SafeNet eToken: переход с ГОСТ 2001 на 2012, создание контейнера и выпуск CSR (2025)

Многие УЦ уже не выпускают новые сертификаты на ГОСТ 2001. Покажу, как подготовить ПК, создать контейнер ГОСТ 2012 на eToken, сделать запрос (CSR) и оформить новый сертификат.

Коротко: что проверить заранее

  • Установлены CryptoPro CSP 5.x+ и SafeNet Authentication Client последней версии.
  • Ваш eToken поддерживает ГОСТ 2012 (модель/прошивка). Если старый — может потребоваться замена.
  • Уточните у УЦ, какой профиль нужен: 2012‑256 или 2012‑512, и какие OID указывать.
Нужна помощь? Создам контейнер ГОСТ 2012, сгенерирую CSR на eToken, помогу выпустить и установить новый сертификат без потери доступа.

1) Совместимость софтов и токена

Проверьте версию CSP (не ниже 5) и SAC. В SAC должен отображаться ваш токен, а CryptoPro CSP — видеть KSP провайдера для ГОСТ 2012.

CMD — выполнять по одной:

csptest -keyset -enum_providers
certutil -csplist

2) Создаём контейнер на eToken (ГОСТ 2012‑256/512)

  1. Откройте «КриптоПро CSP» → «Сервис» → «Создать контейнер ключей» → выберите ГОСТ 2012‑256 или 2012‑512.
  2. В качестве носителя укажите SafeNet eToken. Задайте метку контейнера (удобное имя) и введите PIN.
  3. Дождитесь завершения генерации и убедитесь, что контейнер появился в списке.

3) Генерируем запрос на сертификат (CSR)

В КриптоПро CSP откройте «Запрос на сертификат» → укажите ФИО/ОГРН/ИНН/почту по требованиям УЦ → выберите созданный контейнер → экспортируйте CSR в файл.

PowerShell — целиком как блок: проверить наличие контейнера

# Показать контейнеры CryptoPro в пользовательском профиле
& 'C:\Program Files\Crypto Pro\CSP\csptest.exe' -keyset -enum_cont -verifycontext

4) Отправка в УЦ и установка сертификата

  1. Передайте CSR в свой УЦ. После выпуска получите файл сертификата (CER/P7B).
  2. Установите сертификат в контейнер: «Сервис» → «Установить сертификат для контейнера» → выберите полученный файл.
  3. Проверьте, что сертификат появился в «Личном» хранилище пользователя и корректно связан с ключом.

CMD — выполнять по одной:

certmgr.msc
certutil -store -user My

5) Что делать со старым ГОСТ 2001

  • Оставьте его до окончания сроков по старым системам, если ещё требуется.
  • После полного перехода удалите старый контейнер на токене через SAC/КриптоПро, чтобы избежать путаницы.

6) Частые проблемы

  • «Носитель не поддерживает алгоритм» — устаревший eToken. Нужна замена на модель с поддержкой ГОСТ 2012.
  • «Ошибка установки сертификата в контейнер» — формат не тот (нужен CER/P7B), нет цепочки УЦ в Windows.
  • Система видит два сертификата — старый и новый. Отключите старый в нужных приложениях или удалите после перехода.

FAQ

Можно ли «повысить» старый контейнер 2001 до 2012?

Нет. Нужна генерация нового контейнера и новый сертификат.

Какой выбрать — 2012‑256 или 2012‑512?

Смотрите требования вашей ИС/УЦ. 256 — быстрее и достаточно безопасен, 512 — максимальная совместимость в ряде ведомственных ИС.

Работает ли это с eToken от Thales/Aladdin?

Да, если модель и прошивка поддерживают ГОСТ 2012 и установлен актуальный SafeNet Authentication Client.

Читайте также: