Не удается найти указанный файл облачный токен

Обновлено: 04.07.2024

Могли бы Вы проконсультировать по следующим вопросам:
У меня есть положительный опыт ручной работы в среде Windows связки РуТокен от УЦ + софт от CryptoPRO.
Сейчас стоит задача создать набор сервисов, для автоматизации интеграции с гос. системой
Сервисы работают в облачной среде Linux, написаны на Java.
Для того, чтобы подписывать передаваемые данные, мне нужен набор криптографических ключей.
Насколько я понимаю, закрытые ключи не экспортируемы с физического носителя и предназначены для работы только в режиме браузера\COM-объектов, т.е. предполагается размещение ключа на конкретной машине, и использование программного решения там же.

Вопросы:
-->Можно ли как-то использовать физический ключ для работы из облака, где нет возможностью подключить флешку?
-->Существует ли набор ключей в «облачном формате», которые можно купить\выпустить дополнительно?
-->Есть ли у Вас рекомендации по использованию криптографических ключей для облачных систем?

  • Владимир Салыкин
  • Посетитель
  • Неактивен

Добрый день, tideymiem.

Владимир, добрый день

Для автоматизации множественных процессов, точка с конкретным пользователем, который руками куда-то авторизается и что-то делает это "bottleneck", который необходимо исключить.
Т.е. идея автоматизации в том, чтобы конкретный пользователь ничего в ситеме не делал.
Разрабатываемая система на основании тригеров сама будет соединяться с гос. системой по API, отправлять подписаные запросы, получать ответы и агрегировать полученные данные внутри своей собственной базы.

  • Владимир Салыкин
  • Посетитель
  • Неактивен

Добрый день, tideymiem.

То есть, Вы хотите автоматически подписывать какие-то запросы без ведома пользователя по триггеру?

  • Владимир Салыкин
  • Посетитель
  • Неактивен

Добрый день, tideymiem.

Вопрос ещё актуален?

Добрый день, tideymiem.

То есть, Вы хотите автоматически подписывать какие-то запросы без ведома пользователя по триггеру?

Добрый день, Владимир

Да, именно так.
Задача стоит автоматизировать работу с системой.
Для обращения к гос.системе требуется подписывать API вызовы ключем. т.е. ключ необходимо интегрировать в облачное решеение, т.к. флешку воткнуть некуда.
Для автоматизации будет использоваться отдельно выпущенный ключ, специально для работы системы (т.е. не чей-то, чтобы без ведома пользователя, но специально для системы).
Вопрос, в том, как можно использовать RuToken в облачном окружении Java?
Есть ли специальные "облачные ключи", выпущенные сразу в формате jks?
Или может быть есть официальные рекомендации по конвертации экспортированных PFX --> pem -->jks?
Заранее спасибо

  • Владимир Салыкин
  • Посетитель
  • Неактивен

Добрый день, tideymiem.

Если это некоторая специальная подпись, то похоже она не должна быть квалифицированная. Тогда Вы можете использовать любую библиотеку для программной подписи. Для Java тот же BouncyCastle

Добрый день, tideymiem.

Если это некоторая специальная подпись, то похоже она не должна быть квалифицированная. Тогда Вы можете использовать любую библиотеку для программной подписи. Для Java тот же BouncyCastle

К сожалению, сервис, с которым необходим обмен данными принимает только запросы подписаные "квалифицированной подписью"
Я имел в виду, что планируется выпустить отдельный сертификат, который будет использоваться в работе автоматической системы, но этот сертификат будет выпущен для конкретного пользователя т.к. это требования сервиса.

Т.е. вопросы остаются прежними:
-->Можно ли использовать RuToken в облачном окружении Java?
-->Есть ли специальные "облачные ключи", выпущенные сразу в формате jks?
-->Есть ли официальные рекомендации по конвертации экспортированных PFX --> pem -->jks?

  • Владимир Салыкин
  • Посетитель
  • Неактивен

Добрый день, tideymiem.

Если в системе "Дефакто получается да, пользователь, на которого будет выпущен сертификат, не будет знать, что и в какой момент конкретно запрашивала автоматическая система с помощью его подписи" то, Вы хотите создать систему, которая будет противоречить приказу ФСБ РФ от 27.12.2011 № 796.

Цитирую:
" При создании ЭП средства ЭП должны:
- показывать лицу, подписывающему электронный документ, содержание информации, которую он
подписывает;
- создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по
созданию ЭП;
- однозначно показывать, что ЭП создана."

В этом случае подпись становится не легитимной и потеряет свою квалифицированность. Если Вы планируете игнорировать требования закона, то просто используйте BouncyCastle.

  • Владимир Салыкин
  • Посетитель
  • Неактивен

tideymiem, дополнительно:

PFX --> pem -->jks. Официальных рекомендаций нет. jks очень редко используемая вещь. У меня вообще нет уверенности, что в jks будут работать все сценарии с GOST. Мы для Java предлагаем другой набор интерфейсов по работе с ключами.

Можно ли использовать RuToken в облачном окружении Java? - токен, как вы понимаете физическое устройство. Оно может быть проброшено на любой сервер, в том числе облачный, чтобы там шла работа с ключами, в том случае если нет физической возможности его туда вставить. Это весьма распространенный сценарий.

Есть ли специальные "облачные ключи", выпущенные сразу в формате jks? - у нас точно нет. Я не слышал, чтобы такое делали производители СКЗИ в России, так как, повторюсь, jks очень редкий формат

  • PFX --> pem -->jks. Официальных рекомендаций нет. jks очень редко используемая вещь. У меня вообще нет уверенности, что в jks будут работать все сценарии с GOST. Мы для Java предлагаем другой набор интерфейсов по работе с ключами.

Владимир, добрый день

Спасибо за подробные ответы!
Теперь придется крепко подумать, что и как делать, чтобы быть legally compliant и не уходить в серые зоны морали. =\
Скажите пожалуйста, есть ли ссылочка, где можно ознакомиться с набором интерфейсов по работе с ключами, которые Вы предлагаете для работы в JAVA окружении?
Заранее спасибо!

Криптопровайдер КриптоПро на сегодняшний день является, пожалуй, самым популярным на рынке, по крайней мере в России. Я хочу рассказать, как быстро и удобно перенести большое количество контейнеров закрытых ключей CryptoPro и сертификатов к ним. Существует штатный механизм в самой программе, работает в ручном режиме и не подходит, когда надо перенести большое количество.

Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «DevOps практики и инструменты» в OTUS. Курс не для новичков, для поступления нужно пройти .

Введение

Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это - банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим. Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме. Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:

  1. Перенести или скопировать контейнер закрытого ключа через стандартную оснастку CryptoPro в панели управления. Это самый простой и быстрый способ, если у вас не много сертификатов и ключей. Если же их несколько десятков, а это не такая уж и редкость, то такой путь вам не подходит.
  2. Скопировать сертификаты и ключи непосредственно через перенос самих исходных файлов и данных, где все это хранится. Объем работы одинаков и для 5 и для 50-ти сертификатов, но требуется больше усилий и знаний.

Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным.

Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.

Копирование закрытого ключа через оснастку КриптоПро

Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.

Копирование закрытого ключа сертификата через оснастку КриптоПро

Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.

Выбор контейнер для экспорта

Ошибка копирования контейнера

Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:

Ошибка копирования контейнера

Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии. Либо вы просто не сможете его выбрать для копирования, если у вас последняя версия CryptoPro. Он будет неактивен:

Неэкспортируемый контейнер

Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему. Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Делаем это там же на вкладке Сервис в оснастке CryptoPro. Нажимаем Посмотреть сертификаты в контейнере.

Посмотреть список сертификатов в системе

Выбираем необходимый сертификат и нажимаем Посмотреть свойства сертификата.

Выбор сертификата

Далее переходим на вкладку Состав в информации о сертификате и нажимаем Копировать в файл.

Сохранение сертификата КриптоПро в файл

Если у вас после слов "Экспортировать закрытый ключ вместе с сертификатом" нет возможности выбрать ответ "Да, экспортировать закрытый ключ", значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.

Невозможно экспортировать закрытый ключ

Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, кроме удаления. Так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.

Формат экспортируемого ключа

Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке из оснастки Crypto Pro, жмёте Копировать в файл, экспортировать БЕЗ закрытого ключа. И выбираете файл формата .CER.

Перенос сертификата

Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него. В итоге у вас должны получиться 2 файла с расширениями:

Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам нужно будет выбрать все параметры по умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер. Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.

Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер

В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже. Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:

Как узнать SID пользователя

В данном случай user - имя учетной записи, для которой узнаем SID. Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра (regedit.exe) и переходим в ветку:

где S-1-5-21-4126888996-1677807805-1843639151-1000 - SID пользователя, у которого копируем сертификаты. Выбираем папку Keys и экспортируем ее. Этот путь актуален для 64-х битных систем - Windows 7, 8, 10. В 32-х битных путь может быть немного другой. Я специально не проверял, но поиском по реестру вы при желании найдете его.

Массовый перенос закрытых ключей сертификатов с компьютера на компьютер

Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи. Теперь нам нужно скопировать сразу все сертификаты. В Windows 7, 8 и 10 они живут в директории - C:\Users\user\AppData\Roaming\Microsoft\SystemCertificates\My. Сохраняйте эту директорию. Для переноса ключей и сертификатов нам надо скопировать на другой компьютер сохраненную ветку реестра и директорию с сертификатами My.

После того, как перенесли файлы со старого компьютера на новый, открываем файл с веткой реестра в текстовом редакторе и меняем там SID пользователя со старого компьютера на SID пользователя нового компьютера. Можно прям в блокноте это сделать поиском с заменой.

Замена SID пользователя

После этого запускаем .reg файл и вносим данные из файла в реестр. Теперь скопируйте папку My с сертификатами в то же место в профиле нового пользователя. На этом перенос сертификатов и контейнеров закрытых ключей КриптоПро завершен. Можно проверять работу. Я не раз пользовался этим методом, на текущий момент он 100% рабочий. Написал статью, чтобы помочь остальным, так как сам не видел в интернете подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя таковой получилась.

КриптоПро CSP ошибка 0x80090010 Отказано в доступе

Иногда после переноса контейнеров закрытых ключей через экспорт - импорт ветки реестра с ключами можно увидеть ошибку доступа к контейнерам. Вроде бы все на месте, ключи есть в реестре. Их можно увидеть в останстке CryptoPro, но не получается прочитать. При попытке это сделать возникает ошибка:

КриптоПро CSP ошибка 0x80090010 Отказано в доступе

Права доступа в реестре на ключи

Убедитесь так же, что новые права наследовались на дочерние ветки с самими ключами. Обычно это так, но перепроверить на всякий случай непомешает. После этого ошибка с доступом к контейнеру закрытого ключа исчезнет.

Часто задаваемые вопросы по теме статьи (FAQ)

Можно ли перенести сертификат, который находится на токене и защищен от копирования?

Очевидно, что предложенное в статье решение для этого не подойдет. Ведь тут идет речь о переносе сертификатов, которые хранятся в реестре, то есть уже были скопированы. Технические средства для копирования защищенных крипто контейнеров тоже существуют, но это не такое простое и очевидное решение.

Безопасно ли хранить сертификаты в реестре?

Это не безопасно и в общем случае я не рекомендую это делать. USB токены для хранения сертификатов придуманы не просто так. Они реально защищают сертификаты от несанкционированного копирования. Если у вас нет объективной необходимости копировать сертификаты в реестр, лучше этого не делать. Если вам нужно сделать бэкап сертификата на случай поломки токена, то просто скопируйте его в зашифрованный архив и сохраните на флешке.

Подойдет ли предложенный способ копирования сертификатов CryptoPro для VipNet?

Нет, не подойдет. В статье описан способ переноса сертификатов CryptoPro. Другие криптопровайдеры хранят сертификаты по-другому. Универсального способа для всех не существует.

Есть ли какой-то очень простой способ скопировать сертификаты crypto pro? То, что описано в статье слишком сложно для меня.

Да, есть статья на сайте контура, в ней ссылка на утилиту для копирования контейнеров Certfix. Можете воспользоваться ей.


128 128

Облачный криптопровайдер КриптоПро Cloud CSP

В этом выпуске речь пойдет об облачной подписи, ее преимуществах и минусах. Также вы узнаете как настроить облачную подпись для работы в десктопных приложениях.

Разница между облачной электронной подписью и традиционной электронной подписью — в носителе, на котором она содержится. Ключи облачной подписи хранятся, не на токене, флешке или в реестре компьютера, как у привычной нам электронной подписи, а на сервере удостоверяющего центра.

Плюсы такого варианта хранения в том, что ключ невозможно потерять или повредить, в отличии от физического носителя. Еще облачная подпись удобна тем, что она доступна всегда и с любого места. Все что нужно, это наличие интернета и браузера.

Минусы у облачной подписи тоже есть. Нужен интернет, иначе не получится воспользоваться подписью. А главное ключ облачной подписи может быть использован в рамках только одной определенной информационной системы или веб-сервиса.

Типичный пример, это сервис личного кабинета налогоплательщика для физических лиц на сайте налоговой. Здесь можно бесплатно получить ключ неквалифицированной электронной подписи. Подпись облачная, ключ хранится на сервере налоговой. Но использовать ее кроме как для общения с ФНС нигде больше нельзя.

Весной этого года компания КРИПТО-ПРО сообщала о выпуске первого криптопровайдера под названием КриптоПро Cloud CSP. Он реализует стандартный интерфейс Microsoft CSP и позволяет в привычных приложениях, использовать облачную криптографию, обращаясь к ключам пользователя, хранимым в КриптоПро DSS. А КриптоПро DSS это программно-аппаратный комплекс, сочетающий в себе сервер создания и проверки электронной подписи и сервер хранения ключей.

Если вы уже успешно пользуетесь облачной электронной подписью либо собираетесь это делать, то с помощью КриптоПро Cloud CSP можете применять ваш ключ из облака в обычном КриптоАРМ. И подписывать любые документы в ФСРАР, Росреестр, в банки и т.д.

Сделать это просто. Нужно скачать криптопровайдер с сайта и установить его на ваш компьютер. Затем запустить утилиту cptools, в ней указать настройки сервера DSS и установить ваш сертификат локально. После этого сертификат будет установлен на компьютере, но ключ по прежнему будет оставаться в облаке.

Он будет виден в КриптоАРМ и вы сможете подписывать локально документы сертификатом, ключ которого храниться в облаке. Очень здорово!

Ключевой носитель (Электронный идентификатор) — это компактное устройство в виде USB-брелка, которое служит для авторизации пользователя в сети или на локальном компьютере, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения персональных данных.

USB-флеш-накопитель (сленг. флешка, флэшка , флеш-драйв) — запоминающее устройство, использующее в качестве носителя флеш-память, и подключаемое к компьютеру или иному считывающему устройству по интерфейсу USB
ПИН (англ. Personal Identification Number — персональный идентификационный номер) — аналог пароля

Защищенный носитель — это компактное устройство, предназначенное для безопасного хранения электронной подписи. Представляет собой устройство в виде USB-флешки с защищенной паролем картой памяти, на которой хранится информация для создания электронной подписи. Обеспечивает двухфакторную аутентификацию пользователя: для работы необходимо вставить токен в USB-разъем компьютера и ввести пароль.

Рекомендации по решению проблемы зависят от типа ключевого носителя, на котором расположен контейнер:

  • USB-флеш-накопитель
  • Rutoken и др. защищенные носители
  • Реестр

Flash-накопитель

Если в качестве ключевого носителя используется flash-накопитель, необходимо выполнить следующие шаги:

1. Убедиться, что в что в корне носителя находится папка, содержащая файлы: header, masks, masks2, name, primary, primary2. Файлы должны иметь расширение.key, а формат названия папки должен быть следующим: xxxxxx.000

Если каких-либо файлов не хватает или их формат неверен, то, возможно, контейнер закрытого ключа был поврежден или удален.

Rutoken

Если в качестве ключевого носителя используется защищённый носитель Rutoken, необходимо выполнить следующие шаги:

1. Убедиться, что на рутокене горит лампочка. Если лампочка не горит, то следует воспользоваться следующими рекомендациями.

2. Обновить драйвер Rutoken (см. Как обновить драйвер Rutoken?).

3. Следует убедиться, что на Rutoken содержатся ключевые контейнеры. Для этого необходимо проверить количество свободной памяти на носителе, выполнив следующие шаги:

  • Открыть «Пуск» ("Настройки") > «Панель управления» > «Панель управления Рутокен» (если данный пункт отсутствует, то следует обновить драйвер Rutoken).
  • В открывшемся окне «Панели управления Рутокен» в пункте «Считыватели» следует выбрать «Activ Co. ruToken 0 (1,2)» и нажать на кнопку «Информация».

1

  • Проверить, какое значение указано в строке «Свободная память (байт)».

В качестве ключевого носителя в сервисных центрах выдаются рутокены объемом памяти около 30000 байт. Один контейнер занимает объем порядка 4 Кб. Объем свободной памяти рутокена, содержащего один контейнер, составляет порядка 26 000 байт, двух контейнеров — 22 000 байт и т д.

Если объем свободной памяти рутокена составляет более 29-30 000 байт, то ключевые контейнеры на нем отсутствуют.

2

Реестр

Если в качестве ключевого носителя используется считыватель Реестр, необходимо выполнить следующие действия:

Убедиться, что в КриптоПро CSP настроен считыватель «Реестр». Для этого:

  • Выбрать меню «Пуск» > «Панель управления» > «КриптоПро CSP»;
  • Перейти на вкладку «Оборудование» и нажать на кнопку «Настроить считыватели».

Если считыватель отсутствует, его необходимо добавить.

В качестве считывателей (устройств — носителей ключевой информации) могут использоваться flash-накопители, реестр, смарт-карты

Иногда некоторые считыватели могут быть отключены в КриптоПро CSP. Чтобы работать с такими носителями, нужно добавить соответствующие считыватели.

Чтобы добавить считыватели:
1. Запустите КриптоПро CSP от имени администратора.

3

2. На вкладке «Оборудование» нажмите кнопку «Настроить считыватели».

4

3. В появившемся окне нажмите «Добавить».

5

4. В Мастере установки считывателей выберите, какой считыватель добавить: «Все съемные диски», «Реестр», «Все считыватели смарт-карт».

6

5. Нажмите «Далее», задайте имя считывателя при необходимости, нажмите «Готово».

В некоторых случаях для корректной работы добавленного считывателя потребуется перезагрузка.

Если ни одно из предложенных выше решений не поможет устранить проблему, возможно, ключевой носитель был поврежден, вам необходимо будет обратиться к вашему менеджеру. Восстановить данные с поврежденного защищенного носителя или реестра невозможно.

Читайте также: