В криптопроверку сертификата внесли изменения

В криптопроверку сертификата внесли изменения Электронная цифровая подпись

Наличие лицензии КриптоПро CSP встроенной в сертификат электронной подписи даёт возможность использовать данный сертификат на любом компьютере независимо от наличия лицензии КриптоПро CSP на рабочее место.

Внимание!!! При отсутствии лицензии на рабочее место в программе КриптоПро CSP будет отображено что лицензия Истекла или «демонстрационная»! Это нормально! В программе отображается состояние именно лицензии на рабочее место. Сертификат со встроенной лицензией будет работать независимо от лицензии на рабочее место!

Для целей разработки и тестирования в ООО “КРИПТО-ПРО” развернут тестовый сервис КриптоПро SVS 2.0.

Данный сервис предоставляет возможность проверки статуса квалифицированных сертификатов, а также сертификатов, изданных Тестовым УЦ КРИПТО-ПРО. Сертификаты других УЦ не пройдут проверку на сервисе.

Подтверждение подлинности электронной подписи возможно для документов, подписанных с использованием сертификатов от тех же УЦ.

Для автоматического обращения к сервису по протоколу SOAP необходимо использовать адрес https://dss.cryptopro.ru/verify/service.svc. Руководство разработчика с описанием программного интерфейса доступно на странице загрузки.

  • Страница для печатиСтраница для печати

Браузер Chrome (Chromium Gost, Chromium Edge): запустите браузер и дождитесь оповещения об установленном расширении «CryptoPro Extension for CAdES Browser Plug-in». Включите это расширение.

В криптопроверку сертификата внесли изменения

Если на Вашем компьютере ранее уже выполнялась установка расширения CryptoPro Extension for CAdES Browser Plug-in, а потом оно был удалено, его потребуется установить отдельно. Для этого перейдите по ссылке и установите расширение из интернет-магазина Chrome.

Браузер Opera или Яндекс.Браузер: расширение доступно по ссылке.

В криптопроверку сертификата внесли изменения

Браузер Firefox: скачайте расширение по ссылке и установите в браузер самостоятельно.

В криптопроверку сертификата внесли изменения

Браузер Microsoft Internet Explorer: не требуется дополнительных настроек.


Offline

Александр Лавник

Оставлено
:

18 февраля 2022 г. 11:25:56(UTC)

Автор: dav_tag Перейти к цитате

Здравствуйте.

Никак.

Тестовый удостоверяющий центр предназначен только для тестирования.


Offline

dav_tag

Оставлено
:

18 февраля 2022 г. 11:32:57(UTC)

А для чего тогда Тестовый УЦ создано.
Для чего и как я могу использовать сертификат, созданный в Тестовом УЦ?


Offline

Александр Лавник

Оставлено
:

18 февраля 2022 г. 11:42:09(UTC)

Автор: dav_tag Перейти к цитате

А для чего тогда Тестовый УЦ создано.
Для чего и как я могу использовать сертификат, созданный в Тестовом УЦ?

Для тестирования функционала.

Для реальной работы за получением сертификата электронной подписи необходимо обращаться в удостоверяющий центр.

Если требуется квалифицированный сертификат, то обращаться нужно в аккредитованный удостоверяющий центр.

Содержание
  1. Оглавление
  2. Введение
  3. Как проверить подпись
  4. Где купить сервис для проверки электронной подписи
  5. Установка личного сертификата
  6. Как установить корневой сертификат КриптоПро
  7. Как установить контейнер закрытого ключа в реестр
  8. Ошибки при установке
  9. Как выполнить проверку
  10. Контроль достоверности плагинами
  11. Применение онлайн-сервисов для проверки ЭЦП
  12. Использование портала Госуслуги
  13. Причины возникновения ошибок
  14. Типовой сценарий тестирования
  15. Подготовка к тестирования
  16. Проверка связи со стендом
  17. Тест инициатора транспортного режима
  18. Тест ответчика транспортного режима
  19. Тест инициатора режима L2TP/IPsec
  20. Подготовка к тестам туннельного режима
  21. Тест инициатора туннельного режима
  22. Тест ответчика туннельного режима
  23. Как получить тестовый сертификат КриптоПро (новый УЦ)
  24. Проверка лицензии КриптоПро CSP встроенной в сертификат ЭП
  25. 1 способ. Проверка через КриптоПро PKI
  26. 2 способ. Проверка через Состав сертификата
  27. Конфигурация стенда
  28. Адреса узлов
  29. Параметры методов аутентификации
  30. Узлы тестирования обязательных параметров IPsec
  31. Узлы с альтернативными параметрами IPsec
  32. Политики IPsec узлов транспортного режима
  33. Политики IPsec узлов туннельного режима
  34. Корневые сертификаты
  35. Дополнительные сервисы стенда
  36. Доступ к IPv6 по HTTPS
  37. Доступ по протоколу SSTP (MS SSL-VPN)
  38. Создание тестового сертификата
  39. Введение
  40. Путь 1
  41. Путь 2
  42. Сертификаты
  43. Список установленных сертификатов
  44. Добавление реального сертификата
  45. Добавление реального сертификата с привязкой к закрытому ключу и возможностью подписывать документы
  46. Способ с дискетой или флешкой
  47. С жесткого диска
  48. Проверка успешности установки закрытого ключа
  49. Добавление тестового сертификата
  50. Удаление сертификата
  51. Проверка сертификата
  52. Просмотр всех атрибутов сертификата
  53. Экспорт сертификатов на другую машину
  54. Подписание документа ЭЦП
  55. Проверка подписи ЭЦП
  56. Загрузка программного обеспечения

Оглавление

  • Конфигурация стенда
  • Типовой сценарий тестирования
  • Дополнительные сервисы стенда
  • Ссылки

Введение

Стенд предназначен для проверки совместимости реализаций IPsec использующих российские алгоритмы (см. “Совместимость российских реализаций IPsec”) и самостоятельного тестирования возможности встречной работы их реализаций с реализацией СКЗИ “КриптоПро CSP”/”КриптоПро IPsec”.

Возникающие технические вопросы в части реализации IPsec можно задавать в соответствующем разделе нашего форума (см. “Форум КРИПТО-ПРО » Средства криптографической защиты информации » КриптоПро IPsec”).

При возникновении организационных вопросов или появлении необходимости изменения конфигурации стенда информацию об этом можно направить письмом на <mailto:vpngost@cryptopro.ru>.

Внимание: Подключаться к стенду рекомендуется только со стендов соответствующим образом отделённых от офисных и прочих рабочих сетей адекватными мерами защиты. ООО “КРИПТО-ПРО” не несёт ответственности за содержание передаваемой информации.

В криптопроверку сертификата внесли изменения

Компания НППКТ и КриптоПро провели совместное тестирование ОСОН “ОСнова” и СКЗИ “КриптоПро CSP 5.0”. В ходе тестирования специалисты подтвердили полную совместимость ОСОН “ОСнова” в исполнении для архитектур x86-64 и СКЗИ КриптоПро CSP 5.0.12417.

ОСОН “ОСнова” – отечественная защищенная операционная система, предназначенная для построения защищённых автоматизированных систем, обрабатывающих конфиденциальную информацию и персональные данные. Включена в “Единый реестр российских программ для электронных вычислительных машин и баз данных”. Имеет сертификат соответствия ФСТЭК России по 4 уровню доверия.

КриптоПро CSP 5.0 — новое поколение криптопровайдера, развивающее три основные продуктовые линейки компании КриптоПро: КриптоПро CSP (классические токены и другие пассивные хранилища секретных ключей), КриптоПро ФКН CSP/Рутокен CSP (неизвлекаемыe ключи на токенах с защищенным обменом сообщениями) и КриптоПро DSS (ключи в облаке).

Интеграция СКЗИ КриптоПро CSP 5.0 в ОСОН “ОСнова” обеспечивает наивысший уровень безопасности информации для компаний и конечных пользователей.

“Полученное нами подтверждение совместимости средств и продуктов лидера рынка, компании КриптоПро CSP с операционной системой ОСнова – важный шаг для развития экосистем на базе операционной системы ОСнова. Наши партнеры и заказчики в полной мере могут быть уверены в стабильности работы продуктов компании КриптоПро, подтверждением чего является успешное прохождение тестирования» – комментирует коммерческий директор АО “НППКТ” Игорь Семенович Морозов.

“В условиях активного импортозамещения стратегически важным является обеспечение совместимости широко используемых государственными и коммерческими организациями продуктов КриптоПро с прикладным и системным программным обеспечением, особенно с операционными системами, используемыми для построения защищенных автоматизированных систем. И успешно проведенное совместное тестирование КриптоПро CSP с ОС ОСнова – действительно большой шаг в этом направлении” – дополняет директор по развитию бизнеса и работе с партнерами компании КриптоПро Павел Луцик.

  • Страница для печатиСтраница для печати

вопросы

Из нашей статьи вы узнаете:

Электронный документооборот предполагает возможность проверки достоверности электронной подписи, которая должна удостоверять личность человека, подписавшего документ, и отсутствие изменений документа. Только так ЭЦП имеет юридическую значимость, может служить для отправки в налоговую службу отчетов и подписи договоров.

Как проверить подпись

Для всех пользователей доступен бесплатный сервис по онлайн-проверке подписи КриптоПро DSS на сайте cryptopro.ru. После захода на сайт выполните следующие действия:

  • перейдите на вкладку «Услуги» (находится в меню главной страницы);
  • выберите пункт «Сервис электронной подписи»;
  • Выберите пункт «Сервис электронной подписи»

  • нажмите после перехода на кнопку «Проверить электронную подпись».
  • «Проверить электронную подпись»

Таким образом, вы попадете в онлайн-сервис КриптоПро DSS для проверки достоверности ЭЦП.

Проверка достоверности ЭЦП

Он позволяет осуществить контроль действительности отсоединенной или присоединенной подписи (в первом случае она должна иметь формат cms). Также доступна проверка ЭЦП для документов Excel, Word, PDF, XMLDsig.

Для совершения операций выполните следующие действия:

  • выберите проверяемый сертификат или подпись в левой колонке страницы;
  • загрузите проверяемый файл с помощью формы;
  • нажмите кнопку «Проверить».

В результате на экране появится страница, где указана информация о подписи, удостоверяющем центре, выдавшем сертификат и другие данные. Если проверка не пройдена, то появится соответствующее сообщение.

Информация о подписи

Неудобством данного сервиса являются сложности при необходимости проверять большой объем документов. Альтернативой здесь станет специальная служба проверки сертификатов КриптоПро SVS 2.0. С его помощью можно проверить следующие виды документов:

  • PDF;
  • Word;
  • Excel;
  • XML.

Также для проверки приложением доступны необработанные и усовершенствованные подписи.

Данный сервис по контролю действительности ЭЦП предполагает выполнение обработки на стороне модуля, а не клиента. Это требует только наличия браузера и не предполагает установку дополнительного программного обеспечения.

Где купить сервис для проверки электронной подписи

Если для работы на государственных порталах и ведения документооборота вам необходимо ПО КриптоПро или ЭЦП, то обращайтесь в УЦ «Астрал-М», заполнив форму обратной связи. Мы являемся официальным партнером КриптоПро, что гарантирует приобретение качественного лицензионного софта по ценам от разработчика.

Выбирая наш удостоверяющий центр, вы получаете:

  • доступную цену на услуги;
  • помощь в выборе тарифного плана ЭЦП под конкретную задачу клиента;
  • быстрое выполнение заказов (обычно занимает все 2-3 дня);
  • возможность оформления любой подписи;
  • весь спектр лицензий на семейство продуктов КриптоПро;
  • любую форму оплаты.

Дополнительно доступно оформление ЭЦП и настройка рабочего места в офисе клиента, предоставление подписи в ускоренном формате.


Offline

Nickokow

Оставлено
:

16 сентября 2021 г. 14:54:43(UTC)

Добрый день.
У нас есть программа, которая средствами JCP проверяет подписи.


1.1)На сервере с ПО был установлен JCP 2.0.40035 (успешно)
1.2)Был добавлен корневой сертификат из тестового УЦ https://testgost2012.cry….ru/certsrv/certcarc.asp


2)Для клиентской машины, которая подписывает, были сгенерированы и добавлены сертификаты.
Локально на этой машине сгенерированы \ подписаны документы \ проверены подписи (успешно)


3)Подписан документ внутри нашей программы (успешно)


4)проверяю подпись на сервере, получаю ошибку

Код:

DEBUG [com.haulmont.thesis.core.app.signature.CryptoProServerSignatureSupport] [app-core] [admin] For online validation by CRLDP parameter 'com.sun.security.enableCRLDP' (Oracl
e) or 'com.ibm.security.enableCRLDP' (IBM) must be set 'true' to enable or 'ocsp.enable' must be set 'true' (OCSP), or CRL passed for offline validation; error codes: [44] 'Certificate status is unkno
wn or revoked'

5)Не могу понять, как добавить CRL в хранилище JCP, или как JCP обращаться к локальному списку отозванных сертификатов, или как запретить эту проверку.
Сервер с ПО, которое проверяет подпись – Linux RHEL8, GUI не предусмотрен.
Все сертификаты на этом уровне тестовые.

вывернул все мозги, перечитал все-возможные форумы. ЧЯДНТ.Brick wall


Offline

Евгений Афанасьев

Оставлено
:

16 сентября 2021 г. 16:33:04(UTC)

Добрый день.

Цитата:

4)проверяю подпись на сервере, получаю ошибку
Код:
DEBUG [com.haulmont.thesis.core.app.signature.CryptoProServerSignatureSupport] [app-core] [admin] For online validation by CRLDP parameter ‘com.sun.security.enableCRLDP’ (Oracl
e) or ‘com.ibm.security.enableCRLDP’ (IBM) must be set ‘true’ to enable or ‘ocsp.enable’ must be set ‘true’ (OCSP), or CRL passed for offline validation; error codes: [44] ‘Certificate status is unkno
wn or revoked’

5)Не могу понять, как добавить CRL в хранилище JCP, или как JCP обращаться к локальному списку отозванных сертификатов, или как запретить эту проверку.
Сервер с ПО, которое проверяет подпись – Linux RHEL8, GUI не предусмотрен.
Все сертификаты на этом уровне тестовые.

В JCP никак не добавить. Если, как сказано в ошибке, укажете в коде System.setProperty(“com.sun.security.enableCRLDP”, “true”), то если в проверяемом сертификате цепочки есть CRLDP (ссылки распространения) для скачивания CRL, они (CRL) будут скачаны из сети и использованы. Если не указано это свойство enableCRLDP или нет доступа к сети (такое бывает), то CRL надо качать отдельно самим и подавать в метод verify(certs, crls) (crls – это список заранее подготовленных X509CRL). Так как используется сертификат из тестового УЦ, CRLDP в нем должен быть, проверьте доступ к crl для скачивания (ссылку на crl можно найти в расширения сертификата и скопировать её в браузер) и включён ли enableCRLDP.

Отредактировано пользователем 16 сентября 2021 г. 18:05:49(UTC)
| Причина: Не указана


Offline

Nickokow

Оставлено
:

17 сентября 2021 г. 6:46:01(UTC)

Цитата:

укажете в коде System.setProperty(“com.sun.security.enableCRLDP”, “true”)

А где именно следует это указывать? Это возможно сделать не java программисту?

Цитата:

подавать в метод verify(certs, crls)

тот-же вопрос, как подать в метод.

Цитата:

подавать в метод verify(certs, crls)

В корневом сертификате из тестового центра нет этих ссылок В криптопроверку сертификата внесли изменения certnew(2).zip (1kb) загружен раз(а).

Цитата:

включён ли enableCRLDP.

где проверить?

p.s работаю с JCP Крипто-про первый раз. И к сожалению не java программист.


Offline

Sinity

Оставлено
:

24 июня 2021 г. 8:31:04(UTC)

Добрый день! При тестировании контейнера выдает ошибки. На компьютере установлены КриптоПро 5.0.11998 и ЕК 2.13.0. Носитель JaCarta-2 ГОСТ. Соответственно и в КриптоПро и в ЕК контейнеры видит, на госуслугах сертификат показывает, но например на странице проверки КриптоПро ЭЦП Брузер плагина выдает ошибки при попытке подписать.
Информация тестирования контейнера:
Проверка завершилась с ошибкой
Контейнер закрытого ключа пользователя
Имя 4fa1ca53-f16b-3690-afc0-7940aba6c575
Уникальное имя SCARD\pkcs11_jacarta_gost_2_0_4e3900101911304c\4fa1ca53-f16b-3690-afc0-7940aba6c575
FQCN \\.\PKCS11 ARDS JaCarta 0 1FFFF\4fa1ca53-f16b-3690-afc0-7940aba6c575
Проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа успешно
импорт открытого ключа успешно
подпись Ошибка 0x8009000D: Ключ не существует.
создание ключа обмена Ошибка 0x80090020: Внутренняя ошибка.
экспорт ключа запрещен
алгоритм ГОСТ Р 34.10-2012 DH 256 бит
ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию
ГОСТ Р 34.11-2012 256 бит
ГОСТ 28147-89, параметры шифрования ТК26 Z
сертификат в контейнере соответствует закрытому ключу
имя сертификата НИШАНОВА ЖАНЫЛАЙ МААНАЗАРОВНА
субъект ОГРНИП=321631300042390, СНИЛС=15081202720, ИНН=771475601369, E=nishanova_2021@mail.ru, C=RU, S=77 МОСКВА, L=77 МОСКВА, STREET=МОСКВА Г., CN=НИШАНОВА ЖАНЫЛАЙ МААНАЗАРОВНА, G=ЖАНЫЛАЙ МААНАЗАРОВНА, SN=НИШАНОВА
поставщик E=uc@nalog.ru, ОГРН=1047707030513, ИНН=007707329152, C=RU, S=77 Москва, L=г. Москва, STREET=”ул. Неглинная, д. 23″, OU=УЦ ЮЛ, O=Федеральная налоговая служба, CN=Федеральная налоговая служба
действителен с 15 июня 2021 г. 10:04:25
действителен по 15 сентября 2022 г. 10:14:25
ключ действителен с 15 июня 2021 г. 10:04:24
ключ действителен по 15 сентября 2022 г. 10:04:24
серийный номер 5650 7700 48AD 0FA7 47C7 1A17 F6FB 0D07
сертификат в хранилище My
субъект ОГРНИП=321631300042390, СНИЛС=15081202720, ИНН=771475601369, E=nishanova_2021@mail.ru, C=RU, S=77 МОСКВА, L=77 МОСКВА, STREET=МОСКВА Г., CN=НИШАНОВА ЖАНЫЛАЙ МААНАЗАРОВНА, G=ЖАНЫЛАЙ МААНАЗАРОВНА, SN=НИШАНОВА
cсылка на закрытый ключ SCARD\pkcs11_jacarta_gost_2_0_4e3900101911304c\4fa1ca53-f16b-3690-afc0-7940aba6c575; Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider#80; dwFlags: 0x00000000; dwKeySpec: AT_KEYEXCHANGE#1
cрок действия закрытого ключа 15 сентября 2022 г. 10:04:24
использование ключа обмена разрешено до окончания срока действия закрытого ключа.
Ключ подписи отсутствует
Симметричный ключ отсутствует
Загрузка ключей успешно
Версия контейнера 4
Значение ControlKeyTimeValidity 1
Режим работы CSP библиотека
Расширения контейнера
некритическое Расширение контейнера КриптоПро CSP. Срок действия ключа обмена
действителен по 15 июня 2024 г. 10:07:56

В чем может быть причина?
Могут ли помочь такие манипуляции, как переустановка КриптоПро с предварительным удалением утилитой cspclean, переустановка криптопро эцп браузер плагина, или переустановкой личного сертификата в контейнер через КриптоПро? Или причина в самом носителе или контейнере и ничего в данном случае сделать нельзя?

Отредактировано пользователем 24 июня 2021 г. 8:45:07(UTC)
| Причина: Не указана


Offline

Grey

Оставлено
:

24 июня 2021 г. 11:31:38(UTC)

Добрый день.
А где был сгенерирован данный ключ? В каком УЦ его выдали?

С уважением,
Сергей Агафьин,
Начальник отдела разработки ФКН.
Техническую поддержку оказываем здесь.
Наша база знаний.


Offline

Sinity

Оставлено
:

24 июня 2021 г. 11:38:11(UTC)

Автор: Grey Перейти к цитате

Добрый день.
А где был сгенерирован данный ключ? В каком УЦ его выдали?

Ответил в ЛС.

вопросы

Из нашей статьи вы узнаете:

При работе с ЭЦП во время подписи документов может понадобиться установка нового сертификата с использованием «КриптоПро CSP» — например, когда у ЭЦП закончился срок, произошла смена главного бухгалтера или директора предприятия, либо необходима установка нового сертификата после оформления в удостоверяющем центре.

Для корректной работы может потребоваться установка личного и корневого сертификата в КриптоПро. Чтобы это сделать придерживайтесь следующей инструкции.

Установка личного сертификата

Для того чтобы установить сертификат с помощью «КриптоПро CSP», выполните следующий алгоритм:

  • запустите «КриптоПро», кликнув на иконку на рабочем столе или запустив из меню, перейдя по пути «Пуск» — «Программы» — «КриптоПро» — «КриптоПро CSP»);
  • зайдите во вкладку «Сервис»;
  • Вкладка «Сервис»

  • нажмите левой кнопкой мыши на иконку «Просмотреть сертификаты в контейнере»;
  • Просмотр сертификата в контейнере

  • найдите после нажатия кнопки «Обзор» контейнер с вашим сертификатом;
  • Поиск контейнера с сертификатом

  • выберите необходимый контейнер и подтвердите своё действие кнопкой «ОК» и затем «Далее»;
  • Выберите необходимый контейнер

    Нажмите «Далее»

  • проверьте правильность информации о сертификате внутри контейнера;
  • нажмите кнопку «Установить».
  • Нажмите «Установить»

Обратите внимание, что при установке система запоминает последний контейнер, с которого была проведена операция. Например, если вы установили личный сертификат из реестра вашего компьютера, а потом повторили процедуру с флешки, то при отсутствии последней система не сможет найти контейнер.

Как установить корневой сертификат КриптоПро

Для корректной работы сервера надо установить предварительно корневой сертификат в ваше хранилище. Для его получения необходим тестовый центр по сертификации продукта, куда можно попасть при наличии прав администратора. Также для предотвращения проблем необходимо добавить адрес интернет-сайта в список доверенных. Запросите сертификат, загрузив его из сертификационного центра. Чтобы его установить, откройте его и выполните следующие действия:

  • зайдите в раздел «Общие»;
  • выберите пункт «Установить сертификат»;
  • следуйте за шагами мастера по установке, который поможет выполнить операцию.
  • Выполните операции

Если процесс пройдёт корректно, то корневой сертификат появится в хранилище среди доверенных центров.

Как установить контейнер закрытого ключа в реестр

  1. Подключите к компьютеру носитель с сертификатом.
  2. Перейдите в «Пуск» → «Панель управления» → «КриптоПро CSP», откройте вкладку «Сервис» и нажмите «Скопировать».
  3. «Скопировать»

  4. Нажмите «Обзор…», выберите контейнер с сертификатом, нажмите «ОК» и «Далее».
  5. нажмите «ОК» и «Далее»

  6. Введите pin-код, затем нажмите «ОК».
  7. нажмите «ОК»

  8. Оставьте имя контейнера по умолчанию или введите новое.
  9. Имя по умолчанию

  10. В окне «Устройства» выберите «Реестр» и нажмите «ОК».
  11. выберите «Реестр» и нажмите «ОК»

  12. Установите пароль для контейнера.
  13. Установите пароль для контейнера

После успешного копирования контейнера личный сертификат нужно установить в хранилище «Личные».

Установите личный сертификат

Ошибки при установке

Довольно распространённой проблемой при установке становится зависание компьютера. Обычно это связано с установкой нелицензионного ПО, наличием ошибок или отсутствием критических обновлений. Также проблемы могут возникнуть в следующих случаях:

  • попытка установить недействительный сертификат;
  • указание неверного пути к файлу;
  • истечение срока действия сертификата.

Для корректной работы рекомендуем использовать только лицензионное ПО. Приобрести его и получить комплексную техническую поддержку можно в компании «Астрал-М». Мы входим в число официальных дилеров компании «КриптоПро», что подтверждает информация на сайте разработчика. Обращаясь в «Астрал-М», вы получаете:

  • поддержку в режиме 24/7;
  • оперативное оформление ЭЦП;
  • любую форму оплаты;
  • консультации по выбору подписи и типа лицензии;
  • возможность оформления ЭЦП в офисе клиента и в ускоренном формате.

Для приобретения электронной подписи или криптопровайдера заполните форму обратной связи, чтобы наш специалист связался с вами.

Если вы решили впервые окунуться в изучение мира различных сертификатов и электронных подписей (ЭЦП) или вам просто понадобился «левый» сертификат для проведения разных экспериментов, тогда вам стоит посетить виртуальный удостоверяющий центр от компании КриптоПРО, который позволяет бесплатно получить тестовый сертификат за считанные минуты. А чтобы вам было проще это сделать, сегодня мы пошагово получим тестовый сертификат от КриптоПРО, который будет экспортируемым и удобно записанным на отдельной usb флешке.

В первую очередь, нам необходимо проверить наличие в браузере обязательного плагина, под длинноватым названием cryptopro extension for cades browser plug-in. Я для примера, буду сегодня использовать Яндекс.Браузер. Итак, нажимаем на верхней панели браузера на три полоски и выбираем раздел Дополнения.

Как получить тестовый сертификат от КриптоПРО

Находим здесь плагин КриптоПро ЭЦП и если он не установлен, соответственно, нажимаем Установить.

Как получить тестовый сертификат от КриптоПРО

И в каталоге расширений для Оперы, нажимаем Добавить в Яндекс.Браузер.

Как получить тестовый сертификат от КриптоПРО

Подтверждаем установку, нажав Установить расширение.

Как получить тестовый сертификат от КриптоПРО

И проверяем, что расширение успешно установлено и работает.

Как получить тестовый сертификат от КриптоПРО

Далее мы переходим в тестовый удостоверяющий центр от КриптоПРО по адресу cryptopro.ru/certsrv и выберем на нижней части страницы Сформировать ключи и отправить запрос на сертификат.

Как получить тестовый сертификат от КриптоПРО

На следующей странице плагин выдаст ошибку с информацией о том, что нужно установить дополнительное расширение КриптоПРО ЭЦП Browser plug-in. Жмём по гиперссылке на расширение.

Как получить тестовый сертификат от КриптоПРО

Выбираем отдельное место на компьютере и нажимаем Сохранить.

Как получить тестовый сертификат от КриптоПРО

И после быстрого скачивания, запускаем установочный файл cadesplugin.exe.

Как получить тестовый сертификат от КриптоПРО

Подтверждаем установку КриптоПро ЭЦП Browser plug-in.

Как получить тестовый сертификат от КриптоПРО

Ожидаем окончания быстрой установки.

Как получить тестовый сертификат от КриптоПРО

И перезапускаем браузер.

Как получить тестовый сертификат от КриптоПРО

Возвращаемся к разделу запроса сертификата и разрешаем новую операцию.

Как получить тестовый сертификат от КриптоПРО

А затем, мы начинаем оформлять запрос сертификата следующим образом.

Как получить тестовый сертификат от КриптоПРО

  • Вводим на латинице реальное или вымышленное имя, адрес электронной почты, название организации, подразделение, город, область и страну ;
  • Тип требуемого сертификата, можем оставить самый распространенный Сертификат проверки подлинности клиента.

Нижнюю часть настроек параметров ключа мы заполняем следующим образом.

Как получить тестовый сертификат от КриптоПРО

  • Выбираем Создать новый набор ключей ;
  • CSP: Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider ;
  • Обязательно отмечаем пункт Пометить ключ как экспортируемый ;
  • В Дополнительных параметрах вводим на латинице Понятное имя ;
  • Внимательно всё перепроверяем и нажимаем на кнопку Выдать.

В качестве носителя мы указываем подключенную usb флешку и нажимаем ОК.

Как получить тестовый сертификат от КриптоПРО

Активно двигаем мышкой в разные стороны для генерации последовательности.

Как получить тестовый сертификат от КриптоПРО

Придумаем новый пароль для контейнера, вводим его несколько раз и жмём ОК.

Как получить тестовый сертификат от КриптоПРО

Затем, нажмём Установить этот сертификат и получаем закономерную ошибку Данный ЦС не является доверенным, которая возникает из-за того, что у нас не установлен корневой сертификат от данного центра сертификации. Итак, жмём установите этот сертификат ЦС.

Как получить тестовый сертификат от КриптоПРО

Выбираем отдельное место на компьютере и нажимаем Сохранить.

Как получить тестовый сертификат от КриптоПРО

А после окончания быстрого скачивания, открываем файл certnew.cer.

Как получить тестовый сертификат от КриптоПРО

В новом окне для работы с сертификатом, нажимаем Установить сертификат.

Как получить тестовый сертификат от КриптоПРО

Оставляем Текущий пользователь и нажимаем Далее.

Как получить тестовый сертификат от КриптоПРО

Выбираем Поместить все сертификаты в следующее хранилище и жмём Обзор.

Как получить тестовый сертификат от КриптоПРО

Выделяем Доверенные корневые центры сертификации и нажимаем ОК.

Как получить тестовый сертификат от КриптоПРО

Вернувшись, проверяем путь к хранилищу сертификатов, нажимаем Далее.

Как получить тестовый сертификат от КриптоПРО

И в завершении мастера импорта сертификатов, нажимаем Готово.

Как получить тестовый сертификат от КриптоПРО

В новом окне с предупреждением, подтверждаем установку сертификата.

Как получить тестовый сертификат от КриптоПРО

И всё, импорт сертификата у нас выполнен успешно.

Как получить тестовый сертификат от КриптоПРО

Вернёмся к пункту выдачи сертификата и жмём Установить этот сертификат.

Как получить тестовый сертификат от КриптоПРО

Вводим заданный нами ранее пароль от контейнера и нажимаем ОК.

Как получить тестовый сертификат от КриптоПРО

Вот и всё, тестовый сертификат успешно установлен на usb флешку.

Как получить тестовый сертификат от КриптоПРО

Для проверки, откроем КриптоПро CSP, заходим на вкладку Сервис и выбираем Просмотреть сертификаты в контейнере.

Как получить тестовый сертификат от КриптоПРО

Как получить тестовый сертификат от КриптоПРО

И видим наш сертификат с «абракадабровым» именем контейнера, который мы выделяем, нажимаем ОК.

Как получить тестовый сертификат от КриптоПРО

И, собственно, проверяем срок действия, а также те данные, которые заполняли при получении тестового сертификата от КриптоПРО.

Как получить тестовый сертификат от КриптоПРО


Offline

ОльгаПо

Оставлено
:

7 февраля 2022 г. 7:50:12(UTC)

Ошибка при проверки подписи в КриптоПро ЭЦП Browser plug-in. Ошибка:Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A). Все корневые сертификаты, какие возможно скачены, проблема сохраняется.


Offline

Андрей *

Оставлено
:

7 февраля 2022 г. 9:43:29(UTC)

Здравствуйте.

1. Какая страница тестирования?
2. Установить сертификаты по цепочке, начиная с личного, в правильные хранилища.


Offline

ОльгаПо

Оставлено
:

8 февраля 2022 г. 14:17:47(UTC)

Ошибка сохраняется. Все сертификаты сохранила по инструкции. Но что то не помогло. Еще в цепочке обнаружила, что при просмотре сертификата Минфина в средствах электронной подписи стоит криптопро версия 2,0. Может этом причина.

Подпись я проверяю в плагине.


Offline

Андрей *

Оставлено
:

8 февраля 2022 г. 14:24:52(UTC)

Автор: ОльгаПо Перейти к цитате

Ошибка сохраняется. Все сертификаты сохранила по инструкции. Но что то не помогло. Еще в цепочке обнаружила, что при просмотре сертификата Минфина в средствах электронной подписи стоит криптопро версия 2,0. Может этом причина.

Подпись я проверяю в плагине.

Нет, там написано про другое, HSM.

А адрес сообщите? Может Вы CAdES T\XLong1 проверяете..

Пуск\..\КРИПТО-ПРО\Сертификаты\
В Личных – откройте свой сертификат\Путь сертификации – строится без ошибки или какая ошибка?


Offline

ОльгаПо

Оставлено
:

8 февраля 2022 г. 14:28:45(UTC)

Не очень поняла про адрес.
В пуске, крипто про, путь без ошибок.


Offline

ОльгаПо

Оставлено
:

8 февраля 2022 г. 14:30:59(UTC)

и когда в личный кабинет в налогоплательщика захожу выходит ошибка
Выберите сертификат
Недоступные сертификаты:
с: 10 ноября 2021 г. 15:18 по: 10 ноября 2022 г. 15:18


Offline

Андрей *

Оставлено
:

8 февраля 2022 г. 14:31:47(UTC)

Автор: ОльгаПо Перейти к цитате

Не очень поняла про адрес.
В пуске, крипто про, путь без ошибок.

Хорошо.

На этой странице – подписывается этим сертификатом текст (Hello World)?


Offline

ОльгаПо

Оставлено
:

8 февраля 2022 г. 14:33:51(UTC)


Offline

ОльгаПо

Оставлено
:

8 февраля 2022 г. 14:36:20(UTC)

На этой странице – подписывается этим сертификатом текст (Hello World)?

все верно. Только с ошибкой.

Информация о сертификате
Владелец: CN=Подгорбунская Ольга Александровна

Издатель: CN=”АО “”Аналитический Центр”””

Выдан: 10.11.2021 06:18:00 UTC

Действителен до: 10.11.2022 06:18:00 UTC

Криптопровайдер: Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider

Ссылка на закрытый ключ: SCARD\JACARTA_LT_1209AA8A3F9E0001\cc00\09B3

Алгоритм ключа: ГОСТ Р 34.10-2012 256 бит

Статус: Ошибка при проверке цепочки сертификатов. Возможно на компьютере не установлены сертификаты УЦ, выдавшего ваш сертификат

Установлен в хранилище: Да


Offline

ОльгаПо

Оставлено
:

9 февраля 2022 г. 16:21:47(UTC)

Сможете помочь?. У меня так подпись не проходит проверку.


Offline

Андрей *

Оставлено
:

9 февраля 2022 г. 16:42:59(UTC)

Автор: ОльгаПо Перейти к цитате

Сможете помочь?. У меня так подпись не проходит проверку.

приложите как визуализируется цепочка сертификатов,
проверьте, чтобы сертификат УЦ Аналитический Центр – был только в промежуточных ЦС,
если он есть в корневых – удалить.

Используется прокси-сервер для интернета?


Offline

ОльгаПо

Оставлено
:

9 февраля 2022 г. 17:03:17(UTC)

(проверьте, чтобы сертификат УЦ Аналитический Центр – был только в промежуточных ЦС) проверила
(приложите как визуализируется цепочка сертификатов,) не знаю как вам показать
(Используется прокси-сервер для интернета?) не очень понимаю про что вы.Я так еще пользовательSick


Offline

Андрей *

Оставлено
:

9 февраля 2022 г. 17:10:52(UTC)

Автор: ОльгаПо Перейти к цитате

(проверьте, чтобы сертификат УЦ Аналитический Центр – был только в промежуточных ЦС) проверила
(приложите как визуализируется цепочка сертификатов,) не знаю как вам показать
(Используется прокси-сервер для интернета?) не очень понимаю про что вы.Я так еще пользовательSick

При написании или редактировании сообщения – над текстом есть кнопки, с изображением “скрепка” – даёт возможность загружать файлы… (upload new files.. \add file \start upload – будет вставлен код-ссылка на файл)


Offline

ОльгаПо

Оставлено
:

9 февраля 2022 г. 17:28:37(UTC)

В криптопроверку сертификата внесли изменения sertifikat.docx (1,514kb) загружен 17 раз(а).


Offline

ОльгаПо

Оставлено
:

9 февраля 2022 г. 17:31:31(UTC)

В криптопроверку сертификата внесли изменения sertifikat.docx (524kb) загружен 7 раз(а).


Offline

Андрей *

Оставлено
:

9 февраля 2022 г. 17:33:35(UTC)

Вы же писали, что цепочка без ошибок.

Цитата:

В пуске, крипто про, путь без ошибок.

Переустановите КриптоПРО CSP.


Offline

RangerRU

Оставлено
:

10 февраля 2022 г. 1:47:35(UTC)


Offline

Андрей *

Оставлено
:

10 февраля 2022 г. 10:08:06(UTC)


Offline

RangerRU

Оставлено
:

10 февраля 2022 г. 14:40:56(UTC)

Автор: Андрей * Перейти к цитате

Это сообщение к чему?

Так вы просите показать цепочку
Судя по логу с тестовой страницы – как раз проблема с цепочкой


Offline

Андрей *

Оставлено
:

10 февраля 2022 г. 15:01:46(UTC)

Автор: RangerRU Перейти к цитате

Автор: Андрей * Перейти к цитате

Это сообщение к чему?

Так вы просите показать цепочку
Судя по логу с тестовой страницы – как раз проблема с цепочкой

или с функционированием СКЗИ…?

как пример – был другой CSP, его удалили, OID-ы все удалены и ничего не работает в штатном режиме.
Мне написали – цепочка без ошибок при просмотре сертификата,
а плагин сообщает, что есть проблемы.

thanks 1 пользователь поблагодарил Андрей * за этот пост.

Из нашей статьи вы узнаете:

Документ, подписанный электронной подписью, обладает юридической силой только в том случае, если он подписан действительной ЭЦП. Самостоятельная проверка электронной подписи помогает убедиться в правильности подписи и защите документа от внесения изменений посторонним лицом. Вопрос проверки действительности электронной подписи актуален в следующих случаях:

  • получение договора от контрагента или физического лица, заверенного ЭЦП;
  • принятие заявок от участников аукционов или тендеров через e-mail или специальную площадку;
  • контроль подписи банковским учреждением перед проведением платежного поручения.

Сам процесс проверяет выполнение одновременно трех условий:

  • ЭЦП была сформирована с применением сертификата, срок действия которого не истек на момент оформления документа;
  • подпись была поставлена непосредственно владельцем сертификата и его личность можно определить;
  • подпись была сформирована непосредственно для данного документа, и последний после этого не менялся.

Как выполнить проверку

Сегодня функция проверки электронной подписи в документе может быть реализована следующими способами:

  • использование специальных плагинов для Word, Excel, PDF;
  • применение специальных онлайн-сервисов;
  • использование портала Госуслуг.

Контроль достоверности плагинами

Для контроля достоверности ЭЦП компания КриптоПро предлагает два плагина. Один бесплатный и служит для проверки PDF-файлов, а второй платный и предназначен для контроля юридической правомочности документов в форматах офисного ПО Word, Excel. Проверка в последнем случае требует дополнительного наличия программы КриптоПро CSP. После открытия документа необходимо выполнить следующие действия:

  • нажать на иконку с подписью в проверяемом документе;
  • выберите в контекстном меню (клик правой мышкой кнопки на строчке с ЭЦП) пункт «Состав подписи».

Если проверка будет пройдена успешно, то появится сообщение с указанием данных о сертификате и его владельце. Иначе появится информация о недействительности ЭЦП.

Для контроля достоверности подписи в PDF-файле также необходим криптопровайдер КриптоПРО CSP. Для выполнения операции выполните следующие действия:

    \
  • откройте проверяемый документ;
  • кликните по кнопке «Подписи» (Signatures), которая расположена слева;
  • выберите проверяемую ЭЦП и кликните левой кнопкой мышки;
  • выберите пункт «Проверить подпись» (Validate Signature).

Если проверка пройдет успешно, то появится окно с указанием владельца сертификата.

Применение онлайн-сервисов для проверки ЭЦП

Сегодня существует несколько онлайн-сервисов, чтобы проверять цифровые подписи и сертификаты любого типа вне пределов систем электронного документооборота. Примером станет бесплатный сервис КриптоПро DSS.

КриптоПро DSS

Для выполнения операции выполните следующие действия:

  • кликните по ссылке «Проверить электронную подпись» в верхней части экрана;
  • выберите раздел «Проверить подпись» или «Проверить сертификат»;
  • загрузите сертификат или проверяемый документ;
  • выполните непосредственно проверку.

Результат появится на отдельной странице, и будет выглядеть вот так:

Результат проверки

Скачать результаты проверки нельзя, но можно сохранить web-страницу, либо распечатать.

Использование портала Госуслуги

На универсальном портале Госуслуги есть раздел для проверки действительности цифровой подписи. Для этого достаточно загрузить нужный файл в систему, ввести защитную капчу и нажать «Проверить». Если ЭЦП расположена в отдельном файле, то дополнительно нужно на портал загрузить и ее.

Подтверждение подлинности ЭЦП

Результат проверки подписи будет представлен на отдельной странице — показан статус сертификата подписи, кто владелец подписи и в каком удостоверяющем центре она была выдана, а также её срок действия.

Результат проверкки ЭЦП

Причины возникновения ошибок

При контроле достоверности могут возникнуть ошибки в ЭЦП. Чаще всего они связаны со следующими причинами:

  • отправитель подкорректировал содержание документа после простановки ЭЦП (здесь подпись автоматически становится недействительной, и необходимо ее повторное проставление);
    • сертификат установлен некорректно либо поврежден (решит проблему тестирование и, при необходимости, переустановка);
    • период действия сертификата истек либо он отозван (выходом будет обращение в УЦ для перевыпуска).

    Проверить работоспособность ЭЦП можно с КриптоПРО CSP. Для этого зайдите в приложение и выполните следующие действия:

    • зайдите во вкладку «Сервис»;
    • подключите токен;
    • кликните на пункт меню «Протестировать контейнер закрытого ключа»;
    • выберите нужный контейнер для проверки.

    После завершения процедуры появится отчет с указанием типов ошибок. Их можно скопировать и отправить в службу технической поддержки удостоверяющего центра.

    Если у вас еще нет электронной подписи, Удостоверяющий Центр «Астрал-М» предлагает широкий выбор тарифных планов ЭЦП. У нас можно купить электронную подпись для решения любых рабочих задач, наши специалисты помогут вам выбрать подпись, отвечающую вашим потребностям. Чтобы её приобрести, заполните форму обратной связи.

    Типовой сценарий тестирования

    Подготовка к тестирования

    Узлы стенда поддерживают обслуживание инициаторов использующих NAT, однако тесты ответчиков и/или туннельных режимов потребуют специальных настроек. Поэтому рекомендуется использовать “прямые” IPv4 и IPv6 адреса, а так же рекомендуется использование “статических” адресов для тестов туннельного режима.

    Проверка связи со стендом

    Может быть проведена командой `ping’, либо доступом по HTTP к протоколам узла стенда.

    В протоколах узла стенда и/или в файле readme будут указаны текущие настройки и параметры.

    Тест инициатора транспортного режима

    Не требует дополнительных действий. После согласования ESP SA, доступны тестовые нагрузки: icmp, echo, discard, daytime, qotd, chargen. Например, к TCP нагрузкам можно обратиться командой `telnet vpngost-v6.cryptopro.ru echo’, а к UDP командой `nc vpngost-v6.cryptopro.ru echo’ из пакета Netcat.

    Тест ответчика транспортного режима

    При обращении к тестовым нагрузкам echo, discard, daytime, стенд для ответных пакетов будет самостоятельно инициировать согласование ISAKMP SA и/или ESP SA.

    Использование icmp для этого теста возможно, но не рекомендуется, т.к. одновременно с инициацией согласования SA или же при ошибках согласования стенда посылает icmp ответ в открытом виде, соответственно Вы можете получить ложноположительный результат.

    Использование NAT в этом тесте возможно, но не рекомендуется, в виду сложности настройки.

    Тест инициатора режима L2TP/IPsec

    После согласования L2TP/IPsec, доступны тестовые нагрузки: icmp, echo, discard, daytime, qotd, chargen по адресам: 10.89.90.2 и/или fe00:0a59:5a00::2.

    Подготовка к тестам туннельного режима

    Рекомендуется выделять статический IPv4 или IPv6 адрес, при доступе к которому разрешён протокол icmp. После чего выслать нам согласование и настройку туннельную подсеть.

    Тест инициатора туннельного режима

    После согласования туннеля, доступны тестовые нагрузки: icmp, echo, discard, daytime, qotd, chargen по адресам: 10.89.90.2 и/или fe00:0a59:5a00::2.

    Тест ответчика туннельного режима

    Для инициации согласования туннеля со стороны стенда можно использовать: второй туннель, соединение L2TP/IPsec или SSTP.

    Как получить тестовый сертификат КриптоПро (новый УЦ)

    Заходим в тестовый Удостоверяющий центр ООО “КРИПТО-ПРО” ГОСТ 2012 через IE.

    В криптопроверку сертификата внесли изменения

    Устанавливаем новый сертификат тестового УЦ (скачивается там же) в корневые УЦ.

    Если уже стоит КриптоПро версии 3.6, то необходимо обновить до версии 4, иначе страница регистрации не откроется.

    В криптопроверку сертификата внесли изменения

    Также обновить web плагин, если планируется использовать в браузере.

    В криптопроверку сертификата внесли изменения

    Далее регистрируемся (подтверждать почту не надо) и, наконец, входим.

    Создаем новый сертификат:

    В криптопроверку сертификата внесли изменения

    В криптопроверку сертификата внесли изменения

    Далее стучим по клавиатуре, чтобы создать случайные данные.

    Предлагается ввести пароль на подпись. Если оставить пустым – будет без пароля.

    Наконец, появляется новый сертификат.

    В криптопроверку сертификата внесли изменения

    Перекидывает на страницу установки сертификата:

    В криптопроверку сертификата внесли изменения

    Сертификаты, полученные этим способом, и как тут, отличаются:

    В криптопроверку сертификата внесли изменения

    Проверка лицензии КриптоПро CSP встроенной в сертификат ЭП

    1 способ. Проверка через КриптоПро PKI

    Запустите программу КриптоПро PKI.
    Найти её можно в меню “Пуск”

    Слева раскройте элемент «Управление лицензиями» и выберите «КриптоПро CSP»
    В правой части вы увидите список сертификатов содержащих встроенную лицензию КриптоПро CSP.
    Отображаются только сертификаты установленные в хранилище «Личное».

    В криптопроверку сертификата внесли изменения

    2 способ. Проверка через Состав сертификата

    Откройте ваш сертификат электронной подписи.
    На вкладке «Состав» найдите среди полей «Ограниченная лицензия КРИПТО-ПРО»

    Присутствие этого поля означает наличие встроенной лицензии КриптоПро CSP.
    Если такого поля нет, то и встроенной лицензии нет.

    В криптопроверку сертификата внесли изменения

    Конфигурация стенда

    Стенд обеспечивает возможность подключения и тестирование российских реализаций VPN и IPsec, как по современному протоколу IPv6 (vpngost-v6.cryptopro.ru, vpngost-v6-a.cryptopro.ru, vpngost-v6-tun.cryptopro.ru, vpngost-v6-a-tun.cryptopro.ru), так и по традиционному протоколу IPv4 (vpngost.cryptopro.ru, vpngost-a.cryptopro.ru, vpngost-tun.cryptopro.ru, vpngost-a-tun.cryptopro.ru).

    Схема узла vpngost.cryptopro.ru

    Рисунок 1. Схема узла vpngost.cryptopro.ru

    Адреса узлов

    vpngost.cryptopro.ru193.37.157.89
    vpngost-v6.cryptopro.ru2002:c125:9d59::c125:9d59
    10.89.90.2
    fe00:0a59:5a00::2
    vpngost-tun.cryptopro.ru193.37.157.90
    vpngost-v6-tun.cryptopro.ru2002:c125:9d5a::c125:9d5a
    10.89.90.1
    fe00:0a59:5a00::1
    vpngost-a.cryptopro.ru193.37.157.91
    vpngost-v6-a.cryptopro.ru2002:c125:9d5b::c125:9d5b
    10.89.90.4
    fe00:0a59:5a00::4
    vpngost-a-tun.cryptopro.ru193.37.157.92
    vpngost-v6-a-tun.cryptopro.ru2002:c125:9d5c::c125:9d5c
    10.89.90.3
    fe00:0a59:5a00::3

    Адреса узлов могут меняться, пожалуйста, уточняйте актуальные в протоколах в файлах “readme”.

    Параметры методов аутентификации

    Используемый метод аутентификации, как и используемое преобразование, согласуется обычным образом.

    Узлы тестирования обязательных параметров IPsec

    На узлах vpngost, vpngost-v6, vpngost-tun, vpngost-v6-tun, установлены обязательные к реализации параметры по умолчанию.

    Для методов аутентификации IKE-GOST-PSK и IKE-GOST-SIGNATURE используются параметры:

    • Хэш функция GOST_R_3411_94;
    • Алгоритм шифрования GOST-B-CFB-IMIT;
    • Группа VKO GOST R 34.10 2001 XchB;
    • Режим Quick Mode (QM) без использования Perfect Forward Secrecy (PFS).

    Для преобразований ESP_GOST-4M-IMIT и ESP_GOST-1K-IMIT используются параметры:

    • Узел замены из id-Gost28147-89-CryptoPro-B-ParamSet;
    • Не согласуется опциональный атрибут Extended (64-bit) Sequence Number (ESN).

    Узлы с альтернативными параметрами IPsec

    На узлах vpngost-a, vpngost-a-tun, vpngost-v6-a, vpngost-v6-a-tun по запросу могут быть установлены другие опциональные параметры. Текущие установленные параметры доступны в протоколах соответствующего узла.

    Для методов аутентификации IKE-GOST-PSK и IKE-GOST-SIGNATURE могут быть установлены следующие параметры:

    • Хэш функция GOST_R_3411_94;
    • Алгоритм шифрования GOST-C-CFB-IMIT (или GOST-A-CFB-IMIT, GOST-D-CFB-IMIT);
    • Группа VKO GOST R 34.10 2001 XchA;
    • Режим принудительного запрета согласования QM без использования режима PFS (Disable Non-PFS);
    • Режим QM с использованием PFS.

    Для преобразований ESP_GOST-4M-IMIT и ESP_GOST-1K-IMIT могут быть установлены следующие параметры:

    • Узел замены из id-Gost28147-89-CryptoPro-D-ParamSet (или id-Gost28147-89-CryptoPro-A-ParamSet, id-Gost28147-89-CryptoPro-C-ParamSet);
    • Использование ESN;
    • Опциональный режим совместимости, в котором может согласовываться атрибут “Authentication Algorithm” (5) со значением GOST-NULL-INTEGRITY-ALGORITHM (65411).

    Политики IPsec узлов транспортного режима

    На узлах vpngost, vpngost-a, vpngost-v6, vpngost-v6-a установлено:

    icmp

    Принимаются, как зашифрованные, так и открытые входящие пакеты;
    Исходящие пакеты передаются зашифрованными только, если установлена ESP SA, а если нет, то они передаются в открытом виде;

    echo, discard, daytime

    Принимаются, как зашифрованные, так и открытые входящие пакеты;
    Исходящие пакеты передаются только зашифрованными;

    qotd, chargen и др.

    Принимаются и передаются только зашифрованные пакеты;

    http, https, isakmp, ipsec‑msft

    Принимаются и передаются только в открытом виде;

    L2TP/IPsec

    Порождает динамические политики.

    VPN

    Обмен с VPN (10.89.0.0/16 и fe00:0a59/32) осуществляется только в открытом виде.

    L2TP/IPsec, SSTP выделяет адреса в диапазонах, на vpngost, vpngost-v6: 10.89.89.0/24 и fe00:0a59:5900/48, а на vpngost-v6, vpngost-v6-a: 10.89.91.0/24 и fe00:0a59:5b00/48.

    Политики IPsec узлов туннельного режима

    На узлах vpngost-tun, vpngost-v6-tun, vpngost-a-tun, vpngost-v6-a-tun установлено:

    icmp

    Принимаются, как зашифрованные, так и открытые входящие пакеты;
    Исходящие пакеты передаются зашифрованными только, если установлена ESP SA, а если нет, то они передаются в открытом виде;

    IPsec туннели

    Пакеты туннельного режима в адрес конечных точек передаются и принимаются ими только зашифрованными;

    http, https, isakmp, ipsec‑msft

    Принимаются и передаются только в открытом виде;

    VPN

    Обмен с VPN (10.89.0.0/16 и fe00:0a59/32) осуществляется только в открытом виде.

    Конечные точки туннелей и соответствующие им подсети настраиваются по запросу. Для vpngost-tun, vpngost-v6-tun подсети должны быть: 10.89.{1..30}.0/24 и fe00:0a59:5a5a:{1..ffff}/64. Для vpngost-a-tun, vpngost-v6-a-tun подсети должны быть: 10.89.{201..230}.0/24 и fe00:0a59:5c5c:{1..ffff}/64.

    Корневые сертификаты

    Просмотр корневых сертификатов

    certmgr   uroot

    В более старых версиях вместо uroot следует использовать root:

    certmgr   root

    Добавление корневых сертификатов (под root) из файла cacer.p7b

     certmgr    uroot  cacer.p7b

    Необходимо последовательно добавить все сертификаты

    Дополнительные сервисы стенда

    Доступ к IPv6 по HTTPS

    При необходимости, для доступа к тестам IPv6 можно использовать шлюзы инкапсуляции IPv6 по протоколу IP-HTTPS, которые настроены на каждом узле, так как шлюзы настроены без запроса клиентского сертификата. Таким образом, получение сертификата тестового УЦ является не обязательным.

    Не рекомендуется использование “динамических” адресов и NAT в этом тесте, в виду сложности настройки.

    Доступ по протоколу SSTP (MS SSL-VPN)

    При необходимости, для создания тестовых нагрузок можно использовать подключение к VPN по протоколу SSTP.

    Методы аутентификации при доступе по SSTP идентичны методам аутентификации при доступе по L2TP/IPsec.

    Создание тестового сертификата

    Введение

    Для создания тестового сертификата есть два пути. Первый путь подразумевает использование КриптоПро ЭЦП Browser plug-in, второй же путь предназначен для того, чтобы без него обойтись.

    Путь 1

    • Установить корневой сертификат КриптоПро вместе со списком отозванных сертификатов (ссылка). Краткую рекомендацию по установке можно видеть здесь (ссылка) в пункте “Установка сертификатов”.
    • Использовать Тестовый центр КриптоПро для генерации личного тестового сертификата. Ниже можно увидеть то, как должна выглядеть при этом тестовая страница (если нужно впоследствии копировать контейнер с сертификатом и закрытым ключом на носитель, надо использовать опцию “пометить ключ как экспортируемый”).

    Test cert.png

    Test cert 2.png

    Test cert 3.png

    Test cert 4.png

    После проделанных действий сертификат автоматически установится и будет размещён в контейнере, расположенном на жёстком диске компьютера, с которого был сделан запрос. После этого его можно скопировать на требуемое устройство. Для копирования контейнера 1 в контейнер 2 можно использовать следующую команду:

    /opt/cprocsp/bin/amd64/csptest -keycopy -contsrc '<путь к контейнеру 1>' -contdest '<путь к контейнеру 2>'
    

    где пути к контейнерам и их названия можно узнать с помощью следующей команды:

    /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq
    

    Путь 2

    • Установить корневой сертификат КриптоПро вместе со списком отозванных сертификатов (ссылка). Краткую рекомендацию по установке можно видеть здесь (ссылка) в пункте “Установка сертификатов”.
    • Создать запрос на сертификат средствами КриптоПро CSP 4.0:
    /opt/cprocsp/bin/amd64/cryptcp -creatrqst -dn "список имён полей" -cont 'путь к контейнеру' <название_файла>.csr
    

    подробнее о данной команде можно узнать в инструкции в пункте 2.7.

    Test cert 56.png

    • Копировать содержимое получившегося файла сюда в строку “Сохранённый запрос” и нажать “Выдать >”.

    Test cert 7.png

    • Сохранить получившийся сертификат и установить его.

    Test cert 8.png

    Test cert 9.png

    Сертификаты

    Список установленных сертификатов

    certmgr -list, например:

    1-------
    Issuer            : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
    Subject           : CN=test2
    Serial            : 0x120007E4E683979B734018897B00000007E4E6
    SHA1 Hash         : 0x71b59d165ab5ea39e4cd73384f8e7d1e0c965e81
    Not valid before  : 07/09/2015  10:41:18 UTC
    Not valid after   : 07/12/2015  10:51:18 UTC
    PrivateKey Link   : Yes. Container  : HDIMAGE\\test2.000\F9C9
    2-------
    Issuer            : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
    Subject           : CN=webservertest
    Serial            : 0x120007E47F1FD9AE0EDE78616600000007E47F
    SHA1 Hash         : 0x255c249150efe3e48f1abb3bc1928fc8f99980c4
    Not valid before  : 07/09/2015  09:56:10 UTC
    Not valid after   : 07/12/2015  10:06:10 UTC
    PrivateKey Link   : Yes. Container  : HDIMAGE\\webserve.00108

    Добавление реального сертификата

    Добавить только сертификат (только проверка ЭЦП):

    certmgr   cert.cer

    Добавление реального сертификата с привязкой к закрытому ключу и возможностью подписывать документы

    Закрытый ключ состоит из шести key-файлов:

    header.key
    masks2.key
    masks.key
    name.key
    primary2.key
    primary.key

    Способ с дискетой или флешкой

    Скопировать в корень дискеты или флэшки сертификат и приватный ключ (из каталога 999996.000, 999996 – название (alias) контейнера):

      pathtokey mediaflashdrive
     pathtocertclient.cer mediaflashdrive

    Выполнить команду по копированию ключа с флэшки на диск, ключ попадет в пользовательское хранилище My.

    Необходимо выполнять под пользователем, который будет использовать данный контейнер для подписи.

    gate@example.com – то, что прописано в поле E сертификата (можно посмотреть командой keytool --printcert -file /path/to/cert/client.cer):

    csptest     

    С жесткого диска

    «Ручной способ».

    Скопировать приватный ключ в хранилище (контейнер), где <username> – имя пользователя linux:

      pathtokey varoptcprocspkeysusername

    Поставить «минимальные» права:

      varoptcprocspkeysusername

    Узнать реальное название контейнера:

    csptest  -enum_cont  

    Ассоциировать сертификат с контейнером, сертификат попадет в пользовательское хранилище My:

    certmgr   pathtofileclient.cer  

    Если следующая ошибка, нужно узнать реальное название контейнера (см. выше):

    Failed to open container \\.\HDIMAGE\<container>
    [ErrorCode: 0x00000002]

    Установить сертификат УЦ из-под пользователя root командой:

    certmgr   uroot  pathtofileCA.cer

    Проверка успешности установки закрытого ключа

    certmgr 

    PrivateKey Link

    Если выводится PrivateKey Link: Yes. Container: HDIMAGE\\999996.000\D7BB, то есть и сертификат, и приватный ключ, а если выводится PrivateKey Link: No – связи нет, и использовать такой контейнер для подписи не удастся.

    Источник

    Добавление тестового сертификата

    Добавление работает только на той же машине, и в тот же контейнер, где был сформированы следующий запрос на добавление:

    cryptcp      test.csr

    Ввести пароль на контейнер test123.

    cryptcp      myname.csr

    Пароль mysecurepass

    Откройте в браузере ссылку тестовый удостоверяющий центр КриптоПро

    cryptcp    certnew.cer

    Ввести пароль на контейнер. По-умолчанию: 12345678

    Удаление сертификата

    Проверка сертификата

    certmgr   file.sig

    Ответ:

    1-------
    Issuer            : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
    Subject           : E=info@site.ru, C=RU, L=г. Москва, O="ООО ""Верес""", OU=Руководство, CN=Иванов Иван Иванович, T=Генеральный директор
    Serial            : 0x75F5C86A000D00016A5F
    SHA1 Hash         : 0x255c249150efe3e48f1abb3bc1928fc8f99980c4
    Not valid before  : 08/12/2014  09:04:00 UTC
    Not valid after   : 08/12/2019  09:14:00 UTC
    PrivateKey Link   : No

    Подписание пустого файла (размер 0) проходит успешно, но при просмотре сертификатов этого файла выдается ошибка:

    Can't open certificate store: '/tmp/tmp.G8cd13vzfZ.sig'.
    Error: No certificate found.
    /dailybuilds/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:312: 0x2000012D
    [ErrorCode: 0x2000012d]

    Будьте внимательны!

    Просмотр всех атрибутов сертификата

    В cryptcp нет необходимых инструментов для получения всех атрибутов сертификата. Поэтому следует использовать openssl, но настроив его.

    Получаем SHA 1 хеши:

    certmgr -list -f file.sig | grep 'SHA1 Hash'

    В цикле извлекаем сертификаты:

    cryptcp -nochain -copycert -thumbprint 255c249150efe3e48f1abb3bc1928fc8f99980c4 -f file.sig -df certificate.der -der
    openssl x509 -in certificate.der -inform der -text -noout

    Настройка openssl для поддержки ГОСТ:

    В файл /etc/ssl/openssl.cnf

     openssl_def # Это в начало файла
    #Все что ниже в конец
    
     
     
    
     
     
    
     
     /usr/lib/ssl/engines/libgost.so # заменить реальным файлом
     
     

    Проверка:

    openssl ciphers        gost
    GOST2001-GOST89-GOST89
    GOST94-GOST89-GOST89

    Экспорт сертификатов на другую машину

    Закрытые ключи к сертификатам находятся тут: /var/opt/cprocsp/keys. Поэтому эти ключи переносятся просто: создаем архив и переносим на нужную машину в тот же каталог.

    Экспорт самих сертификатов (если их 14):

     i    ;     certmgr   .cer; 

    Переносим эти файлы на машину и смотрим, какие контейнеры есть:

    csptest -keyset -enum_cont -verifycontext -fqcn

    И как обычно, связываем сертификат и закрытый ключ:

    certmgr -inst -file 1.cer -cont '\\.\HDIMAGE\container.name'

    Если закрытый ключ и сертификат не подходят друг к другу, будет выведена ошибка:

    Can not install certificate
    Public keys in certificate and container are not identical

    Если все успешно:

    В криптопроверку сертификата внесли изменения

    Если нет закрытого ключа, то просто ставим сертификат:

    certmgr -inst -file 1.cer

    Подписание документа ЭЦП

    cryptcp  КПС   pincode src.txt dest.txt.sig
    • nochain – отменяет проверку цепочки сертификатов

    • pin – пин-код

    • КПС1 – критерий поиска сертификата

    Пример создания ЭЦП (по SHA1 Hash):

    cryptcp   255c249150efe3e48f1abb3bc1928fc8f99980c4    test.txt test.txt.sig
    [ReturnCode: x] Описание Возвращаемый код завершения в баше $?
    0 успешно 0
    0x8010006b Введен неправильный PIN 107
    0x2000012d Сертификат не найден 45
    0x20000065 Не удалось открыть файл 101

    Проверка подписи ЭЦП

    Для верифицирования сертификатов нужен сертификат удостоверяющего центра и актуальный список отзыва сертификатов,
    либо настроенный для этого revocation provider.

    Корневой сертификат УЦ, список отзыва сертификата является одним из реквизитов самого сертификата.

    Контрагенты когда открывают подписи в КриптоАРМ используют revocation provider, он делает проверки отзыва сертификата онлайн.
    Как реализована проверка в Шарепоинте не знаю. Знаю только что используется библиотека Крипто.Net

    cryptcp  

    Проверка конкретной подписи из локального хранилища по его хешу:

    cryptcp   255c249150efe3e48f1abb3bc1928fc8f99980c4  test.txt.sig

    Проверить, взяв сертификат из file1.sig, подпись файла file2.sig. Практически, надо использовать один и тот же файл:

    cryptcp    file1.sig file2.sig

    Ответ:

    Certificates found: 2
    Certificate chains are checked.
    Folder './':
    file.xls.sig... Signature verifying...
    Signer: Старший инженер, Иванов Иван Иванович, Отдел закупок, ООО «Верес», Москва, RU, info@site.ru
     Signature's verified.
    Signer: Генеральный директор, Сидоров Иван Петрович, Руководство, ООО «Кемоптика», Москва, RU, info@site.ru
     Signature's verified.
    [ReturnCode: 0]

    Результат:

    [ReturnCode: x] Текст Описание Возвращаемый код завершения в баше $?
    0 Успешно 0
    0x80091004 Invalid cryptographic message type Неправильный формат файла 4
    0x80091010 The streamed cryptographic message is not ready to return data Пустой файл 16

    Загрузка программного обеспечения

    Для проведения тестирования могут потребоваться:

    • Netcat;
    • КриптоПро CSP 3.6R3;
    • КриптоПро IPsec;
    • Утилита командной строки cryptcp;

    Все перечисленные продукты “Крипто-Про” имеют демонстрационную лицензию на 3 месяца и могут быть загружены со страницы загрузок. Дополнительные лицензии для проведения тестирования могут быть выданы на основании аргументированного запроса.

    Читайте также:  Контур Маркет - вход в личный кабинет
    Оцените статью
    ЭЦП Эксперт
    Добавить комментарий

    Adblock
    detector