как сгенерировать сертификат для криптопро

Всем добрый день!

✅В продолжении моих статей по ЭЦП 🔑🔑 хочу с вами поделиться очень интересной информацией которая будет полезна не только системным администраторам, но и обычным пользователям которые пытаются понять принцип работы сертификатов и электронных подписей

В моих прошлых статьях я рассматривал такие вопросы как:

• 🔑 Как подписать пдф документ эцп
• 🔑 Как подписать документ формата SIG

✅и в том и в другом случае это статьи которые мы рассматриваем уже на «боевых» машинах с реальными сертификатами, но что делать когда допустим у нас следующая ситуация:

нам надо срочно подготовить компьютера для работы с электронной подписью и время идет на часы, а сама подпись едет с курьером к приезду которого надо, что бы все было уже настроено! Т. е приехала подпись, вы быстро подписали документы и отдали ключ.

Как Вам примерчик? ))) Настройка рабочей станции под ЭЦП достаточно геморройный вопрос, потому как каждая установка бывает индивидуальна и зависит от ПО который стоит на компе.

Или такой пример:

вы делаете какие то тестирование и вам нужно что бы у вас был сертификат который был бы выпущен и подтверждался доверенным центром сертификации!

Вот для этого разработчики КРИПтоПРО и создали тестовый центр сертификации который абсолютно бесплатно создаст вам сертификат. ser (но только для тестирования)!

У каждого устройства Рутокен есть PIN-код Пользователя и PIN-код Администратора.

PIN-код Пользователя является паролем, который используется для реализации основных функций устройства Рутокен. Его значение по умолчанию — 12345678.

PIN-код Администратора является паролем, который используется для доступа к административным функциям устройства Рутокен. Его значение по умолчанию — 87654321.

Процесс создания сертификата квалифицированной электронной подписи состоит из следующих этапов:

1 этап. Создание запроса на сертификат квалифицированной электронной подписи и сохранение его на компьютере.

2 этап. Подписание запроса на сертификат квалифицированной электронной подписи.

3 этап. Создание сертификата квалифицированной электронной подписи и сохранение его на компьютере.

4 этап. Запись сертификата на устройство Рутокен ЭЦП 2. 0 и 3.

Утилита “Генератор запросов сертификатов для Рутокен ЭЦП 2. 0 и 3. 0” предназначена:

• для создания запроса на сертификат квалифицированной электронной подписи;
• для записи готового сертификата на устройство Рутокен.

Запрос на сертификат используется для  указания всей необходимой информации для сертификата квалифицированной электронной подписи.

Доступ к утилите возможен из Панели управления Рутокен, которая входит в состав комплекта “Драйверы Рутокен для Windows”.

⭐️ Всем привет! В данной статье вы узнаете как провести поверку и тестирование сертификата электронной подписи на работоспособность подручными средствами на компьютере. Данный вариант пока актуален на конец 2020 и начало 2021 года. ⛔️ Проверка ключа ЭЦП необходима для стабильной и безошибочной работы с внешними ресурсами.

✅ Я продолжаю свою серию статей посвященную ЭЦП и все что связанно с ней! На данный момент работая в большой строительной компании я вижу как с каждым годом ЭЦП становится неотъемлемой частью работы практически каждого отдела. 🔥 Если раньше с ЭЦП работала только одна бухгалтерия отправляя отчеты в ПФР или ФСС то сейчас уже в каждом отделе нужен Rutoken для работы с госпорталами или электронными площадками. ⚡️ Поэтому я буду постепенно писать небольшие или большие инструкции по работе не только с сертификатами и электронно цифровыми подписями, но и при работе с сайтами и порталами. На данный момент в моей коллекции есть такие статьи по ЭЦП как:⚠️

• как создать сиг файл
• как подписать пдф электронной подписью

В прошлой статье когда мы разбирали ошибку -10 при отправки реестров в ФСС, единственное что приходило в голову это проверка и тестирование сертификата ЭЦП и сейчас я покажу как это надо делать.

PS в данной статье я буду все показывать на своем тестовом сертификате ЭЦП который можно выпустить самому)

Сайт мера Москвы – MOS

На портале гос услуг – Gosuslugi

Отправка отчетности и реестры в друг организации

Краткое описание работы с утилитой

Перед запуском утилиты отключите от компьютера все лишние устройства Рутокен. Оставьте только устройство, на которое необходимо записать сертификат квалифицированной электронной подписи.

Для создания запроса на сертификат квалифицированной электронной подписи:

• Запустите утилиту.
• В раскрывающемся списке Шаблон выберите название необходимого шаблона.
• Введите необходимые значения полей запроса (все поля заполняются согласно Приказу ФСБ РФ от 29.01.2021 № 31 “О внесении в приказ ФСБ России от 27.12.2011 № 795 “Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи”). Требования к данным, указанным в запросе на сертификат квалифицированной электронной подписи смотрите в таблице.
• Нажмите Создать запрос.
• Выберите на компьютере папку для сохранения файла запроса и нажмите Сохранить.
• Укажите PIN-код Пользователя устройства Рутокен.
• Нажмите на кнопку . В результате на компьютере сохранится файл запроса, а на устройстве Рутокен  сгенерируется  ключевая пара.
• Чтобы убедиться в том, что запрос создан,  щелкните по ссылке Показать в папке. В результате откроется папка, в которой сохранен этот запрос.

Запись сертификата квалифицированной электронной подписи на устройство Рутокен

Для записи сертификата квалифицированной электронной подписи на устройство Рутокен ЭЦП 2. 0 и 3

• Нажмите Запись сертификата.
• Выберите на компьютере файл с сертификатом и нажмите Открыть. В результате сертификат запишется на устройство Рутокен.
• Для просмотра сертификата, записанного на  устройство Рутокен, щелкните по ссылке Просмотреть в Панели управления Рутокен. В результате осуществится переход в Панель управления Рутокен.
• Перейдите на вкладку Сертификаты и нажмите на кнопку .
• Найдите созданный сертификат квалифицированной электронной подписи. Сертификат записан на устройство Рутокен.

Цифровой документооборот входит в нашу жизнь уверенными шагами и если для юридических лиц это уже суровые будни, то многие физические лица могли с этим еще не столкнуться. Но со временем оставаться в стороне становится всё сложнее и нужно приспосабливаться к меняющимся условиям, иначе можно получить не совсем приятные последствия.

Заключение договоров — дело привычное. Их заключают в банках, в больницах, при покупке мебели, оплате обучения. Прочитать договор, проверить реквизиты юридического лица, с которым заключается договор, убедиться в наличии печати и подписи — стандартная процедура, которая уменьшает риск обмана. Однако приобретённые навыки работы с бумажными договорами не могут просто так перейти в цифровой мир в силу специфики электронных документов.

В этой статье хочется рассказать о своем опыте знакомства с российскими электронными подписями (ЭП), которые используются для подписания договоров с физическими лицами в том числе и страховыми компаниями, а также подводных камнях, на которые наткнулся при этом. Для меня эта история началась при заключении договора со страховой компанией ООО СК “Сбербанк страхование”. После оформления мне показались подозрительными некоторые факты (небольшой спойлер: всё оказалось хорошо) и я стал разбираться, как же мне проверить, что полученный документ действительно выдан страховой компанией, а не некими третьими лицами.

Что же меня насторожило?

После расчёта суммы в калькуляторе на сайте и заполнения формы с паспортными и контактными данными мне на электронную почту пришло письмо, в котором кроме общей информации, полезных ссылок и контактов было 3 вложения: памятка, правила страхования и сам полис. Я ознакомился с документами, оплатил страховку и стал ждать подписанную версию полиса.

Через полчаса ожидания я стал волноваться, быстрый поиск показал, что у страховой компании есть аж 3 разных активных домена: www. sberbank-insurance. ru, www. sberins. ru и sberbankins. ru, что не добавляло мне уверенности в компании.

Звонок в контакт центр принёс информацию о том, что присланный полис и является финальным документом с ЭП страховой компании. Мне показалось странным, что компания отдаёт уже подписанный документ еще до факта оплаты клиентом и я стал проверять полученный pdf файл.

Codeblog
Оставлено
:
16 марта 2021 г. 17:10:29(UTC)

Память об использовании SSL сертификатов сыграла со мной злую шутку и я копал не туда. Внезапно удалось самостоятельно решить проблемус помощью следующих команд:Цитата:sudo apt-get install libcanberra-gtk-moduleЦитата:/opt/cprocsp/bin/amd64/certmgr -inst -store root -f certnew. cerМожет быть, кому то окажется полезным.

Инструкция. Настройка Рутокен. Как установить сертификат ЭЦП

⭐️ В ошибке 10 сайта фсс есть текст  «Общая ошибка расшифровки. Возможно, проблема в сертификате, используемом для шифрования. » и в этом тексте идет слово ошибка расшифровки, поэтому для начала проверьте возможность шифрования данным ключем.

• Для этого открываем internet explorer
• устанавливаем КриптоПро ЭЦП Browser plug-in

установить КриптоПро ЭЦП Browser plug-in

• После этого нам необходимо сделать проверку установленного плагина проверка КриптоПро ЭЦП Browser plug-in
• При проверке у вас должно быть примерно как на примере ниже. 1) Плагин должен быть загружен и гореть зеленый круг. 2) В сертификатах выберите ваш сертификат (он должен тут отображаться!!!!) 3) должна появится вся информация о сертификате 4)Нажмите кнопку подписать 5) в нижнем окне должен появится код. Если все это есть, идем дальше!!

ошибка 10 фсс больничный

Создание подписанного документа

Подписать можно абсолютно любой файл.

Перейдите в пункт “Создание подписи”

Нажмите на кнопку “Выбрать файл для подписи” и выберите файл, который нужно подписать.

Выберите подпись, которой необходимо подписать документ. Обратите внимание – ЭЦП должно быть актуальной.

После выбора ЭЦП станет активной кнопка “Подписать”. Необходимо её нажать. Если документ подписан и нет ошибок – под кнопкой “подписать появится соответствующая надпись. Либо будет указана ошибка с кодом.

Далее перейдите в папку, где хранился подписываемый документ, в нем будет два файла – сам документ и его подпись. Размещать или пересылать необходимо оба документа.

Об электронной цифровой подписи

Электронная цифровая подпись — это специальная информация, которая добавляется к электронному документу и даёт возможность убедиться в том, вносились ли изменения в электронный документ после его подписания, а также гарантированно установить лицо, подписавшее данный документ. Добавить электронную цифровую подпись к электронному документу возможно с помощью личного ключа и специального программного обеспечения.

Что же такое личный ключ? Личный ключ — это набор символов в виде компьютерного файла. При этом личный ключ играет роль шариковой ручки при подписании документа на бумаге.

Для проверки ЭЦП на электронном документе используется другой набор символов — открытый ключ. После формирования сертификата открытый ключ становится его частью и не используется отдельно.

Квалифицированный сертификат (далее — сертификат) — это документ, который удостоверяет подлинность и принадлежность открытого ключа пользователю. Такой документ выдаётся аккредитованным удостоверяющим центром и существует в электронном виде. Для проверки ЭЦП на документе необходимо специальное программное обеспечение.

Сертификат служит для проверки ЭЦП на документе, не является секретным и может свободно распространяться через интернет и другие открытые каналы связи. Добавить на электронный документ ЭЦП с помощью сертификата или получить с него ваш личный ключ невозможно.

В итоге мы получаем следующее. Один субъект подписывает документ с помощью личного ключа и специального программного обеспечения, а другой проверяет подпись на этом документе. При этом лицу, которое проверяет подпись, иметь свой личный ключ и сертификат необязательно.

Установка сертификатов

Используя Инструменты КриптоПро, перейдите в пункт меню “Сертификаты” и установите сертификат Федерального казначейства в “доверенные корневые центры сертификации”.

Затем повторите процедуру для ЭЦП сотрудника, выбрав место установки сертификата “Личное”. Подготовка завершена.

КриптоПро CSP

Для подписи электронных документов, будем использовать программное обеспечение КриптоПро CSP.

Использование иных криптографических программ под административную ответственность руководителей и лиц, использующих ПО СКЗИ, не имеющих действующего сертификата соответствия ФСБ РФ.

Инструменты КриптоПро

Для работы с ЭЦП запустите утилиту “Инструменты КриптоПро”. В ней собраны все необходимые инструменты для работы с ЭЦП

Где приобрести ключ ЭЦП

Перед тем как приступить к инструкции, необходимо сначала Вас ознакомить с официальными центрами сертификации, где вы можете приобрести ключ ЭЦП (на данный момент на 1 декабря 2020 года, это следующий список)

Список доверенных удостоверяющих центров России

Возможность представления налоговой, бухгалтерской и отчетности по страховым взносам, а также обмена прочими документами с контролирующими органами в электронном виде по каналам связи из программ системы «1С:Предприятие 8» обеспечивается при использовании сертификатов ключей подписей, выданных следующими удостоверяющими центрами, авторизованными фирмой «1С»:

• ООО «Такском» (127051, г. Москва, ул. Садовая-Самотечная, д. 12),
• ООО «Мостинфо-Екатеринбург» (620027, Свердловская область, г. Екатеринбург, ул. Мамина-Сибиряка, д. 38, к. 606),
• Филиал АО «ГНИВЦ» в СФО (650004, Кемеровская область, г. Кемерово, ул. Гагарина, дом 52, помещение 153),
• ООО «Линк-сервис» (454006, г. Челябинск, ул. 3-го Интернационала, д. 63),
• ЗАО «Удостоверяющий центр» (101990, г. Москва, Армянский пер., 9/1/1, стр. 1)
• ООО «Компания «Раздолье» (432071, г. Ульяновск, ул. Марата, 15),
• ЗАО «Калуга Астрал» (248023, г. Калуга, пер. Теренинский, д. 6),
• ООО «АРГОС» (196191, г. Санкт-Петербург, Ленинский пр., д. 168),
• АО «Электронная Москва» (127051, г. Москва, Б. Сухаревский пер., д. 11, стр. 1, оф. 6),
• ООО «НПЦ «1С»» (127434, г. Москва, Дмитровское шоссе, д. 9).

Глава вторая

Порывшись в почте, я нашел еще один электронный договор. По счастливой случайности, им тоже оказался страховой полис, но на этот раз еОСАГО от АО “Тинькофф Страхование”. Открываем сертификат, смотрим выпустившую сертификат организацию. Ей оказывается АО “Тинькофф банк”. Да, оказывается у них есть свой УЦ, который выдает сертификаты дочерним организациям (у Сбербанка тоже есть свой УЦ, но в дочерних структурах он не используется).

По отработанному алгоритму идём в поисковую систему с запросом “тинькофф сертификат”, находим официальный сайт УЦ АО Тинькофф Банк. Тут нас встречает изобилие ссылок на корневые сертификаты, списки отозванных сертификатов и даже видеоинструкция по их установке. Скачиваем “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34. 2012”, на этот раз ссылка ведёт не на сторонний сервис, а на сайт банка. Формат файла P7B не очень известный, но открывается Windows без установки стороннего софта и показывает находящиеся в нём сертификаты. Здесь уже привычный корневой сертификат от Минкомсвязи (другой, не тот, что в первом случае) и промежуточный сертификат УЦ банка.

Ставим оба, проверяем сертификат в полисе. Но нет, сертификат не является доверенным, т. система не может подтвердить поставщика сертификата. На сайте УЦ было 2 ссылки на 2 цепочки сертификатов, один для ГОСТ Р 34. 2001, другой для ГОСТ Р 34. 2012. Полис был выпущен в этом году, логичнее бы его подписать уже более современным криптоалгоритмом (тем более уже есть версия ГОСТ от 2018 года, алгоритмы обновляются довольно часто), но давайте проверим старый.

В новом файле формата P7B оказывается уже 3 файла сертификатов. Можно поставить все 3, однако стоит заметить, что сертификат “Головного удостоверяющего центра” мы поставили в первой главе из RAR архива ООО “ИТК”, они идентичны. А сертификат с не очень говорящим названием “УЦ 1 ИС ГУЦ” поставил КриптоПро CSP, т. галочка об установке корневых сертификатов была установлена по-умолчанию в его инсталляторе. Единственным новым является сертификат АО “Тинькофф Банк”, который мы и ставим.

После установки сертификатов из “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34. 2001” путь в сертификате прорисовался и система радостно сообщила, что он является доверенным. Adobe Acrobat Reader DC также подтвердил, что подпись действительна.

На этом приключения с проверкой ЭП на полисе еОСАГО завершаются. Заметно, что после того, как в системе уже установлен необходимый софт, а пользователь понимает принципы работы и поиска промежуточных сертификатов, то проверка подписи занимает уже меньше времени.

Но проблемные места по-прежнему видны: необходимо искать в интернете официальные сайты удостоверяющих центров, разбираться в инструкциях по установке сертификатов. Даже при установленных корневых сертификатах необходимо искать промежуточный, иначе цепочка доверия будет не полной и система не сможет подтвердить достоверность подписи.

Настройка Рутокена для работы с ЕГАИС

Шаг 1

Вставляем USB-токен в компьютер

Шаг 2

Открываем панель управления

Шаг 3

Через закладку «Администрирование» находим кнопку «Информация»

Шаг 4

В открывшемся окне можно увидеть статус Microsoft Base Smart Card Crypto Provider

Если напротив стоит «Поддерживается», то просто продолжите действия — «Ок». В случае когда статус — «Активировать», активируйте носитель. «Не поддерживается» означает, что носитель не поддерживает работу с ЕГАИС (Единая государственная автоматизированная информационная система).

Шаг 5

Выбираем «Настройка» во вкладке с аналогичным названием

Шаг 6

Для «Рутокен ЭЦП Смарт-карта», «Рутокен ЭЦП (2. 0)» или «Семейство Рутокен ЭЦП» нужно выбрать одинаковое значение — «Microsoft Base Smart Card Crypto Provider».

Настройка Рутокен завершена

Ещё один важный момент, необходимый при настройках, — это ПИН-код Рутокен. Пин-код пользователя, заданный по умолчанию —12345678. Его используют для доступа к электронной подписи и объектам на устройстве: сертификатам и ключевым парам.

Купить подходящую лицензию КриптоПро для ЭЦП ФНС рекомендуем в нашем интернет-магазине. Оставьте короткую заявку, для бесплатной консультации специалиста.

Установка ЭЦП осуществляется двумя способами

Через подраздел «Просмотреть сертификаты в контейнере». Данным способом можно установить сертификат в хранилище, только если он есть в контейнере.

Через подраздел «Установить личный сертификат»

Для начала найдите установленную КриптоПро CSP, откройте её. Перед вами появится окно с разделами: «Алгоритмы», «Безопасность», Winlogon, «Общие», «Оборудование», «Сервис» и другие. Вам нужна вкладка «Сервис».

Находим далее «Установить личный сертификат», и перед вами откроется мастер установки сертификатов. При настройке практически везде нажимаем «Далее». Есть возможность выбрать сертификат через кнопку «Обзор» и проложить путь к нему. Так же выбрать нужный контейнер.

Второй вариант — это последовательные действия через «Просмотреть сертификаты в контейнере». Через «Обзор» выбираем контейнер или сертификат, жмём «Далее», «Свойства», «Установить сертификат», «Далее», «Готово». Установка успешно завершена.

Немного про корневые и промежуточные сертификаты

Проделав всю эту работу, меня не покидало чувство, что вся система построена не очень безопасно, требует от пользователя кучу дополнительных операций и доверия многим факторам: от поисковой системы, которая может не выдать первой строкой официальный сайт УЦ, до работы самого персонала УЦ, который выкладывает сертификаты без контрольных сумм на сторонние веб сервисы в проприетарных форматах контейнеров.

У сертификатов есть поле точки распространения списка отзывов (CRL), в котором прописан путь получения списка отозванных сертификатов. При проверке ЭП на каком-то документе кроме установки промежуточного и корневых сертификатов нужно также установить и последний список отозванных и обновлять его перед каждой проверкой (данная процедура автоматизируется специализированным софтом, но штатные средства вроде бы так не умеют). На портале e-trust у каждого сертификата указан путь к такому списку и он может отличаться от того, что написано в самом сертификате. Чему верить? Не совсем понятно.

В заключение статьи хочется отметить, что проверка ЭП на электронных документах по силам каждому, однако это не совсем тривиальный процесс, требующий некоторых знаний. Возможно, что в будущем этот процесс упростится. Кроме этого остается открытым вопрос проверки ЭП на мобильных устройствах, а ведь они сейчас стали основным инструментом пользователей, давно опередив персональные компьютеры.

После написания статьи осталось несколько открытых вопросов, которые хотелось бы обсудить с сообществом:

• аналоги КриптоПро, особенно opensource инструменты для создания и проверки ЭП;
• добавление валидации ЭП не только в Adobe Acrobat Reader DC, но и в Foxit Reader и другие;
• оставшиеся за пределами данной статьи проблемы, которые также важны и требуют внимания, но не проявились в моём случае.

UPD 1: После написания статьи мне подсказали, что есть ещё один криптопровайдер, ViPNet CSP, который тоже может помочь с ГОСТовскими криптоалгоритмами в системе. Одновременная установка его с КриптоПро CSP под вопросом.

КДПВ: edar, Pixabay

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Всегда-ли вы проверяете ЭЦП в полученных электронных документах?

Проголосовали 70 пользователей. Воздержались 28 пользователей.

Дополнительные возможности утилиты

Пользователям утилиты доступны следующие возможности для работы с шаблонами:

• изменение параметров шаблона;
• сохранение нового шаблона на компьютере;
• использование существующего  или нового шаблона.

Изменение параметров шаблона запроса на сертификат квалифицированной электронной подписи

Для изменения параметров шаблона:

• Запустите Панель управления Рутокен.
• Запустите утилиту.
• В раскрывающемся списке Шаблон выберите название необходимого шаблона.
• Щелкните по ссылке “Просмотреть в Блокноте”. Откроется окно шаблона.
• Измените необходимый параметр запроса.
• В окне шаблона выберите пункт Файл и подпункт Сохранить как.
• Выберите папку для сохранения шаблона на компьютере.
• Укажите имя файла.
• Нажмите Сохранить.

Использование нового шаблона запроса на сертификат квалифицированной электронной подписи

Для использования нового шаблона запроса  на сертификат квалифицированной электронной подписи:

• Запустите Панель управления Рутокен.
• Запустите утилиту.
• В раскрывающемся списке Шаблон выберите название созданного шаблона.
• Следуйте инструкции по созданию запроса на сертификат квалифицированной электронной подписи.

Инструкция по созданию файла, подписанного ЭЦП, с использованием ПО КриптоПро

Для собственного использования создал инструкцию для подведов. Буду рад, если кому-нибудь пригодится в работе. Ниже представлен текст с картинками из инструкции по созданию подписанного ЭЦП электронного документа, с использованием ПО КриптоПро. В самом конце приложена ссылка на исходник, он выполнен в виде Гугл документа, шаблон – брошюра, формат листа А4. Его можно использовать по своему усмотрению.

Как скопировать ЭЦП с Рутокена на флешку

Записать ЭЦП на флешку требуется для предотвращения порчи носителя или потери записанных данных. Также копирование необходимо перед обновлением, модернизацией или переустановкой операционной системы. Если сертификат подписи не скопировать, то закодированная информация может удалиться с персонального компьютера.

Важно! Контейнеры закрытых ключей, которые создавались для ЕГАИС или были выданы ФНС, являются неэкспортируемыми.

Для копирования понадобится:

программа КриптоПро CSP

физический носитель ЭЦП — Рутокен

Открываем КриптоПро CSP, при этом в компьютере уже должны быть вставлены заблаговременно и флешка, и Рутокен. На вкладке «Сервис» жмём «Скопировать» и в открывшемся окне через «Обзор» выбираем нужный для копирования контейнер, подтверждая действие кнопкой «Ок». Возможно, понадобится ввести пароль и название копии ключа ЭЦП, нажимая «Далее» до появления кнопки «Готово». Перед вами откроется окно, в котором нужно выбрать флешку. Сгенерируйте новый пароль и наберите его, копирование завершено. Проверьте, чтобы на флешке появилась папка с копией вашего контейнера. Для того чтобы скопировать ЭЦП с Рутокена на Рутокен, проводятся аналогичные действия. Только после кнопки «Готово» выбрать не флешку, а второй носитель Рутокен. В конце также проверьте, появилась ли ключевая пара на вкладке сертификаты в панели управления Рутокен.

Купить носитель для квалифицированной электронной подписи рекомендуем в нашем интернет-магазине. В каталоге представлены только сертифицированные модели токенов.

Установка сертификата ЭЦП

Теперь когда у Вас сертификат (ключ-флешка) в руках и вы сидите за рабочим компьютером давайте приступим к установке и настройке программного обеспечения которое нам позволит работать с ключами и порталами.

Тестовый Удостоверяющий Центр ООО «КРИПТО-ПРО»

для того что бы выпустить тестовый сертификат нужно проделать следующие шаги:

• скачиваем и устанавливаем программу КриптоПро ЭЦП Browser plug-in по ссылке
• открываем Internet iexplorer
• при переходе на сайт у вас появится окно — Подтверждение доступа, тут нажмите на Да
• В следующем окне заполняем данные (их можно заполнять какие хотите, я в данном примере создал как TEST) заполняем полностью форму из первого блога (рис.1) (кстати что бы убедиться что у вас все пройдет удачно и установлены все необходимые плагины для выпуска тестового сертификата на стрелке рис.2 будет выпадающее список и если его нет, значит вы что то не поставили из списка выше или перезагрузите компьютер!)  далее из выпадающего списка выбираем пункт Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider (рис.2) далее ставим галочку — Пометить ключ как экспортируемый (рис.3) и в последнем четвертом пункте пишем имя нашего сертификата
• После заполнения всех данных нажимаем на кнопку Вадать и в появившемся окне выбираем место хранения нашего сертификата, можно сохранить его на флешку или сохранить в реестр (это не принципиально!)
• Далее появится окно в котором нужно в произвольном направлении двигать мышкой что бы у нас произошла генерация случайно последовательности (просто мышкой водить по часовой стрелке и у вас все быстро заполнится)
• Соглашаемся со всеми открывающимися окнами и нажимаем везде — ДА
• в следующем окне нажимаем на — Установить этот сертификат
• Убедитесь что у вас он установился — Новый сертификат успешно установлен. Теперь можно спокойно тестировать и работать!
• Все!

Глава первая

Все манипуляции с PDF документом приведены в чистой версии ОС Windows 10, русская домашняя редакция, как наиболее вероятной среде работы простого пользователя. Набор софта, используемый в статье, также является непрофессиональным и доступным для всех.

Для начала я открыл документ в просмотрщике Foxit Reader, который использую как основной:

Это выглядит очень и очень подозрительно — документ модифицирован непонятно кем, сертификат также не является доверенным. Система не может проверить цепочку доверия для данного сертификата и помечает его недействительным.

Кроме имени организации, которой выдан сертификат, видно наименование выдавшей его организации, ООО “ИТК”. Поиск по запросу “ООО ИТК сертификат” вывел меня на страницу Установка корневого сертификата Удостоверяющего центра ООО «ИТК». Это официальный сайт ООО «Интернет Технологии и Коммуникации», который является одним из удостоверяющих центров, выдающих сертификаты ЭП.

Снова открываем сертификат из документа. И чуда не произошло, цепочка доверия от корневого до конечного не строится!

Изучаем ЭП подробнее: в Foxit Reader есть дополнительная информация о свойствах подписи:

Ага, алгоритм хеширования ГОСТовский, ЭП создана в КриптоПро PDF. Возможно, Windows не знает про ГОСТ шифрование и поэтому ему нужен дополнительный криптопровайдер.

Идём на сайт КриптоПро, регистрируемся, скачиваем пробную версию КриптоПро CSP 5. 0 на 3 месяца. Что будет дальше — не совсем понятно, возможно всё превратится в тыкву, посмотрим.

Снова открываем просмотр сертификата ЭП:

Выглядит уже лучше. Видно, что система считает сертификат действительным, построена цепочка от корневого сертификата через промежуточный.

Сообщение о проверке немного улучшилось, но всё равно Foxit Reader не может проверить сертификат (вероятно дело в ГОСТовском алгоритме):

В Adobe Acrobat Reader DC проверка тоже не успешна:

И на этом вроде бы можно остановиться: Foxit Reader подтверждает, что документ не был изменен после подписания, руками можно проверить, что сертификат подтверждается системой и действителен. Но всё же хочется довести дело до конца, чтобы хотя бы одна программа сказала: да, документ действителен, всё хорошо.

Вспоминаем, что полис подписан в программе КриптоПро PDF. Вероятно, что раз она может создавать такие подписи, то уж наверняка должна их и проверять. Ставим.

+1 триал версия на 90 дней, хотя вроде бы надпись при установке успокаивает, что при использовании продукта в Adobe Acrobat Reader DC лицензия не нужна.

Ура, долгожданное сообщение о том, что всё хорошо.

Подведем промежуточный итог. Для проверки действительности ЭП на документе нужно:

• Узнать, какой удостоверяющий центр выдал сертификат, которым подписан документ, установить его промежуточный и, если такого еще нет, корневой сертификат (в нашем случае из rar архива с Google Drive);
• Установить в систему криптопровайдер (вероятно, существуют другие криптопровайдеры, которые обучат Windows ГОСТовским криптоалгоритмам) КриптоПро CSP с триалом на 3 месяца и неизвестностью после;
• Для проверки подписи из Adobe Acrobat Reader DC установить КриптоПро PDF (без CSP он не ставится).

Вот такой алгоритм вырисовывается из поверхностного анализа темы за вечер. Проблема проверки цифровой подписи была решена, но видно трудности, которые могут возникнуть у рядового пользователя:

• Нужно понять, какого софта не хватает в системе и где его взять, из коробки ничего не работает. В данной статье приведены примеры на основе продуктов КриптоПро только потому, что это название встретилось в информации о создании ЭП. Нужно изучать тему в поиске аналогов;
• Проверка полноценно заработала только в Adobe Acrobat Reader DC, в Foxit Reader проверка ЭП неполная, нет долгожданной зелёной галочки. Нужно копать дальше, вероятно есть решения.

Поверка цепочки сертификатов

• Возвращаемся к окну на шаге 5 из блока настройки сертификатов ЭЦП и переходим на вкладку Путь Сертификации. Нам необходимо, чтобы вся цепочка сертификатов была без красных крестиков и желтых восклицательных знаков (если будут эти значки, значит мы не установили корневой сертификат)
• Установка сертификата уполномоченного лица УЦ. Сертификат УЛ УЦ предоставляется пользователю при изготовлении его сертификата, а также доступен по ссылке: cpca.cryptopro.ru/cacer.p7b (по файлу сертификата cacer.p7b кликните правой кнопкой мыши и выберите «Установить», затем в мастере в качестве хранилища сертификатов выберите «Доверенные корневые Центры сертификации»)
• Все на этом второй этап Установки и Проверки закончен

Настройка сертификата ЭЦП

Теперь нам необходимо добавить наш сертификат в хранилище сертификатов и проверить цепочку сертификатов удостоверяющих центров.

• Заходим в панель управления и запускаем КриптоПРО
• В открывшемся окне переходим на вкладку Сервис и нажимаем на кнопку Посмотреть сертификаты в контейнере
• В окне контейнера закрытого ключа нажимаем на кнопку Обзор и в появившемся окне выбираем наш сертификат. Если в окне Выбора контейнера у вас не отображается никакая запись, то нужно переткнуть ваш ключ флешку в другой USB порт)
• В окне просмотра сертификатов, Вы можете увидеть всю информацию по ключу, но нас интересует кнопка Свойства
• В новом окне Сертификаты , нажимаем на кнопку Установить сертификат
• У нас запускается Мастер импорта сертификатов и на шаге где будет спрашиваться место для хранения сертификатов выбираем — Поместить все сертификаты в следующее хранилище и в выборе хранилища необходимо выбрать папку Личное нажимаем ОК и кнопку далее.
• Все наш сертификат добавлен в хранилище сертификатов

Как проверить установленные сертификаты в системе?

Но если вы хотите убедиться, что сертификат установлен на вашем компьютере под операционной системой Windows, то это можно следующем способом:

• Зайти в крипто про через панель управления
• Открыть вкладку Сервис
• Нажать просмотреть сертификат
• Нажимаем копку Обзор и смотрим все сертификаты в системе какие есть на данный момент.

Вот и все! В данной статье мы ознакомились с принципами создания тестового сертификаты для понимания и настройки программ для подписания документов ЭЦП

Но! Это не ограничивает этот функционал и вы можете его использовать и в других целях, а если знать в каких, читайте в следующих моих статьях!

Структура кода шаблона запроса на сертификат квалифицированной электронной подписи

Код шаблона запроса на сертификат квалифицированной электронной подписи состоит из блоков, у каждого из которых есть свое назначение.

Название поля (параметр запроса)Требования к даннымОбщее имя(commonName)для физического лица — имя, фамилия и отчество владельца сертификатадля юридического лица — наименование организации владельца сертификатаОрганизация(organizationName)наименование организации владельца сертификатаФамилия(surname)фамилия владельца сертификата с большой буквы в одно слово (без пробелов)Имя и отчество(givenName)имя и отчество владельца сертификатаЭл. почта(email)адрес электронной почты владельца сертификата (используются только латинские буквы и цифры)СНИЛC(snils)строка, состоящая из 11 цифрдля физического лица — СНИЛС владельца сертификатадля юридического лица — СНИЛС организации владельца сертификатаИНН(inn)ИНН физического лица, строка, состоящая из 12 цифрИНН ЮЛ(innLe)ИНН юридического лица, состоящая из 10 цифрОГРН(ogrn)строка, состоящая из 13 цифрОГРН организации владельца сертификатаОГРНИП(ogrnip) строка, состоящая из 15 цифрОГРНИП владельца сертификатаНеструктурир. имя(un)КПП организации владельца сертификата (для ЕГАИС)Подразделение(organizationUnitName)подразделение или отдел, в котором работает владелец сертификатаДолжность(title)должность владельца сертификатаСтрана(countryName)для физического лица — краткое наименование страны, в которой проживает владелец сертификатадля юридического лица — краткое наименование страны, в которой находится организация владельца сертификатаРегион(stateOrProvinceName)для физического лица — название региона, в котором проживает владелец сертификатадля юридического лица — название региона, в котором находится организация владельца сертификатаНаселенный пункт(localityName)для физического лица — название населенного пункта, в котором проживает владелец сертификатадля юридического лица — название населенного пункта, в котором находится организация владельца сертификатаУлица, дом(streetAddress)для физического лица — адрес, по которому проживает владелец сертификатадля юридического лица — юридический адрес организации владельца сертификата

НазваниеОписаниеdigitalSignature электронная цифровая подписьnonRepudiation неотрекаемость от авторстваkeyEncipherment шифрование ключейdataEncipherment шифрование данныхkeyAgreementсогласование ключейkeyCertSignэлектронная цифровая подпись сертификатов ключей подписиcrlSignэлектронная цифровая подпись списков отозванных сертификатовencipherOnlyзашифровываниеdecipherOnlyрасшифровывание

Расширения сертификата — это информационные поля, которые содержат дополнительные сведения о сертификате.

Расширения сертификата задаются следующими параметрами:

• oid  —  идентификатор расширения;
• value  —  данные этого расширения в DER-кодировке.
• criticality — критичность наличия данного расширения.

Способ идентификации заявителя (IdentificationKind,

) задается в этом блоке. Значение с 0 (личное присутствие) – по умолчанию добавляется. В описании шаблона есть другие значения:

Дополнительная информация об утилите

Изменение значения поля запроса на сертификат квалифицированной электронной подписи

Для изменения параметра запроса на сертификат квалифицированной электронной подписи необходимо выполнить следующие действия:

• Запустите Панель управления Рутокен.
• Запустите утилиту.
• Выберите название шаблона.
• Щелкните по ссылке “Просмотреть в блокноте”. Откроется окно Шаблон-Основной.
• Поставьте курсор мыши в необходимой строке между кавычками и укажите значение параметра.
• В окне шаблона выберите пункт Файл и подпункт Сохранить как.
• Выберите папку для сохранения шаблона на компьютере.
• Укажите имя файла.
• Нажмите Сохранить.

Установка комплекта “Драйверы Рутокен для Windows”

Актуальная версия комплекта драйверов доступна по ссылке:

Перед началом установки комплекта драйверов рекомендуется закрыть все работающие приложения и отключить Рутокен от компьютера.

Для установки комплекта драйверов необходимы права администратора системы.

Для установки комплекта драйверов:

• Запустите программу установки комплекта драйверов и нажмите Установить.
• В окне с запросом на разрешение изменений на компьютере нажмите Да. В результате запустится процесс установки комплекта драйверов.
• После завершения процесса установки нажмите Закрыть.
• Подключите Рутокен к компьютеру.
• Запустите Панель управления Рутокен.  В результате откроется главное окно панели управления и в поле Подключенные Рутокен отобразится название подключенного устройства.

Чтобы генератор запросов стал доступен в Панели управления Рутокен необходимо ввести PIN-код Администратора.

Если вы не знаете PIN-кода Администратора, то обратитесь к тому, кто выдал вам устройство Рутокен.

Чтобы запустить утилиту:

• В Панели управления Рутокен на вкладке Администрирование выберите устройство.
• Нажмите Ввести PIN-код.
• Установите переключатель в положение Администратор и введите PIN-код Администратора.
• Нажмите ОК.
• Перейдите на вкладку Сертификаты.
• Нажмите Выписать сертификат (эта кнопка станет активной, если вы ввели корректный PIN-код Администратора). В результате откроется окно утилиты “Генератор запросов сертификатов для Рутокен ЭЦП 2.0 и 3.0”.

В полях отображаются примеры значений для каждого поля.

После этого вы можете работать с утилитой.

Примеры работы с шаблонами запросов

1) Изменим следующие параметры запроса на сертификат квалифицированной электронной подписи:

• value;
• organizationName;
• innLe;
• ogrn.

2) Сохраним новый шаблон на компьютере и назовем его Шаблон ООО Прогресс.

3) Запустим Панель управления Рутокен.

4) Откроем утилиту.

5) В раскрывающемся списке выберем название шаблона.

6) Заданные параметры отобразятся в окне Генератор запросов сертификатов для Рутокен ЭЦП 2.

1) Добавим следующие расширения для сертификата:

Каждое расширение для сертификата может быть обозначено, как критическое или некритическое (параметр criticality). Сертификат должен быть отвергнут при отсутствии критических расширений (если параметр у расширения criticality=critical).

Отсутствие некритических расширений может быть проигнорировано (если параметр у расширения criticality= non critical).

2) Сохраните шаблон на компьютере. В результате для сертификата будет задано следующее расширение:

Заключение

Вот мы и закончили эту большую статью в которой рассмотрели основные вопросы по подготовительной работе эцп с порталами и после ознакомления с этой инструкцией у Вас больше не будет вопросов:

• как установить сертификат эцп на компьютер
• инструкция по установке сертификата эцп
• настройка эцп криптопро
• первы запуск ЭЦП на компьютере
• удостоверяющие центры для получения эцп
• установить эцп на компьютер криптопро
• установка эцп
• хранилища эцп
• эцп с флешки на компьютер
• настройка ЭЦП
• настройка усиленной квалифицированной электронная подпись
• настройка эцп на СБИС, контур, росэлторг, тензор, госуслуги