открытая и закрытая часть эцп: как сделать экспорт |

Что такое wildcard сертификат

Ранее я вам рассказывал, что из себя представляют SSL сертификаты и там я описывал принцип работы wildcard, давайте я напомню его определение. Wildcard (Подстановочный сертификат) – это цифровой сертификат, который применяется к домену и всем его поддоменам.

Обозначение подстановочного знака состоит из звездочки и точки (*.) перед доменным именем. Сертификаты Secure Sockets Layer ( SSL ) часто используют подстановочные знаки для расширения шифрования SSL для поддоменов. Обычный SSL-сертификат работает на одном домене, например root.my-sertif.ru.

Распространение одного сертификата на субдомены вместо покупки отдельных сертификатов может сэкономить деньги и упростить администрирование. Недостатком, однако, является то, что если сертификат должен быть отозван на одном поддомене, он должен быть отозван и на всех остальных.

Например, если поддомен, такой как payment.my-sertif.ru, скомпрометирован, то это касается и поддоменов mail и vpn . Приобретение отдельных сертификатов может стоить немного больше и потребовать больше администрирования, но это также гарантирует, что каждый поддомен индивидуально защищен.

Очень часто я встречал использование Wildcard сертификата на разных сайтах, развернутых на IIS, в системах внутреннего документооборота.

Windows server 2003

Для возможности использования Web-интерфейса для выдачи сертификатов нам понадобится установленный web-сервер IIS. Установим его через диспетчер сервера: Пуск – Управление данным сервером – Добавить или удалить роль.
В списке ролей выбираем роль Сервера приложений. В следующем окне устанавливаем галочку Включить ASP.NET, если IIS уже установлен данный шаг можно пропустить.

После установки IIS приступим к развертыванию Центра сертификации, это делается через оснастку Установка и удаление программ – Установка компонентов Windows, где выбираем Службы сертификации.

Следующим шагом выберите тип ЦС и его подчиненность. Так как в нашем случае сеть не имеет доменной структуры, то ЦС Предприятия недоступен для выбора. Поскольку это первый (и пока единственный ЦС) следует выбрать корневой сервер, подчиненный тип следует выбирать для развертывания следующих ЦС, например для филиалов.Следующим шагом выберите тип ЦС и его подчиненность. Так как в нашем случае сеть не имеет доменной структуры, то ЦС Предприятия недоступен для выбора. Поскольку это первый (и пока единственный ЦС) следует выбрать корневой сервер, подчиненный тип следует выбирать для развертывания следующих ЦС, например для филиалов.Далее вводим имя ЦС (должно совпадать с именем сервера) и пути размещения файлов. В процессе установки программа предложит перезапустить IIS и, если не была включена поддержка страниц ASP.NET, предложит ее включить, с чем следует согласиться.

Для чего знать где хранятся сертификаты в windows

Давайте я вам приведу основные причины, по которым вы захотите обладать этим знанием:

• Вам необходимо посмотреть или установить корневой сертификат
• Вам необходимо посмотреть или установить личный сертификат
• Любознательность

Ранее я вам рассказывал какие бывают сертификаты и где вы их можете получить и применять, советую ознакомиться с данной статьей, так как информация изложенная в ней является фундаментальной в этой теме.

Во всех операционных системах начиная с Windows Vista и вплоть до Windows 10 Redstone 2 сертификаты хранятся в одном месте, неком таком контейнере, который разбит на две части, один для пользователя, а второй для компьютера.

В большинстве случаев в Windows поменять те или иные настройки вы можете через mmc оснастки, и хранилище сертификатов не исключение. И так нажимаем комбинацию клавиш WIN R и в открывшемся окне выполнить, пишем mmc.

Теперь в пустой mmc оснастке, вы нажимаете меню Файл и выбираете Добавить или удалить оснастку (сочетание клавиш CTRL M)

В окне Добавление и удаление оснасток, в поле Доступные оснастки ищем Сертификаты и жмем кнопку Добавить.

Тут в диспетчере сертификатов, вы можете добавить оснастки для:

• моей учетной записи пользователя
• учетной записи службы
• учетной записи компьютера

Я обычно добавляю для учетной записи пользователя

У компьютера есть еще дополнительные настройки, это либо локальный компьютер либо удаленный (в сети), выбираем текущий и жмем готово.

В итоге у меня получилось вот такая картина.

Сразу сохраним созданную оснастку, чтобы в следующий раз не делать эти шаги. Идем в меню Файл > Сохранить как.

Задаем место сохранения и все.

Как вы видите консоль хранилище сертификатов, я в своем примере вам показываю на Windows 10 Redstone, уверяю вас интерфейс окна везде одинаковый. Как я ранее писал тут две области Сертификаты — текущий пользователь и Сертификаты (локальный компьютер)

Инструкция как экспортировать закрытый ключ

Выполнять экспорт закрытого ключа электронной подписи можно из криптопровайдера КриптоПро CSP.

1. В системе Windows перейдите в «Пуск» → «Панель управления» → «КриптоПро CSP».

2. Перейдите на вкладку «Сервис» и нажмите на кнопку «Скопировать контейнер».



3. В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор», выберите нужный контейнер и нажмите «Ок» → «Далее».



4. Если вы копируете закрытый ключ с защищённого носителя, введите pin-код.

5. Введите название копии закрытого ключа и нажмите «Готово».



6. В окне «Выбор ключевого носителя» выберите носитель, на который будет произведено копирование контейнера с закрытым ключом.



7. Установите пароль на контейнер. Несмотря на то что этот шаг необязательный, установка пароля обеспечит дополнительную защиту.

Инструкция по получению эцп

1) Пройдите посылке Ключ для Кассы дляЮЛ  –  Ключ для Кассы дляИП

    Пройдите посылке Ключ для ЕГАИС для ЮЛ – Ключ дляЕГАИС для ИП

   Лицензия КриптоПРО для ИП

/p>

    Лицензия КриптоПРО для ООО

2) Пройдя по ссылке, Вам надо заполнить данные.

2а) Введите свой ИНН и нажмите Продолжить.

2б) Далее откроется страница “Оформление заказа“. В ней надо заполнить пустые графы и нажать Продолжить.

2в) Открывается страница “Завершение заказа” В ней надо нажать на ФИО директора.

2г) Откроетя окно “Ключ для кассы“. В нем заполните все графы и нажмите Сохранить.

2д) Вы вернулись в предыдущее окно. В нем жмем кнопку Оформить заказ.

2е) Перед Вами откроется окно “Заказ оформлен“. В нем ссылка на страницу статуса обработки информации о заявке.

Сохраните себе ссылку. Позвоните нам, и сообщите, что Вы оформили заказ на ЭЦП!!!

2ж) Пройдя по ссылке вы увидите, что Ваша заявка в Обработке или Обработана.

3) На почту в течении суток Вам придет письмо от region18_0397@host15.my-sertif.ru, тема Ключ электронной подписи Такском касса. Если письма нет. Посмотрите его в папке Спам. Если его и там нет. Позвоните нам и уточните попала ли заявка к нам.

4) В этом письме у вас будут несколько файлов:

       а) AL00287744 – Счет на оплату (Надо оплатить)

       б) Ваш ИНН A_UC_Zayavlenie o prisoedinenii AUC_YuL – Заявление о присоединении к Регламенту аккредитованного Удостоверяющего центра

       в) Ваш ИНН_A_UC_Rukovodstvo ispoljzovaniya KEP – Руководство по обеспечению безопасности использования квалифицированной электронной подписи

       г) Ваш ИНН_A_UC_Pamyatka klienta_KSKP Klyuch dlya kassi – Памятка клиента

       д) 1_Ваш ИНН_A_UC_Kartochka dostupa k MVS 63FZ – Карточка доступа к Мастеру выпуска сертификатов

Для создания запроса на сертификат необходимо:

Проверить готовность рабочего места:

Сейчас смотрим это видео только для установки КриптоПро CSP, когда у Вас будет ЭЦП, Вы сможете посмотреть это же виде дальше, как установить ЭЦП на ПК и начать им пользоваться.

На рабочем месте, где Вы будете использовать сертификат, откройте «Мастер выпуска сертификатов» по адресу https://ce.my-sertif.ru.

Выберите способ получения «По карточке доступа», для авторизации введите логин и пароль, из файла Карточка доступак Мастеру выпуска сертификатов.

Следуя рекомендациям программы, создайте запрос на сертификат.

Распечатайте документы на выдачу сертификата, нажав на ссылку «Посмотреть и распечатать заявление».

После создания запроса на сертификат и оплаты счетов необходимо подготовить пакет документов, указанный в «Памятке Клиента», и предоставить нам на почту 79262072740@yandex.ru. (Оригиналы документов делайте в ТРЕХ экземплярах. Первый Вам, два нам, где один из двух мы передаем в ООО “Такском”.)

Как должны быть оформлены документы для отправки их нам на почту

Очень большая просьба! Название файлов, сканированных документов, называть так как у нас тут. Таким образом, не вы, ни мы, не запутаемся в документах и не придется делать ни Вам, ни нам двойную работу, или что еще хуже увеличит время выпуска ЭЦП. 

001 ИНН НАЗВАНИЕ ИП ИЛИ ООО Такском

002 Паспорт стр 1 НАЗВАНИЕ ИП ИЛИ ООО

003 Паспорт прописка НАЗВАНИЕ ИП ИЛИ ООО

004 Снилс НАЗВАНИЕ ИП ИЛИ ООО

005 Уведомление о постановке НАЗВАНИЕ ИП ИЛИ ООО

006 Заявление на создание сертификата НАЗВАНИЕ ИП ИЛИ ООО подписано

007 Сведения о запросе на изготовление НАЗВАНИЕ ИП ИЛИ ООО подписано

008 Заявление о присоединение к регламенту 1 НАЗВАНИЕ ИП ИЛИ ООО подписано

009 Заявление о присоединение к регламенту 2 НАЗВАНИЕ ИП ИЛИ ООО подписано

Получение сертификата

После предоставления документов к нам на почту:

При возникновении вопросов Вы всегда можете обратиться к нам:

В офис ООО “ККТ сервис Р”

• по телефонам:
• 7(495)955-26-05;
• 7(926)207-27-40;

В офис ООО “Такском”

• 7(495)730-73-45 – для звонков из Москвы;
• 7(800)250-73-45 – для звонков из других регионов.

Обновление сертификатов цс

Периодически необходимо обновлять сертификаты ЦС. Рассмотрим несколько аспектов, связанных с обновлением сертификатов ЦС.

Периодичность обновления сертификата ЦС

Это делается в следующих случаях:

Первый вопрос, если всё идёт штатно, за какое время до истечения срока действия сертификата ЦС его нужно обновлять?

Сертификат издающего ЦС должен обновляться за максимальный срок действия издаваемых сертификатов. В нашем случае срок действия сертификата издающего ЦС 15 лет, а максимальный срок действия издаваемых сертификатов 5 лет (см. конфигурационную таблицу).

Порядок обновления ЦС

В нашей двухуровневой иерархии сертификаты корневого и издающего ЦС имеют одинаковый срок действия. Поэтому, когда вы принимаете решение об обновлении сертификата любого ЦС, необходимо обновлять их вместе. Первым обновляется сертификат корневого ЦС, затем сертификат издающего ЦС.

Генерация ключей при обновлении сертификатов ЦС

При обновлении сертификатов ЦС вам предлагается две опции: использовать существующую ключевую пару или сгенерировать новую:

В диалоговом окне обновления ключевой пары приведены рекомендации Microsoft по выбору ключевой пары. Однако, практика показывает, что эти рекомендации устарели. Следует всегда генерировать новую ключевую пару. При использовании нескольких сертификатов ЦС клиентский модуль построения цепочки сертификатов иногда может ошибиться и выбрать неправильный сертификат. В базе знаний Microsoft отмечены такие проблемы. Примеры статей:

При генерации новой ключевой пары для каждого сертификата будет гарантирован только один путь к корневому сертификату и модуль построения цепочек сертификатов уже не ошибётся.

Сертификаты — текущий пользователь

Данная область содержит вот такие папки:

1. Личное > сюда попадают личные сертификаты (открытые или закрытые ключи), которые вы устанавливаете с различных рутокенов или etoken
2. Доверительные корневые центры сертификации > это сертификаты центров сертификации, доверяя им вы автоматически доверяете всем выпущенным ими сертификатам, нужны для автоматической проверки большинства сертификатов в мире. Данный список используется при цепочках построения доверительных отношений между CA, обновляется он в месте с обновлениями Windows.
3. Доверительные отношения в предприятии
4. Промежуточные центры сертификации
5. Объект пользователя Active Directory
6. Доверительные издатели
7. Сертификаты, к которым нет доверия
8. Сторонние корневые центры сертификации
9. Доверенные лица
10. Поставщики сертификатов проверки подлинности клиентов
11. Local NonRemovable Certificates
12. Доверительные корневые сертификаты смарт-карты

В папке личное, по умолчанию сертификатов нет, если вы только их не установили. Установка может быть как с токена или путем запроса или импорта сертификата.

В мастере импортирования вы жмете далее.

далее у вас должен быть сертификат в формате:

• PKCS # 12 (.PFX, .P12)
• Стандарт Cryprograhic Message Syntax — сертификаты PKCS #7 (.p7b)
• Хранилище сериализованных сертификатов (.SST)

На вкладке доверенные центры сертификации, вы увидите внушительный список корневых сертификатов крупнейших издателей, благодаря им ваш браузер доверяет большинству сертификатов на сайтах, так как если вы доверяете корневому, значит и всем кому она выдал.

Двойным щелчком вы можете посмотреть состав сертификата.

Из действий вы их можете только экспортировать, чтобы потом переустановить на другом компьютере.

Экспорт идет в самые распространенные форматы.

Еще интересным будет список сертификатов, которые уже отозвали или они просочились.

Список пунктов у сертификатов для компьютера, слегка отличается и имеет вот такие дополнительные пункты:

• AAD Token Issue
• Windows Live ID Token
• Доверенные устройства
• Homegroup Machine Certificates

Думаю у вас теперь не встанет вопрос, где хранятся сертификаты в windows и вы легко сможете найти и корневые сертификаты и открытые ключи.

Экспорт сертификата и его закрытого ключа без предоставления доступа к паролю