КАК ДОБАВИТЬ СЕРТИФИКАТ В КРИПТОАРМ

Импорт (установка) сертификата

Импорт сертификатов может понадобиться для выполнения следующих задач:

Первичная установка в хранилище личного сертификата ГОСТ может выполняться как средствами криптопровайдера «КриптоПро CSP», так и средствами программы «КриптоАРМ».

Установка личного сертификата средствами «КриптоПро CSP» осуществляется непосредственно в окне криптопровайдера «КриптоПро CSP», закладка «Сервис».

Установка личного сертификата средствами программы «КриптоАРМ»

Чтобы установить сертификат с помощью «КриптоАРМ», выполните следующие шаги:

Часто к нам обращаются с вопросом, как установить сертификат через КриптоПpo CSP. Ситуации бывают разные: сменился директор или главбух, получили новый сертификат в удостоверяющем центре и т.п. Раньше все работало, а теперь нет. Рассказываем, что нужно делать, чтобы установить личный цифровой сертификат на компьютер.

Вы можете установить личный сертификат двумя способами:

1. Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»

2. Через меню КриптоПро CSP «Установить личный сертификат»

Если на рабочем месте используется операционная система Windows 7 без SP1, то устанавливать сертификат следует по рекомендациям варианта № 2.

Вариант № 1. Устанавливаем через меню «Просмотреть сертификаты в контейнере»

Чтобы установить сертификат:

2. В открывшемся окне нажмите на кнопку “Обзор”. Выберите контейнер и подтвердите свой выбор кнопкой ОК.

3. В следующем окне нажмите “Далее”.

Если появится сообщение “В контейнере закрытого ключа отсутствует открытый ключ шифрования”, перейдите к установке цифрового сертификата по варианту № 2.

4. Если на вашем компьютере установлена версия “КриптоПро CSP” 3.6 R2 (версия продукта 3.6.6497) или выше, то в открывшемся окне нажмите на кнопку “Установить”. После этого согласитесь с предложением заменить сертификат.

Если кнопка “Установить” отсутствует, в окне “Сертификат для просмотра” нажмите кнопку “Свойства”.

6. В окне “Мастер импорта сертификатов” выберите “Далее”.

7. Если у вас уставлена версия “КриптоПро CSP” 3.6, то в следующем окне достаточно оставить переключатель на пункте “Автоматически выбрать хранилище на основе типа сертификата” и нажать “Далее”. Сертификат будет автоматически установлен в хранилище “Личные”.

8. В следующем окне нажмите “Далее”, затем “Готово” и дождитесь сообщения об успешной установке сертификата: “Импорт успешно выполнен”.

Вариант 2. Устанавливаем через меню «Установить личный сертификат»

Для установки вам понадобится, собственно, сам файл сертификата (с расширением .cer). Он может находиться, например, на дискете, на токене или на жестком диске компьютера.

2. В окне “Мастер установки личного сертификата” нажмите на кнопку “Далее”. В следующем окне, чтобы выбрать файл сертификата, нажмите “Обзор”.

3. Укажите путь к сертификату и нажмите на кнопку “Открыть”, затем “Далее”.

4. В следующем окне вы можете просмотреть информацию о сертификате. Нажмите “Далее”.

5. На следующем шаге введите или укажите контейнер закрытого ключа, который соответствует выбранному сертификату. Для этого воспользуйтесь кнопкой “Обзор”.

6.  Выбрав контейнер, нажмите “Далее”.

7. Дальше вам необходимо выбрать хранилище, куда будет установлен сертификат. Для этого в окне “Выбор хранилища сертификатов” нажмите на кнопку “Обзор”.

Если у вас установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, поставьте флаг “Установить сертификат в контейнер”.

8. Выберите хранилище “Личные” и нажмите ОК.

9. Хранилище вы выбрали. Теперь нажмите “Далее”, затем — “Готово”. После этого может появиться сообщение:

В этом случае нажмите “Да”.

10.  Дождитесь сообщения об успешной установке личного сертификата на компьютер.

Все, можно подписывать документы, используя новый сертификат.

Установка доверенных корневых, промежуточных сертификатов и списка отзыва сертификата

Для работы с сертификатами нужно установить сертификат удостоверяющего центра (обычно
файл с расширением .cer или .p7b), при необходимости, цепочку сертификатов (обычно файл с
расширением .cer или .p7b), а также список отозванных сертификатов (обычно файл с расширением .crl).

Чаще всего расширение .cer соответствует сертификату, а .p7b — контейнеру, в котором может содержаться один или больше сертификатов (например, их цепочка).

Для получения корневых и промежуточных сертификатов нужно обратиться в удостоверяющий центр.

Установить сертификаты можно через программный интерфейс приложения КриптоАРМ ГОСТ
или с помощью команд программы КриптоПРО CSP.

Установка сертификата через КриптоАРМ ГОСТ:

Для выполнения импорта нового сертификата в хранилище выполняется кнопкой добавления сертификата («+»). В открывшемся окне нужно выбрать операцию Импорт из файла

В появившемся диалоговом окне нужно выбрать файл сертификата. Это может быть файл формата pfx, содержащий ключевую пару (закрытый ключ и сертификат), или обычный  сертификат, у которого есть закрытый ключ.

При успешном выполнении операции импорта сертификат автоматически помещается в личные сертификаты.

Если при импорте не будет найден закрытый ключ, соответствующий сертификату, то возникнет сообщение с предложением установить данный сертификат в подходящее хранилище или принудительно в выбранное. Если сертификат без закрытого ключа будет установлен в личное хранилище, то данным сертификатом нельзя будет подписывать и расшифровывать файлы.

Для выполнения импорта нового сертификата в хранилище выполняется кнопкой добавления сертификата («+»)и выбора опции Импорт из файла

В появившемся диалоговом окне нужно выбрать файл сертификата.
При успешном выполнении операции импорта сертификат автоматически помещается в выбранное хранилище.

Если при импорте приложение определило, что для данного сертификата лучше подойдет другое хранилище, то возникнет сообщение с предложением установить сертификат в подходящее хранилище или принудительно в выбранное.

Установка корневого, промежуточных и списка отозванных сертификатов с помощью программы КриптоПРО CSP и OS X осуществляется командами

Установка корневого сертификата удостоверяющего центра

Установка списка отозванных сертификатов

После импорта сертификата или списка отзыва перезапустите программу нажав кнопку Выход.

Списки отзыва сертификатов (СОС)

Для работы со списками отзыва сертификатов в пункт меню сертификаты добавлен подпункт Списки отзыва сертификатов.

Списки отзыва можно импортировать, экспортировать и удалять.

Для импорта списка отзыва надо нажать кнопку добавления («+») и выбрать опцию Импорт из файла. В открывшемся окне выбрать файл списка отзыва.

При успешном импорте СОС отображается в разделе Список отзыва сертификатов.

Для экспорта списка отзыва нужно нажать кнопку Экспортировать. Открывается форма выбора кодировки файла. При нажатии на Экспорт следует выбрать директорию для сохранения и задать имя файла СОС.

Для удаления СОС надо нажать кнопку Удалить и подтвердить удаление в соответствующем окне.

Если сертификат и закрытый ключ находятся на токене, то для работы с таким сертификатом его надо установить в локальное хранилище.

Это можно сделать через программный интерфейс приложения КриптоАРМ ГОСТ или с помощью команд программы КриптоПРО CSP.

Установка сертификата из ключевого контейнера в КриптоАРМ ГОСТ на Windows.

Для установки сертификата из ключевого контейнера нужно выбрать в меню Сертификаты подпункт Ключи. В левой области представления отображаются все подключенные хранилища контейнеров закрытых ключей. В правой области отображается информация о сертификате в выделенном контейнере.

В каждом из хранилищ отображаются контейнеры закрытых ключей. В случае отсутствия контейнеров в хранилище, оно может быть скрыто как пустое.

После выбора контейнера отображается информация о находящемся в нем сертификате.

По кнопке Установить сертификат происходит установка сертификата в Личное хранилище сертификатов. Данный сертификат становится доступен для выполнения операций подписи, шифрования и расшифрования.

Для удаления контейнера нужно нажать кнопку Удалить контейнер и подтвердить операцию.

Если установить флаг  Удалить связанный с контейнером сертификат, то вместе с контейнером сертификат удалится из хранилища личных сертификатов. Если флаг не установлен, сертификат останется в хранилище личных сертификатов без привязки к ключевому контейнеру. Таким сертификатом нельзя выполнять операции подписи и расшифрования.

В приложении реализован поиск контейнеров по символьному совпадению в названии контейнера.

Установка сертификата с помощью программы КриптоПРО CSP.

Установка с помощью программы КриптоПРО CSP отличается в операционных системах Windows, Linux и OS X.

Нужно подключить токен (например, Рутокен) и открыть программу КритоПро CSP. В появившемся диалоге перейти на вкладку Сервис и нажать на кнопку Просмотреть сертификаты в контейнере.

Далее нажать Обзор и выбрать контейнер.

После выбора контейнера нажать кнопку Далее.

В контейнере содержится сертификат, сведения о котором будут отображены на последнем шаге мастера. Этот сертификат можно установить в систему, нажав на кнопку Установить.

После успешной установки сертификата можно открыть приложение КриптоАРМ ГОСТ и перейти на вкладку Сертификаты. Установленный сертификат должен отображаться в списке Личные сертификаты.

Установка сертификата на Linux

Далее нужно ввести команду:

Затем потребуется ввести пароль администратора (пользователя root), после чего должно появиться сообщение вида:

Adding new reader:
Nick name: Aktiv Rutoken ECP
Succeeded, code:0x0

Для просмотра контейнеров на токене можно ввести команду

После завершения установки можно открыть программу КриптоАРМ ГОСТ и перейти на вкладку Сертификаты. Установленный сертификат должен отображаться в списке Личные сертификаты. Если сертификат отображается как действительный (зеленый индикатор), то с ним можно работать. Если сертификат отображается как недействительный (красный индикатор), то надо устанавливать корневой и промежуточные сертификаты. Для получения корневых и промежуточных сертификатов лучше обратиться в удостоверяющий центр.

Установка сертификата на OS X

/opt/cprocsp/bin/csptest -card -enum

В результате получаем имя устройства, например,

sudo /opt/cprocsp/sbin/cpconfig -hardware reader -add «имя_устройства», где в кавычках указывается имя устройства. Например, sudo /opt/cprocsp/sbin/cpconfig — hardware reader -add «Aktiv Rutoken ECP»

Далее требуется ввести пароль администратора (пользователя root). В результате должно быть выведено сообщение вида:

Adding new reader:
Nick name: Aktiv Rutoken ECP
Succeeded, code:0x0

Для просмотра контейнеров на токене ввести команду: /opt/cprocsp/bin/csptest -keys -verifyc -enu –fq -u

Ввести или вставить команду для копирования сертификата с токена

/opt/cprocsp/bin/certmgr -inst -cont ‘\. Aktiv Rutoken ECPуникальное_имя’

В терминале должна вывестись информация об установленном Вами сертификате.

После установки требуется открыть программу КриптоАРМ ГОСТ, перейти на вкладку Сертификаты. Установленный сертификат должен отображаться в списке Личные сертификаты. Если сертификат отображается как действительный (зеленый индикатор), то с ним можно работать. Если сертификат отображается как недействительный (красный индикатор), то надо устанавливать корневой и промежуточные сертификаты. Для получения корневых и промежуточных сертификатов лучше обратиться в удостоверяющий центр.

Чтобы воспользоваться этой инструкцией, вам потребуется:

Не смотря на то, что программа КриптоАРМ во многих отраслях уже стала стандартом для электронной подписи, у пользователей по-прежнему возникает множество вопросов по работе с ней. Мы решили рассказать о том, как начать работу в КриптоАРМ и одновременно осветить наиболее часто задаваемые вопросы, которые возникают почти у всех: как исправить ошибку построения пути сертификации и ошибку отсутствия полного доверия к сертификату.

Обычно эта ошибка выглядит так:

Давайте сначала разберемся, почему эта ошибка возникает.

Сообщение об ошибке построения пути сертификации говорит нам о том, что ваш компьютер не знает, может ли он доверять Удостоверяющему Центру (УЦ), который выдал вам сертификат, а соответственно — и самому вашему сертификату электронной подписи. Чтобы это исправить, нам нужно будет добавить этот УЦ в список доверенных на вашем компьютере.

Можно сделать следующий вывод: если вы железобетонно уверены, что ваш УЦ правильный, и что вашего сертификата нет в списке отзыва — то можно ничего не делать и ошибки не исправлять. Это действительно так!

