- Чем подпись средствами MS Office отличается от подписи с помощью сторонней утиллиты?
- Установка сетевого ответчика (Online responder)
- Ввод лицензии через портал диагностики
- Для ввода лицензии на КриптоПро CSP версии 3. 6 необходимо выполнить следующие шаги
- Совместимость
- Установка центра сертификации (Standalone CA Windows Server 2019)
- Настройка веб-сервера IIS
- Если сертификат без встроенной лицензии (приобретали серийный номер на рабочее место)
- Установка Capicom на компьютер
- Процесс настройки
- Установка КриптоПро на компьютер
- Настройка центра сертификации
- Если сертификат со встроенной лицензией
- Установка корневого сертификата удостоверяющего центра
- Настройка рабочего места для участия в закупках
- Примечание
- Сохранность приватного ключа SSL
- Ссылки
- Установка КриптоПро в различных браузерах
- Установка КриптоПро в OPERA
- Определение лицензии
- Определить версию КриптоПро для установки можно по серийному номеру (номеру лицензии)
- Для ввода лицензии на КриптоПро CSP версии 4. 0 необходимо выполнить следующие шаги
- СКЗИ КриптоПро CSP
- Копирование ключевого контейнера
- Настройка OCSP — сетевого ответчика (Online responder)
- Ключевой контейнер
Чем подпись средствами MS Office отличается от подписи с помощью сторонней утиллиты?
Многие торговые площадки используют для защищенного документооборота именно MS Office, в связи с этим нужно внести определённую ясность. Офисные приложения Microsoft подписывают документы иначе, чем это делает сторонняя программа для шифрования (например CryptoARM). При подписании документов средствами офиса, цифровая подпись добавляется непосредственно в атрибуты файла, и после этого расшифровать его можно только аналогичным способом. Сторонние программы для шифрования просто добавляют к файлу цифровую подпись. В связи с этим данные форматы не взаимозаменяемы.
Установка сетевого ответчика (Online responder)
А вот мы и вернулись к установке автоответчика.
Добавляем роль в «Диспетчере серверов» (Server Manager) – «Далее (Next)»
Установка ролей и компонентов (Add roles and features wizard)» – «Далее (Next)»;
«Роли сервера (Server roles), раскрываем роль: Служба сертификатов Active Directory (Certificate Services Active Directory); и устанавливаем галочку на «Сетевой ответчик» (Online Responder)
Завершаем работу с мастером ролей и компонентов, путём односмысленных нажатий «Далее (Next)».
В IIS была добавлена Applications: ocsp. Только не пугайтесь, что сама по себе директория пустая. Так и должно быть.
Нам осталось настроить центр сертификации и выпустить сертификат на OCSP.
Ввод лицензии через портал диагностики
- Нажать кнопку «Далее».
- После завершения проверки выбрать «Установить».
- После установки компонентов ввести в поле номер лицензии и нажать «
Ввести».
Ручной ввод лицензии
Порядок ручного ввода лицензии КриптоПро зависит от установленной версии криптопровайдера. Проверить версию криптопровайдера можно, открыв меню «Пуск» > «Панель управления» > «КриптоПро CSP». Версия продукта указана на вкладке «Общие».
Ниже приведены настройки для версий:
Для ввода лицензии на КриптоПро CSP версии 3. 6 необходимо выполнить следующие шаги
Выбрать меню «Пуск» > «Панель управления» > «КриптоПро CSP».
В окне «Свойства КриптоПро CSP» кликните по ссылке «КриптоПро PKI».
В КриптоПро CSP 3. 6 R3 процедура ввода лицензии значительно упрощена. Вместо ссылки «КриптоПро PKI» следует нажать на кнопку «Ввод лицензии» и в открывшемся окне внести серийный номер из бланка. Нажать «Ок», ввод лицензии завершен.
В окне консоли PKI необходимо выбрать пункт «Управление лицензиями» и раскрыть его, щелкнув по значку слева.
Необходимо кликнуть правой кнопкой мыши на пункт «КриптоПро CSP» и выбрать «Все задачи» > «Ввести серийный номер».
В открывшемся окне необходимо внести серийный номер из бланка лицензии и кликнуть по кнопке «Ок».
Совместимость
Дистрибутив КриптоПро, входящий в состав дистрибутивов “ГАРАНТ Электронный Экспресс” и “ГАРАНТ Электроный Экспресс Торги”, совместим со следующими операционными системами:
Windows XP (с SP2),
Windows Vista (c SP1 + патч Microsoft 6. 0-KB983557).
