D4041 криптопро

D4041 криптопро Электронная цифровая подпись

SingCERT’s Security Bulletin summarises the list of vulnerabilities collated from the National Institute of Standards and Technology (NIST)’s National Vulnerability Database (NVD) in the past week.

The vulnerabilities are tabled based on severity, in accordance to their CVSSv3 base scores:

For those vulnerabilities without assigned CVSS scores, please visit NVD for the updated CVSS vulnerability entries.

Содержание
  1. Возможные причины с определением контейнера
  2. Остерегайтесь мошенников которые продают ключи КриптоПро в телеграмме
  3. Подпись файлов в macOS
  4. Выясняем хэш сертификата КЭП
  5. Подпись файла командой из terminal
  6. Установка Apple Automator Script
  7. Что нужно для работы с КЭП под macOS
  8. Скачать КриптоПро CSP 4. 9975, 4. 9974, 4. 9969, 4. 9963, 4. 9944
  9. Инструкция по установке КриптоПро 4
  10. Как решить проблему, что криптопро не видит USB ключ?
  11. Срок действия этой версии КриптоПро CSP истек / Как ввести серийный номер КриптоПро CSP / Введен неправильный номер продукта
  12. Руководство по настройке
  13. Установка драйверов и ПО для работы с JaCarta PKI
  14. Установка пакетов КриптоПро CSP
  15. Настройка и диагностика КриптоПро CSP
  16. Работа с токеном JaCarta PKI
  17. Программное извлечение ключей
  18. Результаты
  19. Полезные ссылки
  20. Установка единого клиента JaCarta PKI
  21. Всплывает окно: “Ошибка! Библиотека CAPICOM не может быть загружена, возможно из-за низких прав доступа на данной локальной машине”.
  22. Как установить личный сертификат?
  23. Как настроить электронную почту.
  24. Как подписать документ.
  25. Срок действия КриптоПро заканчивается.
  26. Почта не видит сертификат.
  27. При установке КриптоПро на последнем шаге система выдает сообщение о некорректности установки программы и делает откат. Как быть?
  28. Где найти открытый ключ подписи ЭЦП?
  29. КриптоПро не видит контейнер на флешке. Предлагает выбрать другой носитель.
  30. Получили ЭЦП, что делать дальше? Как зарегистрироваться на торговой площадке?
  31. Чтобы проверить, какая операционная система установлена на Вашем компьютере
  32. Чтобы узнать, какая версия обозревателя Internet Explorer, установлена на Вашем компьютере
  33. Чтобы установить более новую версию обозревателя Internet Explorer 8
  34. Смена PIN-кода контейнера
  35. Выясняем название контейнера КЭП
  36. Смена PIN командой из terminal
  37. Центр загрузки
  38. Скачать КриптоПро CSP 5. 12222, 5. 12000, 5. 11944, 5. 11732, 5. 11455
  39. Проверить подпись на документе
  40. Алгоритм решения проблем с JaCarta
  41. Устанавливаем и настраиваем КЭП под macOS
  42. Устанавливаем КриптоПро CSP
  43. Устанавливаем драйверы Рутокен
  44. Устанавливаем сертификаты
  45. Удаляем все старые ГОСТовские сертификаты
  46. Устанавливаем корневые сертификаты
  47. Скачиваем сертификаты удостоверяющего центра
  48. Устанавливаем сертификат с Рутокен
  49. Конфигурируем CryptoPro для работы ссертификатами ГОСТ Р 34. 10-2012
  50. Устанавливаем специальный браузер Chromium-GOST
  51. Устанавливаем расширения для браузера
  52. 1 КриптоПро ЭЦП Browser plug-in
  53. Плагин для Госуслуг
  54. Настраиваем плагин для Госуслуг
  55. Активируем расширения
  56. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
  57. Проверяем что все работает
  58. Заходим на тестовую страницу КриптоПро
  59. Заходим в Личный Кабинет на nalog
  60. Заходим на Госуслуги
  61. Что делать, если перестало работать

Возможные причины с определением контейнера

  1. Во первых, это проблема с драйверами, например, в Windows Server 2012 R2, JaCarta в идеале должна определяться в списке смарт карт как JaCarta Usbccid Smartcard, а не Microsoft Usbccid (WUDF)
  2. Во вторых если устройство видится как Microsoft Usbccid (WUDF), то версия драйверов может быть устаревшей, и из-за чего ваши утилиты будут не определять защищенный USB носитель.
  3. Устарелая версия CryptoPRO

Обновлено 13.01.2022

КриптоПро CSP — лидер среди криптопровайдеров (Cryptography Service Provider, CSP) в России. Используется для создания электронной подписи (ЭП), работы с сертификатами и т.д.

Лицензия (лицензионный ключ) платна, но предоставляется демо/пробный период 90 дней (3 месяца) во время которого функционал не ограничен. Бессрочные лицензии бесплатно выдает Федеральное казначейство бюджетным, казенным учреждениям и т.д. Некоторые коммерческие удостоверяющие центры выдают лицензии бесплатно при условии выпуска у них сертификата электронной подписи.

Если лицензия КриптоПро истекла, то работать с электронной подписью невозможно — ни зайти на сайт по сертификату, ни подписать документ нельзя.

Здесь доступны дистрибутивы КриптоПро CSP 4, 5 версии полученные с официального сайта. Мы избавляем вас от необходимости регистрироваться на официальном сайте для скачивания дистрибутивов.

Содержание

  • 1 Скачать КриптоПро CSP 4.0.9975, 4.0.9974, 4.0.9969, 4.0.9963, 4.0.9944
  • 2 Лицензия ключ КриптоПро 4
  • 3 Скачать КриптоПро CSP 5.0.12222, 5.0.12000, 5.0.11944, 5.0.11732, 5.0.11455
  • 4 Лицензия ключ КриптоПро 5
  • 5 Инструкция по установке КриптоПро 4.0

Сборка ключей версии КриптоПро ключ 4.0 и выше, найденные на просторах интернета с открытых источников. Подборка сделана для удобства поиска.

При нахождении новых ключей список будет пополнятся.

TD4MQ-RWVQG-TKTJW-VQKDD-MJKPM-KATPV-THRVF — Криптопро АРМ 4 стандарт

4040Y-Q0000-02Q6T-NFYX9-24Z86 — КриптоПро 4.0 (серверная постоянная)
40400-00000-UKAC2-00QP8-MT29G — КриптоПро 4.0 (серверная +Winlogon)

40400-00000-11111-101EB-G2EM0 — КриптоПро 4.0
40400-00000-11111-00NHL-372FM — КриптоПро 4.0
40400-00000-UKAC8-00PRU-B8HE6 — КриптоПро 4.0

4040A-Q000K-9KAC2-9A6QR-6FCZN  на 4.0.9944:

40400-00005-27345-00AYR-235HH на 4.0.9944:

4040Y-0000Q-UKAC0-0FV0Y-244K9 на 4.0.9944:

40400-00000-0Z211-00UUT-B3RLR на 4.09975

5050H-E000C-MTCQE-H1TWV-RTNUK на 4.0.9963

4040E-F000P-G1QZB-FP4C0-8LT5X на 4.0.9963

Для других версий

КриптоПро 5.0
КриптоПро 4.0
КриптоПро 3.9
КриптоПро 2.0
КриптоПро РАЗНЫЕ

Остерегайтесь мошенников которые продают ключи КриптоПро в телеграмме

Остерегайтесь мошенников которые продают ключи КриптоПро в телеграмме

Подпись файлов в macOS

В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.

