Электронная подпись — где и как получить и поставить ЭЦП? — СКБ Контур

Начальные настройки

Сперва заполним файл /root/.rnd, который используется как источник начальных случайных значений в генераторе псевдослучайных чисел OpenSSL. Суть использования этого файла описана на сайте OpenSSL. Нам надо заполнить свой файл случайными данными, как вариант — скопировав из /dev/urandom 32768 байт в файл .rnd таким образом:

Далее создадим сертификат для CA:

root@shpc:/opt/simple_CA# openssl req -newkey rsa:4096-keyform PEM -keyout ca.key -x509-days3650-outform PEM -out ca.cer

Опции для сертификата берутся из файла /etc/ssl/openssl.cnf. Сам файл довольно большой, мы не будем приводить здесь его содержимое. В реальности стоит создать свой конфигурационный файл с необходимыми опциями и блоками — и использовать его для генерации сертификатов.

На выходе получим два файла: ключ и сертификат. 

Оба файла надо беречь. Если они попадут к злоумышленнику, он сможет использовать их для генерации сертификатов. Посмотреть сертификат можно при помощи этой команды (вывод обрезан для краткости):

root@shpc:/opt/simple_CA# openssl x509 -text-noout-in ca.cer

Далее на основе полученного сертификата (напомним, что это сертификат корневого CA) можно сгенерировать сертификат для сервера. Вначале генерируем закрытый ключ для сервера:

root@shpc:/opt/simple_CA# openssl genrsa -out server.key 4096

Теперь используем этот ключ для генерации запроса на выдачу сертификата (CSR):

root@shpc:/opt/simple_CA# openssl req -new-key server.key -out server.req -sha256

Отметим, что данные, которые вы вводите в поля, должны совпадать со значениями в тех полях, что указывались при создании сертификата корневого сервера. Теперь возьмём корневой сертификат CA и запрос — и сгенерируем на их основе сертификат для сервера:

root@shpc:/opt/simple_CA# openssl x509 -req-in server.req -CA ca.cer -CAkey ca.key -set_serial 100-extensions server -days1460-outform PEM -out server.cer -sha256

Должно получиться 5 файлов.

Файл server.req можно удалить — а при необходимости создать заново. Теперь надо перенастроить веб-сервер для работы с сертификатами.

Удостоверяющий центр выдачи средств электронных подписей: основные принципы работы и функции

На момент написания статьи в РФ действует порядка 300 УЦ. Каждый из них применяет собственные регламенты: о требованиях безопасности и финансовых расчетов, технологические, учреждающие методы выдачи закрытых ключей и СКПЭП. Среди основных можно выделить такие принципы работы УЦ:

  1. Полное соответствие действующим нормам законодательства (в частности, ФЗ № 63-ФЗ от 06.04.2021).
  2. Аккредитация. К 2021 она стала обязательным условием подключения к крупным системам ЭДО (например, для всех организаций, претендующих на ведение деятельности в рамках Ассоциации электронных торговых площадок — АЭТП).
  3. Техническая совместимость применяемых программно-аппаратных средств для генерации и верификации ЭЦП (USB-носителей, ПО) с устройствами, которыми пользуются заявители (ПК, ноутбуками, смартфонами, планшетами) и установленными на них операционными системами.
  4. Гарантия уникальности используемых идентификаторов: объектов, номеров СКПЭП и закрытых ключей для генерации ЦП.

ФЗ № 63-ФЗ предусматривает выполнение удостоверяющим центром следующих функций:

  • выпуск СКПЭП и выдача их клиентам, а также назначение сроков их действия;
  • аннулирование СКПЭП, ранее предоставленных этим же УЦ, по окончании срока их актуальности или по заявлению держателя (например, при утрате или краже);
  • формирование и предоставление клиентам закрытых ключей (генерации электронных подписей) и аппаратных средств (например, USB-токенов), их содержащих;
  • ведение реестра СКПЭП как предоставленных, так и аннулированных этим УЦ, включая все данные о них (периоды действия, причины утраты актуальности и прочих);
  • формирование порядка ведения реестра квалифицированных и неквалифицированных СКПЭП, доступа к нему;
  • обеспечение клиентского доступа (в том числе онлайн на удаленной основе) к данным, содержащимся в реестре сертификатов;
  • формирование открытых ключей проверки ЭП по обращению клиентов;
  • ревизия уникальности СКПЭП через упомянутый реестр;
  • проверка ЭП по требованиям участников ЭДО.

На основании договора между заявителем и УЦ его сотрудники создают и/или выдают аппаратно-программные средства для генерации и верификации ЭЦП:

  • секретный ключ;
  • публичный ключ;
  • СКПЭП;
  • при необходимости и/или по требованию клиента защищенный носитель для записи упомянутых программных средств ЦП — USB-накопитель (токен, смарт-карту и прочие).

СКПЭП должен содержать следующие данные:

  • диапазон дат — период его актуальности;
  • Ф. И. О. держателя — для физических лиц и/или индивидуальных предпринимателей, наименование и фактический адрес — для юридических лиц;
  • прочую информацию, которая позволит идентифицировать его владельца;
  • открытый ключ верификации ЭП;
  • наименование применяемого средства ЭЦП и/или стандарты открытого ключа верификации ЦП и/или СКПЭП;
  • название организации, которая выдала средства генерации и верификации ЭЦП.

В обязанности УЦ входит ряд мероприятий при взаимодействии с клиентами:

  • ознакомление с порядком и правилами использования ЭП;
  • гарантия сохранения в тайне закрытых ключей, выданных организацией клиентам (она не вправе передавать их третьим лицам);
  • сообщение о потенциальных рисках, предоставление информации о способах их снижения и прочих мерах безопасности.

Получение средства эцп: что такое удостоверяющие центры и для чего они нужны

В одной из статей мы уже описывали принцип шифрования, который используется для генерации и верификации ЦП. Напомним вкратце, как это работает. Криптографическая система функционирует на основе асимметричных ключей, предназначенных для кодирования и дешифровки данных — закрытого (секретного), открытого (публичного) и соответствующего ему сертификата. Ключи уникальны для каждого участника ЭДО.

Секретный ключ — набор символов, его длина составляет 256 бит. Хранить его надлежит на носителе, недоступном для третьих лиц (USB-токене, смарт-карте). Секретный ключ необходим для генерации его держателем уникальной ЦП и полной расшифровки получателем, например, сотрудником ФНС РФ, цифрового документа отправителя. Работает он только в тандеме с публичным.

Публичный ключ — шифр (как правило, сложная математическая формула) длиной 1024 бита. Нужен для верификации ЭП, которыми визируются цифровые документы участников ЭДО. На открытый ключ проверки ЭП выдается соответствующий сертификат (далее — СКПЭП). Публичный ключ работает только в тандеме с секретным.

Участники ЭДО обязаны обеспечить наличие своих публичных ключей у каждого коммуниканта, с которым они предполагают обмениваться цифровыми документами, визированными ЦП и упакованными в файлы. Дубликаты публичных ключей хранятся в УЦ. Удостоверяющие центры создают библиотеки (реестры) публичных ключей — таким образом осуществляются регистрация и хранение средств ЭЦП, чтобы избежать их подделок и/или искажений.

Что такое СКПЭП? Это расширение публичного ключа — цифровой документ (и при необходимости его бумажная копия), содержащий публичный ключ и дополнительные сведения о нем и его держателе (подробнее читайте ниже — в одном из следующих разделов этой статьи).

Средства ЭП, как и саму электронную подпись (например, простую, но и не только ее), возможно создать самостоятельно, используя персональный компьютер и специализированное программное обеспечение. Удостоверяющие центры выступают в роли цифровых нотариусов, поскольку заверяют и подтверждают сами средства генерации и верификации ЭЦП, которой визируются электронные бумаги.

Иногда их называют центрами сертификации — такое определение наиболее точно отражает их суть. Удостоверяющий центр — организация, честность и прозрачность работы которой неоспоримы. Проще говоря, это универсальная глобальная служба каталогов, осуществляющая контроль за использованием криптографических ключей всех своих клиентов.

Таким образом, за средствами для создания и верификации простой ЦП обращаться в УЦ не нужно. Эти действия не требуют применения криптографических алгоритмов. Удостоверяющие центры обеспечивают клиентам  получение средств для создания и проверки двух видов усиленной ЭЦП: неквалифицированной (НЭП) и квалифицированной (КЭП).

Примечание. Практически все электронные площадки (далее — ЭТП) — участники ЭДО — с января 2021 действуют на основании 44-ФЗ от 02.07.2021 и Постановления Правительства №768 от 30.06.2021. Согласно этим правовым нормам, использование КЭП обязательно для удаленного получения услуг через большинство государственных и коммерческих ЭТП, доступных в Сети.

Квалифицированные СКПЭП выдают только аккредитованные Министерством цифрового развития, связи и массовых коммуникаций РФ (далее — Минкомсвязь) центры сертификации.

Что, кроме эцп, предлагают удостоверяющие центры

Удостоверяющие центры продают носители для ЭЦП (токены). Они похожи на обычные флешки.
Отличие в том, что устройство не только хранит, но и защищает информацию.
Основные виды токенов: Рутокен и JaCarta, у каждого несколько моделей.

Также в УЦ можно приобрести лицензии на средства криптографической защиты информации (СКЗИ).
Это специальные программы для шифрования документов с ЭЦП.
Самая распространенная – КриптоПро CSP.

Инженеры УЦ могут приехать к вам в офис или на дом и установить на рабочем месте
СКЗИ и другое программное обеспечение для работы с ЭП
(корневые сертификаты, плагины для работы в браузерах, драйверы носителей).
Это гарантирует корректную работу подписи.

Специалисты УЦ «Тензор» не только выдают ЭЦП для участия в торгах, но и консультируют
по работе на торговых площадках, помогают зарегистрироваться в Единой информационной системе,
пройти аккредитацию на ЭТП, подготовить и подать заявку.

Аккредитованные удостоверяющие центры, выдающие средства эцп в москве

Действительно ли надежен УЦ и достоин ли он доверия, определяет Минкомсвязи РФ. Для этого действует процедура аккредитации.  Требования к УЦ, претендующим на ее получение, перечислены в ФЗ № 63-ФЗ и уточнены Приказом Минкомсвязи от 23.11.2021 № 320. Текст документа опубликован здесь. Чтобы получить аккредитацию в Минкомсвязи РФ, центр сертификации должен:

  • располагать чистыми активами на сумму от 1,5 млн р.;
  • иметь в штате 2 и более работника, способных создавать и выдавать закрытые и публичные ключи, СКПЭП.
Читайте также:  Эцп недорого госуслуги

Аккредитованные удостоверяющие центры, выдающие средства ЭЦП в Москве, также перечислены в этом перечне. Введите в электронное поле слева от иконки с лупой свой регион и нажмите Enter. Вы увидите на карте все адреса пунктов выдачи средств ЭП, аккредитованных УЦ, находящихся в вашем регионе — они будут отмечены белыми кружками в синем обрамлении.

Аккредитованный удостоверяющий центр

Как уже было сказано выше, сертификат ключа проверки ЭП выдает УЦ в электронном или бумажном виде. УЦ, подтвердивший соответствие требованиям закона в Минкомсвязи, становится аккредитованным УЦ и получает право выдавать квалифицированные сертификаты (список аккредитованных УЦ).

При выдаче квалифицированного сертификата аккредитованный УЦ должен не только установить личность обратившегося лица, но и внести в специальную базу данных (реестр сертификатов) серию, номер и дату выдачи документа, использовавшегося для установления личности.

Аккредитованный УЦ должен регулярно публиковать специальную выписку из реестра сертификатов (список отозванных сертификатов), содержащую номера квалифицированных сертификатов, которые прекратили действие по решению суда или по обращению владельца сертификата.

Подробно об обязанностях и функционале аккредитованного УЦ написано в ст. 15 Федерального закона от 06.04.2021 № 63-ФЗ.

Чтобы получить электронную подпись, для начала нужно определить, какой сертификат ЭП вам нужен для работы, с какой целью вы будете его использовать. Если вы планируете получить сертификат в Удостоверяющем центре СКБ Контур, то воспользуйтесь мастером подбора сертификата и заполните заявку на сайте.

Подготовить необходимые документы перед визитом в центр выдачи можно с помощью мастера подбора документов.

Для получения сертификата придется лично прийти в центр выдачи с оригиналами документов или их заверенными копиями, оплаченным счетом или копией платежного поручения, заверенной банком.

Виды электронной подписи

Различают два вида ЭП:

  1. Простая электронная подпись (позволяет лишь установить авторство документа, требует наличия ключа ЭП).
  2. Усиленная электронная подпись (формируется с помощью специальных криптографических алгоритмов). Может быть неквалифицированной и квалифицированной.

Простая ЭП используется в случаях, когда на аналогичном бумажном документе не требуется наличие печати. Такая подпись может только подтвердить личность подписанта.

Для усиленной неквалифицированной ЭП характерен ряд принципиальных качеств:

1) получается в результате криптографического преобразования информации с использованием ключа ЭП;

2) благодаря средству ЭП и ключу проверки помогает определить авторство электронного документа и установить изменения в документе после его подписания;

3) создается с использованием средств ЭП.

Если к этим качествам добавить еще два, то получится усиленная квалифицированная ЭП. При этом будет ошибкой считать, что усиленная квалифицированная ЭП является в то же время усиленной неквалифицированной ЭП.

О каких двух дополнительных признаках идет речь?

1) ключ проверки ЭП должен содержаться в квалифицированном сертификате ключа проверки ЭП;

2) средство ЭП, которое используется для создания и проверки, должно получить подтверждение соответствия требованиям, предусмотренным законом и ФСБ для средств ЭП.

Усиленная квалифицированная ЭП предоставляет ее владельцу максимум возможностей с правовой точки зрения. В то же время к ней предъявляются высокие требования.

Как выбрать удостоверяющий центр

Главный критерий выбора УЦ для получения квалифицированной подписи – его аккредитация. КЭП можно получить
только в удостоверяющем центре, одобренном Минкомсвязью РФ. На сайте министерства
можно посмотреть перечень аккредитованных УЦ.

Изучите тарифы удостоверяющих центров в вашем городе – стоимость на одинаковые виды ЭП
в разных УЦ отличается.

Обратите внимание на удобство расположения центров выдачи, возможность оформить ЭП удалённо и заказать
доставку подписи домой или в офис.

Дополнительным подтверждением надёжности служат размещённые на сайте лицензии и сертификаты,
отзывы клиентов о работе компании.

«Тензор» – аккредитованный удостоверяющий центр, который занимает 45% рынка электронных подписей
и выпускает ЭП для любого вида деятельности. Есть возможность дистанционного оформления ЭЦП
и доставка. Служба технической поддержки работает круглосуточно
и без выходных – помогает настраивать рабочие места для использования подписи и отвечает
на вопросы по ее применению.

Как подписать документ электронной подписью

Допустим, вы получили квалифицированный сертификат электронной подписи и хотите начать им пользоваться. Что для этого нужно?

  • Прежде чем подписать документ ЭП, убедитесь в его окончательной версии. После того, как будет создана ЭП, внести в него изменения не получится.
  • Позаботьтесь о наличии средств ЭП (в УЦ СКБ Контур настройка компьютера для работы с ЭП проходит автоматически) и программ для создания ЭП.

Для подписания ЭП документов формата Word и Excel есть несколько возможностей. Первая предполагает установку и использование платного программного модуля КриптоПро Office Signature (бесплатно он доступен только в рамках тестового периода). Однако у этого варианта есть несколько особенностей.

Модуль КриптоПро PDF используется для создания и проверки ЭП в Adobe Acrobat, Adobe Reader и Adobe LiveCycle ES.

Установка специальной программы (например, КриптоАРМ) позволит подписывать документы любого формата: rar,.jpeg,.png,.ppt, видео, базы данных и т.д. Но бесплатно доступна только базовая версия КриптоАРМ Старт, в которой заложен минимум возможностей. Остальные версии — платные, и цена зависит от функциональности.

Наконец, с помощью бесплатного веб-сервиса Контур.Крипто можно подписать документ любого формата без необходимости установки специальных программ. Сервис работает с подписью, выпущенной любым УЦ. С помощью Контур.Крипто вы можете создать и проверить ЭП, зашифровать и расшифровать электронный файл, а также подписать пакет файлов или архивов, создать подпись документа двумя и более лицами.

При этом в сервисе есть ограничение на вес документа — до 100 Мб, и он работает только в Microsoft Windows. Кроме того, сервис позволяет создать только отсоединенную подпись. Проверить подпись, созданную в Контур.Крипто, можно в любой программе, которая работает с отсоединенными ЭП.

Как получить электронную подпись

Обратитесь в офис компании «Тензор» лично или
оставьте онлайн‑заявку на сайте.
Менеджер проверит заявку и перезвонит в течение часа.

Из документов потребуются только паспорт и СНИЛС. Срок изготовления подписи – от 15 минут.

Получить электронную подпись можно в одном из центров выдачи УЦ «Тензор» или у наших партнеров в регионе. Можно заказать доставку подписи на дом или в офис. Специально подготовленный сотрудник доставит ЭЦП, не допустив компрометации.

Как проверяется доверие на практике?

Для каждого сертификата в соответствии с его назначением определяется хранилище в системе — туда его можно установить вручную. Например, есть хранилище доверенных сертификатов: если поместить в него сертификат, то система будет доверять ему. 

В Windows сертификаты можно просмотреть через оснастку certmgr.msc:

Если поместить сертификат в хранилище «Доверенные корневые центры сертификации», то такому центру система будет доверять. А поскольку это хранилище корневых центров сертификации, система потом будет доверять и всем объектам, которые подписаны этим сертификатом.

В ОС Ubuntu Linux сертификаты хранятся в каталоге /etc/ssl/cetrs. Причём часть из них — ссылки на другой объект:

Как стать удостоверяющим центром, выдающим средства эцп

Создание собственного центра сертификации сопряжено с рядом сложностей. Претенденту предстоит преодолеть несколько этапов.

При регистрации организации в учредительной документации нужно указывать общероссийский классификатор продукции по видам экономической деятельности  (ОКПД-2) — 62.09 («Услуги в области информационных технологий…»). Возможно, основателям УЦ понадобится добавлять кодировки — какие именно, зависит от перечня услуг, которые организация планирует оказывать в дальнейшем.

На втором этапе потребуется выбрать подходящее помещение, приобрести или арендовать его. Учредители должны корректно оформить все документы, подтверждающие право на владение объектом (акт купли-продажи и свидетельство о праве собственности) и/или его использование (арендное соглашение). Этот пакет бумаг позже потребуется представить в лицензирующий орган — ФСБ РФ.

На третьем этапе потребуется покупка и/или аренда оборудования и прочих технических средств производства и объектов, необходимых для ведения профильной деятельности УЦ. Для них также потребуется собирать пакет документов, подтверждающих право собственности и/или временного владения и использования. Их вы будете обязаны представить в лицензирующий орган — ФСБ РФ. Там же следует уточнять и требования к оборудованию.

На четвертом этапе обязательно понадобится штатный или сторонний юрист. Этот специалист необходим для участия в разработке, согласовании со всеми учредителями и принятии ряда инструкций и нормативов. Потребуется сформировать регламенты:

  • проведения операций со СКПЭП;
  • защиты и хранения секретных и публичных клиентских ключей, параметров их генерации;
  • приема и обработки входящих обращений на выдачу СКПЭП заявителям;
  • физического доступа к техническим средствам УЦ (каждой единице оборудования).

Должен быть документально оформлен порядок осуществления следующих процедур:

  • защиты сотрудников и страхования их ответственности;
  • проведения аудиторских мероприятий;
  • порядка разрешения споров и конфликтов;
  • защиты и хранения собственных и клиентских ключей.

Кроме этого, вам потребуется разработать:

  • режим работы каталога СКПЭП и доступа к нему третьих лиц;
  • порядок разделения сфер ответственности;
  • подробное описание функций всех компонентов УЦ, каталогов СКПЭП, баз данных конечных пользователей.

Пятым этапом является прохождение аккредитации в Минкомсвязи. Потребуется подать соответствующее заявление, представить образец соглашения с клиентом и договор о страховании ответственности на сумму не менее 1,5 млн р. На момент обращения в надзорный орган в штате должно числиться как минимум два исполнителя, способных создавать и выдавать клиентам аппаратно-программные средства ЭЦП.

На шестом этапе потребуется получение лицензии ФСБ РФ. На портале госоргана перечислены 7 основных видов деятельности, подлежащих обязательному лицензированию. Их точный список составляется с учетом формата работы УЦ и используемых криптографических стандартов (алгоритмов).

Читайте также:  Что такое ключ проверки электронной подписи | Такском

Вы отмечаете необходимые виды деятельности, от которых и будет зависеть конечная стоимость лицензии. Как правило, она обходится УЦ в несколько сотен тысяч рублей. Учтите, что компании, помогающие с оформлением этого разрешительного документа, взимают дополнительную плату за свои услуги.

Если вы собираетесь выпускать и использовать средства ЭП только для нужд собственных сотрудников, лицензирование в ФСБ РФ необязательно. Руководитель УЦ должен иметь высшее профессиональное образование по специальности «Информационная безопасность» или пройти соответствующие этому направлению курсы профподготовки. Стаж работы должен составлять от 3 лет, в некоторых случаях — от 5 (это зависит от перечня предоставляемых УЦ услуг).

На седьмом этапе потребуется нанять штатного бухгалтера или заключить договор с компанией-аутсорсером, чтобы осуществлять ведение бухучета и своевременно предоставлять отчетность в ФНС РФ, отчислять причитающиеся налоги и сборы. Приток клиентов обеспечивается за счет рекламы: обязательно заложите в бюджет расходы на раскрутку вашего бренда.

Краткий ликбез, как стать удостоверяющим центром, выдающим средства ЭЦП, и во сколько это обойдется, размещен на сайте компании «КРИПТО-ПРО». Затраты на создание собственного УЦ приведены из расчета на 4 000 пользователей. Почему было выбрано именно такое количество клиентов, авторы обзора поясняют в конце.

Настройка apache 2 для использования сертификатов

Переходим в каталог /etc/apache2:

root@shpc:/mnt# cd/etc/apache2/

Создаём каталог для хранения сертификатов:

root@shpc:/etc/apache2# mkdir ssl

Включаем модуль SSL для веб-сервера. Тестирование проводилось на ОС Ubuntu Linux, поэтому модуль достаточно просто включить:

a2enmod headers

Перезапускаем веб-сервер:

root@shpc:/etc/apache2# systemctl restart apache2

Аналогично нужно включить поддержку заголовков: 

Теперь создадим конфигурационный файл для модуля SSL. Пример содержимого для него можно взять на Syslink.pl. Команды такие:

root@shpc:/mnt# cd /etc/apache2/conf-available
root@shpc:/etc/apache2/conf-available# nano ssl-params.conf

Сам файл будет содержать следующие параметры (чтобы было проще работать, мы отключили заголовки Strict-Transport-Securrity, X-Frame-Options и X-Content-Type-Options):

Далее созданный конфиг надо активировать:

root@shpc:/etc/apache2/conf-available# a2enconf ssl-params

Теперь переходим в каталог /etc/apache2/sites-available:

root@shpc:/etc/apache2/conf-available# cd/etc/apache2/sites-available

И делаем на всякий случай резервные копии всех хранящихся там файлов:

root@shpc:/etc/apache2/sites-available# cp 000-default.conf 000-default.conf.bak
root@shpc:/etc/apache2/sites-available# cp default-ssl.conf default-ssl.conf.bak

Теперь ещё раз проверяем подключённые модули headers и SSL:

Далее нам надо перенести созданные сертификаты (сертификат CA и сертификат сервера) в каталог /etc/ssl/certs, а ключ сертификата сервера — в каталог /etc/ssl/private:

root@shpc:/opt/simple_CA# cp ca.cer /etc/ssl/certs/
root@shpc:/opt/simple_CA# cp server.cer /etc/ssl/certs/server.crt
root@shpc:/opt/simple_CA# cp server.key /etc/ssl/private/server.key

Далее откроем конфиг сайта (/etc/apache2/sites-available/000-default-ssl.conf) и добавим туда следующие опции:

SSLCertificateFile /etc/ssl/certs/server.crt
SSLCertificateKeyFile /etc/ssl/private/server.key
SSLCACertificateFile /etc/ssl/certs/ca.cer

Теперь перезагружаем веб-сервер:

root@shpc:/etc/apache2# a2ensite default-ssl
root@shpc:/etc/apache2/sites-available# service apache2 restart

Проверяем доступность сайта:

Видим, что Firefox не может проверить сертификат сайта. Чтобы смог, надо импортировать цепочку сертификатов, подтверждающих сертификат сервера, в список доверенных. Создадим цепочку:

root@shpc:/opt/simple_CA# openssl crl2pkcs7 -nocrl-certfile ca.cer -certfile server.cer -out serve-and-ca-chain.p7c -outform der

У полученного файла не забываем сменить атрибуты на 555:

root@shpc:/opt/simple_CA# chmod555 serve-and-ca-chain.p7c 

Теперь откроем в браузере менеджер сертификатов и импортируем полученную цепочку (кнопка Import):

Далее можно просмотреть сертификаты и настроить доверие — вдруг что-то упущено:

Когда сертификаты добавлены в список доверенных, можно снова зайти на сайт и увидеть, что соединение помечается как доверенное:

Сейчас время настроить аутентификацию для клиентов. 

Настройка аутентификации клиентов

Веб-сервер Apache поддерживает аутентификацию клиента. Это значит, что мы можем выписать клиенту сертификат SSL, а сервер сможет его проверить. Если у пользователя не будет сертификата — аутентификация не пройдёт. Для активации такой возможности надо добавить в конфиг default-ssl.conf такие опции:

SSLCACertificateFile /opt/simple_CA/ca.cer 
SSLVerifyClient require 
SSLVerifyDepth 2

После этого к сайту сможет подключиться только тот пользователь, сертификат которого:

  • установлен в браузере, если клиентом является браузер, — тогда сертификат будет предъявлен при подключении к серверу;
  • подписан сертификатом доверенного УЦ.

Сначала сгенерируем сертификат для клиента. Первым делом создаём ключ:

root@shpc:/opt/simple_CA# openssl genrsa -out client.key 4096

Затем на основе ключа сгенерируем CSR:

root@shpc:/opt/simple_CA# openssl req -new-key client.key -out client.req

Теперь на базе запроса сгенерируем сам сертификат:

root@shpc:/opt/simple_CA# openssl req -new-key client.key -out client.req

И импортируем сертификат в формате p12:

root@shpc:/opt/simple_CA# openssl pkcs12 -export-inkey client.key -in client.cer -out client.p12 

В итоге у нас должен получиться файл client.p12. Нужно поменять права на файл, иначе сертификат не импортируется:

root@shpc:/opt/simple_CA# chmod555 client.p12

Теперь можно импортировать его в браузер по аналогии с корневыми сертификатами:

После импорта должно получиться примерно так:

После этого перезапускаем веб-сервер и возвращаемся на сайт. Видим окно выбора сертификата того пользователя, которого мы импортировали в браузер:

Национальный удостоверяющий центр: электронная подпись и средства ее создания и верификации

НУЦ — организация, аккредитованная Минкомсвязи РФ и входящая в первую десятку крупнейших российских УЦ. Если вам нужна квалифицированная электронная подпись, вы можете обратиться за выпуском средств для ее создания и верификации в Национальный удостоверяющий центр. Специалисты НУЦ предоставляют ФЛ, ЮЛ и ИП комплексную услугу внедрения ЭП под ключ со следующим набором опций:

У НУЦ 4 филиала и около 100 точек выдачи средств ЦП по всей РФ. Чтобы получить в Национальном удостоверяющем центре средства электронной подписи, вам понадобится сообщить ИНН, написать заявление и представить как минимум два документа:

  • гражданский паспорт;
  • страховой номер индивидуального лицевого счета.

От ИП и ЮЛ дополнительно потребуются:

  • выписка из ЕГРЮЛ/ЕГРИП;
  • ОГРН/ОГРНИП;
  • доверенность на имя уполномоченного представителя ЮЛ и/или ИП, получающего СКПЭП (или копия учредительного договора).

Тарифные планы НУЦ для ФЛ представлены в таблице.

Опции«Очень просто»Сертификат ФЛ ( КриптоПро CSP)Сертификат ФЛ
Сертификат ФЛ
Доступ к порталу Росреестра
СКЗИ КриптоПРО CSP на 1 год
Рутокен lite 16K
Расценки (р./г.)2 5001 200950

ТП НУЦ для ЮЛ и ИП:

Опции«Стандарт»«Банкротство ЮЛ»В2В«Расширенный»«Премиум (ЮЛ)»
8 федеральных и 100 коммерческих ЭТП АСТ ГОЗ
СКЗИ КриптоПро CSP на 1 год
Рутокен lite 16K
ЭТП Центра реализации
Доступ к порталам ЕФРСБ и ЕФРСФДЮЛ
ЭТП В2В—Center
ЭТП Газпромбанка
ЭТП ТЭК—Торг
Доставка СКПЭП, оформление бумаг
Расценки (р./г.)6 90010 90012 20015 20025 200

НУЦ также предлагает дополнительные услуги:

  • ускоренный выпуск СКПЭП. Придется доплатить 2 350 р. к стоимости основного тарифа;
  • доставка СКПЭП в пределах МКАД — от 5 000 до 8 800 р., в зависимости от срочности оказания основной услуги и необходимости выезда специалиста к клиенту для оформления документов;
  • продление действия СКПЭП — от 4 090 до 14 390 р. в год;
  • установка и настройка специализированного ПО — от 3 000 до 8 800 р., в зависимости от срочности оказания основной услуги и необходимости выезда специалиста к клиенту для оформления документов.

Получить электронную цифровую подпись (эцп) за 1 день | национальный удостоверяющий центр

Мы оказываем комплекс услуг по обеспечению работы с квалифицированной электронной подписью.

Сертификаты нашего удостоверяющего центра принимаются практически во всех сферах:

  • электронная торговля (закупки товаров и услуг как для государственных (муниципальных) нужд, так и для крупных компаний) B2G и B2B;
  • электронная отчетность и взаимодействие с государственными органами контроля и управления (Федеральная служба по тарифам, Федеральная служба по финансовым рынкам, Росалкогольрегулирование, Росфинмониторинг, Росимущество и т. д.);
  • электронные государственные услуги (Портал госуслуг, регистрация прав на изобретение в Роспатенте и т. д.).

Мы помогаем настраивать рабочие места, содействуем в ускоренной аккредитации и обучаем работе на электронных торговых площадках.

Мы разрабатываем собственное программное обеспечение для работы с электронной подписью как на стационарных компьютерах, так и на планшетах.

Наш удостоверяющий центр сотрудничает с ведущими зарубежными организациями в части обеспечения доверенного трансграничного электронного взаимодействия.

Мы рады видеть Вас нашим клиентом!

Москва, ул. Авиамоторная, д. 8 строение 1.
Рядом с префектурой Юго-Восточного округа города Москвы, на территории технопарка МТУСИ.

Примечания и уточнения

Первое. Данные об окончании срока действия СКПЭП должны быть добавлены УЦ в реестр сертификатов в течение рабочего дня с момента фиксации любых обстоятельств, приведших к утрате его актуальности. Только после внесения соответствующей записи в упомянутый реестр СКПЭП считается недействительным. Если вы утратили над ним контроль, немедленно известите об этом сотрудников УЦ!

Читайте также:  Как самостоятельно продлить электронно-цифровую подпись

Второе. Если при получении средств ЭЦП от имени ЮЛ совершает действия физическое лицо (на основании учредительного договора или по доверенности), в содержание СКПЭП включаются его персональные данные.

Третье. СКПЭП могут выдаваться как в цифровом виде, так и на бумажном носителе. Держатель, получивший электронный СКПЭП, вправе в любой момент потребовать его бумажную копию. Сотрудники УЦ обязаны заверить ее и вручить клиенту.

Четвертое. Удостоверяющий центр вправе аннулировать СКПЭП по решению судебной инстанции, вступившему в силу, например, если средство электронной подписи содержит недостоверные данные или в том случае, если при его выдаче были допущены нарушения.

Пятое. Обстоятельства, при которых СКПЭП становится недействительным:

  1. Закончился срок его действия.
  2. Держатель заявил об его утрате, порче, краже.
  3. УЦ прекратил свою деятельность и не передал свои функции и полномочия третьим лицам, а также в иных случаях, упомянутых ФЗ № 63-ФЗ.

Шестое. УЦ обязан уведомить держателя средств генерации и верификации ЭП об окончании срока действия СКПЭП и закрытого ключа. Поэтому сам факт применения аннулированного ключа не повлечет правовых последствий, кроме тех, что прямо указаны в ФЗ № 63 и непосредственно связаны с его аннулированием.

Разворачиваем собственный цс

Чтобы лучше понять все процессы, лежащие в основе PKI, рассмотрим на практике развёртывание небольшого ЦС на виртуальной машине под управлением Ubuntu 18 (без выхода в глобальную сеть). Мы не будем жёстко придерживаться правил и стандартов выдачи сертификатов — просто разберём работу с ними.

С учетом того, что. все эксперименты мы проводим в виртуальной среде (без выхода в глобальную сеть), мы можем использовать любое доменное имя — например www.simple.org. Однако надо помнить, что в глобальной сети такое имя вполне может быть зарегистрировано за каким-нибудь сайтом.

Сертификат ключа проверки электронной подписи

В Федеральном законе от 06.04.2021 № 63-ФЗ говорится о том, что для подтверждения принадлежности ключа проверки ЭП автору документа сертификат может не использоваться. Сейчас он требуется только для квалифицированной ЭП.

Квалифицированный сертификат включает следующую информацию:

1) уникальный номер квалифицированного сертификата, даты начала и окончания его действия;

2) для физлица: ФИО и СНИЛС владельца сертификата;

для юрлица: наименование, место нахождения, ИНН и ОГРН владельца сертификата;

3) ключ проверки ЭП;

4) наименования средств ЭП и средств удостоверяющего центра (УЦ), с помощью которых созданы ключ ЭП, ключ проверки ЭП УЦ, квалифицированный сертификат;

6) наименование и место нахождения аккредитованного УЦ, который выдал квалифицированный сертификат, номер квалифицированного сертификата УЦ;

7) ограничения использования квалифицированного сертификата.

Требования к форме квалифицированного сертификата установлены Приказом ФСБ РФ от 27.12.2021 № 795. Для ограничения использования сертификата есть, например, дополнение keyUsage, содержащее серию флагов, с помощью которых устанавливается, где ключ проверки электронной подписи не может применяться.

Флаг keyCertSign в дополнении keyUsage означает, что область использования ключа включает проверку подписей под квалифицированными сертификатами. Этот флаг не поднимается в квалифицированных сертификатах клиентов УЦ. А вот в квалифицированном сертификате, который выдан УЦ Минкомсвязи, этот флаг поднимается, что позволяет УЦ создавать свою квалифицированную ЭП в сертификатах своих клиентов.

Удостоверяющие центры для получения средств эцп  москвы

Если рейтинг, предоставленный консалтинговым агентством «ГосРосЗаказ», показался вам неубедительным, рекомендуем обратиться к базе данных Ассоциации разработчиков и операторов систем электронных услуг (РОСЭУ). Организация была основана в 2021. Это авторитетное и единственное официально зарегистрированное в РФ объединение крупнейших игроков рынка цифровых услуг.

С полным перечнем аккредитованных УЦ, действующих на территории РФ, можно ознакомиться здесь. Чтобы сузить поиски, укажите ваше местоположение — заполните электронные поля «Регион» и «Город» (в нашем случае — г. Москва) соответствующими данными. Нажмите кнопку «Выбрать». Вы получите полный список УЦ, действующих в указанном субъекте РФ, и их контактные данные:

  • фактические адреса;
  • телефоны;
  • ссылки для перехода на официальные сайты;
  • адреса электронной почты.

Также вы получите краткую информацию об особенностях работы интересующего вас УЦ. Например, является ли организация членом РОСЭУ, какой класс защиты информации применяет (КС1, КС2, КС3) и прочее. В качестве участников в Ассоциации РОСЭУ состоят:

Все вышеперечисленные удостоверяющие центры имеют офисы в Москве. Для получения средств ЭЦП подойдет любой ближайший к вам пункт выдачи.

