- Документация
- Значение «без личного присутствия с использованием квалифицированной эп»
- Значение «без личного присутствия с использованием персональных данных, записанных на электронный носитель из заграничного паспорта»
- Значение «без личного присутствия с использованием сведений из есиа и ебс»
- Значение «при личном присутствии»
- Настройка сервиса подписи
- Пример запроса на создание неподписанного запроса на сертификат
- Пример получения списка запросов на сертификат
- Пример получения списка сертификатов
- Примечание
- Управление сертификатами пользователя
- Формирование запроса на сертификат
Документация
Сертификат электронной подписи — это электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи (63-ФЗ “Об электронной подписи”).
Чтобы получить сертификат подписи из Удостоверяющего центра (УЦ), нужно создать запрос на сертификат в КриптоАРМ ГОСТ и отправить его в Удостоверяющий центр. Запрос можно отправить самостоятельно или автоматически, в КриптоАРМ ГОСТ, если Удостоверяющий центр использует ПАК “КриптоПро УЦ 2.0”.
Чтобы создать запрос на сертификат и отправить его самостоятельно:
Откройте вкладку “Сертификаты” и нажмите “ ”.
В появившемся меню нажмите “Создать запрос”.
На вкладке “Сведения о владельце сертификата” введите личные данные.
Нажмите “Готово”. Выберите носитель для создания контейнера с запросом на сертификат.
Установите пароль для контейнера с запросом на сертификат и нажмите “ОК”.
Созданный запрос появится во вкладке “Сертификаты” — “Запросы”.
Чтобы экспортировать запрос, выделите его и в нижнем правом угле нажмите кнопку “Экспортировать”.
В окне “Экспорт сертификата” укажите необходимые настройки и нажмите “Экспорт”.
Укажите путь экспорта файла запроса.
Файл запроса появится в указанной директории с названием “export.cer” по умолчанию. Направьте его в Удостоверяющий центр.
Чтобы создать и отправить запрос на сертификат автоматически через сервис УЦ:
В Вашем Удостоверяющем центре узнайте URL, по которому необходимо сформировать запрос.
Откройте вкладку “Сертификаты” и нажмите “ ”.
В появившемся меню нажмите “Получить сертификат через сервис УЦ”.
Выберите пункт “Добавление нового сервиса” и нажмите “Готово”.
Откроется окно ввода параметров подключения с автоматическим выбором функции “Регистрация нового пользователя”. Если пользователь ещё не зарегистрирован в УЦ, введите данные для регистрации и нажмите кнопку “Подключить”.
Если пользователь уже зарегистрирован в УЦ, отключите функцию “Регистрация нового пользователя”, введите URL сервера и нажмите “Подключить”.
Введите данные для авторизации и нажмите “Подключить”.
Удостоверяющий центр должен появиться в списке в разделе “Сертификаты” в списке “Получить сертификат через сервис УЦ”. Теперь можно создать запрос на сертификат.
Откройте вкладку “Сертификаты” в КриптоАРМ ГОСТ и нажмите “ ”.
В появившемся меню нажмите “Получить сертификат через сервис УЦ”.
Выделите нужный удостоверяющий центр в списке, выберите тип владельца сертификата и нажмите “Готово”.
В новом окне “Создать запрос” заполните сведения о владельце так же, как при добавлении УЦ.
Заполните параметры ключа. Нажмите “Готово”.
Выберите ключевой носитель для хранения контейнера сертификата.
Установите пароль для контейнера сертификата.
Возникнет окно с информацией о результатах операции.
Запрос появится на вкладке “Запросы” в разделе меню “Сертификаты”. Запросы можно экспортировать, удалить или показать в каталоге, выбрав соответствующие кнопки в правой нижней области окна.
Для запроса сертификата будут отображаться различные статусы:
Сертификат подтверждён: выпущен для данного запроса и установлен в Хранилище КриптоПро;
Запрос сертификата отклонен удостоверяющим центром;
Запрос находится в обработке;
Проблемы с соединением, не позволяющим отобразить статус запроса.
Значение «без личного присутствия с использованием квалифицированной эп»
Для добавления данного расширения необходимо внутрь ExtensionsData поместить представленный ниже JSON-объект CertExtensionData:
{
"OID":"1.2.643.100.114",
"Critical":false,
"Value":"AgEB"
}
Значение «без личного присутствия с использованием персональных данных, записанных на электронный носитель из заграничного паспорта»
Для добавления данного расширения необходимо внутрь ExtensionsData поместить представленный ниже JSON-объект CertExtensionData:
{
"OID":"1.2.643.100.114",
"Critical":false,
"Value":"AgEC"
}
Значение «без личного присутствия с использованием сведений из есиа и ебс»
Для добавления данного расширения необходимо внутрь ExtensionsData поместить представленный ниже JSON-объект CertExtensionData:
{
"OID":"1.2.643.100.114",
"Critical":false,
"Value":"AgED"
}
Значение «при личном присутствии»
Для добавления данного расширения необходимо внутрь ExtensionsData поместить представленный ниже JSON-объект CertExtensionData:
{
"OID":"1.2.643.100.114",
"Critical":false,
"Value":"AgEA"
}
Настройка сервиса подписи
Для поддержки сертификатов и ключей, хранимых в мобильном приложении, в Веб-интерфейсе DSS необходимо:
- Добавить криптопровайдер типа
Lite
Add-DssCryptoProvider -ProviderName "Crypto-Pro GOST R 34.10-2022 Cryptographic Service Provider" -ProviderType 80 -TypeId Lite
- Задать режим подписи Сервиса Подписи: подпись хэш-значения, подпись документа.
Set-DssProperties -ClientSignFullDocRequired $true
Примечание
Параметр ClientSignFullDocRequired определяет тип данных, которые будут
передаваться в МП для подписи.
Если ClientSignFullDocRequired = $false, в МП передаётся только хэш-значение документа.
В данном режиме поддерживаются все форматы подписи.
Если ClientSignFullDocRequired = $true, в МП передаётся документ.
В данном режиме поддерживаются следующие форматы подписи: CMS (CAdES-BES, CAdES-T, CAdES-XLT1), XMLDSig, Необработанная подпись.
- Дополнительно можно настроить отправку Callback о событии подписи запроса на сертификат в МП.
Данная возможность может быть полезна для автоматизации процесса выпуска сертификата.
Прикладная система через callback может быть оповещена о том, что пользователь подписал запрос на сертификат,
и запрос на сертификат может быть передан в УЦ для обработки.
Регистрация callback приведена в статье Оповещения о событиях инициализации мобильного приложения.
Пример запроса на создание неподписанного запроса на сертификат
Запрос
Пример получения списка запросов на сертификат
Запрос
Пример получения списка сертификатов
Запрос
Примечание
Параметр ClientSignFullDocRequired определяет тип данных, которые будут
передаваться в МП для подписи.
Если ClientSignFullDocRequired = $false, в МП передаётся только хэш-значение документа.
В данном режиме поддерживаются все форматы подписи.
Если ClientSignFullDocRequired = $true, в МП передаётся документ.
В данном режиме поддерживаются следующие форматы подписи: CMS (CAdES-BES, CAdES-T, CAdES-XLT1), XMLDSig, Необработанная подпись.
Управление сертификатами пользователя
С точки зрения API DSS управление сертификатами и запросами на сертификат не изменяется.
Получение списка сертификатов и запросов, удаление сертификатов и запросов, аннулирование сертификатов, загрузка содержимого сертификата
и запроса на сертификат осуществляется через действующие конечные точки – /certificates-v2, /request-v2.
Прикладная система может различить запросы на сертификат по типу хранения ключ (на сервере DSS или у пользователя) по значению поля CertificateType объекта
DSSCertRequest: ServerSide, ClientSide. Так же Прикладная система может может проверить значение поля Storage: Mobile, Server.
Прикладная система может различить сертификат по типу хранения ключ (на сервере DSS или у пользователя) по значению поля CertificateType объекта
DSSCertificateEx: ServerSide, ClientSide. Так же Прикладная система может может проверить значение поля Storage: Mobile, Server.
Если к Учетной записи пользователя привязано несколько различных мобильных приложений, то прикладной системе необходимо определить для какого приложения можно создать
операцию с данным сертификатом. Для этого прикладная система должна посмотреть на значение поля StorageInfo в объекте сертификата DSSCertificateEx.
В данном поле хранится список размещений ключа пользователя. Из данного списка Прикладная система может получить идентификаторы прикладных систем для которых можно создать
операцию с данным сертификатом.
Полученный идентификатор (-ы) необходимо использовать только в случае, если при создании операции подписи потребуется выбор прикладной системы.
Формирование запроса на сертификат
До формирования запроса на сертификат выполните следующие действия:
1. Оформите заказ на электронную подпись (ЭП) на сайте Программного центра.
2. Заполните заявлениена получение подписи (далее Заявление).
Для создания Заявления откройте список заказов, выберите нужный заказ на получение ЭП и нажмите на ссылку «Заполнить заявление на получение подписи». Заполните форму заявления и нажмите кнопку «Сохранить».
Внимание! Дата отправки заявления на проверку в УЦ должна совпадать с датой подписания заявления и доверенности. Срок действия доверенности не менее года.
Примечание: если будут обнаружены ошибки, откроется протокол ошибок и предупреждений. Ошибки необходимо устранить. Предупреждения можно игнорировать.
Нажмите кнопку «Редактировать заявление», исправьте ошибки, затем нажмите кнопку «Сохранить». Заявление будет проверено.
