Здравствуйте. У нас в организации готовится плановая замена сертификатов с ГОСТ-2001 на ГОСТ-2012, точнее срок старых сертификатов официально истёк ещё вчера, 15.09.2019. И только сейчас должны получить новые, когда точно пока не знаю, но скоро. И некоторые моменты хочу прояснить. Сейчас у нас на компах с Windows 7 (32 и 64)bit и Windows 10 64-bit установлены КриптоПро версии 4.0 и настроены разные сервисы, СУФД портал с Континент АП 3.7.7.651, zakupki.gov.ru, и т.д., много всего. Так вот, вопросы такие:

1)Нужно ли удалять старые сертификаты из системы перед установкой новых? Как это правильно делать? Вот, допустим, у нас на компе вставляется ключевой носитель, который подключен к КриптоПро как диск F, когда получим новый, хочу настроить бухгалтерам чтобы он также определялся как F и вставлялся в тот же USB-порт. Если уже истёк срок действия старых сертификатов, то нет смысла их сохранять в системе, нужно полностью удалить носитель средствами КриптоПро, сертификаты из хранилищ и затем заново подключить уже новый контейнер? Или же без старых сертификатов невозможно будет уже полноценно работать с документами, подписанными старыми ЭЦП и лучше их сохранить до конца этого года?

2) Рекомендуете ли вы обновить КриптоПро до версии 5.0 для работы с новыми ЭЦП, а также остальное ПО, работающее в связке с ним, т.е. Континент АП, TLS-клиент, либо что-то ещё?

Добрый день. Если что я не сотрудник КриптоПро.Такое возможно: с токенами, реестром, вообще не проблема (обычно имена контейнеров разные). С разными флешками тоже, главное не включать одновременно - при подключении одновременно Windows назначит разные буквы. С той же самой флешкой желательно следить чтобы имя новой папки не совпадало со именем какой-то из старых папок. При совпадении (если для старой папки был запомнен пароль) возможна проблема что вместо нового контейнера будет искать (и не находить) старый.
Если удалите старый сертификат и его контейнер, будет невозможно расшифровать документы (например, ЭЛН из ФСС или переписку в Контур-Экстерн). На подписанные без шифрования документы никак не повлияет (если документы подписаны без доверенного времени все подписи статут недействительны при истечении срока сертификата, если подписаны с доверенным временем - подписи остаются действительны пока не удалите сертификаты УЦ, независимо от наличия клиентского сертификата в хранилище). В частности, подписи в СУФД автоматически включают метку доверенного времени от сервера ФК и останутся действительны.

По нормативке если срок действия сертификата истек, нужно в течение 10 дней перешифровать новыми ключами информацию, зашифрованную ключом этого сертификата, уничтожить контейнер и внести соответствующую запись в журнал регистрации ключевой информации. Не запрещается потом установить сертификат снова, но уже без привязки к контейнеру. Если закрытым ключом только подписывали, но не шифровали, перешифровку пропускаете. Удалить контейнер действительно проще через КриптоПро.Если у Вас 4.0 R3 (9944) или R4(9963), то нет острой необходимости обновлять до 5.0, так как хотя основной документ подтверждающий соответствие 5.0 давно получен, выпуск самого сертификата соответствия затянулся. Версия Континента АП тоже нормальная, обратите внимание что по гост-2012 Континент-Ап 3.7 работает только со своим криптопровайдером, не с КриптоПро. Поэтому вероятно потребуется либо установить криптопровайдер Континента если еще не установлен, потом решить конфликт между КриптоПро и континентом. Про TLS-клиент точно не могу сказать, у нас не используется. Желательно обновить КриптоПро браузер плагин (2.0.13642 +) и плагин Госуслуг (3.0.6+) - старые их версии не поддерживают гост-2012 и новые браузеры. В новых браузерах понадобятся еще и расширения к плагину. Правда, тут проблема что новые версии плагинов не работают в старых браузерах.
Сохраняется ли затрудняюсь ответить. Как отвечали сотрудники, 5.0 R1 принимает серийный номер от 4.0 пока с полной функциональностью (даже если не сохранится - введете еще раз). В следующей версии 5.0 R2 планируется ограничить функционал, если серийник от 4.0 (будет без облачных токенов и новшеств пока не введете серийник 5.0).