Выясняем хэш сертификата КЭП

На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.
Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:

/opt/cprocsp/bin/certmgr -list

Команда должна вывести минимум 1 сертификат вида:

Certmgr 1.1 © “Crypto-Pro”, 2007-2018.
program for managing certificates, CRLs and stores
= = = = = = = = = = = = = = = = = = = =
1——-
Issuer: E=help@esphere.ru,… CN=ООО КОРУС Консалтинг СНГ…
Subject: E=sergzah@gmail.com,… CN=Захаров Сергей Анатольевич…
Serial: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Container: SCARD\rutoken_lt_00000000\0000\0000

= = = = = = = = = = = = = = = = = = = =
[ErrorCode: 0x00000000]

У нужного нам сертификата в параметре Container должно быть значение вида SCARD\rutoken…. Если сертификатов с такими значениями несколько, то значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение параметра SHA1 Hash (40 символов) нужно скопировать и подставить в команду ниже.

Подпись файла командой из terminal

В terminal переходим в каталог с файлом для подписания и выполняем команду:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).

Команда должна вернуть:

Signed message is created.
[ErrorCode: 0x00000000]

Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

Установка Apple Automator Script

Чтобы каждый раз не работать с терминалом, можно один раз установить Automator Script, с помощью которого подписывать документы можно будет из контекстного меню Finder. Для этого скачиваем архив – скачать.

  1. Распаковываем архив ‘Sign with CryptoPro.zip’
  2. Запускаем Automator
  3. Находим и открываем распакованный файл ‘Sign with CryptoPro.workflow’
  4. В блоке Run Shell Script меняем текст ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ на значение параметра SHA1 Hash сертификата КЭП, полученное выше.
  5. Сохраняем скрипт: ⌘Command + S
  6. Запускаем файл ‘Sign with CryptoPro.workflow’ и подтверждаем установку.
  7. В Finder вызываем контекстное меню любого файла, и в разделе Quick Actions и/или Services выбрать пункт Sign with CryptoPro
  8. В появившемся диалоге КриптоПро ввести PIN-код пользователя от КЭП
  9. В текущем каталоге появится файл с расширением *.sgn – отсоединенная подпись в формате CMS с кодировкой DER.

Скриншоты

Окно Apple Automator:

System Preferences:
D4041 криптопро

Контекстное меню Finder:

D4041 криптопро

Что нужно для работы с КЭП под macOS

  1. КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
  2. криптоконтейнер в формате КриптоПро
  3. со встроенной лицензией на КриптоПро CSP
  4. открытый сертификат должен храниться в контейнере закрытого ключа

Поддержка 
eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.

Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. 
Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.

Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.

Скачать КриптоПро CSP 4. 9975, 4. 9974, 4. 9969, 4. 9963, 4. 9944

Поддерживаемые операционные системы: Windows 7, Windows 8, Windows 8.1, Windows 10

Версия КриптоПроСертификацияПоддержка ГОСТ-2012ПримечаниеСсылка для скачивания
КриптоПро 4.0 R5 (4.0.9975 Euclid)Сертифиция не планируется.Поддерживает ГОСТ-2012Разработка КриптоПро CSP 4.0 прекращена! Рекомендуем начинать планирование миграции на КриптоПро CSP 5.0.Скачать КриптоПро 4.0 R5 (4.0.9975 Euclid)
Размер: 5,7 Мб
КриптоПро 4.0 R5 (4.0.9974 Diophantus)Версия промежуточная.Поддерживает ГОСТ-2012Решена проблема входа по электронной подписи на порталы в Windows 10Скачать КриптоПро 4.0 R5 (4.0.9974 Diophantus) от 30.08.2020.)
Размер: 5,7 Мб
КриптоПро 4.0 R5 (4.0.9969 Bayes)Версия промежуточная.Поддерживает ГОСТ-2012Решена проблема входа по электронной подписи на порталы в Windows 10Скачать КриптоПро 4.0 R5 (4.0.9969 Bayes)
КриптоПро 4.0 R4 (4.0.9963 Abel)Сертификаты соответствия СКЗИ Криптопро CSP 4.0.9963:

СФ/114-3610 от 10 января 2019 до 15 января 2021,

СФ/124-3611 от 10 января 2019 до 15 января 2021,
СФ/124-3612 от 10 января 2019 до 10 января 2022
СФ/114-3613 от 10 января 2019 до 15 января 2021
СФ/124-3614 от 10 января 2019 до 15 января 2021
Поддерживает ГОСТ-2012Отключен запрет на подписание с использованием ГОСТ Р 34.10-2001 в 2019 годуСкачать КриптоПро 4.0 R4 (4.0.9963 Abel)
КриптоПро 4.0 R3 (4.0.9944 Xenocrates)Сертификаты соответствия СКЗИ КриптоПро CSP 4.0.9944:

СФ/114-3379, СФ/124-3380, СФ/114-3382, СФ/124-3383
действительны от 11.05.2018 до 15.01.2021
Поддерживает ГОСТ-2012Необходимо отключение блокировки использования ГОСТ Р 34.10-2001 в 2019 годуСкачать КриптоПро 4.0 R3 (4.0.9944 Xenocrates)

При установке в режиме обновления предыдущей версии настройки, ключи и сертификаты сохраняются.

4040A-Q000K-9KAC2-9A6QR-6FCZN

4040Y-Q0000-02Q6T-NFYX9-24Z86

40400-00000-11111-101EB-G2EM0

40400-00000-11111-00NHL-372FM

40400-00000-UKAC8-00PRU-B8HE6

40400-00000-UKAC2-00QP8-MT29G

Инструкция по установке КриптоПро 4

Запустите установочный файл CSPSetup_4.0.xxxx.exe

В первом появившемся окне нажмите кнопку «Запустить».

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Далее нам сообщают, что мы принимаем условия лицензионного соглашения и устанавливаем программу с временной лицензией на 3 месяца. Нажимаем «Дополнительные опции».

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

В дополнительных опциях можно выбрать язык (русский, английский) и конфигурацию уровня безопасности (КС1, КС2, КС3). По умолчанию язык — русский, уровень безопасности — КС1 (такие настройки рекомендуется оставить!). В нашем случае необходимо установить КС2, поэтому настройки изменяем.

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Нажимаем «Далее».

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Принимаем условия лицензионного соглашения, нажимаем «Далее».

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Вводим имя пользователя и название организации. Если есть лицензия, то набираем лицензионный ключ. Если лицензии нет, то программа будет работать 3 месяца без лицензионного ключа. Нажимаем «Далее».

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Выбираем обычную установку. Нажимаем «Далее».

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Выбираем «Зарегистрировать считыватель «Реестр». (Это позволяет хранить закрытый ключ в реестре, необходимость во флешке или рутокене отпадает).

Нажимаем «Установить».

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Ждем пока программа установится.

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Дальше остается нажать «Готово». КриптоПро установлено.

КриптоПро CSP 4.0 / 5.0 cкачать бесплатно. Инструкция по установке

Как решить проблему, что криптопро не видит USB ключ?

Создали новую виртуальную машину и стали ставить софт все последовательно.

Перед установкой любого программного обеспечения работающего с USB носителями на которых находятся сертификаты и закрытые ключи. Нужно ОБЯЗАТЕЛЬНО
отключить токен, если воткнут локально, то отключаем его, если по сети, разрываем сессию

  • Первым делом обновляем вашу операционную систему , всеми доступными обновлениями, так как Microsoft исправляет много ошибок и багов, в том числе и драйверами.
  • Вторым пунктом является, в случае с физическим сервером, установить все свежие драйвера на материнскую плату и все периферийное оборудование.
  • Далее устанавливаете Единый Клиент JaCarta.
  • Устанавливаете свежую версию КриптоПРО

Срок действия этой версии КриптоПро CSP истек / Как ввести серийный номер КриптоПро CSP / Введен неправильный номер продукта

Серийный номер для «КриптоПро CSP» указан в документе “Лицензия на право использования СКЗИ “КриптоПро CSP” версии X.X на одном рабочем месте”, который распространяется компанией “КриптоПро” или одним из ее дилеров.

D4041 криптопро

Если при первичной установке программного продукта «КриптоПро CSP» на компьютере пропустить шаг ввода лицензии, продукт «КриптоПро CSP» устанавливается в режиме демо-версии сроком на 3 месяца.

Демо-версия не отличается функциями от расширенной версии. По истечении 3 месяцев, в случае если лицензия не будет введена, «КриптоПро CSP» становится неработоспособным до момента ввода действующей лицензии.

Для того чтобы ввести серийный номер на «КриптоПро CSP», необходимо выполнить следующие действия:

Читайте также:  как узнать пин код эцп тензор

«Пуск» – («Настройка») – «Панель управления» – («Безопасность») – «КриптоПро CSP» – вкладка «Общие» – “Ввод лицензии” и ввести серийный номер с бланка Лицензии.

Номер вводится большими английскими буквами, буквы О нет, есть только 0 (нули).

Обратите внимание на то, что серийный номер жестко привязан к версии продукта “КриптоПро CSP” :

  • 5050.. – версия “КриптоПро CSP” 5.0
  • No labels

Руководство по настройке

После установки токена JaCarta PKI в USB порт сервера и запуска системы проверяем, что новое устройство обнаружено и появилось в списке:

lsusb

D4041 криптопро

В нашем случае это Bus 004 Device 003: ID 24dc:0101

Для диагностики считывателей можно воспользоваться утилитой pcsc-tools из проекта security:chipcard (software.opensuse.org).

Запускается командой:

pcsc_scan

D4041 криптопро

Пока не установлены все необходимые пакеты, информация о токене не отобразится.

Установка драйверов и ПО для работы с JaCarta PKI

На странице Поддержки сайта «Аладдин Р.Д.» загружаем Документацию и программное обеспечение для работы только с JaCarta PKI

Согласно Руководству по внедрению «JaCarta для Linux» пункт 4.2., первым делом требуется установить пакеты pcsc-lite, ccid и libusb.

Для работы утилиты управления JaCarta необходимо установить следующие компоненты:

  • PC/SC Lite — промежуточный слой для обеспечения доступа к смарт-картам по стандарту PC/SC, пакет pcsc-lite.
  • Библиотеки ccid и libusb для работы с USB-ключами, смарт-картами и считывателями смарт-карт.

Выполняем проверку наличия этих пакетов и установку:

zypper search pcsc-lite

D4041 криптопро

zypper search libusb

D4041 криптопро

zypper install pcsc-lite

D4041 криптопро

D4041 криптопро

zypper search CCID

D4041 криптопро

zypper install pcsc-ccid

D4041 криптопро

zypper search CCID

D4041 криптопро

zypper install libusb

D4041 криптопро

В итоге пакет pcsc-lite был обновлен, CCID установлен, libusb никаких действия не требовалось.

Следующими двумя командами выполняем установку пакета с драйверами и программным обеспечением непосредственно для работы с JaCarta PKI:

zypper install idprotectclientlib-637.03-0.x86_64.rpm

D4041 криптопро

zypper install idprotectclient-637.03-0.x86_64.rpm

D4041 криптопро

Проверяем, что драйверы и ПО для JaCarta PKI установились:

zypper search idprotectclient

D4041 криптопро

При попытках заставить работать SafeNet eToken PRO я нашел информацию, что предустановленный в SLES пакет openct — Library for Smart Card Readers может конфликтовать с pcsc-lite — PCSC Smart Cards Library, установку которого требует руководство Аладдин Р.Д.

zypper search openct

D4041 криптопро

Поэтому пакет openct удаляем:

rpm -e openct

Теперь все необходимые драйверы и ПО для работы с токеном установлены.

Выполняем диагностику с помощью утилиты pcsc-tools и убеждаемся, что JaCarta определяется в операционной системе:

pcsc_scan

D4041 криптопро

Установка пакетов КриптоПро CSP

При установке КриптоПро CSP по умолчанию нужные пакеты для работы с токенами и смарт-картами отсутствуют.

zypper search cprocsp

D4041 криптопро

Выполняем установку в CSP компонента поддержки JaCarta components for CryptoPro CSP

zypper install cprocsp-rdr-jacarta-64-3.6.408.683-4.x86_64.rpm

D4041 криптопро

Некоторые компоненты имеют зависимости. Так, например, если попытаться выполнить установку пакета поддержки SafeNet eToken PRO cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm — EMV/Gemalto support module, то получим сообщение о необходимости сначала установить базовый компонент CSP поддержки считывателей cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm — PC/SC components for CryptoPro CSP readers:

zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm
Loading repository data...
Reading installed packages...
Resolving package dependencies...

Problem: nothing provides cprocsp-rdr-pcsc-64 >= 4.0 needed by cprocsp-rdr-emv-64-4.0.9944-5.x86_64
 Solution 1: do not install cprocsp-rdr-emv-64-4.0.9944-5.x86_64
 Solution 2: break cprocsp-rdr-emv-64-4.0.9944-5.x86_64 by ignoring some of its dependencies

Choose from above solutions by number or cancel [1/2/c] (c): c

Устанавливаем базовые пакеты поддержки считывателей и ключевых носителей:

zypper install cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm

D4041 криптопро

zypper install lsb-cprocsp-pkcs11-64-4.0.9944-5.x86_64.rpm

Теперь можно установить модули для работы с остальными видами носителей и компонент GUI:

zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm

D4041 криптопро

zypper install cprocsp-rdr-novacard-64-4.0.9944-5.x86_64.rpm
zypper install cprocsp-rdr-mskey-64-4.0.9944-5.x86_64.rpm
zypper install cprocsp-rdr-gui-gtk-64-4.0.9944-5.x86_64.rpm

D4041 криптопро

Проверяем итоговую конфигурацию КриптоПро CSP:

zypper search cprocsp
Loading repository data...
Reading installed packages...

S | Name | Summary | Type
---+-----------------------------+----------------------------------------------------+--------
i+ | cprocsp-curl-64 | CryptoPro Curl shared library and binaris. Build 9944. | package
i+ | cprocsp-rdr-emv-64 | EMV/Gemalto support module | package
i+ | cprocsp-rdr-gui-gtk-64 | GUI components for CryptoPro CSP readers. Build 9944. | package
i+ | cprocsp-rdr-jacarta-64 | JaCarta components for CryptoPro CSP. Build 683. | package
i+ | cprocsp-rdr-mskey-64 | Mskey support module | package
i+ | cprocsp-rdr-novacard-64 | Novacard support module | package
i+ | cprocsp-rdr-pcsc-64 | PC/SC components for CryptoPro CSP readers. Build 9944.| package
i+ | lsb-cprocsp-base | CryptoPro CSP directories and scripts. Build 9944. | package
i+ | lsb-cprocsp-ca-certs | CA certificates. Build 9944. | package
i+ | lsb-cprocsp-capilite-64 | CryptoAPI lite. Build 9944. | package
i+ | lsb-cprocsp-kc2-64 | CryptoPro CSP KC2. Build 9944. | package
i+ | lsb-cprocsp-pkcs11-64 | CryptoPro PKCS11. Build 9944. | package
i+ | lsb-cprocsp-rdr-64 | CryptoPro CSP readers. Build 9944. | package

D4041 криптопро

Чтобы применить изменения, выполняем перезапуск службы криптографического провайдера и проверяем ее статус:

/etc/init.d/cprocsp restart
/etc/init.d/cprocsp status

D4041 криптопро

Настройка и диагностика КриптоПро CSP

Проверим, видит ли криптографический провайдер наш токен и другие доступные типы носителей следующими командами:

/opt/cprocsp/bin/amd64/csptest -card -enum -v –v

D4041 криптопро

/opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMREADERS | iconv -f cp1251

D4041 криптопро

/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view -f cp1251

D4041 криптопро

Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00 — это наш носитель.

Следуя инструкции КриптоПро CSP для Linux. Настройка, выполняем его регистрацию в криптографическом провайдере:

/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add "Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00"

D4041 криптопро

В результате выполнения в конфигурационный файл /etc/opt/cprocsp/config64.ini
в раздел [KeyDevices\PCSC] будет добавлена запись:

[KeyDevices\PCSC\"Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00"\Default]

Чтобы выполнить требования Формуляра, Правил пользования и Руководства администратора безопасности КриптоПро CSP:

Использование СКЗИ «КриптоПро CSP» версии 4.0 с выключенным режимом усиленного контроля использования ключей не допускается. Включение данного режима описано в документах ЖТЯИ.00087-01 91 02. Руководство администратора безопасности.

Необходимо включить режим усиленного контроля использования ключей:

/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long StrengthenedKeyUsageControl 1

Проверяем, что режим включен:

cat /etc/opt/cprocsp/config64.ini | grep StrengthenedKeyUsageControl

D4041 криптопро

Выполняем перезапуск службы криптографического провайдера:

/etc/init.d/cprocsp restart
/etc/init.d/cprocsp status

После перезапуска проверяем, что ошибок в работе провайдера с ключевыми носителями нет:

/opt/cprocsp/bin/amd64/csptest -keyset –verifycontext

D4041 криптопро

/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum –unique

CSP (Type:80) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:REA
AcquireContext: OK. HCRYPTPROV: 16052291
alfa_shark1                        |SCARD\JACARTA_4E3900154029304C\CC00\E9F6
OK.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 4.560 sec
[ErrorCode: 0x00000000]

Работа с токеном JaCarta PKI

Запустим программу Xming (X11 forwarding) на своей станции, чтобы по SSH иметь возможность открывать и работать с графическими интерфейсами нужных утилит.

D4041 криптопро

После установки IDProtectClient — программного обеспечения для работы с JaCarta PKI, на сервере в папке /usr/share/applications появились два файла:

Athena-IDProtectClient.desktop
Athena-IDProtectManager.desktop

Это ярлыки, в которых можно посмотреть параметры запуска утилит Exec=/usr/bin/SACTools

Запустим утилиту IDProtectPINTool.

С помощью нее задаются и меняются PIN-коды доступа к токену.

/usr/bin/IDProtectPINTool

D4041 криптопро

При первой инициализации токена будет полезна ссылка, содержащая PIN-коды (пароли) ключевых носителей по умолчанию

Программа IDProtect_Manager позволяет просматривать информацию о токене и контейнере с ключами и сертификатом:

/usr/bin/IDProtect_Manager

D4041 криптопро

Для доступа к контейнеру с ключами нужно ввести пароль:

D4041 криптопро

D4041 криптопро

Для работы с SafeNet Authentication Client eToken PRO существуют аналогичные программы — SafeNet Authentication Client Monitor и SafeNet Authentication Client Tools, которые запускаются так:

/usr/bin/SACMonitor
/usr/bin/SACTools

D4041 криптопро

Выполнять операции непосредственно с ключевыми контейнерами удобнее в интерфейсе криптографического провайдера КриптоПро JavaCSP:

/jdk1.8.0_181/jre/bin/java ru.CryptoPro.JCP.ControlPane.MainControlPane

D4041 криптопро

Для отображения информации о содержимом контейнера с ключами можно выполнить команду:

/opt/cprocsp/bin/amd64/csptest -keyset -cont '\\.\Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00\alfa_shark1' -info

Для диагностики контейнера используется эта же команда с ключом –check

/opt/cprocsp/bin/amd64/csptest -keyset -cont '\\.\Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00\alfa_shark' –check

Потребуется ввести пароль от контейнера:

D4041 криптопро

D4041 криптопро

Программное извлечение ключей

В общем виде пример извлечения закрытого ключа и сертификата открытого ключа из контейнера на токене с помощью КриптоПро Java CSP следующий:

import ru.CryptoPro.JCP.KeyStore.JCPPrivateKeyEntry;
import ru.CryptoPro.JCP.params.JCPProtectionParameter;


 KeyStore keyStore = KeyStore.getInstance("Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00", "JCSP");
            keyStore.load(null, null);

        JCPPrivateKeyEntry entry = null;
        X509Certificate certificate = null;
        PrivateKey privateKey = null;

        try {
         
            entry = (JCPPrivateKeyEntry) keyStore.getEntry(keyAlias,
                    new JCPProtectionParameter(pwd));
            
            certificate = (X509Certificate) entry.getCertificate();
            privateKey = entry.getPrivateKey();
         
        } catch (UnrecoverableEntryException | NullPointerException e) {
            LOGGER.log(Level.WARNING, PRIVATE_KEY_NOT_FOUND + keyAlias + ExceptionUtils.getFullStackTrace(e));
        }

Если действовать так:

Key key = keyStore.getKey(keyAlias, pwd);

то криптографический провайдер будет пытаться в системе отобразить через консоль или GUI окно запрос на ввод пароля к контейнеру.

Результаты

Отторгаемый ключевой носитель-токен установлен во внутренний USB-порт сервера.

Само серверное оборудование опломбировано и размещается в помещении с ограниченным доступом.

Такие меры позволяют повысить уровень защиты наших информационных систем от кражи и компрометации ключей электронной подписи или шифрования, как удаленно по сети, так и физически.

Полезные ссылки

  1. Документация Aladdin-RD JaCarta
  2. wiki.astralinux.ru — Работа с КриптоПро CSP
  3. Перечень кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)
  4. СКЗИ КриптоПро CSP 4.0 ФКН (Gemalto)
  5. Утилита диагностики считывателей pcsc-tools из проекта security:chipcard (software.opensuse.org)
  6. КриптоПро CSP для Linux. Настройка.
  7. Aladdin-RD PIN-коды (пароли) ключевых носителей по умолчанию

Установка единого клиента JaCarta PKI

Единый Клиент JaCarta
– это специальная утилита от компании “Аладдин”, для правильной работы с токенами JaCarta. Загрузить последнюю версию, данного программного продукта, вы можете с официального сайта, или у меня с облака, если вдруг, не получиться с сайта производителя.

D4041 криптопро

Далее полученный архив вы распаковываете и запускаете установочный файл, под свою архитектуру Windows , у меня это 64-х битная. Приступаем к установке Jacarta драйвера. Единый клиент Jacarta, ставится очень просто (НАПОМИНАЮ ваш токен в момент инсталляции, должен быть отключен). На первом окне мастера установки, просто нажимаем далее.

D4041 криптопро

Принимаем лицензионное соглашение и нажимаем “Далее”

D4041 криптопро

Чтобы драйвера токенов JaCarta у вас работали корректно, достаточно выполнить стандартную установку.

D4041 криптопро

Если выберете “Выборочную установку”, то обязательно установите галки:

  • Драйверы JaCarta
  • Модули поддержки
  • Модуль поддержки для КриптоПРО

D4041 криптопро

D4041 криптопро

Через пару секунд, Единый клиент Jacarta, успешно установлен.

D4041 криптопро

Обязательно произведите перезагрузку сервера или компьютера, чтобы система увидела свежие драйвера.

D4041 криптопро

После установки JaCarta PKI, нужно установить КриптоПРО, для этого заходите на официальный сайт.

https://www.cryptopro.ru/downloads

D4041 криптопро

На текущий момент самая последняя версия КриптоПро CSP 4.0.9944. Запускаем установщик, оставляем галку “Установить корневые сертификаты” и нажимаем “Установить (Рекомендуется)”

D4041 криптопро

Инсталляция КриптоПРО будет выполнена в фоновом режиме, после которой вы увидите предложение, о перезагрузке браузера, но я вам советую полностью перезагрузиться.

D4041 криптопро

После перезагрузки подключайте ваш USB токен JaCarta. У меня подключение идет по сети, с устройства DIGI, через . В клиенте Anywhere View, мой USB носитель Jacarta, успешно определен, но как Microsoft Usbccid (WUDF), а в идеале должен определиться как JaCarta Usbccid Smartcard, но нужно в любом случае проверить, так как все может работать и так.

D4041 криптопро

Открыв утилиту “Единый клиент Jacarta PKI”, подключенного токена обнаружено не было, значит, что-то с драйверами.

D4041 криптопро

Microsoft Usbccid (WUDF) – это стандартный драйвер Microsoft, который по умолчанию устанавливается на различные токены, и бывает, что все работает, но не всегда. Операционная система Windows по умолчанию, ставит их в виду своей архитектуры и настройки, мне вот лично в данный момент такое не нужно. Что делаем, нам нужно удалить драйвера Microsoft Usbccid (WUDF) и установить драйвера для носителя Jacarta.

Откройте диспетчер устройств Windows, найдите пункт “Считыватели устройств смарт-карт (Smart card readers)” щелкните по Microsoft Usbccid (WUDF) и выберите пункт “Свойства”. Перейдите на вкладку “Драйвера” и нажмите удалить (Uninstall)

D4041 криптопро

Согласитесь с удалением драйвера Microsoft Usbccid (WUDF).

D4041 криптопро

Вас уведомят, что для вступления изменений в силу, необходима перезагрузка системы, обязательно соглашаемся.

D4041 криптопро

После перезагрузки системы, вы можете увидеть установку устройства и драйверов ARDS Jacarta.

D4041 криптопро

Откройте диспетчер устройств, вы должны увидеть, что теперь ваше устройство определено, как JaCarta Usbccid Smartcar и если зайти в его свойства, то вы увидите, что смарт карта jacarta, теперь использует драйвер версии 6.1.7601 от ALADDIN R.D.ZAO, так и должно быть.

D4041 криптопро

Если открыть единый клиент Jacarta, то вы увидите свою электронную подпись, это означает, что смарт карта нормально определилась.

D4041 криптопро

Открываем CryptoPRO, и видим, что криптопро не видит сертификат в контейнере, хотя все драйвера определились как нужно. Есть еще одна фишка.

  1. В RDP сессии вы не увидите свой токен, только локально, уж такая работа токена, либо я не нашел как это поправить. Вы можете попробовать выполнить рекомендации по устранению ошибки “Не возможно подключиться к службе управления смарт-картами”.
  2. Нужно снять одну галку в CryptoPRO

D4041 криптопро

ОБЯЗАТЕЛЬНО снимите галку “Не использовать устаревшие cipher suite-ы” и перезагрузитесь
.

D4041 криптопро

После этих манипуляций у меня КриптоПРО увидел сертификат и смарт карта jacarta стала рабочей, можно подписывать документы.

D4041 криптопро

Еще можете в устройствах и принтерах, увидеть ваше устройство JaCarta,

D4041 криптопро

Если у вас как и у меня, токен jacarta установлен в виртуальной машине, то вам придется устанавливать сертификат, через console виртуальной машины, и так же дать на нее права ответственному человеку. Если это физический сервер, то там придется давать права на порт управления , в котором так же есть виртуальная консоль.

Читайте также:  Привиты к криптопро и CryptoPro

Когда вы установили все драйвера для токенов Jacarta, вы можете увидеть при подключении по RDP и открытии утилиты “Единый клиент Jacarta PKI” вот такое сообщение с ошибкой:

D4041 криптопро

  1. Не запущена служба смарт-карт на локальной машине. Архитектурой RDP-сессии, разработанной Microsoft, не предусмотрено использование ключевых носителей, подключенных к удалённому компьютеру, поэтому в RDP-сессии удалённый компьютер использует службу смарт-карт локального компьютера. Из этого следует что, запуска службы смарт-карт внутри RDP-сессии недостаточно для нормальной работы.
  2. Служба управления смарт-картами на локальном компьютере запущена, но недоступна для программы внутри RDP-сессии из-за настроек Windows и/или RDP-клиента.\

Как исправить ошибку “Не возможно подключиться к службе управления смарт-картами”.

  • Запустите службу смарт-карт на локальной машине, с которой вы инициируете сеанс удалённого доступа. Настройте её автоматический запуск при старте компьютера.
  • Разрешите использование локальных устройств и ресурсов во время удалённого сеанса (в частности, смарт-карт). Для этого, в диалоге “Подключение к удалённому рабочему столу” в параметрах выберите вкладку “Локальные ресурсы”, далее в группе “Локальные устройства и ресурсы” нажмите кнопку “Подробнее…”, а в открывшемся диалоге выберите пункт “Смарт-карты” и нажмите “ОК”, затем “Подключить”.

D4041 криптопро

  • Убедитесь в сохранности настроек RDP-подключения. По умолчанию они сохраняются в файле Default.rdp в каталоге “Мои Документы” Проследите, чтобы в данном файле присутствовала строчка “redirectsmartcards:i:1”.
  • Убедитесь в том, что на удалённом компьютере, к которому вы осуществляете RDP-подключение, не активирована групповая политика
    -[Конфигурация компьютера\административные шаблоны\компоненты windows\службы удалённых рабочих столов\узел сеансов удалённых рабочих столов\перенаправление устройств и ресурсов\Не разрешать перенаправление устройства чтения смарт-карт]. Если она включена (Enabled), то отключите её, и перегрузите компьютер.
  • Если у вас установлена Windows 7 SP1 или Windows 2008 R2 SP1 и вы используете RDC 8.1 для соединения с компьютерами под управлением Windows 8 и выше, то вам необходимо установить обновление для операционной системы https://support.microsoft.com/en-us/kb/2913751

Вот такой вот был траблшутинг по настройке токена Jacarta, КриптоПРО на терминальном сервере, для подписи документов в ВТБ24 ДБО. Если есть замечания или поправки, то пишите их в комментариях.

Список документов для юридического лица:

1. Выписка из Единого государственной реестра юридических лиц (ЕГРЮЛ) не старше 30 дней.

2. Паспорт

3. Реквизиты компании

4. СНИЛС (Страховое свидетельство государственного пенсионного страхования)

5. Свидетельство ИНН

Список документов для Индивидуального предпринимателя (ИП):

1. Выписка из единого госудаственного реестра индивидуальных предпринимателей (ЕГРИП)

2. Паспорт

3. СНИЛС (Страховое свидетельство государственного пенсионного страхования)

4. Свидетельство ИНН

Список документов для физического лица:

1. Паспорт

2. Свидетельство ИНН

2. СНИЛС (Страховое свидетельство государственного пенсионного страхования)

Всплывает окно: “Ошибка! Библиотека CAPICOM не может быть загружена, возможно из-за низких прав доступа на данной локальной машине”.

Если у Вас при работе на сайте roseltorg.ru всплывает окно “Ошибка! Библиотека CAPICOM не может быть загружена, возможно из-за низких прав доступа на данной локальной машине” Вам нужно:

1. Нажать на желтую полоску под адресом сайта с текстом “Этот веб-узел пытается установить следующую надстройку: “CAPICOM User Download v2.1.0.2” от “Microsoft Corporation”. Если вы доверяете этому веб-узлу и надстройке и хотите установить ее, щелкните здесь…”;

2. Выбрать “Установить элемент ActiveX”;

3. Нажать на кнопку “Установить”; эту процедуру нужно выполнять до тех пор, пока не перестанет всплывать окно с этим сообщением (это индивидуально для каждого компьютера). Это одноразовая настройка.

Как установить личный сертификат?

Установка личного сертификата (сертификата вашей организации)может быть выполнена следующим способом:

Через меню “Просмотреть сертификаты в контейнере”

1. Выбрать Пуск / Панель управления / КриптоПро CSP
, перейти на вкладку Сервис
и кликнуть по кнопке Просмотреть сертификаты в контейнере
(см. рис. 1).

Рис. 1. Окно «Свойства КриптоПро CSP»

2. В открывшемся окне нажать на кнопку Обзор
, чтобы выбрать контейнер для просмотра. После выбора контейнера нажать на кнопку Ок
(см. рис. 2).

D4041 криптопро

Рис. 2. Окно выбора контейнера для просмотра

3. В следующем окне кликнуть по кнопке Далее
.

D4041 криптопро

Рис. 3. Окно «Выбранного контейнера закрытого ключа»

4. Если уставлена версия КриптоПро CSP 3.6 R2
(версия продукта 3.6.6497) или выше, то в открывшемся окне следует нажать на кнопку Установить
, после чего утвердительно ответить на уведомление о замене сертификата (если оно появится).

D4041 криптопро

Рис. 4. Окно просмотра сертификата

5. В появившемся окне об успешной установке сертификата нажимаем ОК

D4041 криптопро

Рис. 5. Окно «Сообщение об успешной установки сертификата»

6. после чего нажимаем кнопку готово

D4041 криптопро

Рис. 6. Окно просмотра выбранного сертификата

5. Закрываем окно КриптоПро CSP нажатием кнопки ОК

D4041 криптопро

Подробная информация по установке сертификата доступна по следующей ссылке.

Как настроить электронную почту.

Настройка параметров безопасности Outlook Express проводится по следующей схеме:

1. Выберите пункт меню Сервис/ Tools -> Учетные записи / Accounts и откройте закладку Почта/ Mail.

2. В отображаемом списке учетных записей выберите ту, которую необходимо настроить, и нажмите на кнопку Свойства/ Properties.

3. В отображаемом диалоге выберите закладку Безопасность/ Security, позволяющую пользователю указать свои личные сертификаты, которые будут использоваться при выборе личных ключей пользователя для формирования электронной цифровой подписи и расшифрования входящих сообщений. В диалоге выбора сертификата отображаются только сертификаты, имеющие совпадающий адрес электронной почты и разрешенные для защиты электронной почты

5. В отображаемом диалоге выберите закладку Безопасность/ Security:

6. В отображаемом диалоге установите следующие режимы:

a. Включать пользователя при отправке шифрованной почты/ Always encrypt messages when sending encrypted mail . Установка режима включения дает возможность отправителю расшифровывать отправленные им сообщения.

b. Включать цифровое удостоверение при отправке сообщений с подписью/ Include my digital ID when sending singed messages. Установка этого режима автоматически будет добавлять сертификат отправителя ко всем сообщениям. Этот режим позволяет производить обмен сертификатами с использованием подписанного сообщения, а затем использовать полученные сертификаты для последующего шифрования сообщений между адресатами.

c. Отправлять сообщения с непрозрачной подписью/ Encode message before signing. При включенном режиме сообщения все вложения будут объединены в единое вложение с включенной в него цифровой подписью. Если режим выключен, подпись формируется в виде одного отдельного вложения для всех вложений.

d. Автоматически добавлять сертификат отправителя в адресную книгу/ Add senders certificates to my address book. При включенном режиме сертификаты, передаваемые в составе подписанного сообщения, будут автоматически добавляться в адресную книгу.

e. Проверять отмену цифровых подписей/ Check for revoked Digital Ds:

i. только при нахождении в сети/ Only when online. Установка маркера проверки приводит к тому, что каждая операция формирования или проверки электронной цифровой подписи будет сопровождаться проверкой на отзыв сертификата. Для проверки на отзыв используется Cписок Отозванных Сертификатов (CRL), информация о нахождении которого записывается в виде дополнения в сертификате каждого пользователя. По умолчанию данная опция не включена, и “Outlook Express” не отслеживает факта компрометации ключей пользователей.

ii. Никогда/ Never.

Проверка на отзыв не выполняется.

Как подписать документ.

Существует 2 вида отправки документа в подписанном виде.

Первый способ – подписание самого документа и второй – подписание всего письма целиком.

Для создания и отправки подписанного сообщения:

1. Нажмите на кнопку Создать сообщение/ Create Mail или выберите пункт меню Файл/ File – > Создать/ New -> Сообщение/ Mail message.

3. Для отправки сообщения в подписанном виде проверьте состояние кнопки Подписать/ Sign. Она должна быть нажата, и должен быть виден знак подписанного сообщения в правой части экрана.

4. После того, как сообщение подготовлено к отправке, нажмите на кнопку Отправить/ Send:

Второй способ, когда подписывается сам файл. Пакет Microsoft Office позволяет прикреплять цифровые подписи к конкретному документу. Для этого необходимо:

1. В меню Сервис выберите команду Параметры, а затем откройте вкладку Безопасность.

2. Нажмите кнопку Цифровые подписи.

3. Нажмите кнопку Добавить.

4. Выберите нужный сертификат, а затем нажмите кнопку OK.

Для остальных форматов данных необходимо использовать программу КриптоАрм.

Срок действия КриптоПро заканчивается.

При установке не был введен серийный номер продукта согласно приобретенной вами лицензии.

Почта не видит сертификат.

При настройки электронной почты, на стадии подписания документа почта не находит нужный сертификат. Такое случается, когда адрес электронной почты, которая указывается при изготовлении ЭЦП, не совпадает с действующим электронным ящиком.

При установке КриптоПро на последнем шаге система выдает сообщение о некорректности установки программы и делает откат. Как быть?

Проблема возникает из-за неполного (или некорректного) удаления предыдущей версии Крипто Про с компьютера. Для удаление оставшихся от предыдущей версии файлов необходимо использовать программу очистки следов КриптоПро clear.bat. Скачать программу можно отсюда: ftp://ftp.cryptopro.ru/pub/CSP_3_6/clearing.zip

Где найти открытый ключ подписи ЭЦП?

Во всех подписях, выданных нашей компанией, открытый ключ находится внутри контейнера на защищенном носителе. Для того, чтобы его извлечь из контейнера необходимо:

При включенном в системный блок носителе Через программу КриптоПро Пуск à Панель управления à КриптоПро àСервис à Просмотреть сертификаты в контейнере. В появившемся диалоговом окне через обзор выбираете необходимый контейнер à Далее. В окне просмотра данных открытого ключа ЭЦП выбираете свойства à вкладка «Состав» à Копировать в файл и указываете путь сохранения сертификата.

КриптоПро не видит контейнер на флешке. Предлагает выбрать другой носитель.

В зависимости от того, какой тип носителя вы используете пути решения разные. Если вы используете смарт-карты типа Рутокен, МсКей, Етокен, то, скорее всего у вас не установлены драйвера для корректной работы с ключом.

Если ваш ключ находится на флешке USB 2.0, то надо смотреть версию ядра КриптоПро. Если вы используете КриптоПро 3.0, то у вас сбился путь. Для того чтобы его настроить необходимо:

При включенном в системный блок носителе Через программу КриптоПро Пуск à Панель управления à КриптоПро àОборудование Настроить считыватели Добавить. В появившемся окне Мастера установки считывателей выбираете в правой части экрана Дисковод (так как в КриптоПро все USB носители определяются как дискеты). В следующем окне выбираете правильное имя флешки, то есть то имя под которым определилась флешка в «Мой компьютер».

Если вы используете КриптоПро 3.6 и контейнер не виден, то значит носитель поврежден. Его следует предоставить в офис для выяснения состояния ключа.

Получили ЭЦП, что делать дальше? Как зарегистрироваться на торговой площадке?

Вся процедура аккредитации, подачи заявки на участие в аукционе и проведения самого аукциона описана в регламенте работы конкретной электронной торговой площадки, который можно найти на сайте этой площадки. Там же находятся различные вспомогательные видеоматериалы, инструкции для работы в системе. Либо вы можете обратиться к нам для приобретения нашей услуги помощи в аккредитации на любой электронной площадке.

Чтобы проверить, какая операционная система установлена на Вашем компьютере

— Зайти в проводнике в Мой компьютер.

— Нажмите правой кнопкой мыши на дисплее и выберите из появившегося меню пункт «Свойства».

— В отобразившемся окне содержаться сведения о Вашей системе.

Чтобы узнать, какая версия обозревателя Internet Explorer, установлена на Вашем компьютере

— Запустите Internet Explorer.

— Выберите из горизонтального меню в верхней части обозревателя пункт «Справка».

— В появившемся окне содержатся сведения о текущей версии обозревателя.

