Уже многие сталкивались с тем, что в компаниях, в процессе работы теряются различные сертификаты, включая ЭЦП, это может быть связано с халатностью бухгалтеров, 1сников, сис. админов, а также их не внимательностью. Но не всегда бывает так, бывает просто поторопились или плохо поставили задачу. Сегодня я расскажу о том как в одной из компаний внезапно потерялись закрытые ключи, сертификаты ЭЦП(Электронно-Цифровая Подпись) и как мы их нашли и что с ними сделали дальше.
Если Вы также потеряли сертификаты, то читайте до конца и узнаете как их найти, всё что от Вас требуется немного ручной работы и времени - поехали!
Ситуация такова, в компании избавились от старого сервера и приобрели новый, более мощный (используется для удалённого доступа через RDP). Все данные, базы 1С, USB ключи перенесли на новый сервер, все установили, настроили, а через неделю, когда бухгалтеры полезли подписывать документы, обнаружилось, что нет сертификатов и закрытых ключей ЭЦП, как так, куда делись и понеслось...
Позвонили мне, сказали, надо разобраться с ситуацией. Работа есть работа, идём смотреть, что же там такое произошло)
Как мне сказали, до этого ковырялись 1Сники и ничего не нашли, сказали, что бухгалтеры удалили все сертификаты, Вы сами виноваты и сами разбирайтесь. Ну у 1сников всегда так, если не заплатить дополнительно, они свою пятую точку не поднимут, даже если компания находится на их обслуживании, знаем, проходили уже не раз такое обслуживание.
Если подумать логически, раз данные были все перенесены и USB ключи тоже, а ЭЦП на них нет, то сертификаты были установлены либо на HDD, либо в реестр.
Самое странное, что эти сертификаты устанавливали сами 1Сники, ну да ладно. Так как на сервере всем заправляет Админ, то логично зайти под его учётной записью (как бухгалтеры сказали, 1Сники также сделали). Зашел, начал искать, сначала через Крипто-ПРО посмотрел - нет сертификатов. Затем посмотрел через свойства Internet Explorer, тоже ничего, посмотрел реестр и там пусто. Думаю, не может быть такого, что сертификаты были и работали, а тут их нет вовсе, грешить на вирусы не стал, так как сервер защищен отлично, а бухгалтеры ну что бухгалтеры, вряд ли это они удалили, ой как вряд ли)).
Идём дальше по логической цепочке, так как на сервере есть разные учётные записи (включая аккаунт ГлавБуха), я решил, что в былые времена 1Сники установили сертификаты в реестр учетной записи ГлавБуха, а если сертификаты устанавливаются на конкретную учётную запись, то они не будут видны под другими, хоть ты под учётной записью администратора зайди.
Всё так и оказалось, сертификаты были найдены и они были установлены в реестр аккаунта Главного Бухгалтера. Бухгалтеры обрадовались, жизнь спасена)
Осталось только перенести все эти сертификаты и закрытые ключи на новый сервер, чтобы работа пошла у бухгалтеров и сейчас я расскажу как мы это сделали.
ЭКСПОРТИРУЕМ ЗАКРЫТЫЕ КЛЮЧИ:
1) Заходим в реестр старого сервера с помощью Пуск->Выполнить: regedit
Нам необходимо узнать SID пользователя - это ID номер пользователя в реестре. Чтобы узнать переходим по ветке:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Нас интересует параметр ProfileImagePath, в конце строки будет указано имя учётной записи:
2) Необходимо экспортировать закрытые ключи которые установлены в учётной записи в .reg файл, для этого надо перейти по ветке, для 32 битных систем:
HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS\SID_пользователя\Keys
Для 64 битных систем:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\USERS\SID_пользователя\Keys
На SID учетной записи кликаем правой кнопкой мыши и выбираем пункт меню Экспортировать, указываем имя файла, например: keys и сохраняем в любое удобное место:
Перенесите файл keys.reg на новый сервер под учётной записью бухгалтера. Затем необходимо изменить SID учетной записи старого сервера на текущий SID нового сервера у аккаунта бухгалтера. Как найти SID, я указал выше. Находите, открываете сохраненный файл keys.reg в любом текстовом редакторе и меняете автозаменой SID, сохраняете изменения. Теперь устанавливаете файл keys.reg дважды кликнув по нему и соглашаетесь со всем. Всё, закрытые ключи установлены на новый сервер в учётной записи ГлавБуха.
ЭКСПОРТИРУЕМ СЕРТИФИКАТЫ:
Существует много вариантов, я расскажу о самом простом.
1) Открываем браузер Internet Explorer, заходим в Свойства браузера-> Содержание и нажимаем на кнопку Сертификаты:
Выбираем необходимый сертификат и нажимаем кнопку Экспорт. Запустится Мастер экспорта сертификатов, нажимаем Далее. Выбираем Да, экспортировать закрытый ключ и Далее. В следующем окне оставляем всё как есть или меняем уже под себя настройки и нажимаем Далее. Если Ваш сертификат использует пароль, то в следующем окне поставьте галку и укажите пароль и нажмите Далее. Укажите имя экспортируемого сертификата и путь, например: D:\cert.pfx и нажмите Далее. Нажмите Готово и ОК.
Затем переносите файл cert.pfx на новый сервер и там устанавливайте его в конкретную учётную запись.
Вот так мы нашли закрытые ключи и сертификаты, а затем установили их на новом сервере. Никогда не паникуйте, а разбирайтесь. Надеюсь, Вам данный пример будет полезен.
Спасибо за внимание!
Если остались вопросы пишите комментарии, ставьте лайки и подписывайтесь!