Если сертификат изначально был выписан не на Рутокен, в потом импортирован, то после срабатывания службы "Certificate Propagation Service" мы не сможем каким-либо образом повлиять на автоматическую установку сертфииката, так как срабатывает не наш CSP

А можно пояснить почему? С технической точки зрения? Например eToken не ведет себя подобным образом...

Получается что рутокен является защищенным хранилищем только лишь того закрытого ключа, который был сгенерирован с помощью вашего криптопровайдера?

1) Active Directory Certificate Services - RSA 1024.
2) Правильно, точно так.

Если сертификат изначально был выписан не на Рутокен, в потом импортирован, то после срабатывания службы "Certificate Propagation Service" мы не сможем каким-либо образом повлиять на автоматическую установку сертификата, так как срабатывает не наш CSP

Да, все верно.
Мы рекомендуем выписывать сертификат сразу на Рутокен с помощью "Aktiv ruToken CSP v1.0", тогда поведение будет корректное.

Чтобы попробовать воспроизвести данную ситуацию на стенде нам потребуется дополнительная информация:
- С помощью какого криптопровайдера были выписаны сертификаты.
- Правильно ли мы понимаем, что формат сертификатов был .pfx и после генерации сертификаты были импортированы на Рутокен с помощью "Панели управления Рутокен",

1) Active Directory Certificate Services - RSA 1024.
2) Правильно, точно так.

Я правильно понял, что при генерации сертификата в AD CS я должен указать ваш CSP, который ставится с драйверами? В таком случае закрытый ключ не будет копироваться в локальное хранилище?

Почему тогда мне удается сделать подпись через capicom даже при извлеченном рутокене?
Windows говорит мне, что в личном хранилище у меня теперь есть сертификат с закрытым ключом. И это действительно так, так как все подписывается при извлеченном рутокене...

Похожий вопрос уже задавался на нашем форуме: https://forum.rutoken.ru/topic/2222/ возможно, данная информация будет полезна для вас.
Чтобы попробовать воспроизвести данную ситуацию на стенде нам потребуется дополнительная информация:
- С помощью какого криптопровайдера были выписаны сертификаты.
- Правильно ли мы понимаем, что формат сертификатов был .pfx и после генерации сертификаты были импортированы на Рутокен с помощью "Панели управления Рутокен",

При установке личного сертификата проставляется лишь ссылка на закрытую часть сертификата, находящуюся на электронном идентификаторе Рутокен.

Почему тогда мне удается сделать подпись через capicom даже при извлеченном рутокене?
Windows говорит мне, что в личном хранилище у меня теперь есть сертификат с закрытым ключом. И это действительно так, так как все подписывается при извлеченном рутокене...

Добрый день!

1) Импортировал сертификат с закрытым ключом на Rutoken S. Делаю подпись с помощью capicom и... сертификат вместе с закрытым ключом оказывается в хранилище "Личное" даже после извлечения токена из usb-порта. Т.е. фактически происходит копирование сертификата со всеми потрохами в реестр компьютера. Почему так происходит?

Автоматические регистрация/удаление сертификатов средствами "Панели управления Рутокен" не предусмотрены.

Если речь идет об RSA сертификатах, то сертификаты регистрируются автоматически при первом подключении носителя.
За автоматическую регистрацию сертификата в хранилище "Личное" отвечает "Certificate Propagation Service" (https://technet.microsoft.com/ru-ru/lib … 10%29.aspx).
При этом необходимо учитывать, что в хранилище "Личное" копируется лишь открытая часть сертификата, которая в процессе подписания и расшифровки должна быть доступна всем участникам документооборота. Открытый ключ сертификата автоматически не удаляется и остается в хранилище "Личное". 
При установке личного сертификата проставляется лишь ссылка на закрытую часть сертификата, находящуюся на электронном идентификаторе Рутокен.

Особенности кэширования PIN-кода устанавливаются криптопровайдером.

Генерация и запись сертификатов на Рутокен производится только средствами криптопровайдера. Через "Панель управления РУтокен" невозможно сгенерировать сертификат.

Галочка в "Панели управления Рутокен" на вкладке "Сертификаты" предназначена для быстрой установки открытой части сертификата в хранилище "Личное".

1) Импортировал сертификат с закрытым ключом на Rutoken S. Делаю подпись с помощью capicom и... сертификат вместе с закрытым ключом оказывается в хранилище "Личное" даже после извлечения токена из usb-порта. Т.е. фактически происходит копирование сертификата со всеми потрохами в реестр компьютера. Почему так происходит?
2) PIN-код при подписывании данных запрашивается только один раз... При последующих обращениях пин-код не запрашивается. Возможно это связано с первым вопросом...
3) Не нашел где в панели управления сформировать пару RSA-ключей на токене...