Настройка криптопровайдера КриптоПРО для работы с 1С-ЭДО

Внимательно читаем, в какое хранилище устанавливать корневые сертификаты казначейства ГУЦ и УЦ ФК

Устанавливаем корневые сертификаты ГУЦ и Минкомсвязь:
Cертификат головного удостоверяющего центра (ГУЦ ГОСТ 2001) — действителен с 20.07.2012 по 17.07.2027 (серийный номер: 34 68 1e 40 cb 41 ef 33 a9 a0 b7 c8 76 92 9a 29)
Сертификат Минкомсвязи России (ГУЦ ГОСТ 2012) — действителен с 06.07.2018 по 01.07.2036 (серийный номер: 4e 6d 47 8b 26 f2 7d 65 7f 76 8e 02 5c e3 d3 93)
Сертификат Минцифры (ГУЦ ГОСТ 2012) — действителен с 08.01.2022 по 08.01.2040 (серийный номер: 00 95 1f a3 47 7c 61 04 3a ad fa 85 86 27 82 34 42)

Инструкция по установке корневых сертификатов

https://youtube.com/watch?v=-_a5MOnAWZo%3Ffeature%3Doembed

1. Главная

2. Инструкции по учету в программах 1С

3. Справочник 1С-ЭДО

4. Подключение 1С-ЭДО

5. Настройка клиент-серверного подписания электронных документов

Недавно клиенты Федерального казначейства по Челябинской области получили письмо «О переключении клиентов СУФД-портала на работу через TLS». В письме Федеральное казначейство информирует о том, что это переключение необходимо завершить до 31.05.2021 года.

Я решил опубликовать небольшую статейку, касающуюся этой темы. Кстати, ниже в тексте, вы можете видеть заголовок этого письма:

Континент TLS — это средство криптографической защиты информации (СКЗИ), которое выдает Федеральное казначейство по Челябинской области своим клиентам, для работы в системе «Электронный бюджет». Ну, и значит, теперь еще будут выдавать тем, кто работает в СУФД. С чем это связано, спросите вы? Могу только предположить, что это связано с тем, что теперь не нужно будет получать «транспортный сертификат» Континент-АП, достаточно будет личного сертификата клиента, с помощью которого производится подпись электронных документов в СУФД.

Итак, приступим. Первое, что необходимо знать — это минимальные требования к компьютеру, на котором планируется работать в СУФД. Общее ППО клиентского уровня должно удовлетворять следующим требованиям:

• Операционная система не ниже Microsoft Windows 7;
• Крипто Про CSP browser plug-in версия 2 и выше;
• Браузер, поддерживающий работу плагина Internet Explorer 11 или браузер Chromium GOST с ГОСТ-шифрованием;
• «Крипто Про CSP» версия 4.0;
• «Континент TLS клиент» версии 2.0.

Открыть «Континент TLS-клиент». Запустить Континент TLS клиент можно с помощью ярлыка на рабочем столе или перейти в меню «Пуск» -> «Все программы» -> «Код безопасности» -> «Континент TLS-клиент». В меню Континент TLS-клиента необходимо нажать на «+ Добавить» и выбрать вкладку «Ресурс». В появившемся окне поля заполняются следующими значениями: Адрес — «ufk69.sufd.budget.gov.ru», Удаленный порт — «443». Всё проделанное иллюстрирует рисунок ниже:

После проведения вышеуказанных процедур вход в СУФД-Портал осуществляется по ссылке: https://ufk69.sufd.budget.gov.ru. Конечно, не надо забывать, что в личное хранилище на рабочем компьютере уже должен быть установлен личный сертификат. Как это сделать, я рассказывал тут. После перехода на СУФД-портал должно открыться окно выбора сертификата.

Если на рабочей станции в СУФД-Портале работают пользователи под разными учетными записями (руководитель, главный бухгалтер), то для переключения между пользователями необходимо сбросить TLS соединение и зайти заново. Для этого, выходим из СУФД-Портала. Закрываем браузер. Далее в правом нижнем углу нажимаем правой кнопкой на ярлык Континент TLS-клиента и в открывшемся меню выбираем «Сброс соединений». Это показано на следующем рисунке:

• Подкаталог 1 «Установка с правами администратора». Устанавливаем последовательно Континент TLS, КриптоПро браузер плагин и корневые сертификаты. Все программы запускаем от имени администратора;
• Подкаталог 2 «Установка под пользователем». Запускаем автонастройку Континент TLS с помощью *.bat файла.

Вот вроде и все, что хотелось рассказать. Отмечу, что если вы будете работать в СУФД через браузер Internet Explorer, то не забудьте добавить в список надежных узлов портал СУФД. Это можно сделать во вкладке «Безопасность». Выбираем «Надежные узлы» и нажимаем кнопку «Сайты». В появившемся окне вводим сайт «https://ufk69.sufd.budget.gov.ru» и нажимаем кнопку «Добавить». На этом все!

Как установить личный сертификат и скопировать контейнер закрытых ключей?

Итак, чтобы заходить в личный кабинет на сайтах ЕИС и ГМУ, а также подписывать документы в СУФД, необходимо установить личный сертификат в локальное хранилище на Вашем компьютере. Но не просто установить, а связать этот сертификат с закрытыми ключами. Это всё делается с помощью программы КриптоПро, которая, мы считаем, на компьютере у вас установлена.

Заходим в панель управления Вашего компьютера и запускаем КриптоПро, переходим во вкладку «Сервис»:

Тут нас интересует кнопка «Установить личный сертификат», на нее показывает красная стрелка (рис. 3). Жмем её и открывается окно, где нужно выбрать свой файл сертификата, который уже должен находиться у Вас где-нибудь, например на флешке, как у меня:

По кнопке «Обзор» выбираем этот файл (рис. 4) и жмем «Далее». Тут мы попадаем в окно, где можно посмотреть разные сведения о сертификате: срок действия, серийный номер и т.д. Я эти сведения замазал, но у Вас будет всё нормально:

Жмем «Далее» (рис. 5) и попадаем в следующее окно, где нам нужно будет указать контейнер закрытых ключей. Выбираем его по кнопке «Обзор» (рис. 6) и подтверждаем по кнопке «ОК» (рис. 7). После того, как всё это проделано, жмем «Далее» (рис. 8):

Что мы сделали? Всеми этими действиями мы как бы «привязали» наш сертификат к закрытым ключам. У нас теперь появилась «связка» сертификата и закрытых ключей. Стоит отметить, что такую «связку» можно сделать, только если сертификат соответствует закрытым ключам. Я уже как-то упоминал об этом в своих предыдущих статьях. Ну, ладно не будем отвлекаться. Теперь нам надо эту «связку» поместить в хранилище сертификатов:

Давайте это и проделаем. Мы должны поместить эту «связку» в личное хранилище. Это хорошо видно на рисунке 9. По кнопке «Обзор» можно это хранилище выбрать. Галку «Установить сертификат (цепочку сертификатов) в контейнер» можно поставить, а можно и не ставить. После этого останется только нажать на кнопку «Далее» (рис. 9) и на кнопку «Готово» (рис. 10). Всё, сертификат установлен. Именно после этого вы увидите установленный сертификат при входе, например, на сайтах zakupki.gov.ru и bus.gov.ru. Но не только. Именно после этих действий на Вашем компьютере появляется полноценная ЭЦП, с помощью которой, вы можете подписывать цифровой подписью документы.

Теперь давайте перейдем ко второй части нашей статьи. Бывают ситуации, когда необходимо скопировать контейнер закрытых ключей на другой носитель. Давайте не будем разбираться в причинах этого, вот возникла такая ситуация и всё, что же делать в этом случае? Конечно можно найти на флешке контейнер ключей и тупо скопировать его на другую флешку. Но, по моему, это не совсем корректно, это первое и второе — хорошо если на флешке только один ключ, а если их там 10 или 15, а вам нужен только один. Что же тогда? Всё просто. Давайте вернемся к рис. 3 и нажмем кнопку «Скопировать». На нее указывает красная стрелка (рис. 3). Попадаем в следующее окно:

По кнопке «Обзор» выбираем контейнер закрытых ключей, который нужно скопировать (рис. 11) и подтверждаем выбор по кнопке «ОК» (рис. 12), потом жмем «Далее» (рис 13). В следующем окне, нам надо придумать имя для контейнера, куда будут копироваться ключи. Оно не должно совпадать с исходным именем. КриптоПро 4.0 сама добавляет к существующему имени слово «Копия», так что если вас это устраивает, то можно так и оставить (рис. 14):

После нажатия на кнопку «Готово» (рис. 14), откроется окно (рис. 15), где нужно выбрать носитель, на который будет записан копируемый ключевой контейнер:

Когда это будет сделано, то откроется окно, где нужно придумать пароль (рис. 16). Нужно ли это делать? Об этом у меня есть целая статья, читайте, думайте, решайте. Когда определитесь с этим, то жмем «ОК» (рис. 16).

При установки СУФД старой версии, никаких проблем не возникало. Установка проходит нормально в автоматическом режиме. Поэтому описывать установку СУФД старой версии смысла не было. Новая версия СУФД тоже устанавливается нормально в автоматическом режиме, но работать после этого отказывается.

Это связано с тем, что в состав установочного пакета старой и новой версии, входят разные Java. Если старую Java настраивать не требовалось, то с новой не всё так однозначно. В этой статье я покажу как установить СУФД и настроить Java.

Итак приступим. Как я уже сказал, установка простейшая, поэтому весь процесс я просто покажу на картинках. Запустите установочный файл и последовательность ваших действий можно посмотреть на картинках ниже:

Итак, заходим в панель управления компьютером и запускаем Java (рис. 14):

На рис. 19 в поле «Sertificate type» выбираем «Signer CA» и нажимаем кнопку «Import». Выбираем сертификат. Если вы скачали архив с программой установки СУФД у меня с сайта, то сертификат находится в архиве. После импорта жмем кнопку «Close». Все, теперь главное не забыть о том, когда вы первый раз будете подписывать в СУФД какой-нибудь документ, то выйдет окно, как на рис. 20. Обязательно поставьте галочку «Do not show this again for apps from the publisher and location above» и нажмите «Run». На этом всё!

P.S. В 2019 году Федеральное казначейство выдает сертификаты по ГОСТ Р 34.10-2012. Чтобы подписывать документы в СУФД с помощью таких сертификатов, нужно использовать плагин ЭЦП браузера. Подпись на Java не работает.

Электронные цифровые подписи (ЭЦП) всё чаще используются предпринимателями и физлицами. Это экономит время и денежные средства. ЭЦП невозможно подделать, а внесение изменений в данные после подписания документа исключено. Причём для взаимодействия с контролирующими органами необходима именно квалифицированная подпись (КЭП). Получить её можно в аккредитованных удостоверяющих центрах. А вот о том, как установить сертификат ЭЦП на компьютер после её получения, мы пошагово расскажем в этой статье.

Электронная подпись может быть сформирована разными криптопровайдерами. В статье мы расскажем о том, как происходит установка сертификата электронной цифровой подписи, сформированной криптопровайдером КриптоПро.

Стоимость использования КриптоПро CSP

Каждый новый пользователь получает бесплатный тестовый период пользования программой – 90 дней. Когда этот период истечёт, нужно будет приобретать лицензию. Но иногда она уже включена в сертификат ЭЦП.

Технические требования для КриптоПро CSP

Перед установкой КриптоПро убедитесь, что ваш компьютер отвечает минимальным техническим требованиям:

• Процессор — Intel Core 2 Duo или другой схожий по производительности x86-совместимый процессор с количеством ядер 2 и более.
• Объем оперативной памяти — не менее 1 Гб.
• Свободное место на жестком диске — не менее 100 Мб.

• Операционная система Windows — Windows Server 2003 (32-разрядная), Windows Vista (32/64-разрядная), Windows 7 (32/64-разрядная), Windows Server 2008 (32/64-разрядная), Windows Server 2008 R2 (64-разрядная), Windows 8 (32/64-разрядная), Windows Server 2012 (64-разрядная), Windows 8.1 (32/64-разрядная), Windows Server 2012 R2 (64-разрядная), Windows 10 (32/64-разрядная), Windows Server 2016 (64-разрядная).

  При использовании более ранних версий Windows, чем Windows 8, на компьютере должен быть установлен накопительный пакет обновления часовых поясов KB2570791.

  Для операционной системы должен быть установлен последний пакет обновлений.

• Internet Explorer — версия 8.0 или выше.

Пошаговая инструкция установки ЭЦП в КриптоПро

1. Откройте программу КриптоПро CSP.
2. Во вкладке Сервис нажмите кнопку Просмотреть сертификат в контейнере.



3. Теперь нажмите Обзор .



4. КриптоПро выдаст вам окно с предложением выбрать контейнер. Там же будет отображаться доступный считыватель.



А если закрытый ключ содержится в виде файлов?

Закрытый ключ может быть в виде шести файлов: header.key, masks.key, masks2.key, name.key, primary.key, primary2.key

И если эти файлы находятся в корневой папке (то есть, записаны непосредственно на жёсткий диск), то КриптоПро CSP их не «увидит». Соответственно, все действия нужно производить только после того, как каждый файл перенесён на флешку. Причём находиться он должен в папке первого уровня.

После выбора контейнера откроется окно Сертификаты в контейнере закрытого ключа. С помощью кнопки Установить начните установку сертификата.



5. Если установка прошла успешно, перед вами появится окно о завершении операции. Закройте его, нажав ОК.

Если автоматическая установка сертификата не удалась, может потребоваться ручная установка. О том, как её осуществить, читайте нашей пошаговой инструкции.

Как настроить рабочее место

После установки сертификата квалифицированной ЭЦП на персональном компьютере, потребуется настройка рабочего места. Необходимо проверить установку и работоспособность:

• криптопровайдера;
• физического носителя;
• браузера;
• Астрал плагина;
• плагина Astral Toolbox;
• ЭЦП на любом портале для программного продукта Астрал-ЭТ.

Проверка криптопровайдера

Проверка ЭЦП

Настройка браузера

Для настройки работы браузера с ЭЦП, использующей КриптоПро, необходимо произвести установку плагина. Для каждого браузера потребуется определённое расширение. Разобраться поможет наша подробная инструкция.

Проверка плагинов

При возникновении проблем с Астрал Плагин требуется произвести его переустановку или произвести настройку межсетевого экрана или интернет-браузеров.
Если используются «Астрал Онлайн» или «Астрал.ОФД», плагины Astral Toolbox уже могут быть установлены. Версии данных плагинов не совместимы с продуктом «Астрал Отчёт 5.0». Обязательно требуется установка плагина не ниже версии 2.19.2.

Удалённая настройка рабочего места

Если вы не смогли настроить необходимые программы рабочего стола самостоятельно, у нас существует возможность заказать данную услугу. Наши специалисты произведут качественную настройку рабочего места для работы с ЭЦП удалённо: сэкономят время, установят соответствующее расширение для браузера, произведут настройку плагинов, соблюдая нюансы по их установке.

На этом всё! Всем, кто решил обезопасить себя и свой бизнес, используя электронную подпись взамен обычной, желаем успехов в установке!

Установка самоподписанных сертификатов весьма частая задача для системного администратора. Обычно это делается вручную, но если машин не один десяток? И как быть при переустановке системы или покупке нового ПК, ведь сертификат может быть и не один. Писать шпаргалки-напоминалки? Зачем, когда есть гораздо более простой и удобный способ — групповые политики ActiveDirectory. Один раз настроив политику можно больше не беспокоится о наличии у пользователей необходимых сертификатов.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Сегодня мы рассмотрим распространение сертификатов на примере корневого сертификата Zimbra, который мы экспортировали в прошлой статье. Наша задача будет стоять следующим образом — автоматически распространять сертификат на все компьютеры входящие в подразделение (OU) — Office. Это позволит не устанавливать сертификат туда, где он не нужен: на севера, складские и кассовые рабочие станции и т.д.

Откроем оснастку Управление групповой политикой и создадим новую политику в контейнере Объекты групповой политики, для этого щелкните на контейнере правой кнопкой и выберите Создать. Политика позволяет устанавливать как один, так и несколько сертификатов одновременно, как поступить — решать вам, мы же предпочитаем создавать для каждого сертификата свою политику, это позволяет более гибко менять правила их применения. Также следует задать политике понятное имя, чтобы открыв консоль через полгода вам не пришлось мучительно вспоминать для чего она нужна.

После чего перетащите политику на контейнер Office, что позволит применить ее к данному подразделению.

Теперь щелкнем на политику правой кнопкой мыши и выберем Изменить. В открывшемся редакторе групповых политик последовательно разворачиваем Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики открытого ключа — Доверенные корневые центры сертификации. В правой части окна в меню правой кнопкой мыши выбираем Импорт и импортируем сертификат.

Политика создана, теперь самое время проверить правильность ее применения. В оснастке Управление групповой политикой выберем Моделирование групповой политики и запустим по правому щелчку Мастер моделирования.

Большинство параметров можно оставить по умолчанию, единственное что следует задать — это пользователя и компьютер для которых вы хотите проверить политику.

Выполнив моделирование можем убедиться, что политика успешно применяется к указанному компьютеру, в противном случае раскрываем пункт Отклоненные объекты и смотрим причину по которой политика оказалась неприменима к данному пользователю или компьютеру.

После чего проверим работу политики на клиентском ПК, для этого обновим политики вручную командой:

gpupdate

Теперь откроем хранилище сертификатов. Проще всего это сделать через Internet Explorer: Свойства обозревателя — Содержание — Сертификаты. Наш сертификат должен присутствовать в контейнере Доверенные корневые центры сертификации.

Как видим — все работает и одной головной болью у администратора стало меньше, сертификат будет автоматически распространяться на все компьютеры помещенные в подразделение Office. При необходимости можно задать более сложные условия применения политики, но это уже выходит за рамки данной статьи.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Для настройки рабочего места СУФД портала — необходимо наличие следующих установленных программных продуктов на Вашем компьютере.

1. КриптоПро CSP — получить с лицензией можно в казначействе, или скачать триал версию с официального сайта.
2. Рекомендуемый браузер — ChromiumGOST
3. Плагин КриптоПро ЭЦП Browser plug-in (cadesplugin.exe)
4. Ссылка для работы в браузере (у каждого региона своя ссылка)
5. КриптоПро — не ниже 4 версии (с лицензионным ключом)
6. Континент АП — с действующим сертификатом, обеспечивает защищенное соединение. Так же необходимо знать адрес доступа (прописывается в настройках Континент АП) — для подключения. Внимание, в регионах идет переход на вход в СУФД по ЭЦП без использования Континент АП, однако осталась некоторая категория организаций, для которых этот пункт остается актуальным.
7. Корневые сертификаты казначейства (установленные в хранилища согласно инструкции).
8. Учетные записи для входа в СУФД (логин и пароль — которые заведены в казначействе). Не требуются — если вход осуществляется по ЭЦП.
9. Личные сертификаты пользователей СУФД (необходимы для подписания документов в СУФД с последующей отправкой в казначейство).
10. Иногда (если после подключения Континент АП, при входе в СУФД Вы видите белый экран, понадобится подправить файлик hosts

Часто к нам обращаются с вопросом, как установить сертификат через КриптоПpo CSP. Ситуации бывают разные: сменился директор или главбух, получили новый сертификат в удостоверяющем центре и т.п. Раньше все работало, а теперь нет. Рассказываем, что нужно делать, чтобы установить личный цифровой сертификат на компьютер.

Вы можете установить личный сертификат двумя способами:

1. Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»

2. Через меню КриптоПро CSP «Установить личный сертификат»

Если на рабочем месте используется операционная система Windows 7 без SP1, то устанавливать сертификат следует по рекомендациям варианта № 2.

Вариант № 1. Устанавливаем через меню «Просмотреть сертификаты в контейнере»

Чтобы установить сертификат:

1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Просмотреть сертификаты в контейнере”.

2. В открывшемся окне нажмите на кнопку “Обзор”. Выберите контейнер и подтвердите свой выбор кнопкой ОК.

3. В следующем окне нажмите “Далее”.

Если появится сообщение “В контейнере закрытого ключа отсутствует открытый ключ шифрования”, перейдите к установке цифрового сертификата по варианту № 2.

4. Если на вашем компьютере установлена версия “КриптоПро CSP” 3.6 R2 (версия продукта 3.6.6497) или выше, то в открывшемся окне нажмите на кнопку “Установить”. После этого согласитесь с предложением заменить сертификат.

Если кнопка “Установить” отсутствует, в окне “Сертификат для просмотра” нажмите кнопку “Свойства”.

5. В окне “Сертификат” — > вкладка “Общие” нажмите на кнопку “Установить сертификат”.

6. В окне “Мастер импорта сертификатов” выберите “Далее”.

7. Если у вас уставлена версия “КриптоПро CSP” 3.6, то в следующем окне достаточно оставить переключатель на пункте “Автоматически выбрать хранилище на основе типа сертификата” и нажать “Далее”. Сертификат будет автоматически установлен в хранилище “Личные”.

8. В следующем окне нажмите “Далее”, затем “Готово” и дождитесь сообщения об успешной установке сертификата: “Импорт успешно выполнен”.

Вариант 2. Устанавливаем через меню «Установить личный сертификат»

Для установки вам понадобится, собственно, сам файл сертификата (с расширением .cer). Он может находиться, например, на дискете, на токене или на жестком диске компьютера.

Чтобы установить сертификат:

1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Установить личный сертификат”.

2. В окне “Мастер установки личного сертификата” нажмите на кнопку “Далее”. В следующем окне, чтобы выбрать файл сертификата, нажмите “Обзор”.

3. Укажите путь к сертификату и нажмите на кнопку “Открыть”, затем “Далее”.

4. В следующем окне вы можете просмотреть информацию о сертификате. Нажмите “Далее”.

5. На следующем шаге введите или укажите контейнер закрытого ключа, который соответствует выбранному сертификату. Для этого воспользуйтесь кнопкой “Обзор”.

6.  Выбрав контейнер, нажмите “Далее”.

7. Дальше вам необходимо выбрать хранилище, куда будет установлен сертификат. Для этого в окне “Выбор хранилища сертификатов” нажмите на кнопку “Обзор”.

Если у вас установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, поставьте флаг “Установить сертификат в контейнер”.

8. Выберите хранилище “Личные” и нажмите ОК.

9. Хранилище вы выбрали. Теперь нажмите “Далее”, затем — “Готово”. После этого может появиться сообщение:

В этом случае нажмите “Да”.

10.  Дождитесь сообщения об успешной установке личного сертификата на компьютер.

Все, можно подписывать документы, используя новый сертификат.

1. Главная

2. Инструкции по учету в программах 1С

3. Справочник 1С-ЭДО

4. Подключение 1С-ЭДО

5. Настройка криптопровайдера КриптоПРО для работы с 1С-ЭДО