- Порядок гигиенической сертификации биологически активных добавок к пище
- Экспертиза документации
- Экспертная оценка биологически активных добавок к пище
- Creating your test certificate authority
- Install the new ca and self-signed certificates
- Let’s encrypt для exchange и postfix | it блоги – windows, *nix, vmware, hyper-v, netapp, seo, html, видеонаблюдение
- Openssl – add subject alternate name (san) when signing with ca
- Openssl: создание самоподписного мультидоменного сертификата
- Вариант второй
- Использование let’s encrypt для внутренних серверов
- О порядке экспертизы и гигиенической сертификации биологически активных добавок к пище
- Понятия о биологически активных добавках (бад) к пище
- Сертификаты на сертификат на бады от 49000₽ без посредников
- Создаём ca
- Электронная подпись для росалкогольрегулирования
Порядок гигиенической сертификации биологически активных добавок к пище
2.1. Гигиеническая сертификация биологически активных добавок к пище является деятельностью, направленной на выполнение Закона Российской Федерации “О санитарно – эпидемиологическом благополучии населения”.
2.2. Гигиеническая сертификация биологически активных добавок к пище осуществляется Центром гигиенической сертификации пищевой продукции на базе Института питания РАМН (далее ЦГСПП) или другими органами и учреждениями, аккредитованными Департаментом государственного санитарно – эпидемиологического надзора Министерства здравоохранения Российской Федерации в установленном порядке.
2.3. Экспертиза биологически активных добавок к пище включает:
– экспертизу сопроводительной документации;
– проведение санитарно – химических, биологических или иных видов исследований;
– оценку результатов исследований.
Экспертиза документации
Для целей сертификации фирма – изготовитель или ее полномочный представитель представляет в Центр гигиенической сертификации продукции следующие документы:
– письмо – заявку с указанием реквизитов фирмы;
– акт отбора проб, в котором должны быть указаны: дата и место отбора образцов, их количество, наименование продукции, юридический адрес предприятия – изготовителя, дата производства БАД, фамилии и подписи должностных лиц, отбиравших образцы;
– техническую документацию (ТУ, ТИ и рецептуру) с пояснительной запиской и/или спецификацию на продукт, ингредиентный состав, включая действующее начало, контролируемые показатели качества и безопасности, методы испытаний, используемые упаковочные материалы, условия хранения и сроки годности БАД;
– описание биологически активной добавки к пище, область ее использования, рекомендации по применению, материалы, подтверждающие эффективность;
– этикетку для потребителя и инструкцию по применению, разработанную производителем, с указанием показаний и противопоказаний к применению;
– материалы (оригинальные или литературные) по токсиколого – гигиенической и биологической оценке БАД и клинической оценке ее эффективности;
– образцы БАД в необходимом для экспертизы объеме в оригинальной, неповрежденной упаковке.
Для импортной продукции, кроме вышеуказанных материалов, должны быть представлены:
а) сертификаты качества и безопасности фирмы – изготовителя, содержащие аналитические данные о показателях безопасности (санитарно – химических, микробиологических и др.) и характеристиках ингредиентного состава;
б) документы официально уполномоченного органа страны – экспортера, подтверждающие безопасность данной продукции (разрешение на свободную продажу на территории страны – производителя, сертификат и др.);
в) краткие сведения о технологии производства.
Все материалы представляются в оригинале и/или нотариально заверенные на языке страны – производителя и в переводе на русский язык.
Экспертная оценка биологически активных добавок к пище
4.1. Соответствие предлагаемого продукта категории биологически активных добавок к пище устанавливается экспертами ЦГСПП на основании экспертной оценки документов и материалов, характеризующих данный продукт, и проведения необходимых санитарно – химических, санитарно – микробиологических и других видов анализов, а также экспериментальных исследований физиологических эффектов и клинической апробации.
4.2. Экспертное заключение должно включать:
– оценку рецептуры (ингредиентного состава) БАД;
– оценку безопасности БАД для здоровья человека;
– подтверждение биологической активности, декларируемой изготовителем: по литературным данным, имеющим отношение к конкретной биологически активной добавки к пище, в официальных изданиях; по официальным отчетам о проведении клинических испытаний или по результатам клинической апробации в Российской Федерации.
4.3. Объем проведения исследований и необходимость клинической апробации БАД в России определяется в процессе экспертизы.
4.4. Необходимые клинические исследования БАД с целью установления декларированной эффективности и выявления противопоказаний осуществляются по специальным программам, разработанных ЦГСПП и согласованным с заявителем.
4.5. Экспертное заключение, подготовленное экспертами ЦГСПП, передается на рассмотрение Экспертного Совета Центра, где принимается решение о выдаче или отказе в выдаче гигиенического сертификата.
4.6. При проведении экспертных работ конфиденциальность информации о составе биологически активных добавок к пище гарантируется.
Creating your test certificate authority
- Run the following command so
opensslwill pick the settings automatically:
- Generate the Certificate Authority (CA) certificate:
openssl req -x509 -newkey rsa:2048 -out cacert.pem -outform PEM -days 1825- Enter and retype the password you wish to use to import/export the certificate.
NOTE: Remember this password, you will need it throughout this walk-through.
Once you are done you should have the following files:
| File | Content |
|---|---|
~/myCA/cacert.pem | CA public certificate |
~/myCA/private/cakey.pem | CA private key |
In Windows, we will be using .crt file instead, so create one using the following command:
openssl x509 -in cacert.pem -out cacert.crtInstall the new ca and self-signed certificates
To install the CA and self-signed certificates, all you need to do is double-click the file from where you copied them into.
Once clicked, just follow the Install Certificate steps and you should be good.
For the CA Certificate (`cacert.crt), make sure you install it to Local Machine, Trusted Root Certification Authorities.
For the self-signed certificate (localhost.pfx), install it to Local Machine, enter the password as previously, and store it in Personal.
That’s it. Now you can configure your application to use the new certificate. In my situation, I just need to configure the Azure Cloud Service project to use that certificate as pointed by this document. I do not know your workflow, so it might be different.
Let’s encrypt для exchange и postfix | it блоги – windows, *nix, vmware, hyper-v, netapp, seo, html, видеонаблюдение
Решил попробовать прикрутить Let’s Encrypt сертификат к связке Exchange Postfix. Как оказалось под Windows есть уже аналог Certbot, который умеет самостоятельно выпускать и обновлять сертификаты.
Схема работы примерно такая:
- На Exchange периодически выпускается и применяется сертификат Let’s Encrypt
- Powershell скрипт переносит обновленный сертификат на Linux сервер с Postfix
- На Linux сервере сертификат конвертируется и подсовывается в Postfix
P.S. Хотя можно было бы не усложнять и на Postfix использовать любой другой сертификат.
И так, отсюда скачиваем win-acme, это программа будет заниматься выпуском сертификата и его обновлением, и установкой.
Открываем к серверу Exchange доступ по 80 и 443 портам. И не забываем создать А записи на DNS, которые будут ссылаться на наш Exchange.
После проделанных операций, запускаем win-acme в CMD со следующим ключом:
C:Program FilesLets Encrypt>letsencrypt.exe --plugin manual --manualhost mail.domain.com,exch.domain.com,autodiscover.domain.com --validation selfhosting --centralsslstore C:Central_SSL --installation iis,manual --installationsiteid 1 --script "./Scripts/PSScript.bat" --scriptparameters "./Scripts/ImportExchange.ps1 {5} IIS,SMTP,IMAP 1 "exch.domain.com" C:Central_SSL"В итоге мы получим SAN сертификат для 3-х доменных имен (mail.domain.com,exch.domain.com,autodiscover.domain.com), который будет автоматически установлен в Exchange для служб IIS,SMTP,IMAP. Сам сертификат будет размещен в папке C:Central_SSL, а в планировщике заданий будет создан скрипт, который ежедневно будет проверять, не нужно ли перевыпустить сертификат. Подтверждение ваших доменов происходит в автоматическом режиме, путем создания временного сайта в IIS.
Далее, полученный сертификат, мне нужно перенести на Linux сервер. Для этого я воспользуюсь модулем для PowerShell — Posh-SSH.
Сам скрипт:
Import-Module Posh-SSH$CreateDate = (Get-Item C:Central_SSLmail.domain.com.pfx).LastWriteTime$CurrentDate = (Get-Date)$user = 'scp'$key = @(1..24)$password = Get-Content C:Scriptspass.txt | ConvertTo-SecureString -Key $key$credentials = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $user, $passwordif ((($CurrentDate - $CreateDate).Days) -eq "0") {Set-SCPFile -LocalFile C:Central_SSLmail.domain.com.pfx -RemotePath '/home/scp' -ComputerName 10.1.1.1 -Credential $credentials}Этот скрипт нужно поместить в планировщик с ежедневным выполнением. Он проверяет, появился ли новый сертификат (топорно проверяет) и если да, то отправляет его по SSH на Linux сервер с ip — 10.1.1.1Единственное предварительно нужно сгенерировать credentials, что бы получить пароль от SSH в зашифрованном виде.Это можно сделать таким скриптом:
$credentials = Get-Credential scp$key = @(1..24)$credentials.Password | ConvertFrom-SecureString -Key $key | Set-Content pass.txt
На Linux сервере заведен пользователь scp, в домашний каталог которого, попадает сертификат.
В cron на этом сервере добавлен скрипт, который ежедневно выполняется:
#!/bin/bashCERT=/home/scp/mail.domain.com.pfxLOG=/var/log/scriptif [ -f $CERT ]; thenmv /etc/postfix/ssl/domain.key /etc/postfix/ssl/domain.key.oldmv /etc/postfix/ssl/domain.pem /etc/postfix/ssl/domain.pem.oldecho SUCCESS $(date "%y-%m-%d %T") старые сертификаты переименованы! >> $LOGopenssl pkcs12 -nocerts -in /home/scp/mail.domain.com.pfx -out /etc/postfix/ssl/domain.key -nodes -password pass:openssl pkcs12 -in /home/scp/mail.domain.com.pfx -out /etc/postfix/ssl/domain.pem -nokeys -password pass:echo SUCCESS $(date "%y-%m-%d %T") сертификаты сконвертированы! >> $LOGsleep 5postfix reloadecho SUCCESS $(date "%y-%m-%d %T") Postfix перезапущен! >> $LOGsleep 5rm -rf $CERTecho SUCCESS $(date "%y-%m-%d %T") новый сертификат успешно установлен! >> $LOGelseecho ERROR $(date "%y-%m-%d %T") новый сертификат не найден >> $LOGfi
Скрипт преобразует сертификат в ключ сертификат в формате pem. И перезапускает Postfix.
спасибо за материал my-sertif.ru
Openssl – add subject alternate name (san) when signing with ca
Personally I add the alt names at CSR generation, so I know that works (there’s a little byplay in default conf files both for generation and signing).
For changing afterwards, as far as I remember the Alt Names are extensions, and it seems you can override or add the extensions you want while doing the signing. I will shamelessly copy:
From: Patrick Patterson @carillonis.com
Newsgroups: mailing.openssl.users
Subject: Re: Sign CSR after modifying data in CSR possible?
Date: Tue, 5 Jan 2021 15:14:05 -0500
Message-ID: <mailpost.1262722567.7762451.82829.mailing.openssl.users@FreeBSD.cs.nctu.edu.tw>
when you are using the openssl CA (strangely enough: openssl ca) command, you can give it numerous options, including which Subject value to use (the -subj argument), and which extensions to use (via the -extfile and -extensions arguments).
so you can set both which extensions you want and which Subject you want (causing both values in the CSR to be completely ignored) by a command like:
openssl ca -config /etc/myca/openssl.cnf
-extfile /etc/myca/openssl-exts.cnf
-extension sig-medium
-subj "/C=CA/O=Example Company/OU=Engineering/CN=John Doe"
-in req.csr
-out john-doe.pem
Where:
/etc/myca/openssl-exts.cnf contains:
[ sig-medium ]
basicConstraints = CA:FALSE
keyUsage = critical, digitalSignature
extendedKeyUsage = emailProtection, anyExtendedKeyUsage
nsComment = "Do Not trust - PURE TEST purposes only"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
subjectAltName = @testsan
authorityInfoAccess = @aia_points
crlDistributionPoints = @crl_dist_points
[ testsan ]
email = test...@example.com
DNS = www.example.com
dirName = test_dir
URI = http://www.example.com/
IP = 172.16.0.1
otherName.0 = 1.3.6.1.4.1.311.20.2.3;UTF8:test@kerberose-domain.internal
otherName.1 = 1.3.6.1.5.5.7.8.7;IA5STRING:_mail.example.com
otherName.2 = 1.3.6.1.5.5.7.8.5;UTF8:testuser@im.example.com
[aia_points]
caIssuers;URI.0=http://www.example.com/caops/Signing-CA.p7c
caIssuers;URI.1=ldap://dir.example.com/<DN of Signing
CA>?cACertificate;binary?base?objectclass=pkiCA
[crl_dist_points]
URI.0=http://www.example.com/caops/test-signca1-crl.crl
URI.1=ldap://dir.example.com/<DN of Signing
CA>?certificateRevocationList;binary?base?objectclass=pkiCA
Openssl: создание самоподписного мультидоменного сертификата
Мультидоменный сертификат (MDC, Multi-Domain Certificate) – это SSL сертификат, поддерживающий защиту нескольких различных доменов посредством одного сертификата.
Для того чтобы его создать, требуется слегка подкорректировать конфигурационный файл openssl.cnf или создать новый с альтернативным именем.
serverroot # cp /etc/ssl/openssl.cnf /etc/ssl/multi-domain.openssl.cnf
Правок немного:
Теперь можно создавать сертификат:
serverroot # openssl req -x509 -newkey rsa:1024 -keyout mdomcert.pem
-out mdomcert.pem -days 365 -nodes
-extensions v3_req
-config /etc/ssl/multi-domain.openssl.cnf
...
Country Name (2 letter code) [RU]:RU
State or Province Name (full name) [Arkh]:Arkh
Locality Name (eg, city) []:Arkh
Organization Name (eg, company) [Org LTD]:Org LTD
Organizational Unit Name (eg, section) [IT]:IT
Common Name (e.g. server FQDN or YOUR name) []:dname.ru
Email Address []:Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Самое главное указать openssl использовать расширение -extensions v3_req и конфигурационный файл -config /etc/ssl/test.cnf.
Теперь можно посмотреть что у нас получилось:
serverroot # openssl x509 -noout -text -in mdomcert.pem
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
99:8e:b6:31:aa:2e:88:b4
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=RU, ST=Arkh, L=Arkh, O=Org LTD, OU=IT, CN=dname.ru/emailAddress=Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Validity
Not Before: Aug 27 11:35:28 2021 GMT
Not After : Aug 26 11:35:28 2021 GMT
Subject: C=RU, ST=Arkh, L=Arkh, O=Org LTD, OU=IT, CN=dname.ru/emailAddress=Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:cb:2f:27:84:f9:36:67:8a:86:9a:bc:ab:96:90:
...
ae:0e:18:ac:bd:53:c9:a6:27
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:server1.dname.ru, DNS:*.dname2.ru, DNS:*.dname3.ru, IP Address:88.22.111.44
Signature Algorithm: sha1WithRSAEncryption
85:61:f2:8b:ac:80:b5:b2:d0:69:eb:6d:bd:af:72:c1:17:b4:
...
da:8b
Строка, выделенная красным, содержит альтернативные имена и IP адреса сертификата.
Вариант второй
Редактируем файл /etc/ssl/openssl.cnf, в котором находим блок [req], в котором указываются настрйоки для создания CSR:
... [ req ] default_bits = 1024 default_keyfile = privkey.pem distinguished_name = req_distinguished_name attributes = req_attributes x509_extensions = v3_ca # The extentions to add to the self signed cert ...
В конце блока добавляем строку:
req_extensions = v3_req
Так мы указали OpenSSL включать блок [v3_req] при создании CSR.
Находим его:
[ v3_req ] # Extensions to add to a certificate request basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment
Добавляем:
subjectAltName = @alt_names
И в блоке [alt_names] перечисляем SAN-ы:
Использование let’s encrypt для внутренних серверов
Let’s Encrypt — это центр сертификации, который предоставляет бесплатные сертификаты в полностью автоматизированном процессе. Эти сертификаты выдаются по протоколу ACME. За последние два года в Интернете широко использовалась технология Let’s Encrypt — более 50% веб-сертификатов SSL / TLS теперь выдает Let’s Encrypt.
В этом посте описывается, как выдавать сертификаты Let’s Encrypt для внутренних серверов.
Хотя и существует множество инструментов для автоматического обновления сертификатов для общедоступных веб-серверов (certbot, simp_le, я писал о том, как это сделать), трудно найти какую-либо полезную информацию о том, как выдавать сертификаты для внутренних серверов, не подключенных к Интернету, и / или устройства с Let’s Encrypt.
В Datto мы выдали сертификат на каждую из наших 90 000 устройств BCDR, использующих именно этот механизм.
Содержание
- Как это работает?
- Пример: внутренний сервер 10.1.1.4, он же. xi8qz.example.com
2.1. Предварительные требования: назначение домена для каждой машины (шаги 1-3)
2.2. Запрос сертификата (шаги 4-14) - Рекомендации по развертыванию: ограничения скорости Let’s Encrypt.
Hello Hacker News, впервые на главной странице HN! Для меня это большая честь! Я ответил на все вопросы в разделе комментариев.
Если вы ищете реализацию этой идеи, вам может быть интересен localtls. Я сам не тестировал, но похоже, что он делает то же самое, что я здесь описываю.
Как это работает?
Чтобы выпустить сертификат с помощью Let’s Encrypt, вы должны доказать, что вы либо являетесь владельцем веб-сайта, для которого хотите выпустить сертификат, либо владеете доменом, на котором он работает. Обычно автоматизированные инструменты, такие как certbot, используют HTTP-запрос для подтверждения права собственности на сайт с использованием.well-knownкаталога. Хотя это прекрасно работает, если сайт подключен к Интернету (и Let’s Encrypt может проверять файлы HTTP-запросов с помощью простого HTTP-запроса), он не работает, если ваш сервер работает на10.1.1.4или на любом другом внутреннем адресе.DNS решает эту проблему, позволяя подтвердить право собственности на домен с помощью
TXT-записи DNS_acme-challenge.example.com. Let’s Encrypt проверит, что запись соответствует ожидаемому, и выдаст ваш сертификат, если все сложится.Итак, действительно волшебными ингредиентами для выдачи сертификатов для внутренних компьютеров, не подключенных к Интернету, являются:
Пример: внутренний сервер 10.1.1.4, он же. xi8qz.example.com
На следующей диаграмме показано, как мы реализовали интеграцию Let’s Encrypt для наших устройств резервного копирования Datto. Каждое устройство (читайте: внутренний сервер) находится за NAT и имеет собственный локальный IP-адрес.
Общий подход прост: устройство регулярно обращается к нашему серверу управления, чтобы обеспечить доступ к нему через его собственный поддомен. Если его локальный IP-адрес изменяется, он запускает обновление своего собственного поддомена. Кроме того, он регулярно проверяет, действителен ли сертификат, и запрашивает обновление, если он устарел.
Вот немного подробностей об этом процессе:
Участники этого процесса:
В этом примере предположим, что мы пытаемся выпустить сертификат для устройства с идентификатором xi8qz и локальным IP-адресом 10.1.1.4. С точки зрения этого устройства необходимо сделать два запроса:
2.1. Предварительные требования: назначение домена для каждой машины (шаги 1-3)
Как упоминалось выше, нам нужно дать каждому устройству правильное доменное имя, чтобы иметь возможность подтвердить право собственности на Let’s Encrypt, поэтому нам нужно купить домен (здесь: example.com) и делегировать его NS-записи нашему серверу DDNS:
$ dig short NS example.com
ddns1.mycompany.com.Вдобавок к этому нам нужна возможность динамически добавлять и удалять записи из него (через какой-то API). Я ранее писал о том, как развернуть собственный DDNS-сервер, если вам интересно.
После того, как все это настроено, нам нужно убедиться, что запись A машины обновляется при изменении ее IP-адреса. Для нашей внутренней машины давайте назначим xi8qz.example.com в качестве домена. Если все работает правильно, вы сможете разрешить этот домен по его IP-адресу, используя обычный DNS-запрос:
$ dig short xi8qz.example.com
10.1.1.42.2. Запрос сертификата (шаги 4-14)
Предполагая, что теперь вы полностью контролируете зону DNS для example.com и можете быстро редактировать ее динамически, у вас все готово для фактической выдачи сертификатов для вашего локального домена устройства через Let’s Encrypt.
В нашем примере устройства оно будет регулярно проверять, действителен ли существующий сертификат (шаг 4). Если сертификата нет или срок действия существующего скоро истечет, устройство сгенерирует пару ключей и запрос на подпись сертификата (CSR), используя назначенное ему имя хоста (здесь: xi8qz.example.com) в качестве CN, и оно отправит этот CSR на управляющий сервер (шаг 5).
После авторизации запроса (важный шаг, не показанный на схеме!), Управляющий сервер запрашивает DNS-запрос для данного домена из ACME API через вызов Pre-Authorization / new-authz API (шаг 6). ACME API отвечает запросом DNS (шаг 7). Если все идет хорошо, это выглядит примерно так:
{
"identifier": {
"type": "dns",
"value": "xi8qz.example.com"
},
"status": "pending",
"expires": "2021-04-15T21:26:29Z",
"challenges": [
{
"type": "dns-01",
"status": "pending",
"uri": "https://acme-staging.api.letsencrypt.org/acme/challenge/VtjihR4X8nLAj4MDwI...",
"token": "aLptEKAeUOajkiGrx-kkbjUX4b1MC..."
},
// ...
],
// ...
}Используя этот ответ, управляющий сервер должен установить запись DNS TXT на _acme-challenge.xi8qz.example.com (шаг 8) и уведомить ACME API о том, что ответ на запрос был размещен (шаг 9).
После того, как ответ на запрос был проверен с помощью Let’s Encrypt (шаг 10-11), сертификат можно, наконец, запросить с помощью CSR (шаг 12-13).
После того, как Let’s Encrypt ответит сертификатом, вы увидите на проводе что-то вроде этого:
-----BEGIN CERTIFICATE-----
MIIGEjCCBPqgAwIBAgISAyk2izMz7OXSqHeZhg rUR5uMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
...Если декодировать с помощью openssl, мы увидим, что это настоящая сделка:
$ openssl x509 -in www.crt -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
03:29:36:8b:33:33:ec:e5:d2:a8:77:99:86:0f:ab:51:1e:6e
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
Validity
Not Before: Jul 18 23:37:35 2021 GMT
Not After : Oct 16 23:37:35 2021 GMT
Subject: CN=xi8qz.example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:be:69:df:28:04:9c:2b:e9:94:72:c3:de:a6:fd:
a4:38:93:be:43:a7:81:8b:dc:9a:be:19:0d:c0:d1:
...Этот сертификат затем возвращается в машину (шаг 14). После перезапуска веб-сервера устройства / сервера к его веб-интерфейсу можно будет получить доступ через HTTPS в браузере или из командной строки:
$ curl -v https://xi8qz.example.com/login
* Trying 10.1.1.4...
* TCP_NODELAY set
* Connected to xi8qz.example.com (10.1.1.4) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384
* ALPN, server accepted to use http/1.1
* Server certificate:
* subject: CN=xi8qz.example.com
* start date: Jul 18 23:37:35 2021 GMT
* expire date: Oct 16 23:37:35 2021 GMT
* subjectAltName: host "xi8qz.example.com" matched cert's "xi8qz.example.com"
* issuer: C=US; O=Let's Encrypt; CN=Let's Encrypt Authority X3
* SSL certificate verify ok.
> GET /login HTTP/1.1
> Host: xi8qz.example.com
> User-Agent: curl/7.58.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Sun, 05 Aug 2021 17:38:49 GMT
< Server: Apache/2.4.18 (Ubuntu)
...Рекомендации по развертыванию: ограничения скорости Let’s Encrypt.
Важно отметить, что если вы планируете реализовать этот механизм для большого количества серверов, вы используете staging среды Let’s Encrypt для тестирования и, что более важно, учитываете лимиты выдачи сертификатов.
По умолчанию Let’s Encrypt позволяет выдавать только 20 сертификатов (в 2021 году) в неделю для одного и того же домена или одной и той же учетной записи. Чтобы увеличить это число, вы должны либо запросить более высокий лимит выдачи, либо добавить свой домен в список общедоступных суффиксов (обратите внимание: добавление вашего домена здесь имеет другие последствия!).
Из-за этих ограничений скорости жизненно важно, чтобы вы распределили начальное развертывание настолько, чтобы оставаться ниже ограничения скорости, и чтобы вы оставили достаточно места для добавления будущих серверов. Также рассмотрите возможность продления в первоначальном плане развертывания.
Резюме
Как видите, это не так уж и сложно.
Сначала мы присвоили каждому устройству (так называемому внутреннему серверу) публичное доменное имя, используя наш собственный динамический DNS-сервер и выделенную зону DNS. Используя домен, назначенный серверу (здесь:
xi8qz.example.com), мы затем использовали предложение бесплатного сертификата Let’s Encrypt и их запрос DNS, чтобы выпустить сертификат для этого сервера.
Сделав это для всех внутренних серверов, мы можем обеспечить безопасную связь в нашей внутренней ИТ-инфраструктуре без необходимости развертывания настраиваемого сертификата CA или необходимости платить за сертификаты.
Интересные Github проекты по этой теме:
https://github.com/RealTimeLogic/SharkTrust
https://github.com/joohoi/acme-dns
https://github.com/skoerfgen/CertLE
https://github.com/Corollarium/localtls
Немного рекламы: На платформе https://rotoro.cloud/ вы можете найти курсы с практическими занятиями:
О порядке экспертизы и гигиенической сертификации биологически активных добавок к пище
На основании Закона РСФСР от 19.04.91 “О санитарно – эпидемиологическом благополучии населения” и в соответствии с Положением о Государственной санитарно – эпидемиологической службе Российской Федерации приказываю:
1. Департаменту Госсанэпиднадзора и уполномоченным им органами и учреждениями осуществлять экспертизу и гигиеническую сертификацию биологически активных добавок к пище в соответствии с “Положением о порядке экспертизы и гигиенической сертификации биологически активных добавок к пище” (Приложение).
2. Начальнику Инспекции государственного контроля лекарственных средств и медицинской техники Хабриеву Р.У., начальнику Департамента Госсанэпиднадзора Монисову А.А. привести в соответствие с утвержденным Положением действующие инструктивно – методические документы Минздрава России по вопросам экспертизы, клинических испытаний и регистрации биологически активных добавок к пище.
3. Контроль за выполнением настоящего Приказа возложить на Первого заместителя министра Онищенко Г.Г.
Министр Т.Б.ДМИТРИЕВА
Приложение к Приказу Министерства здравоохранения Российской Федерации от 15.04.97 N 117
Понятия о биологически активных добавках (бад) к пище
БАД – это природные или идентичные им биологически активные вещества, предназначенные для непосредственного приема (в виде таблеток, капсул и т.д.) или введения в состав продуктов. В России БАД официально отнесены к категории пищевых продуктов.
Использование БАД предполагает их положительное воздействие на обменные процессы и состояние органов и систем организма. Применение БАД является новым направлением в питании здорового и больного человека.
1. БАД подразделяются на три основные группы: нутрицевтики
2. парафармацевтики
3. пробиотики и пребиотики.
Нутрицевтики – это БАД , применяемые для направленного изменения пищи, это дополнительные источники аминокислот, полиненасыщенных жирных кислот, витаминов, минеральных веществ, пищевых волокон и других пищевых веществ.
По многим причинам в питании современного человека возможен дефицит ряда пищевых веществ, который логично восполнить за счет БАД – нутрицевтиков, например, путем дополнения питания приемом витаминно-минеральных комплексов. С помощью нутрицевтиков можно целенаправленно улучшить питание беременных женщин и кормящих матерей, людей, работающих на вредных для здоровья производствах, спортсменов. Нутрицевтики используются для ликвидации дефицита некоторых микроэлементов в питании из-за низкого природного содержания в почве, воде, продуктах отдельных районах. Примером является профилактика заболеваний щитовидной железы, обусловленных дефицитом йода в питании. Нутрицевтики можно использовать при алиментарной профилактики некоторых заболеваний , например, остеопороза за счет приема БАД, содержащий кальций и витамин D.
Содержание пищевых веществ в нутрицевтиках не должно резко превышать установленные нормы питания: как дефицит, так и избыток пищевых веществ неблагоприятен для организма. В России Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека утвердила в 2004 г. “Рекомендуемые уровни суточного потребления пищевых и биологически активных веществ” для взрослых и детей в составе диетических продуктов и БАД.
Парафармацевтики
– это БАД, которые должны предлагаться для укрепления здоровья и профилактики различных заболеваний, но не для их лечения. Слово “парафармацевтики” означает “что-то , расположенное около лекарств” (“пара” – по-гречески “возле”). В отличие от нутрицевтиков парафармацевтики не обладают питательной ценностью, хотя могут содержать дополняющие питание вещества из лекарственных и пищевых растений, продуктов моря и пчеловодства, тканей животных, а также полученные химическими способами. В некоторые парафармацевтики могут быть включены пищевые вещества, в частности витамины.
Пробиотики и пребиотики.
Пробиотики – это микроорганизмы, которые в качестве БАД используются для улучшения состава и функции микробной флоры кишечника. Слово “Пробиотики” буквально означает “для жизни”, в отличие от слова “антибиотики” – “против жизни”. К пробиотикам относят в основном представителей нормальной микрофлоры кишечника человека и чаще всего бифидобактерий и молочнокислых микробов. В настоящее время промышленность производит много видов “пробиотических” молочных продуктов (кефиры, йогурты и др.), в составе которых есть указанные БАД-пробиотики.
Пребиотики – это пищевые и другие вещества, которые стимулируют рост и активность представителей полезной микрофлоры кишечника, способствуя тем самым поддержанию ее нормального состояния. Применение пробиотиков рекомендуется при заболеваниях органов пищеварения, приеме антибиотиков, для профилактики многих болезней.
БАД, главным образом нутрицевтики, могут быть использованы при алиментарной профилактике массовых хронических заболеваний, но при решении вопроса об их применении надо учитывать следующее:
БАД не является лекарствами и безопасными в плане побочных эффектов средствами;
принимать БАД, особенно парафармацевтики, надо после консультации с опытным врачом. Не следует поддаваться искушению рекламы БАД в средствах массовой информации;
особенно осторожно следует относиться к использованию БАД беременным, кормящим матерям, пожилым людям, при заболевании печени и почек;
не рекомендуется принимать два и более парафармацевтиков из-за возможности возможной несовместимости содержащихся в них веществ. Это положение не распространяется на нутрицевтики, если каждый из них содержит разные пищевые вещества;
следует особенно осторожно относиться к БАД, содержащие малоизученные экзотические компоненты (тибетские, китайские, индонезийские, африканские растения, панты оленей и т.д.), тюк. действие их не предсказуемо.
БАД ни в коем случае не должны заменять или сокращать объем лечения проводимого при атеросклерозе и ИБС, артериальной гипертензии, сахарном диабете, онкологических и других заболеваний.
Сертификаты на сертификат на бады от 49000₽ без посредников
Сертификации БАДы не подлежат, зато они подлежат обязательной регистрации в согласно ТР ТС 021/2021 «О безопасности пищевой продукции». Регистрацией БАД в России занимается Роспотребнадзор РФ.
Регламент распространяется на биологически активные добавки, которые продаются оптом и в розницу в Казахстане, России, Белоруссии и других странах Таможенного Союза и используются в качестве дополнительных пищевых веществ.
Какой документ оформляется на бады?
На БАДы проводится регистрация продукции и оформляется Свидетельство о государственной регистрации — СГР на БАД к пище.
СГР (свидетельство о государственной регистрации продукции) говорит о безопасности продукта по гигиеническим и санитарно-эпидемиологическим параметрам.
Обязательный сертификат соответствия на БАД не оформляется. Если же Вы задаетесь вопросом как сертифировать БАД, то Вы можете провести добровольную сертификацию биологически активных добавок. Сертификаты на БАДы выдаются в Центрах по сертификации, таких как наш. Этот документ даёт товару преимущества перед другими аналогичными продуктами и позволяет маркировать упаковки биологически активных добавок знаками добровольной сертификации. Ваш результат – дополнительное маркетинговое преимущество в торговле.
как получить сертификат на бад?
Оформление СГР на БАДы это трудоемкая и долгосрочная процедура и состоит она из нескольких этапов
Возможные штрафы
За несоблюдение закона предусмотрены штрафы:
Статья 14.44. Недостоверное декларирование соответствия продукции. От 15 до 25 тыс. руб.; от 100 до 300 тыс. руб. на должностных и юрлиц соответственно.
Статья 14.45. Нарушение порядка реализации продукции, подлежащей обязательному подтверждению соответствия. От 20 до 40 тыс. руб.; от 100 до 300 тыс. руб. на должностных и юрлиц соответственно.
Цены выполнения работы в центре «Верно делаем» зависят от:
- цели выдачи документа;
- сроков использования бланков.
Стоимость исполнения заказа от 49000 рублей. Сроки — от 10 недель в зависимости от сложности экспертизы. Предлагаем оптимальные расценки на сертификацию биологически активных добавок.
Центр предлагает скидки на большие объёмы, все цены указываются с учетом НДС, который вы можете возместить в последующем — ваша экономия очевидна.
Заполните форму на сайте и получите полный расчёт вашего заказа.
Консультации по контактному телефону 7 (495) 120 50 97.
Создаём ca
Для начала сгенерим приватный ключ (файл ca.key), если хотите зашифровать приватный ключ с паролем, добавьте аргумент -des3:
Теперь сгенерим пару сертификатов для нашего CA (вместо 365 можно подставить любое другое значение, это срок годности пары сертификатов в днях):
Вводим пароль к ключу (если ключ был зашифрован) и затем аккуратно заполняем поля субъекта (subject). По этим данным можно будет потом идентифицировать публичный сертификат среди списка других, например. На выходе получаем файл ca.crt — это публичный сертификат нашего CA.
Можно создать ключ и сертификат одной командой, причём в эту же команду можно включить параметры субъекта:
К сожалению, эта команда генерит невалидный ключ. Openssl и основанные на этой библиотеке приложения его понимает корректно, однако другие программы могут его не принять. Решается это такой командой (мы просто считываем и снова записываем файл):
Содержимое параметра -subj состоит из сегментов вида /$KEY=$VALUE, где $KEY может принимать такие значения:
L— locality, обычно это городST— state, обычно это регион, область, район и т.д.C— country, двухбуквенный код страны, например, RU или USO— organization, название организацииOU— organization unit, отдел в организацииCN— common name, обычно это адрес веб-сайтаemailAddress— email
Электронная подпись для росалкогольрегулирования
По Федеральному закону № 218-ФЗ от 18.07.2021 с 28 августа 2021 года участники алкогольного рынка обязаны подавать отчеты в Федеральную службу по регулированию алкогольного рынка РФ в электронном виде с обязательной электронной подписью.
Отчетность в Росалкогольрегулирование (ФСРАР) должна предоставляться следующими контрагентами рынка алкогольной продукции:
1. Юридические лица (организации), осуществляющие производство и оборот этилового спирта, алкогольной и спиртосодержащей продукции;
2. Индивидуальные предприниматели, осуществляющие розничную продажу спиртосодержащей непищевой продукции, пива и напитков, изготавливаемых на основе пива;
3. Физические лица, состоящие с указанными организациями и индивидуальными предпринимателями в трудовых отношениях и непосредственно осуществляющие отпуск алкогольной продукции покупателям по договорам розничной купли-продажи (продавцы).
Ранее мы кратко описывали порядок составления электронных отчетов, которые должны быть предоставлены в Росалкогольрегулирование. Рассмотрим некоторые требования к декларантам и отчетности, утвержденные Постановлением Правительства РФ от 09.08.2021 № 815 в «Правилах представления деклараций…»:
1. Декларации предоставляются ежеквартально, не позднее 10-го числа месяца, следующего за отчетным периодом, за IV квартал — не позднее 20-го числа месяца, следующего за отчетным периодом.
2. Декларации в электронной форме направляются с усиленной квалифицированной электронной подписью в целом по организации, включая ее обособленные подразделения, в территориальный орган Федеральной службы по регулированию алкогольного рынка по месту нахождения организации.
3. Копии деклараций направляются в Федеральную службу по регулированию алкогольного рынка в электронной форме в течение суток после представления деклараций в органы исполнительной власти субъектов Российской Федерации.
Для электронного взаимодействия с ФСРАР выполните следующие 9 шагов:
Для организации взаимодействия с органами «Федеральной службы по регулированию алкогольного рынка» зарегистрируйтесь на государственных порталах.
Получите личный сертификат электронной подписи для отчетности в ФСРАР в одном из аккредитованных Удостоверяющих Центров (УЦ).
Скачайте и установите сертификаты ФСРАР.
Удостоверьтесь, что у вас есть необходимые программные средства «КриптоПро CSP» и «КриптоАРМ», купите их по отдельности или в комплекте.
Сформируйте файл декларации в электронном виде в формате версии 4.31 на основе XML.
Выберите сформированный файл декларации правой кнопкой мыши и в открывшемся контекстном меню нажмите на «КриптоАРМ» – «Подписать и зашифровать».
Подпишите, зашифруйте и заархивируйте сформированный файл отчета.
Отправьте полученный файл (.sig.zip.enc) в Росалгокольрегулирование из Личного кабинета.
Рассмотрим все эти шаги подробнее.
Для организации взаимодействия с органами «Федеральной службы по регулированию алкогольного рынка» зарегистрируйтесь на государственных порталах.
Зарегистрируйтесь в информационной системе Субъекта Российской Федерации по приему деклараций и на портале Федеральной службы по регулированию алкогольного рынка.
Получите личный сертификат электронной подписи для отчетности в ФСРАР в одном из аккредитованных Удостоверяющих Центров (УЦ).
Заказать сертификат в вашем регионе вы можете в УЦ СКБ Контур. Порядок получения сертификата, бесплатный номер для консультаций и онлайн-консультант доступны здесь.
Скачайте и установите сертификаты ФСРАР.
Скачайте и распакуйте архив по ссылке http://fsrar.ru/files/rosalco.zip. Поочерёдно установите скачанные сертификаты: «Орган исполнительной власти субъекта РФ.cer» и «Федеральная служба по регулированию алкогольного рынка.cer».
Удостоверьтесь, что у вас есть необходимые программные средства «КриптоПро CSP» и «КриптоАРМ», купите их по отдельности или в комплекте.
Приобрести лицензии на КриптоПро CSP 4.0 и на КриптоАРМ Стандарт Плюс вы можете в нашем интернет-магазине. Для удобства можно купить комплект.
В результате вы получите лицензионные ключи и ссылки для скачивания последней версии продуктов с сайтов производителей, которые необходимо установить на свой рабочий компьютер.
Для установки КриптоПро CSP ознакомьтесь с инструкцией, для установки КриптоАРМ также можете прочитать специальную статью.
Сформируйте файл декларации в электронном виде в формате версии 4.31 на основе XML.
Для того чтобы сформировать декларацию в электронном виде можно воспользоваться программой Декларант-Алко или сервисом Контур.Алкодекларация. Подробную инструкцию по данным программам можно найти на сайтах производителей.
К началу статьи >>
Подпишите, зашифруйте и заархивируйте сформированный файл отчета с помощью программы КриптоАРМ.
(Полностью выполнять шаги 1-14 необходимо только 1 раз, в дальнейшем «КриптоАРМ» запомнит последовательность действий и будет заполнять поля автоматически.)
1. Откройте папку с файлом, который вы хотите подписать, заархивировать и зашифровать. Найдите этот файл и нажмите на него правой кнопкой мыши, затем выберите пункт “КриптоАРМ” — “Подписать и зашифровать…”:
2. Запустится “Мастер создания электронной подписи и шифрования данных!”, нажмите “Далее”:
3. В следующем окне “Выбор файлов” нажмите “Далее”:
4. В окне «Выходной формат» нужная кодировка DER и расширение .sig будут выбраны автоматически. Нажмите «Далее»:
5. В окне «Параметры подписи» в поле «Использование подписи» выберите «Утверждено», в поле «Комментарий к подписи» введите отчетный период, например «Декларация за 4 квартал 2021 г.». Поставьте «галочку» напротив опции «Включить время создания подписи» и нажмите «Далее»:
6. В окне “Параметры подписи” нажмите кнопку “Выбрать” и выберите свой сертификат подписи для ФСРАР, нажмите «ОК» и «Далее»
7. В окне «Выходной формат файла» выберите кодировку «DER» с расширением .enc. и обязательно выберите «Архивировать файлы перед шифрованием».
8. В окне «Выбор файлов» не добавляйте ничего к подписываемому файлу, просто нажмите «Далее»:
9. В окне «Свойства шифрования» выберите тип криптопровайдера «Crypto–Pro GOST R34.10…», алгоритм шифрования «GOST 28147-89»:
10. В окне «Выберите сертификаты получателей» нажмите «Добавить»:
11. В окне «Хранилище сертификатов» закладке «Сертификаты других пользователей» выберите сертификаты: “Орган исполнительной власти” и Федеральная служба росалгогольрегулирования” и нажмите «ОК» и «Далее»:
12. В окне “Статус” проверьте еще раз параметры и нажмите “Готово” для начала процесса подписи, архивирования и шифрования. Чтобы программа «КриптоАРМ» запомнила шаги и в следующий раз заполняла необходимые поля и делала выбор автоматически, поставьте галочку на “Сохранить данные в настройку…” и дайте название новому шаблону (например, Росалкогольрегулирование):
13. При необходимости введите pin-код ключевого носителя и нажмите «ОК» для начала процесса. Убедитесь, что файл успешно подписан, заархивирован и зашифрован, нажмите “Закрыть”:
В результате вы получите файл с расширением .sig.zip.enc (расширение .enc может не отображаться в проводнике Windows, при этом «Тип» должен быть «Шифрованные данные»), расположенный в каталоге, указанном в пункте 8 (или в каталоге подписываемого файла).
К началу статьи >>
Отправьте полученный файл (.sig.zip.enc) в региональный орган исполнительной власти (РОИВ) через личный кабинет, на котором вы зарегистрировались в пункте 1 раздела I.
В случае успешной проверки декларации в личный кабинет поступает копия представленной декларации с расширением .sig.zip.enc, заверенная электронной подписью РОИВ. Вам необходимо сохранить ее к себе на компьютер и перейти к разделу IX.
Если проверка на портале не пройдена, в личный кабинет поступит «протокол форматно-логического контроля», содержащий информацию об ошибках. Вам необходимо их исправить и снова послать декларацию в РОИВ.
К началу статьи >>
Копию декларации, подписанную ЭП РОИВ, необходимо загрузить на федеральный портал Росалкогольрегулирования через личный кабинет, в котором вы зарегистрировались в пункте 2 раздела I.
После загрузки копии декларации на портал ФСРАР к вам поступает «квитанция о приеме копии декларации» в случае успеха, либо «протокол форматно-логического контроля», если вам необходимо исправить ошибки и послать ее снова.
Датой представления копии декларации считается дата, указанная в «квитанции о приеме».
К началу статьи >>