Внутренний центр сертифтикации для документов и 1С? — Хабр Q&A

Внутренний центр сертифтикации для документов и 1С? — Хабр Q&A Сертификаты
На чтение 15 мин. Просмотров 31 Опубликовано
Содержание
  1. Что это такое?
  2. Замена cacert.pem
  3. Добавление с помощью обработки
  4. Добавление текстовым редактором
  5. В браузере internet explorer
  6. Внутренний центр сертифтикации для документов и 1с?
  7. Как получить сертификат для сервиса 1с отчетность?
  8. Как продлить личный сертификат 1с отчетность?
  9. Как создать файл .pfx из сертификата и закрытого ключа?
  10. Конвертация ssl сертификатов посредством openssl
  11. Конвертация скриптом openssl-toolkit
  12. Ошибки при настройке и продлении сертификата
  13. Работа с панелью управления
  14. Сертификат не найден или недоступен
  15. Сертификат руководителя не валиден
  16. Способы конвертации
  17. Установка и настройка сертификата для 1с отчетность
  18. Установка сертификата с закрытым ключом
  19. Установка через меню «установить личный сертификат»
  20. Форматы сертификатов
  21. Шаг 1
  22. Шаг 10
  23. Шаг 2
  24. Шаг 4
  25. Шаг 5
  26. Шаг 6
  27. Шаг 9
  28. Экспорт открытого ключа сертификата

Что это такое?

IIS 8 – встроенный веб-сервер доступный на VPS Windows, с помощью которого вы можете располагать сайты в сети Интернет, работать с большим стеком протоколов, создать собственный файл-сервер и использовать многие другие возможности продукта.

Управление возможно как из приложения рабочего стола – для новичков, так и из консоли – для опытных системных администраторов. Установка данного свидетельства на сервер позволит защитить ваши данные и повысит уровень доверия клиентов. В нашей инструкции мы подробно рассмотрим этот процесс.

Замена cacert.pem

Самый быстрый вариант. Подойдет тем, кто ранее не вносил изменения в файл cacert.pem. Нужно взять файл cacert.pem, где сертификат DigiCert уже добавлен (архив доступен тут: cacert.pem), и заменить им файл с аналогичным именем в bin директории.

Добавление с помощью обработки

Обработка поможет тем, кто использует файловый вариант работы 1С:Предприятия и не хочет искать файл cacert.pem. Достаточно запустить обработку (архив с обработкой доступен тут: обработка.epf) и нажать на кнопку “Обновить cacert.pem”.

Если возникнет следующее предупреждение:

То, скорее всего, вам не хватает прав и нужно запустить “1С:Предприятие” от имени администратора, нажав правой кнопкой мыши на иконке и выбрав “Запуск от имени администратора”:

Добавление текстовым редактором

Универсальный вариант. Добавить информацию в cacert.pem можно любым текстовым редактором: например Notepad (Блокнот) в OS Windows или nano в ОС Linux.

Алгоритм добавления сводится к добавлению подготовленного текста сертификата в конец файла cacert.pem:

  1. В выбранном текстовом редакторе копируем весь текст из pem файла сертификата DigiCert (архив доступен тут: digicert.pem).
  2. Вставляем в конец файла cacert.pem скопированный текст, сохраняем cacert.pem.

В браузере internet explorer

  • Откройте Internet Explorer.
  • Нажмите кнопку «Сервис» («шестерёнка» в правом верхнем углу окна).
  • Выберите пункт «Свойства браузера».
  • Зайдите на вкладку «Содержание» — кнопка «Сертификаты».
  • В открывшемся окне на вкладке «Личные» находится Ваш сертификат.
  • Откройте сертификат, который нужно скопировать, дважды щёлкнув на него правой клавишей мышки. 
  • На вкладке «Состав» нажмите «Копировать в файл».
  • В «Мастере экспорта сертификатов» нажмите «Далее» и выберите пункт «Да, экспортировать закрытый ключ». Нажмите «Далее».
  • На следующем этапе поставьте галочки у пунктов «Включить по возможности все сертификаты в путь сертификации» и «Экспортировать все расширенные свойства», остальные галочки необходимо убрать. Нажмите «Далее».
  • Поставьте галочку и задайте пароль для экспортируемого файла. Данный пароль не рекомендуется сообщать по электронной почте. Нажмите «Далее».
  • Укажите имя файла, выберите путь сохранения, с помощью кнопки «Обзор», укажите имя файла и нажмите «Сохранить», «Далее», затем нажмите «Готово».

Внутренний центр сертифтикации для документов и 1с?

В довольно крупной организации внедряется 1С Документооборот. Руководство хочет использовать электронную подпись (пока не совсем понятно как).

Соответственно для этой задачи развернули домен с 0 (задача стояла давно – нашелся повод). Установили центр сертификации. Работает, доменным юзерам сертификаты выдает.

Вопрос: как подписывать документы?
Поставили VipNet CSP (оно бесплатно), посмотрели инструкцию, по ней все должно работать, по факту – мы поняли что служба сертификации не стартует, нет корневого сертификата когда выбираем при установке роли Infotecs cryptoprovaider

Может есть другие способы пользоваться самоиздаваемыми сертификатами?
Может быть 1С умеет просто брать из хранилища реестра данные о сертификате, и все наши потуги излишни?

P.S.
Тут от руководства мы не получили явных пожеланий, потому прорабатываем два вопроса –
1) 1С подписывает внутри себя и
2) подписывать отдельно криптопровайдером файлики и засовывать их в 1С.

Как получить сертификат для сервиса 1с отчетность?

Чтобы получить 1С отчетность сертификат (квалифицированный сертификат электронной подписи (ЭП)) для обмена юридически значимыми документами, необходимо совершить следующие шаги.

1. Запустить мастер «Подключение к 1С-Отчетности» (элемент справочника «Организации»).

2. Получить, установить и настроить на рабочую машину свежую версию криптопровайдера.

Про сертификаты:  Материнский капитал в 2021 году: размер на первого и второго ребенка, как оформить и использовать? | Правио (Prav.io)

В настоящее время платформа «1С: Предприятие 8» поддерживает два сертифицированных продукта:

  • ViPNet CSP (бесплатная);
  • КриптоПро CSP (платная с триальным периодом),

которые после скачивания устанавливаются и настраиваются согласно техдокументации на них. Установленный криптопровайдер указывается в настройках ИБ, для чего следует перейти в раздел «Администрирование» – «Обмен электронными документами» – «Настройки электронной подписи и шифрования» – «Программы» и, нажав кнопку «Добавить», выбрать из списка установленный вами криптопровайдер, далее «Записать и закрыть».

3. Указать хозяйствующий субъект, подключаемый к «1С-Отчетности», заполнив его реквизиты:

  • Ф.И.О. руководителя;
  • наименование, КПП, ОГРН, юридический адрес (для юридического лица);
  • коды ФНС, ПФР, ФСС.

и данные о владельце ключа ЭП (как правило, руководителе или главбухе). Если у вас подключен сервис «1С:Контрагент», то данные подгружаются из него в автоматическом режиме, при этом мастер не отображает поля для адреса и должности руководителя (сведения из госреестров – ЕГРЮЛ и ЕГРИП, – предоставляются этим сервисом).

Если на ПК установлен сторонний сертификат ЭП на эту организацию, то из него могут быть заполнены:

  • краткое наименование юридического лица;
  • ОГРН;
  • должность и подразделение (для юридического лица);
  • регистрационный номер ФСС (при наличии);
  • адрес электронной почты.

при условии, что эти данные не были внесены в ИБ и не подгрузились из сервиса «1С:Контрагент».

Как продлить личный сертификат 1с отчетность?

Личный сертификат имеет ограниченный срок годности – 365 дней, после чего его следует продлить, точнее, переиздать. К тому времени, как истекают или истекли сроки действия сертификата и (или) лицензии, станут активными флажки:

  • «Продление сертификата»;
  • «Продление лицензии на 1С-Отчетность»,

и тогда флажок «Переиздание сертификата» будет установлен автоматически. Этот флажок активизируется также автоматически в случае изменения:

  • краткого наименования юридического лица;
  • кода ОГРН;
  • электронной почты;
  • региона (при работе с алкогольной продукцией);
  • владельца ЭП;
  • СНИЛСа владельца ЭП;
  • подразделения, должности владельца.

Переиздание сертификата ЭП сопровождается перегенерацией ключа ЭП. В случае если

  • прежний сертификат «1С-Отчетности» действителен;
  • прежний сертификат оформлен на руководителя фирмы или ПБОЮЛа, и переиздаваемых сертификат также оформляется на этих законных представителей;
  • ключевые атрибуты сертификата (Ф.И.О., СНИЛС, ИНН фирмы) не изменились,

то продлить сертификат можно в электронном виде, без встреч для подтверждения личности и т.п.

Получив заявку на переиздание сертификата, представитель ЭДО свяжется с вами по указанным контактам. После одобрения заявки можно завершить настройку в вышеописанном порядке.

Как создать файл .pfx из сертификата и закрытого ключа?

Вам не нужно openssl или makecert или что-либо из этого. Вам также не нужен личный ключ, предоставленный вам вашим CA. Я могу почти гарантировать, что проблема в том, что вы ожидаете, что сможете использовать файлы ключей и сертификатов, предоставленные вашим ЦС, но они не основаны на «способе IIS». Я так устал видеть плохую и сложную информацию здесь, что решил написать в блоге тему и решение. Когда ты поймешь, что происходит, и увидишь, как это легко, ты захочешь меня обнять 🙂

Сертификаты SSL для IIS с PFX раз и навсегда – объяснение SSL и IIS – http://rainabba.blogspot.com/2021/03/ssl-certs-for-iis-with-pfx-once-and-for.html

Используйте пользовательский интерфейс IIS «Сертификаты сервера» для «Генерации запроса сертификата» (подробности этого запроса выходят за рамки данной статьи, но эти детали являются критическими). Это даст вам CSR, подготовленный для IIS. Затем вы передаете этот CSR в свой CA и запрашиваете сертификат. Затем вы берете файл CER / CRT, который они вам дают, возвращаетесь в IIS, «Полный запрос сертификата» в том же месте, где вы сгенерировали запрос. Он может попросить .CER, и у вас может быть .CRT. Это одно и то же. Просто измените расширение или используйте .Расширение выпадающего, чтобы выбрать ваш .CRT. Теперь укажите правильное «понятное имя» (* .yourdomain.com, yourdomain.com, foo.yourdomain.com и т. Д.). ЭТО ВАЖНО! Это ДОЛЖНО совпадать с тем, для чего вы настроили CSR, и с тем, что вам предоставил ваш CA. Если вы запросили подстановочный знак, ваш ЦС должен был одобрить и сгенерировать подстановочный знак, и вы должны использовать его. Если ваш CSR был сгенерирован для foo.yourdomain.com, вы ДОЛЖНЫ предоставить его на этом этапе.

Конвертация ssl сертификатов посредством openssl

OpenSSL — это надежный, коммерческий и полнофункциональный инструментарий для протоколов Transport Layer Security (TLS) и Secure Sockets Layer (SSL). А также библиотека криптографии общего назначения. Конвертация с использованием библиотеки OpenSSL считается одним из самых безопасных способов: все данные будет сохранены непосредственно на устройстве, на котором будут выполняться операции по конвертированию.

Про сертификаты:  🔐 Как создать самоподписанный сертификат SSL |

Для того чтобы воспользоваться им, вам необходимо перейти в командную строку и выполнить команды. 

Предоставленные ниже примеры команд OpenSSL позволяют конвертировать сертификаты и ключи в нужный формат.

Конвертировать PEM в DER можно посредством команды:

openssl x509 -outform der -in site.crt -out site.der

Аналогично, для других типов:

PEM в P7B

openssl crl2pkcs7 -nocrl -certfile site.crt -out site.p7b -certfile site.ca-bundle

PEM в PFX

openssl pkcs12 -export -out site.pfx -inkey site.key -in site.crt -certfile site.ca-bundle

Обращаем ваше внимание, что после выполнения команды, будет запрошена установка пароля ключа.

DER в PEM 

openssl x509 -inform der -in site.der -out site.crt

P7B в PEM

openssl pkcs7 -print_certs -in site.p7b -out site.cer

P7B в PFX

openssl pkcs7 -print_certs -in site.p7b -out certificate.ceropenssl pkcs12 -export -in site.cer -inkey site.key -out site.pfx -certfile site.ca-bundle

PFX в PEM 

openssl pkcs12 -in site.pfx -out site.crt -nodes

Конвертация скриптом openssl-toolkit

OpenSSL ToolKit — скрипт, который облегчает работу с библиотекой OpenSSL. Работа со скриптом является безопасным решением, т.к сертификаты и ключи сертификата никуда не передаются, а используются  непосредственно на вашем сервере.

Ошибки при настройке и продлении сертификата

При возникновении ошибки любого типа рекомендуется почистить кэш системы «1С», проверить права пользователя, произвести перезагрузку, проверить кодировку (при работе под ОС «Windows»). Решить проблему ошибок позволяет:

  • запуск встроенного инструмента диагностики и конфигуратора;
  • запуск «1С» в тонком клиенте;
  • изменения переменных сред, параметров системного реестра,

для чего настоятельно рекомендуется обратиться к помощи квалифицированных администраторов. Рассмотрим ошибки, которые пользователь сможет устранить сам.

Работа с панелью управления

После заказа SSL-сертификата через панель управления 1cloud , необходимо установить полученные сертификаты .CRT и .CA на сервер

После успешного заказа SSL-сертификата файлы для его установки появятся в панели управления 1cloud (меню SSL):

Сертификат не найден или недоступен

Если при попытке отправки отчета появляется сообщение о том, что не удалось найти сертификат ЭП, то необходимо установить, в указанной ли папке находится сертификат, правильно ли указан путь. Следует убедиться в том, что в настройках криптографии, в разделе обмена электронными документами, имеется в списке искомый сертификат.

Также может помочь решить проблему:

  • указание сертификата вручную;
  • переустановка сертификата, повторная установка в реестр
  • установка в криптопровайдере сертификата в личные.

Стоит попробовать выйти из учетной записи и зайти снова, далее в отчетах настроек обмена с государственными органами выбрать учетную запись и инициировать автоматическую настройку. Наконец, если ничего не помогает, остается лишь перевыпустить сертификат.

Сертификат руководителя не валиден

Еще одна, достаточно распространенная ошибка: при попытке отправить отчетность система выдает сообщение о том, что сертификат не валиден, а средство криптографической защиты информации CryptoPro сообщает, что целостность не гарантирована. Для решения этой задачи следует отредактировать реестр «Windows» через «REGEDIT».

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 1CryptDllImportPublicKeyInfoEx1.2.643.7.1.1.1.1;
  • HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftCryptographyOIDEncodingType 1CryptDllImportPublicKeyInfoEx1.2.643.7.1.1.1.1 (при 32-разрядной ОС ее может не быть),

после чего перезагрузить компьютер. Проблема должна решится.

Способы конвертации

Существует несколько способов конвертации сертификатов, которые отличаются между собой только простотой конвертирования и уровнем безопасности. Мы расскажем о трех из них.

Установка и настройка сертификата для 1с отчетность

После обработки заявки и получения сертификата ЭП установите его в контейнер, нажав кнопку «Установить сертификат» (при этом статус заявки отобразится как «Исполнено»). Теперь вы можете завершить настройку, следуя подсказкам мастера (кнопка «Настроить автоматически»).

Для старта работы следует отправить в систему расписку в том, что вы получили новый сертификат ЭП (кнопка «Отправить расписку»), причем при подписании ее также может возникнуть необходимость ввода пароля закрытого ключа сертификата ЭП. Если по ходу настройки система задает вопросы, то следует отвечать утвердительно. После того, как появится сообщение об успешном подключении, вам будут доступен весь функционал «1С-Отчетность»:

  • отправка отчетной документации
  • электронный документооборот с подключенными контролирующими органами.

Если потребуется одновременно использовать несколько программные решение от «1С» одновременно, то вышеописанные шаги по подключению и настройке следует повторить. Пользователи могут бесплатно подключать сколько угодно программ, помня о следующих нюансах:

  • система дает возможность определять состав направлений документооборота по каждой программе;
  • по умолчанию не исключены пересечения направления документооборота.
  • документы из ФНС поступают на ту учетную запись, по которой велось последнее по времени электронное взаимодействие. Избежать путаницы поможет подготовка и отправка Уведомления о получателе документов в сервисе «1С-Отчетность».
Про сертификаты:  Управление сертификатами | UserGate Support & Service

Также следует настроить доступ к внешним (ФНС, ПФР, Росстатом, ФСРАР, ФСС, Росприроднадзором, Банком России и т.п.) и вспомогательными ресурсами, осуществляющих автоматические загрузку, подключение внешних модулей, обновление, техподдержку, установку криптопровайдеров):

  • с рабочего места пользователя (при файловом режиме работы);
  • со стороны сервера «1С» (при режиме «клиент-сервер»).

Установка сертификата с закрытым ключом

  • Откройте .pfx файл. Сразу запустится «Мастер импорта сертификатов».
  • Укажите хранилище «Текущий пользователь» и нажмите «Далее», затем снова «Далее».
  • Введите пароль, который указывали при экспорте (пункт 10) и поставьте галочку на пункте «Пометить этот ключ как экспортируемый…», иначе контейнер нельзя будет скопировать в дальнейшем. Нажмите «Далее».
  • Выберите пункт «Поместить все сертификаты в следующее хранилище», нажмите на кнопку «Обзор», выберите «Личное» и нажмите на кнопку «ОК». Нажмите «Далее», а затем «Готово».
  • В окне КриптоПро выберите носитель, на который хотите сохранить контейнер. При необходимости задайте пароль.
  • Для корректной работы сертификата со встроенной лицензией переустановите сертификат в контейнер.

Установка через меню «установить личный сертификат»

  • Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer). 
  • В меню Пуск выберите пункт «КРИПТО-ПРО», запустите приложение «КриптоПро CSP».
  • Перейдите на вкладку «Сервис» и нажмите кнопку «Установить личный сертификат»:
  • В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):
  • В следующем окне нажмите кнопку «Далее»; в окне Сертификат для установки нажмите «Далее».
  • Поставьте галку в окне «Найти контейнер автоматически» (в нашем примере контейнер находится в Реестре компьютера) и нажмите «Далее»:
  • В следующем окне отметьте пункт «Установить сертификат (цепочку сертификатов) в контейнер» и нажмите «Далее»:
  • В окне Завершение мастера установки личного сертификата нажмите «Готово».
  • Если КриптоПро CSP запрашивает pin-код от контейнера, введите нужный код или попробуйте стандартные pin-коды носителей:

Rutoken — 12345678

eToken /JaCarta  – 1234567890

  • Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите «Да»:
  • Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Форматы сертификатов

Существует четыре основных формата сертификатов:

PEM — популярный формат используемый Центрами Сертификации для выписки SSL-сертификатов.

Основные расширения этого типа .pem, .crt, .cer, .key. В файлах содержатся строки вида

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY ------

Сертификаты PEM подходят для установки на веб-серверы nginx, apache2.

DER — это бинарная форма сертификата PEM.

Основные расширения этого типа  сертификата .der .cer

Сертификаты DER подходят для установки на серверы Java.

P7B. Файлы P7B кодируются в формате Base64 и имеют расширение .p7b или .p7c.

В файлах содержатся строки вида

-----BEGIN PKCS7-----
-----END PKCS7-----

Сертификаты P7B подходят для установки на серверы MS Windows, Java Tomcat

PFX — это сертификат в бинарном формате, выданный для домена, включающий в себя сертификат, цепочку сертификатов (корневые сертификаты) и приватный ключ. Имеют расширение .pfx или .p12.

Сертификаты PFX подходят для установки на серверы Windows, в частности Internet Information Services(IIS).

Шаг 1

Откройте
командную строку (Win R)
и наберите в ней
mmc
для открытия
Корня консоли (Microsoft Management Console)

Шаг 10

Нажмите
OK
и завершите Мастер импорта сертификатов.

Шаг 2

В меню
Средства (Tools)
выберите
Диспетчер служб IIS (Internet Information Services Manager).

Шаг 4

В центральной части окна откройте меню
Сертификаты Сервера (Server Certificates)

Шаг 5

Во вкладке
Выбор компьютера (Select Computer)
выберите
Локальный компьютер (Local Computer)
и нажмите
Готово (Finish)

Шаг 6

Закройте оснастку
Add or Remove Snap-in
нажатием кнопки ОК.

Шаг 9

В следующей вкладке выберите
Поместить все сертификаты в следующее хранилище (Place all certificates in the following store)
, нажмите
Обзор (Browse)
и выберите директорию
Промежуточные центры сертификации (Intermediate Certification Authorities)

Экспорт открытого ключа сертификата

  • Для этого, повторив пункт 1-5, следует выделить нужный сертификат и нажать на кнопку «Экспорт».
  • В окне «Мастер экспорта сертификатов» нажать на кнопку «Далее». Затем отметить пункт «Нет, не экспортировать закрытый ключ» и выбрать «Далее».
  • В окне «Формат экспортируемого файла» выбрать «Файлы X.509 (.CER) в кодировке DER» и нажать на кнопку «Далее».
  • В следующем окне необходимо кликнуть по кнопке «Обзор», указать имя и каталог для сохранения файла. Затем нажать на кнопку «Сохранить».
  • В следующем окне нажать на кнопку «Далее», затем «Готово». Дождаться сообщения об успешном экспорте.
  • Заархивируйте полученные файлы форматов .pfx и .cer.
iis ssl iis ssl настройка iis установка сертификата ssl ssl сертификат iis как установить ssl сертификат на iis установка ssl iis
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат