Здравствуйте!
Проблема – в Thunderbird 1.06 не импортируется сертификат.

Исходные данные:
1. Сертификат получен от Thawte Freemail Member, срок действия 1 год
(еще не истек).
2. Сертификат получал несколько месяцев назад, во время использования IE 6.
3.Далее из вкладки «сертификаты» (панель управления – свойства Интернет) сертификат был экспортирован в файл (указываю с путем) A:\papka\name.pfx. При экспортировании была отмечена галочка "включая закрытый ключ".
4. Записан пароль доступа к сертификату.
5. Импортировать сертификат в Outlook Express, ровно как и в MS Outlook получается без особых проблем.

Что и как делаю при импортировании:
1. Открываю менеджер сертификатов Thunderbird 1.06 (кнопка «упорядочить сертификаты»).
2. Жму кнопку «восстановить» во вкладке «Ваши сертификаты» и указываю путь до файла A:\papka\name.pfx, жму кнопку «ОК».
3. Появляется приглашение «Введите мастер пароль для программное устр.».
4. Ввожу пароль к сертификату, жму «ОК», появляется новое окно с приглашением «Введите пароль, использованный для шифрования резервной копии сертификата.

Вот на этом все останавливается, ввожу пароль (он у меня единственный)  и получаю ответ, что пароль не верен.

Я не понимаю. Помогите, в чем причина? Ведь с Аутлуками все получается. Что за пароль для резервного шифрования, где его взять? Или причина какая-то другая?
Может быть сертификат нужно "вставить" как то иначе?
С уважением.

Ответ еще актуален?

Да, если можете помочь, буду благодарен.

Получение сертификата на открытый (он же публичный) ключ выглядит приблизительно так:
1. Генерируется приватный ключ. Он же наш и знать его никому нельзя. Поэтому у нас и генерируем. При этом он помещается в некоторое защищенное хранилище, в данном случае - это реестр. Защита состоит в том, что приватный ключ помечается как неэкпортируемый и штатными средствами (вообще любыми известными мне средствами) выгружен из реестра быть не может.
2. На основе приватного ключа генерируется открытый ключ и с некоторой информацией о владельце приватного ключа отсылается в удостоверяющий центр - Thawte в данном случае.
4. Из удостоверяющего центра приходит подписанный открытый ключ и также помещается в хранилище. Но при этом может быть экспортирован. На то он и открытый (он же публичный).
Все продукты от MS используют единое хранилище сертификатов и, соответственно, видят необходимый им  приватный ключ.

Да в общем то... не работает видимо потому, что на самом деле приватный ключ никуда не экпортировался (сколькобы и где галочек не ставилось) и поэтому не попал (и не попадет) в Thunderbird. Такая грустная история.

Ключ экспортируется, если поставить галку. Так во всех программах. Если бы ключ не экспортировался, вы бы потеряли сертификат после первой же переустановки винды. К тому же, он хранится на жестком диске в зашифрованном виде (ключом на основе мастер-пароля).

Видимо имеет место глюк птицы. Сертификаты не импортировал, но с ключами GPG расширения Enigmail работает стабильно (оно только для GPG/PGP).

А вообще, смотрите тут. Если разберетесь в чем проблема, напишите в форум.

Сертификаты о которых идет речь - стандарта x.509, что совсем даже не GnuPG и не PGP. Упоминание данных продуктов неуместно.
Сертификат открытого ключа, который был получен от Thawte, был получен в IE и он действительно будет потерян, если переустановить Windows.
Всё, что хранится в реестре, действительно представляет собой файл на диске (делее байты, потом кластеры, сектора и намагниченные участки поверхности жесткого диска). Так уж устроен компьютер. О том, что реестр шифруется ключем на основе какого-либо мастер пароля я не слышал.
Возможно возникло так называемое непонимание и вы говорите о Security Storage от Moziila? Там действительно и файл и мастер пароль. А я про MS. Читаем внимательно!!!
Глюка птицы нет. Всё так, как я написал. Точка.

SOb, я вас чем-то обидел? Что вы взъелись. Не надо считать всех кроме себя даунами. Если вы используете MS для таких критических вещей как сертификаты --- флаг вам в руки и электричку навстречу. Причем тут реестр? К тому же это не файл, а файлы. А про EFS что-то слышали? (она тоже на магнитном носителе существует). А про бекапы сертификатов не доводилось читать? Таковы уже реалии, о них в книжках «Микрохирургия для идиотов» не прочитаешь.

Все так как вы написали, только для MS. Птица продукт кросплатформенный и ориентирован в первую очередь не на MS, а на пользователя. Многоточие...

Почитайте статью, там будет много неожиданных открытий для вас.

Просто немого резковат. Так как писал вроде бы понятно, а вы сделали вид, что не поняли.

Считать можно. Только не нужно давать понять кого и за кого считаешь на самом деле.

...и попутного ветра в горбатую спину. Спасибо.
На чем я разворачивал PKI я расскажу когда это будет к месту.
А вы что используете?

Вот с этого места можно было бы устроить флейм? Книжку то сами читали, что позволяете себе такие утверждения?

В исходной задаче ни про EFS (не понятно, при чем тут шифрующая файловая система) ни про наличие каких либо бекапов (которые кстати всё равно не делают приватные ключи извлекаемыми) речи не шло.

Я отвечаю на вопрос конкретного человека, который писал: «2. Сертификат получал несколько месяцев назад, во время использования IE 6». IE 6, насколько мне хватает моего скудного ума (как вы тонко намекнули чуть выше) - это Internet Explorer 6.x компании Microsoft, она же MS. От этого угла и пляшем.

Да ну!

Ну теперь понятно, почему речь про MS?

Так гораздо лучше Не будем развевать флейм. Просто возмутил ваш ответ. Я же отвечал не конкретно на ваш пост, а делился опытом в смежных областях.

Из бекапа действительно ничего извлечь нельзя. Я никогда с сертификатами S/MIME не работал, только с сертификатами EFS. Так что советовать по теме особо не могу. Просто надеялся на здравый смысл разработчиков винды (уже смешно ). Если там действительно нельзя никак экспортировать закрытый ключ, то я еще удивляюсь интеллекту разработчиков. Неужели даже не предусмотрено никаких средств? Ну как, для сертификатов EFS, где пользователь с правами воостановителя системы может расшифровать данные другого пользователя, при наличии сертификата.

Вот нашел по теме, правда для IE5:

LattyF,  SOb
Спасибо за участие, но ссорится мне кажется не нужно. А то так кто почитает и участвовать не захочет.

Частично разобрался все же. В Thunderbird сертификат импортировал. Пришлось сделать следующее:
- Из хранилища Windows сделал повторный экспорт сертификата в другой файл. Указал новый пароль (я предполагаю, что во время предыдущей операции экспортирования я не переключил раскладку клавиатуры и указал пароль кириллицей, хотя когда выносил свой вопрос, то вводить пробовал в обеих раскладках)
- Произвел импорт сертификата из нового файла. Как в пункте 3 так и в пункте 4 своего вопроса ввел один и тот же пароль, который выполнен уже в латинской раскладке клавиатуры.
Однако вопросы остались. Например не получилось сделать импорт того же сертификата в Mozilla Mail. При  первом же вопросе не принимается пароль, не понимаю, повторно появляется то же окно. Что такое все таки этот мастер-пароль для программное устр.? Видимо здесь нужно еще разбираться. Я этот пароль не задавал. Какой он по умолчанию что ли? Не знаю как правильно задать вопрос (видимо это пароль на само хранилище). Этот пароль можно сбросить, но тогда выдается предупреждение о том, что все сертификаты менджера будут уничтожены.
С паролем на резервную копию - видимо это пароль на сам сертификат.

P/S Думаю, что когда получу ответы на все эти вопросы с установкой, в новой теме можно будет пообсуждать настройки и использование S/MIME.

Все сделал.
Сбрасываем мастер-пароль. Созлаем новый мастер пароль и делаем импорт сертификата, где пароль к резервной копии это пароль к сертификату! Мастер пароль - это пароль к хранилищу сертификатов.
Скоро открою новоую тему - использование S/MIME. Настройки, тонкости работы и т.п.

Так я как понял, галочка (про экспорт секретного ключа) все-таки работает? Зря, получается, на программистов майкрософта наезжал?

Вий, а в окне "Your Certificates" ваш сертификат видно? Или он появился в окне "Other People's"?

P.S.: Как эти закладки называются по-русски я не знаю.