Этапы выполнения работ по подключению к СУФД
- Сбор документов и получение дистрибутивов
- Подача документов и заключение договоров
- Настройка рабочего места
- Подача запросов на ключи Континент-АП и сертификаты пользователей
- Установка сертификатов и вход на портал
Документы для получения ЭП
Номера и коды
Перед установкой СКЗИ «Континент-АП» администратору безопасности необходимо ознакомиться с Руководством пользователя абонентского пункта «Континент-АП версия 3.7».Подготовить носитель ключевой информации (рекомендуется использовать USB — Flash носитель). Произвести маркировку USB-Flash носителя согласно внутреннему учету носителей предоставившей организации. Ключевые документы учитываются и хранятся в соответствии с требованиями «Инструкции об организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну», утвержденной приказом Федерального агентства правительственной связи и информации (ФАПСИ) при Президенте Российской Федерации от 13.06.2001 № 152.
Формирование и отправка запроса на сертификат ключа аутентификации клиента Континент-АП
В первую очередь необходимо изменить криптопровайдер по умолчанию. Для этого правой кнопкой мыши (ПКМ) нажать на значок Континент АП, и в пункте Выбор криптопровайдера по умолчанию выбрать «Код Безопасности CSP».
Установить в компьютер съемный носитель информации (флешку), на которую будет записана закрытая ключевая информация.
В представленной форме заполнить поля образом, представленным на картинке слева.
Обратите внимание, что бумажную форму сохранять не нужно, т.к. прилагается бланк заявления. Обратите также внимание на путь сохранения электронной формы. Это файл запроса (.req). Запомните этот путь, либо измените его для сохранения файла запроса на флешку. Для генерации ключа нажать кнопку «ОК».
В появившемся окне необходимо ввести пароль, состоящий из не менее 6 символов на создаваемый ключевой контейнер. Внимание: утерянный пароль на ключевой контейнер не восстанавливается.
В появившемся окне необходимо выбрать внешний носитель для создаваемого ключевого контейнера и нажать кнопку «ОК» (в качестве носителя поддерживаются дискета “3,5”, Touch Memory DS1993 – DS1996, электронный ключ с интерфейсом USB (token), cменный носитель с интерфейсом USB (usb-flash)). В настоящей инструкции приведен пример сохранения ключей на съемный usb-flash носитель.
В результате генерации на флешке сохранится закрытая часть сертификата (папка с зашифрованным названием) и, возможно (если в пункте 5 вы указали этот путь), файл запроса.
Для подачи запроса, необходимо отправить электронное письмо следующего содержания:
На заявке необходимо поставить угловой штамп!
Наступил 2019 год. Поэтому в соответствии с письмом УФК по Челябинской области «Об изменении порядка получения сертификатов Континента АП», с 01.01.2019 формирование запросов на сертификаты для работы в СКЗИ Континент АП, должно выполняться только с применением криптопровайдера «Код безопасности CSP» и алгоритма открытого ключа по ГОСТ Р 34.10-2012.
В связи с этим, я решил показать как сделать такой запрос на сертификат Континента АП. Первое, что нужно знать, это то, что такой запрос делается на версии программы не ниже чем 3.7.7.651. Если у вас версия другая, то получите нужную в вашем территориальном отделе Федерального казначейства и обновите свой Континент АП.
Кстати, обновить Континент АП до указанной версии очень просто. Не потребуется даже удалять предыдущую. Просто запускаете установку, а дальше установщик всё сделает сам. Правда это относится к версиям, которые используют криптопровайдер «Код безопасности CSP», например версия Континента АП 3.7.5.474. Если же у вас старая версия, какая как 3.5.68.0, то ее придется удалить штатными методами операционной системы, а потом установить новую.