Переводим КриптоАРМ в режим Эксперт

В КриптоАРМ почему-то в режиме Эксперт работать значительно проще, чем в режиме пользователя. Поэтому для начала перейдем в этот режим

Подключаем сертификат электронной подписи

Здесь я руководствуюсь тем, что вы уже озаботились безопасностью вашего сертификата, приобрели токен, и положили туда свой сертификат. Ну или по крайней мере положили на дискету или флешку (и храните их в сейфе). Если все же нет — смотрите шаг 2-1.

Подключаем отчуждаемый носитель

Выбираем криптопровайдер, как показано на скриншоте, а выбирая тип носителя, следует выбрать токен или дискету (флешка считается дискетой, не удивляйтесь).

Теперь выбираем контейнер. Контейнер, если упростить, это просто место где хранится сертификат на токене или флешке. В одном контейнере обычно лежит один сертификат, поэтому выбор контейнера сводится к выбору сертификата. Если у вас на носителе (флешке, токене, дискете) лежит несколько сертификатов — выберите именно тот, который вам нужен.

Если ваш контейнер хранится на токене (или в иных случаях), то нужно будет ввести пин-код. Для Рутокен стандартный пин-код 12345678, для eToken — 1234567890. Если вы все еще пользуетесь стандартным пин-кодом — стоит его сменить, ведь весь смысл использования токена заключается в защите сертификата пин-кодом.

Все, мы объяснили программе КриптоАРМ, где находится наш сертификат, но она ему не очень доверяет.

Подключаем сертификат, если он не на съемном носителе

Если ваш сертификат лежит где-то на вашем локальном диске, то хочу вас предупредить — это очень небезопасно. Согласно данным Лаборатории Касперского, Россия находится в первой пятерке стран с наивысшей вероятностью заражения вирусами, при этом каждый двадцатый компьютер, имеющий антивирусную защиту, все же заражен тем или иным вирусом. А это значит, что злоумышленники, которые управляют вирусами, могут легко и непринужденно украсть ваш сертификат электронной подписи.

Настоятельно рекомендую вам купить токен для хранения сертификата. Чем руководствоваться в выборе токена, мы описали в статье «Как выбрать токен».

Я попытался найти простой способ добавить сертификат в КриптоАРМ, если он лежит на локальном диске, но не нашел. Поэтому единственный быстрый способ добавить сертификат с локального диска в КриптоАРМ — это положить его на флешку (прямо в корень, без папок) и вернуться к Шагу 2.

Добавляем сертификат УЦ в список доверенных центров сертификации

Итак, сертификат мы добавили, но КриптоАРМ ему не доверяет, потому что сертификата Удостоверяющего Центра нет в списке доверенных. Сейчас нам будет нужно его добавить в такой список.

Для этого возвращаемся в основное окно КриптоАРМ, заходим Сертификаты — Личное хранилище сертификатов — Правой кнопкой мыши на ваш сертификат — Свойства

Переходим на вкладку «Статус Сертификата», выбираем сертификат удостоверяющего центра (из него «вытекает» ваш сертификат), и нажимаем Просмотреть, а затем нажимаем кнопку Установить сертификат.

Выбираем пункт «Поместить все сертификаты в следующее хранилище», нажимаем Обзор, а затем выбираем «Доверенные корневые центры сертификации», а затем подтверждаем установку сертификата.

Проверить сертификат по списку отзывов

Если все прошло успешно, и у вас есть подключение к Интернет, то проверить сертификат по списку отзывов очень просто. Для этого мы идем в Свойства сертификата, как это показано на Шаге 3, выбираем свой сертификат в списке, выбираем опцию меню «По CRL, полученному из УЦ»,а затем нажимаем Проверить.

Все, сертификат проверен. Чтобы убедиться, что все в порядке, зайдите в Личное Хранилище Сертификатов и обновите представление. Зеленая галочка на сертификате означает, что все в порядке

Вот и все!

КриптоАРМ можно приобрести у нас в интернет-магазине.

Если вы не хотите проводить эти процедуры самостоятельно, то у нас есть платная услуга «Удаленная установка»: вы можете приобрести ее как обычный товар.

Если инструкция показалась вам полезной — делитесь ей с другими людьми, кнопки для этого вы найдете прямо под статьей.