добрый день!

есть терминальный сервер, на котором есть пользователь

часть пользователей являются ГБ и они отправляю отчётность из-под своей учётки
контейнер ключа и сертифкат установлены у ГБ в реестре

ГБ может заболеть или уйти

с помощью чего (кроме вручную) можно реализовать перемещение закрытой части ключа и сам сертификат от одного терминального пользователю другому?

Перенести сертификаты из реестра на флешку или общую папку

(1) ну не сертификаты наверное, а контейнеры ?

но тогда надо зайт под пользователем и из контейнера установить сертифкат

(2) Установи сертификат на сервер терминалов не в хранилище юзера, а в хранилище компа. Он буде доступен всем пользователям. И перенесите на флешку контейнер.

(0) Дополнительное хранилище сертификатов на флешке или железном токене в сейфе.

(3) доступ должен быть у тех пользователей, кому разрешен он

(5) закрытый в контейнере

(5) Ну так сертификат то тут при чем? Без ключа в контейнере он бесполезен.

(7) открытой частью шифруют

(8) открытой проверяют подпись

(9) как тогда налоговики расшифровывают сообщения, зашифрованные налогоплательщиками ?

(10) вот такое оно асимметричное шифрование. И они не расшифровывают, а проверяют подпись с помощью открытого ключа

(5) ну так кому подключишь (установишь) тому и будет доступ. так что в чем проблема?

(11 > И они не расшифровывают

налогоплательщик все отчёты, передаваемые в ифнс, шифрует

как без расшифровки инфс сможет прочитать xml ?

(13) расшифровывают открытм ключом

(13) основная цель ЭЦП - подписать. Подпись идет секретным ключем, проверка известным всем открытым.. Шфирования нету в функциях, шифруется канал связи

Ну-у-у, ГБ меняются не так часто, можно и вручную поработать.

но если очень хочется автоматизировать этот процесс, то можно нужные ветки реестра у одного пользователя взять,  другому вставить.
в общем то в инете на эту тему есть, вот здесь не только про закрытые ключи, но и про сами сертификаты:
https://serveradmin.ru/perenos-konteynerov-zakryityih-klyuchey-i-sertifikatov-cryptopro/

а вот здесь скриптом пытали:
http://forum.oszone.net/thread-324769.html

так что направление есть, а вот рыть в этом направлении - тут уж сам :)

(16) часто )

(16) добавлю еще комментарий
Работая с реестром через утилиту psexec можно из под своего сеанса импортировать контейнеры любым пользователям.
Тут подробно
http://tmie.ru/index.php/ru/soft/bukhgalterskij/27-perenos-kriptopro-klyuchej-etsp-sertifikatov-s-odnogo-kompyutera-na-drugoj

а в чем проблема? доступны всем, а пароли только избранным

(19) Что знают двое, знает и свинья (с)

(20) ну тогда и админ контейнер с паролем может увести

При отправке отчетности вы выбираете сертификаты получателей и в них открытые ключи,которыми шифруетсч,чтобы только владелец закрытого ключа смог расщифровать,а закрытый ключ организации используется для подписания файла,чтобы на той стороне могли проверить подлинность документа при помощи открытого публичного ключа

Сделай свой "сервис" отправки отчетов.

Файлик отчета отправляется под юзерскими логин/паролем, далее сервис сверяет и если можно то сам подписывает и отправляет автоматически.

Т.е. контейнер ключ стоит не у пользователя а на сервере/сервисе под своей учеткой.

(0) Мы реализовали так: есть учетка, специально для оптравки отчетности, учетные данные известны узкому кругу людей, которые отправляют отчетность.
Делаются бекапы реестра, после обновления ключей

(13), (14), (15) Операции подписания и шифрования разделены, а именно:
1. Чтобы отправить получателю неподписанное зашифрованное сообщение, отправитель ШИФРУЕТ его с помощью ОТКРЫТОГО ключа ПОЛУЧАТЕЛЯ. Получатель расшифровывает полученное сообщение с помощью СВОЕГО ЗАКРЫТОГО ключа. Расшифровать сообщение может только получатель.
2. Чтобы подписать свое сообщение, отправитель подписывает его с помощью своего ЗАКРЫТОГО ключа. Любое стороннее лицо может проверить подлинность подписи с помощью ОТКРЫТОГО ключа отправителя (подписанта).
3. Объединив операции из пунктов 1 и 2 получим обмен зашифрованными подписанными сообщениями, то есть то, как оно работает при обмене отчетности с ИФНС и прочими.