Как скопировать сертификат с рутокена на компьютер, из криптопро на флешку — Контур.Экстерн
Если для работы используется дискета или flash-накопитель, скопировать контейнер с сертификатом можно средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и, если есть, файл сертификата — открытый ключ) поместите в корень дискеты / flash-накопителя (если поместить не в корень, то работа с сертификатом будет невозможна). Название папки при копировании рекомендуется не изменять.
В папке с закрытым ключом должно быть 6 файлов с расширением.key. Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копировать открытый ключ необязательно. Пример закрытого ключа — папки с шестью файлами и открытого ключа — файла с расширением.cer.
Закрытый ключ | Открытый ключ |
Если у вас MacOS, смотрите инструкцию «Как скопировать контейнер с сертификатом на MacOS».
Отчитайтесь легко и без ошибок. Удобный сервис для подготовки и сдачи отчётов через интернет. Дарим доступ на 14 дней в Экстерн!
Попробовать
1. Зайдите на профиль Диагностики «Копирования» по ссылке.
2. Вставьте носитель, на который необходимо скопировать сертификат.
3. На нужном сертификате нажмите на кнопку «Скопировать».
Если на контейнер был задан пароль — появится сообщение «Введите пароль для устройства с которого будет скопирован сертификат».
Введите пароль и нажмите на кнопку «Далее».
4. Выберите носитель, куда необходимо скопировать сертификат и нажмите «Далее».
5. Задайте имя новому контейнеру и нажмите на кнопку «Далее».
6. Должно появиться сообщение об успешном копировании сертификата.
- Скачайте и запустите утилиту. Дождитесь загрузки всего списка контейнеров/сертификатов и отметьте нужные галочками.
- Выберите меню «Массовые действия» и нажмите на кнопку «Копирование контейнеров».
3. Выберите носитель для хранения копии контейнера и нажмите «ОК». При копировании в реестр можно поставить галочку на пункте «Копировать к ключевой контейнер компьютера», тогда после копирования контейнер будет доступен всем пользователям данного компьютера.
4. После копирования нажмите внизу слева кнопку «Обновить».
Если хотите работать со скопированными контейнерами — необходимо установить сертификаты.
Отчитайтесь легко и без ошибок. Удобный сервис для подготовки и сдачи отчётов через интернет. Дарим доступ на 14 дней в Экстерн!
Попробовать
Выберите «Пуск» > «Панель управления» > «КриптоПро CSP». Перейдите на вкладку «Сервис» и кликните по кнопке «Скопировать».
В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».
Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее». Если вы копируете с рутокена, то появится окно ввода, в котором следует указать pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.
Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните «Готово».
В окне «Вставьте чистый ключевой носитель» выберите носитель, на который будет помещен новый контейнер.
На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать или подобрать. Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».
Не храните пароль/pin-код в местах, к которым имеют доступ посторонние. В случае утери пароля/pin-кода использование контейнера станет невозможным.
Если вы копируете контейнер на смарт-карту ruToken, сообщение будет звучать иначе. В окне ввода укажите pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.
После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать для работы в Экстерне новый ключевой контейнер, установите его через Крипто Про.
При копировании может возникнуть «Ошибка копирования сертификата», если у вас нет лицензии на КриптоПроCSP или контейнер получил признак «неэкспортируемый». Справиться с этим поможет инструкция.
Экспорт сертификата с закрытым ключом
1. Откройте оснастку работы с сертификатами:
— Пуск → Все программы → КриптоПро → Сертификаты
либо
— Internet Explorer → Сервис → Свойства обозревателя → вкладка Содержание → Сертификаты.
2. Откройте сертификат, который нужно скопировать. На вкладке «Состав» нажмите «Копировать в файл».
3. В «Мастере экспорта сертификтов» нажмите «Далее» и выберите пункт «Да, экспортировать закрытый ключ». Нажмите «Далее».
4. На следующем этапе поставьте галочки у пунктов «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства», остальные галочки необходимо убрать. Нажмите «Далее».
5. Обязательно задайте пароль для экспортируемого файла. Данный пароль не рекомендуется сообщать по электронной почте. Нажмите «Далее».6. Укажите имя файла, выберите путь сохранения и нажмите «Далее», затем нажмите «Готово».
7. Экспортируйте открытый ключ сертификата (см. Экспорт открытого ключа).
8. Заархивируйте полученные файлы форматов .pfx и .cer.
Установка сертификата с закрытым ключом
1. Откройте .pfx файл. Сразу запустится «Мастер импорта сертификатов».
2. Укажите хранилище «Текущий пользователь» и нажмите «Далее», затем снова «Далее».
3. Введите пароль, который указывали при экспорте и поставьте галочку на пункте «Пометить этот ключ как экспортируемый…», иначе наче контейнер нельзя будет скопировать в дальнейшем. Нажмите «Далее».
4. Выберите пункт «Поместить все сертификаты в следующее хранилище», нажмите на кнопку «Обзор», выберите «Личное» и нажмите на кнопку «ОК». Нажмите «Далее», а затем «Готово».
5. В окне КриптоПро выберите носитель, на который хотите сохранить контейнер. При необходимости задайте пароль.
6. Для корректной работы сертификата со встроенной лицензией переустановите сертификат в контейнер (см. Как установить личный сертификат в КриптоПро).
Отчитайтесь легко и без ошибок. Удобный сервис для подготовки и сдачи отчётов через интернет. Дарим доступ на 14 дней в Экстерн!
Попробовать
1. Необходимо найти ветку реестра с нужным контейнером. Ветки реестра, в которых может быть контейнер закрытого ключа:
- для 32-битной ОС: HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Users\*идентификатор пользователя*\Keys\*Название контейнера*;
- для 64-битной ОС: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\USERS\*идентификатор пользователя*\Keys\*Название контейнера*.
2. После того, как нашли нужную ветку, нажмите правой кнопкой мыши на ветку с контейнером и выберите «Экспортировать».
3. Введите имя файла и нажмите на кнопку «Сохранить».
4. Скопируйте файл на тот компьютер, где будете работать с электронной подписью обычными средствами Windows.
5. Пройдите диагностику на сайте https://help.kontur.ru .
6. Как диагностика закончится, нажмите на ссылку «Показать результаты».
7. В списке результатов выберите «Информация о Windows». Скопируйте оттуда SID текущего пользователя.
8. Откройте экспортированный файл реестра с помощью «Блокнота».
9. Замените SID пользователя на скопированный ранее.
Если ветка реестра экспортируется из 32-битной ОС в 64-битную ОС, добавьте в путь ветки реестра параметр Wow6432Node как на скриншоте:
10. Сохраните изменения и закройте файл.
11. Снова нажмите на файл правой кнопкой мыши и выберите «Слияние». В появившемся окне нажмите «Да».
Должно появиться сообщение о том, что данные успешно внесены в реестр. Нажмите «ОК».
Если появляется сообщение «Ошибка при доступе к реестру», необходимо еще раз проверить все пути в файле на корректность. Также проверьте, чтобы в пути не было лишних пробелов, знаков.
12. После того, как данные будут внесены в реестр, необходимо вручную установить сертификат (см. Как установить личный сертификат).
Как подружить новое ПО и старое «железо»?
Андрей Шишкин, СТО в ГК X-Com, поделился опытом запуска нового ПО, разработанного подрядчиками по ТЗ компании.
Рано или поздно любая современная компания столкнется с необходимостью обновлять ПО. Для примера, самое частое проявление такой необходимости — обновление «1С». Но есть гораздо более сложные ситуации. Как правило, это обновление ПО для высоконагруженных операционных систем, которые невозможно отключить даже на пару минут.
Но помимо простого обновления ПО, нужно обновлять и «железо» плюс поддерживать работу всех коннекторов к другим системам компании. Рост сложности всего комплекса обновления растет в геометрической прогрессии в зависимости от объема компании и важности обновляемого ПО.
Я, Андрей Шишкин, СТО в группе компаний X-Com, поделюсь нашим опытом запуска нового ПО, разработанного подрядчиками по нашему ТЗ.
Сразу отмечу, что речь идет о программном комплексе, ответственным за работу всех наших интернет-магазинов. А это высокие нагрузки, бешеная динамика ценообразования и обновления остатков, обработка сотен тысяч сообщений в минуту.
Начало
Имеем довольно старую систему, написанную больше 10 лет назад, работающую на кластере в 18 серверов. На момент запуска этой системы разумнее было купить именно кластер серверов, чем несколько мощных машин. В современных реалиях ситуация уже чуть иная.
Серверы функционируют нон-стоп под нагрузкой. Днем идет трафик на магазины, обновление цен и остатков. Приоритет отдается скорости работы сайтов, чтобы клиенты не страдали. Но днем же мы получаем весьма немалую нагрузку от разных ботов и парсеров. Иногда такие парсеры запускаются одновременно, и нашим серверам приходится очень несладко.
Ночью же запускаются фоновые работы по капитальному обновлению данных, резервированию, накатывание обновлений и прочие технические штуки. С одной стороны, ночь — это то самое время на обновления, а с другой — регламентные операции делать тоже нужно. Но, разумеется, баланс где-то посередине.
В начале 2022 года руководство приняло решение о необходимости запуска некоторого числа новых сервисов для клиентов. Но старое ПО этого не позволяло делать на уровне архитектуры. Да и планируемые нагрузки были кратно выше текущих. Поэтому я принял решение писать новую платформу, а переключение на нее делать поэтапным, по мере ввода соответствующих модулей.
Уверен, что такая же ситуация есть у многих компаний. Старое ПО не просто морально устарело, а перестает удовлетворять требованию бизнеса. У ИТ-отдела всегда возникает дилемма: внедрять «костыли» до последнего вздоха или вводить новое ПО. Я рекомендую поднимать вопрос нового ПО в следующих случаях:
-
в компании есть план развития, в котором прописаны показатели, не достижимые на текущем оборудовании;
-
любая мелкая доработка в текущем ПО приводит к частому падению или большому числу ошибок;
-
рост нагрузки невозможно компенсировать простым масштабированием «железа»;
-
«соседние» модули ушли далеко вперед и вам сложно поддерживать коннектор к ним так же, как и устаревший фреймворк без официальной поддержки;
-
высокие расходы на поддержание ПО;
-
высокие риски зависимости работы ПО от третьих лиц (сотрудники, подрядчики и пр.), то есть существует риск потери ПО вместе с потерей этого человека;
-
найдены критические уязвимости, особенно если они на уровне архитектуры.
Важно! Внедрение нового ПО должно опережать темп развития компании.
«Железо»
Если с этапами разработки ПО все было просто, то вот вопрос «железа» оставался не решенным до последнего.
Запускать на старом «железе» мы не могли. Оно по-прежнему функционирует под нагрузкой и обеспечивает работу бизнеса. Влезать в него ради проведения экспериментов слишком рискованно.
Чтобы понять, выдержит ли старое «железо» новую архитектуру и нагрузки, нам нужно было провести нагрузочные тесты. А для этого необходимо иметь и готовое ПО (или хотя бы имитацию этого ПО), и виртуальный образ текущих серверов.
Ни то, ни другое нам было недоступно, и вот что я решил.
Заказал разработку базы данных, приближенную к требованиям для новой системы, чтобы спрогнозировать нагрузки. Если смотреть на нагрузку в разрезе работы программного кода, то основной «затык» происходит именно на уровне БД. Поэтому мы путем нескольких заходов нашли ту архитектуру, которая нас устроила. К слову, я 10-кратно увеличил требования по нагрузкам относительно требований, которые были по бизнесу. Это позволяет заложить резервы и под рост бизнеса, и под наши ошибки в расчетах. Нагрузочные тесты делали через эмуляцию трафика.
По «железу» решение было следующим. Компания выделила бюджеты на закупку новых серверов. Но вот какие именно покупать — мы не знали. Просто так набрать мощности «пальцем в небо» мы не могли, слишком высоки риски приобрести не то и просто потратить несколько миллионов.
Единственным вариантом остается облако. Выбрали «Яндекс Облако». Мы в целом не так чтобы сильно анализировали рынок облачных решений, нам требовалось облако только для этапа разработки и на первое время после запуска всей платформы. Выбор на «Яндекс» пал только потому, что наш подрядчик имел опыт работы с ним.
Цель следующая — в облаке мы можем оперативно настраивать мощности по мере развития платформы и вывода готовых модулей в «боевую» нагрузку. А как только вся разработка закончится и будет проведена опытная эксплуатация, мы сможем понять, какое в итоге «железо» нам нужно закупать.
Что делать со старым «железом»?
Мы его не списываем. Часть серверов в итоге пойдет в работу в новую архитектуру. Разумеется, нам понадобится провести регламентные работы по его подготовке, проверить диски, память, возможно, поменять ЦП и т. п.
Часть серверов пустим для локальных нужд. Прокачаем среду разработки, заменим «железо» на других проектах, найдем иное применение. Ну а с частью «железа» все же простимся. Выбросим или продадим — еще не знаем. Это нам предстоит решить до конца 2023 года.
В целом подход обновления «железа» через работу в облаке применим практически во всех случаях, когда нужно что-то решить с текущим «железом». Это дает вам:
-
возможность привлекать подрядчиков с быстрым и распределенным доступом к вашему облаку;
-
перенести все ваше ПО в облако на время работы по вашему «железу»;
-
реализовать резервную копию для быстрого развертывания в случае проблем с основным «железом»;
-
перераспределить нагрузку, в том числе обеспечить пиковые нагрузки.
И многое другое.
Но есть и ограничения. Например, если внутренняя политика компании запрещает хранить данные во внешней среде.
Также я пока не вижу смысла использовать облака для файлового хранилища. У нас есть выделенный сервер для хранения фототоваров. Его мы никуда переносить пока что не собираемся.
В итоге баланс между тем, что уносить в облако, надо ли уносить, как провести миграцию данных и т. п., нужно делать только после полного аудита текущей ситуации в компании.
Эксплуатация
Сейчас этот проект находится в завершающей стадии. Весь код уже написан. Облако настроено и работает штатно. Мы завершаем подготовительные этапы для одномоментного переключения рубильника. Самый волнительный этап. Ведь всегда кажется, что что-то где-то забыли.
И старое и новое ПО сейчас работают в параллели. Старое «железо» и облако также под параллельной нагрузкой. Это нам нужно для «боевой» имитации нагрузки, чтобы подготовить новое ПО к запуску в режиме рубильника.
Облако штатно держит всю нагрузку, в том числе пиковую в момент массовой работы парсеров. Единственное, что мы в облаке не стали делать, — хранить логи и прочие исторические данные. Это не выглядит разумно при текущей стоимости дисков в облаке.
Резерв по «железу» мы заложили с запасом. По текущим прогнозам, нам его хватит лет на пять. Но даже если бизнес будет расти с опережением, у нас остается возможность как горизонтального, так и вертикального масштабирования (заложили это и в архитектуре «железа», и в архитектуре программного кода).
Balanced Audio Technology Фонокорректор VK-P10 Виктор Хоменко Интервью
Врезка 2: J-10 беседует с Виктором Хоменко из BATДжонатан Скалл: Виктор, почему балансные схемы, пожалуйста?
Виктор Хоменко: Помнится, я читал статью, в которой говорилось, что балансная топология по своей сути намного сложнее, чем несимметричная. Они считали, что это громоздкий способ построения цепей. И они представили доказательства в виде очень уродливая схема, представляющая «сбалансированную» конфигурацию.
Теперь, конечно, балансная схема может быть некрасивой. Но это не значит, что каждая балансная схема должна быть такой. Напротив, при правильной реализации сбалансированная схема по своей сути является одним из самых красивых творений в электронике. Я помню, как впервые узнал о природе дифференциальных симметричных схем от одного из моих наставников. Он показал мне, что в электронике нет ничего более элегантного, чем простая дифференциальная пара транзисторов.
Взгляните, например, на схемы, используемые в некоторых классических компонентах McIntosh 1950-х годов. Если вы возьмете некоторые из их моноблочных конструкций того периода и отрежете входной разъем, вы, по сути, останетесь с симметричной схемой.
Череп: Напрашивается вопрос: Почему они не использовали балансный вход?
Хоменко: Конечно, потому что в то время рынок не считал сбалансированный подход к работе. Поэтому они предоставили несимметричный разъем RCA, а сигнал был преобразован в симметричный внутри.
Череп: Это часто случалось?
Хоменко: Точно. И я могу понять почему. Есть много причин, по которым я считаю, что сбалансированный лучше по своей сути с электрической точки зрения, а также, как бы это сказать, с философской точки зрения, в том смысле, что он более симметричен. Столь сбалансированный, естественно, становится выбором многих дизайнеров.
Как только вы это примете, будет стыдно не использовать весь потенциал сбалансированной топологии. Но то, что вы часто найдете, как и в случае с McIntosh, представляет собой несимметричный разъем RCA, подключенный к одному входу дифференциальной пары, а другой конец заземлен. Таким образом, различие между сбалансированным и несимметричным становится очень размытым. Во многих конструкциях его практически нет.
Scull: Кажется, существует неправильное представление о сбалансированном оборудовании и его пригодности для использования в несимметричных системах.
Хоменко: Все наше оборудование — я имею в виду все наше оборудование — полностью совместимо с другими несимметричными компонентами. То есть, вы можете взять VK-5 или VK-5 i и подключить к нему любую смесь несимметричных и балансных источников, и вы не сильно потеряете в производительности.
Череп: Вы предоставляете адаптеры XLR-RCA с самым лучшим звуком, которые я когда-либо слышал…
Хоменко: Ну, даже с адаптерами, мы чувствуем некоторую деградацию при переходе от симметричного к несимметричному конфигурация. Но вы же понимаете, что во всех наших моделях обработка сигнала всегда дифференциально сбалансирована.
Череп: И другие выгоды от этого?
Хоменко: Да. Одно большое преимущество заключается в том, как сбалансированная схема взаимодействует с источником питания. Когда вы смотрите на взаимодействие между несимметричной схемой и ее источником питания, это всегда ситуация с током по требованию. Источник питания должен бороться, чтобы не отставать от мгновенного спроса.
Череп: Особенно при жестком регулировании?
Хоменко: Да, точно.
Череп: Вы вообще не регулируете свои источники питания, а только сильно их фильтруете?
Хоменко: Правильно, потому что когда вы говорите о регулировании, вы говорите об обратной связи. Это может привести к задержке и ограничению скорости нарастания. Сбалансированная схема, в силу ее симметричной работы по фазе и вне фазы, не имеет этой проблемы. По сути, источник питания поддерживает постоянный ток на шине питания, и это традиционно достигается с помощью регуляторов. Но по нашему опыту, ценность шины постоянного тока сама по себе не в значительной степени определяет качество звука.
Череп: А как насчет стороны переменного тока, так сказать?
Хоменко: Это относится к тому, как источник питания поглощает и обеспечивает мгновенные изменения тока. И это гораздо более сложный аспект проектирования из-за последствий обратной связи и колебаний переменного тока.
Череп: Значит, блоку питания легче, когда он симметричен?
Хоменко: Да. Как только вы устраните это основное требование к источнику питания, создав схемы с дифференциальной топологией, источнику питания станет легче дышать. Становится раскрепощенным. Он работает свободно. Он становится тем, чем он действительно хочет быть — цепью сама по себе.
Череп: Виктор, каково было техническое задание на фонокорректор VK-P10?
Хоменко: Прежде всего, он должен был быть чрезвычайно универсальным. Существует переключаемая конфигурация для любого типа картриджа. И я говорю о диапазоне выходного напряжения от значительно менее 0,1 до 4 и более милливольт.
Череп: И вы даже включили в свой проект повышающие трансформаторы.
Хоменко: справа; это дополнительный способ обеспечения гибкости для пользователя. Мы не говорим, что вы должны использовать трансформаторы в каждом случае. Можно попробовать и посмотреть, что лучше всего подходит для картриджа и системы. Это еще один инструмент , который может использовать владелец.
Череп: Виктор, как насчет некоторых особенностей цепи? Я полагаю, это не очень типично?
Хоменко: Конечно, ничего из того, что мы представляем, не является очередным продуктом «я тоже». [ смеется ] Мы хотели, чтобы наш фонокорректор существенно отличался от всего остального на рынке. И есть несколько областей, в которых мы занимаемся этим. Во-первых — и я бы сказал, что это наша торговая марка — мы не используем никаких катодных повторителей или буферов на пути прохождения сигнала. Все схемы обычно представляют собой триоды с пластинчатой нагрузкой.
Череп: И я полагаю, это означает отсутствие обратной связи?
Хоменко: Правильно, фонокорректор не имеет глобальной обратной связи.
Череп: В VK-P10 три каскада усиления?
Хоменко: Да. Конечно, существует множество способов реализации схем с высоким коэффициентом усиления, но мы выбрали трехступенчатую схему: очень четкую, очень простую, без буферов. И, конечно же, мы полагаемся на полностью пассивную коррекцию RIAA. За исключением того, что у него есть изюминка — мы называем его «Пассивным полетом RIAA». Насколько нам известно, это уникальная топология, и у нас есть патентная заявка.
Череп: Насколько я понимаю, вы не будете рассказывать слишком много подробностей во время интервью!
Хоменко: [ смеется ] Верно! Думаю, достаточно сказать, что это позволяет нам значительно упростить схему выравнивания RIAA. Это в некоторой степени влияет на стоимость и, так сказать, делает устройство более технологичным.
Череп: Поковырявшись внутри, я вижу, что вы используете пару тороидальных трансформаторов… это Плитроны?
Хоменко: Верно.
Scull: А вы используете российские 6922, которые также известны как 6DJ8?
Хоменко: Да. В России его также называли 6х33. Это замечательная лампа с низким импедансом, разработанная для применения в каскодных схемах.