После этого откроется окошко, где нужно будет заполнить все поля. Я заполнил их так, как вы видите на рисунке ниже, вы же заполняйте по своему:
В блоке «Файлы для сохранения запроса на сертификат», можно отредактировать имена этих файлов. Не забудьте поставить галочку «Бумажная форма» и по кнопкам «Обзор» укажите место для сохранения файлов на вашем компьютере. После нажатия на кнопку «Подробно», откроются варианты выбора криптопровайдера и формата запроса (рис. 2). Как уже говорилось в начале статьи выбираем криптопровайдер «Код безопасности CSP» и формат запроса «Запрос для СД» (запрос для сервера доступа). Имя контейнера тоже можно отредактировать. Если все это сделано, жмем «ОК» и приступаем к процессу генерации закрытых ключей и запроса на сертификат (рис. 3):
Как видно из рисунка 3, на вашем экране появится мишень, которая перемещается по экрану. Ваша задача кликать по ней мышкой и смотреть за полоской индикатора в окне «Код безопасности CSP», которая должна двигаться. С такой мишенью вы сталкивались, если сами устанавливали программу на компьютер, я же рассказывал об том тут. В конце всех этих действий надо нажать на кнопку «ОК» и процесс генерации ключей и запроса продолжится дальше:
После ввода пароля на носитель, а тут нас заставляют это сделать, как видно из рис. 4, минимальная длина пароля должна быть 6 символов и выбора ключевого носителя для записи ключей (рис. 5), генерация будет завершена (рис. 6). Теперь осталось посмотреть печатную форму и файл запроса, которые были сгенерированы вместе с закрытыми ключами. Открываем форму и видим, что алгоритм открытого ключа остался старый, т.е. сделанный по ГОСТ Р 34.10-2001. Это видно на рисунке ниже:
На рис. 8 показан алгоритм открытого ключа в том случае, когда у вас на компьютере установлен Континент АП и выше указанная программа. На рис. 9 показан алгоритм открытого ключа, когда у вас не установлен Континент АП. И в том и в другом случае это нормально. Ну а печатную форму необходимо откорректировать, заменив ее шаблон. На этом всё, спасибо за внимание и пока!
Формирование ключа и запроса на сертификат
Запрос и заявка на получение сертификата ключа аутентификации создаются пользователем самостоятельно с использованием средства криптографической защиты информации «КонтинентАП» (далее – СКЗИ «Континент-АП») версии не ниже 3.7. При этом одновременно формируется ключ аутентификации СКЗИ «Континент-АП». Файл запроса и электронная форма заявки сохраняются в указанный пользователем каталог, ключевой контейнер с ключом аутентификации сохраняется на съемном носителе, работу с которым поддерживает криптопровайдер «Код Безопасности CSP» (USB-накопитель).
Если программа «Континент-АП» не запущена, запускаем ее!
В трее (правый нижний угол панели), находим значек программы «Континет-АП» (Компьютер со щитом и буквой «К» на щите).
Нажимаем правой кнопкой миши на значек и выбираем последовательно:
Заполняем появившуюся форму!
Заполняем форму следующим образом:
В поле «Электронная форма» указывается каталог для сохранения файла запроса.
Напротив поля «бумажная форма» необходимо проставить флаг «V» и указать путь для сохранения печатной формы заявки, в дальнейшем ее необходимо будет распечатать, заполнить, подписать и проставить печать организации.
Нажимаем кнопку «Подробно», проверяем данные и в случае отличия значений в полях «Криптопровайдер» и «Формат запроса» от представленного ниже, вносим изменения!
Поле «Криптопровайдер» должно содержать значение «Код безопасности CSP»
Поле «Формат запроса» должно содержать значение «Запрос для СД»
Нажимаем кнопку «ОК»
Проверяем, что устройство для сохранения ключа аутентификации (закрытого ключа) подключено, указываем пароль (не менее 6 символов) для доступа к контейнеру, содержащему ключ аутентификации (закрытый ключ), и обязательно его запоминаем!
Выбираем носитель, на который будет сохранен ключ аутентификации (закрытый ключ).
Формирование завершено — Нажимаем кнопку «ОК»
Файл запроса должен выглядит следующим образом:
В результате генерации образуются:
- печатная форма заявки
- ключ аутентификации (закрытый ключ) на носителе (USB-накопителе)
Заполненную, подписанную печатную форму запроса с печатью организации и файл запроса необходимо предоставить на съемном носителе информации с сопроводительным письмом в территориальный орган Федерального казначейства по месту обслуживания организации.
Ключ аутентификации (закрытый ключ) не подлежит передаче!
Сертификат Континента АП.
В одной из своих статей я рассказывал как установить программу Континент АП на Windows 7. Дело в том, что эта программа использует в своей работе сертификаты, с помощью которых создается защищенное соединение и обмен данными с сервером доступа Континента АП. В этой статье я постараюсь рассказать как создать запрос на издание сертификата для Континента АП, а также как установить этот сертификат в программу.
После установки Континента АП, у вас в трее должен появиться значёк «серый щит». Если кликнуть этот «щит» правой кнопкой мышки, то появится контекстное меню, как показано на картинке ниже:
Тут надо выбрать пункт меню «Сертификаты», а затем «Создать запрос на пользовательский сертификат». Откроется следующее окошко (рис.2):
Эту форму необходимо заполнить. Перед этим не забудьте вставить чистый ключевой носитель. Ведь после заполнения этой формы начнется генерация закрытых ключей, которая происходит на отторгаемый ключевой носитель. Это может быть, например, флешка. Если вы используете на своём компьютере программу Крипто ПРО 3.6 и выше, то там флешки включены по умолчанию. А если быть более точным, то «Все съёмные носители». Генерацию на ключевой носитель типа «Реестр» не рассматриваю, т.к. это запрещено в нашем УФК.
Итак, вернемся к заполнению формы (рис.2). Как можно видеть, она состоит как бы из двух блоков. Я их обвел желтым контуром. Если с верхним блоком все интуитивно понятно (надо заполнить все поля), то на нижнем остановлюсь подробнее. Сразу необходимо установить галку «бумажная форма». По умолчанию она не установлена. По кнопкам «Обзор» можно выбрать место для сохранения файлов. А их будет два. *.reg и *.html. Имена файлов можно отредактировать так, как вам будет удобно, не меняя, конечно же, расширения файлов.
По умолчанию программа предлагает сохранить под следующим именем: имя компьютера в сети (я обвёл синим контуром), дата и время создания запроса. Как видно из рисунка, запрос создавался 10.12.2015 в 9 часов 51 минуту 46 секунд на компьютере с именем «imyacompa». Последние 3 символа добавляются случайным образом. Они всегда состоят из трёх цифр и какой-то системы в их генерации я не заметил.
Стоит отметить, что если вы скачали у меня с сайта программу Континент АП версии 3.5.68.0, то скорее всего там старый шаблон печатной формы. После установки данной программы, вам необходимо поменять этот шаблон. Это актуально для нашего региона, а именно Челябинской области. Изменение шаблона печатной формы затронет только печатную форму в формате *.html, на *.req файл это не окажет никакого влияния.
Итак, определившись с именем файлов, можно запустить генерацию запроса на сертификат, нажав кнопку «ОК». Как уже было сказано выше, мы получим 2 файла *.req и *.html, а также закрытые ключи на флешке или любом другом носителе.
Дальше необходимо действовать в соответствии с порядком предоставления запросов на сертификат, который действует в вашем УФК. У нас мы распечатываем *.html файл на бумажном носителе, подписываем владельцем сертификата и руководителем организации. Затем передаем в казначейство бумажный экземпляр и *.req файл на съёмном носителе и взамен получаем сертификат.
Итак, запрос отправлен в УФК, мы получили сертификат. Кстати, между отправкой запроса и получением сертификата может пройти время, у всех по разному, но главное дождаться сертификата. Что же дальше? А дальше кликаем правой кнопкой мыши на «щите» Континента АП и делаем то, что показано на рисунке ниже:
А именно: идем опять на «Сертификаты», а потом «Установить сертификат пользователя». Стрелочки на рисунке 3 показывают, что надо делать. Перед этим вставьте ключевой носитель с закрытыми ключами, полученными в результате генерации, а также подготовьте полученный из УФК сертификат. Я его переписал на ключевой носитель, чтобы он всегда был под рукой. Вы можете поступить по своему: переписать его куда угодно, главное, чтобы при установке Вы смогли до него добраться. Кстати, вместе с пользовательским сертификатом, наше УФК выдает также и корневой сертификат Континента АП. Этот сертификат, при установке, должен быть расположен в том же каталоге, что и пользовательский. В общем, на рисунке ниже всё это показано:
Корневой сертификат Континента АП — это файл root. Этот сертификат нужен при установке Континента АП в первый раз. После установки пользовательского сертификата, программа устанавливает корневой, если он не установлен. В противном случае — ничего не делает. Но если в первый раз программа не найдет корневой, то будут проблемы. Поэтому лучше пусть будет всегда вместе с сертификатом пользователя в одном каталоге.
Здесь, рисунок 4, при установке надо выбирать, конечно же, сертификат пользователя. Он подчеркнут мною на картинке. А желтая папка — это закрытые ключи, полученные при генерации запроса. Там шесть файлов с расширением *.key. Кстати, ключи стандартные для программы Крипто Про 3.6. Ведь именно она генерирует эти ключи. Итак, выбрав сертификат пользователя, нажимаем кнопку «Открыть» и попадаем на следующую картинку:
- закрытый ключ — это ключевой контейнер, получаемый при генерации;
- открытый ключ — это сертификат, полученный из казначейства.
Эти части соединяются (опять же, с помощью Крипто Про) только в том случае, если они соответствуют друг другу. Не составляет труда сделать вывод: если одна из частей утеряна или повреждена, то перестаёт работать всё ЭЦП. И исправить эту ситуацию невозможно, кроме генерации новой ЭЦП. Есть способы сделать копию ЭЦП, но в этой статье я касаться этого не буду.
Итак, возвращаемся к «нашим баранам». На рисунке 5 надо обязательно кликнуть по верхней строчке с ключевым контейнером, а потом нажать «ОК». После того как всё это будет проделано, Вы получите следующее окно:
Нажмем туда, куда показывает красная стрелка (рис. 8). Если на предыдущих этапах Вы следовали этой инструкции, то у Вас выскочит как минимум один сертификат. Вы должны выбрать именно тот, который только что установили (см. рис 9):
Выбрав его, отметьте галочкой «всегда использовать данный сертификат при подключении». В этом случае Ваш Континент АП будет подключаться к серверу используя указанный сертификат. В противном случае (если галка не установлена), он будет предлагать выбрать сертификат при каждом подключении. Чтобы узнать правильно ли был выбран сертификат, можно воспользоваться кнопкой «Свойства». Она покажет всё о выбранном сертификате. В конце, как всегда кнопка «ОК». Начнется процесс подключения Континента АП к серверу доступа. Если все сделано правильно, то в результате вы увидите в трее, как «щит» сменил цвет с серого на синий:
Если у Вас получилось то же, что и у меня, то я рад поздравить Вас с удачной установкой сертификата для континента АП. После того, как Вы подключились к серверу доступа, можете загружать СУФД и начинать в ней работать.
Исправление после установки версии 3
В случаи возникновения ошибок при подписании в СУФД-онлайн после установки Континент-АП 3.7 (например ошибка com.otr.cryptonew.CryptoDataException) рекомендуется выполнить следующее:
Необходимо удалить следующие ветки реестра:
После удаления веток реестра необходимо перезагрузить рабочую станцию!