- Работа с сертификатами КриптоПро
- Работа с криптоконтейнерами
- Установка личных сертификатов
- Установка корневых сертификатов
- Установка сертификатов pfx
- Просмотр сертификатов
- Удаление сертификатов
- Перенос контейнера с flash-носителя в локальное хранилище ПК
- Просмотр цепочки сертификата
- Как удалить электронную подпись с компьютера
- Когда сертификаты лучше не удалять
- Как удалить сертификат встроенными средствами Windows
- В обоих случаях у пользователя должны быть права администратора. Например, если вы войдете в систему под учетной записью «гостя», вы не сможете удалить и скрыть сертификат подписи.
- Как удалить сертификат ЭП в Linux
- Удаление сертификата через КриптоПро
- Можно ли восстановить сертификат после удаления
Работа с сертификатами КриптоПро
Для удобства использования утилит КриптоПро создадим на них символьные ссылки, для этого выполните:
ln -s /opt/cprocsp/bin/amd64/certmgr /usr/bin/certmgr ln -s /opt/cprocsp/bin/amd64/csptest /usr/bin/csptest ln -s /opt/cprocsp/sbin/amd64/cpconfig /usr/bin/cpconfig
Просмотр версии КриптоПро:
Для установки лицензии выполните (с правами root):
При использовании токенов сервис pcscd должен быть запущен. Проверка статуса pcscd:
если он выключен, то включите его:
systemctl start pcscd systemctl enable pcscd
Вывод сообщений журнала службы pcscd:
Узнать модель подключенного токена:
csptest -card -enum -v -v pcss_scan
Работа с криптоконтейнерами
1. Проверить наличие доступных контейнеров:
csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251 CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX. AcquireContext: OK. HCRYPTPROV: 16778675 \\.\Aladdin R.D. JaCarta 00 00\8df47e71-18ae-49c1-8738-9b4b0944dcd4 \\.\FLASH\bob \\.\HDIMAGE\bob OK. Total: SYS: 0,010 sec USR: 0,110 sec UTC: 6,240 sec [ErrorCode: 0x00000000]
Имена контейнеров используются для установки личных сертификатов.
- Считыватель HDIMAGE размещается в /var/opt/cprocsp/keys// т.е в данном случае используется жесткий диск для хранения ключей.
- Считыватель FLASH означает, что используется флешка для хранения приватных ключей.
- Также считывателем может выступать токен.
2. Имена контейнеров могут содержать символы на кириллице, поэтому чтобы корректно отобразить контейнеры используйте следующую команду:
csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251
Для дальнейшего использования имен контейнеров содержащих кодировку cp1251, выведем список контейнеров с уникальными именами:
csptest -keyset -enum_cont -fqcn -verifyc -uniq CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX. AcquireContext: OK. HCRYPTPROV: 23397811 \\.\Aladdin R.D. JaCarta 00 00\8df47e71-18ae-49c1-8738-9b4b0944dcd4 | \\.\Aladdin R.D. JaCarta 00 00\SCARD\JACARTA_6082028344937676\CC00\E412 OK. Total: SYS: 0,000 sec USR: 0,110 sec UTC: 6,230 sec [ErrorCode: 0x00000000]
3. Просмотр подробной информации о контейнере:
csptest -keyset -container '\\.\HDIMAGE\bob' -info
4. Перечисление контейнеров пользователя:
csptest -keyset -enum_cont -verifycontext -fqcn
5. Перечисление контейнеров компьютера:
csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys
6. Открыть(проверить) контейнер пользователя:
csptest -keyset -check -cont '\\.\имя считывателя\имя контейнера'
7. Открыть(проверить) контейнер компьютера:
csptest -keyset -check -cont '\\.\имя считывателя\имя контейнера' -machinekeyset
Установка личных сертификатов
1. Установка сертификата без привязки к ключам:
certmgr -inst -file cert_bob.cer
2. Установка личного сертификата cert_bob.cer, сертификат при этом попадает в пользовательское хранилище uMy. Приватный ключ находится на флешке.
certmgr -inst -file cert_bob.cer -store uMy -cont '\\.\FLASH\bob'
в команде указывается сертификат cert_bob.cer, который ассоциируется с приватным контейнером \\.\FLASH\bob’
3. Установка сертификата с токена (в конце команды указывается контейнер)
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\\.\Aladdin R.D. JaCarta 00 00\8df47e71-18ae-49c1-8738-9b4b0944dcd4'
Установка корневых сертификатов
При установке корневых сертификатов достаточно указать хранилище uRoot. При указании mRoot (при наличии прав администратора) корневой сертификат будет доступен всем пользователям системы.
1. Установка в хранилище КриптоПро:
certmgr -inst -store uRoot -file .cer
2. Установка в хранилище ПК:
certmgr -inst -store mRoot -file cer
3. Установка списка отозванных сертификатов crl:
certmgr -inst -crl -file .crl
Установка сертификатов pfx
1. Необходимо установить пакет cprocsp-rsa, который находится в составе дистрибутива КриптоПро (linux-amd64).
2. Выполним команду от локального (доменного) пользователя:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -pfx -pin -file 'путь до pfx'
Цепочка сертификатов будет отображаться в утилите «Ключевые носители и сертификаты» в «Личное хранилище сертификатов».
Просмотр сертификатов
1. Просмотр установленных сертификатов:
2. Просмотр установленных сертификатов в локальном хранилище uMy:
3. Просмотр сертификатов в хранилище ПК (обычно сюда устанавливаются корневых сертификаты):
4. Просмотр сертификатов в контейнере:
certmgr -list -container '\\.\Aladdin R.D. JaCarta 00 00\8df47e71-18ae-49c1-8738-9b4b0944dcd4'
5. Просмотр промежуточных сертификатов:
Удаление сертификатов
1. Удалить сертификат из личного хранилища сертификатов
Просмотрите установленные сертификаты:
Изучите список всех установленных сертификатов (в общем списке отображаются абсолютно все сертификаты).
Для удаления следует выполнить команду в Терминале:
Если установлено более одного сертификата, то будет предложено указать номер удаляемого сертификата.
2. Удалить сертификаты, установленные в хранилище КриптоПро:
certmgr -delete -store uRoot
Если установлено более одного сертификата, то будет предложено указать номер удаляемого сертификата.
3. Удалить все сертификаты, установленные в хранилище КриптоПро:
certmgr -delete -all -store uRoot
4. Удалить все сертификаты, установленные в хранилище ПК:
certmgr -delete -store mRoot
Перенос контейнера с flash-носителя в локальное хранилище ПК
1. Активируем хранилище HDIMAGE:
cpconfig -hardware reader -add HDIMAGE store Adding new reader: Nick name: HDIMAGE Succeeded, code:0x0
2. Посмотрим, какие контейнеры доступны на флешке:
csptest -keyset -enum_cont -fqcn -verifyc CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX. AcquireContext: OK. HCRYPTPROV: 32114099 \\.\FLASH\bob OK. Total: SYS: 0,020 sec USR: 0,080 sec UTC: 0,190 sec [ErrorCode: 0x00000000]
3. Перейдите на Flash-носитель и скопируйте этот контейнер — каталог bob.000 с приватными (закрытыми) ключами в /var/opt/cprocsp/keys/user — в этом каталоге находится локальное хранилище HDIMAGE
4. Посмотрим доступные контейнеры:
csptest -keyset -enum_cont -fqcn -verifyc CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX. AcquireContext: OK. HCRYPTPROV: 36951475 \\.\FLASH\bob \\.\HDIMAGE\bob OK. Total: SYS: 0,000 sec USR: 0,070 sec UTC: 0,160 sec [ErrorCode: 0x00000000]
Как видим, появился новый контейнер \\.\HDIMAGE\bob
Теперь flash-носитель можно отключить, он нам больше не понадобится.
5. Установим пользовательский сертификат с привязкой к закрытому контейнеру \\.\HDIMAGE\bob
certmgr -inst -file cert-bob.cer -cont '\\.\HDIMAGE\bob'
Просмотр цепочки сертификата
Просмотр необходимых корневых сертификатов и сертификатов отзыва вы можете посмотреть следующей командой:
1) Для сертификатов, хранящихся в личном хранилище:
URL сертификата УЦ URL списка отзыва
2) Для просмотра цепочки на токене выполните следующую команду:
Где вместо » укажите ваш контейнер, к примеру ‘\\.\Aladdin R.D. JaCarta 00 00\8df47e71-18ae-49c1-8738-9b4b0944dcd4’
3. Просмотр цепочки из файла сертификата:
certmgr -list -file 'путь_к_файлу'
Дата последнего изменения: 09.12.2022
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.
Как удалить электронную подпись с компьютера
Нужно ли удалять сертификат электронной подписи (ЭП), если закончился срок его действия? Как удалить сертификат с компьютера и можно ли восстановить его в случае ошибки? На эти и другие вопросы ответим в статье.
Способы удаления сертификатов электронной подписи различаются в зависимости от того, с каким средством криптографической защиты (СКЗИ) работает сертификат. Это может быть КриптоПро CSP, VipNet CSP или СКЗИ на носителях — Рутокен ЭЦП 2.0 и JaCarta SE. Описанные ниже способы подойдут только для сертификатов, которые работают с КриптоПро CSP. Другие сертификаты, например, для ЕГАИС, удаляются иначе — как, опишем в следующих статьях.
