Московская Биржа | Обновление корневого сертификата аккредитованного УЦ Московской биржи (уточнение

Содержание

Я не могу открыть файл req. что я должен делать? помогите!
Чтобы изменить ассоциации файлов:
Что мы имеем
Возможно ли, что расширение файла с ошибками?
.pem расширение файла часто дается неправильно!
Бумажные дела
Возможные проблемы с файлами в формате req
Для чего нужен файловый формат .pem?
Импорт сертификатов
Как открыть req файлы
Московская биржа – обновление корневого сертификата аккредитованного уц московской биржи (гост
На mac:
Не удается открыть .pem файл?
Номенклатура сертификатов
О pem файлах
Откуда берутся сертификаты?
Отправка запросов в цукс
Переход на новые ключи
Поддерживаемые операционные системы
Получение сертификатов
Программы для открытия или конвертации pem файлов
Рекомендуем
Словарный запас
Создание запроса на новый сертификат с генерацией новой ключевой пары
Сценарий №1 — найти следующего в связке

Я не могу открыть файл req. что я должен делать? помогите!

Если данная учетная запись пользователя не имеет необходимых разрешений для открытия файлов с расширением REQ , весьма вероятно, что в системе пользователей не установлена программа, поддерживающая данные файлы. Ниже приведен список действий, которые пользователь должен выполнить для решения наиболее распространенных проблем.

Чтобы изменить ассоциации файлов:

Щелкните правой кнопкой мыши файл с расширением чье сотрудничество вы хотите изменить, а затем нажмите Открыть с.
В Открыть с помощью диалоговое окно, выберите программу ти котором вы хотите, чтобы открыть файл, или нажмите Обзор, чтобы найти программу, которую вы хотите.
Выберите Всегда использовать выбранную программу, чтобы открыть такой файл флажок.

Что мы имеем

два боевых, текущих, ключа, каждый на отдельной UBS флэшке (папка vdkeys)
можно и оба ключа на одной флэшке, но неразумно, с т.з. безопасности;
два справочника сертификатов, каждый на свой ключ (он, справочник, им, ключом, зашифрован)
d:mcisvkcertProcessing001_15
d:mcisvkcertProcessing002_15
Последние две цифры в пути – год создания ключей.

Возможно ли, что расширение файла с ошибками?

Мы нашли следующие похожие расширения в нашей базе:

.pem расширение файла часто дается неправильно!

Согласно поисках на нашем сайте, эти опечатки были наиболее распространенными в прошлом году:

pfm (1),
pel (1),
pe (1),
p3m (1),
epm (1),
pwm (1),
prm (1),
pm (1),
pen (1),
pek (1),
pdm (1),
oem (1),
em (1),
psm (1),
pme (1)

Бумажные дела

После звонка нам скажут, когда приезжать на Житную;
Когда готовы, подъезжаем на Житную к 10-00 и получеам по два экз. распечатанных сертификата;
Ставим свои подписи/печати на каждой странице листа;

Отвозим на Житную (с 10-00 до 11-00), они на наших экз. ставят отметки.

Возможные проблемы с файлами в формате req

Отсутствие возможности открытия и работы с файлом REQ, совсем не должен значить, что мы не имеем установленного на своем компьютере соответствующего программного обеспечения. Могут выступать другие проблемы, которые также блокируют нам возможность работы с файлом SSL Certificate Request Format. Ниже находится список возможных проблем.

Повреждение открываемого файла REQ.
Ошибочные связи файла REQ в записях реестра.
Случайное удаление описания расширения REQ из реестра Windows
Некомплектная установка аппликации, обслуживающей формат REQ
Открываемый файл REQ инфицирован нежелательным, вредным программным обеспечением.
На компьютере слишком мало места, чтобы открыть файл REQ.
Драйверы оборудования, используемого компьютером для открытия файла REQ неактуальные.

Если Вы уверены, что все перечисленные поводы отсутствуют в Вашем случае (или были уже исключены), файл REQ должен сотрудничать с Вашими программами без каких либо проблем. Если проблема с файлом REQ все-таки не решена, это может значить, что в этом случае появилась другая, редкая проблема с файлом REQ. В таком случае остается только помощь специалиста.

Для чего нужен файловый формат .pem?

Расширение имени файла .pem обозначает “Почта с повышенным уровнем конфиденциальности” (PEM) и относится к методу шифрования PEM и формату контейнера PEM, изначально разработанному IETF (Целевая группа по проектированию Интернета) для защиты электронной почты в Интернете. Первоначальный PEM не является широко распространенным стандартом.

Формат контейнера PEM, однако, активно используется в асимметричной криптографии (для шифрования и расшифровки необходимы различные ключи). Файл PEM – это короткий двоичный файл, который содержит уникальный публичный или частный ключ, используемый для аутентификации происхождения информации и подтверждения личности пользователя веб-сайта или сервера. Такие файлы .pem также могут хранить целые цепочки ключей, включая корневые сертификаты.

Ключи/сертификаты PEM часто используются в отношении сетевых сокетов SSL (Secure Socket Layer) SSL-модулями на веб-серверах Apache на базе Unix/Linux.

Файлы PEM не предназначены для непосредственного редактирования, вместо этого они предназначены для использования в качестве маркеров безопасности веб-браузерами с поддержкой SSL и другим программным обеспечением. Ключи/сертификаты PEM могут иметь и другие расширения, такие как .key, .cer(t) и др.

Импорт сертификатов

Для удобства (чтобы с флэшками не запутаться) на одну,
временную
, флэшку, в папку vdkeys копируем наши новые ключи, их два и рабочие, их тоже два.

Про сертификаты: Обновление корневых сертификатов Windows XP: недостаточно информации для проверки этого сертификата

Т.е. в vdkeys д.б. четыре файла (два рабочих и два новых), или пять, если еще и тестовый есть.

Иначе надо будет подключать соответствующие флэшки.

Для каждого НОВОГО ключа (? от 1 до 2)

делаем резервные копии справочников d:mcisvkcertProcessing00?_16;
становимся на запись SVKOper?_16;
нажимаем “Сертификаты” (пока зашифровано на текущем ключе и он д.б. на флэшке, иначе появится окно, “Вставьте….”);
по правой кнопке мыши выбираем “Обновить объекты (Импортировать обновления из Центра Регистрации)”;
выбираем файл с сертификатами *.pse, полученный по почте из ЦУКСа;
нажимаем “Импорт”;
появляется два новых наших сертификата Processing001 и Processing002 с новыми датами срока действия (“С” “ПО”);

наши, пока еще действующие (Processing001 и Processing002), тоже там есть
становимся на наш НОВЫЙ Processing00? (помечен как Отправитель в колонке “Описание”);
по правой кнопке мыши выбираем “Просмотр сертификата”;
сохраняем его в файл (Кнопка с дискетой). Закрываем окно просмотра сертификата;
на списке сертификатов по правой кнопке выбираем “Импортировать свой новый сертификат и сделать его рабочим”;
указываем на файл с сохраненным сертификатом и импортируем. Он должен стать рабочим (колонка “Описание”).

Новый ключ д.б. на флэшке, иначе появится окно, “Вставьте….”.

Если все прошло без ошибок, то справочник будет зашифрован на новом ключе и его сертификат станет рабочим;
закрываем окно со списоком сертификатов;
по правой кнопке выбираем “Сертификаты”. Если список появляется без ошибок, то все хорошо;
делаем резервные копии новых справочников d:mcisvkcertProcessing00?_16 и ключей;

Если вы использовали одну, временную, флэшку со всеми ключами на ней, то удалите их. Отформатируйте ее.

У вас должны остаться эти ключи на исходных флэшках.

Как открыть req файлы

Если появилась ситуация, в которой Вы не можете открыть файл REQ на своем компьютере – причин может быть несколько. Первой и одновременно самой важной (встречается чаще всего) является отсутствие соответствующей аппликации обслуживающей REQ среди установленных на Вашем компьютере.

Московская биржа – обновление корневого сертификата аккредитованного уц московской биржи (гост

Уважаемые пользователи сервисов ЭДО и интернет трейдинга!

В связи с плановым созданием нового корневого сертификата аккредитованного Удостоверяющего центра Московской биржи, обеспечивающего изготовление квалифицированных сертификатов с использованием алгоритмов ГОСТ (далее УЦ МБ), необходимо до 27 декабря 2021 г. выполнить его обновление на каждом рабочем месте, где установлен “Справочник сертификатов” АПК Клиент МБ.

В соответствии с действующими регламентами Минкомсвязи, новый корневой сертификат УЦ МБ создан в виде подчиненного сертификата Головного удостоверяющего центра Минкомсвязи (ГУЦ). Обращаем ваше внимание, что для работы криптографии на стороне клиента необходим доступ к ресурсам Минкомсвязи со списком отозванных сертификатов (СОС) по адресам:

http://reestr-pki.ru/cdp/guc_gost12.crl

http://company.rt.ru/cdp/guc_gost12.crl

http://rostelecom.ru/cdp/guc_gost12.crl

Для корректной работы криптографии убедительно просим вас в срок до 27 декабря 2021 убедиться в наличии сетевого доступа по вышеуказанным адресам.

В качестве инструмента для проверки возможности автоматического обновления СОС Головного УЦ Минкомсвязи на рабочем месте пользователя можно использовать стандартную утилиту Windows certutil. Пример запуска утилиты в командной строке:

certutil -url http://reestr-pki.ru/cdp/guc_gost12.crl (кнопка “Загрузить” в окне диалогового интерфейса)

Для установки нового корневого сертификата УЦ МБ необходимо:

Скачать файл UpdateGOST-2021.zip с сайта Московской Биржи в любую папку на жестком диске Вашего компьютера (например, C:Temp). Файл с обновлением доступен на сайте Московской Биржи по ссылке https://fs.moex.com/cdp/sert/UpdateGOST-2021.zip (страница https://www.moex.com/s1300).
Разархивировать файл UpdateGOST-2021.zip. После разархивирования в папке должно оказаться 4 файла:

UpdateGUC.pse – файл с обновлением для ГУЦ;
GUC.crl – файл с актуальным СОС для корневого сертификата ГУЦ;
MoEx-CA.cer – файл корневого сертификата УЦ МБ (в виде подчиненного сертификата ГУЦ);
MoEx-CA.crl – файл с СОС для корневого сертификата УЦ МБ.

Закрыть все приложения, и остановить сервисы, работающие с сертификатами, выпущенными УЦ МБ;
Запустить программу “Справочник сертификатов” (“Пуск” → “Программы” → “АПК Клиент МБ. Версия 2.0” → “Справочник сертификатов” или “Справочник сертификатов (x64)”) с выбором рабочего профиля;
Выбрать пункт меню “Справочник сертификатов” → “Обновить объекты”, в открывшемся диалоговом окне “Выбор каталога” указать каталог с файлом UpdateGUC.pse и нажать “Ok”.

ВАЖНО! Действия из пункта 6 необходимо выполнить только в случае обновления корневого сертификата УЦ МБ после 27.12.2021 г.

Выбрать пункт меню “Справочник сертификатов” → “Импортировать СОС в локальный справочник”, в открывшемся диалоговом окне “Добавление СОС” выбрать файл GUC.crl и нажать “Открыть”.
Выбрать пункт меню “Справочник сертификатов” → “Импортировать сертификат в локальный справочник”, в открывшемся диалоговом окне “Добавление сертификата” выбрать файл MoEx-CA.cer и нажать “Открыть”.
Выбрать пункт меню “Справочник сертификатов” → “Импортировать СОС в локальный справочник”, в открывшемся диалоговом окне “Добавление СОС” выбрать файл MoEx-CA.crl и нажать “Открыть”.
После успешного обновления выполнить резервное копирование справочников для рабочего профиля. Для чего выбрать пункт меню “Сервис”→”Резервное копирование справочников”.

ВНИМАНИЕ!

Если в программе “Справочник сертификатов” создано несколько профилей, то обновление корневого сертификата УЦ МБ необходимо выполнить для каждого профиля;
Данное обновление неприменимо для программы “Справочник сертификатов” из состава “ПКЗИ СЭД МБ”, предназначенной для работы с неквалифицированными сертификатами (RSA).

Про сертификаты: ЭЦП для торгов | Электронная подпись для торгов — Удостоверяющий центр СКБ Контур

По вопросам, связанным с обновлением корневого сертификата УЦ МБ, Вы можете обращаться к Администратору СЭД по тел. 7 (495) 363-32-32 (доб.1110) или e-mail: pki@my-sertif.ru.

На mac:

Щелкните правой кнопкой мыши значок файла.
В раскрывающемся меню выберите «Дополнительная информация».
Найдите тип файла, указанный в разделе «Вид».

Не удается открыть .pem файл?

Если вы хотите открыть .pem файл на вашем компьютере, вам просто необходимо иметь соответствующие программы установлены. Если pem Ассоциации установлены неправильно, вы можете получить следующее сообщение об ошибке:

Не удалось открыть этот файл:

файла: Например.pem

Чтобы открыть этот файл, Windows необходимо знать, какую программу вы хотите использовать, чтобы открыть его. Окна могут выходить в интернет, чтобы искать его автоматически, или вы можете вручную выбрать из списка программ, установленных на вашем компьютере.

Номенклатура сертификатов

Давайте рассмотрим, какие сертификаты X.509 встречаются в природе, если рассматривать их по расположению в

~~пищевой~~

цепочке доверия.

По степени

~~крутизны~~

дороговизны и надежности сертификаты делятся на 3 вида:

DVOVEV

О pem файлах

Наша цель – помочь вам понять за что отвечает файл с расширением * .pem и как его открыть.

Тип файла Privacy Enhanced Mail Certificate, описания программ для Mac, Windows, Linux, Android и iOS, перечисленные
на этой странице, были индивидуально исследованы и проверены командой FileExt. Мы стремимся к 100-процентной точности и публикуем только информацию о форматах файлов, которые мы тестировали и проверяли.

Откуда берутся сертификаты?

Еще совсем недавно было всего 2 способа заполучить X.509 сертификат, но времена меняются и с недавнего времени есть и третий путь.

Создать свой собственный сертификат и самому же его подписать. Плюсы — это бесплатно, минусы — сертификат будет принят лишь вами и, в лучшем случае, вашей организацией.
Приобрести сертификат в УЦ. Это будет стоить денег в зависимости от различных его характеристик и возможностей, указанных выше.
Получить бесплатный сертификат LetsEncrypt, доступны только самые простые DV сертификаты.

Для первого сценария достаточно пары команд и чтобы 2 раза не вставать создадим сертификат с алгоритмом эллиптических кривых. Первым шагом нужно создать закрытый ключ. Считается, что шифрование с алгоритмом эллиптических кривых дает больший выхлоп, если измерять в тактах CPU, либо байтах длины ключа. Поддержка ECC не определена однозначно в TLS < 1.2.

openssl ecparam -name secp521r1 -genkey -param_enc explicit -out private-key.pem

Далее, создает CSR — запрос на подписание сертификата.

openssl req -new -sha256 -key private.key -out server.csr -days 730

И подписываем.

openssl x509 -req -sha256 -days 365 -in server.csr -signkey private.key -out public.crt

Результат можно посмотреть командой:

openssl x509 -text -noout -in public.crt

Openssl имеет огромное количество опций и команд. Man страница не очень полезна, справочник удобнее использовать так:

openssl -help
openssl x509 -help
openssl s_client -help

Ровно то же самое можно сделать с помощью java утилиты keytool.

keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -validity 360 -keysize 2048

Следует серия вопросов, чтобы было чем запомнить поля owner и issuer

What is your first and last name?
What is the name of your organizational unit?
What is the name of your organization?
What is the name of your City or Locality?
What is the name of your State or Province?
What is the two-letter country code for this unit?
Is CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU correct?

Конвертируем связку ключей из проприетарного формата в PKCS12.

keytool -importkeystore -srckeystore keystore.jks -destkeystore keystore.jks -deststoretype pkcs12

Смотрим на результат:

keytool -list -v -alias selfsigned -storepass password -keystore keystore.jks

Alias name: selfsigned
Creation date: 20.01.2021
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU
Issuer: CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU
Serial number: 1f170cb9
Valid from: Sat Jan 20 18:33:42 MSK 2021 until: Tue Jan 15 18:33:42 MSK 2021
Certificate fingerprints:
     MD5:  B3:E9:92:87:13:71:2D:36:60:AD:B5:1F:24:16:51:05
     SHA1: 26:08:39:19:31:53:C5:43:1E:ED:2E:78:36:43:54:9B:EA:D4:EF:9A
     SHA256: FD:42:C9:6D:F6:2A:F1:A3:BC:24:EA:34:DC:12:02:69:86:39:F1:FC:1B:64:07:FD:E1:02:57:64:D1:55:02:3D

Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions:

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 30 95 58 E3 9E 76 1D FB   92 44 9D 95 47 94 E4 97  0.X..v...D..G...
0010: C8 1E F1 92                                        ....
]
]

Значению ObjectId: 2.5.29.14 соответствует определение ASN.1, согласно RFC 3280 оно всегда non-critical. Точно так же можно узнать смысл и возможные значения других ObjectId, которые присутствуют в сертификате X.509.

subjectKeyIdentifier EXTENSION ::= {
    SYNTAX SubjectKeyIdentifier
    IDENTIFIED BY id-ce-subjectKeyIdentifier
}

SubjectKeyIdentifier ::= KeyIdentifier

Отправка запросов в цукс

Внимание! Пока справочники зашифрованы на действующих ключах, а не на новых!!
Нужны соответствующие флэшки с ключами

Переход на новые ключи

Новые Сертификаты на стороне МЦИ вступают в силу на сл. день, после получения банком по email файла *.pse.

Про сертификаты: Фланец сертификаты | Веста Металл

на сл. день:

в новых записях о сертификатах поднимаем галочки “Запись активна”, “Грузить при запуске” и, если надо, “По умолчанию”;
выбираем в списке “Ключ” новый, создаем ED999, отправляем его и ждем результатов. Положительных;
на старых записях снимаем галочку “Запись активна”;

Поддерживаемые операционные системы

Windows Server 2003/2008/2021/2021, Windows 7, Windows 8, Windows 10, Linux, FreeBSD, NetBSD, OpenBSD, Mac OS X, iOS, Android

Получение сертификатов

Обычно в тот же день, когда мы сдали подписанные бум. сертификаты, на эл. почту приходят новые сертификаты.

все эл. сертификаты приходят в одном файле *.pse

Вынимаем его из архива, например, в корень d:.
Итак, у нас есть:
- рабочие, текущие, справочники сертификатов, их два и они в папках Processing001_15 и Processing002_15;
- рабочие, текущие, ключи к справочникам сертификатов, их два, они на флэшке (на флэшках);
- новые сгенеренные ключи на флэшках (на флешке);
- справочники сертификатов для новых ключей, их два и они в папках Processing001_16 и Processing002_16
  
  (пока это просто копии Processing001_15 и Processing002_15);
- сертификаты из ЦУКС МЦИ в формате *.PSE.

Программы для открытия или конвертации pem файлов

Вы можете открыть файлы PEM с помощью следующих программ:

Словарный запас

Определение X.509 сертификатов есть в архиве ITU-T

Certificate  ::=  SEQUENCE  {
     tbsCertificate       TBSCertificate,
     signatureAlgorithm   AlgorithmIdentifier,
     signatureValue       BIT STRING  }

TBSCertificate  ::=  SEQUENCE  {
     version         [0]  EXPLICIT Version DEFAULT v1,
     serialNumber         CertificateSerialNumber,
     signature            AlgorithmIdentifier,
     issuer               Name,
     validity             Validity,
     subject              Name,
     subjectPublicKeyInfo SubjectPublicKeyInfo,
     issuerUniqueID  [1]  IMPLICIT UniqueIdentifier OPTIONAL,
                          -- If present, version MUST be v2 or v3

Для того, чтобы досконально понять обозначения и синтаксис, придется читать спеки X.680 редакции 2008 г., где есть полное описание ASN.1. В понятиях ASN.1SEQUENCE обозначает примерно то же самое, что и struct в Си. Это может сбить с толку, ведь по семантике оно должно было соответствовать скорее массиву. И тем не менее.

Стандарт X.690 определяет следующие правила кодирования структур данных, созданных в соответствии с ASN.1: BER (Basic Encoding Rules), CER (Canonical Encoding Rules), DER (Distinguished Encoding Rules). Есть даже XER (XML Encoding Rules), который на практике мне никогда не встречался.

Да, но для чего нужны сертификаты X.509, которые доставляют столько головной боли? Первая и основная функция сертификатов X.509 — служить хранилищем открытого или публичного ключа PKI (public key infrastructure). К этой функции нареканий нет, а вот со второй не все так однозначно.

Вторая функция сертификатов X.509 заключается в том, чтобы предъявитель сего был принят человеком, либо программой в качестве истинного владельца некоего цифрового актива: доменного имени, веб сайта и пр. Это получается по-разному, далеко не все сертификаты имеют высокую ликвидность, если пользоваться финансовой терминологией.

Создание запроса на новый сертификат с генерацией новой ключевой пары

Для каждого боевого, текущего, ключа генерим новые ключи и запрос на сертификат (? от 1 до 2):

вставляем USB носитель с ключами для Processing00?_15;
копируем папку (у вас может быть другой путь):

d:mcisvkcertProcessing00?_15 (действующий, текущий)

в

d:mcisvkcertProcessing00?_16 (будущий, новый) – но он пока зашифрован на текущем ключе;
на закладке Сигнатура правим неработающие прошлогодние записи.

(там д.б. 5 записей: тестовая, две рабочие этого года, две неработающие, неактивные, прошлогодние;

тестового может и не быть, можно и не добавлять;

прошлогодных тоже может и не быть – их надо добавить).
Меняем в прошлогодних записях пути к файлам pse и gdbm (т.е. просто правим год).

Было:

d:mcisvkcertProcessing00?_14local.pse (и gdbm)

Cтало:

d:mcisvkcertProcessing00?_16local.pse (и gdbm)
Также название записи (тоже год)

с

SVKOper?_14

на

SVKOper?_16

В итоге, запись становится “будущий, новый” ключ;
становимся на эту запись;
нажимаем кнопку “Сертификаты”;
вставляем новую чистую Флэшку (текущая д.б. тоже вставлена, иначе Сертификаты не откроются)

можно и на флэшку с текущими ключами генерить, все они будут в папке vdkeys с разными именами, но – безопасность;
по правой кнопке “Создать запрос на новый сертификат с генерацией новой ключевой пары”
запоминаем путь, куда запросы будут сохранены (*.pse файлы), жмем “Экспорт”;
жмем OK;
пароль оставляем пустой, жмем OK;
выбираем пустую Флешку (ну, или с текущими ключами, файлы имеют уникальное имя и не перезатрутся).

Сценарий №1 — найти следующего в связке

Связка сертификатов — Объединение нескольких X.509 сертификатов в один файл, чаще всего в формате PEM. Связка передается по сети в момент протокола рукопожатия SSL/TLS.

Самый сок начинается, когда имеете дело со связкой сертификатов, a. k. a certificate chain. Часто просматривая лапшу в связке ключей jks непросто понять как найти родительский сертификат, когда там россыпь новых и старых сертификатов на несколько доменных имен.