«let’s encrypt» сертификат
Если у вас нет собственного SSL-сертификата, в личном кабинете есть возможность подключить бесплатный «Let’s Encrypt» сертификат.
Вариант 2. установка корневого сертификата удостоверяющего центра
Для установки сертификата вторым методом:
- Запускаем программу «КриптоПро CSP», идем на закладку «Сервис» и ищем клавишу «Просмотреть сертификат в контейнере».
- Далее — «Обзор», выбираем нужный сертификат клавишей «Ок».
- В следующем окошке выбираем «Далее», ничего не меняя.
- Жмем клавишу «Свойства».
- Выбираем «Установить сертификат».
- Переводим переключатель в ячейку «Автоматически выбрать хранилище на основе типа сертификата» и жмем «Далее».
«Готово». Установку мы выполнили успешно.
Какие изменения, упростившие работу с ЭЦП, произошли в 2020 году, узнайте из Обзора, который подготовили эксперты КонсультантПлюс. Если у вас еще нет доступа к этой правовой системе, пробный полный доступ можно получить бесплатно.
Добавление личного ssl-сертификата в разделе «ssl-сертификаты»
Для того чтобы добавить сертификат в личный кабинет без привязки к ресурсу, перейдите в раздел «SSL-сертификаты» сервиса CDN.
Введите SSL-сертификат в формате PEM и приватный ключ, а также задайте имя сертификата. Нажмите «Создать SSL-сертификат».
Как правильно оформить сертификат читайте здесь.После сохранения настроек сертификат отобразится в списке SSL-сертификатов.В разделе доступна информация о сертификате: id, имя, ресурсы, тип их ускорения, которые используют сертификат, срок действия.
Замена сертификата
Добавленный личный сертификат изменить нельзя, поэтому по истечении срока действия сертификата следуйте шагам:
Личный SSL-сертификат
Используйте личный SSL-сертификат, если в качестве персонального домена для создания CNAME-записи вы устанавливаете свое значение.Добавить личный сертификат можно двумя способами: при создании ресурса и в разделе «SSL-сертификаты».
Особенности ввода данных сертификата и приватного ключа
Откройте файл с сертификатом в формате PEM в приложении «Блокнот». Сертификаты такого формата обычно имеют расширения .pem, .crt, или .cer. Скопируйте и вставьте цепочку сертификатов в следующей последовательности: Личный сертификат → Промежуточный CA → Root CA. Данные в поле Certificate необходимо вставлять, включая теги —–BEGIN CERTIFICATE—– и —–END CERTIFICATE—–. Цепочки сертификатов должны быть вставлены слитно.В конце цепочки сертификатов должна быть пустая строка.Откройте файл с приватным ключом (.key) в приложении «Блокнот». Скопируйте и вставьте ключ, включая теги —–BEGIN PRIVATE KEY—– и —–END PRIVATE KEY—–. Нажмите «Создать SSL-сертификат». Сертификат появится в разделе «SSL-сертификаты», а если добавление происходило в момент создания ресурса – сертификат также привяжется к ресурсу.
Подключение «Let’s Encrypt» сертификата
1. Создайте CDN-ресурс с собственным значением персонального домена. 2. Добавьте CNAME-запись в настройках DNS домена.
Прикрепление личного сертификата к ресурсу
Прикрепить к ресурсу сертификат, добавленный в разделе «SSL-сертификаты», можно в настройках ресурса при его создании или редактировании. Уведомления об истечении срока действия SSL-сертификатов, добавленных в раздел «SSL-сертификаты», отображаются в личном кабинете и пересылаются на почту пользователям аккаунта с ролями «Администратор» и «Инженер». Важно! Let’s Encrypt сертификаты, выпущенные в настройках CDN-ресурса, продлеваются автоматически, поэтому уведомлений об истечении срока действия таких сертификатов не предусмотрено. Пользователи уведомляются по почте: При входе в личный кабинет будет отображаться напоминание с указанием на сертификат, подлежащий обновлению:Раздел «SSL-сертификаты» будет отмечен восклицательным знаком, если есть уже истекшие сертификаты или те, которые истекут в ближайшие 14 дней: В разделе SSL-сертификаты напротив сертификатов, нуждающихся во внимании, будут стоять специальные символы:
Удаление личного SSL-сертификата
Чтобы удалить сертификат, нажмите на знак трех точек напротив нужного сертификата и выберите «Удаление».Обратите внимание! Удаление сертификатов, которые используются в CDN-ресурсах, невозможно. Если вы хотите удалить такой сертификат, замените его в настройках CDN-ресурса на другой SSL-сертификат.
Установка SSL сертификата на все компьютеры домена с помощью групповых политик | Windows для системных администраторов
Рассмотрим процедуру централизованной установки сертификата на компьютеры домена и добавление его в список доверенных корневых сертификатов с помощью групповых политик. После распространения сертификата все клиентские устройства будут доверять сервисам, которые подписаны данным сертификатом. В нашем случае, мы распространим самоподписанный SSL сертификат Exchange (роль Active Directory Certificate Services в доменен не развернута) на компьютеры пользователей в Active Directory.Если вы используете самоподписанный SSL сертификат для своего сервера Exchange, то на клиентах, при первом запуске Outlook будет появляться сообщение, что сертификат не доверенный и пользоваться им небезопасно.Чтобы убрать это предупреждение, нужно на компьютере пользователя добавить сертификат Exchange в список доверенных сертификатов системы. Это можно сделать вручную (либо путем интеграции сертификата в корпоративный образ ОС), но гораздо более проще и эффективнее автоматически распространить сертификат с помощью возможностей групповых политик (GPO). При использовании такой схемы распространения сертификатов, все необходимые сертификат будет автоматически устанавливаться на все старые и новые компьютеры домена.В первую очередь, нам нужно экспортировать самоподписанный сертификат с нашего Exchange сервера. Для этого на сервере откройте консоль mmc.exe и добавьте в нее оснастку Certificates (для локального компьютера).Перейдите в раздел Certificates (Local Computer) -> Trusted Root Certification Authorities -> Certificates.В правом разделе найдите ваш сертификат Exchange и в контекстном меню выберите AllTasks ->Export.В мастере экспорта выберите формат DER encoded binary X.509 (.CER) и укажите путь к файлу сертификата.Итак, вы экспортировали SSL сертификат Exchange в CER файл. Нужно поместить сертификат в сетевой каталог, куда у всех пользователей должен быть доступ на чтение (вы можете ограничить доступ к каталогу с помощью NTFS разрешений, или дополнительно скрыть его с помощью ABE). К примеру, пусть путь к файлу сертификата будет таким: \msk-fs01GroupPolicy$Certificates. Перейдем к созданию политики распространения сертификата. Для этого, откройте консоль управления доменными политиками Group Policy Management (gpmc.msc). Чтобы создать новую политику, выберите OU на который она будет действовать (в нашем примере это OU с компьютерами, т.к. мы не хотим, чтобы сертификат устанавливался на сервера и технологические системы) и в контекстном меню выберите Create a GPO in this domain and Link it here…Укажите имя политики (Install-Exchange-Cert) и перейдите в режим ее редактирования.В редакторе GPO перейдите в раздел Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Public Key Policies –> Trusted Root Certification Authorities (Конфигурация компьютера –> Конфигурация Windows –> Параметры безопасности –> Политики открытого ключа –> Доверенные корневые центры сертификации).В левой части окна редактора GPO щелкните ПКМ и выберите пункт меню Import.Укажите путь к импортируемому файлу сертификата, который мы разместили в сетевом каталоге.В соответствующем шаге мастера (Place all certificates in the following store) обязательно укажите, что сертификат нужно разместить в разделе TrustedRootCertificationAuthorities (Доверенные корневые центры сертификации).Политика распространения сертификатов создана. Возможно более точно нацелить ( таргетировать) политику на клиентов с помощью Security Filtering (см. ниже) или WMI фильтрации GPO.Протестируйте политику, выполнив на клиенте обновление политик командой (gpupdate /force). Проверьте что ваш сертификат появился в списке доверенных сертификатов. Это можно сделать в оснастке управления сертификатами (раздел Trusted Root Certification Authorities -> Certificates) или в настройках Internet Explorer (Internet Options -> Content ->Certificates-> Trusted Root Certification Authorities или Свойства обозревателя -> Содержание -> Сертификаты -> Доверенные корневые центры сертификации).Вы можете проверить, что в браузере при открытии вашего HTTPS сайта (в нашем примере это Exchange OWA) больше не появляется предупреждение о недоверенном SSL сертификате. Теперь при настройке Outlook на ваш почтовый сервер Exchange (в Outlook 2021 ручная настройки почтового сервера возможна только через реестр) в программе перестанет появляться окно с предупреждением о недоверенном сертификате.Если вы хотите, чтобы политика распространения сертификата применялась только к компьютерам (пользователям) в определенной группе безопасности, выберите в консоли Group Policy Management вашу политику Install-Exchange-Cert. На вкладке Scope в секции Security Filtering удалите группу Authenticated Users и добавьте вашу группу безопасности (например, AllowAutoDeployExchCert). Если прилинковать эту политику на корень домена, ваш сертификат будет автоматически распространен на все компьютеры, добавленные в группу безопасности.Одной политикой вы можете распространить сразу несколько клиентских SSL сертификатов. Подробную информацию о сертификатах, которые распространяются вашей политикой можно посмотреть в консоли GPMC на вкладке Settings. Как вы видите, отображаются поля сертификата Issued To, Issued By, Expiration Date и Intended Purposes.Если на компьютерах нет доступа в интернет, таким образом вы можете распространить на все устройства домена доверенные корневые сертификаты. Но есть более простой и правильный способ обновления корневых и отозванных сертификатов в изолированных доменах.Итак, вы настроили политику автоматического распространения сертификата на все компьютеры домена (на определенный организационной юнит или группу безопасности домена). Сертификат будет автоматически устанавливаться на все новые компьютеры, не требуя от служб техподдержки никаких ручных действий (в целях безопасности желательно периодически проверять списки доверенных сертификатов на клиентах на поддельные и отозванные).
Шаг 1. Зайдите в раздел настройки подписи
Для начала, откройте программное обеспечение «1С:Предприятие» с конфигурацией, в которой был настроен сервис «1С: ЭДО». В главном меню (с левой стороны экрана) выберите пункт «Администрирование». В открывшемся меню – пункт «Обмен электронными документами». Нажмите на изображение, чтобы увеличитьРис. 1
На вашем экране появится окно «Настройка обмена электронными документами». Выберите пункт «Настройки электронной подписи и шифрования». Нажмите на изображение, чтобы увеличитьРис. 2
Шаг 2. Добавьте сертификат
Откроется список зарегистрированных в программе сертификатов. Проверьте, есть ли в данном списке действующий (срок работы сертификата указан в столбце «Действителен до»). Если он просрочен, нажмите кнопку «Добавить». Нажмите на изображение, чтобы увеличитьРис. 3
Сертификат нужно выбрать тот, который уже установлен на компьютере. Для этого в контекстном меню, выберете пункт «Из установленных на компьютере». Нажмите на изображение, чтобы увеличитьРис. 4
На экране появится окно с уведомлением о добавлении нового сертификата, нажмите «Да». Нажмите на изображение, чтобы увеличитьРис. 5
Шаг 3. Выберете сертификат из хранилища «Личные»
Сразу после добавления откроется окно со списком всех сертификатов, установленных в хранилище «Личные».
Чтобы увидеть список всех электронных подписей, установите галочку в левом нижнем углу окна (в пункте «Показывать все сертификаты»). Из полного списка выберете действующий сертификат организации и нажмите кнопку «Далее». Нажмите на изображение, чтобы увеличитьРис. 6
В следующем окне проверьте правильность указанной организации.
Поле «Пользователь» оставьте пустым.
Введите пароль от сертификата (если такой был установлен), если пароля нет – оставить поле пустым и нажимаем кнопку «Добавить». Нажмите на изображение, чтобы увеличитьРис. 7
Если все действия были выполнены верно, в следующем окне вы увидите список с добавленным сертификатом. Далее следует зарегистрировать сертификат в профиле настроек ЭДО.
Нажмите на изображение, чтобы увеличитьРис. 8
Шаг 4. Зарегистрируйте сертификат в профиле ЭДО
В главном меню выберете пункт «Администрирование» и нажмите на пункт «Профили настроек ЭДО» (раздел «Обмен с контрагентами»). Нажмите на изображение, чтобы увеличитьРис. 9
В окне «Профили настроек ЭДО» выберете профиль, в котором необходимо обновить сертификат (их может быть несколько: выбираем первый) и запустите его двойным кликом. Нажмите на изображение, чтобы увеличитьРис. 10
Откроется окно настройки профиля. С вкладки «Виды электронных документов» перейдите на вкладку «Сертификаты организации» и нажмите «Добавить». Нажмите на изображение, чтобы увеличитьРис. 11
В списке выбирайте действующий сертификат, который вы добавили ранее.
Нажмите на изображение, чтобы увеличитьРис. 12
Шаг 5. Проверьте сертификат
Если предыдущие шаги сделаны правильно, появится окно с запросом проверки сертификата.
Введите пароль (который вводили ранее, при добавлении сертификата) и нажмите кнопку «Проверить и продолжить». Рис. 13
После проверки сертификата программа предложит подписать пользовательское соглашение.
Шаг 6. Подпишите пользовательское соглашение
Необходимо снова ввести пароль или оставить поле пустым (если пароль до этого не устанавливался), и нажать кнопку «Подписать». Рис. 14
Программа некоторое время будет регистрировать сертификат на сервере оператора ЭДО (в среднем занимает 3-5 минут). Рис. 15
Шаг 7. Завершите добавление сертификата
В результате появится окно профиля настроек ЭДО, в котором добавлен действующий сертификат. Нажмите кнопку «Записать и закрыть». Нажмите на изображение, чтобы увеличитьРис. 16
Если в программе зарегистрировано несколько профилей настроек (например, 1С-ЭДО и 1С-Такском), процедуру добавления сертификата выполните для каждого профиля отдельно. Для тех организаций, которые ведут учет за несколько юридических лиц в одной базе, необходимо обновить сертификаты для каждой организации и зарегистрировать в каждом профиле.
Итоги
Установить корневой сертификат удостоверяющего центра можно двумя способами. Наша пошаговая инструкция позволит вам совершить эту операцию быстро и корректно.