генерация запроса на сертификат криптопро

14. Скачать «Бланк Сертификата», подписать его и выслать на адрес ООО «УЦ Столица».

15. Так же вы можете отдельно скачать «Файл открытого ключа».

Ошибки возникающие при выпуске ЭЦП:

1. При возникновении ошибки «Объект или свойство не найдено, (0x800920004), при условии, что в нижней части экрана появились кнопки «скачать бланк сертификата» и «скачать файл открытого ключа»

Для этого необходимо проделать следующие действия:
• Выбрать меню «Пуск» / «Панель управления» / «КриптоПро CSP». Перейти на вкладку «Сервис» и нажать на кнопку «Просмотреть сертификаты в контейнере» (см. рис. 1).

Рис. 1. Окно «Свойства КриптоПро CSP».

• В открывшемся окне нажать на кнопку «Обзор», чтобы выбрать контейнер для просмотра. После выбора контейнера нажать на кнопку «Ок» (см. рис. 2).

Рис. 2. Окно выбора контейнера для просмотра.

• В следующем окне кликнуть по кнопке «Далее».
• В окне «Сертификат для установки» необходимо нажать кнопку «Свойства» (см. рис. 3).

Рис. 3. Окно просмотра сертификата

• В открывшемся файле сертификата следует перейти на вкладку «Состав» и нажать кнопку «Копировать в файл» (см. рис. 4).

Рис. 4. Вкладка «Состав».

• В открывшемся окне «Мастер экспорта сертификатов» нажать на кнопку «Далее». Затем отметить пункт «Нет, не экспортировать закрытый ключ» и выбрать «Далее» (см. рис. 5).

Рис. 5. Параметры экспорта закрытого ключа.

• В окне «Формат экспортируемого файла» выбрать «Файлы X.509 (.CER) в кодировке DER» и нажать на кнопку «Далее» (см. рис. 6).

Рис. 6. Формат экспортируемого файла.

• В следующем окне необходимо кликнуть по кнопке «Обзор», вручную указать имя (ФИО владельца сертификата) и каталог для сохранения файла. Затем нажать на кнопку «Сохранить» (см. рис. 7).

Рис. 7. Сохранение файла.

• В следующем окне нажать на кнопку «Далее», затем «Готово». Дождаться сообщения об успешном экспорте. Закрыть все окна программы КриптоПро.

генерация запроса на сертификат криптопро

Создание запроса на сертификат для ЕБС (Единой Биометрической системы) на компьютере с Windows

Опубликовано Александр Лавник on 2022-02-02 16:00

При необходимости есть возможность создать запрос на сертификат для ЕБС на компьютере с Windows.

Для создания корректного запроса необходимо:

  1. Использовать КриптоПро CSP 5.0 R2 и новее, чтобы компонент имени с OID 1.2.643.100.4 (ИНН ЮЛ) имел нужный тип NumericString.

  2. Настроить подлючение к HSM с помощью HSM Client.

  3. Добавить в реестре параметр с именем CPEnroll_ClientID в ветке:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters

    типа DWORD со значением , чтобы в запрос не добавлялись лишние атрибуты.

  4. Использовать команду вида:

    cryptcp -creatrqst ^
    -provname "Crypto-Pro GOST R 34.10-2012 HSM CSP" -provtype 80 ^
    -pin 11111111 ^
    -dn ^
    "CN=""ФГБУ НИИ """"Восход"""""",^
    C=RU,S=77 Москва,^
    L=г. Москва,^
    STREET=""улица Удальцова, дом 85"",^
    O=""ФГБУ НИИ """"Восход"""""",^
    1.2.643.100.1=1234567890123,^
    1.2.643.100.4=1234567890^" ^
    -certusage 1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.4 ^
    -cont contname ^
    -ext certpolicies.ext -ext hsm2.ext ^
    request.req

    В примере предполагается, что файлы расширений certpolicies.ext и hsm2.ext, а также созданный файл запроса request.req находятся в текущей директории.

    Символ “^” использован для разбиения команды на строки для большей наглядности, без него команду необходимо записать в одну строку.

    Кавычки подкрашены для понимания того как работает вложенное экранирование.
    Для уже созданного ключевого контейнера необходимо добавить параметр -nokeygen

Другие подробности создания запроса на сертификат для ЕБС см. в основной статье.

генерация запроса на сертификат криптопро (1 плюсик(ов))

генерация запроса на сертификат криптопро Класс!

генерация запроса на сертификат криптопро Не очень 🙁


Создание тестового УКЭП КриптоПро

УКЭП — это Усиленная Квалифицированная Электронная подпись. Она представляет
собой файл сертификата и связанный с ним приватный ключ. Приватным ключом можно
подписать документ, а сертификатом можно проверить цифровую подпись.
Обе операции требуют наличия установленного на вашем компьютере криптопровайдера.
По умолчанию под Windows установлен криптопровайдер с алгоритмами RSA,
а для работы с ИС Честный знак нам потребуется алгоритм ГОСТ, поэтому гостовский
провайдер нужно установить вручную.

Алгоритмы ГОСТ поддерживаются несколькими провайдеров, самые распространенные
из них — КриптоПро и Vipnet. В файле сертификата и в приватном ключе указывается
не только название алгоритма по стандарту ГОСТ, но и конкретный криптопровайдер,
который этот алгоритм реализует. Поэтому для Vipnet будут одни сертификаты, для
КриптоПро — другие. В этой памятке описывается создание УКЭП с помощью сайта
КриптоПро, так что и криптопровайдер потребуется тоже КриптоПро.

Для выпуска тестового сертификата УКЭП потребуется еще и плагин для браузера
КриптоПро. Плагин нужен для взаимодействия браузера с установленным на вашей
машине криптопровайдером, для установки приватного ключа в защищенное хранилище
ключей на вашем компьютере и т.д.

Тестовый УКЭП можно выпустить на сайте КриптоПро

Плагин КриптоПро устанавливается в разные браузеры, но конкретно эта страница
для выпуска электронной подписи, похоже, работает только в Internet Explorer,
поскольку там используется VBScript. Ошибку скрипт сообщит не на первой странице,
а когда-нибудь потом, когда попытается зарегистрировать сертификат, и текст
ошибки будет невнятным, про Internet Explorer там упоминания не будет.
Просто имейте в виду, что в других браузерах страница регистрации не работает.

Заполнять поля совсем уж мусором нежелательно, потому что при регистрации
пользователя в ИС Честный знак потребуется соответствие полей Имя, Фамилия,
Отчество и ИНН:

Пример заполнения полей

УКЭП выпускается в два этапа.

Заполняются поля, на следующей странице копируется маркер временного доступа и пароль:

Маркер временного доступа

Запрос на генерацию ключа

Если на этом этапе страница падает — значит, вы, вероятно проигнорировали
требование использовать Internet Explorer. Страница обращается к плагину КриптоПро
и запрашивает разрешение на выполнение операции плагина. Плагин должен выяснить,
какие алгоритмы доступны на текущих установленных на вашей машине криптопровайдерах.
Разрешение надо дать:

Запрос сертификата

Параметры УКЭП: алгоритм, разрядность

Для работы с тестовым стендом годится любой ключ и любой ГОСТ-овский алгоритм.
Выбираете, нажимаете Отправить:

Параметры

Выбор хранилища для ключа

Плагин запросит, в какое хранилище поместить сгенерированный ключ. Ключ — вещь
ответственная, поэтому он будет лежать в хранилище, защищенном с помощью пароля.
Я рекомендую выбирать для верности реестр, оттуда ключ всегда можно будет экспортировать:

Хранилище ключа

Генерация ключа

Ключ представляет собой 512- или 1024-битное случайное число. Для его генерации
не подойдет обычный генератор случайных чисел, поэтому при генерации ключа нужен
дополнительный источник энтропии. Плагин КриптоПро попросит вас повозить и
покликать по экрану мышкой, чтобы добавить эту случайную информацию во время
генерации ключа:

Генерация ключа

Создание пароля

Ключ готов. Теперь этот ключ устанавливается в хранилище, которое будет защищено
паролем. Требований к сложности пароля нет, для тестового УКЭП допустимо использовать
простой пароль:

Генерация ключа

Установка сертификата в хранилище

Плагин снова запрашивает разрешение, теперь на установку сертификата. К сожалению,
в окошке нет указаний, какой именно сертификат устанавливается. Видимо, имеется
в виду только что созданный сертификат. Разрешаем:

Установка сертификата

Сертификат можно скачать

Добрались до страницы, на которой есть ссылки для скачивания и установки сертификата.
Воспользуйтесь ссылкой Сохранить сертификат в файле, в нижней части страницы.
Сертификат понадобится для регистрации пользователя на тестовом стенде Честного знака:

Скачивание сертификата

VBScript спросит, куда сохранять

Кнопки Browse нет 🙂

Скачивание сертификата

Еще один запрос от Internet Explorer

По-видимому, скрипт пытается сохранить сертификат в файл с помощью какого-то
ActiveX-объекта. В данном случае это безопасно:

Скачивание сертификата

Попытка установки сертификата

На этой странице есть еще одна отдельная кнопка Установка сертификата. Не знаю,
куда эта кнопка предполагает установить сертификат, если в личное хранилище плагин
этот сертификат вроде бы уже установил на прошлом шаге. В любом случае, эта функция
не работает, пока в списке доверенных сертификатов не установлен сертификат
Тестового УЦ ООО “КРИПТО-ПРО”. Чтобы подписывать своим тестовым УКЭП документы,
этот сертификат в любом случае придется установить в доверенные:

Неудачная установка

Установка сертификата

Установить сертификат в личное хранилище или в хранилище компьютера можно из файла.
В контекстном меню есть пункт Install certificate:

Удачная установка

Выбор хранилища

Мастер установки сертификата позволяет установить сертификат в хранилище текущего
пользователя (личное) или хранилище компьютера. Второй вариант доступен только
администраторам. Я выбрал первый вариант, личное хранилище:

Выбор хранилища

Личные хранилища тоже бывают разные

Мастер предлагает автоматом подобрать подходящее хранилище для сертификата, либо
указать свое. Пускай подберет сам:

Выбор хранилища

При установке потребуется пароль

Введите пароль, который вы придумали на шаге 7. Можно поставить галочку Save
password in system, чтобы плагин не запрашивал снова этот пароль при каждой
операции вычисления цифровой подписи:

Установка

Импорт в личное хранилище завершен

Импорт завершен

Экспорт сертификата

Сертификат можно перенести из одного хранилища в другое. Например, для установки
на другом компьютере. Или для переноса из личного хранилища в хранилище компьютера.
Для переноса сертификат вместе с ключом нужно экспортировать. Это делается с помощью
MMC-оснастки CryptoPro CSP, которая доступна в Панели управления, в разделе
Система и безопасность:

Импорт завершен

Экспорт с ключом или без ключа

Если экспортировать без ключа — будет выгружен один только сертификат. Им можно
только проверить цифровую подпись, но нельзя подписать документ. Нам нужен экспорт
с ключом:

Экспорт с ключом

Настройки экспорта

Оставляем по умолчанию. Для импорта под Windows подойдет любой формат, для которого
есть экспорт. С галкой Delete the private key рекомендую обращаться осторожно,
хорошо подумать, прежде чем удалять ключ из хранилища или оставлять его там:

Формат экспорта

Пароль

Файл для временного хранения ключа должен быть запаролен. Требований к сложности
пароля, правда, нет:

Формат экспорта

Файл для экспорта

Далее нужно выбрать имя файла для экспорта, на этом все:

Файл для экспорта

Импорт сертификата с ключом

Экспортированный файл можно импортировать той же остнасткой CryptoPro CSP. Выбираете
нужное хранилище и в контекстном меню операцию All tasks -> Import:

Импорт

Пароль от PFX

При импорте потребуется пароль от PFX-файла, созданный на шаге 21. Такой пароль,
как на скриншоте, можно использовать только для мусорных тестовых сертификатов:

Пароль от файла

Выбор хранилища

Дальше снова следует запрос типа и расположения хранилища:

Тип хранилища

Пароль от хранилища

Тут нужно придумать новый пароль, под которым ключ будет защищен уже в постоянном
хранилище:

Пароль от хранилища

Проверьте установленный сертификат

После импорта сертификата с ключом можно проверить его свойства в хранилище.
Убедитесь, что на иконке сертификата показан ключик, а в свойствах сертификата
написано: You have a private key that corresponds to this certificate. A certificate
that has a corresponding private key is also known as a digital ID:

Пароль от хранилища


Offline

SIB_ZK

Оставлено
:

21 сентября 2021 г. 11:36:35(UTC)

Добрый день!
Прошу подсказать: можно ли используя КриптоПРО CSP 4.0 создать контейнер закрытого ключа и запрос на сертификат, используя для этого командную строку и команды cryptcp и csptest?
В запросе обязательно должен быть параметр субъекта Subject Alternative Name.

Или необходимо иметь КриптоПро TLS и без него нельзя создать необходимый запрос?

Сертификат необходим для закрытия канала TLS, связка nginx и КриптоПРО CSP.

P.S.
Отдельно я смог создать ключ и запрос, но в запрос не смог добавить параметр SAN


Offline

SIB_ZK

Оставлено
:

21 сентября 2021 г. 11:42:30(UTC)

В идеале необходимо что-то вроде конфигурационного файла для openssl, который позволяет гибко настроить выпуск ключе\запросов.


Offline

SIB_ZK

Оставлено
:

22 сентября 2021 г. 6:40:10(UTC)

Смог найти решение:
При заполнение данных о субъекте
-dn “C=***,ST=***,L=***,O=***,OU=**,CN=***,OID.2.5.29.17=***”
Помимо стандартного набора параметров C, CN и т.д. можно использовать расширенные (T – псевдоним) и коды OID (OID.2.5.29.17 – SAN). Единственный вопрос с поиском этих кодов.


Offline

Александр Лавник

Оставлено
:

22 сентября 2021 г. 11:15:19(UTC)

Автор: SIB_ZK Перейти к цитате

Смог найти решение:
При заполнение данных о субъекте
-dn “C=***,ST=***,L=***,O=***,OU=**,CN=***,OID.2.5.29.17=***”
Помимо стандартного набора параметров C, CN и т.д. можно использовать расширенные (T – псевдоним) и коды OID (OID.2.5.29.17 – SAN). Единственный вопрос с поиском этих кодов.

Здравствуйте.

Уточните, пожалуйста, у Вас цель, чтобы в запрос в Subject Alternative Name попадало DNS-имя?


Offline

SIB_ZK

Оставлено
:

22 сентября 2021 г. 11:35:07(UTC)


Offline

Александр Лавник

Оставлено
:

22 сентября 2021 г. 12:00:07(UTC)

Автор: SIB_ZK Перейти к цитате

Добрый день!
Да, DNS имя.

В cryptcp, который идет вместе с КриптоПро CSP 5.0.12266 реализована поддержка параметра -altname, с помощью которого можно задать DNS-имя (или несколько) при создании запроса:

Код:

cryptcp -creatrqst -dn "CN=test" -altname "domain.ru" -altname "*.domain.ru" ...

В более старых сборках это можно сделать только с помощью файла с закодированным расширением:

Код:

cryptcp -creatrqst -dn "CN=test" -ext dns.ext ...

Пример такого файла – генерация запроса на сертификат криптопро dns.zip (1kb) загружен 18 раз(а)..

Его можно открыть в ANS.1 редакторе, строки с DNS-именами – ASCII символы, представленные в hex числах.


Offline

SIB_ZK

Оставлено
:

22 сентября 2021 г. 12:25:07(UTC)

Подскажите, пожалуйста, где можно найти документацию Приложение командной строки для подписи и шифрования файлов для версии 5.0.
Смог найти только для 4.0 и более старые версии.

не актуально.

Отредактировано пользователем 22 сентября 2021 г. 12:26:44(UTC)
| Причина: Не указана


Offline

SIB_ZK

Оставлено
:

22 сентября 2021 г. 12:32:46(UTC)

В документации нет упоминание о возможности использования параметра -altname.
Уточните, пжл, где именно это указано.


Offline

Александр Лавник

Оставлено
:

22 сентября 2021 г. 12:39:13(UTC)

Автор: SIB_ZK Перейти к цитате

В документации нет упоминание о возможности использования параметра -altname.
Уточните, пжл, где именно это указано.

Вероятно, еще не внесли в документацию.

Сборка КриптоПро CSP 5.0.12266 (5.0 R3 на текущий момент)- промежуточная несертифицированная.

Посмотреть наличие параметра можно во встроенной справке:

Код:

cryptcp -creatrqst -help

...

-altname <имя>   добавить альтернативное имя субъекта (DNS-name) к запросу

...


Offline

SIB_ZK

Оставлено
:

23 сентября 2021 г. 11:40:14(UTC)

Добрый день!
Вы писали:

Цитата:

В более старых сборках это можно сделать только с помощью файла с закодированным расширением:

Код:
cryptcp -creatrqst -dn “CN=test” -ext dns.ext …

Пример такого файла – dns.zip (1kb) загружен 3 раз(а)..

Его можно открыть в ANS.1 редакторе, строки с DNS-именами – ASCII символы, представленные в hex числах.

Как подготовить файл dns.ext? Как вообще пользоваться тегом -ext?


Offline

two_oceans

Оставлено
:

24 сентября 2021 г. 13:02:12(UTC)

Добрый день.
Утилитами, которые работают с кодировкой ASN.1
Например, если есть openssl, то подойдет команда openssl asn1parse
В обычном режиме она позволяет просмотреть что закодировано

Код:

D:\Programs\OpenSSL110\bin>openssl asn1parse -in c:\__\dns.ext -inform DER

выведет

https://www.openssl.org/….0.2/man1/asn1parse.html
https://www.openssl.org/…ASN1_generate_nconf.html
Для создания кодированной ASN.1 структуры там же есть параметры -genstr или -genconf и -out

Код:

D:\Programs\OpenSSL110\bin>openssl asn1parse -genconf c:\__.txt -out c:\__\dns2.ext

Совмещенный конфиг, создает файл одинаковый с dns.ext. Думаю не надо лишний раз объяснять, что domain.ru менять под себя. Имена параметров в секции в которую перешли как SEQUENCE в общем-то игнорируются, но если одинаковые, то либо в начале пишется разная цифра 0.name 1.name либо в конце name.0 name.1

Код:

asn1=SEQUENCE:MyExt1

[MyExt1]
name=OID:X509v3 Subject Alternative Name
value=OCTWRAP,SEQUENCE:MyExt2

[MyExt2]
name.0=IMPLICIT:2C,IA5:domain.ru
name.1=IMPLICIT:2C,IA5:*.domain.ru

Замечу, что если кодируете аналогичное в конфиге самого openssl для создания запроса на сертификат, то это задается гораздо проще, так как openssl уже знает что это расширение и какой формат расширения, делает большую часть работы на автомате:

Код:

subjectAltName = @alt_names

[alt_names]
DNS.1   = a.res-nsdi.ru
IP.1	= 195.208.4.1

Отредактировано пользователем 24 сентября 2021 г. 13:05:10(UTC)
| Причина: Не указана

thanks 2 пользователей поблагодарили two_oceans за этот пост.


Offline

Ilya1991

Оставлено
:

20 октября 2021 г. 7:26:03(UTC)

Автор: Александр Лавник Перейти к цитате

Автор: SIB_ZK Перейти к цитате

В документации нет упоминание о возможности использования параметра -altname.
Уточните, пжл, где именно это указано.

Вероятно, еще не внесли в документацию.

Сборка КриптоПро CSP 5.0.12266 (5.0 R3 на текущий момент)- промежуточная несертифицированная.

Посмотреть наличие параметра можно во встроенной справке:

Код:

cryptcp -creatrqst -help

...

-altname <имя>   добавить альтернативное имя субъекта (DNS-name) к запросу

...

Добрый день, кто сможет по подробнее описать, как можно сформировать запрос на сертификат с дополнительным полем SAN. Только не в openssl.
С алгоритмом ГОСТ Р 34.11-2012 256 бит. КриптоПро CSP 5.0.12266 поставил. Столкнулся с этим впервые, буду очень благодарен!


Offline

SIB_ZK

Оставлено
:

20 октября 2021 г. 7:31:45(UTC)

Добрый день!

1. Устанавливаешь КриптоПро CSP 5.0. Можно использовать временную лицензию на 14 дней.
2. Скачать утилиту cryptcp.x64.exe для КриптоПро CSP 5.0 с официального сайта КриптоПро.
3. Выполняем команду
путь\cryptcp.x64.exe -creatrqst путь\test.csr -provtype 80 -cont TEST -dn “C=**,ST=*,L=*,O=*,OU=*,CN=*” -both -ku -hashAlg 1.2.643.7.1.1.2.2 -certusage “1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2” -altname *
где:
путь\test.cs – место расположение запроса. ВАЖНО!!! Запрос создается без —–BEGIN CERTIFICATE REQUEST—– (в начале) и —–END CERTIFICATE REQUEST—– (в конце). Данные строки необходимо добавить руками.
-provtype 80 – используемый алгоритм.
75 GOST R 34.10-2001 Signature with Diffie-Hellman Key Exchange
80 GOST R 34.10-2012 (256) Signature with Diffie-Hellman Key Exchange
81 GOST R 34.10-2012 (512) Signature with Diffie-Hellman Key Exchange
-cont TEST – создать контейнер закрытого ключа с именем ***.
-dn “C=…” – данные субъекта.
-both – использование сертификата для подписи и шифрования.
-certusage “1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2” – использования сертификата. проверка клиента и сервера.
-altname – добавить доменное имя.

Отредактировано пользователем 20 октября 2021 г. 7:32:37(UTC)
| Причина: Не указана

thanks 1 пользователь поблагодарил SIB_ZK за этот пост.


Offline

Александр Лавник

Оставлено
:

20 октября 2021 г. 10:02:27(UTC)

Автор: SIB_ZK Перейти к цитате

Добрый день!

1. Устанавливаешь КриптоПро CSP 5.0. Можно использовать временную лицензию на 14 дней.
2. Скачать утилиту cryptcp.x64.exe для КриптоПро CSP 5.0 с официального сайта КриптоПро.
3. Выполняем команду
путь\cryptcp.x64.exe -creatrqst путь\test.csr -provtype 80 -cont TEST -dn “C=**,ST=*,L=*,O=*,OU=*,CN=*” -both -ku -hashAlg 1.2.643.7.1.1.2.2 -certusage “1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2” -altname *
где:
путь\test.cs – место расположение запроса. ВАЖНО!!! Запрос создается без —–BEGIN CERTIFICATE REQUEST—– (в начале) и —–END CERTIFICATE REQUEST—– (в конце). Данные строки необходимо добавить руками.
-provtype 80 – используемый алгоритм.
75 GOST R 34.10-2001 Signature with Diffie-Hellman Key Exchange
80 GOST R 34.10-2012 (256) Signature with Diffie-Hellman Key Exchange
81 GOST R 34.10-2012 (512) Signature with Diffie-Hellman Key Exchange
-cont TEST – создать контейнер закрытого ключа с именем ***.
-dn “C=…” – данные субъекта.
-both – использование сертификата для подписи и шифрования.
-certusage “1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2” – использования сертификата. проверка клиента и сервера.
-altname – добавить доменное имя.

Здравствуйте.

Пара уточнений:

1) Демо-лицензия КриптоПро CSP действует 3 месяца с момента первой установки.

2) Для создания запроса на сертификат действующая лицензия КриптоПро CSP вообще не нужна.

thanks 1 пользователь поблагодарил Александр Лавник за этот пост.


Offline

Ilya1991

Оставлено
:

20 октября 2021 г. 11:57:01(UTC)

Огромнейшее спасибо SIB_ZK и Александру!
Запрос создается С —–BEGIN CERTIFICATE REQUEST—– (в начале) и —–END CERTIFICATE REQUEST—– (в конце)
Руками дописывать не требуется.

Оглавление

1. Перед началом генерации.

2. Установка приложения.

3. Предоставление доступа.

4. Установка КриптоПРО CSP.

5. Установка драйвера для токена.

6. Формирование запроса на сертификат.

7. Запись сертификата на ключевой носитель.

ОСНОВНЫЕ ПОНЯТИЯ

КСКПЭП – квалифицированный сертификат ключа проверки электронной подписи.КЭП – квалифицированная электронная подпись.

Криптопровайдер – средство защиты криптографической защиты информации. Программа с помощью которой генерируется закрытая часть электронной подписи и которая позволяет производить работу с электронной подписью. Данная галочка проставляется автоматически.

Экспортируемый ключ – возможность копирования электронной подписи на другой носитель. При отсутствии галочки копирование электронной подписи будет невозможно.

ЛКМ – левая кнопка мыши.

ПКМ – правая кнопка мыши.

CRM-AGENT – приложение, разработанное специалистами УЦ для упрощения процедуры генерации ключевой пары, создания запроса и записи сертификата.

Перед началом генерации

После посещения удостоверяющего центра и прохождения процедуры сверки личности, на указанную Вами в заявлении электронную почту, УЦ прислал письмо, содержащее ссылку для генерации. Если Вы не получали письма, обратитесь к Вашему менеджеру или в Техническую поддержку УЦ по контактному номеру из этого руководства.

Откройте ссылку для генерации из письма в одном из рекомендуемых браузеров: Google Chrome, Mozilla Firefox, Yandex.Браузер. Если Вы уже находитесь в одном из вышеперечисленных браузеров, кликните по ссылке ЛКМ или ПКМ &gt; «Открыть ссылку в новой вкладке». Страница генерации (Рис.1) откроется в новом окне.

При открытии ссылки, появится первоначальное предупреждение. Ознакомьтесь с ним, если для хранения КЭП вы используете носитель Jacarta LT. Подробнее о носителях в Таблице 1 ниже. Если используете иной носитель, то нажмите кнопку «Закрыть».

Рис.1 – Страница генерации

1

Установка приложения

Нажмите на ссылку «Скачать приложение» для начала загрузки. Если ничего не произошло после нажатия, кликните по ссылке ПКМ > «Открыть ссылку в новой вкладке». После скачивания приложения запустите установку.

Рекомендуется отключить антивирусное ПО перед загрузкой программы!

В процессе установки приложения «crm-agent» появится сообщение с запросом доступа (Рис.2).

Рис.2 – Запрос доступа

2

Нажмите кнопку «Да».

Предоставление доступа

После окончания установки приложения вернитесь на страницу с генерацией. Появится сообщение о «Предоставлении доступа» (Рис.3).

Рис.3 – Доступ к хранилищу сертификатов

54

Нажмите «Продолжить» и, в появившемся окне, «Предоставить доступ» (Рис.4).

Рис.4 – Доступ к хранилищу сертификатов 2

5

Если не появилась кнопка «Продолжить»

Если после установки приложения «crm-agent», ссылка на скачивание приложения не исчезла, причиной может быть блокировка подключения вашей системой безопасности.

Для устранения ситуации необходимо:

Отключить антивирус, установленный на вашем компьютере;

Открыть новую вкладку в браузере;

Ввести в адресную строку браузера адрес без пробелов – 127.0.0.1:90 – и перейти (нажать Enter на клавиатуре);

При появлении сообщения браузера «Ваше подключение не защищено», добавьте страницу в исключения браузера. Например, Chrome: «Дополнительные» – «Все равно перейти на сайт». Для остальных браузеров воспользуйтесь соответствующей инструкцией разработчика.

После появления сообщения об ошибке, вернитесь на страницу с генерацией и повторите Пункт 2 данной инструкции.

Установка КриптоПРО CSP

В случае, если у вас отсутствуют предустановленные криптопровайдеры, после этапа предоставления доступа появятся ссылки для скачивания КриптоПРО (Рис.5).

Рис.5 – Загрузка КриптоПРО

6

Это важно: приложение «crm-agent» обнаруживает любые криптопровайдеры на компьютере, и, если у Вас установлена отличная от КриптоПРО CSP программа (например, VipNET CSP), свяжитесь со специалистами технической поддержки УЦ для консультации.

Нажмите на ссылку «КриптоПРО 4.0» на странице генерации или на аналогичную ссылку ниже для загрузки файла установки КриптоПРО на компьютер.

КриптоПро CSP 4.0 – версия для ОС Win 7 / 8 / 10

После окончания загрузки откройте zip-архив с помощью соответствующей программы-архиватора (например, Win-RAR). Внутри будет сам файл установки КриптоПРО. Запустите его и установите с параметрами по умолчанию. В процессе установки у Вас может появиться следующее окно:

Рис.5 – Установка КриптоПРО

7

Пропустите окно, нажав «Далее». Установка КриптоПРО завершена.

Установка драйвера для токена

Подписи можно хранить в реестре компьютера, на обычных флеш-накопителях и на специальных usb-токенах. Список токенов, пин-коды и ссылки на ПО представлены в таблице ниже (Таблица 1).

Таблица 1 – Драйверы для защищенных носителей

Тип USB-носителя

Внешний вид USB-носителя

Ссылка на загрузку драйверов

PIN-код

ruToken

6

Драйверы Рутокен для Windows

12345678

eToken

7

Драйверы eToken для Windows

1234567890

JaCarta LT

8

Единый клиент JC

1234567890

MS-Key

9

MSKey Driver

11111111

Esmart*

11

ESMART PKI Client

12345678

JaCarta LT Nano

JaCarta ГОСТ

JaCarta S/E

12

Единый клиент JC

1234567890

Визуально определите ваш носитель.

Для работы с одним из этих носителей необходимо установить драйвер. Перейдите по соответствующей ссылке, скачайте драйвер и установите его на компьютер. Установку драйвера проводите с параметрами по умолчанию.

Формирование запроса на сертификат

Теперь Вы можете приступать к формированию запроса на сертификат. На экране у вас появится сообщение об этом (Рис.6). Нажмите кнопку «Продолжить» для начала формирования запроса.

Рис.6 – Начало формирования запроса

8

Откроется дополнительное окно с предложением выбрать, куда записать КЭП (Рис.7). Есть возможность выбрать в качестве носителя:

Реестр – хранилище «внутри» компьютера;

Диск {X} – обычный флэш-накопитель;

ARDS JaCarta 0, Activ Co Rutoken 0 и т.п. – защищенный токен.

Рис.7 – Выбор носителя

15

Передвигая ползунок, выберите носитель для хранения КЭП и нажмите «ОК». Если был выбран «Реестр», то система в дальнейшем предупредит о возможном риске. Продолжите, если Вы осознанно выбрали реестр в качестве носителя для КЭП. Если случайно, то повторите формирование запроса повторно.

Это важно: в качестве хранилища КЭП для электронных торговых площадок можно использовать только защищенный носитель — токен. Если нет токена или драйвер установлен, но сам токен не работает, то свяжитесь со специалистами технической поддержки УЦ для консультации.

После выбора носителя откроется окно генерации «Датчик случайных чисел» (Рис.8). Для заполнения шкалы необходимо быстро и часто нажимать на цифровые клавиши на клавиатуре или передвигать мышь в пределах окна. Может потребоваться повторить процедуру несколько раз.

Рис.8 – Датчик случайных чисел

16

По окончанию процесса откроется окно с предложением задать пароль (Рис.8) для контейнера, если был выбран обычный флеш-накопитель или реестр. Рекомендуется не задавать пароль и пропускать данный пункт нажатием кнопки «ОК» без ввода и подтверждения пароля.

Рис.8 – Ввод пароля

17

Если вы выбрали в качестве носителя токен, тогда необходимо ввести pin-код. Стандартные pin-коды носителей указаны в Таблице 1 выше. Выбрать токен для хранения и пройти датчик случайных чисел может потребоваться дважды, так как на данный момент выпускается две аналогичные КЭП: по старому ГОСТ 2001 и по новому ГОСТ 2012.

Это важно: количество попыток ввода pin ограничено и, если pin введен неверно несколько раз, то носитель может быть заблокирован. В таком случае, свяжитесь со специалистами технической поддержки УЦ для консультации.

При успешном завершении генерации появится следующее (Рис.9) сообщение:

Рис.9 – Завершение генерации

18

Завершена процедура по созданию закрытой части ключа электронной подписи и отправка запроса на сертификат. Если в качестве носителя у Вас флеш-накопитель (флешка), то доступ к файлам электронной подписи открыт пользователям и антивирусному ПО. В таком случае есть риск утери закрытой части, после чего потребуется перевыпуск. Чтобы обезопасить себя от нежелательных последствий хранения КЭП на флеш-накопителе, сохраните копию папки с флеш-накопителя на своём компьютере и заархивируйте скопированный образец.

Это важно: категорически не рекомендуется осуществлять действия с этими файлами: перенос, изменение наименования, редактирование. При утере электронной подписи, требуется платный перевыпуск КЭП. Создавать копию созданной в процессе генерации папки – безопасно.

Запись сертификата на ключевой носитель

Спустя 5 минут после завершения этапа генерации, обновите страницу генерации, нажав клавишу F5 или соответствующую кнопку в браузере. Если запрос на выпуск сертификата уже одобрили, появится страница для записи сертификата в контейнер ключа (Рис.10). По ссылке из пункта 1 «Скачайте бланк для подписи» на этой странице скачайте бланк сертификата, распечатайте его. Владелец сертификата, на чье имя была выпущена КЭП, должен подписать бланк.

Рис.10 – Сертификат одобрен

19

Подписанный документ необходимо отсканировать и загрузить скан на сервер нашего удостоверяющего центра с помощью кнопки на этой же странице. После этого станут доступны две ссылки (Рис.11).

Рис.11 – Бланк загружен

20

Кликните на ссылку «Записать сертификат на ключевой носитель», откроется дополнительное окно (Рис.12).

Рис.12 – Запись сертификата

21

Нажмите кнопку «Продолжить» – в появившемся окошке «Предоставить доступ». Для завершения записи кликните кнопку «Начать». Появится сообщение об успехе операции (Рис. 13).

Рис.12 – Завершение записи сертфиката

22

Все готово, электронная подпись успешно создана. Для проверки работоспособности КЭП, откройте письмо, которое придёт после создания КЭП. В письме будет содержаться ссылка на сервис по подписанию закрывающих документов с помощью электронной подписи. Пройдите процедуру подписания и скачайте подписанные документы.

Скачать инструкцию

Всем привет. В этом посте я хочу рассказать о подводных камнях выпуска квалифицированной электронной подписи (КЭП) для физического лица и о моем личном опыте взаимодействия с удостоверяющими центрами (УЦ). Не буду вдаваться в законодательство и прочие юридические подробности, специалистом в которых я не являюсь. Могу лишь сказать что существует ФЗ (номер сейчас не вспомню) согласно которому КЭП признается аналогом обычной подписи физического лица, что открывает для простого пользователя массу возможностей. Например, с помощью КЭП можно подписывать произвольные документы, например, всякие заявления в PDF в банки, сотовым операторам, коммунальщикам и т.п. и отправлять их по обычной электронной почте, без необходимости посещения этих учреждений лично. По закону документ подписанный КЭП и отправленный по электронной почте, если и не считается юридически значимым (здесь не могу сказать, т.к. не юрист), то подпись на нем по-крайней мере точно считается аналогом вашей обычной подписи, что, как минимум, удобно. Плюс, вы можете получать различные государственные сервисы, например, регистрацию ИП и т.п., как раз для всего этого вам и пригодится КЭП.

Если вы не специалист в криптографии и никогда не касались подобных моментов, то немного поясню. Физически КЭП представляет собой сертификат, выданный аккредитованным удостоверяющим центром, а также ключевую пару, состоящую из открытого/публичного и закрытого/приватного ключа. Приватный ключ должен храниться в защищенном контейнере на ПК или на специальном устройстве – токене. Например, Рутокен Lite, Рутокен ЭЦП 2.0, Jacarta, eSmart и т.п. Также при создании ключевой пары могут использоваться различные алгоритмы, самые распространенные и наиболее используемые из них – зарубежные, например, RSA и др., у нас же в стране официально стандартом для КЭП признан алгоритм ГОСТ Р 34.10-2012. Процесс выпуска КЭП в теории выглядит следующим образом. Пользователь формирует на своем ПК ключевую пару: закрытый ключ, и получающийся из него открытый. После чего генерируется запрос на сертификат, согласно определенному шаблону, например, для КЭП в него заполняются такие поля, как Фамилия Имя Отчество пользователя, ИНН, СНИЛС, e-mail и др. Все это происходит с использованием СКЗИ (средства криптографической защиты информации), наиболее распространенными из которых являются КриптоПро CSP и VipNet CSP. Если кому-то интересно более подробно – то данную информацию можно найти на сайте практически любого удостоверяющего центра.

Теперь самое главное. Носители ключевой пары (токены) бывают нескольких видов. Если немного углубиться в технические детали, то это – с поддержкой аппаратной криптографии и без. Что это значит? На носителе с поддержкой аппаратной криптографии можно создать неэкспортируемую ключевую пару, т.е. в этом случае приватный ключ создастся на самом носителе и не сможет быть извлечен оттуда. Другими словами, все операции с электронной подписью будут выполняться на самом носителе, приватный ключ никогда его не покинет, не окажется в памяти компьютера, не сможет быть скомпрометирован вирусами или другим вредоносным ПО. Т.е. пока сам носитель при вас – никто не сможет воспользоваться вашей электронной подписью и никто не сможет ее похитить. В то время как носители без поддержки аппаратной криптографии являются просто хранилищем ключа и не выполняют таких функций.

Естественно, что для меня, как для пользователя делающего ставку на безопасность важно хранить мою подпись и ключевую пару на носителе с поддержкой аппаратной криптографии, и, конечно, мне бы хотелось чтобы ключевая пара была неизвлекаемой / неэкспортируемой. Т.е. чтобы ни вирусы, ни кто-либо еще не могли получить доступ к приватному ключу, хранящемуся на носителе. Таким требованиям вполне отвечает Рутокен ЭЦП 2.0.

Приобрести его можно в любом удостоверяющем центре (УЦ), или, например, в сетевых магазинах, таких как Ситилинк и т.п. Что я и сделал, плюс использовал бонусы в Ситилинке, для покупки токена со скидкой. В итоге окончательная цена на него получилась около ~1000 руб. Для сравнения – ни один УЦ такую цену на токен конечно не даст. Кроме самого токена нам понадобится ПО КриптоПро CSP и КриптоАРМ ГОСТ для удобной подписи документов (напомню, что одним из условий для чего мы вообще планируем использовать КЭП – является подпись документов), это все также достаточно легко находится и приобретается.

Теперь, когда у нас есть все необходимое, носитель для подписи, необходимое ПО и т.п. Можно перейти к самому главному – поиску удостоверяющего центра (УЦ). КЭП для физического лица сроком на 1 год обойдется вам примерно в 900 руб. практически везде. Поэтому выбирать УЦ было решено по другому критерию. А именно оперативности и адекватности ответа. Запрос во все удостоверяющие центры был написан в выходной день, субботу. Также необходимым условием была поставлена возможность выпуска сертификата КЭП на основе запроса в формате PKCS#10 предоставленного клиентом.

Поясню почему это важно. Априори регламент выпуска электронной подписи удостоверяющим центром неизвестен для пользователя. Т.к. ответственность за безопасность приватного ключа подписи несет сам пользователь, логично что подпись должна генерироваться пользователем самостоятельно (!), на его собственном ПК или токене с поддержкой аппаратной криптографии. Вариант в котором вы обратились в УЦ с заявлением на предоставление электронной подписи, сотрудники УЦ как-то что-то там сгенерировали, отдали вам токен и бумаги на подпись не подходит по понятным причинам. Т.к. в этом случае приватный ключ сгенерирован не вами и у вас в теории не может быть уверенности в том, что недобросовестный сотрудник УЦ не скопировал ваш приватный ключ себе на флэшку. Такое наверное маловероятно, но все же. В ситуации когда приватный ключ генерируется вами, на носителе с поддержкой аппаратной криптографии и не может быть физически извлечен с этого носителя – вы чувствуете себя гораздо более спокойно, т.к. ваш закрытый ключ находится в безопасности.

Как же УЦ должен выдать сертификат КЭП в таком случае, спросите вы? Как раз для этого и нужен тот самый запрос в формате PKCS #10. В момент генерации запроса на носителе создается неизвлекаемая ключевая пара, т.е. запрос соответствует вашему приватному ключу. Задача УЦ обработать этот запрос и выдать вам сертификат. Так это должно работать в теории, и так это работает со всеми зарубежными УЦ, например, при выдаче TLS сертификатов для подтверждения доменного имени сайта и т.п. В “отечественном” же случае, для получения КЭП – нужен еще личный визит в офис для подтверждения вашей личности и проверки паспорта и СНИЛС. Но по факту смысл действий УЦ остается тем же, вы подаете запрос – они генерируют сертификат. Всё.

Но … вернёмся в реальность. В субботу вечером был напрален запрос по e-mail в следующие удостоверяющие центры:

1. Тензор

2. Астрал

3. Контур

4. ITCom

5. КриптоПРО

6. Инфотекс Траст

С некоторыми из них переписка велась по e-mail, с некоторыми – в чате на сайте. Вопрос был задан всем один и тот же:

Подскажите пожалуйста, может ли ваш УЦ выпустить сертификат КЭП для физического лица на основании запроса в формате PKCS #10? Хочется использовать КЭП для подписи произвоильных документов. Имеется носитель РуТокен ЭЦП 2.0, создан запрос на сертификат и неэкспортируемая ключевая пара. Хотелось бы получить сертификат на основании данного запроса. Eсли это возможно, то каким образом я могу передать PKCS #10 запрос в УЦ и оплатить генерацию сертификата? Какова процедура?

Позже всех ответил Тензор, ответа пришлось ждать несколько суток, аж до понедельника:

Электронные подписи для физического лица изготавливаем только на защищеном носителе Рутокн lite (не на Рутокен ЭЦП 2,0).

Таким образом сотрудники Тензор считаю что физические лица не достойны использовать ключевые носители с аппаратной криптографией.

Крипто-Про ответили, что формирование сертификата по PKCS#10 запросу невозможно:

Здесь нужно заметить, что техническая грамотность некоторых сотрудников поддержки отвечающих на вопросы в чате и по e-mail у большинства УЦ практически нулевая (это не относится к УЦ КриптоПро) и, как выяснилось, мало кто из них представляет что такое запрос в формате PKCS#10 , т.к. все привыкли что клиенты пользуются “стандартной процедурой” или регламентом самого УЦ для получения КЭП. Который как раз и заключается в том, что вы заполняете бумажное заявление, потом сотрудники УЦ генерируют приватный ключ и сертификат, в некоторых случаях вообще без вашего участия, и отдают все это вам, вы же просто оплачиваете и подписываете документы что со всем согласны (между тем гарантий что копий вашего приватного ключа не осталось в УЦ у вас нет).

Диалог со старшим специалистом Астрал в чате выглядел следующим образом (общение в чате происходило потому, что на почту они так и не удосужились ответить):

– Добрый день. Подскажите, каков механизм получения КЭП для физического лица в случае если у меня уже есть носитель (Рутокен ЭПЦ 2.0) и сформирован запрос на сертификат? Каким образом я могу передать запрос на сертификат сотрудникам УЦ? Лично при посещении офиса, либо с помощью какой-либо формы на сайте УЦ, по электронной почте или еще как-то?

– Здравствуйте. Вы обратились в техническую поддержку организации АО «Калуга Астрал». Уточните, пожалуйста, ИНН организации.

– Елена, в смысле ИНН организации? Вы читали вопрос? Речь идет о ФИЗИЧЕСКОМ ЛИЦЕ.

– Я читала Ваш вопрос, в данном случае имеется ввиду ИНН физ. лица.

– А какое это отношение имеет к заданному вопросу? Ответить на вопрос можно без запроса каких-либо перс. данных.

– Вы написали что сформировали запрос, мне необходимо понимать по какому продукту.

– Перечитайте вопрос. Речь идет о КЭП для физического лица. Об этом сказано в вопросе.

– Еще раз уточню, я читала Ваш вопрос, если Вы сформировали запрос у нас по какому-либо продукту, то потребуется ИНН для проверки. Если Вы еще не формировали, а только собираетесь сформировать, то в данном случае я могу оформить заявку в отдел продаж если Вы уже выбрали тариф. Могу только сказать что идентификация производится при личном присутствии в офисе.

– Подскажите, вы представляете себе принципы и алгоритмы выпуска КЭП удостоверяющим центром? В данном случае речь идет о том что у меня сформирован запрос на выпуск сертификата КЭП для УЦ. Вопрос о том, каким образом он передается в УЦ, при личном посещении или есть другие каналы передачи?

– Получить сертификат на физ. лицо можно либо напрямую в офисе, либо подав заявку из личного кабинета. Для подбора обслуживающей организации можем оформить заявку в отдел продаж.

– Видимо мы не понимаем друг-друга. Я задам интересующие вопросы при посещении офиса. Спасибо.

Здесь старший (!) специалист вообще не захотел вникать в суть вопроса или даже не понял смысла того, про что его спрашивают. По-крайней мере информации о том возможен ли выпуск сертификата по запросу PKCS#10 предварительно подготовленному клиентом и о возможных путях передачи этого запроса в УЦ предоставлено не было.

Диалог со “специалистами” Контур был куда более “увлекательным”. Один из специалистов попытался вникнуть в смысл вопроса, но после нескольких безуспешных попыток:

Просто решил уйти. Другой сотрудник почему-то решил что речь идет про использование решения КриптоПро HSM (хотя в вопросе про это ничего не было сказано) и вообще никакой речи про HSM не поднималось:

И ответил отказом. После чего ему еще раз было объяснено, что никакого HSM и облачных технологий у меня нет и никогда не было, и что имеется только РуТокен ЭПЦ 2.0 на котором уже есть неэкспортируемая ключевая пара, а также мной уже был сгенерирован запрос на сертификат. Однако это пояснение также не помогло, после чего я попытался переформулировать вопрос:

Однако четкого ответа также не было получено и я просто решил не тратить больше время на подобное общение.

Специалисты Инфотекс Траст ответили что действуют согласно собственному регламенту и не могут сформировать КЭП на основании имеющегося запроса:

Наш УЦ выпускает КЭП только на основании запроса сформированного через личный кабинет на сайте iitrust.lk. Выпуск сертификата на основании запроса сформированного сторонним ПО не предусмотрен.

Выпуск сертификата к уже существующему приватному/закрытому ключу тоже не предусмотрен. Если у Вас утеряна открытая часть ключа (сертификат), то необходимо обратиться в УЦ, в котором выпускалась ключевая пара. В ином случае, Вы можете пройти весь этап генерации заново в нашем УЦ, но в этом случае будет сформирована новая ключевая пара.

Естественно, что генерация ключевой пары в УЦ меня по понятным причинам не устраивала и я решил задать уточняющий вопрос:

А какой смысл в генерации ключевой пары вне носителя пользователя? В этом случае она априори будет считаться скопрометированной, т.к. недобросовестный сотрудник УЦ сможет, например, скопировать контейнер с закрытым ключом себе. В случае же, если ключевая пара формируется непосредственно на носителе с неизвлекаемой ключевой парой – подобное исключено в принципе. Поэтому вопрос актуален, и наверное звучит – как при обращении в ваш УЦ использовать носитель с аппаратной криптографией и неизвлекаемой ключевой парой?

После чего сотрудник поддержки прислал следующее разъяснение:

В сценарии получения электронной подписи через личный кабинет iitrust.lk все действия, в том числе и генерация закрытого ключа, производятся на ПК пользователя – УЦ осуществляет только выпуск сертификата, который можно будет скачать в личном кабинете. На этапе формирования запроса на сертификат Вы сможете выбрать СКЗИ в зависимости от установленных в операционной системе. Аппаратная криптография Рутокен ЭЦП 2.0 поддерживается.

Получив его, я запросил инструкцию по выпуску сертификата, чтобы понять каким именно образом происходит генерация сертификата через их ЛК, т.е. чтобы понять суть самой процедуры. И инструкция была незамедлительно мне предоставлена, несмотря на позднее время – 4 утра (по этому критерию данному УЦ вообще можно ставить 5+, т.к. ответы на все вопросы удалось получить у сотрудника поддержки даже глубокой ночью).

Кстати, в УЦ Инфотекс Траст была возможной “удаленная идентификация” по биометрии загранпаспорта, т.е. получение КЭП вообще без посещения офиса. Как это – можно прочитать вот тут (не сочтите за рекламу). В результате в 4 утра (!) я заполнил все что необходимо и отправил запрос на получение КЭП, через некоторое время она уже была выпущена. Если коротко, то перед началом работы вы устанавливаете на телефон специальное приложение IDPoint, в котором с помощью NFC ридера в телефоне читаете данные с чипа в вашем загранпаспорте и приложение идентифицирует вас.

Единственный нюанс, который стал “сюрпризом” – в процессе оформления КЭП они выпускают на вас ДВА сертификата, вместо одного. Один, который вы собственно и заказывали, приватный ключ от которого защищенно хранится на вашем токене. А другой – неявно получается в приложении IDPoint во время идентификации. Неявно – потому что вас не предупреждают о том, что будет выпущено несколько сертификатов. Но т.к. информация о всех выпущенных на ваше имя КЭП попадает в ГосУслуги – вы узнаете об этом. Честно говоря я был слегка удивлен, что было выпущено именно два сертификата и задал соответствующий вопрос техподдержке, ответ был следующим:

При выпуске ЭП с дистанционной идентификацией через приложение IDPoint выпускается 2 сертификата ЭП:

Первый сертификат ЭП – технологический, издается через само приложение и хранится только на вашем телефоне, воспользоваться им можно только через приложение IDPoint, и только в рамках услуг, предоставляемых УЦ АО «ИнфоТеКС Интернет Траст». В случае удаления или переустановки приложения IDPoint ключ удаляется безвозвратно. Передать, перенести или выгрузить данную ЭП на другое устройства нельзя, ключ не экспортируемый.

Второй сертификат ЭП выпускается уже по запросу, формируемому с вашего компьютера, с этой ЭП можно работать через обычные СКЗИ.

Тем не менее я все равно отправил запрос на отзыв второго сертификата, т.к. использовать его не планировал.

Поэтому по факту оценка 5+, поставленная этому УЦ ранее, меняется на 5- (пять с минусом), т.к. ситуацию с двумя выпущенными сертификатами вместо одного является далеко не очевидной.

И наконец АйтиКом ответили что выпуск сертификата по запросу PKCS#10 возможен и прислали описание самой процедуры, поэтому они также получают оценку отлично.

Резюмируя, если подвести итог. Из 6-ти опрошенных УЦ смогли вообще понять что требуется клиенту и выразили готовность выпустить сертификат всего два. Один действительно его выпустил, правда с некоторыми оговорками (целых два сертификата вместо одного ;), второй, если бы я обратился к ним, думаю, выпустил бы его тоже. Остальные же, как видно, либо просто отказались (хотя выпуск сертификатов на основании запроса – прямая обязанность УЦ), либо продемонстрировали полную безграмотность сотрудников ТП, либо попытались навязать небезопасное решение. Выводы можете сделать самостоятельно.

К сожалению, привести здесь полные логи переписки с каждым из УЦ не представляется возможным, т.к цель была все-таки получить КЭП, а не написать “разгромную статью”, поэтому все логи чатов я не сохранял, но просто делал скрины откровенно “диких” моментов, по совокупности которых я и решил написать эту заметку. Однако даже по тому немногому что сохранилось – уже можно сделать вывод о квалификации сотрудников. Когда ты рассказываешь что у тебя есть PKCS#10 запрос и ты хочешь получить сертификат, а тебя 3 раза подряд спрашивают про ИНН, отрабатывая скриптовые сценарии, или когда сотрудник просто “сбегает”, не понимая чего от него хотят, или спрашивает тебя про HSM, хотя он, естественно, никаким боком не относится к заданному вопросу – становится жутковато. Это действительно “российская криптография – бессмысленная и беспощадная”. По-моему мнению все сотрудники технической поддержки должны обладать хотя бы минимальными знаниями и представлением о том как работает УЦ, о том что в конечном итоге все сертификаты действительно выпускаются на основании запроса. И что запрос этот генерируется одновременно с закрытым ключом или на основании приватного ключа, который должен быть только у пользователя и никак иначе. Т.к. в любом другом случае, например, в случае генерации приватного ключа сотрудниками УЦ (без использования носителя с аппаратной криптографией и неэкспортируемыми ключами) такую КЭП априори можно считать скопрометированной. Также неплохо было бы проводить для сотрудников экскурс и рассказывать о том какие носители ключей (токены) существуют и в чем между ними разница.

Конечно же, все вышеописанное базируется на основании моего собственного опыта общения с УЦ и пропущено через призму моего мировосприятия и вообще является моим сугубо личным субъективным мнением 😉 Поэтому, вполне возможно, что я где-то был откровенно не прав, а возможно, что доля истины в моих словах все-таки есть и руководители соответствующих подразделений в УЦ возьмут какие-то моменты на заметку и проведут соответствующий инструктаж с сотрудниками (не в смысле устроят “публичную порку”, а именно приложат усилия для повышения технической грамотности). Буду рад вашим комментариям, ну а у меня на этом всё …

Читайте также:  Настройка сайта Госуслуги для работы с ЭЦП
Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector