Token consumed что это в реестре
Перенос контейнеров закрытых ключей и сертификатов CryptoPro
Мне постоянно приходится иметь дело с сертификатами, токенами, закрытыми ключами, криптопровайдерами и прочим. Сейчас все завязано на это — банкинг, сдача отчетности в разные гос органы, обращения опять же в эти органы, в том числе и физ лиц. В общем, с этой темой рано или поздно придется познакомиться многим. Для того, чтобы перенести все это хозяйство с одного компьютера на другой, иногда приходится прилично повозиться, особенно тем, кто не в теме.
by zerox https://serveradmin.ru/perenos-konteynerov-zakryityih-klyuchey-i-sertifikatov-cryptopro/
Перенести закрытые ключи и сертификаты КриптоПро на другой компьютер можно двумя способами:
Я опишу оба этих способа, но подробно остановлюсь именно на втором способе. В некоторых ситуациях он является единственно возможным. Важное замечание. Я буду переносить контейнеры закрытого ключа, которые хранятся в реестре. Если вы храните их только на токене, то переносить контейнеры вам не надо, только сертификаты.
Копирование закрытого ключа через оснастку КриптоПро
Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.
Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.
Ошибка копирования контейнера
Но тут есть важный нюанс. Если во время создания закрытого ключа он не был помечен как экспортируемый, скопировать его не получится. У вас будет ошибка:
Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.
Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему.
Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Штатные возможности CryptoPro не позволяют скопировать закрытый ключ в файл.
Запускаем Internet Explorer, открываем его настройки и переходим на вкладку Содержание. Там нажимаем на Сертификаты.
Выбираем нужный сертификат и нажимаем Экспорт.
Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ «Да, экспортировать закрытый ключ«, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.
Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.
Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него.
В итоге у вас должны получиться 2 файла с расширениями:
Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам достаточно будет выбрать все параметры по-умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер.
Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.
Массовый перенос ключей и сертификатов CryptoPro с компьютера на компьютер
В интернете достаточно легко находится способ переноса контейнеров закрытых ключей КриптоПро через копирование нужной ветки реестра, где это все хранится. Я воспользуюсь именно этим способом. А вот с массовым переносом самих сертификатов у меня возникли затруднения и я не сразу нашел рабочий способ. Расскажу о нем тоже.
Для дальнейшей работы нам надо узнать SID текущего пользователя, у которого мы будем копировать или переносить сертификаты с ключами. Для этого в командной строке выполните команду:
В данном случай zerox — имя учетной записи, для которой узнаем SID.
Далее скопируем контейнеры закрытых ключей в файл. Для этого на компьютере открываем редактор реестра и переходим в ветку:
где S-1-5-21-4126079715-2548991747-1835893097-1000 — SID пользователя, у которого копируем сертификаты. Выбираем папку Keys и экспортируем ее.
Сохраняем ветку реестра в файл. В ней хранятся закрытые ключи.
Теперь нам нужно скопировать сразу все сертификаты. В Windows 7, 8 и 10 они живут в директории — C:\Users\zerox\AppData\Roaming\Microsoft\SystemCertificates\My. Сохраняйте эту директорию.
Для переноса ключей и сертификатов нам надо скопировать на другой компьютер сохраненную ветку реестра и директорию с сертификатами My. Открываем файл с веткой реестра в текстовом редакторе и меняем там SID пользователя со старого компьютера на SID пользователя нового компьютера. Можно прям в блокноте это сделать поиском с заменой.
Я не раз пользовался этим методом, на текущий момент он 100% рабочий. Написал статью,чтобы помочь остальным, так как сам не видел в интернете подробной и понятной с первого раза статьи на эту тему. Надеюсь, моя таковой получилась.
Записки IT специалиста
Технический блог специалистов ООО»Интерфейс»
Перенос сертификатов и закрытых ключей CryptoPro хранящихся в реестре
КриптоПро один из наиболее широко используемых криптопровайдеров на территории Российской Федерации, он широко используется в системах электронного документооборота, сдачи отчетности и взаимодействия с государственными органами, поэтому встретить его можно практически в любой организации. По этой причине у системных администраторов часто встает вопрос его переноса на другой ПК. А так как криптография является для многих сложной и непонятной областью, то эта простая задача может вызвать некоторые затруднения.
Если вы ранее не сталкивались с криптографией вообще, то рекомендуем прочитать нашу статью: Введение в криптографию. Общие вопросы, проблемы и решения. Здесь мы не будем углубляться в теорию, но приведем некоторый необходимый ликбез.
В повседневной деятельности широко распространено понятие «сертификат», им оперируют все, от сотрудников удостоверяющих центров, то бухгалтеров, работающих с ЭЦП. Часто можно услышать что-то подобное: «нам купили в бухгалтерию новый компьютер, нужно перенести сертификаты». Но если подходить с точки зрения криптографии, то слово «сертификат» в данном случае употребляется неправильно. Вся современная криптография строится вокруг инфраструктуры открытых ключей (PKI), которая подразумевает наличие у каждого участника ключевой пары: открытого и закрытого ключа.
Закрытый ключ является секретным, с его помощью мы можем подписывать документы, шифровать информацию и т.д. и т.п. Закрытый ключ Усиленной квалифицированной электронной подписи (УКЭП) равнозначен нотариально заверенной подписи и его попадание в чужие руки может привести к самым тяжелым последствиям.
Открытый ключ, дополненный некоторыми дополнительными данными, выпускается в форме сертификата и является публично доступным, с его помощью можно проверить действительность цифровой подписи, выполненной закрытым ключом или убедиться в подлинности участника обмена электронными документами.
Поэтому, когда мы говорим о переносе «сертификатов», то подразумеваем необходимость перенести ключевую пару: закрытый ключ и сертификат, перенос одних только сертификатов не принесет успеха, криптография на новом узле работать не будет.
Выяснив этот момент, перейдем к хранилищам закрытых ключей. КриптоПро предполагает в таком качестве токены, флеш-накопители и системный реестр. Токены являются наиболее защищенными устройствами, извлечь закрытый ключ из них невозможно, и вы можете не опасаться несанкционированного копирования (для этого закрытый ключ должен быть помечен как неэкспортируемый). Флеш-накопители представляют некий компромисс между безопасностью и мобильностью, а реестр удобен в тех случаях, когда на одном ПК нужно одновременно работать с большим количеством ключей. И именно с ним связаны определенные сложности при переносе на другой узел.
Экспорт ключей и сертификатов
Для того, чтобы правильно экспортировать закрытые ключи, нам нужно выяснить идентификатор безопасности ( SID) текущего пользователя (который работает с ЭЦП), это можно сделать командной:
Затем откроем редактор реестра и перейдем в ветку для 32-битных систем:
для 64-битных систем:
Найдем и раскроем раздел с SID текущего пользователя и экспортируем оттуда ветку Keys.
Обратите внимание, что данная ветка содержит закрытые ключи, поэтому следует принять все меры безопасности и не передавать файл экспорта по открытым каналам связи и вообще исключить к нему несанкционированный доступ посторонних лиц.
После чего скопируем все сертификаты, расположенные по пути
Это открытые ключи, никакой секретности они не представляют, поэтому просто копируем их любым доступным способом.
Импорт ключей и сертификатов
Прежде всего установим на новый узел КриптоПро, обратите внимание, что переносить ключи и сертификаты следует между одинаковыми версиями. В противном случае либо обновите версию КриптоПро на старой системе, либо установите старую версию на новой и обновите ее уже после переноса ключевых пар.
Затем снова узнаем SID пользователя, который будет работать с ЭЦП, если это текущий пользователь, то снова выполните:
В противном случае:
После чего откройте на редактирование файл реестра с экспортированными закрытыми ключами и замените в нем все вхождения старого SID на SID нового пользователя.
Сохраните файл и импортируйте его в реестр. Закрытые ключи перенесены, файл переноса в целях безопасности следует удалить.
Следующим шагом скопируйте сохраненные сертификаты в
После чего можно устанавливать и настраивать приложения работающие с криптографией, все будет работать.
Как быть если доступ к старой системе невозможен?
С копированием сертификатов проблемы возникнуть не должно, их хранилище простая папка на диске, а вот с хранилищем закрытых ключей в реестре немного сложнее. Но не будем забывать, что системный реестр тоже хранится в файлах на диске. Вам следует любым доступным образом скопировать файл SOFTWARE из C:\Windows\System32\config
После чего пройдите в раздел с закрытыми ключами (с учетом новой точки монтирования) и выполните экспорт ветки Keys.
Дальнейшие действия ничем не отличаются от описанных нами в разделе Импорт ключей и сертификатов.
Помогла статья? Поддержи автора и новые статьи будут выходить чаще:
Или подпишись на наш Телеграм-канал: 
Создание токена с разрешениями уровня репозитория
В этой статье содержатся сведения о создании токенов и карт области для управления доступом к конкретным репозиториям в реестре контейнеров. Создавая токены, владелец реестра может предоставлять пользователям или службам ограниченный по времени и области доступ к репозиториям, чтобы получать или отправлять образы или выполнять другие действия. Токен предоставляет более детализированные разрешения, чем другие варианты проверки подлинности в реестре, в которых областью действия разрешений является весь реестр.
Ниже приведены сценарии создания токена.
Эта возможность доступна на уровне Премиум службы реестра контейнеров. Ознакомиться с информацией об уровнях служб реестра и ограничениях можно в статье Уровни служб Реестра контейнеров Azure.
Сейчас эта функция доступна в предварительной версии, и применяются некоторые ограничения. Предварительные версии предоставляются при условии, что вы принимаете дополнительные условия использования. Некоторые аспекты этой функции могут быть изменены до выхода общедоступной версии.
Ограничения предварительной версии
Основные понятия
Чтобы настроить разрешения на уровне репозитория, создайте токен со связанной картой области.
Токен вместе с созданным паролем позволяет пользователю пройти проверку подлинности в реестре. Вы можете задать дату истечения срока действия пароля токена или отключить токен в любое время.
После проверки подлинности с помощью токена пользователь или служба могут выполнить одно действие или несколько в рамках области, охватывающей один репозиторий или несколько.
| Действие | Описание | Пример |
|---|---|---|
| content/delete | Удаление данных из репозитория | Удаление репозитория или манифеста |
| content/read | Чтение данных из репозитория | Извлечение артефакта |
| content/write | Запись данных в репозиторий | Использование с content/read для отправки артефакта |
| metadata/read | Чтение метаданных из репозитория | Перечисление тегов или манифестов |
| metadata/write | Запись метаданных в репозиторий | Включение или отключение операций чтения, записи или удаления |
Разрешения для репозитория групп карт области, которые применяются к токену или могут повторно применяться к другим токенам. Каждый токен связан с одной картой области.
Карта области предоставляет следующие возможности.
Реестр контейнеров Azure также предоставляет несколько определяемых системой карт области, которые вы можете применить при создании токенов. Разрешения определяемых системой карт области применяются ко всем репозиториям в реестре.
На следующем рисунке показана связь между токенами и картами области.
Предварительные требования
Создание токена — интерфейс командной строки
Создание токена и указание репозиториев
Создайте токен с помощью команды az acr token create. При создании токена можно указать один репозиторий или несколько и связанные действия в каждом из них. Репозитории не обязательно должны находиться в реестре. Сведения о создании токена путем указания имеющейся карты области см. в следующем разделе.
В выходных данных указаны сведения о токене. По умолчанию будут созданы два пароля, срок действия которых не истекает. Однако вы можете по желанию установить срок действия пароля. Рекомендуется сохранить эти пароли в надежном месте для последующего использования при проверке подлинности. Повторно получить эти пароли невозможно, но можно создать новые.
Дополнительные сведения о повторном создании паролей токенов и сроках действия см. в разделе Повторное создание паролей токенов далее в этой статье.
Создание токена и указание карты области
Альтернативный способ создания токена заключается в указании существующей карты области. Если у вас еще нет карты области, сначала создайте ее, указав репозитории и связанные действия. Затем укажите эту карту области при создании токена.
В выходных данных указаны сведения о токене. По умолчанию создаются два пароля. Рекомендуется сохранить эти пароли в надежном месте для последующего использования при проверке подлинности. Повторно получить эти пароли невозможно, но можно создать новые.
Дополнительные сведения о повторном создании паролей токенов и сроках действия см. в разделе Повторное создание паролей токенов далее в этой статье.
Создание токена — портал
Для создания токенов и карт областей можно использовать портал Azure. Как и в случае с командой az acr token create интерфейса командной строки, можно применить существующую карту области или создать карту области при создании токена, указав один репозиторий или несколько и связанные действия. Репозитории не обязательно должны находиться в реестре.
На портале перейдите к нужному реестру контейнеров.
В разделе Разрешения репозитория выберите Токены (предварительная версия) > +Добавить.
Введите имя токена.
В разделе Карта области выберите Создать.
Настройте карту области.
Введите имя и описание для карты области.
После добавления репозиториев и разрешений выберите Добавить, чтобы добавить карту области.
Примите Состояние токена по умолчанию Включено, а затем выберите Создать.
После проверки и создания токена сведения о нем отображаются на экране Токены.
Добавление пароля токена
Чтобы использовать токен, созданный на портале, необходимо создать пароль. Можно создать один или два пароля и задать дату окончания срока действия для каждого из них.
На портале перейдите к нужному реестру контейнеров.
В разделе Разрешения репозитория выберите Токены (предварительная версия) и нужный токен.
В сведениях о токене выберите password1 или password2 и щелкните значок «Создать».
На экране пароля при необходимости задайте дату окончания срока действия пароля и выберите Создать. Мы рекомендуем задать дату окончания срока действия.
После создания пароля скопируйте и сохраните его в надежном месте. После закрытия экрана вы не сможете повторно получить созданный пароль, но сможете создать новый.
Проверка подлинности с помощью токена
Когда пользователь или служба используют токен для проверки подлинности в целевом реестре, они предоставляют имя пользователя и один из созданных паролей.
Метод проверки подлинности зависит от настроенных действий, связанных с токеном.
| Действие | Процедура проверки подлинности |
|---|---|
| content/delete | az acr repository delete в Azure CLI az acr login в Azure CLI az acr login в Azure CLI |
| metadata/read | az acr repository show az acr repository show-tags az acr repository show-manifests в Azure CLI |
| metadata/write | az acr repository untag az acr repository update в Azure CLI |
Примеры: использование токена
Извлечение тестовых образов и пометка их тегами
В следующих примерах вам нужно извлечь общедоступные образы hello-world и nginx из Microsoft Container Registry и пометить их тегами для реестра и репозитория.
Проверка подлинности с помощью токена
Следующий пример приведен в формате для оболочки Bash и предоставляет значения с помощью переменных среды.
Выходные данные должны указывать на успешную проверку подлинности.
Отправка образов в реестр
Обновление разрешений токена
Чтобы изменить разрешения токена, обновите разрешения в соответствующей карте области. Обновленная карта области применяется сразу для всех связанных токенов.
Чтобы использовать Azure CLI, выполните команду az acr scope-map update для обновления карты области.
На портале Azure выполните следующие действия.
После обновления карты области следующая операция отправки выполняется успешно.
Извлечение образов из обоих репозиториев выполняется успешно, так как карта области предоставляет разрешения content/read для обоих репозиториев.
Удаление изображений
Для краткости мы приводим только команду az acr scope-map update для обновления карты области.
Сведения об обновлении карты области с помощью портала см. в предыдущем разделе.
Отображение тегов репозитория
Для краткости мы приводим только команду az acr scope-map update для обновления карты области.
Сведения об обновлении карты области с помощью портала см. в предыдущем разделе.
Чтобы считать метаданные, передайте имя и пароль токена в любую из команд. В следующем примере используются переменные среды, созданные ранее в этой статье.
Управление токенами и картами области
Список карт области
Для перечисления всех карт области, настроенных в реестре, воспользуйтесь командой az acr scope-map list или экраном Карты области (предварительная версия) на портале. Пример:
Выходные данные состоят из трех определяемых системой карт областей и других карт области, созданных вами. Вы можете настроить токены с помощью любой из этих карт области.
Отображение сведений о токене
Чтобы просмотреть сведения о токене, такие как его состояние и даты истечения срока действия пароля, выполните команду az acr token show или выберите токен на экране Токены (предварительная версия) портала. Пример:
Для перечисления всех токенов, настроенных в реестре, воспользуйтесь командой az acr token list или экраном Токены (предварительная версия) на портале. Пример:
Повторное создание паролей токенов
Если вы не создавали пароль для токена или хотите создать новые пароли, выполните команду az acr token credential generate.
Чтобы использовать портал Azure для создания пароля токена, см. действия, описанные в разделе Создание токена — портал выше.
Обновление токена с использованием новой карты области
Если вы хотите обновить токен с использованием другой карты области, выполните команду az acr token update и укажите новую карту области. Пример:
На экране Токены (предварительная версия) портала выберите токен и в разделе Карта области выберите другую карту области.
После обновления токена с использованием новой карты области может потребоваться создать новые пароли токена. Используйте команду az acr token credential generate или повторно создайте пароль токена на портале Azure.
Отключение или удаление токена
Вам может потребоваться временно отключить использование учетных данных токена для пользователя или службы.
На экране Токены (предварительная версия) портала выберите токен и выберите значение Отключено в поле Состояние.
Чтобы удалить токен и окончательно сделать невозможным доступ для всех пользователей, использующих его учетные данные, выполните команду az acr token delete.
На экране Токены (предварительная версия) портала выберите токен и затем Отменить.