Как установить сертификат из облачного хранилища КриптоПро DSS в КриптоАРМ
На вопрос знаете ли вы что такое облачная электронная подпись, вы скорее всего ответите, что это подпись, которая хранится в облаке, и будете правы. Облачная подпись, а точнее ключи облачной подписи, хранятся на веб-сервере организации, оказывающей услуги по предоставлению сервиса обмена электронными документами.
Плюсы такого варианта хранения в том, что такой ключ невозможно потерять или повредить, в отличии от физического носителя. Еще облачная подпись удобна тем, что она доступна всегда и с любого места. Все что нужно, это любой браузер и интернет, так что обычный смартфон автоматически превращается в готовый инструмент для электронной подписи.
Минусы у облачной подписи конечно же есть. Такая подпись не будет работать без подключенного интернета. Порой ей требуется телефон, например для подтверждения действий путем ввода коротких смс-кодов. Но основное неудобство, даже не в этом, а в том, что ключ облачной подписи может быть использован в рамках только одной определенной информационной системы или веб-сервиса.
Типичный пример, это личный кабинет налогоплательщика для физических лиц. В нем есть возможность бесплатно создать ключ неквалифицированной электронной подписи. Подпись выдается облачной и хранится она на сервере налоговой. Но использовать ее можно только для подачи заявок и обращений в ФНС и никуда более.
Каким образом использовать облачную подпись для подписи любых документов и для разных систем. Решение простое, это привязать ключ облачной подписи в настольном приложении. И уже из него подписывать файлы для Росреестра, ФСРАР или др.
Расскажем, как это выполнить поэтапно на примере сервера электронной подписи КриптоПро DSS, первого облачного криптопровайдера КриптоПро Cloud CSP и программы КриптоАРМ. В примере разумеется показан тестовый сервис КриптоПро DSS, поэтому веб-интерфейс пользователя может отличаться.
Импорт сертификата
Откройте инструмент управления сертификатами. Для этого:
- Нажмите WinKey+X, выберите Командная строка (администратор), введите mmc и нажмите Enter.
- В открывшейся консоли нажмите Ctrl+M.
- В левом списке диалога выберите Сертификаты и нажмите Добавить.
- В новом диалоге выберите учётной записи компьютера, затем нажмите Далее и Готово.
- В результате диалог приобретёт вид, как на изображении справа. Нажмите OK.
WinKey — клавиша со значком Windows.
В основном окне теперь появится раздел Сертификаты (локальный компьютер).
Раскройте его, а затем нажмите правой кнопкой мыши на папке Личное, выберите меню Все задачи, а в нём — команду Импорт.
В диалоге импорта не требуется менять значение полей, за исключением указания пути к файлу сертификата..
Внимание: в диалоге выбора файла нужно изменить тип (расширение) с Сертификат X.509 на Файлы обмена личной информации, иначе файл ключа (vpn-key.p12) не будет в нём виден.
На последнем шаге импорта Вы должны увидеть страницу с параметрами, как на изображении справа.
Теперь в разделе Личное (подраздел Сертификаты) будет 2 записи: одна для Центра сертификации (ЦС), другая для клиентского сертификата.
Перетащите запись ЦС в раздел Доверенные корневые центры сертификации.
В результате в Личное останется только клиентский сертификат.
Убедитесь, что всё сделано верно, сделав двойной клик на записи клиентского сертификата — в окне с информации не должно быть предупреждения о том, что сертификат не удалось проверить, проследив его до доверенного центра сертификации .
Теперь консоль и все другие окна можно закрыть.
Добавление считывателя Реестр в КриптоПро CSP
В первую очередь, чтобы наш КриптоПро смог работать с прописанными локально ключами, требуется добавить сам вариант подобного считывателя.
Для того, чтобы установить в CSP утилиту новый тип носителя, запускаем программу от имени администратора правой кнопкой мыши или из меню самой утилиты на вкладке Общие
Теперь переходим на вкладку Оборудование и нажимаем на кнопку Настроить считыватели.
Если в открывшемся окне нет варианта Реестр, то, чтобы его здесь вывести, жмём на кнопку Добавить.
Далее, следуя командам Мастера установки считывателя поэтапно перемещаемся по окнам:
- Жмём кнопку Далее в первом окне.
- Из списка считывателей от всех производителей выбираем вариант Реестр и снова жмём Далее .
- Вводим произвольное имя считывателя, можно оставить название по умолчанию. Жмём Далее .
- В последнем окне видим оповещение, что после завершения настройки считывателя рекомендуется перезагрузить компьютер. Жмём кнопку Готово и самостоятельно перезагружаем машину.
Первый этап завершён. Считыватель Реестр добавлен , о чём свидетельствует соответствующий пункт в окне Управление считывателями ( напоминаем, что данное окно вызывается по пути КриптоПро — Оборудование — Настроить считыватели. )
Где хранится ключ в реестре
Все установленные на ПК закрытые ключи ЭЦП хранятся в отдельной папке, которая называется реестром. Для просмотра закрытого ключа нужно иметь права доступа администратора. Чтобы открыть реестр, нужно нажать Win+R и в командной строке ввести certmgr.msc.
В новом окне откроются логические хранилища, где можно перейти к выбору сертификата. Расположены они по типам установки.
Чтобы посмотреть информацию об электронной подписи, нужно нажать «Открыть» на выбранном файле.
Установка контейнера закрытого ключа
Контейнер закрытого ключа может быть установлен на одном из носителей:
- реестр (для установки в реестр);
- директория;
- съемный диск для хранения ключей (usb-ключ, nfc-карта, виртуальный жесткий диск).
При установке контейнера в реестр или директорию нужно удостовериться, что предоставлены необходимые права на ветку реестра или на папку, в которую устанавливается контейнер.
При установке контейнера на виртуальный жесткий диск, необходимо подключить его следующим путем:
ПУСК → «Средства администрирования» → «Управление компьютером».
Открыть вкладку «Управление дисками», нажать «Действие» → «Присоединить виртуальный жесткий диск».
Выбрать загруженный ранее контейнер, нажать «ОК».
После этого новый диск будет добавлен.
Если хранить контейнер на виртуальном жестком диске, то после перезагрузки ПК этот жесткий диск потребуется подключать заново. Поэтому рекомендуем скопировать контейнер на любой из доступных носителей с помощью программы КриптоПро CSP. Для этого:
Запустите КриптоПро CSP от имени администратора, откройте вкладку «Сервис» и нажмите на кнопку «Скопировать».
В открывшемся окне необходимо выбрать, где будет располагаться ключевой контейнер (пользователь или компьютер) с помощью кнопки «Обзор» или «По сертификату».
При нажатии на кнопку «Обзор», потребуется выбрать контейнер из списка:
При нажатии на кнопку «По сертификату» потребуется выбрать нужный сертификат.
После того как выбран нужный контейнер, выберите имя и доступ сертификата.Нажмите кнопку «Готово».
После этого откроется окно выбора ключевого носителя, на который будет копироваться контейнер. укажите нужный и нажмите «ОК».
После выбора ключевого носителя создайте пароль на контейнер. Нажмите «ОК».
При успешном завершении операции появится следующее уведомление.
Как установить корневой сертификат удостоверяющего центра криптопро
Рассмотрим подробнее как происходит процесс установки.
В Windows
На компьютере потребуется установить файл, имеющий расширение «.crt». Оно используется для корневых сертификатов.
Удостоверяющий центр может его выдавать в архивированном виде. Тогда нужно воспользоваться специальными программами WinRAR или 7Z, чтобы данный файл извлечь из архива.
Затем нужно произвести следующие действия:
- Выделить файл и правой кнопкой мыши открыть контекстное меню.
- В меню выбираем команду «Установить сертификат», в результате которой запускается «Мастер импорта».
- После его запуска кликаем на кнопку «Далее».
- В выпавшем окне выбираем «Поместить все сертификаты в выбранной хранилище».
- После этого в диалоговом окне выбираем «Доверенные корневые центры сертификации» и нажимаем кнопку ОК. Обязательно нужно учесть, чтобы при этом в пункте «Показать только физические хранилища» не должна стоять галочка.
- Потом нажимаем кнопку «Далее», выпадает сообщение системы на компьютере об установке ключа неизвестного назначения, которое следует проигнорировать и закрыть. Затем нажать на кнопку «Готово».
Если устанавливать корневой сертификат, у которого закончился срок использования, то система выдаст ошибку.
После этого желательно компьютер перезагрузить, чтобы избежать проблемы работы КриптоПро CSP, которая характерна на старые версии этой программы.
В Linux
Современные дистрибутивы Linux намного больше дружелюбны к обычным пользователям, чем это было раньше. Поэтому, в настоящее время на них установка КС ничем сильно не отличается от аналогичных действий в Windows.
Чтобы установить головной сертификат УЦ необходимо щелкнуть по нему мышью два раза и выбрать «Установить сертификат». Импорт сертификата ЭЦП необходимо будет подтвердить вводом пароля пользователя.
Если при таком способе возникают проблемы, можно импортировать напрямую из терминала ключей удостоверяющего центра. Для этого необходимо в нем ввести команду certmgr -inst -store root -file «полный путь к файлу».
После обработки такой команды также потребуется ввести административный пароль.
Автоматическая настройка сдачи отчетности на компьютере 2
Перед тем, как приступить к отправке отчетности в
контролирующие органы с Компьютера 2 на этот компьютер в автоматическом режиме,
в процессе обмена данными с сервером спецоператора будут загружены необходимые
сертификаты. В процессе их получения необходимо будет подтвердить намерение
установить каждый сертификат.
Указанную установку сертификатов можно выполнить на
Компьютере 2 и вручную, для чего следует выполнить следующее:
1. Перейдите к редактированию данных организации, для которой вы настраиваете
«1С-Отчетность», и откройте вкладку Документооборот.
2. Щелкните по ссылке Обмен в универсальном формате.
3. В открывшемся диалоге нажмите кнопку редактирования (с
лупой) справа от поля Учетная запись документооборота.
4. Нажмите кнопку Настроить автоматически сейчас (рис. 3).
Приложение начнет обмен данными с сервером спецоператора связи, в процессе чего
с него будут загружены необходимые сертификаты.
Рис. 3
5. Подтвердите намерение установить каждый из сертификатов в
диалоговых окнах, которые будут появляться по мере загрузки.
6. Закройте диалоговые окна и форму организации.
Компьютер 2 готов к сдаче отчетности!
Как посмотреть сертификат эцп
Посмотреть установленные сертификаты можно при помощи Internet Explorer, Certmgr, консоль управления или КриптоПро. Пользоваться другими компьютерными программами не рекомендуется: они могут иметь встроенную команду отправки ключа ЭЦП на сторонний сервер, что приведет к компрометации подписи и невозможности ее использования.
Процесс копирования закрытых ключей с флешки на ПК состоит из нескольких этапов: настройки считывателей, самого копирования и установки.
Где хранится ЭЦП в системах Linux
В Linux системах список контейнеров с закрытыми ключами можно найти при помощи утилиты csptest. Находится она в директории: /opt/cprocsp/bin/ .
Список контейнеров компьютера: csptest -keyset -enum_cont -verifycontext -fqcn -machinekeys. Список контейнеров пользователя: csptest -keyset -enum_cont -verifycontext -fqcn. В списках имена контейнеров даются в виде, понятном для бинарных утилит, входящих в состав дистрибутива CSP.
Закрытые ключи хранятся в хранилище HDImageStore на жестком диске, и доступны они и для CSP, и для JCP.
Просмотреть список ключей электронной подписи на ОС Windows может только пользователь с правами администратора. Обычно ключи хранятся в системных папках и имеют расширение .cer или .csr. Чтобы посмотреть список, удалить ненужные элементы или скопировать их на внешний носитель можно воспользоваться программой КриптоПро, браузером Internet Explorer, консолью управления или специальной утилитой certmgr. В Windows XP открытые и закрытые ключи хранятся в разных папках, а закрытые дополнительно шифруются паролем, состоящим из комбинации случайных чисел. Системы Linux хранят все сертификаты в отдельной директории, а пусть к ним задается вручную при помощи команд.