Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline brightsolutions  
#1 Оставлено : 10 января 2022 г. 19:18:22(UTC)
brightsolutions

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.01.2022(UTC)
Сообщений: 6

Просьба о помощи к знатокам.

Устанавливал новые сертификаты и по невнимательности удалил контейнер закрытого ключа (или даже их 2 было там). Сейчас не работает ЭЦП. Задача восстановить работу сервиса, чтобы сертификат был на компе, без внешних носителей. Подскажите, пожалуйста, что надо для этого сделать. Win 11, CryptoPro CSP 5.0.12330. Если нужна еще какая инфо - отвечу на все вопросы.

Честно смотрел ЧАВО, искал на других ресурсах, прямого и понятного решения своей проблемы не нашел. Буду благодарен всем идеям.

01.jpg (46kb) загружен 7 раз(а).

Отредактировано пользователем 10 января 2022 г. 19:20:49(UTC)  | Причина: Не указана

Offline nickm  
#2 Оставлено : 10 января 2022 г. 19:24:10(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 342

Сказал(а) «Спасибо»: 134 раз
Поблагодарили: 56 раз в 51 постах
Автор: brightsolutions Перейти к цитате
и по невнимательности удалил контейнер закрытого ключа (или даже их 2 было там).

Поднимайте бэкапы.
В крайнем случае если контейнер был в реестре - ищите копии реестра, если на флэшке - пытайтесь с помощью программ восстановления и т.п.

Offline brightsolutions  
#3 Оставлено : 10 января 2022 г. 19:36:48(UTC)
brightsolutions

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.01.2022(UTC)
Сообщений: 6

Автор: nickm Перейти к цитате
Автор: brightsolutions Перейти к цитате
и по невнимательности удалил контейнер закрытого ключа (или даже их 2 было там).

Поднимайте бэкапы.
В крайнем случае если контейнер был в реестре - ищите копии реестра, если на флэшке - пытайтесь с помощью программ восстановления и т.п.



Бэкап системы не делал. Сделал восстановление к точке восстановления системы до удаления - не помогло. Переустанавливал КриптоПро - тоже без результата.

Контейнер был в реестре, внешние носители не использовал. Если я сам не делал копии реестра, они сами то не копируются, я полагаю.

Его можно как-то заново создать этот контейнер? Какие еще есть идеи?
Offline nickm  
#4 Оставлено : 10 января 2022 г. 20:41:50(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 342

Сказал(а) «Спасибо»: 134 раз
Поблагодарили: 56 раз в 51 постах
Автор: brightsolutions Перейти к цитате
Переустанавливал КриптоПро - тоже без результата.

Это бесполезное действие в Вашем, конкретном, случае.

Автор: brightsolutions Перейти к цитате
Контейнер был в реестре, внешние носители не использовал.

Контейнер хранится здесь, например, (1), (2).

Автор: brightsolutions Перейти к цитате
Его можно как-то заново создать этот контейнер?

У Вас что ли тестовые ключи?
Если нет, то повторное обращение в аккредитованный УЦ с отзывом сертификатов утерянных ключей.

Автор: brightsolutions Перейти к цитате
Какие еще есть идеи?

Давайте подождём вместе, главное, что бы Вы не усугубили уже сложившуюся ситуацию.
Offline two_oceans  
#5 Оставлено : 10 января 2022 г. 23:45:25(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,536
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 105 раз
Поблагодарили: 375 раз в 354 постах
Автор: brightsolutions Перейти к цитате
Если я сам не делал копии реестра, они сами то не копируются, я полагаю.
Наоборот. В точки восстановления с некоторых пор включается и реестр. Новые версии Windows (10 и скорее всего 11) кроме точек восстановления автоматически делают бэкап реестра примерно раз в 10 дней (то есть даже если точки отключены этот бэкап есть). Так что если с момента удаления прошло менее 10 дней и ключ существовал дольше 10 дней можно попробовать вытащить файл SOFTWARE из папки C:\Windows\System32\config\RegBack это соответствует HKEY_LOCAL_MACHINE\Software, где все ключи и должны быть. Вот только смущает, что уже пробовали откат на точку восстановления - при этом могла копия переписаться. Далее копию можно подгрузить в редактор реестра (встать на HKEY_LOCAL_MACHINE выбрать Файл - загрузить куст, ввести новое имя, Soft1, например), экспортировать нужные данные, выгрузить куст. Потом заменить в экспортированном файле имя \Soft1\ на \Software\ и импортировать обратно, подправить разрешения на контейнер.

Аналогичная операция может быть проделана и над копией реестра из точки восстановления - нет необходимости откатываться на точку, но потребуется шаманство с правами или с запуском редактора реестра от имени "системы", чтобы увидеть содержимое точки и в частности копию реестра.

Отредактировано пользователем 10 января 2022 г. 23:52:37(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
lboikov оставлено 11.01.2022(UTC)
Offline brightsolutions  
#6 Оставлено : 11 января 2022 г. 6:00:21(UTC)
brightsolutions

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.01.2022(UTC)
Сообщений: 6

Автор: nickm Перейти к цитате
Контейнер хранится здесь, например, (1), (2).

У меня по указанному пути вот что, похоже, контейнеров там нет:
012.jpg (58kb) загружен 5 раз(а).

При переходе в директорию от второй и ниже в ругается вот так:
201.jpg (22kb) загружен 4 раз(а).

Автор: nickm Перейти к цитате
Давайте подождём вместе, главное, что бы Вы не усугубили уже сложившуюся ситуацию.

Я сейчас только ищу инфо, собираю советы, ничего не делаю. Реестр вообще боюсь трогать. Надеюсь, умные люди еще что-то подскажут. Тогда и решим, что пробовать.

Offline brightsolutions  
#7 Оставлено : 11 января 2022 г. 6:05:15(UTC)
brightsolutions

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.01.2022(UTC)
Сообщений: 6

Автор: two_oceans Перейти к цитате
Так что если с момента удаления прошло менее 10 дней и ключ существовал дольше 10 дней можно попробовать вытащить файл SOFTWARE из папки C:\Windows\System32\config\RegBack это соответствует HKEY_LOCAL_MACHINE\Software, где все ключи и должны быть.

Проверил эту папку, к сожалению, она пустая (поставил галку отображать скрытые файлы и папки в свойствах file explorer)
Offline nickm  
#8 Оставлено : 11 января 2022 г. 6:10:22(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 342

Сказал(а) «Спасибо»: 134 раз
Поблагодарили: 56 раз в 51 постах
Автор: two_oceans Перейти к цитате
Аналогичная операция может быть проделана и над копией реестра из точки восстановления - нет необходимости откатываться на точку, но потребуется шаманство с правами или с запуском редактора реестра от имени "системы", чтобы увидеть содержимое точки и в частности копию реестра.

Можно намного проще, например так, ну или конкретный пример.

Автор: brightsolutions Перейти к цитате
Я сейчас только ищу инфо, собираю советы, ничего не делаю. Реестр вообще боюсь трогать. Надеюсь, умные люди еще что-то подскажут. Тогда и решим, что пробовать.

Уже подсказали ;)
Как выше и сообщал - запасайтесь бэкапом, чтобы лишний раз не бояться.

Отредактировано пользователем 11 января 2022 г. 6:13:09(UTC)  | Причина: Не указана

Offline brightsolutions  
#9 Оставлено : 11 января 2022 г. 6:12:02(UTC)
brightsolutions

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.01.2022(UTC)
Сообщений: 6

Прошу прокомментировать, правильно ли я понимаю, что получив новую ЭЦП в УЦ при первой установке на выбранный носитель (реестр, флэш) генерится ключевой контейнер. При повторной установке ЭЦП на этот же комп или на любую другую машину или флэшку контейнер уже создаваться не будет? Т.е. контейнер для одной ЭЦП генерится только один раз.

Если это так, что в принципе логично, то ситуация тяжелая. Прямое решение - получение новой ЭЦП. Т.е. в моем случае это равносильно утере флешки с контейнером.

И еще, правильно ли я понимаю, что при получении новой ЭЦП и установке на машину, будет создан новый ключевой контейнер для новой ЭЦП, т.е. хочу понять, на данной машине кроме ЭЦП ничего не испорчено, новые ЭЦП при правильной установке будут штатно работать?
Offline nickm  
#10 Оставлено : 11 января 2022 г. 6:12:47(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 342

Сказал(а) «Спасибо»: 134 раз
Поблагодарили: 56 раз в 51 постах
Автор: brightsolutions Перейти к цитате
Проверил эту папку, к сожалению, она пустая (поставил галку отображать скрытые файлы и папки в свойствах file explorer)

Да, и тому есть объяснение, например здесь.

Отредактировано пользователем 11 января 2022 г. 6:15:10(UTC)  | Причина: Не указана

Offline nickm  
#11 Оставлено : 11 января 2022 г. 6:29:37(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 342

Сказал(а) «Спасибо»: 134 раз
Поблагодарили: 56 раз в 51 постах
Автор: brightsolutions Перейти к цитате
Прошу прокомментировать, правильно ли я понимаю, что получив новую ЭЦП в УЦ при первой установке на выбранный носитель (реестр, флэш) генерится ключевой контейнер.

Нет, не правильно.
Закрытый ключ, он же контейнер с закрытым ключом, формируется пользователем на АРМ самостоятельно. УЦ изготавливает лишь сертификат открытого ключа;

Автор: brightsolutions Перейти к цитате
Т.е. контейнер для одной ЭЦП генерится только один раз.

Слово ЭЦП уже из разговора исключили, можно просто ЭП, да и в данном контексте и оно окажется неуместным.
Ведь ЭП, это так сказать уже результат работы с закрытым ключом над каким либо файлом.
Да, генерируется один раз, после можно сохранить его как копию, например скопировав на носитель, и хранить в сейфе;

Автор: brightsolutions Перейти к цитате

И еще, правильно ли я понимаю, что при получении новой ЭЦП и установке на машину, будет создан новый ключевой контейнер для новой ЭЦП, т.е. хочу понять, на данной машине кроме ЭЦП ничего не испорчено, новые ЭЦП при правильной установке будут штатно работать?

Вам главное иметь рабочий ключ, а систему всегда/ зачастую всегда можно привести в порядок.

Отредактировано пользователем 11 января 2022 г. 6:32:32(UTC)  | Причина: Не указана

Offline two_oceans  
#12 Оставлено : 11 января 2022 г. 6:55:51(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,536
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 105 раз
Поблагодарили: 375 раз в 354 постах
Цитата:
Можно намного проще, например так
Коллега, по поводу версий файлов - ни на одном компьютере, который в доступности от меня это просто не работает. Даже если точек навалом. Склоняюсь к тому, что это вообще неработающая функция. Через ссылку - согласен, проще, вот только не уверен что это сработает, когда прав недостаточно: создание символической ссылки требует прав администратора. Добавьте набор гуида тома и поймете что это не самый легкий путь. Через LiveCD - у рядового пользователя еще надо подготовить такой. Это сложнее чем скачать psexec и запустить одной командой редактор реестра от системы.

Отредактировано пользователем 11 января 2022 г. 7:45:27(UTC)  | Причина: Не указана

Offline brightsolutions  
#13 Оставлено : 11 января 2022 г. 7:37:52(UTC)
brightsolutions

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.01.2022(UTC)
Сообщений: 6

Автор: nickm Перейти к цитате

Можно намного проще, например так, ну или конкретный пример.

Я сделал символическую ссылку, вижу ее на диске С из под системы, но войти в папку config не могу как раз по причине прав. Не понимаю, как открыть права на нее.
1138.jpg (216kb) загружен 11 раз(а).

Есть одно сомнение. Я совершил свои манипуляции в день, когда установил новый сертификат. Наверное он не попал ни в какие бэкапы и теневые папки.

Отредактировано пользователем 11 января 2022 г. 7:50:03(UTC)  | Причина: Не указана

Offline two_oceans  
#14 Оставлено : 11 января 2022 г. 7:52:01(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,536
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 105 раз
Поблагодарили: 375 раз в 354 постах
Автор: brightsolutions Перейти к цитате
Не понимаю, как открыть права на нее.
По умолчанию проводник запускается без прав администратора (даже если текущий пользователь администратор). Решается либо предоставлением доступа для группы пользователи либо временным отключением UAC - контроля учетных записей (тогда проводник переходит в режим администратора незаметно) либо форсированием прав администратора (это тоже было на том блоге "не из коробки", но точного адреса не запомнил). Короче, если открыт уже редактор прав - проще дать доступ группе пользователи, достать нужное, потом доступ отменить.

Хотя странно - доступ для чтения (перечисления файлов в папке) наверно должен быть?

Отредактировано пользователем 11 января 2022 г. 7:57:38(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.