– Регистрация сертификатов криптоабонентов клиента СЭД;
– Регистрация сертификатов криптоабонентов сервера СЭД;
6.2. Генерация закрытого ключа и запроса на сертификат
6.2.1. Генерация закрытого ключа
6.2.1.1. Генерация запроса на сертификат и закрытого ключа (обычная)
Для генерации закрытого ключа выполните следующие действия.
- Откройте пункт меню «Администрирование – Криптозащита – Генерация ключей ЭЦП и запроса на сертификацию».
- В окне «Генерация запроса на сертификат и закрытого ключа» заполните поля (см. рисунок 3):
– «Наименование абонента» – введите фамилию имя и отчество владельца закрытого ключа или наименование службы/сервиса/АРМ/сервера для которого запрашивается сертификат. Поле обязательно для заполнения.
– «АРМ абонента сертификата» – выберите из списка АРМ абонента сертификата (по умолчанию указан текущий АРМ пользователя).
– «Криптобиблиотека» – определяется тип используемой СКЗИ (по умолчанию тип уже определён как Ms Crypto API 2.0, что соответствует криптосистеме КриптоПро CSP 2.0/3.0/3.6).
– «Генерировать запрос на ЕУС (единый универсальный сертификат)» – при установке данного флага будет генерироваться запрос на единый универсальный сертификат (см. п. 6.2.1.2). По умолчанию флаг установлен. Для генерации обычного запроса флаг нужно снять.
Рисунок 3. Генерация запроса на сертификат и закрытого ключа
- Для перехода на следующий шаг мастера нажмите кнопку «Далее>».
Рисунок 4. Генерация запроса на сертификат
- В появившемся окне (см. рисунок 4) введите значения:
– «Идентификатор ключа (Фамилия Имя Отчество владельца ключа)» – вводится фамилия, имя, отчество владельца сертификата в виде «Фамилия Имя Отчество» или наименование службы/сервиса/АРМ/сервера, для которого запрашивается сертификат. Поле обязательно для заполнения. По умолчанию заполняется из поля «Наименование абонента» предыдущего окна.
– «Фамилия» – заполняется фамилия владельца сертификата с большой буквы в одно слово без пробелов. Поле обязательно для заполнения. По умолчанию заполняется значением из поля «Идентификатор ключа».
– «Имя Отчество» – имя и отчество владельца сертификата в формате «Имя Отчество» в два слова, разделенных одним пробелом. Поле обязательно для заполнения. По умолчанию заполняется значением из поля «Идентификатор ключа».
– «Инициалы» – инициалы владельца сертификата без пробелов. На АРМ клиента поле не заполняется.
– «Страна» – заполняется двухбуквенным кодом страны в соответствии с ISO 3166, в которой зарегистрирована организация. Поле обязательно для заполнения. Для России по умолчанию указывается RU.
– «Регион» – наименование региона, в котором зарегистрирована организация. Заполняется значением «Наименование» из справочника «Регионы РФ». Поле обязательно для заполнения. Список значений поля «Регион» приведен в таблице 3.
– «Город» – заполняется наименованием города (населённого пункта), в котором зарегистрирована организация. Поле обязательно для заполнения.
– «Должность» – должность владельца сертификата. Поле обязательно для заполнения.
– «Организация» – наименование организации владельца сертификата. Поле обязательно для заполнения. По умолчанию заполняется наименованием АРМ абонента сертификата.
– «Формализованная должность» – на АРМ клиента поле не заполняется.
– «Подразделение 1-го уровня» – организационное подразделение владельца сертификата1-го уровня. При генерации обычного запроса поле необязательно для заполнения.
– «Подразделение 2-го уровня» – организационное подразделение владельца сертификата 2-го уровня. Поле необязательно для заполнения
– «E-mail» – адрес электронной почты владельца сертификата. Поле обязательно для заполнения.
– «ИНН» – индивидуальный номер налогоплательщика. Поле доступно для заполнения при генерации запроса на ЕУС (см. п. 6.2.1.2).
– «КПП» – код причины постановки на учет. Поле доступно для заполнения при генерации запроса на ЕУС (см. п. 6.2.1.2).
– «Экспортируемый закрытый ключ» – указывается возможность переноса ключа ЭЦП на другой носитель (если выбрано значение «нет», то контейнер с ключом нельзя будет копировать). По умолчанию указано значение «да».
– «Адрес» – на АРМ клиента поле не заполняется.
– «Учетный номер организации» – поле доступно для заполнения при генерации запроса на ЕУС (см. п. 6.2.1.2).
– «Идентификатор Landocs» – на АРМ клиента поле не заполняется.
- Заполнив все значения диалога своими данными, нажмите кнопку «Далее>».
Таблица 3. Список названий регионов Российской Федерации
№ | Название региона |
Республика Адыгея (Адыгея) | |
Республика Башкортостан | |
Республика Бурятия | |
Республика Алтай | |
Республика Дагестан | |
Республика Ингушетия | |
Кабардино-Балкарская Республика | |
Республика Калмыкия | |
Карачаево-Черкесская Республика | |
Республика Карелия | |
Республика Коми | |
Республика Марий Эл | |
Республика Мордовия | |
Республика Саха (Якутия) | |
Республика Северная Осетия – Алания | |
Республика Татарстан | |
Республика Тыва | |
Удмуртская Республика | |
Республика Хакасия | |
Чеченская Республика | |
Чувашская Республика – Чувашия | |
Алтайский край | |
Краснодарский край | |
Красноярский край | |
Приморский край | |
Ставропольский край | |
Хабаровский край | |
Амурская область | |
Архангельская область и Ненецкий автономный округ | |
Астраханская область | |
Белгородская область | |
Брянская область | |
Владимирская область | |
Волгоградская область | |
Вологодская область | |
Воронежская область | |
Ивановская область | |
Иркутская область | |
Калининградская область | |
Калужская область | |
Камчатский край | |
Кемеровская область | |
Кировская область | |
Костромская область | |
Курганская область | |
Курская область | |
Ленинградская область | |
Липецкая область | |
Магаданская область | |
Московская область | |
Мурманская область | |
Нижегородская область | |
Новгородская область | |
Новосибирская область | |
Омская область | |
Оренбургская область | |
Орловская область | |
Пензенская область | |
Пермский край | |
Псковская область | |
Ростовская область | |
Рязанская область | |
Самарская область | |
Саратовская область | |
Сахалинская область | |
Свердловская область | |
Смоленская область | |
Тамбовская область | |
Тверская область | |
Томская область | |
Тульская область | |
Тюменская область | |
Ульяновская область | |
Челябинская область | |
Забайкальский край | |
Ярославская область | |
г. Москва | |
г. Санкт-Петербург | |
Еврейская автономная область | |
Ханты-Мансийский автономный округ – Югра | |
Чукотский автономный округ | |
Ямало-Ненецкий автономный округ | |
Иные территории, включая, г. Байконур |
- В форме «Генерация запроса на сертификат Ms Crypto API 2.0» (см. рисунок 5) необходимо установить флаг в поле «Распечатать заявку на получение сертификата ключа ЭЦП», так как только с данной распечатанной формой запрос на регистрацию ключей будет приниматься ТОФК. Запрошенный документ будет выведен в форму MS Word, который далее можно распечатать стандартными средствами MS Word.
Рисунок 5. Генерация запроса на сертификат
- Для создания закрытого ключа и формирования запроса на сертификат нажмите кнопку «Выполнить».
Внимание! Если считыватель закрытого ключа у вас определён как дискета 3.5”, то перед нажатием кнопки «Выполнить» в дисковод необходимо вставить ключевую дискету, на которую будут записаны файлы закрытого ключа. . В случае её отсутствия выведется соответствующее сообщение, и система будет пытаться обратиться к дисководу, пока не будет вставлена дискета.
- Далее появится диалог датчика случайных чисел, формирующего комбинацию закрытого ключа, и форма запроса пароля на сгенерированный ключ (см. рисунок 6).
Рисунок 6. Запрос пароля на сгенерированный ключ
- В случае определения пароля для закрытого ключа его ввод будет необходим перед каждой операцией обращения к функциям криптозащиты, если он не был сохранён в системе. Если пароль для доступа к ключам не используется, можно оставить поля диалога пустыми и нажать «ОК».
10. Когда закрытый ключ клиента СЭД будет сгенерирован (при этом на ключевом носителе будет создан контейнер с закрытым ключом, и в него будут помещены файлы закрытого ключа header.key, masks.key masks2.key name.key primary.key primary2.key), система автоматически сгенерирует запрос на сертификат – файл с расширением *.req и отобразит путь, куда он будет помещён (см. рисунок 7).
Рисунок 7. Директория сохранения запроса на сертификат
11. После определения каталога с запросом на сертификат мастер генерации запроса на сертификат MS Crypto API 2.0 завершит свою работу, и для его закрытия следует нажать кнопку «Готово».
12. Полученный запрос на сертификат следует доставить на сервер СЭД штатными средствами, либо при помощи ЭД «Запрос на издание сертификата» (см. п. 6.2.1.3).
13. На сервере СЭД клиентский запрос на сертификат в электронном виде вместе с бумажной копией доставляется в СВУЦ (сеть ведомственных удостоверяющих центров) для его подтверждения, где на основе отправленного запроса на сертификат будет сформирован сертификат открытого ключа электронно-цифровой подписи (файл с расширением *.cer).
Примечание: Кроме сертификата с открытым ключом клиента СЭД для регистрации криптонастроек необходим открытый ключ корневого сертификата удостоверяющего центра. Без данного сертификата регистрация в системе подписи клиента СЭД невозможна.
14. Сертификат открытого ключа ЭЦП клиента (файл с расширением *.cer) доставляется с сервера СЭД на клиент СЭД, где его необходимо зарегистрировать:
– В случае если ключи ЭЦП клиента еще не настроены, то производится ручная регистрация клиентских сертификатов (см. п. 6.3.1).
– Если на стороне клиента СЭД ключи ЭЦП существуют, то можно произвести автоматическую регистрацию клиентских сертификатов (см. п. 6.3.2).
6.2.1.2. Генерация запроса на ЕУС и закрытого ключа
Для генерации запроса на ЕУС и закрытого ключа выполните следующие действия.
- Откройте пункт меню «Администрирование – Криптозащита – Генерация ключей ЭЦП и запроса на сертификацию».
Рисунок 8. Генерация запроса на сертификат и закрытого ключа
- В окне «Генерация запроса на сертификат и закрытого ключа» заполните поля (см. рисунок 8):
– «Наименование абонента» – введите фамилию имя и отчество владельца закрытого ключа или наименование службы/сервиса/АРМ/сервера для которого запрашивается сертификат. Поле обязательно для заполнения.
– «Наименование организации» – выберите из списка АРМ абонента сертификата (по умолчанию указан текущий АРМ пользователя).
– «Криптобиблиотека» – определяется тип используемой СКЗИ (по умолчанию тип уже определён как Ms Crypto API 2.0, что соответствует криптосистеме КриптоПро CSP 2.0/3.0/3.6).
– «Генерировать запрос на ЕУС (единый универсальный сертификат)» – при установке данного флага будет генерироваться запрос на единый универсальный сертификат и становится доступным поле «Роли владельца сертификата». По умолчанию флаг установлен.
– «Роли владельца сертификата» – в поле отображается список значений из справочника «Роли владельца сертификата» в виде древовидной структуры с возможностью отметить (включить чекбокс) нужные пункты. Для раскрытия ветви дерева нажать «+», для закрытия – нажать «-» возле узла. Для назначения роли нужно отмечать конечные пункты ветви (при этом все вышестоящие узлы отмечаются автоматически). Допускается отмечать несколько пунктов. Для отмены назначенной роли/ролей достаточно снять галочку с родительского узла (при этом все нижестоящие пункты очищаются автоматически). Список ролей зависит от уровня АРМ, на котором формируется запрос на сертификат. На АРМ Сервера доступны все роли, на АРМ Клиента – только записи, у которых поле CertificatePolicies.FK справочника имеет значение «False».
Основные роли, доступные при создании сертификата:
– «Подпись пакетов информационного обмена между системами» – используется для подписи транспортных пакетов при обмене между системами.
– «Подпись запросов на издание сертификатов ключей подписи» – позволяет руководителю подписывать передаваемые в ТОФК запросы на сертификат других сотрудников организации.
– «СЭД. Электронный документооборот» – сертификат предназначен для использования в ППО «СЭД».
– «ЭЦП в системе внутриведомственного документооборота» – сертификат предназначен для внутриведомственного документооборота подразделений Министерства Юстиции.
– «Заказчик. ЭЦП Специалиста с правом подписи контракта» – используется в большинстве случаев для получения сертификата специалиста.
- Для перехода на следующий шаг мастера нажмите кнопку «Далее>».
Рисунок 9. Генерация запроса на сертификат
- В появившемся окне (см. рисунок 9) введите значения:
– «Идентификатор ключа (Фамилия Имя Отчество владельца ключа)» – вводится фамилия, имя, отчество владельца сертификата в виде «Фамилия Имя Отчество» или наименование службы/сервиса/АРМ/сервера, для которого запрашивается сертификат. Поле обязательно для заполнения. По умолчанию заполняется из поля «Наименование абонента» предыдущего окна.
– «Фамилия» – заполняется фамилия владельца сертификата с большой буквы в одно слово без пробелов. Поле обязательно для заполнения. По умолчанию заполняется значением из поля «Идентификатор ключа».
– «Имя Отчество» – имя и отчество владельца сертификата в формате «Имя Отчество» в два слова, разделенных одним пробелом. Поле обязательно для заполнения. По умолчанию заполняется значением из поля «Идентификатор ключа».
– «Инициалы» – инициалы владельца сертификата без пробелов. На АРМ клиента поле не заполняется.
– «Страна» – заполняется двухбуквенным кодом страны в соответствии с ISO 3166, в которой зарегистрирована организация. Поле обязательно для заполнения. Для России по умолчанию указывается RU.
– «Регион» – наименование региона, в котором зарегистрирована организация. Заполняется значением «Наименование» из справочника «Регионы РФ». Поле обязательно для заполнения. Список значений поля «Регион» приведен в таблице 3.
– «Город» – заполняется наименованием города (населённого пункта), в котором зарегистрирована организация. Поле обязательно для заполнения.
– «Должность» – должность владельца сертификата. Поле обязательно для заполнения.
– «Организация» – наименование организации владельца сертификата. Поле обязательно для заполнения. По умолчанию заполняется наименованием АРМ абонента сертификата.
– «Формализованная должность» – наименование в свободной форме. На АРМ клиента поле не заполняется.
– «Подразделение 1-го уровня» – организационное подразделение владельца сертификата1-го уровня. Поле обязательно для заполнения для всех ролей, кроме «СЭД».
– «Подразделение 2-го уровня» – организационное подразделение владельца сертификата 2-го уровня. Поле необязательно для заполнения.
– «E-mail» – адрес электронной почты владельца сертификата. Поле обязательно для заполнения. Адрес должен соответствовать шаблону «*@*.*».
– «ИНН» – индивидуальный номер налогоплательщика. Поле обязательно для заполнения, если выбрана роль ООС. Поле должно содержать 10 или 12 символов.
– «КПП» – код причины постановки на учет. Поле доступно для заполнения, если выбрана роль ООС. Поле должно содержать 9 символов.
– «Экспортируемый закрытый ключ» – указывается возможность переноса ключа ЭЦП на другой носитель (если выбрано значение «нет», то контейнер с ключом нельзя будет копировать). По умолчанию указано значение «да».
– «Адрес» – адрес организации владельца сертификата. На АРМ клиента поле не заполняется.
– «Учетный номер организации» – поле доступно и обязательно для заполнения при выборе роли ООС.
– «Идентификатор Landocs» – на АРМ клиента поле не заполняется.
- Заполнив все значения диалога своими данными, нажмите кнопку «Далее>». Последующие действия совпадают с шагами 6 – 14 пункта 6.2.1.1.
6.2.1.3. Просмотр сформированного запроса на сертификат
Для просмотра сформированного запроса на сертификат выберите пункт меню «Администрирование – Криптозащита – Просмотр запроса на сертификат». В открывшемся окне «Выбор файла» (см. рисунок 10) укажите путь к файлу запроса на сертификат (файл с расширением .req).
Рисунок 10. Выбор файла запроса на сертификат
Откроется форма просмотра запроса на сертификат, состоящая из двух вкладок: «Параметры сертификата» и «Роли владельца сертификата» (см. рисунки 11, 12).
Рисунок 11. Форма «Запрос на сертификат». Вкладка «Параметры сертификата»
Рисунок 12. Форма «Запрос на сертификат». Вкладка «Роли владельца сертификата»
На вкладке «Роли владельца сертификата» отображается список назначенных ролей. Для просмотра параметров выбранной роли нажать кнопку (редактировать/просмотреть) на панели инструментов вкладки. Откроется форма «Роль владельца сертификата (см. рисунок 13). Для выхода из формы нажать кнопку «Закрыть».
Рисунок 13. Роль владельца сертификата
6.2.2. Создание запроса на издание сертификата
Для создания нового ЭД «Запрос на издание сертификата» следует выбрать пункт меню «Администрирование – Криптозащита – Запросы на издание сертификата» и в открывшейся форме скроллера нажать кнопку . Откроется форма «Запрос на издание сертификата».
Рисунок 14. Форма «Запрос на издание сертификата»
В форме «Запрос на издание сертификата» необходимо заполнить следующие поля:
– «Номер» – номер документа. Значение указывается вручную. При помощи кнопки номер проставляется автоматически из принципа N+1, где N – номер последнего сохраненного документа. Доступно для редактирования.
– «Дата» – дата документа. По умолчанию проставляется текущая дата.
– «Имя файла запроса» – в данном поле необходимо выбрать файл запроса на сертификат при помощи кнопки «Прикрепить файл запроса». В открывшемся окне следует при помощи кнопки «Найти» указать путь к файлу запроса.
Рисунок 15. Выбор файла запроса на сертификат
– «Содержимое файла (в текстовом виде)» – заполняется автоматически шифром запроса.
– «Основание» – основание формирования документа. Поле заполняется выбором из справочника шаблонов оснований.
По окончании формирования документа следует нажать кнопку «ОК». В скроллере «Запросы на издание сертификата» появится новый документ.
Рисунок 16. Запросы на издание сертификата
Созданный документ следует подписать ЭЦП и отправить на АРМ сервера СЭД.
На сервере СЭД запрос на сертификат доставляется в УУЦ и полученный из УУЦ сертификат открытого ключа регистрируется для криптографического профиля клиента СЭД.
6.3. Работа с клиентскими сертификатами
6.3.1. Ручная регистрация клиентских сертификатов
Для того чтобы все сертификаты серверного АРМ однозначно распознавались на клиентском АРМ и наоборот, необходимо, чтобы ключи ЭЦП абонентов клиента СЭД были зарегистрированы для любого собственного криптопрофиля.
Для этого необходимо на клиентском АРМ СЭД произвести настройку криптографических профилей собственного АРМ и серверного АРМ (абонента клиента СЭД).
Криптографические профили клиента СЭД и сервера СЭД всегда создаются на АРМ сервера СЭД и отсылаются на клиент СЭД при помощи механизма репликаций. Репликация будет приниматься только при условии, что на АРМ клиента СЭД имеются первично настроенные ключи для поверки подписи входящей репликации с АРМ сервера СЭД. При этом ручное создание криптопрофилей на АРМ клиента СЭД не предусмотрено.
Регистрация ключей ЭЦП на АРМ клиента СЭД включает в себя настройку криптографических параметров собственного криптопрофиля клиента СЭД и криптопрофиля сервера СЭД. При этом подразумевается, что данные криптопрофили сервера СЭД и клиента СЭД были отреплицированы с АРМ сервера СЭД и содержатся в списке криптографических профилей в пункте меню «Администрирование – Криптозащита – Список абонентов ЭЦП» на АРМ клиента СЭД.
Таким образом, для настройки криптографических параметров на клиенте СЭД необходимо выполнить следующие действия:
- Настроить параметры криптографического профиля собственного АРМ.
- Настроить параметры криптографического профиля серверного АРМ.
Для того чтобы произвести установку сертификата для собственного криптопрофиля вручную выберите пункт меню «Администрирование – Криптозащита – Список абонентов ЭЦП». В форме «Криптографические профили» необходимо провести процедуру регистрации ключей ЭЦП собственного АРМ.
В левой части окна содержатся отреплицированные с сервера СЭД криптопрофили клиента СЭД и сервера СЭД. Для настройки криптопрофиля клиента СЭД следует выбрать наименование криптопрофиля клиента.
Рисунок 17. Криптографические профили
В правой части окна «Криптографические профили» следует нажать на клавиатуре Ins или кнопку на панели инструментов. Откроется окно «Настройки криптографического профиля».
В поле «АРМ» из справочника выбирается название собственного АРМ клиента СЭД. Ниже наименования АРМ задаются режимы прав подписи документов. Данный параметр должен выбираться, исходя из количества требуемых подписей под документами.
Значение в параметре «Использовать для шифрации/дешифрации, подписи/проверки подписи данных, передаваемых транспортной подсистемой» определяет использование права подписи и шифрации транспортных пакетов. Постановка флага включает шифрацию данных, передаваемых на сервер СЭД.
При использовании шифрации/дешифрации данных между сервером и клиентом соблюдаются следующий принцип синхронности настроек шифрации – настройки шифрации криптопрофилей сервера СЭД и клиента СЭД должны быть синхронны в случае включенной шифрации.
Шифрация/дешифрация данных между сервером и клиентом будет осуществляться только в том случае если:
– На стороне клиента СЭД установлен флаг «Использовать для шифрации/дешифрации, подписи/проверки подписи данных, передаваемых транспортной подсистемой» в настройках собственного криптопрофиля клиента СЭД и в настройках криптопрофиля абонента клиента – сервера СЭД.
– На стороне сервера СЭД установлен флаг «Использовать для шифрации/дешифрации, подписи/проверки подписи данных, передаваемых транспортной подсистемой» в настройках собственного криптопрофиля сервера СЭД и в настройках криптопрофиля абонента сервера СЭД, с которым будет происходить шифрация.
Если хотя бы одно из вышеперечисленных условий не соблюдено, шифрация данных происходить не будет, так как для корректной шифрации/дешифрации данных настройки на сервере и клиенте должны быть синхронизированы. Если настройки шифрации не синхронизированы – на клиенте установлен флаг шифрации, а на сервере нет, либо наоборот, то документы будут доставляться без шифрации.
Внимание! Для продолжения регистрации настроек криптопрофиля необходимо нажать кнопку «Применить». Это позволит сохрани… Продолжение »