Можно ли использовать эцп на нескольких компьютерах
Содержание статьи
Сертификаты УЦ на одном ПК для нескольких пользователей
Форум КриптоПро » Общие вопросы » Общие вопросы » Сертификаты УЦ на одном ПК для нескольких пользователей
Статус: Новичок Группы: Участники Сообщений: 6 Откуда: Ростов-на-Дону | Доброго времени суток! Ввиду специфики работы, за одним ПК трудятся посменно несколько человек. Каждому необходимо работать с электронными документами, подписанными различными людьми (разные организации, УЦ и т.п.). Пользователи этого ПК не отличаются особым умом и научить их проверять цепочку сертификатов (как и ставить сертификаты УЦ) я точно не смогу. Если идти «простым» путем, то мне нужно залогиниться под каждым пользователем и поставить все сертификаты всех УЦ (а также промежуточные, кроссы и списки отзывов). Если пользователь один — проблема легко решаема, но пользователей около 25, а таких компьютеров 5-6 — проще их перестрелять. Поэтому вопрос: Есть ли механизм, при котором я мог бы поставить сертификаты (корневые, головные, промежуточные, кросс, списки отзыва) так, чтобы они установились всем пользователям данного ПК? По аналогии, если мне нужно кинуть ярлык на рабочий стол всем пользователям — я его кидаю в «c:UsersPublicDesktop». Может, и с сертификатами есть аналогичное решение. Отредактировано пользователем 3 сентября 2015 г. 7:15:05(UTC) | Причина: Не указана | |
Статус: Сотрудник Группы: Участники Сообщений: 10,101 Сказал «Спасибо»: 372 раз Поблагодарили: 1483 раз в 1144 постах | Автор: Valery S Доброго времени суток! Ввиду специфики работы, за одним ПК трудятся посменно несколько человек. Каждому необходимо работать с электронными документами, подписанными различными людьми (разные организации, УЦ и т.п.). Пользователи этого ПК не отличаются особым умом и научить их проверять цепочку сертификатов (как и ставить сертификаты УЦ) я точно не смогу. Если идти «простым» путем, то мне нужно залогиниться под каждым пользователем и поставить все сертификаты всех УЦ (а также промежуточные, кроссы и списки отзывов). Если пользователь один — проблема легко решаема, но пользователей около 25, а таких компьютеров 5-6 — проще их перестрелять. Поэтому вопрос: Есть ли механизм, при котором я мог бы поставить сертификаты (корневые, головные, промежуточные, кросс, списки отзыва) так, чтобы они установились всем пользователям данного ПК? По аналогии, если мне нужно кинуть ярлык на рабочий стол всем пользователям — я его кидаю в «c:UsersPublicDesktop». Может, и с сертификатами есть аналогичное решение. ПускВсе программыКРИПТО-ПРОСертификаты Там есть раздел — сертификаты (локальный компьютер) — пробовали импортировать корневой и промежуточные? | |
Статус: Новичок Группы: Участники Сообщений: 6 Откуда: Ростов-на-Дону | Да, это первое, что я попробовал. Сертификаты рут, головных УЦ и прочих, импортированные в хранилище локального компьютера не дают никакого результата. Проверка цепочки выглядит так, как будто никакие сертификаты УЦ не установлены для данного пользователя. Неужели никто не озадачивался этим? | |
Статус: Сотрудник Группы: Администраторы Сообщений: 6,050 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 17 раз Поблагодарили: 598 раз в 536 постах | Как устанавливали сертификаты? CSP уже был установлен в это момент? | |
Статус: Новичок Группы: Участники Сообщений: 6 Откуда: Ростов-на-Дону | На данном ПК установлено изначально всё-всё. И всё работает. Просто приходит новый документ, подписанный ЭП неизвестного до данного момента УЦ (либо УЦ, чей сертификат закончился и получен новый) и начинается катавасия. Вот нужно установить сертификаты нового УЦ сразу всем пользователям, чтобы не перелогониваться под каждым. С ума можно сойти. | |
Статус: Сотрудник Группы: Администраторы Сообщений: 6,050 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 17 раз Поблагодарили: 598 раз в 536 постах | Да не может такого быть. Сертификат, установленный в LM будет виден всем пользователям. Какая ОС и какая точная версия СSP? Отредактировано пользователем 3 сентября 2015 г. 21:44:34(UTC) | Причина: Не указана | |
Статус: Новичок Группы: Участники Сообщений: 6 Откуда: Ростов-на-Дону | КриптоПро CSP 3.6. Win 7 x32 Pro. Такая же ерунда на такой же Win, но x64. Вообще, я что-то не смог найти, как получить официальную поддержку. Вроде зарегистрировался на https://support.cryptopro.ru/, но пишет неверный пароль. Ерунда какая-то… Если нужно подтвердить подлинность лицензии, сообщу реквизиты моей организации в ЛС. Отредактировано пользователем 3 сентября 2015 г. 21:51:06(UTC) | Причина: Не указана | |
Статус: Новичок Группы: Участники Сообщений: 6 Откуда: Ростов-на-Дону | Автор: maxdm Да не может такого быть. Сертификат, установленный в LM будет виден всем пользователям. Какая ОС и какая точная версия СSP? А вот я говорю, что так и происходит. Есть кто-нибудь, кто сталкивался с проблемой и может помочь советом? | |
Статус: Активный участник Группы: Участники Сообщений: 1,287 Откуда: Краснодар Сказал «Спасибо»: 81 раз Поблагодарили: 72 раз в 60 постах | да вы чего-то отвечаете не то, народ. Тут дело в том, что человеку требуется как-то сделать так, чтобы строилась цепочка начиная с ГУЦов для УЦ из списка https://e-trust.gosuslugi.ru/CA я, честно признаюсь, не знаю, как это автоматизировать | |
Статус: Сотрудник Группы: Участники Сообщений: 10,101 Сказал «Спасибо»: 372 раз Поблагодарили: 1483 раз в 1144 постах | Автор: Laroux да вы чего-то отвечаете не то, народ. Тут дело в том, что человеку требуется как-то сделать так, чтобы строилась цепочка начиная с ГУЦов для УЦ из списка https://e-trust.gosuslugi.ru/CA я, честно признаюсь, не знаю, как это автоматизировать Роман, обсуждалось уже и не раз. Решение: периодический запрос xml-файла (например, раз в день), извлечение и импорт новых сертификатов в промежуточное хранилище, исключая, конечно, сертификат ГУЦ. Всё. | |
Статус: Сотрудник Группы: Участники Сообщений: 10,101 Сказал «Спасибо»: 372 раз Поблагодарили: 1483 раз в 1144 постах | Автор: Laroux да вы чего-то отвечаете не то, народ. Тут дело в том, что человеку требуется как-то сделать так, чтобы строилась цепочка начиная с ГУЦов для УЦ из списка https://e-trust.gosuslugi.ru/CA я, честно признаюсь, не знаю, как это автоматизировать Роман, а что «не то отвечаем»? Если есть: Цитата: Сертификаты рут, головных УЦ и прочих, импортированные в хранилище локального компьютера не дают никакого результата. Проверка цепочки выглядит так, как будто никакие сертификаты УЦ не установлены для данного пользователя. Либо есть проблема с построением цепочки, Либо сертификаты не те импортированы. У нас, например, все чаще встречаются клиенты, у которых ГУЦУЦ 12 ИСКроссы установлены… внимание, в Личное … пользователя и дополнительно … локального компьютера. | |
Статус: Сотрудник Группы: Участники Сообщений: 10,101 Сказал «Спасибо»: 372 раз Поблагодарили: 1483 раз в 1144 постах | Автор: Valery S Автор: maxdm Да не может такого быть. Сертификат, установленный в LM будет виден всем пользователям. Какая ОС и какая точная версия СSP? А вот я говорю, что так и происходит. Есть кто-нибудь, кто сталкивался с проблемой и может помочь советом? Открываем сертификат, смотрим: цепочка строится и корректная? Нет? Смотрим на вкладке Состав поле: Идентификатор ключа ЦС — значение Х. Записываем его (либо запоминаем первыепоследние 4 символа) + запоминаем имя ЦС (УЦ, который издал сертификат) Открываем промежуточные ЦС (локального компьютера, в данном случае, если туда был импорт сделан кроссов). Ищем сертификаты по названию ЦС и сверяем Х с идентификатором субъекта в этом сертификате, нашли совпадение? Нет? Ищем и устанавливаем кросс. И так далее, пока идентификаторы ЦС и субъекта не совпадут (самоподписанный) = это корневой. Отредактировано пользователем 5 сентября 2015 г. 0:06:34(UTC) | Причина: Не указана | |
Статус: Сотрудник Группы: Участники Сообщений: 10,101 Сказал «Спасибо»: 372 раз Поблагодарили: 1483 раз в 1144 постах | Если кому нужны кроссы, скачивайте и импортируйте в промежуточные локального компьютера. (на 02.09.2015 в архиве 1909 сертификатов, CertMgr.exe от MS + небольшой cmd (для всех *.cer вызов CertMgr) в руки и вперед, импортируйте…) | |
Статус: Новичок Группы: Участники Сообщений: 6 Откуда: Ростов-на-Дону | Автор: Андрей * Либо есть проблема с построением цепочки, Либо сертификаты не те импортированы. Конечно проблемы с цепочкой, об этом я и написал. На корневом красный крест стоит. СтОит его установить, как все начинает работать. Автор: Андрей * У нас, например, все чаще встречаются клиенты, у которых ГУЦУЦ 12 ИСКроссы установлены… внимание, в Личное … пользователя и дополнительно … локального компьютера. У нас это у всех наших юзеров наблюдается: скрипт установки сертификатов так работает. Скрипт пишут «высшие админы» нашей организации. Скрипт тулит сертификаты корневых УЦ куда попало — в корневые, в промежуточные; пользователя, локального компьютера… Вместе с тем, в скрипте какой-то косяк — он отрабатывает не всегда, кроме того, в хранилище (каталог) сертификатов, откуда они расползаются по клиентским ПК часто нет новых сертификатов. Приходится ставить вручную. Ну т.е. был распространен скриптом сертификат УЦ «ААА». Все работало. Потом срок его действия истек, а новый сертификат в хранилище (каталоге) сертификатов никто не добавил. Соответственно по скрипту он не установился. И если я ставлю новый сертификат УЦ вручную в LM — его другие юзеры данного ПК не видят. Ну и что, это Цитата: обсуждалось уже и не раз ? | |
Статус: Сотрудник Группы: Участники Сообщений: 10,101 Сказал «Спасибо»: 372 раз Поблагодарили: 1483 раз в 1144 постах | Автор: Valery S Автор: Андрей * Либо есть проблема с построением цепочки, Либо сертификаты не те импортированы. Конечно проблемы с цепочкой, об этом я и написал. На корневом красный крест стоит. СтОит его установить, как все начинает работать. Автор: Андрей * У нас, например, все чаще встречаются клиенты, у которых ГУЦУЦ 12 ИСКроссы установлены… внимание, в Личное … пользователя и дополнительно … локального компьютера. У нас это у всех наших юзеров наблюдается: скрипт установки сертификатов так работает. Скрипт пишут «высшие админы» нашей организации. Скрипт тулит сертификаты корневых УЦ куда попало — в корневые, в промежуточные; пользователя, локального компьютера… Вместе с тем, в скрипте какой-то косяк — он отрабатывает не всегда, кроме того, в хранилище (каталог) сертификатов, откуда они расползаются по клиентским ПК часто нет новых сертификатов. Приходится ставить вручную. Ну т.е. был распространен скриптом сертификат УЦ «ААА». Все работало. Потом срок его действия истек, а новый сертификат в хранилище (каталоге) сертификатов никто не добавил. Соответственно по скрипту он не установился. И если я ставлю новый сертификат УЦ вручную в LM — его другие юзеры данного ПК не видят. Так проверить нужно, по описанному сценарию — сверить идентификаторы ключей. Посмотреть «на мусор» в Личном. Автор: Valery S Ну и что, это Цитата: обсуждалось уже и не раз ? Здесь на форумев ЛС — что нужно сделатьнаписать (как автоматизировать), чтобы на рабочих местах был актуальный перечень нужных кроссовcrl. | |
Статус: Сотрудник Группы: Участники Сообщений: 10,101 Сказал «Спасибо»: 372 раз Поблагодарили: 1483 раз в 1144 постах | Автор: Valery S У нас это у всех наших юзеров наблюдается: скрипт установки сертификатов так работает. Скрипт пишут «высшие админы» нашей организации. Скрипт тулит сертификаты корневых УЦ куда попало — в корневые, в промежуточные; пользователя, локального компьютера… Так пусть зайдут на этот форум, спросят как нужно или поищут по форуму… или справку к командам (утилиты для управления сертификатамиcrl) почитают. Зачем так портить PKI… | |
Форум КриптоПро » Общие вопросы » Общие вопросы » Сертификаты УЦ на одном ПК для нескольких пользователей
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important rmation: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close
Источник
Как скопировать электронную подпись
Электронную цифровую подпись традиционно записывают на токен в виде USB-карты, что позволяет использовать ее на разных компьютерах и не зависеть от одного рабочего места. Однако необходимость скопировать ключи и сертификаты может появиться в следующих случаях:
- желание скопировать информацию для защиты данных и предотвращения потери сведений по причине выхода из строя токена;
- необходимость работы одновременно на нескольких компьютерах;
- использование облачного сервера, где доступ к ЭЦП получит несколько пользователей;
- необходимость переустановки операционной системы, где на жестком диске есть цифровая подпись.
Способы копирования ЭЦП
Сегодня доступно копирование цифровой электронной подписи следующими способами:
- с помощью стандартных инструментов OS Windows (здесь экспорт идет из реестра операционной системы);
- с использованием возможностей КриптоПро CSP;
- с помощью массового копирования.
Как выполнить копирование ЭЦП средствами Windows
Это самый оперативный и простой вариант переноса данных, который сработает только в отношении ключей, находящихся в реестре операционной системы. Также понадобится установленная программа КриптоПро в версии не ниже 3.0. Для выполнения операции выполните следующие действия:
- Перейдите в раздел «Сертификаты» вашего браузера, находящийся в его свойствах
- Найдите во вкладе «Личные» копируемый контейнер с находящимися там сертификатами и нажмите кнопку «Экспорт»
- Нажмите «Нет» на предложение мастера выполнить экспорт вместе с сертификатом и закрытый ключ
- В появившейся форме выберите нужный формат файла сертификата (по умолчанию необходима DER-кодировка)
- Укажите директорию для сохранения ключей
- Скопируйте, нажав последовательно «Далее» и «Готово»
Теперь можно использовать электронную подпись без носителя ключа.
Как экспортировать ЭЦП с помощью КриптоПро CSP
Утилита позволяет записать контейнер на другой ПК или флешку. Сделать это можно следующим образом:
- Откройте раздел «Сервис» в программе и выберите пункт «Скопировать контейнер».
- Введите соответствующее имя контейнера (его можно найти в реестре операционной системы) и криптопровайдер для его поиска.
- Введите пароль вашего ключа и перейдите в блок непосредственного копирования.
- Укажите имя обновлённого контейнера и выберите расположение его хранилища.
- Выберите нужный носитель и укажите новый PIN для доступа к контейнеру с последующим подтверждением.
Возможность копирования контейнера доступна только при наличии активного параметра «Экспортируемый», который должен быть выбран ещё на стадии генерации ЭЦП. В противном случае система выдаст только ошибку.
Массовое копирование ключей
Способ позволяет за один раз перенести на другой компьютер несколько цифровых подписей одновременно. Для этого на компьютере создайте новую ветку и скопируйте путь с основного рабочего ПК. Сам процесс копирования идёт следующим образом:
- Определите SID-идентификатор ПК с помощью команды wmic useraccount where name=’name user; get sid (полученный код надо запомнить).
- Копируйте ветку из реестра, которая расположена по адресу HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProSettingsUsersS-1…ХХХKeys, где ХХХ — полученный выше код.
- Экспортируйте папку Keys, где находятся ключи.
- Перенесите сертификаты, скопировав директорию, расположенную по адресу C:Users polzovatelAppDataRoamingMicrosoftSystemCertificatesMy.
- Скопируйте ветку и директорию с находящимися там сертификатами на новый ПК (для этого первоначальную строку важно подкорректировав, указав там нужный SID).
- Откройте файл с именем fileName.reg, откуда загрузите данные в реестровую запись.
Если не получилось скопировать
Процесс переноса электронной подписи с компьютера на флешку любым из предложенных способов обычно проходит без ошибок. Однако в некоторых случаях сохранить ЭЦП не удаётся — возникает «Ошибка копирования контейнера».
Если появилась ошибка, то владельцу подписи нужно обратиться в удостоверяющий центр, который выдал данную электронную подпись. Невозможность копирования контейнера свидетельствует о том, что ключ защищён и нужно получить его копию.
Где оформить ЭЦП и получить помощь
Если для работы вам необходима цифровая электронная подпись, то обращайтесь в УЦ «Астрал-М». Мы специализируемся на оформлении ЭЦП любого типа, предлагая следующие преимущества:
- оперативное выполнение заказа;
- широкий выбор тарифных планов с возможностью подключения дополнительных опций;
- помощь в подборе оптимального плана с учетом специфики работы заказчика;
- консультации по вопросам подготовки документов.
Для оформления ЭЦП оставьте заявку на сайте, заполнив форму обратной связи, или свяжитесь с нами по телефону. При необходимости возможно открытие подписи в офисе клиента и в ускоренном формате.
Источник