Где искать сертификаты ЭЦП на компьютере с Windows

Иван Корнев·15.05.2026·5 мин

Сертификаты электронной подписи (ЭЦП) в Windows хранятся в системном хранилище сертификатов, а не в виде обычных файлов в папках «Документы» или «Загрузки». Чтобы найти их, необходимо использовать встроенные оснастки управления: certmgr.msc (для текущего пользователя) или certlm.msc (для локального компьютера). Личные сертификаты чаще всего находятся в разделе «Личное» (Personal).

Типы хранилищ сертификатов

Windows разделяет сертификаты на два основных уровня доступа. Понимание этой разницы критично для поиска ЭЦП:

  1. Хранилище текущего пользователя (Current User). Доступно только под той учетной записью, в которую вы вошли. Именно сюда большинство программ установки ЭЦП помещают личные сертификаты сотрудников и руководителей.
  2. Хранилище локального компьютера (Local Machine). Доступно всем пользователям ПК. Сюда часто устанавливаются сервисные сертификаты, корневые центры сертификации (УЦ), а также личные ЭЦП, если они предназначены для работы служб или общего доступа.

Важно: Если вы не видите сертификат в одном хранилище, обязательно проверьте второе. Частая ситуация: сертификат установлен в «Локальный компьютер», а пользователь ищет его в своем личном профиле.

Как открыть хранилище и найти сертификат

Самый быстрый способ добраться до нужных данных — использование команд выполнения.

Способ 1: Через команду «Выполнить» (Рекомендуемый)

  1. Нажмите комбинацию клавиш Win + R.
  2. Введите одну из команд ниже и нажмите Enter:
КомандаЧто открываетДля чего использовать
certmgr.mscХранилище текущего пользователяПоиск личной ЭЦП, установленной для конкретного сотрудника.
certlm.mscХранилище локального компьютераПоиск системных сертификатов или ЭЦП, установленных «для всех».
  1. В открывшемся окне перейдите в папку Личное (Personal) -> Сертификаты (Certificates).
  2. Ищите сертификат по имени владельца (ФИО) или названию организации.

Способ 2: Через консоль MMC (Для расширенного просмотра)

Если стандартные оснастки не отображают нужные данные или требуется одновременный просмотр обоих хранилищ:

  1. Нажмите Win + R, введите mmc и нажмите Enter.
  2. В меню выберите Файл -> Добавить или удалить оснастку.
  3. В списке слева найдите Сертификаты и нажмите кнопку Добавить.
  4. Выберите нужный контекст: Учетная запись пользователя или Учетная запись компьютера. Нажмите Готово, затем ОК.
  5. Теперь вы можете просматривать выбранное хранилище в дереве консоли.

Обращайте внимание на столбец «Предназначение» или «Издатель». Личный сертификат ЭЦП обычно имеет издателя, совпадающего с названием Удостоверяющего Центра (например, «Тестовый УЦ», «Контур», «Такском» и т.д.), и срок действия, который еще не истек.

Физическое расположение файлов (Реестр и кэш)

Хотя управление происходит через графический интерфейс, физически метаданные сертификатов хранятся в реестре Windows и системных папках профиля. Знание этих путей полезно для резервного копирования профиля или диагностики, но ручное редактирование этих файлов не рекомендуется.

  • Для текущего пользователя:
    • Реестр: HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\My\Certificates
    • Файловая система: %APPDATA%\Microsoft\SystemCertificates\My\Certificates
  • Для локального компьютера:
    • Реестр: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\My\Certificates

Сертификаты здесь хранятся в бинарном виде. Извлекать их напрямую из реестра неудобно и небезопасно. Для экспорта всегда используйте функцию «Экспорт» в интерфейсе certmgr.msc.

Где хранится закрытый ключ?

Это самый частый источник путаницы. Сертификат (открытый ключ) и Закрытый ключ — это разные сущности.

  • Сертификат лежит в хранилище Windows (как описано выше).
  • Закрытый ключ хранится отдельно и привязан к сертификату по уникальному отпечатку.

Место хранения закрытого ключа зависит от типа носителя:

  1. Реестр (soft-ключ): Если ключ был скопирован на компьютер или сгенерирован программно, он находится в защищенной области реестра или в скрытых папках профиля (%APPDATA%\Crypto-Pro\... для КриптоПро CSP).
  2. Внешний носитель (токен/флешка): Если ЭЦП выпущена на Рутокен, JaCarta или обычной флешке, закрытый ключ физически находится на устройстве. В хранилище Windows виден только сертификат, который «ссылается» на токен. Без подключенного токена подпись работать не будет, даже если сертификат виден в системе.

Не удаляйте файлы вручную! Попытка очистить папки %APPDATA% или ветки реестра без использования специальных утилит может привести к повреждению криптопровайдера и невозможности подписания документов. Для удаления используйте панель управления КриптоПро или функцию «Удалить» в оснастке сертификатов.

Что делать, если сертификат не найден

Если в разделах «Личное» обоих хранилищ пусто, проверьте следующие варианты:

  1. Сертификат в другом хранилище. Иногда их ошибочно устанавливают в «Доверенные корневые центры» или «Другие пользователи». Проверьте все папки в левой колонке certmgr.msc.
  2. Не установлен криптопровайдер. Для работы с российскими ЭЦП (ГОСТ) необходимо наличие КриптоПро CSP или аналогичного ПО. Без него система может некорректно отображать ГОСТ-сертификаты.
  3. Токен не подключен. Если ключ на носителе, вставьте его в USB-порт. Некоторые программы показывают сертификаты на токене только при его физическом наличии.
  4. Фильтр отображения. В окне сертификатов убедитесь, что не включен фильтр, скрывающий недействительные или истекшие сертификаты, если вы ищете архивную ЭЦП.

Частые ошибки при поиске ЭЦП

  • Поиск через Проводник. Пользователи ищут файлы с расширением .cer или .pfx на диске C:. Это работает только для архивных копий. Рабочая ЭЦП живет в системном хранилище.
  • Путаница между пользователем и компьютером. Администратор установил сертификат в «Локальный компьютер», а бухгалтер ищет его в certmgr.msc (пользовательское хранилище). Решение: запустить certlm.msc.
  • Отсутствие связи с ключом. Сертификат виден, но при попытке подписи возникает ошибка «Ключ не найден». Это значит, что закрытый ключ отсутствует в реестре или токен отключен. Наличие сертификата не гарантирует наличие рабочего ключа.

FAQ

Как понять, что сертификат установлен правильно? Откройте certmgr.msc -> «Личное» -> «Сертификаты». Дважды кликните по сертификату. На вкладке «Общие» должно быть написано: «У этого сертификата имеется соответствующий закрытый ключ». Также значок сертификата должен иметь изображение маленького ключика.

Можно ли скопировать хранилище на другой компьютер? Просто копировать папки реестра нельзя. Необходимо выполнить экспорт сертификата вместе с закрытым ключом в файл .pfx (через мастер экспорта в certmgr.msc) и затем импортировать его на новом компьютере.

Почему сертификат виден, но подпись не работает? Чаще всего проблема в том, что истек срок действия сертификата, отозван центр сертификации, либо отсутствует доступ к закрытому ключу (сломан драйвер токена, изменен PIN-код).