Установка сертификата ЭЦП на компьютере
Электронные подписи (ЭП, ЭЦП) активно применяются организациями, ИП и даже простым физ. лицами. Они позволяют существенно упростить взаимодействие с госорганами, партнерами по бизнесу и различными информационными системами. Довольно часто перед началом использования требуется установить ЭП на ПК. Но данная процедура имеет ряд особенностей, которые должен обязательно учитывать пользователь.
Технически устанавливать сертификат на ПК необязательно. Пользователь может каждый раз, когда необходимо подписать документ, подключать ключ к USB-порту и выполнять необходимые действия. Данный подход можно назвать даже более безопасным, ведь сохранить в безопасности защищенный носитель значительно проще. Но все же подключать каждый раз устройство к ПК часто неудобно.
Кроме того, электронная подпись может использоваться на различных устройствах (ПК, ноутбук и т. д.). В этом случае также будет удобней установить подпись на нужные системы.
Замечание. Безопасность сертификата полностью находится в руках его владельца. Если к компьютеру, где установлена ЭП, получили доступ третьи лица, или он утрачен/украден, то надо немедленно обратиться в УЦ для блокировки подписи и ее перевыпуска.
Процедура установки ЭП включает в себя инсталляцию на компьютер криптопровайдера и непосредственно установку сертификата.
Импорт сертификата
Откройте инструмент управления сертификатами. Для этого:
- Нажмите WinKey+X, выберите Командная строка (администратор), введите mmc и нажмите Enter.
- В открывшейся консоли нажмите Ctrl+M.
- В левом списке диалога выберите Сертификаты и нажмите Добавить.
- В новом диалоге выберите учётной записи компьютера, затем нажмите Далее и Готово.
- В результате диалог приобретёт вид, как на изображении справа. Нажмите OK.
WinKey — клавиша со значком Windows.
В основном окне теперь появится раздел Сертификаты (локальный компьютер).
Раскройте его, а затем нажмите правой кнопкой мыши на папке Личное, выберите меню Все задачи, а в нём — команду Импорт.
В диалоге импорта не требуется менять значение полей, за исключением указания пути к файлу сертификата..
Внимание: в диалоге выбора файла нужно изменить тип (расширение) с Сертификат X.509 на Файлы обмена личной информации, иначе файл ключа (vpn-key.p12) не будет в нём виден.
На последнем шаге импорта Вы должны увидеть страницу с параметрами, как на изображении справа.
Теперь в разделе Личное (подраздел Сертификаты) будет 2 записи: одна для Центра сертификации (ЦС), другая для клиентского сертификата.
Перетащите запись ЦС в раздел Доверенные корневые центры сертификации.
В результате в Личное останется только клиентский сертификат.
Убедитесь, что всё сделано верно, сделав двойной клик на записи клиентского сертификата — в окне с информации не должно быть предупреждения о том, что сертификат не удалось проверить, проследив его до доверенного центра сертификации .
Теперь консоль и все другие окна можно закрыть.
Ошибка при копировании сертификата
Устанавливать электронную подпись на компьютер просто, но иногда в процессе возникает ошибка копирования контейнера. Объясняется она отсутствием разрешения на экспорт ключа, т.к. при создании его не был указан соответствующий пункт. Чтобы скопировать сертификат с флешки и избежать ошибки нужно:
- Убедиться, что КриптоПро имеет действующую лицензию.
- Попробовать повторно установить закрытый ключ ЭЦП.
- Если в имени имеется строка, содержащая данные «_копия_a0b63dd8», то нужно провести копирование одним из способов, соответствующих типу носителя.
- При переносе ключа поставить галочку «Уникальные имена».
- Проверить, что КриптоПро запущена с правами администратора.
Если сертификат находится на USB-носителе или дискете, или на ПК, то копия делается так:
- Пользователь устанавливает утилиту CertFix (https://h.kontur.ru/cf).
- После запуска утилиты дожидается загрузки списка сертификатов.
- Нажимает одновременно SHIFT и правой кнопкой мыши кликает по нужному хранилищу.
- В открывшемся окне выбирает вариант, зависящий от расположения хранилища.
- При необходимости вводят пароль и повторяют процедуру копирования.
Если сертификат расположен на рутокене:
- Подключают токен к ПК.
- Запускают утилиту tokens.exe (https://www.kontur-extern.ru/Files/Modules/CmsFile/Tokens.zip).
- Нажимают «Экспорт» у нужного контейнера.
- Выбирают место, куда нужно устанавливать сертификат.
- В следующем окне вводят новое имя для контейнера.
- Устанавливают утилиту CertFix и повторяют действия из предыдущего способа копирования.
Скопировать сертификат с флэшки на ПК нужно в случае, если пользователь работает сразу с несколькими ключами ЭЦП или часто путешествует. Установка подписи на ПК поможет снизить риски потери или порчи носителя, а процесс занимает всего несколько минут. Для копирования используется стандартная лицензионная программа КриптоПро, а установить сертификат можно двумя способами. Первый использует путь через «Личные сертификаты», а второй — через «Просмотр ключей в контейнере». Иногда при копировании закрытых ключей возникает ошибка, т.к. ЭЦП имеет встроенную защиту от экспорта. В этом случае нужно установить специальную утилиту и повторить весь путь копирования.
Как установить ключ ЭЦП на компьютер с Linux или Mac OS?
Вышеизложенная инструкция, как установить сертификат ЭЦП, актуальна только для компьютеров на операционной системе Windows.
Сервис ЭДиН поддерживает работу ЭЦП также под операционной системой Linux. На Mac OS на текущий момент подписывать электронные документы можно, используя мобильную ЭЦП. Как ее получить читайте здесь.
Проверка правильности установки SSL сертификата
После того, как SSL сертификат на сайт установлен и активирован, логическим завершением данного процесса будет проверка наличия ошибок, которые могли возникнуть в процессе.
Они могут быть разнообразны: начиная от несовпадения информации в сертификате с той, которая хранится в центре сертификации, заканчивая ошибками в работе самого сертификата.
Чтобы получить полный список проблем перехода на HTTPS и просканировать свой сайт на их наличие, я рекомендую воспользоваться следующими сервисами:
- https://www.ssllabs.com/ssltest
- https://www.digicert.com/help
В качестве вывода хотелось бы сказать, что в ходе чтения статьи вы сами заметили, насколько хостинг провайдер и панель управления хостингом упрощает жизнь при заказе, установке и настройке SSL сертификатов. Особенно вы могли это ощутить, если когда-либо устанавливали HTTPS соединение для сайта на сервере вручную, не располагающего панелью управления.
А это, надо сказать, неплохая мотивация пользоваться первым типом хостеров, где от пользователя не требуется много времени и знаний.
Особенно ценен данный аргумент для людей, которые никогда не были связаны с веб-программированием и созданием сайтов, но установка SSL сертификата на их сайты необходима.
Поэтому, если вы относитесь к данной категории, то советую воспользоваться услугами именно своего хостинг-провайдера. Я более, чем уверен, что он избавит вас от ненужной головной боли.
Ну, а если вы ещё только выбираете такового, то хочу порекомендовать TheHost, инструкция по созданию и установке SSL сертификата в панели управления которого и была представлена в данной статье.
На этом всё. До новых встреч!
P.S.: если вам нужен сайт либо необходимо внести правки на существующий, но для этого нет времени и желания, могу предложить свои услуги.
Более 5 лет опыта профессиональной разработки сайтов. Работа с PHP, OpenCart, WordPress, Laravel, Yii, MySQL, PostgreSQL, JavaScript, React, Angular и другими технологиями web-разработки.
Опыт разработки проектов различного уровня: лендинги, корпоративные сайты, Интернет-магазины, CRM, порталы. В том числе поддержка и разработка HighLoad проектов. Присылайте ваши заявки на email cccpblogcom@gmail.com.
И с друзьями не забудьте поделиться
Как установить сертификат ЭЦП на компьютер
Установка сертификата ЭЦП КриптоПро в систему Windows происходит после выполнения ряда действий:
- Зайти в «Панель управления» системы Windows;
- Запустить приложение «Крипто Про CSP»
- В открывшемся окне перейти на вкладку «Сервис»
- Присоедините к компьютеру носитель ключа электронной подписи к свободному USB порту в компьютере либо ноутбуке. Данную операцию можно сделать и раньше, важно, чтобы не позднее. Если требуется установить ЭЦП в КриптоПро с флешки, то на данном шаге нужно вставить флэшку с копией ЭЦП.
- На открытой вкладке «Сервис» нажать на кнопку «Просмотреть сертификаты в контейнере»
- На следующем шаге выбрать контейнер, сертификат которого нужно будет установить в систему и нажать на кнопку «ОК».
- Откроется окно. В нем необходимо будет нажать на кнопку «Далее», а на следующей вкладке на кнопку «Установить сертификат». Если этого не сделать, то ЭЦП после перезагрузки системы пропадет.
- Будет открыт мастер импорта сертификатов. В нем нужно просто прощелкать по кнопке «Далее», соглашаясь с предложенными по умолчанию настройками.
- После того, как операция будет проведена, на экран будет выведено сообщение «Импорт успешно выполнен».
Может наблюдаться ситуация, что если на компьютере будет производиться чистка реестра при помощи программы C&Cleaner либо аналогичной, то установленный сертификат может деактивироваться и потребуется повторная установка.
Данная процедура проводится аналогично во всех версиях Windows, начиная с XP. Также перед установкой рекомендуется установить актуальную версию антивируса, либо обновить имеющийся.
В системе Windows 10 это можно не делать, поскольку в нем есть встроенная антивирусная система Microsoft Essential.
Возможные проблемы при установке
Лица, использующие электронную подпись, часто сталкиваются со следующими проблемами:
- Сбой работы в связи с ошибкой в периоде использования сертификата. Возникает из-за того, что на ПК могут быть установлены неверные дата и время. Также пользователь может пропустить период обновления. Если с момента выдачи сертификата прошел 1 год, то его работа приостанавливается.
- Система отказывает в установке сертификата. Подобная ошибка может возникнуть из-за того, что пользователь не запустил службу поддержки программ для активации ЭЦП. Причиной такой ошибки может быть использование пиратских версий ПО WINDOWS. На них могут отсутствовать некоторые опции.
- Если USB токен повредился либо сломан вход для него, то возникнет ошибка чтения сертификата с носителя.
- Если у пользователя пропал доступ к Всемирной сети, то во время попытки подписания электронного документа система выдаст ошибку проверки сертификата. Рекомендуется подписывать документ через программу «КриптоПРО CSP». Она работает в автономном режиме.
Важно! Пользователи могут получать сервис по информационной поддержке в УЦ за отдельную плату. При возникновении сложностей специалисты помогут их решить.
Следовательно, настройка электронной подписи на ПК может проводиться самостоятельно. Специалистов привлекать не потребуется. Разработчики программного продукта побеспокоились о том, чтобы с операцией справился даже новичок. При возникновении затруднений можно обратиться в УЦ либо к операторам КриптоПРО.
«Быстрая» установка сертификатов.
Сертификаты можно устанавливать как напрямую, щелчком из проводника (windows explorer), так и через отдельную интерфейс-закладку Internet Explorer (еще это можно делать через mmc-консоль).
Рассмотрим первый способ установки, как самый быстрый и простой.
1.1 Установка корневого сертификата CA напрямую.
Для начала, необходимо установить корневой сертификат CA (сертификационного центра). Просто открываем в Windows Explorer-е директорию, где у нас лежат файлы сертификатов, и два раза щелкаем на созданном ранее файле tmp_org-ca.crt
В ответ получаем окошко, где нам предлагается установить сертификат в систему. Можно сразу щелкнуть по кнопке «Установить сертификат», а можно предварительно побегать по закладкам:
Закладка «Состав» показывает все параметры сертификата. Особенно интересны пункты «Действителен с» и «Действителен по» — сертификат будет действителен только в этом промежутке времени. Если им воспользоваться раньше или позже указанного времени, он будет отвергнутым (это касается сертификатов любых типов — как серверных, так и клиентских).
«Путь сертификации» показывает, что сертификат является корневым (самоподписанным).
После нажатия кнопки «Установить сертификат» в закладке «Общие», мы попадем в мастер импорта сертификатов.
Операционная система сама разберется, куда помещать сертификат, поэтому можно оставить галку на «Автоматически выбрать хранилище».
… осталось нажать кнопку «готово».
Выскакивает последнее предупреждение об установке нового центра сертификации «tmp_org root CA».
После нажатия на кнопку «да» в предыдущем меню, система сообщит нам, что импорт выполнен. Тем не менее, даже после нажатия на «ОК», основное окошко с сертификатом продолжает сообщать, что сертификат неизвестен. Это всего лишь «фича» операционной системы. Достаточно закрыть то окно и открыть его заново (два раза щелкнуть на файл с сертификатом):
В этом случае нам уже сообщают, что сертификат известен и ему доверяют.
1.2 Установка клиентского сертификата напрямую.
Клиентский сертификат устанавливается не сложнее, чем серверный. Выбираем в браузере нужный файл, в данном случае это — test_user2.p12,
И щелкаем на нем два раза левой кнопкой мыши.
После чего нас опять встречает мастер импорта сертификатов. После нажатия на кнопку «далее» вылезает окошко с запросом пароля, которым закрыт сертификат клиента, а также предлагающее выбор некоторых возможностей импорта:
Вводим пароль, которым был закрыт файл персонального сертификата (при конвертации его в формат PKCS#12).
Галка напротив «усиленной защиты ключа» дает возможность хранить персональный сертификат в зашифрованном виде. Но при каждом обращении к нему придется вводить кодовую фразу, что не всегда удобно, хотя это и повышает безопасность.
Вторая галка (пометить ключ как экспортируемый) позволяет в дальнейшем извлечь файл сертификата из системы и импортировать его куда-либо еще. Если вы не хотите, чтобы клиенты переносили свой сертификат на другую машину, эту галку ставить не нужно.
Далее опять предоставляем Windows самой разобраться, куда кидать персональный сертификат.
… и персональный сертификат установлен.
Как отправить ЭЦП по электронной почте
Следует понимать, что отправка электронной подписи по E-mail осуществляется по незашифрованным каналам и совсем небезопасна, что является основанием компрометации ключа и отзыва его у владельца, так как письмо легко могут перехватить мошенники, а ответственность за безопасность ЭП лежит и на удостоверяющем центре.
Но, если все же возникла необходимость отправить подпись через интернет, сделать это можно следующим образом: скопировать эл.подпись на флэшку, заархивировать содержимое накопителя и отправить по почте.
Копирование подписи: открыть программу «Крипто Про»-«сервис»-«скопировать»-«обзор»-выбрать контейнер, который нужно скопировать-выбор флэш-накопителя.
- Архивирование информации на флэшке: «мой компьютер»-выбор накопителя-щелкнуть правой кнопкой и выбрать вкладку «добавить в архив».
- Отправка по E-mail: выбрать получателя и прикрепить файл.
Полученный материал с электронной почты скачать на флэшку, распаковать и установить на ПК. При копировании и получении ЭЦП можно обойтись и без флэшки, воспользовавшись другими внешними носителями.