Установка личного сертификата электронной подписи с носителя – Моя подпись

Установка личного сертификата электронной подписи с носителя - Моя подпись Сертификаты

Описание демо-стенда

Настоящая инструкция описывает процесс настройки простейшего сценария VPN-соединения между клиентом и сервером. Построение сложных сетей в данной инструкции не рассматривается.

ПО «Единый Клиент JaCarta» — программный комплекс, предназначенный для работы со всеми моделями токенов и смарт-карт JaCarta и eToken.

Другие способы получения ключей и сертификатов

Наиболее популярным способом генерации ключей и выпуска сертификатов является использование Удостоверяющего центра, например, на базе Microsoft Certification Authority. Для настройки OpenVPN этот способ генерации ключей и выпуска сертификата также подойдет.

Для сервера сгенерируйте на Удостоверяющем центре ключи и сертификат проверки подлинности сервера, экспортируйте их в файл PKCS#12.

В настройках серверной части OpenVPN вместо cert и key необходимо указать pkcs12:

ca C:ПУТЬ_К_СЕРТИФИКАТУ_УДОСТОВЕРЯЮЩЕГО_ЦЕНТРАca.crtpkcs12 C:ПУТЬ_К_СЕРТИФИКАТУ_СЕРВЕРАserver.p12

Корневым сертификатом ca должен быть сертификат Удостоверяющего центра.

Настройка шаблонов для выпуска ключей и сертификатов на токен описана в инструкции к «Единому Клиенту JaCarta» и «JaCarta SecurLogon». Для клиента сгенерируйте на Удостоверяющем центре ключи и сертификат проверки подлинности клиента. При этом импортировать на токен файл pkcs#12 не потребуется. Остальные настройки клиентской части выполняются аналогично.

Как выпустить сертификат гост

Прежде всего следует открыть инструкцию и убедиться, что носитель JaCarta работает корректно. Если все в порядке, можно переходить к выпуску сертификата.

Извлеките из ПК все устройства JaCarta, кроме выданного в Сервисном Центре для ЕГАИС:Установка личного сертификата электронной подписи с носителя - Моя подпись

Проверьте, что JaCarta SE не содержит сертификата:

Обратите внимание! Сертификат ЕГАИС нельзя скопировать с одного устройства JaCarta на другой! Работа в системе возможна лишь с тем сертификатом, который записан на носитель последним!

В окне входа в сервис для работы с ЕГАИС в пустом поле введите номер телефона, указанный в заявлении на получение электронной подписи, после чего нажмите «Получить код»:Установка личного сертификата электронной подписи с носителя - Моя подпись

На указанный номер телефона поступит SMS-сообщения с кодом. Его необходимо ввести в соответствующее поле и войти в систему:

Как инициализировать jacarta?

Войдите в приложение «Единый клиент JaCarta». Если его нет на ПК, его необходимо установить с web-диска.

Внизу серого поля, расположенного в левой части экрана, нажмите «Переключиться в режим администрирования».

В центральной части экрана выберите вкладку «PKI», в ней — ссылку «Инициализировать», как показано на следующем изображении:

В появившемся окне введите код администратора (по умолчанию 00000000) и пользователя (по умолчанию 11111111), после чего нажмите «Выполнить»:

Как начать работу с носителем сертификата?

Носитель JaCarta SE PKI/ГОСТ использует стандартный драйвер операционной системы, именуемый USBCCID. Поэтому он будет функционировать без установки какого-либо дополнительного программного обеспечения. Но смотреть информацию о носителе и содержащихся на нем сертификатах, а также произвести настройки, через стандартные средства ОС нельзя. Для этого понадобится установить «Единый клиент JaCarta».

Как установить элементы крипто-ключа

В обозревателе Internet Explorer откройте установочный диск Контур.Маркета. Из доступных опций выберите «Настройки для получения КЭП»:

Можно ли изменить пин-код на jacarta?

В JaCarta пин-код по умолчанию можно сменить на собственный. Сделать это можно также в «Едином клиенте JaCarta», перейдя на соответствующую вкладку. Например, если нужно сменить пин-код ГОСТ JaCarta, нужно перейти на вкладку «ГОСТ» и нажать «Сменить пин-код администратора».

Если же нужно сменить пин-код пользователя JaCarta, а не администратора, в режим администрирования переходить не нужно. Просто нажмите «Сменить пин-код» напротив «ГОСТ» или «PKI».

Про сертификаты:  Как удалить сертификат электронной цифровой подписи из реестра или с флешки? - Изготовим ЭЦП за 30 минут

Можно ли на один носитель записать несколько сертификатов?

JaCarta имеет 5 разделов, в которые могут быть помещены сертификаты. Однако работать будет только тот из них, который был записан последним.

На кого выпускать сертификаты кэп для подразделений?

Правило такое: у каждого подразделения юридического лица, имеющего свой адрес и КПП, должен быть в собственной сертификат КЭП. Выпустить его можно на руководителя организации либо на уполномоченное лицо. Такие ответственные лица могут быть в каждом подразделении организации, то есть сертификат для каждого подразделения может выпускаться на отдельное уполномоченное лицо.

Настройка клиента


Установите ПО «Единый Клиент JaCarta» и «JaCarta SecurLogon» с официального сайта компании «Аладдин Р.Д.».

«JaCarta SecurLogon» — программное решение, обеспечивающее простой и быстрый переход от обычных паролей к двухфакторной аутентификации при входе в ОС Microsoft Windows и доступе к сетевым ресурсам по токену JaCarta.

Выберете вкладку «PKI» и проинициализируйте токен.

Инициализация ключа приведет к удалению всех данных на нем. Если на ключе есть необходимая вам информация, в том числе ключи и сертификаты для других систем, не проводите инициализацию ключа.

С помощью ПК «Единый Клиент JaCarta» импортируйте на токен файл PKCS#12, ранее сгенерированный для клиента. На токене появятся ключи и сертификат, их можно увидеть в окне «Единый Клиент JaCarta». Установите сертификат с токена в личное хранилище компьютера.

Скопируйте sha1 отпечаток личного сертификата, он потребуется для дальнейшей настройки.

Также потребуется сертификат Удостоверяющего центра, полученный в ходе настройки сервера. Установите сертификат в хранилище доверенных корневых центров сертификации, а также сохраните локально.

Отредактируйте ваш файл конфигурации клиента, задайте правильные сетевые настройки.

В поле cryptoapicert укажите отпечаток сертификата пользователя.

В поле ca укажите путь к сертификату Удостоверяющего центра.

Выдержка из конфигурационного файла:

# SSL/TLS parms.# See the server config file for more# description. It’s best to use# a separate .crt/.key file pair# for each client. A single ca# file can be used for all clients.cryptoapicert «THUMB:81 0d d6 b7 …. ОТПЕЧАТОК КЛИЕНТСКОГО СЕРТИФИКАТА»ca C:ПУТЬ К СЕРТИФИКАТУ УДОСТОВЕРЯЮЩЕГО ЦЕНТРАca.crt

Настройка сервера


Для возможности аутентификации в

OpenVPN

по цифровому сертификату необходимо, чтобы клиент и сервер имели цифровые сертификаты, выданные доверенным центром сертификации. Клиент должен доверять сертификату сервера, а сервер – сертификату клиента.

Нарушение доверия к сертификату сервера или клиента приведет к невозможности установки VPN-соединения.

Рассмотрим процесс выпуска ключей и сертификатов с использованием средств, предлагаемых самим OpenVPN.

Перейдите в каталог easy-rsa, который находится в установочной директории OpenVPN и запустите init-config.bat. В результате работы создастся файл vars.bat, который необходимо отредактировать для адаптации к вашему окружению:

set HOME=%ProgramFiles%OpenVPNeasy-rsa – задайте рабочий каталогset KEY_CONFIG=openssl-1.0.0.cnf – задайте конфигурационный файл Opensslset KEY_DIR=keys – задайте каталог для хранения ключейset KEY_SIZE=1024 – установите размер ключаset KEY_COUNTRY=US – укажите странуset KEY_PROVINCE=CA – укажите областьset KEY_CITY=SanFrancisco – укажите городset KEY_ORG=OpenVPN – укажите название организацииset KEY_EMAIL=mail@host.domain – укажите e-mailset KEY_CN=changeme – укажите общее имя (common name) set KEY_NAME=changeme – укажите имяset KEY_OU=changeme – укажите подразделение организации

Следующие секции оставьте без изменений:

set PKCS11_MODULE_PATH=changeme – путь к модулю pkcs#11set PKCS11_PIN=1234 – ПИН-код к смарт-карте

Необходимо сгенерировать ключи для TLS. Создайте пустые файлы для хранения индексов и серийных номеров. Для этого запустите (выполняется один раз):

Сгенерируйте ключ Удостоверяющего центра (выполняется один раз). Запустите:

В диалоге укажите имя желаемого Удостоверяющего центра.

Сгенерируйте файл для ключей Диффи-Хэллмана (только для сервера, выполняется один раз).

Запустите:

Сгенерируйте приватный ключ и сертификат сервера.

Запустите:

В результате будут сгенерированы ключ и сертификат с именем машины (сервера).

Про сертификаты:  Как установить ЭЦП на компьютер. Подробное руководство!

Теперь необходимо создать ключи и сертификаты для клиентских машин. Сгенерируйте файл PKCS#12 для каждой клиентской машины.

Для этого запустите:

В результате будет сгенерирован файл PKCS#12 с именем клиентской машины. Это нужно будет сгенерировать для каждой машины.

Отредактируйте ваш файл конфигурации сервера, задайте правильные сетевые настройки.

Обратите внимание на то, что необходимо правильно указать пути к файлам ключей и сертификатов. Выдержка из конфигурационного файла:

# Any X509 key management system can be used.# OpenVPN can also use a PKCS #12 formatted key file# (see «pkcs12» directive in man page).ca C:ПУТЬ_К_СЕРТИФИКАТУ_УДОСТОВЕРЯЮЩЕГО_ЦЕНТРАca.crtcert C:ПУТЬ_К_СЕРТИФИКАТУ_СЕРВЕРАserver.crtkey C:ПУТЬ_К_КЛЮЧУ_СЕРВЕРАserver.key

# Diffie hellman parameters.# Generate your own with:# openssl dhparam -out dh2048.pem 2048dh C:ПУТ_К_ФАЙЛУ_ДИФФИ-ХЭЛЛМАНАdh1024.pem

О jacarta pki

— это линейка PKI-токенов производства компании

для строгой аутентификации пользователей в корпоративных системах, безопасного хранения ключевых контейнеров программных СКЗИ и цифровых сертификатов.

Об openvpn

OpenVPN

— свободная реализация технологии Виртуальной Частной Сети (VPN) с открытым исходным кодом для создания зашифрованных каналов типа точка-точка или сервер-клиенты между компьютерами. Она позволяет устанавливать соединения между компьютерами, находящимися за NAT-firewall, без необходимости изменения их настроек.

Пин-коды носителей jacarta

В большинстве носителей пароль JaCarta есть как для администратора, так и для пользователя, и они разные. Для удобства и быстрого поиска мы подготовили соответствующую таблицу.

Популярные варианты

Модели делятся на несколько семейств: JaCarta-2 SE, JaCarta-2 ГОСТ, JaCarta LT. Главное отличие — в наличии средства криптографической защиты информации (СКЗИ) и возможности работать с ЕГАИС. Для использования одних токенов нужно устанавливать программу на ПК, для других — не нужно, так как она уже находится в носителе.

Проверка

Запустите OpenVPN на сервере и клиенте.

Если настройка выполнена правильно, появится запрос на введение ПИН-кода к токену, и VPN-соединение успешно установится.

Сколько сертификатов нужно иметь?

Если речь об организации, то у нее должно быть столько сертификатов КЭП, сколько подразделений с самостоятельным адресом и КПП существует. То есть в каждом подразделении должен быть собственный цифровой носитель с записанным на него сертификатом.

У индивидуального предпринимателя может быть только один сертификат для ЕГАИС.

Более подробно читайте тут.

Сравнение моделей

Для наглядности мы подготовили таблицу.

Установка личного сертификата электронной подписи с носителя – моя подпись

Ручная установка личного сертификата электронной подписи с носителя Рутокен, Etoken, JaСarta, Реестра, USB-флешки.

В большинстве случаев с ключевых носителей Рутокен, Ja Сarta сертификаты устанавливаются автоматически в течение минуты после подключения к компьютеру, если установлены драйверы.

Если вы устанавливаете сертификат с РЕСТРА или обычной USB-флешки, то пункты 1,2 вам не нужны, переходите сразу к пункту 3.

1. Проверка наличия установленных драйверов на ключевой носитель:

1.1 Присоедините ключевой носитель JaCartaRutoken к USB-порту Вашего компьютера

1.2 Подождите минуту

1.3 Выберите пункт меню Пуск -> Настройка -> Панель управления либо найдите Панель управления через Поиск, откройте Крипто Про CSP.

1.4 В появившемся окне Крипто Про CSP перейдите на вкладку Сервис

1.5 Нажмите на кнопку Просмотр/просмотреть сертификаты в контейнере

1.6 В появившемся окне нажмите кнопку Обзор

1.7 Если в окне выбора есть надпись JaCartaRutoken, как показано на рисунке ниже, значит, драйверы на JaCartaRutoken уже установлены и пункты 2 и 3 выполнять не нужно. Обратите внимание, что на Вашем компьютере может быть установлено большое число контейнеров и для того, чтобы найти надпись JaCartaRutoken, необходимо прокрутить окно с помощью колесика мыши до конца вниз

Если искомой надписи в окне нет, пункт 2 обязателен к исполнению.

2.Установка драйверов на ключевые носители

!!! Отсоедините все ключевые контейнеры ОТ USB-портов компьютера.

если у вас носитель JaCarta (носитель черного цвета):

Про сертификаты:  Инструкция по замене ключа электронной подписи для СБИС | Инструкции СБиС

2.1 Запустите соответствующую программу установки драйверов в зависимости от версии Windows, установленной на компьютере:

Ссылка – JaCartax86zip Единый Клиент JaCarta для windows 32x 
Ссылка – JaCartax64zip Единый Клиент JaCarta для windows 64x

и следуйте ее указаниям. После установки драйверов может потребоваться перезагрузка компьютера.

2.2 После перезагрузки подсоедините ключевой носитель к USB-порту.

2.3 После подключения на ключевом носителе загорается светодиод, это говорит о том, что JaCarta корректно распознан операционной системой и готов к работе.

если у вас носитель Rutoken (прозрачный или белого/красного цвета):

2.4 Единый файл драйверов для носителей Rutoken rtDrivers.exe работает в любой версии Windows от XP до 10, на 32 и 64 битных версиях.

2.5 После окончания установки перезагрузите компьютер и подключите Рутокен к USB-порту компьютера. Если на нём загорелся красный светодиод — значит установка произведена корректно.

3. Добавление считывателя

!!! Добавление ruToken, JaCarta происходит при подключенном носителе.

3.1 Выберите пункт меню «Пуск» -> «Настройка» -> «Панель Управления» -> «Крипто Про CSP»

3.2 В появившемся окне перейдите на вкладку «Оборудование»

3.3 Нажмите кнопку «Настроить считыватели» и проверьте наличие в списке считывателей пункта «Все считыватели смарт-карт» (см. рисунок на следующей странице)

3.4 Если пункт отсутствует, требуется установка считывателя, для этого нажмите кнопку «Добавить» и следуйте инструкциям мастера по установке считывателей.

!!! Обратите внимание, что добавление считывателей возможно только в случае, если у пользователя есть права администратора и программа Крипто Про запущена от имени администратора. Если кнопка «Добавить» неактивна, как в случае на рисунке, обратитесь к своему системному администратору.

4. Установка личного сертификата

!!! При установке личного сертификата к компьютеру должен быть подключен только тот ключевой носитель, с которого производится установка. Остальные носители должны быть отключены

4.1 Выберите пункт меню «Пуск» -> «Панель Управления» либо найдите Панель управления через Поиск, выберете «Крипто Про CSP»

4.2 В появившемся окне перейдите на вкладку «Сервис»

4.3 Нажмите на кнопку «Просмотреть сертификаты в контейнере…»

4.4 В поле «Имя ключевого контейнера» нажмите «Обзор»

4.5 В списке доступных контейнеров выберите нужный вам контейнер, он может быть записан на «Aktiv Co. ruToken 0», ARDS Ja Carta или USB-Флешку (определяется как Диск E/D и т.п.) и подтвердите выбор нажатием кнопки «ОК»

4.6 В поле «Имя ключевого контейнера» появится нужный вам контейнер нажать «Далее»

4.7 В ответ на запрос КриптоПро CSP ввода pin-кода на контейнер необходимо указать значение 12345678 (это стандартный pin-код на ключевой носитель ruToken, JaCarta). Если вы меняли пин-код, то введите именно его.

4.8 В открывшемся окне «Сертификат для просмотра» нажать кнопку «Свойства»

4.9 Нажать кнопку «Установить сертификат»

4.10 В появившемся мастере импорта сертификатов нажмите «Далее», укажите пункт «Поместить все сертификаты в следующее хранилище», нажмите кнопку «Обзор»

4.11 В появившемся списке хранилищ выберите «Личные» подтвердите выбор нажатием кнопки «ОК» нажмите «Далее» -> «Готово» -> «ОК» -> «ОК» -> «Готово».

Краткая инструкция по установке сертификата:

 В меню «Пуск» -> «Настройка» -> «Панель Управления» -> «Крипто Про CSP» -> на вкладке «Сервис» нажать на кнопку «Просмотреть сертификаты в контейнере…»

-> в поле «Имя ключевого контейнера» нажать «Обзор»

-> в списке доступных контейнеров выбрать нужный Вам (по названию либо по наименованию носителя)

-> подтвердить выбор нажатием кнопки «ОК» -> в поле «Имя ключевого контейнера» появиться нужный Вам контейнер (ЭП)

-> нажать «Далее» -> на просьбу Крипто Про CSP ввести pin-код на контейнер необходимо указать значение вашего PIN (может и не потребоваться)

-> в окне «Сертификат для просмотра» нажать кнопку «Установить сертификат»

Оцените статью
Мой сертификат
Добавить комментарий