Как установить
Это актуально и для онлайн-сервисов, где выполняется авторизация через ЭЦП. Все это работать не будет даже при считывании открытого ключа непосредственно из USB-накопителя через КриптоАРМ (без интеграции корневого ключа в систему). Операционная система точно так же будет выдавать ошибку, ссылаясь на невозможность проверить подлинность подписи.
Как установить корневой сертификат удостоверяющего центра?
Если он распространяется в форме архива – сперва файл необходимо разархивировать (для этого подойдет приложение WinRAR или 7Z). Затем для установки корневого сертификата
необходимо следовать шагам инструкции
:
- Необходимо правой кнопкой кликнуть на файл с расширением .crt;
- Выбрать «Установить сертификат», после чего запустится «Мастер импорта»;
- Нажать «Далее»,
- Выбрать «Поместить все сертификаты в выбранной хранилище»;
- Из диалогового окна выбрать «Доверенные корневые центры сертификации», нажать ОК (пункт «Показать только физические хранилища» не должен быть отмечен галкой);
- Нажать «Далее», на предупреждение системы об установке ключа неизвестного назначения можно не обращать внимание и просто закрыть данное окно, затем – кликнуть на «Готово».
В том случае, если пользователь попытается провести установку корневого сертификата удостоверяющего центра, срок действия которого уже истек, то при попытке его импорта система выдаст ошибку.
После установки корневого ключа настоятельно рекомендуется перезагрузить компьютер. В противном случае – могут возникать ошибки при запуске КриптоПро CSP (довольно частая проблема при использовании Windows XP устаревших редакций, которые официально уже не поддерживаются разработчиком ПО).
При наступлении нового календарного года необходимо самостоятельно устанавливать обновленные ключи удостоверяющих центров на компьютеры, где используется ЭЦП (операционная система выдаст соответствующее напоминание при запуске).
Выполнить обновление можно двумя методами:
- Вручную загрузить и установить необходимый ключ.
- С помощью специального ПО, распространяемого удостоверяющими центрами (таковое есть, к примеру, в «Контур»).
Установка нового сертификата ничем не отличается от описанной выше. Удалять старый ключ удостоверяющего центра не обязательно – он все равно будет считаться системой как недействительный, использоваться он не будет.
Также некоторые удостоверяющие центры выпускают специальные программы для автоматической установки всех необходимых корневых сертификатов. Информацию на этот счет можно получить в самом УЦ или на их официальном сайте. Для установки обновленных ключей действующее интернет-подключение не нужно, актуальность файла будет автоматически проверена при первом подключении к сети. Такая проверка проводится всего один раз за весь срок действия корневого сертификата.
Итого, как установить корневой сертификат удостоверяющего центра для КриптоПро? Как и любой другой ключ, потребуется лишь указать в качестве хранилища «Доверенные корневые центры». В противном случае – ключ будет импортирован как персональный, для проверки электронной подписи он использоваться не будет.
- Если скачанный корневой сертификат находится в заархивированном виде, то первым делом его нужно извлечь. Для этого открываем архив любым архиватором, например 7zip. Нажимаем кнопку «извлечь», выбираем папку для разархивации и жмём «ОК».
- Открываем извлеченный файл и жмём кнопку «Установить сертификат». Выбираем между «Текущий пользователь» и «Локальный компьютер». Если за компьютером обычно работает один пользователь и имеет одну учетную запись Windows, то смело выбираем «Текущий пользователь». Если на компьютере несколько учетных записей, то для того чтобы корневой сертификат установился для всех выбираем «Локальный компьютер».
- В следующем окне Мастер импорта сертификатов спросит, в какое хранилище сертификатов установить Ваш сертификат. Жмем кнопку «Обзор» и выбираем «Доверенные корневые центры сертификации». Т.к. данный сертификат устанавливается на компьютер в первый раз, система безопасности Windows сообщит о том, что ей не удается проверить действительность сертификата. Жмём кнопку «Да» и получаем окошко, в котором сообщается о том, что Импорт выполнен успешно.
Какая информация содержится в корневом сертификате
Что такое корневой сертификат удостоверяющего центра? Это файл, где сохранена сервисная информация об удостоверяющем центре с указанием даты его действия, сервисным интернет-адресом (через который можно связаться с реестром организации). Все эти данные предоставляются в шифрованном виде, которые использует КриптоПро CSP для проверки подлинности открытой персональной ЭЦП.
Основное назначение корневого ключа – это именно проверка подлинности открытого ключа ЭЦП. Открытую подпись гражданина в теории можно украсть, но воспользоваться ею без сертификата от удостоверяющего центра – не получится. То есть, вся эта схема сделана так, чтобы предотвратить факты использования чужой ЭЦП мошенниками или просто третьими лицами.
Установка в Linux
В современных дистрибутивах Linux установка корневых сертификатов удостоверяющих центров выполняется ничуть не сложнее, нежели в среде Windows. Потребуется файл с расширением .crt, достаточно по нему дважды кликнуть мышкой и выбрать «Установить» (подтвердить выбор необходимо введением пароля пользователя).
- На первом этапе «Импортируемый файл» (Шаг может быть пропущен, в зависимости от варианта запуска мастера) по кнопке «Обзор…» выберите корневой сертификат и нажмите «Далее {amp}gt;».
- На этапе «Хранилище сертификатов» установите «Поместить все сертификаты в следующее хранилище».
- По кнопке «Обзор…» выберите хранилище:
- «Доверенные корневые центры сертификации», чтобы добавить сертификат удостоверяющего центра или
- «Другие пользователи», чтобы установить сертификат регулирующего органа.
- Установите флаг «Показать физические хранилища»,
- Раскройте «ветку» ( ) «Доверенные корневые центры сертификации» или «Другие пользователи» и выберите место хранения сертификата:
- «Реестр» — для использования только текущим пользователем компьютера,
- «Локальный компьютер» — для всех пользователей компьютера.
- После нажатия кнопок «ОК», «Далее {amp}gt;» и «Готово» может появиться предупреждение безопасности (зависит от внутренних настроек операционной системы) с вопросом «Установить данный сертификат?», нажмите «Да».
- Появится сообщение — «Импорт успешно выполнен». Готово, корневой сертификат установлен в выбранное хранилище.
Для контроля вы можете просмотреть список установленных корневых сертификатов. Если установленный сертификат в списке не появлися — устраните проблему.При отсутствии корневого «дочерние» сертификаты получают статус «Последний сертификат цепи не является доверенным корневым сертификатом».