Как установить сертификат с использованием rutoken или etoken, если сертификат не записан на носитель

Содержание

Как работает USB-токен

Принцип работы USB-токенов строится на взаимосвязи открытой и закрытой частей ключа электронной подписи, первая из которых доступна только владельцу сертификата. На самом токене записывается закрытая часть ключа. Доступ к нему возможен только при наличии секретного кода, известного владельцу подписи. При необходимости завизировать электронный документ в действие вступает специализированное программное обеспечение, предустановленное на персональный компьютер владельца подписи. С помощью данной программы генерируется открытая часть ключа, которая интегрируется в подписываемый документ или прикрепляется к нему в виде отдельного файла.

Копия открытого ключа хранится в удостоверяющем центре, выдавшем сертификат ЭЦП. Это сделано для того, чтобы была возможность разрешить споры, касающиеся подлинности сертификата.

Общая информация

КриптоПро CSP — это средство криптографической защиты информации. Он предназначен для защиты открытой информации в системах общего пользования и защиты конфиденциальной информации, не содержащей сведений, составляющих государственную тайну.

КриптоПро CSP работает в следующих версиях операционной системы macOS:

11/10.9/10.10/10.11/10.12/10.13/10.14/10.15 (x64).

В операционной системе macOS у КриптоПро CSP версии 4 нет графического интерфейса, поэтому вся настройка выполняется через Терминал.

В данной инструкции будет описан процесс работы с КриптоПро CSP как через Терминал, так и через Инструменты Криптопро.

Процесс настройки КриптоПро CSP в операционной системе macOS состоит из следующих этапов:

  1. Установка драйвера Рутокен S для macOS (выполняется для устройства Рутокен S).
  2. Установка КриптоПро CSP.
  3. Установка КриптоПро ЭЦП Browser plug-in.
  4. Проверка работы устройства Рутокен.
  5. Установка личного сертификата.
  6. Установка корневого сертификата.
  7. Проверка статуса лицензии КриптоПро CSP.
  8. Активация лицензии КриптоПро CSP.

После настройки КриптоПро CSP необходимо проверить его работу в системе. Проверка состоит из следующих шагов:

  1. Проверка корректности работы устройства Рутокен.
  2. Проверка наличия сертификата на устройстве Рутокен.
  3. Тестирование процесса подписания документа.

Pin-коды рутокен эцп 2.0: пароли пользователя и администратора

Для защиты данных применяется двухфакторная аутентификация. Все операции осуществляются при соблюдении двух условий — присутствии токена в USB-разъеме ПК и введении верного пароля.

Для получения доступа к сертификату и ключевой паре (открытый и закрытый ключи) следует запустить панель управления и ввести PIN-код пользователя, который представляет собой определенную комбинацию символов. По умолчанию используется прямая последовательность цифр от единицы до восьмерки — 12345678.

Для изменения настроек Рутокен ЭЦП 2.0 понадобится пароль администратора, который также вводится через панель управления. Перед аутентификацией необходимо переключиться с «пользователя» на «администратора». Пароль можно узнать у организации (удостоверяющего центра, банка и пр.), выдавшей носитель ЭП. По умолчанию задается обратная последовательность цифр от восьмерки до единицы — 87654321.

Важно: перед началом работы рекомендуем изменить пароль по умолчанию на более надежный

Обновление комплекта «Драйверы Рутокен для Windows»

Периодически возникает потребность в обновлении комплекта драйверов Рутокен.

В новые версии могут быть добавлены новые функции и исправлены ошибки в работе уже существующих.

Актуальная версия комплекта драйверов доступна на странице:

Также на этой странице доступна предыдущая стабильная версия комплекта драйверов.

Чтобы обновить комплект драйверов Рутокен:

1) Запустите программу установки нового комплекта драйверов и нажмите Установить.

2) В окне с запросом на разрешение изменений на компьютере нажмите Да. В результате запустится процесс обновления комплекта драйверов Рутокен.

3) Если на компьютере запущены программы или приложения, то на экране отобразится сообщение об этом. В этом окне:

  • установите переключатель Закрыть работающие приложения и попытаться перезапустить их;
  • нажмите OK. В результате процесс обновления продолжится.

4) Дождитесь завершения процесса обновления и нажмите Закрыть. В результате комплект драйверов Рутокен обновится.

5) Подключите Рутокен к компьютеру и продолжите работу с ним.

Как настроить

Для работы с носителями без встроенного СКЗИ нужно устанавливать ПО на компьютер. Самая распространенная программа — это КриптоПро CSP. Установить программу и драйверы можно самостоятельно либо обратиться в удостоверяющий центр.

Мы предлагаем упрощенное решение — запустить мастер настройки рабочего места. Он установит не только драйвер, но и другое ПО, которое требуется для работы с электронной подписью. С мастером не нужно устанавливать драйверы вручную.

Порядок работы:

  1. Запустите мастер настройки ПК.
  2. Мастер проверит, есть ли на вашем компьютере приложения для работы с ЭП. Выполняя рекомендации, установите или обновите ПО — напротив всех пунктов должна появиться зеленая галочка.

  3. Выберите вашу электронную подпись.

  4. Когда все работы будут завершены, появится кнопка «Начать работу». Нажмите ее, чтобы перейти в личный кабинет и отправить первый отчет или утвердить отгрузочные документы на приобретенную ЭП.

Ваш компьютер будет готов к работе с ЭП.

В состав драйверов Рутокен входит специальное приложение — «Панель управления Рутокен». В ней можно:

  • Посмотреть информацию о носителе (имя, свободная память, информация о том, кто может менять ПИН-код);
  • Сменить ПИН-код, установить права на него;
  • Разблокировать Рутокен;
  • Отформатировать устройство.

Как скопировать сертификат в реестр

Процесс копирования закрытых ключей с флешки на ПК состоит из нескольких этапов: настройки считывателей, самого копирования и установки.

Настройка считывателя

Для установки реестра в список считывателей ключевых носителей пользователь должен:

запустить КриптоПро от имени администратора;

через «Оборудование» нажать «Настроить считыватель»;

в открывшемся новом окне нажать кнопку «Добавить»;

затем в мастере установки выбрать, какой считыватель необходимо добавить (реестр, смарт-карту, диски и т.д.);

последовательно нажать «Далее» и «Готово».

Для последующей корректной работы необходимо перезагрузить компьютер.

Копирование

Для копирования сертификата в реестр лучше воспользоваться программой КриптоПро. Пользователь запускает программу и нажимает «Запустить с правами администратора».

Затем переходим во вкладку «Сервис» и жмем «Скопировать».

Откроется окно «Контейнер закрытого ключа», в нем нажмите на кнопку «Обзор» и выберите сертификат, который необходимо скопировать.

В поле «Имя ключевого контейнера» имя отразится в нечитаемом формате. Это нормально.

Нужно нажать «ОК» и «Далее», после чего откроется окно для ввода пин-кода от USB-носителя.

Если пароль не менялся, то стандартный будет:

  • для Рутокен для пользователя: 12345678;
  • для Рутокен для администратора:87654321;
  • для eToken: 1234567890.

Теперь нужно переложить сертификаты в реестр.

Последний шаг — после копирования контейнера задаем новый пароль.

На этом процесс копирования закрытого ключа электронной подписи закончен.

Установка

После копирования установить сертификат ЭЦП на компьютер с флешки в реестр можно 2 способами:

  • через установку личных сертификатов;
  • через просмотр сертификатов в контейнере.

Оба способа используют программу КриптоПро CSP.

Через раздел личных сертификатов

Как установить ЭЦП в реестр при условии, что на ключевом носителе имеется папка *.000 и файл .cer:

Запустить КриптоПро и выбрать «Установить личный сертификат» через вкладку «Сервис».

В мастере установки сертификатов нажать «Далее» и через «Обзор» выбрать расположение файла сертификата.

В новом окне нужно выбрать «Мой компьютер» и далее вид съемного носителя, который содержит закрытый ключ. Затем нажать «Открыть»;

Далее в соответствующей строке прописывают расположения файла сертификата.

  • Затем нужно проверить данные сертификата, который необходимо установить, и нажать «Далее».
  • Следующий шаг — это в новом окне выбор ключевого контейнера через кнопку «Обзор».
  • В списке выбираем реестр, после чего нажимаем «Ок».
  • В строке с именем ключевого контейнера должен автоматически прописаться контейнер с закрытым ключом. Нажать «Далее».
  • Через «Обзор» выбираем хранилище сертификата.

Через папку «Личные» выбираем папку «Реестр», а затем нажимаем «Далее».

Последний шаг — завершить установку нажатием кнопки «Готово».

Через несколько секунд система выдаст сообщение об успешном завершении установки сертификата электронной подписи.

Через просмотр сертификатов

Данный способ подходит в том случае, если имеется только папка вида *.000.

Для установки нужно:

  • Запустить КриптоПро.
  • Через «Сервис» перейти на вкладку «Просмотреть сертификаты в контейнере».

Затем выберите носитель через кнопку «Обзор» и в открывшемся окне выделите нужный реестр.

  • В строке с именем контейнера должна быть информация о контейнере с закрытым ключом, если все верно, то нужно нажать «Ок».
  • Затем в окне с информацией нужно нажать «Свойства».

После проверки данных нажать кнопку «Установить».

В открывшемся мастере импорта нужно выбрать хранилище. Для этого сначала ставят галочку напротив «Поместить все сертификаты в…» и нажимают «Обзор».

Затем через папку «Личные» выбрать папку с носителем реестром и в строке «Название хранилища» нажать «Далее».

В завершении установки нужно лишь «Готово» в мастере установки.

Структура кода шаблона запроса на сертификат квалифицированной электронной подписи

Код шаблона запроса на сертификат квалифицированной электронной подписи состоит из блоков, у каждого из которых есть свое назначение.

Блок  используется для указания названия шаблона, которое отобразится в раскрывающемся списке в окне Генератор запросов сертификатов для Рутокен ЭЦП 2.0 и 3.0.

Блок  используется для указания информации о владельце сертификата. Параметры запроса данного блока описаны в Таблице 1.

Таблица 1

Название поля (параметр запроса) Требования к данным

Общее имя

(commonName)
  • для физического лица — имя, фамилия и отчество владельца сертификата
  • для юридического лица — наименование организации владельца сертификата

Организация

(organizationName)

Фамилия

(surname)

Имя и отчество

(givenName)

Эл. почта

(email)

СНИЛC

(snils)
  • строка, состоящая из 11 цифр
  • для физического лица — СНИЛС владельца сертификата
  • для юридического лица — СНИЛС организации владельца сертификата

ИНН

(inn)
  • строка, состоящая из 12 цифр
  • для физического лица — ИНН владельца сертификата
  • для юридического лица — ИНН организации владельца сертификата

ОГРН

(ogrn)
  • строка, состоящая из 13 цифр
  • ОГРН организации владельца сертификата
 ОГРНИП
(ogrnip)
  •  строка, состоящая из 15 цифр
  • ОГРНИП владельца сертификата
Неструктурир. имя
(un)

Подразделение

(organizationUnitName)

Должность

(title)

Страна

(countryName)
  • для физического лица — краткое наименование страны, в которой проживает владелец сертификата
  • для юридического лица — краткое наименование страны, в которой находится организация владельца сертификата

Регион

(stateOrProvinceName)
  • для физического лица — название региона, в котором проживает владелец сертификата
  • для юридического лица — название региона, в котором находится организация владельца сертификата

Населенный пункт

(localityName)
  • для физического лица — название населенного пункта, в котором проживает владелец сертификата
  • для юридического лица — название населенного пункта, в котором находится организация владельца сертификата

Улица, дом

(streetAddress)
  • для физического лица — адрес, по которому проживает владелец сертификата
  • для юридического лица — юридический адрес организации владельца сертификата

Блок  используется для указания области использования сертификата. Значения, которые можно указать в данном блоке указаны в Таблице 2.

Таблица 2 

Название

Описание
digitalSignature
 электронная цифровая подпись
nonRepudiation
 неотрекаемость от авторства
keyEncipherment
 шифрование ключей
dataEncipherment
 шифрование данных
keyAgreement
согласование ключей
keyCertSign
электронная цифровая подпись сертификатов ключей подписи
crlSign
электронная цифровая подпись списков отозванных сертификатов
encipherOnly
зашифровывание
decipherOnly
расшифровывание

Блок  используется для указания параметров расширенного использования сертификата. Здесь указываются идентификаторы необходимых операций, классов пользователей и устройств. Примеры значений смотрите в Таблице 3. В данном блоке вы можете задавать и свои значения.

Таблица 3 

Значение Описание
1.3.6.1.5.5.7.3.2
проверка подлинности клиента
1.3.6.1.5.5.7.3.4
защищенная электронная почта
1.2.643.2.2.34.6
пользователь Центра Регистрации, HTTP, TLS клиент
1.2.643.2.2.34.26
пользователь службы актуальных статусов
1.2.643.2.2.34.25
пользователь службы штампов времени

Блок  используется для указания расширений сертификата не предусмотренных в других блоках.

Расширения сертификата — это информационные поля, которые содержат дополнительные сведения о сертификате.

Расширения сертификата задаются следующими параметрами:

  • oid  —  идентификатор расширения;

  • value  —  данные этого расширения в DER-кодировке.
  • criticality — критичность наличия данного расширения.

Блок  используется для указания критичности наличия параметров сертификата, указанных в блоках   и .

Общая информация

Знание PIN-кодов необходимо для работы с устройством Рутокен. 

Для каждого устройства Рутокен задано два PIN-кода:

  • PIN-код Пользователя;
  • PIN-код Администратора.

PIN-код Пользователя используется для доступа к электронной подписи и объектам на устройстве (сертификатам, ключевым парам). 

Если при работе с сторонним приложением запрашивается PIN-код устройства Рутокен, то вам надо ввести PIN-код Пользователя.

PIN-код Администратора используется для администрирования устройства и управления PIN-кодами.

PIN-код Администратора используется только в Панели управления Рутокен.

Правила хранения PIN-кодов:

  • Не храните в одном месте PIN-коды и Рутокен.
  • Не передавайте PIN-коды другим людям (в том числе коллегам и администраторам).
  • PIN-коды можно записать в надежном месте, главное чтобы ни у кого кроме вас не было доступа к ним.

Если вам не сообщили PIN-код Пользователя, вероятнее всего, он задан по умолчанию (12345678).

Если вы купили Рутокен в удостоверяющем центре — PIN-код Администратора вам должен сообщить сотрудник удостоверяющего центра.

Если Рутокен вам выдали на работе — PIN-код Администратора, скорее всего, знает системный администратор, IT-служба или HelpDesk.

Если Рутокен вам выдали в банке — PIN-код Администратора вам должен сообщить сотрудник банка.

Если вы приобрели Рутокен для личных целей, то на нем установлены PIN-коды по умолчанию.

Панель управления Рутокен предназначена для обслуживания устройств Рутокен в операционных системах семейства Microsoft Windows. В Панели управления Рутокен можно изменить и разблокировать PIN-коды

Получение сертификата ГОСТ

Извлеките из компьютера USB-носители и воткните Рутокен ЭЦП 2,0, который был выдан в Сервисном Центре:

Проверьте, чтобы Рутокен не содержал никаких иных сертификатов. Для этого нажмите Пуск — Все программы — Рутокен — Панель управления Рутокена, вкладка «Сертификаты» и убедитесь, что они отсутствуют:

Внимание! В систему ЕГАИС можно будет войти только с тем сертификатом, который записан на Рутокен ЭЦП 2.0 последним! Сертификат не подлежит копированию с одного носителя на другой!

Перейдите к сервису и в окне входа введите номер телефона, который указывали в заявке на КЭП — это необходимо для получения SMS с кодом:

Полученный код введите в соответствующем окне:

Если система сообщила, что компьютер не настроен, скачайте приложение и установите его:

После входа в систему вы попадете на страницу выбора сертификатов. Выберите нужный и инициируйте его выпуск:

Проверьте данные, которые будут отражены в сертификате КЭП. Если все в порядке, поставьте галочку в поле подтверждения согласия и нажмите «Выпустить сертификат»:

При наличии ошибок обратитесь в Сервисный Центр, в котором осуществляли подключение.

Выберите место хранения сертификата — Rutoken ECP 2.0 0:

Теперь система попросит ввести pin-код (по умолчанию 12345678):

Система создаст запрос на получение сертификата:

При необходимости нужно ввести pin-код повторно. После этого потребуется ввести новый цифровой код из SMS:

В следующие 30 минут система будет осуществлять проверку запроса на сертификат. Дождитесь ее окончания (браузер можно закрыть).

По окончании проверки появится кнопка «Установить сертификат» — нажмите ее:

Система может вновь запросить ввод pin-кода:

Дождитесь окончания процесса и надписи «Сертификат установлен». Ниже будут отражены сведения о сертификате. Система также подскажет, что следует делать дальше.

Проверка работы устройства Рутокен в ОС на базе GNU/Linux

Шаг 1. Установка пакета pcsc-tools(выполняется в системе только при первой проверке работы устройства Рутокен).

В deb-based системах:

$ sudo apt-get install pcsc-tools

В rpm-based системах (кроме ALT Linux):

$ sudo yum install  pcsc-tools

В ALT Linux:

$ sudo apt-get install  pcsc-tools

Шаг 2. Запуск утилиты для проверки работы устройства Рутокен.

Введите команду:

$ pcsc_scan

Если устройство не работает или не подключено к компьютеру, то в окне терминала отобразится сообщение об этом.

Сообщение в системе ALT Linux выглядит следующим образом:

Если устройство работает корректно, то в окне терминала отобразится сообщение об этом.

Сообщение в системе ALT Linux выглядит следующим образом:

Шаг 3. Остановка сервиса pcscd.

Введите команду:

$ sudo service pcscd stop 

Для Fedora:

$ su <username> service pcscd stop

Шаг 4. Запуск сервиса pcscd в отладочном режиме.

Введите команду:

$ sudo  /usr/sbin/pcscd/ -afddddd

Для Fedora:

$ sudo  /usr/sbin/pcscd/ -adfffff

Установка драйвера Рутокен S в ОС на базе GNU/Linux

ОС на базе GNU/Linux делятся на deb-based системы и rpm-based системы.

К deb-based относятся: Debian, Ubuntu, Linux Mint, Astra Linux.

К rpm-based относятся: RedHat, CentOS, Fedora, ALT Linux, ROSA Linux, МСВС, ГосЛинукс.

Установка драйвера в deb-based системах

Шаг 1. Установка необходимых библиотек и пакетов на компьютер

Чтобы установить необходимые библиотеки и пакеты:

1) Откройте Терминал.

2) Введите команду:

$ sudo apt-get install libccid pcscd libpcsclite1

3) Нажмите клавишу Enter.

4) Введите пароль пользователя с правами администратора системы (пользователя root).

5) Нажмите клавишу Enter.

6) Нажмите клавишу Y. В результате указанная библиотека и пакеты будут установлены.

Для работу с устройством Рутокен S необходимо установить специальный драйвер.

Шаг 2. Загрузка и установка драйвера

Актуальные версии драйвера доступны на странице в разделе Пользователя Рутокен S:

Чтобы установить драйвер:

1) Откройте Терминал.

2) Для перехода в папку со скаченным драйвером введите команду:

$ cd Downloads

3) Нажмите клавишу Enter.

4) Для добавления права на исполнения введите команду:

$ sudo chmod +x ifd-rutokens__i386.deb

Пример команды для 32-разрядной версии Ubuntu:

$ sudo chmod +x ifd-rutokens_1.0.4_i386.deb

5) Нажмите клавишу Enter.

6) Введите пароль пользователя с правами администратора системы (пользователя root).

7) Нажмите клавишу Enter. В результате права на исполнение будут добавлены.

8) Для запуска процесса установки драйвера введите команду:

$ sudo dpkg -i ifd-rutokens__i386.deb 

Пример команды для 32-разрядной версии Ubuntu:

$ sudo dpkg -i ifd-rutokens_1.0.4_i386.deb

9) Нажмите клавишу Enter. В результате драйвер будет установлен.

Шаг 1. Установка необходимых библиотек и пакетов на компьютер

Чтобы установить необходимые библиотеки и пакеты:

1) Откройте Терминал.

2) Введите одну из следующих команд.

Для всех, кроме ALT Linux и Fedora:

$ sudo yum install ccid pcsc-lite

Для ALT Linux:

$ sudo apt-get install pcsc-lite-ccid  pcsc-lite 

Для Fedora:

$ sudo yum install pcsc-lite-ccid pcsc-lite

3) Нажмите клавишу Enter.

4) Введите пароль пользователя с правами администратора системы (пользователя root).

5) Нажмите клавишу Enter.

6) Нажмите клавишу Y. В результате указанные библиотеки и пакеты будут установлены.

Шаг 2. Загрузка и установка драйвера

Актуальные версии драйвера доступны на странице в разделе Пользователя Рутокен S:

Чтобы установить драйвер (для всех, кроме ALT Linux ):

1) Откройте Терминал.

2) Для перехода в папку со скаченным драйвером введите команду:

$ cd Downloads

3) Нажмите клавишу Enter.

4) Для добавления права на исполнения введите команду:

$ sudo chmod +x ifd-rutokens__i386.rpm

Пример команды для 32-разрядной версии Fedora:

$ sudo chmod +x ifd-rutokens_1.0.4_1.i486.rpm

5) Нажмите клавишу Enter.

6) Введите пароль пользователя с правами администратора системы (пользователя root).

7) Нажмите клавишу Enter. В результате права на исполнение будут добавлены.

8) Для запуска процесса установки драйвера введите команду:

$ sudo rpm -ivh ifd-rutokens__i386.rpm

Пример команды для 32-разрядной версии Fedora:

$ sudo rpm -ivh ifd-rutokens_1.0.4_1.i486.rpm

9) Нажмите клавишу Enter. В результате драйвер будет установлен.

Чтобы установить драйвер в ALT Linux введите команды:

$ sudo chmod +x ifd-rutokens_.x86_64.rpm$ sudo rpm -ivh ifd-rutokens_.x86_64.rpm

Примеры команд для 64-разрядной версии ALT Linux:

$ sudo chmod +x  ifd-rutokens_1.0.4_1.x86_64.rpm$ sudo rpm -ivh ifd-rutokens_1.0.4_1.x86_64.rpm

Установка драйверов для рутокен эцп 2.0

Устройства совместимы с ОС Microsoft Windows и MacOS. Первый вариант дает больше возможностей — пользователи ОС Windows могут использовать USB-токен для работы с ЕГАИС, а также с другими госпорталами и информационными системами, которые не поддерживают «яблочную» ОС.

Если вы собираетесь подписывать документы вне площадок, то драйверы для Рутокен ЭЦП 2.0 не потребуются (за исключением «родного» CCID-драйвера ОС Windows). Дополнительные программы для взаимодействия с носителем нужны для работы с ЕГАИС и другими государственными или коммерческими системами, которые предъявляют высокие требования к уровню защиты информации.

Дополнительные возможности утилиты

Пользователям утилиты доступны следующие возможности для работы с шаблонами:

  • изменение параметров шаблона;
  • сохранение нового шаблона на компьютере; 
  • использование существующего  или нового шаблона.

Использование нового шаблона запроса на сертификат квалифицированной электронной подписи

Для использования нового шаблона запроса  на сертификат квалифицированной электронной подписи:

  1. Запустите Панель управления Рутокен.
  2. Запустите утилиту.
  3. В раскрывающемся списке Шаблон выберите название созданного шаблона.
  4. Следуйте  по созданию запроса на сертификат квалифицированной электронной подписи.

Когда нужно переносить сертификаты в другое место?

И так давайте рассмотрим по каким причинам у вас может появиться необходимость в копировании ваших ЭЦП в другое место.

  1. На текущем физическом компьютере начинает умирать жесткий диск или SSD накопитель (Как проверить жизненные показатели жесткого диска), очень частая история и жизненная, когда люди теряли все свои данные, из-за банальной жадности в покупке нового оборудования и элементарного незнания принципов резервного копирования.
  2. У вас производится модернизация оборудования, его улучшение и вам нужно перенести все сертификаты с закрытыми ключами на другую систему
  3. Вы создали отдельный сервер, в виде виртуальной машины, где будут находится все ваши сертификаты и с ними смогут работать все необходимые сотрудники, терминал для бухгалтерии. Простой пример СБИС, и когда у вас 10-20 организаций.

Общая информация

Рутокен VPN используется для безопасного доступа к корпоративным ИТ-системам.

Для того, чтобы подготовить компьютер или мобильное устройство к удаленному подключению к корпоративным ИТ-системам, необходимо выполнить один из следующих алгоритмов.

Все необходимые данные и устройство Рутокен вы можете запросить у своего системного администратора.

Для удаленного подключения компьютера к сети VPN и дальнейшего его подключения к корпоративным ИТ-системам необходимо предварительно настроить компьютер, с которого будет осуществляться доступ. Далее такое подключение мы будем называть — Удаленное подключение «Компьютер — Компьютер».

Для удаленного подключения мобильного устройства к сети VPN и дальнейшего его подключения к корпоративным ИТ-системам необходимо предварительно настроить мобильное устройство, с которого будет осуществляться доступ. Далее такое подключение мы будем называть — Удаленное подключение «Мобильное устройство — Компьютер»

Какие есть варианты флешек для ЭЦП

Практика показывает, что записать ЭЦП можно на следующие носители:

  • Стандартный USB-накопитель (обычная флешка). Этот носитель не рекомендуется к использованию по самой очевидной причине – сертификат ЭЦП на нем можно легко украсть. Поэтому, удостоверяющие центры не записывают на него эцп.
  • USB-накопитель с защищенным хранилищем. Данный носитель аналогичен стандартному. Но его память разбивается на части, и где храниться ЭЦП, сектор защищается паролем. Поэтому доступ к эцп защищается, но степень защиты недостаточная, умеренная. Для опытных мошенников, вскрыть такой пароль не представляет сложности, а значит и украсть подпись они легко смогут.
  • USB-токены с криптопроцессором. Второе их наименование – рутокен 1.0. Когда происходит установка ключа, на жесткий диск компьютера копируется закрытый ключ, поэтому специалисты легко смогут его найти и украсть с компьютера.
  • USB-токены с генерацией ЭЦП. Второе наименование – рутокен 2.0. В настоящее время он является одним из самых защищенных носителей для хранения ЭЦП. Данный носитель имеет все преимущества предыдущего токена. Но ещё способен автоматически генерировать открытый ключ, который и сохраняется на компьютере. Украсть такую ЭЦП в настоящее время практически невозможно, так как с самой подписью работает криптопроцессор, а подпись защищена секретным кодом.

Примеры работы с шаблонами запросов

Пример 1:

Изменения в блоке .

1) Изменим следующие параметры запроса на сертификат квалифицированной электронной подписи:

  • value;

  • organizationName;

  • inn;

  • ogrn.

2) Сохраним новый шаблон на компьютере и назовем его Люди-дела.

3) Запустим Панель управления Рутокен.

4) Откроем утилиту.

5) В раскрывающемся списке выберем название шаблона.

5) Заданные параметры отобразятся в окне Генератор запросов сертификатов для Рутокен ЭЦП 2.0.

Пример 2:

Изменения в блоке  .

1) Добавим следующие расширения для сертификата:

1\oid=1.3.6.1.4.1.311.21.7

1\value=@ByteArray(\x30\x0D\x06\x08\x2A\x85\x03\x02\x02\x2E\x00\x08\x02\x01\x01)

1\criticality=non critical

Каждое расширение для сертификата может быть обозначено, как критическое или некритическое (параметр criticality). Сертификат должен быть отвергнут при отсутствии критических расширений (если параметр у расширения criticality=critical).

Отсутствие некритических расширений может быть проигнорировано (если параметр у расширения criticality= non critical).

2) Сохраните шаблон на компьютере. В результате для сертификата будет задано следующее расширение:

SEQUENCE { OBJECTIDENTIFIER 1.2.643.2.2.46.0.8 INTEGER 1 }

Установка необходимых компонентов

Установка производится с виртуального диска Контур. Маркет. Для доступа рекомендуется использовать браузер Internet Explorer. Пройдите по указанной ссылке и выберите «Настройки для получения КЭП»:

Скачайте и запустите файл настройки (этот шаг будет предложен, если система настраивается впервые):

Перед тем как установить компоненты, система должна проверить, какие из них уже имеются на ПК. Согласитесь с этим, нажав кнопку «Далее»:

Установка компонентов начнется автоматически после нажатия соответствующей кнопки:

Дождитесь, пока установка будет завершена. Возможно, в процессе возникнет необходимость, перегрузить и Windows. После окончания установки система сообщит о том, что для входа вам понадобится личный сертификат. Также станет доступной кнопка «Получить в личном кабинете»:

Если у вас нет сертификата, нажмите указанную кнопку. Если он уже был выпущен Сервисным Центром, можно переходить к следующему шагу.

Установка драйвера Рутокен S

Для работы с Рутокен S в macOS необходимо установить специальный драйвер.

Актуальная версия драйвера доступна на странице в разделе Пользователям Рутокен  S:

Процесс установки для учетной записи пользователя отличается от процесса установки для учетной записи администратора.

Выберите свой тип учетной записи:

Установка драйвера для учетной записи пользователя

Чтобы установить драйвер:

1) Запустите программу установки драйвера и нажмите Продолжить.

2) Нажмите Установить.

3) В окне для ввода учетных данных введите логин и пароль администратора.

4) Нажмите Установить ПО. 

5) Дождитесь завершения процесса установки и нажмите Закрыть.

6) Если после установки драйвера необходимо удалить установщик, то нажмите В Корзину.

7) Если после установки драйвера необходимо оставить установщик на компьютере, то нажмите Оставить.

8) Подключите Рутокен к компьютеру и продолжите работу с ним.

Установка драйвера для учетной записи администратора

Чтобы установить драйвер:

1) Запустите программу установки драйвера и нажмите Продолжить.

2) В окне для выбора места установки нажмите Продолжить.

2) Нажмите Установить.

3) В окне для ввода учетных данных введите логин и пароль администратора.

4) Нажмите Установить ПО. 

5) Дождитесь завершения процесса установки и нажмите Закрыть.

6) Если после установки драйвера необходимо удалить установщик, то нажмите В Корзину.

7) Если после установки драйвера необходимо оставить установщик на компьютере, то нажмите Оставить.

8) Подключите Рутокен к компьютеру и продолжите работу с ним.

Какие флешки подходят для хранения ЭЦП

Электронную цифровую подпись можно записать на несколько типов флешек, однако не все они отвечают требованиям безопасности.

  • Обычная флеш-карта (USB-накопитель). Физическая возможность записи ЭЦП на данный формат флешки существует, однако в связи с тем, что подпись на таком носителе не защищена ни одним из способов, аккредитованные удостоверяющие центры не предоставляют услуги выпуска ЭЦП с записью на обычный USB-накопитель.
  • USB-накопитель с функцией защиты хранилища паролем. Данный носитель информации фактически не отличается от обычной флешки. Благодаря делению внутренней памяти на несколько разделов, один из которых защищен паролем, флешка с защитой хранилища удобна для использования, но обеспечивает малую степень защиты. Опытным мошенникам не составит труда похитить подпись.
  • «Рутокен 1.0» — USB-токен с встроенным криптопроцессором. Единственный и главный недостаток этого носителя ЭЦП состоит в том, что при интегрировании сертификата электронной подписи в операционную систему используется закрытый ключ, который в дальнейшем может быть похищен злоумышленниками с жесткого диска ПК.
  • «Рутокен 2.0» — USB-токен с функцией генерации ЭЦП. На сегодняшний день этот формат носителя ЭЦП является самым совершенным. Данный токен оснащен криптопроцессором, способным по запросу генерировать открытую часть ключа подписи, который затем уже устанавливается на ПК. Хищение сертификата ЭЦП в данном случае невозможно, поскольку доступ к внутренней памяти флешки ограничен аппаратно и данные на носителе доступны только для встроенного криптопроцессора. Кроме того, «Рутокен 2.0» защищен секретным ключом.

Упоминая флешку для электронной подписи, сегодня подразумевается именно «Рутокен 2.0» — USB-носитель с возможностью генерации открытого ключа подписи. Аккредитованные удостоверяющие центры выдают сертификаты усиленной электронной подписи именно на носителях такого типа.

Электронная подпись данных и/или файлов в формате CMS

  • формируется текстовое сообщение (строка), формирование сообщения может происходить как на сервере, так и на клиенте
  • если требуется подписать документ произвольного формата (например, PDF), то требуется перекодировать его в формат base64
  • если строка представляет собой закодированные в base64 данные, то параметр функции isBase64 должен быть установлен в true, при этом перед подписью произойдет декодирование данных из base64
  • если требуется использовать аппаратное вычисление хэш-функции ГОСТ Р 34.11-94 (сертифицированная реализация, скорость 60-70 Кб/c), то в options нужно установить опцию useHardwareHash в true. Если данная опция установлена в false, то будет использована быстрая программная реализация хэш-функции ГОСТ Р 34.11-2012
  • если требуется сформировать “отсоединенную” (detached) подпись CMS, то нужно установить опцию detached в true, иначе будет сформирована “присоединенная” (attached) подпись
  • для того, чтобы включить/не включить пользовательский сертификат в подписанное CMS-сообщение существует опция addUserCertificate
  • Установка опции addSignTime в true приведет к тому, что в подписанное CMS-сообщение будет добавлено системное время в качестве подписанного атрибута

Проверка подписи на сервере описана выше.