Настройка электронно-цифровой подписи для работы с государственными сайтами — finderX.pro

Настройка электронно-цифровой подписи для работы с государственными сайтами - finderX.pro ЭЦП

Установка корневых сертификатов

Основной набор корневых сертификатов представлен корневыми сертификатами нескольких организаций

Популярные браузеры могут считать данные сертификаты опасными, соглашаемся на сохранение всё равно. Сертификаты загружаются по прямым ссылкам с официального сайта казначейства.

1 Корневые сертификаты Федерального казначейства

Все основные корневые сертификаты можно найти на сайте федерального казначейства в разделе ГИС — Удостоверяющий центр — Корневые сертификаты.

Нужно установить все действующие на текущий момент сертификаты (на вкладках 2022, 2021, 2020 и 2022 годов, на момент публикации инструкции). Вот прямые ссылки на них:

3 Корневой сертификат Госуслуг

Необходим для открытия некоторых сайтов (например, ГАС Управление). Посмотреть информацию о данном сертификате, а так же заказать себе свой можно на сайте.

Установка личных сертификатов (своя ЭЦП)

Запустить КриптоПро, перейти на вкладку Сервис, нажать на кнопку Установить личный сертификат, выбрать файл сертификата, нажав кнопку Обзор (файл сертификата обычно находится на той же флэшке, на которой находится контейнер ЭЦП), нажать Далее (отобразятся сведения о сертификате), нажать Далее.

Отметить галочкой пункт Найти контейнер автоматически. В случае успеха, поле ниже заполнится, нажать Далее, обязательно отметить галочкой пункт Установить сертификат (цепочку сертификатов) в контейнер, так чтобы она приняла вид галочки, а не квадрата. Нажать Далее и Готово.

Установка и настройка браузера

Есть возможность работать с сайтами во встроенном в систему Windows браузере Intertnet Explorer (требуется последняя, 11 версия). Но у данного браузера есть определённые минусы включая то, что он больше не будет развиваться и поддерживаться, а соответственно и его поддержка государственными сайтами может быть прекращена в любой момент.

КриптоПро ЭЦП Browser plug-in (CADES)

Необходим для взаимодействия криптопровайдера с ЭЦП через сторонний (не Internet Explorer) браузер.

Оба компонента обязательны к установке:

1 Ошибка ERR_SSL_VERSION_OR_CHIPER_MISMATCH

Эта ошибка возникает при проблемах установки соединения по протоколу ГОСТ.

Решение: Обратить более пристальное внимание на пункты инструкции 1 и 4 и перезагрузить ПК

Если после этого не заработало, то может помочь:

2 Ошибка net::ERR_SSL_OBSOLETE_VERSION

Не является ошибкой. Некоторые сайты всё ещё используют устаревшую версию протокола шифрования TLS 1.0 или TLS 1.1. Яндекс.Браузер считает использование этих протоколов небезопасным и предупреждает об этом. Подробнее можно почитать тут.

Решение: Нажать на кнопку Открыть подробности и нажать на ссылку Перейти на сайт … (небезопасно)

3 Internet Explorer — Этот веб-сайт не защищён (Код ошибки: 0)

Эта ошибка возникает при отсутствующих корневых сертификатах безопасности, следовательно выполните рекомендации раздела 1. После этого перезагрузить ПК, либо: зайти в свойства браузера, вкладка Содержание, Кнопка Очистить SSL и перезапустить браузер.

5 Выберите другую организацию (при авторизации через ЕСИА)

Для сайтов, у которых авторизация производится через ЕСИА (единую систему идентификации и авторизации) при выборе сертификата могут наблюдаться разнообразные ошибки авторизации в основном связанные с неправильным выбором сертификата для входа (к примеру, сообщение на ЕИС Закупки Выберите другую организацию при входе по 223-ФЗ, раздел V). Почти всегда это связано с закешированными данными об авторизации на сайте Госуслуги.

Решение: авторизоваться на сайте Госуслуги, нажать Выйти в личном кабинете (чтобы деавторизоваться), перезапустить браузер, зайти на интересующий сайт и авторизоваться в штатном режиме на интересующем вас сайте.

Криптопро | tls с гост на nginx/apache

Решения nginx и Apache HTTP Server (далее — Apache) — два самых широко распространенных веб-сервера с открытым исходным кодом в мире. Каждый из них обладает собственными преимуществами, при этом одной из основных функциональных возможностей обоих серверов является построение защищенного с использованием протокола TLS соединения между клиентом и сервером с обеспечением целостности и конфиденциальности передаваемых данных, в том числе с применением российских криптографических алгоритмов ГОСТ.

Возможность использования TLS с ГОСТ обеспечивается с помощью вызова функций СКЗИ КриптоПро CSP (далее — СКЗИ):

Таким образом, СКЗИ можно эксплуатировать совместно с серверами nginx и Apache определенных версий для реализации TLS с ГОСТ без проведения исследований по оценке влияния указанных серверов на СКЗИ, что делает возможным использование данного решения для обеспечения криптографической защиты передаваемых между клиентом и сервером конфиденциальных данных (в том числе персональных данных) в соответствии с требованиями законодательства РФ по информационной безопасности. При эксплуатации иных версий nginx/Apache или СКЗИ проведение оценки влияния является обязательным во всех случаях, предусмотренных законодательством. Подробнее о работе TLS с ГОСТ можно ознакомиться в нашей статье.

Процесс установки и настройки совместной работы СКЗИ с веб-серверами nginx описан в Руководстве администратора безопасности к соответствующей версии СКЗИ. Необходимые компоненты для работы решения можно скачать в составе СКЗИ. Программное обеспечение nginx и Apache не входит в комплект поставки СКЗИ. Исходные тексты nginx необходимо скачать с официального сайта с последующей проверкой контрольной суммы, а дистрибутив Apache обычно входит в состав ОС.

По сравнению со штатным использованием серверов nginx и Apache, при реализации TLS с ГОСТ на nginx или Apache в качестве криптографического ядра вместо OpenSSL используется СКЗИ КриптоПро CSP и поэтому функциональность решения имеет некоторые особенности:

Для реализации TLS с ГОСТ на nginx или Apache необходимо приобрести годовую или бессрочную клиентскую лицензию (обязательно при реализации двухстороннего TLS с ГОСТ), специальную бессрочную серверную лицензию с поддержкой TLS и при необходимости сертификаты технической поддержки на указанные лицензии. С полным перечнем необходимых для реализации решения лицензий и сертификатов технической поддержки можно ознакомиться на нашем сайте.

В настоящее время в состав СКЗИ КриптоПро CSP версий 5.0 R2 KC1 (исполнение 1-Base) и 5.0 R2 КС2 (исполнение 2-Base) входят следующие версии компонентов решения для ОС семейства Linux:

Отдельно стоит отметить возможность реализации TLS с ГОСТ на веб-сервере Apache Tomcat, используемом для исполнения веб-приложений, написанных на Java. Для решения данной задачи можно использовать криптопровайдер КриптоПро JCP, реализующий SSL и TLS протоколы на базе российских криптографических алгоритмов ГОСТ. При этом, в случае использования КриптоПро JCP 2.0 R4, проведение оценки влияния Apache Tomcat на СКЗИ не потребуется.

В качестве альтернативы предлагаем также рассмотреть более функциональное и производительное решение — TLS-шлюз и VPN КриптоПро NGate, сертифицированный ФСБ России и позволяющий одновременно реализовать TLS с ГОСТ для большого количества веб-серверов, также без необходимости проведения оценки влияния среды функционирования.

Установка корневых сертификатов

Правой кнопкой мыши нажать по файлу и выбрать пункт Установить сертификат

Выбрать область установки сертификата (рекомендуется выбирать Локальный компьютер, так сертификат будет работать для всех пользователей в системе).

Выбрать хранилище сертификатов Доверенные центры корневой сертификации, наждать ОК, Далее, Готово.

Проделать эти операции для каждого из сертификатов.

Оцените статью
ЭЦП64
Добавить комментарий