Как запретить экспорт закрытого ключа с рутокен

Как запретить экспорт закрытого ключа с рутокен

запретить экспорт закрытого ключа

Добрый день уважаемые читатели и подписчики блога Pyatilistnik.org, сегодня я хочу с вами поделиться опытом вот в таком вопросе, есть токен на котором записана ЭЦП, но проблема в том, что ее можно экспортировать, а это с точки зрения безопасности не очень хорошо, так как не совсем честный сотрудник или человек, может ее выгрузить и использовать в своих целях, я вас научу, как запретить экспорт закрытого ключа с рутокен.

По умолчанию запрет на экспортируемый ключ ставится еще при создании токена, на центре сертификации. Если же там этого не сделали, то мы сделаем вот такой финт.

Установка драйверов и модуля управления Rutoken

Первым делом вам необходимо установить драйвера и софт для управления и администрирования рутокеном. Скачать его можно на официальном сайте производителя.

https://www.rutoken.ru/support/download/drivers-for-windows/

скачать драйвера рутокен

В момент установки РУТОКЕН токен должен быть отсоединен от компьютера

Далее в пуске находим "Панель управления рутокеном"

панель управления рутокеном

Далее в открывшейся программе, переходим на вкладку "Сертификаты". Если у вас будет предупреждение:

Использование сертификата невозможно по одной из причин:

  • КриптоПро CSP не настроен для работы
  • Контейнер с сертификатом поврежден

Данная ошибка, в 99 процентов случаев выскакивает из-за отсутствия или просроченной лицензии КриптоПро CSP.

Экспорт сертификата рутокен

После установки КриптоПро все выглядит как нужно и доступна кнопка экспорта закрытого ключа.

экспорт приватного ключа

Запрещаем экспортирование сертификата

Производим экспорт сертификата, в итоге у вас получится архив pfx. Он будет содержать как открытый, так и закрытый ключ. Теперь попробуйте произвести импорт сертификата. Обратите внимание, что в момент импорта, вам не нужно ставить галку "Разрешить экспорт закрытого ключа" именно ей мы не дадим его выгрузку.

импорт сертификата на рутокен

Вводим пинкод (чаще всего он стандартный у рутокен, если вы его не меняли)

запретить экспорт закрытого ключа

У вас может появиться в некоторых случаях ошибка "импортированы могут быть только сертификаты для ключей RSA"

импортированы могут быть только сертификаты для ключей RSA

Для ее решения нам нужно преобразовать сертификат pfx. Нам потребуется утилита OpenSSL. С помощью OpenSSL экспортируем закрытый ключ из PFX-файла:

  •  pkcs12 -in newcert.pfx -nocerts -out encrypted.key
  • Проводим те же действия с сертификатом: pkcs12 -in newcert.pfx -nokeys -out cert.pem
  • Конвертируем полученные сертификат и закрытый ключ в формат DER:
    OpenSSL> x509 -in cert.pem -out cert.crt -outform DER
    OpenSSL> rsa -in encrypted.key -out key.der -outform DER
  • Записываем сконвертированный закрытый ключ на Рутокен
  • Удаляем старый сертификат, после проверки нового.

Надеюсь вам поможет данный метод, запретить экспортирование приватного ключа с рутокен, если у вас есть дополнения или другие методы, то напишите о них в комментариях.

2 Responses to Как запретить экспорт закрытого ключа с рутокен

  1. Андрей:

    Ошибка в названии статьи написано «на рутокен» а должно быть «с рутокена»

  2. Иван Семин:

    спасибо сменил

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *