- Описание демо-стенда
- Jacarta (джакарта) se pki гост для егаис купить по выгодной цене
- Возможно ли использовать сертификат в других системах?
- Другие способы получения ключей и сертификатов
- Как инициализировать jacarta?
- Как начать работу с носителем сертификата?
- Можно ли на один носитель записать несколько сертификатов?
- На кого выпускать сертификаты кэп для подразделений?
- Настройка клиента
- Настройка сервера
- О jacarta pki
- Об openvpn
- Популярные варианты
- Проверка
- Сколько сертификатов нужно иметь?
- Сравнение моделей
Описание демо-стенда
Настоящая инструкция описывает процесс настройки простейшего сценария VPN-соединения между клиентом и сервером. Построение сложных сетей в данной инструкции не рассматривается.
ПО «Единый Клиент JaCarta» — программный комплекс, предназначенный для работы со всеми моделями токенов и смарт-карт JaCarta и eToken.
Jacarta (джакарта) se pki гост для егаис купить по выгодной цене
Всем организациям и индивидуальным предпринимателям, которые торгуют алкоголем, спиртосодержащей продукцией и пивом, нужен сертификат квалифицированной электронной подписи, записанный на специализированный носитель JaCarta SE PKI/ГОСТ. Без него невозможно получить доступ к личному кабинету на сайте ФСРАР и начать обмениваться информацией с системой ЕГАИС.
Получить специализированный носитель JaCarta SE PKI/ГОСТ и сертификат квалифицированной электронной подписи для ЕГАИС ФСРАР можно в аккредитованном удостоверяющем центре, в число которых входит УЦ СКБ Контур.
Список документов, который необходимо предоставить в Удостоверяющий центр для получения сертификата, выглядит так:
- номер ИНН;
- паспорт человека, на чье имя выдается КЭП (нужна копия 2 и 3 страницы с местом регистрации);
- заявление на выпуск электронной подписи.
Специализированный носитель JaCarta SE PKI/ГОСТ с КЭП требуется для каждой торговой точки с уникальным КПП, даже если все они принадлежат одному юридическому лицу. Одной JaCarta с КЭП для ЕГАИС достаточно только в двух случаях:
- если по одному адресу организации работают несколько подразделений с одним КПП (например, магазин и ресторан);
- если ее получает индивидуальный предприниматель (с любым количеством торговых точек).
В апреле 2021 у JaCarta PKI/ГОСТ SE появилась альтернатива. Авторизоваться и работать в ЕГАИС можно с помощью КЭП, записанной на носитель Рутокен ЭЦП 2.0. Так же, как и на JaCarta, электронная подпись на Рутокене формируется внутри устройства без возможности выдавать наружу закрытую ключевую информацию.
При выборе ключевого носителя нужно убедиться, что ваш кассовый аппарат поддерживает работу с Рутокен ЭЦП 2.0. Пока еще не все кассы совместимы с альтернативным носителем. Если вы переходите с одного носителя на другой, потребуется перенастроить УТМ. В Удостоверяющем центре СКБ Контур это делается автоматически с помощью веб-диска.
Возможно ли использовать сертификат в других системах?
Для работы с ЕГАИС выпускаются специальные сертификаты. Они помещаются на устройство JaCarta SE. Поэтому для работы в других системах в них должно быть установлено программное обеспечение для носителей указанного типа. Но даже при этом условии нет гарантии, что сертификат будет работать корректно. Он имеет свойство неэкспортированности и не может быть скопирован на другой носитель.
Другие способы получения ключей и сертификатов
Наиболее популярным способом генерации ключей и выпуска сертификатов является использование Удостоверяющего центра, например, на базе Microsoft Certification Authority. Для настройки OpenVPN этот способ генерации ключей и выпуска сертификата также подойдет.
Для сервера сгенерируйте на Удостоверяющем центре ключи и сертификат проверки подлинности сервера, экспортируйте их в файл PKCS#12.
В настройках серверной части OpenVPN вместо cert и key необходимо указать pkcs12:
ca C:ПУТЬ_К_СЕРТИФИКАТУ_УДОСТОВЕРЯЮЩЕГО_ЦЕНТРАca.crtpkcs12 C:ПУТЬ_К_СЕРТИФИКАТУ_СЕРВЕРАserver.p12
Корневым сертификатом ca должен быть сертификат Удостоверяющего центра.
Настройка шаблонов для выпуска ключей и сертификатов на токен описана в инструкции к «Единому Клиенту JaCarta» и «JaCarta SecurLogon». Для клиента сгенерируйте на Удостоверяющем центре ключи и сертификат проверки подлинности клиента. При этом импортировать на токен файл pkcs#12 не потребуется. Остальные настройки клиентской части выполняются аналогично.
Как инициализировать jacarta?
Войдите в приложение «Единый клиент JaCarta». Если его нет на ПК, его необходимо установить с web-диска.
Внизу серого поля, расположенного в левой части экрана, нажмите «Переключиться в режим администрирования».
В центральной части экрана выберите вкладку «PKI», в ней — ссылку «Инициализировать», как показано на следующем изображении:
В появившемся окне введите код администратора (по умолчанию 00000000) и пользователя (по умолчанию 11111111), после чего нажмите «Выполнить»:
Как начать работу с носителем сертификата?
Носитель JaCarta SE PKI/ГОСТ использует стандартный драйвер операционной системы, именуемый USBCCID. Поэтому он будет функционировать без установки какого-либо дополнительного программного обеспечения. Но смотреть информацию о носителе и содержащихся на нем сертификатах, а также произвести настройки, через стандартные средства ОС нельзя. Для этого понадобится установить «Единый клиент JaCarta».
Можно ли на один носитель записать несколько сертификатов?
JaCarta имеет 5 разделов, в которые могут быть помещены сертификаты. Однако работать будет только тот из них, который был записан последним.
На кого выпускать сертификаты кэп для подразделений?
Правило такое: у каждого подразделения юридического лица, имеющего свой адрес и КПП, должен быть в собственной сертификат КЭП. Выпустить его можно на руководителя организации либо на уполномоченное лицо. Такие ответственные лица могут быть в каждом подразделении организации, то есть сертификат для каждого подразделения может выпускаться на отдельное уполномоченное лицо.
Настройка клиента
Установите ПО «Единый Клиент JaCarta» и «JaCarta SecurLogon» с официального сайта компании «Аладдин Р.Д.».
«JaCarta SecurLogon» — программное решение, обеспечивающее простой и быстрый переход от обычных паролей к двухфакторной аутентификации при входе в ОС Microsoft Windows и доступе к сетевым ресурсам по токену JaCarta.
Выберете вкладку «PKI» и проинициализируйте токен.
Инициализация ключа приведет к удалению всех данных на нем. Если на ключе есть необходимая вам информация, в том числе ключи и сертификаты для других систем, не проводите инициализацию ключа.
С помощью ПК «Единый Клиент JaCarta» импортируйте на токен файл PKCS#12, ранее сгенерированный для клиента. На токене появятся ключи и сертификат, их можно увидеть в окне «Единый Клиент JaCarta». Установите сертификат с токена в личное хранилище компьютера.
Скопируйте sha1 отпечаток личного сертификата, он потребуется для дальнейшей настройки.
Также потребуется сертификат Удостоверяющего центра, полученный в ходе настройки сервера. Установите сертификат в хранилище доверенных корневых центров сертификации, а также сохраните локально.
Отредактируйте ваш файл конфигурации клиента, задайте правильные сетевые настройки.
В поле cryptoapicert укажите отпечаток сертификата пользователя.
В поле ca укажите путь к сертификату Удостоверяющего центра.
Выдержка из конфигурационного файла:
# SSL/TLS parms.# See the server config file for more# description. It’s best to use# a separate .crt/.key file pair# for each client. A single ca# file can be used for all clients.cryptoapicert «THUMB:81 0d d6 b7 …. ОТПЕЧАТОК КЛИЕНТСКОГО СЕРТИФИКАТА»ca C:ПУТЬ К СЕРТИФИКАТУ УДОСТОВЕРЯЮЩЕГО ЦЕНТРАca.crt
Настройка сервера
Для возможности аутентификации в
OpenVPN
по цифровому сертификату необходимо, чтобы клиент и сервер имели цифровые сертификаты, выданные доверенным центром сертификации. Клиент должен доверять сертификату сервера, а сервер – сертификату клиента.
Нарушение доверия к сертификату сервера или клиента приведет к невозможности установки VPN-соединения.
Рассмотрим процесс выпуска ключей и сертификатов с использованием средств, предлагаемых самим OpenVPN.
Перейдите в каталог easy-rsa, который находится в установочной директории OpenVPN и запустите init-config.bat. В результате работы создастся файл vars.bat, который необходимо отредактировать для адаптации к вашему окружению:
set HOME=%ProgramFiles%OpenVPNeasy-rsa – задайте рабочий каталогset KEY_CONFIG=openssl-1.0.0.cnf – задайте конфигурационный файл Opensslset KEY_DIR=keys – задайте каталог для хранения ключейset KEY_SIZE=1024 – установите размер ключаset KEY_COUNTRY=US – укажите странуset KEY_PROVINCE=CA – укажите областьset KEY_CITY=SanFrancisco – укажите городset KEY_ORG=OpenVPN – укажите название организацииset KEY_EMAIL=mail@host.domain – укажите e-mailset KEY_CN=changeme – укажите общее имя (common name) set KEY_NAME=changeme – укажите имяset KEY_OU=changeme – укажите подразделение организации
Следующие секции оставьте без изменений:
set PKCS11_MODULE_PATH=changeme – путь к модулю pkcs#11set PKCS11_PIN=1234 – ПИН-код к смарт-карте
Необходимо сгенерировать ключи для TLS. Создайте пустые файлы для хранения индексов и серийных номеров. Для этого запустите (выполняется один раз):
Сгенерируйте ключ Удостоверяющего центра (выполняется один раз). Запустите:
В диалоге укажите имя желаемого Удостоверяющего центра.
Сгенерируйте файл для ключей Диффи-Хэллмана (только для сервера, выполняется один раз).
Запустите:
Сгенерируйте приватный ключ и сертификат сервера.
Запустите:
В результате будут сгенерированы ключ и сертификат с именем машины (сервера).
Теперь необходимо создать ключи и сертификаты для клиентских машин. Сгенерируйте файл PKCS#12 для каждой клиентской машины.
Для этого запустите:
В результате будет сгенерирован файл PKCS#12 с именем клиентской машины. Это нужно будет сгенерировать для каждой машины.
Отредактируйте ваш файл конфигурации сервера, задайте правильные сетевые настройки.
Обратите внимание на то, что необходимо правильно указать пути к файлам ключей и сертификатов. Выдержка из конфигурационного файла:
# Any X509 key management system can be used.# OpenVPN can also use a PKCS #12 formatted key file# (see «pkcs12» directive in man page).ca C:ПУТЬ_К_СЕРТИФИКАТУ_УДОСТОВЕРЯЮЩЕГО_ЦЕНТРАca.crtcert C:ПУТЬ_К_СЕРТИФИКАТУ_СЕРВЕРАserver.crtkey C:ПУТЬ_К_КЛЮЧУ_СЕРВЕРАserver.key
# Diffie hellman parameters.# Generate your own with:# openssl dhparam -out dh2048.pem 2048dh C:ПУТ_К_ФАЙЛУ_ДИФФИ-ХЭЛЛМАНАdh1024.pem
О jacarta pki
— это линейка PKI-токенов производства компании
для строгой аутентификации пользователей в корпоративных системах, безопасного хранения ключевых контейнеров программных СКЗИ и цифровых сертификатов.
Об openvpn
OpenVPN
— свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT-firewall, без необходимости изменения их настроек.
Популярные варианты
Модели делятся на несколько семейств: JaCarta-2 SE, JaCarta-2 ГОСТ, JaCarta LT. Главное отличие — в наличии средства криптографической защиты информации (СКЗИ) и возможности работать с ЕГАИС. Для использования одних токенов нужно устанавливать программу на ПК, для других — не нужно, так как она уже находится в носителе.
Проверка
Запустите OpenVPN на сервере и клиенте.
Если настройка выполнена правильно, появится запрос на введение ПИН-кода к токену, и VPN-соединение успешно установится.
Сколько сертификатов нужно иметь?
Если речь об организации, то у нее должно быть столько сертификатов КЭП, сколько подразделений с самостоятельным адресом и КПП существует. То есть в каждом подразделении должен быть собственный цифровой носитель с записанным на него сертификатом.
У индивидуального предпринимателя может быть только один сертификат для ЕГАИС.
Более подробно читайте тут.
Сравнение моделей
Для наглядности мы подготовили таблицу.