Рутокен ЭЦП 2.0: характеристики, преимущества, сфера применения — Удостоверяющий центр СКБ Контур

Рутокен ЭЦП 2.0: характеристики, преимущества, сфера применения — Удостоверяющий центр СКБ Контур Сертификаты

Основные характеристики

Носитель Рутокен ЭЦП 2.0 предназначен для:

  • хранения сертификатов электронной подписи,
  • генерации электронных подписей и шифрования документа,
  • аутентификации пользователей и защиты информации от доступа посторонних лиц.

Рутокен ЭЦП 2.0 выпускает  компания «Актив-софт», токен выполнен в виде флеш-накопителя со встроенным микроконтроллером и защищенной памятью для безопасного хранения данных владельца.

Носитель можно использовать на любом компьютере или на мобильном устройстве с USB-разъемом. Рутокен ЭЦП 2.0 поддерживает российские и международные стандарты информационной безопасности и совместим c операционными системами Windows, Linux и Mac.

Получить электронную подпись

Что такое сертификат электронной подписи?

Для того, чтобы воспользоваться токеном, необходимо иметь сертификат электронной подписи. Именно он гарантирует юридическую силу ЭЦП и её принадлежность конкретному человеку. Существует сертификат как в бумажном, так и в электронном виде.

В зависимости от удостоверяющего центра, срок действия сертификата может отличаться. Самым популярным вариантом является годовой, но существуют как на 3 месяца и 6 месяцев, так и на 15 месяцев.

Сертификат содержит информацию о владельце, выпустившем ЭЦП удостоверяющем центре, а также информацию об области применения.

Кстати об областях применения! Для работы на конкретных ЭТП, необходимо наличие специальных расширений в сертификате – идентификаторов OID. Удостоверяющий центр вносит их при выпуске новой КЭП, а также по запросу в уже имеющуюся. Одна цифровая подпись может содержать несколько расширений, поэтому нет необходимости выпускать много для разных площадок.

Некоторые центры при выпуске предлагают заготовленные тарифы – наборы идентификаторов для ЭТП. Они бывают отдельными для госзакупок, коммерческих тендеров, торгов по банкротству, а также универсальными.

Так что при оформлении электронной подписи лучше заранее подумать, какие именно площадки вам понадобятся, чтобы не переплачивать за лишние.

Что нужно учитывать при выборе токена?

1. Государственным организациям следует приобретать исключительно сертифицированные версии токенов и программного обеспечения

Вообще, использовать сертифицированные программные средства обязаны все государственные и негосударственные организации, работающие с так называемой «служебной информацией государственных органов». Также ряд других организаций обязаны использовать сертифицированные токены и программные продукты в соответствии с российским законодательством (например, организации, подпадающие под соответствующие требования «Закона о персональных данных»).

Поэтому стоит приобрести сертифицированный токен, даже если вы представляете негосударственную организацию. Разница в цене не так уж велика, а в будущем сертифицированные токены, возможно, помогут вам сэкономить: не придется их покупать, в случае, если вы подпадете под требования закона такого рода. Помните, что несертифицированные токены “превратить” в сертифицированные не получится – придется покупать новые.

2. Если приобретаете сертифицированные токены – не забудьте приобрести медиакит

Медиакит – это диск с заведомо корректным программным обеспечением для работы токена и комплект документации. По требованиям законодательства, необходимо иметь хотя бы один на компанию, где используются сертифицированные ключи.

3. Если хотите хранить больше одного сертификата на токене – убедитесь, что места на токене хватит

У каждого токена есть объем памяти, который пользователь может использовать для хранения сертификатов ЭЦП или иной информации. Обычно объемы памяти токенов бывают от 32Кб до 128Кб. Для того чтобы примерно оценить, сколько вместится сертификатов электронной подписи на токен, считайте, что один сертификат занимает 4-10Кб. Таким образом, например в токен с 64Кб памяти вместится примерно 5-9 сертификатов.

4. Токены с пометками ЭЦП или ГОСТ – могут помочь сэкономить на приобретении криптопровайдера

Обычно для нормального использования токена вам потребуется приобрести криптопровайдер (чаще всего это КриптоПро CSP), однако токены с пометкой ЭЦП выгодно отличаются от стандартных токенов. В такие токены уже встроена криптография, и покупать криптопровайдер вам уже не будет нужно, а это существенная экономия.

Но нужно быть внимательным: ваше программное обеспечение для электронной подписи должно поддерживать работу с такими токенами. Протокол для взаимодействия с такими токенами называется PKCS ♯11, поэтому ищите такое упоминание в описании вашей программы.

Например, программа КриптоАРМ будет поддерживать работу с такими токенами начиная с версии 5.0, выход которой планируется в начале 4 квартала 2021 года.

5. Для ЕГАИС нужны специальные токены


Для авторизации и работы с ЕГАИСподходят следующие модели токенов:

Pin-коды и способы их замены

Если при оформлении ЭЦП вам не выдали пароли для доступа, то они имеют первоначально стандартное значение:

Для обеспечения безопасности при работе и предотвращения компрометации токена необходимо после настройки рабочего места сменить PIN-коды. Сделать это можно следующим образом:

Аналогичным образом меняют пароль администратора. Новое значение желательно держать отдельно от самого токена в недоступном для посторонних месте для предотвращения компрометации данных.

Во время ввода PIN-кода может быть совершена ошибка. По умолчанию, после 10 ошибок ввода PIN-кода устройство блокируется. Разблокировать его поможет ввод пароля администратора. Если и последний заблокирован (для этого также по умолчанию понадобится 10 неудачных попыток), то понадобится форматирование устройства. Во время процедуры полностью удаляются данные на носителе, сбрасываются все пароли и происходит освобождение памяти.

Где используется?

Рутокен ЭЦП 2.0 используют в электронном документообороте и самых разных системах, в том числе где установлены высокие требования к безопасности информации:

  • дистанционное банковское обслуживание,
  • электронный документооборот в госсекторе,
  • взаимодействие с ЕГАИС ФСРАР.

«Рутокен ЭЦП 2.0» также можно использовать на сайте ФНС для аутентификации в сервисе «Личный кабинет индивидуального предпринимателя». С его помощью налогоплательщики подписывают и отправлять в ФНС заявления на регистрацию, перерегистрацию и снятие с учета контрольно-кассовой техники и другие документы.

Получить электронную подпись

Доступ к токену pkcs#11

Для доступа к токену и сертификатам, хранящимя на нем, воспользуемся пакетом

. Пакет распространяется как в бинарниках, так и в исходниках. Исходные коды пригодятся позднее, когда мы будем добавлять в пакет поддержку токенов с российской криптографией. Загрузить пакет TclPKCS11 можно двумя способами, либо командой tcl вида:

load  <библиотека tclpkcs11> Tclpkcs11

Либо загрузить просто как пакет pki::pkcs11, предварительно положив библиотеку tclpkcs11 и файл pkgIndex.tcl в удобный вам каталог (в нашем случае это подкаталог pkcs11 текущего каталога) и добавив его в путь auto_path:

#lappend auto_path [file dirname [info scrypt]] 
lappend auto_path pkcs11
package require pki
package require pki::pkcs11


Поскольку нас интересуют токены прежде всего с поддержкой российской криптографии, то из пакета TclPKCS11 мы будем задействовать следующие

Про сертификаты:  Курсы риэлтора через интернет бесплатно и качественно

::pki::pkcs11::loadmodule <filename>                       -> handle
::pki::pkcs11::unloadmodule <handle>                       -> true/false
::pki::pkcs11::listslots  <handle>                       -> list: slotId label flags
::pki::pkcs11::listcerts  <handle> <slotId>                -> list: keylist
::pki::pkcs11::login <handle> <slotId> <password>          -> true/false
::pki::pkcs11::logout <handle> <slotId>                    -> true/false

Сразу оговоримся, что функции login и logout здесь рассматриваться не будут. Это связано с тем, что в рамках этой статьи мы будем иметь дело только с сертификатами, а они являются публичными объектами токена. Для доступа к публичным объектам нет необходимости авторизовываться через PIN-код на токене.

Первая функция ::pki::pkcs11::loadmodule предназначена для загрузки библиотеки PKCS#11, которая поддерживает токен/смарткарту, на котором находятся сертификаты. Библиотека может быть получена либо при приобретении токена, либо загружена из Интернета или она была предустановлена на компьютере.

set filelib "/usr/local/lib64/librtpkcs11ecp_2.0.so"
set handle [::pki::pkcs11::loadmodule  $filelib]

Соответственно есть функция выгрузки загруженной библиотеки:

::pki::pkcs11::unloadmodule $handle


После того как была загружена библиотека и у нас есть ее handle можно получить список слотов, поддерживаемых этой библиотекой:

Как выполнить копирование эп из реестра

Если вы желаете скопировать криптографический контейнер с требуемым нам сертификатом непосредственно из реестра компьютера, то сначала необходимо найти папку, где он располагается. В зависимости от версии Windows необходимо перейти по следующему адресу в ветке реестра:

Теперь достаточно для копирования выполнить действия в соответствии со следующим алгоритмом:

Если все действия были выполнены верно, то должно на экране появиться сообщение об успешных изменениях в реестре. Если есть ошибки, то появится с ошибкой и вам нужно проконтролировать корректность указанного пути к файлу.
После завершения процедуры все данные о контейнере будут находиться в реестре операционной системы, а вам понадобится для работы только установить вручную личный сертификат. Сделать это можно с помощью стандартных инструментов КриптоПро CSP.

Выгрузка личного сертификата с исходного компьютера:
Для начала на ПК (исходный), с которого идет установка, выполняем его экспорт следующим образом:

В случае успеха будет выдано окно о завершении операции. Нажмите кнопку «ОК»

Как купить токен

Чтобы приобрести USB-носитель нужно обратиться на Единый портал Электронной подписи и оформить заявку. При отправлении запроса будущий владелец соглашается с условиями договора оферты на поставку токена. На портале можно купить сертифицированное устройство для работы на российском и белорусском рынке, для ЭДО, сдачи отчетности, участия в торгах и т.д.

Клиенты Центра получают полное сопровождение сделки, включающее:

  • первичную консультацию;
  • оформление документов;
  • подбор сертифицированного устройства;
  • отправку продукта клиенту.

Все документы оформляются в соответствии с требованиями Федеральных законов РФ. Оригиналы высылаются на почтовый адрес, указанный в заявке, а копии — на электронную почту. Сроки доставки зависят от региона и составляют от 1 до 5 рабочих дней.

Рутокен — это надежной цифровое устройство, предназначенное для хранения закрытого ключа ЭЦП. Различаются токены функциями, объемом памяти, возможностью использования с мобильными устройствами и криптографическими опциями. Приобретая Рутокен, пользователь должен исходить из его последующего использования и необходимого объема памяти.

Самые простые накопители предназначены лишь для работы с ЕГАИС, а токены PINPad могут использоваться даже в работе государственных структур. Приобретая носитель, пользователь берет на себя ответственность за его хранение и правильную эксплуатацию. Для покупки необходимо обращаться в сертифицированные центры и требовать все сопровождающие документы.

Как получить эцп

Оформление, как правило, не занимает много времени – до трёх рабочих дней. Практически весь срок уходит на проверку удостоверяющим центром данных, которые Вы предоставите. Это очень ответственный этап.

  • Сначала необходимо обратиться в выбранный УЦ и подать заявку. В идеале, как мы уже и говорили ранее, необходимо сразу же сообщить, на каких площадках планируете применять ЭЦП.
  • После этого необходимо оплатить счёт и подготовить пакет запрошенных документов. Чаще всего в него входят паспорт руководителя организации, СНИЛС, ИНН, доверенность на право участия в закупках и, наконец, заявление на изготовление сертификата электронной подписи.
  • Последний, самый приятный этап, получение сертификата.

При разных обстоятельствах требуемые документы могут отличаться, так что внимательно подходите к этому моменту, чтобы не потерять лишнее время.

Чтобы воспользоваться подписью, после получения сертификата, необходимо приобрести носитель (токен), а также программу для проверки и защиты ЭЦП.

Последним подготовительным этапом станет запись подписи (сертификата) на сам носитель. Сделать этом можно разными способами – в личном кабинете удостоверяющего центра, через программу для проверки и защиты ЭЦП и при помощи встроенных средств Windows.

Как произвести копирование сертификата с рутокен

На одном накопителе Рутокен может находиться до 28 сертификатов ЭЦП (зависит от объема встроенной памяти). Этого достаточно для решения задач даже с учетом постепенного копирования на имеющийся носитель дополнительных ключей. На практике иногда приходится сталкиваться с необходимостью копирования сертификата с токена для переноса на другой или временного хранения на жестком диске, в облаке.

Перед выполнением копирования необходимо понимать, что сделать это традиционным способом с локального диска компьютера невозможно. Подобная операция доступна при наличии одного из следующих считывателей:

Если в качестве исходного носителя используется USB-накопитель, то контейнер с размещенным сертификатом должен находиться в корневой папке. Параллельно на нем может располагаться другая информация любой степени вложенности, которая не будет мешать работе с контейнером во время подписи документации.

Обратим внимание, что использование обычного USB-накопителя стоит рассматривать исключительно в качестве временной меры для хранения сертификатов и ключей из-за риска их хищения злоумышленниками. Исключением будет случай, когда подобное копирование используется для получения дополнительного комплекта файлов на случай выхода из строя Рутокен.

Копирование с помощью криптопро csp

Выберите «Пуск» > «Панель управления» > «КриптоПро CSP». Перейдите на вкладку «Сервис» и кликните по кнопке «Скопировать».

В окне «Копирование контейнера закрытого ключа» нажмите на кнопку «Обзор».

Выберите контейнер, который необходимо скопировать, и кликните по кнопке «Ок», затем «Далее». Если вы копируете с рутокена, то появится окно ввода, в котором следует указать pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.

Про сертификаты:  Что делать, если в Госуслугах пишет, что СНИЛС уже используется в другой учетной записи

Придумайте и укажите вручную имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем кликните «Готово».

В окне «Вставьте чистый ключевой носитель» выберите носитель, на который будет помещен новый контейнер.

Рутокен ЭЦП 2.0: характеристики, преимущества, сфера применения — Удостоверяющий центр СКБ Контур
На новый контейнер будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, но посторонние не могли его угадать или подобрать. Если вы не хотите устанавливать пароль, можно оставить поле пустым и нажать «ОК».

Не храните пароль/pin-код в местах, к которым имеют доступ посторонние. В случае утери пароля/pin-кода использование контейнера станет невозможным.

Рутокен ЭЦП 2.0: характеристики, преимущества, сфера применения — Удостоверяющий центр СКБ Контур
Если вы копируете контейнер на смарт-карту ruToken, сообщение будет звучать иначе. В окне ввода укажите pin-код. Если вы не меняли pin-код на носителе, стандартный pin-код — 12345678.

После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать для работы в Экстерне новый ключевой контейнер,  установите его через Крипто Про.

Кто и как сможет получить бесплатную укэп в налоговой с 1 июля

С 1 июля 2021 года электронные подписи для юр. лиц (имеющих право действовать от имени компании без доверенности – то есть генеральных директоров и т. д.), ИП и нотариусов станет выдавать Удостоверяющий центр ФНС. Электронная подпись будет выдаваться бесплатно.

Чтобы получить электронную подпись в удостоверяющем центре ФНС вам потребуется предоставить в вашу территориальную ИФНС заявление на выпуск подписи, паспорт, СНИЛС и лично пройти процесс идентификации вашей личности. При этом вам также потребуется носитель для хранения и использования подписи, так как носители для подписи ФНС не выдаёт и не продаёт.

Носители для подписи предоставляются заявителем и являются платными. Поэтому пройти процесс получения электронной подписи «совсем бесплатно» у вас получится только в том случае, если носитель вы купили ранее, и он соответствует всем требованиям УЦ ФНС.

Купить токен для эцп | уц такском

Описываемый девайс представляет собой периферийное устройство – это специальная флешка, сертифицированная Федеральной службой безопасности и/или Федеральной службой по техническому и экспортному контролю, с интерфейсом подключения типа USB. Ввиду своей массовой распространённости в компьютерах и ноутбуках этого порта именно подключение USB для токена применяется чаще всего.

Принципиальное отличие защищённого USB-токена от обычной флешки состоит в следующем:

  • на устройстве хранятся криптографические данные владельца ЭП, сертификат, открытый и закрытый ключ цифрового автографа, а также встроенная микропрограмма, служащая для генерации и шифрования/дешифрации;
  • для использования ЭП нужно вставить девайс в компьютер и ввести пароль от него – так достигается двойное шифрование и двойная защита данных.

Свой пароль обладатель девайса вводит при каждом его подключении к компьютеру.

Всякий раз, когда носитель вынимается из порта компьютера, его сеанс работоспособности заканчивается, а в операционной системе не остаётся никаких данных об ЭП, коими могут воспользоваться недоброжелатели, нечистые на руку коллеги, злоумышленники или мошенники.

В новых продаваемых носителях для записи, безопасного хранения и использования ЭП по умолчанию имеется простейший пароль – чаще всего последовательность цифр от 0 до 9. Разумеется, после записи цифрового автографа на носитель его владелец должен поменять стандартный пароль на свой – новый. Сам же девайс следует хранить с той же бережностью, осмотрительностью и осторожностью, что и, например, печать организации, паспорт или собственную кредитную карту.

Маркировка устройств

С 2021 года производитель ввел универсальную маркировку устройств, которая наносится на боковой поверхности USB-устройства либо смарт-карты. Теперь обозначение состоит из трех элементов:

Серия содержит четыре цифры, по которым можно идентифицировать модель устройства. Например, Рутокен S получил обозначение 1100 при условии стандартного объема памяти (в данном случае, 64 кб). Если последнее отличается от такового, то его объем дополнительно обозначается перед серией: 128 1100.

Серийный номер, как и ранее, представлен в формате десяти цифр. Модификация токена индивидуальна для каждого вида. Например, у продукта Рутокен ЭЦП Flash она обозначает объем встроенной памяти. Также здесь можно будет найти обозначение о наличии RFID-метке, подтверждение «сертифицированности» устройства и иную информацию.

Матчасть


То, что на рынке принято называть токеном с неизвлекаемым ключом, правильно называется

Главным отличием ФКН от обычных токенов (Рутокен S, JaCarta PKI, …) в том, что при выполнении криптографических преобразований (например, формирование электронной подписи) закрытый ключ не покидает устройство. В то время как при использовании обычных токенов закрытый ключ копируется с токена в память комптьютера.

Использование ФКН требует особой организации взаимодействия между прикладным криптографическим ПО и библиотекой СКЗИ (криптопровайдером или, по-другому, CSP).

Здесь важно увидеть, что программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал (например, генерация ключа, подпись данных и т.д.) и уметь с ним работать.

Методика тестирования

Смоделируем типовой процесс подготовки Администратором информационной безопасности ключевых документов для организации ЭДО:

  1. генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;
  2. после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;
  3. сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом;
  4. с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям;
  5. после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.

В нашем случае мы не будем пользоваться услугами центров сертификации, а сгенерируем ключевой контейнер с самоподписанным сертификатом и разместим его в реестре компьютера (АРМа генерации ключевой информации), это и будет

исходный ключевой документ

. Затем скопируем ключевую информацию на Рутокен ЭЦП и JaCarta ГОСТ, изготовив

рабочие ключевые документы

. После этого уничтожим

исходный ключевой документ

, удалив из реестра ключевой контейнер. И, наконец, попробуем скопировать ключевую информацию с рабочих ключевых документов обратно в реестр.

Носитель для электронной подписи: где купить

Токены продаются в самых разных местах. Вы можете купить токен у дистрибьютора производителя, можете обратиться в специализированный интернет-магазин или к оператору ЭДО. А можно купить токен в коммерческом УЦ, в котором вы привыкли получать подпись.

Например, УЦ «Деловая сеть» является авторизованным партнёром компании «Актив», выпускающей серию носителей Рутокен. Поэтому у нас вы всегда можете приобрести носители Рутокен непосредственно от производителя. Также наш УЦ предлагает носители JaCarta компании «Аладдин».

Про сертификаты:  Пожалуйста, предоставьте больше информации о контексте и цели контента, чтобы я мог его переписать

При этом у вас есть возможность использовать уже имеющиеся носители (в зависимости от типа носителя и электронной подписи) более чем для одной электронной подписи. Например, носитель Рутокен Lite позволяет хранить и использовать до 10 электронных подписей.  Сколько электронных подписей поместится на конкретный носитель – уточняйте при покупке.

 JaCartaносители для ЭЦПРутокентокен

Правила хранения рутокенов

Физически токены представляют смарт-карту либо USB-накопитель, которые могут быть повреждены, что приведет к потере информации, необходимости приобретения нового устройства. Для продления срока службы придерживайтесь простых правил:

  • ограждайте токен от внешних воздействий (вибрация, падения, удары, перепады температур, агрессивные вещества);
  • не прилагайте больших усилий при подключении токена к USB-порту;
  • защищайте устройство от контакта с грязью, влагой, пылью (для чистки корпуса используйте обычную сухую ткань без ворса);
  • исключите контакт смарт-карты с твердыми предметами (ключи, монеты) в кармане или кошельке;
  • не разбирайте устройство из-за снятия гарантийных обязательств, повреждения корпуса;
  • не сгибайте смарт-карту;
  • подключайте устройство только к технически исправному оборудованию;
  • не используйте без дополнительного питания хабы USB и длинные переходники из-за малого напряжения на входе токена, карты;
  • не доставайте из разъема USB токен в тот момент, когда на нем горит индикатор, свидетельствующий о передаче информации из-за риска повреждения целостности данных;
  • не оставляйте токен подключенным при перезагрузке, включении, иных действий, не связанных с применением его данных.

Дополнительно при использовании Рутокен важно гарантировать отсутствие компрометации данных. Для этого соблюдайте следующие правила:

При каких-либо подозрениях на компрометацию смените ЭЦП в удостоверяющем центре (отдельные тарифные планы позволяют это сделать бесплатно).

Проведение копирования контейнера с помощью встроенных средств операционной системы windows

При использовании USB-накопителя либо дискеты все можно выполнить стандартными средствами Windows. Для этого достаточно скопировать папку с сертификатом на конкретный носитель. Внутри этой папки будет 6 файлов с одинаковым расширением .key. Также здесь может находиться ключ в виде файла типа keyName.cer, копировать который необязательно.

Файлы для электронной цифровой подписи имеют следующие наименования (все имеют расширение .key):

Файл primary.key включает в себя 32 байта ключа, представленного в формате ASN1. При этом данное значение представляет собой только 50% искомого ключа, так как полная его версия может быть получена при делении на маску с учетом модуля Q.

Файл masks.key включает 32 байта маски ключа, которая также представлена в формате ASN1. Также здесь есть 12 байт данных для генерации ключа при условии, что криптографический контейнер защищен от несанкционированного доступа паролем (последний также принимает участие при генерации уникального ключа хранения). Завершает перечень информации в файле контрольная сумма, занимающая 4 байта.

Файл header.key представляет собой набор параметров ЭЦП и другую общую информацию.

Проведение тестирования

1. Создадим

исходный ключевой документ

2.Сформируем

рабочие ключевые документы

3.Уничтожим исходный ключевой документ

4. Скопируем ключевую информацию из

рабочих ключевых документов

Как мы видим, ключевая информация успешно скопирована или, другим языком, извлечена из токенов с неизвлекаемым ключом. Получается, что производители токенов и СКЗИ врут? На самом деле нет, и ситуация сложнее, чем кажется на первый взгляд. Исследуем матчасть по токенам.

Проверка валидности сертификата по сос/crl

Первым шагом необходимо получить СОС, затем его распарсить и проверить по нему сертификат.

Список точек выдачи СОС/CRL находится в расширении сертификата с oid-ом 2.5.29.31 (id-ce-cRLDistributionPoints):

array set extcert $cert_parse(extensions)
 set ::crlfile ""
 if {[info exists extcert(2.5.29.31)]} {
	set ::crlfile [crlpoints [lindex $extcert(2.5.29.31) 1]]
}   else {
	puts "cannot load CRL" 
}


Собственно загрузка файла с СОС/CRL ведется следующим образом:

set filecrl ""
set pointcrl ""
foreach pointcrl $::crlfile {
	    set filecrl [readca $pointcrl $dir]
	    if {$filecrl != ""} {
		set f [file join $dir [file tail $pointcrl]]
		set fd [open $f w]
		chan configure $fd -translation binary
		puts -nonewline $fd $filecrl
		close $fd
		set filecrl $f
		break
	    } 
#Прочитать CRL не удалось. Берем следующую точку с CRL
}
if {$filecrl == ""} {
        puts "Cannot load CRL"
}

Собственно для загрузки СОС/CRL используется процедура readca:

Проверка срока действия сертификата

При разборе сертифмката в переменных ::notbefore и ::notafter хранится дата, с которой сертификат может использоваться в криптографических операциях (подписать, зашифровать и т.д.), и дата окончания срока действия сертификата. Процедура проверки срока действия сертификата имеет вид:

proc cert_valid_date {} {
    # Проверяем валидность сертификата по срокам действия
#Дата начала действия сертификата
    set startdate $::notbefore
#Дата окончания действия сертификата
    set enddate $::notafter
# Получаем текущее время в секундах
    set now [clock seconds]
    set isvalid 1
    set reason "Certificate is valid"
    if {$startdate > $now} {
        set isvalid 0
#Срок действия сертификата еще не наступил
        set reason "Certificate is not yet valid"
    } elseif {$now > $enddate} {
        set isvalid 0
 #Срок действия сертификата истек
     set reason "Certificate has expired"
    }
    return [list $isvalid $reason]
}

Возвращаемый список содержит два элемента. Первый элемент может содержать либо 0 (ноль) либо 1 (один). Значение «1» указывает на то, что сертификат действует, а 0 – на то, что сертификат не действует. Причина по которой не действует сертификат раскрывается во втором элементе. Этот элемент может содержать одно из трех значений:

Валидность сертификата определяется не только периодом его действия. Действие сертификата может быть приостановлено или прекращено удостоверяющим центром, как по его инициативе, так и по заявлению владельца сертификата, например при утрате носителя с закрытым ключом.

В этом случае сертификат включается удостоверяющим центром в список отозванных сертификатов СОС/CRL, которые распространяются УЦ. Как правило, точка распространения CRL включается в сертификат. Именно по списку отозванных сертификатов и проверяется валидность сертификата.

Экспорт pfx-файла и его установка

Экспорт сертификата с закрытым ключом

1. Откройте оснастку работы с сертификатами:

— Пуск → Все программы → КриптоПро → Сертификатылибо— ​Internet Explorer → Сервис → Свойства обозревателя → вкладка Содержание → Сертификаты.

2. Откройте сертификат, который нужно скопировать. На вкладке «Состав» нажмите «Копировать в файл».
Рутокен ЭЦП 2.0: характеристики, преимущества, сфера применения — Удостоверяющий центр СКБ Контур
Рутокен ЭЦП 2.0: характеристики, преимущества, сфера применения — Удостоверяющий центр СКБ Контур
Рутокен ЭЦП 2.0: характеристики, преимущества, сфера применения — Удостоверяющий центр СКБ Контур
Рутокен ЭЦП 2.0: характеристики, преимущества, сфера применения — Удостоверяющий центр СКБ Контур
Рутокен ЭЦП 2.0: характеристики, преимущества, сфера применения — Удостоверяющий центр СКБ Контур

7. Экспортируйте открытый ключ сертификата (см. Экспорт открытого ключа).

8. Заархивируйте полученные файлы форматов .pfx и .cer.

Установка сертификата с закрытым ключом

1. Откройте .pfx файл. Сразу запустится «Мастер импорта сертификатов».

2. Укажите хранилище «Текущий пользователь» и нажмите «Далее», затем снова «Далее».
Рутокен ЭЦП 2.0: характеристики, преимущества, сфера применения — Удостоверяющий центр СКБ Контур
Рутокен ЭЦП 2.0: характеристики, преимущества, сфера применения — Удостоверяющий центр СКБ Контур
Рутокен ЭЦП 2.0: характеристики, преимущества, сфера применения — Удостоверяющий центр СКБ Контур
Рутокен ЭЦП 2.0: характеристики, преимущества, сфера применения — Удостоверяющий центр СКБ Контур
6. Для корректной работы сертификата со встроенной лицензией переустановите сертификат в контейнер (см. Как установить личный сертификат в КриптоПро).

Оцените статью
Мой сертификат
Добавить комментарий