Можно ли записать сертификат без закрытого ключа?

Нет. На токене должен быть контейнер с закрытым ключом, под который выписан сертификат.

Как перенести ключ на другой токен?

Через «КриптоПро CSP» — экспорт/импорт контейнера (если политика УЦ разрешает) или заново сгенерировать ключ и перевыпустить сертификат.

Почему сертификат «не подходит этому ключу»?

Сертификат выпущен под другой контейнер/алгоритм или был изменён. Создайте новый CSR на нужном токене и перевыпустите.

Сертификат не устанавливается на Рутокен — как записать, создать запрос (CSR) и перенести (2025)

Ошибка «сертификат не установлен» — типовая история, если контейнер не готов или сертификат не подходит. Ниже — как всё сделать правильно, с нуля до рабочей подписи.

1) Подготовка: токен и CSP

Установлены драйверы Рутокен и «КриптоПро CSP».
Токен виден: certutil -scinfo показывает смарт‑карту.
Есть доступ к УЦ или корпоративному порталу для выпуска сертификата.

Нужна помощь? Подключусь удалённо, сделаю всё за Вас: поставлю драйверы, настрою КриптоПро и сертификаты, проверю подпись в браузере.

2) Генерируем ключ на токене

Откройте «КриптоПро CSP» → «Сервис» → «Создать контейнер». В качестве носителя выберите Ваш Рутокен. Запомните имя контейнера — он понадобится для записи сертификата.

Командная строка (Администратор) — пример проверки контейнеров:

certutil -scinfo
# или через утилиту КриптоПро (варианты зависят от версии)
# csptest -keyset -enum_cont -fqcn -silent

3) Создаём запрос на сертификат (CSR)

В мастере укажите ФИО/ИНН/ОГРН/организацию (если требуется), выберите алгоритм ГОСТ по требованиям УЦ и контейнер на токене. Сохраните файл запроса .REQ/.P10 и передайте его в УЦ для выпуска сертификата.

4) Устанавливаем выданный сертификат в контейнер

После выпуска получите файл сертификата .CER. Установите через «КриптоПро CSP → Установить сертификат в контейнер», укажите тот же контейнер, где лежит ключ.

Командная строка (Администратор) — проверка хранилища и ключа:

certmgr.msc
# В карточке сертификата должен быть значок ключа «У Вас есть закрытый ключ, соответствующий этому сертификату»

5) Цепочка доверия и ГОСТ TLS (по требованию сервиса)

Импортируйте корневые/промежуточные УЦ, если цепочки нет. Для сайтов с ГОСТ‑TLS дополнительно ставятся доверенные ГОСТ‑УЦ.

Командная строка (Администратор) — выполнять по одной:

certutil -addstore root C:\certs\gost-root.cer
certutil -addstore CA   C:\certs\gost-intermediate.cer

6) Перенос на другой токен/резервная копия

Если политика УЦ разрешает экспорт закрытого ключа, используйте «КриптоПро CSP → Экспорт контейнера» и импортируйте на второй токен. Если экспорт запрещён — создайте новый контейнер на втором токене и перевыпустите сертификат.

7) Частые ошибки и решения

«Сертификат не соответствует ключевому контейнеру» — выпущен под другой контейнер. Создайте новый CSR на нужном токене.
«Ключевой носитель не найден» — проверьте драйверы и службу смарт‑карт, подключите токен напрямую к USB 2.0.
«Истёк срок действия» — перевыпустите сертификат и установите новый в контейнер.

Сертификат не устанавливается на Рутокен — как записать, создать запрос (CSR) и перенести (2025)

1) Подготовка: токен и CSP

2) Генерируем ключ на токене

3) Создаём запрос на сертификат (CSR)

4) Устанавливаем выданный сертификат в контейнер

5) Цепочка доверия и ГОСТ TLS (по требованию сервиса)

6) Перенос на другой токен/резервная копия

7) Частые ошибки и решения

Читайте также:

Позвонить

Оставить заявку

Оставить отзыв

Пройти опрос и получить скидку