Как выгрузить и установить сертификат электронной подписи

Иван Корнев·15.05.2026·5 мин

Чтобы сохранить сертификат ЭЦП на компьютер, необходимо экспортировать его из контейнера закрытого ключа в файл формата .cer (без закрытого ключа) с помощью программы КриптоПро CSP. Полученный файл затем устанавливается в личное хранилище Windows для работы с государственными порталами и отчетностью.

Разница между сертификатом и контейнером ключа

Перед началом работы важно разграничить понятия, так как от этого зависит алгоритм действий:

  • Сертификат (.cer) — это открытая часть ключа. Он содержит информацию о владельце и срок действия. Его можно свободно передавать, копировать и устанавливать на разные компьютеры.
  • Контейнер закрытого ключа — это защищенная часть, которая непосредственно создает подпись. Он хранится на флешке, в реестре или на токене (Рутокен, JaCarta).

Важно: Для работы электронной подписи на новом компьютере нужны оба компонента: установленный сертификат (.cer) и доступный контейнер закрытого ключа. Если вы скопируете только файл .cer, подписывать документы будет невозможно.

Не все типы носителей позволяют копировать контейнер ключа. Сертифицированные токены (например, некоторые модели Рутокен Lite или JaCarta ГОСТ) часто имеют защиту от клонирования. В таких случаях контейнер остается на носителе, а на компьютер переносится только сертификат для корректного отображения в системе.

Инструкция: как сохранить сертификат в файл .cer

Если сертификат уже выпущен и привязан к контейнеру (на флешке или в реестре), выполните следующие шаги для его извлечения:

  1. Откройте КриптоПро CSP (Пуск → Панель управления → КриптоПро CSP или через поиск в меню Пуск).
  2. Перейдите на вкладку Сервис.
  3. Нажмите кнопку «Просмотреть сертификаты в контейнере».
  4. В открывшемся окне нажмите «Обзор» и выберите нужный контейнер закрытого ключа.
    • Примечание: Имя контейнера обычно совпадает с именем владельца или названием организации.
  5. Нажмите «Далее». Программа считает данные и отобразит свойства сертификата.
  6. Нажмите кнопку «Свойства».
  7. В открывшемся окне перейдите на вкладку «Состав».
  8. Нажмите кнопку «Копировать в файл...» (внизу окна). Запустится мастер экспорта сертификатов.
  9. Нажмите «Далее».
  10. Выберите пункт «Нет, не экспортировать закрытый ключ».
    • ::::warning Экспорт закрытого ключа в файл возможен только если он был помечен как экспортируемый при генерации. В большинстве случаев для квалифицированной подписи (КЭП) эта опция недоступна или запрещена регламентом безопасности. ::::
  11. Выберите формат кодирования. Рекомендуется выбрать «DER-кодированный двоичный X.509 (CER)» — это самый универсальный формат.
  12. Нажмите «Далее», укажите путь для сохранения файла (например, Рабочий стол) и задайте понятное имя файла.
  13. Нажмите «Готово». Появится сообщение об успешном экспорте.

Как установить сертификат на компьютер

После того как файл .cer сохранен, его нужно зарегистрировать в системе, чтобы браузеры и программы видели вашу подпись.

Способ 1: Через КриптоПро CSP (Рекомендуемый)

Этот способ автоматически связывает сертификат с контейнером ключа, если он доступен системе.

  1. В окне КриптоПро CSP на вкладке Сервис нажмите кнопку «Установить личный сертификат».
  2. В мастере установки нажмите «Далее».
  3. Нажмите «Обзор» и укажите путь к сохраненному файлу .cer.
  4. Программа предложит найти соответствующий контейнер закрытого ключа.
    • Если контейнер на флешке/токене подключен, система найдет его автоматически.
    • Если найдено несколько контейнеров, выберите нужный вручную.
  5. Нажмите «Далее».
  6. Убедитесь, что выбрано хранилище «Личные».
  7. Нажмите «Готово». Подтвердите замену, если система спросит о существующем сертификате.

Способ 2: Двойным кликом (Если ключ уже виден системой)

Если контейнер ключа уже подключен и определен КриптоПро, можно установить сертификат простым способом:

  1. Дважды кликните по файлу .cer.
  2. В открывшемся окне нажмите «Установить сертификат».
  3. Выберите место хранения: «Текущий пользователь».
  4. Выберите вариант «Поместить все сертификаты в следующее хранилище».
  5. Нажмите «Обзор» и выберите «Личные».
  6. Нажмите «ОК», затем «Далее» и «Готово».

После установки обязательно перезагрузите браузер или программу, в которой вы планируете использовать подпись, чтобы изменения вступили в силу.

Частые ошибки и способы их решения

При работе с сертификатами пользователи часто сталкиваются с типовыми проблемами. Ниже приведены основные из них.

Ошибка / СимптомПричинаРешение
«В контейнере не найдены сертификаты»Сертификат был выдан отдельным файлом, а не записан в контейнер при выпуске.Найдите исходный файл .cer, полученный от УЦ (часто приходит по email или в архиве с инструкциями), и установите его по инструкции выше.
«Не найдены секретные ключи»Несовпадение версий КриптоПро или повреждение контейнера.Убедитесь, что версия КриптоПро CSP соответствует требованиям УЦ (обычно 5.0 R2 или новее). Попробуйте переустановить драйверы токена.
Подпись не формируется, хотя сертификат установленНет связи между сертификатом и закрытым ключом.При установке через «Установить личный сертификат» убедитесь, что вы выбрали правильный контейнер. Проверьте доступность токена/флешки.
Ошибка «Ключ не существует»Контейнер ключа недоступен системе.Проверьте подключение носителя. Если ключ в реестре, запустите КриптоПро от имени администратора.
Невозможно скопировать контейнерНоситель имеет аппаратную защиту от копирования.Это нормальное поведение для сертифицированных токенов. Работайте с ключом напрямую с носителя, копируя только открытый сертификат (.cer).

FAQ

Можно ли отправить файл .cer кому-то другому? Да, файл .cer содержит только открытую часть ключа. Его можно безопасно передавать контрагентам для проверки ваших подписей или отправлять в техподдержку для диагностики.

Нужно ли устанавливать корневые сертификаты УЦ? Да, для полной цепочки доверия необходимо, чтобы в системе были установлены корневые сертификаты удостоверяющего центра, выдавшего вашу подпись, и промежуточные сертификаты Минцифры (если используется квалифицированная подпись). Обычно они устанавливаются автоматически вместе с дистрибутивом КриптоПро или скачиваются с сайта УЦ.

Что делать, если срок действия сертификата истек? Продлить действующий сертификат технически невозможно. Необходимо выпустить новый сертификат в удостоверяющем центре. После получения нового сертификата старый следует удалить из хранилища «Личные», чтобы избежать конфликтов, и установить новый по инструкции выше.

Где хранятся сертификаты в Windows? Сертификаты хранятся в системном хранилище. Чтобы просмотреть их, нажмите Win + R, введите certmgr.msc и перейдите в раздел Личные -> Сертификаты. Однако для работы с ЭЦП всегда предпочтительнее использовать инструменты КриптоПро CSP, так как они обеспечивают правильную привязку к криптопровайдеру.