• Главная
  •  > 
  • Справочники
  •  > 
  • Подготовка данных для заказа SSL. Подготовка данных для заказа SSL Что такое запроса на сертификат

Подготовка данных для заказа SSL. Подготовка данных для заказа SSL Что такое запроса на сертификат

ВАЖНО! Для получения электронной подписи (ЭП) в УЦ ООО «ПРОГРАММНЫЙ ЦЕНТР» используйте бесплатный функционал модуля «Удостоверяющей центр» или программы «Подпись Про» . Если данная возможность отсутствует, сформируйте запрос на сертификат и установите его через сайт .


Внимание!

Формирование запроса на сертификат

До формирования запроса на сертификат выполните следующие действия:

  • КриптоПро ЭЦП browser plug-in .

Чтобы сформировать запрос на сертификат:

1) Запустите браузер Internet Explorer .

.

Примечание: если сайт УЦ не открывается, ознакомьтесь с инструкцией .

3) В открывшемся окне введите логин и пароль, которые были указаны в письме об успешной регистрации на сайте УЦ. Нажмите кнопку «Выполнить вход »:
Вход в личный кабинет


Подтверждение доступа в Интернет

Примечание 1: если у вас не установлен «КриптоПро ЭЦП browser plug - in », откроется сообщение:

Чтобы установить плагин, нажмите на соответствующую ссылку. Прямая на скачивание плагина также указана в письме с темой «Вы зарегистрированы в УЦ ».

Примечание 2: если плагин уже установлен, но сообщение о необходимости его установки открылось, значит, в окне браузера появилось всплывающее окно о разрешении включения надстройки (плагина). Подтвердите включение.

5) Выберите вид сертификата, который был указан в заявлении на регистрацию в УЦ. Нажмите кнопку «Создать »:



Запрос на сертификат

6) В окне «КриптоПро CSP » выберите носитель для хранения контейнера закрытого ключа (ключа подписи), и нажмите кнопку «ОК ».

Внимание! Если вы хотите, чтобы контейнер закрытого ключа хранился:

  • на компьютере – выберите Реестр:


ВНИМАНИЕ! Если Вы установили контейнер закрытого ключа (ключа подписи) в реестр компьютера, перед переустановкой операционной системы обязательно выполните резервное копирование Ваших контейнеров на флеш-накопитель, иначе данные будут удалены с компьютера.

  • на съемном носителе (USB - накопителе, токене) – вставьте съемный носитель и выберите его в появившемся окне:


Выбор носителя для хранения контейнера закрытого ключа

7) В окне биологического датчика случайных чисел нажимайте клавиши или перемещайте указатель мыши над этим окном до тех пор, пока ключ не будет создан.


Создание закрытого ключа

Если носителем для хранения контейнера закрытого ключа является:

    токен (eToken, Рутокен) – в окне установки пароля введите пароль токена;

    USB- накопитель или реестр компьютера – придумайте и введите пароль. Пароль в данном случае можно не устанавливать.

Внимание! Обязательно запомните пароль для создаваемого контейнера закрытого ключа. Данный пароль восстановлению не подлежит.


Установка пароля для контейнера закрытого ключа

Внимание! Контейнер закрытого ключа не подлежит восстановлению. Ни при каких обстоятельствах не удаляйте его самостоятельно. При потере контейнера закрытого ключа необходим платный перевыпуск сертификата.

Пароль для контейнера закрытого ключа задан, запрос на сертификат сформирован. Вы будете автоматически перенаправлены в Личный кабинет в раздел запросов на изготовление, где отобразится созданный запрос и его статус.
Запросы на сертификат

Созданный запрос отправлен в Удостоверяющий центр и ожидает одобрения Оператором УЦ.

Скачивание и установка сертификата

После одобрения запроса оператором УЦ Вы получите письмо о выпуске сертификата. Выпущенный сертификат необходимо скачать и установить.

Перед заказом SSL-сертификата нужно создать адрес электронной почты для получения проверочного запроса от Удостоверяющего центра (УЦ). Адрес электронной почты должен принимать одно из следующих значений:

admin@[имя_домена]
administrator@[имя_домена]
hostmaster@[имя_домена]
postmaster@[имя_домена]
webmaster@[имя_домена]

Значение [имя_домена] - это домен, для которого заказывается сертификат. Оно также соответствует полю «Common Name» (CN), указанному в CSR, если запрос на получение сертификата вы генерируете самостоятельно на веб-сервере.

В случае, если сертификат заказывается для поддомена, в e-mail допускается использовать домен второго уровня. Например, при заказе сертификата для домена www.test.ru можно использовать любой из адресов: [email protected] или [email protected].

Генерация запроса CSR на получение сертификата (для OV и EV сертификатов)

CSR (Certificate Signing Request) - это запрос на получение сертификата, который представляет собой текстовый файл, содержащий в закодированном виде информацию об администраторе домена и открытый ключ.

CSR вы можете сгенерировать одним из способов:

Генерация запроса на получение сертификата для Microsoft IIS

При создании CSR для веб-сервера Microsoft IIS мы рекомендуем сделать это на самом веб-сервере, чтобы в дальнейшем избежать проблем с установкой SSL-сертификата.

CSR также можно сгенерировать вместе с закрытым ключом на стороне сервера, где будет устанавливаться сертификат.

Внимание: Если вы используете распределенную инфраструктуру физических серверов для своего сайта и используете веб-сервер Microsoft IIS, то при генерации CSR и закрытого ключа необходимо обязательно указать, что CSR и закрытый ключ должны быть экспортируемыми, иначе вы не сможете установить сертификат на несколько серверов, и сертификат необходимо будет перевыпустить.

В конце июля начале августа 2018 года, Федеральное казначейство анонсировало новый портал для формирования запросов на сертификаты, сокращенно ФЗС. Этот портал доступен по защищенному соединению и находится по адресу https://fzs.roskazna.ru .

Зайти на него можно через Internet Explorer. Настраивать свой компьютер для работы с порталом не требуется, необходим только плагин ЭЦП браузера и, конечно же, Крипто Про, куда без него... Если запрос сделан с помощью этого портала, то клиентам Федерального казначейства теперь вообще появляться в казначействе нет необходимости. Правда это только когда в документах, предоставленных ранее для получения сертификата, никаких изменений не произошло за те год и три месяца действия предыдущего сертификата.

В остальных случаях присутствие заявителя или уполномоченного лица обязательно. Давайте разберем как раз этот случай, т.е. пусть клиент (заявитель) впервые обращается за сертификатом. Со своего рабочего места нужно зайти на портал по выше указанному адресу. Вот что мы там видим:



Необходимо нажать на кнопку, на которую указывает красная стрелка на рис. 1. Если у вас есть действующий сертификат, заметьте действующий , т. е. срок действия которого еще не истёк, то вы можете сформировать запрос, нажав на кнопку, на которую указывает синяя стрелка. Ну а мы жмем на "красную" и видим следующее окошко:



Первое, что тут нужно сделать это выбрать субьект РФ. Если выберите не свой, то ваш запрос уйдет в тот регион, который будет выбран. Заполните все поля, обведенные красной рамкой (рис. 2). Если сведения подаются будущим владельцем сертификата (заявителем), то галочку "Сведения подаются уполномоченным лицом" ставить не нужно. Жмем "Далее" и попадаем в следующее окно:



Сначала выбираем тип будущего сертификата. Я выбрал "сертификат физического лица", потому что к этому типу относятся сертификаты СУФД, ЕИС и ГМУ. Тем самым я сразу покажу, как сделать запрос на сертификат в этих трех системах.


"Сертификат юридического лица" - это, скорее всего, сертификат СМЭВ (рис. 3), а вот "сертификат юридического лица без ФИО", с таким я не сталкивался, поэтому ничего сказать о нем не могу.

Итак, после выбора типа сертификата (отметив нужный тип галочкой), становится доступной кнопка "Внести сведения". Нажмем на нее, как показано на рис. 3 и попадем в следующее окошко:



Тут многое нам знакомо по программе "АРМ генерации ключей" . На рисунке 4 внутри синих стрелочек я сделал надписи о системах, в которых будут работать сертификаты, если поставить эти полномочия. Для СУФД выбираем ветку "АСФК", для работы на сайте ГМУ выбираем "Работа с ГМУ. Базовый OID". Как видно из рисунка для работы на сайте "Закупки" больше не нужны никакие полномочия, достаточно галочки "Аутентификация клиента", которую убрать мы не можем, потому что она нужна для всех типов сертификатов. Если заявитель работает во всех трех системах, то он может иметь один сертификат.

Полномочия ЕИС убрали потому, что теперь их раздает администратор организации, который, в свою очередь, назначается руководителем организации после автоматической регистрации его на сайте в качестве руководителя согласно ЕГРЮЛ.

По кнопке "Обзор" (рис 4), можно выбрать свой сертификат, который у вас есть, но срок действия его истек и вы не можете воспользоваться "синей стрелочкой" (рис. 1). В этом случае все поля (ФИО, СНИЛС, ИНН, Организация) заполнятся автоматически из вашего сертификата (рис. 4). Иначе придется их заполнять вручную.

С ними все понятно, нас интересуют два последних нижних поля. Это "Класс средства ЭП" и "Криптопровайдер CSP". Класс средства ЭП оставляйте как есть, КС1, а Криптопровайдер CSP с 1 января 2019 года нужно будет выбирать другой, в названии которого есть ГОСТ 2012. Пока тоже оставляйте как есть (рис. 4). Стоит отметить, что возможность выбора криптопровайдера присутствует только в Крипто Про 4.0.

С 1 января 2019 года генерацию запросов на сертификаты необходимо делать только по ГОСТ Р 34.10-2012, хотя допускается генерация запросов по ГОСТ Р 34.10-2001 для СУФД и электронного бюджета, правда только по 31 января 2019. Также необходимо помнить, что если вы используете в своей работе сертификаты, выданные по ГОСТ Р 34.10-2001, то Ваша КриптоПро должна быть пропатчена специальным патчем, который можете скачать с сайта КриптоПро.

Итак, все поля заполнены, всё внимательно проверено, нет ли где ошибок, вставлен ключевой носитель для генерации на него ключей, жмем кнопку "Сохранить и сформировать запрос на сертификат" (рис. 4). После этого будут появляться стандартные окна генерации ключей, о которых я не раз упоминал в предыдущих своих статьях. Здесь я останавливаться на этом не буду. После всего этого вы попадете в следующее окно:



Первое, что бросается в глаза (рис. 5), это номер запроса. В АРМ генерации ключей такого не было. Итак, тут мы видим, что запрос на сертификат создан и присутствует в виде *.req файла. Кстати, его теперь в казначейство предоставлять не надо, он и так к ним попадет. Нужно записать только номер запроса. Но это я отвлекся, о нем будет дальше.

Еще такой момент. Давайте посмотрим на "желтый" блок (рис.5), там мы видим, что наш запрос уже сохранен в системе и мы всегда, точнее в течении месяца, можем к нему вернуться. Это, на мой взгляд, очень удобно. Представьте, что у вас на каком-нибудь документе, нет подписи руководителя и сегодня он подписать не может. Поэтому если скопировать ссылку и номер запроса, то к редактированию этого запроса можно вернуться позже.

Итак, жмем кнопку "Внести сведения" (рис. 5) для того, чтобы сформировать документы для получения сертификата и попадаем в следующее окно:



Как видно из рис. 6, тут нужно заполнить паспортные данные и прикрепить согласие на обработку персональных данных и, если необходимо, то и документ организации, подтверждающий полномочия или доверенность на право действовать от лица организации. Хорошо, если эти документы заранее распечатаны, подписаны и отсканированы. Заметьте, копию паспорта тут не приложишь. Кстати, образцы документов можно скачать у меня с сайта, вот отсюда .

Если поставить галочку "Сведения подаются уполномоченным лицом" (рис. 2), то рисунок 6 изменится, там добавятся два дополнительных документа, которые обязательны для заполнения. На рис. 14 эти поля обведены красной рамкой. Итак, все сделано, жмем "Сохранить":



Запрос на сертификат создан, документы на получения сертификата добавлены и сохранены в системе, осталось сформировать заявление. Жмем соответствующую кнопку (рис. 7) и нам открывается само заявление:



На рисунках выше, заявление представлено в виде трех картинок, где я обвел красной рамкой те поля, на которые обращают свое внимание в Федеральном казначействе. Некоторые поля в заявлении можно редактировать, там все интуитивно понятно. Когда все будет сделано и форма будет сформирована, то ее можно будет распечатать:



Жмем "Печать" (рис. 9), на бумажном экземпляре заполняем все поля, указанные на рис. 8 и сканируем заполненный документ, чтобы потом прикрепить его в систему по кнопке "Обзор" (рис. 10). Все документы предоставлены и теперь становится доступной кнопка "Подать запрос" (рис. 11). Нажмем на нее и увидим следующее:



Тут все понятно, если не уверены, то не нажимайте кнопку "Да" (рис. 12), а если нажмете, то попадете в окно (рис. 13), где можно будет распечатать памятку по предоставлению комплекта документов в Удостоверяющий центр Федерального казначейства. На мой взгляд, важным тут является номер запроса, потеряв который или забыв, вы не получите сертификат. К этому надо относиться серьезно, иначе всю работу, о которой я рассказывал в этой статье, вам придётся проделать заново.

На этом все, берёте комплект документов, предусмотренный пунктом 5.5 Регламента и распечатанный или записанный где-нибудь номер запроса и приходите в свой территориальный орган Федерального казначейства (рис. 13). Удачи!

P.S. Извините, забыл упомянуть один очень важный момент. Для того, чтобы воспользоваться "синей стрелочкой" (рис. 1), т.е. чтобы войти по сертификату для создания запроса, необходимо не только иметь сертификат, срок действия которого не истек, но и чтобы этот сертификат был загружен в личное хранилище сертификатов с привязкой к ключевому контейнеру . Как привязать сертификат к ключевому контейнеру, читайте в моей статье . Если этого не сделать, то IE "скажет", что не может отобразить страницу.

И ещё одно немаловажное замечание. Если вы для создания запроса вошли по сертификату, то такой запрос подается только от имени владельца сертификата. Ни какого уполномоченного лица быть не может. Это, по моему, ясно и логично.

И напоследок... Если вам понравилась эта статья и вы почерпнули из нее что-то новое для себя, то вы всегда можете выразить свою благодарность в денежном выражении. Сумма может быть любой. Это вас ни к чему не обязывает, все добровольно. Если вы всё же решили поддержать мой сайт, то нажмите на кнопку "Поблагодарить", которую вы можете видеть ниже. Вы будете перенаправлены на страницу моего сайта, где можно будет перечислить любую денежную сумму мне на кошелек. В этом случае вас ждет подарок. После успешного перевода денег, вы сможете его скачать.

Запрос на сертификат в формате PKCS#10 необходимо сформировать с помощью криптопровайдера, например, ViPNet CSP (документация и инсталлятор ViPNet CSP размещены на сайте компании ИнфоТеКС) Для создания запроса на сертификат в ViPNet CSP выполните следующие действия:
  1. Запустите программу «Создание запроса на сертификат», для этого выполните одно из действий:
    • Если вы используете операционную систему Windows 7, Windows Server 2008 R2 или более ранней версии, в меню Пуск выберите Все программы > ViPNet > ViPNet CSP > .
    • Если вы используете операционную систему Windows 8, Windows Server 2012 или более поздней версии, на начальном экране откройте список приложений и выберите ViPNet > Создание запроса на сертификат .
  2. В окне Служба сертификации выберите Запросить новый сертификат .
  3. В разделе Параметры сертификата укажите следующие параметры:
    • В списке Криптопровайдер выберите криптопровайдер, с помощью которого вы хотите создать закрытый и открытый ключи. При этом ниже отобразится используемый алгоритм хэширования.
    • В списке Назначение выберите действия, которые необходимо выполнять с помощью сертификата:
      • Подпись и шифрование (по умолчанию), если необходимо сформировать ключ и сертификат для шифрования сообщений и их защиты с помощью электронной подписи.
      • Подпись , если необходимо сформировать ключ и сертификат только для подписания сообщений и документов электронной подписью.
      • Шифрование , если необходимо сформировать ключ и сертификат только для шифрования сообщений электронной почты и документов.
    • В списке Шаблон сертификата выберите один из вариантов:
      • WEB server - чтобы создать запрос на сертификат для установки на веб-сервере IIS.
      • Квалифицированный ViPNet CSP (по умолчанию) - чтобы создать запрос на квалифицированный сертификат (на стр. 212), в котором можно указать атрибуты ОГРНИП (основной государственный регистрационный номер индивидуального предпринимателя), СНИЛС (страховой номер индивидуального лицевого счета), ИНН (идентификационный номер налогоплательщика), ОГРН (основной государственный регистрационный номер).
      • Отчетность - чтобы создать запрос на сертификат, с помощью которого можно подписывать документы, формируемые для сдачи бухгалтерской отчетности.
      • Стандартный - для всех остальных случаев.
    • Чтобы иметь возможность экспортировать вместе с полученным сертификатом также закрытый ключ в файл формата PKCS#12 установите флажок Экспортируемый .
    • Чтобы контейнер ключей, необходимый для формирования запроса на сертификат, был создан в папке хранения ключей компьютера, установите флажок Системный , в противном случае контейнер ключей будет создан в папке хранения ключей текущего пользователя.
  4. В разделе Данные о владельце сертификата укажите необходимую информацию о лице, для которого формируется запрос на сертификат.

    Рисунок 1. Указание данных о владельце сертификата

    Внимание! Если сертификат планируется использовать для подписания сообщений электронной почты программы Microsoft Outlook, обязательно укажите адрес электронной почты. Сертификат, не содержащий адреса электронный почты, не может быть использован для подписания сообщений электронной почты.

  5. В разделе Сохранение запроса в файл нажмите кнопку Обзор и укажите место на диске или съемном носителе, а также имя файла для сохранения файла запроса.
  6. Нажмите кнопку Сформировать запрос . Эта кнопка появляется после того, как будут заполнены все обязательные поля. Далее выполните следующие шаги, необходимые для создания контейнера ключей.
  7. В появившемся окне ViPNet CSP - инициализация контейнера ключей укажите:
    • Имя контейнера ключей или оставьте значение по умолчанию в соответствующем поле.
    • Место размещения контейнера ключей, установив переключатель в одно из значений: Папка на диске или Выберите устройство .
    Нажмите кнопку OK .

    Рисунок 2. Создание контейнера ключей

  8. В окне ViPNet CSP - пароль контейнера ключей задайте пароль доступа к контейнеру ключей и нажмите кнопку OK .

    Рисунок 3. Задание пароля доступа к контейнеру ключей

  9. Появится электронная рулетка, если она еще не запускалась в рамках текущего сеанса работы программы. Поводите указателем в пределах окна Электронная рулетка .

    Рисунок 4. Электронная рулетка

  10. В окне сообщения об успешном создании файла запроса на сертификат нажмите кнопку OK.
  11. После создания файла запроса окно Служба сертификации можно закрыть. После создания запроса на сертификат передайте файл запроса в .

Установка корневого сертификата и списка отозванных сертификатов

Для выполнения операций (создание ЭП, проверка ЭП и т.д.) необходимо установить в системное хранилище:
  • Корневой сертификат УЦ.
  • Список отозванных сертификатов (СОС).
Установка корневого сертификата и СОС выполняется средствами операционной системы. Для установки сертификата и СОС выполните следующие действия:

Установка изданного сертификата в системное хранилище

  1. Скачайте изданный по Вашему запросу сертификат.
  2. Откройте папку, содержащую файл сертификата или СОС. Щелкните нужный файл правой кнопкой мыши и в контекстном меню выберите пункт Установить сертификат .
  3. Будет запущен мастер импорта сертификатов.
  4. На странице приветствия мастера нажмите кнопку Далее .
  5. На странице выбора хранилища сертификатов укажите пункт Автоматически выбрать хранилище на основе типа сертификата . Нажмите кнопку Далее .
  6. На странице Завершение мастера импорта сертификатов нажмите кнопку Готово . Сертификат установлен в хранилище.