Удостоверяющий центр выдачи средств эцп в москве: как выбрать лучший

Центры сертификации предоставляют одну комплексную услугу с приблизительно одинаковым набором опций. Чтобы выбрать подходящий и надежный УЦ, следует придерживаться критериев:

  • стоимость комплексного сопровождения;
  • количество пунктов выдачи средств ЦП;
  • помощь в инсталляции и настройке сопутствующего ПО;
  • качество сервиса (например, согласно отзывам пользователей, рейтингам);
  • год основания организации.

Расценки на стандартный набор средств генерации и верификации ЭП для работы с ЭТП складываются из расчета стоимости:

Иногда в стоимость комплексной услуги входят инсталляция и настройка необходимого ПО, подготовка рабочего места, техническая поддержка. Расценки на базовый комплект средств ЭП в среднем составляют от 5 000 до 9 000 р.

Большое количество пунктов выдачи, включая офисы партнерских организаций, облегчает получение услуги. Вы сможете забрать программно-аппаратные средства ЦП из точки обслуживания УЦ, которая находится в шаговой доступности от вашего дома или офиса.

Инсталляция и настройка специализированного ПО для генерации и верификации ЦП, включая отладку браузера для работы с ЭТП, установку СКЗИ и корневых сертификатов, сильно сэкономит вам время и избавит от необходимости обращения в службу технической поддержки.

Защита от руткитов — вредоносных программ, используемых сетевыми злоумышленниками с целью маскировки вторжения на чужой ПК и получения доступа к данным от имени администратора, — опция, которая встречается в пакете комплексной услуги крайне редко. Обычная антивирусная программа не всегда может обнаружить руткит, пакующий и кодирующий свои файлы.

Любой удостоверяющий центр предлагает опцию ускоренного выпуска средств ЭП в качестве дополнительной услуги. За нее также придется доплачивать, как правило, около 2 500-3 000 р. к стандартному тарифу. Скорость предоставления услуги — от 15 минут (в экстренном режиме) до 3 суток (в обычном).

Чем дольше организация работает на рынке цифровых услуг, тем она надежней, и тем меньше вероятность совершения нарушений общепринятого регламента и положений законодательства РФ с ее стороны. Старейшими считаются УЦ «Такском» и «Национальный удостоверяющий центр». Эти организации функционируют с 2000 года.

Центры сертификации: как они используются

Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи. Логику работы ЦС, как правило, можно описать тезисом «никто не доверяет друг другу, но все доверяют ЦС».

Допустим, условная сущность Аlice имеет сертификат, подписанный ЦС Comp, а сущность Bob пытается проверить подлинность этого сертификата. Проверка будет успешной, если Bob и Alice доверяют одному и тому же ЦС. Для решения такой проблемы в ОС Alice и ОС Bob установлено множество сертификатов различных ЦС.

Эцп в москве | получение электронной подписи в удостоверяющем центре скб контур

Получить электронную подпись в Москве

Мы подготовили для вас перечень адресов удостоверяющих центров в Москве, где можно купить ЭЦП для физических и юридических лиц.

ЭЦП (электронная цифровая подпись) позволяет подтверждать личность владельца и придавать подписанным электронным документам юридическую силу.

Законодательство РФ предусматривает три вида цифровой подписи: усиленную квалифицированную (КЭП), усиленную неквалифицированную (НЭП) и простую подписи.

Единственным видом ЭЦП, придающим электронным документам юридическую силу без дополнительных соглашений между контрагентами, является усиленная квалифицированная подпись. Ее используют, чтобы сдавать отчетность, участвовать в торгах (в том числе и в торгах банкротов), взаимодействовать с коммерческими площадками и ЕГАИС ФСРАР.

В зависимости от целей применения электронной подписи вы можете получить:

  • КЭП для физических лиц — применяется для получения в электронном виде государственных услуг, финансовых услуг, услуг нотариуса и т.д.;
  • Базовый сертификат КЭП для ИП и юридических лиц — подходит для сдачи отчетности, работы с онлайн-кассой, получения финансовых услуг. Данный сертификат может быть использован и для торгов;
  • Сертификаты с расширением для конкретных информационных систем — необходимы для участия в закупках на некоторых коммерческих площадках и для работы в специализированных информационных системах;
  • Квалифицированная подпись для работы с ЕГАИС ФСРАР —  с ее помощью можно подключиться к системе ЕГАИС, если вы имеете дело с продажей алкогольной продукции.

Получить электронную подпись в Москве

Чтобы получить ЭЦП, обратитесь в ближайший центр выдачи сертификатов или заполните заявку на сайте:

  1.  В заявке укажите паспортные данные, ФИО, СНИЛС и электронную почту владельца сертификата.
  2.  Распечатайте и подпишите заявление. Заверьте заявление печатью, если таковая имеется.
  3.  Загрузите скан-копии или фотографии заявления, СНИЛС и паспорта и отправьте заявку в ваш удостоверяющий центр.  По окончании проверки на указанные вами номер телефона и электронную почту поступит уведомление об одобрении/отклонении заявки.
  4.  После подтверждения заявки вы получите счет на оплату — внимательно проверьте его и совершите оплату.
  5. Предоставьте счет и оригиналы сканированных документов в удостоверяющий центр для получения сертификата.

Получить электронную подпись в Москве

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector