- Выберите сервисный центр
- Заявка отправлена
- Какие бывают корневые сертификаты и для чего нужны
- Настройка автоматической регистрации сертификатов
- Онлайн сервис подачи документов для получения сертификатов уц фк
- Подача заявки на сертификаты смарт-карт
- Пошаговая инструкция по установке и настройке центра сертификации | блог разработчиков
Выберите сервисный центр
На этом шаге нужно выбрать адрес, куда вам будет удобно подойти с оригиналами документов после одобрения заявки.Чаще всего какой-то сервисный центр уже выбран — он отображается на зелёной плашке. Если он вам подходит — сразу нажмите кнопку “Отправить на проверку”. Если СЦ не подходит или не выбран, найдите удобный вам адрес в списке или на карте и кликните на него — он подсветится зелёным.В списке и на карте показываются только точки в выбранном регионе/городе. Если вы хотите посмотреть точки в других регионах — поменяйте локацию.
После того, как вы выбрали удобный вам сервисный центр, нажмите кнопку «Отправить на проверку».
Если вы подписали заявление сертификатом и все данные прошли проверку в гос.системах (паспорт, СНИЛС ИНН для сертификатов для ИП и физлиц), то вам не нужно идти в сервисный центр, поэтому шага выбора СЦ не будет, вы сразу увидите вот такое сообщение. Но если вы приобретали токен, позвоните в сервисный центр и договоритесь, когда и где его получить.
Заявка отправлена
Мы проверим заявку в течение 1–2 дней и сообщим вам результат. На странице написана пошаговая инструкция конкретно для вашего случая. Например, такая:
После одобрения заявки нужно будет подойти в сервисный центр с оригиналами документов для удостоверения личности.
1) Если сертификат на руководителя юридического лица, ИП или физлицо, то в СЦ должен прийти будущий владелец лично.
2) Если сертификат на сотрудника юридического лица, то в СЦ должен прийти сам сотрудник с доверенностью.
Отправить вместо себя другого человека нельзя по закону.
Заказать сертификат электронной подписи
Какие бывают корневые сертификаты и для чего нужны
Корневой сертификат участвует в «цепочке доверия». «Цепочка доверия» — это взаимосвязь нескольких сертификатов, которая позволяет проверить, действительна ли электронная подпись и можно ли доверять сертификату ЭП.
Рассмотрим «цепочку доверия», сформированную для квалифицированного сертификата электронной подписи:
1. Корневой сертификат Минцифры РФ (ранее — Минкомсвязь РФ).
Это верхнее звено «цепочки доверия». Минцифры РФ осуществляет функции головного удостоверяющего центра в России. Оно наделяет другие удостоверяющие центры, прошедшие аккредитацию, правом выдавать квалифицированные сертификаты ЭП — выдает им собственные сертификаты, подписанные корневым сертификатом Минцифры РФ.
Например, в Windows корневой сертификат можно найти через «Управление сертификатами» — «Доверенные корневые центры сертификации» — «Сертификаты».
2. Сертификат удостоверяющего центра. Официально его называют «промежуточный сертификат», но распространено также название «корневой сертификат УЦ».
Среднее звено «цепочки доверия». УЦ получает этот сертификат от Минцифры РФ, когда становится аккредитованным. С помощью своего промежуточного сертификата УЦ выдает квалифицированные сертификаты пользователям: организациям, их сотрудникам, простым физлицам (п.2.1 ст.15 63-ФЗ).
В Windows промежуточный сертификат хранится в «Управление сертификатами» — «Промежуточные центры сертификации» — «Сертификаты».
3. Личный сертификат пользователя — квалифицированный сертификат электронной подписи.
Конечное звено «цепочки». Пользователь обращается в УЦ и получает там квалифицированный сертификат ЭП (он же КЭП, ЭП или ЭЦП). В его сертификате указаны данные «вышестоящих» сертификатов — УЦ и Минцифры.
В Windows личный сертификат можно найти через «Управление сертификатами» — «Личное».
Все сертификаты должны быть установлены в хранилище сертификатов (на компьютер) и действительны. Только тогда криптопровайдер сможет проверить доверие к сертификату пользователя и действительность электронной подписи, сформированной на основе этого сертификата.

Выше мы описали «цепочку доверия» для квалифицированных сертификатов. Поскольку такие сертификаты могут выдавать только аккредитованные УЦ, то в цепочке три звена: Минцифры — аккредитованный УЦ — пользователь. Именно такую связь можно увидеть, если открыть личный сертификат пользователя на вкладке «Путь сертификации» (см. скриншот выше).
Для неквалифицированных сертификатов ЭП «цепочка доверия» может состоять только из двух звеньев: УЦ — пользователь. Это возможно потому, что УЦ для выдачи неквалифицированных сертификатов не нужна аккредитация. Звенья такой «цепочки» будут называться: «корневой сертификат» и «пользовательский (личный) сертификат»
Настройка автоматической регистрации сертификатов
Многие сертификаты могут передаваться даже без уведомления клиента о происходящей регистрации сертификата. Сюда относятся многие типы сертификатов, выдаваемых компьютерам и службам, а также и многие сертификаты, выдаваемые пользователям.
Чтобы клиенты автоматически подавали заявки на сертификаты в доменной среде, необходимо выполнить указанные ниже действия.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или Администраторы предприятия или наличие эквивалентных прав. Дополнительные сведения см. в разделе Реализация ролевого администрирования.
На контроллере домена под управлением Windows Server 2008 R2 или Windows Server 2008 нажмите кнопку Пуск, выберите пункт Администрирование, а затем пункт Управление групповой политикой.
В дереве консоли дважды щелкните узел Объекты групповой политики в лесу и домене, содержащем изменяемый объект групповой политики Политика домена по умолчанию.
Щелкните правой кнопкой мыши объект групповой политики Политика домена по умолчанию и выберите команду Изменить.
В дереве консоли управления групповой политикой последовательно выберите Конфигурация пользователя, Конфигурация Windows, Параметры безопасности, затем щелкните пункт Политики открытого ключа.
Дважды щелкните Клиент службы сертификации – автоматическая регистрация.
Установите флажок Регистрировать сертификаты автоматически, чтобы включить автоматическую регистрацию сертификатов. Если требуется блокировать автоматическую регистрацию, установите флажок Не регистрировать сертификаты автоматически.
Если следует включить автоматическую регистрацию сертификатов, можно установить следующие флажки:
Чтобы сохранить все изменения, нажмите кнопку ОК.
Онлайн сервис подачи документов для получения сертификатов уц фк
Добро пожаловать на Портал «Формирование запросов на сертификаты» информационной системы «Удостоверяющий центр Федерального казначейства»!
Для получения квалифицированного сертификата ключа проверки электронной подписи (далее – сертификат), созданного Удостоверяющим центром Федерального казначейства (далее – УЦ ФК), необходимо:
1. заключить Договор присоединения (Соглашение) к Регламенту УЦ ФК с территориальным органом Федерального казначейства (далее – ТОФК) по местонахождению Заявителя или его обособленного структурного подразделения;
2. получить средство электронной подписи (КриптоПро CSP версии 4.0) в ТОФК, в случае его отсутствия, и установить на автоматизированное рабочее место;
В случае первичного обращения в ТОФК получателем сертификата:
– сформировать с использованием настоящего Портала Запрос и Заявление на сертификат;
– представить в ТОФК комплект документов и сведений для получения сертификата в соответствии с пунктом 5.5 Регламента УЦ ФК, утвержденного приказом Федерального казначейства от 31.07.2021 № 197 (в редакции приказов Федерального казначейства от 25.07.2021 № 280, от 12.12.2021 № 342, от 12.02.2021 №23);
– получить в ТОФК сертификат и Руководство по обеспечению безопасности использования квалифицированной электронной подписи и средств квалифицированной электронной подписи.
В случае смены (получения дополнительного) сертификата необходимо войти на Портал с использованием действующего сертификата и сформировать комплект документов и сведений в соответствии с разделом 6 Регламента УЦ ФК. Личное обращение в ТОФК не требуется при соблюдении следующих условий:
– срок действия сертификата не истек;
– документы и сведения, представленные ранее в ТОФК, не изменились и имеются в ТОФК в актуальном состоянии;
– руководитель юридического лица (индивидуальный предприниматель) зарегистрирован в Федеральном казначействе, и у него имеется действующий сертификат, выданный УЦ ФК.
Для дальнейшей работы на портале «Формирование запросов на сертификаты» убедитесь, что на Вашем автоматизированном рабочем месте установлены:
– Интернет-браузер Internet Explorer версии 9.0 и выше;
– Средство криптографической защиты информации «КриптоПро CSP» версии 4.0;
– КриптоПро ЭЦП Browser Plugin версии 2.0.
Перейти к работе на Портале
Подача заявки на сертификаты смарт-карт
| 1. | При появлении всплывающего уведомления Подача заявок на сертификаты (Certificate Enrollment) нажмите на него или на соответствующий значок сертификата, расположенного в области уведомлений. Через короткий промежуток времени всплывающее уведомление автоматически исчезнет и останется только значок в области уведомлений. После щелчка по всплывающему уведомлению запустится пользовательский интерфейс автоматической подачи заявки. Примечание. Всплывающее уведомление подачи заявки на сертификаты и мастер используется не только для подачи заявки на сертификаты смарт-карт, но и для центра саморегистрации. |
| 2. | Для запуска мастера нажмите кнопку Начать (Start), как показано ниже на Рисунке 10. (Нажатие на кнопку Напомнить позже (Remind Me Later) приведет к тому, что всплывающее уведомление Подача заявок на сертификаты (Certificate Enrollment) появится вновь по истечении интервала обновления групповой политики или при следующем интерактивном входе в систему).
Рисунок 10 – Начало подачи заявки на сертификаты |
| 3. | Если в считыватель смарт-карт не будет вставлена смарт-карта с необходимым производителем поставщиков криптографии (CSP) для сертификата, то пользователю будет выдано сообщение, о необходимости сделать это. Вставьте смарт-карту и нажмите OK. Примечание. В случае если в шаблоне сертификата на компьютере пользователя содержится несколько производителей поставщиков криптографии (CSP), вероятно, пользователю придется пройти несколько этапов в мастере для того, чтобы выбрать необходимого производителя поставщиков криптографии (CSP) для смарт-карты. |
| 4. | Нажмите Отмена (Cancel), если отобразится неверный CSP для смарт-карты. При этом отобразится следующий CSP из списка шаблона сертификата. |
| 5. | Нажмите OK после того, как вставите подходящую смарт-карту. Работа мастера будет продолжена. Примечание. Если смарт-карта содержит закрытый ключ и сертификат в Slot0 (в контейнере по умолчанию), пользователь будет предупрежден о замене учетных данных на смарт-карте. Важно: из-за ограничений CSP смарт-карты, вход в ОС Windows 2000 и в ОС Windows XP со смарт-картой требует наличия этого Slot0 или контейнера по умолчанию для хранения сертификата и закрытого ключа, которые используются при входе в систему с помощью смарт-карты. В том случае, если смарт-карта содержит несколько ключей и сертификатов, то помеченными как контейнер по умолчанию будут только последний сгенерированный ключ и сертификат. |
| 6. | Нажмите Да (Yes), как показано ниже на Рисунке 11, если необходимо сменить учетные данные на смарт-карте. При этом работа мастера будет продолжена, как показано ниже на Рисунке 12. (В приведенном ниже примере показан один из возможных вариантов диалоговых окон, которые могут отображаться пользователю. Интерфейс работы пользователя со смарт-картой может меняться в зависимости от выбранного CSP).
Рисунок 11 – Диалоговое окно замены учетных данных
Рисунок 12 – Выполнение подачи заявки на сертификаты |
| 7. | В случае необходимости ввести PIN-код для смарт-карты, появится соответствующее диалоговое окно. Введите соответствующий PIN-код и нажмите клавишу Enter. Подача заявки при этом продолжится. Примечание. Если Вы неправильно ввели PIN-код, у Вас будет еще несколько попыток для этого (количество попыток ограничено). |
Успешное завершение или сбой при выполнении процесса автоматической подачи заявки будут отражены в журнале событий приложений локального компьютера. Также в случае неудачи при выполнении запроса на сертификат появится интерактивное диалоговое окно. Пользователь увидит диалоговое окно, показанное ниже на Рисунке 13, в случае возникновения ошибки при выполнении подачи заявки.
Рисунок 13 – Сообщение пользователю об ошибках, возникших во время выполнения подачи заявки на сертификат
Примечание. В случае успешной подачи заявки пользователи это сообщение не увидят.
Наверх страницы
Пошаговая инструкция по установке и настройке центра сертификации | блог разработчиков
Здравствуйте, друзья!
Одним из преимуществ ЛОЦМАН:ПГС является применение цифровых подписей достоверно подтверждающих личность и роль подписавшего документ. Для создания цифровых подписей необходимы сертификаты выданные удостоверяющим центром сертификации.
На этапе внедрения не всегда хватает опыта для установки и настройки центра сертификации, чтобы Вам не пришлось собирать крупицы информации по просторам интернета, мы предлагаем подробно рассмотреть установку и настройку центра сертификации.
В наших примерах мы будем использовать контроллер домена на Microsoft Windows Server 2008 и клиент Microsoft Windows 7.
- Для начала нам нужно добавить роль Active Directory Certification Services (Службы сертификации Active Directory) на контроллере домена. Откройте Server Manager и выполните команду «Add Role» («Добавить роли»).

- Откроется Add Roles Wizard (Мастер добавления ролей). Нажмите Next.

- Выберите роль Active Directory Certification Services (Службы сертификации Active Directory). Нажмите Next.

- Next.

- Проверьте, что отмечена служба Certification Authority(Центр сертификации).

- Вариант установки должен быть указан «Enterprise».

- Тип центра сертификации Root CA(Корневой ЦС).

- Создайте новый приватный ключ.

- Укажите параметры шифрования, например:

Если Вы меняете параметры, рекомендуем Вам ознакомиться с советами компании Microsoft по безопасности в части выбираемой длины ключа. - Проверьте имя и суффиксы центра сертификации, например:

- Задайте срок действия сертификата, например:

- Next.

- Install.

- Процесс установки…

- Установка завершена. Close.

Центр сертификации установлен. Теперь нужно создать шаблон сертификатов. - Перейдите в Certificate Templates (Шаблоны сертификатов) и выполните команду Duplicate Template (Скопировать шаблон) на существующем шаблоне, например User.

- Выберите версию Windows Server минимально поддерживаемую ЦС.

Не выбирайте Windows Server 2008, иначе при подписании созданным сертификатом документов в программных продуктах использующих .NET Framework 4.0 Вы получите сообщение «Указан неправильный тип поставщика (mscorlib)». Иными словами Вы не сможете использовать сертификат. - В открывшихся свойствах шаблона укажите имя и отключите Publish certificate in Active Directory (Опубликовать сертификат в Active Directory):

- Перейдите на вкладку Request Handling (Обработка запроса) и измените цель на «Signature» («Подпись»).

- Проверьте параметры на вкладке Subject Name (Имя субъекта).

- На вкладке Security (Безопасность) для группы Authenticated Users (Прошедшие проверку) разрешите Enroll (Заявка).

- На вкладке Extensions (Расширения) скорректируйте Application Policies (Политика применения).

Выберите Document Signing (Подписывание документа).
Выберите Document Signing (Подписывание документа).
ОК.
Шаблон сертификата создан, теперь необходимо его опубликовать. - Перейдите в Certificate Templates (Шаблоны сертификатов) и выполните команду «New -> Certificate Template to Issue» («Новый -> Выдать шаблон сертификата»).

- Выберите ранее созданный шаблон. ОК.

Установка и настройка шаблона сертификатов закончена. Перейдем на клиента и попробуем получить сертификат. - На клиенте запустите Certificate Manager Tool выполнив команду certmgr.msc.

- Перейдите в Personal (Личное) и создайте запрос на получение сертификата, выполнив Request New Certificate (Запросить новый сертификат).

- Next.

- Выберите политику Active Directory. Next.

- В типах сертификатов отметьте ранее созданный шаблон.

Если планируется использование нескольких сертификатов для одного пользователя, желательно присвоить имя запрашиваемому сертификату. Откройте свойства заявки. - На вкладке General (Общие) укажите Friendly name (Понятное имя).

Сохраните и закройте свойства. - Enroll.

- Заявка успешно завершена, сертификат получен.

- В Certificate Manager Tool можно посмотреть параметры сертификата.

Мы получили сертификат только для одного пользователя, а когда пользователей много, такой способ не очень удобен. Для облегчения процесса давайте настроим автоматическую раздачу сертификатов групповой политикой. - Для начала необходимо изменить свойства, созданного ранее шаблона, сделать его доступным для автоматической выдачи. Найдите созданный шаблон в Server Manager и откройте свойства.

- Перейдите на вкладку Security (Безопасность) и для группы Authenticated Users (Прошедшие проверку) разрешите Autoenroll (Автозаявка).

- Следующий шаг — настроить групповую политику автоматической регистрации сертификатов для домена. Можно изменить политику по-умолчанию, но лучше создать новую, так мы сможем ограничить круг пользователей, охватываемых политикой. На домене выполните команду Create a GPO in this domain, and Link it there… (Создать ОГП в документе и связать его…).

- Введите имя групповой политики, например:

- Отредактируйте созданную политику.

- Перейдите в раздел «User configuration — Policies — Widows Settings — Security Settings — Public Key Policies» (Конфигурация пользователя — Политики — Конфигурация Windows — Параметры безопасности — Политики открытого ключа) и откройте свойства Certificate Services Client — Auto-Enrollment (Клиент службы сертификации — автоматическая регистрация).

- Включите автоматическую регистрацию сертификатов и флажки:
- Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты;
- Обновлять сертификаты, использующие шаблоны сертификатов.

- Закройте редактор групповой политики и в Server Manager при необходимости ограничьте круг пользователей или компьютеров, на которые будет применена политика. Как пример, ниже показана политика, которая будет распространена только на ПК DOMAINCOMPUTER.

Групповая политика создана, проверим как она работает. - На клиенте откройте CMD.exe с правам администратора и выполните команду «gpupdate /force /boot /logoff» или перезапустите ПК.

- Сертификат должен быть автоматически запрошен и получен. Полученный сертификат можно увидеть в Certificate Manager Tool (пункт 33) или в Control Panel — Internet Options, вкладка Content — Certificates — Personal (Панель управления — Свойства обозревателя, вкладка Содержание — Сертификаты — Личные).

Это всё, что мы хотели сказать про установку и настройку центра сертификации. Спасибо, что читаете наш блог, до свидания!
§



