Что такое подпись пакетов информационного обмена между системами
Описание основных ролей, доступных при создании сертификата ключа ЭЦП
Описание основных ролей, доступных при создании сертификата ключа ЭЦП
1. «Подпись пакетов информационного обмена между системами» – используется для подписи транспортных пакетов при обмене между системами.
2. «СЭД. Электронный документооборот» – используется для подписи электронных документов в ППО «АРМ СЭД»
3. «Подпись запросов на издание сертификатов ключей подписи» – позволяет руководителю Организации подписывать передаваемые в ТОФК запросы на сертификат других сотрудников организации. Данная роль предназначается только для руководителя организации.
4. Работа с ООС – «Заказчик»:
· Должностное лицо с правом подписи контракта (копии контракта)
· Специалист с правом направления проекта контракта участнику размещения заказа
Перечень ролей пользователя ЭЦП для работы на Общероссийском официальном сайте определяется организацией самостоятельно в соответствии с предоставленными полномочиями
5. «ЭЦП в системе внутриведомственного документооборота» – предназначается только для внутриведомственного документооборота подразделений Министерства Юстиции.
по заполнению полей при генерации закрытого ключа электронной цифровой подписи единого образца в программе ППО «АРМ СЭД».
2) В появившемся окне «Генерация запроса на сертификат и закрытого ключа»
В поле «Наименование абонента» указывается ПОЛНОСТЬЮ Фамилия, Имя, Отчество пользователя ЭЦП,
В поле «Криптографическая библиотека» определяется тип используемой СКЗИ (по умолчанию тип уже определён как Ms Crypto API 2.0),
Флаг «Генерировать запрос на ЕУС (единый универсальный сертификат)» должен быть отмечен «галочкой».
Тем пользователям ЭЦП, которым необходимо работать и на ООС и в ППО «АРМ СЭД», назначаются соответствующие роли (к примеру «СЭД. Электронный документооборот» и Работа с ООС – «Заказчик» «Должностное лицо с правом подписи контракта (копии контракта)»).
По нажатию кнопки «Далее >»В окне «Генерация запроса на сертификат MS Crypto API 2.0» необходимо заполнить:
— Поле «Страна»: по умолчанию RU.
— Поле «Город»: заполняется названием населенного пункта местонахождения Организации (в примере г. Ростов-на-Дону).
— Поле «Должность»: заполняется названием занимаемой должности пользователя ЭЦП.
— Поле «Организация»: заполняется название Организации: УКАЗЫВАЕТСЯ ПОЛНОЕ НАИМЕНОВАНИЕ или ОФИЦИАЛЬНОЕ КРАТКОЕ НАИМЕНОВАНИЕ, указанное в «Сведениях об организации» (поле «Организация» должно содержать не более 64 символов).
— Поле «Подразделение 1 уровня»: заполняется названием отдела, в котором работает пользователь ЭЦП (Руководство, финансовый отдел и т. п.).
— Поле «Подразделение 2 уровня»: не заполняется. Если необходимо – ставится пробел.
— Поле «E-mail»: указывается адрес электронной почты (при наличии его у пользователя ЭЦП).
— Поле «Экспортируемый закрытый ключ »: указывается возможность переноса ключа ЭЦП на другой носитель (если выбрано значение «нет», то контейнер с ключом нельзя будет копировать). По умолчанию указано значение «да».
— Поле «ИНН»: указывается ИНН организации. Поле обязательно для заполнения, если выбрана роль ООС. Поле должно содержать 10 или 12 символов.
— Поле «КПП»: указывается КПП организации. Доступно для заполнения, если выбрана роль ООС. Поле должно содержать 9 символов
— Поле «Учетный номер организации»: указывается присвоенный номер организации согласно «Сведениям об организации» (см. протокол). Поле доступно и обязательно для заполнения при выборе роли ООС.
Генерация запроса на сертификат и закрытого ключа
Главная > Документ
| Информация о документе | |
| Дата добавления: | |
| Размер: | |
| Доступные форматы для скачивания: |
Генерация запроса на сертификат и закрытого ключа
В ППО «СЭД» производится формирование запроса на сертификат и генерация закрытого ключа как для пользователей только ППО «СЭД» (обычная), так и формирование Единого универсального сертификата (ЕУС), предназначенного для пользователей нескольких систем: СЭД, Ландокс, ООС, АСФК. Таким образом, сертификаты, сгенерированные в СЭД, универсальны для всех систем (в зависимости от параметров).
Для генерации закрытого ключа выполните следующие действия.
Откройте пункт меню «Администрирование – Криптозащита – Генерация ключей ЭЦП и запроса на сертификацию». Откроется окно «Генерация запроса на сертификат и закрытого ключа».
В окне «Генерация запроса на сертификат и закрытого ключа» заполните поля:
«Наименование абонента» – введите фамилию имя и отчество владельца закрытого ключа или наименование службы/сервиса/АРМ/сервера для которого запрашивается сертификат. Поле обязательно для заполнения.
«Наименование организации» – выберите из списка АРМ абонента сертификата (по умолчанию указан текущий АРМ пользователя).
«Криптобиблиотека» – определяется тип используемой СКЗИ (по умолчанию тип уже определён как Ms Crypto API 2.0, что соответствует криптосистеме КриптоПро CSP 3.0/3.6).
«Генерировать запрос на ЕУС (единый универсальный сертификат)» – при установке данного флага будет генерироваться запрос на единый универсальный сертификат и становится доступным поле «Роли владельца сертификата». По умолчанию флаг установлен. Если флаг отключен, то производится генерация запроса на сертификат и закрытого ключа только для пользователей ППО «СЭД» (обычная)
«Роли владельца сертификата» – в поле отображается список значений из справочника «Роли владельца сертификата» в виде древовидной структуры с возможностью отметить (включить чекбокс) нужные пункты. Для раскрытия ветви дерева нажать «+», для закрытия – нажать «-» возле узла. Для назначения роли нужно отмечать конечные пункты ветви (при этом все вышестоящие узлы отмечаются автоматически). Допускается отмечать несколько пунктов. Для отмены назначенной роли/ролей достаточно снять галочку с корневого узла (при этом все нижестоящие пункты очищаются автоматически). Список ролей зависит от уровня АРМ, на котором формируется запрос на сертификат. На АРМ Сервера доступны все роли.
Внимание! Не допускается отмечать корневую роль без отметки подролей для указанной корневой роли.
Основные роли, доступные при создании сертификата:
«Подпись запросов на издание сертификатов ключей подписи» – позволяет руководителю подписывать передаваемые в ТОФК запросы на сертификат других сотрудников организации.
Примечание. Для получения сертификата руководителя организации необходимо указать роль «Подпись запросов на издание сертификатов ключей подписи».
«АСФК» – сертификат предназначен для использования в ППО «АСФК».
Примечание. При генерации ЕУС для работы в АСФК обязательно также выбрать роль «Работа с ООС (Аутентификация клиента)».
«Landocs. Делопроизводство» – сертификат предназначен для использования в Landocs.
«СЭД. Электронный документооборот» – сертификат предназначен для использования в ППО «СЭД».
«СПТО. Передача статистической информации о технологических операциях – сертификат предназначен для использования в СПТО.
«Работа с ООС (Аутентификация клиента) – Подпись пакетов информационного обмена между системами» – используется для подписи транспортных пакетов при обмене между системами.
«Работа с ООС (Аутентификация клиента) – Заказчик – Должностное лицо с правом подписи контракта» – используется для получения сертификата должностного лица, имеющего право подписи контракта (копии контракта).
«ЭЦП в системе внутриведомственного документооборота» – сертификат предназначен для внутриведомственного документооборота подразделений Министерства Юстиции.
Примечание. Согласно документу «Описание структуры и порядка использования унифицированного сертификата ЭЦП» роль «Аутентификация клиента» имеет OID 1.3.6.1.5.5.7.3.2. Данный OID встроен в роль «Работа с ООС», т.е. если при генерации запроса на сертификат была указана роль «Работа с ООС», то в запросе обязательно будет и аутентификация клиента. Наличие OID в запросе можно посмотреть в СЭД по пути «Администрирование – Криптозащита – Просмотр запроса на сертификат» (см. п. 1.1.1, рисунок 10).
Для перехода на следующий шаг мастера нажмите кнопку «Далее>».
В появившемся окне введите значения (см. рисунок 2):
«Идентификатор ключа (Фамилия Имя Отчество владельца ключа)» – вводится фамилия, имя, отчество владельца сертификата в виде «Фамилия Имя Отчество» или наименование службы/сервиса/АРМ/сервера, для которого запрашивается сертификат. Поле обязательно для заполнения. По умолчанию заполняется из поля «Наименование абонента» предыдущего окна.
«Фамилия» – заполняется фамилия владельца сертификата с большой буквы в одно слово без пробелов. Поле обязательно для заполнения. По умолчанию заполняется значением из поля «Идентификатор ключа».
«Имя Отчество» – имя и отчество владельца сертификата в формате «Имя Отчество» в два слова, разделенных одним пробелом. Поле обязательно для заполнения. По умолчанию заполняется значением из поля «Идентификатор ключа».
«Инициалы» – инициалы владельца сертификата без пробелов. Поле доступно и обязательно только при выборе роли «Landocs». Если заполнено поле «Имя Отчество» и разрешено для редактирования поле «Инициалы», то по нажатию кнопки «>» автоматически заполняется поле «Инициалы».
«Страна» – заполняется двухбуквенным кодом страны в соответствии с ISO 3166, в которой зарегистрирована организация. Поле обязательно для заполнения. Для России по умолчанию указывается RU.
«Регион» – наименование региона, в котором зарегистрирована организация. Заполняется значением «Наименование» из справочника «Регионы РФ». Поле обязательно для заполнения для всех систем, кроме СМЭВ. Список значений поля «Регион» приведен в Приложении 1.
«Город» – заполняется наименованием города (населённого пункта), в котором зарегистрирована организация. Поле обязательно для заполнения.
«Должность» – должность владельца сертификата. Поле обязательно для заполнения.
«Формализованная должность» – поле доступно и обязательно для заполнения только при выборе роли «АСФК». Наименование должности выбирается из выпадающего списка.
«Подразделение 1-го уровня» – организационное подразделение владельца сертификата1-го уровня. Для руководителя организации указывается значение «Руководство». Поле не обязательно для заполнения.
«Подразделение 2-го уровня» – организационное подразделение владельца сертификата 2-го уровня. Обязательно для заполнения, если выбраны роли «АСФК» или «СПТО».
«E-mail» – адрес электронной почты владельца сертификата. Обязательно для заполнения для ролей ООС, ГМУ и АСФК. Адрес должен соответствовать шаблону «*@*.*».
«ИНН» – индивидуальный номер налогоплательщика владельца СКП – юридического лица. Поле доступно и обязательно для заполнения, если выбрана роль ООС, СМЭВ (Для юридического лица для подписания ЭД при межведомственном взаимодействии). Поле должно содержать 10 или 12 символов.
«КПП» – код причины постановки на учет. Поле доступно для заполнения, если выбрана роль ООС. Поле должно содержать 9 символов.
«Экспортируемый закрытый ключ» – указывается возможность переноса ключа ЭЦП на другой носитель (если выбрано значение «нет», то контейнер с ключом нельзя будет копировать). По умолчанию указано значение «да».
«Учетный номер организации СПЗ» – учетный номер организации по СПЗ. Поле доступно и обязательно для заполнения при выборе роли ООС (длина поля – 11 символов).
«ОГРН» – основной государственный регистрационный номер владельца СКП – юридического лица (длина поля – 13 символов). Поле обязательно для заполнения, если выбрана роль ООС, СМЭВ (Для юридического лица для подписания ЭД при межведомственном взаимодействии).
«СНИЛС» – страховой номер индивидуального лицевого счета владельца сертификата – физического лица. Поле обязательно для заполнения, если выбрана роль СМЭВ (Уполномоченное лицо для подписания ЭД при межведомственном взаимодействии).
«Идентификатор безопасности» – поле доступно и обязательно для заполнения при выборе роли «Landocs», 36 символов. Если у пользователя уже есть сертификат Landocs, то необходимо заполнить поле его значением.
«Учетный номер организации ГМУ» – учетный номер Государственного (муниципального) учреждения. Поле доступно и обязательно для заполнения при выборе роли ГМУ (длина поля – 13 символов).
«Учетная запись пользователя АСФК» – поле доступно и обязательно для заполнения при выборе роли АСФК (длина поля – 255 символов).
«Адрес» – адрес места работы (улица и номер дома) владельца сертификата. Поле доступно и обязательно для заполнения при выборе роли «Landocs».
Заполнив все значения диалога своими данными, нажмите кнопку «Далее>» (см. рисунок 2).
В системе предусмотрена распечатка акта подтверждения подлинности сертификата, для этого следует установить флаг в поле «Распечатать заявку на получение сертификата ключа ЭЦП». Запрошенный документ будет выведен в форму MS Word, которую далее можно распечатать стандартными средствами MS Word.
Для создания закрытого ключа и формирования запроса на сертификат нажмите кнопку «Выполнить» (см. рисунок 3).
Далее откроется окно выбора устройства считывания для носителя закрытого ключа (см. рисунок 4). По умолчанию указан «Реестр». Если носитель закрытого ключа у вас определён как дискета 3.5” (флеш-драйв, Rutoken), то перед нажатием кнопки «ОК» необходимо подключить носитель закрытого ключа и указать его в поле «Устройства» (для каждого пользователя должен быть отдельный носитель).
Далее появится диалог датчика случайных чисел, формирующего комбинацию закрытого ключа, и форма запроса пароля на сгенерированный ключ (см. рисунки 5, 6).
В случае определения пароля для закрытого ключа его ввод будет необходим перед каждой операцией обращения к функциям криптозащиты, если он не был сохранён в системе. Если пароль для доступа к ключам не используется, можно оставить поля диалога пустыми и нажать «ОК» (см. рисунок 6). Правила формирования пароля описаны в п. Error: Reference source not found.
Когда закрытый ключ сервера СЭД будет сгенерирован (при этом на ключевом носителе будет создан контейнер с закрытым ключом и в него будут помещены файлы закрытого ключа header.key, masks.key, masks2.key, name.key, primary.key, primary2.key), система автоматически сформирует запрос на сертификат – файл с расширением *.req и отобразит путь, куда он будет помещён (см. рисунок 7).
После определения каталога с запросом на сертификат мастер генерации запроса на сертификат MS Crypto API 2.0 завершит свою работу и для его закрытия следует нажать кнопку «Готово».
Полученный запрос на сертификат в электронном виде вместе с бумажной копией следует доставить в СВУЦ (сеть ведомственных удостоверяющих центров) для его подтверждения, где на основе отправленного запроса на сертификат будет сформирован готовый сертификат открытого ключа электронной цифровой подписи (файл с расширением *.cer).
Примечание: Кроме сертификата с открытым ключом сервера СЭД для регистрации криптонастроек необходим открытый ключ корневого сертификата удостоверяющего центра. Без данного сертификата регистрация в системе подписи сервера СЭД невозможна.
Полученный комплект ключевой информации можно использовать в системе, настроив его параметры с помощью Мастера установки сертификата (см. п. Error: Reference source not found).
1.1.1.Просмотр сформированного запроса на сертификат
Откроется форма просмотра запроса на сертификат, состоящая из двух вкладок: «Параметры сертификата» и «Роли владельца сертификата» (см. рисунки 9, 10).
На вкладке «Роли владельца сертификата» отображается список назначенных ролей. Для просмотра параметров выбранной роли нажать кнопку 
(редактировать/просмотреть) на панели инструментов вкладки. Откроется форма «Роль владельца сертификата (см. рисунок 11). Для выхода из формы нажать кнопку «Закрыть».
Новые правила работы с электронной подписью в 2022 году. Изменения в 63‑ФЗ
С 1 июля 2021 года постепенно меняются сценарии работы с сертификатами электронных подписей (ЭП). Сергей Казаков, руководитель УЦ Контура, подробно разъяснил, какие сертификаты пока можно применять, где получить новый и что для это надо сделать.
В 2021-2022 годах в силу вступают поправки к Федеральному закону № 63-ФЗ «Об электронной подписи» и появляются подзаконные акты. Они вводят новые правила получения и работы с электронной подписью в организациях, у индивидуальных предпринимателей и нотариусов.
В статье разберем все изменения, которые известны на 27 декабря 2021 года.
Даты основных изменений:
Где получать новую электронную подпись в 2021 и 2022 годах
Получение ЭП в 2021 году
До конца 2021 года и индивидуальным предпринимателям, и первым лицам организаций (указаны в ЕГРЮЛ) можно по-прежнему получать электронные подписи в УЦ. Главное, чтобы этот УЦ был аккредитован по требованиям 63-ФЗ. Найдите удобный УЦ в перечне Минцифры РФ или уточните в УЦ, в котором вы раньше уже получали сертификат.
Сотрудникам и уполномоченным лицам организаций можно обращаться в УЦ за прежними подписями до конца 2022 года.
Также в 2021 году для руководителей организаций, ИП и нотариусов появилась альтернатива — они могут также обратиться за новой электронной подписью в ФНС. До 1 января 2022 года делать это можно по желанию.
Получение ЭП в 2022 году
В 2022 году сценарий получения изменится. Куда именно обращаться за новой ЭП, будет зависеть от того, кто получает подпись — первое лицо компании или работник.
Руководители компаний, ИП и частные нотариусы будут получать подписи ФНС — непосредственно в отделении инспекции или в офисе доверенного лица налоговой.
Если в 2022 году на руках останется действующая подпись Контура или другого УЦ, получившего аккредитацию по новым правилам 63-ФЗ, то ей можно продолжать пользоваться до конца 2022 года. Экстренно обращаться в ФНС или УЦ 1 января 2022 года, чтобы получить подпись, соответствующую новому законодательству, не обязательно — ни руководителю, ни сотруднику. Сделать это можно в спокойном режиме в течение 2022 года, когда текущая подпись аккредитованного УЦ будет подходить к концу.
Как получить ЭП руководителю
В налоговой
Для работы с подписью, нужно установить средство криптозащиты на компьютер — программу КриптоПро CSP. Чтобы запустить программу, на нее нужно купить лицензию. После этого настройте компьютер и браузер так же, как делали это с прошлой ЭП, установить подпись.
Электронную подпись ФНС выдает бесплатно. Но это относится только к файлам ЭП, которые запишут на токен. Отдельно нужно купить токен и лицензию на КриптоПро CSP.
Кроме того, подпись налоговой выдается в единственном экземпляре и защищена от копирования — поэтому всем сотрудникам, которые подписывают электронные документы компании, понадобится купить свои подписи. Также в подпись не включают никаких расширений, которые дают доступ к специализированным площадкам и порталам. Пока порталы не отказались от расширений полностью, использовать ЭП ФНС на них не получится.
У доверенных лиц ФНС
Доверенные лица налоговой — это «помощники ФНС», в которых можно получить ЭП налоговой. Это будут УЦ, выбранные из числа прошедших переаккредитацию. Полный перечень доверенных лиц станет известен в конце 2021 года.
Для получения также необходимо личное обращение и тот же набор документов. В офисе «помощников» можно будет сразу получить токен, а также КриптоПро CSP. В некоторых УЦ помогут и с настройкой компьютера, проконсультируют по работе с подписью.
Обратите внимание: вышеизложенные способы подходят только для руководителей коммерческих компаний, ИП и нотариусов. Должностные лица бюджетной сферы должны будут получать ЭП Федерального Казначейства. А первые лица банков и финансовых организаций — Центробанка. Сроки те же — после 1 января 2022 года.
Как получить ЭП сотруднику
Работники, обслуживающая бухгалтерия, другие уполномоченные лица — все, кто подписывает документы компании — могут работать с прежними подписями и получать их по старым правилам в УЦ до 31 декабря 2022 года. Действовать такие подписи будут до 31 декабря 2022 года (да, 30 декабря 2022 года такую подпись получать не имеет смысла).
С 1 марта 2022 года сотрудники могут перейти на ЭП нового типа. Это будет ЭП физического лица, в ней данные организации не указывают. Перейти на такую подпись можно по своему желанию, либо по предложению портала или системы, в которой вы работаете.
Такие подписи будут выдаваться в УЦ, прошедших переаккредитацию. Также потребуется личный визит, предъявление паспорта и СНИЛС. Отличие от подписи руководителя — подпись будет без запрета на копирование или включение расширений.
В файле подписи будут указаны только ФИО физлица. Чтобы доказать правомочность своих действий от имени компании, нужна электронная доверенность (она же — машиночитаемая доверенность, МЧД).
По желанию электронную доверенность можно применять с 1 марта 2022 года, тогда же, когда можно переходить на подпись физлица. Но могут быть системы, которые введут обязательную электронную доверенность раньше. Например, ФНС уже в конце 2021 года предлагает своим пользователям использовать электронную доверенность, а значит нельзя исключать, что сделает ее обязательной раньше 1 января 2023 года.
Электронная доверенность — новый инструмент для документооборота, который продолжают разрабатывать для широкого применения. Как она будет работать, можно понять на примере сдаче отчетности в ФНС: сначала руководителю нужно подписать доверенность на сотрудника в налоговой, а когда ее примут, сотрудник сможет сдавать отчетность от лица компании.
Вопросы о работе с ЭП в 2022 году
Какие подписи будут работать в 2022 году?
Как электронные подписи ФНС будут работать на порталах с расширениями
У ряда порталов и площадок свои требования к ЭП. Например, нужны специальные расширения (OIDы) для работы с электронными закупками, в системах СМЭВ, ГИИС ДМДК, Росреестра. При этом по закону расширения не требуются, и сейчас многие площадки от них отказываются.
Пока OIDы еще нужны, используйте ту же подпись, что и раньше. ЭП ФНС для них не подойдет. Следите за объяснениями налоговой и площадок.
Как работать с ЕГАИС Алкоголь
Сейчас торговым точкам нужна ЭП, чтобы продавать спиртное. Обычно используется одна на всю компанию — создаются ее копии. ЭП налоговой так использовать не получится.
Налоговая разъяснила, что ЕГАИС начнет принимать электронные подписи по новым требованиям закона. Предполагаются два возможных сценария:
Что такое подпись пакетов информационного обмена между системами
Шифрование данных применяется с целью исключения несанкционированного ознакомления с ними при их хранении и передаче по каналам связи.
Для сокращения объема зашифрованных данных в системе предусмотрена возможность их предварительного сжатия с помощью встроенного архиватора. Данные после шифрования сжать нельзя. Параметр, устанавливающий или отменяющий режим сжатия данных, указывается при выборе настроек пользователя.
Шифрование данных осуществляется по алгоритму в соответствии с ГОСТ 28147-89. Шифрование данных выполняется открытым ключом (сертификатом) получателя шифрованных данных.
Внимание! Если абонент не укажет себя в списке абонентов, для которых шифруются данные, он не сможет их расшифровать!
Для выполнения шифрации исходными параметрами являются:
8.2.6. Расшифрование пакетов
Расшифровка транспортных пакетов производится автоматически, если в настройках профиля абонента, получившего зашифрованные данные, указано наличие прав приема/отправки почты.
Распаковка данных, если они были сжаты, при расшифровке транспортных пакетов происходит автоматически.
При расшифровке данных сначала определяется возможность доступа к ним, потом данные расшифровываются по алгоритму криптобиблиотеки. Осуществляется контроль целостности данных.
Для расшифровки транспортных пакетов используется закрытый ключ абонента, получившего зашифрованные данные. В случае невозможности расшифровки на активных ключах могут использоваться неактивные (но не запрещенные) ключи.
Для выполнения дешифрации исходными параметрами являются:
8.3. Настройка ключей криптозащиты
Настройка ключей криптозащиты информации в системе СЭД осуществляется в следующей последовательности:
– Генерация запроса на сертификат и закрытого ключа;
– Ввод нового криптографического профиля абонента;
– Установка нового сертификата абонента;
– Настройка расширенных прав подписи;
– Настройка количества подписей под документами;
– Дополнительные настройки криптозащиты.
Если настройка ключей криптозащиты информации выполняется для зарегистрированного в системе криптографического профиля, то ввод нового профиля не выполняется, а все остальные настройки осуществляются только в рамках используемой СКЗИ данного профиля в любой последовательности. Процедура ввода нового ключа в существующий профиль описана в п. 8.3.6 Ввод нового ключа в криптографический профиль абонента.
8.3.1. Генерация закрытого ключа
8.3.1.1. Генерация запроса на сертификат и закрытого ключа (обычная)
Для генерации закрытого ключа выполните следующие действия.
Рисунок 46. Генерация запроса на сертификат закрытого ключа
– «Наименование абонента» – введите фамилию имя и отчество владельца закрытого ключа или наименование службы/сервиса/АРМ/сервера для которого запрашивается сертификат. Поле обязательно для заполнения.
– «АРМ абонента сертификата» – выберите из списка АРМ абонента сертификата (по умолчанию указан текущий АРМ пользователя).
– «Криптобиблиотека» – определяется тип используемой СКЗИ (по умолчанию тип уже определён как Ms Crypto API 2.0, что соответствует криптосистеме КриптоПро CSP 2.0/3.0/3.6).
– «Генерировать запрос на ЕУС (единый универсальный сертификат)» – при установке данного флага будет генерироваться запрос на единый универсальный сертификат (см. п. 8.3.1.2). По умолчанию флаг установлен. Для генерации обычного запроса флаг нужно снять.
Рисунок 47. Генерация запроса на сертификат
– «Идентификатор ключа (Фамилия Имя Отчество владельца ключа)» – вводится фамилия, имя, отчество владельца сертификата в виде «Фамилия Имя Отчество» или наименование службы/сервиса/АРМ/сервера, для которого запрашивается сертификат. Поле обязательно для заполнения. По умолчанию заполняется из поля «Наименование абонента» предыдущего окна.
– «Фамилия» – заполняется фамилия владельца сертификата с большой буквы в одно слово без пробелов. Поле обязательно для заполнения. По умолчанию заполняется значением из поля «Идентификатор ключа».
– «Имя Отчество» – имя и отчество владельца сертификата в формате «Имя Отчество» в два слова, разделенных одним пробелом. Поле обязательно для заполнения. По умолчанию заполняется значением из поля «Идентификатор ключа».
– «Инициалы» – инициалы владельца сертификата без пробелов. Поле доступно и заполняется только при генерации запроса на ЕУС (см. п. 8.3.1.2).
– «Страна» – заполняется двухбуквенным кодом страны в соответствии с ISO 3166, в которой зарегистрирована организация. Поле обязательно для заполнения. Для России по умолчанию указывается RU.
– «Регион» – наименование региона, в котором зарегистрирована организация. Заполняется значением «Наименование» из справочника «Регионы РФ». Поле обязательно для заполнения. Список значений поля «Регион» приведен в таблице 3.
– «Город» – заполняется наименованием города (населённого пункта), в котором зарегистрирована организация. Поле обязательно для заполнения.
– «Должность» – должность владельца сертификата. Поле обязательно для заполнения.
– «Организация» – наименование организации владельца сертификата. Поле обязательно для заполнения. По умолчанию заполняется наименованием АРМ абонента сертификата.
– «Формализованная должность» – поле заполняется при формировании запроса на ЕУС (см. п. 8.3.1.2).
– «Подразделение 1-го уровня» – организационное подразделение владельца сертификата1-го уровня. При генерации обычного запроса поле необязательно для заполнения.
– «Подразделение 2-го уровня» – организационное подразделение владельца сертификата 2-го уровня. Поле необязательно для заполнения.
– «E-mail» – адрес электронной почты владельца сертификата. Поле обязательно для заполнения.
– «ИНН» – индивидуальный номер налогоплательщика. Поле доступно для заполнения при генерации запроса на ЕУС (см. п. 8.3.1.2).
– «КПП» – код причины постановки на учет. Поле доступно для заполнения при генерации запроса на ЕУС (см. п. 8.3.1.2).
– «Экспортируемый закрытый ключ» – указывается возможность переноса ключа ЭЦП на другой носитель (если выбрано значение «нет», то контейнер с ключом нельзя будет копировать). По умолчанию указано значение «да».
– «Адрес» – поле заполняется при генерации запроса на ЕУС (см. п. 8.3.1.2).
– «Учетный номер организации» – поле заполняется при генерации запроса на ЕУС (см. п. 8.3.1.2).
– «Идентификатор Landocs» – поле заполняется при генерации запроса на ЕУС (см. п. 8.3.1.2).
Таблица 3. Список названий регионов Российской Федерации
Республика Адыгея (Адыгея)
Республика Марий Эл
Республика Саха (Якутия)
Республика Северная Осетия – Алания
Чувашская Республика – Чувашия
Архангельская область и Ненецкий автономный округ
Еврейская автономная область
Ханты-Мансийский автономный округ – Югра
Чукотский автономный округ
Ямало-Ненецкий автономный округ
Иные территории, включая, г. Байконур
Рисунок 48. Генерация запроса на сертификат
Внимание! Если считыватель закрытого ключа у Вас определён как дискета 3.5”, то перед нажатием кнопки «Выполнить» в дисковод необходимо вставить ключевую дискету, на которую будут записаны файлы закрытого ключа. В случае её отсутствия выведется соответствующее сообщение, и система будет пытаться обратиться к дисководу, пока не будет вставлена дискета.
Рисунок 49. Установка пароля
10. Когда закрытый ключ сервера СЭД будет сгенерирован (при этом на ключевом носителе будет создан контейнер с закрытым ключом и в него будут помещены файлы закрытого ключа header.key, masks.key, masks2.key, name.key, primary.key, primary2.key), система автоматически сформирует запрос на сертификат – файл с расширением *.req и отобразит путь, куда он будет помещён (см. рисунок 50).
Рисунок 50. Директория сохранения нового ключа
11. После определения каталога с запросом на сертификат мастер генерации запроса на сертификат MS Crypto API 2.0 завершит свою работу и для его закрытия следует нажать кнопку «Готово».
12. Полученный запрос на сертификат в электронном виде вместе с бумажной копией следует доставить в СВУЦ (сеть ведомственных удостоверяющих центров) для его подтверждения, где на основе отправленного запроса на сертификат будет сформирован готовый сертификат открытого ключа электронно-цифровой подписи (файл с расширением *.cer).
Примечание: Кроме сертификата с открытым ключом сервера СЭД для регистрации криптонастроек необходим открытый ключ корневого сертификата удостоверяющего центра. Без данного сертификата регистрация в системе подписи сервера СЭД невозможна.
Полученный комплект ключевой информации можно использовать в системе, настроив его параметры с помощью Мастера установки сертификата (см. п. 8.3.2).
8.3.1.2. Генерация запроса на ЕУС и закрытого ключа
Для генерации запроса на ЕУС и закрытого ключа выполните следующие действия.
– «Наименование абонента» – введите фамилию имя и отчество владельца закрытого ключа или наименование службы/сервиса/АРМ/сервера для которого запрашивается сертификат. Поле обязательно для заполнения.
– «Наименование организации» – выберите из списка АРМ абонента сертификата (по умолчанию указан текущий АРМ пользователя).
– «Криптобиблиотека» – определяется тип используемой СКЗИ (по умолчанию тип уже определён как Ms Crypto API 2.0, что соответствует криптосистеме КриптоПро CSP 2.0/3.0/3.6).
– «Генерировать запрос на ЕУС (единый универсальный сертификат)» – при установке данного флага будет генерироваться запрос на единый универсальный сертификат и становится доступным поле «Роли владельца сертификата». По умолчанию флаг установлен.
– «Роли владельца сертификата» – в поле отображается список значений из справочника «Роли владельца сертификата» в виде древовидной структуры с возможностью отметить (включить чекбокс) нужные пункты. Для раскрытия ветви дерева нажать «+», для закрытия – нажать «-» возле узла. Для назначения роли нужно отмечать конечные пункты ветви (при этом все вышестоящие узлы отмечаются автоматически). Допускается отмечать несколько пунктов. Для отмены назначенной роли/ролей достаточно снять галочку с родительского узла (при этом все нижестоящие пункты очищаются автоматически). Список ролей зависит от уровня АРМ, на котором формируется запрос на сертификат. На АРМ Сервера доступны все роли.
Основные роли, доступные при создании сертификата:
— «Подпись пакетов информационного обмена между системами» – используется для подписи транспортных пакетов при обмене между системами.
— «Подпись запросов на издание сертификатов ключей подписи» – позволяет руководителю подписывать передаваемые в ТОФК запросы на сертификат других сотрудников организации.
— «АСФК» – сертификат предназначен для использования в ППО «АСФК».
— «Landocs. Делопроизводство» – сертификат предназначен для использования в Landocs.
— «СЭД. Электронный документооборот» – сертификат предназначен для использования в ППО «СЭД».
— «СПТО. Передача статистической информации о технологических операциях – сертификат предназначен для использования в СПТО.
— «ЭЦП в системе внутриведомственного документооборота» – сертификат предназначен для внутриведомственного документооборота подразделений Министерства Юстиции.
— «Заказчик. ЭЦП Специалиста с правом подписи контракта» – используется в большинстве случаев для получения сертификата специалиста.
Рисунок 51. Генерация запроса на ЕУС и закрытого ключа
Рисунок 52. Генерация запроса на сертификат
– «Идентификатор ключа (Фамилия Имя Отчество владельца ключа)» – вводится фамилия, имя, отчество владельца сертификата в виде «Фамилия Имя Отчество» или наименование службы/сервиса/АРМ/сервера, для которого запрашивается сертификат. Поле обязательно для заполнения. По умолчанию заполняется из поля «Наименование абонента» предыдущего окна.
– «Фамилия» – заполняется фамилия владельца сертификата с большой буквы в одно слово без пробелов. Поле обязательно для заполнения. По умолчанию заполняется значением из поля «Идентификатор ключа».
– «Имя Отчество» – имя и отчество владельца сертификата в формате «Имя Отчество» в два слова, разделенных одним пробелом. Поле обязательно для заполнения. По умолчанию заполняется значением из поля «Идентификатор ключа».
– «Инициалы» – инициалы владельца сертификата без пробелов. Поле доступно и обязательно только при выборе роли «Landocs». Если заполнено поле «Имя Отчество» и разрешено для редактирования поле «Инициалы», то по нажатию кнопки «>» автоматически заполняется поле «Инициалы».
– «Страна» – заполняется двухбуквенным кодом страны в соответствии с ISO 3166, в которой зарегистрирована организация. Поле обязательно для заполнения. Для России по умолчанию указывается RU.
– «Регион» – наименование региона, в котором зарегистрирована организация. Заполняется значением «Наименование» из справочника «Регионы РФ». Поле обязательно для заполнения. Список значений поля «Регион» приведен в таблице 3.
– «Город» – заполняется наименованием города (населённого пункта), в котором зарегистрирована организация. Поле обязательно для заполнения.
– «Должность» – должность владельца сертификата. Поле обязательно для заполнения.
– «Организация» – наименование организации владельца сертификата. Поле обязательно для заполнения. По умолчанию заполняется наименованием АРМ абонента сертификата.
– «Формализованная должность» – поле доступно и обязательно для заполнения только при выборе роли «АСФК». Наименование должности выбирается из выпадающего списка.
– «Подразделение 1-го уровня» – организационное подразделение владельца сертификата1-го уровня. Поле обязательно для заполнения для всех ролей, кроме «СЭД».
– «Подразделение 2-го уровня» – организационное подразделение владельца сертификата 2-го уровня. Обязательно для заполнения, если выбраны роли «АСФК» или «СПТО».
– «E-mail» – адрес электронной почты владельца сертификата. Обязательно для заполнения. Адрес должен соответствовать шаблону «*@*.*».
– «ИНН» – индивидуальный номер налогоплательщика. Поле обязательно для заполнения, если выбрана роль ООС. Поле должно содержать 10 или 12 символов.
– «КПП» – код причины постановки на учет. Поле доступно для заполнения, если выбрана роль ООС. Поле должно содержать 9 символов.
– «Экспортируемый закрытый ключ» – указывается возможность переноса ключа ЭЦП на другой носитель (если выбрано значение «нет», то контейнер с ключом нельзя будет копировать). По умолчанию указано значение «да».
– «Адрес» – адрес места работы (улица и номер дома) владельца сертификата. Поле доступно и обязательно для заполнения при выборе роли «Landocs».
– «Учетный номер организации» – поле доступно и обязательно для заполнения при выборе роли ООС.
– «Идентификатор Landocs» – поле доступно и обязательно для заполнения при выборе роли «Landocs», 36 символов. Если у пользователя уже есть сертификат Landocs, то необходимо заполнить поле его значением.
8.3.1.3. Просмотр сформированного запроса на сертификат
Рисунок 53. Выбор файла запроса на сертификат
Откроется форма просмотра запроса на сертификат, состоящая из двух вкладок: «Параметры сертификата» и «Роли владельца сертификата» (см. рисунки 54, 55).
Рисунок 54. Форма «Запрос на сертификат». Вкладка «Параметры сертификата»
Рисунок 55. Форма «Запрос на сертификат». Вкладка «Роли владельца сертификата»
На вкладке «Роли владельца сертификата» отображается список назначенных ролей. Для просмотра параметров выбранной роли нажать кнопку (редактировать/просмотреть) на панели инструментов вкладки. Откроется форма «Роль владельца сертификата (см. рисунок 56). Для выхода из формы нажать кнопку «Закрыть».
Рисунок 56. Роль владельца сертификата
8.3.2. Создание криптографического профиля абонента
Под созданием криптопрофиля понимается автоматическое заполнение параметров СКЗИ и формирование каталогов носителя ключа.
Выберите пункт меню «Администрирование – Криптозащита – Список абонентов ЭЦП». На экране появится форма списка документов «Криптографические профили» (см. рисунок 57).
Рисунок 57. Окно «Криптографические профили»
Для ввода нового профиля нажмите клавишу «Ins» или кнопку на панели инструментов списка абонентов (в левой части формы). Откроется диалог «Криптографический профиль» (см. рисунок 58).
Рисунок 58. Окно «Криптографический профиль»
В появившемся диалоге определяется фамилия, имя, отчество владельца криптопрофиля. Эти данные заносятся в поле «Наименование криптопрофиля». Сохранение введённых параметров производится кнопкой «ОК».
Рисунок 59. Окно «Настройки криптографического профиля»
Наименование криптографического профиля выбранного абонента заполняется автоматически. Значение может быть изменено путем выбора из списка криптографических профилей абонентов ЭЦП.
В поле «АРМ» из справочника выбирается рабочее место АРМ БУ.
Ниже наименования АРМ задаются режимы прав подписи документов, этот параметр должен выбираться, исходя из количества требуемых подписей под документами:
– «Не может подписывать документы» – отсутствие прав подписи документов.
– «Право подписи всех документов» – наличие прав подписи документов; при установке переключателя в данное положение обязательно нужно указать в соседнем поле количество подписей (право единственной подписью; право первой подписью; право второй подписью).
– «Расширенные права подписи» – установка расширенных прав подписи, которые необходимы для задания прав подписи в зависимости от параметров документа. При выборе данного режима активируется вкладка «Расширенное право подписи» (подробнее см. п. 8.3.3).
Внимание! При настройке СКЗИ необходимо добавить запись в справочник Количество подписей, о чем подробно описано в п. 8.3.7 «Настройка количества подписей под документами». В противном случае для документов данной организации не будут требоваться никакие подписи.
– «Использовать для шифрации/дешифрации, подписи/проверки подписи данных, передаваемых транспортной подсистемой» – значение параметра определяет использование права подписи и шифрации транспортных пакетов. Постановка флага включает шифрацию данных, передаваемых на удаленный АРМ.
При использовании шифрации/дешифрации данных между сервером и клиентом соблюдаются следующие принципы:
– «Возможность обмена шифрованными данными только с выбранными клиентами» – администратор сервера СЭД для некоторых клиентов может включать шифрацию данных, а для некоторых нет.
– «Привязка шифрации данных к криптопрофилю» – некоторые криптопрофили сервера СЭД могут использовать шифрацию данных, а некоторые нет.