Меню Рубрики

Установка личного сертификата эцп для суфд

Установка личного сертификата эцп для суфд

Для корректной работы СУФД необходимо:

1) Наличие операционной системы:
— Windows 7 SP1 (кроме всех выпусков Starter и Home Edition);
— Windows 8.1;
— Windows 10, начиная с версии 1703 (кроме всех выпусков Home Edition).
2) Установить КриптоПро ЭЦП Browser plug-in с официального сайта;
3) Установить Mozilla Firefox и расширение для браузера КриптоПро ЭЦП Browser plug-in. Дополнительно отключить блокировку всплывающих окон (рекомендации по настройке Mozilla Firefox).
При необходимости работы в Mozilla Firefox версии ниже 52, рекомендуется использовать версию 40 (либо использовать портативную версию Mozilla Firefox).
Для работы с СУФД-порталом рекомендуется использовать браузер Mozilla Firefox, так как техническая поддержка ведется только по данному браузеру, все остальные браузеры (Opera, Google Chrome, Internet Explorer) могут работать с СУФД-порталом не совсем корректно. Любую версию можно скачать здесь;
4) Установить КриптоПро (выдается в удостоверяющем центре вместе с лицензией);
5) Установить Континент АП (выдается в удостоверяющем центре) по прилагаемой к дистрибутиву инструкции без установки компонента «Межсетевой экран»;
6) Установить сертификат головного УЦ в хранилище доверенных корневых сертификатов и сертификаты УЦ ФК и УЦ ФК (от 05.02.2020) в хранилище промежуточных корневых сертификатов (рекомендация по установке);
7) Установить сертификат для Континента АП (выдается в удостоверяющем центре) и убедиться, что он соединяется с сервером (Рекомендации по установке СКЗИ Континент АП, по созданию электронной подписи для Континента и ее установке).
8) Установить личные сертификаты (выдаются в удостоверяющем центре) пользователей СУФД (рекомендация по установке).
9) Добавить в файл «C:\WINDOWS\System32\drivers\etc\hosts» две строки:

10.56.200.13 s5600w03.ufk56.roskazna.local s5600w03
10.56.200.13 sufd.s5600w03.ufk56.roskazna.local

Если у вас Windows Vista или Windows 7, то перед внесением изменений в файл hosts необходимо скопировать его в другое место, например, на Рабочий стол и уже там его редактировать. После сохранения изменений отредактированный файл hosts надо скопировать обратно в папку «C:\WINDOWS\System32\drivers\etc\» и заменить им старый файл.

Mozilla Firefox (для версии 40)

1) Запустить программу Mozilla Firefox, после этого зайти во вкладку Инструменты > Настройки далее на вкладку Содержимое убрать галочку с пункта «Блокировать всплывающие окна». Нажать [OK];
2) Далее на вкладку Дополнительные и на внутреннюю вкладку Сеть нажать кнопку [Настроить] напротив пункта «Соединение». В появившемся окне «Параметры соединения» выбрать пункт «Без прокси» и нажать [OK];
3) Переходим на внутреннюю вкладку Обновления выбраем пункт «Никогда не проверять наличие обновлений». Нажать [OK];
4) Зайти во вкладку Инструменты > Дополнения далее в разделах «Расширения» и «Плагины» найти все строки, где упоминается CryptoPro CAdES NPAPI Browser Plug-in и убедиться, что они включены со следующими параметрами запуска «Всегда включать» (в ранних версиях может не быть выпадающего списка, вместо этого если есть кнопка «Отключить», то плагин включен). Если плагин отключен, то его необходимо включить;
5) Перезапустить Mozilla Firefox.

1) Устанавливаем соединение КонтинентАП. Нажимаем правой кнопкой на значке КонтинентАП и выбираем пункт «Подключить КонтинентАП», после успешного подключения иконка изменит цвет с серого на зеленый или синий;
2) Запускаем программу Mozilla Firefox и переходим по адресу: http://s5600w03.ufk56.roskazna.local:28081
3) В появившемся окне вводим логин и пароль, нажимаем кнопку «Вход в систему».

Установка сертификатов головного УЦ и сертификат УЦ ФК PDF 646.9 КБ

источник

Как установить личный сертификат?

1. Откройте меню ПускПанель управленияКриптоПро CSP.

2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Просмотреть сертификаты в контейнере:

3. В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится на смарт-карте JaCarta):

4. После выбора контейнера нажмите кнопку Ок, затем Далее.

* Если после нажатия на кнопку Далее Вы видите такое сообщение:

«В контейнере закрытого ключа отсутствует открытый ключ шифрования», следует установить сертификат по рекомендациям, описанным в разделе Вариант 2.

5. В окне Сертификат для просмотра нажмите кнопку Установить:

6. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

7. Дождитесь сообщения об успешной установке:

8. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Вариант 2. Установка через меню «Установить личный сертификат».

Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer). Он может находиться, например, на съемном носителе или на жёстком диске компьютера (если Вы делали копию сертификата или Вам присылали его по электронной почте).

В случае, если файл сертификата отсутствует, напишите письмо с описанием проблемы в техническую поддержку по адресу pu@skbkontur.ru.

1. Откройте меню ПускПанель управленияКриптоПро CSP.

2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Установить личный сертификат:

3. В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата:

4. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):

5. В следующем окне нажмите кнопку Далее; в окне Сертификат для установки нажмите Далее.

6. Поставьте галку в окне Найти контейнер автоматически (в нашем примере контейнер находится на смарт-карте JaCarta) и нажмите Далее:

7. В следующем окне отметьте пункт Установить сертификат (цепочку сертификатов) в контейнер и нажмите Далее:

8. В окне Завершение мастера установки личного сертификата нажмите Готово:


9. Если КриптоПро CSP запрашивает pin-код от контейнера, введите нужный код или попробуйте стандартные pin-коды носителей:

10. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

11. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

источник

sufd.ufk20.ru

Форум для клиентов СУФД-портала УФК по Приморскому краю

Настройка рабочего места для работы с СУФД-порталом

Настройка рабочего места для работы с СУФД-порталом

makeevai » 13 июл 2019, 00:54

Для корректной работы СУФД необходимо:

  1. Установить браузер Mozilla Firefox 60
    Для корректной работы электронной подписи необходимо также установить
    • КриптоПро ЭЦП Browser plug-in (рекомендуется закрыть Firefox перед установкой)
    • расширение для браузера (запускать из Firefox, во всплывающем окошке нажмите Разрешить, потом Добавить и ОК)
  2. Установить КриптоПро CSP (Инструкция по установке)
  3. Установить Континент АП, сертификат для Континента АП и убедиться, что он соединяется с сервером.(Инструкция по установке и настройке)
  4. Установить корневые сертификаты
    • При установке сертификата Минкомсвязи России необходимо выбрать пункт «Поместить все сертификаты в следующее хранилище», нажать «Обзор» и выбрать пункт «Доверенные корневые центры сертификации»
    • При установке сертификата Удостоверяющего центра Федерального казначейства необходимо выбрать пункт «Поместить все сертификаты в следующее хранилище», нажать «Обзор» и выбрать пункт «Промежуточные центры сертификации»
  5. Установить личные сертификаты пользователей СУФД (Инструкция по установке).
  6. Добавить в файл «C:\WINDOWS\System32\drivers\etc\hosts» две строки:

Код: Выделить всё 172.16.5.2 s2000w03.ufk20.roskazna.local s2000w03
172.16.5.2 sufd.s2000w03.ufk20.roskazna.local sufd
Если у вас Windows Vista, Windows 7, 8 или 10, то перед внесением изменений в файл hosts необходимо скопировать его в другое место, например, на Рабочий стол и уже там его редактировать. После сохранения изменений отредактированный файл hosts надо скопировать обратно в папку «C:\WINDOWS\System32\drivers\etc\» и заменить им старый файл.

  • Проверить, что в Mozilla Firefox открывается СУФД-портал по ссылке http://s2000w03.ufk20.roskazna.local:28081/sso-proxy-login/login_no_sn_new.jsp.
    Если выходит сообщение, что сервер не найден, то необходимо выполнить следующие действия:
    • Необходимо выяснить использует ли операционная система Windows отредактированный вами файл hosts. Для этого необходимо запустить командную строку: Пуск — Выполнить, в открывшемся окне ввести команду cmd и нажать ОК.
    • Откроется черное окно (это и есть командная строка) в котором необходимо написать «ping s2000w03» (без кавычек) и нажать Enter.
    • Если появится надпись «При проверке связи не удалось обнаружить узел s2000w03. Проверьте имя узла и повторите попытку», то Windows не видит отредактированный вами файл. Попробуйте снова скопировать отредактированный файл hosts в папку «C:\WINDOWS\System32\drivers\etc\» и заменить им старый файл.
  • Решение проблем при работе с СУФД-порталом

    makeevai » 13 июл 2019, 01:06

    Проверьте статус подписываемого документа. Если статус «Черновик», нажмите кнопку «Документарный контроль», после успешного завершения статус изменится на «Введен». Пробуйте подписать заново.
    Если статус «Введен», а кнопка все еще не активна, выполните пункты 1 и 5 инструкции.

    источник

    СУФД не видит новую подпись

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    • hamster21
    • Автор темы —>
    • Ушел

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    hamster21 пишет: Свежеполученный сертификат, привязан к носителю, корневые установлены. При попытке подписать документ отображаются ранее полученные подписи (три штуки, если это важно), но новой нет.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    • hamster21
    • Автор темы —>
    • Ушел

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    hamster21 пишет: .Вроде, сейчас не нужно отсылать сертификат на регистрацию?

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    • hamster21
    • Автор темы —>
    • Ушел

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    hamster21 пишет: Я тоже склоняюсь к этой версии, но в техподдержку мы нынче так и не дозвонились. Что тоже настораживает.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Тата пишет: У нас такая же проблема. дозвониться в Казначейство просто невозможно. и делай что хочешь.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    • hamster21
    • Автор темы —>
    • Ушел

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    hamster21 пишет: Конец истории. Наша бухгалтер ездила в казначейство, ей сначала начали втирать что самадуравиновата, но в итоге сертификат наш обнаружился в папке «разобрать». Вся история где-то месяц заняла. Причем, на горячей линии, куда кое-как дозвонились, ответили прекрасное: в техподдержку обратиться нельзя потому что. у них нет телефона.

    В казначействе не подгрузили новый сертификат? История заняла месяц? Внезапно!

    Gvinpin пишет: А казначейство точно подгрузило в СУФД «свежеполученный» сертификат?

    hamster21 пишет: Я тоже склоняюсь к этой версии, но в техподдержку мы нынче так и не дозвонились. Что тоже настораживает.

    Какую техподдержку вы имеете в виду?
    По поводу загрузки сертификата нужно звонить в обслуживающий вас орган казначейства.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    источник

    Руководство по установке СУФД и СБ (стр. 4 )

    Из за большого объема этот материал размещен на нескольких страницах:
    1 2 3 4 5 6 7

    В данном разделе будет рассмотрена выгрузка справочника ведомств из подсистемы OEBS и загрузка данного справочника в СУФД.

    Обмен данными между системами OeBS и СУФД осуществляется через таблицу TB_MESSAGE и TB_MESSAGE_BIG_ATTRIBUTES. В каждой схеме СУФД присутствует таблица TB_MESSAGE и TB_MESSAGE_BIG_ATTRIBUTES, однако используются именно те которые находятся в OeBS.

    После развёртывания системы СУФД необходимо в базе OeBS изменить синоним APPS. TM_MESSAGE. Данный синоним создаётся для таблицы TB_MESSAGE, размещённой в поставляемой с клоном схеме SUFD2. Именно через этот синоним будет осуществляться взаимодействие между системами OEBS и СУФД.

    Для рассматриваемого нами примера SQL инструкция синонима будет иметь следующий вид:

    — Create the synonym
    create or replace synonym APPS. TB_MESSAGE
    for SUFD2.TB_MESSAGE;

    В случае не установки значения по умолчанию, при выгрузке данных из OEBS в схему СУФД возможны следующие ошибки:

    Непредвиденная ошибка программного кода XXT_BS_XBR_SUFD. SET_OUTBOUND_XML

    Причина: ORA-22275: задан неверный указатель LOB

    ORA-06512: на «SYS. DBMS_LOB», line 533

    ORA-06512: на «APPS. XXT_BS_XBR_SUFD», line 434

    ORA-20001: Непредвиденная ошибка программного кода XXT_BS_XBR_SUFD. transport

    Причина: Непредвиденная ошибка программного кода XXT_BS_XBR_SUFD. set_xml_to_sufd

    После выполнения данных действий, OEBS будет настроен на взаимодействие с нужной базой СУФД.

    Настройка связи с backoffice (взяаимодействие СУФД – OeBS)

    В файл конфигурации СУФД, в …/STAND/etc/ backOffice.xml внести изменения Данная настройка необходима только для ЦАФК и УФК поскольку только в них происходит обработка бизнес-данных.

    Обмен данными между OeBS и СУФД происходит в виде XML файлов через таблицу TB_MESSAGE и TB_MESSAGE_BIG_ATTRIBUTES находящуюся в OeBS. (Пример части XML и описание адрреса см. в Приложение 1. Формат транспортного адреса).

    Настройку приема и отсылки данных в OEBS (Интеграцию), необходимо осуществлять через визуальную форму дистрибутива еще до инстлляции СУФД (см. документ «Запуск установки с помощью инсталлятора»). В случае копирования стенда из другого, т. е без установки инсталлятором, необходимо для настроек связи с OeBS зайти в STAND/etc/backOffice.xml и внести соответствующие поправки в обзац #Backoffice database. Подробное описание настройки переменных sufd. properties см. в разделе «Настройка конфигурационных файлов.»

    Пример взаимодействия с OeBS см. в Приложение 3. Выгрузка данных из OEBS в СУФД.

    Настройка ЭЦП в СУФД

    При работе с криптографией в СУФД необходимо что бы «Криптосервер» был запущен.

    Настройка КриптоПро

    Перед генерацией запроса на получение сертификатов, необходимо произвести настройку системы КриптоПро.

    В качестве ключевых носителей на рабочих местах пользователей СУФД используются съемные носители: идентификатор электронного замка «Соболь» и Дискета. Считыватели «Соболь» и «Дискета» при установке КриптоПро CSP 3.0 КС2 указываются по умолчанию.

    На серверах, на которых расположен криптосервер, используется реестр в качестве носителя закрытого ключа. При этом требования, предъявляемые к хранению ключевых носителей, применяются к серверу.

    Далее приводится последовательность необходимых действий для настройки считывателя «Реестр» (настройка других считывателей производится аналогично).

    Типичный путь запуска: Пуск à Настройки à Панель управления à КриптоПро.

    2. Перейти на вкладку «Оборудование», и нажать кнопку «Настроить считыватели» (см. рисунок).

    3. Необходимо добавить в качестве считывателя «Реестр».

    Для КриптоПро v.2 данная операция сводится к выполнению следующих действий:

    Примечание. Если используется CryptoPro v.2, то последующие шаги с 4 по 6 можно пропустить.

    4. Для КриптоПро v.3 выполняестя следующая последовательность шагов. После нажатия кнопок «Добавить», «Далее» возникает окно (см. рисунок), в котором необходимо нажать кнопку «Установить с диска».

    5. В появившимся окне (см. рисунок), укажите в качестве диска, на котором следует искать установщик, «Сервер КриптоПРО» и нажмите кнопку «Далее».

    В случае если СЕРВЕР КриптоПро НЕДОСТУПЕН, можно указать следующую папку:

    %папка_ с_дистрибутивом_КриптоПро%\windows. x86\reader\ (для ОС 32-бит) или %папка_ с_дистрибутивом_КриптоПро%\windows. IA64\reader\ (для ОС 64-бит).

    6. Из списка доступных установщиков (см. рисунок) необходимо выбрать «Считыватель «Реестр»

    Если на сервере установлен ЭЗ «Соболь», то необходимо настроить датчик случайных чисел.

    На этом настройка КриптоПро заканчивается.

    Запрос на получение сертификата

    Для формирования запроса на получение сертификата необходимо выполнить следующую последовательность действий:

    1. Для настройки необходимо запустить ДТВ по ссылке вида:

    http:// : 8080/docapp-3/ app. jnlp

    (например: http://l3.ru. :28080/docapp-3/app. jnlp).

    Заполнить справочник Справочники – системные – криптография «Словарь стандартных должностей» следующими значениями

    2. OID Наименование должности

    Специалист отдела расходов

    Специалист отдела доходов

    Эмиссия OID выполняется производителем ПО на основании представленных Федеральным казначейством сведений[1].. После чего этими данными заполняется сам справочник централизовано в ЦАФК или УФК и рассылается репликациями по всей транспортной карте (см. пункт «Настройка репликаций»).

    В ином случае при генерации сертификата не будет выбираться «формализованная должность»

    3. На панели навигации, перейти по следующему пути: «Настройки криптографии(new)» -> «Запрос на получение сертификата» (см. рисунок).

    4. Выбрать пункт «Генерация» и нажать кнопку «Далее» .

    5. В выпадающем списке необходимо выбрать систему: CryptoPro CSP/3.0 и нажать кнопку «Далее» (см. рисунок).

    6. В появившемся окне (см. рисунок):

    — Выбирается нужный криптопровайдер: «Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider»,

    — Заполняются данные в разделе «Информация о владельце сертификата».

    — В разделе «Расширенное назначение ключа» отмечаются нужные значения.

    Для возможности выбора значений в выпадающих списках должны быть заполнены следующие справочники:

    · Область. Данный список формируется на основании справочника «Пользовательские / Дополнительные / Регионы МФ» (Ведется централизовано, выгружается из OeBS).

    · Город. Данный список формируется на основании файла «%STAND%/etc/crypto. xml» блок « ».

    · Организация. Данный список формируется на основании справочника «Пользовательские / Организации / Справочник участников бюджетного процесса субъектов РФ(МО)» (Ведется централизовано, выгружается из OeBS).

    · Подразделение. Данный список формируется на основании справочника «Пользовательские / Структурные подразделения ОрФК» (Ведется локально). Если в записи справочника задана родительская запись, то в запросе это будет подразделение второго уровня, если не задано – то первого.

    · Должность. Данный список формируется на основании справочника «Системные / Криптография / Словарь стандартных должностей» (Ведется локально).

    После этого нажимается кнопка «Далее»

    7. В появившемся окне (см. рисунок) необходимо указать каталог в котором будет сохранен запрос на получение сертификата, и для распечатки заявки необходимо поставить галочку(печать производится только при наличии установленного принтера, хотя бы виртуального) и нажать кнопку выполнить

    Если запрос в формате BASE64 не выбран, тогда запрос сформируется в кодировке DER. Экспортируемый ключ необходимо выбирать в случае, если генерируемый ключ в дальнейшем может понадобиться экспортировать на другие носители.

    8. На экране появится окно «Биологический датчик случайных чисел». В этот момент происходит генерация закрытого ключа на основании случайных чисел.

    Если датчик случайных чисел настроен на использование ЭЗ «Соболь», то генерация случайной последовательности проводится автоматически средствами ЭЗ «Соболь», и этот интерфейс не используется

    9. По окончании процесса генерации закрытого ключа появляется окно установки пароля (см. рисунок). В случае тестирования системы пароль можно не задавать. В противном случае пароль необходимо задать.

    10. Нажмите кнопку «OK». Появившееся информационное окно (см. рисунок) свидетельствует о том, что процесс генерации запроса на получении сертификата успешно закончен.

    11. Для закрытия окна, нажмите кнопку «ОК».

    Внимание! Сформировать запрос на получение сертификата так же можно с помощью cert-request-gen-SNAPSHOT с поставкой той же версии СУФД что и стенд СУФД.

    Получение сертификатов

    Необходимо получить 2 сертификата:

    — Личный сертификат безопасности.

    — Корневой сертификат (сертификат CA).

    Получение личного сертификата

    Пример получения сертификата с использованием адресов сервиса Oracle и с запросом в кодировке Base64(подробнее о кодировке см. в пункте «Конфигурационных настроек»)

    Для получения личного сертификата необходимо выполнить следующую последовательность действий:

    1. Проверьте, что в каталоге, куда был сохранен запрос на получение сертификата (см. раздел «Запрос на получение сертификата»), имеется файл вида: «User_Name.req».

    2. Зайдите на сервер получения сертификатов (интерфейс службы может быть англоязычным).

    3. В появившемся окне необходимо выбрать пункт «Запросить сертификат» (Request a certificate) и нажать кнопку «Далее».

    4. В следующем окне выберите «Расширенный запрос» (для англоязычного интерфейса шаг может не использоваться) и нажмите кнопку «Далее».

    5. Далее, в открывшемся окне расширенных запросов на сертификаты, сделайте выбор так, как это показано на рисунке и нажмите кнопку «Далее». (Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.)

    6. В появившемся окне «Выдача сохраненного запроса», в поле «Сохраненный запрос» (см. рисунок), необходимо ввести текст запроса из файла запроса. Для поиска файла для вставки, можно воспользоваться ссылкой «Поиск», расположенной ниже поля «Сохраненный запрос» (Saved Request). После ввода запроса нажмите кнопку «Выдать запрос».

    7. В следующем окне необходимо выбрать кодировку сертификата («в Base64-кодировке») и сохранить сертификат, нажав на ссылку «Загрузить сертификат ЦС» (см рисунок).

    8. На этом процесс получения личного сертификата заканчивается.

    Получение Удостоверяющего сертификата (CA)

    Для получения личного сертификата необходимо выполнить следующую последовательность действий:

    1. Зайдите на сервер получения сертификатов.

    2. В появившемся окне необходимо выбрать пункт «Получить сертификат ЦС или список отзыва сертификатов» (Download a CA certificate, certificate chain, or CRL) и нажать кнопку «Далее».

    3. В следующем окне необходимо выбрать кодировку сертификата («в Base64-кодировке») и сохранить сертификат, нажав на ссылку «Загрузить сертификат ЦС» (Download CA certificate with the following encoding method:).

    4. На этом процесс получения удостоверяющего сертификата заканчивается.

    Установка сертификатов

    Установка Удостоверяющего сертификата:

    Удостоверяющий сертификат (CA) устанавливается штатными средствами Windows

    Для установки удостоверяющего сертификата необходимо выполнить следующую последовательность действий:

    1. Выполните один щелчок правой клавишей мыши на файле сертификата. В появившемся меню выберите пункт «Установить сертификат» (см. рисунок).

    2. В появившемся окне «Хранилище сертификатов» выберите пункт «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор» (см. рисунок).

    3. Укажите в появившемся окне «Выбор хранилища сертификатов» хранилище «Доверенные корневые центры» (см. рисунок) и нажмите кнопку «Готово».

    Установка личного сертификата.

    Установка личного сертификата производится с помощью КриптоПро. Наличие закрытого ключа у личного сертификата обязательно (для проверки необходимо посмотреть в консоли certmgr.msc свой личный сертификат и убедиться в том, что ему приписан закрытый ключ).

    Для установки личного сертификата необходимо выполнить следующую последовательность действий:

    Типичный путь запуска: Пуск à Настройки à Панель управления à КриптоПро.

    2. В появившемся окне «Свойства:КриптоПро CSP» перейти на вкладку «Сервис» и нажать кнопку «Установить личный сертификат» (см. рисунок).

    3. В открывшемся окне «Расположение файла сертификата», необходимо указать файл сохраненного Личного сертификата, Для этого можно воспользоваться кнопкой «Обзор», (см. рисунок). После выбора устанавливаемого сертификата нажмите кнопку «Далее».

    4. На следующем шаге установки, в окне «Контейнер закрытого ключа», сначала, в поле «Выберите CSP для поиска ключевых контейнеров», выберите из выпадающего списка то значение, которое показано на рисунке. Затем нажмите кнопку «Обзор».

    Откроется окно «Выбор ключевого контейнера». Укажите имя ключевого контейнера и нажмите кнопку «ОК» (см. рисунок).

    После этого нажмите кнопку «Далее».

    5. На следующем шаге, в окне «Хранилище сертификатов», нажмите кнопку «Обзор». В открывшемся списке хранилищ сертификатов выберите «Личные» и нажмите кнопку «OK» (см. рисунок).

    После выбора хранилища сертификатов нажмите кнопку «Далее».

    6. В появившемся окне завершения установки личного сертификата нажмите кнопку «Готово».

    7. На этом процесс установки личного сертификата заканчивается.

    Внимание! Так же личный сертификат ставится автоматически, при добавлении его в сертификаты как описано в пункте «Настройка сертификатов» т. е вышеописанные действия проделывать нет необходимости.

    Подключение сертификата в рамках СУФД

    Настройка внешних сервисов

    Процедура формирования УЭЦП на основе ЭЦП заключает в дополнении ЭЦП расширенными атрибутами на основе обращения к внешним серверам. Чтобы данную процедуру можно было осуществить необходимо, чтобы для ЭЦП был установлен атрибут даты и времени формирования подписи.

    Атрибуты усовершенствованной ЭЦП могут быть двух следующих типов:

    TSP метка времени на некоторые данные – совместная подпись данных и времени выставления метки ключом сервера доверенного времени. В качестве данных для первой метки времени выступает сама ЭЦП, для второй метки времени ЭЦП, первая метка времени и OCSP ответ.

    OCSP ответ – информация о статусе сертификата, идентифицируемого по УИД. OCSP-ответ подписывается ключом сервера проверки статусов сертификатов.

    Далее описывается процедура добавления необходимых внешних сервисов, связанных с подписями.

    1. На панели навигации, перейдите по следующему пути: «Настройки криптографии» -> «Внешние сервисы» (см. рисунок).

    Примечание. Настройка внешних сервисов необходима только на online комплексах.

    2. Добавление службы «Служба оперативной проверки статуса сертификата(OCSP_SERVICE)»:

    в типе сервиса выбрать из списка: «Служба оперативной проверки статуса сервиса»

    http://172.31.3.154/pkisupport/OCSP. dll для сертификатов, выпущенных СА на хосте 172.31.3.150,

    http://172.17.250.2/pkisupport/OCSP. dll для сертификатов, выпущенных СА на хосте 172.17.250.1

    статус сервиса: «Готово к выполнению»

    Max периодичность отправки запросов (сек): «1»

    3. Добавление службы «Служба создания метки времени(TSP_SERVICE)»:

    в типе сервиса выбрать из списка: «Служба создания метки времени»,

    http://172.31.3.154/pkisupport/TSA. dll для сертификатов, выпущенных СА на хосте 172.31.3.150,

    http://172.17.250.2/pkisupport/TSA. dll для сертификатов, выпущенных СА на хосте 172.17.250.1

    статус сервиса: «Готово к выполнению»

    Max периодичность отправки запросов (сек): «1»

    Внимание! URL-адреса, указанные выше, приведены в качестве примеров. При настройке внешних сервисов в конкретном органе ФК необходимо использовать URL-адреса служб, в которых он обслуживается.

    4. Добавление «Хранилище сертификатов»: (на данный момент работа с САС СУФД приостановлена в виду перестройки архитектуры его использования в СУФД)

    в типе сервиса выбрать из списка: «Хранилище сертификатов»;

    статус сервиса: «Готов к выполнению»;

    Max периодичность отправки запросов(сек): «1»;

    Дополнительные параметры подключения:

    attribute1 в значении «deltaRevocationList»;

    attribute2 в значении «certificateRevocationList»;

    objectclass в значении «cRLDistributionPoint»;

    credentials и principal в значениях, которые укажет администратор УУЦ;

    (Для тестирования будем пока использовать principal = «levshakov. evgenij@secretnet5.local», credentials = «Qwerty123»)

    dn в значении «CN=SN5,CN=DomenControl, CN=CDP, CN=Public Key Services, CN=Services, CN=Configuration, DC=SecretNet5,DC=local»(для УУЦ SN5, размещенного в ОТР.)

    Для успешного формирования УЭЦП на online комплексе, сервисы OCSP и TSP должны быть в режиме «Готов к выполнению» (См. статус сервиса).

    Типы внешних сервисов «Служба оперативной проверки статуса сертификата»(OCSP) и «Служба создания метки времени»(TSP) используются для формирования УЭЦП. Тип внешнего сервиса «Хранилище сертификатов» используется для запроса сертификатов и САС в УУЦ.

    В случае если внешние сервисы уже установлены были ранее (т. е сервер запускается уже не первый раз после настройки), необходимо заходить во внешиние сервисы и пересохранить каждый из них, что бы в криптосервре появилась записи о них в статусе Current state [READY].

    Пример записей в криптосервере без созданных (пересохраненных) внешних сервисов.

    Пример верно настроенного криптосервера для online (после создания и ли пересохранения внешних сервисов)

    Настройка алгоритмов

    Необходимо добавить алгоритмы:

    Для настройки алгоритмов на панели навигации, перейдите по следующему пути: «Настройки криптографии» -> «Алгоритмы» (см. рисунок).

    Параметры добавляемых алгоритмов

    — Тип алгоритма: «Алгоритм архивации».

    — Тип алгоритма: «Алгоритм подписи».

    — Описание: «Алгоритм подписи КриптоПро».

    — Тип алгоритма: «Алгоритм хеширование».

    — Описание: «Алгоритм хеширования КриптоПро».

    — Тип алгоритма: «Алгоритм шифровании».

    — Описание: «Алгоритм шифровании КриптоПро».

    Алгоритм подсчета контрольной суммы: (пока не используется)

    Настройка Криптопровайдера

    Для настройки криптопровайдеров перейдите по следующему пути: «Настройки криптографии» -> «Криптопровайдеры» (см. рисунок).

    Необходимо добавить запись со следующими параметрами:

    Наименование: «Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider».

    Провайдер (java class): «com. otr. cryptonew. jcaimpl. mcabridge. JCABridgeProvider ».

    Алгоритм подписи: «1.2.643.2.2.3».

    Алгоритм шифрования: «1.2.643.2.2.21».

    Алгоритм хеширования: «1.2.643.2.2.9».

    Настройка уровней защиты

    Шифрование делится по уровням защиты:

    — максимальный (шифрование основано на ключе обмена);

    — средний (шифрование на пароле);

    — минимальный (архивирование на пароле);

    Для использования возможности шифрования требуется:

    — для максимального уровня защиты (high level): два сертификата, сертификат (с закрытым ключом) шифрующего и сертификат того, кому адресованы шифрованные данные. (для максимального не надо ничего здесь настраивать, максимальный шифруется с помощью сертификатов);

    — для среднего уровня защиты (avg level): использовать алгоритмы шифрования, основанные на пароле: 1.2.643.2.2.21

    — для минимального уровня защиты(min level): пока только реализовано zip архивирование на пароле. При настройке алгоритма архивирования, в качестве наименования требуется прописать zip. А при настройке минимального уровня защиты выбрать этот алгоритм в качестве алгоритма архивирования. Алгоритм подсчета контрольной суммы пока не используется.

    Для настройки уровней защиты на панели навигации, нужно перейти по следующему пути: «Настройки криптографии» -> «Уровни защиты».

    Необходимо добавить следующие уровни:

    Алгоритм шифрования/архивации: «zip»

    Алгоритм хеширования: пока не используется(пока это не актуально)

    Алгоритм шифрования/архивации: «1.2.643.2.2.21»

    Алгоритм хеширования: пока не используется

    Шаблон ключа/пароля (вводится из всплывающей подсказки, tooltip)

    При настройке уровня защиты, шаблон ключа/пароля формируется из символов, указанных в строке-подсказке (ToolTip) поля «Шаблон ключа/пароля» (см. рисунок). Подсказка всплывает при наведении указателя мыши на это поле. Чем сложнее шаблон, тем сложнее пароль

    Имитовставка используется для лучшего сокрытия данных, среди других данных. Эта настройка работает по принципу: «в какое место сколько байт данных вставлять». Значение чисел:

    — первое число в паре означает, в какое место вставлять;

    — второе число из пары, сколько данных вставлять.

    Настройка криптопрофилей пользователей

    Обязательной настройке подлежит криптопрофиль пользователя. Только по криптопрофилю можно определить, является ли пользователь реальным или служебным (реальный пользователь — это человек, служебный пользователь — это какая-то подсистема или модуль, типа транспорта, интеграции, механизма автопроцедур и т. п.)

    Используя шифрование в минимальном и среднем вариантах, требуется настройка криптопрофиля пользователя.

    Для настройки профилей на панели навигации, нужно перейти по следующему пути: «Настройки криптографии » -> «Профили пользователей» (см. рисунок).

    Параметры добавляемого пользователя:

    Тип пользователя: «Реальный».

    Отпечаток сертификата (пока ничего не указывается, при добавлении сертификата автоматически подтянется).

    Алгоритм архивация: (необходимо выбрать из списка) «zip».

    Алгоритм подсчета (checksum): остается пустым

    Используемый уровень защиты: (необходимо выбрать из списка) «Минимальный».

    Типы документов

    В сертификате пользователя прописано, какого типа данные ему разрешено подписывать (политика сертификата).

    Для сопоставления этих типов с типами документов нужно перейти по следующему пути: «Категории документов» -> «Типы документов».

    Далее необходимо заполнить поле «Ассоциация с политикой сертификата ЭЦП» (см. рисунок).

    Для этого необходимо из списка, вызываемого нажатием на кнопку, расположенную справа от поля, выбрать необходимые значения.

    Настройка сертификатов

    Все сертификаты, регистрируемые в системном хранилище на хосте клиента, должны быть также зарегистрированы на хосте криптосервера.

    Все сертификаты служебных пользователей должны быть зарегистрированы только в системном хранилище сертификатов хоста криптосервера.

    Настройка же описания сертификатов в БД производится с помощью графического интерфейса в узле Сертификаты. В GUI Документарной точки отображаются только действительные на данный момент сертификаты пользователя.

    Для настройки сертификатов на панели навигации, нужно перейти по следующему пути: «Настройки криптографии» -> «Сертификаты» (см. рисунок).

    Далее необходимо выполнить следующую последовательность действий:

    1. В разделе «Сертификаты» нажать кнопку «Обновить», а затем кнопку «Добавить».

    2. Выбрать файл сертификата (Личный сертификат):

    3. Выбрать «Владельца сертификата», а также установить значения Шифрование, Подпись, Закрытый ключ привязан.

    4. Задать «Дату отзыва сертификата» ( по умолчанию она создается текущей, но лучше ее ставить ближе ко сроку окончания сертификата).

    5. Задать «Имя сертификата» (впоследствии это имя будет в выпадающем списке в привязке подписи).

    6. Нажать кнопку «Сохранить».

    На этом настройка сертификатов заканчивается.

    Внимание! Если сертификат до этого не был установлен в Личные сертификаты, после добавления его в СУФД, данный сертификат добавится автоматически.

    Схемы подписи документов

    Для формирования цифровой подписи требуется настроить схему подписи по типам документов. На основе схемы подписи формируются данные на основе данных из документа, которые будут подписываться.

    Если схема подписи уже используется, т. е. с помощью нее был подписан документ, некоторые поля схемы становятся недоступны для редактирования.

    В один момент может быть активной только одна схема подписи для конкретного типа документа.

    1. Необходимо обновить таблицу. Нажать кнопку «Обновить»

    2. Необходимо заполнить название схемы, соответственно тому, какой документ она будет отражать.

    3. Необходимо выбрать «Тип документа»

    4. Необходимо выбрать «Тип поля»: Основное, либо Вложенное

    5. Импортировать файл с расширением *.template (пример файла ). В данном файле содержится список необходимых для подписи полей (разделенный новой символами новой строки (одна строка – одно поле)). Для импорта необходимо нажать кнопку «Вставить шаблон схемы подписи из файла»

    6. Появится список полей, заключенный в файле:

    7. Необходимо осуществить привязку полей схемы и полей документа.

    8. Выбрать поле в схеме (фокус, клик)

    9. Выбрать поле в документе (ComboBox)

    10. Нажать кнопку «Привязать».

    11. Ошибочную привязку можно удалить при помощи «Очистить сопоставление…»

    12. После того, как все поля были сопоставлены, необходимо создать схему, при помощи кнопки «Конвертировать в шаблон».

    13. Получится некоторый шаблон, который при необходимости можно откорректировать:

    14. Далее нажать кнопку «Проверить схему подписи на документе по guid»

    15. Созданную схему можно проверить в БД в таблице «cg_sign_scheme». Для переноса схем подписи необходимо использовать АП экспорт/импорт схем подписи (описание и настройка экспорта/импорта представлено ниже).

    На этом настройка схемы завершена.

    Важно! Набор полей должен соответствовать типу в документе, т. е. нельзя «смешивать» поля «Основные» и «Вложенные».

    Схему подписи нельзя редактировать, после выполненного Утверждения! Необходимо удалить информацию из таблицы «cg_doc_sign_info», для документа (документов), где была использована редактируемая или удаляемая схема.

    Таким образом, для использования возможности подписывать документы, требуется:

    — установленные в системные хранилища клиента и криптосервера сертификаты служб TSP и OCSP (требуется для формирования усовершенствованной ЭЦП). За сертификатами обращаться к администратору данных служб;

    — установленный в системные хранилища клиента и криптосервера сертификат УУЦ;

    — сертификат, выданный для использования в системе СУФД;

    — сертификат должен быть зарегистрирован в необходимых системных хранилищах;

    — описание сертификата в БД;

    — схема подписи для типа документа;

    — ассоциация типа документа с политикой сертификата ЭЦП;

    — закрытый ключ сертификата.

    Внимание! На отправителе и получателе, а так же всех транзитных комплексах и в OeBS схема подписи документа отсылаемого от отправителя, должна быть одинаковой версии. В ином случае ЭЦП будет невалидной (ошибка ЭЦП, не соответствует действтельной). Для этого необходимо централизовано схемы подписи передавать репликацией по всех транспортной карте, предварительно поставив на схеме флаг «Подлежит дистрибуции» (в ином случае реплицироваться схемы не будут). Репликация Схем подписи осуществляется как обычное реплицирование справочника, за исключением установки флага «документарный» на типе данного справочника репликаций (см. пункт «Настройка репликаций»)

    Настройка сервера как OFFLINE/ ONLINE

    Offline – это комплекс у которого нет постоянного подключения или опер. Зал. УФК и ЦАФК будет online комплексом. Остальные организации и ФК определяются как OFFLINE/ ONLINE по решению вышестоящего ФК(в связи с большими дополнительными системными требованиями)

    источник

    Читайте также:  Установка переводчика для microsoft edge

    Добавить комментарий