Перенос ключевого контейнера и сертификата на другой токен: как сделать правильно (2025)
Большинство сертифицированных токенов не позволяют экспорт закрытого ключа. Это нормально и безопасно. Перенос обычно делают через выпуск новой пары ключей и перевыпуск сертификата. Ниже — как подготовиться и не потерять доступ.
План миграции
- Проверить, экспортируем ли ключ на старом токене.
- Подготовить новый токен и установить драйверы.
- Создать новый контейнер и запросить новый сертификат.
- Параллельно держать старый токен активным до полного перехода.
- Обновить сертификат на всех сервисах, где он привязан.
1) Проверяем экспортность и срок действия
Откройте утилиту производителя или «КриптоПро CSP → Сервис». Посмотрите, не истекает ли срок и позволяет ли политика ключа экспорт. В большинстве случаев экспорт закрытого ключа запрещён — это соответствует требованиям безопасности.
2) Готовим новый токен
- Установите драйверы производителя.
- Инициализируйте устройство, задайте PIN и сохраните PUK отдельно.
- Подключите токен к USB-порту материнской платы, избегайте хабов.
3) Генерируем ключ и формируем CSR
Создайте новый контейнер на токене и сформируйте запрос на сертификат (CSR) по требованиям Вашего УЦ.
Командная строка (Администратор) — выполнять по одной:
certmgr.msc
certutil -scinfoКонкретные шаги создания CSR зависят от УЦ. Обычно это делается через мастер в КриптоПро или на портале УЦ.
4) Устанавливаем сертификат в контейнер
После выпуска сертификата установите его в контейнер токена. Проверьте соответствие «ключ ↔ сертификат», цепочку УЦ и цели использования.
Командная строка (Администратор) — выполнять по одной:
certutil -addstore -enterprise -f My C:\certs\issued.cer
certutil -store -enterprise My5) Обновляем привязки на сервисах
- Замените сертификат в личном кабинете нужных сервисов.
- Проверьте подпись в браузере, если сервис работает через веб.
- Оставьте старый токен активным на период перехода и только после проверок сдайте его в архив.