Автор: 1. Устанавливаем сертификат ключа электронной подписи.
2. Устанавливаем корневой сертификат удостоверяющего центра.
3. Тестируем работу контейнера с электронной подписью.
4. Устанавливаем электронную подпись в реестр.
В этой статье рассмотрим порядок установки электронной подписи на компьютер с установленной операционной системой Windows 7 Professional. В нашем примере будем использовать ключ электронной подписи, записанный на носителе eToken, а для работы с электронной подписью воспользуемся криптопровайдером КриптоПро CSP версии 3.6 (версии выше настраиваются похожим образом). Так же нам потребуется драйвер носителя.
Ссылка для скачивания драйвера для eToken.
Ссылка для скачивания драйвера для Рутокен.
Отмечу, что для записи ключей электронной подписи могут использоваться также: флешка, смарт-карта, реестр. Однако, их использование не рекомендовано, поскольку такой способ хранения закрытого ключа не обеспечивает достаточный уровень защиты от несанкционированного доступа.
1. Устанавливаем сертификат ключа электронной подписи
После завершения установки драйвера носителя и криптопровайдера можем приступать к установке сертификата ключа проверки электронной подписи (далее по тексту — сертификат).
Порядок действий следующий. Запускаем КриптоПро CSP, выбрав вкладку «Сервис», нажимаем «Просмотреть сертификаты в контейнере».
Откроется окно, в котором нажимаем «Обзор», выбираем владельца, жмем «Ок».
После этого, ничего не меняя, жмем «Далее».
Затем откроется окно, в котором можно увидеть краткие сведения о сертификате, такие как наименование владельца, срок действия сертификата, серийный номер сертификата.
Нажав кнопку «Свойства», мы можем увидеть подробные сведения о сертификате. Сообщение как на следующем рисунке, свидетельствует о том, что корневой сертификат удостоверяющего центра не установлен. Нужно загрузить актуальный корневой сертификат удостоверяющего центра. Удостоверяющий центр, который изготовил электронную подпись, передает Вам корневой сертификат вместе с ключом, или же, они размещают его в свободном доступе на своем сайте.
Установку корневого сертификата сделаем позже, а пока вернемся в предыдущее окно и нажмем кнопку «Установить», чтобы продолжить установку сертификата пользователя. Далее программа выдаст сообщение о том, что готовится установка сертификата. Жмем «Да», чтобы подтвердить установку.
Может появиться сообщение от программы eToken PKI, где будет предложено произвести запись сертификат на eToken. Отказываемся, нажав «Cansel».
Теперь сертификат установлен в хранилище. Жмем «Готово», чтобы завершить установку.
2. Устанавливаем корневой сертификат удостоверяющего центра
Чтобы запустить установку, двойным щелчком откроем файл корневого сертификата удостоверяющего центра (файл, имеющий расширение .cer), после чего нажимаем «Установить сертификат».
В мастере импорта сертификатов жмем «Далее», затем помечаем галочкой пункт «Поместить сертификат в следующее хранилище».
Через «Обзор» указываем место для установки — выбираем папку «Доверенные корневые центры сертификации».
Нажимаем «Ок» для завершения установки. После чего, увидим сообщение об успешном выполнении установки.
Проверив свойства сертификата, мы не увидим прежней ошибки.
Все, что нам остается сделать, это протестировать контейнер закрытого ключа.
3. Тестируем работу контейнера с электронной подписью
Запускаем КриптоПро CSP, и во вкладке «Сервис» жмем кнопку «Протестировать».
Через «Обзор» или по соответствующему сертификату находим ключевой контейнер и нажимаем «Далее». Выпадет запрос на ввод pin-кода для доступа к контейнеру. Данный код передается владельцу удостоверяющим центром вместе с носителем ключа электронной подписи. Вводим его и жмем «Ок». Если необходимо, то ставим галочку «Запомнить pin-код», после этого система не будет запрашивать его при всяком обращении к ключевому контейнеру (например, при подписании документа), однако делать это не желательно, так как увеличим тем самым риск несанкционированного доступа и компрометации ключа.
Затем мы увидим окно, информирующее о наличии или об отсутствии ошибок.
4. Устанавливаем электронную подпись в реестр
Если Вам необходимо размножить электронную подпись, чтобы использовать его, к примеру, на нескольких разных компьютерах, то оптимальным решением этой задачи будет установка закрытого ключа в реестр. В реестре мы создадим для ключевой информации контейнер, на который можно установить пароль, и ограничить тем самым доступ к закрытому ключу электронной подписи. После чего, каждый раз, подписывая документ программа будет обращаться за закрытым ключом не к съемному носителю, а к контейнеру в реестре. Сам же носитель, можно будет передать другому пользователю, для использования на другом компьютере. Но, имейте ввиду, что размножение ключа электронной подписи – это фактически его компрометация. И, такая мера может быть оправдана лишь в каких-то исключительных случаях, на страх и риск владельца этой самой электронной подписи.
Порядок установки следующий. Сначала установим считыватель «Реестр». Сделать это достаточно легко, воспользовавшись мастером установки считывателей. Добавлять и удалять считыватели возможно только из под учетной записи с правами администратора. Если при установке КриптоПро CSP был отмечен пункт «Зарегистрировать считыватель «Реестр», как это показано на рисунке, то он уже присутствует в списке считывателей, и можем сразу переходить к копированию контейнера закрытого ключа в реестр.
Если нужную галочку при установке не ставили, то установим его. Откроем КриптоПро CSP, и во вкладке «Оборудование» жмем «Настроить считыватели».
В открывшемся окне жмем «Добавить».
Откроется мастер установки считывателя, нажимаем «Далее».
В предложенном перечне в правой части окна выбираем «Реестр» и жмем «Далее».
Затем задаем имя считывателя, либо оставляем без изменения как на рисунке ниже.
По завершению жмем «Готово».
Теперь скопируем контейнер с ключевой информацией с нашего носителя eToken в реестр.
В главном меню КриптоПро CSP, во вкладке «Сервис», нажимаем кнопку «Скопировать». Через «Обзор» указываем контейнер, который хотим скопировать в реестр.
Будет запрошен пароль к контейнеру на съемном ключевом носителе. Вводим его, и в следующем окне, задаем имя для ключевого контейнера, который будет создан в реестре.
Программа попросит выбрать носитель, на который нужно записать контейнер. Выбираем «Реестр» и жмем «Ок».
Теперь нужно задать пароль для вновь созданного контейнера в реестре.
Вводим, подтверждаем, и жмем «Ок».
Запустив функцию тестирования контейнера закрытого ключа, кроме контейнера на съемном носителе, мы увидим также созданный нами контейнер в реестре.
Если ошибок не обнаружено, можем переходить к установке сертификата ключа электронной подписи (если, конечно, это не было сделано ранее). Процедура установки сертификата из реестра такая же, как и при установке со съемного носителя. Если сертификат проверки ключа электронной подписи уже был установлен с eToken, то повторная его установка с реестра не потребуется.
Похожие статьи:
