- Начальные настройки
- Добавление в linux корневых сертификатов x.509 локального корпоративного центра сертификации [вики it-kb]
- Добавление самозаверяющего сертификата в «список доверенных»
- Как работать с сертификатами фнс, физлиц и электронными доверенностями в контур.экстерне
- Как установить личный сертификат?
- Какая подпись нужна для сдачи отчетности
- Какие виды ssl-сертификатов есть и кто их выдаёт?
- Настройка apache 2 для использования сертификатов
Начальные настройки
Сперва заполним файл /root/.rnd, который используется как источник начальных случайных значений в генераторе псевдослучайных чисел OpenSSL. Суть использования этого файла описана на сайте OpenSSL. Нам надо заполнить свой файл случайными данными, как вариант — скопировав из /dev/urandom 32768 байт в файл .rnd таким образом:
Далее создадим сертификат для CA:
root@shpc:/opt/simple_CA# openssl req -newkey rsa:4096-keyform PEM -keyout ca.key -x509-days3650-outform PEM -out ca.cer
Опции для сертификата берутся из файла /etc/ssl/openssl.cnf. Сам файл довольно большой, мы не будем приводить здесь его содержимое. В реальности стоит создать свой конфигурационный файл с необходимыми опциями и блоками — и использовать его для генерации сертификатов.
На выходе получим два файла: ключ и сертификат.
Оба файла надо беречь. Если они попадут к злоумышленнику, он сможет использовать их для генерации сертификатов. Посмотреть сертификат можно при помощи этой команды (вывод обрезан для краткости):
root@shpc:/opt/simple_CA# openssl x509 -text-noout-in ca.cer
Далее на основе полученного сертификата (напомним, что это сертификат корневого CA) можно сгенерировать сертификат для сервера. Вначале генерируем закрытый ключ для сервера:
root@shpc:/opt/simple_CA# openssl genrsa -out server.key 4096
Теперь используем этот ключ для генерации запроса на выдачу сертификата (CSR):
root@shpc:/opt/simple_CA# openssl req -new-key server.key -out server.req -sha256
Отметим, что данные, которые вы вводите в поля, должны совпадать со значениями в тех полях, что указывались при создании сертификата корневого сервера. Теперь возьмём корневой сертификат CA и запрос — и сгенерируем на их основе сертификат для сервера:
root@shpc:/opt/simple_CA# openssl x509 -req-in server.req -CA ca.cer -CAkey ca.key -set_serial 100-extensions server -days1460-outform PEM -out server.cer -sha256
Должно получиться 5 файлов.
Файл server.req можно удалить — а при необходимости создать заново. Теперь надо перенастроить веб-сервер для работы с сертификатами.
Добавление в linux корневых сертификатов x.509 локального корпоративного центра сертификации [вики it-kb]
Некоторые службы и приложения в Linux могут использовать в своей работе сетевые соединения, защищаемые с помощью SSL/TLS. Иногда требуется, чтобы цифровой сертификат, используемый для защиты соединений и предоставляемый каким-то удалённым сервером из локальной сети, принимался локальной Linux-системой как доверенный. Для этого в Linux-систему может потребоваться добавить корневой сертификат Центра сертификации (ЦС), которым были выданы сертификаты, используемые для защиты соединений. Типичный пример, когда локальная Linux-система для механизмов аутентификации и авторизации подключается с помощью ldap-клиента (например OpenLDAP) к контроллеру домена Active Directory (AD) и контроллер домена предоставляет ldap-клиенту для защиты соединения сертификат, выданным локальным корпоративным ЦС.
Здесь мы рассмотрим простой пример того, как в Linux-систему добавить корневые сертификаты локального корпоративного ЦС.
О том, как «выуживать» корневые сертификаты ЦС, которыми подписаны сертификаты контроллеров домена AD, я приводил пример ранее. Если под руками есть доменная Windows-машина, то можно выгрузить корневой сертификат из оснастки управления сертификатами из раздела корневых сертификатов доверенных ЦС. Если корневой сертификат не один, а несколько (цепочка), то каждый корневой сертификат цепочки выгрузим в файл в кодировке Base-64, сразу присвоив им расширение PEM вместо CER
В результате такой выгрузки в нашем примере получится пара файлов AD-RootCA.pem (корневой сертификат ЦС верхнего уровня) и AD-SubCA.pem (корневой сертификат подчинённого ЦС). Скопируем полученные pem-файлы на наш Linux-сервер, например с помощью утилиты pscp, во временный каталог.
С:ToolsPuTTy>pscp.exe С:TempAD-*.pem linux-user@LINUX-SERVER:/tmp
AD-RootCA.pem | 1 kB | 1.3 kB/s | ETA: 00:00:00 | 100% AD-SubCA.pem | 1 kB | 1.9 kB/s | ETA: 00:00:00 | 100%
Перейдём на консоль Linux-сервера и переместим файлы коневых сертификатов из временного каталога в каталог, который мы создадим специально для хранения наших корневых сертификатов и подправим на эти сертификаты права (если требуется)
# mkdir /etc/ssl/certs-corp-ca # mv /tmp/AD-*.pem /etc/ssl/certs-corp-ca # chown root:root /etc/ssl/certs-corp-ca/AD-*.pem # ls -la /etc/ssl/certs-corp-ca
... -rw-r--r-- 1 root root 1344 Mar 6 19:35 AD-RootCA.pem -rw-r--r-- 1 root root 1922 Mar 6 19:35 AD-SubCA.pem
Теперь обработаем содержимое каталога с нашими сертификатами утилитой OpenSSL – c_rehash:
# c_rehash /etc/ssl/certs-corp-ca
Doing /etc/ssl/certs-corp-ca AD-RootCA.pem => 36865f67.0 AD-RootCA.pem => bb8428b0.0 AD-SubCA.pem => e740e31e.0 AD-SubCA.pem => 536fc63e.0
В результате выполнения этой команды в этом же каталоге будут созданы специальные хеш-ссылки на файлы сертификатов.
# ls -la /etc/ssl/certs-corp-ca
... lrwxrwxrwx 1 root root 13 Mar 6 20:06 36865f67.0 -> AD-RootCA.pem lrwxrwxrwx 1 root root 12 Mar 6 20:06 536fc63e.0 -> AD-SubCA.pem -rw-r--r-- 1 root root 1344 Mar 6 19:59 AD-RootCA.pem -rw-r--r-- 1 root root 1922 Mar 6 19:59 AD-SubCA.pem lrwxrwxrwx 1 root root 13 Mar 6 20:06 bb8428b0.0 -> AD-RootCA.pem lrwxrwxrwx 1 root root 12 Mar 6 20:06 e740e31e.0 -> AD-SubCA.pem
Помните про то, что если в дальнейшем в данный каталог потребуется снова добавить дополнительный сертификат, то команду c_rehash нужно будет выполнить для каталога заново, чтобы сгенерировались хеш-ссылки для добавленных сертификатов. И напротив, если из каталога будут удаляться какие-то сертификаты, то нужно будет выполнить команду, которая вычистит все хеш-ссылки на уже несуществующие файлы сертификатов:
# find -L /etc/ssl/certs-corp-ca -type l -exec rm {} Итак, каталог с сертификатами подготовлен, теперь можно его указывать в качестве источника доверенных корневых сертификатов для разных служб и приложений в нашей Linux-системе.
В качестве примера рассмотрим клиента OpenLDAP, для которого можно указать созданный нами каталог в конфигурационном файле ldap.conf (/etc/ldap/ldap.conf) в дополнительной опции TLS_CACERTDIR, таким образом, чтобы эта опция шла после имеющейся по умолчанию опции TLS_CACERT (подробнее об этих опциях можно найти в man ldap.conf):
- ldap.conf
... # TLS certificates (needed for GnuTLS) TLS_CACERT /etc/ssl/certs/ca-certificates.crt # Corp CA root certificates storage TLS_CACERTDIR /etc/ssl/certs-corp-ca
Собрать все нужные доверенные корневые сертификаты Центров сертификации в бандл можно простой склейкой содерживого PAM-файлов в колировке Base-64:
# mkdir /etc/ssl/certs-corp-ca-chain # cd /etc/ssl/certs-corp-ca # cat ./AD-RootCA.pem ./AD-SubCA.pem > /etc/ssl/certs-corp-ca-chain/AD-Chain.pem # cat /etc/ssl/certs-corp-ca-chain/AD-Chain.pem
-----BEGIN CERTIFICATE----- ... ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... ... -----END CERTIFICATE-----
Соответственно, применительно к ранее упомянутому клиенту OpenLDAP в Debian GNU/Linux настройка конфигурации будет такой:
- ldap.conf
... # TLS certificates (needed for GnuTLS) TLS_CACERT /etc/ssl/certs-corp-ca-chain/AD-Chain.pem # Corp CA root certificates storage#TLS_CACERTDIR /etc/ssl/certs-corp-ca
Автор первичной редакции:
Алексей Максимов
Время публикации: 25.03.2021 17:36
Добавление самозаверяющего сертификата в «список доверенных»
Простой ответ на этот вопрос заключается в том, что практически каждое приложение будет обрабатывать его по-своему.
Также OpenSSL и GNUTLS (наиболее широко используемые библиотеки обработки сертификатов, используемые для обработки подписанных сертификатов) ведут себя по-разному при обработке сертификатов, что также усложняет проблему. Также операционные системы используют различные механизмы для использования «корневого центра сертификации», используемого большинством веб-сайтов.
Это в стороне, приводя Debian в качестве примера. Установите ca-certificatesпакет:
apt-get install ca-certificates
Затем вы копируете открытую половину вашего ненадежного сертификата CA (тот, который вы используете для подписи своего CSR) в каталог сертификатов CA (как root):
cp cacert.pem /usr/share/ca-certificates
И получите его, чтобы перестроить каталог с включенным сертификатом, запустите от имени пользователя root:
dpkg-reconfigure ca-certificates
и выберите askопцию, выделите ваш сертификат, отметьте его для включения и выберите ОК.
Большинство браузеров используют свою собственную базу данных CA, поэтому certutilдля изменения их содержимого необходимо использовать такие инструменты, как (в Debian, предоставляемом libnss3-toolsпакетом). Например, в Chrome вы запускаете что-то вроде:
certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n "My Homemade CA" -i /path/to/CA/cert.file
Firefox позволит вам просмотреть сертификат на диске, распознать его как файл сертификата и затем импортировать его в список корневых ЦС.
Большинство других команд, таких как curlпереключатели командной строки, вы можете использовать для указания на ваш CA,
curl --cacert /path/to/CA/cert.file https://...
или вообще отказаться от проверки SSL
curl --insecure https://...
Остальные будут нуждаться в индивидуальном расследовании, если ca-certificatesподобный трюк не сортирует его для данного конкретного приложения.
Как работать с сертификатами фнс, физлиц и электронными доверенностями в контур.экстерне
В 2021 году приняли поправки в Федеральный закон от 06.04.2021 № 63-ФЗ «Об электронной подписи», которые важны для всех, кто сдает отчетность через интернет. Рассказываем, в чем суть изменений и как они отразятся на работе пользователей Экстерна.
Что изменится
С 1 июля 2021 года
С 1 января 2022 года
- Сертификаты юридическим лицам и ИП будет выдавать только удостоверяющий центр ФНС России (далее — УЦ ФНС) и его доверенные лица.
- Банкам будет выдавать сертификаты удостоверяющий центр ЦБ РФ, бюджетным организациям — удостоверяющий центр Федерального казначейства России.
- Сотрудники организаций и уполномоченные лица должны будут использовать сертификаты физических лиц. Подписывать документы юридических лиц сотрудники смогут при наличии электронной доверенности, подписанной сертификатом руководителя, выданным УЦ ФНС. Получать сертификаты физлиц нужно будет в УЦ, которые аккредитованы по новым правилам.
Подробнее читайте в статье «Электронная подпись: что изменится с 1 июля 2021 года и позже»
Изменения коснутся всех организаций. Переходный период рассчитан на 6 месяцев — с 1 июля 2021-го до 1 января 2022 года. Не все процессы сейчас до конца понятны и прозрачны, ряд нормативных документов еще в разработке. Мы тщательно следим за ситуацией, адаптируем наши системы и помогаем пользователям переходить на новые схемы работы. В ближайшее время в Экстерне появятся подробные инструкции, как действовать организациям, чтобы бесперебойно выполнять свои обязательства по отчетности перед контролирующими органами. Когда инструкции будут опубликованы, мы дополнительно сообщим об этом.
Как настроить сертификат УЦ ФНС
Если вы планируете работать в Экстерне с сертификатом УЦ ФНС, вам потребуется дополнительно приобрести:
1. Носитель, чтобы записать на него сертификат и ключи электронной подписи.
Если у вас есть Рутокен Лайт, выданный ранее при подключении к Экстерну, то сертификат УЦ ФНС можно записать на него. Общий размер Рутокен Лайт — 64 Кб, на него можно записать до 15 контейнеров с сертификатами.
Подойдут носители: Рутокен ЭЦП 2.0, Рутокен S, Рутокен Lite, JaCarta ГОСТ, JaCarta-2 ГОСТ и другие, которые соответствуют требованиям ФСБ или ФСТЭК. Сертификат соответствия ФСТЭК России для ключевого носителя, который необходим для получения сертификата в УЦ ФНС, можно запросить в вашем сервисном центре.
Обратите внимание, в некоторых регионах в инспекциях просят пустой токен. В таком случае скопируйте все контейнеры с сертификатами и ключами на любой другой носитель или компьютер, чтобы в дальнейшем вы смогли расшифровать свою отчетность или включить в Экстерне режим хранения расшифрованных документов.
Если токена нет, его нужно приобрести, обратившись в ваш сервисный центр.
2. Лицензия СКЗИ КриптоПро CSP.
Лицензия нужна на каждое рабочее место, с которого в вашей организации будут работать с сертификатом УЦ ФНС. В Контуре можно купить лицензию КриптоПро на 12 месяцев или бессрочную.
Как использовать сертификат физлица и сертификат УЦ ФНС для входа в Экстерн
Не беспокойтесь, мы напомним вам в Экстерне о том, что надо указать данные для входа, если их еще нет. Но вы можете сделать это уже сейчас, кликнув на Ф.И.О. пользователя в Экстерне в правом верхнем углу.
- Если вы будете входить с сертификатом УЦ ФНС, то, скорее всего, не заметите каких-либо изменений и войдете в сервис как обычно. Если этого не произойдет, в Экстерне мы покажем вам инструкцию, что нужно сделать для входа.
Как выбрать сертификат для подписи
Ниже расскажем, как подписывать отчетность в контролирующие органы сертификатом руководителя, выданным УЦ ФНС, или сертификатом физлица.
Отчетность в ФНС, Росстат
Чтобы отчитываться в ФНС и Росстат, вам нужно будет выбрать сертификат руководителя, выданный УЦ ФНС, или сертификат физлица в реквизитах плательщика как сертификат для подписи (инструкция).
Отчетность в ПФР
Чтобы отправлять отчетность в ПФР, вам, как и раньше, нужно будет сначала передать в ПФР регистрационные данные с информацией о сертификате (инструкция). При этом вы сможете выбрать в списке сертификат руководителя, выданный УЦ ФНС, или сертификат физлица.
При сдаче отчета СЗВ-ТД, а также документов ЗПЭД и УПУП сертификат нужно выбрать перед их отправкой — в списке появятся сертификаты физлица и сертификаты УЦ ФНС.
Если вы сдаете в ПФР только отчеты СЗВ-ТД, регистрационную информацию можно не отправлять.
Отчетность в ФСС
При отправке отчетности вы сможете выбрать сертификат руководителя, выданный УЦ ФНС, или сертификат физлица в списке.
Если сотрудник будет отправлять документы с сертификатом физлица, ему необходимо, как и прежде, сначала зарегистрироваться на портале ФСС и передать в ФСС бумажную доверенность старого образца (инструкция).
Многопользовательский режим работы в Экстерне
Раньше, чтобы добавить пользователя в Экстерн, требовалось купить рабочее место и сертификат. В июле появится возможность добавлять в Экстерн пользователей, не выпуская на них сертификат в процессе покупки, если у них уже будет сертификат физлица. Дело в том, что теперь при переходе в разные организации у сотрудника может оставаться на руках один и тот же сертификат физлица.
Как добавить в Экстерн нового пользователя (с сертификатом или без):
Таким образом, дополнительные пользователи смогут входить в Экстерн удобным способом: с сертификатом, по логину-паролю или указав код из СМС.
Электронные доверенности
С 1 января 2022 года сотрудники организаций смогут получать и использовать только сертификаты физлиц. В таком сертификате не указана организация, только Ф.И.О. сотрудника. Чтобы представлять организацию и подписывать от ее имени документы, сотруднику нужна будет электронную доверенность. Окончательные нормативно-правовые акты, которые утвердят электронную доверенность, появятся ближе к июлю. Мы следим за ситуацией и готовим решение, которое позволит использовать ее в сервисах Контура. Первой системой, с которой можно будет взаимодействовать по электронной доверенности, будет ФНС.
Электронные доверенности для отчетности в ФНС
Электронная доверенность подтверждает, что физлицо имеет полномочия сдавать за организацию какие-либо документы в ФНС. Она должна быть подписана сертификатом руководителя, выданным УЦ ФНС.
Электронная доверенность заменит текущую бумажную доверенность с подписью руководителя.
Формат электронной доверенности представителя налогоплательщика для отправки документов в ФНС прописан в проекте приказа и начнет действовать с 1 июля 2021 года. Однако вся новая схема работы — с переходом на сертификаты физлиц и электронные доверенности — станет обязательной только с 1 января. Таким образом, есть еще полгода переходного периода, когда будут действовать старый и новый сценарии работы.
Как отправить электронную доверенность в ФНС
На скринах, которые вы увидите дальше, — прототипы. То, как в итоге будет выглядеть в Экстерне работа с электронными доверенностями, может отличаться от представленных изображений.
В Экстерне в «Реквизитах плательщика» в блоке «Подписание документов» можно будет выбрать сертификат физлица и затем нажать на кнопку «Добавить доверенность».
Затем будут варианты:
- «Заполнить» — появится окно, куда надо внести данные.
- «Есть принятая электронная доверенность» — если раньше вы уже работали в другой системе отчетности с сертификатом физлица, можно просто ввести данные действующей электронной доверенности.
Руководитель сможет выдать права на отправку отчетности в конкретную ИФНС, а не во все сразу, но по умолчанию Экстерн будет считать, что доверенность действует во всех ИФНС.
Как подписать и отправить электронную доверенность
Здесь может быть две ситуации.
В «Реквизитах плательщика» будет отражаться, какого числа был отправлен запрос на подпись руководителю, а в списке организаций появится статус «Доверенность ожидает подписи».
Когда руководитель подпишет доверенность по ссылке из полученного письма, вы увидите уведомление в Экстерне и сможете отправить доверенность в ФНС. После этого нужно будет подождать ответ от ФНС.
Если от ФНС пришел отказ, вы сможете посмотреть причину отказа и переоформить доверенность.
Если ФНС приняла доверенность, вы сможете отчитываться за организацию, данные из доверенности будут подтягиваться в сообщение о представительстве, которое высылается вместе с отчетами.
Как отозвать электронную доверенность
Электронную доверенность нужно отозвать, например, если физлицо уже не работает в обслуживающей бухгалтерии и не должно иметь полномочий подписывать документы за организацию.
Отзыв электронной доверенности — формализованный документ, который надо подписать сертификатом руководителя, выданным УЦ ФНС.
Отозвать доверенность можно в «Реквизитах плательщика» в блоке доверенности. Заполните форму отзыва и отправьте ее, подписав сертификатом руководителя или предварительно запросив подпись от руководителя. Когда от ФНС придет ответ, что отзыв принят, доверенность перестанет действовать.
Наши рекомендации
1. Настройте альтернативный способ входа в Экстерн. Это позволит избежать ситуации, когда вы не сможете зайти в Экстерн с новым сертификатом. Заполните в личном кабинете Экстерна в «Настройках входа» почту, пароль и телефон (инструкция). Рекомендуем указывать номер телефона, так вы всегда сможете войти в Экстерн, даже если забудете логин для входа.
2. Чтобы даже в переходный период при смене сертификата у вас был доступ к своим документам из отчетности в ФНС и Росстат, включите настройку «Хранение расшифрованных отчетов». А также установите на компьютер Контур.Архив, который сохраняет и расшифровывает документы из отчетности в ФНС, ФСС, Росстат, а также требования ФНС, формализованные ответы на них и первичные (подтверждающие) документы к отчетам. Контур.Архив скачивает и расшифровывает документы за выбранный период, а затем продолжает загружать новые документы из Экстерна. Таким образом, у вас всегда будет под рукой полный актуальный архив отчетности.
3. Не стоит волноваться. До 1 января 2022 года действуют два сценария работы в Экстерне: с сертификатами, выпущенными коммерческими УЦ, и с сертификатами, выданными УЦ ФНС. Следите за уведомлениями в Экстерне — мы будем подсказывать вам, что делать, чтобы переход на новые сертификаты прошел без проблем.
Смотрите вебинар о предстоящих изменениях
Подробно обо всех изменениях и нюансах работы с новыми сертификатами мы расскажем вам на вебинаре 24 июня. Регистрируйтесь по ссылке.
Как установить личный сертификат?
1. Откройте меню Пуск – Панель управления – КриптоПро CSP.
2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Просмотреть сертификаты в контейнере:
3. В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится на смарт-карте JaCarta):
4. После выбора контейнера нажмите кнопку Ок, затем Далее.
* Если после нажатия на кнопку Далее Вы видите такое сообщение:
«В контейнере закрытого ключа отсутствует открытый ключ шифрования», следует установить сертификат по рекомендациям, описанным в разделе Вариант 2.
5. В окне Сертификат для просмотра нажмите кнопку Установить:
6. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:
7. Дождитесь сообщения об успешной установке:
8. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.
Вариант 2. Установка через меню «Установить личный сертификат».
Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer). Он может находиться, например, на съемном носителе или на жёстком диске компьютера (если Вы делали копию сертификата или Вам присылали его по электронной почте).
В случае, если файл сертификата отсутствует, напишите письмо с описанием проблемы в техническую поддержку по адресу pu@skbkontur.ru.
1. Откройте меню Пуск – Панель управления – КриптоПро CSP.
2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Установить личный сертификат:
3. В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата:
4. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):
5. В следующем окне нажмите кнопку Далее; в окне Сертификат для установки нажмите Далее.
6. Поставьте галку в окне Найти контейнер автоматически (в нашем примере контейнер находится на смарт-карте JaCarta) и нажмите Далее:
7. В следующем окне отметьте пункт Установить сертификат (цепочку сертификатов) в контейнер и нажмите Далее:
8. В окне Завершение мастера установки личного сертификата нажмите Готово:
9. Если КриптоПро CSP запрашивает pin-код от контейнера, введите нужный код или попробуйте стандартные pin-коды носителей:
10. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:
11. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.
Какая подпись нужна для сдачи отчетности
Электронную отчетность, направляемую в госорганы, можно будет подписать сертификатом руководителя, выданным УЦ ФНС, или сертификатом физлица.
Отчетность в ФНС и Росстат
Чтобы отчитаться в ФНС или Росстат, в реквизитах плательщика нужно выбрать сертификат руководителя, выданный УЦ ФНС, или сертификат физлица (см. инструкцию).
Отчетность в ПФР
Перед тем, как отправить отчетность в ПФР, необходимо, как и сейчас, передать в фонд регистрационные данные с информацией о сертификате (см. инструкцию). При этом можно отметить в списке сертификат руководителя, выданный УЦ ФНС, или сертификат физлица.
Также сертификат нужно выбрать перед отправкой отчета СЗВ-ТД, заявления на подключение к системе электронного документооборота (ЗПЭД) и уведомления о предоставлении полномочий представителю (УПУП). Допустимо указать сертификат физлица или сертификат, полученный в УЦ ФНС.
Если нужно сдавать только отчеты СЗВ-ТД, регистрационную информацию можно не отправлять. Также см. «Что необходимо сделать перед сдачей СЗВ‑ТД».
Отчетность в ФСС
Перед отправкой отчета можно выбрать сертификат руководителя, выданный УЦ ФНС, или сертификат физлица.
Если документы будут подписаны сертификатом физлица — сотрудника компании, то сначала ему следует зарегистрироваться на портале ФСС и передать бумажную доверенность старого образца (см. инструкцию).
Сдайте электронную отчетность во все контролирующие органы через интернет
Сдать бесплатно
Какие виды ssl-сертификатов есть и кто их выдаёт?
Есть специальные центры сертификации или как ещё называют — удостоверяющие центры (УЦ). Вы могли встречать названия таких УЦ: Symantec, Comodo, GlobalSign, Thawte, GeoTrust, DigiCert. Они подтверждают подлинность ключей шифрования с помощью сертификатов электронной подписи.
Кроме того, есть проекты, CloudFlare или LetsEncrypt, где можно получить сертификат бесплатно и самостоятельно. Такой сертификат выпускается на 3 месяца и далее требует продления. Однако во время их установки и дальнейшей работы есть ряд нюансов, которые стоит учитывать.
Например, при выборе сертификата Cloudflare учтите, что он выдаётся сразу на 50 сайтов. Тем самым сертификат будет защищать не только ваш домен, но и ещё несколько чужих, что несёт за собой риски безопасности. Также у Cloudflare нет печати доверия. Если говорить о недостатках LetsEncrypt, то сюда можно отнести поддержку далеко не всех браузеров, отсутствие гарантии сохранности данных сайта и печати доверия.
Печать доверия — это особый знак, позволяющий посетителям видеть, что соединение с вашим сайтом и все передаваемые данные надёжно защищены.
Итак, существует несколько типов SSL-сертификатов по источнику подписи и типу проверки данных.
- Самоподписанные. Сертификат подписывается самим сервером. Его может сгенерировать любой пользователь самостоятельно. По сути, он бесполезен, потому что доверять ему будет только компьютер, на котором был сгенерирован такой сертификат. Большинство браузеров при посещении сайта с таким сертификатом выдаст предупреждение, что соединение не защищено.
- Подписанные доверенным центром сертификации (валидные). Речь о тех самых авторитетных УЦ выше. Сертификат корректно отображается во всех браузерах. Данные сертификата проверены и подтверждены в сертифицирующем центре.
Так вот, разница между самоподписанными сертифкатами и, выданными УЦ, как раз и заключается в том, что браузер знаком с УЦ и доверяет ему, и при использовании такого сертификата ваш посетитель никогда не увидит огромное уведомление о небезопасности ресурса. Купить такой SSL-сертификат можно как напрямую в УЦ, так и через хостинг-провайдеров.
Подписанные доверенным центром сертификаты, в свою очередь, тоже подразделяются по типу проверки данных:
- DV (Domain Validation) — базовый уровень сертификата, который обеспечивает только шифрование данных, но не подтверждает существование организации. Такие бюджетные сертификаты подойдут физическим и юридическим лицам.
- OV (Organization Validation) — обеспечивает не только шифрование данных, но и подтверждает существование организации. Такие сертификаты доступны только для юридических лиц.
- EV (Extended Validation) — это эффективное решение с самым высоким классом защиты, которое активно применяется в онлайн-бизнесе. Для оформления требуется пройти процедуру расширенной проверки, подтвердить законность организации и право собственности на домен.
Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции:
- WildCard — защищает соединение с доменом и всеми его поддоменами.
- SAN — защищает домены по списку, указанному при получении SSL-сертификата.
Настройка apache 2 для использования сертификатов
Переходим в каталог /etc/apache2:
root@shpc:/mnt# cd/etc/apache2/
Создаём каталог для хранения сертификатов:
root@shpc:/etc/apache2# mkdir ssl
Включаем модуль SSL для веб-сервера. Тестирование проводилось на ОС Ubuntu Linux, поэтому модуль достаточно просто включить:
a2enmod headers
Перезапускаем веб-сервер:
root@shpc:/etc/apache2# systemctl restart apache2Аналогично нужно включить поддержку заголовков:
Теперь создадим конфигурационный файл для модуля SSL. Пример содержимого для него можно взять на Syslink.pl. Команды такие:
root@shpc:/mnt# cd /etc/apache2/conf-available root@shpc:/etc/apache2/conf-available# nano ssl-params.conf
Сам файл будет содержать следующие параметры (чтобы было проще работать, мы отключили заголовки Strict-Transport-Securrity, X-Frame-Options и X-Content-Type-Options):
Далее созданный конфиг надо активировать:
root@shpc:/etc/apache2/conf-available# a2enconf ssl-paramsТеперь переходим в каталог /etc/apache2/sites-available:
root@shpc:/etc/apache2/conf-available# cd/etc/apache2/sites-available
И делаем на всякий случай резервные копии всех хранящихся там файлов:
root@shpc:/etc/apache2/sites-available# cp 000-default.conf 000-default.conf.bak root@shpc:/etc/apache2/sites-available# cp default-ssl.conf default-ssl.conf.bak
Теперь ещё раз проверяем подключённые модули headers и SSL:
Далее нам надо перенести созданные сертификаты (сертификат CA и сертификат сервера) в каталог /etc/ssl/certs, а ключ сертификата сервера — в каталог /etc/ssl/private:
root@shpc:/opt/simple_CA# cp ca.cer /etc/ssl/certs/ root@shpc:/opt/simple_CA# cp server.cer /etc/ssl/certs/server.crt root@shpc:/opt/simple_CA# cp server.key /etc/ssl/private/server.key
Далее откроем конфиг сайта (/etc/apache2/sites-available/000-default-ssl.conf) и добавим туда следующие опции:
SSLCertificateFile /etc/ssl/certs/server.crt SSLCertificateKeyFile /etc/ssl/private/server.key SSLCACertificateFile /etc/ssl/certs/ca.cer
Теперь перезагружаем веб-сервер:
root@shpc:/etc/apache2# a2ensite default-ssl root@shpc:/etc/apache2/sites-available# service apache2 restart
Проверяем доступность сайта:
Видим, что Firefox не может проверить сертификат сайта. Чтобы смог, надо импортировать цепочку сертификатов, подтверждающих сертификат сервера, в список доверенных. Создадим цепочку:
root@shpc:/opt/simple_CA# openssl crl2pkcs7 -nocrl-certfile ca.cer -certfile server.cer -out serve-and-ca-chain.p7c -outform der
У полученного файла не забываем сменить атрибуты на 555:
root@shpc:/opt/simple_CA# chmod555 serve-and-ca-chain.p7c
Теперь откроем в браузере менеджер сертификатов и импортируем полученную цепочку (кнопка Import):
Далее можно просмотреть сертификаты и настроить доверие — вдруг что-то упущено:
Когда сертификаты добавлены в список доверенных, можно снова зайти на сайт и увидеть, что соединение помечается как доверенное:
Сейчас время настроить аутентификацию для клиентов.