Главная » Разное » Как установить сертификат эцп на компьютер рутокен контур

Как установить сертификат эцп на компьютер рутокен контур


Как установить личный сертификат? — Удостоверяющий центр СКБ Контур

1. Откройте меню Пуск - Панель управления - КриптоПро CSP.

2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Просмотреть сертификаты в контейнере:

3. В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится на смарт-карте JaCarta):

4. После выбора контейнера нажмите кнопку Ок, затем Далее.

* Если после нажатия на кнопку Далее Вы видите такое сообщение:

«В контейнере закрытого ключа отсутствует открытый ключ шифрования», следует установить сертификат по рекомендациям, описанным в разделе Вариант 2.

5. В окне Сертификат для просмотра нажмите кнопку Установить:

6. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

7. Дождитесь сообщения об успешной установке:

8. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Вариант 2. Установка через меню «Установить личный сертификат».

Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer). Он может находиться, например, на съемном носителе или на жёстком диске компьютера (если Вы делали копию сертификата или Вам присылали его по электронной почте).

В случае, если файл сертификата отсутствует, напишите письмо с описанием проблемы в техническую поддержку по адресу [email protected]

1. Откройте меню Пуск - Панель управления - КриптоПро CSP.

2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Установить личный сертификат:

3. В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата:

4. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):

5. В следующем окне нажмите кнопку Далее; в окне Сертификат для установки нажмите Далее.

6. Поставьте галку в окне Найти контейнер автоматически (в нашем примере контейнер находится на смарт-карте JaCarta) и нажмите Далее:

7. В следующем окне отметьте пункт Установить сертификат (цепочку сертификатов) в контейнер и нажмите Далее:

8. В окне Завершение мастера установки личного сертификата нажмите Готово:


9. Если КриптоПро CSP запрашивает pin-код от контейнера, введите нужный код или попробуйте стандартные pin-коды носителей:

10. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

11. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Установка сертификата ЭЦП стала автоматической

Сертификаты Удостоверяющего центра СКБ Контур стали еще удобнее. Теперь установка всех компонентов и настройка рабочего места абонента проходит в автоматическом режиме.

Установка в два счета

Все, что нужно сделать, зайти на сайт и следовать пошаговым инструкциям. Портал установки самостоятельно продиагностирует рабочее место абонента и предложит установить необходимые для работы с электронной подписью компоненты. Это удобно, ведь самостоятельно не надо решать, что и в каком порядке должно появиться на компьютере.

Полезный помощник

Благодаря порталу установки абонент получает только самое современное программное обеспечение для работы с электронной подписью.

Еще один плюс — теперь легко решить любые технические проблемы, связанные с использованием ЭЦП, в автоматическом режиме. Достаточно зайти на портал, который сам соберет все необходимые данные на компьютере и приступит к устранению ошибки. Конечно, владельцы сертификатов ЭЦП по-прежнему смогут обратиться в службу технической поддержки по телефону 8 800 500-05-08 или вызвать специалиста для настройки рабочего места.

Также на портале можно найти инструкции, которые помогут в использовании сертификата ключа подписи: как участвовать в электронных торгах, как аккредитоваться на торговой площадке и др.

Устанавливайте сертификат ЭЦП без каких-либо трудностей!

Купить сертификат ЭЦП можно в любом региональном представительстве Удостоверяющего центра СКБ Контур.

Как установить личный сертификат через КриптоПро — Работа с сертификатами

Установить личный сертификат можно одним из способов:

Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»

Чтобы установить сертификат с помощью КриптоПро через «Просмотреть сертификаты в контейнере», выполните следующее:

  1. Выберите «Пуск» → «Панель управления» → «КриптоПро CSP» или укажите в строке поиска на панели Windows «КриптоПро CSP» и нажмите на него. 
  2. Выберите вкладку «Сервис» и нажмите на кнопку «Просмотреть сертификаты в контейнере».
  3. Нажмите на кнопку «Обзор». 
  4. Выберите контейнер для просмотра и нажмите на кнопку «ОК».
  5. Нажмите «Далее». 
  6. Нажмите на кнопку «Установить».

  7. Если появится окно c заменой сертификата, выберите «Да».

    Сертификат установлен.
Если кнопка «Установить» отсутствует, выполните следующее:
  1.  В окне «Сертификат для просмотра» нажмите на кнопку «Свойства» и в открывшемся окне выберите «Установить сертификат».
  2. В окне «Мастер импорта сертификатов» нажмите «Далее». 
  3. Выберите  «Автоматически выбрать хранилище на основе типа сертификата» и нажмите «Далее». Сертификат будет установлен в хранилище «Личные».
  4. Нажмите на кнопку «Далее».
  5.  Нажмите «Готово». Дождитесь сообщения об успешной установке.

Через меню КриптоПро CSP «Установить личный сертификат»

Для установки понадобится файл сертификата (файл с расширением.cer). Файл сертификата можно экспортировать из хранилища «Личные». Если в хранилище нет нужного сертификата, то обратитесь в техническую поддержку по адресу [email protected] В письме укажите ИНН и КПП организации и суть проблемы.

Чтобы установить сертификат с помощью КриптоПро через «Установить личный сертификат», выполните следующее:

  1. Выберите «Пуск» → «Панель управления» → «КриптоПро CSP» или укажите в строке поиска на панели Windows «КриптоПро CSP» и нажмите на него. 
  2. Выберите вкладку «Сервис» и нажмите на кнопку «Установить личный сертификат».
  3. В окне «Мастер импорта сертификатов» нажмите на кнопку «Далее». 
  4. Нажмите на кнопку «Обзор» и выберите файл сертификата.
  5. Укажите путь к сертификату и нажмите на кнопку «Открыть».
  6. Нажмите «Далее».
  7. Нажмите на кнопку «Далее». 
  8. Нажмите на кнопку «Обзор».
  9. Выберите контейнер закрытого ключа, соответствующий сертификату, и нажмите «ОК». 
  10. Нажмите на кнопку «Далее».
  11. Если установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, то выберите «Установить сертификат в контейнер».
  12. Нажмите на кнопку Обзор».
  13. Выберите хранилище «Личные» и нажмите «ОК».
  14. Нажмите на кнопку «Далее».
  15. Нажмите «Готово». Если появится вопрос о замене существующего сертификата новым, нажмите«Да».
    Дождитесь сообщения об успешной установке. Сертификат установлен.

Как пользоваться электронной подписью с флешки? — Удостоверяющий центр СКБ Контур

Флешка — удобный и мобильный хранитель информации. Можно ли записать на нее электронную подпись (ЭП), насколько это безопасно и как именно это сделать расскажем в статье.

Получить электронную подпись

Что такое флешка и токен электронной подписи

Флешка — это портативное устройство, на котором можно хранить любую информацию, например документы, картинки, музыку. Она не занимает много места и вмещает в себя гигабайты данных. Флешки можно подключать к компьютеру, ноутбуку или другому устройству через USB-порт. 

Токен — это тоже устройство для хранения данных, но в отличие от флешки основная задача токена не хранение, а защита информации. Для этого изготовитель устанавливает на все токены восьмизначный пароль.

На все токенах установлен пароль — стандартный пин-код из восьми чисел. Он общеизвестный, поэтому, чтобы защитить свои данные, перед началом работы замените пин-код на собственный. Не используйте для этого даты рождения родных и близких — такие пароли можно подобрать. Мы не советуем записывать пароль, но если вы решите это сделать, храните листочек с паролем в защищенном месте.

На флешке тоже можно установить пароль, но уровень ее защиты намного ниже токена. На большинстве токенов стоят средства криптографической защиты информации (СКЗИ), которые проходят проверку в ФСБ. Они есть, например, на Рутокене ЭЦП 2.0 и JaCarta SF. Также токены проходят проверку Федеральной службы по техническому и экспортному контролю (ФСТЭК). Эта служба проверяет, чтобы на устройстве не было незадекларированных возможностей. 

А за безопасностью флешки следит только производитель. Поэтому если флешка попадет в руки злоумышленников, они смогут взломать пароль на ней. 

На какие носители можно записать электронную подпись 

Сертификат электронной подписи можно записать:

  • в память компьютера: в реестр или на жесткий диск;
  • токен;
  • флешку;
  • съемный жесткий диск.

Последние два носителя практически не отличаются друг от друга по свойствам.  Использовать флешку удобнее, так как она занимает меньше места и ее сложнее повредить. Однако и флешка, и съемный жесткий диск имеют одинаково низкую защиту информации. Компьютер защищен лучше, но может подвергнуться атаке вирусов. Поэтому мы рекомендуем хранить ЭП на токене. Именно это устройство лучше всего защитит ваши данные от мошенников.

Некоторые типы сертификатов можно хранить только на токене. Например, записать на флешку нельзя сертификаты для работы с Федеральной таможенной службой или для системы для учета алкогольной продукции ЕГАИС ФСРАР.

Какой должен быть объем у флешки для электронной подписи

Электронная подпись «весит» очень мало — около четырех килобайт (Кб). Поэтому для хранения сертификата подойдет флешка с любым объемом памяти.

Обычно пользователи выбирают флешки для того, чтобы хранить на них сразу несколько сертификатов. Даже на небольшую флешку объемом 4 гигабайта можно записать до нескольких сотен ключей ЭП.

В отличие от флешки, на токен можно записать несколько сертификатов, обычно не больше 15. Этого количества обычно достаточно для того, кто подписывает электронные документы в нескольких информационных системах. Несмотря на небольшую вместимость токена мы рекомендуем использовать именно его. Он обезопасит ваши данные от мошенников.

Получить электронную подпись

Как записать электронную подпись на флешку

Записать сертификат ЭП на флешку или токен можно тремя способами:

  • в личном кабинете удостоверяющего центра;
  • с помощью криптопровайдера КриптоПро CSP;
  • с помощью средств Windows;
  • в профиле Контур.Диагностики.

Инструкции ниже подойдут для записи сертификата и на флешку, и на токен. Исключение — пункты про установку пароля или пин-кода. При записи ЭП на флешку нужно придумать и установить свой пароль. Но если вы записываете ЭП на токен, устанавливать пин-код не нужно. Программа или сервис попросят вас ввести пароль, только если он отличается от стандартного.

Как записать сертификат в личном кабинете

Если вы еще не выпустили сертификат ЭП и хотите сразу записать его на съемный носитель:

  1. Зайдите в личный кабинет на сайте удостоверяющего центра. Сервис попросит пройти аутентификацию: введите номер телефона, который указали в заявлении на получение ЭП. В течение двух минут на этот номер придет одноразовый пароль для входа. Этот пароль будет действовать только 5 минут, если вы не успеете ввести его за это время — запросите пароль еще раз.
  2. Затем вставьте в компьютер носитель, на который вы хотите записать сертификат ЭП — флешку или токен.
  3. В личном кабинете найдите нужный сертификат и нажмите на кнопку «Перейти к выпуску». Система автоматически проверит ваш компьютер и предупредит, если на него нужно установить дополнительные программы.
  4. Следуйте указаниям системы, чтобы выпустить сертификат.
  5. Если вы записываете ЭП на флешку, придумайте и установите на нее пароль в открывшемся окне.
    Если вы записываете ЭП на токен со стандартным паролем — пропустите этот пункт. Но если вы меняли стандартный пароль на собственный — введите его в открывшемся окне.
  6. После выпуска сертификат можно установить на носитель. Для этого нажмите на кнопку «Установить сертификат».

Если у вас есть сертификат для одного из сервисов Контура, например, Экстерна или Диадока, и вы хотите установить его на флешку или токен:

  1. Зайдите в личный кабинет на сайте удостоверяющего центра.
  2. Выберите сертификат электронной подписи, который хотите записать.
  3. Вставьте флешку или токен в компьютер. 
  4. Нажмите на кнопку «Сделать резервную копию».
  5. Выберите носитель, на который сервис запишет сертификат.
  6. Если вы копируете ЭП на флешку придумайте пароль и установите его в открывшемся окне. Этот пароль нужно вводить каждый раз, когда вы используете ЭП. Забытый пароль нельзя восстановить, однако мы не рекомендуем пропускать этот шаг — без пароля ваши данные останутся без защиты.
    Если вы устанавливаете ЭП на токен со стандартным паролем — пропустите этот шаг. А если вы задавали на токене собственный пароль — введите его в специальном окне.
  7. После ввода пароля система запишет сертификат ЭП на носитель.

Как записать ЭП с помощью КриптоПро CSP

  1. На компьютере откройте меню «Пуск», выберите выберите пункт «Панель управления» и нажмите на иконку «КриптоПро CSP».
  2. Во вкладке «Сервис» нажмите на кнопку «Скопировать». 
  3. В открывшемся окне нажмите на кнопку «Обзор» и выберите контейнер закрытого ключа ЭП, который хотите скопировать на флешку. 
  4. Укажите имя контейнера, на который программа скопирует сертификат.
  5. Вставьте флешку компьютер и укажите в программе на какой носитель записать ЭП.
  6. Если вы копируете ЭП на флешку, придумайте и установите пароль в специальном окне. Не пропускайте этот шаг, если хотите защитить свои данные. Без пароля любой пользователь, взявший флешку, сможет воспользоваться вашей подписью. Если вы устанавливаете ЭП на токен со стандартным паролем — пропустите этот шаг. А если вы меняли пароль на токене на собственный — введите его в специальном окне.
  7. После этого программа скопирует контейнер на токен или флешку и вернется во вкладку «Сервис».

Как записать ЭП с помощью средств Windows

  1. Найдите папку с закрытым ключом ЭП на компьютере. В этой папке должно быть шесть файлов с расширением.key. 
  2. Скопируйте эту папку на выбранную флешку. Проверьте, чтобы в папке на флешке оказались все шесть файлов.

Как записать ЭП в профиле Контур.Диагностики

  1. Зайдите на страницу «Копирование сертификатов» Контур.Диагностики.
  2. Вставьте в компьютер флешку, на которую хотите записать сертификат.
  3. Выберите нужный сертификат из списка и нажмите кнопку «Скопировать». 
  4. Введите пароль от контейнера при необходимости.
  5. Выберите носитель, на который программа запишет сертификат ЭП.
  6. Придумайте название для нового контейнера и нажмите кнопку «Далее».

Как пользоваться электронной подписью с флешки и токена

Порядок подписания документов не зависит от того, на каком носителе хранится ЭП: на токене или флешке. 

Перед тем, как подписать документы, уточните, какой вид подписи принимает контрагент: открепленную, прикрепленную или встроенную. 

От этого зависит, с помощью какой программы, плагина или сервиса нужно подписать документ:

  • Контур.Крипто используют, чтобы создать открепленную ЭП. Это бесплатный веб-сервис, который работает с сертификатами любых удостоверяющих центров (УЦ).
  • КриптоАРМ используют для создания открепленной или совмещенной подписи. Во время пробного периода работать с программой можно бесплатно. После его окончания нужно купить лицензию на программу, сделать это можно в любом сервисном центре. Если вы хотите подписать документ базовой электронной подписью — без проверки времени подписания и статуса сертификата ЭП — программу можно использовать бесплатно.
  • КриптоПро Office Signature используют, чтобы создать встроенную ЭП в документах Word или Excel. Это тоже платная программа, для работы с которой нужно купить лицензию. 
  • КриптоПро PDF используют для создания встроенной ЭП в PDF-документе. В программе Adobe Reader КриптоПро PDF можно использовать бесплатно. А вот для работы в других программах, например Foxit Reader или Sejda PDF, нужно купить лицензию.

Чтобы подписать документ ЭП с флешки или токена:

  1. Проверьте, чтобы подписываемый документ был в окончательной редакции: вы не сможете исправить его после подписания.
  2. Вставьте флешку или токен с ЭП в компьютер. 
  3. Откройте программу, с помощью которой хотите подписать документ. В зависимости от выбранной программы вам нужно будет загрузить документ в сервис или просто открыть его.
  4. Выберите формат подписи, если это необходимо.
  5. Выберите сертификат, который установлен на флешке или токене.
  6. Нажмите на кнопку «Подписать».  
  7. Если на контейнере закрытого ключа стоит пароль, введите его, чтобы подписать документ. 

Можно ли использовать Рутокен в качестве флешки?

Чаще всего на токенах марки «Рутокен» можно хранить только сертификаты электронной подписи. Записать на них другие файлы невозможно из-за технических особенностей носителей — они созданы только для хранения контейнеров закрытых ключей ЭП.

Токены, на которых помимо ЭП можно хранить и другие файлы, встречаются редко и стоят дороже. Например, в линейке Рутокен это модель Рутокен 2.0 Flash.

Получить электронную подпись

Работа с электронной подписью (ЭЦП) — СКБ Контур

В предыдущей статье мы разобрались, где и как получить электронную подпись, и выяснили, что самой незащищенной является простая электронная подпись. Поскольку простая ЭП не содержит криптографические механизмы, алгоритмы и представляет собой, например, пару логин-пароль или SMS-код, то пользоваться ею довольно просто.

Гораздо больше вопросов вызывает использование усиленной ЭП, так как оно сопряжено с различными технологическими нюансами. Поскольку в основе усиленной ЭП лежат криптографические механизмы, то для того, чтобы все они работали, необходимы соответствующие инструменты: ПО, правильная реализация в информационной системе и др.

Все технологические вопросы, касающиеся использования ЭП, можно разделить на несколько базовых блоков:

  1. Как начать работать с ЭП. Что нужно сделать, чтобы на рабочем месте можно было пользоваться усиленной ЭП?
  2. Как работать с ЭП в электронных документах. Как создать ЭП для документа? С помощью каких инструментов это сделать? Как потом обработать результат?
  3. Как работать с ЭП внутри различных информационных систем (информационных систем с веб-доступом, информационных систем в виде настольных приложений, которые устанавливаются на рабочее место пользователя)?

Рассмотрим подробнее каждый блок задач.

Как начать работать с электронной подписью

Для начала нужно разобраться, какие инструменты потребуются владельцу усиленной ЭП (будем рассматривать усиленную ЭП, основанную на российских криптоалгоритмах по ГОСТу, как наиболее актуальную с точки зрения массового использования).

Инструмент №1 — криптопровайдер

Это специальное ПО, реализующее все криптографические алгоритмы. Оно дает инструментарий для их использования: чтобы создавать ЭП, проверять ее, зашифровывать и расшифровывать информацию. Одни из самых известных криптопровайдеров — КриптоПро CSP и ViPNet CSP.

Инструмент №2 — сертификат ЭП и закрытый ключ к нему

Эти элементы можно получить в удостоверяющем центре (УЦ). Они хранятся на защищенном носителе, который внешне выглядит как флеш-накопитель, но на самом деле является специализированным электронным устройством, обеспечивающим безопасное хранение закрытого ключа пользователя и сертификата ЭП. Этот носитель называется токеном. При осуществлении криптографических операций криптопровайдер обращается к защищенному носителю для получения доступа к закрытому ключу ЭП.

Токены на российском рынке выпускают различные производители. Флагманами считаются Рутокен (компания «Актив»), JaСarta (компания «Аладдин Р.Д.»).

Инструмент №3 — настроенное рабочее место

Основной вопрос касается установки корневых сертификатов УЦ, выдавшего сертификат ЭП. При работе с квалифицированными сертификатами ЭП настройка корневых сертификатов часто связана с дополнительной задачей — установкой кросс-сертификатов Минкомсвязи. Такие сертификаты позволяют удостовериться в том, что УЦ действительно аккредитован, так как в требованиях к квалифицированной ЭП указано, что она обязательно должна быть выдана аккредитованным УЦ.

Следующий блок задач касается правильной настройки браузера. При работе с площадками и системами с веб-доступом необходимо настроить браузер таким образом, чтобы он позволял осуществлять все необходимые операции. Если мы попробуем начать работу с браузером, настроенным по умолчанию, то работа с ЭП будет недоступна из-за политик безопасности операционной системы.

Также часто требуется установка дополнительных надстроек или плагинов для браузера.

Наличие трех основных инструментов — криптопровайдера, закрытого ключа и сертификата ЭП и правильно настроенного рабочего места — обеспечивает корректную работу в 99% случаев. Компания СКБ Контур создала специальный сервис для автоматической настройки рабочего места клиента. Чтобы осуществить настройку, достаточно зайти по адресу sertum.ru, выбрать нужный тип информационной системы, с которой планируется работать, и дождаться окончания работы веб-диска.

Как работать с ЭП в электронных документах

Порядок подписания будет отличаться в зависимости от типа электронного документа, с которым мы работаем. В целом можно выделить два вида документов:

1. Электронные документы специализированного формата, которые позволяют встроить ЭП внутрь самого документа (документы Microsoft Word, PDF).

Чтобы встроить ЭП внутрь файла, иногда нужны дополнительные настройки, но часто достаточно обычной версии программы. В случае с Microsoft Word многое зависит от версии продукта: в версии до 2007 года включительно ЭП в документе можно создавать без дополнительных надстроек, для более поздних версий понадобится  специальный плагин — КриптоПро Office Signature. Руководство по настройке ЭП для Microsoft Word/Excel можно найти на сайте УЦ СКБ Контур.

Для подписания PDF-файлов можно использовать программу Adobe Acrobat. При помощи данного функционала можно встраивать ЭП внутрь документа. Проверка созданной таким образом ЭП осуществляется также при помощи программ Adobe Reader и Adobe Acrobat.

2. Неформализованные электронные документы, не обладающие дополнительным инструментарием для встраивания ЭП.

Для электронного документа можно создать ЭП без встраивания в сам документ. Такая подпись будет называться отсоединенной и представлять собой отдельный электронный документ. Таким способом можно подписывать любые электронные документы, в том числе и в форматах Word и PDF.

Набор инструментов для реализации таких возможностей в целом не ограничивается каким-то одним решением. Существуют отдельные программы, которые устанавливаются на рабочее место и позволяют создавать и проверять ЭП, например, КриптоАРМ. Есть веб-решения, с помощью которых можно прямо в браузере создать ЭП, загрузив документ в форму на сайте, присоединив свой токен с закрытым ключом. На выходе вы получите отсоединенную ЭП. Такие возможности предоставляет сервис Контур.Крипто.

Каким требованиям должно соответствовать рабочее место, чтобы с него можно было работать с ЭП? С критериями можно ознакомиться по ссылке.

Проверка электронной подписи

Чтобы проверить ЭП в документах Microsoft Word и PDF, можно воспользоваться штатной программой, открыть в ней документ и посмотреть, корректна ЭП или нет.

Второй способ более универсальный — воспользоваться отдельным инструментарием для работы с ЭП — КриптоАРМ или Контур.Крипто. Нужно загрузить в программу электронный документ с ЭП, сертификат, при помощи которого создавалась ЭП, и осуществить проверку. Данные утилиты в соответствии с алгоритмом проверки ЭП осуществят все необходимые действия. Во-первых, инструментарий позволяет убедиться в том, что сертификат, при помощи которого создавалась ЭП, действующий. Во-вторых, можно удостовериться в том, что сертификат выпущен УЦ, которому мы доверяем. В-третьих, можно получить подтверждение, что ЭП действительно соответствует тому электронному документу, который загрузили.

Как работать с ЭП внутри различных информационных систем

Информационные системы могут представлять собой веб-сервис или настольное приложение. Поскольку каждое настольное решение имеет свои особенности реализации и правила настройки для работы с ЭП, разбирать общие сценарии не имеет смысла. Остановимся на более унифицированных веб-решениях.

Чтобы получить возможность работать с ЭП в электронной облачной системе, нужно правильно настроить браузер. В данном случае потребуется установка плагинов, дополнительных настроек, которые помогают работать с ЭП. Например, на электронной торговой площадке «Сбербанк-АСТ» используется штатный плагин от Microsoft — Capicom. На портале госуслуг устанавливается свой плагин, работающий во всех браузерах и осуществляющий работу с ЭП.

Работа с ЭП на определенном веб-портале осуществляется при помощи интерфейса этого портала. Интерфейсы могут быть разные, но базовые сценарии сходны — это загрузка или создание документа и последующее его подписание ЭП. Веб-портал использует плагин, который совершает необходимые операции по созданию или проверке ЭП, и результат работы попадает на серверы информационной системы.  

Чтобы начать работать на электронной торговой площадке, пользователю необходимо пройти аккредитацию и приложить копии требуемых документов, подписанных ЭП. В дальнейшем, участвуя в электронных торгах, все действия подтверждаются при помощи ЭП, и эта информация в юридически значимом виде сохраняется на серверах электронной торговой площадки.

Часто в процессе работы c веб-ориентированными информационными системами у пользователей возникают вопросы: почему мой сертификат не принимается системой? как проверить подлинность сертификата? Ответы на первый вопрос могут быть разными, но основных, как правило, три:

  1. Сертификат не подходит для работы в данной информационной системе.
  2. Недействительность сертификата (сертификат выпущен недоверенным УЦ, сертификат отозван, срок действия сертификата истек).
  3. Различные технические проблемы, которые могут зависеть как от площадки, так и от пользователя (например, неправильно настроено рабочее место).  

Почему иногда сертификат не проходит проверку подлинности на портале госуслуг?

При проверке сертификата на портале госуслуг проверяются его действительность и квалифицированность. Портал госуслуг в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ и с Приказом ФСБ РФ от 27.12.2011 № 795, проверяет все поля сертификата, их наполнение и соответствие данным правилам. Если обнаружено какое-то нарушение, например, в сертификате нет СНИЛС, то портал госуслуг укажет на то, что данный сертификат не является квалифицированным. После «мониторинга» структуры портал анализирует, выдан ли сертификат аккредитованным УЦ. Для этого используется механизм кросс-сертификатов. Каждый аккредитованный УЦ имеет свой кросс-сертификат, позволяющий доверять аккредитованному УЦ, и портал госуслуг обращает на это внимание. Также проверяется срок действия сертификата и его неотозванность.

Обратите внимание на то, что Постановление Правительства РФ от 27.08.2018 № 996 расширило действие простой ЭП на портале госуслуг. Ранее ее использование ограничивалось выполнением лишь элементарных действий, например, просмотром личного кабинета. Более серьезные операции требовали применения усиленной ЭП. Но, чтобы ее получить, нужно оплатить стоимость флеш-носителя, на котором она выдается в УЦ. Предполагается, что это нововведение позволит сократить расходы заявителей, связанные с выпуском физического носителя сертификата ключа ЭП.

Если резюмировать все описанное выше, можно отметить, что работа с усиленной ЭП имеет некоторый технологический порог вхождения. Для преодоления этого порога можно пользоваться готовыми программными решениями по автоматической настройке рабочего места и началу работы с усиленной ЭП, что существенно облегчает процесс.

Как установить сертификат с использованием ruToken или eToken

Данная инструкция поможет вам установить личный сертификат с использованием ruToken или eToken.

Если у вас установлена ОС Windows 7, воспользуйтесь данной инструкцией - Как установить сертификат с ruToken или eToken для Windows 7?.

Проверка наличия сертификата в контейнере

  1. Перед установкой личного сертификата с носителя ruToken или eToken необходимо проверить наличие сертификата в контейнере, для этого:
  2. Запустите программу КриптоПро CSP: (Пуск - Настройка - Панель управления - КриптоПро CSP или Пуск - Панель управления - КриптоПро CSP )  
  3. Откройте вкладку "Сервис" и нажмите кнопку «Просмотреть сертификаты в контейнере»  

  4. В открывшемся окне нажмите кнопку "Обзор"



  5. Выберите контейнер, который необходимо проверить на наличие в нем сертификата, и нажмите кнопку «Ок»



  6. После того, как в поле «Имя ключевого контейнера» установится название контейнера, нажмите кнопку «Далее»


  7. Если откроется окно «Введите pin-код для контейнера», необходимо ввести Pin-код для носителя.    Внимание! В зависимости от региона подключения,  pin-код  на рутокен может отличаться.  Pin-код на носитель следует узнавать в точке подключения.  
      Pin-коды по умолчанию:
    • ruToken 12345678                  
    • eToken 1234567890
      •      
           

    Если появится сообщение «В контейнере закрытого ключа **** отсутствует сертификат открытого ключа шифрования», значит в контейнере отсутствует личный сертификат.

    Для того, чтобы установить сертификат, выполните действия по инструкции Как установить сертификат с использованием ruToken или eToken, если сертификат не записан на носитель?


  8. Если открылось окно «Сертификат для просмотра», значит в контейнере есть личный сертификат и вы можете его установить. 

Установка сертификата


  1. Для установки сертификата нажмите кнопку «Свойства»



  2. Во вкладке «Общее» нажмите кнопку «Установить сертификат...»



  3. Для подтверждения установки нажмите кнопку «Далее»  

Выбор хранилища

  1. В окне «Хранилище сертификатов» выберите режим «Поместить сертификаты в следующие хранилище», нажмите кнопку «Обзор»



  2. Затем выделите хранилище Личное (Личные) и нажмите кнопку «Ок»



  3. После того, как в поле «Хранилище сертификатов» появится имя хранилища, нажмите кнопку «Далее», а затем «Готово»       
  4. Затем откроется окно «Импорт успешно выполнен» - это означает, что сертификат успешно установлен      
  5. Для завершения установки нажмите кнопки «Ок» - «Готово» - «Ок».

Установка сертификата успешно завершена

% PDF-1.4 % 1067 0 объект > endobj xref 1067 32 0000000016 00000 н. 0000002581 00000 н. 0000002862 00000 н. 0000003188 00000 п. 0000004106 00000 п. 0000004157 00000 н. 0000008402 00000 п. 0000009194 00000 н. 0000009789 00000 н. 0000010451 00000 п. 0000010530 00000 п. 0000011184 00000 п. 0000012094 00000 п. 0000016709 00000 п. 0000017531 00000 п. 0000018126 00000 п. 0000018837 00000 п. 0000019468 00000 п. 0000022110 00000 п. 0000022637 00000 п. 0000023106 00000 п. 0000023502 00000 п. 0000024412 00000 п. 0000032074 00000 п. 0000033025 00000 п. 0000033696 00000 п. 0000034528 00000 п. 0000037223 00000 п. 0000037262 00000 п. 0000038114 00000 п. 0000002379 00000 п. 0000000960 00000 п. трейлер ] >> startxref 0 %% EOF 1098 0 объект > поток x ڬ V [TW = IL

1ATPP / TAPQD` (hVZ # ڮ ~ tG? W] m? \ 3 "~ f͚9wg

.

c ++ - Как импортировать сертификат в контейнер ключей в токене USB?

Переполнение стека
  1. Около
  2. Продукты
  3. Для команд
  1. Переполнение стека Общественные вопросы и ответы
  2. Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
  3. Вакансии Программирование и связанные с ним технические возможности карьерного роста
  4. Талант
.

Добавить сертификат для подписи токена | Документы Microsoft

  • 2 минуты на чтение

В этой статье

Серверы федерации в службах федерации Active Directory (AD FS) требуют сертификатов для подписи маркеров, чтобы злоумышленники не могли изменить или подделать маркеры безопасности в попытке получить несанкционированный доступ к федеративным ресурсам.Каждый сертификат для подписи токена содержит криптографические закрытые ключи и открытые ключи, которые используются для цифровой подписи (с помощью закрытого ключа) токена безопасности. Позже, после получения этих ключей партнерским сервером федерации, они проверяют подлинность (с помощью открытого ключа) зашифрованного токена безопасности.

Осторожно

Сертификаты, используемые для подписи токенов, критически важны для стабильности службы федерации. Поскольку потеря или незапланированное удаление любых сертификатов, настроенных для этой цели, может нарушить работу службы, вам следует сделать резервную копию всех сертификатов, настроенных для этой цели.

Сертификат для подписи токена должен быть связан с доверенным корнем в службе федерации. Вы можете использовать следующую процедуру, чтобы добавить сертификат для подписи токена в оснастку управления AD FS из файла, который вы экспортировали.

Членство в «Администраторы» или эквивалент на локальном компьютере - это минимум, необходимый для выполнения этой процедуры. Ознакомьтесь с подробной информацией об использовании соответствующих учетных записей и членстве в группах в локальных и доменных группах по умолчанию (http: // go.microsoft.com/fwlink/?LinkId=83477).

Чтобы добавить сертификат для подписи токена

  1. На экране Start введите AD FS Management и нажмите клавишу ВВОД.

  2. В дереве консоли дважды щелкните Service , а затем щелкните Certificates .

  3. На панели Действия щелкните ссылку Добавить сертификат для подписи токена .

  4. В диалоговом окне Обзор файла сертификата перейдите к файлу сертификата, который вы хотите добавить, выберите файл сертификата и нажмите Открыть .

Дополнительные ссылки

Контрольный список

: настройка сервера федерации

Требования к сертификатам для серверов федерации

.

java - Как добавить цепочку сертификатов в хранилище ключей?

Переполнение стека
  1. Около
  2. Продукты
  3. Для команд
  1. Переполнение стека Общественные вопросы и ответы
  2. Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
.

Установка доверенного корневого сертификата

  • 2 минуты на чтение

В этой статье

Применимо к : Lync Server 2013 | Skype для бизнеса 2015

Установка доверенного корневого сертификата необходима только в том случае, если вы получили уведомление о том, что сертификат центра сертификации не является надежным ни на одном компьютере.Это может произойти, если вы используете частный или настраиваемый сервер сертификатов вместо получения сертификатов из установленного общедоступного сертификата органа.

Установка доверенного корневого сертификата

  1. На машине, для которой требуется сертификат, в веб-браузере перейдите на локальный сервер сертификации. Это должен быть тот же сертификат, который использовался для создания сертификатов сервера и, при необходимости, сертификатов клиента.

  2. Выберите Загрузите сертификат CA , цепочку сертификатов или ссылку CRL , если необходимо.

  3. Выберите соответствующий сертификат из списка и выберите метод Base 64 Encoding .

  4. Выберите ссылку Загрузить сертификат ЦС , а затем выберите вариант Открыть , когда будет предложено открыть или сохранить сертификат.

  5. Когда откроется окно сертификата, выберите Установить сертификат… . Откроется мастер импорта сертификатов.

  6. В мастере выберите Далее .Затем, когда вам будет предложено указать хранилище сертификатов, выберите Поместить все сертификаты в следующее хранилище . Выберите хранилище доверенных корневых центров сертификации.

  7. Завершите оставшиеся шаги мастера и нажмите Готово .

После завершения работы мастера вам необходимо добавить оснастки сертификатов с помощью консоли управления Microsoft (MMC).

Добавление оснастки сертификата

  1. Запуск MMC (mmc.Exe).

  2. Выберите Файл > Добавить / удалить оснастки .

  3. Выберите Сертификаты , затем выберите Добавить .

  4. Выберите Моя учетная запись пользователя .

  5. Выберите Снова добавьте и на этот раз выберите Учетная запись компьютера .

  6. Переместите новый сертификат из Certificates - Current User > Trusted Root Certification Authorities в Certificates (Local Computer) > Trusted Root Certification Authorities .

См. Также

.

Установка сертификатов безопасности | Документы Microsoft

  • 6 минут на чтение

В этой статье

Применимо к : Lync Server 2013 | Skype для бизнеса 2015 | Skype для бизнеса 2019

Чтобы обеспечить безопасную передачу сообщений и проверку подлинности клиента, компоненты интерфейса SDN Skype для бизнеса поддерживают безопасность взаимного транспортного уровня (TLS).Но чтобы это работало, вы должны запросить сертификаты в соответствующем центре сертификации. Эти сертификаты необходимы для SDN Manager, Dialog Listener и для подписчиков. Вам также может потребоваться установить корневой сертификат центра сертификации (ЦС), если он не является доверенным.

Вам необходимо будет использовать сертификат клиента на каждом сервере переднего плана в прослушивателе диалоговых окон и сертификат сервера на каждом диспетчере SDN для полного доменного имени пула диспетчера SDN.Кроме того, вы должны установить сертификат сервера на подписчиках, а также соответствующий сертификат клиента на хост-компьютерах SDN Manager, чтобы вы могли аутентифицировать его для подписчиков. Наконец, вам необходимо убедиться, что конфигурация Windows Communication Foundation (WCF) диспетчера SDN проверяет сертификаты клиентов, установленные в прослушивателях диалогов. Чтобы установить сертификаты, вы будете следовать этому общему подходу:

  1. Запросить сертификат у сервера сертификатов правильного типа

  2. Установите сертификат сервера на сервере для каждого SDN Manager и подписчика.

  3. Установите клиентские сертификаты на всех клиентах, которые являются слушателями диалогов, чтобы они могли общаться с SDN Manager, а также на всех экземплярах SDN Manager, чтобы они могли общаться с подписчиками, действующими в качестве сервера (если этот подписчик требует аутентификации через сертификат клиента).

  4. Установите доверенный корневой сертификат на компьютеры, где центр сертификации сообщает, что он недоверенный. Инструкции см. В разделе Установка доверенного корневого сертификата.

Примечание

Проверить, что SSL и проверка подлинности клиента работает независимо от интерфейса SDN Skype для бизнеса, можно с помощью универсального средства тестирования, такого как wfetch.Exe.

Подробные инструкции по установке конкретных сертификатов можно найти в следующих процедурах. В каждом из них предположим, что используется центр сертификации Microsoft. Подробное объяснение и инструкции по созданию запроса на сертификат для служб сертификации Microsoft см. В разделе Управление службами сертификации и SSL.

Запрос и установка сертификата

В следующем примере показано, как запросить сертификат у сервера сертификатов Windows, и ваши политики безопасности и доступные шаблоны в вашей службе сертификатов могут отличаться.

  1. В веб-браузере перейдите на сервер сертификации (например, http: // / certsrv ). Это должен быть тот же центр сертификации, который используется для создания сертификатов для клиента.

  2. Выберите ссылку Запросить сертификат .

  3. Выберите ссылку Расширенный запрос сертификата .

  4. Выберите Create и отправьте запрос по этой ссылке CA .

  5. В раскрывающемся списке Certificate Template выберите опцию Exportable Server Cert для сертификата сервера или соответствующий шаблон для сертификата клиента.

  6. При создании сертификата сервера укажите полное доменное имя в качестве сертификата Имя , а также его понятное имя . Другие поля могут оставаться пустыми или сохранять значения по умолчанию.

  7. Выберите Отправить .

  8. Выберите ссылку «Установить этот сертификат». Сертификат будет установлен в папку Certificates-Current User \ Personal \ Certificates .

  9. Запустите MMC и добавьте оснастки сертификатов, показанные на шаге 8 раздела Установка доверенного корневого сертификата в Приложении.

  10. Переместите сертификат из папки Certificates-Current User \ Personal \ Certificates в папку Certificates Local computer \ Personal \ Certificates .

  11. Убедитесь, что процессы имеют доступ ко всему сертификату, включая его закрытый ключ. Это может потребовать добавления сетевой службы (или других учетных данных, которые запускают службу) к сертификату, как показано на рисунках 1 и 2.

Рисунок 1. Добавление услуги в сертификат, часть 1

Рисунок 2. Добавление услуги в сертификат, часть 2

Установка сертификатов для использования с SDN Manager

Необходимо установить сертификаты в SDN Manager, чтобы выполнять следующие действия:

  • Аутентификация и защита связи между, возможно, несколькими прослушивателями диалогов и диспетчером SDN.(Относится к сертификатам сервера.)

  • Аутентификация и защита связи от SDN Manager с возможно несколькими абонентами (например, сетевыми контроллерами, системами управления сетью, инструментами ITPro и т. Д.). (Относится к клиентским сертификатам.)

Каждый сертификат сервера должен содержать полное доменное имя принимающей системы. Вы не можете использовать IP-адрес, имя хоста или локальные адреса (* .local). Сертификат должен быть установлен в хранилище локального компьютера.Если для системы подписчика требуется проверка подлинности клиента, сертификат клиента в SDN Manager может содержать полное доменное имя компьютера, на котором размещен SDN Manager, в зависимости от того, как сторонняя система подписчика проверяет подлинность клиента. Сертификаты должны быть подписаны центром сертификации, которому доверяют все вовлеченные стороны. Если центр сертификации не является доверенным, корневой сертификат центра сертификации должен быть установлен на всех задействованных компьютерах.

Вы должны следовать стандартному механизму проверки сертификатов WCF, чтобы настроить параметры для проверки сертификатов клиентов.

Примечание

Убедитесь, что при использовании пула менеджеров SDN сертификат содержит полное доменное имя всего пула (например, «sdnpool.contoso.com»). Это имя должно иметь хотя бы один разделитель точки (".").

Назначение сертификата сервера порту

Чтобы активировать и назначить сертификат сервера для порта, используемого для приема SSL-трафика в SDN Manager, вам необходимо выполнить следующую команду: 

  netsh http добавить sslcert ipport = 0.0.0.0: 9332 certhash =  appid = {12345678-1234-ABCD-ABCD-1234567890AB} clientcertnegotiation = <включить или отключить> verifyclientcertrevocation = <включить или отключить>

Замените отпечатком сертификата сервера, связанного с полным доменным именем пула SDN Manager. Вам также, вероятно, потребуется установить verifyclientcertrevocation = disabled , если вы используете самозаверяющие сертификаты, и clientcertnegotiation , в зависимости от того, используете ли вы клиентские сертификаты в прослушивателе диалогов.

Предоставление клиентского сертификата

При инициализации подписчиков вы можете указать отпечаток сертификата клиента в параметрах конфигурации для указанного подписчика.

Примечание

Данная процедура необходима только в том случае, если абоненту требуется аутентификация клиента. В этом случае подписчик должен быть настроен на проверку и принятие сертификата клиента. При создании сертификата клиента вы должны установить параметры и поля в соответствии с политикой проверки сертификата системы подписчика.

Чтобы установить сертификат клиента, выполните действия, перечисленные в процедуре запроса и установки сертификата ранее в этой статье. Отпечаток сертификата клиента должен быть указан в свойстве clientcertificateid конфигурации подписчика.

Вы можете получить отпечаток в диалоговом окне Сертификат , как показано на рисунке 1.

Рисунок 3. Диалоговое окно сертификата

Аутентификация подключений прослушивателя диалоговых окон с использованием клиентских сертификатов

Для того, чтобы SDN Manager авторизовал клиентские сертификаты из Dialog Listener, вы должны настроить логику проверки сертификата клиента в SDNManager.exe.config, как указано в Windows Communication Framework (WCF).

По умолчанию SDN Manager использует простой настраиваемый валидатор для клиентских сертификатов, которые он получает от Dialog Listener. Текущий файл SDNManager.exe.config содержит конфигурацию для этого настраиваемого валидатора сертификата клиента, принимающего и регистрирующего. Затем WCF гарантирует, что сертификат согласован и действителен до вызова валидатора. Этот валидатор ( AcceptAndLogValidator ) регистрирует информацию из сертификата и всегда принимает ее.

Для повышения безопасности необходимо настроить другой валидатор для клиентских сертификатов, используя стандартные механизмы конфигурации WCF. В следующем примере показана конфигурация WCF для AcceptAndLogValidator :

.

Аутентификация сертификата сервера на DL

Для повышения безопасности вы можете активировать проверку списка отзыва сертификатов сервера. Для WCF это можно настроить, добавив следующие параметры файла конфигурации в файл DialogListener.exe.config: 

  <конфигурация>  <настройки>

Установка сертификатов для Dialog Listener

Необходимо установить сертификат на прослушивателе диалоговых окон для аутентификации и защиты связи между прослушивателем диалоговых окон и диспетчером SDN. Это касается сертификата клиента. Чтобы установить сертификат клиента, выполните действия, перечисленные в разделе «Запрос и установка сертификата» ранее в этой статье.

После установки сертификата необходимо настроить прослушиватель диалогов для использования сертификата клиента. Вам понадобится отпечаток пальца, как описано в разделе «Подготовка сертификата клиента» ранее в этой статье. Для прослушивателя диалоговых окон отпечаток должен быть предоставлен во время установки или после него путем редактирования поля configurationcertificate в файле DialogListener.exe.config и поля clientcertificateid в настройках Listener.

См. Также

.

Смотрите также