Меню Рубрики

Установка корневого сертификата головного удостоверяющего центра

Инструкция по установке корневого сертификата удостоверяющего центра (УЦ)

Для проверки подлинности электронной подписи на компьютере, где и используется ЭЦП, обязательно должен устанавливаться корневой сертификат удостоверяющего центра. Это открытый ключ, по которому криптопровайдер понимает, какая именно организация выдала электронную подпись и к чьему реестру необходимо обращаться для проверки актуальности ЭЦП. Более того, только при наличии установленного в системе корневого сертификата на компьютер можно скопировать персональную электронную подпись (в виде открытого ключа, сгенерированного с помощью USB‑токена). Где получить и как установить корневой сертификат удостоверяющего центра?

Где взять корневой сертификат

Если удостоверяющий центр не предоставил необходимый файл при выдаче ЭЦП – следует обращаться к нему за получением информационной помощи. Также нередко корневые сертификаты можно скачать на официальном сайте УЦ (к примеру, кто получал ЭЦП в «Контур», то может скачать их по адресу https://ca.kontur.ru/about/certificates).

Необходимо обратить внимание, что срок действия корневых сертификатов также ограничен и составляет 12 месяцев с даты их регистрации (выдачей занимается Минкомсвязи, его наличие у УЦ подтверждает, что организация аккредитована). Соответственно, в начале нового календарного года необходимо проводить инсталляцию нового ключа удостоверяющего центра, чтобы продолжать нормально пользоваться электронной подписью.

Можно ли установить ЭЦП без корневого сертификата

Без корневого сертификата электронную подпись установить тоже получится, но такой ключ не будет признаваться в качестве действительного. Соответственно, подписать документ не получится (КриптоПро CSP будет выдавать ошибку, ссылаясь на невозможность проверить подлинность ЭЦП).

Это актуально и для онлайн-сервисов, где выполняется авторизация через ЭЦП. Все это работать не будет даже при считывании открытого ключа непосредственно из USB-накопителя через КриптоАРМ (без интеграции корневого ключа в систему). Операционная система точно так же будет выдавать ошибку, ссылаясь на невозможность проверить подлинность подписи.

Какая информация содержится в корневом сертификате

Что такое корневой сертификат удостоверяющего центра? Это файл, где сохранена сервисная информация об удостоверяющем центре с указанием даты его действия, сервисным интернет-адресом (через который можно связаться с реестром организации). Все эти данные предоставляются в шифрованном виде, которые использует КриптоПро CSP для проверки подлинности открытой персональной ЭЦП.

Основное назначение корневого ключа – это именно проверка подлинности открытого ключа ЭЦП. Открытую подпись гражданина в теории можно украсть, но воспользоваться ею без сертификата от удостоверяющего центра – не получится. То есть, вся эта схема сделана так, чтобы предотвратить факты использования чужой ЭЦП мошенниками или просто третьими лицами.

Как установить

  1. Необходимо правой кнопкой кликнуть на файл с расширением .crt;
  2. Выбрать «Установить сертификат», после чего запустится «Мастер импорта»;
  3. Нажать «Далее»,
  4. Выбрать «Поместить все сертификаты в выбранной хранилище»;
  5. Из диалогового окна выбрать «Доверенные корневые центры сертификации», нажать ОК (пункт «Показать только физические хранилища» не должен быть отмечен галкой);
  6. Нажать «Далее», на предупреждение системы об установке ключа неизвестного назначения можно не обращать внимание и просто закрыть данное окно, затем – кликнуть на «Готово».

В том случае, если пользователь попытается провести установку корневого сертификата удостоверяющего центра, срок действия которого уже истек, то при попытке его импорта система выдаст ошибку.

После установки корневого ключа настоятельно рекомендуется перезагрузить компьютер. В противном случае – могут возникать ошибки при запуске КриптоПро CSP (довольно частая проблема при использовании Windows XP устаревших редакций, которые официально уже не поддерживаются разработчиком ПО).

Установка в Linux

В современных дистрибутивах Linux установка корневых сертификатов удостоверяющих центров выполняется ничуть не сложнее, нежели в среде Windows. Потребуется файл с расширением .crt, достаточно по нему дважды кликнуть мышкой и выбрать «Установить» (подтвердить выбор необходимо введением пароля пользователя).

При возникновении каких-либо проблем рекомендуется воспользоваться консольной утилитой certmgr. Установка из терминала ключей удостоверяющего центра выполняется по следующей команде: certmgr -inst -store root -file . После ввода данной команды также необходимо указать пароль Root (так как файл интегрируется в корневой раздел диска).

Возможные проблемы и пути их решения

Первое, на что стоит обратить внимание если не устанавливается корневой сертификат удостоверяющего центра – это на лицензию операционной системы. В пиратских версиях Windows функционал, отвечающий за установку и работу с сертификатами, довольно часто полностью обрезан или нарушена целостность хранилищ (из-за некоторых отключенных служб). Поэтому начать следует именно с установки лицензионной версии Windows.

Читайте также:  Установка лицензии криптопро из сертификата

Если при попытке установки корневого сертификата удостоверяющего центра возникает ошибка на недостаточность полномочий пользователя, то это означает, что в систему необходимо войти под логином администратора и выполнить установку в таком режиме. Если речь идет о компьютере, подключенного к локальной сети предприятия, то сертификат импортируется в хранилище сервера.

Такая ошибка возникает при использовании устаревшей редакции Windows 7. Необходимо обновить ОС до редакции Service Pack 1 и выполнить импорт сертификата удостоверяющего центра ещё раз.

Также следует упомянуть, что разработчики КриптоПро CSP рекомендуют использовать 64-битные версии операционных систем. Это актуально для Windows 7 и выше. Windows XP последней редакции (Service Pack 3) никогда не выходила в 64-битной вариации, но там с установкой сертификатов никаких подобных проблем не возникает.

Данная ошибка также часто встречается в Windows Vista (кроме редакции Service Pack 2). Решение – обновить операционную систему или установить более актуальную версию. Все это относится не только к пользовательским версиям Windows, но и к серверным.

Если Windows выдает ошибку при попытке выполнения импорта сертификата во внутреннее хранилище, то это может указывать на:

  • использование несовместимого дистрибутива криптопровайдера (следует использовать КриптоПро CSP версии 3.5 или выше);
  • копия открытого ключа уже установлена в систему (проверить список можно через КриптоПро CSP из панели управления Windows);
  • ошибки в работе с реестром (рекомендуется выполнить восстановление системы или чистку реестра с помощью специального ПО, типа C&CLeaner);
  • срок действия корневого сертификата удостоверяющего центра истек (необходимо импортировать действующий, а не отозванный);
  • файл ключа поврежден (его целостность проверяется с помощью хеширования, на сайтах удостоверяющих центров может указываться хеш-сумма для проверки).

Если все вышеуказанные причины устранены, но ошибка все равно возникает, то следует выполнить переустановку операционной системы с очисткой всего хранилища ранее установленных пользователем сертификатов.

Обновление корневого сертификата удостоверяющего центра

При наступлении нового календарного года необходимо самостоятельно устанавливать обновленные ключи удостоверяющих центров на компьютеры, где используется ЭЦП (операционная система выдаст соответствующее напоминание при запуске).

Выполнить обновление можно двумя методами:

  1. Вручную загрузить и установить необходимый ключ.
  2. С помощью специального ПО, распространяемого удостоверяющими центрами (таковое есть, к примеру, в «Контур»).

Установка нового сертификата ничем не отличается от описанной выше. Удалять старый ключ удостоверяющего центра не обязательно – он все равно будет считаться системой как недействительный, использоваться он не будет.

Итого, как установить корневой сертификат удостоверяющего центра для КриптоПро? Как и любой другой ключ, потребуется лишь указать в качестве хранилища «Доверенные корневые центры». В противном случае – ключ будет импортирован как персональный, для проверки электронной подписи он использоваться не будет.

источник

Установка корневого сертификата головного удостоверяющего центра

Скачайте корневой сертификат по ссылке, затем дважды кликните левой кнопкой мыши по нему (Рис. 1).

Читайте также:  Установка программ на win64

Рис. 1. Скачанный корневой сертификат

Во всплывающем предупреждающем окне нажмите «Открыть» (Рис. 2).

Рис. 2. Предупреждающее окно

Откроется сертификат. Во вкладке «Общие» нажмите кнопку «Установить сертификат» (Рис. 3).

Рис. 3. Корневой сертификат

Откроется окно «Мастер импорта сертификатов». Нажмите кнопку «Далее» (Рис. 4).

Рис. 4. Окно «Мастер импорта сертификатов»

Далее отметьте строку «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор» (Рис. 5).

Рис. 5. Хранилище сертификатов

В открывшемся окне выберите «Доверенные корневые центры сертификации», затем нажмите кнопку «Ок» (Рис. 6).

Рис. 6. Выбор хранилища сертификатов

В окне «Мастер импорта сертификатов» нажмите кнопку «Далее» (Рис. 7).

Рис. 7. Окно «Мастер импорта сертификатов»

Далее нажмите кнопку «Готово» (Рис. 8).

Рис. 8. Завершение «Мастера импорта сертификатов»

Во всплывающем предупреждающем окне нажмите кнопку «Да» (Рис. 9).

Рис. 9. Предупреждение о безопасности

Дождитесь завершения установки корневого сертификата. По окончанию нажмите кнопку «Ок» (Рис. 10).

Рис. 10. Завершение установки

источник

Установка корневого сертификата головного удостоверяющего центра

Информация обновлена: 18.01.2020

В 2020 году разрешается использовать для электронной подписи только по новому ГОСТ Р 34.10-2012. Для работы необходимо установить корневой сертификат c таким же ГОСТом, как у вашего сертификата (физического или юридического лица).

Как узнать по какому ГОСТу выпущен ваш сертификат (физического или юридического лица)?
Для этого открываем ваш сертификат (как правило это файл следующего вида «Фамилия Имя Отчество.cer» или «Название организации.cer»), идем на вкладку «Состав», в поле «Алгоритм подписи» указан ГОСТ (2001 или 2012).

Если ваша подпись выпущена по ГОСТ 2001, то необходимо перевыпустить ее в вашем удостоверяющем центре по ГОСТ 2012.

Издатель: Головной удостоверяющий центр, г. Москва, ул. Тверская, д. 7
Субъект: Минкомсвязь России, г. Москва, ул. Тверская, д. 7
Действителен с ‎20 ‎июля ‎2012 ‎г. по ‎17 ‎июля ‎2027 ‎г.
Алгоритм подписи ГОСТ Р 34.11/34.10-2001

Издатель: Минкомсвязь России, г. Москва, ул. Тверская, д. 7
Субъект: Минкомсвязь России, г. Москва, ул. Тверская, д. 7
Действителен с ‎6 ‎июля ‎2018 ‎г. по ‎1 ‎июля ‎2036 ‎г.
Алгоритм подписи ГОСТ Р 34.11-2012/34.10-2012 256 бит

Инструкция по установке Корневого сертификата Головного удостоверяющего центра ГУЦ Минкомсзязи

На файле корневого сертификата кликаем правой кнопкой мыши и выбираем пункт «Установить сертификат».

В окне мастера импорта сертификатов выбираем хранилище «Локальный компьютер» и нажимаем кнопку «Далее».

Выбираем «Поместить сертификаты в следующее хранилище» и нажимаем «Обзор…»

Выбираем «Доверенные корневые центры сертификации» и нажимаем «ОК».

В следующем окне нажимаем «Далее».

В следующем окне нажимаем «Готово».

В конце видим сообщение об успешном импорте сертификата. Жмем «ОК».

Для работы с электронной подписью, также обязательно установить

  • Корневой сертификат вашего удостоверяющего центра;
  • Криптопровайдер (КриптоПро или КриптоАРМ и т.д.);
  • Сертификат вашей электронной подписи (физического или юридического лица). Инструкция по установке тут;
  • Возможно потребуется КриптоПро ЭЦП Browser plug-in.

Вам также может понравиться

Электронная подпись в Йошкар-Оле

Электронная подпись в Сыктывкаре — получить ЭЦП в аккредитованном удостоверяющем центре

Электронная подпись в Чебоксарах — получить ЭЦП в аккредитованном удостоверяющем центре

У этой записи 3 комментариев

Какое-то не соответствие изображений рекомендациям. Рекомендуют выбрать Доверенные корневые. А помещают в Промежуточные. Чему верить?

Admin

Спасибо за замечание. Исправили. Помещать сертификат надо в доверенные корневые центры сертификации.

вопрос

Правильно ли я понимаю, что если мне нужно установить по инструкции TLS Континент , то мне не нужен Крипто про, а то они конфликтуют?

Читайте также:  Установка звонка на нокиа 630

Пока что я вижу что после установки TLS он все равно не хочет нормально распознавать корневые сертификаты наших гостов.
«Этот сертификат содержит недействительную цифровую подпись.»

источник

Что такое сертификат головного удостоверяющего центра и как его установить

Функции головного удостоверяющего центра (УЦ) в соответствии с приказом Правительства РФ под номером 976 от 28.11.2011 г. в отношении удостоверяющих центров с аккредитацией выполняет Министерство связи и массовых коммуникаций РФ. Целью головного УЦ является создание и контролирование сертификатов электронной подписи (ЭЦП), выданных аккредитованными удостоверяющими центрами, а также проверка ключей ЭЦП. Скачать сертификат головного удостоверяющего центра для последующей установки нужно с официального портала (https://www.roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/).

Способы установки сертификата

Пользователь может установить сертификат головного удостоверяющего центра автоматически или ручным способом. Автоматическая установка удобнее, но ручная позволяет проследить путь хранения сертификатов и позволит в дальнейшем находить, удалять или устанавливать нужные ключи ЭЦП.

Автоматическая установка

Для автоматической установки корневого сертификата необходимо скачать программу CertToTrust.exe (wiki.7405405.ru/images/CertToTrust.exe). После запуска программа самостоятельно установит все необходимые корневые сертификаты.

Ручная установка

При помощи пошаговой инструкции установить сертификат сможет любой пользователь ПК. Занимает это всего несколько минут.

После того как корневой сертификат скачан, по нему нужно дважды кликнуть левой кнопкой мышки.

В новом окне пользователь нажимает «Открыть».

Затем во вкладке «Общие» нажать «Установить».

В открывшемся мастере импорта нужно нажать «Далее».

Затем поставить галочку напротив строки «Поместить все сертификаты в следующее хранилище» и нажать «Обзор».

В новом окне пользователь выбирает папку с доверенными корневыми центрами.

После этого в мастере импорта пользователь нажимает «Далее».

Еще один шаг — это нажатие кнопки «Готово».

В новом окне пользователь подтверждает свое действие.

На этом ручная установка завершается. В течение нескольких секунд будет проходить операция по установке, после чего появится соответствующее окно.

При помощи КриптоПро

Установить корневой сертификат можно и при помощи приложения КриптоПро. Для этого к USB-разъему нужно подключить носитель ключа электронной подписи, полученный в удостоверяющем центре.

Далее установка выполняется в несколько последовательных шагов.

Пользователь открывает КриптоПро.

Во вкладке «Сервис» нужно нажать «Посмотреть в контейнере».

В открывшемся окне пользователь выбирает ключевой контейнер.

Затем пользователь нажимает «Далее».

В новом окне пользователю нужно выбрать «Установить».

Если установка прошла без сбоев, то появится окно с подтверждением окончания установки.

Далее в окне с информацией необходимо нажать «Свойства».

Через вкладку «Путь сертификации» дважды нажать на первый сертификат в открывшемся списке. Обычно он содержит название УЦ, выдавшего ЭЦП и все реквизиты.

Далее пользователь переходит в окно с информацией и нажимает «Установить».

В открывшемся мастере импорта нужно нажать «Далее».

Затем выбрать строку «Поместить в следующее хранилище».

В новом окне пользователь выбирает папку с доверенными корневыми центрами.

Завершается установка последовательным нажатием «Далее» и «Готово».

При запросе об установке сертификата от удостоверяющего центра необходимо подтвердить свое действие нажатием «Да».

После успешного завершения установки система выдает подтверждение об импорте.

Установка сертификата головного УЦ является обязательной для всех пользователей электронной подписи. Без него невозможна проверка и подтверждение подлинности ЭЦП. Если сертификата нет на электронном носителе ключа ЭЦП, то для установки скачать его можно на официальном ресурсе. Сам процесс установки может происходить в автоматическом режиме при помощи специальной программы, через приложение КриптоПро или ручным способом. При выборе ручной установки важно поместить сертификат в правильное хранилище, иначе система не сможет найти его и в дальнейшем использование ЭЦП будет сопровождаться ошибками.

источник