Как установить личный сертификат? — Удостоверяющий центр СКБ Контур

Как установить личный сертификат? — Удостоверяющий центр СКБ Контур Электронная цифровая подпись
На чтение 10 мин. Просмотров 146 Опубликовано

При электронном документообороте должна использоваться ЭЦП, чтобы передаваемые и получаемые документы имели юридическую силу.

При этом на компьютере должен быть установлен корневой сертификат. Он используется для проверки подлинности подписи, определении удостоверяющего центра, выдавшего ЭЦП.

  • Что такое корневой сертификат (КС)
  • Где его взять
  • Какую информацию он содержит
  • Можно ли без корневого сертификата установить ЭП
  • Как установить корневой сертификат удостоверяющего центра криптопро
  • Как обновить корневой сертификат
  • Возможные проблемы и как их решить
Содержание
  1. Что такое корневой сертификат (КС)
  2. Где его взять
  3. Какую информацию он содержит
  4. Можно ли без корневого сертификата установить ЭП
  5. Как установить корневой сертификат удостоверяющего центра криптопро
  6. В Windows
  7. В Linux
  8. Как обновить корневой сертификат
  9. Возможные проблемы и как их решить
  10. Ошибка с правами
  11. Ошибка импорта
  12. Не найден локальный сертификат удостоверяющего центра
  13. Не установлен корневой сертификат

Что такое корневой сертификат (КС)

Корневой сертификат представляет собой открытый ключ, по которому определяется личность или наименование владельца подписи на документе. Фактически это электронный документ, содержащий данные по удостоверяющему центру.

С помощью программы криптошифрования устанавливается удостоверяющий центр, в списках которого содержутся сведения о владельце подписи.

Если на компьютере установлен КС, то можно скопировать электронную подпись. Производиться генерация открытого ключа с носителя, например, с рутокена.

Данные КС выдаются удостоверяющим центрам в Минкомсвязи. Его наличие подтверждает, удостоверяющий центр является официально зарегистрированным.

КС имеет срок действия, который составляет 12 месяцев. Поэтому его нужно каждый год переустанавливать для полноценного использования ЭЦП.

Без корневого сертификата нельзя использовать открытый ключ. Последний можно украсть, но без корневого сертификата этой ЭЦП воспользоваться не получится.

Кроме этого на компьютере могут использоваться неквалифицированные сертификаты, выданные различными организациями и госорганами. К ним относятся сертификат казначейства, обслуживающего банка и т.д.

Где его взять

КС выдаются самими сертифицированными удостоверяющими центрами, где субъект получает свою ЭЦП. Он выдается вместе с ЭП на носителе или же центр предоставляет электронный адрес – ссылку на официальный сайт.

Например, СКБ «Контур» (Удостоверяющий центр сертум про) предоставляет корневой сертификат по следующему адресу https://ca.kontur.ru/about/certificates.

Какую информацию он содержит

Корневой сертификат содержит в зашифрованном виде все основные сведения об удостоверяющем центре:

  • Срок его действия.
  • Сервисная информация об удостоверяющем центре.
  • Адрес в интернете – где содержится реестр организаций, у которых выпущена ЭП.

Просто так просмотреть эти сведения не получится. Нужно использовать специализированную программу – КриптоПро CSP.

Можно ли без корневого сертификата установить ЭП

Если у субъекта нет корневого сертификата, установить ЭЦП в систему он сможет. Однако полноценно использовать её не получится, так как для подписания этой подписью документа обязательно потребуется КС.

Во-первых, подпись будет считаться недействительной, а во-вторых, программа криптошифрования при подписании будет постоянно выводить ошибку и подписать документ не получится.

Использование ЭЦП без сертификатов на интернет-сервисах при авторизации не получится также. В этом случае не будет производиться даже считывание открытого ключа подписи. Постоянно будет сообщаться об ошибке, которая не позволяет проверить подлинность используемой подписи.

Читайте также:  Не спешите переходить на ЭДО и ЭЦП сегодня: подводные камни, о которых Вы могли не знать / Хабр

Как установить корневой сертификат удостоверяющего центра криптопро

Рассмотрим подробнее как происходит процесс установки.

В Windows

На компьютере потребуется установить файл, имеющий расширение «.crt». Оно используется для корневых сертификатов.

Удостоверяющий центр может его выдавать в архивированном виде. Тогда нужно воспользоваться специальными программами WinRAR или 7Z, чтобы данный файл извлечь из архива.

Затем нужно произвести следующие действия:

  • Выделить файл и правой кнопкой мыши открыть контекстное меню.
  • В меню выбираем команду «Установить сертификат», в результате которой запускается «Мастер импорта».
  • После его запуска кликаем на кнопку «Далее».
  • В выпавшем окне выбираем «Поместить все сертификаты в выбранной хранилище».
  • После этого в диалоговом окне выбираем «Доверенные корневые центры сертификации» и нажимаем кнопку ОК. Обязательно нужно учесть, чтобы при этом в пункте «Показать только физические хранилища» не должна стоять галочка.
  • Потом нажимаем кнопку «Далее», выпадает сообщение системы на компьютере об установке ключа неизвестного назначения, которое следует проигнорировать и закрыть. Затем нажать на кнопку «Готово».

Если устанавливать корневой сертификат, у которого закончился срок использования, то система выдаст ошибку.

После этого желательно компьютер перезагрузить, чтобы избежать проблемы работы КриптоПро CSP, которая характерна на старые версии этой программы.

В Linux

Современные дистрибутивы Linux намного больше дружелюбны к обычным пользователям, чем это было раньше. Поэтому, в настоящее время на них установка КС ничем сильно не отличается от аналогичных действий в Windows.

Чтобы установить головной сертификат УЦ необходимо щелкнуть по нему мышью два раза и выбрать «Установить сертификат». Импорт сертификата ЭЦП необходимо будет подтвердить вводом пароля пользователя.

Если при таком способе возникают проблемы, можно импортировать напрямую из терминала ключей удостоверяющего центра. Для этого необходимо в нем ввести команду certmgr -inst -store root -file «полный путь к файлу».

После обработки такой команды также потребуется ввести административный пароль.

Как обновить корневой сертификат

Как установить личный сертификат? — Удостоверяющий центр СКБ Контур

При наступлении нового года, обычно требуется загрузить и переустановить новые обновленные корневые ключи удостоверяющих центров.

Чаще всего напоминание об этом выводит либо сама операционная система, либо программное обеспечение, которое использует ЭЦП.

Как провести обновление:

Обновление является простой операцией. И ничем не отличается от установки нового сертификата. Производить удаление старого ключа не требуется, поскольку система сама его пометит как недействительный при истечении срока действия.

Возможные проблемы и как их решить

Чаще всего такая ошибка возникает в старых версиях ОС Windows. К примеру, если используется Windows 7, необходимо обновить ее до пакета исправления SP1 и импортировать сертификата еще раз.

Также сами разработчики криптографического комплекса «Крипто Про» рекомендуют применять 64-битные системы.

Такое требование актуально для системы Windows 7 и последующих. При этом Windows XP версии SP3 выходила только в 32-битной версии, но в ней подобной проблемы никогда не возникает.

Читайте также:  Не видит сертификат электронной подписи (ЭЦП) на носителе

Кроме этого такая проблема часто встречается на Windows Vista (частично она была решена в редакции SP2).

Ошибка с правами

Чаще всего эта ошибка возникает если у пользователя, из-под которого производят импорт сертификата УЦ, нет прав для выполнения данного действия.

Ошибка импорта

Система Windows может сообщить об ошибке при попытке добавить сертификат в хранилище.

Она чаще всего происходит по одной из следующих причин:

  • Установлена старая версия криптопровайдера — в настоящее время сертификаты выпускаются согласно ГОСТ 2012 года, для которого требуется минимально версия Крипто Про 4.0
  • Копия открытого ключа данного сертификата уже была установлена в систему (проверить это можно просмотреть перечень установленных ЭЦП через панель управления Крипто Про;
  • Windows не может получить доступ к реестру, либо работа с ним заканчивается ошибкой — желательно произвести проверку и восстановление реестра средствами Windows, либо использовать сторонние программы как, например, C&CLeaner.
  • Время действия КС удостоверяющего центра, импорт которого пытается выполнить пользователь, истекло. Необходимо получить новый сертификат с действующим периодом.
  • Поврежден сам файл сертификата УЦ. Необходимо получить новую копию и осуществить импорт снова.

Если ошибка все равно появляется, то возможно проблема уже непосредственно в установленной копии Windows. В этой ситуации желательно произвести ее переустановку.

Не найден локальный сертификат удостоверяющего центра

Такая ошибка чаще всего возникает при работе в системе банк-клиент. В этом случае во время установления связи между банковским сервером и клиентским компьютером, банк присылает, а у клиента его нечем проверить.

Для решения этой проблемы необходимо запросить у банка требуемый сертификат. Установить его в систему и указать, что это КС Удостоверяющего центра.

Не установлен корневой сертификат

Если возникает проблема с установкой, в первую очередь необходимо убедиться, что на компьютере установлена лицензионная ОС Windows.

Очень часто в пиратских версиях системы функционал частично обрезается, чтобы обеспечить функционирование операционной системы без фактической лицензии, отключаются некоторые системные службы.

Еще одной часто встречающейся проблемой является использование на данном компьютере двух и более криптопровайдеров либо специализированного программного обеспечения для шифрования.

Возникает ситуация, что криптопровайдеры начинают конфликтовать друг с другом, поскольку каждый пытается управлять хранилищем сертификатов самостоятельно.

В такой ситуации рекомендуется временно удалить один из них и посмотреть, будет ли возникать данная ошибка снова.

Если необходимо использовать оба (например, клиентское ПО использует разный набор криптопровайдеров), то тогда необходимо их обновить до самой актуальной версии, поскольку разработчики оперативно исправляют появляющиеся ошибки.

ОС Windows 10, проверка выполняется .net приложением, следующим кодом:X509Certificate2 certificate = new X509Certificate2(«certificate.cer»);X509Chain chain = new X509Chain();bool successful = chain.Build(certificate);

Вначала формируется список сертификатов из цепочки, которые будут проверяться в списках отозванных сертификатов.

Этим поведением можно управлять через свойство chain.ChainPolicy.RevocationFlag

По умолчанию, если не трогать это свойство, оно инициализуется в X509RevocationFlag.ExcludeRoot, что означает, что все сертификаты в цепочке подлежат проверке в своих списках отозванных сертификатов, кроме корневого.

Читайте также:  Почему нужно купить КриптоПро CSP?

Далее, проверка начинается с сертификата, который идет после корневого и запускается процедура поиска списка отзыва сертификатов для этого сертификата:

  • Проверяется есть ли действующий (для понимания, что такое действующий см. Примечание 2 далее в статье) список отозванных сертификатов в оффлайн хранилище (Текущий пользовательПромежуточные центры сертификацииСписок отзыва сертификатов). Список отозванных сертификатов добавляется в это хранилище правой кнопкой по файлу списка и выбором «Установить список отзыва (CLR)».Если список находится, то проверяется в нём и дальше поиск не идет.
  • Если список отозванных сертификатов не удалось получить за три предыдущих шага, то в результате выполнения chain.Build(certificate) вернется ошибка:1) Функция отзыва не смогла произвести проверку отзыва для сертификата.2) Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступенв англоязыной версии системы:1) The revocation function was unable to check revocation for the certificate.2) The revocation function was unable to check revocation because the revocation server was offline.

Затем все шаги повторяются для следующего сертификата в цепочке.

Примечание 1: Список точек распространения для сертификата можно посмотреть в поле CRL Distribution Points:

Примечание 2: Дата, когда список отозванных сертификатов будет считаться истекшим указана в свойствах этого списка, в поле Next update, списки с истекшим сроком действия пропускатся, как на первом, так и на втором шаге и в любом случае для них будет выполнен третий шаг, т.е. будет произведен запрос свежего списка у точек распространения.

1. Откройте меню Пуск – Панель управления – КриптоПро CSP.

2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Просмотреть сертификаты в контейнере:

3. В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится на смарт-карте JaCarta):

4. После выбора контейнера нажмите кнопку Ок, затем Далее.

* Если после нажатия на кнопку Далее Вы видите такое сообщение:

5. В окне Сертификат для просмотра нажмите кнопку Установить:

6. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

7. Дождитесь сообщения об успешной установке:

8. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Вариант 2. Установка через меню «Установить личный сертификат».

Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer). Он может находиться, например, на съемном носителе или на жёстком диске компьютера (если Вы делали копию сертификата или Вам присылали его по электронной почте).

2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Установить личный сертификат:

3. В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата:

4. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):

5. В следующем окне нажмите кнопку Далее; в окне Сертификат для установки нажмите Далее.

6. Поставьте галку в окне Найти контейнер автоматически (в нашем примере контейнер находится на смарт-карте JaCarta) и нажмите Далее:

7. В следующем окне отметьте пункт Установить сертификат (цепочку сертификатов) в контейнер и нажмите Далее:

8. В окне Завершение мастера установки личного сертификата нажмите Готово:

10. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

11. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

© 2023 ЭЦП Эксперт