Переносим непереносимое и экспортируем не экспортируемое. Или "Как скопировать не экспортируемый ключ ЭП из Рутокен?"

 Это они, конечно, классно придумали: сделать ключ не экспортируемым. А они подумали, что устроили огромный геморой админам, у которых пользователи сидят на виртуальных серверах, что крутятся на Hyper-V?

Побухтев немного, я таки поспрашивал знакомых и оказалось, что как только начали вводить этот тип ключей, Контур выпустил статью о экспорте новых ключей, у себя на сайте и прикрепил туда утилиту для этих целей. Однако потом, им настучали по голове и заставили эту статью удалить. Но, как мы помним, что попало в интернеты - остаётся там навсегда :) Так и в этот раз: утилита разлетелась по форумам, видосам на ютубах и админским чатикам в телеграммах.

Вот и я решил выложить небольшой гайд, как скопировать ключ куда-нибудь, чтоб можно было дальше с ним работать отдельно от ненадёжного Рутокена.

Сразу уточню: данный метод точно работает с Рутокенами старых моделей. На новых не пробовал.
UPD№1:Так же, метод не работает на JaCarta, ESMART Token и на банковских токенах. С первых двух, можно выдернуть хитровыделанным способом, при помощи библиотеки SmartcardSniffer (подробнее в этой статейке).

И так, вот, что нам понадобится:
1) Полностью настроенная станция (например, под Контур Экстерн, либо под Сбис)
2) Утилита Tokens.exe
3) Свободная (желательно) флешка, либо жёсткий диск (как съёмный, так и виртуальный (vhd, vhdx), в принципе, можно скопировать и в любую папку, но проверить получится только, если папку м ЭЦП скинуть в корень диска, отличающегося от диска  C:\)
4) Прямые руки

Собственно, сам процесс:
0) Если сертификат был уже установлен в личное или общее хранилище - удалите его. (UPD№2: не обязательно)
1) Запускаем Tokens.exe от имени администратора и видим следующее окно:

На всякий случай, "опознавательные знаки" заблюрены

2) Жмём на ссылку "Экспорт" и видим диалог с выбором папки. Выбираем нужную флешку или диск и жмём "Ок"

3) Называем контейнер каким-нибудь именем и жмём "Ок".

4) Поздравляю! Ключ скопирован на флешку. Осталось его установить стандартным образом через КриптоПро и пользоваться.

В дальнейшем, папку с ключом, можно скопировать на другой диск или флешку. А вот на другой токен - уже не получится.
UPD№3: Точнее получится. Подробнее описано в этой статье в разделе "Конвертация не экспортируемого ключа в экспортируемый."