Работа с Рутокен ЭЦП 2.0: от установки драйверов до генерации ключей ЭП

Что такое открытый ключ эцп

Открытый ключ электронной подписи представляется в виде электронного сертификата или бумажного документа. Сертификат выдаётся только удостоверяющим центром и содержит информацию, которая используется для проверки подписи владельца и шифрования данных.

Открытый ключ можно использовать для работы с партнёрами, в отличие от закрытого, который хранится в защищённом месте. Контрагенты могут использовать открытый ключ владельца для шифрования данных, которые ему посылают. Это означает, что после отправки этих данных, получить доступ к ним сможет только владелец закрытой части ключа.

Сертификат содержит в себе следующие данные:

Электронный сертификат виден на обычных носителях в виде файла с расширением .cer, а на защищённых картах Рутокен, eToken и JaCarta он скрыт. Чтобы увидеть скрытый сертификат, его необходимо экспортировать.

Что такое закрытый ключ эцп

Закрытый ключ представлен в виде уникального набора символов, которые используются криптографическим алгоритмом для создания защищённой части электронной подписи.

Владелец электронной подписи использует именно закрытую часть для подписания электронных документов. Любой, кто получает доступ к закрытому ключу электронной подписи, может им воспользоваться. Поэтому его хранят на защищённых носителях: смарт-карте, токене, USB-носителе или дискете.

Хранить закрытый ключ можно на компьютере, однако это небезопасно — воспользоваться им сможет любой, кто имеет доступ к компьютеру. Самым защищённым носителем считается смарт-карта, так как на ней используется двухфакторная аутентификация.

Как и в случае с сертификатом, закрытый ключ может быть как скрыт так и виден, в зависимости от носителя. Он представлен в виде папки, которая содержит несколько файлов с расширением .key, поэтому закрытый ключ также называют контейнером. Скрытый контейнер с закрытым ключом нужно экспортировать, чтобы получить к нему прямой доступ.

Pin-коды рутокен эцп 2.0: пароли пользователя и администратора

Для защиты данных применяется двухфакторная аутентификация. Все операции осуществляются при соблюдении двух условий — присутствии токена в USB-разъеме ПК и введении верного пароля.

Для получения доступа к сертификату и ключевой паре (открытый и закрытый ключи) следует запустить панель управления и ввести PIN-код пользователя, который представляет собой определенную комбинацию символов. По умолчанию используется прямая последовательность цифр от единицы до восьмерки — 12345678.

Для изменения настроек Рутокен ЭЦП 2.0 понадобится пароль администратора, который также вводится через панель управления. Перед аутентификацией необходимо переключиться с «пользователя» на «администратора». Пароль можно узнать у организации (удостоверяющего центра, банка и пр.), выдавшей носитель ЭП. По умолчанию задается обратная последовательность цифр от восьмерки до единицы — 87654321.

Важно: перед началом работы рекомендуем изменить пароль по умолчанию на более надежный.

Вариант 1. сертификата нет

В этом случае нужно сгенерировать запрос на выдачу сертификата. Чтобы генератор запросов стал доступен, в Панели управления Рутокен необходимо ввести PIN-код Администратора (по умолчанию 87654321).

Если стандартный PIN-кода Администратора не подходит, обратитесь к тем, кто выдал вам Рутокен.

Чтобы запустить утилиту:

1. В Панели управления Рутокен (Пуск → Рутокен → Панель управления Рутокен) перейдите во вкладку Администрирование, выберите устройство и нажмите Ввести PIN-код.
2. Установите переключатель в положение Администратор и введите PIN-код Администратора. Нажмите ОК.
3. Перейдите во вкладку Сертификаты и нажмите Выписать сертификат.

Откроется окно утилиты Генератор запросов сертификатов для Рутокен ЭЦП 2.0. Чтобы создать запрос, выполните следующие действия:

1. В поле ШАБЛОН из выпадающего списка выберите необходимый шаблон.
2. Заполните все поля формы запроса.
3. Нажмите кнопку Создать запрос, затем выберите папку для сохранения файла запроса и нажмите Сохранить.
4. Укажите PIN-код Пользователя устройства Рутокен (по умолчанию 12345678).
5. Нажмите на кнопку рядом с полем для ввода PIN-кода.При этом на ПК сохранится файл запроса, а на устройстве Рутокен сгенерируется ключевая пара.

Полученный файл запроса с расширением .req будет направлен в один из аккредитованных удостоверяющих центров (УЦ).

УЦ загрузит файл запроса в центр сертификации, проверит алгоритм шифрования, а также правильность заполнения полей в запросе. Если данные в запросе будут корректны, УЦ сгенерирует файл сертификата в формате .cer и сообщит заявителю о его готовности.

После получения сертификата можно приступать к его установке на устройство Рутокен. Выполняются те же действия, что указаны в Варианте 2.

Вариант 2. сертификат есть, нужно установить его на ключевой носитель

Для записи сертификата КЭП на Рутокен ЭЦП 2.0 необходимо:

1. Подключить устройство Рутокен ЭЦП 2.0 к компьютеру.
2. Запустить Генератор запросов сертификатов для Рутокен ЭЦП 2.0 и нажать на кнопку Запись сертификата.
3. Выбрать на ПК файл с сертификатом и нажать Открыть.

Квалифицированный сертификат ЭП будет записан на устройство Рутокен.

Генерация ключа для егаис на рутокен эцп 2.0

Для работы с ЕГАИС  необходим «чистый» Рутокен ЭЦП 2.0, поскольку процедура генерации ключа осуществляется только после ряда подготовительных мероприятий.Первый этап — подготовка:

Инструкция как экспортировать закрытый ключ

Выполнять экспорт закрытого ключа электронной подписи можно из криптопровайдера КриптоПро CSP.

1. В системе Windows перейдите в «Пуск» → «Панель управления» → «КриптоПро CSP».

2. Перейдите на вкладку «Сервис» и нажмите на кнопку «Скопировать контейнер».



3. В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор», выберите нужный контейнер и нажмите «Ок» → «Далее».



4. Если вы копируете закрытый ключ с защищённого носителя, введите pin-код.

5. Введите название копии закрытого ключа и нажмите «Готово».



6. В окне «Выбор ключевого носителя» выберите носитель, на который будет произведено копирование контейнера с закрытым ключом.



7. Установите пароль на контейнер. Несмотря на то что этот шаг необязательный, установка пароля обеспечит дополнительную защиту.

Инструкция как экспортировать открытый ключ

Экспортировать открытый ключ электронной подписи можно через свойства обозревателя либо из криптопровайдера КриптоПро CSP. При этом носитель с ключом должен быть подключён к компьютеру.

Как изменить пин-код по умолчанию для пользователя рутокен эцп 2.0

Для доступа к функциям Рутокен ЭЦП 2.0 можно использовать пин-код по умолчанию, но этот пароль не обеспечивает защиты данных. В целях безопасности стоит придумать другую комбинацию из 7-10 символов перед первым применением устройства. Запишите новый пароль, чтобы не ошибиться при аутентификации. Учитывайте, что после нескольких ошибочных попыток ввода токен будет заблокирован.

Как сменить PIN-код пользователя:

1. Подключите токен к USB-разъему ПК и откройте панель управления.
2. Выберите носитель, с которым будете работать.
3. Убедитесь, что переключатель стоит напротив «Пользователь».
4. Нажмите «Ввести PIN-код» и в появившемся поле введите 12345678. Если пароль указан корректно, напротив строки появится кнопка «Выйти», если некорректно — отобразится сообщение «Неудачная аутентификация» с указанием количества оставшихся попыток.
5. Нажмите кнопку «Изменить» напротив строки «Изменить PIN-коды пользователя и администратора».
6. Введите и подтвердите новый пароль, предварительно выбрав роль «Пользователь». Цветовой индикатор поможет определить уровень надежности PIN-кода (зеленый — надежный, красный — ненадежный).

Важно: если после нескольких ошибок вы введете верный пароль, счетчик неверных попыток вернется в изначальное состояние. Когда попытки закончатся, доступ будет заблокирован. Для разблокировки следует обратиться к администратору.

Как посмотреть срок действия сертификата на рутокен эцп

Срок действия электронной подписи истекает через 12—15 месяцев после выпуска, поэтому владельцу ЭП следует знать, как посмотреть информацию о сертификате на Рутокен ЭЦП.

Для проверки срока действия зайдите в Панель управления, введите пароль и перейдите во вкладку «Сертификаты». Выберите USB-токен из списка, а затем нажмите на название сертификата. Точные даты отображаются в строке «Действителен с… по …».

Если вы используете устройство для ЕГАИС, можете посмотреть информацию на домашней странице УТМ:

• В Личном кабинете кликните на «Ознакомиться с условиями и проверить их выполнение».
• Кликните на «Начать проверку».
• После завершения вернитесь в личный кабинет.
• Введите PIN-код 12345678.
• Кликните на «Показать сертификаты».

Как удалить сертификат с рутокен эцп 2.0

В некоторых случаях может потребоваться удаление действующего сертификата. Эту операцию можно выполнить в Панели управления без помощи дополнительного ПО. Учитывайте — процесс необратим, данные не подлежат восстановлению.

Как удалить сертификат с Рутокен ЭЦП 2.0:

• зайдите во вкладку «Сертификаты»;
• выберите название USB-токена в списке «Подключенные устройства»;
• появится список контейнеров с личными сертификатами — выберите нужный и нажмите на него (напротив должен стоять значок в виде документа с желтой печатью, аналогичный символ с красной печатью обозначает сертификат криптопровайдера — его удалять не нужно):
• нажмите «Удалить», а затем «Да».

Какая версия рутокен необходима для работы с егаис

Необходима модель ЭЦП 2.0. Данный USB-токен обеспечивает безопасное хранение ключей ЭП без возможности их экспорта. Помимо ЕГАИС Рутокен ЭЦП 2.0 применяется в системах ЭДО, а также дистанционного банковского обслуживания.

Чтобы авторизоваться и работать в системе ЕГАИС, необходим компьютер с доступом в интернет, устройство Рутокен ЭЦП 2.0 и записанный на него сертификат КЭП.

Настройка рутокен эцп 2.0 для егаис

Последним шагом будет настройка Рутокен ЭЦП 2.0 для работы с ЕГАИС. Для этого подключите устройство к компьютеру и откройте Панель управления Рутокен.

Перейдите во вкладку Администрирование и нажмите кнопку Информация. Откроется окно с информацией о носителе. Убедитесь, что напротив Microsoft Base Smart Card Crypto Provider указано «Поддерживается».

Если указан статус «Активировать», значит, первичная авторизация пользователя на устройстве Рутокен не выполнялась. Нажмите Активировать и укажите PIN-код в появившемся окне.

Статус «Не поддерживается» означает, что ключевой носитель не предназначен для работы с ЕГАИС.

Перейдите во вкладку Настройка. В блоке Настройки криптопровайдера нажмите кнопку Настройка. В поле Рутокен ЭЦП (2.0 / PKI / BT) выберите вариант Microsoft Base Smart Card Crypto Provider.

Вот и всё! Устройство Рутокен ЭЦП 2.0 готово для работы с ЕГАИС.

Настройка считывателя в криптопро

1. Вставьте ruToken в USB-порт
2. Запустите Пуск > Программы > КриптоПро CSP (нажмите на ярлык программы правой кнопкой мыши, выберите Запуск от имени Администратора)
3. Перейдите на вкладку Оборудование
4. Нажмите на кнопку «Настроить считыватели»
   

5. Откроется окно со списком установленных считывателей. Если в списке нет считывателя Все считыватели смарт-карт, нажмите кнопку «Добавить»

   Если кнопка «Добавить» не активна, то нужно перейти на вкладку «Общие» и нажать на ссылку «Запустить с правами администратора».

6. Для продолжения установки считывателя нажмите кнопку «Далее»

7. В следующем окне выберите считыватель Все считыватели смарт-карт и нажмите кнопку «Далее» 

8. Для продолжения установки нажмите кнопку «Далее» 
   

9. После чего, чтобы сохранить настройки, нажмите «Готово» > «Ок» > «Ок»

Особенности рутокен эцп 2.0

Съемный носитель имеет формат USB-флешки или смарт-карты, но, в отличие от последних, оснащается защищенными аппаратными компонентами — памятью для хранения ключей ЭП и встроенным микроконтроллером. В Рутокен ЭЦП вшиты СКЗИ нового поколения, которые сертифицированы ФСБ и ФСТЭК и отвечают требованиям российских стандартов ГОСТ Р 34.

Компания «Актив-софт» выпускает несколько модификаций версии 2.0, которые отличаются либо форм-фактором (размеры корпуса, типы USB-разъемов), либо комплектацией (некоторые модели поставляются с набором документов), либо возможностями (наличие flash-диска у версии Flash).

Подготовка

• Все описанные ниже действия необходимо выполнять под учетной записью администратора   
• На время установки драйверов закройте все приложения
• Rutoken нельзя подключать во время установки драйверов

Управление пин-кодом администратора рутокен эцп 2.0

Смена пин-кода администратора Рутокен ЭЦП 2.0 осуществляется таким же образом, как и изменение пароля пользователя. Для выполнения этой операции необходимо переставить переключатель на «Администратор» при введении пароля по умолчанию (87654321) и нового PIN-кода.

Администратор может разблокировать или сменить пароль пользователя с помощью соответствующих кнопок в разделе «Управление PIN-кодами». В «Настройках» можно также осуществить кэширование пароля (сохранение в памяти), чтобы вводить его только при первом входе в приложение.

Важно: после нескольких ошибочных попыток ввода PIN-код администратора блокируется. Для снятия блокировки и смены пароля необходимо вернуть заводские настройки («Форматирование»), что приведет к безвозвратному удалению данных.

Установка драйверов для рутокен эцп 2.0

Устройства совместимы с ОС Microsoft Windows и MacOS. Первый вариант дает больше возможностей — пользователи ОС Windows могут использовать USB-токен для работы с ЕГАИС, а также с другими госпорталами и информационными системами, которые не поддерживают «яблочную» ОС.

Если вы собираетесь подписывать документы вне площадок, то драйверы для Рутокен ЭЦП 2.0 не потребуются (за исключением «родного» CCID-драйвера ОС Windows). Дополнительные программы для взаимодействия с носителем нужны для работы с ЕГАИС и другими государственными или коммерческими системами, которые предъявляют высокие требования к уровню защиты информации.

Установка драйверов и модулей rutoken

Для установки драйверов необходимо:

1. Сохраните на компьютер один файл с драйверами для носителя:
2. Запустите установку драйвера rtDrivers
3. Перезагрузите компьютер

Установка сертификатов

Для того, чтобы система стала запрашивать ruToken при входе, с него нужно установить сертификат. Чтобы узнать, как это сделать, перейдите по