Документы для работы с электронной подписью и грамотного участия в торгах — Удостоверяющий центр СКБ Контур

Что, кроме эцп, предлагают удостоверяющие центры

Удостоверяющие центры продают носители для ЭЦП (токены). Они похожи на обычные флешки.
Отличие в том, что устройство не только хранит, но и защищает информацию.
Основные виды токенов: Рутокен и JaCarta, у каждого несколько моделей.

Также в УЦ можно приобрести лицензии на средства криптографической защиты информации (СКЗИ).
Это специальные программы для шифрования документов с ЭЦП.
Самая распространенная – КриптоПро CSP.

Инженеры УЦ могут приехать к вам в офис или на дом и установить на рабочем месте
СКЗИ и другое программное обеспечение для работы с ЭП
(корневые сертификаты, плагины для работы в браузерах, драйверы носителей).
Это гарантирует корректную работу подписи.

Специалисты УЦ «Тензор» не только выдают ЭЦП для участия в торгах, но и консультируют
по работе на торговых площадках, помогают зарегистрироваться в Единой информационной системе,
пройти аккредитацию на ЭТП, подготовить и подать заявку.

Что такое корневой сертификат

Корневой сертификат — это файл, в котором указаны данные удостоверяющего центра (УЦ). Например, название УЦ, его ИНН и адрес, срок действия сертификата, какой алгоритм шифрования использует УЦ. 

К этим данным обращается криптопровайдер, когда проверяет действительность электронной подписи пользователя. Если не установить корневой сертификат на компьютер, где используется электронная подпись, то подпись не будет работать корректно.

Удостоверяющий центр использует корневой сертификат, чтобы:

• выдавать  сертификаты электронной подписи (ЭП, она же ЭЦП) пользователям, например, гендиректору организации или нотариусу,
• отзывать эти сертификаты, подписывая корневым сертификатом список отозванных (аннулированных) сертификатов.

Получить электронную подпись

Перенаправление ссылок (Redirect)

УЦ опубликовал в сертификате конкретный URL, но на сервере, где этот ресурс опубликован, происходит перенаправление клиента на другой URL.

Вызывающая система на Java может легко определить, что включено перенаправление следующим образом:

private static final String ATTENTION_CRL_REDIRECT_DETECTED = "Attention CRL redirect detected: ";
    private static final String LOCATION = "Location";
   URL url = new URL(crlURL);
        InputStream crlStream = null;
        URLConnection connection = url.openConnection();
        String redirect = connection.getHeaderField(LOCATION);
        if (redirect != null) {
            throw new DownloadCRLException(
                    ATTENTION_CRL_REDIRECT_DETECTED   crlURL   STRING_DIRECTION   redirect);
        }

Просроченный CRL

Сертификат может содержать несколько ссылок на списки отзыва. Внутри каждого CRL могут быть вложены ссылки на его дельты с иными, более короткими сроками жизни, а следовательно, обновляемые чаще.

Хорошая информационная система должна загрузить список по каждой доступной ссылке, загрузить все вложенные дельты и убедиться, что серийный номер проверяемого сертификата не встречается ни в одном из них.

Рекурсивный алгоритм поиска в коробках, вложенных друг в друга, хорошо подходит для решения этой задачи.

А чтобы не загружать CRL каждый раз при интенсивном обмене в автоматических информационных системах, списки отзыва можно кэшировать на заданное разумное время, но не больше срока их жизни.

Были случаи, когда по каким-то причинам УЦ своевременно не обновлял CRL.

Список отзыва с истекшим сроком действия, естественно, не принимается. И если для сертификата нет или не удается загрузить по другим ссылкам действующий список, то общий результат будет отрицательным, а документ с ЭП отвергнут.

Сбои на сетевом и транспортном уровне

В качестве примера можно привести ситуацию со сбоем или некорректными настройками и состоянием на оборудовании удостоверяющего центра или сайта организации.

Где приобретать эцп после 1 января 2022 года

ИП и компании будут получать сертификаты в удостоверяющем центре (УЦ) ФНС либо у доверенных лиц ФНС.

Для банков предназначен удостоверяющий центр ЦБ РФ, а для бюджетных предприятий — удостоверяющий центр Федерального казначейства.

Работникам фирм и уполномоченным представителям будут выдаваться электронные подписи физических лиц. Получить такой сертификат можно в одном из удостоверяющих центров, аккредитованных по обновлённому порядку. Для подписания документов юрлица подобной ЭЦП потребуется электронная доверенность, которая должна быть заверена сертификатом главы компании, выданным в УЦ ФНС.

Как видите, изменение правил коснётся всех налогоплательщиков, применяющих ЭЦП, в том числе для сдачи бухотчётности онлайн. На переход к новому режиму отводится полгода — с 1 июля 2021 года до 1 января 2022 года. За переходный период предполагается принять недостающие нормативные акты и оптимизировать все процедуры.

Для чего необходима электронная доверенность

С 1 января 2022 года сотрудникам компаний будут доступны исключительно сертификаты физлиц. Получать их можно будет в аккредитованных УЦ. Подобные сертификаты будут содержать ФИО работника, но не сведения о его работодателе.

Чтобы работник мог заверить личной ЭЦП документы от имени предприятия, как раз и необходима электронная доверенность. К июлю должный выйти нормативные правовые акты, регламентирующие подобные доверенности.

ФНС будет первой госслужбой, принимающей документы, которые завизированы физлицом по электронной доверенности. Доверенность докажет, что работник фирмы наделён полномочиями подавать от её имени документы в ИФНС. Электронная доверенность заверяется сертификатом директора, полученным в УЦ ФНС, и служит полноправной заменой бумажной доверенности, подписанной директором фирмы вручную.

К сегодняшнему дню подготовлен проект приказа, где содержится формат электронной доверенности представителя налогоплательщика для подачи документов в налоговую. Предположительно, данный формат начнёт применяться с 1 июля 2021 года. Тем не менее, новая схема в целом — заверка электронной отчётности работниками с использованием сертификатов физлиц и электронных доверенностей — будет обязательной к применению, начиная с 1 января 2022 года. То есть, в течение шести месяцев старый и новый методы будут равноправны.

Документы для работы с электронной подписью и грамотного участия в торгах

Заверение и передача электронной доверенности

Когда у директора есть возможность заверить доверенность сразу (допустим, он сидит в соседней комнате и может подойти лично с собственным сертификатом из УЦ ФНС), достаточно нажать кнопку «Подписать и отправить».

Заполняем данные о доверенности в экстерне

Если отчёты и иные документы для ФНС будут подписываться работником, у которого есть сертификат физического лица, то нужно сначала оформить на него электронную доверенность.

Для ввода в Экстерн сведений о доверенности необходимо выбрать сертификат физлица в «Реквизитах плательщика» в блоке «Подписание документов», а потом кликнуть по кнопке «Добавить доверенность».

Изменения с 1 июля 2021 года

Налоговики начнут официально выдавать бесплатные сертификаты электронных подписей индивидуальным предпринимателям и юрлицам. Сертификаты будут на имя директора компании, к тому же их нельзя будет копировать. Тестовый режим в ИФНС большинства регионов запущен ещё в конце апреля.

Инструкция по установке корневого сертификата удостоверяющего центра

Для начала работы с электронной подписью необходимо установить корневые и промежуточные сертификаты УЦ. У клиентов УЦ Контура установка обычно происходит автоматически — во время автонастройки компьютера. Ниже мы опишем и автоматический, и ручной способ.

Автоматическая установка — наиболее простой и быстрый способ, который не требует специальных знаний и навыков от вас:

1. Откройте любой удобный браузер, это может быть Google Chrome, Mozilla Firefox, Internet Explorer или другой.
2. Зайдите в сервис автоматической настройки рабочего места Контур.Веб-диск.
3. Действуйте по указаниям сервиса: он продиагностирует ваш компьютер, найдет каких плагинов и файлов не хватает, предложит их установить. Вместе с ними установит необходимые корневые и промежуточные сертификаты.

Как выбрать удостоверяющий центр

Главный критерий выбора УЦ для получения квалифицированной подписи – его аккредитация. КЭП можно получить
только в удостоверяющем центре, одобренном Минкомсвязью РФ. На сайте министерства
можно посмотреть перечень аккредитованных УЦ.

Изучите тарифы удостоверяющих центров в вашем городе – стоимость на одинаковые виды ЭП
в разных УЦ отличается.

Обратите внимание на удобство расположения центров выдачи, возможность оформить ЭП удалённо и заказать
доставку подписи домой или в офис.

Дополнительным подтверждением надёжности служат размещённые на сайте лицензии и сертификаты,
отзывы клиентов о работе компании.

«Тензор» – аккредитованный удостоверяющий центр, который занимает 45% рынка электронных подписей
и выпускает ЭП для любого вида деятельности. Есть возможность дистанционного оформления ЭЦП
и доставка. Служба технической поддержки работает круглосуточно
и без выходных – помогает настраивать рабочие места для использования подписи и отвечает
на вопросы по ее применению.

Как отозвать электронную доверенность

Бывают ситуации, когда необходим отзыв электронной доверенности. К примеру, когда работник уволен и не имеет больше права заверять документы от имени бывшего работодателя.

Отзыв электронной доверенности — это тоже формализованный документ. Его необходимо заверить сертификатом руководителя, полученным в УЦ ФНС.

Экстерн позволяет отзывать электронные доверенности в разделе «Реквизиты плательщика» в блоке доверенности: заполните форму отзыва и направьте её в налоговую, заверив сертификатом директора или заранее запросив у директора подпись.

Доверенность прекратит своё действие, когда поступит сообщение, что Ваш отзыв принят.

Как получить электронную подпись

Обратитесь в офис компании «Тензор» лично или
оставьте онлайн‑заявку на сайте.
Менеджер проверит заявку и перезвонит в течение часа.

Из документов потребуются только паспорт и СНИЛС. Срок изготовления подписи – от 15 минут.

Получить электронную подпись можно в одном из центров выдачи УЦ «Тензор» или у наших партнеров в регионе. Можно заказать доставку подписи на дом или в офис. Специально подготовленный сотрудник доставит ЭЦП, не допустив компрометации.

Как это использовать

Короткие примеры для проверки «выгрузки» Роскомнадзора с открепленной подписью. Файл «выгрузки» — dump.xml, открепленной подписи — dump.xml.sig. Даже я проверял их раньше только на целостность подписи, но не на соответствие источнику.

Используя OpenSSL:

Какая информация содержится в корневом сертификате

Корневой сертификат представляет собой файл, который содержит свойства и данные: 

• серийный номер,
• сведения об УЦ,
• сведения о владельце сертификата,
• сроки его действия,
• используемые алгоритмы
• открытый ключ электронной подписи,
• используемые средства УЦ и средства электронной подписи,
• класс средств ЭП,
• ссылка на сертификат «вышестоящего» УЦ, который выдал данный сертификат (для промежуточного сертификата),
• ссылка на реестр аннулированных (отозванных) сертификатов (для промежуточного сертификата),
• электронную подпись УЦ, выдавшего сертификат.

Какой срок действия корневого сертификата удостоверяющего центра

Корневой сертификат УЦ Минцифры действует 18 лет. Промежуточный сертификат аккредитованного УЦ действует 15 лет — это дольше, чем действие любого пользовательского сертификата ЭП, который такой УЦ выдаст клиенту. Пользовательские сертификаты выдаются обычно на 12, 15 месяцев.

УЦ сам следит за сроками действия своих промежуточных и корневых сертификатов, чтобы не доставить неудобств клиентам. УЦ Контура обновляет сертификаты в среднем раз в год —  это необходимо, чтобы соблюдать требования эксплуатационной документации к срокам ключей электронной подписи на сертифицированные средства УЦ и ЭП. Обновление происходит незаметно для пользователей и не влияет на их работу.

Получить электронную подпись

Какая эп необходима для сдачи отчётности

Электронную отчётность, сдаваемую в контролирующие органы, можно будет подписывать сертификатом руководителя, полученным в УЦ ФНС, либо сертификатом физлица.

Какие бывают корневые сертификаты и для чего нужны

Корневой сертификат участвует в «цепочке доверия». «Цепочка доверия» — это взаимосвязь нескольких сертификатов, которая позволяет проверить, действительна ли электронная подпись и можно ли доверять сертификату ЭП. 

Рассмотрим «цепочку доверия», сформированную для квалифицированного сертификата электронной подписи:

1. Корневой сертификат Минцифры РФ (ранее — Минкомсвязь РФ). 

Это верхнее звено «цепочки доверия». Минцифры РФ осуществляет функции головного удостоверяющего центра в России. Оно наделяет другие удостоверяющие центры, прошедшие аккредитацию, правом выдавать квалифицированные сертификаты ЭП — выдает им собственные сертификаты, подписанные корневым сертификатом Минцифры РФ.

Например, в Windows корневой сертификат можно найти через  «Управление сертификатами» — «Доверенные корневые центры сертификации» — «Сертификаты». 

2. Сертификат удостоверяющего центра. Официально его называют «промежуточный сертификат», но распространено также название «корневой сертификат УЦ». 

Среднее звено «цепочки доверия». УЦ получает этот сертификат от Минцифры РФ, когда становится аккредитованным. С помощью своего промежуточного сертификата УЦ выдает квалифицированные сертификаты пользователям: организациям, их сотрудникам, простым физлицам (п.2.1 ст.15 63-ФЗ).

В Windows промежуточный сертификат хранится в «Управление сертификатами» — «Промежуточные центры сертификации» — «Сертификаты».

3. Личный сертификат пользователя — квалифицированный сертификат электронной подписи.

Конечное звено «цепочки». Пользователь обращается в УЦ и получает там квалифицированный сертификат ЭП (он же КЭП, ЭП или ЭЦП). В его сертификате указаны данные «вышестоящих» сертификатов — УЦ и Минцифры. 

В Windows личный сертификат можно найти через «Управление сертификатами» — «Личное».

Все сертификаты должны быть установлены в хранилище сертификатов (на компьютер) и действительны. Только тогда криптопровайдер сможет проверить доверие к сертификату пользователя и действительность электронной подписи, сформированной на основе этого сертификата.

Выше мы описали «цепочку доверия» для квалифицированных сертификатов. Поскольку такие сертификаты могут выдавать только аккредитованные УЦ, то в цепочке три звена: Минцифры — аккредитованный УЦ — пользователь. Именно такую связь можно увидеть, если открыть личный сертификат пользователя на вкладке «Путь сертификации» (см. скриншот выше).

Для неквалифицированных сертификатов ЭП «цепочка доверия» может состоять только из двух звеньев: УЦ — пользователь. Это возможно потому, что УЦ для выдачи неквалифицированных сертификатов не нужна аккредитация. Звенья такой «цепочки» будут называться: «корневой сертификат» и «пользовательский (личный) сертификат»

Многопользовательский режим

Прежде для добавления в Экстерн нового пользователя требовалось приобрести сертификат и рабочее место. С 1 июля появится возможность добавлять пользователей, у которых уже есть сертификат физлица, не заказывая им новые сертификаты. Доступным это станет благодаря тому, что согласно новым правилам работник может сохранить свой сертификат физлица при переходе в другую компанию.

Можно ли установить электронную подпись без корневого сертификата

Да, можно, но работать она не будет. Корневой и промежуточный сертификат является тем ключом, к которому обращается криптопровайдер при проверке  подлинности подписи. Для признания ключа действительным в системе должен быть установлен корневой сертификат. В противном случае пользователь увидит окно с уведомлением об ошибке.

Это актуально как для ЭП, хранящейся на компьютере, так и для ЭП на токене, с небольшой разницей:

• при работе с ЭП на компьютере, корневой сертификат устанавливается один раз, обычно при первой установке ЭП,
• если ЭП хранится на токене, то корневой сертификат необходимо устанавливать на тот компьютер, с которым предстоит работать.

Обязательные атрибуты квалифицированных сертификатов

Состав квалифицированного сертификата регулируется Федеральным законом “Об электронной подписи” от 06.04.2021 N 63-ФЗ и Приказом ФСБ РФ от 27 декабря 2021 г. N 795 “Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи”.

Несколько раз встречались квалифицированные сертификаты проверки подписи юридических лиц, выпущенные аккредитованным УЦ, в которых в поле Subject – субъект сертификации отсутствовал атрибут L – Местоположение.

Контроль квалифицированных сертификатов нашей системы отвергал данный сертификат и документы с ЭП партнера.

Удостоверяющий центр данную ситуацию комментировал так:

атрибут L для юридических лиц, зарегистрированных в г. Москве, не проставляется согласно 63-ФЗ и Приказа №795

На конкретный пункты Закона и Приказа в УЦ не ссылались.

Собственный повторный анализ юридических аспектов показал:

63-ФЗ от 06.04.2021 “Об электронной подписи”

Статья 14. Сертификат ключа проверки электронной подписи

2. Сертификат ключа проверки электронной подписи должен содержать следующую информацию:

2) фамилия, имя и отчество (если имеется) – для физических лиц, наименование и место нахождения – для юридических лиц или иная информация, позволяющая идентифицировать владельца сертификата ключа проверки электронной подписи;

Статья 17. Квалифицированный сертификат

2. Квалифицированный сертификат должен содержать следующую информацию:

2) фамилия, имя, отчество (если имеется) владельца квалифицированного сертификата – для физического лица, не являющегося индивидуальным предпринимателем, либо фамилия, имя, отчество (если имеется) и основной государственный регистрационный номер индивидуального предпринимателя – владельца квалифицированного сертификата – для физического лица, являющегося индивидуальным предпринимателем, либо наименование, место нахождения и основной государственный регистрационный номер владельца квалифицированного сертификата – для российского юридического лица, либо наименование, место нахождения владельца квалифицированного сертификата, а также идентификационный номер налогоплательщика (при наличии) – для иностранной организации (в том числе филиалов, представительств и иных обособленных подразделений иностранной организации);

Приказ ФСБ РФ от 27 декабря 2021 г. № 795

III. Требования к порядку расположения полей квалифицированного сертификата

5) stateOrProvinceName (наименование штата или области).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую наименование соответствующего субъекта Российской Федерации. Объектный идентификатор типа атрибута stateOrProvinceName имеет вид 2.5.4.8;

6) localityName (наименование населенного пункта).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую наименование соответствующего населенного пункта. Объектный идентификатор типа атрибута localityName имеет вид 2.5.4.7;

7) streetAddress (название улицы, номер дома).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую часть адреса места нахождения соответствующего лица, включающую наименование улицы, номер дома, а также корпуса, строения, квартиры, помещения (если имеется). Объектный идентификатор типа атрибута streetAddress имеет вид 2.5.4.9;

В сертификате партнера в имени субъекта сертификации были указаны: stateOrProvinceName (наименование штата или области), streetAddress (название улицы, номер дома).

И не указано localityName (наименование населенного пункта).

locality – Местонахождение

В Законе 63-ФЗ и Приказе №795 нет информации, что для города Москва не нужно заполнять атрибут locality – Местонахождение.

Наоборот в обоих документах на русском языке применяется термин место нахождения, чему соответствует атрибут localityName ( 2.5.4.7)

После данного разбора удалось найти документ ФСБ РФ «ИЗВЕЩЕНИЕ ОБ ИСПОЛЬЗОВАНИИ АТРИБУТА ИМЕНИ «LOCALITYNAME» ПОЛЯ «SUBJECT» В СТРУКТУРЕ КВАЛИФИЦИРОВАННОГО СЕРТИФИКАТА КЛЮЧА ПРОВЕРКИ ЭЛЕКТРОННОЙ ПОДПИСИ»

Согласно части 2.2 статьи 18 Закона об ЭП для заполнения квалифицированного сертификата в соответствии с частью 2 статьи 17 Закона об ЭП аккредитованный удостоверяющий центр запрашивает и получает из государственных информационных ресурсов, в том числе, выписку из единого государственного реестра юридических лиц в отношении заявителя ‑ юридического лица.

Таким образом, в случае отсутствия в выписке из единого государственного реестра юридических лиц информации о наименовании населенного пункта, но при наличии информации о наименовании муниципального образования, аккредитованному удостоверяющему центру для заполнения квалифицированного сертификата вместо наименования соответствующего населенного пункта следует использовать наименование соответствующего муниципального образования.

На основании изложенного в качестве значения атрибута имени «localityName» поля «subject» в структуре квалифицированного сертификата следует указывать текстовую строку, содержащую наименование соответствующего населенного пункта или соответствующего муниципального образования.

Данное извещение с разъяснениями регулятора, как правильно заполнять атрибут L в квалифицированном сертификате юридического лица, также было направлено в аккредитованный УЦ.

Прошу использовать данную информацию в работе.

Желаю всем участникам PKI удачи и успехов!

Получить подпись в контуре можно с помощью подписи другого уц. список аккредитованных уц.

Работа с сертификатом от уц фнс

Если Вы планируете использовать такой сертификат в Экстерне, Вам дополнительно потребуются:

1. Защищенный носитель, куда запишут сертификат и ключи ЭЦП. Купить его можно в сервисном центре. Возможно, Ваша фирма получила Рутокен Лайт, когда подключалась к Экстерну. Сертификат в УЦ ФНС можно будет записать и туда. Общая ёмкость Рутокен Лайт — 64 Кб, места хватит для 15 контейнеров с сертификатами.

Допустимые носители:

• Рутокен ЭЦП 2.0
• Рутокен Lite
• Рутокен S
• JaCarta ГОСТ
• JaCarta-2 ГОСТ
• иные, отвечающие нормам ФСБ или ФСТЭК

Вы можете запросить в сервисном центре сертификат соответствия ФСТЭК для ключевого носителя, необходимый для выдачи сертификата в УЦ ФНС.

Внимание! В отдельных регионах в ИФНС требуют чистый токен. В подобных случаях следует скопировать все контейнеры с сертификатами и ключами на любой другой носитель или компьютер. Это даст возможность в будущем расшифровывать отчётность предприятия. Также можно будет включить в Экстерне режим хранения расшифрованных документов.

2. Лицензия СКЗИ КриптоПро CSP. Потребуется отдельная лицензия для каждого рабочего места, где Вы планируете работать с электронной подписью от УЦ ФНС. Контур предлагает лицензии КриптоПро как на год, так и бессрочную.

Решение

Вам потребуются права администратора на компьютере. Убедитесь, что они у вас есть.

Для сертификатов Тензора

Установите все действующие корневые сертификаты УЦ «Тензор». Для этого:

Росстат и фнс

Для сдачи отчётности в этиструктуры необхдоимо в реквизитах плательщика выбрать сертификат руководителя, полученный в УЦ ФНС, либо сертификат физлица.

Сертификаты электронной подписи (эцп) – подбор сертификата, стоимость и цены

Чем должны руководствоваться уц при публикации crl

RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

Спецификацией RFC 5280 IETF и стандартом X.509 ITU-T, разработанными Инженерным советом Интернета и Международным консультационным комитетом по телефонии и телеграфии.

В частности, пунктом 8. Security Considerations из RFC 5280

Шифрование гост

Шифрование ГОСТ поддерживается в LibreSSL не помню с какой версии. Но в Alpine Linux от 3.5 уже поддерживается. С OpenSSL всё сложнее. Шифрование ГОСТ идёт с OpenSSL от версии 1.0.0 до версии 1.0.2 включительно. Но например в CentOS шифрования ГОСТ нет.

Ну и в 2021 году у нас есть Docker, а в Alpine Linux, как я уже упоминал, всё работает.

Электронная подпись (эцп) от удостоверяющего центра скб контур