- I. общие положения
- Ii. подготовка к установке по континент-ап
- Iii. установка по континент-ап
- Iv. настройка соединения континент-ап
- Ix. настройка дополнительных рабочих мест
- V.настройка считывателей в скзи криптопроcsp
- Команды openssl для преобразования сертификатов на своём компьютере
- Конвертирование сертификатов при помощи openssl
- Найдите сертификат с mmc
- Получение и установка сертификата эп кап
- Проверка подписи эцп
- Просмотр актов с расширением .p7s
- Сертификат континента ап
- Сертификаты аутентификации серверов удостоверяющего центра cryptopro tls ca(схема обслуживания – распределенная)
- Документы, регламентирующие деятельность УЦ CryptoPro TLS CA (схема обслуживания – распределенная)
- Порядок получения сертификата:
- Экспорт исправленного сертификата
I. общие положения
1.1. Данная «Инструкция по установке и настройке ПО Континент-АП» (далее – Инструкция) предназначена для пользователей ПО «Континент-АП» (далее – Континент-АП или Абонентский пункт). В ней содержатся сведения, необходимые пользователю для установки, настройки и эксплуатации ПО Континент-АП, используемого при установке защищенного канала связи между УФК по Удмуртской Республике и Клиентом.
1.2. ПО Континент-АП предоставляется Клиенту в рамках Договора.
1.3. ПО Континент-АП предназначено для безопасной передачи данных через общедоступные (незащищенные) сети. Эта технология называется «виртуальная частная сеть» (VPN). Защита данных обеспечивается криптографическими методами, вследствие чего через общедоступную сеть данные передаются в зашифрованном виде.
На компьютере Клиента устанавливается ПО Континент-АП, которое для передачи данных соединяется со специализированным компьютером УФК по Удмуртской Республике – сервером доступа, проверяющим полномочия на доступ и разрешающим доступ к ресурсам защищенной сети УФК по Удмуртской Республике.
1.4. Для взаимодействия Абонентского пункта и сервера доступа используются следующие сертификаты:
– сертификат сервера доступа – для аутентификации сервера доступа;
Ii. подготовка к установке по континент-ап
2.1. Перед установкой ПО Континент-АП версии 3.5.х на компьютере должно быть установлено СКЗИ КриптоПро CSP версии 3.6. В рамках Договора Клиенту СКЗИ КриптоПро CSP версии 3.6 предоставляется во временное пользование УФК по Удмуртской Республике. Порядок получения СКЗИ КриптоПро CSP версии 3.
6 размещен на официальном сайте УФК по Удмуртской Республике: www. udmurtia. roskazna. ru, раздел «Информация для клиентов», подраздел «Электронная подпись». При установке ПО КриптоПро CSP версии 3.6 воспользуйтесь выборочной установкой компонентов и дополнительно выберите для установки компонент «Совместимость с КриптоПро CSP 3.0», а также убедитесь в том, что не выбран для установки компонент «Revocation Provider».
2.2. Для установки на компьютере с операционной системы (далее – ОС) MS Windows XP выберите ПО Континент-АП версии 3.5.67, а для ОС MS Windows 7 – ПО версии 3.5.68.
2.3. Если ПО Континент-АП устанавливается на компьютере под управлением ОС MS Windows 2000, то возможно, будет необходимо установить дополнительно обновления ОС. Для установки выберите ПО Континент-АП версии 3.5.67.
2.4. Все операции по установке ПО, описанные в разделе II, на компьютере должны выполнятся пользователем с администраторскими правами.
Iii. установка по континент-ап
3.1. Установка ПО Континент-АП на компьютере должна проводиться пользователем с администраторскими правами.
3.2. Для установки ПО Континент-АП версии 3.5.х найдите в дистрибутиве Континент-АП, файл setup. exe и запустите его.
3.3. Программа установки начнет выполнение подготовительных действий, и на экране появится сообщение об этом. После завершения подготовительных действий на экран будет выведен стартовый диалог мастера установки. Нажмите кнопку «Далее >».
3.4. При появлении лицензионного соглашения, необходимо его прочитать и принять его условия (рис. 1) и нажать кнопку «Далее >».
3.5. Появится окно выбора папки, в которую будет установлен Континент-АП (рис. 2). Папку для установки ПО, предлагаемую по умолчанию, можно изменить, используя кнопку «Изменить…». Выбрав папку, нажмите кнопку «Далее >».
Внимание! Для корректной совместной работы ПО Континент-АП и ППО «СЭД» необходимо производить установку Континент-АП строго в папку по умолчанию – «C:Program FilesSecurityCodeClientContinent».
3.6. При появлении окно выбора вида установки (рис. 3) отметьте пункт «Выборочная» и нажмите кнопку «Далее >».
3.7. Откроется окно выбора компонентов установки (рис. 4). В этом окне необходимо исключить из установки компонент «Межсетевой экран», для этого нажмите левой кнопкой мыши на пиктограмме рядом с названием компонента и отметьте пункт «Данный компонент будет недоступен». В результате компонент «Межсетевой экран» примет вид, как на рис. 5. Нажмите кнопку «Далее >».
3.8. При запросе IP-адреса сервера доступа (рис. 6) оставьте значение «0.0.0.0» без изменений и нажмите кнопку «Далее >».
3.9. Появится окно с предупреждением о необходимости положительных ответов на все предупреждения, которые могут появиться в ходе установки программы (рис. 7). Нажмите кнопку «Установить».
3.10. Начнется установка программы и необходимых драйверов. В ходе установки могут появляться окна с предупреждением, что устанавливаемое программное обеспечение не тестировалось на совместимость с используемой ОС (рис. 8). Обязательно нажимайте кнопку «Все равно продолжить».
3.11. О завершении установки программы будет свидетельствовать окно, показанное на рис. 9. Нажимите кнопку «Готово».
3.12. После установки ПО Континент-АП необходимо перезагрузить компьютер. После загрузки ОС в области уведомлений (в правом нижнем углу экрана) будет отображена пиктограмма программы управления Абонентским пунктом в виде щита серого цвета с буквами «АП» (рис. 10).
3.13. Чтобы правильно формировались заявки на изготовление сертификатов аутентификации необходимо заменить файл шаблона заявки. Для этого скопируйте файл шаблона заявки request. xsl поверх существующего в папку установки ПО Континент-АП (для ПО версии 3.5.
Iv. настройка соединения континент-ап
4.1. При установке ПО Континент-АП на компьютере автоматически создается соединение с одноименным названием «Континент-АП». Для правильной работы Абонентского пункта необходимо произвести настройку указанного соединения. Настройка соединения выполняется пользователем с администраторскими правами.
4.2. Для настройки соединения нажмите правой кнопкой мыши на пиктограмме программы управления Абонентским пунктом (значок в виде щита с буквами «АП» в правом нижнем углу экрана) и в появившемся контекстном меню выберите пункт «Настройка →Континент-АП» (рис. 11).
4.3. Откроется окно свойств соединения «Континент-АП». В этом окне на вкладке «Общие» (рис. 12). В поле «Номер телефона:» введите IP-адрес «78.109.112.138» или «10.13.253.21», если для соединения с сервером доступа дополнительно используется подключение «ufkras».
4.4. Затем выберите вкладку «Сеть» (рис. 13). В этой вкладке в поле «Компоненты, используемые этим подключением:» снимите галочки со всех компонентов, кроме «Протокол Интернета (TCP/IP)», «Планировщик пакетов QoS», «Continent3 Filter Driver». Для завершения настройки соединения нажмите кнопку «ОК».
Ix. настройка дополнительных рабочих мест
9.1. При организации более одного рабочего места для работы с СУФД-порталом или ППО СЭД через одну рабочую станцию (или сервер) с установленным ПО Континент-АП требуется выполнить дополнительные настройки.
1) Сервер – автоматизированное рабочее место (далее – АРМ) с установленным ПО Континент-АП.
2) Клиент – дополнительный АРМ с СУФД-порталом или ППО СЭД.
9.3.1. Проверить запущена ли служба «Брандмауэр Windows/Общий доступ к Интернету (ICS)», если нет, запустить.
9.3.2. Открыть «Сетевые подключения», в свойствах подключения Континент-АП на вкладке «Дополнительно» поставить галочку «Разрешить другим пользователям сети использовать подключение к Интернету данного компьютера».
9.4.1. Добавить маршрут от Клиента до «СУФД-портала» (или FTP-сервера) через Сервер, используя командную строку (cmd. exe):
route add 10.13.200.12 mask 255.255.255.255 «IP_адрес_Сервера»
9.5. Проверить связь c Клиента (при этом на Сервере должно быть установлено соединение Контиенент-АП), используя командную строку (cmd. exe):
9.6. При успешной проверке связи повторить команду добавления маршрута с ключом «-p», используя командную строку (cmd. exe):
route add 10.13.200.12 mask 255.255.255.255 «IP_адрес_Сервера» — p.
9.7. При использовании нескольких Клиентов соответствующие настройки – п. 9.4. – необходимо провести на всех АРМ.
источник
V.настройка считывателей в скзи криптопроcsp
5.1. Набор считывателей и носителей информации, используемый при работе с ключами аутентификации для ПО Континент-АП, настраивается в СКЗИ КриптоПро CSP (далее – ПО КриптоПро).
5.2. Перед началом генерации ключей аутентификации убедитесь, что необходимые (планируемые для использования) считыватели и носители добавлены в ПО КриптоПро. Для этого откройте панель управления (Пуск → Настройка → Панель управления) и в ней откройте оснастку «КриптоПро CSP» (рис. 14).
5.3. Откроется окно «КриптоПро CSP» (рис. 15) (далее приведена инструкция для КриптоПро версии 3.6). В этом окне выберите вкладку «Оборудование» и нажмите кнопку «Настроить считыватели…». Появится окно со списком установленных считывателей (рис. 16).
5.4. Для добавления необходимого считывателя в окне «Управление считывателями» нажмите кнопку «Добавить…» (рис.16). Откроется окно «Мастер установки считывателя», в этом нажмите кнопку «Далее >».
5.5. В появившемся окне (рис. 17) в доступных считывателях выберите необходимый и нажмите кнопку «Далее >».
5.6. В появившемся окне (рис. 18) поле «Имя считывателя:» оставьте без изменений и нажмите кнопку «Далее >».
5.7. В результате появится окно с сообщением о завершении работы мастера установки считывателей (рис. 19). Нажмите кнопку «Готово». В итоге в списке установленных считывателей (рис. 16) будет добавлен новый считыватель. Закройте окно «Управление считывателями» (рис. 16), нажав кнопку «ОК». Закройте окно «КриптоПро CSP» (рис. 15), нажав кнопку «ОК».
Команды openssl для преобразования сертификатов на своём компьютере
Перевод:
SSL Converter
Воспользуйтесь этим преобразователем SSL для преобразования сертификатов SSL между различными форматами, такими как pem, der, p7b и pfx.
Разные платформы и устройства требуют преобразовывать сертификаты SSL в разные форматы. Например, Windows-сервер экспортирует и импортирует файлы .pfx, а сервер Apache использует отдельные файлы PEM (.crt, .cer). Чтобы воспользоваться преобразователем SSL, просто выберите файл сертификата и его текущий тип (произойдёт попытка определить тип по расширению файла), затем выберите тип, в который нужно преобразовать сертификат и нажмите Преобразовать сертификат. Подробности о различных типах сертификатов SSL и о том, как можно преобразовать сертификаты на своём компьютере с помощью OpenSSL, смотрите ниже.
Формат PEM
Формат PEM – наиболее распространённый формат сертификатов, выпускаемых удостоверяющими центрами. Сертификаты PEM обычно имеют расширения .pem, .crt, .cer и .key. Это ASCII-файлы с информацией, закодированной в Base64, и содержащие выражения “—–BEGIN CERTIFICATE—–” и “—–END CERTIFICATE—–“. Сертификаты сервера, промежуточные сертификаты и приватные ключи могут быть записаны в формате PEM.
Apache и другие подобные серверы используют сертификаты в формате PEM. Несколько сертификатов PEM и даже приватный ключ можно поместить в одном файле друг за другом, но большинство платформ, таких как Apache, берут сертификат и приватный ключ из отдельных файлов.
Формат DER
Формат DER – это просто двоичный вид сертификата, в отличие от PEM, который закодирован в символы ASCII. Иногда встречается расширение файла .der, но чаще у файла бывает расширение .cer. Чтобы узнать, имеет ли этот файл формат DER или PEM, можно открыть его в текстовом редакторе и поискать выражения BEGIN и END. Все типы сертификатов и приватных ключей могут быть представлены в формате DER. Обычно DER используется на платформе Java. Инструмент для преобразования SSL умеет преобразовывать в формат DER только сертификаты. Если нужно преобразовать в формат DER приватный ключ, воспользуйтесь командами OpenSSL, приведёнными на этой странице.
Формат PKCS#7/P7B
Формат PKCS#7 или P7B обычно сохраняется в виде ASCII, закодированным в Base64, и имеет расширение .p7b или .p7c. Сертификаты P7B содержат выражения “—–BEGIN PKCS7—–” и “—–END PKCS7—–“. Файл P7B содержит только сертификаты и цепочки сертификатов, но не приватные ключи. Некоторые платформы поддерживают файлы P7B, в том числе Microsoft Windows и Java Tomcat.
Формат PKCS#12/PFX
Формат PKCS#12 или PFX – это двоичный формат для хранения сертификата сервера, промежуточных сертификатов и приватного ключа в одном зашифрованном файле. Файлы PFX обычно имеют расширение .pfx или .p12. Файлы PFX обычно используются на компьютерах под управлением Windows для импорта и экспорта сертификатов и приватных ключей.
При преобразовании файла PFX в формат PEM, OpenSSL поместит все сертификаты и приватный ключ в один файл. Для этого нужно открыть файл в текстовом редакторе и скопировать каждый сертификат и приватный ключ (включая выражения BEGIN/END) в отдельные текстовые файлы и сохранить их под именами certificate.cer, CACert.cer и privateKey.key соответственно.
Команды OpenSSL для преобразования сертификатов SSL на своём компьютере
Настоятельно рекомендуется преобразовывать файлы .pfx на своём компьютере с помощью OpenSSL. Это позволит сохранить приватный ключ в тайне. Воспользуйтесь следующими командами OpenSSL для преобразования сертификата SSL в различные форматы на своём компьютере:
Преобразование PEM с помощью OpenSSL
Преобразование DER с помощью OpenSSL
Преобразование P7B с помощью OpenSSL
Преобразование PFX с помощью OpenSSL
Конвертирование сертификатов при помощи openssl
Как только возникает необходимость выполнить конвертирование одного формата сертификата в другой, каждый раз возникает вопрос: “Как это сделать?”. Наиболее удобно для этого использовать OpenSSL (
openssl.org
), этот сайт содержит исходные коды, если нет желания выполнять компилирование исходных кодов, то можно взять скомпилированный вариант OpenSSL, его можно скачать по ссылке:
https://slproweb.com/products/Win32OpenSSL.html
. Необходимость выполнять конвертирование возникает, если имеющийся формат сертификата не подходит для ПО или оборудования.
Итак, если необходимо выполнить конвертирование одного формата сертификата в другой, то надо скачать и установить OpenSSL на локальном компьютере. Далее, рекомендуется скопировать с папку с OpenSSL имеющиеся файлы сертификата, для которого необходимо выполнить конвертирование, открыть командную строку и перейти в папку с установленным OpenSSL.
Рекомендуется запускать командную строку с от имени администратора (Run As Administrator), это позволит избежать возможных ошибок, если на машине включен UAC.
Для выполнения конвертирования необходимо выполнить одну (или две) команду из списка ниже, в зависимости от исходного формата сертификата и целевого.
Конвертирование x509 в PEM
openssl x509 -in certificate.cer -outform PEM -out certificate.pem Конвертирование PEM в DER
openssl x509 -outform der -in certificate.pem -out certificate.der Конвертирование DER в PEM
openssl x509 -inform der -in certificate.der -out certificate.pem Конвертирование PEM в P7B
openssl crl2pkcs7 -nocrl -certfile certificate.pem -out certificate.p7b -certfile CACert.cer Конвертирование PKCS7 в PEM
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.pem Конвертирование pfx в PEM
openssl pkcs12 -in certificate.pfx -out certificate.pem Конвертирование PFX в PKCS#8
Для этого требуется выполнение двух команд
Step 1:Конвертирование PFX в PEM
openssl pkcs12 -in certificate.pfx -nocerts -nodes -out certificate.pem Step 2:Конвертирование PEM в PKCS8
openSSL pkcs8 -in certificate.pem -topk8 -nocrypt -out certificate.pk8 Конвертирование P7B в PFX
Для этого требуется выполнение двух команд
1. Конвертирование P7B в CER
openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer2. Конвертирование CER и закрытого ключа в PFX
openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile cacert.cer cacert.cer – это файл сертификата выдающего центра сертификации (Intermediate CAs)
Найдите сертификат с mmc
- Откройте MMC на своем компьютере (вы можете найти эту программу, набрав «mmc» в строке поиска Windows).
- Выберите Файл> Добавить / удалить оснастку (или введите Control-M). Выберите сертификаты И нажмите Добавить кнопку.
- Выберите «Учетная запись компьютера» и нажмите Далее…
- Направьте оснастку для управления Локальный компьютер и нажмите Завершить.
- Нажмите на OK добавить оснастку.
- Затем перейдите в папку «Сертификаты (локальный компьютер)> Личные> Сертификаты».
Получение и установка сертификата эп кап
После предоставления всех перечисленных документов и файлов, будет изготовлен сертификат (открытая часть ключа ЭП). Об этом будет сообщено по телефону, на контактный номер учреждения. После чего, уполномоченному лицу, необходимо получить сертификат на бумажном носителе и в электронном виде (файлы user.cer и root.p7b) на флешку.
Полученные файлы необходимо скопировать на компьютер где используется СКЗИ “Континет-АП”. Рекомендую выделить для этого специальную папку, например “c:certifikate”.
Сертификат необходимо установить в Континент-АП.
1. Запускаем программу “Континент-АП”, если она еще не запущена. Возле “часов” появится иконка в виде серого щита с черными буквами “АП”. Кликаем правой клавишей мыши, в появившемся контекстном меню заходим “Сертификаты – Установить сертификат пользователя”.
2. Находим папку в которую вы сохранили полученные файлы сертификатов ЭП (например c:certifikate). Встаем на файл с именем “user.cer“, и жмем “Открыть”.
3 .В открывшемся окне выбираем контейнер ключа (закрытая часть ключа) находящийся на флэшке или на дискете (у вас он естественно будет с другим именем). Встаем на него и жмем “ОК”.
4. В этом окне вам предлагается установить корневой сертификат. Кликаем по кнопке с надписью “Да, вручную”.
5. Выбираем, все в той же папке, но уже файл с именем “root.p7b“. Жмем “Открыть”.
6. Компьютер спрашивает вашего разрешения установить корневой сертификат, советую ответить “Да” 🙂
7. Ну а тут все понятно…
Проверка подписи эцп
Для верифицирования сертификатов нужен сертификат удостоверяющего центра и актуальный список отзыва сертификатов,
либо настроенный для этого revocation provider.
Корневой сертификат УЦ, список отзыва сертификата является одним из реквизитов самого сертификата.
Контрагенты когда открывают подписи в КриптоАРМ используют revocation provider, он делает проверки отзыва сертификата онлайн.
Как реализована проверка в Шарепоинте не знаю. Знаю только что используется библиотека Крипто.Net
cryptcp -verify-nochain
Проверка конкретной подписи из локального хранилища по его хешу:
cryptcp -verify-thumbprint 255c249150efe3e48f1abb3bc1928fc8f99980c4 -nochain test.txt.sig
Проверить, взяв сертификат из file1.sig, подпись файла file2.sig. Практически, надо использовать один и тот же файл:
cryptcp -verify-norev-f file1.sig file2.sig
Ответ:
Certificates found: 2 Certificate chains are checked. Folder './': file.xls.sig... Signature verifying... Signer: Старший инженер, Иванов Иван Иванович, Отдел закупок, ООО «Верес», Москва, RU, info@site.ru Signature's verified. Signer: Генеральный директор, Сидоров Иван Петрович, Руководство, ООО «Кемоптика», Москва, RU, info@site.ru Signature's verified. [ReturnCode: 0]
Результат:
Просмотр актов с расширением .p7s
- Для сохранения и расшифровки документов необходимо выполнить следующие действия:
- Сохраните программу VerifyDocSign.exe (нажмите здесь, чтобы скачать) для расшифровки актов
- Зайдите в личный кабинет на сайте https://torgi.center-inform.ru/
- Выберите заказ, документы из которого вы хотите открыть
- Перейдите в раздел Заказанные услуги и сохраните счета и документы для получения услуги.
- В выбранном заказе сохраните акт с расширением .p7s, нажав на него
- Запустите сохраненную программу VerifyDocSign.exe, нажмите Проверить подписи и выберите сохраненный файл акта с расширением .p7s
- После того, как подписи были проверены, нажмите Сохранить документ, чтобы открыть акт
- Откроется окно Сохранить как, введите имя документа и нажмите Сохранить
- После того, как акт был сохранен, вы можете ознакомиться с его содержимым и распечатать
Документы успешно расшифрованы.
Сертификат континента ап
В одной из своих статей я рассказывал как установить программу Континент АП на Windows 7. Дело в том, что эта программа использует в своей работе сертификаты, с помощью которых создается защищенное соединение и обмен данными с сервером доступа Континента АП. В этой статье я постараюсь рассказать как создать запрос на издание сертификата для Континента АП, а также как установить этот сертификат в программу.
Показывать буду как всегда с картинками, правда сделаны они были на компьютере, под управлением Windows XP. Итак приступим…
После установки Континента АП, у вас в трее должен появиться значёк “серый щит”. Если кликнуть этот “щит” правой кнопкой мышки, то появится контекстное меню, как показано на картинке ниже:
Тут надо выбрать пункт меню “Сертификаты”, а затем “Создать запрос на пользовательский сертификат”. Откроется следующее окошко (рис.2):
Эту форму необходимо заполнить. Перед этим не забудьте вставить чистый ключевой носитель. Ведь после заполнения этой формы начнется генерация закрытых ключей, которая происходит на отторгаемый ключевой носитель. Это может быть, например, флешка. Если вы используете на своём компьютере программу Крипто ПРО 3.6 и выше, то там флешки включены по умолчанию. А если быть более точным, то “Все съёмные носители”. Генерацию на ключевой носитель типа “Реестр” не рассматриваю, т.к. это запрещено в нашем УФК.
Итак, вернемся к заполнению формы (рис.2). Как можно видеть, она состоит как бы из двух блоков. Я их обвел желтым контуром. Если с верхним блоком все интуитивно понятно (надо заполнить все поля), то на нижнем остановлюсь подробнее. Сразу необходимо установить галку “бумажная форма”. По умолчанию она не установлена. По кнопкам “Обзор” можно выбрать место для сохранения файлов. А их будет два. *.reg и *.html. Имена файлов можно отредактировать так, как вам будет удобно, не меняя, конечно же, расширения файлов.
По умолчанию программа предлагает сохранить под следующим именем: имя компьютера в сети (я обвёл синим контуром), дата и время создания запроса. Как видно из рисунка, запрос создавался 10.12.2021 в 9 часов 51 минуту 46 секунд на компьютере с именем “imyacompa”. Последние 3 символа добавляются случайным образом. Они всегда состоят из трёх цифр и какой-то системы в их генерации я не заметил.
Стоит отметить, что если вы скачали у меня с сайта программу Континент АП версии 3.5.68.0, то скорее всего там старый шаблон печатной формы. После установки данной программы, вам необходимо поменять этот шаблон. Это актуально для нашего региона, а именно Челябинской области. Изменение шаблона печатной формы затронет только печатную форму в формате *.html, на *.req файл это не окажет никакого влияния.
Если у вас в регионе используется старый шаблон, то вы должны действовать в соответствии с рекомендациями для вашего региона. Скачать новый шаблон можно по следующей ссылке. Если же вы находитесь в нашем регионе, то перед генерацией ключей и запроса на сертификат, поменяйте шаблон в соответствии с инструкцией в приложенном файле.
Итак, определившись с именем файлов, можно запустить генерацию запроса на сертификат, нажав кнопку “ОК”. Как уже было сказано выше, мы получим 2 файла *.req и *.html, а также закрытые ключи на флешке или любом другом носителе.
Дальше необходимо действовать в соответствии с порядком предоставления запросов на сертификат, который действует в вашем УФК. У нас мы распечатываем *.html файл на бумажном носителе, подписываем владельцем сертификата и руководителем организации. Затем передаем в казначейство бумажный экземпляр и *.req файл на съёмном носителе и взамен получаем сертификат.
Итак, запрос отправлен в УФК, мы получили сертификат. Кстати, между отправкой запроса и получением сертификата может пройти время, у всех по разному, но главное дождаться сертификата. Что же дальше? А дальше кликаем правой кнопкой мыши на “щите” Континента АП и делаем то, что показано на рисунке ниже:
А именно: идем опять на “Сертификаты”, а потом “Установить сертификат пользователя”. Стрелочки на рисунке 3 показывают, что надо делать. Перед этим вставьте ключевой носитель с закрытыми ключами, полученными в результате генерации, а также подготовьте полученный из УФК сертификат. Я его переписал на ключевой носитель, чтобы он всегда был под рукой. Вы можете поступить по своему: переписать его куда угодно, главное, чтобы при установке Вы смогли до него добраться. Кстати, вместе с пользовательским сертификатом, наше УФК выдает также и корневой сертификат Континента АП. Этот сертификат, при установке, должен быть расположен в том же каталоге, что и пользовательский. В общем, на рисунке ниже всё это показано:
Корневой сертификат Континента АП – это файл root. Этот сертификат нужен при установке Континента АП в первый раз. После установки пользовательского сертификата, программа устанавливает корневой, если он не установлен. В противном случае – ничего не делает. Но если в первый раз программа не найдет корневой, то будут проблемы. Поэтому лучше пусть будет всегда вместе с сертификатом пользователя в одном каталоге.
Здесь, рисунок 4, при установке надо выбирать, конечно же, сертификат пользователя. Он подчеркнут мною на картинке. А желтая папка – это закрытые ключи, полученные при генерации запроса. Там шесть файлов с расширением *.key. Кстати, ключи стандартные для программы Крипто Про 3.6. Ведь именно она генерирует эти ключи. Итак, выбрав сертификат пользователя, нажимаем кнопку “Открыть” и попадаем на следующую картинку:
Самая верхняя строчка – это как раз и есть ключевой контейнер с закрытыми ключами. А на этом этапе мы как раз и должны указать программе соответствующий нашему сертификату ключевой контейнер. А именно тот, который был сгенерирован при создании запроса на сертификат. Вообще, позволю себе небольшое отступление… Все ЭЦП, которые генерируются с помощью Крипто Про (вы ведь не думаете, что ключи генерирует Континент АП), состоят из двух частей:
Эти части соединяются (опять же, с помощью Крипто Про) только в том случае, если они соответствуют друг другу. Не составляет труда сделать вывод: если одна из частей утеряна или повреждена, то перестаёт работать всё ЭЦП. И исправить эту ситуацию невозможно, кроме генерации новой ЭЦП. Есть способы сделать копию ЭЦП, но в этой статье я касаться этого не буду.
Итак, возвращаемся к “нашим баранам”. На рисунке 5 надо обязательно кликнуть по верхней строчке с ключевым контейнером, а потом нажать “ОК”. После того как всё это будет проделано, Вы получите следующее окно:
Ну тут только “ОК”, других путей не дано… Поздравляю Вас, сертификат установлен. Настало время проверить его работоспособность. Для этого надо сделать так, как подсказывает нам следующая картинка:
ПКМ на “щите”, идем “Установить/разорвать соединение” -> “Установить соединение Континент АП” и попадаем в следующее окно:
Нажмем туда, куда показывает красная стрелка (рис. 8). Если на предыдущих этапах Вы следовали этой инструкции, то у Вас выскочит как минимум один сертификат. Вы должны выбрать именно тот, который только что установили (см. рис 9):
Выбрав его, отметьте галочкой “всегда использовать данный сертификат при подключении”. В этом случае Ваш Континент АП будет подключаться к серверу используя указанный сертификат. В противном случае (если галка не установлена), он будет предлагать выбрать сертификат при каждом подключении. Чтобы узнать правильно ли был выбран сертификат, можно воспользоваться кнопкой “Свойства”. Она покажет всё о выбранном сертификате. В конце, как всегда кнопка “ОК”. Начнется процесс подключения Континента АП к серверу доступа. Если все сделано правильно, то в результате вы увидите в трее, как “щит” сменил цвет с серого на синий:
Если у Вас получилось то же, что и у меня, то я рад поздравить Вас с удачной установкой сертификата для континента АП. После того, как Вы подключились к серверу доступа, можете загружать СУФД и начинать в ней работать.
P.S. Ну и ещё: Я думаю, что я достаточно подробно тут всё изложил. Но все равно могут возникнуть какие-нибудь вопросы. В этом случае пишите их в комментариях ниже. Кстати, для зарегистрированных пользователей моего сайта, комментарии появляются сразу, без модерации.
И напоследок… Если вам понравилась эта статья и вы почерпнули из нее что-то новое для себя, то вы всегда можете выразить свою благодарность в денежном выражении. Сумма может быть любой. Это вас ни к чему не обязывает, все добровольно. Если вы всё же решили поддержать мой сайт, то нажмите на кнопку “Поблагодарить”, которую вы можете видеть ниже. Вы будете перенаправлены на страницу моего сайта, где можно будет перечислить любую денежную сумму мне на кошелек. В этом случае вас ждет подарок. После успешного перевода денег, вы сможете его скачать.
Сертификаты аутентификации серверов
удостоверяющего центра cryptopro tls ca(схема обслуживания – распределенная)
Документы, регламентирующие деятельность УЦ CryptoPro TLS CA
(схема обслуживания – распределенная)
Порядок получения сертификата:
- Заполните заявку на нашем сайте, выбрав позицию «Услуги Удостоверяющего Центра по изготовлению сертификата ключа аутентификации сервера по распределенной схеме обслуживания». При необходимости там же можно заказать лицензии на «КриптоПро CSP».
В течение суток на указанный Вами адрес электронной почты будет выслан скан счета. Распечатайте и оплатите его. - Подготовьте заявительные документы по формам из приложений в Регламенте УЦ:
- Приложение № 1 (Заявление о присоединении к Регламенту) – 2 экз. (предоставляется один раз при получении первого сертификата)
- Приложение № 2 (Заявление на регистрацию) – 1 экз. для каждого пользователя УЦ (который будет владеть сертификатом ключа подписи)
- Приложение № 3 (Доверенность пользователя УЦ) – 1 экз. для каждого пользователя УЦ (который будет владеть сертификатом ключа подписи)
- Зайдите по адресу https://tlsca.cryptopro.ru/ui (следует использовать Internet Explorer на компьютере, где установлен КриптоПро CSP и сертификат уполномоченного лица УЦ), нажмите кнопку «Регистрация» на пункте “для получения сертификатов Web-серверов” и введите идентификационные данные регистрирующегося лица в соответствии с данными, указанными в Заявлении на регистрацию (Приложение № 2 к Регламенту). Во время этой процедуры формируется логин (маркер) временного доступа и пароль – их нужно запомнить (сохранить).
- Подготовленные в п. 2 документы необходимо отсканировать и отправить на адрес cpca@cryptopro.ru.
- После регистрации пользователя, Вы получите соответствующее письмо. После этого зайдите на https://tlsca.cryptopro.ru/ui нажмите кнопку «Вход для зарегистрированных пользователей» и введите логин и пароль, полученные при регистрации. Заранее подготовьте ключевой носитель (флэшку, дискету, eToken, Rutoken, …) для сохранения на нём сформированных ключей. Далее нажмите кнопку «Создать запрос на сертификат».
- После успешной генерации ключей распечатайте заявление на изготовление сертификата ключа подписи (оно автоматически сформируется при нажатии на кнопку «Печать»), подпишите, отсканируйте и отправьте на адрес cpca@cryptopro.ru
- После изготовления сертификата, Вы получите соответствующее письмо. После этого зайдите на https://tlsca.cryptopro.ru/ui нажмите кнопку «Вход для зарегистрированных пользователей» и введите логин и пароль, полученные при регистрации. Далее нажмите кнопку «Получить сертификат».
- После успешной установки сертификата распечатайте сертификат в 2-х экземплярах (с помощью присланной вам в письме формы), подпишите, отсканируйте и отправьте на адрес cpca@cryptopro.ru
- Оригиналы всех подготовленных документов (Заявление о присоединении, Заявление на регистрацию, Доверенность, Заявление на изготовление сертификата, Сертификат на бумажном бланке) необходимо прислать Почтой России или курьерской службой в ООО «КРИПТО-ПРО».
Экспорт исправленного сертификата
- Щелкните сертификат правой кнопкой мыши и выберите «Все задачи> Экспорт», чтобы открыть мастер экспорта сертификата.
- После перехода на страницу приветствия мастера убедитесь, что для параметра установлено значение «Да, экспортировать закрытый ключ», и нажмите Далее.
- Выберите формат для экспортируемого сертификата (здесь – файл с кодировкой PKCS # 12 или файл .PFX). Обязательно установите флажки, чтобы включить все сертификаты в путь и экспортировать все расширенные свойства, затем нажмите Далее.
- Вам будет предложено ввести пароль для защиты этого пакета сертификатов (хорошая идея, поскольку он включает ваш закрытый ключ). Создайте и подтвердите свой пароль, затем нажмите Далее.
- Выберите имя и расположение экспортируемого файла. Вы можете перейти в удобное для вас место – обязательно сохраните файл с расширением .pfx.
Примечание: Включение даты – хороший способ отличить этот файл сертификата от других.
- Просмотрите информацию. Если все в порядке, щелкните Завершить.
- Вы получите подтверждение того, что экспорт был успешным.
