Список доступных доверенных сертификатов в iOS 12, macOS 10.14, watchOS 5 и tvOS 12 – Служба поддержки Apple (RU)

Что такое электронная подпись — простым языком для новичков мира цифровой экономики

30 октября 2021

В статье даны ответы на вопросы: «Как выглядит электронная подпись», «Как работает ЭЦП», рассмотрены ее возможности и основные компоненты, а также представлена наглядная пошаговая инструкция процесса подписания файла электронной подписью.

Что такое электронная подпись?

Электронная подпись – это не предмет, который можно взять в руки, а реквизит документа, позволяющий подтвердить принадлежность ЭЦП ее владельцу, а также зафиксировать состояние информации/данных (наличие, либо отсутствие изменений) в электронном документе с момента его подписания.

Справочно:

Сокращенное название (согласно федеральному закону № 63) — ЭП, но чаще используют устаревшую аббревиатуру ЭЦП (электронная цифровая подпись). Это, например, облегчает взаимодействие с поисковиками в интернете, так как ЭП может также означать электрическую плиту, электровоз пассажирский и т.д.

Согласно законодательству РФ, квалифицированная электронная подпись — это эквивалент подписи, проставляемой «от руки», обладающий полной юридической силой. Помимо квалифицированной в России представлены еще два вида ЭЦП:

— неквалифицированная — обеспечивает юридическую значимость документа, но только после заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП, позволяет подтвердить авторство документа и проконтролировать его неизменность после подписания,

— простая — не придает подписанному документу юридическую значимость до заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП и без соблюдении законодательно закрепленных условий по ее использованию (простая электронная подпись должна содержаться в самом документе, ее ключ применяться в соответствии с требованиями информационной системы, где она используется, и прочее согласно ФЗ-63, ст.9), не гарантирует его неизменность с момента подписания, позволяет подтвердить авторство. Ее применение не допускается в случаях, связанных с государственной тайной.

Возможности электронной подписи

Физическим лицам ЭЦП обеспечивает удаленное взаимодействие с государственными, учебными, медицинскими и прочими информационными системами через интернет.

Юридическим лицам электронная подпись дает допуск к участию в электронных торгах, позволяет организовать юридически-значимый электронный документооборот (ЭДО) и сдачу электронной отчетности в контролирующие органы власти.

Возможности, которые предоставляет ЭЦП пользователям, сделали ее важной составляющей повседневной жизни и рядовых граждан, и представителей компаний.

Что означает фраза «клиенту выдана электронная подпись»? Как выглядит ЭЦП?

Сама по себе подпись является не предметом, а результатом криптографических преобразований подписываемого документа, и ее нельзя «физически» выдать на каком-либо носителе (токене, smart-карте и т.д.). Также ее нельзя увидеть, в прямом значении этого слова; она не похожа на росчерк пера либо фигурный оттиск. О том, как «выглядит» электронная подпись, расскажем чуть ниже.

Справочно:

Криптографическое преобразование — это зашифровка, которая построена на использующем секретный ключ алгоритме. Процесс восстановления исходных данных после криптографического преобразования без данного ключа, по мнению специалистов, должен занять большее время, чем срок актуальности извлекаемой информации.

Flash-носитель — это компактный носитель данных, в состав которого входит flash-память и адаптер (usb-флешка).

Токен — это устройство, корпус которого аналогичен корпусу usb-флешки, но карта памяти защищена паролем. На токене записана информация для создания ЭЦП. Для работы с ним необходимо подключение к usb-разъему компьютера и введения пароля.

Smart-карта — это пластиковая карта, позволяющая проводить криптографические операции за счет встроенной в нее микросхемы.

Sim-карта с чипом — это карта мобильного оператора, снабженная специальным чипом, на которую на этапе производства безопасным образом устанавливается java-приложение, расширяющее ее функциональность.

Как же следует понимать фразу «выдана электронная подпись», которая прочно закрепилась в разговорной речи участников рынка? Из чего состоит электронная подпись?

Выданная электронная подпись состоит из 3 элементов:

1 – средство электронной подписи, то есть необходимое для реализации набора криптографических алгоритмов и функций техническое средство. Это может быть либо устанавливаемый на компьютер криптопровайдер (КриптоПро CSP, ViPNet CSP), либо самостоятельный токен со встроенным криптопровайдером (Рутокен ЭЦП, JaCarta ГОСТ), либо «электронное облако».

Справочно:

Криптопровайдер — это независимый модуль, выступающий «посредником» между операционной системой, которая с помощью определенного набора функций управляет им, и программой или аппаратным комплексом, выполняющим криптографические преобразования.

Важно: токен и средство квалифицированной ЭЦП на нем должны быть сертифицированы ФСБ РФ в соответствии с требованиями федерального закона № 63.

2 – ключевая пара, которая представляет из себя два обезличенных набора байт, сформированных средством электронной подписи. Первый из них – ключ электронной подписи, который называют «закрытым». Он используется для формирования самой подписи и должен храниться в секрете.

Размещение «закрытого» ключа на компьютере и flash-носителе крайне небезопасно, на токене — отчасти небезопасно, на токене/smart-карте/sim-карте в неизвлекаемом виде — наиболее безопасно. Второй — ключ проверки электронной подписи, который называют «открытым».

3 – сертификат ключа проверки ЭЦП, который выпускает удостоверяющий центр (УЦ). Его назначение — связать обезличенный набор байт «открытого» ключа с личностью владельца электронной подписи (человеком или организацией). На практике это выглядит следующим образом:

например, Иван Иванович Иванов (физическое лицо) приходит в удостоверяющий центр, предъявляет паспорт, а УЦ выдает ему сертификат, подтверждающий, что заявленный «открытый» ключ принадлежит именно Ивану Ивановичу Иванову. Это необходимо для предотвращения мошеннической схемы, во время развертывания которой злоумышленник в процессе передачи «открытого» кода может перехватить его и подменить своим.

Таким образом, преступник получит возможность выдавать себя за подписанта. В дальнейшем, перехватывая сообщения и внося изменения, он сможет подтверждать их своей ЭЦП. Именно поэтому роль сертификата ключа проверки электронной подписи крайне важна, и за его корректность несет финансовую и административную ответственность удостоверяющий центр.

В соответствии с законодательством РФ различают:

— «сертификат ключа проверки электронной подписи» формируется для неквалифицированной ЭЦП и может быть выдан удостоверяющим центром;

— «квалифицированный сертификат ключа проверки электронной подписи» формируется для квалифицированной ЭЦП и может быть выдан только аккредитованным Министерством связи и массовых коммуникаций УЦ.

Условно можно обозначить, что ключи проверки электронной подписи (наборы байт) — понятия технические, а сертификат «открытого» ключа и удостоверяющий центр — понятия организационные. Ведь УЦ представляет собой структурную единицу, которая отвечает за сопоставление «открытых» ключей и их владельцев в рамках их финансово-хозяйственной деятельности.

Подводя итог вышеизложенному, фраза «клиенту выдана электронная подпись» состоит из трех слагаемых:

1. Клиент приобрел средство электронной подписи.
2. Он получил «открытый» и «закрытый» ключ, с помощью которых формируется и проверяется ЭЦП.
3. УЦ выдал клиенту сертификат, подтверждающий, что «открытый» ключ из ключевой пары принадлежит именно этому человеку.

Вопрос безопасности

Требуемые свойства подписываемых документов:

• целостность;
• достоверность;
• аутентичность (подлинность; «неотрекаемость» от авторства информации).

Их обеспечивают криптографические алгоритмы и протоколы, а также основанные на них программные и программно-аппаратные решения для формирования электронной подписи.

С определенной долей упрощения можно говорить, что безопасность электронной подписи и сервисов, предоставляемых на ее основе, базируется на том, что «закрытые» ключи электронной подписи хранятся в секрете, в защищенном виде, и что каждый пользователь ответственно хранит их и не допускает инцидентов.

Примечание: при приобретении токена важно поменять заводской пароль, таким образом, никто не сможет получить доступ к механизму ЭЦП кроме ее владельца.

Как подписать файл электронной подписью?

Для подписания файла ЭЦП нужно выполнить несколько шагов. В качестве примера рассмотрим, как поставить квалифицированную электронную подпись на свидетельство на товарный знак Единого портала Электронной подписи в формате .pdf. Нужно:

1. Кликнуть на документ правой кнопкой мышки и выбрать криптопровайдер (в данном случае КриптоАРМ) и графу «Подписать».

2. Пройти путь в диалоговых окнах криптопровайдера:

Выбрать кнопку «Далее».

На этом шаге при необходимости можно выбрать другой файл для подписания, либо пропустить этот этап и сразу перейти к следующему диалоговому окну.

Поля «Кодировка и расширение» не требуют редактирования. Ниже можно выбрать, где будет сохранен подписанный файл. В примере, документ с ЭЦП будет размещен на рабочем столе (Desktop).

Доверенные сертификаты

Итоги

Таким образом, сертификат является неотъемлемой частью ключа электронной подписи, подтверждает подлинность и достоверность этого ключа, выступает в качестве его юридически значимого документального сопровождения. При отсутствии сертификата ключ ЭЦП будет считаться недействительным.

Эта документация перемещена в архив и не поддерживается.

Обновлено: Сентябрь 2021 г.

При развертывании службы восстановления сайтов Azure требуется сертификат для регистрации серверов диспетчера виртуальных машин (VMM) в хранилищах службы восстановления сайтов Azure и для проверки подлинности серверов VMM в службе восстановления сайтов Azure.

Перед началом развертывания подготовьте сертификаты следующим образом.

Затем при настройке хранилища вы передадите CER-сертификат. При регистрации сервера VMM в хранилище во время установки поставщика службы восстановления сайтов Azure выбирается PFX-файл сертификата, соответствующий CER-файлу сертификата, загруженному в хранилище.

Следующие компоненты являются обязательными для сервера управления.

• Можно использовать любой действительный SSL-сертификат, выданный центром сертификации Microsoft Enterprise либо другим центром сертификации, который является доверенным для Майкрософт (корневые сертификаты которого распространяются по программе корневых сертификатов Майкрософт). Дополнительные сведения об этой программе см. в статье Участники программы корневых сертификатов Майкрософт . Вместо этого для тестирования можно использовать самозаверяющий сертификат, созданный с помощью средства Makecert.exe.
• Сертификат должен иметь вид x.509 v3.
• Длина ключа должна быть не менее 2048 бит.
• Сертификат должен иметь действительную подпись ClientAuthentification EKU.
• Сертификат должен быть действителен в настоящее время, а его период действия не должен превышать 3 года.
• Сертификат должен находиться в личном хранилище сертификатов на локальном компьютере.
• Чтобы можно было передать сертификат в хранилище, он должен иметь формат CER и содержать открытый ключ.
• CER-сертификат необходимо экспортировать в PFX-файл (содержащий закрытый ключ). Этот PFX-файл должен быть помещен на каждый сервер VMM, который требуется зарегистрировать в хранилище.

Обратите внимание, что в любой момент времени с каждым хранилищем связан только один сертификат. При необходимости можно передать сертификат, чтобы заменить им текущий сертификат, связанный с хранилищем.

Вы можете использовать любой сертификат, соответствующий . Также с помощью средства MakeCert можно создать CER-сертификат, который будет соответствовать этим требованиям.

1. На компьютер, на котором будет работать средство MakeCert, загрузите последнюю версию пакета средств разработки программного обеспечения Windows (SDK). Обратите внимание, что команда makecert.exe входит в базовый пакет SDK Windows, поэтому загружать и устанавливать весь пакет SDK не требуется.
2. На странице Указание расположения выберите Установить пакет средств разработки программного обеспечения Windows для Windows 8.1 на этот компьютер.
3. На странице Участие в программе улучшения качества программного обеспечения (CEIP) выберите нужный вам параметр.
4. На странице Выбор компонентов для установки снимите все флажки, кроме пакета средств разработки программного обеспечения Windows .
5. После завершения установки проверьте наличие файла makecert.exe в папке C:ProgramFiles (x86)Windows Kits\binx64.
6. Откройте командную строку (cmd.exe) с правами доступа администратора и перейдите в папку с программой makecert.exe.
7. Для создания самозаверяющего сертификата выполните следующую команду. Замените CertificateName именем, которое будет назначено сертификату, а после -e укажите дату истечения срока действия сертификата.

   makecert.exe -r -pe -n CN=CertificateName -ss my -sr localmachine -eku 1.3.6.1.5.5.7.3.2 -len 2048 -e 01/01/2021 CertificateName.cer

Сертификат будет создан и сохранен в ту же папку, в которой находится программа. Для экспорта его можно переместить в более доступное расположение.

На сервере, на котором была запущена программа makecert.exe, выполните шаги этой процедуры для экспорта CER-файла и в формат PFX.

1. В меню Пуск введите mmc.exe
2. В меню Файл щелкните . Откроется диалоговое окно .
3. На вкладке Доступные оснастки щелкните Сертификаты и затем Добавить .
4. Выберите Учетная запись компьютера и нажмите кнопку Далее .
5. Выберите Локальный компьютер и нажмите кнопку Готово .
6. В MMC в дереве консоли разверните узел Сертификаты и затем узел Личные .
7. В области сведений щелкните нужный сертификат.
8. В меню Действие укажите на Все задачи и нажмите кнопку Экспорт . Откроется мастер экспорта сертификатов. Нажмите кнопку Далее .
9. На странице Экспорт закрытого ключа щелкните Да, экспортировать закрытый ключ . Нажмите кнопку Далее . Обратите внимание, что это требуется, только если после установки закрытый ключ нужно экспортировать на другие серверы.
10. На странице Формат экспортируемого файла выберите Personal Information Exchange — PKCS #12 (PFX) . Нажмите кнопку Далее .
11. На странице Пароль введите пароль и подтверждение пароля для шифрования закрытого ключа. Нажмите кнопку Далее .
12. Следуйте дальнейшим инструкциям мастера, чтобы экспортировать сертификат в формате PFX.

    После экспорта PFX-файла скопируйте его на каждый сервер VMM, который необходимо зарегистрировать, а затем импортируйте следующим образом. Обратите внимание, что, если программа MakeCert.exe запускалась на сервере VMM, нет необходимости импортировать сертификат на этот сервер.

    Если VMM развернут в кластере, то будет необходимо импортировать сертификат в каждый узел кластера.

    1. Скопируйте файлы сертификата с закрытым ключом (PFX) в папку на локальном сервере.
    2. В меню Пуск введите mmc.exe и нажмите клавишу ВВОД , чтобы запустить консоль управления Майкрософт (ММС).
    3. В консоли MMC в меню Консоль выберите Добавить или удалить оснастку .
    4. В диалоговом окне Добавление и удаление оснастки выберите Сертификаты и нажмите кнопку Добавить .
    5. Откроется диалоговое окно Оснастка сертификата . Выберите Учетная запись компьютера и нажмите кнопку Далее .
    6. Выберите Локальный компьютер и нажмите кнопку Готово .
    7. В диалоговом окне Добавить или удалить оснастку нажмите кнопку ОК .
    8. В консоли MMC разверните узел Сертификаты , щелкните правой кнопкой мыши Личные , укажите пункт Все задачи и щелкните Импорт , чтобы запустить мастер импорта сертификатов.
    9. На странице Добро пожаловать в мастер импорта сертификатов щелкните Далее .
    10. На странице Импортируемый файл щелкните Обзор и найдите папку, содержащую нужный PFX-файл сертификата. Выберите файл и щелкните Открыть .
    11. На странице Пароль в поле Пароль введите пароль для файла закрытого ключа, указанный в предыдущей процедуре, и нажмите кнопку Далее .
    12. На странице Хранилище сертификатов выберите Установить все сертификаты в следующее хранилище , щелкните Обзор , выберите Личное хранилище, затем щелкните кнопку ОК и Далее .
    13. На странице Завершение работы мастера импорта сертификатов нажмите кнопку Готово .

        Назначение: Windows 7, Windows Server 2008 R2

        Сертификат можно экспортировать, чтобы импортировать его копию на другой компьютер или устройство, либо чтобы сохранить копию сертификата в безопасном месте.

        При экспорте сертификатов для импорта на компьютер с другой операционной системой Windows предпочтительным форматом экспорта является формат PKCS #7. В этом формате сохраняется цепочка центров сертификации, или путь сертификации, любого сертификата, включающего подписи других сторон, связанные с подписями сертификата.

        При экспорте сертификатов для импорта на компьютер с другой операционной системой может поддерживаться формат PKCS #7. Если он не поддерживается, для взаимодействия предоставляется двоичный формат кодирования DER или формат Base64.

        Для выполнения этой процедуры необходимо быть, как минимум, членом группы Пользователи или Администраторы локальной системы. Дополнительные сведения см. в подразделе «Дополнительная информация» данного раздела.

        Чтобы экспортировать сертификат

        Откройте оснастку «Сертификаты» для пользователя, компьютера или службы.

        В дереве консоли в логическом хранилище, содержащем сертификат для экспорта, щелкните Сертификаты .

        В области сведений щелкните сертификат, который нужно экспортировать.

        В меню Действие наведите указатель на пункт Все задачи , а затем щелкните Экспорт .

        В мастере экспорта сертификатов щелкните Нет, не экспортировать закрытый ключ . (Эта возможность появляется только в случае, если закрытый ключ помечен как экспортируемый и к нему имеется доступ.)

        Укажите в мастере экспорта сертификатов следующие сведения.

        • Выберите формат файла для сохранения экспортированного сертификата: формат DER, формат Base64 или PKCS #7.
        • Если сертификат экспортируется в файл PKCS #7, имеется возможность включить сертификаты в пути сертификации.

    14. При необходимости в поле Пароль введите пароль для шифрования экспортируемого закрытого ключа. В поле Подтверждение вновь введите тот же самый пароль и нажмите кнопку Далее .

        В поле Имя файла введите имя файла и путь для файла PKCS #7, в котором будут храниться экспортированный сертификат и закрытый ключ. Нажмите кнопку Далее , а затем нажмите кнопку Готово .

    Дополнительная информация

    • Управлять сертификатами пользователя может пользователь или администратор. Сертификаты, выпущенные для компьютера или службы, могут управляться только администратором или пользователем, наделенным надлежащими разрешениями.
    • Сведения о том, как открыть оснастку «Сертификаты», см. в разделе .
    • После завершения работы мастера экспорта сертификатов сертификат остается в хранилище сертификатов в дополнение ко вновь созданному файлу. Если необходимо убрать сертификат из хранилища сертификатов, необходимо удалить его.

    Назначение: Windows 7, Windows Server 2008 R2

    Иногда требуется экспортировать сертификат с закрытым ключом для сохранения на съемном носителе или для использования на другом компьютере. Для данной процедуры существуют следующие ограничения:

    • Закрытый ключ можно экспортировать только тогда, когда он указан в запросе сертификата или шаблоне сертификата, который использовался для создания сертификата.
    • Усиленная защита (также называемая «iteration count «) включается по умолчанию в мастере экспорта сертификатов, когда экспортируется сертификат со связанным закрытым ключом. Усиленная защита несовместима с некоторыми программами, поэтому при использовании закрытого ключа с какой-либо программой, не поддерживающей усиленную защиту, следует снять флажок Включить усиленную защиту .

    Для выполнения этой процедуры необходимо быть, как минимум, членом группы Пользователи или Администраторы локальной системы. Дополнительные сведения см. в разделе «Дополнительная информация» настоящего документа.

    Чтобы экспортировать сертификат с закрытым ключом

    Откройте оснастку «Сертификаты» для пользователя, компьютера или службы.

    В дереве консоли в логическом хранилище, содержащем сертификат для экспорта, щелкните Сертификаты .

    В области сведений щелкните сертификат, который нужно экспортировать.

    В меню Действие выберите Все задачи , а затем выберите Экспорт .

    В мастере экспорта сертификатов выберите параметр Да, экспортировать закрытый ключ . (Эта возможность появляется только в случае, если закрытый ключ помечен как экспортируемый и к нему имеется доступ.)

    В группе Формат экспортируемого файла выполните какое-либо из описанных далее действий и нажмите кнопку Далее .

    • Чтобы включить все сертификаты в путь сертификации, установите флажок Включить по возможности все сертификаты в путь сертификации .
    • Чтобы удалить закрытый ключ в случае удачного завершения экспорта, установите флажок Удалить закрытый ключ после успешного экспорта .
    • Чтобы экспортировать расширенные свойства сертификата, установите флажок Экспортировать все расширенные свойства .

13. В поле Пароль введите пароль для шифрования экспортируемого закрытого ключа. В поле Подтверждение вновь введите пароль и нажмите кнопку Далее .

    В поле Имя файла введите имя файла и путь для файла PKCS #12, в котором будет храниться экспортированный сертификат и закрытый ключ. Нажмите кнопку Далее , а затем кнопку Готово .

После завершения работы мастера экспорта сертификатов сертификат останется не только во вновь созданном файле, но и в хранилище сертификатов. Если необходимо убрать сертификат из хранилища сертификатов, необходимо удалить его.

Дополнительная информация

• Управление сертификатами пользователей могут осуществлять соответствующий пользователь или администратор. Управлять сертификатами, выданными компьютеру или службе, может только администратор или пользователь, которому были предоставлены соответствующие разрешения.
• Сведения о том, как открыть оснастку «Сертификаты», см. в разделе .

Программа «КриптоАРМ» позволяет экспортировать сертификат из хранилища в файл.

Экспорт сертификата может понадобиться для выполнения следующих задач:

• Архивирование сертификата
• Архивирование сертификата и связанного с ним закрытого ключа
• Копирование сертификата для использования на другом компьютере
• Удаление сертификата и его закрытого ключа с компьютера владельца сертификата для установки на другом компьютере

Когда сертификат экспортируется, он копируется из хранилища сертификатов в файл, использующий стандартный формат хранения сертификатов.

Экспортировать сертификаты из хранилища в файл вы можете через Главное окно программы (вид «Эксперт») .

Для того чтобы экспортировать сертификат:

1. В дереве элементов главного окна выберите раздел Сертификаты. Откроется список хранилищ сертификатов:

• личное хранилище сертификатов;
• сертификаты других пользователей;
• промежуточные центры сертификации;
• доверенные корневые центры сертификации;

Выберите хранилище, в котором содержится сертификат для экспортирования.

Если экспортируемый сертификат – ГОСТ, введите пароль для доступа к ключевому контейнеру.

1. Откроется стандартный диалог Мастер экспорта сертификатов . Ознакомьтесь с порядком экспорта сертификатов и нажмите на кнопку Далее .
2. Вы можете экспортировать закрытый ключ вместе с сертификатом. Для этого поставьте переключатель напротив пункта Да, экспортировать закрытый ключ . В случае выбора пункта Нет, не экспортировать закрытый ключ будет произведена операция экспорта только сертификата (и его открытого ключа).

! Если при создании запроса на сертификат вы не пометили ключи как «экспортируемые», то вы сможете экспортировать сертификат (без закрытого ключа). В этом случае переключатель Да, экспортировать закрытый ключ будет заблокирован.

1. Если вы экспортируете только сертификат (без закрытого ключа), то в следующем окне выберите следующие форматы экспортируемого файла:

• Файлы в DER-кодировке X.509 (.CER)
• Файлы в Base64-кодировке X.509 (.CER)
• Стандарт Cryptographic Message Syntax — сертификаты PKCS #7 (.p7b)

1. Если вы экспортируете сертификат с закрытым ключом, то вам будет доступен только один формат экспортируемого файла — файл обмена личной информацией — PKCS#12 (.PFX) . При этом вы имеете возможность:

• включить по возможности все сертификаты в путь сертификата;
• включить усиленную защиту (требуется IE 5.0, NT 4.0 SP4 или выше);
• удалить закрытый ключ после успешного экспорта.

1. Для обеспечения безопасности следует защитить закрытый ключ паролем.
2. Укажите имя экспортируемого файла и путь экспорта.
3. По окончании операции возникнет сообщение об успешном экспорте сертификата.