Как создать файл cer в криптопро
Перейти к содержимому

Как создать файл cer в криптопро

  • автор:

Как создать файл cer в криптопро

Пример демонстрирует создание сервисного самоподписанного сертификата с помощью утилиты certreq.exe . Справку по использованию утилиты certreq.exe можно посмотреть по ссылке. Справку по формату файлов с шаблоном запроса на сертификат можно посмотреть по ссылке. Последовательность шагов по созданию сервисного сертификата:

1. Сохраните в файл с именем template.txt следующий блок текста:

[NewRequest] Subject="CN=DSS Service Certificate" KeyLength=2048 ProviderName="Microsoft Enhanced Cryptographic Provider v1.0" ProviderType=1 ; Generate Exchange key KeySpec=1 ; the private key can be exported Exportable = TRUE ; Key Usage: DIGITAL SIGNATURE, NON REPUDIATION, KEY ENCIPHERMENT (e0) KeyUsage=0xe0 ; install keys under machine MachineKeySet=true ; Generate self-signed certificate RequestType=Cert SMIME=FALSE ; EKU: Server Authentication [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 OID=1.3.6.1.5.5.7.3.2 
Примечание

В приведенном шаблоне сертификата можно отредактировать значение ключа Subject .

2. Запустите интерпретатор командной строки cmd.exe от имени Администратора.

3. Перейдите в каталог, где был сохранён шаблон сертификата template.txt .

4. Выполните команду: %Windir%\System32\certreq.exe -new template.txt outcert.cer

5. При выполнении данной команды будет создан и установлен в хранилище Личное Локального компьютера сервисный сертификат. Также сертификат будет сохранён в файл outcert.cer .

6. Для использования данного сертификата необходимо будет выдать права на закрытый ключ.

Формирование запроса на выпуск сертификата в Windows

Создание запроса на сертификат является первым этапом установки сертификата открытого ключа, необходимого для настройки шифрования TLS при создании инфраструктуры открытых ключей внутреннего взаимодействия NGate.

Прим.: Перед началом формирования запроса на выпуск сертификата убедитесь, что на компьютере установлен криптопровайдер «КриптоПро CSP», скачайте и установите при необходимости.

  1. Запустите оснастку Сертификаты от имени Администратора.

Выберите боковом меню: Сертификаты (текущий пользователь) > Личные > Реестр > Сертификаты (правый клик) > Все задачи > Дополнительные операции > Создать настраиваемый запрос .

  • Шаблон: Старый ключ (без шаблона);
  • Формат запроса: PKCS #10.

Нажмите Далее .

  • Шифрование данных;
  • Цифровая подпись;
  • Согласование ключей;
  • Шифрование ключей.

  • Проверка подлинности клиента;

Можно ли передавать кому-либо открытую часть сертификата ключа подписи в виде файла (*.cer)?

Для добавления пользователя без доверенности при отсутствии установленной закрытой части ключа необходимо выполнить следующие действия:
— получить открытую часть ключа сотрудника в формате .cer;
— после предоставления открытой части ключа открыть ее двойным нажатием по сертификату. На вкладке «Общие» будет кнопка «Установить сертификат», после ее нажатия сертификат необходимо установить в контейнер «Личное»;
— при добавлении пользователя без доверенности необходимо нажать «Загрузить сертификат» и выбрать сертификат сотрудника из выпадающего списка. Затем нажать «Добавить».

Файл с расширением *.cer является открытым ключом электронной подписи (в терминологии 63-ФЗ от 06.04.2011 «Ключом проверки электронной подписи») и не содержит секретной информации.
Открытый ключ электронной подписи, имеющий публичный отпечаток, предназначен только для проверки электронной подписи и шифрования информации.
При этом открытую часть ключа электронной подписи можно без опасений передавать, не нарушая нормативно-правовых актов и не рискуя сохранностью данных.

Экспорт открытого ключа можно произвести одним из следующих способов:

Через хранилище сертификатов

1. Открыть certmgr.msc (Меню пуск + R) ввести certmgr.msc
2. Найти нужный сертификат в папке «Личное» — «Сертификаты».
Нажать на сертификат правой кнопкой мыши — «Все задачи» — «Экспорт».
3. Нажать «Далее».
4. Экспортировать только открытый ключ, нажать «Далее» и еще раз «Далее».
5. Выбрать путь, куда будет сохранен файл сертификата (для удобства рекомендуется сохранять на рабочий стол).
6. Дать произвольное название файлу и нажать «Сохранить». Будет выведен путь, куда сохраняется ключ сертификата. Нажать «Далее» — «Готово» — «Ок».
7. Файл сертификата сохранен.

Через КриптоПро

Как правило, после выпуска сертификата открытого ключа он помещается в ключевой контейнер, и его можно извлечь из контейнера средствами КриптоПро CSP.

Для этого необходимо выполнить следующие действия:

1. Перейти в Панель управления (ПУСК – Панель управления), найти и запустить КриптоПро CSP.

2. На вкладке «Сервис» выбрать «Просмотреть сертификат в контейнере».

3. Выбрать нужный контейнер и нажать «Далее». Если в контейнере присутствует сертификат, то о нем отобразится информация.

4. Нажать «Свойства». Откроется сертификат.

5. Перейти на вкладку «Состав». Нажать кнопку «Копировать в файл».

6. Выбрать варианты: «Нет, не экспортировать закрытый ключ» и «Файл в DER-кодировке X509» (.CER)/

7. Указать путь для сохранения файла сертификата (для удобства рекомендуется сохранить на рабочий стол или скопировать путь).

Как создать файл cer в криптопро

Текст ошибки:

Ошибка сохранения сообщения (0x80004005)

Ошибка сохранения сообщения (0x80004005)

Произошла ошибка при создании подписи

Произошла ошибка при определении размера закодированного сообщения

Отказано в доступе. (0x80090010)

Как выглядит ошибка:

Screenshot_2.jpg

Переустановите ваш сертификат через КриптоПро CSP так: Перейдите на вкладку Сервис, далее Просмотреть сертификаты в контейнере, затем Обзор, выберите контейнер и нажмите Установить.

Если переустановка не поможет, то проверьте контейнер ключа при помощи кнопки Протестировать на той же вкладке. Если в результате тестирования возникнет ошибка “Использование ключа обмена запрещено. Срок действия закрытого ключа истек. Срок действия закрытого ключа не может превышать 3 года для неизвлекаемых ключей, хранящихся на ФКН и на HSM, и 1 год 3 месяца для прочих ключей”, то подписать этим сертификатом вам не удастся, нужно получить новый сертификат.

Также вероятная причина ошибки это ограничение прав доступа к ресурсу, на котором находится ключевой контейнер. Например в следующей статье описана похожая ошибка на серверной Windows, где причиной было ограничение прав пользователя к флешке на которой находился ключевой контейнер.

Также возможно ограничение прав на ветку реестра с контейнером, так как понадобятся не только права чтения, но и права записи.

Ключи носителя «реестр» КриптоПро CSP хранит в следующей ветке реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Settings\Users\\Keys

Пользователю в разрешениях (доступно из контекстного меню для ветки реестра) должен быть предоставлен полный доступ (начиная с раздела ).

Если не получается исправить эту ошибку добавлением прав пользователя для носителя контейнера, то с этим вопросом стоит обратиться в техподдержку компании КриптоПРО.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *