Работа с КЭП
Что такое КЭП (ЭЦП)?
Реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить отсутствие искажения информации в электронном документе с момента формирования подписи (целостность), принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость).
Установка программного обеспечения
Для регистрации на сайте «Платформа ОФД» с КЭП используется специализированное программное обеспечение — КриптоПро CSP и КриптоПро ЭЦП Browser plug-in.
Официальный сайт — https://www.cryptopro.ru/
Для скачивания файлов произведите регистрацию или авторизацию на сайте https://www.cryptopro.ru/
После скачивания программ выполните их установку на ваш ПК следуя подсказкам на экране.
Рис. 1 установка КриптоПро CSP
Рис. 2 установка КриптоПро ЭЦП Browser plug-in
Установка личного сертификата в КриптоПро
При первом использовании КЭП установите драйвер для сертифицированного защищенного носителя с сайта производителя, т. к. Смарт карта, Рутокен, eToken, JaCarta автоматически определены на ПК не будут.
Рутокен — https://www.rutoken.ru/support/download/drivers-for-windows/
eToken, JaCarta — https://www.aladdin-rd.ru/support
Далее запускаем КриптоПро CSP и переходим во вкладку «Сервис», пункт «Установить личный сертификат»
В следующем окне необходимо указать путь к расположению сертификата.
Установка сертификата в хранилище сертификатов
Запускаем КриптоПро CSP и переходим во вкладку «Сервис», далее нажимаем на «Просмотреть сертификаты в контейнере».
Личный сертификат подписи должен быть установлен для пользователя, а не для локального компьютера
Загрузка показана на изображении ниже:
После нажатия на кнопку «Обзор», появится окно с выбором ключевого носителя для вашего пользователя.
Отсутствие ключевого контейнера в списке может быть вызвано:
- В USB-разъем не подключен ключевой носитель с подписью.
- В USB-разъем подключен ключевой носитель с подписью, но сам носитель неактивен по причине того, что для него не установлен необходимый драйвер.
В случае отсутствия закрытого ключевого контейнера для открытого ключа квалифицированной электронной подписи, необходимо обратиться в Удостоверяющий центр для устранения ошибки.
После выбора подписи проверьте информацию о сертификате вашей подписи в следующем окне:
Проверяя информацию о сертификате, обратите внимание на срок действия сертификата.
Корневые и промежуточные сертификаты удостоверяющего центра
Корневой сертификат Удостоверяющего центра (далее УЦ) возможно загрузить двумя способами:
- Обратиться в службу технической поддержки УЦ
- Самостоятельно загрузить сертификат с сайта УЦ
После загрузки корневого сертификата УЦ на ПК произведите его установку при помощи «Мастера установки сертификатов», как указано на изображениях ниже. В некоторых случаях для запуска мастера установки сертификатов требуется нажать на сам сертификат правой кнопкой мыши и выбрать пункт «Установить сертификат»).
Нажимаем кнопку «Далее» и выбираем «Поместить все сертификаты в следующее хранилище» и нажимаем кнопку «Обзор» (рисунок ниже).
Помещаем сертификат в «Доверенные корневые центры сертификации» и нажимаем «ОК» (рисунок ниже)
Затем нажимаем кнопку «Далее» и «Готово». В случае успешной установки появится окно (рисунок ниже). На этом установка корневого сертификата завершена.
Промежуточные сертификаты устанавливаются аналогичным образом, но в окне выбора хранилищ сертификатов выбираем «Промежуточные центры корневой сертификации».
В случае отсутствия установленных корневых и промежуточных сертификатов, личный сертификат подписи может работать некорректно, чаще всего это проявляется в виде ошибки «Не удалось построить цепочку сертификатов для доверенного корневого центра» или «A certificate chain could not be built to a trusted root authority (0x800B010A)».
Запустите исполняемый файл cadesplugin.exe.
Подтвердите установку КриптоПро ЭЦП Browser plug-in.
Если потребуется, разрешите КриптоПро ЭЦП Browser plug-in внести изменения на ПК путем нажатия кнопки «Да».
Дождитесь окончания установки КриптоПро ЭЦП Browser plug-in.
После окончания установки КриптоПро ЭЦП Browser plug-in нажмите ОК.
Дальнейшие настройки различаются в зависимости от используемого браузера.
Браузер Chrome: запустите Chrome и дождитесь оповещения об установленном расширении «CryptoPro Extension for CAdES Browser Plug-in». Включите это расширение. Если на Вашем компьютере ранее уже выполнялась установка КриптоПро ЭЦП Browser plug-in, а потом он был удален, потребуется отдельно установить расширение.
Для этого перейдите по ссылке и установите расширение из интернет-магазина Chrome.
Браузер Opera или Яндекс.Браузер: расширение доступно по ссылке.
Браузер Microsoft Internet Explorer: не требуется дополнительных настроек.
Проверьте корректность установки на странице проверки плагина. Для этого в открывшемся окне подтвердите доступ путем нажатия кнопки «Да».
Если установка КриптоПро ЭЦП Browser plug-in прошла успешно, появится окно с надписью: «Плагин загружен», указанием его версии и используемой вами версии КриптоПро CSP.
Распространенные ошибки
1.«A certificate chain could not be built to a trusted root authority (0x800B010A)» или «Не удалось построить цепочку сертификатов для доверенного корневого центра».
Установить необходимые корневые и промежуточные сертификаты.
2. «The revocation process could not continue — the certificate(s) could not be checked (0x800B010E)» или «Процесс отмены не может быть продолжен — проверка сертификатов недоступна (0x800B010E)».
- Отключить на время работы брандмауэр и антивирус.
- Отключить в настройках сети прокси – сервер.
3. Crypto Pro Cades Plugin не найден.
- Проверить статус плагина в настройках браузера
- Отключить программное обеспечение стороннего крипто провайдера
- Переустановить плагин для вашего браузера.
Ссылка — https://www.cryptopro.ru/products/cades/plugin/get_2_0
4. При выборе персонального ключа электронной подписи нет ни одного контейнера с сертификатом.
5. При нажатии на кнопку загрузить, ничего не происходит.
Удалить файлы кэш и cookies в браузере, который используется для регистрации на сайте «Платформа ОФД» и повторить процедуру заново.
В случае если ошибка повторится, сменить браузер на другой и повторить регистрацию.
6. КЭП не содержит ОГРН (ИНН).
- Проверить не принадлежит ли подпись физическому лицу.
- Проверить состав личного сертификата на наличие данных реквизитов. Если они отсутствуют, то рекомендуем обратиться в УЦ для корректировки подписи.
- Если данные реквизиты есть, но в них допущена ошибка или данные реквизиты расположены не в поле «Субъект», а в других полях, необходимо обращаться к УЦ для формирования состава КЭП в соответствии с методическими рекомендациями.
7. При выборе персонального ключа и нажатии на кнопку «Загрузить» требуется ввести Pin-код для защищенного сертифицированного аппаратного ключа.
По умолчанию установлены следующие PIN-коды:
- Рутокен — 12345678
- eToken — 1234567890
- JaCarta PKI — 11111111
При использовании JaCarta PKI с опцией «Обратная совместимость» 1234567890
В случае если эти Pin-коды являются некорректными необходимо обратиться к производителю КЭП.
8. Ошибка при выборе персонального ключа
В письме указать номер мобильного телефона, на который была осуществлена регистрация личного кабинета.
В консоли оператора
Microsoft Operations Manager 2005 или консоли
управления
System Center Operations Manager 2007 при
невозможности проверить сертификат могут возникать описанные ниже
ошибки. Ошибки также могут возвращаться в виде событий журнала
приложений. В этом разделе описываются способы устранения этих
ошибок либо приводятся ссылки на документы, которые позволяют
устранить ошибки проверки сертификата.
Дополнительные сведения о том, как транспортная служба Microsoft
Exchange выбирает сертификаты для протокола TLS, см. в разделе
Выбор
TLS-сертификата SMTP.
Ошибки проверки сертификата или
сообщения о состоянии
- Сертификат является допустимым, но
самозаверяющим. Эта ошибка является информационным
сообщением о состоянии. По умолчанию сертификат, устанавливаемый с
Microsoft Exchange Server 2007, является самозаверяющим.
Обычно рекомендуется использовать сертификаты доверенных сторонних
центров сертификации.Дополнительные сведения см. в разделе Инструкции по
активизации инфраструктуры открытых ключей (PKI) на сервере
«Граничный транспорт» для системы безопасности домена. - Нельзя проверить подпись сертификата. Это сообщение
о состоянии означает, что службе транспорта Microsoft Exchange
не удалось проверить цепочку сертификатов либо для проверки подписи
сертификата использовался неправильный открытый ключ.Дополнительные сведения см. в техническом документе Безопасность домена (на английском языке).
- Цепочка сертификатов обработана, но заканчивается корневым
сертификатом, которому не доверяет поставщик доверия. Это
сообщение о состоянии означает, что сертификат, используемый для
выполнения данной операции, не является доверенным для хранилища
сертификатов на компьютере. Чтобы данный сертификат был доверенным,
необходимо, чтобы в хранилище сертификатов данного компьютера
присутствовал его корневой центр сертификации.Дополнительные сведения о добавлении сертификатов вручную в
локальное хранилище сертификатов см. в файле справки для оснастки
диспетчера сертификатов в консоли управления (MMC). - Данный сертификат не подходит для такого
использования. Это сообщение о состоянии означает, что
необходимо включить сертификат для использования в текущем
приложении. Например, чтобы использовать данный сертификат для
безопасности домена, необходимо включить сертификат для протокола
SMTP.Дополнительные сведения о включении сертификатов см. в разделе
Enable-ExchangeCertificate.Кроме того, данное сообщение о состоянии может означать, что поле
«Улучшенный ключ» используемого сертификата содержит неверные
данные. Все сертификаты, используемые для протокола TLS, должны
содержать идентификатор объекта проверки подлинности сервера (также
называется «идентификатором объекта»). Чтобы использовать для
протокола TLS сертификат, не содержащий в поле «Улучшенный ключ»
идентификатор объекта проверки подлинности сервера; необходимо
создать новый сертификат.Дополнительные сведения см. в разделе Создание сертификата или
запроса сертификата для TLS. - Истек/не наступил срок действия требуемого сертификата при
проверке по системным часам или по штампу времени в подписанном
файле. Это сообщение о состоянии означает, что в системе
установлено неправильное время, срок действия сертификата истек
либо в системе, подписавшей файл, установлено неправильное время.
Проверьте, выполнены ли следующие условия:часы на локальном компьютере показывают точное время;срок действия сертификата не истек;часы в отправляющей системе показывают точное время.
Если срок действия сертификата истек, необходимо создать новый
сертификат.Дополнительные сведения см. в разделе Создание сертификата или
запроса сертификата для TLS. - часы на локальном компьютере показывают точное время;
- срок действия сертификата не истек;
- часы в отправляющей системе показывают точное время.
- Периоды сроков действия цепочки сертификатов вложены
неверно. Это сообщение о состоянии означает, что цепочка
сертификатов повреждена или ненадежна по каким-либо другим
причинам. Создайте с помощью командлета New-ExchangeCertificate
новый сертификат либо свяжитесь с центром сертификации, чтобы
проверить цепочку сертификатов, использованную для данного
сертификата. - Сертификат, который может использоваться только как конечный
субъект, используется как ЦС или наоборот. Это сообщение о
состоянии означает, что сертификат недопустим, поскольку он был
выпущен сертификатом конечного субъекта, а не центром сертификации.
Сертификат конечного субъекта — это сертификат, созданный для
криптографического использования в определенном приложении.
Создайте с помощью командлета New-ExchangeCertificate
новый сертификат либо свяжитесь с центром сертификации, чтобы
проверить сертификат. - Сертификат или подпись отозваны. Чтобы устранить
эту проблему, свяжитесь с центром сертификации. - Сертификат был отозван поставщиком этого
сертификата. Чтобы устранить эту проблему, свяжитесь с
центром сертификации. - Невозможно проверить функцию отзыва, т. к. сервер
отзыва сертификатов недоступен. Это сообщение о состоянии
означает, что сервер отзыва сертификатов недоступен. В некоторых
случаях эта ошибка является временной и связанной с тем, что сервер
отзыва сертификатов функционирует неверно. В противном случае
убедитесь в том, что компьютер имеет доступ к серверу отзыва
сертификатов. Если между компьютером и сервером отзыва сертификатов
находится брандмауэр или прокси-сервер, убедитесь в том, что
компьютер настроен соответствующим образом.Дополнительные сведения см. в разделе Инструкции по
активизации инфраструктуры открытых ключей (PKI) на сервере
«Граничный транспорт» для системы безопасности домена. - Процесс отмены не может быть продолжен — проверка
сертификатов недоступна. Это сообщение о состоянии
означает, что процесс отзыва был прерван из-за общей ошибки сети.
Если между компьютером и сервером отзыва сертификатов находится
брандмауэр или прокси-сервер, убедитесь в том, что компьютер
настроен соответствующим образом.Дополнительные сведения см. в разделе Инструкции по
активизации инфраструктуры открытых ключей (PKI) на сервере
«Граничный транспорт» для системы безопасности домена.