временный сертификат для криптопро

временный сертификат для криптопро Электронная цифровая подпись

Электронные цифровые подписи (ЭЦП) всё чаще используются предпринимателями и физлицами. Это экономит время и денежные средства. ЭЦП невозможно подделать, а внесение изменений в данные после подписания документа исключено. Причём для взаимодействия с контролирующими органами необходима именно квалифицированная подпись (КЭП). Получить её можно в аккредитованных удостоверяющих центрах. А вот о том, как установить сертификат ЭЦП на компьютер после её получения, мы пошагово расскажем в этой статье.

Электронная подпись может быть сформирована разными криптопровайдерами. В статье мы расскажем о том, как происходит установка сертификата электронной цифровой подписи, сформированной криптопровайдером КриптоПро.

Для того чтобы установить сертификат на свой компьютер, необходимо скачать КриптоПро CSP. Дистрибутив программы доступен для загрузки на сайте (потребуется регистрация/авторизация).

Налоговики проводят эксперимент по безвозмездному предоставлению пользователям программного обеспечения КриптоПро для работы с электронной подписью. Теперь, при получении квалифицированной ЭЦП в налоговой инспекции вы получаете лицензию КриптоПро бесплатно — в подарок, на срок действия самой подписи.

В рамках этого эксперимента лицензия на использование программного обеспечения для работы с электронной подписью и российской криптографией «КриптоПро» включена в сертификаты, выдаваемые УЦ ФНС России с 12 апреля 2022 года.

Для работы с сертификатами, полученными ранее указанной даты, требуется перевыпуск ЭЦП (квалифицированной электронной подписи) в любом налоговом органе, оказывающем данную услугу. Срок проведения эксперимента по предоставлению бесплатной лицензии составит всего 6 месяцев.

Каждый арбитражный управляющий в обязательном порядке пользуется ЭЦП. Всем, кто не покупал бессрочную лицензию «КриптоПро», рекомендую перевыпустить сертификат в ФНС.

КЭП

По просьбам трудящихся публикую инструкцию “выпускаем себе тестовые сертификаты крипто-про как горячие пирожки!”. Здесь описан процесс получение сертификата квалифицированной электронной подписи (КЭП) содержащего любые данные (OID) на тестовом удостоверяющем центре КриптоПро.

Изначально предполагается, что у нас уже установлен CryptoPro CSP и КриптоПро ЭЦП Browser plug-in, если нет, то идем качаем на официальный сайт. Все операции будут описаны относительно работы в ОС Linux. В MacOS и Windows, в принципе, не должно быть существенных отличий, кроме поправки на пути к исполняемым файлам.

Так же необходимо наличие действительного сертификата тестового УЦ КриптоПро в корневом хранилище сертификатов. Проверить его наличие можно командой

/opt/cprocsp/bin/amd64/certmgr -list -store uRoot

В выводе должно быть что-то вроде

Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Serial : 0x37418882F539A5924AD44E3DE002EA3C
SHA1 Hash : 0xcd321b87fdabb503829f88db68d893b59a7c5dd3
SubjKeyID : 4e833e1469efec5d7a952b5f11fe37321649552b
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 27/05/2019 07:24:26 UTC
Not valid after : 26/05/2024 07:34:05 UTC
PrivateKey Link : No

И если вдруг его нет, или истек срок действия (Not valid after), то нужно скачать свежий со страницы https://www.cryptopro.ru/certsrv/certcarc.asp, далее по ссылке Загрузка сертификата ЦС и установить командой

sudo /opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file /tmp/certnew.cer

Активное развитие электронного документооборота в различных организациях, требует от пользователей постоянного наличия электронной цифровой подписи (ЭЦП) в виде USB-ключа для подписания документов, сдачи отчетности, участия в гос. закупке, продажи маркированных товаров и т.д. И бывает так, что таковых ключей может собраться большое количество под самые разные задачи и гораздо удобней в таком случае, использовать эти ключи без привязки к их физическому носителю, записав их в реестр системы на доверенный компьютер. И сегодня мы рассмотрим с вами, как установить ЭЦП в реестр через КриптоПРО CSP.

Итак, вставляем USB-ключ с ЭЦП в свободный разъем на ПК, откроем программу КриптоПро CSP и нажимаем Запустить с правами администратора.

Как установить ЭЦП в реестр через КриптоПРО

Далее мы открываем вкладку Сервис, нажимаем Скопировать.

Как установить ЭЦП в реестр через КриптоПРО

И нажимаем Обзор.

Как установить ЭЦП в реестр через КриптоПРО

Находим здесь «контейнер», который записан на USB-носителе и нажимаем ОК.

Как установить ЭЦП в реестр через КриптоПРО

Вводим действующий пин-код от выбранного USB-ключа.

Как установить ЭЦП в реестр через КриптоПРО

Вводим удобное название для нового «контейнера» и нажимаем Готово.

Как установить ЭЦП в реестр через КриптоПРО

В окне с выбором места для записи «контейнера», выбираем Реестр и жмем ОК.

Как установить ЭЦП в реестр через КриптоПРО

Придумаем запоминающийся пароль для «контейнера» и нажимаем ОК.

Как установить ЭЦП в реестр через КриптоПРО

Итак, ключевой «контейнер» успешно скопирован в реестр системы.

Как установить ЭЦП в реестр через КриптоПРО

Нам осталось установить сертификат в личное хранилище пользователя, чтобы у нас была возможность использовать электронную подпись, которая записана в реестр, не вставляя ключевой носитель. Для этого, переходим на вкладку Сервис и нажимаем Посмотреть сертификаты в контейнере.

Как установить ЭЦП в реестр через КриптоПРО

Как установить ЭЦП в реестр через КриптоПРО

Находим «контейнер» с признаком Реестр в колонке Считыватель и нажмем ОК.

Как установить ЭЦП в реестр через КриптоПРО

Проверяем информацию, которая записана на сертификате, жмем Установить.

Как установить ЭЦП в реестр через КриптоПРО

И видим, что сертификат был установлен в хранилище «Личное». Нажимаем ОК и можем теперь пользоваться ЭЦП без физического USB-носителя.

Как установить ЭЦП в реестр через КриптоПРО

вопросы

Из нашей статьи вы узнаете:

При работе с ЭЦП во время подписи документов может понадобиться установка нового сертификата с использованием «КриптоПро CSP» — например, когда у ЭЦП закончился срок, произошла смена главного бухгалтера или директора предприятия, либо необходима установка нового сертификата после оформления в удостоверяющем центре.

Для корректной работы может потребоваться установка личного и корневого сертификата в КриптоПро. Чтобы это сделать придерживайтесь следующей инструкции.

Содержание
  1. Установка личного сертификата
  2. Как установить корневой сертификат КриптоПро
  3. Как установить контейнер закрытого ключа в реестр
  4. Ошибки при установке
  5. Лицензия Центра Сертификации
  6. Лицензия Центра Регистрации
  7. Лицензия АРМ администратора Центра Регистрации
  8. Лицензия АРМ разбора конфликтных ситуаций
  9. Что такое открытый ключ ЭЦП
  10. Инструкция как экспортировать открытый ключ
  11. Экспорт открытого ключа из КриптоПро CSP
  12. Что такое закрытый ключ ЭЦП
  13. Инструкция как экспортировать закрытый ключ
  14. Настройка проверки формата сертификатов
  15. Пример настройки плагина
  16. Дополнительные параметры плагина:
  17. Настройка выполнения проверки полей сертификата по умолчанию
  18. Пошаговая инструкция установки ЭЦП в КриптоПро
  19. Технические требования для КриптоПро CSP
  20. Как настроить рабочее место
  21. Проверка криптопровайдера
  22. Проверка ЭЦП
  23. Настройка браузера
  24. Проверка плагинов
  25. Создание тестового сертификата
  26. Введение
  27. Путь 1
  28. Путь 2
  29. Теперь приступаем к выпуску сертификата
  30. Удалённая настройка рабочего места

Установка личного сертификата

Для того чтобы установить сертификат с помощью «КриптоПро CSP», выполните следующий алгоритм:

  • запустите «КриптоПро», кликнув на иконку на рабочем столе или запустив из меню, перейдя по пути «Пуск» — «Программы» — «КриптоПро» — «КриптоПро CSP»);
  • зайдите во вкладку «Сервис»;
  • Вкладка «Сервис»

  • нажмите левой кнопкой мыши на иконку «Просмотреть сертификаты в контейнере»;
  • Просмотр сертификата в контейнере

  • найдите после нажатия кнопки «Обзор» контейнер с вашим сертификатом;
  • Поиск контейнера с сертификатом

  • выберите необходимый контейнер и подтвердите своё действие кнопкой «ОК» и затем «Далее»;
  • Выберите необходимый контейнер

    Нажмите «Далее»

  • проверьте правильность информации о сертификате внутри контейнера;
  • нажмите кнопку «Установить».
  • Нажмите «Установить»

Обратите внимание, что при установке система запоминает последний контейнер, с которого была проведена операция. Например, если вы установили личный сертификат из реестра вашего компьютера, а потом повторили процедуру с флешки, то при отсутствии последней система не сможет найти контейнер.

Как установить корневой сертификат КриптоПро

Для корректной работы сервера надо установить предварительно корневой сертификат в ваше хранилище. Для его получения необходим тестовый центр по сертификации продукта, куда можно попасть при наличии прав администратора. Также для предотвращения проблем необходимо добавить адрес интернет-сайта в список доверенных. Запросите сертификат, загрузив его из сертификационного центра. Чтобы его установить, откройте его и выполните следующие действия:

  • зайдите в раздел «Общие»;
  • выберите пункт «Установить сертификат»;
  • следуйте за шагами мастера по установке, который поможет выполнить операцию.
  • Выполните операции

Если процесс пройдёт корректно, то корневой сертификат появится в хранилище среди доверенных центров.

Как установить контейнер закрытого ключа в реестр

  1. Подключите к компьютеру носитель с сертификатом.
  2. Перейдите в «Пуск» → «Панель управления» → «КриптоПро CSP», откройте вкладку «Сервис» и нажмите «Скопировать».
  3. «Скопировать»

  4. Нажмите «Обзор…», выберите контейнер с сертификатом, нажмите «ОК» и «Далее».
  5. нажмите «ОК» и «Далее»

  6. Введите pin-код, затем нажмите «ОК».
  7. нажмите «ОК»

  8. Оставьте имя контейнера по умолчанию или введите новое.
  9. Имя по умолчанию

  10. В окне «Устройства» выберите «Реестр» и нажмите «ОК».
  11. выберите «Реестр» и нажмите «ОК»

  12. Установите пароль для контейнера.
  13. Установите пароль для контейнера

После успешного копирования контейнера личный сертификат нужно установить в хранилище «Личные».

Установите личный сертификат

Ошибки при установке

Довольно распространённой проблемой при установке становится зависание компьютера. Обычно это связано с установкой нелицензионного ПО, наличием ошибок или отсутствием критических обновлений. Также проблемы могут возникнуть в следующих случаях:

  • попытка установить недействительный сертификат;
  • указание неверного пути к файлу;
  • истечение срока действия сертификата.

Для корректной работы рекомендуем использовать только лицензионное ПО. Приобрести его и получить комплексную техническую поддержку можно в компании «Астрал-М». Мы входим в число официальных дилеров компании «КриптоПро», что подтверждает информация на сайте разработчика. Обращаясь в «Астрал-М», вы получаете:

  • поддержку в режиме 24/7;
  • оперативное оформление ЭЦП;
  • любую форму оплаты;
  • консультации по выбору подписи и типа лицензии;
  • возможность оформления ЭЦП в офисе клиента и в ускоренном формате.

Для приобретения электронной подписи или криптопровайдера заполните форму обратной связи, чтобы наш специалист связался с вами.

Skip Navigation Links.

Collapse Прайс-листПрайс-лист
Collapse для ФНС СКЗИ КриптоПро CSP/Токендля ФНС СКЗИ КриптоПро CSP/Токен
временный сертификат для криптопро«КриптоПро CSP» 5.0 и Токен
Collapse ПО КРИПТО-ПРОПО КРИПТО-ПРО
Collapse СКЗИ «КриптоПро CSP/JCP»СКЗИ «КриптоПро CSP/JCP»
временный сертификат для криптопро«КриптоПро CSP» версии 5.0
временный сертификат для криптопро«КриптоПро CSP» версии 5.0 (для иностранных лиц)
временный сертификат для криптопро«КриптоПро CSP» версии 4.0
временный сертификат для криптопро«КриптоПро CSP» версии 4.0 Lic (для иностранных лиц)
временный сертификат для криптопро«Крипто-Про CSP» версии 5.0 КС3 Astra Linux Special Edition
временный сертификат для криптопроКриптоПро JavaCSP
временный сертификат для криптопроКриптоПро JCP 2.0
временный сертификат для криптопро«КриптоПро CSP» TLS
Expand ПАК «КриптоПро УЦ» 2.0ПАК «КриптоПро УЦ» 2.0
Collapse ПАК "Службы УЦ 2.0"ПАК “Службы УЦ 2.0”
временный сертификат для криптопроСерверные компоненты
временный сертификат для криптопроКлиентские компоненты TSP/OCSP client
временный сертификат для криптопроСредства мониторинга
временный сертификат для криптопроСертификаты технической поддержки
Expand ПАК КриптоПро DSSПАК КриптоПро DSS
Expand ПО КриптоПро PKI-КластерПО КриптоПро PKI-Кластер
Collapse ПО КриптоПро Центр МониторингаПО КриптоПро Центр Мониторинга
временный сертификат для криптопроЛицензии на ПО “КриптоПро ЦМ”
временный сертификат для криптопроСертификаты ТП “КриптоПро ЦМ”
Collapse ПАКМ КриптоПро HSM и NGateПАКМ КриптоПро HSM и NGate
временный сертификат для криптопроПАКМ КриптоПро HSM версии 2.0
Expand КриптоПро NGateКриптоПро NGate
Expand ПО КриптоПро АрхивПО КриптоПро Архив
Collapse Дополнительное ПОДополнительное ПО
временный сертификат для криптопроКриптоПро .NET
временный сертификат для криптопроКриптоПро IPsec
временный сертификат для криптопроКриптоПро PDF
временный сертификат для криптопроКриптоПро Winlogon
временный сертификат для криптопроКриптоПро SSF
временный сертификат для криптопроКриптоПро Office Signature
временный сертификат для криптопроПриложение командной строки
временный сертификат для криптопроКриптоПро Шлюз УЦ-СМЭВ
временный сертификат для криптопроКлиентские компоненты TSP/OCSP client
временный сертификат для криптопроSecure Pack Rus
временный сертификат для криптопроКриптоПро SPR 4.0
временный сертификат для криптопроИнструментарий разработчика
временный сертификат для криптопроСертификаты шифрования с лицензией на CSP
временный сертификат для криптопроКриптоПро HLF
Expand Лицензия CSP Check Point SecurePlatformЛицензия CSP Check Point SecurePlatform
Collapse Сертификаты ТП, сервисного обслуживания, установки/настройки ПО/Аудит УЦ/СЭПСертификаты ТП, сервисного обслуживания, установки/настройки ПО/Аудит УЦ/СЭП
Expand Сертификаты технической поддержкиСертификаты технической поддержки
Expand Сертификаты расширенной технической поддержкиСертификаты расширенной технической поддержки
Expand Сертификаты расширенной круглосуточной технической поддержкиСертификаты расширенной круглосуточной технической поддержки
Expand Сертификаты на базовое сервисное обслуживание оборудованияСертификаты на базовое сервисное обслуживание оборудования
Expand Сертификаты на расширенное сервисное обслуживание оборудованияСертификаты на расширенное сервисное обслуживание оборудования
Expand Сертификаты на установку и(или) обновление и настройку ПОСертификаты на установку и(или) обновление и настройку ПО
временный сертификат для криптопроСертификаты на аудит средств УЦ и СЭП
Collapse УслугиУслуги
Collapse Услуги УЦ (неквалифицированная ЭП)Услуги УЦ (неквалифицированная ЭП)
временный сертификат для криптопроСертификаты по ЦСО и РСО
временный сертификат для криптопроСертификаты класса КС3 по ЦСО и РСО
временный сертификат для криптопроУслуги по выпуску квалифицированных сертификатов
временный сертификат для криптопроУслуги ЦУС VPN
временный сертификат для криптопроУслуги Сервиса Электронной подписи
временный сертификат для криптопроВосстановление лицензии/сертификата ТП/бухгалтерских документов
временный сертификат для криптопроВыезд специалиста
временный сертификат для криптопроИнформационно-консультационные услуги
Collapse Продукция партнёровПродукция партнёров
Collapse КриптоАРМ & Trusted TLSКриптоАРМ & Trusted TLS
временный сертификат для криптопроПО КриптоАРМ
временный сертификат для криптопроTrusted
Collapse Электронные идентификаторы (носители закрытых ключей)Электронные идентификаторы (носители закрытых ключей)
временный сертификат для криптопроЭлектронные ключи ruToken
временный сертификат для криптопроСчитыватели смарт-карт
временный сертификат для криптопроЭлектронные USB-ключи и смарт-карты ESMART
Collapse Продукты старых версийПродукты старых версий
временный сертификат для криптопро«КриптоПро CSP» версии 3.9
временный сертификат для криптопро«КриптоПро CSP» версии 3.6
временный сертификат для криптопроЛицензия CSP 3.6 Stonegate Firewall/VPN
временный сертификат для криптопро«Старые дистрибутивы КриптоПро CSP 4.0 и JCP 2.0»
Expand ПАК «КриптоПро УЦ» 1.5ПАК «КриптоПро УЦ» 1.5

Услуги ЦУС VPN

В случае, если Вам необходимо получить счет на оплату с реквизитами банка, находящегося не под санкциями США, ЕС и других стран, просим указать данную информацию в разделе «Комментарии» к заказу.

