ экспортируемый, то можете выставить режим “Да, экспортировать закрытый ключ”.
Вам будет предложено выбрать формат выгрузки, тут могут быть расширения cer DER, cer Base-64, p7b, PFX. Так как у меня сертификат Wildcard, то я могу выгрузить в “Файл обмена личной информацией -PKCS # 12(.PFX)”. Если вы планируете после экспорта удалить из личного хранилища ваш сертификат, то можете тут выставить соответствующую галку. Так же может выгрузить все расширения, после чего нажимаем далее.
Задаем обязательный пароль два раза, лучше сразу задавать стойкий пароль.
В следующем окне мастера по экспорту сертификатов, вы задаете его имя и где он будет сохранен.
Нажимаем далее.
Завершаем процедуру экспорта pfx архива из нашего хранилища сертификатов.
Экспорт успешно выполнен.
Теперь давайте произведем экспорт с помощью утилиты certutil. Перед тем, как это сделать, нам необходимо вычислить серийный номер сертификата.Для этого выполните команду:
certutil -store my
Находим поле “Серийный номер” у нужного сертификата и копируем его.
Далее пишем команду для экспорта сертификата;
certutil -exportPFX -p “12345678” my 790000fa279f2bd96421c6e2bc00010000fa27 export-cert-2.pfx
Все успешно отработало.
На выходе я получил файл export-cert-2.pfx. Открыть архив с сертификатом вы легко сможете через утилиту keytool или Key Store Explorer.