Системные требования к программно-аппаратным средствам:
- Установка СКЗИ КриптоПро CSP версии 5.0.
- Операционная система Windows 7/8.1/10/Server 2008 (x86, x64).
- Серверные ОС Windows Server 2008 R2/2012/2012 R2/2016/2019 (x64).
- Mac OS X 10.9/10.10/10.11/10.12/10.13/10.14 (x64).
Для установки приложения MyDss на смартфоне, он должен работать под управлением операционных систем:
- Android 7.0 и выше.
- iOS 8/9/10/11.
В данном разделе будет рассмотрен процесс установки и настройки «КриптоПро NGate
Клиент» для мобильных операционных систем семейства Android. «КриптоПро NGate Клиент» (или Клиент NGate) предназначен для обеспечения
доступа пользователей к ресурсам, защищаемым посредством шлюза NGate. В качестве демонстрации работоспособности клиента будут приведены инструкции для
подключения ктестовым
В качестве операционной системы во всех примерах данного раздела используется Android
версии 11. «КриптоПро NGate Клиент» предназначен для функционирования в следующих операционных
системах семейства Android:
Вебинар 25. 2021: “Эволюция электронной подписи на смартфоне. Варианты реализации в соответствии с законодательством” (файл презентации, файл вопросов и ответов)
На вебинаре рассказывается о концепциях облачной и мобильной электронной подписи (ЭП), рассмотрены законодательная база и технические подробности решения DSS/myDSS 2. 0, которое превратилось из исключительно облачного в решение, позволяющее самостоятельно управлять местом хранения ключей ЭП. В ходе вебинара показана Live-демонстрация (39:17) выпуска электронной подписи в приложении myDSS 2.
- Программа вебинара
- Его назначение
- Характеристики
- Поддерживаемые форматы электронной подписи
- Требования к окружению
- Безопасность
- Способы аутентификации
- Высокая отказоустойчивость и доступность
- Мониторинг функционирования и доступности
- Хронология вебинара
- Установка СКЗИ КриптоПро CSP 5 #
- Настройка КриптоПро CSP 5. 0 #
- Замена адреса DSS сервера #
- Аутентификация в приложении myDSS #
- Заказать облачную подпись #
- Настройка приложения MyDSS #
Программа вебинара
Павел Луцик, директор по развитию бизнеса и работе с партнерами КриптоПро (2:15)
- О концепции «облачной» ЭП — особенности, преимущества по сравнению с «классической» ЭП
- О продукте КриптоПро DSS 2.0/HSM — кому может быть полезен, какие задачи решает
Дарья Верестникова, коммерческий директор SafeTech (9:07)
- О концепции мобильной ЭП — особенности, преимущества
- О myDSS SDK/myDSS 2.0: кому может быть полезен, какие задачи решает, самые интересные кейсы
Павел Смирнов, директор по развитию КриптоПро (21:44)
- Предпосылки появления в myDSS 2.0 возможности хранения ключей ЭП на смартфоне и перспективы дальнейшего развития myDSS 2.0
- Легитимность использования мобильной подписи
- Что необходимо для перехода на использование мобильной подписи?
Кирилл Мещеряков, руководитель направления развития продуктов SafeTech (37:02)
- Живая демонстрация выпуска и перевыпуска сертификата ЭП в приложении myDSS 2.0
- Ограничения режима мобильной подписи
- Безопасность хранения ключей в памяти смартфонов
Вебинар 19. 2019: “КриптоПро DSS/myDSS. Реализация облачной электронной подписи на ПК и мобильных устройствах” (файл презентации, файл вопросов и ответов)
На вебинаре эксперты КриптоПро рассказали о возможностях и преимуществах использования “облачной” электронной подписи на базе сертифицированного ФСБ России решения КриптоПро DSS и входящего в его состав приложения КриптоПро myDSS, являющегося совместной разработкой компаний КриптоПро и SafeTech.
Для подключения к шлюзу NGate требуется создать профиль подключения. Профиль
необходимо создать отдельно для каждого шлюза NGate.
- Для создания нового профиля выберем .
- Тип аутентификации: установите галочку в поле Использовать
комбинированную аутентификацию; - Оставьте галочку в поле Прогрессивный таймаут подключения при
обрыве сети (данный параметр определяет период попыток
подключения при обрыве cвязи);Important: Не рекомендуется
отключать данный параметр! - На вкладке Вход по сертификату введите параметры
сертификата для тестового шлюза NGate.
Тип ключевого контейнера: выберите импортированный ранее
ключевой контейнер;Ключ/пароль: введите ключ и пароль от ключевого контейнера, заданные при
импорте.Note: Для подключения к рабочему шлюзу используйте
пользовательский сертификат шлюза, полученный у Администратора сети. - Тип ключевого контейнера: выберите импортированный ранее
ключевой контейнер; - Ключ/пароль: введите ключ и пароль от ключевого контейнера, заданные при
импорте. - Имя: test;Пароль: test.
- Имя: test;
- Пароль: test.
- Сохраняем профиль, нажав галочку вверху справа.
- Выберите созданный профиль из списка в главном окне клиента NGate и нажмите
кнопку Включить. - Шлюз КриптоПро NGate поддерживает также использование одноразовых паролей
(OTP). В этом случае при аутентификации откроется соответствующее окно с
запросом требуемых данных для авторизации.
Схема работы многофакторной аутентификаци

Из нашей статьи вы узнаете:
КриптоПро Winlogon — это программное обеспечение для проверки серверов, контролирующее компьютерную сеть и пользователей в операционной системе Windows. Осуществляет аутентификацию статуса пользователя с помощью сертификатов открытых ключей и электронных цифровых подписей (ЭЦП). Аутентификация осуществляется при входе пользователей на домен с использованием средства криптографической защиты информации (СКЗИ) «КриптоПро CSP» версии 3. 0 и выше.
Открытые ключи используются для проверки пользователя, а ЭЦП для авторизации домена Windows в соответствии с RFC 4490. Сертификаты пользователей и контроллеров домена выпускаются и управляются с помощью сертифицированного удостоверяющего центра или находятся под управлением домена операционной системы.
Его назначение
Программное обеспечение усиливает сетевой протокол аутентификации «Kerberos» с помощью инструментов криптографической защиты информации, расширяя штатную функциональность операционной системы.
Kerberos — сетевой протокол взаимной аутентификации клиента и сервера, где начальный обмен информацией между клиентом и сервером происходит в незащищённой среде.
Программное обеспечение КриптоПро Winlogon формирует ключи шифрования и ключи ЭЦП, шифрует данные, защищает их от навязывания ложных данных, обеспечивает целостность, подлинность и конфиденциальность информации.
Характеристики
- Дистрибутив КриптоПро Winlogon (rus)
- Дистрибутив КриптоПро Winlogon (eng)
- Документация на КриптоПро Winlogon
Отдельная установка КриптоПро Winlogon не требуется, если используется КриптоПро CSP 3. 6 и выше.
Подробные характеристики о совместимости с вашим удостоверяющим центром, операционной системой, доменом и дополнительными настройками вы можете узнать у нашей круглосуточной поддержки.
Срок пробной версии программы — 30 дней с момента установки. После необходимо получить лицензию у официального дилера. «Астрал-М» распространяет, внедряет и сопровождает программы КриптоПро с круглосуточной поддержкой пользователей 24/7. Является официальным дилером продукции торговой марки КриптоПро. Приобрести продукцию и актуальную лицензию КриптоПро Winlogon легко, достаточно заполнить форму обратной связи на сайте, вписав своё имя, телефон и адрес электронной почты.
Программно-аппаратный комплекс КриптоПро DSS 2. 0 предназначен для централизованного выполнения действий пользователей по созданию электронной подписи (ЭП), управления сертификатами и других криптографических операций с использованием ключей, хранимых в ПАКМ КриптоПро HSM (дистанционная («облачная») подпись), локально в мобильном приложении (мобильная подпись) или на рабочем месте пользователя (DSS Lite).
КриптоПро DSS 2. 0 обеспечивает:
Обращаем внимание: до издания ФСБ России требований, предусмотренных пунктом 2. 1 части 5 статьи 8 Федерального закона “Об электронной подписи”, и до осуществления подтверждения соответствия КриптоПро DSS 2. 0 изданным требованиям комплекс не может применяться для реализации функций, предусмотренных частью 2. 2 статьи 15 Федерального закона “Об электронной подписи”.
Поддерживаемые форматы электронной подписи
- Необработанная электронная подпись ГОСТ Р 34.10-2012 (и ГОСТ 34.10-2001);
- Усовершенствованная подпись (CAdES-BES, CAdES-T и CAdES-X Long Type 1);
- Подпись XML-документов (XMLDSig);
- Подпись документов PDF;
- Подпись документов Microsoft Office.
Требования к окружению
КриптоПро DSS 2. 0 предоставляет пользователям интерактивный веб-интерфейс для управления криптографическими ключами и создания ЭП под документами, которые пользователь загружает на КриптоПро DSS. Для работы с данным интерфейсом в случае неквалифицированной подписи необходим лишь веб-браузер.
При встраивании КриптоПро DSS в системы возможна работа через мобильное приложение myDSS, которое получает от сервера уведомления о поступлении документов на подпись и после одобрения операции пользователем отправляет криптографически защищенное подтверждение на сервер КриптоПро DSS.
Безопасность
Создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищённого модуля КриптоПро HSM. Каждый пользователь получает доступ к своим ключам после прохождения процедуры надёжной многофакторной аутентификации в КриптоПро DSS. Дополнительно каждый ключевой контейнер защищается индивидуальным ПИН-кодом, который знает и может сменить только владелец ключа электронной подписи.
Пользователями КриптоПро DSS управляет оператор, который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:
- создание пользователя;
- блокирование и удаление пользователя;
- генерация ключа электронной подписи пользователя;
- формирование и передача в удостоверяющий центр запроса на создание сертификата ключа проверки электронной подписи;
- установку полученного сертификата пользователю;
- настройку параметров аутентификации пользователей;
- аудит и формирование аналитической отчетности по выполняемым пользователями операциям;
- сброс пароля в случае его утраты пользователем.
Способы аутентификации
В зависимости от настройки, КриптоПро DSS 2. 0 может реализовывать следующие способы аутентификации пользователя:
- криптографическая аутентификация по алгоритму HMAC в соответствии с Р-50.1.113-2016 с помощью мобильного приложения myDSS или специального апплета на SIM-карте;
- двухфакторная аутентификация с использованием цифровых сертификатов и USB-токенов или смарт-карт;
- двухфакторная аутентификация с дополнительным вводом одноразового пароля, доставляемого пользователю посредством SMS (OTP-via-SMS) (только для неквалифицированной подписи или в качестве дополнительного фактора аутентификации).
Высокая отказоустойчивость и доступность
Обеспечивается с помощью горячего резервирования и кластеризации всех компонент КриптоПро DSS и КриптоПро HSM с помощью специализированных балансировщиков нагрузки (например, HAProxy) и SQL-кластера на базе технологий MS SQL Server AlwaysOn availability groups.
В случае нарушения функционирования любого из зарезервированных компонентов переключение на резервные, в т. размещенные на территориально-удаленных технологических площадках (Резервных ЦОД), осуществляется автоматически без участия обслуживающего персонала и без потери сохраненных данных.
Мониторинг функционирования и доступности
В составе с КриптоПро DSS может использоваться специальный программный комплекс класса Network Performance Monitoring and Diagnostics (NPMD) “КриптоПро Центр Мониторинга” для мониторинга работоспособности и оперативного уведомления администраторов СЭП о выявленных сбоях, ошибках функционирования и прочих внештатных ситуациях.
Сервис электронной подписи ООО «КРИПТО-ПРО»
Тестовый сервис электронной подписи
Порядок использования комплектаций ПАКМ «КриптоПро HSM» с компонентом «КриптоПро DSS 2. 0» для работы с квалифицированной электронной подписью
stel_la
Оставлено
:
8 марта 2022 г. 11:23:01(UTC)
Всех приветствую. Пытаюсь организовать авторизацию пользователей домена со смарт-картами по ГОСТ (Windows 2012R2, windows 10 и КриптоПРО 4. 9963). До этого попробовала на встроенных в windows сертификатах и все заработало с пол-пинка. Но после установки КриптоПРО на оба центра сертификации (главный и подчиненный), на все контроллеры домена (сертификат по шаблону “Контроллер домена” тоже перевыпустила на ГОСТовый) и выпуска сертификата “Вход со смарт картой” для пользователя, получаю ошибку “Не удалось проверить ваши учетные данные” (в контейнер “Личные” сертификатов пользователя и в раздел “Опубликованные сертификаты” пользователя в AD выпущенный с сертификат добавила). Прошу помочь ибо идеи кончились. PS Все делала по инструкци ЖТЯИ. 00088-01 92 01, может есть что то посвежее?
Захар Тихонов
Оставлено
:
9 марта 2022 г. 15:21:11(UTC)
ЗдравствуйтеСертификат издателя зарегистрировали на контроллере домена? ЖТЯИ. 00087-03 92 01. КриптоПро CSP. Инструкция по использованию 6. Указания по настройкеУ смарт карты включена поддержка Winlogon?
Захар Тихонов
Оставлено
:
9 марта 2022 г. 19:37:39(UTC)
Если вы в групповые политики установили новый сертификат, то убедитесь что CRL по ссылка из сертификатов доступны и они актуальны (как на контроллере домена, так и на клиенте)
two_oceans
Оставлено
:
10 марта 2022 г. 2:27:58(UTC)
Цитата:на все контроллеры домена (сертификат по шаблону “Контроллер домена” тоже перевыпустила на ГОСТовый) и выпуска сертификата “Вход со смарт картой” для пользователя, получаю ошибку “Не удалось проверить ваши учетные данные” Добрый день. Скорее всего, с данным случаем не связано, но вдруг, для информации. Применительно к данному случаю моя мысль в том, что “Не удалось проверить ваши учетные данные” тоже может быть даже не близко к реальной причине.
Захар Тихонов
Оставлено
:
10 марта 2022 г. 11:36:46(UTC)
Вы проверили доступность CRL?
Захар Тихонов
Оставлено
:
14 марта 2022 г. 14:15:00(UTC)
Приложите скриншот из контроллера домена, что сертификат издателя зарегистрировали на контроллере домена ЖТЯИ. 00087-03 92 01. КриптоПро CSP. Инструкция по использованию 6. Указания по настройкеПриложите скриншот что в сертификате указан верных идентификатор контроллера домена, который отображается в КриптоПро CSP. Пароли на ключи контроллеров домена вы устанавливали?
Захар Тихонов
Оставлено
:
14 марта 2022 г. 14:55:25(UTC)
Откройте сертификат контроллера домена. Вот в нем можно посмотреть его издателя – вкладка состав – Издатель. На вкладке Цепочка сертификатов не должно быть ошибок, и от туда можно посмотреть сертификат издателя.
stel_la
Оставлено
:
6 апреля 2022 г. 12:22:12(UTC)
В хранилище подчиненного центра сертификации “Локальный компьютер – Доверенные корневые центры сертификации – Реестр – Сертификаты” корневой сертификат главного центра сертификации есть.
Хронология вебинара
Брошюра с описанием решения – КриптоПро DSS.
Установка СКЗИ КриптоПро CSP 5 #
Для начала работы с вашей облачной подписью необходима установленная ОС Windows 7, 8,8. 1 или 10. Необходимо проверить, что у вашей Операционной Системы установлены все последние обновления. Для этого запустите Центр Обновления Windows и произведите поиск и обновления компонентов Windows. Основным элементом для работы с облачной подписью является установленное и настроенное КриптоПро CSP 5.
- Скачиваем последнюю версию установочного файла КриптоПро CSP 5.0 с сайта разработчика КриптоПро.
- Запускаем скачанный Файл CSPSetup-5.0.exe и нажимаем кнопку Установить.Подробный процесс установки КриптоПро здесь.
- Установить корневой сертификат вашего УЦ в «Промежуточные центры сертификации». Инструкция по установке корневого сертификата Минкомсвязи и УЦ.
Настройка КриптоПро CSP 5. 0 #
В операционной системе Windows: Нажимаем Пуск , переходим в папку Крипто-Про и выбираем пункт Инструменты Крипто-Про.

Далее переходим в раздел Облачный провайдер.

Замена адреса DSS сервера #
- Необходимо поменять текст в строке Сервер авторизации на адрес вашего сервера DSS(Адрес можно уточнить у вашего УЦ).
- Так же измените текст в строке Сервер DSS на адрес предоставленный вашим УЦ.
- Нажимаем на кнопку Установить сертификаты.

Если это первый ваш вход в систему, то вам предложат изменить пароль для входа в личный кабинет облачной подписи. Чтобы это сделать укажите пароль полученный вами в точке выдачи. Вводим его в графу Старый пароль, а ниже указываем Новый пароль и Подтверждение пароля. После установки вашего нового пароля, обязательно запишите его.
Если вы уже изменяли пароль ранее, то предложения изменить пароль не будет.
Аутентификация в приложении myDSS #
Следующим действием нам потребуется пройти Аутентификацию. Потребуется подтвердить операцию с помощью установленного приложения MyDss. Запустите приложение MyDss на смартфоне, и в открывшемся запросе нажимаем Подтвердить. Если на телефоне нет интернет соединения, то выбираем Используйте офлайн-подтверждение. Сканируем приложением MyDss QR-код и указываем полученный код подтверждения на компьютере.
Конечным результатом успешной авторизации, должно стать уведомление Установка сертификатов завершилась успехом.

На этом установка и настройка облачной электронной подписи закончена.
Купить Электронную Подпись для любых целей вы можете в нашей компании. Срок выдачи один рабочий день.
Заказать облачную подпись #
Запускаем приложение Play Маркет или Apple store в зависимости от типа вашего устройства. В форме поиске, введите myDSS и нажмите кнопку Установить. После окончания установки нажимаем на кнопку Открыть.

Настройка приложения MyDSS #
Запустите установленное приложение MyDss. Для начала работы вам предложат от сканировать QR-код. Приложение отправит запрос на доступ к камере телефона, нажмите Разрешить. Возьмите бланк сертификата, выданного вам в УЦ и отсканируйте напечатанный QR-код. Укажите имя сохраняемого ключа(Оно может быть любым, например: «Облачная подпись для Торгов»). Так же вам потребуется выбрать способ подтверждения (без пароля, пароль, отпечаток пальца, face ID). После всех этих действий приложение будет готово к работе.






