27.05.2004 16:22:56 | Создание сертификата пользователя | Ответов: 5 |
Газенкампф Александр |
Ответы:
27.05.2004 17:55:01 | Василий |
01.03.2007 18:22:24 | Константин |
01.03.2007 22:37:55 | Василий |
02.03.2007 12:01:17 | Константин |
mgn-doctor Оставлено |
|
Здравствуйте!
|
|
Андрей Писарев Оставлено |
|
Здравствуйте. В Windows — отображается владелец сертификата. |
|
Андрей Писарев Оставлено |
|
Цитата: В тех.поддержке ФСС мне сказали, что с самими сертификатами проблем нет — они выданы по всем стандартам, и что загвоздка кроется в самой Windows, а именно, в поле, которое принимается в качестве имени сертификата. Сказали, что программа ФСС по выдаче больничных берет в качестве имени сертификата именно то поле, которое по дефолту подхватывает ОС и что средствами Windows нужно как-то подменить выборку Сообщите тех.поддержке, что программисты ФСС должны использовать помимо commonName — CN (Общее имя\Владелец\Кому выдан), еще и предусмотренные 795 приказом ФСБ атрибуты: SN (surname) и G(givenName). Тогда проблем не будет в этом ПО.
|
|
mgn-doctor Оставлено |
|
Автор: Андрей Писарев Здравствуйте. В Windows — отображается владелец сертификата. Тех.поддержка ФСС говорит, что ПО настроено на отображении того же имени, которое выбирается ОС и что операционку можно как-то заставить считывать нужные нам поля. Но единственный конкретный озвученный вариант с заполнением понятного имени сертификата не сработал. Компания, выпустившая для нас ЭЦП сообщила, что в качестве имени сертификата на этапе создания ЭЦП автоматически подхватывается либо ФИО врача, либо название организации и в данном случае нам «не повезло», т.е. от удостоверяющего центра этот процесс не зависит и к ним претензий быть не может. В чем же истина и можно ли как-нибудь решить сложившуюся проблему? Автор: Андрей Писарев Цитата: Сообщите тех.поддержке, что программисты ФСС должны использовать помимо commonName — CN (Общее имя\Владелец\Кому выдан), еще и предусмотренные 795 приказом ФСБ атрибуты: SN (surname) и G(givenName). Тогда проблем не будет в этом ПО. Поля G и SN заполнены. На конкретном примере: Upd. Или вы имеете в виду, что недочет нужно устранить в самой программе по выдаче эл.больничных? Отредактировано пользователем 14 марта 2018 г. 15:44:52(UTC) |
|
Андрей Писарев Оставлено |
|
Автор: mgn-doctor Поля G и SN заполнены. На конкретном примере: Upd. Или вы имеете в виду, что недочет нужно устранить в самой программе по выдаче эл.больничных? Это и имелось ввиду. Представьте большее количество сертификатов, например, 20, с одинаковым названием (организация) — удобно? |
|
Андрей Писарев Оставлено |
|
Как пример, с отображением ФИО\Должности, срока действия: test.png (20kb) загружен 62 раз(а). |
|
BDmV Оставлено |
|
тот-же вопрос. Уточню свою проблему: |
|
Андрей Писарев Оставлено |
|
Здравствуйте. Необходимо отказаться от выбора сертификата из хранилища и выводить список программно, соответственно, никаких тогда проблем не будет (ФИО, Организация, ИНН, период действия — вывести рядом). Если это не Ваш сайт — то рекомендовать такую доработку. |
|
BDmV Оставлено |
|
К сожалению я не могу позвонить в Microsoft и попросить их доработать IE, нак не могу попросить переработать свои программы Федеральным порталам, да и всем сторонним программам, которыми мы пользуемся. Везде автоматом при запросе ЭЦП выскакивает окно со списком CommonName. |
|
Андрей Писарев Оставлено |
|
Автор: BDmV К сожалению я не могу позвонить в Microsoft и попросить их доработать IE, нак не могу попросить переработать свои программы Федеральным порталам, да и всем сторонним программам, которыми мы пользуемся. Везде автоматом при запросе ЭЦП выскакивает окно со списком CommonName. Не во всех программах и сайтах так. Если федеральные порталы не будут получать такие вопросы, так и будет, как сейчас. |
|
Настройка проверки формата сертификатов
Сервис Проверки Подписи «КриптоПро SVS» позволяет настроить дополнительную проверку
соответствия полей сертификата установленной форме.
Проверка происходит на основании структуры полей, представленных в следующих правилах.
- Версия (version). Версия сертификата должна быть не ниже 3.
- Серийный номер (serial number). Проверяется наличие номера и отсутствие в нем недопустимых символов.
- Алгоритм подписи (signature). В поле algorithm, входящем в состав поля signature, должен содержаться идентификатор используемого алгоритма подписи:
- ГОСТ Р 34.10–2012 с ключом длиной 256 бит: «1.2.643.7.1.1.3.2», szOID_CP_GOST_R3411_12_256_R3410
- ГОСТ Р 34.10–2012 с ключом длиной 512 бит: «1.2.643.7.1.1.3.3», szOID_CP_GOST_R3411_12_512_R3410
- (для архивного хранения и проверки подписи) ГОСТ Р 34.10-2001: «1.2.643.2.2.3», szOID_CP_GOST_R3411_R3410EL
- Имя издателя (issuer) — проверяется только наличие его в сертификате.
- Дата и время начала действия сертификата (notBefore).
- Дата и время окончания действия сертификата (notAfter).
- Имя владельца сертификата (subject).
Возможна проверка следующих компонентов имени владельца сертификата (компоненты имени проверяются на допустимые символы, длину, если такие требования имеются):- ФИО или наименование владельца (и другие сведения, если требуется) (commonName, title, surname, givenName)
- Местонахождение (countryName, stateOrProvinceName, localityName, streetAddress)
- СНИЛС (SNILS)
- ОГРН (OGRN)
- ОГРНИП (OGRNIP)
- ИНН (INN)
- ИНН юридического лица (ЮЛ) (INNLE)
- совпадение общего имени и наименования организации (CN=O)
- тип идентификации заявителя (identificationKind)
- Открытый ключ (subjectPublicKeyInfo). Проверяется только наличие его в сертификате.
- Дополнения (расширения) сертификата (Extensions). Проверяется только наличие следующих расширений в сертификате.
- Authority Key Identifier, OID.2.5.29.35, идентификатор ключа УЦ.
- Key Usage, OID.2.5.29.15, область использования ключа.
- Certificate Policies, OID.2.5.29.32, политики сертификата. Для данного расширения проверяется содержимое в соответствии с требованиями, указанными в Приказе ФСБ РФ от 27 декабря 2011 г. N 795.
- Subject Sign Tool, OID.1.2.643.100.111, сведения о средстве ЭП владельца сертификата.
- Issuer Sign Tool, OID.1.2.643.100.112, сведения о средствах ЭП УЦ и средствах УЦ.
- ExtendedKeyUsage, OID.2.5.29.37, расширенное использование ключа. Состав дополнения (расширения) зависит от информационной системы, в которой используется сертификат.
- CDP, OID.2.5.29.31, точки распространения списков сертификатов, досрочно прекративших действие (CRL).
- IdentificationKind, OID.1.2.643.100.114, идентификация заявителя.
Проверка сертификата выполняется при помощи специального плагина. Для активации проверки
сертификатов необходимо зарегистрировать плагин с помощью Windows PowerShell. После
установки КриптоПро SVS плагин находится в директории <Путь установки>\Plugins\certverifiers\
и называется SVS.CertificateVerifier.Qualified.dll
.
Для регистрации и настройки плагина проверки формата сертификатов используются командлеты
Add-VsCertificateVerifierPlugin, Get-VsCertificateVerifierPlugin,
Remove-VsCertificateVerifierPlugin.
Для настройки проверки того, что сертификаты выданы определенным УЦ, необходимо выполнение следующих действий:
-
зарегистрировать отпечатки корневых сертификатов в КриптоПро SVS. Работа с отпечатками производится при помощи командлетов
Add-VsQualifiedCAThumbprints, Get-VsQualifiedCAThumbprints
и Remove-VsQualifiedCAThumbprints. Если отпечатки не заданы, данная проверка сертификатов проводиться не будет. -
установить корневые сертификаты УЦ в выделенное хранилище КриптоПро SVS. Хранилище создается автоматически при установке
КриптоПро SVS и имеет название вида<Имя веб-приложения SVS>-TSL
.
Пример настройки плагина
# Регистрация плагина и настройка пути к файлу TSL (Windows)
Add-VsCertificateVerifierPlugin -Assembly SVS.CertificateVerifier.Qualified.dll -PluginDescription "Проверка сертификата на соответствие установленной форме" -Parameters @{'TSLPath'='C:\TSL.xml'}
# Регистрация плагина и настройка пути к файлу TSL (*nix)
Add-VsCertificateVerifierPlugin -Assembly CryptoPro.Plugins.VerificationService.CertificateVerifier.Qualified.dll -PluginDescription "Проверка сертификата на соответствие установленной форме" -Parameters @{'TSLPath'='/path_to/TSL.xml'}
# Добавление отпечатков корневых сертификатов Минцифры РФ
Add-VsQualifiedCAThumbprints -Thumbprint 4bc6dc14d97010c41a26e058ad851f81c842415a
Add-VsQualifiedCAThumbprints -Thumbprint aff05c9e2464941e7ec2ab15c91539360b79aa9d
Add-VsQualifiedCAThumbprints -Thumbprint 2f0cb09be3550ef17ec4f29c90abd18bfcaad63a
Если плагин зарегистрирован и настроен, в веб-интерфейсе КриптоПро SVS при проверке
сертификата будет выводиться дополнительная информация о соответствии его заданным правилам.
При проверке ЭП также будет осуществляться проверка данного сертификата.
Дополнительные параметры плагина:
- LocationCheck – требовать обязательного наличия компонентов местонахождения. Возможные значения: true, false. Значение по умолчанию false;
- OrganizationNameStrictCheck – требовать совпадения значений компонентов имени CN и O в сертификате. Возможные значения: true, false. Значение по умолчанию false;
- INNforLECheckMode – режим проверки ИНН ЮЛ. Возможные значения: Any, Soft, Strict. Значение по умолчанию Soft.
- Any – требуется присутствие INN и/или INNLE;
- Soft – требуется присутствие INNLE; присутствие INN докускается;
- Strict – требуется присутствие только INNLE.
- TSLPath — полный путь к файлу TSL.
Для проверки УЦ на принадлежность к заданному списку УЦ необходимо указать путь к файлу со списком
УЦ Tsl.xml
в параметре TSLPath.
Файл Tsl.xml
публикуется по адресу https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ca/getxml
.
Загрузка файла Tsl.xml
возможна следующими способами:
- при помощи утилиты Dss.TslTool.exe
DSS.TslTool.exe --skipcrl --skipcerts --skiproot
Файл TSL будет загружен в папку tmp
в каталоге утилиты Dss.TslTool.exe.
- при помощи команды
wget
в консоли Powershell
wget https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ca/getxml -OutFile E:\tmp\tsl.xml
SVS автоматически отслеживает изменения файла TSL, путь к которому указан в параметре TSLPath.
Скопировать актуальный файл TSL можно с помощью Powershell-скрипта, приведенного ниже.
Данный скрипт возможно добавить в планировщик задач и выполнять раз в сутки (или чаще).
Пример скрипта копирования TSL:
$ErrorActionPreference = "Stop"
# Полный путь к загруженному файлу TSL
$sourceFile = "E:\tmp\tsl_source\tsl.xml"
# Полный путь к файлу TSL, используемому SVS
$destinationFile = "E:\tmp\tsl_target\tsl.xml"
# Загрузка файла TSL
wget https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ca/getxml -OutFile $sourceFile
if (!(Test-Path $sourceFile -PathType Leaf)) {
# Загруженный файл TSL отсутствует
Write-Host "Файл TSL отсутствует! " $sourceFile
exit 2;
}
$targetFolder1 = Split-Path $destinationFile -Parent
if (!(Test-Path $targetFolder1 -PathType Container)) {
# Не существует каталог, в который требуется скопировать файл TSL
Write-Host "Каталог не существует! " $targetFolder1
exit 2;
}
if (!(Test-Path $destinationFile -PathType Leaf)) {
Write-Host "Копирование нового файла TSL..."
# Целевой файл TSL отсутствует
# Просто копируем файл TSL
Copy-Item $sourceFile -Destination $destinationFile
} else {
# Целевой файл TSL присутствует
# Копируем файл TSL при помощи временного файла
Write-Host "Замена существующего файла TSL... "
$targetFolder = Split-Path $destinationFile -Parent
$tmpTslPath = Join-Path -Path $targetFolder -ChildPath "temp_tsl.xml"
if (Test-Path $tmpTslPath -PathType Leaf) {
# Если временный файл существует, удалим его
Remove-Item $tmpTslPath -Force
}
# Копируем TSL во временный файл
Copy-Item $sourceFile -Destination $tmpTslPath
# Перемещаем TSL в целевой файл
Move-Item $tmpTslPath -Destination $destinationFile -Force
}
Настройка выполнения проверки полей сертификата по умолчанию
Проверка соответствия полей сертификата установленной форме при помощи описанного в данном разделе плагина
может применяться по умолчанию как в веб-интерфейсе SVS, так и при обращении к SVS с использованием REST API.
Для этого в настройках плагина необходимо указать флаг CheckByDefaultRequired
.
Пример:
Set-VsCertificateVerifierPlugin -ID 1 -CheckByDefaultRequired 1
В зависимости от интерфейса SVS данная настройка будет применена следующим образом:
- в веб-интерфейсе SVS — напротив пункта «Проверка сертификата на соответствие установленной форме» (или иной формулировке, если это было указано при настройке плагина) в разделе «Дополнительные проверки» по умолчанию будет активирован чекбокс. Пользователь может самостоятельно отключить проверку, деактивировав данный чекбокс перед отправкой сертификата на проверку.
- при использовании REST API SVS — параметр зависит от переданного в запросе списка CertVerifiersPluginsIds:
- если список передан — проверка не учитывается, будут применены плагины, указанные в списке;
- если список передан со значением NULL — проверка не учитывается, никакие дополнительные проверки к сертификату применяться не будут;
- если список НЕ передан (отсутствует в запросе) — проверка учитывается, сертификат будет проверен в соответствии с настройками плагина, описанного в данном разделе.
Для прикладных систем, взаимодействующих с КриптоПро SVS через REST API, но не умеющих обрабатывать результаты дополнительных
проверок сертификатов (параметр CertificateVerificationResult),
можно включить неуспешный результат проверки в основное сообщение об ошибке (параметр Message).
Данное поведение можно настроить при помощи следующей команды.
Set-VsProperties -IncludeCertPluginErrorInfoInMainError 1
Restart-VsInstance
Немного теории о цепочке сертификатов
Чтобы сертификат пользователя имел юридическую значимость он удостоверяется сертификатом удостоверяющего центра, а тот в свою очередь заверяется сертификатом Минкомсвязи России, который является корневым сертификатом. Это называется цепочкой сертификатов.
Чтобы программы «понимали» что сертификату пользователя можно доверять необходимо чтобы корневой сертификат был установлен в хранилище «Доверенные корневые центры сертификации».
Если всё установлено правильно, то вкладка «Путь сертификации» сертификата пользователя выглядит так:
Ошибка проверки цепочки сертификатов
Если в цепочке не хватает корневых сертификатов для проверки доверия к пользовательскому сертификату, то тестовая страница выдаёт ошибку:
Ошибка при проверке цепочки сертификатов. Возможно на ваш компьютер не установлены сертификаты УЦ, выдавшего ваш сертификат
Ошибка при проверке цепочки сертификатов. Возможно на ваш компьютер не установлены сертификаты УЦ, выдавшего ваш сертификат
-
7 февраля 2022
-
Обновлено 12 сентября 2022 -
-
Решение проблемы проверки цепочки сертификатов
Самый простой способ решения проблемы — запустить установщик корневых сертификатов. Он установит сертификаты в соответствующие хранилища в автоматическом режиме.
Этот установщик подходит для всех аккредитованных удостоверяющих центров (АУЦ), так как содержит главный сертификат Минкомсвязи России, которым в свою очередь заверяются сертификаты АУЦ.
А опытные пользователи, которые хотят установить сертификаты вручную, смогут без труда найти инструкции по установке корневых сертификатов.
Ошибка при проверке цепочки сертификатов. Возможно на ваш компьютер не установлены сертификаты УЦ, выдавшего ваш сертификат обновлено: 12 сентября, 2022 автором: ЭЦП SHOP
33 ответа
все заработало! а я замучилась с этой подписью,спасибо большое,добрый человек!
Добрый день, есть такая утилита на astra linux x64?
Добрый день!
Нет, но корневые сертификаты основных УЦ включены в последние дистрибутивы КриптоПро CSP. Обновите КриптоПро из последней сборки, должно помочь. Либо установка сертификатов вручную.
Благодарю за информацию. Но увы ЕГАИС Федеральное Агентство Лесного Хозяйства использует плагин, который не работает с КриптоПро CSP 5 версии, поэтому пришлось поставить 4 версию, а она без графического интерфейса, а вот далее уже как раз проблема с цепочками остаётся…
господи иисусе спасибо добрый человек я думала никогда уже не решу этот вопрос 😢😢😢
Огромная благодарность! Все заработало!
Спасибо за благодарность! 🙂
Сколько я всего перелопатил в инете, этож надо каждые 3 месяца придумывают новые сложности, долбаный честный знак.
Спасибо вам огромное, помогли
Корневые сертификаты периодически обновляются так же как и сертификаты пользователей.
Поэтому желательно обновлять ПО после каждого получения сертификата
Спасибо, помогло. Сначала думал, что вирус.
Спасибо за отзыв )
Спасибо, что окончили мои мучения!!!!! Помогло
😁 Пожалуйста
Помогло, спасибо вам большое!
Спасибо! Помог установщик сертификатов!
Огромное спасибо! Без вас подпись из ФНС не работала
Да, без корневых сертификатов вообще никакие не будут работать 🙂
Большое спасибо, помогло установить
Спасибо большое , установщик сертификатов помог
Рады за Вас )
Просто лучшие, программа помогла !!!!
Спасибо )
Спасибо. Помогли решить проблему
Спасибо огромное. Проблема устранена при помощи установщика сертификатов УЦ
Спасибо за отзыв 👍
Спасибо большое, заработало.
Спасибо, помогло быстро решить эту проблему
Добрый день!
Нету у меня ЦЗИ«КРИПТОБИТ»
Что Вы имеете в виду?
Я долго думал и понял! Вы про скриншот «Путь сертификации»!
ООО ЦЗИ«КРИПТОБИТ» — это наша организация. На этом месте будет наименование вашей организации или ФИО физлица. А выше наименование вашего УЦ!
Главное чтобы в состоянии сертификата было указано, что он действителен!
Не помогло
Значит нужно копать глубже!
Обратитесь в техническую поддержку УЦ, выдавшего сертификат
Дай Бог тебе здоровья,счастья и любви Добрый Человек,помог на все 100%СПАСИБО👍👍👍👍👍👍👍👍👍👍👍👍👍👍👍