Гид по технологиям

Как экспортировать сертификат Windows с закрытым ключом

5 min read Windows Обновлено 01 Dec 2025
Экспорт сертификата Windows с закрытым ключом
Экспорт сертификата Windows с закрытым ключом

Компьютер с Windows 7 на экране

Контекст и зачем это нужно

Microsoft прекратила основную поддержку Windows 7 — многие пользователи переходят на Windows 10 или используют платный Extended Support. При миграции важно перенести не только файлы, но и сертификаты, которые используются для электронной подписи, VPN, аутентификации устройств и шифрования. Некоторые сертификаты содержат приватный (закрытый) ключ — без него сертификат бесполезен для подписи/расшифровки.

Опытный перевод: экспорт сертификата с приватным ключом создаёт файл в формате PFX (PKCS #12), который можно импортировать в целевую систему и использовать как раньше.

Важные предварительные замечания

  • Приватный ключ можно экспортировать только если при создании запроса или шаблона сертификата была разрешена возможность экспорта ключа.
  • Если вы планируете использовать приватный ключ в приложениях, не поддерживающих «strong protection», снимите галочку «Enable strong protection» при создании/настройке ключа (если применимо).
  • Для выполнения процедуры вы должны быть локальным пользователем с правами администратора или иметь необходимые права на учетную запись, чьи сертификаты экспортируются.

Шаги через оснастку “Сертификаты” (MMC / certmgr)

  1. Откройте оснастку сертификатов для пользователя, компьютера или службы. Для этого используйте Microsoft Management Console (MMC).
    • Для сертификатов локального компьютера: нажмите Пуск → Выполнить и введите certlm.msc
    • Для сертификатов текущего пользователя: нажмите Пуск → Выполнить и введите certmgr.msc
  2. В дереве консоли перейдите в логическое хранилище, где находится сертификат (обычно Personal / Личные).
  3. Выберите раздел “Certificates” (Сертификаты).
  4. В правой панели (Details/Свойства) найдите нужный сертификат по имени или отпечатку (Thumbprint).
  5. Щёлкните по сертификату, затем в меню “Действие” → “Все задачи” → “Экспорт”.
  6. Когда появится Мастер экспорта сертификатов, выберите “Да, экспортировать приватный ключ”.
  7. В разделе Формат экспортируемого файла отметьте нужные опции:
    • “Include all certificates in the certification path if possible” — включить в файл все сертификаты цепочки (рекомендуется, если планируете импорт в другую машину).
    • “Delete the private key if the export is successful” — удалить приватный ключ из текущего хранилища после успешного экспорта (используйте с осторожностью).
    • “Export all extended properties” — экспортировать расширенные свойства сертификата.

Список сертификатов в консоли Windows

  1. Задайте пароль для защиты экспортируемого PFX-файла. Используйте длинный уникальный пароль.
  2. Укажите имя файла и путь для сохранения .pfx-файла.
  3. Завершите мастер. По умолчанию сертификат останется в хранилище (если вы не выбрали удаление приватного ключа).

Важно: перед передачей файла .pfx по сети убедитесь, что используете безопасный канал (SFTP, SCP, защищённый USB-накопитель) и временно ограничьте доступ к файлу.

Альтернативные подходы (PowerShell и экспорт на командной строке)

Если по какой-то причине мастер экспорта недоступен (например, автоматизация или удалённый сервер), можно использовать PowerShell:

# Пример: экспорт сертификата по отпечатку (thumbprint) в PFX с паролем
$pwd = ConvertTo-SecureString -String "СильныйПароль123!" -Force -AsPlainText
Export-PfxCertificate -Cert Cert:\CurrentUser\My\ -FilePath C:\Temp\exported-cert.pfx -Password $pwd

Замените на фактический отпечаток сертификата. Этот метод удобен для автоматизации и скриптов.

Альтернативы:

  • Использовать удалённый доступ к оснастке MMC через RDP/администрирование.
  • Экспорт через групповые политики или инструменты централизованного управления сертификатами (в больших инфраструктурах).

Когда экспорт невозможен или не рекомендуется (примеры ошибок)

  • Ключ был создан как непереносимый (non-exportable) — в этом случае стандартными средствами экспорт не выполнится.
  • Политики безопасности организации запрещают экспорт приватных ключей.
  • Приватный ключ защищён аппаратно HSM или TPM и настроен как non-exportable.

Если ключ non-exportable — возможные варианты:

  • Переиздать сертификат с тем же открытым ключом/новым ключом (если контролируете CA и шаблон) с разрешённым экспортом.
  • Настроить новый ключ на целевой машине и заново выпустить сертификат.

Рекомендации по безопасности при экспорте и переносе

  • Всегда задавайте и храните надежный пароль для PFX-файла.
  • Не отправляйте .pfx по незашифрованной электронной почте.
  • Удаляйте PFX с промежуточных носителей после успешного импорта и проверки.
  • При необходимости — отзывать старый сертификат на стороне CA и/или генерировать новый ключ для повышения безопасности.

Контрольный список по ролям

Администратор:

  • Убедиться, что у вас есть права на экспорт.
  • Выполнить экспорт через MMC или PowerShell.
  • Передать .pfx по защищённому каналу и проверить импорт на целевой машине.

Пользователь/Оконечное устройство:

  • Не хранить пароль рядом с файлом .pfx.
  • Уведомить администратора о необходимости переноса сертификата.

Критерии приёмки

  • PFX-файл создан и защищён паролем.
  • Сертификат импортирован на целевой хост и приватный ключ распознан (в свойствах сертификата виден флажок “Private key is present”).
  • Связанные службы/приложения корректно используют импортированный сертификат.
  • Если вы выбрали удаление ключа при экспорте — убедитесь, что восстановление невозможно или выполнена ревокация, если нужно.

Часто задаваемые вопросы

Q: Можно ли экспортировать ключ, если он помечен как non-exportable? A: Нет, стандартными средствами Windows это невозможно. Решение — переиздать сертификат или создать новый ключ на целевой машине.

Q: Надо ли включать цепочку сертификатов при экспорте? A: Рекомендуется включать цепочку (Include all certificates), особенно при переносе на другую машину, чтобы избежать проблем с доверием.

Q: Можно ли переносить PFX между разными версиями Windows? A: Да, PFX — стандартизированный формат (PKCS#12), он совместим между версиями Windows, если пароль и параметры экспорта корректны.

Заключение

Экспорт сертификата с приватным ключом — привычная операция при миграции с Windows 7 на Windows 10. Следуйте шагам через MMC или используйте PowerShell для автоматизации; защищайте PFX надёжным паролем и передавайте файл по защищённым каналам. Если экспорт невозможен из-за ограничений ключа, рассмотрите переиздание сертификата или создание нового ключа.

Понравилась статья? Оставьте комментарий ниже.

СВЯЗАННЫЕ СТАТЬИ, КОТОРЫЕ СТОИТ ПРОЧИТАТЬ:

  • Как экспортировать настройки групповой политики в Windows 7
  • Как перенести профиль с Windows 7 на Windows 10
  • Миграция Windows 7 на SSD без переустановки
Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Как отложить Windows 10 Anniversary Update
Windows

Как отложить Windows 10 Anniversary Update

Исправление ошибки Search protocol host в Windows 10
Windows

Исправление ошибки Search protocol host в Windows 10

Как включить камеру на Mac
How-to

Как включить камеру на Mac

Устранение Fatal Application Exit в Resident Evil 7
Игры

Устранение Fatal Application Exit в Resident Evil 7

Уменьшение фонового шума микрофона
Аудио

Уменьшение фонового шума микрофона

Ускорение загрузок в Microsoft Store на Windows
Windows

Ускорение загрузок в Microsoft Store на Windows