— Возможен вариант

Чтобы установить более новую версию обозревателя Internet Explorer 8

— Укажите в командной строке следующий адрес:

— В представленном окне нажмите «Загрузить бесплатно».

— Нажмите «Выполнить» в появившемся окне.

— Затем нажмите снова «Выполнить».

— При завершении установки необходимо перезапустить компьютер.

Часто к нам обращаются с вопросом, как установить сертификат через КриптоПpo CSP
. Ситуации бывают разные: сменился директор или главбух, получили новый сертификат в удостоверяющем центре и т.п. Раньше все работало, а теперь нет. Рассказываем, что нужно делать, чтобы установить личный цифровой сертификат на компьютер.

Вы можете установить личный сертификат двумя способами:

1. Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»

2. Через меню КриптоПро CSP «Установить личный сертификат»

Если на рабочем месте используется операционная система Windows 7 без SP1, то устанавливать сертификат следует по рекомендациям варианта № 2.

Вариант № 1. Устанавливаем через меню «Просмотреть сертификаты в контейнере»

Чтобы установить сертификат:

Читайте также:  как создать открепленную подпись в криптопро csp

1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Просмотреть сертификаты в контейнере”.

2. В открывшемся окне нажмите на кнопку “Обзор”. Выберите контейнер и подтвердите свой выбор кнопкой ОК.

D4041 криптопро

Если появится сообщение “В контейнере закрытого ключа отсутствует открытый ключ шифрования”, перейдите к установке цифрового сертификата по варианту № 2.

4. Если на вашем компьютере установлена версия “КриптоПро CSP” 3.6 R2 (версия продукта 3.6.6497) или выше, то в открывшемся окне нажмите на кнопку “Установить”. После этого согласитесь с предложением заменить сертификат.

Если кнопка “Установить” отсутствует, в окне “Сертификат для просмотра” нажмите кнопку “Свойства”.

D4041 криптопро

5. В окне “Сертификат” – > вкладка “Общие” нажмите на кнопку “Установить сертификат”.

D4041 криптопро

6. В окне “Мастер импорта сертификатов” выберите “Далее”.

7. Если у вас уставлена версия “КриптоПро CSP” 3.6, то в следующем окне достаточно оставить переключатель на пункте “Автоматически выбрать хранилище на основе типа сертификата” и нажать “Далее”. Сертификат будет автоматически установлен в хранилище “Личные”.

D4041 криптопро

D4041 криптопро

Вариант 2. Устанавливаем через меню «Установить личный сертификат»

Для установки вам понадобится, собственно, сам файл сертификата (с расширением.cer). Он может находиться, например, на дискете, на токене или на жестком диске компьютера.

Чтобы установить сертификат:

1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Установить личный сертификат”.

D4041 криптопро

2. В окне “Мастер установки личного сертификата” нажмите на кнопку “Далее”. В следующем окне, чтобы выбрать файл сертификата, нажмите “Обзор”.

D4041 криптопро

3. Укажите путь к сертификату и нажмите на кнопку “Открыть”, затем “Далее”.

D4041 криптопро

4. В следующем окне вы можете просмотреть информацию о сертификате. Нажмите “Далее”.

D4041 криптопро

5. На следующем шаге введите или укажите контейнер закрытого ключа, который соответствует выбранному сертификату. Для этого воспользуйтесь кнопкой “Обзор”.

D4041 криптопро

D4041 криптопро

Если у вас установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, поставьте флаг “Установить сертификат в контейнер”.

D4041 криптопро

8. Выберите хранилище “Личные” и нажмите ОК.

D4041 криптопро

9. Хранилище вы выбрали. Теперь нажмите “Далее”, затем – “Готово”. После этого может появиться сообщение:

D4041 криптопро

В этом случае нажмите “Да”.

10. Дождитесь сообщения об успешной установке личного сертификата на компьютер.

Все, можно подписывать документы, используя новый сертификат.

Смена PIN-кода контейнера

Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.

Выясняем название контейнера КЭП

На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Команда должна вывести минимум 1 контейнер и вернуть

[ErrorCode: 0x00000000]

Нужный нам контейнер имеет вид

\.\Aktiv Rutoken lite\XXXXXXXX

Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX после слэша нужно скопировать и подставить в команду ниже.

Смена PIN командой из terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).

Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.

Скриншот

D4041 криптопро

Центр загрузки

ДистрибутивЗагрузка файла

D4041 криптопро 

КриптоПро CSP 4.0

универсальный установщик (версия КриптоПро CSP 4.0.9963 от 23.11.2018)

D4041 криптопро

КриптоПро CSP 5.0 

КриптоПро CSP 5.0.11998 (K) RC6.

cspclean

Программа очистки следов Крипто Про

D4041 криптопро

Rutoken

32 и 64-разрядные Microsoft Windows 10/ 8.1/ 2012R2/ 8/2012/ 7/2008R2/ Vista/2008/XP/2003

D4041 криптопро

Rutoken для ЕГАИС

Версия: v.4.7.0.1 от 04.04.2019

32- и 64-разрядные Microsoft Windows 10/8.1/2012R2/8/2012/7/2008R2/Vista/2008/XP/2003

D4041 криптопро

eToken

MS Windows 8.1/2012 R2/8/2012/7/2008/Vista/2003/XP

32-разрядные

64-разрядные

D4041 криптопро

Программа TeamViewer teamviewer.com

необходима при удаленной настройки компьютера

D4041 криптопро

Программа Ammy admin сайт ammyy.com/ru/

необходима при удаленной настройки компьютера

D4041 криптопро

Инструкция по работе с ЭЦП

Таблица поддерживаемых операционных систем:

D4041 криптопро

Контактные лица:

В Энгельсе

Мария Серова

тел.: +7 (8453) 768-574, 759-202

e-mail: butorina-cpprf@mail.ru

В Саратове

Юлия Ким

тел.: +7 (8452) 324-524, 349-499

e-mail: kim@cpprf.ru

D4041 криптопроD4041 криптопро

D4041 криптопро

Тарифы на электронную подпись

Список площадок

Аккредитация на площадках

Скачать КриптоПро CSP 5. 12222, 5. 12000, 5. 11944, 5. 11732, 5. 11455

Поддерживаемые операционные системы: Windows 7, Windows 8, Windows 8.1, Windows 10

Версия КриптоПроСертификацияПоддержка ГОСТ-2012ПримечаниеСсылка для скачивания
КриптоПро 5.0.12222 (Lilith)Промежуточная версияПоддерживает ГОСТ-2012Скачать КриптоПро 5.0 (5.0.12222 Lilith)
Размер: 7,33 Мб
КриптоПро 5.0.12000 (Kraken)Сертификаты соответствия СКЗИ КриптоПро CSP 5.0.1200:
1-Base: СФ/114-4064 от 20.05.2021 до 01.05.2024
2-Base: СФ/124-4065 от 20.05.2021 до 01.05.2024
3-Base: СФ/124-4066 от 20.05.2021 до 01.05.2024
Поддерживает ГОСТ-2012Скачать КриптоПро 5.0 (5.0.12000 Kraken)
Размер: 7,3 Мб
КриптоПро 5.0.11944 (Jackalope)Версия предварительная, не сертифицирована!Поддерживает ГОСТ-2012Изменилась схема лицензирования. Требуются лицензии для КриптоПро CSP 5.0 (начинаются на 50). От КриптоПро CSP 4.0 подходят только временные лицензии с датой окончания.Скачать КриптоПро 5.0.11944 (Jackalope)
Размер: 7,43 Мб
КриптоПро 5.0.11732 (Heimdallr Update 1)Версия предварительная, не сертифицирована!Поддерживает ГОСТ-2012Изменилась схема лицензирования. Требуются лицензии для КриптоПро CSP 5.0 (начинаются на 50). От КриптоПро CSP 4.0 подходят только временные лицензии с датой окончания.Скачать КриптоПро 5.0.11732 (Heimdallr Update 1)
Размер: 7,45 Мб
КриптоПро 5.0.11455 (Fury)Сертификаты соответствия СКЗИ КриптоПро CSP 5.0.11455:
1-Base: СФ/114-3726 от 13.08.2019 до 13.08.2022
2-Base: СФ/124-3727 от 13.08.2019 до 13.08.2022
3-Base: СФ/124-3728 от 13.08.2019 до 13.08.2022
Поддерживает ГОСТ-2012Скачать КриптоПро 5.0 (5.0.11455 Fury)
Размер: 6,85 Мб

При установке в режиме обновления предыдущей версии настройки, ключи и сертификаты сохраняются.

Проверить подпись на документе

Если содержимое документа не содержит секретов и тайн, то проще всего воспользоваться web-сервисом на портале Госуслуг – https://www.gosuslugi.ru/pgu/eds. Так можно сделать скриншот с авторитетного ресурса и быть уверенным что с подписью все ок.

Скриншоты

D4041 криптопро

D4041 криптопро

Алгоритм решения проблем с JaCarta

КриптоПРО очень часто вызывает различные ошибки в Windows, простой пример (Windows installer service could not be accessed). Вот так вот выглядит ситуация, когда утилита КриптоПРО не видит сертификат в контейнере.

D4041 криптопро

Как видно в утилите UTN Manager ключ подключен, он видится в системе в смарт картах в виде Microsoft Usbccid (WUDF) устройства, но вот CryptoPRO, этот контейнер не определяет и у вас нет возможности установить сертификат. Локально токен подключали, все было то же самое. Стали думать что сделать.

Устанавливаем и настраиваем КЭП под macOS

Очевидные вещи

  • все загружаемые файлы скачиваются в каталог по-умолчанию: ~/Downloads/;
  • во всех установщиках ничего не меняем, все оставляем по-умолчанию;
  • если macOS запрашивает пароль пользователя и разрешение на управление компьютером – нужно ввести пароль и со всем согласиться.

Устанавливаем КриптоПро CSP

Регистрируемся на сайте КриптоПро и со страницы загрузок скачиваем и устанавливаем версию КриптоПро CSP 4.0 R4 для macOSскачать.

Устанавливаем драйверы Рутокен

На сайте написано что это опционально, но лучше поставить. Со страницы загрузок на сайте Рутокен скачиваем и устанавливаем Модуль поддержки Связки Ключей (KeyChain)скачать.

Далее подключаем usb-токен, запускаем terminal и выполняем команду:

/opt/cprocsp/bin/csptest -card -enum

В ответе должно быть:

Aktiv Rutoken…
Card present…
[ErrorCode: 0x00000000]

Устанавливаем сертификаты

Удаляем все старые ГОСТовские сертификаты

Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

В ответе каждой команды должно быть:

No certificate matching the criteria

или

Deleting complete

Устанавливаем корневые сертификаты

Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:

  • https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
  • https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
  • https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Устанавливаем командами в terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Каждая команда должна возвращать:

Installing:

[ErrorCode: 0x00000000]

Скачиваем сертификаты удостоверяющего центра

Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.

Альтернативно, сертификаты любого УЦ можно скачать с сайта УФО Минкомсвязи. Для этого в форме поиска нужно найти УЦ по названию, перейти на страницу с сертификатами и скачать все действующие сертификаты – то есть те, у которых в поле ‘Действует’ вторая дата еще не наступила. Скачивать по ссылке из поля ‘Отпечаток’.

Скриншоты

D4041 криптопро

D4041 криптопро

На примере УЦ Корус-Консалтинг: нужно скачать 4 сертификата со страницы загрузок:

  • https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
  • https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
  • https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
  • https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Скачанные сертификаты УЦ устанавливаем командами из terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

где после ~/Downloads/ идут имена скачанных файлов, для каждого УЦ они будут свои.

Каждая команда должна возвращать:

Installing:

[ErrorCode: 0x00000000]

Устанавливаем сертификат с Рутокен

Команда в terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Команда должна вернуть:

OK.
[ErrorCode: 0x00000000]

Конфигурируем CryptoPro для работы ссертификатами ГОСТ Р 34. 10-2012

Для корректной работы на nalog.ru с сертификатами, выдаваемыми с 2019 года, инструкция на сайте CryptoPro рекомендует:

Команды в terminal:

sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID.2.643.7.1.1.1.1!3' -add string 'Name' 'GOST R 34.10-2012 256 bit'

sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID.2.643.7.1.1.1.2!3' -add string 'Name' 'GOST R 34.10-2012 512 bit'

Команды ничего не возвращают.

Устанавливаем специальный браузер Chromium-GOST

Для работы с гос.порталами потребуется специальная сборка браузера сhromium – Chromium-GOST скачать.
Исходный код проекта открыт, ссылка на репозиторий на GitHub приводится на сайте КриптоПро. По опыту, другие браузеры CryptoFox и Яндекс.Браузер для работы с гос.порталами под macOS не годятся.

Скачиваем, устанавливаем копированием или drag&drop в каталог Applications. После установки принудительно закрываем Chromium-Gost командой из terminal и пока не открываем (работаем из Safari):

killall Chromium-Gost

Устанавливаем расширения для браузера

1 КриптоПро ЭЦП Browser plug-in

Со страницы загрузок на сайте КриптоПро скачиваем и устанавливаем КриптоПро ЭЦП Browser plug-in версия 2.0 для пользователейскачать.

Плагин для Госуслуг

Со страницы загрузок на портале Госуслуг скачиваем и устанавливаем Плагин для работы с порталом государственных услуг (версия для macOS)скачать.

Настраиваем плагин для Госуслуг

Скачиваем корректный конфигурационный файл для расширения Госуслуг для поддержки macOS и новых ЭЦП в стандарте ГОСТ2012 – скачать.

Выполняем команды в terminal:

sudo rm /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application\ Support/Chromium/NativeMessagingHosts

Активируем расширения

Запускаем браузер Chromium-Gost и в адресной строке набираем:

chrome://extensions/

Включаем оба установленных расширения:

  • CryptoPro Extension for CAdES Browser Plug-in
  • Расширение для плагина Госуслуг

Скриншот

D4041 криптопро

Настраиваем расширение КриптоПро ЭЦП Browser plug-in

В адресной строке Chromium-Gost набираем:

/etc/opt/cprocsp/trusted_sites.html

На появившейся странице в список доверенных узлов по-очереди добавляем сайты:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Жмем “Сохранить”. Должна появиться зеленая плашка:

Список доверенных узлов успешно сохранен.

Скриншот

D4041 криптопро

Проверяем что все работает

Заходим на тестовую страницу КриптоПро

В адресной строке Chromium-Gost набираем:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Должно выводиться “Плагин загружен”, а в списке ниже присутствовать ваш сертификат.
Выбираем сертификат из списка и жмем “Подписать”. Будет запрошен PIN-код сертификата. В итоге должно отобразиться

Подпись сформирована успешно

Скриншот

D4041 криптопро

Заходим в Личный Кабинет на nalog

По ссылкам с сайта nalog.ru зайти может не получиться, т.к. не будут пройдены проверки. Заходить нужно по прямым ссылкам:

  • Личный кабинет ИП: https://lkipgost.nalog.ru/lk
  • Личный кабинет ЮЛ: https://lkul.nalog.ru

Скриншот

D4041 криптопро

Заходим на Госуслуги

При авторизации выбираем “Вход с помощью электронной подписи”. В появившемся списке “Выбор сертификата ключа проверки электронной подписи” будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.

Скриншот

D4041 криптопро

D4041 криптопро

Что делать, если перестало работать

  1. Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:

    sudo /opt/cprocsp/bin/csptest -card -enum

  2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

    
chrome://settings/clearBrowserData


  3. Переустанавливаем сертификат КЭП с помощью команды в terminal:

    /opt/cprocsp/bin/csptestf -absorb -certs

  4. Если команды Cryptopro не отрабатывают (csptest и csptestf превратились в corrupted) – нужно переустановить Cryptopro.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector