Приложение N 20. Рекомендации по заполнению полей табличной формы заявления на регистрацию Пользователя УЦ | ГАРАНТ

Приложение N 20. Рекомендации по заполнению полей табличной формы заявления на регистрацию Пользователя УЦ | ГАРАНТ Сертификаты
На чтение 30 мин. Просмотров 29 Опубликовано
Содержание
  1. приложение n 12. формат и структура сертификата ключа подписи | гарант
  2. приложение n 20. рекомендации по заполнению полей табличной формы заявления на регистрацию пользователя уц | гарант
  3. приложение. требования к форме квалифицированного сертификата ключа проверки электронной подписи | гарант
  4. Как делегировать полномочия на ou
  5. Как создать ou с помощью powershell
  6. Набор разрешенных символов в скп
  7. Набор разрешенных символов для текстов в скп(все коды даны в шестнадцатеричной системе счисления)
  8. Рис. 1. схема доверия скп и сос в ируц
  9. Справочник кодов регионов
  10. Структура единого oid
  11. Требования к построению цепочек доверия скп и сос
  12. Требования к скп
  13. Требования к скп и сос
  14. Требования к сос
  15. Требованияк сертификату ключа подписи и списку отозванных сертификатов для обеспечения единого пространства доверия сертификатам ключей электронной цифровой подписи(утв. приказом федеральной налоговой службы от 2 июля 2009 г. n мм-7-6/353@)
  16. Шаг 1. предварительные изыскания и проверка гипотезы
  17. Шаг 3. разработка парсера x.509 сертификата на с#
  18. Подведение итогов

приложение n 12. формат и структура сертификата ключа подписи | гарант

Приложение N 12
к Регламенту Удостоверяющего центра
Федерального казначейства,
утв. приказом Федерального
казначейства
от 4 декабря 2021 г. N 279

Формат и структура сертификата ключа подписи

Детальное описание структуры сертификата, включая перечень ограничений использования СКП и порядок использования полей квалифицированного сертификата ЭП, выданного УЦ ФК (далее – Описание СКП) утверждается УЦ ФК в виде отдельного документа, являющегося неотъемлемой частью настоящего Регламента.

Сертификат ключа проверки электронной подписи в электронной форме представляет собой электронный документ, имеющий структуру, соответствующую стандарту Международного союза телекоммуникаций ITU-T Х.509 версии 3 и рекомендаций IETF (Internet Engineering Task Force) RFC 3280 и 5280 и представленный в кодировке Base64.

Структура сертификатов ключей подписи, изготавливаемых УЦ, определяется следующей таблицей:

Название

Описание

Содержание

Заявитель

Организация-заявитель

Базовые поля сертификата

Version

Версия

V3

SerialNumber

Уникальный номер

Уникальный номер сертификата

SignatureAIgorithm

Алгоритм подписи

1.2.643.2.2.3 (ГОСТ Р 34.11 -2001, ГОСТ Р 34.10-2001)

Issuer

Издатель сертификата

Уникальное имя (Distinguished name, далее – DN) выпускающего УЦ ФК. Устанавливается УЦ ФК при издании сертификата (детальное описание представлено в Таблице 1 – Описания СКП).

Validity Period

Срок действия сертификата

Действителен с: дд.мм.гггг чч:мм:сс GMT

Действителен по: дд.мм.гггг чч:мм:сс GMT

Subject

Владелец сертификата

CN = Фамилия, Имя, Отчество;

CN = Наименование организации

SN=Фамилия;

SN=Фамилия;

GN=Имя, Отчество;

GN=Имя, Отчество;

О = Наименование Организации-заявителя;

О = Наименование автоматизированной системы/Службы /Сервиса/ /Сервера Организации заявителя, для использования которыми издан сертификат.;

OU = Структурное подразделение;

OU = Структурное подразделение;

Т = Должность;

T = Должность;

L = Наименование населенного пункта;

L = Наименование населенного пункта;

STREET – Название улицы, номер дома, корпуса, строения, квартиры, помещения;

STREET = Название улицы,номер дома, корпуса, строения, квартиры, помещения;

S = субъект федерации;

S =субъект федерации;

С = RU;

С = RU;

Е – EMail = Адрес электронной почты Владельца СКП

Е = EMail = Адрес электронной почты службы эксплуатации автоматизированной системы

1.2.643.100.1 = OGRN = 000000000000000

1.2.643.100.1 = OGRN = 000000000000000

1.2.643.3.131.1.1 = INN = 000000000000

1.2.643.3.131.1.1 = INN = 000000000000

1.2.643.100.3 = SNILS = 00000000000

1.2.643.100.3 = SNILS = 00000000000

Subject Alternative Name

Дополнительные сведения о владельце сертификата

Расширения (детальное описание представлено в Таблице 3 – Описания СКП)

Public Key

Открытый ключ

Открытый ключ (алгоритм подписи)

Issuer Signature Algorithm

Алгоритм подписи издателя сертификата

ГОСТР34.11/34.10-2001

Issuer Sign

ЭЦП издателя сертификата

Подпись издателя в соответствии с ГОСТ Р 34.11/34.10-2001

Расширения сертификата

Private Key Validity Period

Срок действия закрытого ключа, соответствующего сертификату

Действителен с (notBefore): дд.мм.гггг чч:мм:сс GMT

Действителен пo (notAfter): дд.мм.гггг чч:мм:сс GMT

Key Usage

Использование ключа

Расширение (детальное описание представлено в Таблице 3, Таблице 4 – Описания СКП)

Extended Key Usage

Улучшенный ключ

Расширение (детальное описание представлено в Таблице 3 – Описания СКП)

Application Policy

Политика применения

Не применяется

Certificate Policies

Политики сертификатов

Набор областей использования ключей и сертификатов из перечня областей использования, зарегистрированных в Удостоверяющем центре (детальное описание представлено в Таблице 3)

Subject Key Idendifier

Идентификатор ключа Владельца СКП

Расширение (детальное описание представлено в Таблице 3 – Описание СКП)

Authority Key identifier

Идентификатор ключа издателя сертификата

Идентификатор закрытого ключа Уполномоченного лица Удостоверяющего центра, на котором подписан данный сертификат (детальное описание представлено в Таблице 3 – Описания СКП)

CRL Distribution Point

Точка распространения списка отозванных сертификатов

Множество точек распространения списков аннулированных сертификатов в виде URL (детальное описание представлено в Таблице 3 – Описания СКП).

Authority Information

Access

Адрес Службы актуальных статусов сертификатов

URL адреса web-приложения Службы актуальных статусов сертификатов. Заносится в сертификаты, статус которых может быть установлен по протоколу OCSP (детальное описание представлено в Таблице 3 – Описания СКП).

В сертификат ключа подписи могут быть добавлены дополнительные поля и расширения согласно RFC 3280 и RFC 5280

приложение n 20. рекомендации по заполнению полей табличной формы заявления на регистрацию пользователя уц | гарант

Приложение N 20

Рекомендации
по заполнению полей табличной формы заявления на регистрацию Пользователя УЦ

4. Общие требования к заполнению полей

4.1. Не разрешается использовать пробел в начале и в конце текста.

4.2. Каждое слово в тексте должно быть отделено 1 пробелом.

4.3. Перечень допустимых символов приведен в разделе 10.

4.4. Символы, дополнительно приведенные в разделе 10, разрешается использовать только в том случае, если они встречаются внутри официальных названий, указанных в документах.

приложение. требования к форме квалифицированного сертификата ключа проверки электронной подписи | гарант

Требования к форме квалифицированного сертификата ключа проверки электронной подписи

I. Общие положения

2. В настоящих Требованиях используются следующие основные понятия, определенные в статье 2 Федерального закона:

1) электронная подпись (далее – ЭП) – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;

2) ключ ЭП – уникальная последовательность символов, предназначенная для создания ЭП;

3) ключ проверки ЭП – уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП (далее – проверка ЭП);

5) сертификат ключа проверки ЭП – электронный документ или документ на бумажном носителе, выданные УЦ либо доверенным лицом УЦ и подтверждающие принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП;

7) владелец сертификата ключа проверки ЭП – лицо, которому в установленном Федеральным законом порядке выдан сертификат ключа проверки ЭП;

9) средства ЭП – шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций – создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП;

10) средства УЦ – программные и (или) аппаратные средства, используемые для реализации функций УЦ;

12) заявитель – коммерческая организация, некоммерческая организация, индивидуальный предприниматель, физическое лицо, не зарегистрированное в качестве индивидуального предпринимателя, но осуществляющее профессиональную деятельность, приносящую доход, в соответствии с федеральными законами на основании государственной регистрации и (или) лицензии, в силу членства в саморегулируемой организации, а также любое иное физическое лицо, лица, замещающие государственные должности Российской Федерации или государственные должности субъектов Российской Федерации, должностные лица государственных органов, органов местного самоуправления, работники подведомственных таким органам организаций, нотариусы и уполномоченные на совершение нотариальных действий лица, обращающиеся с соответствующим заявлением на выдачу сертификата ключа проверки ЭП в УЦ за получением сертификата ключа проверки ЭП в качестве будущего владельца такого сертификата.

3. Настоящие Требования устанавливают требования к совокупности и порядку расположения полей квалифицированного сертификата (далее – форма квалифицированного сертификата).

4. При включении в состав квалифицированного сертификата дополнительных полей требования к их назначению и расположению в квалифицированном сертификате определяются в техническом задании на разработку (модернизацию) средств УЦ.

II. Требования к совокупности полей квалифицированного сертификата

5. Требования к совокупности полей квалифицированного сертификата устанавливаются на основании Федерального закона.

6. В соответствии со статьями 14 и 17 Федерального закона квалифицированный сертификат должен содержать следующую информацию:

– уникальный номер квалифицированного сертификата;

– даты начала и окончания действия квалифицированного сертификата;

– фамилия, имя и отчество (если имеется) владельца квалифицированного сертификата – для физического лица, либо наименование и место нахождения владельца квалифицированного сертификата – для юридического лица, а также в случаях, предусмотренных Федеральным законом, фамилия, имя и отчество (если имеется) физического лица, действующего от имени владельца квалифицированного сертификата – юридического лица на основании учредительных документов юридического лица или доверенности (далее – уполномоченный представитель юридического лица);

– страховой номер индивидуального лицевого счета (далее – СНИЛС) владельца квалифицированного сертификата – для физического лица;

– основной государственный регистрационный номер (далее – ОГРН) владельца квалифицированного сертификата – для российского юридического лица;

– основной государственный регистрационный номер индивидуального предпринимателя (далее – ОГРНИП) – владельца квалифицированного сертификата – для физического лица, являющегося индивидуальным предпринимателем;

– идентификационный номер налогоплательщика (далее – ИНН) владельца квалифицированного сертификата – для физического лица, российского юридического лица и, при наличии, для иностранной организации (в том числе филиалов, представительств и иных обособленных подразделений иностранной организации);

– уникальный ключ проверки ЭП;

– наименование используемого средства ЭП и (или) стандарты, требованиям которых соответствует ключ ЭП и ключ проверки ЭП;

– наименования средств ЭП и средств аккредитованного УЦ, которые использованы для создания ключа ЭП, ключа проверки ЭП, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в соответствии с Федеральным законом;

– наименование и место нахождения аккредитованного УЦ, который выдал квалифицированный сертификат;

– номер квалифицированного сертификата аккредитованного УЦ;

– идентификатор, однозначно указывающий на то, что идентификация заявителя при выдаче сертификата ключа проверки ЭП проводилась либо при его личном присутствии, либо без его личного присутствия с использованием квалифицированной ЭП при наличии действующего квалифицированного сертификата либо посредством идентификации заявителя – гражданина Российской Федерации с применением информационных технологий без его личного присутствия путем предоставления информации, указанной в документе, удостоверяющем личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, или путем предоставления сведений из федеральной государственной информационной системы “Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме” 1 (далее – единая система идентификации и аутентификации) и единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (далее – единая биометрическая система), в порядке, установленном Федеральным законом от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации” 2.

------------------------------

1Постановление Правительства Российской Федерации от 28 ноября 2021 г. N 977 “О федеральной государственной информационной системе “Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме” (Собрание законодательства Российской Федерации, 2021, N 49 (ч. V), ст. 7284; 2020, N 34, ст. 5484).

Про сертификаты:  Вебинар

2 Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3448; 2020, N 24, ст. 3751.

------------------------------

7. Квалифицированный сертификат должен содержать квалифицированную ЭП аккредитованного УЦ (доверенного лица аккредитованного УЦ, уполномоченного федерального органа), подтверждающую принадлежность ключа проверки ЭП владельцу квалифицированного сертификата.

III. Требования к порядку расположения полей квалифицированного сертификата

10. Структура квалифицированного сертификата в форме электронного документа, определенная в соответствии со спецификацией абстрактной синтаксической нотации версии один 2, должна иметь следующий общий вид:

Certificate ::= SIGNED { SEQUENCE {
    version                 [0]     Version DEFAULT v l,
    serialNumber                    CertificateSerialNumber,
    signature                       AlgorithmIdentifier,
    issuer                          Name,
    validity                        Validity,
    subject                         Name,
    subjectPublicKeyInfo            SubjectPublicKeyInfo,
    issuerUniqueIdentifier  [1]     IMPLICIT UniqueIdentifier OPTIONAL,
    subjectUniqueIdentifier [2]     IMPLICIT UniqueIdentifier OPTIONAL,
    extensions              [3]     Extensions OPTIONAL } }
SIGNED { ToBeSigned } ::= SEQUENCE {
    toBeSigned                      ToBeSigned,
    COMPONENTS OF                   SIGNATURE { ToBeSigned } }
SIGNATURE { ToBeSigned } ::= SEQUENCE {
    algorithmIdentifier             AlgorithmIdentifier,
    encrypted                       ENCRYPTED-HASH { ToBeSigned } }
ENCRYPTED-HASH { ToBeSigned } ::= BIT STRING (CONSTRAINED BY
                                       { ToBeSigned }).
------------------------------

2 Справочно: Спецификация абстрактной синтаксической нотации версии один определена в ГОСТ Р ИСО/МЭК 8824-1-2001 “Информационная технология. Абстрактная синтаксическая нотация версии один (АСН.1). Часть 1. Спецификация основной нотации”.

------------------------------

12. Поле encrypted содержит ЭП, сформированную аккредитованным УЦ, доверенным лицом аккредитованного УЦ либо уполномоченным федеральным органом под структурированной совокупностью полей квалифицированного сертификата (toBeSigned).

15. Поле signature (подпись) содержит идентификатор криптографического алгоритма, с использованием которого аккредитованный УЦ, доверенное лицо аккредитованного УЦ либо уполномоченный федеральный орган сформировали ЭП данного квалифицированного сертификата. Содержимое данного поля должно совпадать с содержимым поля algorithmIdentifier.

17. Стандартные атрибуты имени описаны в справочнике выбранных типов атрибутов 1. При описании формы квалифицированного сертификата используются следующие стандартные атрибуты имени:

------------------------------

1 Справочно: Выбранные типы атрибутов определены в ГОСТ Р ИСО/МЭК 9594-6-98 “Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 6. Выбранные типы атрибутов” и в международном стандарте ISO/IEC 9594-6:2008 “Information technology – Open systems interconnection – The Directory: Selected attribute types”, опубликованном по адресу в информационно-телекоммуникационной сети Интернет: http://www.itu.int/rec/T-REC-X.520-200811-I/en.

------------------------------

18. К дополнительным атрибутам имени, необходимость использования которых устанавливается в соответствии с Федеральным законом, относятся:

20. Поле subject имеет тип Name и идентифицирует владельца квалифицированного сертификата.

22. Необязательные поля issuerUniqueIdentifier и subjectUniqueIdentifier имеют тип UniqueIdentifier. Настоящие Требования не устанавливают требований к использованию указанных полей.

25. Дополнение keyUsage определяет область использования ключа проверки ЭП, содержащегося в поле subjectPublicKeylnfo квалифицированного сертификата. Дополнение keyUsage имеет тип KeyUsage, структура которого определяется следующим образом:

KeyUsage ::= BIT STRING {
    digitalSignature      (0),
    contentCommitment     (1),
    keyEncipherment       (2),
    dataEncipherment      (3),
    keyAgreement          (4),
    keyCertSign           (5),
    cRLSign               (6),
    encipherOnly          (7),
    decipherOnly         (8)}.

Значение “1” в нулевом бите означает, что область использования ключа включает проверку ЭП под электронными документами, отличными от квалифицированных сертификатов и списков уникальных номеров квалифицированных сертификатов ключей проверки ЭП, действие которых на определенный момент было прекращено УЦ до истечения их действия (далее – список аннулированных сертификатов), предназначенными для выполнения процедур аутентификации или контроля целостности.

Значение “1” в первом бите означает, что область использования ключа включает проверку ЭП под электронными документами, отличными от квалифицированных сертификатов и списков аннулированных сертификатов, в отношении которых ставится задача обеспечения невозможности отказа подписавшего лица от своего действия.

Значение “1” во втором бите означает, что область использования ключа включает зашифрование закрытых или секретных ключей, например в целях их защищенной доставки.

Значение “1” в третьем бите означает, что область использования ключа включает непосредственно зашифрование пользовательских данных без дополнительного использования методов симметричной криптографии.

Значение “1” в четвертом бите означает, что область использования ключа включает согласование ключей.

Значение “1” в пятом бите означает, что область использования ключа включает проверку подписей под квалифицированными сертификатами.

Значение “1” в шестом бите означает, что область использования ключа включает проверку подписей под списками аннулированных сертификатов.

Значение “1” в седьмом бите означает, что область использования ключа включает зашифрование данных в процессе согласования ключей (при этом в четвертом бите должно быть значение “1”).

Значение “1” в восьмом бите означает, что область использования ключа включает расшифрование данных в процессе согласования ключей (при этом в четвертом бите должно быть значение “1”).

Объектный идентификатор дополнения keyUsage имеет вид 2.5.29.15.

28. Сведения о классе средств ЭП владельца квалифицированного сертификата должны быть указаны в дополнении certificatePolicies путем включения следующих идентификаторов:

– для класса средств ЭП КС 1: 1.2.643.100.113.1,

– для класса средств ЭП КС2: 1.2.643.100.113.1, 1.2.643.100.113.2,

– для класса средств ЭП КС3: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3,

– для класса средств ЭП КВ1: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3, 1.2.643.100.113.4,

– для класса средств ЭП КВ2: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3, 1.2.643.100.113.4, 1.2.643.100.113.5,

– для класса средств ЭП КА1: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3, 1.2.643.100.113.4, 1.2.643.100.113.5, 1.2.643.100.113.6.

Для средств ЭП, класс которых отличается от класса средств УЦ, в которых используются указанные средства ЭП, следует указывать идентификаторы для класса средств ЭП, соответствующего классу средств УЦ.

28.1. Для указания в квалифицированном сертификате идентификатора, однозначно указывающего на то, что идентификация заявителя при выдаче сертификата ключа проверки ЭП проводилась при его личном присутствии или без его личного присутствия с использованием квалифицированной ЭП при наличии действующего квалифицированного сертификата либо без личного присутствия заявителя – гражданина Российской Федерации с применением информационных технологий путем предоставления информации, указанной в документе, удостоверяющем личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, или путем предоставления сведений из единой системы идентификации и аутентификации и единой биометрической системы в порядке, установленном Федеральным законом от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации”, должно использоваться некритичное дополнение identificationKind типа IdentificationKind, имеющего следующее представление:

IdentificationKind ::= INTEGER { personal(O), remote_cert(l), remote_passport(2), remote_system(3) }.

В случае, если идентификация заявителя при выдаче сертификата ключа проверки ЭП проводилась при его личном присутствии, дополнение identificationKind должно иметь значение 0.

В случае, если идентификация заявителя при выдаче сертификата ключа проверки ЭП проводилась без его личного присутствия с использованием квалифицированной ЭП при наличии действующего квалифицированного сертификата, дополнение identificationKind должно иметь значение 1.

В случае, если идентификация заявителя – гражданина Российской Федерации при выдаче сертификата ключа проверки ЭП проводилась без его личного присутствия с применением информационных технологий путем предоставления информации, указанной в документе, удостоверяющем личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, дополнение identificationKind должно иметь значение 2.

В случае, если идентификация заявителя – гражданина Российской Федерации при выдаче сертификата ключа проверки ЭП проводилась без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой биометрической системы в порядке, установленном Федеральным законом от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации”, дополнение identificationKind должно иметь значение 3.

Объектный идентификатор типа IdentificationKind имеет вид 1.2.643.100.114.

29. Для указания в квалифицированном сертификате наименования используемого владельцем квалифицированного сертификата средства ЭП должно использоваться некритичное дополнение subjectSignTool типа UTF8String SIZE(1..200), объектный идентификатор которого имеет вид 1.2.643.100.111.

30. Для указания в квалифицированном сертификате наименования средств ЭП и средств аккредитованного УЦ, которые использованы для создания ключа ЭП, ключа проверки ЭП, квалифицированного сертификата, а также реквизитов документа, подтверждающего соответствие указанных средств требованиям, установленным законодательством Российской Федерации, должно использоваться некритичное дополнение issuerSignTool типа IssuerSignTool, имеющего следующее представление:

IssuerSignTool ::= SEQUENCE {
    signTool            UTF8String SIZE(1.200),
    cATool              UTF8String SIZE(1..200),
    signToolCert        UTF8String SIZE(1.. 100),
    cAToolCert          UTF8String SIZE(1.100) }.

В строковом поле signTool должно содержаться полное наименование средства ЭП, которое было использовано для создания ключа ЭП, ключа проверки ЭП и квалифицированного сертификата.

В строковом поле cATool должно содержаться полное наименование средства аккредитованного УЦ, которое было использовано для создания ключа ЭП, ключа проверки ЭП и квалифицированного сертификата.

Про сертификаты:  Сертификат на автомобиль: важные моменты о которых нужно знать. Сертфикация автомобилей согласно ТР ТС | ИнфоГОСТ

В строковом поле signToolCert должны содержаться реквизиты заключения ФСБ России о подтверждении соответствия средства ЭП, которое было использовано для создания ключа ЭП, ключа проверки ЭП, требованиям, установленным в соответствии с Федеральным законом (далее – заключение о подтверждении соответствия средства электронной подписи).

В строковом поле cAToolCert должны содержаться реквизиты заключения ФСБ России о подтверждении соответствия средства УЦ, которое было использовано для создания квалифицированного сертификата, требованиям, установленным в соответствии с Федеральным законом (далее – заключение о подтверждении соответствия средства удостоверяющего центра).

Объектный идентификатор типа IssuerSignTool имеет вид 1.2.643.100.112.

IV. Требования к форме квалифицированного сертификата
на бумажном носителе

Как делегировать полномочия на ou

При делегировании полномочия на OU другим пользователям желательно предоставлять права не непосредственно учетным записям пользователям, а административным группам. Таким образом, чтобы предоставить права на OU новому пользователю достаточно добавить его в предварительно созданную доменную группу.

Для делегирования щелкните ПКМ по OU и выберите пункт Delegate Control.

В мастере делегирования управления выберите группу пользователей, которым нужно предоставить доступ.

Затем выберите задачи администрирования, которые нужно делегировать.

В данном примере мы делегировали членам группы AccountOperators полномочия на смену паролей всех пользователей в контейнере Belarus.

Как создать ou с помощью powershell

Ранее для создания OU в AD можно было использовать консольную утилиту dsadd. Например, для создания OU в домене можно выполнить такую команду:

dsadd ou “ou=Kazahstan,dc=vmblog,dc=ru”

В Windows Server 2008 R2 появился отдельный модуль для работы с AD: Active Directory module для Windows PowerShell (входит в состав RSAT). Для создания Organizational Unit можно использовать командлет New-ADOrganizationalUnit. Например, создадим новый OU с именем Belarus в корне домена:

New-ADOrganizationalUnit -Name “Belarus”

Чтобы создать новый OU в существующем контейнере, выполните команду:

New-ADOrganizationalUnit -Name Minsk -Path “OU=Belarus,DC=vmblog,DC=ru” -Description “Belarus central office ” -PassThru

Набор разрешенных символов в скп

В СКП любой используемый текст должен быть представлен в формате UNICODE, где каждый символ кодируется двумя байтами (16 бит). Для непосредственной записи в СКП текст должен быть закодирован по стандарту UTF-8 (RFC 3629).

При наборе текста для СКП разрешается использовать только символы, UNICODE коды которых приведенные в табл. 2.

При извлечении и декодировании текста из СКП для дальнейшей его обработки в программном обеспечении (в том числе и в ПО СИОЭД) код каждого символа должен быть дополнительно приведен к однобайтовому коду (8 бит) в кодовой странице Windows-1251, в соответствии с кодами в табл. 2.

Символы, UNICODE коды которых не соответствуют табл. 2, использовать не разрешается.

Таблица 2

Набор разрешенных символов для текстов в скп(все коды даны в шестнадцатеричной системе счисления)

Приложение 11

Рис. 1. схема доверия скп и сос в ируц

СКП делятся на 2 основных типа:

1. СКП, которые могут быть издателями других СКП и СОС.

2. Конечные СКП пользователей.

Все СКП делятся на 4 группы:

1. Корневой СКП – издатель всех СКП для ключевых узлов СИОЭД (и, при необходимости, для НП тоже).

2. Кросс СКП УЦ ФНС России – кросс, выданный организатором сети ДУЦ для СКП УЦ ФНС России. УЦ ФНС России выдает СКП НО (для систем ГНИВЦ ПРИЕМ, ГНИВЦ ПРИЕМ Регион):

– СОЭД.

– САОЭД.

– Налоговый инспектор.

– АРМ ДиС.

Примечание. Сам СКП УЦ ФНС России в СИОЭД использовать запрещено.

3. Кросс СКП ДУЦ – кросс, выданный организатором сети ДУЦ для СКП УЦ ДУЦ, который является издателем СКП НП.

Примечание. Сам СКП УЦ ДУЦ в СИОЭД использовать запрещено.

4. СКП ключевых узлов СИОЭД – конечные СКП.

– Эти СКП не могут быть издателями других СКП.

– Эти СКП могут быть изданы только на Корневом СКП Организатора Сети ДУЦ.

5. СКП НП – конечные СКП.

– СКП для ЮЛ, ИП или УП.

– Эти СКП не могут быть издателями других СКП.

– Эти СКП могут быть изданы на Корневом СКП Организатора Сети ДУЦ или на СКП УЦ ДУЦ, кросс которого используется в СИОЭД.

Все СКП ключевых узлов СИОЭД выдаются только Организатором Сети ДУЦ:

– Оператор ИРУЦ.

– Спецоператор.

– Веб-сервер ИРУЦ.

– Сервер регистрации ИРУЦ.

– ЦСДИ.

Конечные СКП НП выдаются ДУЦ. При необходимости СКП НП может выдавать Организатор Сети ДУЦ.

Справочник кодов регионов

Приложение 8

Структура единого oid

1.2.643.3.<Координирующая организация>.<Эмитент1>. <эмитент2>.<Роль владельца СКП в информационных системах ФНС России (НП, НО, уполномоченный представитель НП, СпецОператор и т.д.)>.<Квалификация подписи (директор, бухгалтер, инспектор НО и т.д.)>.< Пользователь сервисов системы >.<Другие назначения1>.<другие назначения2>

N арки

1.- 4. зафиксировано 1.2.643.3

5. Координирующая организация – ФНС или Организатор Сети ДУЦ

6. Эмитент1 – ДУЦ. Содержит идентификатор ДУЦ, формируемый, как 1000 N паспорта ДУЦ. УЦ ГНИВЦ ФНС России имеет идентификатор 1000.

7. эмитент2 – УЦ, подчиненный ДУЦ

8. Роль владельца СКП в информационных системах ФНС – НП, инспектор НО, уполномоченный представитель НП, ИРУЦ, СОЭД, САОЭД, СпецОператор и т.д.

9. Квалификация подписи – 1-я подпись (директор, заместитель директора и т.д.), 2-я подпись (главный бухгалтер, бухгалтер и т.д.), 1-я и 2-я подпись, право подписи отсутствует – только шифровать и/или отправка, квалификация подписи не установлена и т.д.

10. Пользователь сервисов системы – сервис ИОН on-line (да или нет), др. сервисы

11. Другие назначения1 – зарезервировано

12. другие назначения2 – зарезервировано

Если в арке N 6 стоит число меньше 1000, то эта арка – управляющая, она содержит назначение данных, которые размещены в следующей арке (N 7), если в арке N 7 число меньше 1000, то арка – управляющая и содержит тип данных, которые размещены в следующей арке (N 8) и т.д. В случае с управляющими арками приведенная в начале приложения схема OID применяться не может.

Если арка N 6 содержит единицу, то арка – управляющая, указывает на то, что в следующей арке будет указан OID поля сертификата ключа подписи.

Примеры использования шестой арки:

1.2.643.3.ххх.1001 – показывает, что OID используется ДУЦ с паспортом N 1.

1.2.643.3.ххх.1.1 – показывает, что это OID поля INN (п.п. 7.2).

Требования к построению цепочек доверия скп и сос

Цепочки доверия СКП и СОС строятся по равенствам данных в расширении subjectKeyIdentifier издателя и authorityKeyIdentifier в изданном СКП или СОС.

Если в расширении authorityKeyIdentifier содержатся заполненные поля authorityCertIssuer и authorityCertSerialNumber, то дополнительно выполняется проверка соответствия DN из поля authorityCertIssuer атрибуту issuer из СКП издателя и соответствие серийного номера из поля authorityCertSerialNumber серийному номеру СКП издателя.

Приложение 1

Требования к скп

Ключевая пара СКП должна соответствовать стандарту ГОСТ Р 34.10-2001.

Поля СКП должны заполняться в соответствии рекомендациям IETF RFC5280 и ITU-T x.509 (если не указано другое).

Для любого текста, используемого в СКП, разрешается использовать набор символов из Приложение 10 #(если не указано другое).

Каждый СКП должен содержать следующие атрибуты и расширения:

1. Версия СКП (version) – должна быть не ниже 3.

2. Серийный номер (serialNumber) – уникальная последовательность в рамках одного УЦ, не более 160 бит.

3. Алгоритм подписи (signature) – в поле algorithm должен содержаться идентификатор алгоритма подписи ГОСТ Р 34.11-94/34.10-2001 (OID.1.2.643.2.2.3, в соответствии с RFC4491).

4. DN издателя СКП (issuer) – данные из поля субъект СКП издателя.

Для Корневого СКП Организатора Сети ДУЦ значение DN издателя должно быть равно DN субъекта.

5. Дата и время начала действия СКП (notBefore).

6. Дата и время окончания действия СКП (notAfter).

7. В DN субъекта СКП (subject) должны быть заполнены поля:

7.1. CN (OID.2.5.4.3) – обязательно к заполнению – для конечных СКП должно быть записано ФИО владельца СКП (Приложение 1).

Примечание. В СКП центров сертификации, а также СКП ключевых узлов СИОЭД (веб-сервер ИРУЦ, сервер регистрации ИРУЦ, АРМ ДиС, ЦСДИ, и т.д.), допускается указывать псевдоним владельца СКП (Приложение 2).

7.2. INN (OID.1.2.643.3.ххх.1.1, OID должен быть зарегистрирован) – обязательно к заполнению. Должен быть записан один из вариантов:

– ИНН организации, сотрудником которой является владелец СКП.

– ИНН физического лица владельца СКП.

– при отсутствии ИНН – 0 (цифра ноль 0x30 Код Windows-1251).

7.3. OU (OID.2.5.4.11) – обязательно к заполнению. Должен быть записан один из вариантов:

– подразделение организации, сотрудником которого является владелец СКП (Приложение 3).

– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).

7.4. E (OID.1.2.840.113549.1.9.1) – обязательно к заполнению. Должен быть записан один из вариантов:

– действующий адрес электронной почты владельца СКП (Приложение 4).

– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).

7.5. O (OID.2.5.4.10) – обязательно к заполнению. Должен быть записан один из вариантов:

– для ЮЛ или ИП должно быть записано краткое название ЮЛ или ИП – владельца СКП в соответствии с ЕГРЮЛ (Приложение 5).

– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).

7.6. C (OID.2.5.4.6) – обязательно к заполнению – должен быть записан двух символьный код страны, две прописные латинские буквы в соответствии с ISO 3166 (ISO 3166-1 alpha-2).

7.7. L (OID.2.5.4.7) – обязательно к заполнению. Должен быть записан один из вариантов:

– название города или населенного пункта, где зарегистрированы ЮЛ, ИП или ФЛ (Приложение 6).

– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).

Про сертификаты:  DNV GL – Det Norske Veritas Germanischer Lloyd / Дэт Норске Веритас Германишер Ллойд (ДНВ ГЛ) » Международные и Морские Органиации

7.8. S (OID.2.5.4.8) – обязательно к заполнению. Должен быть записан один из вариантов:

– название региона, где зарегистрированы ЮЛ, ИП или ФЛ (Приложение 7).

– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).

7.9. T (OID.2.5.4.12) – обязательно к заполнению. Должен быть записан один из вариантов:

– для ЮЛ должность владельца СКП (Приложение 9).

– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).

7.10. SN (OID.2.5.4.5) – не обязательно к заполнению – указывается серийный номер имени владельца сертификата (для обеспечения различимости имен владельцев СКП, если их Фамилии Имя и Отчество полностью совпадают). Для заполнения использовать цифры: 1, 2, и т.д.

Примечание. Каждое поле в DN, описанное в п.п. 7.1 – 7.10 допускается использовать только 1 раз. УЦ могут использовать дополнительные поля, если это не противоречит RFC, однако эти поля не будут обрабатываться в ИРУЦ.

8. Открытый ключ (subjectPublicKeyInfo):

8.1. Атрибут AlgorithmIdentifier поле algorithm – идентификатор алгоритма открытого ключа по ГОСТ Р 34.10-2001 (OID.1.2.643.2.2.19, в соответствии с RFC4491).

8.2. Атрибут AlgorithmIdentifier поле parameters – два параметра с OID.1.2.643.2.2.36.0 и OID.1.2.643.2.2.30.1 (в соответствии с RFC4491).

8.3. Для Корневого СКП Организатора Сети ДУЦ и Кросс СКП ДУЦ значение поля parameters формируется в соответствии с RFC4491.

8.4. Атрибут subjectPublicKey – открытый ключ.

9. Расширение extKeyUsage (OID.2.5.29.37) – расширенное использование ключа – должно содержать идентификатор использования “Защищенная электронная почта” (OID.1.3.6.1.5.5.7.3.4). Так же сюда могут быть добавлены другие идентификаторы использования по усмотрению ДУЦ, но при этом это расширение должно содержать не более 100 элементов.

Для Корневого СКП Организатора Сети ДУЦ и Кросс СКП ДУЦ расширение extKeyUsage может отсутствовать.

10. Расширение subjectKeyIdentifier (OID.2.5.29.14) – идентификатор ключа субъекта – должно содержать идентификатор открытого ключа в СКП в виде уникальной последовательности, формируемой в соответствие с RFC.

11. Расширение authorityKeyIdentifier (OID.2.5.29.35 или OID.2.5.29.1) – идентификатор ключа центра сертификатов – должно быть заполнено поле keyIdentifier значением расширения subjectKeyIdentifier в СКП издателя. OID.2.5.29.1 является устаревшим, для всех вновь выдаваемых СКП его использовать не разрешается.

Примечание. Для Корневого СКП Организатора Сети ДУЦ расширение authorityKeyIdentifier может отсутствовать.

Поля authorityCertIssuer и authorityCertSerialNumber могут отсутствовать в расширении, но если они заполнены, то должны содержать:

– authorityCertIssuer – DN Субъекта из СКП Издателя.

– authorityCertSerialNumber – Серийный номер из СКП издателя.

12. Расширение keyUsage (OID.2.5.29.15) – использование ключа:

12.1. Для конечных СКП должны быть установлены в 1 биты:

– 0 (цифровая подпись) или 1 (неотрекаемость) или оба, и 2 (шифрование ключей);

– биты 5 (подпись СКП) и 6 (подпись СОС) должны быть установлены в 0.

12.2. Для Корневого СКП Организатора Системы и Кросс СКП ДУЦ биты 5 (подпись СКП) и 6 (подпись СОС) должны быть установлены в 1.

12.3. Остальные биты должны заполняться в соответствии с рекомендациями RFC.

Требования к скп и сос

Доверие СКП (рис. 1) строится от одного корневого СКП – СКП организатора сети ДУЦ. 

                                           ----------------------.        ---------.
                                           .                     .        .        .
----------.      ---------------.          .    Корневой СКП     .------->.  СОС   .
.         .      .   Кросс СКП  .<---------                      .        .        .
.   СОС   .<-----  УЦ ФНС России.          L-T-------T----------T-        L---------
L----------      LT--------------            .       .          .
                  .                          .       .          .
                  .                          .       .          .
                  .                          .       .          .
                  .                          .       .          .
                  .                          .       .          .
                  ў                          ў       .          ў
  ------------------.  -------------------------.    .     -----------.         -------.
  .     СКП НО      .  .СКП ключевых узлов СИОЭД.    .     .Кросс СКП  -------> .      .
  .- СОЭД           .  .- Оператор ИРУЦ         .    .     .   ДУЦ    .         . СОС  .
  .- САОЭД          .  .- Спецоператор          .    .     L----T------         L-------
  .- Инспектор      .  .- Веб-сервер ИРУЦ       .    .          .
  .- АРМ ДиС        .  .- Сервер регистрации    .    .          .
  .                 .  .  ИРУЦ                  .    .          .
  .                 .  .- ЦСДИ                  .    .          .
  L------------------  L-------------------------    .          .
                                                     ў          ў
                                              --------------. -----------.
                                              .             . .          .
                                              .   СКП НП    . .  СКП НП  .
                                              L-------------- L-----------

Требования к сос

Поля СОС должны заполняться в соответствии рекомендациям IETF RFC5280 и ITU-T x.509 (если не указано другое).

Размер файла СОС должен быть не более 250 Кбайт.

Для любого текста, используемого в СОС, разрешается использовать набор символов из Приложение 10 #.

Каждый СОС должен содержать следующие атрибуты и расширения:

1. Версия (version) – версия должна быть 2.

2. Издатель (issuer) – данные из поля субъект СКП издателя.

3. Дата издания СОС (thisUpdate).

4. Дата издания следующего СОС (nextUpdate).

5. Алгоритм подписи (signature) – должен содержать идентификатор алгоритма подписи ГОСТ Р 34.11-94/34.10-2001 (OID.1.2.643.2.2.3 в соответствии с RFC4491).

6. Расширение authorityKeyIdentifier (OID.2.5.29.35 или OID.2.5.29.1) – идентификатор ключа центра сертификатов – должно быть заполнено поле keyIdentifier значением расширения subjectKeyIdentifier в СКП издателя. OID.2.5.29.1 является устаревшим, для всех вновь выдаваемых СКП его использовать не разрешается.

Поля authorityCertIssuer и authorityCertSerialNumber могут отсутствовать в расширении, но если они заполнены, то должны содержать:

– authorityCertIssuer – DN Субъекта из СКП Издателя.

– authorityCertSerialNumber – Серийный номер из СКП издателя

7. Номер СОС cRLNumber (OID.2.5.29.20) – порядковый номер, начинающийся с 1 и увеличивающийся каждый раз на 1 при выпуске нового СОС. Допускается формирование значения номера СОС и дельта СОС выполнять по правилу, описанному в rfc 5280: каждый последующий номер должен быть больше предыдущего и длинна номера, должна быть не более 160 бит.

8. Индикатор дельты СОС deltaCRLIndicator (OID.2.5.29.27) критическое расширение – если в СОС присутствует это расширение, то СОС считается дельтой. Должен содержать номер равный или меньший, чем номер основного СОС из расширения cRLNumber.

Остальные расширения могут содержать любые данные, сформированные в соответствии с рекомендациями IETF RFC и ITU-T.

Требованияк сертификату ключа подписи и списку отозванных сертификатов для обеспечения единого пространства доверия сертификатам ключей электронной цифровой подписи(утв. приказом федеральной налоговой службы от 2 июля 2009 г. n мм-7-6/353@)

C – country – страна

CN – common name – поле в DN – общее имя = ФИО или псевдоним.

DN – distinguished name – расширение в СКП, в которое помещается отличительное имя владельца СКП, состоящее из нескольких полей.

E – e-mail – поле в DN – электронная почта.

L – locality – место расположения, например, город.

O – organization – поле в DN – организация.

OU – organization unit – поле в DN – подразделение организации.

S – state or province – область, регион.

T – title – должность,

АРМ ДиС (Суппорт) – АРМ диагностики и сопровождения, предназначен для мониторинга серверов обмена электронными документами ПК ГНИВЦ ПРИЕМ и ГНИВЦ ПРИЕМ Регион (ранее использовался для регистрации абонентов).

ДУЦ – доверенный удостоверяющий центр.

Кросс – СКП, выпущенный Организатором Сети ДУЦ для уполномоченного лица ДУЦ. Этот СКП используется для формирования доверительных отношений к СКП пользователей, изданных ДУЦ.

ИНН – индивидуальный номер налогоплательщика.

ИП – индивидуальный предприниматель.

ИРУЦ – информационный ресурс Удостоверяющего центра Организатора Сети Доверенных удостоверяющих центров.

НБО – налоговые декларации и бухгалтерская отчетность.

НО – налоговый орган.

НП – налогоплательщик.

САОЭД – сервер автоматической обработки электронных документов.

СИОЭД – система информационного обмена электронными документами с электронной цифровой подписью по телекоммуникационным каналам связи.

СКП – сертификат ключа подписи.

СОС (CRL) – список отозванных сертификатов.

СОЭД – сервер обмена электронными документами.

Спецоператор – специализированный оператор связи.

УП – уполномоченный представитель налогоплательщика.

УЦ – удостоверяющий центр.

ФИО – фамилия имя отчество.

ФЛ – физическое лицо.

ЦСДИ – центр сбора диагностической информации.

ЮЛ – юридическое лицо.

Шаг 1. предварительные изыскания и проверка гипотезы

Нет, серьезно, это правда, что в сертификате X.509 есть СНИЛС? Для проверки найдем образец — просим помощи у Яндекса по запросу «реестр выданных квалифицированных сертификатов», на первой же странице выдачи находим

, скачиваем первый попавшийся сертификат (под номером 10842) —


Открываем сертификат с помощью стандартного средства просмотра OC Windows и находим в описании субъекта подозрительно похожую строку с объектным идентификатором 1.2.643.100.3, состоящую из 11 цифр.

Лирическое отступление

О том, что такое объектный идентификатор (OID) вообще, лучше всего почитать здесь. Как используются объектные идентификаторы в описании структуры сертификатов X.509 — смотрим Руководство по выживанию — TLS/SSL и сертификаты SSL (X.509).

Открываем сертификат в виртуальной машине с установленным криптопровайдером КриптоПРО CSP, который наверняка знает отечественную специфику, и подтверждаем догадку.

Итак, поставленная задача потенциально выполнима, СНИЛС в квалифицированном сертификате есть. Идем дальше.

Шаг 3. разработка парсера x.509 сертификата на с#

Так сложилось, что разработка у нас ведется на C#, поэтому и пример парсера будет на C#, ничего личного и никакого холивара.

Для простоты формализуем задачу следующим образом. Дано: файл квалифицированного сертификата в системе ограничений CER (Canonical encoding rules). Требуется: разобрать (распарсить) сертификат и извлечь значения ИНН, СНИЛС и ОГРН из поля субъекта (Subject).

Для первых набросков обращаемся к возможностям пространства имен System.Security.Cryptography.X509Certificates:

using System.IO;
using System.Security.Cryptography.X509Certificates;
using System.Diagnostics;

namespace X509Parser
{
    class Program
    {
        static void Main(string[] args)
        {
            string fileName = @"c:Komarov_Aleksey_Petrovich_2021-03-31_a2ba20c4.cer";

            X509Certificate cert = new X509Certificate(File.ReadAllBytes(fileName));
            
            Debug.Print("Серийный номер: {0}", cert.GetSerialNumberString());
            Debug.Print("Дата окончания действия квалифицированного сертификата: {0}", cert.GetExpirationDateString());
            Debug.Print("Субъект: {0}", cert.Subject);
        }
    }
}

На выходе получаем:

Подведение итогов


Итак, подытоживая проделанную работу, мы:

  1. Разобрались со структурой квалифицированных сертификатов X.509, которые попадают в сферу действия ФЗ «Об электронной подписи».
  2. Узнали, что Приказ ФСБ РФ № 795 определяет дополнительные атрибуты — ИНН, СНИЛС, ОГРН и другие. Здесь же указываются соответствующие объектные идентификаторы (OID).
  3. Разработали парсер сертификатов X.509 на C# с возможностью извлечения полей и их атрибутов с заданными объектными идентификаторами. Библиотека BouncyCastle добавила решению простоты.

В расчетах по времени произошла ошибка — вместо запланированных нескольких часов пришлось разбираться весь день. И еще два дня на подготовку исследования для Хабра.

Спасибо за внимание!

asn.1 oid X.509 инн огрн Сертификат снилс эцп
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат