Перенос электронной подписи: экспорт сертификата и ключа

Иван Корнев·15.05.2026·5 мин

Чтобы скопировать ЭЦП на другой компьютер, необходимо перенести два компонента: открытый сертификат (файл .cer) и закрытый ключ (контейнер). Способ зависит от того, где хранится ключ: на защищенном носителе (токене RuToken/JaCarta) или в реестре/папке старого ПК. Для токенов достаточно установить драйверы и ПО на новом месте; для реестровых ключей требуется процедура экспорта через КриптоПро CSP с обязательной установкой пароля на контейнер.

Закрытый ключ — это главный секрет вашей подписи. Никогда не передавайте файлы ключей по незащищенным каналам связи (email, мессенджеры) без архивации с надежным паролем.

Определение типа носителя ключа

Перед началом переноса выясните, где физически находится ваш закрытый ключ. От этого зависит алгоритм действий.

  1. Аппаратный токен (RuToken, JaCarta, SafeNet). Выглядит как USB-флешка. Ключи генерируются внутри и не могут быть скопированы на жесткий диск в обычном виде. Это самый безопасный вариант.
  2. Реестр Windows или локальная папка. Ключи хранятся в памяти компьютера. Часто используется при выпуске УНЭП (усиленной неквалифицированной подписи) или старых квалифицированных подписей.
  3. Облачный сервис. Ключи находятся на сервере удостоверяющего центра (УЦ). В этом случае копирование не требуется — достаточно войти в личный кабинет с нового устройства.

Для проверки откройте КриптоПро CSP → вкладка Сервис → кнопка Просмотреть сертификаты в контейнере. Нажмите «Обзор». Если в списке есть считыватели вида Aktiv Co. Rutoken... или Aladdin R.D. JaCarta, у вас токен. Если HDIMAGE или REGISTRY — ключи на компьютере.

Способ 1: Перенос с токена (RuToken, JaCarta)

Самый простой сценарий. Закрытый ключ невозможно «вытащить» с токена, поэтому вы переносите только среду для работы с ним.

  1. Подготовка нового ПК:

    • Установите актуальную версию КриптоПро CSP (лицензия должна быть активной).
    • Установите драйверы для вашего токена (обычно ставятся вместе с КриптоПро или скачиваются с сайта производителя токена).
    • Установите корневые сертификаты УЦ (если они не встроены в систему).

  2. Перенос открытого сертификата:

    • Вставьте токен в новый компьютер.
    • Откройте КриптоПро CSP → СервисПросмотреть сертификаты в контейнере.
    • Выберите контейнер на токене → ДалееГотово.
    • Нажмите кнопку Установить. Система предложит поместить сертификат в хранилище «Личное». Согласитесь.

  3. Проверка:

    • Зайдите на портал Госуслуг или в налоговый кабинет.
    • При запросе подписи выберите нужный сертификат. Если он отображается и система видит токен — перенос успешен.

Если сайт не видит токен, проверьте настройки браузера. Для Chrome и Яндекс.Браузера может потребоваться расширение «КриптоПро ЭЦП Browser plug-in» и разрешение на работу с плагинами.

Способ 2: Экспорт из реестра или папки (КриптоПро CSP)

Если ключи хранятся на старом компьютере в реестре или на флешке в виде папки, их нужно экспортировать в зашифрованный контейнер.

Шаг 1: Экспорт на старом компьютере

  1. Вставьте пустую флешку или создайте папку для экспорта.
  2. Откройте КриптоПро CSP → вкладка Сервис.
  3. Нажмите кнопку Скопировать контейнер.
  4. Нажмите «Обзор» и выберите исходный контейнер (тот, который нужно перенести). Введите пароль доступа к нему, если он был установлен.
  5. Введите имя для нового контейнера (можно такое же).
  6. В окне выбора носителя укажите путь к флешке или папке.
  7. Важно: Система потребует задать новый пароль для копируемого контейнера. Придумайте сложный пароль (минимум 8 символов, буквы и цифры). Без пароля экспорт невозможен.
  8. Дождитесь окончания копирования.

Вы получите папку с именем контейнера, внутри которой будут файлы .key. Это и есть ваш закрытый ключ, зашифрованный паролем.

Шаг 2: Установка на новом компьютере

  1. Скопируйте папку с ключами на новый ПК (на жесткий диск или обратно на токен, если хотите повысить безопасность).
  2. Откройте КриптоПро CSPСервисУстановить личный сертификат.
  3. Нажмите «Обзор» и укажите путь к файлу .cer (если он у вас есть отдельно) или выберите контейнер через кнопку «Выбрать контейнер» → «Обзор», указав папку с ключами.
  4. Если файл .cer не найден автоматически, КриптоПро предложит извлечь его из контейнера. Согласитесь.
  5. Проверьте, что сертификат устанавливается в хранилище Личное.
  6. Нажмите «Готово». Система запросит пароль, который вы задавали при экспорте. Введите его.
  7. Если появится вопрос «Связать ключи с сертификатом?», ответьте Да.

Частые ошибки при переносе ЭЦП

ОшибкаПричинаРешение
«Недействительная подпись»Истек срок действия сертификата или изменены данные владельца (например, ИНН/ФИО).Проверьте срок действия в свойствах сертификата. Если истек — перевыпустите ЭЦП в УЦ.
Ключ не найденСертификат установлен, но связь с закрытым ключом потеряна.В КриптоПро CSP нажмите «Сервис» → «Протестировать» на выбранном контейнере. Если ошибка — переустановите сертификат с галочкой «Связать ключи».
Браузер не видит ЭЦПНе установлен плагин CryptoPro CAdES Browser Plug-in или не настроен доступ.Установите плагин, перезагрузите браузер. В настройках браузера разрешите запуск расширений.
Ошибка «Контейнер поврежден»Файлы ключей были скопированы неверно (не все файлы) или поврежден носитель.Повторите экспорт, убедившись, что скопирована вся папка целиком. Не открывайте файлы .key для редактирования.

FAQ

Можно ли скопировать ЭЦП с токена на флешку? Нет, если токен сертифицирован ФСБ России (маркировка «СКЗИ»). Закрытый ключ генерируется внутри чипа и никогда не покидает его в открытом виде. Копирование возможно только для обычных USB-накопителей, если ключи были записаны туда как в обычную папку (незащищенный носитель), но такая подпись может не подходить для отчетности в ФНС.

Что делать, если забыл пароль от контейнера? Восстановить пароль невозможно. Криптографическая защита не предусматривает бэкдоров. Вам придется обратиться в удостоверяющий центр для перевыпуска сертификата.

Нужна ли лицензия КриптоПро на новом компьютере? Да, для полноценной работы с квалифицированной подписью (КЭП) на каждом рабочем месте должна быть действующая лицензия КриптоПро CSP. Без нее подпись может не формироваться или не проверяться корректно.

Безопасно ли хранить ключи в облаке (Яндекс.Диск, Google Drive)? Крайне не рекомендуется. Даже если контейнер запаролен, хранение закрытых ключей в общедоступных облачных сервисах нарушает требования безопасности многих операторов ЭДО и госпорталов. Используйте зашифрованные архивы с паролем, отправляемые через защищенные каналы, или физические носители.