Уважаемые партнёры, текущую цену и сроки поставки ПАКМ “КриптоПро HSM” и АП “КриптоПро NGate” уточняйте путём обращения на общий адрес info@cryptopro.ru или в контрактно-производственный отдел kpo@cryptopro.ru.

ВНИМАНИЕ: Лицензия на право использования ПО не включает в себя дистрибутив программного
обеспечения.

НаименованиеЦенаКоличество
Услуги ЦУС VPN по изготовлению сертификата открытого ключа 1 000,00 ₽
Услуги ЦУС VPN по изготовлению сертификата открытого ключа класса КС3 1 500,00 ₽
Услуги ЦУС VPN по изготовлению сертификата открытого ключа для аутентификации VPN-шлюза NGate

* – данный сертификат предназначен для использования совместно с КриптоПро Ngate

4 000,00 ₽
Услуги ЦУС VPN по изготовлению сертификата открытого ключа для аутентификации VPN-шлюза NGate класса КС3

* – данный сертификат предназначен для использования совместно с КриптоПро Ngate

6 000,00 ₽
Услуги ЦУС VPN по изготовлению сертификата открытого ключа для аутентификации VPN-шлюза

* – данный сертификат предназначен для использования с VPN-шлюзами, отличными от КриптоПро Ngate

5 000,00 ₽
Услуги ЦУС VPN по изготовлению сертификата открытого ключа для аутентификации VPN-шлюза класса КС3

* – данный сертификат предназначен для использования с VPN-шлюзами, отличными от КриптоПро Ngate

7 000,00 ₽
Услуги по подключению одного оператора в ЦУС VPN сроком 1 год

* Счет выставляется только при наличии подписанного Оператором договора на обслуживание в УЦ. Тип обращения “Оператор ЦУС VPN “Запросить договор

3 900,00 ₽

Если вы решили впервые окунуться в изучение мира различных сертификатов и электронных подписей (ЭЦП) или вам просто понадобился «левый» сертификат для проведения разных экспериментов, тогда вам стоит посетить виртуальный удостоверяющий центр от компании КриптоПРО, который позволяет бесплатно получить тестовый сертификат за считанные минуты. А чтобы вам было проще это сделать, сегодня мы пошагово получим тестовый сертификат от КриптоПРО, который будет экспортируемым и удобно записанным на отдельной usb флешке.

В первую очередь, нам необходимо проверить наличие в браузере обязательного плагина, под длинноватым названием cryptopro extension for cades browser plug-in. Я для примера, буду сегодня использовать Яндекс.Браузер. Итак, нажимаем на верхней панели браузера на три полоски и выбираем раздел Дополнения.

Как получить тестовый сертификат от КриптоПРО

Находим здесь плагин КриптоПро ЭЦП и если он не установлен, соответственно, нажимаем Установить.

Как получить тестовый сертификат от КриптоПРО

И в каталоге расширений для Оперы, нажимаем Добавить в Яндекс.Браузер.

Как получить тестовый сертификат от КриптоПРО

Подтверждаем установку, нажав Установить расширение.

Как получить тестовый сертификат от КриптоПРО

И проверяем, что расширение успешно установлено и работает.

Как получить тестовый сертификат от КриптоПРО

Далее мы переходим в тестовый удостоверяющий центр от КриптоПРО по адресу cryptopro.ru/certsrv и выберем на нижней части страницы Сформировать ключи и отправить запрос на сертификат.

Как получить тестовый сертификат от КриптоПРО

На следующей странице плагин выдаст ошибку с информацией о том, что нужно установить дополнительное расширение КриптоПРО ЭЦП Browser plug-in. Жмём по гиперссылке на расширение.

Как получить тестовый сертификат от КриптоПРО

Выбираем отдельное место на компьютере и нажимаем Сохранить.

Как получить тестовый сертификат от КриптоПРО

И после быстрого скачивания, запускаем установочный файл cadesplugin.exe.

Как получить тестовый сертификат от КриптоПРО

Подтверждаем установку КриптоПро ЭЦП Browser plug-in.

Как получить тестовый сертификат от КриптоПРО

Ожидаем окончания быстрой установки.

Как получить тестовый сертификат от КриптоПРО

И перезапускаем браузер.

Как получить тестовый сертификат от КриптоПРО

Возвращаемся к разделу запроса сертификата и разрешаем новую операцию.

Как получить тестовый сертификат от КриптоПРО

А затем, мы начинаем оформлять запрос сертификата следующим образом.

Как получить тестовый сертификат от КриптоПРО

  • Вводим на латинице реальное или вымышленное имя, адрес электронной почты, название организации, подразделение, город, область и страну ;
  • Тип требуемого сертификата, можем оставить самый распространенный Сертификат проверки подлинности клиента.

Нижнюю часть настроек параметров ключа мы заполняем следующим образом.

Как получить тестовый сертификат от КриптоПРО

  • Выбираем Создать новый набор ключей ;
  • CSP: Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider ;
  • Обязательно отмечаем пункт Пометить ключ как экспортируемый ;
  • В Дополнительных параметрах вводим на латинице Понятное имя ;
  • Внимательно всё перепроверяем и нажимаем на кнопку Выдать.

В качестве носителя мы указываем подключенную usb флешку и нажимаем ОК.

Как получить тестовый сертификат от КриптоПРО

Активно двигаем мышкой в разные стороны для генерации последовательности.

Как получить тестовый сертификат от КриптоПРО

Придумаем новый пароль для контейнера, вводим его несколько раз и жмём ОК.

Как получить тестовый сертификат от КриптоПРО

Затем, нажмём Установить этот сертификат и получаем закономерную ошибку Данный ЦС не является доверенным, которая возникает из-за того, что у нас не установлен корневой сертификат от данного центра сертификации. Итак, жмём установите этот сертификат ЦС.

Как получить тестовый сертификат от КриптоПРО

Выбираем отдельное место на компьютере и нажимаем Сохранить.

Как получить тестовый сертификат от КриптоПРО

А после окончания быстрого скачивания, открываем файл certnew.cer.

Как получить тестовый сертификат от КриптоПРО

В новом окне для работы с сертификатом, нажимаем Установить сертификат.

Как получить тестовый сертификат от КриптоПРО

Оставляем Текущий пользователь и нажимаем Далее.

Как получить тестовый сертификат от КриптоПРО

Выбираем Поместить все сертификаты в следующее хранилище и жмём Обзор.

Как получить тестовый сертификат от КриптоПРО

Выделяем Доверенные корневые центры сертификации и нажимаем ОК.

Как получить тестовый сертификат от КриптоПРО

Вернувшись, проверяем путь к хранилищу сертификатов, нажимаем Далее.

Как получить тестовый сертификат от КриптоПРО

И в завершении мастера импорта сертификатов, нажимаем Готово.

Как получить тестовый сертификат от КриптоПРО

В новом окне с предупреждением, подтверждаем установку сертификата.

Как получить тестовый сертификат от КриптоПРО

И всё, импорт сертификата у нас выполнен успешно.

Как получить тестовый сертификат от КриптоПРО

Вернёмся к пункту выдачи сертификата и жмём Установить этот сертификат.

Как получить тестовый сертификат от КриптоПРО

Вводим заданный нами ранее пароль от контейнера и нажимаем ОК.

Как получить тестовый сертификат от КриптоПРО

Вот и всё, тестовый сертификат успешно установлен на usb флешку.

