Инструкция по генерации ключа электронной подписи

Оглавление

1. Перед началом генерации.

2. Установка приложения.

3. Предоставление доступа.

4. Установка КриптоПРО CSP.

5. Установка драйвера для токена.

6. Формирование запроса на сертификат.

7. Запись сертификата на ключевой носитель.

ОСНОВНЫЕ ПОНЯТИЯ

КСКПЭП – квалифицированный сертификат ключа проверки электронной подписи.
КЭП – квалифицированная электронная подпись.

Криптопровайдер – средство защиты криптографической защиты информации. Программа с помощью которой генерируется закрытая часть электронной подписи и которая позволяет производить работу с электронной подписью. Данная галочка проставляется автоматически.

Экспортируемый ключ – возможность копирования электронной подписи на другой носитель. При отсутствии галочки копирование электронной подписи будет невозможно.

ЛКМ – левая кнопка мыши.

ПКМ – правая кнопка мыши.

CRM-AGENT – приложение, разработанное специалистами УЦ для упрощения процедуры генерации ключевой пары, создания запроса и записи сертификата.

После посещения удостоверяющего центра и прохождения процедуры сверки личности, на указанную Вами в заявлении электронную почту, УЦ прислал письмо, содержащее ссылку для генерации. Если Вы не получали письма, обратитесь к Вашему менеджеру или в Техническую поддержку УЦ по контактному номеру из этого руководства.

Откройте ссылку для генерации из письма в одном из рекомендуемых браузеров: Google Chrome, Mozilla Firefox, Yandex.Браузер. Если Вы уже находитесь в одном из вышеперечисленных браузеров, кликните по ссылке ЛКМ или ПКМ > «Открыть ссылку в новой вкладке». Страница генерации (Рис.1) откроется в новом окне.

При открытии ссылки, появится первоначальное предупреждение. Ознакомьтесь с ним, если для хранения КЭП вы используете носитель Jacarta LT. Подробнее о носителях в Таблице 1 ниже. Если используете иной носитель, то нажмите кнопку «Закрыть».

Рис.1 – Страница генерации

Нажмите на ссылку «Скачать приложение» для начала загрузки. Если ничего не произошло после нажатия, кликните по ссылке ПКМ > «Открыть ссылку в новой вкладке». После скачивания приложения запустите установку.

Рекомендуется отключить антивирусное ПО перед загрузкой программы!

В процессе установки приложения «crm–agent» появится сообщение с запросом доступа (Рис.2).

Рис.2 – Запрос доступа

Нажмите кнопку «Да».

После окончания установки приложения вернитесь на страницу с генерацией. Появится сообщение о «Предоставлении доступа» (Рис.3).

Рис.3 – Доступ к хранилищу сертификатов

Нажмите «Продолжить» и, в появившемся окне, «Предоставить доступ» (Рис.4).

Рис.4 – Доступ к хранилищу сертификатов 2

Если не появилась кнопка «Продолжить»

Если после установки приложения «crm–agent», ссылка на скачивание приложения не исчезла, причиной может быть блокировка подключения вашей системой безопасности.

Для устранения ситуации необходимо:

Отключить антивирус, установленный на вашем компьютере;

Открыть новую вкладку в браузере;

Ввести в адресную строку браузера адрес без пробелов – 127.0.0.1:90 – и перейти (нажать Enter на клавиатуре);

При появлении сообщения браузера «Ваше подключение не защищено», добавьте страницу в исключения браузера. Например, Chrome: «Дополнительные» – «Все равно перейти на сайт». Для остальных браузеров воспользуйтесь соответствующей инструкцией разработчика.

После появления сообщения об ошибке, вернитесь на страницу с генерацией и повторите Пункт 2 данной инструкции.

В случае, если у вас отсутствуют предустановленные криптопровайдеры, после этапа предоставления доступа появятся ссылки для скачивания КриптоПРО (Рис.5).

Рис.5 – Загрузка КриптоПРО

Это важно: приложение «crm–agent» обнаруживает любые криптопровайдеры на компьютере, и, если у Вас установлена отличная от КриптоПРО CSP программа (например, VipNET CSP), свяжитесь со специалистами технической поддержки УЦ для консультации.

Нажмите на ссылку «КриптоПРО 4.0» на странице генерации или на аналогичную ссылку ниже для загрузки файла установки КриптоПРО на компьютер.

КриптоПро CSP 4.0 – версия для ОС Win 7 / 8 / 10

После окончания загрузки откройте zip-архив с помощью соответствующей программы-архиватора (например, Win–RAR). Внутри будет сам файл установки КриптоПРО. Запустите его и установите с параметрами по умолчанию. В процессе установки у Вас может появиться следующее окно:

Рис.5 – Установка КриптоПРО

Пропустите окно, нажав «Далее». Установка КриптоПРО завершена.

Подписи можно хранить в реестре компьютера, на обычных флеш-накопителях и на специальных usb-токенах. Список токенов, пин-коды и ссылки на ПО представлены в таблице ниже (Таблица 1).

Таблица 1 – Драйверы для защищенных носителей

Визуально определите ваш носитель.

Для работы с одним из этих носителей необходимо установить драйвер. Перейдите по соответствующей ссылке, скачайте драйвер и установите его на компьютер. Установку драйвера проводите с параметрами по умолчанию.

Теперь Вы можете приступать к формированию запроса на сертификат. На экране у вас появится сообщение об этом (Рис.6). Нажмите кнопку «Продолжить» для начала формирования запроса.

Рис.6 – Начало формирования запроса

Откроется дополнительное окно с предложением выбрать, куда записать КЭП (Рис.7). Есть возможность выбрать в качестве носителя:

Про сертификаты: Беспилотный транспорт — Урок Цифры

Реестр – хранилище «внутри» компьютера;

Диск {X} – обычный флэш-накопитель;

ARDS JaCarta 0, Activ Co Rutoken 0 и т.п. – защищенный токен.

Рис.7 – Выбор носителя

Передвигая ползунок, выберите носитель для хранения КЭП и нажмите «ОК». Если был выбран «Реестр», то система в дальнейшем предупредит о возможном риске. Продолжите, если Вы осознанно выбрали реестр в качестве носителя для КЭП. Если случайно, то повторите формирование запроса повторно.

Это важно: в качестве хранилища КЭП для электронных торговых площадок можно использовать только защищенный носитель — токен. Если нет токена или драйвер установлен, но сам токен не работает, то свяжитесь со специалистами технической поддержки УЦ для консультации.

После выбора носителя откроется окно генерации «Датчик случайных чисел» (Рис.8). Для заполнения шкалы необходимо быстро и часто нажимать на цифровые клавиши на клавиатуре или передвигать мышь в пределах окна. Может потребоваться повторить процедуру несколько раз.

Рис.8 – Датчик случайных чисел

По окончанию процесса откроется окно с предложением задать пароль (Рис.8) для контейнера, если был выбран обычный флеш-накопитель или реестр. Рекомендуется не задавать пароль и пропускать данный пункт нажатием кнопки «ОК» без ввода и подтверждения пароля.

Рис.8 – Ввод пароля

Если вы выбрали в качестве носителя токен, тогда необходимо ввести pin-код. Стандартные pin-коды носителей указаны в Таблице 1 выше. Выбрать токен для хранения и пройти датчик случайных чисел может потребоваться дважды, так как на данный момент выпускается две аналогичные КЭП: по старому ГОСТ 2001 и по новому ГОСТ 2021.

Это важно: количество попыток ввода pin ограничено и, если pin введен неверно несколько раз, то носитель может быть заблокирован. В таком случае, свяжитесь со специалистами технической поддержки УЦ для консультации.

При успешном завершении генерации появится следующее (Рис.9) сообщение:

Рис.9 – Завершение генерации

Завершена процедура по созданию закрытой части ключа электронной подписи и отправка запроса на сертификат. Если в качестве носителя у Вас флеш-накопитель (флешка), то доступ к файлам электронной подписи открыт пользователям и антивирусному ПО. В таком случае есть риск утери закрытой части, после чего потребуется перевыпуск. Чтобы обезопасить себя от нежелательных последствий хранения КЭП на флеш-накопителе, сохраните копию папки с флеш-накопителя на своём компьютере и заархивируйте скопированный образец.

Это важно: категорически не рекомендуется осуществлять действия с этими файлами: перенос, изменение наименования, редактирование. При утере электронной подписи, требуется платный перевыпуск КЭП. Создавать копию созданной в процессе генерации папки – безопасно.

Спустя 5 минут после завершения этапа генерации, обновите страницу генерации, нажав клавишу F5 или соответствующую кнопку в браузере. Если запрос на выпуск сертификата уже одобрили, появится страница для записи сертификата в контейнер ключа (Рис.10). По ссылке из пункта 1 «Скачайте бланк для подписи» на этой странице скачайте бланк сертификата, распечатайте его. Владелец сертификата, на чье имя была выпущена КЭП, должен подписать бланк.

Рис.10 – Сертификат одобрен

Подписанный документ необходимо отсканировать и загрузить скан на сервер нашего удостоверяющего центра с помощью кнопки на этой же странице. После этого станут доступны две ссылки (Рис.11).

Рис.11 – Бланк загружен

Кликните на ссылку «Записать сертификат на ключевой носитель», откроется дополнительное окно (Рис.12).

Рис.12 – Запись сертификата

Нажмите кнопку «Продолжить» – в появившемся окошке «Предоставить доступ». Для завершения записи кликните кнопку «Начать». Появится сообщение об успехе операции (Рис. 13).

Рис.12 – Завершение записи сертфиката

Все готово, электронная подпись успешно создана. Для проверки работоспособности КЭП, откройте письмо, которое придёт после создания КЭП. В письме будет содержаться ссылка на сервис по подписанию закрывающих документов с помощью электронной подписи. Пройдите процедуру подписания и скачайте подписанные документы.

Скачать инструкцию

Как получать электронную подпись налоговой

За первой подписью руководитель должен приехать сам — для удостоверения личности. Отправить представителя даже с нотариальной доверенностью не получится. Получая следующие подписи, он сможет удостоверять личность дистанционно: действующей электронной подписью или биометрическими данными (п.25 Приказа ФНС от 30.12.2020 № ВД-7-24/982@).

С собой руководителю нужно взять паспорт, СНИЛС, защищенный носитель (похож на флешку) и документацию на него. Носитель можно купить в УЦ или у производителя, а можно использовать уже имеющийся. Подойдут модели Рутокен ЭЦП 2.0, Рутокен S, Рутокен Lite, JaCarta ГОСТ, JaCarta-2 ГОСТ или другие, соответствующие требованиям ФНС (пп.в п.22 Приказа ФНС).

Кому и как получать эп с 2022 года: сводная таблица

Кто подписывает документ	Что нужно для подписания	Где получать ЭП
Частное физлицо	ЭП физлица (ФЛ)	Аккредитованный УЦ (АУЦ)
Сотрудник организации или уполномоченное лицо	ЭП ФЛ доверенность, подписанная ЭП юрлица (ЮЛ)	АУЦ
Руководитель коммерческой организации	ЭП ЮЛ, в которой указан руководитель	ФНС и доверенные лица
Индивидуальный предприниматель (ИП)	ЭП ИП	ФНС и доверенные лица
Сотрудник ИП	ЭП ФЛ доверенность, подписанная ЭП ИП	АУЦ
Нотариус	ЭП нотариуса	ФНС и доверенные лица
Автоматическое подписание от организации	ЭП ЮЛ без указания руководителя	ФНС и доверенные лица

Набор разрешенных символов в скп

В СКП любой используемый текст должен быть представлен в формате UNICODE, где каждый символ кодируется двумя байтами (16 бит). Для непосредственной записи в СКП текст должен быть закодирован по стандарту UTF-8 (RFC 3629).

При наборе текста для СКП разрешается использовать только символы, UNICODE коды которых приведенные в табл. 2.

При извлечении и декодировании текста из СКП для дальнейшей его обработки в программном обеспечении (в том числе и в ПО СИОЭД) код каждого символа должен быть дополнительно приведен к однобайтовому коду (8 бит) в кодовой странице Windows-1251, в соответствии с кодами в табл. 2.

Символы, UNICODE коды которых не соответствуют табл. 2, использовать не разрешается.

Таблица 2

Набор разрешенных символов для текстов в СКП (все коды даны в шестнадцатеричной системе счисления)

Приложение 11

Об утверждении требований к сертификату ключа подписи и списку отозванных сертификатов для обеспечения единого пространства доверия сертификатам ключей электронной цифровой подписи

(в ред. Приказа ФНС РФ от 07.08.2009 N ММ-7-6/402@)

В целях унификации процесса информационного взаимодействия налоговых органов и хозяйствующих субъектов в электронном виде с использованием электронной цифровой подписи в рамках единого пространства доверия сертификатам ключей электронной цифровой подписи приказываю:

1. Утвердить прилагаемые Требования к сертификату ключа подписи и списку отозванных сертификатов для обеспечения единого пространства доверия сертификатам ключей электронной цифровой подписи (далее – Требования к сертификату ключа подписи и списку отозванных сертификатов).

2. Ввести в действие Требования к сертификату ключа подписи и списку отозванных сертификатов с 01.09.2009.(в ред. Приказа ФНС РФ от 07.08.2009 N ММ-7-6/402@)

3. Управлению информатизации (В.Г. Колесников) привести в соответствие с прилагаемыми Требованиями к сертификату ключа подписи и списку отозванных сертификатов имеющиеся нормативные документы ФНС России, регламентирующие деятельность удостоверяющих центров, входящих в Сеть доверенных удостоверяющих центров ФНС России.

4. ФГУП ГНИВЦ ФНС России (И.Н. Задворнов):

доработать программное обеспечение для приведения в соответствие с прилагаемыми Требованиями к сертификату ключа подписи и списку отозванных сертификатов;

обеспечить исполнение Требований к сертификату ключа подписи и списку отозванных сертификатов в рамках Сети доверенных удостоверяющих центров ФНС России;

зарегистрировать в установленном порядке атрибут INN в списке объектных идентификаторов (OID) согласно пункту 7.2 прилагаемых Требований к сертификату ключа подписи и списку отозванных сертификатов.

5. Руководителям управлений ФНС России по субъектам Российской Федерации не позднее трех рабочих дней со дня издания настоящего Приказа обеспечить доведение до всех участников информационного взаимодействия в электронном виде по телекоммуникационным каналам связи информацию о вводе в действие Требований к сертификату ключа подписи и списку отозванных сертификатов.

6. Контроль исполнения настоящего Приказа возложить на заместителя руководителя Федеральной налоговой службы Н.Е. Мельникова.

Руководитель Федеральной налоговой службы М.П.МОКРЕЦОВ

УТВЕРЖДЕНЫ Приказом ФНС России от 2 июля 2009 г. N ММ-7-6/353@

Срок действия моей подписи заканчивается после 1 января 2022 года. она будет работать в 2022 году?

(изменили этот раздел 13 августа 2021, так как вышло разъяснение Минцифры РФ)

Если ваш УЦ не получит аккредитацию по новым правилам, то нет — подпись с 2022 года работать не будет.
Если ваш УЦ получит аккредитацию до 1 июля 2021 года, то подпись будет работать весь свой срок. В том числе, после 1 января 2022 года. Когда срок действия подписи закончится, обновите ее по новым требованиям закона:
- если вы руководитель или предприниматель — в ФНС, Казначействе или Центробанке (зависит от типа вашей организации),
- если сотрудник или уполномоченное лицо — в аккредитованном Удостоверяющем центре.

Электронные подписи Контура продолжают работать в 2022 году.

Можно получить электронную подпись ФНС до того, как истечет подпись аккредитованного УЦ. Обе подписи будут действительны пока их срок действия не закончится.

Подготовила Ольга Кураева, редактор

Структура единого oid

1.2.643.3.<Координирующая организация>.<Эмитент1>. <эмитент2>.<Роль владельца СКП в информационных системах ФНС России (НП, НО, уполномоченный представитель НП, СпецОператор и т.д.)>.<Квалификация подписи (директор, бухгалтер, инспектор НО и т.д.)>.<Пользователь сервисов системы>.<Другие назначения1>.<другие назначения2>

Про сертификаты: Solo Sokos Hotel Palace Bridge, Санкт-Петербург - обновленные цены 2021 года

N арки

1. – 4. зафиксировано 1.2.643.3

5. Координирующая организация – ФНС или Организатор Сети ДУЦ

6. Эмитент1 – ДУЦ. Содержит идентификатор ДУЦ, формируемый как 1000 Nпаспорта ДУЦ. УЦ ГНИВЦ ФНС России имеет идентификатор 1000

7. эмитент2 – УЦ, подчиненный ДУЦ

8. Роль владельца СКП в информационных системах ФНС – НП, инспектор НО, уполномоченный представитель НП, ИРУЦ, СОЭД, САОЭД, СпецОператор и т.д.

9. Квалификация подписи – 1-я подпись (директор, заместитель директора и т.д.), 2-я подпись (главный бухгалтер, бухгалтер и т.д.), 1-я и 2-я подпись, право подписи отсутствует – только шифровать и/или отправка, квалификация подписи не установлена и т.д.

10. Пользователь сервисов системы – сервис ИОН on-line (да или нет), др. сервисы

11. Другие назначения1 – зарезервировано

12. другие назначения2 – зарезервировано

Если в арке N 6 стоит число меньше 1000, то эта арка – управляющая, она содержит назначение данных, которые размещены в следующей арке (N 7), если в арке N 7 число меньше 1000, то арка – управляющая и содержит тип данных, которые размещены в следующей арке (N 8) и т.д. В случае с управляющими арками приведенная в начале приложения схема OID применяться не может.

Если арка N 6 содержит единицу, то арка – управляющая, указывает на то, что в следующей арке будет указан OID поля сертификата ключа подписи.

Примеры использования шестой арки:

1.2.643.3.xxx.1001 – показывает, что OID используется ДУЦ с паспортом N 1.

1.2.643.3.xxx.1.1 – показывает, что это OID поля IN N (пп. 7.2).

Термины

C – country – страна.

CN – common name – поле в DN – общее имя = ФИО или псевдоним.

DN – distinguished name – расширение в СКП, в которое помещается отличительное имя владельца СКП, состоящее из нескольких полей.

E – e-mail – поле в DN – электронная почта.

L – locality – место расположения, например город.

O – organization – поле в DN – организация.

OU – organization unit – поле в DN – подразделение организации.

S – state or province – область, регион.

T – title – должность.

АРМ ДиС (Суппорт) – АРМ диагностики и сопровождения, предназначен для мониторинга серверов обмена электронными документами ПК ГНИВЦ ПРИЕМ и ГНИВЦ ПРИЕМ Регион (ранее использовался для регистрации абонентов).

ДУЦ – доверенный удостоверяющий центр.

Кросс – СКП, выпущенный Организатором Сети ДУЦ для уполномоченного лица ДУЦ. Этот СКП используется для формирования доверительных отношений к СКП пользователей, изданных ДУЦ.

ИНН – индивидуальный номер налогоплательщика.

ИП – индивидуальный предприниматель.

ИРУЦ – информационный ресурс Удостоверяющего центра Организатора Сети Доверенных удостоверяющих центров.

НБО – налоговые декларации и бухгалтерская отчетность.

НО – налоговый орган.

НП – налогоплательщик.

САОЭД – сервер автоматической обработки электронных документов.

СИОЭД – система информационного обмена электронными документами с электронной цифровой подписью по телекоммуникационным каналам связи.

СКП – сертификат ключа подписи.

СОС (CRL) – список отозванных сертификатов.

СОЭД – сервер обмена электронными документами.

Спецоператор – специализированный оператор связи.

УП – уполномоченный представитель налогоплательщика.

УЦ – удостоверяющий центр.

ФИО – фамилия, имя, отчество.

ФЛ – физическое лицо.

ЦСДИ – центр сбора диагностической информации.

ЮЛ – юридическое лицо.

Требования к СКП и СОС

Доверие СКП (рис. 1) строится от одного корневого СКП – СКП организатора сети ДУЦ.

Рис. 1. Схема доверия СКП и СОС в ИРУЦ

СКП делятся на 2 основных типа:

1. СКП, которые могут быть издателями других СКП и СОС.

2. Конечные СКП пользователей.

Все СКП делятся на 4 группы:

1. Корневой СКП – издатель всех СКП для ключевых узлов СИОЭД (и, при необходимости, для НП тоже).

2. Кросс СКП УЦ ФНС России – кросс, выданный организатором сети ДУЦ для СКП УЦ ФНС России. УЦ ФНС России выдает СКП НО (для систем ГНИВЦ ПРИЕМ, ГНИВЦ ПРИЕМ Регион):

– СОЭД.

– САОЭД.

– Налоговый инспектор.

– АРМ ДиС.

Примечание. Сам СКП УЦ ФНС России в СИОЭД использовать запрещено.

3. Кросс СКП ДУЦ – кросс, выданный организатором сети ДУЦ для СКП УЦ ДУЦ, который является издателем СКП НП.

Примечание. Сам СКП УЦ ДУЦ в СИОЭД использовать запрещено.

4. СКП ключевых узлов СИОЭД – конечные СКП.

– Эти СКП не могут быть издателями других СКП.

– Эти СКП могут быть изданы только на Корневом СКП Организатора Сети ДУЦ.

5. СКП НП – конечные СКП.

– СКП для ЮЛ, ИП или УП.

– Эти СКП не могут быть издателями других СКП.

– Эти СКП могут быть изданы на Корневом СКП Организатора Сети ДУЦ или на СКП УЦ ДУЦ, кросс которого используется в СИОЭД.

Все СКП ключевых узлов СИОЭД выдаются только Организатором Сети ДУЦ:

– Оператор ИРУЦ.

– Спецоператор.

– Веб-сервер ИРУЦ.

– Сервер регистрации ИРУЦ.

– ЦСДИ.

Конечные СКП НП выдаются ДУЦ. При необходимости СКП НП может выдавать Организатор Сети ДУЦ.

Требования к скп

Ключевая пара СКП должна соответствовать стандарту ГОСТ Р 34.10-2001.

Поля СКП должны заполняться в соответствии рекомендациям IETF RFC5280 и ITU-T x.509 (если не указано другое).

Для любого текста, используемого в СКП, разрешается использовать набор символов из Приложения 10 (если не указано другое).

Каждый СКП должен содержать следующие атрибуты и расширения:

1. Версия СКП (version) – должна быть не ниже 3.

2. Серийный номер (serialNumber) – уникальная последовательность в рамках одного УЦ, не более 160 бит.

3. Алгоритм подписи (signature) – в поле algorithm должен содержаться идентификатор алгоритма подписи ГОСТ Р 34.11-94/34.10-2001 (OID.1.2.643.2.2.3, в соответствии с RFC4491).

4. DN издателя СКП (issuer) – данные из поля субъект СКП издателя.

Для Корневого СКП Организатора Сети ДУЦ значение DN издателя должно быть равно DN субъекта.

5. Дата и время начала действия СКП (notBefore).

6. Дата и время окончания действия СКП (notAfter).

7. В DN субъекта СКП (subject) должны быть заполнены поля:

7.1. CN (OID.2.5.4.3) – обязательно к заполнению – для конечных СКП должно быть записано ФИО владельца СКП (Приложение 1).

Примечание. В СКП центров сертификации, а также СКП ключевых узлов СИОЭД (веб-сервер ИРУЦ, сервер регистрации ИРУЦ, АРМ ДиС, ЦСДИ и т.д.) допускается указывать псевдоним владельца СКП (Приложение 2).

7.2. INN (OID.1.2.643.3.xxx.1.1, OID должен быть зарегистрирован) – обязательно к заполнению. Должен быть записан один из вариантов:

– ИНН организации, сотрудником которой является владелец СКП.

– ИНН физического лица владельца СКП.

– при отсутствии ИНН – 0 (цифра ноль 0x30 Код Windows-1251).

7.3. OU (OID.2.5.4.11) – обязательно к заполнению. Должен быть записан один из вариантов:

– подразделение организации, сотрудником которого является владелец СКП (Приложение 3).

– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).

7.4. E (OID.1.2.840.113549.1.9.1) – обязательно к заполнению. Должен быть записан один из вариантов:

– действующий адрес электронной почты владельца СКП (Приложение 4).

– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).

7.5. O (OID.2.5.4.10) – обязательно к заполнению. Должен быть записан один из вариантов:

– для ЮЛ или ИП должно быть записано краткое название ЮЛ или ИП – владельца СКП в соответствии с ЕГРЮЛ (Приложение 5).

– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).

7.6. C (OID.2.5.4.6) – обязательно к заполнению – должен быть записан двухсимвольный код страны, две прописные латинские буквы в соответствии с ISO 3166 (ISO 3166-1 alpha-2).

7.7. L (OID.2.5.4.7) – обязательно к заполнению. Должен быть записан один из вариантов:

– название города или населенного пункта, где зарегистрированы ЮЛ, ИП или ФЛ (Приложение 6).

– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).

7.8. S (OID.2.5.4.8) – обязательно к заполнению. Должен быть записан один из вариантов:

– название региона, где зарегистрированы ЮЛ, ИП или ФЛ (Приложение 7).

– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).

7.9. T (OID.2.5.4.12) – обязательно к заполнению. Должен быть записан один из вариантов:

– для ЮЛ должность владельца СКП (Приложение 9).

– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).

7.10. SN (OID.2.5.4.5) – не обязательно к заполнению – указывается серийный номер имени владельца сертификата (для обеспечения различимости имен владельцев СКП, если их Фамилии Имя и Отчество полностью совпадают). Для заполнения использовать цифры: 1, 2 и т.д.

Примечание. Каждое поле в DN, описанное в пп. 7.1 – 7.10, допускается использовать только 1 раз. УЦ могут использовать дополнительные поля, если это не противоречит RFC, однако эти поля не будут обрабатываться в ИРУЦ.

Про сертификаты: CLEARWAY INTEGRATION — Технологии

8. Открытый ключ (subjectPublicKeyInfo):

8.1. Атрибут AlgorithmIdentifier поле algorithm – идентификатор алгоритма открытого ключа по ГОСТ Р 34.10-2001 (OID.1.2.643.2.2.19, в соответствии с RFC4491).

8.2. Атрибут AlgorithmIdentifier поле parameters – два параметра с OID.1.2.643.2.2.36.0 и OID.1.2.643.2.2.30.1 (в соответствии с RFC4491).

8.3. Для Корневого СКП Организатора Сети ДУЦ и Кросс СКП ДУЦ значение поля parameters формируется в соответствии с RFC4491.

8.4. Атрибут subjectPublicKey – открытый ключ.

9. Расширение extKeyUsage (OID.2.5.29.37) – расширенное использование ключа – должно содержать идентификатор использования “Защищенная электронная почта” (OID.1.3.6.1.5.5.7.3.4). Также сюда могут быть добавлены другие идентификаторы использования по усмотрению ДУЦ, но при этом это расширение должно содержать не более 100 элементов.

Для Корневого СКП Организатора Сети ДУЦ и Кросс СКП ДУЦ расширение extKeyUsage может отсутствовать.

10. Расширение subjectKeyIdentifier (OID.2.5.29.14) – идентификатор ключа субъекта – должно содержать идентификатор открытого ключа в СКП в виде уникальной последовательности, формируемой в соответствие с RFC.

11. Расширение authorityKeyIdentifier (OID.2.5.29.35 или OID.2.5.29.1) – идентификатор ключа центра сертификатов – должно быть заполнено поле keyIdentifier значением расширения subjectKeyIdentifier в СКП издателя. OID.2.5.29.1 является устаревшим, для всех вновь выдаваемых СКП его использовать не разрешается.

Примечание. Для Корневого СКП Организатора Сети ДУЦ расширение authorityKeyIdentifier может отсутствовать.

Поля authorityCertIssuer и authorityCertSerialNumber могут отсутствовать в расширении, но если они заполнены, то должны содержать:

– authorityCertIssuer – DN Субъекта из СКП Издателя.

– authorityCertSerialNumber – Серийный номер из СКП издателя.

12. Расширение keyUsage (OID.2.5.29.15) – использование ключа:

12.1. Для конечных СКП должны быть установлены в 1 биты:

– 0 (цифровая подпись) или 1 (неотрекаемость) или оба, и 2 (шифрование ключей);

– биты 5 (подпись СКП) и 6 (подпись СОС) должны быть установлены в 0.

12.2. Для Корневого СКП Организатора Системы и Кросс СКП ДУЦ биты 5 (подпись СКП) и 6 (подпись СОС) должны быть установлены в 1.

12.3. Остальные биты должны заполняться в соответствии с рекомендациями RFC.

Требования к скп и сос

Доверие СКП (рис. 1) строится от одного корневого СКП – СКП организатора сети ДУЦ.

                                           ----------------------.        ---------.
                                           .                     .        .        .
----------.      ---------------.          .    Корневой СКП     .------->.  СОС   .
.         .      .   Кросс СКП  .<---------                      .        .        .
.   СОС   .<-----  УЦ ФНС России.          L-T-------T----------T-        L---------
L----------      LT--------------            .       .          .
                  .                          .       .          .
                  .                          .       .          .
                  .                          .       .          .
                  .                          .       .          .
                  .                          .       .          .
                  ў                          ў       .          ў
  ------------------.  -------------------------.    .     -----------.         -------.
  .     СКП НО      .  .СКП ключевых узлов СИОЭД.    .     .Кросс СКП  -------> .      .
  .- СОЭД           .  .- Оператор ИРУЦ         .    .     .   ДУЦ    .         . СОС  .
  .- САОЭД          .  .- Спецоператор          .    .     L----T------         L-------
  .- Инспектор      .  .- Веб-сервер ИРУЦ       .    .          .
  .- АРМ ДиС        .  .- Сервер регистрации    .    .          .
  .                 .  .  ИРУЦ                  .    .          .
  .                 .  .- ЦСДИ                  .    .          .
  L------------------  L-------------------------    .          .
                                                     ў          ў
                                              --------------. -----------.
                                              .             . .          .
                                              .   СКП НП    . .  СКП НП  .
                                              L-------------- L-----------

Требования к сос

Поля СОС должны заполняться в соответствии рекомендациям IETF RFC5280 и ITU-T x.509 (если не указано другое).

Размер файла СОС должен быть не более 250 Кбайт.

Для любого текста, используемого в СОС, разрешается использовать набор символов из Приложения 10.

Каждый СОС должен содержать следующие атрибуты и расширения:

1. Версия (version) – версия должна быть 2.

2. Издатель (issuer) – данные из поля субъект СКП издателя.

3. Дата издания СОС (thisUpdate).

4. Дата издания следующего СОС (nextUpdate).

5. Алгоритм подписи (signature) – должен содержать идентификатор алгоритма подписи ГОСТ Р 34.11-94/34.10-2001 (OID.1.2.643.2.2.3 в соответствии с RFC4491).

6. Расширение authorityKeyIdentifier (OID.2.5.29.35 или OID.2.5.29.1) – идентификатор ключа центра сертификатов – должно быть заполнено поле keyIdentifier значением расширения subjectKeyIdentifier в СКП издателя. OID.2.5.29.

Поля authorityCertIssuer и authorityCertSerialNumber могут отсутствовать в расширении, но если они заполнены, то должны содержать:

– authorityCertIssuer – DN Субъекта из СКП Издателя

– authorityCertSerialNumber – Серийный номер из СКП издателя

7. Номер СОС cRLNumber (OID.2.5.29.20) – порядковый номер, начинающийся с 1 и увеличивающийся каждый раз на 1 при выпуске нового СОС. Допускается формирование значения номера СОС и дельта СОС выполнять по правилу, описанному в rfc 5280: каждый последующий номер должен быть больше предыдущего и длинна номера должна быть не более 160 бит.

8. Индикатор дельты СОС deltaCRLIndicator (OID.2.5.29.27) критическое расширение – если в СОС присутствует это расширение, то СОС считается дельтой. Должен содержать номер, равный или меньший, чем номер основного СОС из расширения cRLNumber.

Остальные расширения могут содержать любые данные, сформированные в соответствии с рекомендациями IETF RFC и ITU-T.

Формат должности владельца скп

1. Должность владельца СКП записывается в атрибут T (OID.2.5.4.12) поля DN субъекта СКП.

2. Длина текста не более 64 символов.

3. Каждое слово в тексте должно быть отделено 1 пробелом.

4. Не разрешается использовать пробел в начале и в конце текста.

5. Разрешается использовать только 1 атрибут T в DN субъекта.

Разрешается использование символов из набора (Приложение 10). При этом следующие символы разрешается использовать только в том случае, если они встречаются внутри официального названия должности владельца СКП:

Приложение 10

Формат названия города или населенного пункта

1. Названия города или населенного пункта, где зарегистрирована организация владельца СКП, записывается в атрибут L (OID.2.5.4.7) поля DN субъекта СКП.

2. Длина текста не более 128 символов.

3. Каждое слово в тексте должно быть отделено 1 пробелом.

4. Не разрешается использовать пробел в начале и в конце текста.

5. Разрешается использовать только 1 атрибут L в DN субъекта.

Приложение 7

Формат названия организации владельца скп

1. Название организации владельца СКП записывается в атрибут O (OID.2.5.4.10) поля DN субъекта СКП.

2. Длина текста не более 64 символов.

3. Каждое слово в тексте должно быть отделено 1 пробелом.

4. Не разрешается использовать пробел в начале и в конце текста.

5. Разрешается использовать только 1 атрибут O в DN субъекта.

Приложение 6

Формат названия региона

1. Название региона, где зарегистрирован ЮЛ или ИП владельца СКП, записывается в атрибут S (OID.2.5.4.8) поля DN субъекта СКП.

2. Длина текста не более 128 символов. Формат:

– первое слово – номер региона (Таблица 1), 2 цифры, лидирующий ноль указывать обязательно;

– 1 пробел;

– остальной текст – название региона с заглавной буквы (Таблица 1).

3. Каждое слово в тексте должно быть отделено 1 пробелом.

4. Не разрешается использовать пробел в начале и в конце текста.

5. Разрешается использовать только 1 атрибут S в DN субъекта.

Разрешается использование символов из набора (Приложение 10).

Таблица 1

Справочник кодов регионов

Приложение 8

Формат подразделения организации владельца скп

1. Подразделение организации владельца СКП записывается в атрибут OU (OID.2.5.4.11) поля DN субъекта СКП.

2. Длина текста не более 64 символов.

3. Каждое слово в тексте должно быть отделено 1 пробелом.

4. Не разрешается использовать пробел в начале и в конце текста.

5. Разрешается использовать только 1 атрибут OU в DN субъекта.

Приложение 4

Формат псевдонима владельца скп

1. Псевдоним владельца СКП записывается в атрибут CN (OID.2.5.4.3) поля DN субъекта СКП.

2. Длина текста не более 64 символов.

3. Каждое слово в тексте должно быть отделено 1 пробелом.

4. Не разрешается использовать пробел в начале и в конце текста.

5. Разрешается использовать только 1 атрибут CN в DN субъекта.

Разрешается использование символов из набора (Приложение 10). При этом следующие символы разрешается использовать только в том случае, если они встречаются внутри псевдонима:

Приложение 3

Формат фио владельца скп

1. ФИО владельца СКП записывается в атрибут CN (OID.2.5.4.3) поля DN субъекта СКП.

2. Длина текста не более 64 символов.

3. ФИО должно быть указано полностью так, как оно указано в документе, удостоверяющем личность владельца (например паспорт). Формат:

а. первое слово – Фамилия;

б. 1 пробел;

в. второе слово – Имя;

г. 1 пробел;

д. третье слово – Отчество;

е. 1 пробел (если есть еще текст после отчества);

ж. остальные слова (если есть) могут быть отнесены к отчеству, в зависимости от контекста обработки.

4. Каждое слово в тексте должно быть отделено 1 пробелом.

5. Не разрешается использовать пробел в начале и в конце текста.

6. Разрешается использовать только 1 атрибут CN в DN субъекта.

7. Разрешается использование символов из набора (Приложение 10), за исключением символов:

Приложение 2

Инструкция по генерации ключа электронной подписи |

Что мне делать с электронной подписью?

А что контур?

Где получать подписи руководителям и ип

Где получать подписи сотрудникам и уполномоченным лицам. электронные доверенности