сертификат выпущенный в криптопро

Что происходит

В 2019 году приняли поправки к Федеральному закону от 06.04.2011 № 63-ФЗ «Об электронной подписи». Часть из них вступила в силу сразу, другие части — в июле 2021, январе 2022 года и январе 2023 года. Июльские и январские изменения коснутся всех, кто использует электронную подпись: руководители будут получать подпись в налоговой и у ее доверенных лиц, сотрудники — в удостоверяющих центрах (далее — УЦ) с новой аккредитацией.

Где получить и как применять электронную подпись и МЧД? Разберем на вебинаре 16 июня.

Зарегистрироваться

Что нужно для работы с КЭП под macOS

1. КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
2. криптоконтейнер в формате КриптоПро
3. со встроенной лицензией на КриптоПро CSP
4. открытый сертификат должен храниться в контейнере закрытого ключа

Поддержка 
eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.

Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. 
Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.

Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.

Где приобрести ключ ЭЦП

Перед тем как приступить к инструкции, необходимо сначала Вас ознакомить с официальными центрами сертификации, где вы можете приобрести ключ ЭЦП (на данный момент на 1 декабря 2020 года, это следующий список)

Список доверенных удостоверяющих центров России

Возможность представления налоговой, бухгалтерской и отчетности по страховым взносам, а также обмена прочими документами с контролирующими органами в электронном виде по каналам связи из программ системы «1С:Предприятие 8» обеспечивается при использовании сертификатов ключей подписей, выданных следующими удостоверяющими центрами, авторизованными фирмой «1С»:

1. ООО «Такском» (127051, г. Москва, ул. Садовая-Самотечная, д. 12),
2. ООО «Мостинфо-Екатеринбург» (620027, Свердловская область, г. Екатеринбург, ул. Мамина-Сибиряка, д. 38, к. 606),
3. Филиал АО «ГНИВЦ» в СФО (650004, Кемеровская область, г. Кемерово, ул. Гагарина, дом 52, помещение 153),
4. ООО «Линк-сервис» (454006, г. Челябинск, ул. 3-го Интернационала, д. 63),
5. ЗАО «Удостоверяющий центр» (101990, г. Москва, Армянский пер., 9/1/1, стр. 1)
6. ООО «Компания «Раздолье» (432071, г. Ульяновск, ул. Марата, 15),
7. ЗАО «Калуга Астрал» (248023, г. Калуга, пер. Теренинский, д. 6),
8. ООО «АРГОС» (196191, г. Санкт-Петербург, Ленинский пр., д. 168),
9. АО «Электронная Москва» (127051, г. Москва, Б. Сухаревский пер., д. 11, стр. 1, оф. 6),
10. ООО «НПЦ «1С»» (127434, г. Москва, Дмитровское шоссе, д. 9).

Подпись файлов в macOS

В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.

Выясняем хэш сертификата КЭП

На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.
Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:

/opt/cprocsp/bin/certmgr -list

Команда должна вывести минимум 1 сертификат вида:

Certmgr 1.1 © “Crypto-Pro”, 2007-2018.
program for managing certificates, CRLs and stores
= = = = = = = = = = = = = = = = = = = =
1——-
Issuer: [email protected],… CN=ООО КОРУС Консалтинг СНГ…
Subject: [email protected],… CN=Захаров Сергей Анатольевич…
Serial: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
…
Container: SCARD\rutoken_lt_00000000\0000\0000
…
= = = = = = = = = = = = = = = = = = = =
[ErrorCode: 0x00000000]

У нужного нам сертификата в параметре Container должно быть значение вида SCARD\rutoken…. Если сертификатов с такими значениями несколько, то значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение параметра SHA1 Hash (40 символов) нужно скопировать и подставить в команду ниже.

Подпись файла командой из terminal

В terminal переходим в каталог с файлом для подписания и выполняем команду:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).

Команда должна вернуть:

Signed message is created.
[ErrorCode: 0x00000000]

Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

Установка Apple Automator Script

Чтобы каждый раз не работать с терминалом, можно один раз установить Automator Script, с помощью которого подписывать документы можно будет из контекстного меню Finder. Для этого скачиваем архив – скачать.

1. Распаковываем архив ‘Sign with CryptoPro.zip’
2. Запускаем Automator
3. Находим и открываем распакованный файл ‘Sign with CryptoPro.workflow’
4. В блоке Run Shell Script меняем текст ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ на значение параметра SHA1 Hash сертификата КЭП, полученное выше.
5. Сохраняем скрипт: ⌘Command + S
6. Запускаем файл ‘Sign with CryptoPro.workflow’ и подтверждаем установку.
7. В Finder вызываем контекстное меню любого файла, и в разделе Quick Actions и/или Services выбрать пункт Sign with CryptoPro
8. В появившемся диалоге КриптоПро ввести PIN-код пользователя от КЭП
9. В текущем каталоге появится файл с расширением *.sgn – отсоединенная подпись в формате CMS с кодировкой DER.

Скриншоты

Окно Apple Automator:

System Preferences:

Контекстное меню Finder:

Устанавливаем и настраиваем КЭП под macOS

Очевидные вещи

• все загружаемые файлы скачиваются в каталог по-умолчанию: ~/Downloads/;
• во всех установщиках ничего не меняем, все оставляем по-умолчанию;
• если macOS запрашивает пароль пользователя и разрешение на управление компьютером – нужно ввести пароль и со всем согласиться.

Устанавливаем КриптоПро CSP

Регистрируемся на сайте КриптоПро и со страницы загрузок скачиваем и устанавливаем версию КриптоПро CSP 4.0 R4 для macOS – скачать.

Устанавливаем драйверы Рутокен

На сайте написано что это опционально, но лучше поставить. Со страницы загрузок на сайте Рутокен скачиваем и устанавливаем Модуль поддержки Связки Ключей (KeyChain) – скачать.

Далее подключаем usb-токен, запускаем terminal и выполняем команду:

/opt/cprocsp/bin/csptest -card -enum

В ответе должно быть:

Aktiv Rutoken…
Card present…
[ErrorCode: 0x00000000]

Устанавливаем сертификаты

Удаляем все старые ГОСТовские сертификаты

Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

В ответе каждой команды должно быть:

No certificate matching the criteria

или

Deleting complete

Устанавливаем корневые сертификаты

Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Устанавливаем командами в terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Каждая команда должна возвращать:

Installing:
…
[ErrorCode: 0x00000000]

Скачиваем сертификаты удостоверяющего центра

Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.

Альтернативно, сертификаты любого УЦ можно скачать с сайта УФО Минкомсвязи. Для этого в форме поиска нужно найти УЦ по названию, перейти на страницу с сертификатами и скачать все действующие сертификаты – то есть те, у которых в поле ‘Действует’ вторая дата еще не наступила. Скачивать по ссылке из поля ‘Отпечаток’.

Скриншоты

На примере УЦ Корус-Консалтинг: нужно скачать 4 сертификата со страницы загрузок:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Скачанные сертификаты УЦ устанавливаем командами из terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

где после ~/Downloads/ идут имена скачанных файлов, для каждого УЦ они будут свои.

Каждая команда должна возвращать:

Installing:
…
[ErrorCode: 0x00000000]

Устанавливаем сертификат с Рутокен

Команда в terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Команда должна вернуть:

OK.
[ErrorCode: 0x00000000]

Конфигурируем CryptoPro для работы ссертификатами ГОСТ Р 34. 10-2012

Для корректной работы на nalog.ru с сертификатами, выдаваемыми с 2019 года, инструкция на сайте CryptoPro рекомендует:

Команды в terminal:

sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.1!3' -add string 'Name' 'GOST R 34.10-2012 256 bit'

sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.2!3' -add string 'Name' 'GOST R 34.10-2012 512 bit'

Команды ничего не возвращают.

Устанавливаем специальный браузер Chromium-GOST

Для работы с гос.порталами потребуется специальная сборка браузера сhromium – Chromium-GOST скачать.
Исходный код проекта открыт, ссылка на репозиторий на GitHub приводится на сайте КриптоПро. По опыту, другие браузеры CryptoFox и Яндекс.Браузер для работы с гос.порталами под macOS не годятся.

Скачиваем, устанавливаем копированием или drag&drop в каталог Applications. После установки принудительно закрываем Chromium-Gost командой из terminal и пока не открываем (работаем из Safari):

killall Chromium-Gost

Устанавливаем расширения для браузера

1 КриптоПро ЭЦП Browser plug-in

Со страницы загрузок на сайте КриптоПро скачиваем и устанавливаем КриптоПро ЭЦП Browser plug-in версия 2.0 для пользователей – скачать.

Плагин для Госуслуг

Со страницы загрузок на портале Госуслуг скачиваем и устанавливаем Плагин для работы с порталом государственных услуг (версия для macOS) – скачать.

Настраиваем плагин для Госуслуг

Скачиваем корректный конфигурационный файл для расширения Госуслуг для поддержки macOS и новых ЭЦП в стандарте ГОСТ2012 – скачать.

Выполняем команды в terminal:

sudo rm /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application\ Support/Chromium/NativeMessagingHosts

Активируем расширения

Запускаем браузер Chromium-Gost и в адресной строке набираем:

chrome://extensions/

Включаем оба установленных расширения:

• CryptoPro Extension for CAdES Browser Plug-in
• Расширение для плагина Госуслуг

Скриншот

Настраиваем расширение КриптоПро ЭЦП Browser plug-in

В адресной строке Chromium-Gost набираем:

/etc/opt/cprocsp/trusted_sites.html

На появившейся странице в список доверенных узлов по-очереди добавляем сайты:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Жмем “Сохранить”. Должна появиться зеленая плашка:

Список доверенных узлов успешно сохранен.

Скриншот

Проверяем что все работает

Заходим на тестовую страницу КриптоПро

В адресной строке Chromium-Gost набираем:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Должно выводиться “Плагин загружен”, а в списке ниже присутствовать ваш сертификат.
Выбираем сертификат из списка и жмем “Подписать”. Будет запрошен PIN-код сертификата. В итоге должно отобразиться

Подпись сформирована успешно

Скриншот

Заходим в Личный Кабинет на nalog

По ссылкам с сайта nalog.ru зайти может не получиться, т.к. не будут пройдены проверки. Заходить нужно по прямым ссылкам:

• Личный кабинет ИП: https://lkipgost.nalog.ru/lk
• Личный кабинет ЮЛ: https://lkul.nalog.ru

Скриншот

Заходим на Госуслуги

При авторизации выбираем “Вход с помощью электронной подписи”. В появившемся списке “Выбор сертификата ключа проверки электронной подписи” будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.

Скриншот

Что делать, если перестало работать

1. Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:

   sudo /opt/cprocsp/bin/csptest -card -enum

2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

   
chrome://settings/clearBrowserData


3. Переустанавливаем сертификат КЭП с помощью команды в terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs

4. Если команды Cryptopro не отрабатывают (csptest и csptestf превратились в corrupted) – нужно переустановить Cryptopro.

Где получать подписи сотрудникам и уполномоченным лицам. Электронные доверенности

В декабре 2021 года приняли поправки, которые переносят сроки изменений для сотрудников и уполномоченных лиц — с 1 января 2022 года на 1 января 2023 года.

— С 1 января по 31 декабря эти категории лиц могут получать электронную подпись и работать с ней по-прежнему. Обращаться в аккредитованный УЦ, где выдадут подпись с данными сотрудника и его организации. С ней можно подписывать документы от лица организации. Такие типы подписей будут работать до 31 декабря 2022 года.

— С 1 марта 2022 года можно по желанию переходить на новую схему работы. Обратиться опять же в аккредитованный УЦ и получить там новый тип электронной подписи. Она называется «электронная подпись физического лица» — в ней указаны только ФИО сотрудника и нет данных о юрлице, в котором он работает (пп. 2 п.1 ст. 17.2 и п. 2 ст. 17.3 63-ФЗ, вводимые 476-ФЗ). Эту подпись сотрудники смогут использовать и для рабочих, и для личных документов.

Использовать подпись физлица для документов организации можно будет только вместе с электронной доверенностью (официальное название — доверенность в машиночитаемом виде). На внедрение этой доверенности нужно время: разработать принципы её работы, утвердить необходимые нормативные акты, научить информационные системы и сервисы работать с ней.

Сейчас эти доверенности используют единицы информационных систем, например, ФНС. Поэтому, прежде чем менять свою подпись на подпись физлица, убедитесь, что нужная вам система или портал принимает электронные доверенности. И только после этого обращайтесь в УЦ.

— С 1 января 2023 года всем сотрудникам обязательно нужно работать по новым правилам: использовать подпись физлица от аккредитованного УЦ и прикладывать к ней электронную доверенность. В некоторых системах эти правила могут стать обязательными и раньше — если система установит такое требование.

Где получать подписи руководителям и ИП

С 1 января 2022 года руководители юрлиц и ИП смогут оформить новую электронную подпись только в ФНС. Но делать это именно к 1 января не обязательно — если на руках есть действующая подпись аккредитованного УЦ, то можно использовать ее до окончания срока, но не более чем до 31 декабря 2022 года. И только потом обращаться за подписью ФНС.

Чтобы получить, нужно будет обратиться напрямую в налоговую или к её доверенным лицам: УЦ, аккредитованным по новым правилам, и прошедшим дополнительный отбор. Возможно, это будет тот же самый УЦ, в котором свои подписи будут получать сотрудники, — доверенные лица ФНС смогут выдавать подписи и руководителям, и сотрудникам.

Как получать электронную подпись налоговой

За первой подписью руководитель должен приехать сам — для удостоверения личности. Отправить представителя даже с нотариальной доверенностью не получится. Получая следующие подписи, он сможет удостоверять личность дистанционно: действующей электронной подписью или биометрическими данными (п.25 Приказа ФНС от 30.12.2020 № ВД-7-24/982@).

С собой руководителю нужно взять паспорт, СНИЛС, защищенный носитель (похож на флешку) и документацию на него. Носитель можно купить в УЦ или у производителя, а можно использовать уже имеющийся. Подойдут модели Рутокен ЭЦП 2.0, Рутокен S, Рутокен Lite, JaCarta ГОСТ, JaCarta-2 ГОСТ или другие, соответствующие требованиям ФНС (пп.в п.22 Приказа ФНС).

Нюансы работы с подписью ФНС

Чтобы электронная подпись работала, на компьютере должно быть действующее средство криптозащиты (например, программа КриптоПро CSP и лицензия на нее). Эту программу можно приобрести в УЦ, у доверенных лиц или у производителя.

В ФНС руководители смогут получить только одну подпись на юрлицо. Ее ключ будет некопируемый, а значит нельзя будет сделать копию для бухгалтера или тендерного специалиста. Всем сотрудникам и уполномоченным лицам, которые также подписывают документы от лица компании, понадобится своя подпись физлица и электронная доверенность.

Для руководителей финансовых организаций и должностных лиц госструктур с 2022 года будут действовать иные правила. Им нужно будет применять подписи, полученные в Центробанке и Казначействе соответственно.

Кому и как получать ЭП с 2022 года: сводная таблица

Тестовый Удостоверяющий Центр ООО «КРИПТО-ПРО»

для того что бы выпустить тестовый сертификат нужно проделать следующие шаги:

1. скачиваем и устанавливаем (если у вас еще не стоит КРИПтоПРО скачать ) тестовый период 90 дней
2. скачиваем и устанавливаем программу КриптоПро ЭЦП Browser plug-in по ссылке
3. открываем Internet iexplorer
4. переходим на официальный сайт криптопро https://www.cryptopro.ru/certsrv/
5. в самом низу переходим по ссылке «сформировать ключи и отправить запрос на сертификат» или переходим по ссылке
6. при переходе на сайт у вас появится окно — Подтверждение доступа, тут нажмите на Да
   
7. В следующем окне заполняем данные (их можно заполнять какие хотите, я в данном примере создал как TEST) заполняем полностью форму из первого блога (рис.1) (кстати что бы убедиться что у вас все пройдет удачно и установлены все необходимые плагины для выпуска тестового сертификата на стрелке рис.2 будет выпадающее список и если его нет, значит вы что то не поставили из списка выше или перезагрузите компьютер!)  далее из выпадающего списка выбираем пункт Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider (рис.2) далее ставим галочку — Пометить ключ как экспортируемый (рис.3) и в последнем четвертом пункте пишем имя нашего сертификата
   
8. После заполнения всех данных нажимаем на кнопку Вадать и в появившемся окне выбираем место хранения нашего сертификата, можно сохранить его на флешку или сохранить в реестр (это не принципиально!)
9. Далее появится окно в котором нужно в произвольном направлении двигать мышкой что бы у нас произошла генерация случайно последовательности (просто мышкой водить по часовой стрелке и у вас все быстро заполнится)
   
10. Соглашаемся со всеми открывающимися окнами и нажимаем везде — ДА
    
11. в следующем окне нажимаем на — Установить этот сертификат
    
12. Убедитесь что у вас он установился — Новый сертификат успешно установлен. Теперь можно спокойно тестировать и работать!
    
13. Все!

FAQ о работе с электронной подписью в 2022 году

Какие требования предъявляются к Доверенным УЦ ФНС? Об этом вы можете прочесть в Постановлении Правительства No2409 от 31.12.2020.

Я ИП. Работаю на ЭТП по госзакупкам и на торгах по банкротству. Где мне получать на ЭЦП в 2022 — в ФНС или в УЦ? И примут ли ЭЦП от ФНС площадки, которые требуют наличие OID’а. Потому что ФНС не включает OID’ы.а. Потому что ФНС не включает OID’а. Потому что ФНС не включает OID’ы.ы.

Пока нет достоверной информации по выпуску электронных подписей от ФНС для торгов. Вариант, который поможет переждать переходный период без сбоев в работе — это выпуск электронной подписи для торгов в аккредитованном удостоверяющем центре, пока есть такая возможность. Ведь, если вы выпустите в УЦ ITCOM подпись сейчас — она будет работать до полного истечения своего срока действия, т.е. 12 месяцев.

Если я приобрел бессрочный КриптоПро, он будет продолжать действовать в 2022? «КриптоПро» продолжает работать. Для криптопровайдеров правила работы не изменились.

Как быть с подписями для ЕГАИС? Ведь требуется ЭП для каждой торговой точки, а ФНС выдает только одну подпись на организацию?

По последним данным, подпись ЕГАИС для торговой точки можно выпустить на имя сотрудника этой ТТ, как на физлицо. Его действия в системе будут подтверждаться специальной доверенностью по форме Росалкогольрегулирования. Но пока что образца данной формы нет.

Обязательно ли получать ЭП от ФНС до 1 января 2022?

Нет. Если срок действия вашей электронной подписи еще не истек — вы можете продолжать ею пользоваться, и лишь после обратиться в ФНС за новым сертификатом.

Глава вторая

Порывшись в почте, я нашел еще один электронный договор. По счастливой случайности, им тоже оказался страховой полис, но на этот раз еОСАГО от АО “Тинькофф Страхование”. Открываем сертификат, смотрим выпустившую сертификат организацию. Ей оказывается АО “Тинькофф банк”. Да, оказывается у них есть свой УЦ, который выдает сертификаты дочерним организациям (у Сбербанка тоже есть свой УЦ, но в дочерних структурах он не используется).

По отработанному алгоритму идём в поисковую систему с запросом “тинькофф сертификат”, находим официальный сайт УЦ АО Тинькофф Банк. Тут нас встречает изобилие ссылок на корневые сертификаты, списки отозванных сертификатов и даже видеоинструкция по их установке. Скачиваем “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34.10.2012”, на этот раз ссылка ведёт не на сторонний сервис, а на сайт банка. Формат файла P7B не очень известный, но открывается Windows без установки стороннего софта и показывает находящиеся в нём сертификаты. Здесь уже привычный корневой сертификат от Минкомсвязи (другой, не тот, что в первом случае) и промежуточный сертификат УЦ банка.

Ставим оба, проверяем сертификат в полисе. Но нет, сертификат не является доверенным, т.к. система не может подтвердить поставщика сертификата. На сайте УЦ было 2 ссылки на 2 цепочки сертификатов, один для ГОСТ Р 34.10.2001, другой для ГОСТ Р 34.10.2012. Полис был выпущен в этом году, логичнее бы его подписать уже более современным криптоалгоритмом (тем более уже есть версия ГОСТ от 2018 года, алгоритмы обновляются довольно часто), но давайте проверим старый.

В новом файле формата P7B оказывается уже 3 файла сертификатов. Можно поставить все 3, однако стоит заметить, что сертификат “Головного удостоверяющего центра” мы поставили в первой главе из RAR архива ООО “ИТК”, они идентичны. А сертификат с не очень говорящим названием “УЦ 1 ИС ГУЦ” поставил КриптоПро CSP, т.к. галочка об установке корневых сертификатов была установлена по-умолчанию в его инсталляторе. Единственным новым является сертификат АО “Тинькофф Банк”, который мы и ставим.

После установки сертификатов из “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34.10.2001” путь в сертификате прорисовался и система радостно сообщила, что он является доверенным. Adobe Acrobat Reader DC также подтвердил, что подпись действительна.

На этом приключения с проверкой ЭП на полисе еОСАГО завершаются. Заметно, что после того, как в системе уже установлен необходимый софт, а пользователь понимает принципы работы и поиска промежуточных сертификатов, то проверка подписи занимает уже меньше времени.

Но проблемные места по-прежнему видны: необходимо искать в интернете официальные сайты удостоверяющих центров, разбираться в инструкциях по установке сертификатов. Даже при установленных корневых сертификатах необходимо искать промежуточный, иначе цепочка доверия будет не полной и система не сможет подтвердить достоверность подписи.

Как проверить установленные сертификаты в системе?

Но если вы хотите убедиться, что сертификат установлен на вашем компьютере под операционной системой Windows, то это можно следующем способом:

1. Зайти в крипто про через панель управления
2. Открыть вкладку Сервис
3. Нажать просмотреть сертификат
4. Нажимаем копку Обзор и смотрим все сертификаты в системе какие есть на данный момент.

Вот и все! В данной статье мы ознакомились с принципами создания тестового сертификаты для понимания и настройки программ для подписания документов ЭЦП

Но! Это не ограничивает этот функционал и вы можете его использовать и в других целях, а если знать в каких, читайте в следующих моих статьях!

Установка сертификатов

Используя Инструменты КриптоПро, перейдите в пункт меню “Сертификаты” и установите сертификат Федерального казначейства в “доверенные корневые центры сертификации”.

Затем повторите процедуру для ЭЦП сотрудника, выбрав место установки сертификата “Личное”. Подготовка завершена.

Создание подписанного документа

Подписать можно абсолютно любой файл.

Перейдите в пункт “Создание подписи”

Нажмите на кнопку “Выбрать файл для подписи” и выберите файл, который нужно подписать.

Выберите подпись, которой необходимо подписать документ. Обратите внимание – ЭЦП должно быть актуальной.

После выбора ЭЦП станет активной кнопка “Подписать”. Необходимо её нажать. Если документ подписан и нет ошибок – под кнопкой “подписать появится соответствующая надпись. Либо будет указана ошибка с кодом.

Далее перейдите в папку, где хранился подписываемый документ, в нем будет два файла – сам документ и его подпись. Размещать или пересылать необходимо оба документа.

Частые вопросы про изменения

Что мне делать с электронной подписью?

До 1 июля 2021 года
Ничего необычного. Обновите в любом УЦ, если срок действия закончился.

С 1 июля 2021 года до 1 января 2022 года
Если нужна новая подпись, то теперь можете получить ее только в УЦ, аккредитованном по новым правилам. Обратиться в УЦ может и руководитель, и уполномоченное лицо. Также руководители компаний и ИП могут обратиться в ФНС.

С 1 января 2022 года
У вас есть действующая электронная подпись аккредитованного УЦ? Она будет работать после 1 января и максимум до 31 декабря 2022 года. А как закончится, замените ее:

• на подпись ФНС, если вы руководитель.
• на подпись аккредитованного УЦ, если вы сотрудник или уполномоченное лицо. В аккредитованном УЦ можете попросить прежнюю подпись (с вашими данными и данными организации), она будет работать без электронной доверенности и только до 31 декабря 2022 года. Либо можете заказать подпись физлица, но помните, что ее нужно использовать только с электронной доверенностью.

Если подписи аккредитованного УЦ нет, то руководителю нужно получить подпись ФНС, а уполномоченному сотруднику — обратиться в аккредитованный УЦ.

А что Контур?

Удостоверяющий центр Контура получил аккредитацию по новым требования 63-ФЗ. Соответствующее решение 21 июня 2021 года приняла Правительственная комиссия, уполномоченная на аккредитацию УЦ.

Новая аккредитация позволяет Контуру продолжить выдавать сертификаты электронной подписи физлицам и организациям:

• до 31 декабря 2021 года— руководителям;
• без ограничения срока — сотрудникам и уполномоченным лицам.

А еще наши подписи будут действовать после 1 января 2022 года.

Также аккредитация — это один из критериев, чтобы стать доверенным лицом УЦ ФНС. Такое лицо сможет с 2022 года выдавать подписи руководителям организаций и ИП. Мы планируем сотрудничать с УЦ ФНС, чтобы участвовать в процессе выдачи таких подписей. А в начале 2022 года предложим варианты для комфмортного получения подписи ФНС.

Также Контур участвует в разработке нормативно-правовых актов, которые регулируют применение электронных доверенностей. И уже разрабатывает систему по созданию, хранению и передаче доверенностей. А наши сервисы будут поддерживать работу таких доверенностей со всеми информационными системами, с которыми взаимодействуют.

Срок действия моей подписи заканчивается после 1 января 2022 года. Она будет работать в 2022 году?

1. Если ваш УЦ не получит аккредитацию по новым правилам, то нет — подпись с 2022 года работать не будет. 
2. Если ваш УЦ получит аккредитацию до 1 июля 2021 года, то подпись будет работать весь свой срок, но не более чем до 31 декабря 2022 года. Когда срок действия подписи закончится, обновите ее по новым требованиям закона: 
   • если вы руководитель или предприниматель — в ФНС, Казначействе или Центробанке (зависит от типа вашей организации),
   • если сотрудник или уполномоченное лицо — в аккредитованном Удостоверяющем центре.

Электронные подписи Контура продолжают работать в 2022 году.

Можно получить электронную подпись ФНС до того, как истечет подпись аккредитованного УЦ. Обе подписи будут действительны пока их срок действия не закончится.

Что делать с ЭП для ЕГАИС?

В своем письме ФНС разъяснила, что система ЕГАИС также будет использовать ЭП по новым правилам. В теории есть три варианта:

• ЭП руководителя юрлица или ИП;
• ЭП сотрудника-физлица с электронной доверенностью, ФСРАР еще только  разрабатывает формат работы с электронной доверенностью; 
• ЭП сотрудника с данными организации и самого сотрудника (возможно благодаря поправкам, принятым в декабре 2021 года).

То есть вариант использования «обезличенных» электронных подписей для работы с ЕГАИС пока невозможен.

Подготовила Ольга Кураева, редактор

Не пропустите новые

публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Частые проблемы при работе с электронной подписью

Рассмотрим проблемы, которые возникают при создании запроса на сертификат ключа проверки электронной подписи (ЭП), при установке или использовании сертификата.

Ознакомьтесь с видеоинструкцией
«Как выпустить ЭП через модуль «Полигон Про: Удостоверяющий центр»
или программу «Подпись Про»

Пошаговая инструкция установки ЭЦП в КриптоПро

1. Откройте программу КриптоПро CSP.
2. Во вкладке Сервис нажмите кнопку Просмотреть сертификат в контейнере.



3. Теперь нажмите Обзор .



4. КриптоПро выдаст вам окно с предложением выбрать контейнер. Там же будет отображаться доступный считыватель.



А если закрытый ключ содержится в виде файлов?

Закрытый ключ может быть в виде шести файлов: header.key, masks.key, masks2.key, name.key, primary.key, primary2.key

И если эти файлы находятся в корневой папке (то есть, записаны непосредственно на жёсткий диск), то КриптоПро CSP их не «увидит». Соответственно, все действия нужно производить только после того, как каждый файл перенесён на флешку. Причём находиться он должен в папке первого уровня.

После выбора контейнера откроется окно Сертификаты в контейнере закрытого ключа. С помощью кнопки Установить начните установку сертификата.



5. Если установка прошла успешно, перед вами появится окно о завершении операции. Закройте его, нажав ОК.

Если автоматическая установка сертификата не удалась, может потребоваться ручная установка. О том, как её осуществить, читайте нашей пошаговой инструкции.

Удалённая настройка рабочего места

Если вы не смогли настроить необходимые программы рабочего стола самостоятельно, у нас существует возможность заказать данную услугу. Наши специалисты произведут качественную настройку рабочего места для работы с ЭЦП удалённо: сэкономят время, установят соответствующее расширение для браузера, произведут настройку плагинов, соблюдая нюансы по их установке.

На этом всё! Всем, кто решил обезопасить себя и свой бизнес, используя электронную подпись взамен обычной, желаем успехов в установке!

Поверка цепочки сертификатов

1. Возвращаемся к окну на шаге 5 из блока настройки сертификатов ЭЦП и переходим на вкладку Путь Сертификации. Нам необходимо, чтобы вся цепочка сертификатов была без красных крестиков и желтых восклицательных знаков (если будут эти значки, значит мы не установили корневой сертификат)
   
2. Установка сертификата уполномоченного лица УЦ. Сертификат УЛ УЦ предоставляется пользователю при изготовлении его сертификата, а также доступен по ссылке: cpca.cryptopro.ru/cacer.p7b (по файлу сертификата cacer.p7b кликните правой кнопкой мыши и выберите «Установить», затем в мастере в качестве хранилища сертификатов выберите «Доверенные корневые Центры сертификации»)
3. Все на этом второй этап Установки и Проверки закончен

Тестирование сертификата

⭐️ В ошибке 10 сайта фсс есть текст  «Общая ошибка расшифровки. Возможно, проблема в сертификате, используемом для шифрования.» и в этом тексте идет слово ошибка расшифровки, поэтому для начала проверьте возможность шифрования данным ключем.

1. Для этого открываем internet explorer
2. переходим на сайт КриптоПро https://www.cryptopro.ru/products/cades/plugin
3. устанавливаем КриптоПро ЭЦП Browser plug-in
   

• После этого нам необходимо сделать проверку установленного плагина
  

  

• При проверке у вас должно быть примерно как на примере ниже. 1) Плагин должен быть загружен и гореть зеленый круг. 2) В сертификатах выберите ваш сертификат (он должен тут отображаться!!!!) 3) должна появится вся информация о сертификате 4)Нажмите кнопку подписать 5) в нижнем окне должен появится код.
  Если все это есть, идем дальше!!

Смена PIN-кода контейнера

Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.

Выясняем название контейнера КЭП

На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Команда должна вывести минимум 1 контейнер и вернуть

[ErrorCode: 0x00000000]

Нужный нам контейнер имеет вид

\.\Aktiv Rutoken lite\XXXXXXXX

Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX после слэша нужно скопировать и подставить в команду ниже.

Смена PIN командой из terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).

Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.

Скриншот

Инструменты КриптоПро

Для работы с ЭЦП запустите утилиту “Инструменты КриптоПро”. В ней собраны все необходимые инструменты для работы с ЭЦП

Для работы можно использовать ЭЦП, выданную Казначейством района Для этого необходимо скачать и установить корневой сертификат Федерального казначейства РФ по ссылке. Так как это корневой сертификат, то и установить его необходимо в хранилище корневых сертификатов.

Проверить подпись на документе

Если содержимое документа не содержит секретов и тайн, то проще всего воспользоваться web-сервисом на портале Госуслуг – https://www.gosuslugi.ru/pgu/eds. Так можно сделать скриншот с авторитетного ресурса и быть уверенным что с подписью все ок.

Скриншоты

Установка сертификата ЭЦП

Теперь когда у Вас сертификат (ключ-флешка) в руках и вы сидите за рабочим компьютером давайте приступим к установке и настройке программного обеспечения которое нам позволит работать с ключами и порталами.

1. Установка КриптоПРО — то программа криптопровайдера предназначенная для проверки подписи и шифрования данных, а также обеспечивающая целостность и подлинность информации.Для установки КриптоПРО переходим на официальный сайт https://www.cryptopro.ru/products/cryptopro-csp и скачиваем последнюю версию программы (КриптоПро CSP 5.0) Установка происходит стандартным способом, путем нажатия кнопок далее.
2. Установка драйвера ключа Rutoken — Рутокен позволяет пользователям КриптоПро CSP обезопасить ключевую информацию от несанкционированного доступа. Ключи и сертификаты будут храниться в защищенной файловой системе Рутокен. Даже в случае кражи токена, злоумышленник не сможет воспользоваться ключевой информацией, т.к. доступ к файловой системе защищен стойким криптографическим алгоритмом.Для установки рутокена, переходим на официальный сайт https://www.rutoken.ru/support/download/windows/ и скачиваем драйвера, установка также не потребует много знаний, после запуска файла отвечаем на все вопросы далее и потом готово
3. Все. на данном этапе работа по установке закончена

Инструкция по копированию сертификата из контейнера КриптоПро

1. Запустить программу КриптоПро CSP

Найти её можно в меню «Пуск» или в Панели управления

2. Во вкладке «Сервис» нажать «Посмотреть сертификаты в контейнере…»

3. С помощью кнопки «Обзор» выбрать нужный контейнер

Если в списке вы не видите свой контейнер, убедитесь что носитель с ЭЦП подключен к компьютеру и драйвер на USB-токен установлен.

На Рутокене должен гореть светодиод. Если он не горит, значит драйвер не установлен. Скачать его можно со страницы по настройке рабочего места

4. После выбора контейнера откроются данные из сертификата электронной подписи.

Убедитесь что это именно тот сертификат, который вам нужен!

Затем нажимаем «Свойства», откроется сертификат ЭЦП

Остаётся только сохранить этот сертификат на компьютер. Нажимаем «Состав» и «Копировать в файл…»

5. Открывается «Мастер экспорта сертификатов»

Ни в коем случае не экспортировать закрытый ключ, иначе тот кому вы отправите ваш сертификат сможет использовать вашу ЭЦП по своему усмотрению!

Выберите формат экспортируемого файла в соответствии с требованиями портала. В большинстве подойдут настройки по умолчанию, т.е. «Файлы  X.509 (.CER) в кодировке DER»

Далее укажите путь и имя сохраняемого сертификата

Нажмите «Готово» и ваш сертификат сохранится в указанном каталоге!

Полученный таким образом файл сертификата (.cer) можно без опасения передавать третьим лицам, т.к. он содержит только открытые сведения (открытый ключ).

Экспорт сертификата из контейнера КриптоПро CSP обновлено: 11 июля, 2022 автором: ЭЦП SHOP

Настройка сертификата ЭЦП

Теперь нам необходимо добавить наш сертификат в хранилище сертификатов и проверить цепочку сертификатов удостоверяющих центров.

1. Заходим в панель управления и запускаем КриптоПРО
2. В открывшемся окне переходим на вкладку Сервис и нажимаем на кнопку Посмотреть сертификаты в контейнере 
   
3. В окне контейнера закрытого ключа нажимаем на кнопку Обзор и в появившемся окне выбираем наш сертификат. Если в окне Выбора контейнера у вас не отображается никакая запись, то нужно переткнуть ваш ключ флешку в другой USB порт)
   
4. В окне просмотра сертификатов, Вы можете увидеть всю информацию по ключу, но нас интересует кнопка Свойства
   
   
5. В новом окне Сертификаты , нажимаем на кнопку Установить сертификат
   
6. У нас запускается Мастер импорта сертификатов и на шаге где будет спрашиваться место для хранения сертификатов выбираем — Поместить все сертификаты в следующее хранилище и в выборе хранилища необходимо выбрать папку Личное нажимаем ОК и кнопку далее. 
   
   
7. Все наш сертификат добавлен в хранилище сертификатов

Глава первая

Все манипуляции с PDF документом приведены в чистой версии ОС Windows 10, русская домашняя редакция, как наиболее вероятной среде работы простого пользователя. Набор софта, используемый в статье, также является непрофессиональным и доступным для всех.

Для начала я открыл документ в просмотрщике Foxit Reader, который использую как основной:

Это выглядит очень и очень подозрительно — документ модифицирован непонятно кем, сертификат также не является доверенным. Система не может проверить цепочку доверия для данного сертификата и помечает его недействительным.

Кроме имени организации, которой выдан сертификат, видно наименование выдавшей его организации, ООО “ИТК”. Поиск по запросу “ООО ИТК сертификат” вывел меня на страницу Установка корневого сертификата Удостоверяющего центра ООО «ИТК». Это официальный сайт ООО «Интернет Технологии и Коммуникации», который является одним из удостоверяющих центров, выдающих сертификаты ЭП.

Следуем инструкции: нам нужно пройти по ссылке и скачать с Google Drive (!) RAR архив (!!) «Корневой квалифицированный.rar» (который ещё надо найти чем открыть, пришлось ставить 7-zip) и видим там 2 сертификата: корневой и промежуточный. Корневой выдан Минкомсвязи самим себе, а промежуточный — министерством для ООО “ИТК”. Устанавливаем их, соглашаемся с добавлением корневого сертификата (краем глаза замечая, что sha1 отпечаток устанавливаемого ключа и картинки в инструкции совпадает, но про такое сравнение в пунктах установки ничего нет).

Снова открываем сертификат из документа. И чуда не произошло, цепочка доверия от корневого до конечного не строится!

Изучаем ЭП подробнее: в Foxit Reader есть дополнительная информация о свойствах подписи:

Ага, алгоритм хеширования ГОСТовский, ЭП создана в КриптоПро PDF. Возможно, Windows не знает про ГОСТ шифрование и поэтому ему нужен дополнительный криптопровайдер.

Идём на сайт КриптоПро, регистрируемся, скачиваем пробную версию КриптоПро CSP 5.0 на 3 месяца. Что будет дальше — не совсем понятно, возможно всё превратится в тыкву, посмотрим.

Снова открываем просмотр сертификата ЭП:

Выглядит уже лучше. Видно, что система считает сертификат действительным, построена цепочка от корневого сертификата через промежуточный.

Сообщение о проверке немного улучшилось, но всё равно Foxit Reader не может проверить сертификат (вероятно дело в ГОСТовском алгоритме):

В Adobe Acrobat Reader DC проверка тоже не успешна:

И на этом вроде бы можно остановиться: Foxit Reader подтверждает, что документ не был изменен после подписания, руками можно проверить, что сертификат подтверждается системой и действителен. Но всё же хочется довести дело до конца, чтобы хотя бы одна программа сказала: да, документ действителен, всё хорошо.

Вспоминаем, что полис подписан в программе КриптоПро PDF. Вероятно, что раз она может создавать такие подписи, то уж наверняка должна их и проверять. Ставим.

+1 триал версия на 90 дней, хотя вроде бы надпись при установке успокаивает, что при использовании продукта в Adobe Acrobat Reader DC лицензия не нужна.

Ура, долгожданное сообщение о том, что всё хорошо.

Подведем промежуточный итог. Для проверки действительности ЭП на документе нужно:

• Узнать, какой удостоверяющий центр выдал сертификат, которым подписан документ, установить его промежуточный и, если такого еще нет, корневой сертификат (в нашем случае из rar архива с Google Drive);
• Установить в систему криптопровайдер (вероятно, существуют другие криптопровайдеры, которые обучат Windows ГОСТовским криптоалгоритмам) КриптоПро CSP с триалом на 3 месяца и неизвестностью после;
• Для проверки подписи из Adobe Acrobat Reader DC установить КриптоПро PDF (без CSP он не ставится).

Вот такой алгоритм вырисовывается из поверхностного анализа темы за вечер. Проблема проверки цифровой подписи была решена, но видно трудности, которые могут возникнуть у рядового пользователя:

• Нужно как-то найти и скачать корневой и промежуточный сертификаты. Непонятно, откуда его можно скачать официально, а поиск в сети может привести к установке левых сертификатов, через которые мошенники могут атаковать незадачливого пользователя;
• Нужно понять, какого софта не хватает в системе и где его взять, из коробки ничего не работает. В данной статье приведены примеры на основе продуктов КриптоПро только потому, что это название встретилось в информации о создании ЭП. Нужно изучать тему в поиске аналогов;
• Проверка полноценно заработала только в Adobe Acrobat Reader DC, в Foxit Reader проверка ЭП неполная, нет долгожданной зелёной галочки. Нужно копать дальше, вероятно есть решения.

Электронная подпись от ФНС

Уже сейчас любой руководитель может заказать электронную подпись в Федеральной налоговой службе. Она выдается бесплатно, и обладает полной юридической силой, т.е. является квалифицированной. Как это сделать:

1. Подать заявление на выдачу сертификата в налоговой инспекции — приехать, заполнить бумажную форму у сотрудника или оформить запрос через Личный кабинет юрлица на сайте налоговой, Личный кабинет ИП или order.nalog.ru

2. Предварительно необходимо приобрести носитель ЭП – токен, сертифицированный ФСБ или ФСТЭК России. В индивидуальной упаковке, снабженный сертификатом соответствия. Обычная флешка для записи ЭП от ФНС не подойдет. В налоговой могут также попросить сертификат соответствия, который подтверждает, что токен сертифицирован. Все это вы можете приобрести в УЦ ITCOM.

3. Руководителю необходимо посетить налоговую инспекцию. Это требование введено специально, чтобы убедиться в личности получателя (п.25 Приказа ФНС). С собой нужно взять паспорт, СНИЛС, флешку-токен и сертификат соответствия на токен.

4. Для работы с ЭП нужно также приобрести КриптоПро CSP и установить программу на компьютер. С этим также может помочь наш удостоверяющий центр.

Оставить заявку на выпуск ЭП

Если суммировать все вышеперечисленное, то получается, что электронную подпись ФНС выдает бесплатно, но это относится только к файлам ЭП, которые запишут на токен. Отдельно нужно докупить токен и лицензию на КриптоПро CSP.

Более того, ЭП в налоговой выдается в единственном экземпляре и защищена от копирования — поэтому всем сотрудникам, которые подписывают электронные документы компании, понадобится купить свои подписи.

Также подпись от налоговой не включает никаких расширений, которые дают доступ к специализированным площадкам и порталам, например, для работы с торгами. Пока не все порталы отказались от расширений полностью, поэтому потребуется дополнительное приобретение так называемых OID-ов – дополнительных и необязательных атрибутов сертификата электронной подписи, который либо предоставляет дополнительную информацию о владельце, ключах, удостоверяющем центре, либо несёт какую-то дополнительную информацию для приложений и сервисов, которые используют этот сертификат электронной подписи.