Когда сертификаты лучше не удалять
Удалять сертификат ЭП можно по разным причинам, например, когда его хозяин планирует сменить компьютер и стирает с него все личные данные. Однако, в некоторых случаях этого лучше не делать. Либо перед удалением скопировать сертификат на другой носитель. Если у сертификата ЭП истек срок действия, не спешите его удалять. Подписать документ таким сертификатом не получится, но с его помощью по-прежнему можно расшифровать старые документы. Правительство регулирует сроки хранения некоторых бухгалтерских, кадровых и налоговых документов. Например, договоры, счета-фактуры и налоговые декларации нужно хранить пять лет. Если эти документы электронные, то вместе с ними нужно хранить и сертификат ЭП, которым они подписаны. Открыть документы, зашифрованные старым сертификатом ЭП, с помощью нового сертификата не получится — даже если новый сертификат выдан на того же человека.
Получите электронную подпись под свою задачу. В Контуре есть подписи для отчетности, торгов, ведения бизнеса и личных дел. Работаем с руководителями и сотрудниками. Быстро настраиваем компьютер, решаем технические сложности и консультируем в торгах. Заказать
Как удалить сертификат встроенными средствами Windows
- Зайдите в Internet Explorer.
- Откройте раздел «Сервис» и выберите в нем пункт «Свойства браузера».
- Перейдите во вкладку «Содержание» и нажмите на кнопку «Сертификаты».
- В списке сертификатов выберите нужный и удалите его с помощью одноименной кнопки.
В этом случае удаляется только сертификат открытого ключа — общедоступная часть ЭП, а закрытый ключ останется на носителе (токене или компьютере). Система не будет показывать этот сертификат в общем списке, но при желании его можно вернуть. Для этого запросите сертификат открытого ключа в удостоверяющем центре, в котором получали электронную подпись.
Если же вы хотите удалить сертификат ЭП полностью, используйте менеджер сертификатов:
- Откройте меню «Пуск».
- В строке «Выполнить» введите команду «certmgr.exe» и нажмите кнопку ввода.
- В списке сертификатов выберите тот, который хотите удалить и нажмите на него правой кнопкой мыши.
- В контекстном меню выберите пункт «Удалить» и подтвердите это действие.
В обоих случаях у пользователя должны быть права администратора. Например, если вы войдете в систему под учетной записью «гостя», вы не сможете удалить и скрыть сертификат подписи.
Как удалить сертификат ЭП в Linux
В отличие от Windows, на Linux нет встроенного менеджера сертификатов, и, чтобы удалить сертификат ЭП, нужно использовать специальные программы. Порядок действий в таких программах схожий, однако некоторые команды, которые нужно ввести в терминал, могут отличаться. Мы расскажем, как удалить сертификат с помощью одной из самых распространенных программ — Mono.
- Запустите терминал (командную строку) и введите команду certmgr –list.
- В списке сертификатов найдите тот, который хотите удалить и скопируйте его название.
- Введите команду «certmgr -del -c -m» и через пробел вставьте название нужного сертификата. Например, certmgr -del -c -m 0000.cer, где «0000.cer» — название сертификата.
Удаление сертификата через КриптоПро
Программа КриптоПро CSP нужна, чтобы записать сертификат электронной подписи на компьютер. С ее помощью можно и удалить сертификат. При этом программа удалит весь контейнер (хранилище) электронной подписи — и ключи подписи, и сертификат ЭП и корневой сертификат удостоверяющего центра.
Чтобы удалить сертификат электронной подписи:
- Откройте меню «Пуск» и зайдите в «Панель управления».
- Запустите программу КриптоПро CSP.
- Откройте вкладку «Сервис» и выберите пункт «Удалить».
- Выберите сертификат, который хотите удалить, и нажмите на кнопку «Готово».
Можно ли восстановить сертификат после удаления
Электронная подпись — важный инструмент, который хранит конфиденциальные данные пользователя. Чтобы защитить эти данные, удаленные сертификаты стираются из памяти компьютера безвозвратно. Они не попадут в «Корзину», и восстановить их с помощью специальных программ не получится. Таким образом производитель защищает пользователя от действий мошенников.
Восстановить можно только открытую часть сертификата ЭП которая хранилась в контейнере вместе с закрытым ключом. Например, если вы случайно удалили сертификат из браузера, то можете переустановить его с помощью программы КриптоПро.
Если же вы случайно удалили закрытый ключ ЭП, восстановить его не получится. Однако, если у вас есть копия сертификата ЭП и закрытого ключа на токене или флешке, вы можете заново записать их на компьютер.
Если же копии файлов подписи нет, то придется получать новый сертификат подписи в УЦ. В этом случае придется посетить офис УЦ лично. Если в вашем тарифе нет услуги перевыпуска сертификата, получение нового сертификата будет платным.
Получите электронную подпись под свою задачу. В Контуре есть подписи для отчетности, торгов, ведения бизнеса и личных дел. Работаем с руководителями и сотрудниками. Быстро настраиваем компьютер, решаем технические сложности и консультируем в торгах.
Обратите внимание, что открыть зашифрованный документ можно только тем сертификатом, которым его подписывали. Перевыпущенный сертификат ЭП не откроет старые документы.