Всегда ли можно экспортировать закрытый ключ?

Нет. Если ключ создан на токене/смарт‑карте с запретом экспорта — его нельзя извлечь. Можно переносить только сертификат без закрытого ключа или заново выпускать ключевой контейнер.

Чем PFX отличается от CER?

PFX/PKCS#12 содержит сертификат и закрытый ключ (защищён паролем). CER — только сертификат без ключа, для подписи/шифрования недостаточно.

Это безопасно?

Да, если PFX защищён сложным паролем и хранится в безопасном месте. После переноса удалите файл или держите в зашифрованном хранилище.

Экспорт электронной подписи: создаём PFX/PKCS#12 и переносим в Windows/Edge/Outlook (2025)

Иногда нужно перенести электронную подпись на другой ПК: в браузер, Outlook или на время ремонта. Если закрытый ключ экспортируемый — делаем защищённый PFX/PKCS#12 и аккуратно импортируем. Если ключ на токене с запретом экспорта — пути другие.

Когда экспорт возможен, а когда нет

На ПК (софт‑контейнер) — часто ключ экспортируемый. Проверяем в certmgr.msc или мастере экспорта.
На токене (Рутокен/eToken) — обычно запрет экспорта аппаратно. Тогда PFX сделать нельзя: перенос через выпуск нового контейнера или перенос на другой токен средствами токена.
ГОСТ/не ГОСТ — суть та же: смотрим политику контейнера.

Экспорт PFX через мастер сертификатов

Откройте Win+R → certmgr.msc → «Личное → Сертификаты». Двойной клик по нужному сертификату.
В «Сведения о закрытом ключе» убедитесь, что ключ присутствует и разрешён к экспорту.
Запустите «Экспорт…», выберите «Да, экспортировать закрытый ключ», формат PKCS #12 (.PFX), поставьте сильный пароль (длинный, с символами).
Сохраните .pfx на флешку/в защищённую папку.

Командная строка (Администратор) — выполнять по одной:

REM Экспорт по отпечатку (Thumbprint) в PFX
REM Замените THUMB на отпечаток из certmgr.msc (без пробелов)
certutil -f -p "СИЛЬНЫЙ_ПАРОЛЬ" -exportPFX my THUMB "%USERPROFILE%\Desktop\export.pfx"

REM Просмотр хранилища «Личные»
certutil -store my

Если ключ помечен как неэкспортируемый — команда выдаст ошибку. Обойти это штатными средствами нельзя и не нужно — так задумано ради безопасности.

Импорт PFX в Windows и браузеры

Дважды кликните по .pfx, введите пароль. Выберите хранилище «Личное». Опцию «Пометить закрытый ключ как экспортируемый» включайте только если понимаете риски.
Для Edge/Chrome: chrome://settings/certificates → вкладка «Личные» — должен появиться Ваш сертификат.
В Outlook: Файл → Параметры → Центр управления безопасностью → Параметры → «Безопасность электронной почты» — выберите сертификат для подписи и шифрования.

КриптоПро CSP: где искать контейнеры и что с профилями

В КриптоПро «Средство управления сертификатами» можно экспортировать сертификат и посмотреть, где хранится закрытый ключ (контейнер). Если контейнер на токене и «неэкспортируемый» — перенос только как сертификат (без подписи) или пере выпуск на новом устройстве.

Безопасное хранение и удаление PFX

Не оставляйте .pfx на рабочем столе. Держите в шифрованном архиве/облаке с 2FA.
После импорта удалите файл или уберите на офлайн‑носитель.
Пароль — длинный, уникальный. Не используйте «1234»/«qwerty».

Ошибки и как их решить

«Ключ не найден» — сертификат без приватного ключа. Убедитесь, что экспортируете из хранилища, где ключ есть.
«Неверный пароль PFX» — проверьте раскладку, включён ли Caps Lock. Пароль чувствителен к регистру.
«Нельзя экспортировать» — ключ помечен как неэкспортируемый. Решение: перевыпуск или перенос контейнера на другой токен по инструкции производителя.

FAQ

Можно ли разделить PFX на сертификат и ключ

Да, через мастер импорта/экспорта: достаньте CER (публичную часть) отдельно для распространения.

Подходит ли PFX для IIS

Да. В диспетчере IIS импортируйте PFX в «Certificates (Server)», затем привяжите к сайту.

Нужна подпись в браузере

В Edge/Chrome достаточно, чтобы сертификат с закрытым ключом был в «Личных» Windows. Для российских ГОСТ‑подписей нередко требуется КриптоПро и плагин/расширение ведомства.