Скопировать сертификат

2026-04-13

Неэкспортируемые сертификаты стали серьезной проблемой для бизнеса, хоть их и научились копировать, но сделать это могут далеко не все. Общедоступная инструкция, которая работает уже больше 10 лет, описана в подробностях ранее на сайте - Скопировать неэкспортируемый контейнер. Я уже давно не пользуюсь старым способом - очень не удобно.

Новый способ копирования эцп через программу TokenTool гораздо удобнее. К сожалению скопировать контейнер и сертификат с Рутокена 3 так и не удастся.
На данный момент есть возможность копирования с таких носителей: Rutoken Lite, Rutoken ECP, Rutoken S, JaCarta, JaCarta LT nano, Etoken Java Pro, ESMART Token 192K, ESMART Token GOST, "MS_KEY K" - АНГАРА исп. 5.1.1, 8.1.1 и 8.2.1

Программа для копирования

Программы для копирования сертификатов разработали в Axiom Software(ссылка на ВК), для копирования потребуются такие программы - ContainerTool и TokenTool, эти программы совершенно бесплатны и свободно распространяются. Но для функционирования нужно также установленный пакет OpenSSL с криптобиблиотекой ГОСТ(об этом поговорим далее).

Набор программ(ContainerTool и TokenTool), с инструкциями к ним, можно скачать непосредственно со страницы ВК.
А также с этого сайта.

Скачать Axiom

Программы не требуют установки, но чтобы работать с сертификатами ГОСТ, нужно установить OpenSSL и дополнительно библиотеку ГОСТ. По инструкции от Axiom Software, для установки OpenSSL нужно скачать установочный пакет, произвести установку, затем скопировать библиотеки, прописать конфигурацию ГОСТ и наконец добавить системную переменную.

Первая страница OpenSSL Вторая страница OpenSSL Третья страница OpenSSL Четвертая страница OpenSSL

Скажу честно - неподготовленному пользователю - сделать это будет сложно. Поэтому я написал скрипт, который самостоятельно устанавливает пакет OpenSSL вместе с ГОСТ-провайдером, не требуя никаких действий, просто запустить и готово.

Скачать OpenSSL

Вы можете установить все вручную(согласно инструкции внутри архива), а можете просто запустить файл install.bat.
В результате вы получите установленную и настроенную OpenSSL. Чтобы проверить все ли установилось - можно запустить командную строку и написать такую команду openssl engine.
В результате выполнения команды должны получить такой ответ:

Установленный OpenSSL и ГОСТ

Копирование контейнера и сертификата

Запускаем TokenTool.
Если OpenSSL установлен правильно, то в окне программы отобразятся сертификаты записанные на вставленный в компьютер токен.

Копировать контейнер с токена TokenTool

Вся работа с этой программой заключается в том, что нужно выделить сертификат и просто его скопировать.

Флаг экспортируемости на токене TokenTool

Также можно модифицировать флаг экспортируемости, после этого контейнер можно будет скопировать даже через Крипто-Про

Перенос сертификата на компьютер TokenTool

При нажатии кнопки "Экспортировать" программа попросит вас указать директорию, куда скопировать сертификат и указать пароль к контейнеру.

Вот так быстро и в одном месте скопировать неэкспортируемый сертификат с токена. Если у вас будут проблемы с установкой - пишите в комментарии.