Также дистрибутив совместим со следующим программным обеспечением:
Internet Explorer 6. 0 и выше,
Microsoft Office 2003, 2007
Microsoft Office 2010 с плагином
Open Office, Open Office Writer.
Установка центра сертификации (Standalone CA Windows Server 2019)
Непосредственно перед самой установкой коротко объясню особенности Standalone CA:
- Не интегрирован с Active Directory (а он нам и не нужен);
- Публикация сертификатов происходит через запрос на WEB-сайте. Путем автоматического или ручного подтверждения администратором ЦС (ЕМНИП, ЦС предприятия было добавлена такая возможность, не проверял её работу);
- Пользователь сам вводит идентификационную информацию во время запроса сертификата;
- Не поддерживает шаблоны сертификатов (из-за этого всплывут некоторые моменты, которые раскрою в процессе развертывания).
Измените имя компьютера до установки роли, после это будет сделать невозможно. «Далее (Next)» (рис. 2):
Рисунок 2. Уведомления при установки роли.
Добавляем роль в «Диспетчере серверов» (Server Manager), «Далее (Next)» (рис. 3):
Рисунок 3. Интерфейс «Диспетчера устройств» (Server Manager)
«Установка ролей и компонентов (Add roles and features wizard)». Нажимаем «Далее (Next)» – «Далее (Next)»;
«Тип установки: Установка ролей и компонентов (Installation type: Role-based or features-based installation». «Далее (Next)»;
«Выбор сервера (Server selection)». В нашем случае среди предложенных будет один сервер и имя компьютера. «Далее (Next)» (рис. 4);
Рисунок 4. «Выбор сервера (Server selection)»
«Роли сервера (Server roles). Здесь необходимо отметить две роли: Служба сертификатов Active Directory (Certificate Services Active Directory), Веб-сервер IIS (Web-server IIS);
Во всплывающем окне перечня нажимаем «Добавить компонент (Add features)» – «Далее (Next)»;
«Компоненты (Features) оставляем как есть — «Далее (Next)» ;
«Служба ролей (Role Services)» ЦС, необходимо выбрать:
- «Центр сертификации (Certification Authority)»,
- «Служба регистрации в центре сертификации через Интернет (Certification Authority Enrollment)»;
Сетевой автоответчик (Online responder) добавим уже после развертывания ЦА, в противном случае могут возникнуть проблемы.
В «Служба ролей (Role Services)» веб-сервера оставляем всё предложенное автоматически — «Далее (Next)»;
«Подтверждение (Confirmation).
На этом этапе запустится процесс установки роли.
После установки роли центра сертификации необходимо его настроить(рис. Выбираем:
«Настроить службы сертификатов Active Directory (Configure Active Directory-Certificate Services)
Рисунок 5. Уведомление о необходимости настройки центра сертификации
Выбираем установленные службы ролей для настройки (Select role services to configure) ЦС: «Центр сертификации (Certification Authority)», «Служба регистрации в центре сертификации через Интернет (Certification Authority Enrollment)»;
При выборе центра сертификации появится окно выбора ключевого носителя – КриптоПРО CSP, в качестве носителя для создания контейнера cngWorkAround используем хранилище ключей реестра Windows – Реестр. (рис
Рисунок 6. Выбор ключевого носителя – КриптоПРО CSP
Указываем вариант установки ЦС (Specify the setup type of the CA): Автономный центр сертификации (Standalone CA). «Далее (Next)»;
Указываем тип ЦС (Specify the type of CA) – Корневой ЦС (Root CA). «Далее (Next)»;
Необходимо создать закрытый ключ ЦС, чтобы он мог создавать и выдавать их клиентам. Для этого выбираем «Создать новый закрытый ключ (Create a new private key)».
В качестве поставщика службы шифрования выбираем один из трёх предложенных (не забывайте, что 2001 год уже устарел) Crypto-Pro GOST R 34. 10-2012 Strong Cryptographic Service Provider с длиной 512 и открытого ключа 1024 бита. (рис
Рисунок 7. Выбор криптопровайдера
Укажите имя центра сертификации и суффиксы различающего имени, данные суффиксы будут отображаться в составе сертификата в графе «Издатель (Issuer)».
СN = Certificate Name, O = Organization, L = Locale, S = Street, C = Country, E = E-mail; (рис
Указываем необходимый «срок годности (validaty period)» корневого сертификата (в нашем случае было выбрано 15 лет). «Далее (Next)»;
Указываем расположение баз данных сертификатов (certificate database location). «Далее (Next)»;
В окне «Подтверждения (Confirmation) сверяем введённую информацию – «Настроить (Configure)»
Появится окно выбора носителя для создания контейнера нашего ЦС.
Где хранятся сами контейнеры ключей:
Реестр: (в качестве хранилища ключей используется реестр Windows), путь хранения контейнеров ключей следующий:Ключи компьютера: HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCryptoProSettingsKeys
Далее откроется окно генерации начальной последовательности с помощью биологического ДСЧ. Для генерации случайной последовательности перемещайте указатель мыши или нажимайте различные клавиши.
После введите пароль на доступ к закрытому ключу.
Далее появится окно результатов об успешной установке компонентов (рис
Рис. Результаты установки
Настройка веб-сервера IIS
Теперь необходимо выполнить некоторые настройки веб-сервера: прицепить сертификат (самоподписанный или выпущенный нашим же ЦА). Кстати, он уже работает. В качестве примера выпустим самоподписанный сертификат.
Откроем Диспетчер служб IIS (Manager IIS) — Сертификат сервера (Server Certificates) (рис. 9);
В открывшемся окне в панели «Действия (Actions)» выберем – «Создать самоподписанный сертификат (Create Self-Signed Certificate);
Выбираем тип «Личный (Personal) и указываем «Имя сертификата (Friendly Name)»
Рисунок 9. Диспетчер служб IIS (IIS Manager)
Также сертификат вы можете выпустить следующим образом:На этой же панели создайте запрос (Create certificate request) для выпуска сертификата через наш ЦА и дальнейшей его загрузки в IIS (Complete Certificate Request). Но это по желанию.
Пример запроса (request) для формирования запроса вручную
В целом с веб-сервером мы закончили, в default web site вы можете увидеть, что были автоматически созданы virtual directory и applications «CertSrv». При желании можно создать отдельную виртуальную директорию под CRL’ки.
Если сертификат без встроенной лицензии (приобретали серийный номер на рабочее место)
Прежде всего, следует найти приложение к договору «Лицензия на использование программного продукта КриптоПро CSP». В нем будет содержаться серийный номер, который необходимо внести одним из способов, описанных ниже.
Внести серийный номер лицензии можно с помощью портала диагностики или вручную.
Установка Capicom на компьютер
Объект capicom — это библиотека, которая отвечает за распознание и отображение сертификата ЭЦП на компьютере, на котором используется электронная цифровая подпись. Именно он отвечает за шифровку и дешифровку данных. Наличие работающей базы капиком является обязательным условием для работы с электронными площадками.
На главной странице Ассоциации Электронных Торговых Площадок спускаемся в самый низ и в разделе «электронная подпись» выбираем раздел «Библиотеки для ЭП».
Нажимаем «Next» и принимаем лицензионное соглашение. Далее переходим на следующие шаги до кнопки «Install», а после установки нажимаем «Finish».
Процесс настройки
Ранее я не сталкивался с центрами сертификациями. Поскольку ОС Windows Server мне ближе, решил развернуть ЦС с использованием Server Manager. Разворачивать контроллер домена не нужно, так как сертификаты будут выдаваться внешним пользователям. Соответственно, можно обойтись «автономным» центром сертификации, подробнее о нём расскажу позже.
Перед развертыванием центра сертификации необходимо:
- Установить СКЗИ КриптоПро CSP 5.0.12330:
- Установить КриптоПро ЭЦП Browser plug-in;
Инсталляцию производим через «Дополнительные опции»
- Выбираем язык установки, уровень защиты КС1 (другие уровни защиты требуют дополнительных аппаратных средств защиты);
- В разделе «Установка компонентов» проверяем, что добавлен «Криптопровайдер уровня ядра ОС»; (рис. 1)
Рисунок 1. Установка дополнительных компонентов «КриптоПро CSP»
Криптопровайдер уровня ядра ОС необходим для работы криптопровайдера в службах и ядре Windows.
В следующем окне оставляем пункты:
- Зарегистрировать считыватель «Реестр» (позволит сохранять контейнеры ключей в реестр);
- Усиленный контроль использования ключей;
- Не разрешать интерактивные сервисы Windows;
Также «КриптоПро» предложит добавить сертификаты своих центров сертификации;
Устанавливаем, перезагружаемся.
Установка КриптоПро на компьютер
Должна начаться загрузка файла cadesplugin. exe. Запустите его после загрузки.
Подтверждаем установку плагина
Если плагин уже установлен, программа предложит обновить его. Нажмите «Да».
Во время установки может появится следующее предупреждение. Нажмите «ОК»
В случае успешной установки плагина, вы увидите следующее окошко
Перезапустите браузер. При необходимости перезагрузите компьютер.
Настройка центра сертификации
В «Диспетчере серверов (Server manager)» – выбираем «Служба сертификации Active Directory (AD CS) – правой клавишей по вашему серверу и открываем: «Центр сертификации (Certification Authority).
Вы попали в оснастку управления центром сертификации: certsrv.
Выбираем ваш центр сертификации и открываем свойства (рис. 10):
Рисунок 10. Настройка центра сертификации. Оснастка управления центром сертификации certsrv.
Следующим важным шагом выступает настройка точек распространения CDP и AIA.
Authority Information Access (AIA) — содержит ссылки на корневой сертификат центра сертификации (Certification Authority)
CRL Distribution Point — содержит ссылки на файлы CRL, которые периодически публикует сервер CA, который издал рассматриваемый сертификат. Этот файл содержит серийные номера и прочую информацию о сертификатах, которые были отозваны. (рис. 11)
Мы используем веб-сервер, который доступен как внутри сети, так и из интернета (так как сертификаты могут использоваться пользователями интернета) по одному и тому же URL.
В разделе свойства переходим в «Расширения (Extensions):
Удаляем ненужные точки распространения и оставляем локальную и внешнюю ссылку для CDP:
Ставим галочки «Включить в CRL. Включить в CDP (Include in CRL. Include in the CDP)».
Ставим галочку: «Включать в AIA- расширение выданных сертификатов (Include in the AIA extension of issued certificates)»
Ставим галочку: «Включать в расширение протокола OCSP (Include in the online certificate status protocol (OCSP) extension)»
Рисунок 11. Настройка точек распространения AIA и CRL
В свойствах центра сертификации можно настроить автоматический выпуск сертификатов при поступившем запросе. Так вы исключаете возможность проверки указанных требуемых полей сертификатов. Для этого перейдите в «Модуль политик (Policy Module)» — «Свойства (Properties)» и выберите соответствующий пункт:
В первом случае сертификату присваивается режим ожидания, а одобрение выпуска сертификата остается за администратором;
Во втором случае из-за отсутствия шаблонов в Standalone CA сертификаты будут выпускаться автоматически. (рис. 12)
Рисунок 12. Дополнительные настройки ЦС для автоматического выпуска сертификатов
Да, центр сертификации уже функционирует и доступен по указанному dns-имени. Не забудьте открыть 80 и 443 порты для функционирования веб-сервера и online-reposnder’a, настройкой которого мы займёмся далее.
При переходе по ссылке извне в IE необходимо добавить наш веб-сервер в «Надежные сайты (Trusted Sites)» в настройках в пункте «Безопасность». Не забудьте, что должен быть установлен КриптоПро CSP, в ином случае при выпуске сертификата вам не будет доступен выбор ГОСТовского криптопровайдера (рис. 13).
Рисунок 13. Веб-интерфейс центра сертификации. Формирование запроса. Правильное отображение
Вернёмся в оснастку certsrv к нашему центру сертификации и настроим выпуск разностных CRL. Для этого необходимо открыть «Свойства (Properties)» раздела «отозванных сертификатов (Revoked Certificates)» (рис. 14).
Задаём «Интервал публикации CRL (CRL Publications interval)».
Включаем публикацию разностных CRL и задаём интервал.
Кажется, что все хорошо. Но есть один момент:
Выполните следующую команду в power shell:
Рисунок 14. Настройка параметров публикации CRL.
Если сертификат со встроенной лицензией
Открытый ключ обязательно должен быть установлен в закрытый (см. в инструкции ).
На рабочем месте должна быть установлена версия Крипто-Про не ниже 3. 6 R2 (3. 6497). Проверить версию криптопровайдера можно, открыв меню «Пуск» > «Панель управления» >
Для работы с такими сертификатами иметь действующую лицензию на рабочее место не требуется.
Установка корневого сертификата удостоверяющего центра
Способ 1. Если у вас нет файла корневого сертификата
Открыть личный сертификат пользователя, которым хотите подписать заявку (см. пункт Просмотр всех установленных личных сертификатов на ПК)
Перейти на вкладку «Состав» и выбрать из списка «Доступ к информации о центрах сертификации».
В блоке «Дополнительное имя» скопировать ссылку на загрузку сертификата. (ссылка должна оканчиваться ТОЛЬКО. cer или. crt )
Открыть браузер, выделить ссылку из сертификата и скопировать её
нажатием ctrl+c, затем вставить в адресную строку. Сохранить корневой сертификат на компьютер в произвольное место.
Открыть корневой сертификат и нажать кнопку «Установить сертификат».
Следовать указаниям «Мастера импорта сертификатов». ВАЖНО! На этапе импорта необходимо указать хранилище сертификатов
«Доверенные корневые центры сертификации».
После установки корневого сертификата, закрыть окно с ним, заново открыть личный сертификат и перейти во вкладку «Путь сертификации».
Если в этой вкладке вы видите ситуацию как на скриншоте
Способ 2. Если у вас есть файл корневого сертификата
Открыть скачанный файл.
Нажать «Установить сертификат».
«Далее» и выбрать пункт «Поместить все сертификаты в следующее хранилище», нажать кнопку «Обзор».
Выбрать «Доверенные корневые центры сертификации» и нажать «Ок».
Нажать кнопку «Далее», затем «Готово».
Настройка рабочего места для участия в закупках
Время чтения: 15 минут
Что вы узнаете из текста: как подготовить свой компьютер для участия в электронных торгах и использования ЭЦП
Установка КриптоПро на компьютер
Как установить КриптоПро в Google Chrome
Как утсановить КриптоПро в Mozzila Firefox
Как установить КриптоПро в OPERA
Как установить КриптоПро в Яндекс. Браузере
Как установить личный сертификат ЭЦП
Как проверить все установленные на ПК личные сертификаты
Установка корневого сертификата
Для подготовки ПК к использованию ЭЦП и участия в закупках, необходимо установить специальное программное обеспечение, которое включает в себя:
- Крипто-ПРО CSP;
- Корневой сертификат;
- Личный сертификат;
- Библиотека Capicom.
Мы подробно расскажем вам, как пройти каждый из этих этапов.
Примечание
Установка считывателей Rutoken начинается с «Activ Co. RuToken 0», если у клиента 2 устройства Rutoken, соответственно в считыватели необходимо добавлять «Activ Co. RuToken 0» и «Activ Co. RuToken 1», и так далее в зависимости от количества считывателей Rutoken.
В ряде случаев, когда у вас на компьютере установлена операционная система Windows Vista или Windows 7, кнопки «Удалить» и «Добавить» могут быть не активными. Для того, чтобы сделать их активными нужно запустить программу «КриптоПро CSP» с правами администратора.
Если клиенту личный сертификат был записан не на рутокен Rutoken, а в реестр или на дискету,то после нажатия на кнопку «Добавить» необходимо выбрать тот носитель куда записан контейнер закрытого ключа.
Сохранность приватного ключа SSL
Организации, выдающие SSL сертификаты безопасности, не имеют доступа к вашему закрытому (или приватному) ключу шифрования – и не должны иметь – поскольку закрытые ключи создаются на уровне пользователя, то есть на вашем сервере или компьютере. Даже если Вы генерируете CSR запрос и приватный ключ на нашем сайте, Вы должны сохранить его у себя, так как на нашем сервере информация о ключе не сохраняется. Два главных фактора, от которых зависит криптографическая безопасность закрытого ключа, – это количество и случайная последовательность простых чисел, используемых при его создании. По сути, закрытый ключ — это файл с набором чисел, сгенерированных случайным образом. Конфиденциальность этой информации является гарантией безопасности вашего ключа на протяжении всего периода использования SSL-сертификата. Чтобы обеспечить сохранность вашего закрытого ключа, доступ к нему следует разрешать только тем членам вашей организации, кому он действительно необходим, например, системному администратору, который занимается установкой SSL сертификата. Кроме того, рекомендуется изменять закрытый ключ (и перевыпускать соответствующий SSL сертификат) всякий раз, когда сотрудник, располагавший доступом к нему, покидает вашу организацию.
Ссылки
- документация КриптоПро CAPILite
- ресурс c объявлением стандартных экспортируемых функций в С#
- исходники .Net:
класс CAPIBaseкласс X509Certificate2класс SignedCMSкласс SignerInfo - класс CAPIBase
- класс X509Certificate2
- класс SignedCMS
- класс SignerInfo
- исходники mono:
класс X509Certificate2класс X509CertificateImplBtls - класс X509CertificateImplBtls
Установка КриптоПро в различных браузерах
Установка КриптоПро в Google Chrome
Заходим в расширения
В открывшейся вкладке ищем расширение « CryptoPro Extension for CAdES Browser Plug-in». Плагин должен быть включен. Также поставьте галочку «Разрешить открывать файлы по ссылкам»
Установка КриптоПро в Mozzila Firefox
Открываем меню. Выбираем «Дополнения»
Открываем новую вкладку, вводим в адресную строку about:config. Нажимаем на любой элемент в списке правой кнопкой мыши. После этого у вас откроется меню, в котором нужно выбрать: Создать – Логическое
Вводим имя настройки plugin. load_flash_only
Значение выбираем false
Перезапускаем браузер. Заходим снова в дополнения (Шаг 1). Находим в списке CryptoPro CAdES NPAPI Browser Plug-in, выбираем пункт «Всегда включать».
Установка КриптоПро в OPERA
Если после установки плагина он не отобразился в «расширениях», переходим по стрелочке.
В строке поиска вводим «CryptoPro» и выбираем плагин как на скриншоте.
Нажимаем «Добавить в Opera»
Проверяем вкладку с расширениями, включаем плагин (если он выключен).
Установка КриптоПро в Яндекс. Браузере
Перейдите в настройки Браузера в правом верхнем углу, раздел «Дополнения»
Прокручиваем страницу в самый низ, находим плагин «КриптоПро Эцп» и включаем его
Откройте меню пуск. В строке поиска введите «КриптоПро». Запустите программу
Перейдите во вкладку «Сервис» и выберите «Просмотреть сертификаты в контейнере»
Нажмите кнопку «Обзор»
В открывшемся окне выберите контейнер с вашей ЭЦП и нажмите «Ок». После выбора нажмите «Далее >»
Проверьте данные и нажмите на кнопку «Установить»
Если увидите следующее сообщение, нажмите Да:
Если все сделали правильно, появится окошко, сообщающее об успешной установке
Просмотр всех личных сертификатов, установленных на ПК
Нажмите кнопку Пуск, введите mmc в поле Найти программы и файлы и нажмите клавишу Enter
В меню Файл выберите команду Добавить или удалить оснастку.
В списке Доступные оснастки дважды щелкните Сертификаты, Выберите свою учетную запись пользователя, а затем нажмите кнопку Готово. Нажмите кнопку ОК.
В появившемся окне перейдите по цепочке
В правом окне появится список всех сертификатов, установленных на компьютере, выберете нужный, нажмите на него левой клавишей мыши 2 раза, он откроется отдельным окном
Определение лицензии
Сделать это можно следующим оброзом:
Нажмите “Пуск Панель управления КриптоПро CSP”. Версия КриптоПро будет указана сверху на закладке “Общие”.
Нажмите “Пуск Все программы КриптоПро КриптоПро PKI”. Выберите “Управление лицензиями”. Версия программы будет указана напротив значка КриптоПро.
Определить версию КриптоПро для установки можно по серийному номеру (номеру лицензии)
Если серийный номер содержит 10 символов и присутствует отдельный ключ активации лицензии, то это КриптоПро CSP v
Если серийный номер состоит из 25 символов (5 групп по 5 символов), то это КриптоПро CSP v
Различие серийных номеров для версии 3:
Серийный номер для версии 3. 0 начинается с CP300
Серийный номер для версии 3. 6 начинается с 36
Для этих двух версий существуют исключения. В частности, некоторые серийные номера, выдаваемые абонентам Контур, могут не начинаться ни с CP300, ни с 36.
Для ввода лицензии на КриптоПро CSP версии 4. 0 необходимо выполнить следующие шаги
В окне «Общие» кликнуть по кнопке «Ввод лицензии».
В открывшемся окне необходимо заполнить предложенные поля и кликнуть по кнопке «Ок».
Для проверки срока действия лицензии КриптоПро проделайте следующие действия:
Откройте программу КриптоПро PKI: Пуск — Программы — Крипто-Про — КриптоПро PKI.
В появившемся окне в левой части выберите «Управление лицензиями», далее выберите “КриптоПро CSP”.
В правой части окна будет информация о сроке действия лицензии (неограниченная или до конкретной даты) и версия КриптоПро (для использования ИПК “ГАРАНТ Электронный Экспресс” и дистрибутива “Электронные торги” необходима версия 3.
Как проверить срок действия лицензии КриптоПро CSP?
СКЗИ КриптоПро CSP
СКЗИ
— средства криптографической защиты информации. В контексте работы нашей компании так называют программный продукт “КриптоПро CSP” от компании ООО “Крипто-Про” , который используется для осуществления безопасного юридически значимого документооборота.
Дистрибутив СКЗИ “КриптоПро CSP”, согласно нормативной документации, для коммерческого использования необходимо передавать только на электронных носителях, исключая передачу посредством сетей общего пользования. В состав установочного комплекта “Электронные торги” и ИПК “ГАРАНТ Электронный Экспресс” входит дистрибутив СКЗИ “КриптоПро CSP”, версия 3. В случае, если у Клиента установлена версия КриптоПро, отличная от 3. 1, рекомендуется установить версию из установочного комплекта, т. с версиями ниже 3. 6 ИПК не тестировался. Кроме того, существуют ряд причин, по которым рекомендуется использовать КриптоПро и лицензию на данный программный продукт из установочного комплекта:
У клиентов часто можно встретить лицензию КриптоПро с узкой областью применения “для представления отчетности в системе Контур/Тензор/etc
Возможны ограничения по срокам использования лицензии, ранее проданной клиенту;
Согласно данным разработчика СКЗИ, участились случаи пиратского распространения КриптоПро некоторыми операторами.
Копирование ключевого контейнера
Для осуществления процедуры копирования ключевого контейнера откройте свойства КриптоПро: Пуск->Настройка->Панель управления->КриптоПроCSP. Перейти на вкладку Сервис
и нажать кнопку Скопировать контейнер.
Если Вы приобрели Лицензию на право использования программного обеспечения КриптоПро CSP, то Вам было видано лицензионное соглашение в бумажном виде (формата А4). Пожалуйста, приготовьте его – оно Вам скоро понадобится.
Перед тем как приступить к установке программы мы рекомендуем проверить, установлена ли у Вас старая версия КриптоПро CSP. Сделать это можно следующим способом:
Зайдите в «Пуск» – «Панель управления» (или «Пуск» – «Настройки» – «Панель управления»);
2. В открывшемся окне найдите оснастку «КриптоПро CSP».
Шаг 4. Дождитесь окончания установки программы, после чего перезагрузите компьютер.
Если у Вас уже была установлена программа в демо-режиме, или закончился срок действия годовой лицензии на программу КриптоПро CSP, то для активации нового серийного номера необходимо выполнить следующие действия:
Запустить программу “КриптоПро CSP”
: для этого нужно перейти “Пуск” – “Программы” (или “Все программы”) – “КРИПТО ПРО” – “КриптоПро CSP”.
В открывшемся окне выбрать вкладку “Общие” и нажать на кнопку “Ввод лицензии”
Введите запрашиваемые данные (пользователь, организация и серийный номер) и нажмите на “ОК”
Активация программы закончена.
Для того, чтобы посмотреть серийный номер КриптоПро CSP, введенный ранее, необходимо:
В связи с переходом на новый национальный стандарт формирования и проверки электронной подписи ГОСТ Р 34. 10-2012 рекомендуем заблаговременно обновить свои Лицензии КриптоПро CSP версии 3. 6 и 3. до актуальных, поскольку данные версии не поддерживают новый национальный стандарт ГОСТ Р 34. 10-2012, являющийся обязательным с 1 января 2019 года.
Для проверки необходимости обновления Лицензии КриптоПро CSP, запустите программу «КриптоПро CSP». Для этого перейдите в «Пуск» -> «Программы» (или «Все программы») -> «КРИПТО-ПРО» -> «КриптоПро CSP».
В открывшемся окне выберите вкладку «Общие», обратите внимание на версию продукта и срок действия лицензии:
Если версия программы КриптоПро CSP, установленной на Вашем компьютере – 4. 0, а срок действия лицензии – “Постоянная”, тогда все в порядке, Вы готовы к переходу на новый криптографический стандарт.
Если в строке «Срок действия» указана дата
или слово «Истекла»
, значит Вам необходимо
приобрести лицензию и ввести серийный номер.
Если в строке “Срок действия” Вы видите “Постоянная”, но версия КриптоПро CSP начинается на 3. или 3. , тогда Вам необходимо приобрести
Лицензию на обновление версии КриптоПро CSP , обновить программу на своем компьютере до актуальной версии и ввести серийный номер.
Необходимость определения версии СКЗИ может возникнуть в случае, когда Клиент переносит СКЗИ на другое рабочее место (новый компьютер). Какая версия КриптоПро была на старом? Неизвестно. А серийный номер от одной версии не подходит к другой.
Настройка OCSP — сетевого ответчика (Online responder)
Так как у Standalone центра сертификации нет шаблонов, нам необходимо вручную сформировать запрос и выпуск сертификата для конфигурации отзыва (Array configuration) в «Управление сетевым ответчиком (Online responder management). Для это используйте следующую конфигурацию для формирования запроса
Создайте: ocsp. txt cо следующим внутренним содержанием:
Откройте командную строку cmd. Перейдите в директорию с текстовым файлом или в будущем просто укажите полный путь при формировании запроса.
Узнаем, на какой срок сейчас выпускаются сертификаты. Для этого воспользуемся командой – certutil –getreg caalidityperiodunits
Результат — на рис.
Рисунок 15. В текущей конфигурации сертификаты выпускаются на один год
Изменим длительность выпуска сертификата:
#Изменение выпуска сертификатов с текущего состояния на длительность в 5 лет
certutil -setreg caValidityPeriodUnits 5
#Перезапуск сервера
net stop certsvc
net start certsvc
Сформируем запрос и выпустим сертификат для сетевого автоответчика (рис 16
Во время конфигурирования запроса выбираем место хранения контейнера ключа и проходим процедуру ДСЧ.
Рисунок 16. Выпуск сертификата для сетевого автоответчика
Экспортируем сертификат из центра сертификации и устанавливаем его в личные сертификаты локального компьютера.
После запроса сертификата открываем оснастку: Certificates (Run – MMC – Add or remove Snap-ins – Certificate),
Выбираем сертификат, выданный для сетевого ответчика. Нажимаем правой клавишей и открываем «Все задачи (Управление закрытыми ключами (All Tasks – Manage Private keys)».
Это нужно сделать, так как служба OCSP работает от лица Network Service.
Рисунок 16. Настройка сертификата для работы сетевого ответчика
Далее переходим в настройки самого сетевого ответчика. (рис. 17)
Нам необходимо добавить «Конфигурацию отзыва (Revocation Configuration) – «Добавить»
Предстоит небольшой процесс настройки конфигурации отзыва.
Введите имя конфигурации – «Далее».
Выбираем второй пункт: «Выбрать сертификат в локальном хранилище сертификатов (Select a certificate from the local certificate store)» – «Далее».
В следующем окне нажимаем «Обзор (Browse)» и выбираем корневой сертификат нашего ЦА – «Больше вариантов (More choices)». (рис. 17) – «Далее».
В следующем окне выбираем «Выбрать сертификат подписи вручную (Manually a signing sertificate)
Рисунок 17. Управление сетевым ответчиком. (online responder management)
Рисунок 18. Прикрепляем конфигурации корневой сертификат ЦА
Осталось прицепить к нашей конфигурации выпускаемый ранее сертификат и проверить некоторые моменты.
Переходим в «Конфигурацию массива(array configuration)», выбираем конфигурацию и нажимаем «Назначить сертификат подписи (Assign Signing Certificate)». В появившемся окне нужно просто нажать «ОК».
Теперь необходимо «Обновить конфигурацию массива». Для этого выбираем «Конфигурация массива (Array configuration) – «Обновить (Refresh)»
После всех этих действий главное окно оснастки ocsp должно выглядеть так, как на рисунке 19.
Рисунок 19. Итоговый результат о работе сетевого ответчика
В процессе самостоятельной настройки «сетевого ответчика» может возникнуть много вопросов, особенно если нет опыта работы с Standalone центром сертификации, в котором отсутствуют шаблоны, без которых можно обойтись, но пути становятся длиннее в исполнение. Кстати говоря, если после прикрепления сертификата вы не получили заветное Working, то проверьте следующее (рис. 20, 20. 1):
Рисунок 20. Переходим в редактирование свойств конфигурации отзыва
Рисунок 20. Проверяем что в разделе «Подписи» выбран ГОСТ алгоритм шифрования
Чтобы проверить работу центра сертификации и сетевого автоответчика, выпустите сертификат для конечного пользователя, установите его и экспортируйте в какую-нибудь директорию. А после воспользуйтесь утилитой: Certutil –url /patch/test. crt
Для подробного отчёта вы можете воспользоваться: certutil –verify –urlfetch /patch/test. crt
На этом краткое руководство по развертыванию собственного центра сертификации подошло к концу. Я постарался рассказать о большинстве трудностей и нюансов, с которыми можно столкнуться в процессе работы. Надеюсь, это руководство поможет вам.
Что ещё интересного есть в блоге Cloud4Y
Ключевой контейнер
Ключевой контейнер
– это область на съемном носителе (дискета или RuToken) или в реестре компьютера, в которой хранится Ваш закрытый ключ. Он генерируется автоматически при отправке запроса на получение личного сертификата и является Вашей уникальной цифровой подписью. Полученный Вами личный сертификат без соответствующего закрытого ключа недействителен. Внимание, ключевой контейнер восстановлению не подлежит. Настоятельно рекомендуем сделать резервную копию.
В качестве ключевого контейнера можно использовать реестр компьютера, дискету 3,5 дюйма, USB-носитель и RuToken.