Добрый день.
Для ясности наверно нужно уточнить что именно находится в pfx - есть большая разница закрытый ключ гост там или есть закрытый ключ других алгоритмов или ключа вообще нет. Если есть закрытый ключ не-ГОСТ, то импортировать файл можно много чем, однако если выходит окно КриптоПро, то закрытый ключ я так понимаю ГОСТ и импортировать придется именно средствами КриптоПро (ну мне пока не встречались другие отечественные криптопровайдеры, которые смогли бы прочитать pfx от ТК26 в реализации КриптоПро). Соответственно у меня большие сомнения что через powershell получится "тот же самый результат". Скорее либо импорт будет неудачный либо импортируется успешно, но без закрытого ключа либо снова вылезут эти же окна.
По первому варианту - насколько помню, сотрудники КриптоПро обещали добавить соответствующие параметры (дать возможность указать осмысленное имя нового контейнера, носитель и пинкод) в командную строку новой версии собственной утилиты импорта. Начальный ориентир
Код:certmgr.exe -inst -help
certmgr.exe -inst -pfx -provtype 80 -pin 111
потом наверно еще что-то придется дописать в команду. Если же запустилась одноименная остнастка, то надо указать полный путь до утилиты (вроде "C:\Program Files\Crypto Pro\CSP\certmgr.exe").
Там же упоминалось, что от окна выбора носителя (первый снимок) избавится можно элементарно - отключить все другие считыватели. По снимку получается либо отключить считыватель Реестр либо считыватель съемных дисков (если D не флешка) либо извлечь флешку с буквой D. К сожалению, пин код все равно будет запрашивать. Поэтому наверно надо посмотреть в истории изменений в новейших сборках, вероятно параметры уже появились. В версии 4.0.9944 еще была версия утилиты без новых параметров.
Ну а вообще, мне кажется гораздо удобнее на "резервную" флешку скопировать сам контейнер криптопро с установленным пин-кодом чем возиться с мутным форматом PKCS#12, точнее с кодировкой гостовских ключей принятой ТК26. В плане безопасности сейчас разницы никакой при установленном пин-коде - созданные новыми версиями КриптоПро контейнеры защищают ключ практически одинаково что в PKCS#12, что в самом контейнере. Но PKCS#12 нельзя с ходу использовать, надо преобразовать, а контейнер можно.
Если есть копия контейнера просто остается скопировать папку с флешки, а там уже сертификат может подхватить служба "Распространение сертификатов" и автоматически установить сертификат из контейнера в хранилище без какого-либо участия пользователя. Хотя минусы тоже есть - у нашей организации есть сертификат для использования другой службой (ЭП-ОВ для агрегатора смэв), установлен в хранилище компьютера, я уже и запретил к контейнеру доступ обычных пользователей, вручную удалил у каждого, но "Распространение сертификатов" его все равно "видит" и автоматом ставит всем пользователям.
Автор: Андрей Писарев 
Утилита для импорта транспортных контейнеров PKCS#12 в контейнеры КриптоПро CSP ... В ней сразу можно указывать пароль и путь к контейнеру
Извините, Андрей, но несколько раз пытался ей воспользоваться и импортировать pfx файл, экспортированный из остнастки сертификаты - ни разу не получилось. Либо выдавало, что неправильный формат файла p12, либо "неизвестная ошибка". При этом через "Установить PFX" с отображение диалоговых окон тот же самый файл прекрасно импортировался. В итоге я стал обходится без такой замечательной утилиты: в теории-то конечно все красиво, но на практике видимо есть какой-то секретик, не описанный в справке. Я, например, не понимаю как утилита импорта транспортных контейнеров PKCS#12 от КриптоПро может не понять экспортированный КриптоПро формат? И что именно в нем не нравится утилите, по сообщению "неизвестная ошибка" можно гадать сколько угодно. Ради интереса попробовал эту же утилиту на псевдо-поврежденном контейнере (с зануленной контрольной суммой в одном из файлов) - снова облом. Утилита вообще работает?
Отредактировано пользователем 19 апреля 2019 г. 11:24:11(UTC)
| Причина: Не указана
