При установке личного сертификата через меню «Установить личный сертификат», после выбора ключевого контейнера, появляется сообщение об ошибке «Секретный ключ в контейнере не соответствует открытому ключу».

Для решения данной проблемы необходимо выполнить следующие шаги (после выполнения каждого пункта следует повторять установку сертификата)

1. Если в качестве ключевого носителя используется дискета, следует проверить, не защищена ли она от записи (на дискете, защищенной от записи, обе прорези, расположенные по углам носителя, открыты).

3. Сделать копию ключевого контейнера и выполнить установку сертификата с дубликата (см. Как скопировать контейнер с сертификатом на другой носитель?).

4. Если на рабочем месте используется Крипто Про CSP 3.6 R2 или R3 (версия продукта 3.6.6497 и выше), то необходимо произвести установку сертификата через меню Установить личный сертификат и в окне «Контейнер закрытого ключа» (пункт 5 инструкции) поставить галку у поля «Найти контейнер автоматически».

Версия установленного криптопровайдера указывается на вкладке «Общие» (меню «Пуск» > «Панель управления» > «КриптоПро CSP").

5. Ключевые контейнеры, сгенерированные на КриптоПро CSP 3.0 или 3.6, будут неработоспособны на КриптоПро CSP 2.0.

Если установлено КриптоПро CSP 2.0, а запрос сертификата был произведен на рабочем месте с КриптоПро CSP 3.0 или 3.6, то возможны следующие решения:

В противном случае следует перейти к пункту 6.

6. Возможно, поврежден сертификат открытого ключа (файл с расширением.cer). Необходимо обратиться в службу технической поддержки по адресу [email protected] для получения копии. При обращении обязательно указать ИНН и КПП организации.

7. Возможно, поврежден контейнер закрытого ключа. Если в качестве ключевого носителя используется дискета или флэш-карта, рекомендуется выполнить восстановление данных (см.

1. 
   В следующем окне нажмите кнопку «Обзор» Фамилия имя отчество.cer на вашей дискете)

Если на дискете не обнаружено сертификата открытого ключа:

• 
  Уточнить не было ли казначейством выдано других дискет, носителей, на которых может содержаться данный сертификат. Если есть еще одна дискета, а дисковод один необходимо скопировать сертификат открытого ключа на рабочий стол, а при установке личного сертификата в дисководе должна быть дискета с контейнером закрытого ключа (папка с названием, где на конце «.000»), а открытый ключ подтягиваем с рабочего стола.
• 
  
• 
  
• 
  

• 
  Выбор контейнера

1. 
   В окне «Контейнер закрытого ключа» нажмите кнопку «Обзор» и укажите контейнер соответствующий личному сертификату.

2. «Имя ключевого контейнера» , нажмите кнопку «Далее»

1. 
   При установке личного сертификата неверно был указа контейнер. Вернитесь к инструкции и укажите верный контейнер (тот дисковод каким названием отражается дискета).
2. 
   Дискета, на которой хранится контейнер, испорчена. Для установки сертификата воспользуйтесь копией дискеты и выполните действия по следующей инструкции.
3. 
   

• 
  Выбор хранилища

1. 
   
2. 
   Нажмите кнопку "Обзор" и выберите хранилище "Личные" , затем нажмите кнопку "ОК"

1. 
   «Имя хранилища сертификатов» , нажмите кнопку «Далее»

• 
  

В последнем окне нажмите кнопку «Готово».


Если появится сообщение «, нажмите кнопку «Да».

Переустановка личного сертификата с flash:

(к_оглавлению )

1. 
   Необходимо зайти «Мой компьютер» посмотреть какой буквой съемного диска отражается дискета (Съемный диск F,H,L или др.)
2. 
   Зайдите в папку «Панель управления» (Пуск → Панель управления)
3. 
   Запустите программу «КриптоПро CSP»
4. 
   

1. 
   

1. 
   Проверьте наличие того носителя, на котором находится сертификат открытого ключа в списке установленных считывателей (либо пункта «Все съемные диски»).
2. 
   Если нужного считывателя нет, необходимо добавить его (либо пункт «Все съемные диски»).
3. 
   Когда в установленных считывателях присутствует нужный считыватель, можно продолжить установку личного сертификата:

• Выбор сертификата

1. 
   В окне нажмите кнопку «Далее»

1. 
   В следующем окне «Расположение файла сертификата» нажмите кнопку «Обзор» и укажите расположение личного сертификата (файл Фамилия имя отчество.cer на вашей дискете)

Если на flash не обнаружено сертификата открытого ключа:

• 
  Уточнить не было ли казначейством выдано других дискет, носителей, на которых может содержаться данный сертификат. Сертификат открытого ключа можно скопировать на компьютер (рабочий стол), а при установке личного сертификата должен быть вставлен flash с контейнером закрытого ключа (папка вида с названием, где на конце «.000»), а открытый ключ подтягиваем с рабочего стола.
• 
  Если сертификат устанавливался ранее, то можно выгрузить сертификат открытого ключа из хранилища сертификатов в IE.
• 
  Необходимо уточнить формировался ли запрос в казначейство на получение открытой части электронной цифровой подписи (файлы с расширением.reg). На компьютере, через который осуществляется работа с казначейством через систему СЭД сертификат обычно находится: C:/FKLCNT/SUBSYS/KEYS/CRYPTOAPI/…. В одной из папок с труднопроизносимым названием
• 
  Если не помогают вышеперечисленные способы можно порекомендовать обратиться в казначейство с просьбой сообщить местонахождение сертификата открытого ключа.

3. После подгрузки сертификата открытого ключа в поле «Имя файла сертификата» появится путь доступа к сертификату. Нажмите кнопку «Далее».

1. 
   Затем появится окно «Сертификат для установки» , содержащее информацию об устанавливаемом сертификате. Если все правильно, нажмите кнопку «Далее»

• 
  Выбор контейнера

1. 
   В окне «Контейнер закрытого ключа» нажмите кнопку «Обзор» и укажите контейнер соответствующий личному сертификату

1. 
   После появления имени контейнера в поле «Имя ключевого контейнера» , нажмите кнопку «Далее»

Если появится окно с ошибкой «Закрытый ключ на указанном контейнере не соответствует открытому ключу в сертификате, выберите другой ключевой контейнер» , выполните действия по следующей инструкции:

Данное предупреждение появляется по следующим причинам:

1. 
   При установке личного сертификата неверно был указа контейнер. Вернитесь к инструкции и укажите верный контейнер (тот съемный диск каким названием отражается flash).
2. 
   flash, на которой хранится контейнер, испорчена. Для установки сертификата воспользуйтесь копией flash и выполните действия по следующей инструкции.
3. 
   При генерации ключей неверно был сформирован контейнер. В данном случае необходимо обратиться в казначейство.

• 
  Выбор хранилища

1. 
   Выбираете пункт: «Поместить все сертификаты в следующее хранилище»
2. 
   Нажмите кнопку "Обзор" и выберите хранилище "Личные" , затем нажмите кнопку "ОК"

1. 
   После появления названия хранилища в поле «Имя хранилища сертификатов» , нажмите кнопку «Далее»

• 
  Завершение установки личного сертификата

1. 
   В последнем окне «Завершение работы мастера установки личного сертификата» нажмите кнопку «Готово»

1. 
   Если появится сообщение «Этот сертификат уже присутствует в хранилище сертификатов» , нажмите кнопку «Да»

Переустановка личного сертификата с ruToken:

(к_оглавлению )

1. 
   Необходимо зайти «Мой компьютер» , если «флэшка» не отображается, значит на самом деле это ruToken (либо eToken, правда пока они встречаются достаточно редко)
2. 
   Зайдите в папку «Панель управления» (Пуск → Панель управления)
3. 
   Запустите программу «КриптоПро CSP»
4. 
   Проверьте версию продукта, она должна быть не ниже 3.0

1. 
   Откройте вкладку «Оборудование» и нажмите кнопку «Настроить считыватели»

1. 
   Проверьте наличие того носителя, на котором находится сертификат открытого ключа в списке установленных считывателей (либо пункта «Все считыватели смарт-карт»).
2. 
   Если нужного считывателя нет, необходимо добавить его (либо пункт «Все считыватели смарт-карт»).
3. 
   Чтобы добавить новый считыватель:

• 
  Вставьте диск, выданный казначейством
• 
  Зайдите во вкладку «Оборудование» и нажмите кнопку «Настроить считыватели»
• 
  Нажмите кнопку «Добавить»

• 
  Нажмите кнопку «Установить с диска»

• 
  Отметьте галочкой «Дисководы компакт-дисков» и нажмите кнопку «Далее»

• 
  В открывшемся окне выберите «Считыватель PC/SC» и нажмите кнопку «Далее»

• 
  Дождитесь установки с диска и нажмите кнопку «Готово».
• 
  Если появилось сообщение «Найдена старая конфигурация компонент. Нажмите ‘Готово’, чтобы ее сохранить, или нажмите ‘Отмена’, чтобы удалить старую конфигурацию для всех устанавливаемых компонент», то нажмите кнопку «Отмена»

• 
  В колонке «Доступные считыватели» выберите «Activ Co.ru Token0» и нажмите кнопки «Далее», «Далее», «Готово»

• 
  После этого в вашем списке появился еще один считыватель «Activ Co.ru Token0». Нажмите кнопку ОК

• 
  Настройка считывателей закончена. Перезагрузите компьютер.

1. 
   Когда в установленных считывателях присутствует нужный считыватель можно продолжить установку личного сертификата:

СПОСОБ №1

1. Выбор сертификата

• 
  Нажмите кнопку «Далее»
• 
  В следующем окне нажмите кнопку «По сертификату» и выберите нужный личный сертификат (файл Фамилия имя отчество.cer )

Если не обнаружено сертификата открытого ключа:

Необходимо вернуться в настройку считывателей, добавить «Activ Co.ru Token1», попробовать снова установить личный сертификат. Таким образом действуйте пока не найдете нужный контейнер.

• 
  После подгрузки сертификата нажимаем «Далее»
• 
  Если откроется окно «Введите pin-код для контейнера» необходимо ввести pin-код для носителя (должен быть указан в документации, которая была выдана казначейством)

• 
  Открывается окно «Сертификат для просмотра», где указаны «Сертификат», «Субъект», «Поставщик», «Действителен с» и т.д.

• 
  Нажмите кнопку «Свойства»
• 
  Если появилось сообщение «В контейнере закрытого ключа ‘…..’ отсутствует сертификат открытого ключа шифрования» необходимо устанавливать личный сертификат с помощью СПОСОБА №2

• 
  Открывается окно «Сведения о сертификате», нажмите кнопку «Установить сертификат…»

• 
  Нажмите кнопку «Далее»

• 
  Выбираете пункт: «Поместить все сертификаты в следующее хранилище»

• 
  Нажмите кнопку «Обзор» и выберите хранилище «Личные» , затем нажмите кнопку «ОК»

• 
  После появления названия хранилища в поле «Имя хранилища сертификатов», нажмите кнопку «Далее»

• 
  В последнем окне нажмите кнопку «Готово». Если появится сообщение «Этот сертификат уже присутствует в хранилище сертификатов», нажмите кнопку «Да»

  СПОСОБ №2

  Данный способ используется если после установки всех доступных для добавления считывателей Activ ru Token 0, Activ ru Token 1 и т.д. в пункте «Просмотреть сертификаты в контейнере» сертификат открытого ключа продолжает не отображаться. Это означает, что на ru Token находится только контейнер закрытого ключа. В данной ситуации необходимо:

  • 
    Уточнить не было ли казначейством выдано других дискет, носителей, на которых может содержаться сертификат открытого ключа. Его можно скопировать на компьютер (рабочий стол), а при установке личного сертификата должен быть вставлен ru Token с закрытым ключом (папка вида с названием, где на конце «.000»).
  • 
    Если сертификат устанавливался ранее, то можно выгрузить сертификат открытого ключа из хранилища сертификатов в IE, либо выгрузить сертификат с RuToken .
  • 
    Необходимо уточнить формировался ли запрос в казначейство на получение открытой части электронной цифровой подписи (файлы с расширением.reg). На компьютере, через который осуществляется работа с казначейством через систему СЭД сертификат обычно находится: C:/FKLCNT/SUBSYS/KEYS/CRYPTOAPI/…. В одной из папок с труднопроизносимым названием
  • 
    Если не помогают вышеперечисленные способы можно порекомендовать обратиться в казначейство с просьбой сообщить местонахождение сертификата открытого ключа.
  После того как сертификат открытого ключа найден необходимо в программе Крипто Про SCP:
  • 
    Откройте вкладку «Сервис» и нажмите кнопку «Установить личный сертификат»

  

  • Выбор сертификата

  1. 
     В окне «Мастер установки личного сертификата» нажмите кнопку «Далее»
  
  
  1. 
     В следующем окне «Расположение файла сертификата» нажмите кнопку «Обзор» и укажите расположение личного сертификата (файл Фамилия имя отчество.cer на вашей дискете)

  
  
  
  

  • 
    Выбор контейнера
  1. 
     В окне «Контейнер закрытого ключа» нажмите кнопку «Обзор» и укажите контейнер соответствующий личному сертификату (например Activ ru Token 0)
  
  
  Если появится окно с ошибкой «Закрытый ключ на указанном контейнере не соответствует открытому ключу в сертификате, выберите другой ключевой контейнер необходимо вернуться в настройку считывателей, добавить «Activ Co.ru Token1», попробовать снова установить личный сертификат. Таким образом действуйте пока не найдете нужный контейнер.
  1. 
     После появления имени контейнера в поле «Имя ключевого контейнера» , нажмите кнопку «Далее»
  • 
    Выбор хранилища
  1. 
     Выбираете пункт: «Поместить все сертификаты в следующее хранилище»
  2. 
     Нажмите кнопку «Обзор» и выберите хранилище «Личные» , затем нажмите кнопку «ОК»

  
  

  1. 
     После появления названия хранилища в поле «Имя хранилища сертификатов» , нажмите кнопку «Далее»
  • 
    Завершение установки личного сертификата
  1. 
     В последнем окне «Завершение работы мастера установки личного сертификата» нажмите кнопку «Готово»

  

  1. 
     Если появится сообщение «Этот сертификат уже присутствует в хранилище сертификатов» , нажмите кнопку «Да»

Многие компоненты современной ИТ инфраструктуры достаточно тесно завязаны на использование сертификатов. Что же делать, если сертификат поврежден, или же создан без правильно сгенерированного закрытого ключа? С таким «голым» файлом сертификата не будут корректно работать такие сетевые сервисы, как Exchange, IIS и т.д.
Поэтому решил составить инструкцию по пересозданию закрытого ключа для установленного сертификата:

• Откройте консоль управления сертификатами Certificates management (Start > Run > MMC > Add/Remove Snap-in > Certificates > Computer Account > Local Computer )
• Разверните Certificates (Local Computer) > Personal > Certificates
• Откройте свойства сертификата, для которого вы хотите пересоздать закрытый ключ. На вкладке Details выберите поле Serial number .
• Скопируйте серийный номер в буфер обмена:

• Из командной строки с правами администратора наберите следующую команду:

certutil -repairstore my "<Серийный номер>"

Результат выполнения команды будет примерно следующий, главное чтобы в нем была следующая строка «repairstore command completed successfully »:

После чего в окне сертификата появится маленький золотой ключик, обозначающий что у вас имеется закрытый ключ и внизу появится надпись «You have a private key that corresponds to this certificate «.

Для установки понадобится файл сертификата (файл с расширением.cer). Чтобы установить сертификат, достаточно выполнить следующие шаги: Выбрать «Пуск» / «Панель управления» / «КриптоПро CSP» . В окне «Свойства КриптоПро CSP» перейти на вкладку «Сервис» и кликнуть по кнопке «Установить личный сертификат» (см. рис. 1). Рис. 1. Окно «Свойства КриптоПро CSP» В окне «Мастер импорта сертификатов» нажать на кнопку «Далее» . В следующем окне кликнуть по кнопке «Обзор» , чтобы выбрать файл сертификата (см. рис. 2).
Рис. 2. Окно выбора файла сертификата Необходимо указать путь к сертификату и нажать на кнопку «Открыть» (см. рис. 3).
Рис. 3. Выбор файла сертификата В следующем окне необходимо нажать на кнопку «Далее» , в окне «Сертификат для просмотра» кликнуть по кнопке «Далее» . Выбрать «Обзор» , чтобы указать соответствующий контейнер закрытого ключа (см. рис. 4).
Рис. 4. Окно выбора контейнера закрытого ключа Указать контейнер, соответствующий сертификату, и подтвердить выбор с помощью кнопки «Ок» (см. рис. 5).
Рис. 5. Окно выбора ключевого контейнера После выбора контейнера следует нажать на кнопку «Далее» , поставьте галочку напротив надписи «Установить сертификат в контейнер» (см. рис. 6). В окне «Выбор хранилища сертификатов» кликнуть по кнопке «Обзор» (см. рис. 6).
Рис. 6. Выбор хранилища сертификатов Необходимо выбрать хранилище «Личные» и

Установка сертификата и закрытого ключа

Мы опишем установку сертификата электронной подписи и закрытого ключа для ОС семейства Windows. В процессе настройки нам понадобятся права Администратора (поэтому нам может понадобится сисадмин, если он у вас есть).

Если вы еще не разобрались что такое Электронная подпись, то пожалуйста ознакомьтесь Или если еще не получили электронную подпись , обратитесь в Удостоверяющий центр, рекомендуем СКБ-Контур.

Хорошо, предположим у вас уже есть электронная подпись (токен или флешка), но OpenSRO сообщает что ваш сертификат не установлен, такая ситуация может возникнуть, если вы решили настроить ваш второй или третий компьютер (разумеется подпись не "прирастает" только к одному компьютеру и ее можно использовать на нескольких компьютерах). Обычно первоначальная настройка осуществляется с помощью техподдержки Удостоверяющего центра, но допустим это не наш случай, итак поехали.

1. Убедитесь что КриптоПро CSP 4 установлен на вашем компьютере

Для этого зайдите в меню Пуск КРИПТО-ПРО КриптоПро CSP запустите его и убедитесь что версия программы не ниже 4-й.

Если ее там нет, то скачайте, установите и перезапустите браузер.

2. Если у вас токен (Рутокен например)

Прежде чем система сможет с ним работать понадобится установить нужный драйвер.

• Драйверы Рутокен: https://www.rutoken.ru/support/download/drivers-for-windows/
• Драйверы eToken: https://www.aladdin-rd.ru/support/downloads/etoken
• Драйверы JaCarta: https://www.aladdin-rd.ru/support/downloads/jacarta

Алгоритм такой: (1) Скачиваем; (2) Устанавливаем.

3. Если закрытый ключ в виде файлов

Закрытый ключ может быть в виде 6 файлов: header.key , masks.key , masks2.key , name.key , primary.key , primary2.key

Тут есть тонкость если эти файлы записаны на жесткий диск вашего компьютера, то КриптоПро CSP не сможет их прочитать, поэтому все действия надо производить предварительно записав их на флешку (съемный носитель), причем нужно расположить их в папку первого уровня, например: E:\Andrey\{файлики} , если расположить в E:\Andrey\keys \{файлики} , то работать не будет.

(Если вы не боитесь командной строки, то съемный носитель можно сэмулировать примерно так: subst x: C:\tmp появится новый диск (X:), в нем будет содержимое папки C:\tmp, он исчезнет после перезагрузки. Такой способ можно использовать если вы планируете установить ключи в реестр)

Нашли файлы, записали на флешку, переходим к следующему шагу.

4. Установка сертификата из закрытого ключа

Теперь нам нужно получить сертификат, сделать это можно следующим образом:

1. Открываем КриптоПро CSP
2. Заходим на вкладку Сервис
3. Нажимаем кнопку Просмотреть сертификаты в контейнере , нажимаем Обзор и здесь (если на предыдущих шагах сделали все правильно) у нас появится наш контейнер. Нажимаем кнопку Далее , появятся сведения о сертификате и тут нажимаем кнопку Установить (программа может задать вопрос проставить ли ссылку на закрытый ключ, ответьте "Да")
4. После этого сертификат будет установлен в хранилище и станет возможным подписание документов (при этом, в момент подписания документа, нужно будет чтобы флешка или токен были вставлены в компьютер)

5. Использование электронной подписи без токена или флешки (установка в реестр)

Если скорость и удобство работы для вас стоит чуть выше чем безопасность, то можно установить ваш закрытый ключ в реестр Windows. Для этого нужно сделать несколько простых действий:

1. Выполните подготовку закрытого ключа, описанную в пунктах (2) или (3)
2. Далее открываем КриптоПро CSP
3. Заходим на вкладку Сервис
4. Нажимаем кнопку Скопировать
5. С помощью кнопки Обзор выбираем наш ключ
6. Нажимаем кнопку Далее , потом придумаем какое-нибудь имя, например "Пупкин, ООО Ромашка" и нажимаем кнопку Готово
7. Появится окно, в котором будет предложено выбрать носитель, выбираем Реестр, жмем Ок
8. Система попросит Установить пароль для контейнера, придумываем пароль, жмем Ок

Важное замечание: портал OpenSRO не "увидит" сертификат, если вышел срок его действия.