Как получить тестовый сертификат от КриптоПРО

Для проверки, откроем КриптоПро CSP, заходим на вкладку Сервис и выбираем Просмотреть сертификаты в контейнере.

Как получить тестовый сертификат от КриптоПРО

Как получить тестовый сертификат от КриптоПРО

И видим наш сертификат с «абракадабровым» именем контейнера, который мы выделяем, нажимаем ОК.

Как получить тестовый сертификат от КриптоПРО

И, собственно, проверяем срок действия, а также те данные, которые заполняли при получении тестового сертификата от КриптоПРО.

Как получить тестовый сертификат от КриптоПРО

Установка и эксплуатация компонентов ПАК «КриптоПро УЦ» должна производиться на основании лицензий, выданных производителем или поставщиком продукта.

В ПАК «КриптоПро УЦ» имеется два вида лицензий на компоненты:

  • лицензия на стандартную версию продукта (стандартная лицензия);
  • лицензия на расширенную версию продукта (расширенная лицензия).

Стандартная лицензия предоставляет право установки и эксплуатации одной копии продукта в соответствии с указанными в ней ограничениями без права изменения отдельных параметров конфигурации программного обеспечения компонента, определенного производителем по умолчанию.

Расширенная лицензия предоставляет право установки и эксплуатации одной копии компонента продукта в соответствии с указанными в ней ограничениями с правом изменения параметров конфигурации программного обеспечения компонента, определенного производителем по умолчанию.

Для рабочих мест пользователей УЦ не требуется наличие лицензий ПАК «КриптоПро УЦ». Они должны обеспечиваться лицензиями СКЗИ КриптоПро CSP, не входящими в состав ПАК «КриптоПро УЦ».

Лицензия Центра Сертификации

Параметры конфигурации, запрещаемые для изменения в стандартной лицензии:

  • Параметры модуля политики КриптоПро УЦ;
  • Параметры модуля выхода КриптоПро УЦ.

Ограничения лицензии:

  • Наименование организации;
  • Количество пользователей УЦ, являющихся владельцами сертификатов открытых ключей, изданных данным Центром Сертификации;
  • Срок действия лицензии.

Производитель продукта в лице ООО «КРИПТО-ПРО» (г. Москва) предоставляет с каждой копией Центра Сертификации для ознакомления стандартную лицензию сроком действия 1 (один) месяц до 100 (ста) пользователей.

Учет зарегистрированных пользователей осуществляется на Центре Сертификации ПАК «КриптоПро УЦ». Счетчик зарегистрированных пользователей увеличивается на единицу только в случае одновременного выполнения следующих условий:

  • При изготовлении сертификата открытого ключа идентификационные данные пользователя, для которого изготавливается сертификат, отличны от идентификационных данных пользователей, для которых уже были изготовлены сертификаты;
  • При изготовлении сертификата открытого ключа запрос на изготовление сертификата открытого ключа не содержит область использования – «Временный доступ к Центру Регистрации» (OID 1.2.643.2.2.34.2).

Удаление пользователя средствами АРМ администратора Центра Регистрации влечет удаление соответствующей учетной записи только в базе данных Центра Регистрации. Соответственно, на Центре Сертификации значение счетчика зарегистрированных пользователей остается прежним и не уменьшается.

При необходимости зарегистрировать нового пользователя и изготовить для него сертификат открытого ключа для проведения тестов (зарегистрировать тестового пользователя), в данный сертификат в расширение «Улучшенный ключ» (Extended Key Usage) потребуется занести область использования «Временный доступ к Центру Регистрации» (OID 1.2.643.2.2.34.2) в дополнение к необходимым для выполнения тестовых задач областям. Счетчик зарегистрированных пользователей в данном случае не увеличится.

Лицензия Центра Регистрации

Параметры конфигурации, запрещаемые для изменения в стандартной лицензии:

  • Политики обработки подписанных и неподписанных запросов;
  • Политика имен;
  • Системные роли;
  • Шаблоны писем;
  • Параметры модуля экспорта сертификатов;
  • Параметры доступа к методам на вкладке Безопасность;
  • Параметры регламентных заданий;
  • Параметры веб-интерфейса.

Ограничения лицензии:

  • Наименование организации;
  • Срок действия лицензии.

Производитель продукта в лице ООО «КРИПТО-ПРО» (г. Москва) предоставляет с каждой копией Центра Регистрации для ознакомления стандартную лицензию сроком действия 1 (один) месяц.

Лицензия АРМ администратора Центра Регистрации

Для указанного компонента существуют только расширенные лицензии с возможным ограничением по времени.

Производитель продукта в лице ООО «КРИПТО-ПРО» (г. Москва) предоставляет с каждой копией АРМ администратора Центра Регистрации для ознакомления лицензию сроком действия 1 (один) месяц.

Лицензия АРМ разбора конфликтных ситуаций

Для указанного компонента существуют только расширенные лицензии ч возможным ограничением по времени.

Производитель продукта в лице ООО «КРИПТО-ПРО» (г. Москва) предоставляет с каждой копией АРМ разбора конфликтных ситуаций для ознакомления лицензию сроком действия 1 (один) месяц.

  • Страница для печатиСтраница для печати

Квалифицированная электронная подпись состоит из открытого и закрытого ключа. Обе составляющие создаются с помощью криптографических алгоритмов. Для работы с КЭП нужно использовать оба ключа — каждый из них выполняет свою функцию.


Что такое открытый ключ ЭЦП

Открытый ключ электронной подписи представляется в виде электронного сертификата или бумажного документа. Сертификат выдаётся только удостоверяющим центром и содержит информацию, которая используется для проверки подписи владельца и шифрования данных.

Открытый ключ можно использовать для работы с партнёрами, в отличие от закрытого, который хранится в защищённом месте. Контрагенты могут использовать открытый ключ владельца для шифрования данных, которые ему посылают. Это означает, что после отправки этих данных, получить доступ к ним сможет только владелец закрытой части ключа.

Сертификат содержит в себе следующие данные:

  • срок действия сертификата;

  • реквизиты удостоверяющего центра;

  • ФИО владельца сертификата;

  • название криптографического алгоритма;

Электронный сертификат виден на обычных носителях в виде файла с расширением .cer, а на защищённых картах Рутокен, eToken и JaCarta он скрыт. Чтобы увидеть скрытый сертификат, его необходимо экспортировать.

Инструкция как экспортировать открытый ключ

Экспортировать открытый ключ электронной подписи можно через свойства обозревателя либо из криптопровайдера КриптоПро CSP. При этом носитель с ключом должен быть подключён к компьютеру.

Экспорт открытого ключа через свойства обозревателя

1. В системе Windows перейдите в «Пуск» → «Панель управления» → «Свойства обозревателя (Свойства браузера)».

Свойства браузера

2. Перейдите на вкладку «Содержание» и нажмите на кнопку «Сертификаты».

Сертификаты

3. В списке выберите нужный сертификат, щёлкнув по его названию, и нажмите кнопку «Экспорт».

Экспорт

4.В окне «Мастер экспорта сертификатов» нажмите кнопку «Далее», затем «Нет, не экспортировать закрытый ключ» и снова «Далее».

Мастер экспорта сертификатов

5. В окне «Формат экспортируемого файла» выберите «Файлы в DER-кодировке X.509 (.CER)» и нажмите кнопку «Далее».

Формат экспортируемого файла

6. Выберите место сохранения сертификата, нажав кнопку «Обзор», затем нажмите на кнопку «Сохранить» → «Далее» → «Готово».

Готово

Экспорт открытого ключа из КриптоПро CSP

1. В системе Windows перейдите в «Пуск» → «Панель управления» → «КриптоПро CSP».

КриптоПро CSP

2. Перейдите на вкладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере».

Просмотреть сертификаты в контейнере

3. Нажмите кнопку «Обзор», выберите нужный контейнер и нажмите «Ок» → «Далее».

Обзор

4. В окне «Сертификат для просмотра» нажмите кнопку «Свойства».

Свойства

5. Перейдите на вкладку «Состав» и нажмите кнопку «Копировать в файл».

6. В окне «Мастер экспорта сертификатов» нажмите кнопку «Далее», затем «Нет, не экспортировать закрытый ключ» и снова «Далее».

Мастер экспорта сертификатов

7. В окне «Формат экспортируемого файла» выберите «Файлы в DER-кодировке X.509 (.CER)» и нажмите кнопку «Далее».

Формат экспортируемого файла

8. Выберите место сохранения сертификата, нажав кнопку «Обзор», затем нажмите на кнопку «Сохранить» → «Далее» → «Готово».

Готово

Что такое закрытый ключ ЭЦП

Закрытый ключ представлен в виде уникального набора символов, которые используются криптографическим алгоритмом для создания защищённой части электронной подписи.

Владелец электронной подписи использует именно закрытую часть для подписания электронных документов. Любой, кто получает доступ к закрытому ключу электронной подписи, может им воспользоваться. Поэтому его хранят на защищённых носителях: смарт-карте, токене, USB-носителе или дискете.

Хранить закрытый ключ можно на компьютере, однако это небезопасно — воспользоваться им сможет любой, кто имеет доступ к компьютеру. Самым защищённым носителем считается смарт-карта, так как на ней используется двухфакторная аутентификация.

Как и в случае с сертификатом, закрытый ключ может быть как скрыт так и виден, в зависимости от носителя. Он представлен в виде папки, которая содержит несколько файлов с расширением .key, поэтому закрытый ключ также называют контейнером. Скрытый контейнер с закрытым ключом нужно экспортировать, чтобы получить к нему прямой доступ.

Инструкция как экспортировать закрытый ключ

Выполнять экспорт закрытого ключа электронной подписи можно из криптопровайдера КриптоПро CSP.

  1. Перейдите на вкладку «Сервис» и нажмите на кнопку «Скопировать контейнер».


  2. Сервис


    Скопировать контейнер


    Обзор

  3. Если вы копируете закрытый ключ с защищённого носителя, введите pin-код.

  4. Введите название копии закрытого ключа и нажмите «Готово».


  5. контейнер


    готово

  6. В окне «Выбор ключевого носителя» выберите носитель, на который будет произведено копирование контейнера с закрытым ключом.


  7. Выбор ключевого носителя

  8. Установите пароль на контейнер. Несмотря на то что этот шаг необязательный, установка пароля обеспечит дополнительную защиту.


  9. пароль на контейнер


Открытый и закрытый ключи квалифицированной электронной подписи выполняют разные функции, но для работы нужны обе части. В некоторых случаях владельцу ЭЦП нужно сделать экспорт на другой носитель, воспользоваться он может как средствами Windows, так и криптопровайдером КриптоПро CSP.


Offline

crazz

Оставлено
:

29 декабря 2021 г. 11:46:07(UTC)

добрый день, может кто то сталкивался и есть рабочее решение:
проблема воспроизводится на Win Server 2012 R2 Standart
(на Win10 Professional – работает)

окружение JCSP 5.0.42109, CSP 5.0.12330, служба кеширования ключей

сценарий кеширования в хранилище MY (Personal)
сертификаты с носителя (вирт дискеты) устанавливаются в Личные
для кеширования приватного ключа – средствами CSP делаем попытку поменять пароль,
проверяем подписание в CSP – ок
отключаем носитель
еще раз проверяем подписание в CSP – ок

запускаем java приложение, пробуем в нем подписать – первая вторая попытки работают нормально, подписывается,
а после начинается непонятное – следующая попытка выдает ошибку

Код:

java.lang.IllegalArgumentException: Hash or Sign ERROR: 0x57
	at ru.CryptoPro.JCSP.MSCAPI.MSHashNSignException.procCode(Unknown Source)
	at ru.CryptoPro.JCSP.MSCAPI.cl_5.createHash(Unknown Source)
	at ru.CryptoPro.JCSP.MSCAPI.cl_5.a(Unknown Source)
	at ru.CryptoPro.JCSP.MSCAPI.cl_5.initHashGR3411(Unknown Source)
	at ru.CryptoPro.JCSP.MSCAPI.cl_4.a(Unknown Source)
	at ru.CryptoPro.JCSP.Key.AbstractKeySpec.prepareHash(Unknown Source)
	at ru.CryptoPro.JCSP.Digest.BaseGostDigest.prepare(Unknown Source)
	at ru.CryptoPro.JCSP.Digest.BaseGostDigest.engineUpdate(Unknown Source)
	at ru.CryptoPro.JCSP.Sign.CryptoProSign.engineUpdate(Unknown Source)
	at java.security.Signature.update(Unknown Source)
	at java.security.Signature.update(Unknown Source)
	at ru.soi.service.crypto.SigningService.signAndVerify(SigningService.java:159)
	at ru.soi.service.crypto.SigningService.signingFile(SigningService.java:268)
	at ru.soi.controller.v1.signature.SignatureServiceController.normalSignFile(SignatureServiceController.java:247)
	at ru.soi.controller.v1.signature.SignatureServiceController$$FastClassBySpringCGLIB$$e441f2bc.invoke(<generated>)

а следующая попытка снова подписывает без ошибок

проблема – подписание работает не стабильно, и куда копать не понятно
код

Код:



            FileAsByteArrayManager fileAsByteArrayManager = new FileAsByteArrayManager();
            byte[] fileInByte = fileAsByteArrayManager.readfileAsBytes(inFile);
            byte[] signInByte = signAndVerify(JCP.GOST_SIGN_2012_256_NAME, alias,
                    "".toCharArray(), cryptoParams.getAsk_pin_in_window(), fileInByte);

            String fileNameSig = inFile.getAbsolutePath() + ".sig";
            fileAsByteArrayManager.writeFile(signInByte, fileNameSig);
            return fileNameSig;


 public byte[] signAndVerify(String signAlgName, String alias,
                                char[] password, boolean askPinInWindow, byte[] fileInByte) throws Exception {

        KeyStore keyStore = getKS(alias);

        PrivateKey privateKey;
        PublicKey publicKey;
        Certificate certificate;

// askPinInWindow = true
        if (askPinInWindow) {
            privateKey = (PrivateKey) keyStore.getKey(alias, null);
            certificate = keyStore.getCertificate(alias);
            publicKey = certificate.getPublicKey();
        } else {
            KeyStore.ProtectionParameter protectedParam =
                    new KeyStore.PasswordProtection(password);
            JCPPrivateKeyEntry entry = (JCPPrivateKeyEntry) keyStore.getEntry(alias, protectedParam);
            privateKey = entry.getPrivateKey();
            certificate = entry.getCertificate();
            publicKey = certificate.getPublicKey();
        }
        if (isNull(privateKey)) throw new NotFoundException("not found private key for alias: " + alias);
        Signature signer = Signature.getInstance(signAlgName, JCSP.PROVIDER_NAME);

        signer.initSign(privateKey);
        signer.update(fileInByte);

        byte[] signature = signer.sign();

        Encoder encoder = new Encoder();
        log.info("Signature: " + encoder.encode(signature));

        Signature validator = Signature.getInstance(signAlgName, JCSP.PROVIDER_NAME);
        validator.initVerify(publicKey);
        validator.update(fileInByte);

        boolean valid = validator.verify(signature);
        log.info("Signature verified: " + valid);
        if (!valid)
            throw new Exception();
        signature = (new SignatureChecker()).cmsSignature((X509Certificate) certificate, signature);

        return signature;
    }

    public static KeyStore getKS(String alias) throws Exception {
        // только хранилище MY
        KeyStoreConfig.getInstance().getNames();
        KeyStore store = KeyStore.getInstance(MY, JCSP.PROVIDER_NAME);
        store.load(null, null);
        Object c = store.getCertificate(alias);
        if (null != c) {
            log.info(MY);
            return store;
        }
        throw new Exception("no store found for " + alias);
    }


Offline

azxsdcvfjk

Оставлено
:

12 января 2022 г. 20:23:27(UTC)

Добрый день.

У меня тоже похожая проблема возникает в следующем сценарии:
CSP 5.0.12000 + JCSP (java-csp-5.0.42119-A)

Цель
1) сгенерировать ключевую пару на смарткарте (в данном случае самую обычную — псевдо не извлекаемую, которая и с криптопро 4.0 работает)

Код:




        KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("GOST3410DH_2012_256", "JCSP");
        keyPairGenerator.initialize(new NameAlgIdSpec("\SCARD\ESMART_0000000*cardSerial*0000000\\test_alias"));
        keyPairGenerator.initialize(new PasswordParamsSpec("12345678"));
  KeyPair pair = keyPairGenerator.generateKeyPair();


(где-то тут генерируем временный сертификат, потом запрос на сертификат, потом заменяем на постоянный из УЦ)

2) сменить пароль от токена

тут я пробовал менять через PKCS11 или

как-то так , (тут результат более предсказуемый и обычно всё работает, вроде)

Код:


        KeyStore keyStore = KeyStore.getInstance(readerName, provider);
        keyStore.load(null, null);
        KeyStore.ProtectionParameter param = null;

        if (password != null)
            param = new KeyStore.PasswordProtection(password);
        KeyStore.Entry entry =  keyStore.getEntry(alias , param);
        keyStore.setEntry(alias + ContainerStore.PASSWORD_PREFIX + new String(newPassword), entry, new KeyStore.PasswordProtection(newPassword));

3) проверить, что всё работает с новым паролем
— тут и возникает проблема, пока не перезагрузиль сервис криптоПро sudo systemctl restart cprocsp ни один пароль от токена не подходит

Код:


        KeyStore keyStore = KeyStore.getInstance(readerName, provider);
        keyStore.load(null, null);
        KeyStore.ProtectionParameter param = null;
        if (password != null)
            param = new KeyStore.PasswordProtection(password); 
        JCPPrivateKeyEntry entry = (JCPPrivateKeyEntry) ((Object) keyStore.getEntry(alias , param));

и вылазит ошибка, если перед этим шагом прибить криптопро sudo systemctl restart cprocsp, то ошибки не будет и всё пройдёт успешно.

Код:


Caused by: ru.CryptoPro.JCP.KeyStore.InvalidPasswordException
	at ru.CryptoPro.JCSP.MSCAPI.cl_2.a(Unknown Source)
	at ru.CryptoPro.JCSP.Key.AbstractKeySpec.read(Unknown Source)
	at ru.CryptoPro.JCSP.KeyStore.CSPStore.a(Unknown Source)
	at ru.CryptoPro.JCSP.KeyStore.CSPStore.a(Unknown Source)
	at ru.CryptoPro.JCSP.KeyStore.CSPStore.engineGetEntry(Unknown Source)
	at ru.CryptoPro.JCSP.KeyStore.MetaCSPStore.engineGetEntry(Unknown Source)
	at java.base/java.security.KeyStore.getEntry(KeyStore.java:1555)
	at test.javaCsp.JcspHelper.getJCPPrivateKeyEntry(JcspHelper.java:158)
	at test.JcspHelper.validateTokenContainer(JcspHelper.java:205)
	at test.JcspService.validateToken(JcspService.java:123)
	... 65 more
Caused by: java.security.AccessControlException: ProvParam ERROR: 0x8010006b
	at ru.CryptoPro.JCSP.MSCAPI.cl_5.setPassword(Unknown Source)
	at ru.CryptoPro.JCSP.MSCAPI.cl_5.a(Unknown Source)
	at ru.CryptoPro.JCSP.MSCAPI.cl_5.openContainerWithSetPin(Unknown Source)
	... 75 more
Caused by: ru.CryptoPro.JCSP.MSCAPI.MSProvParamException: ProvParam ERROR: 0x8010006b
	at ru.CryptoPro.JCSP.MSCAPI.MSProvParamException.procCode(Unknown Source)
	at ru.CryptoPro.JCSP.MSCAPI.cl_5.setProvParam(Unknown Source)
	... 78 more

Если отформатировать карту и снова сменить пароль на по умолчанию, то при генерации ключа возникнет анологичная ошибка

Код:



Caused by: java.security.ProviderException: Error in key creation
	at ru.CryptoPro.JCSP.Key.GostKeyPairGenerator.throwEx(Unknown Source)
	at ru.CryptoPro.JCSP.Key.GostKeyPairGenerator.generateKeyPair(Unknown Source)
	at test.JcspHelper.generateKeyPairOnToken(JcspHelper.java:100)
	at test.JcspService.generateKeyPair(JcspService.java:90)
	... 65 more
Caused by: java.security.UnrecoverableKeyException: Wrong Password
	at ru.CryptoPro.JCSP.MSCAPI.cl_2.a(Unknown Source)
	at ru.CryptoPro.JCSP.Key.AbstractKeySpec.create(Unknown Source)
	... 68 more
Caused by: java.security.AccessControlException: ProvParam ERROR: 0x8010006b
	at ru.CryptoPro.JCSP.MSCAPI.cl_5.setPassword(Unknown Source)
	at ru.CryptoPro.JCSP.MSCAPI.cl_5.a(Unknown Source)
	at ru.CryptoPro.JCSP.MSCAPI.cl_5.createContainerWithSetPin(Unknown Source)
	... 70 more
Caused by: ru.CryptoPro.JCSP.MSCAPI.MSProvParamException: ProvParam ERROR: 0x8010006b
	at ru.CryptoPro.JCSP.MSCAPI.MSProvParamException.procCode(Unknown Source)
	at ru.CryptoPro.JCSP.MSCAPI.cl_5.setProvParam(Unknown Source)
	... 73 more

Вопрос: как убрать это странное кэширование паролей в “cprocsp”, мне кажется, что проблема примерно та же и связана с каким-то кэшированием чего-то в недрах криптоПро CSP?

Отредактировано пользователем 12 января 2022 г. 20:59:32(UTC)
| Причина: Не указана


Offline

biff

Оставлено
:

15 апреля 2022 г. 16:22:08(UTC)

Мне лично помогло следущее:

  1. При старте удаляем провайдер JCP через Security.removeProvider (т.к. он идет вместе с JCSP и регистрируется)
  2. Всегда создаем новый экземпляр JCSP перед поиском KeyStore, т.к. иначе он не видит usb токены или не может обновлять их список динамически

Документации никакой нет, поэтому не в курсе, на сколько такие действия правильные, по крайней мере, так оно работает.

Настройка проверки формата сертификатов

Сервис Проверки Подписи «КриптоПро SVS» позволяет настроить дополнительную проверку
соответствия полей сертификата установленной форме.

Проверка происходит на основании структуры полей, представленных в следующих правилах.

  • Версия (version). Версия сертификата должна быть не ниже 3.
  • Серийный номер (serial number). Проверяется наличие номера и отсутствие в нем недопустимых символов.
  • Алгоритм подписи (signature). В поле algorithm, входящем в состав поля signature, должен содержаться идентификатор используемого алгоритма подписи:
    • ГОСТ Р 34.10–2012 с ключом длиной 256 бит: “1.2.643.7.1.1.3.2”, szOID_CP_GOST_R3411_12_256_R3410
    • ГОСТ Р 34.10–2012 с ключом длиной 512 бит: “1.2.643.7.1.1.3.3”, szOID_CP_GOST_R3411_12_512_R3410
    • (для архивного хранения и проверки подписи) ГОСТ Р 34.10-2001: “1.2.643.2.2.3”, szOID_CP_GOST_R3411_R3410EL
  • Имя издателя (issuer) — проверяется только наличие его в сертификате.
  • Дата и время начала действия сертификата (notBefore).
  • Дата и время окончания действия сертификата (notAfter).
  • Имя владельца сертификата (subject).
    Возможна проверка следующих компонентов имени владельца сертификата (компоненты имени проверяются на допустимые символы, длину, если такие требования имеются):
    • ФИО или наименование владельца (и другие сведения, если требуется) (commonName, title, surname, givenName)
    • Местонахождение (countryName, stateOrProvinceName, localityName, streetAddress)
    • СНИЛС (SNILS)
    • ОГРН (OGRN)
    • ОГРНИП (OGRNIP)
    • ИНН (INN)
    • ИНН юридического лица (ЮЛ) (INNLE)
    • совпадение общего имени и наименования организации (CN=O)
    • тип идентификации заявителя (identificationKind)
  • Открытый ключ (subjectPublicKeyInfo). Проверяется только наличие его в сертификате.
  • Дополнения (расширения) сертификата (Extensions). Проверяется только наличие следующих расширений в сертификате.
    • Authority Key Identifier, OID.2.5.29.35, идентификатор ключа УЦ.
    • Key Usage, OID.2.5.29.15, область использования ключа.
    • Certificate Policies, OID.2.5.29.32, политики сертификата. Для данного расширения проверяется содержимое в соответствии с требованиями, указанными в Приказе ФСБ РФ от 27 декабря 2011 г. N 795.
    • Subject Sign Tool, OID.1.2.643.100.111, сведения о средстве ЭП владельца сертификата.
    • Issuer Sign Tool, OID.1.2.643.100.112, сведения о средствах ЭП УЦ и средствах УЦ.
    • ExtendedKeyUsage, OID.2.5.29.37, расширенное использование ключа. Состав дополнения (расширения) зависит от информационной системы, в которой используется сертификат.
    • CDP, OID.2.5.29.31, точки распространения списков сертификатов, досрочно прекративших действие (CRL).
    • IdentificationKind, OID.1.2.643.100.114, идентификация заявителя.

Проверка сертификата выполняется при помощи специального плагина. Для активации проверки
сертификатов необходимо зарегистрировать плагин с помощью Windows PowerShell. После
установки КриптоПро SVS плагин находится в директории &lt;Путь установки&gt;\cprodss\Plugins\certverifiers\
и называется SVS.CertificateVerifier.Qualified.dll.

Для регистрации и настройки плагина проверки формата сертификатов используются командлеты
Add-VsCertificateVerifierPlugin, Get-VsCertificateVerifierPlugin,
Remove-VsCertificateVerifierPlugin.

Для настройки проверки того, что сертификаты выданы определенным УЦ, необходимо выполнение следующих действий:

  • зарегистрировать отпечатки корневых сертификатов в КриптоПро SVS. Работа с отпечатками производится при помощи командлетов
    Add-VsQualifiedCAThumbprints, Get-VsQualifiedCAThumbprints
    и Remove-VsQualifiedCAThumbprints. Если отпечатки не заданы, данная проверка сертификатов проводиться не будет.

  • установить корневые сертификаты УЦ в выделенное хранилище КриптоПро SVS. Хранилище создается автоматически при установке
    КриптоПро SVS и имеет название вида &lt;Имя веб-приложения SVS&gt;-TSL.

Пример настройки плагина

# Регистрация плагина и настройка пути к файлу TSL
Add-VsCertificateVerifierPlugin -Assembly SVS.CertificateVerifier.Qualified.dll -PluginDescription "Проверка сертификата на соответствие установленной форме" -Parameters @{'TSLPath'='C:\TSL.xml'}

# Добавление отпечатков корневых сертификатов Минцифры РФ
Add-VsQualifiedCAThumbprints -Thumbprint 4bc6dc14d97010c41a26e058ad851f81c842415a
Add-VsQualifiedCAThumbprints -Thumbprint aff05c9e2464941e7ec2ab15c91539360b79aa9d
Add-VsQualifiedCAThumbprints -Thumbprint 2f0cb09be3550ef17ec4f29c90abd18bfcaad63a

Если плагин зарегистрирован и настроен, в веб-интерфейсе КриптоПро SVS при проверке
сертификата будет выводиться дополнительная информация о соответствии его заданным правилам.
При проверке ЭП также будет осуществляться проверка данного сертификата.

Дополнительные параметры плагина:

  • LocationCheck – требовать обязательного наличия компонентов местонахождения. Возможные значения: true, false. Значение по умолчанию false;
  • OrganizationNameStrictCheck – требовать совпадения значений компонентов имени CN и O в сертификате. Возможные значения: true, false. Значение по умолчанию false;
  • INNforLECheckMode – режим проверки ИНН ЮЛ. Возможные значения: Any, Soft, Strict. Значение по умолчанию Soft.
    • Any – требуется присутствие INN и/или INNLE;
    • Soft – требуется присутствие INNLE; присутствие INN докускается;
    • Strict – требуется присутствие только INNLE.
  • TSLPath – полный путь к файлу TSL.

Для проверки УЦ на принадлежность к заданному списку УЦ необходимо указать путь к файлу со списком
УЦ Tsl.xml в параметре TSLPath.

Загрузка файла Tsl.xml возможна следующими способами:

DSS.TslTool.exe --skipcrl --skipcerts --skiproot

Файл TSL будет загружен в папку tmp в каталоге утилиты Dss.TslTool.exe.

  • при помощи команды wget в консоли Powershell
wget https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ca/getxml -OutFile E:\tmp\tsl.xml

SVS автоматически отслеживает изменения файла TSL, путь к которому указан в параметре TSLPath.
Скопировать актуальный файл TSL можно с помощью Powershell-скрипта, приведенного ниже.
Данный скрипт возможно добавить в планировщик задач и выполнять раз в сутки (или чаще).

Пример скрипта копирования TSL:

$ErrorActionPreference = "Stop"

# Полный путь к загруженному файлу TSL
$sourceFile = "E:\tmp\tsl_source\tsl.xml"

# Полный путь к файлу TSL, используемому SVS
$destinationFile = "E:\tmp\tsl_target\tsl.xml"

# Загрузка файла TSL
wget https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ca/getxml -OutFile $sourceFile

if (!(Test-Path $sourceFile -PathType Leaf)) {
    # Загруженный файл TSL отсутствует
    Write-Host "Файл TSL отсутствует! " $sourceFile
    exit 2;
}

$targetFolder1 = Split-Path $destinationFile -Parent
if (!(Test-Path $targetFolder1 -PathType Container)) {
    # Не существует каталог, в который требуется скопировать файл TSL
    Write-Host "Каталог не существует! " $targetFolder1
    exit 2;
}

if (!(Test-Path $destinationFile -PathType Leaf)) {

 Write-Host "Копирование нового файла TSL..."

 # Целевой файл TSL отсутствует
 # Просто копируем файл TSL
 Copy-Item $sourceFile -Destination $destinationFile

} else {
 # Целевой файл TSL присутствует
 # Копируем файл TSL при помощи временного файла

 Write-Host "Замена существующего файла TSL... "

 $targetFolder = Split-Path $destinationFile -Parent
 $tmpTslPath = Join-Path -Path $targetFolder -ChildPath "temp_tsl.xml"

 if (Test-Path $tmpTslPath -PathType Leaf) {
    # Если временный файл существует, удалим его
    Remove-Item $tmpTslPath -Force
 }

 # Копируем TSL во временный файл
 Copy-Item $sourceFile -Destination $tmpTslPath

 # Перемещаем TSL в целевой файл
 Move-Item $tmpTslPath -Destination $destinationFile -Force
}

Настройка выполнения проверки полей сертификата по умолчанию

Проверка соответствия полей сертификата установленной форме при помощи описанного в данном разделе плагина
может применяться по умолчанию как в веб-интерфейсе SVS, так и при обращении к SVS с использованием REST API.
Для этого в настройках плагина необходимо указать флаг CheckByDefaultRequired.

Set-VsCertificateVerifierPlugin -ID 1 -CheckByDefaultRequired 1

В зависимости от интерфейса SVS данная настройка будет применена следующим образом:

  • в веб-интерфейсе SVS – напротив пункта “Проверка сертификата на соответствие установленной форме” (или иной формулировке, если это было указано при настройке плагина) в разделе “Дополнительные проверки” по умолчанию будет активирован чекбокс. Пользователь может самостоятельно отключить проверку, деактивировав данный чекбокс перед отправкой сертификата на проверку.
  • при использовании REST API SVS – параметр зависит от переданного в запросе списка CertVerifiersPluginsIds:
    • если список передан – проверка не учитывается, будут применены плагины, указанные в списке;
    • если список передан со значением NULL – проверка не учитывается, никакие дополнительные проверки к сертификату применяться не будут;
    • если список НЕ передан (отсутствует в запросе) – проверка учитывается, сертификат будет проверен в соответствии с настройками плагина, описанного в данном разделе.

Для прикладных систем, взаимодействующих с КриптоПро SVS через REST API, но не умеющих обрабатывать результаты дополнительных
проверок сертификатов (параметр CertificateVerificationResult),
можно включить неуспешный результат проверки в основное сообщение об ошибке (параметр Message).
Данное поведение можно настроить при помощи следующей команды.

Set-VsProperties -IncludeCertPluginErrorInfoInMainError 1
Restart-VsInstance

Пошаговая инструкция установки ЭЦП в КриптоПро

  1. Откройте программу КриптоПро CSP.
  2. Во вкладке Сервис нажмите кнопку Просмотреть сертификат в контейнере.
  3.             Просмотреть сертификат в контейнере.1

  4. Теперь нажмите Обзор .
  5. Обзор

  6. КриптоПро выдаст вам окно с предложением выбрать контейнер. Там же будет отображаться доступный считыватель.
  7. доступный считыватель.3

    А если закрытый ключ содержится в виде файлов?

    Закрытый ключ может быть в виде шести файлов: header.key, masks.key, masks2.key, name.key, primary.key, primary2.key

    И если эти файлы находятся в корневой папке (то есть, записаны непосредственно на жёсткий диск), то КриптоПро CSP их не «увидит». Соответственно, все действия нужно производить только после того, как каждый файл перенесён на флешку. Причём находиться он должен в папке первого уровня.

    После выбора контейнера откроется окно Сертификаты в контейнере закрытого ключа. С помощью кнопки Установить начните установку сертификата.

        Сертификаты в контейнере закрытого ключа

  8. Если установка прошла успешно, перед вами появится окно о завершении операции. Закройте его, нажав ОК.
  9.     завершении операции.

Если автоматическая установка сертификата не удалась, может потребоваться ручная установка. О том, как её осуществить, читайте нашей пошаговой инструкции.

Технические требования для КриптоПро CSP

Перед установкой КриптоПро убедитесь, что ваш компьютер отвечает минимальным техническим требованиям:

  • Процессор – Intel Core 2 Duo или другой схожий по производительности x86-совместимый процессор с количеством ядер 2 и более.
  • Объем оперативной памяти – не менее 1 Гб.
  • Свободное место на жестком диске – не менее 100 Мб.
  • Операционная система Windows – Windows Server 2003 (32-разрядная), Windows Vista (32/64-разрядная), Windows 7 (32/64-разрядная), Windows Server 2008 (32/64-разрядная), Windows Server 2008 R2 (64-разрядная), Windows 8 (32/64-разрядная), Windows Server 2012 (64-разрядная), Windows 8.1 (32/64-разрядная), Windows Server 2012 R2 (64-разрядная), Windows 10 (32/64-разрядная), Windows Server 2016 (64-разрядная).

    При использовании более ранних версий Windows, чем Windows 8, на компьютере должен быть установлен накопительный пакет обновления часовых поясов KB2570791.

    Для операционной системы должен быть установлен последний пакет обновлений.

  • Internet Explorer – версия 8.0 или выше.

Как настроить рабочее место

После установки сертификата квалифицированной ЭЦП на персональном компьютере, потребуется настройка рабочего места. Необходимо проверить установку и работоспособность:

  • криптопровайдера;
  • физического носителя;
  • браузера;
  • Астрал плагина;
  • плагина Astral Toolbox;
  • ЭЦП на любом портале для программного продукта Астрал-ЭТ.

Проверка криптопровайдера

Чтобы проверить установку КриптоПро CSP на компьютере, необходимо зайти в «Панель управления» → «Установка и удаление программ», в других случаях «Программы и компоненты» → при одном нажатии правой кнопкой мыши на иконку программы, можно увидеть версию продукта.

Проверка ЭЦП

Необходимо убедиться, что срок действия подписи не истёк.
Рассмотрим один из способов:
Открываем криптопровайдер КриптоПро CSP → вкладка «Сервис» → «Просмотреть сертификаты в контейнере» → раздел «Обзор» → выбираем ЭЦП, которую хотим проверить и нажимаем «Ок» → после нажатия «Далее» появится окно с информацией о сертификате подписи.
Если подпись используется с отчуждённого физического носителя, необходимо проверить устройство на внешние повреждения.

Настройка браузера

Для настройки работы браузера с ЭЦП, использующей КриптоПро, необходимо произвести установку плагина. Для каждого браузера потребуется определённое расширение. Разобраться поможет наша подробная инструкция.

Проверка плагинов

При возникновении проблем с Астрал Плагин требуется произвести его переустановку или произвести настройку межсетевого экрана или интернет-браузеров.
Если используются «Астрал Онлайн» или «Астрал.ОФД», плагины Astral Toolbox уже могут быть установлены. Версии данных плагинов не совместимы с продуктом «Астрал Отчёт 5.0». Обязательно требуется установка плагина не ниже версии 2.19.2.

Создание тестового сертификата

Введение

Для создания тестового сертификата есть два пути. Первый путь подразумевает использование КриптоПро ЭЦП Browser plug-in, второй же путь предназначен для того, чтобы без него обойтись.

Путь 1

  • Установить корневой сертификат КриптоПро вместе со списком отозванных сертификатов (ссылка). Краткую рекомендацию по установке можно видеть здесь (ссылка) в пункте “Установка сертификатов”.
  • Использовать Тестовый центр КриптоПро для генерации личного тестового сертификата. Ниже можно увидеть то, как должна выглядеть при этом тестовая страница (если нужно впоследствии копировать контейнер с сертификатом и закрытым ключом на носитель, надо использовать опцию “пометить ключ как экспортируемый”).

Test cert.png

Test cert 2.png

Test cert 3.png

Test cert 4.png

После проделанных действий сертификат автоматически установится и будет размещён в контейнере, расположенном на жёстком диске компьютера, с которого был сделан запрос. После этого его можно скопировать на требуемое устройство. Для копирования контейнера 1 в контейнер 2 можно использовать следующую команду:

/opt/cprocsp/bin/amd64/csptest -keycopy -contsrc '<путь к контейнеру 1>' -contdest '<путь к контейнеру 2>'

где пути к контейнерам и их названия можно узнать с помощью следующей команды:

/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fq

Путь 2

  • Установить корневой сертификат КриптоПро вместе со списком отозванных сертификатов (ссылка). Краткую рекомендацию по установке можно видеть здесь (ссылка) в пункте “Установка сертификатов”.
  • Создать запрос на сертификат средствами КриптоПро CSP 4.0:
/opt/cprocsp/bin/amd64/cryptcp -creatrqst -dn "список имён полей" -cont 'путь к контейнеру' <название_файла>.csr

подробнее о данной команде можно узнать в инструкции в пункте 2.7.

Test cert 56.png

  • Копировать содержимое получившегося файла сюда в строку “Сохранённый запрос” и нажать “Выдать >”.

Test cert 7.png

  • Сохранить получившийся сертификат и установить его.

Test cert 8.png

Test cert 9.png

Теперь приступаем к выпуску сертификата


Идем на страницу https://aleksandr-ru.github.io/RusCryptoJS/cryptopro.html#Выпуск_сертификата и вводим нужный нам DN (в формате JSON объекта), например:

{
"CN": "ОАО ТЕСТ",
"2.5.4.4": "Иванов",
"2.5.4.42": "Иван",
"2.5.4.12": "Директор департамента",
"2.5.4.9": "ул. Ивановская 99",
"2.5.4.11": "Отдел маркетинга",
"O": "ОАО \"Тест\"",
"2.5.4.7": "г. Москва",
"2.5.4.8": "77 г. Москва",
"C": "RU",
"1.2.840.113549.1.9.1": "example@domain.ru",
"1.2.643.3.131.1.1": "2727020780",
"1.2.643.100.1": "1022700525363",
"1.2.643.100.3": "00000000052"
}

где в следующих OID должны быть корректные (проходящие по контрольной сумме) данные

1.2.643.3.131.1.1: ИНН
1.2.643.100.1: ОГРН
1.2.643.100.5: ОГРНИП
1.2.643.100.3: СНИЛС

Для КПП нет официального OID, но некоторые используют 1.2.643.100.4. Другие ГОСТ-овые OID можно посмотреть, например, по ссылке или в документе ФОРМАТ СЕРТИФИКАТА.pdf

Далее жмем Создать запрос на сертификат, соглашаемся со всем и следуем инструкциям от CSP. В результате мы получаем запрос на сертификат (CSR) закодированный в base-64, копируем его в буфер обмена.

Переходим на сайт тестового УЦ КриптоПро по ссылке https://www.cryptopro.ru/certsrv/certrqxt.asp, вставляем скопированный CSR в поле и жмем Выдать.

На следующей странице обязательно выбираем Base64-шифрование и жмем на ссылку Загрузить сертификат.

Открываем полученный файл в любом редакторе и удаляем —–BEGIN CERTIFICATE—– в начале и —–END CERTIFICATE—– в конце, так чтоб осталось только тело сертификата между ними, и копируем его в буфер обмена.

Возвращаемся на страничку RusCryptoJS, где был создан CSR и вставляем скопированный сертификат в поле Certificate и жмем Записать сертификат. Параллельно можно поглядывать в консоль браузера, если интересно)

Дожидаемся сообщения об успехе, сертификат записан. Теперь сертификат со ссылкой на приватный ключ появится в выводе команды

/opt/cprocsp/bin/amd64/certmgr -list -store uMy

Полученным сертификатом можно полноценно пользоваться в тестовых целях, включая электронную подпись.

Удалённая настройка рабочего места

Если вы не смогли настроить необходимые программы рабочего стола самостоятельно, у нас существует возможность заказать данную услугу. Наши специалисты произведут качественную настройку рабочего места для работы с ЭЦП удалённо: сэкономят время, установят соответствующее расширение для браузера, произведут настройку плагинов, соблюдая нюансы по их установке.

На этом всё! Всем, кто решил обезопасить себя и свой бизнес, используя электронную подпись взамен обычной, желаем успехов в установке!

Читайте также:  Электронная подпись для работы с порталом
Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector