ЗАПРОС НА СЕРТИФИКАТ КРИПТОПРО

Из нашей статьи вы узнаете:

Для корректной работы с электронной подписью пользователю необходимы определённые программы. На рабочий компьютер устанавливают средство криптографической защиты информации (СКЗИ) и специальный плагин. Из самых популярных таких программ можно выделить КриптоПро CSP и КриптоПро ЭЦП Browser plug-in. Они взаимодействуют практически со всеми операционными системами. Для их установки пользователю требуется:

После перезагрузки компьютера программы требуется запустить и настроить. В статье приведена подробная инструкция, как это сделать в операционной системе Windows.

Для формирования контейнера закрытого ключа и отправки запроса на сертификат с использованием КриптоПро CSP, выполните следующие действия:

После нажатия кнопки Вход будет запущен Мастер первичной инициализации. Нажмите кнопку Далее. В окне Мастера первичной инициализации нажмите кнопку Создать контейнеры:

Запустится Биологический датчик случайных чисел. Перемещайте указатель мыши в пределах окна либо нажимайте клавиши на клавиатуре до тех пор, пока окно не закроется:

Откроется окно для выбора места создания закрытого ключа. Выберите место хранения контейнера и нажмите кнопку Ок:

Появится сообщение об успешном создании контейнера. Запрос будет автоматически сформирован и отправлен на сервер. Нажмите кнопку Завершить. Для формирования и отправки запроса на сертификат нажмите кнопку Далее:

Путь сохранения резервной копии контейнера закрытого ключа может быть иным.

После этого в окне выбора пользователя статус учетной записи изменится на «Отправлен запрос на сертификат»:

В течение 24 часов будет сформирован сертификат. Для его получения нажмите Вход.

Для формирования контейнера закрытого ключа и отправки запроса на сертификат с использованием ViPNet CSP, выполните следующие действия:

В окне Мастера первичной инициализации нажмите кнопку Создать контейнеры. Запустится Электронная рулетка. Перемещайте указатель мыши в пределах окна либо нажимайте любые клавиши на клавиатуре:

После заполнения шкалы до 100% появится окно, сообщающее об успешном создании контейнеров. Для перехода к процессу формирования и отправки запроса нажмите кнопку Далее:

По умолчанию пароль к контейнеру закрытого ключа «123456».

Мастер автоматически сформирует запрос и отправит его на сервер. Нажмите кнопку Завершить. В окне выбора пользователя статус учетной записи изменится на Отправлен запрос на сертификат. В течение 24 часов будет сформирован сертификат. Для его получения нажмите Вход.

После этого будет запущен мастер создания запроса на сертификат ЦС

Далее выберите пункт «Создать сертификат или запрос». Рекомендуется изменить имя контейнера

Нужно задать дополнительные расширения, которые будут включены в сертификат ЦС согласно требованиям Минкомсвязи.

1. Основные ограничения (2.5.29.19)

2. Политики Сертификата (2.5.29.32)

3. Средства электронной подписи владельца (1.2.643.100.111)

Требуется добавлять самостоятельно.

Если у Вас установлен подчиненный ЦС, удовлетворяющий требованиям Минкомсвязи, то добавление дополнительных расширений не требуется, они будут загружены автоматически.

Требуется проверить значения автоматически добавленных расширений (или добавить/отредактировать их) в соответствии с рекомендациями

На финальном шаге можно просмотреть скрипт PowerShell, созданный мастером. При нажатии кнопки «Далее» будет произведено выполнение скрипта с подробным выводом информации.

Выберите нужный носитель для хранения контейнера закрытого ключа и задайте пароль

Далее будет предложение сохранить запроса на сертификат. Сохраните его

Теперь у Вас есть запрос для передачи в Минкомсвязи

Рекомендация по добавлению расширений в сертификат ЦС согласно требованиям Минкомсвязи

Расширение Использование ключа со следующими значениями по умолчанию: Цифровая подпись, Подписывание сертификатов, Автономное подписание списка отзыва (CRL), Подписывание списка отзыва (CRL)

Редактирование значения расширения «Основные ограничения (2.5.29.19)»

Выделяем в списке расширение «Основные ограничения», нажимаем Изменить

Снова на Изменитьи ставим галку — «Ограничение на длину пути» со значением «0» и кнопку OK.

Добавление расширения «Средства электронной подписи владельца (1.2.643.100.111)»

Для указания в квалифицированном сертификате наименования используемого владельцем квалифицированного сертификата средства ЭП должно использоваться некритичное дополнение subjectSignTool типа UTF8String SIZE(1.200).

Для создания этого расширения нажимаем кнопку Добавить, выбираем из списка «Средства электронной подписи владельца»

Нажимаем Изменить и указываем название используемого средства ЭП

Внимание, название должно соответствовать перечню http://clsz.fsb.ru/certification.htm

Добавление расширения «Политики сертификата (2.5.29.32)»

Объектный идентификатор дополнения certificatePolicies. Для обозначения класса средств ЭП владельца квалифицированного сертификата должны применяться следующие идентификаторы:

— 1.2.643.100.113.1 — класс средства ЭП КС 1,

— 1.2.643.100.113.2 — класс средства ЭП КС 2,

— 1.2.643.100.113.3 — класс средства ЭП КС 3,

— 1.2.643.100.113.4 — класс средства ЭП КВ 1,

— 1.2.643.100.113.5 — класс средства ЭП КВ 2,

— 1.2.643.100.113.6 — класс средства ЭП КА 1.

Для создания этого расширения нажимаем Добавить, выбираем из списка «Политики сертификата»

Нажимаем «Изменить» и указываем политики:

Значение «Все политики выдачи» рекомендуется добавлять всегда.

При работе с ЭЦП во время подписи документов может понадобиться установка нового сертификата с использованием «КриптоПро CSP» — например, когда у ЭЦП закончился срок, произошла смена главного бухгалтера или директора предприятия, либо необходима установка нового сертификата после оформления в удостоверяющем центре.

Для корректной работы может потребоваться установка личного и корневого сертификата в КриптоПро. Чтобы это сделать придерживайтесь следующей инструкции.

Установка личного сертификата

Для того чтобы установить сертификат с помощью «КриптоПро CSP», выполните следующий алгоритм:

Обратите внимание, что при установке система запоминает последний контейнер, с которого была проведена операция. Например, если вы установили личный сертификат из реестра вашего компьютера, а потом повторили процедуру с флешки, то при отсутствии последней система не сможет найти контейнер.

Как установить корневой сертификат КриптоПро

Для корректной работы сервера надо установить предварительно корневой сертификат в ваше хранилище. Для его получения необходим тестовый центр по сертификации продукта, куда можно попасть при наличии прав администратора. Также для предотвращения проблем необходимо добавить адрес интернет-сайта в список доверенных. Запросите сертификат, загрузив его из сертификационного центра. Чтобы его установить, откройте его и выполните следующие действия:

Если процесс пройдёт корректно, то корневой сертификат появится в хранилище среди доверенных центров.

Как установить контейнер закрытого ключа в реестр

После успешного копирования контейнера личный сертификат нужно установить в хранилище «Личные».

Ошибки при установке

Довольно распространённой проблемой при установке становится зависание компьютера. Обычно это связано с установкой нелицензионного ПО, наличием ошибок или отсутствием критических обновлений. Также проблемы могут возникнуть в следующих случаях:

Для корректной работы рекомендуем использовать только лицензионное ПО. Приобрести его и получить комплексную техническую поддержку можно в компании «Астрал-М». Мы входим в число официальных дилеров компании «КриптоПро», что подтверждает информация на сайте разработчика. Обращаясь в «Астрал-М», вы получаете:

Для приобретения электронной подписи или криптопровайдера заполните форму обратной связи, чтобы наш специалист связался с вами.

Создание запроса на сертификат

Параметры выпуска запроса на сертификат можно получить из политики Сервиса Подписи (метод /policy).
Политика Сервиса Подписи содержит:

Каждый элемент списка параметров УЦ содержит:

Также на форме создания запроса должен быть отображен спискок шаблонов сертификатов (EkuTemplates). Каждый шаблон сертификата имеет отображаемое имя.

Если политика Сервиса Подписи содержит более одного криптопровайдера, необходимо предоставить пользователю возможность выбора.

Данные с формы передаются в метод /requests для создания запроса на сертификат:

Данные передаются в структуре CertificateRequest.

Идентификатор Удостоверяющего Центра (AuthorityId) является константой. Он может быть получен от Администратора DSS и зафиксирован в настройках интегрируемой системы.

Примечание

Если Удостоверяющий Центр с заданным идентификатором отсутствует в Политике Сервиса Подписи, то либо он недоступен в данный момент,
либо был отключен Администратором DSS. Для выяснения причин недоступности Удостоверяющего Центра следует обратиться к Администратору DSS.

Различительное имя может быть передано в двух форматах:

Объектные идентификаторы (OID) компонентов имени указаны в шаблоне имени.

Строковое представление различительного имени кодируется согласно RFC 1779.

Шаблон сертификата представляет собой набор объектных идентификаторов, которые попадут в расширение Enhanced Key Usage (EKU) запроса на сертификат, или
идентификатор шаблона сертификата КриптоПро УЦ 2.0, который попадет в расширение Certificate Template (1.3.6.1.4.1.311.21.7).

Шаблон передается через разные поля запроса на сертификат в зависимости от типа:

Данный шаблон используется при создании запроса на сертификат к Удостоверяющему Центру типа 0 (КриптоПро УЦ 1.5) и 2 (Сторонний УЦ).

Данный шаблон используется при создании запроса на сертификат к Удостоверяющему Центру типа 1 (КриптоПро УЦ 2.0) и 2 (Сторонний УЦ).

Создание запроса на сертификат с подтверждением при помощи вторичной аутентификации (v1 API)

При создании запроса на сертификат с подтверждением при помощи вторичной аутентификации требуется выполнить
следующую последовательность действий (шагов):

При этом в массиве параметров транзакции метода /transactions
должны быть отображены следующие поля запроса на сертификат:

При создании запроса на сертификат с подтверждением с подтверждением при помощи вторичной аутентификации различительное имя может быть
передано только в строковом представлении.

Примеры запросов

Пример запроса с указанием различительного имени в строковом представлении:

Пример запроса с указанием различительного имени в виде набора компонентов:

Пример запроса с указанием шаблона сертификата:

Запрос на сертификат с подтверждением:

Обработка ответа Сервиса Подписи

При успешном создании запроса на сертификат Сервис Подписи в ответе вернет структуру DSSCertRequest.

Дальнейшее поведение пользователя зависит от значения поля Status в структуре DSSCertRequest и типа УЦ, на котором создавался запрос на сертификат.

ACCEPTED — запрос на сертификат принят и обработан УЦ. В данном случае в поле CertificateID будет записан идентификатор выпущенного сертификата.

REGISTRATION — запрос на сертификат принят в КриптоПро УЦ 2.0 и находится на этапе регистрации пользователя УЦ.

В зависимости от настроек подключения DSS к КриптоПро УЦ 2.0, необходимо:

PENDING — запрос на сертификат находится в обработке.

Если запрос отправлен на КриптоПро УЦ 2.0, то в зависимости от настроек подключения DSS к КриптоПро УЦ 2.0 необходимо:

Если запрос создавался через «Сторонний Удостоверяющий Центр», необходимо:

Запрос на сертификат (PKCS#10) в формате Base64 содержится в поле Base64Request структуры DSSCertRequest.

REJECTED — запрос отклонен. Дальнейшая обработка запроса невозможна. Для выяснения причин отклонения запроса необходимо обратиться к
Администратору УЦ.

Экспорт файла открытого ключа с помощью «КриптоПро CSP»

Для экспорта файла открытого ключа электронной подписи пользователю необходимо:

Важно! Если появится уведомление «В контейнере закрытого ключа отсутствует открытый ключ шифрования», необходимо обратиться в службу поддержки УЦ, выпустившего сертификат.

Где купить КриптоПро

Купить полную лицензию продукта КриптоПро рекомендуем в нашем интернет-магазине. Оставьте короткую заявку, для бесплатной консультации специалиста.

Получить сертификат

Выберите нужное действие:

Требования

Центр предназначен только для целей тестирования и не должен использоваться для других целей.

Центр не проверяет информацию, указанную в запросах на сертификат. Не следует доверять сертификатам, выданным тестовым Удостоверяющим Центром.

Узнать об услугах действующего Удостоверяющего Центра ООО «КРИПТО-ПРО» можно здесь.

Добро пожаловать на сайт тестового Удостоверяющего Центра ООО «КРИПТО-ПРО»

Настройка КриптоПро происходит в несколько этапов. Ниже расскажем, как настроить КриптоПро CSP и КриптоПро ЭЦП Browser plug-in. А именно, научимся добавлять сайт в список доверенных и экспортировать файл открытого ключа разными способами.

Экспорт файла открытого ключа из хранилища «Личные»

Для экспорта требуется:

После указанных действий появится уведомление о завершении экспорта сертификата.

Как установить и настроить КриптоПро Browser Plug-in, читайте в нашей статье.

Настройка рабочего места КриптоПро CSP 5

Подключение КриптоПро к электронной подписи в версии КриптоПро CSP 5.0 происходит немного иначе. Рассмотрим, какие действия требуется выполнить для установки облачного сертификата электронной подписи:

Установка сертификата

Проверка работоспособности

Облачная электронная подпись полностью готова к работе.

Добавление сайта в список доверенных

КриптоПро запрашивает разрешение на взаимодействие с сайтом (где *** — название сайта). Для подтверждения доступа пользователь нажимает кнопку «ОК».

<img class="img-fluid" src="https://astral.ru/upload/iblock/503/u8z85lee5prrdg3g0ihy95j4oidhuafp/1%20

.png» title=»»>

Если пользователь пользуется определённым сайтом постоянно, его можно освободить от данных действий. Чтобы внести адрес сайта в список доверенных, необходимо:

<img class="img-fluid" src="https://astral.ru/upload/iblock/e01/ebfvigotmyq9pk022bwcrltze653etr2/2%20

.png» title=»»>

После данных действий доступ будет осуществляться автоматически без запроса.