Электронная подпись
Установка списка отзывов в хранилище
Для установки списка в хранилище СОС, необходимо выполнить операцию импорта списка.
Для того чтобы импортировать список отзыва, выполните следующие шаги:
- В дереве элементов главного окна выберите раздел Списки отзыва сертификатов.
- В контекстное меню объекта (пункт Редактировать или контекстное меню на самом разделе) или на панели инструментов выберите пункт Импорт.
- Откроется стандартный диалог Мастер установки сертификата и СОС.
- Выберите импортируемый файл СОС в формате .crl:
- Укажите хранилище, куда будет импортирован список отзыва сертификатов.
Списки отзыва сертификатов всегда необходимо устанавливать в системное хранилище Промежуточные центры сертификации, так как система PKI работает только с СОС из хранилища Промежуточных ЦС. - После завершения операции возникнет сообщение об успешном импорте СОС.
Сертификат недействителен. Статус сертификата недействителен. Цепочка недействительна. Красный статус у сертификата в КриптоАРМ ГОСТ.
1. Сертификат может считаться не действительным, если не построена цепочка сертификации.
Нужно установить в хранилище сертификатов корневой сертификат. Если статус сертификата не изменился, то нужно импортировать все промежуточные сертификаты. Если после установки корневого и промежуточных сертификатов статус сертификата не изменился, то нужно импортировать еще список отзыва.
Примечание: Для получения корневого и промежуточного сертификата обратитесь в Удостоверяющий центр, который выпустил сертификат.
2. Цепочка сертификации построена, но не загружен список отозванных сертификатов.
Примечание: Для получения списка отозванных сертификатов обратитесь в Удостоверяющий центр, который выпустил сертификат.
На операционной системе Windows открыть сертификат в хранилище Сертификаты — Личные на вкладке Состав. Выберите в составе строку Точка распределения списка отзыва (CRL). Скопируйте ссылку для скачивания списка отзыва (это ссылка с окончанием crl).
Установка промежуточных, корневых сертификатов и списков отзыва описана в статье.
Вам необходимо воспользоваться любым из способов:
При помощи графического интерфейса
Установите сертификат в зависимости от формата вашего ключа:
Установка .pfx (экспортированный ключ с закрытой частью)
- Открыть «Инструменты КриптоПро», вкладка «Сертификаты»;
- Нажать «Импортировать ключи». По умолчанию при импорте ключ копируется на ваш ПК. Если требуется использовать сертификат на съёмном носителе, его нужно скопировать на носитель и после установить;
- Перейти в место хранения сертификата, выбрать его и нажать «Открыть»;
- Ввести пароль от сертификата, заданный при выгрузке, и нажать «ОК»;
- В новом окне можно задать пароль на сертификат. Если пароль не нужен, оставить поля пустыми и нажать «ОК»;
- Сертификат появится в списке сертификатов.
Установка .cer (только открытая часть)
- Открыть «Инструменты КриптоПро», вкладка «Сертификаты»;
- Нажать «Показать расширенные» и поставить галку «Отключить автовыбор хранилища (использовать текущее)». Если галку не ставить, «КриптоПро» автоматически будет определять хранилище для сертификатов. Личные сертификаты попадут в хранилище «Другие пользователи»;
- Перейти в выпадающем меню в нужное хранилище сертификатов и нажать «Установить сертификаты»;
- Перейти в место хранения сертификата, выбрать его и нажать «Открыть»;
- Окно закроется, на вкладке появится строка с установленным сертификатом.
Установка из .key (скопированные с носителя 6 файлов ключа)
- Скопировать папку с файлами в папку локального хранения контейнеров «КриптоПро», по умолчанию «/var/opt/cprocsp/keys/имя_пользователя»;
- После переноса ключи автоматически появятся на вкладке «Контейнеры» в «Инструментах КриптоПро»;
- Выбрать на вкладке «Контейнеры» нужный сертификат и нажать «Установить сертификат». Появится сообщение «Сертификат был успешно установлен»;
- После установки сертификат появится на вкладке «Сертификаты».
Установка сертификата с токенафлэш-накопителя:
- Подключить накопитель или токен к вашему ПК;
- В «Инструментах КриптоПро» перейти на вкладку «Контейнеры» и выбрать нужный контейнер на носителе;
- Нажать «Установить сертификат»;
- После установки сертификат появится на вкладке «Сертификаты».
Установка открытой части в контейнер закрытого ключа
/opt/cprocsp/bin/amd64/certmgr -inst -inst_to_cont -ask-container -pin «пин-код токена» -file “путь к файлу сертификата”
/opt/cprocsp/bin/amd64/certmgr -inst -inst_to_cont -ask-container -pin «12567» -file /path/to/certificate.cer
1. Откройте меню Пуск — Панель управления — КриптоПро CSP.
2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Просмотреть сертификаты в контейнере:
3. В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится на смарт-карте JaCarta):
4. После выбора контейнера нажмите кнопку Ок, затем Далее.
* Если после нажатия на кнопку Далее Вы видите такое сообщение:
5. В окне Сертификат для просмотра нажмите кнопку Установить:
6. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:
7. Дождитесь сообщения об успешной установке:
8. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.
Вариант 2. Установка через меню «Установить личный сертификат».
Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer). Он может находиться, например, на съемном носителе или на жёстком диске компьютера (если Вы делали копию сертификата или Вам присылали его по электронной почте).
2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Установить личный сертификат:
3. В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата:
4. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):
5. В следующем окне нажмите кнопку Далее; в окне Сертификат для установки нажмите Далее.
6. Поставьте галку в окне Найти контейнер автоматически (в нашем примере контейнер находится на смарт-карте JaCarta) и нажмите Далее:
7. В следующем окне отметьте пункт Установить сертификат (цепочку сертификатов) в контейнер и нажмите Далее:
8. В окне Завершение мастера установки личного сертификата нажмите Готово:
10. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:
11. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.
Установка доверенных корневых, промежуточных сертификатов и списка отзыва сертификата
Для работы с сертификатами нужно установить сертификат удостоверяющего центра (обычно
файл с расширением .cer или .p7b), при необходимости, цепочку сертификатов (обычно файл с
расширением .cer или .p7b), а также список отозванных сертификатов (обычно файл с расширением .crl).
Чаще всего расширение .cer соответствует сертификату, а .p7b — контейнеру, в котором может содержаться один или больше сертификатов (например, их цепочка).
Для получения корневых и промежуточных сертификатов нужно обратиться в удостоверяющий центр.
Установить сертификаты можно через программный интерфейс приложения КриптоАРМ ГОСТ
или с помощью команд программы КриптоПРО CSP.
Установка сертификата через КриптоАРМ ГОСТ:
Для выполнения импорта нового сертификата в хранилище выполняется кнопкой добавления сертификата («+»). В открывшемся окне нужно выбрать операцию Импорт из файла
В появившемся диалоговом окне нужно выбрать файл сертификата. Это может быть файл формата pfx, содержащий ключевую пару (закрытый ключ и сертификат), или обычный сертификат, у которого есть закрытый ключ.
При успешном выполнении операции импорта сертификат автоматически помещается в личные сертификаты.
Если при импорте не будет найден закрытый ключ, соответствующий сертификату, то возникнет сообщение с предложением установить данный сертификат в подходящее хранилище или принудительно в выбранное. Если сертификат без закрытого ключа будет установлен в личное хранилище, то данным сертификатом нельзя будет подписывать и расшифровывать файлы.
Для выполнения импорта нового сертификата в хранилище выполняется кнопкой добавления сертификата («+»)и выбора опции Импорт из файла
В появившемся диалоговом окне нужно выбрать файл сертификата.
При успешном выполнении операции импорта сертификат автоматически помещается в выбранное хранилище.
Если при импорте приложение определило, что для данного сертификата лучше подойдет другое хранилище, то возникнет сообщение с предложением установить сертификат в подходящее хранилище или принудительно в выбранное.
Установка корневого, промежуточных и списка отозванных сертификатов с помощью программы КриптоПРО CSP и OS X осуществляется командами:
− Установка корневого сертификата удостоверяющего центра
Списки отзыва сертификатов (СОС)
Для работы со списками отзыва сертификатов в пункт меню сертификаты добавлен подпункт Списки отзыва сертификатов.
Списки отзыва можно импортировать, экспортировать и удалять.
Для импорта списка отзыва надо нажать кнопку добавления («+») и выбрать опцию Импорт из файла. В открывшемся окне выбрать файл списка отзыва.
При успешном импорте СОС отображается в разделе Список отзыва сертификатов.
Для экспорта списка отзыва нужно нажать кнопку Экспортировать. Открывается форма выбора кодировки файла. При нажатии на Экспорт следует выбрать директорию для сохранения и задать имя файла СОС.
Для удаления СОС надо нажать кнопку Удалить и подтвердить удаление в соответствующем окне.
Что такое корневые сертификаты, списки отозванных и зачем они нужны?
Корневой сертификат (CA) — это файл, в котором указана информация об удостоверяющем центре. Для корректной работы личного сертификата необходимо установить корневые сертификаты (а именно «промежуточный», выданный Удостоверяющему центру, и «головной корневой» сертификаты, называемые «цепочкой доверия») Удостоверяющего центра, который выпустил данный сертификат.
Списки отозванных сертификатов (CRL)– список аннулированных сертификатов.
Корневые сертификаты и списки отозванных необходимы для проверки информации о действительности и подлинности электронной подписи пользователя.
Где скачать корневые сертификаты?
Корневые сертификаты зависят от Удостоверяющего центра, выдавшего сертификат. Посмотреть, кем выдан сертификат, можно в открытой части сертификата (файл с расширением .cer). Информация указана в поле «Кем выдан» на вкладке «Общие».
Если сертификат выдан УЦ:
- ООО «Такском» – сертификаты можно загрузить с нашего сайта: раздел «Техподдержка» — «Корневые сертификаты и списки отзыва» или с помощью «Мастера настройки».
- Федеральная налоговая служба – можно загрузить с сайта ФНС.
- Для других – необходимо обратиться в Удостоверяющий центр, выдавший сертификат.
Какие корневые сертификаты нужны для работы с сертификатами УЦ «Такском»?
Для работы с сертификатами УЦ ООО «Такском» необходимо установить следующие корневые и промежуточные сертификаты:
Для сертификатов «Биржа СПбМТСБ» и «Неквалифицированная ЭП»
Чтобы проверить ГОСТ сертификата, необходимо:
- Открыть Internet Explorer – «Сервис» — «Свойства браузера» («Свойства обозревателя» для IE 9 и ниже);
- На вкладке «Содержание» выбрать «Сертификаты»;
- Нажать на необходимый сертификат двойным кликом и выбрать вкладку «Состав»;
- Проверить строку «Алгоритм подписи».
Как проверить, установлены ли корневые сертификаты?
Необходимо открыть сертификат (файл с расширением .cer) и перейти на вкладку «Путь сертификации».
Пример корректно установленной цепочки доверия
Если «цепочка доверия» установлена некорректно, на каком-либо сертификате или на самой цепочке могут быть красные «крестики» (пример на скриншоте ниже).
Пример некорректно установленной цепочки доверия
Как установить корневые сертификаты и списки отозванных?
Для установки списка отозванных сертификатов воспользуйтесь инструкцией: инструкция по установке списка отозванных сертификатов.
Установить корневые сертификаты можно несколькими способами:
Откройте «Мастер настройки рабочего места», нажмите «Настроить» и следуйте подсказкам системы. Инструкция по работе с «Мастером настройки».
Важно при установке сертификата обязательно выбирать только соответствующую папку:
- корневые сертификаты необходимо устанавливать в папку «Доверенные корневые центры сертификации»;
- промежуточные – в «Промежуточные центры сертификации».
Корневой сертификат — это файл, в котором указаны данные удостоверяющего центра (УЦ). Например, название УЦ, его ИНН и адрес, срок действия сертификата, какой алгоритм шифрования использует УЦ.
К этим данным обращается криптопровайдер, когда проверяет действительность электронной подписи пользователя. Если не установить корневой сертификат на компьютер, где используется электронная подпись, то подпись не будет работать корректно.
Чтобы быстро установить корневой сертификат и настроить компьютер, используйте бесплатный сервис Контур.Веб-диск. Он скачает все плагины и файлы, необходимые для правильной работы электронной подписи.
Удостоверяющий центр использует корневой сертификат, чтобы:
- выдавать сертификаты электронной подписи (ЭП, она же ЭЦП) пользователям, например, гендиректору организации или нотариусу,
- отзывать эти сертификаты, подписывая корневым сертификатом список отозванных (аннулированных) сертификатов.
Если вы еще не получили электронную подпись, оформите ЭП в удостоверяющем центре, который прошел аккредитацию. В УЦ Контура есть подписи для сотрудников, торгов, отчетности и личных дел. Поможем оформить сертификат ФНС для руководителя.
Корневой сертификат участвует в «цепочке доверия». «Цепочка доверия» — это взаимосвязь нескольких сертификатов, которая позволяет проверить, действительна ли электронная подпись и можно ли доверять сертификату ЭП.
Рассмотрим «цепочку доверия», сформированную для квалифицированного сертификата электронной подписи:
1. Корневой сертификат Минцифры РФ (ранее — Минкомсвязь РФ).
Это верхнее звено «цепочки доверия». Минцифры РФ осуществляет функции головного удостоверяющего центра в России. Оно наделяет другие удостоверяющие центры, прошедшие аккредитацию, правом выдавать квалифицированные сертификаты ЭП — выдает им собственные сертификаты, подписанные корневым сертификатом Минцифры РФ.
Например, в Windows корневой сертификат можно найти через «Управление сертификатами» — «Доверенные корневые центры сертификации» — «Сертификаты».
2. Сертификат удостоверяющего центра. Официально его называют «промежуточный сертификат», но распространено также название «корневой сертификат УЦ».
Среднее звено «цепочки доверия». УЦ получает этот сертификат от Минцифры РФ, когда становится аккредитованным. С помощью своего промежуточного сертификата УЦ выдает квалифицированные сертификаты пользователям: организациям, их сотрудникам, простым физлицам (п.2.1 ст.15 63-ФЗ).
В Windows промежуточный сертификат хранится в «Управление сертификатами» — «Промежуточные центры сертификации» — «Сертификаты».
3. Личный сертификат пользователя — квалифицированный сертификат электронной подписи.
Конечное звено «цепочки». Пользователь обращается в УЦ и получает там квалифицированный сертификат ЭП (он же КЭП, ЭП или ЭЦП). В его сертификате указаны данные «вышестоящих» сертификатов — УЦ и Минцифры.
В Windows личный сертификат можно найти через «Управление сертификатами» — «Личное».
Все сертификаты должны быть установлены в хранилище сертификатов (на компьютер) и действительны. Только тогда криптопровайдер сможет проверить доверие к сертификату пользователя и действительность электронной подписи, сформированной на основе этого сертификата.
«Путь сертификации» в составе сертификата показывает цепочку доверия: корневой сертификат, промежуточный и личный сертификат пользователя. Установить сертификаты можно с помощью сервиса от УЦ Контур или браузера-обозревателя.
Выше мы описали «цепочку доверия» для квалифицированных сертификатов. Поскольку такие сертификаты могут выдавать только аккредитованные УЦ, то в цепочке три звена: Минцифры — аккредитованный УЦ — пользователь. Именно такую связь можно увидеть, если открыть личный сертификат пользователя на вкладке «Путь сертификации» (см. скриншот выше).
Для неквалифицированных сертификатов ЭП «цепочка доверия» может состоять только из двух звеньев: УЦ — пользователь. Это возможно потому, что УЦ для выдачи неквалифицированных сертификатов не нужна аккредитация. Звенья такой «цепочки» будут называться: «корневой сертификат» и «пользовательский (личный) сертификат»
Программа установки всех сертификатов импортирует корневой сертификат Минцифры и промежуточные сертификаты УЦ. Подключение к интернету на момент установки не требуется.
Да, можно, но работать она не будет. Корневой и промежуточный сертификат является тем ключом, к которому обращается криптопровайдер при проверке подлинности подписи. Для признания ключа действительным в системе должен быть установлен корневой сертификат. В противном случае пользователь увидит окно с уведомлением об ошибке.
Это актуально как для ЭП, хранящейся на компьютере, так и для ЭП на токене, с небольшой разницей:
- при работе с ЭП на компьютере, корневой сертификат устанавливается один раз, обычно при первой установке ЭП,
- если ЭП хранится на токене, то корневой сертификат необходимо устанавливать на тот компьютер, с которым предстоит работать.
Корневой сертификат представляет собой файл, который содержит свойства и данные:
- серийный номер,
- сведения об УЦ,
- сведения о владельце сертификата,
- сроки его действия,
- используемые алгоритмы
- открытый ключ электронной подписи,
- используемые средства УЦ и средства электронной подписи,
- класс средств ЭП,
- ссылка на сертификат «вышестоящего» УЦ, который выдал данный сертификат (для промежуточного сертификата),
- ссылка на реестр аннулированных (отозванных) сертификатов (для промежуточного сертификата),
- электронную подпись УЦ, выдавшего сертификат.
Какой срок действия корневого сертификата удостоверяющего центра
Корневой сертификат УЦ Минцифры действует 18 лет. Промежуточный сертификат аккредитованного УЦ действует 15 лет — это дольше, чем действие любого пользовательского сертификата ЭП, который такой УЦ выдаст клиенту. Пользовательские сертификаты выдаются обычно на 12, 15 месяцев.
УЦ сам следит за сроками действия своих промежуточных и корневых сертификатов, чтобы не доставить неудобств клиентам. УЦ Контура обновляет сертификаты в среднем раз в год — это необходимо, чтобы соблюдать требования эксплуатационной документации к срокам ключей электронной подписи на сертифицированные средства УЦ и ЭП. Обновление происходит незаметно для пользователей и не влияет на их работу.
Для начала работы с электронной подписью необходимо установить корневые и промежуточные сертификаты УЦ. У клиентов УЦ Контура установка обычно происходит автоматически — во время автонастройки компьютера. Ниже мы опишем и автоматический, и ручной способ.
Автоматическая установка — наиболее простой и быстрый способ, который не требует специальных знаний и навыков от вас:
- Откройте любой удобный браузер, это может быть Google Chrome, Mozilla Firefox, Internet Explorer или другой.
- Зайдите в сервис автоматической настройки рабочего места Контур.Веб-диск.
- Действуйте по указаниям сервиса: он продиагностирует ваш компьютер, найдет каких плагинов и файлов не хватает, предложит их установить. Вместе с ними установит необходимые корневые и промежуточные сертификаты.
- Перейдите в раздел «Корневые сертификаты». Дальше возможны два варианта.
- Выберите год, когда был выдан промежуточный сертификат УЦ Контура. Чтобы найти дату, откройте личный сертификат пользователя, выберите вкладку «Путь сертификации» и откройте промежуточный сертификат.
Если возникли ошибки — при установке корневого сертификата или при работе с электронной подписью — обратитесь в нашу техподдержку. Специалисты помогут разобраться в проблеме. Звоните на или пишите по контактам Центра поддержки, указанным в правом нижнем углу страницы.
Сертификаты Удостоверяющего Центра
Удостоверяющий центр
Кросс-сертификаты
Установка списка отозванных сертификатов
- Техподдержка по электронным подписям
- Корневые сертификаты и списки отзыва
- Установка списка отозванных сертификатов
Список отозванных сертификатов нужен, чтобы проверить сертификат средствами ГКО и «Такскома».
Чтобы установить список отзыва:
- Откройте личный сертификат пользователя в «КриптоПро CSP» (меню «Пуск» – «Панель управления» — «КриптоПро CSP» — «Сервис») нажмите кнопку «Просмотреть сертификаты в контейнере» — «Обзор» — выберите нужный ключевой контейнер (сертификат) – нажмите кнопку «Далее» — откройте сертификат с помощью кнопки «Свойства».
- Перейдите на вкладку «Состав» и выберите из списка «Точки распространения списков отзыва»;
- В блоке «Имя точки распространения» скопируйте ссылку (выделите ее и нажмите Ctrl+C);
- Откройте браузер и скопируйте ссылку в адресную строку, нажав Ctrl+V;
- Сохраните файл на компьютер в произвольное место;
- Откройте папку с ранее сохраненным файлом, нажмите на него правой кнопкой мыши и выберите «Установить список отзыва (CRL)»;
- Следуйте указаниям «Мастера импорта сертификатов».
Важно! На этапе выбора хранилища сертификата необходимо выбрать пункт «Автоматически выбрать хранилище на основе типа сертификата».
Помогла ли статья решить вопрос?
Благодарим за отзыв!
Спасибо, что сообщили нам!
Установка корневых сертификатов и списков отзыва
/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/.cer -store uRoot
Через графический интерфейс
- Открыть «Инструменты КриптоПро», нажать «Показать расширенные»;
- Поставить галку «Отключить автовыбор хранилища (использовать текущее)»;
- В выпадающем меню выбрать «Доверенные корневые центры сертификации»;
- Нажать «Установить сертификаты», в открывшемся меню найти файл сертификата центра сертификации и нажать «Открыть»;
- Может появиться сообщение-предупреждение о том, что установка корневых сертификатов несет риск безопасности. Нужно нажать «ОК»;
- Внизу окна появится сообщение «Установка завершена». Если его развернуть, появится информация о совершенном действии.
Установка списка отозванных сертификатов
/opt/cprocsp/bin/amd64/certmgr -inst -crl -file ~/Загрузки/.crl
Установка цепочки промежуточных сертификатов
/opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/.p7b -store CA