Itcom электронная подпись установка

Обновлено: 15.01.2025

Попробуйте полную версию Анализа сайта: найдите ошибки на главной и внутренних страницах и исправьте их с помощью советов сервиса. Ежедневный аудит и проверка позиций помогут оценить результаты.

Бесплатная версия:

Платная:

Важные события

Поисковая система Google теперь считает сайт безопасным Срок действия SSL-сертификата закончится через 22 дня.

Чек-лист

Список из 80 задач подскажет, что можно сделать на сайте для его продвижения.

Параметры домена

В истории найдено изменений за 2 года 5 месяцев. Первая дата: октябрь 2018.

Хотите увидеть весь график?

Доступно на платных тарифах.

Каждый день мы будем обновлять данные о вашем сайте, чтобы вы не пропустили важные события.

Описание:

Индекс качества сайта — это показатель того, насколько полезен ваш сайт для пользователей с точки зрения Яндекса.

При расчете индекса качества учитываются размер аудитории сайта, поведенческие факторы и данные сервисов Яндекса. Значение индекса регулярно обновляется.

Если у сайта есть зеркало, то показатель неглавного зеркала сайта будет равен показателю главного.

Показатель ИКС поддомена сайта, как правило, равен показателю основного домена.

Дополнительная информация:

Статьи по теме:

Данные теста были получены 25.10.2021 10:39

Выбор пользователей 5 из 5

Популярный сайт 3 из 5

Описание:

Рядом с адресом сайта в результатах поиска Яндекса могут появляться знаки, основанные на данных о поведении пользователей. Такие знаки могут свидетельствовать об удовлетворенности пользователей и их доверии к сайту.

Популярный сайт — сайт получает этот знак, если имеет высокую посещаемость и постоянную аудиторию.

Выбор пользователей — знак получают сайты с высокой степенью вовлеченности и лояльности пользователей по данным Яндекса.

Статьи по теме:

Данные теста были получены 25.10.2021 10:39

В истории найдено изменений за 3 года 6 месяцев. Первая дата: сентябрь 2015.

Хотите увидеть весь график?

Доступно на платных тарифах.

Каждый день мы будем обновлять данные о вашем сайте, чтобы вы не пропустили важные события.

Описание:

Примерное количество проиндексированных страниц в выдаче Яндекса можно посмотреть через оператор site:, что мы и делаем. Он покажет результат поиска по URL сайта, но точную цифру страниц в индексе выдавать не обязан.

Данные теста были получены 25.10.2021 10:39

В истории найдено изменений за 3 года 5 месяцев. Первая дата: сентябрь 2015.

Хотите увидеть весь график?

Доступно на платных тарифах.

Каждый день мы будем обновлять данные о вашем сайте, чтобы вы не пропустили важные события.

Описание:

Сколько страниц сайта Google точно проиндексировал, узнать невозможно. Поисковик не ведет базу данных по URL-адресам.

Примерное количество страниц в выдаче покажет оператор site:, на который мы ориентируемся. Число может быть искажено страницами, которые запрещены к индексу в robots.txt, но попали в выдачу из-за внешних ссылок на них.

Чуть более точное количество покажет раздел «Статус индексирования» в Google Search Console, но и эти данные могут быть искажены из-за применения фильтров.

Данные теста были получены 25.10.2021 10:39

Описание:

Примерное количество проиндексированных страниц в выдаче Яндекса можно посмотреть через оператор site:, что мы и делаем. Он покажет результат поиска по URL сайта, но точную цифру страниц в индексе выдавать не обязан.

Данные теста были получены 25.10.2021 10:39

Описание:

Google сканирует сайты, чтобы находить зараженные ресурсы, фишинговые страницы и другие проблемы, которые ухудшают качество выдачи и пользовательский опыт. Благодаря этой информации поисковая система предупреждает пользователей о небезопасных сайтах. В случае, если сайт будет признан опасным, Google может понизить его в выдаче или удалить.

Дополнительная информация:

Данные теста были получены 25.10.2021 10:39

Описание:

Обычно заражение происходит из-за уязвимости, которая позволяет хакерам получить контроль над сайтом. Он может изменять содержание сайта или создавать новые страницы, обычно для фишинга. Хакеры могут внедрять вредоносный код, например скрипты или фреймы, которые извлекают содержимое с другого сайта для атаки компьютеров, на которых пользователи просматривают зараженный сайт.

Дополнительная информация:

Данные теста были получены 25.10.2021 10:39

С 2009 года Роскомнадзор контролирует распространение информации в интернете. Для этого ведомство в 2012 году создало реестр запрещенных сайтов, который пополняется ежедневно. Первыми под блокировку попадают сайты с запрещенным контентом. Также Роскомнадзор может заблокировать сайт за ФЗ 152 «О персональных данных».

Дополнительная информация:

Статьи по теме:

Данные теста были получены 25.10.2021 10:39

Рейтинг домена — 68 / 100 + 7

В истории найдено изменений за 1 год 5 месяцев. Первая дата: апрель 2020.

Хотите увидеть весь график?

Доступно на платных тарифах.

Каждый день мы будем обновлять данные о вашем сайте, чтобы вы не пропустили важные события.

Описание:

PR-CY Rank - рейтинг для оценки перспективности сайтов в качестве доноров для линкбилдинга. При формировании рейтинга мы анализируем трафиковые и трастовые параметры, а также ссылочный профиль сайта.

Влияние - потенциал влияния сайта на продвижение. Если влияние слабое, то слабым будет как отрицательный эффект (если рейтинг низкий), так и положительный (если рейтинг высокий) и наоборот. Потенциал влияния основан на размере постоянной аудитории сайта.

Ссылочный фактор - вычисляется на основе соотношения входящих и исходящих ссылок на сайт, значений Trust Rank, Domain Rank и др.

Трафиковый фактор - вычисляется на основании объёма и динамики трафика (отрицательная динамика портит рейтинг, положительная динамика - повышает).

Трастовый фактор - анализирует множество параметров, таких как “ИКС”, доля поискового трафика в общем трафике, адаптацию под мобильные устройства и множество других факторов, признанных поисковыми системами, как значимые для ранжирования.

1. Минимальные системные требования к рабочему месту

1. Операционная система Microsoft Windows;
2. Один из браузеров:
   • Спутник
   • Google Chrome
3. КриптоПро CSP 4.0 или 5.0
4. Носитель с действующей электронной подписью, вставленный в компьютер.
5. Права администратора для установки программного обеспечения.
6. Установлен КриптоПРО ЭЦП Browser plug-in, а также настроен браузер:
7. Должен быть выключен Антивирус
8. У вас должна быть действующая лицензия Крипто Про csp. Как проверить действительность лицензии Вы можете узнать по ссылке
9. Если приложение установлено, но не появляется клавиша подписать воспользуйтесь инструкцией

2. Подписание

2.1 Первый способ (по ссылке)

2. На странице выберите «Подписать файл», нажмите ДАЛЕЕ.

Инструкция по установке приложения ITCOM КриптоДок

4. Обновите страницу подписания файла в браузере. На странице должно появиться окно запроса доступа к сертификатам. Нажмите «Продолжить».

5. Во всплывающем окне нажмите кнопку «Предоставить доступ».

Ответы на вопросы! Что делать, если после установки приложения, окно запроса доступа к сертификатам не появилось — инструкция.

6. На следующем шаге выберите какой электронной подписью необходимо подписать (если в компьютер установлена только одна подпись, выбирать не нужно, выбор контейнера произойдет автоматически).

8. После завершения процесса подписания в папку «Загрузки» или в другую указанную Вами директорию (в зависимости от настроек браузера) загрузится файл с расширением .sig – это и есть подписанный файл.

2.2 Второй способ (правым щелчком мыши)

Для подписания вторым способом, приложение ITCOM КриптоДок предварительно должно быть установлено на компьютер (см. п.3 подписания первым способом).

3. Подписание заявления КЭП второй (двумя) электронной подписью.

В случае, если сертификат выпускается на сотрудника юридического лица, который не является законным его представителем, заявление обязательно подписать двумя подписями:

• подписью сотрудника ЮЛ, на которого выпускается электронный ключ:
• подпись руководителя организации (законного представителя).

1. Документ подписанный первой подписью имеет расширение *.sig. Процедура подписания описана выше в разделе «Подписание».

2. Чтобы добавить вторую подпись, следует повторно выполнить пункты № 1 – 7 в разделе «Подписание » и в пункте №7 важно выбрать файл, который подписан первой подписью с расширением *.sig.

Электронная подпись (ЭП) — удобный и функциональный инструмент, который в нашем онлайн-мире должен быть у каждого. Уникальный зашифрованный набор букв и цифр с успехом заменяет собственноручно поставленную подпись, позволяет осуществлять документооборот, взаимодействовать с государством, заключать сделки с недвижимостью и поступать в ВУЗы из любой точки мира, где есть доступ в интернет.

НЭП или КЭП?

Неквалифицированная электронная подпись (НЭП) подтверждает личность подписавшего документ и то, что файл не изменялся после отправки. Она менее защищена и ограничена по сферам применения, в отличие от квалифицированной подписи.

НЭП можно использовать во внутреннем документообороте, работать с ней на некоторых государственных площадках, даже участвовать в торгах (если использование подобной подписи позволяет конкретная электронная торговая площадка).

Но если владелец подписи хочет использовать НЭП во внешнем документообороте, ему придется согласовать это с контрагентом и специально прописать использование неквалифицированной подписи в договоре. И если контрагентов много — это не слишком удобно.

Чтобы получить полный функционал подписи, лучше заказать квалифицированную электронную подпись (КЭП) в аккредитованном Минцифры РФ удостоверяющем центре, таком как УЦ ITCOM. Документы, подписанные именно КЭП, без всяких оговорок законодательно приравниваются к оригиналам.

Электронными подписями можно подписывать бухгалтерскую отчетность, договоры с подрядчиками, документы на куплю-продажу квартиры, официальные запросы в регулирующие органы, документы для торгов и многое другое.

Электронная подпись для бизнеса

Юридическим лицам электронная подпись пригодится для решения следующих задач:

1. Внутренний и внешний документооборот.
   Начиная с 2021 года, все предприниматели должны перейти на электронный документооборот, так что электронная подпись вскоре понадобится каждому владельцу ООО или индивидуальному предпринимателю.
2. Отправка отчетности в гос.органы.
3. Работа на различных государственных площадках и сервисах.
4. Участие в торгах по 44-ФЗ, 223-ФЗ, а также в торгах по банкротству.

Электронная подпись для граждан

Даже если человек далек от бизнеса, электронная подпись способна значительно облегчить его жизнь. К тому же, использовать ЭП становится все проще и удобнее. Особенно теперь, когда подпись можно загрузить в «облако» и подписывать документы с помощью смартфона.

Например, любой гражданин может самостоятельно заказать неквалифицированную электронную подпись в личном кабинете налогоплательщика на сайте ФНС. Такая ЭП предоставляется бесплатно. Правда, действует она только в рамках ЛК. С помощью такой подписи можно удаленно сдать отчетность в налоговые органы, а также запросить необходимую официальную информацию.

Квалифицированная электронная подпись может решить для физического лица следующие задачи:

Дополнительные условия функционирования ЭП

Для комфортной и корректной работы электронной подписи необходимо приобрести два дополнительных компонента:

1. Криптопровайдер.

На рынке существует несколько ведущих производителей криптопровайдеров. Все их продукты соответствуют нормам ГОСТ и выполняют одинаковые функции. Так что каждый пользователь может сам определить, криптопровайдером какого производителя ему пользоваться.

Чаще всего, криптопровайдер устанавливают на компьютер, с которого будет использоваться электронная подпись. Но существуют решения, когда ПО сразу встраивается в ЭП. Так заказчик получает полностью готовый комплект и может работать без привязки к конкретному компьютеру. Но в этом случае существует ограничение. Срок действия встроенной лицензии криптопровайдера обычно равен сроку действия электронной подписи, чаще всего этот срок равен 12 месяцам.

2. Носитель сертификата ЭП.

В первую очередь, здесь речь идет о безопасном хранении электронной подписи, исключении вариантов для ее компрометации и удобстве использования.
Некоторые клиенты устанавливают сертификат ЭП прямо в систему компьютера и пользуются браузерным расширением для подписи документов. Но такой вариант небезопасен и не слишком удобен. Во-первых, плохо защищенный компьютер можно взломать и воспользоваться подписью без ведома владельца. А во-вторых, такое решение ограничивает действие ЭП только одним устройством. Поэтому лучше записать сертификат на защищенный носитель. Самым распространенным из них на данный момент является обычный токен. Но есть и другие виды носителей, и каждый пользователь может выбрать наиболее удобный для себя вариант:

• Токены — самый распространенный вариант носителя. Внешне выглядит как обычная флешка с USB-разъёмом. За счет своей компактности и универсальности, подобную электронную подпись удобно брать с собой в офис или домой.
• Смарт-карты — это довольно специфический вид носителя. Выглядят они как плоская пластиковая карта. В отличие от токена, некоторые смарт-карты, с RFID-составляющей, требуют для подключения к компьютеру специального считывателя. Но, несмотря на подобную сложность, их используют крупные компании для выдачи сотрудникам. Смарт-карты изготавливаются под заказ, и могут совмещать в себе несколько технологий. Например, использоваться в качестве электронной подписи и пропуска в помещения, находящиеся под контролем СКУД, или допуска к компьютеру, вместо стандартной идентификации по логину и паролю. А смарт-карты с NFC технологиями предусматривают и возможность бесконтактного взаимодействия.
• Облачная подпись — в данном случае, по факту, у Вас на руках не будет никакого носителя. Сертификат загружается в “облако”, с которого пользователь “подтягивает” его в случае необходимости.

Это современная и удобная технология, с которой пользователю не нужно волноваться о том, что носитель можно забыть, сломать или потерять. Электронная подпись в любой момент будет у него под рукой. Единственным минусом облачной подписи можно назвать то, что без доступа к интернету она не работает.

Решения для корпоративных клиентов

Помимо индивидуальных выпусков электронных подписей, существуют ситуации, когда крупным организациям требуется массовый выпуск сертификатов ЭП для своих сотрудников и возможность контроля данных сертификатов. Для таких случаев существует 2 решения: выпуск ЭП с хранением в облаке или корпоративный УЦ.

Облачные подписи для организации

В том варианте решения, выпускается квалифицированная электронная подпись для руководителей организации и неквалифицированные подписи для сотрудников организации. Закрытая часть ключа хранится на сервере УЦ ITCOM, открытая устанавливается у владельца подписи.

Далее, облачное хранилище подключается к внутренней системе компании. Таким образом, сотрудники могут подписывать и отправлять документы внутри системы быстро, удобно и безопасно.

В то же время, пользователям доступен “Журнал применения”, в котором хранятся данные о подписании документов, а в случае ухода сотрудника из компании, сертификат ЭП можно легко отозвать.

Корпоративный УЦ

Также существует вариант организации корпоративного УЦ. Для наглядности, рассмотрим схемы взаимодействия на примере работы УЦ ITCOM:

Первый, классический, вариант — это корпоративное обслуживание в доверенном УЦ. Компания понимает сколько ЭП им может потребоваться и обращается в Удостоверяющий центр. После подписания договора, Удостоверяющий центр будет выпускать сертификаты для компании по мере необходимости. Это хороший вариант, так как предполагает финансовую выгоду за массовый выпуск ЭП. К тому же, сертификаты, выпускаемые аккредитованным УЦ — квалифицированные (если заказчик, конечно, намеренно не запросил выпуск НЭП). А значит обладают полным функционалом для работы с внутренним и внешним документооборотом.

Вторая схема дороже и сложнее, но некоторые компании находят её оптимальной для себя. Специалисты компании рекомендуют оборудование и ПО, которое необходимо закупить заказчику, а также обучают ответственного сотрудника со стороны клиента. После обучения, сотрудники получают возможность подавать заявки на сертификаты ключей проверки ЭП через Сервис электронных подписей (СЭП), проходить проверку данных владельцев сертификатов в СМЭВ, управлять жизненным циклом сертификата или генерировать неквалифицированные сертификаты электронных подписей с ограниченным функционалом.

Если же заказчику необходим самостоятельный выпуск квалифицированных электронных подписей, ему придется потратить гораздо больше времени и денег на закупку оборудования и полноценную аккредитацию, которая позволит ему выпускать КЭП. А в свете грядущих изменений в законодательстве в сфере ЭП, подобные траты ресурсов могут оказаться бессмысленными.

Подытожим: если у вас крупная компания с большим количеством внутреннего документооборота, Вы можете выбрать вариант самостоятельной генерации неквалифицированных сертификатов ЭП. Нужно будет вложить деньги в обучение сотрудника и соответствующее ПО, но в итоге вы получите маленький неаккредитованный УЦ на базе вашей компании.

Если же нужен массовый выпуск квалифицированных подписей – такие случаи не редки, например, для поликлиник и медицинских центров, где врачи подписывают рецепты своими ЭП, лучшим вариантом станет заключение договора с аккредитованным УЦ на массовый выпуск КЭП.

Для самостоятельного выпуска квалифицированных электронных подписей на базе компании, необходимы вложения больших ресурсов, так как в этом случае необходимо пройти весь процесс аккредитации, закупить профессиональное оборудование и ПО.

Последние изменения в законодательстве

С 2020 года правила выдачи и использования ЭП претерпят ряд изменений.
Например, начиная с 1 июля 2020 года получить готовый сертификат электронной подписи может только владелец ЭП. Больше нельзя оформить доверенность на родственника или сотрудника (часть 1 статьи 18 Федерального закона № 63-ФЗ от 06.04.2011 г.).

Новые поправки к ФЗ-63 вводят новые требования к Удостоверяющим центрам (статья 16 Закона № 63-ФЗ). Поэтому в 2021 году их количество может значительно сократиться. Но время подготовиться к усложненным правилам ещё есть: получившие аккредитацию до вступления в силу закона № 476-ФЗ (он внес соответствующие поправки в ФЗ «Об электронной подписи»), могут продолжать выпуск квалифицированных электронных подписей до окончания срока действия текущей аккредитации, но не позднее чем до 1 июля 2021 года.

Также, начиная с 2021 года, УЦ смогут хранить и использовать ключ электронной подписи по поручению его владельца. Это возвращает нас к теме “облачной” электронной подписи, которая в следующем году может получить большое распространение.

Самые крупные изменения в работе УЦ ожидаются с 2022 года. Например, от организации получить подпись сможет только ее руководитель. Если сотруднику будет нужна электронная подпись, ему придется обратиться в УЦ как физическому лицу, и при работе подтверждать свои действия дополнительно, с помощью электронной доверенности. Как точно будет работать данная механика, на сегодняшний день не совсем понятно.

И самое крупное изменение — роль удостоверяющих центров для руководителей организаций и ИП с 1 января 2022 года возьмут на себя Казначейство, ФНС и ЦБ РФ.

Руководители кредитных организаций должны будут получать ЭП только в Центральном банке Российской Федерации, руководители органов государственной власти – в Федеральном Казначействе, руководители коммерческих предприятий и индивидуальные предприниматели — в Федеральной налоговой службе.

Сотрудники организаций и физические лица как и раньше, могут пользоваться услугами аккредитованного Удостоверяющего центра.

Пока что Удостоверяющие центры ждут итоговых законопроектов и их толкований от юристов. Ситуация на рынке электронных подписей в ближайшее время может сильно поменяться, а новый “порог допуска” возможно преодолеют не все организации.

Нововведения в законодательстве сильно изменят рынок УЦ. Перестроится под ужесточенные требования к капиталу УЦ и аккредитации смогут только самые сильные и надежные компании. Поэтому количество удостоверяющих центров уменьшится на порядок.

Ужесточение требований направлено на прекращение работы недобросовестных компаний и создания максимально защищенной и надежной схемы электронного заверения документов.

Если данная инициатива сработает, как и было задумано, электронные подписи станут ещё более востребованы, усилится распространение электронного документооборота и у граждан увеличится кредит доверия к электронным версиям привычных в бумажном виде документов.

Мы, в Удостоверяющем центре ITCOM готовы к изменениям и продолжению работы. Деятельность компании аккредитована Минцифры и лицензирована ФСТЭК и ФСБ. И даже с учетом ужесточения требований уверенно строим планы развития на ближайшие годы.

Если у вас после прочтения статьи остались вопросы по сфере ЭП, функционированию корпоративных и облачных решений — вы всегда можете позвонить в наш Удостоверяющий центр. Будем рады ответить на все вопросы.

Автор статьи:
Денис Кунинг,
технический директор Удостоверяющего центра ITCOM

Несколько лет назад нашей компанией был выпущен продукт Рутокен Плагин, который предназначен для встраивания электронной подписи в системы с web-интерфейсом. Основываясь на полученном опыте интеграции продукта в реальные проекты мне хочется отметить, что нередко разработчики для реализации серверной части предпочитают использовать поддерживающий российские криптоалгоритмы openssl.

В данной статье будет расписана типичная схема подобной интеграции, основанная на следующих сценариях использования плагина:

Данные сценарии предполагают клиент-серверное взаимодействие, написание клиентских скриптов на JavaScript и соответствующих им серверных вызовов openssl.

Подробности под катом.

Общие операции

Операции с устройством

Поиск подключенных устройств

Любой клиентский сценарий начинается с поиска подключенных к компьютеру USB-устройств Рутокен. В контексте данной статьи акцент делается на устройство Рутокен ЭЦП.

При этом возвращается список идентификаторов подключенных устройств. Идентификатор представляет собой число, связанное с номером слота, к которому подключено устройство. При повторном перечислении это число может отличаться для одного и того же устройства.

Рутокен Плагин определяет все подключенные к компьютеру USВ-устройства Рутокен ЭЦП, Рутокен PINPad, Рутокен WEB. Поэтому следующим шагом следует определить тип устройства.

Получение информации об устройстве

Для определения типа устройства следует использовать функцию getDeviceInfo с параметром TOKEN_INFO_DEVICE_TYPE. Значение этой константы содержится в объекте плагина.

• модель устройства
• метку устройства
• серийный номер устройства
• информацию о том, залогинен ли пользователь на устройство

Смена PIN-кода

Пример смены PIN-кода на устройстве:

Здесь первым параметром выступает старый PIN-код, а вторым новый PIN-код.

Работа с сертификатами

1. На токене могут храниться 3 категории сертификатов:

2. Для чтения сертификатов, хранящихся на устройстве, не требуется авторизация на устройство.

Пример чтения пользовательских сертификатов с устройства:

3. Сертификат можно экспортировать в PEM-формате:

Получится примерно такая строка:

4. Сертификат можно распарсить вызовом функции parseCertificate и получить из него DN Subject, DN Issuer, расширения, значение открытого ключа, подпись, серийный номер, срок действия и т.п.

5. Сертификат можно записать на устройство.

Пример записи сертификата на устройство как пользовательского:

6. Вызовом функции deleteCertificate можно удалить сертификат с токена.

Работа с ключевыми парами ГОСТ Р 34.10-2001

1. Для получения декрипторов ключевых пар, хранящихся на устройстве, требуется ввод PIN-кода. Следует понимать, что само значение закрытого ключ получено быть не может, так как ключ является неизвлекаемым.

• A: id-GostR3410-2001-CryptoPro-A-ParamSet
• B: id-GostR3410-2001-CryptoPro-B-ParamSet
• C: id-GostR3410-2001-CryptoPro-C-ParamSet
• XA: id-GostR3410-2001-CryptoPro-XchA-ParamSet
• XB: id-GostR3410-2001-CryptoPro-XchB-ParamSet

Пример генерации ключевой пары ГОСТ Р 34.10-2001:

3. С помощью функции deleteKeyPair ключевая пара может быть удалена с токена.

Конфигурирование openssl

Openssl поддерживает российские криптоалгоритмы, начиная с версии 1.0. Для того, чтобы их использовать, в openssl требуется подгружать engine gost. В большинстве дистрибутивов openssl эта библиотека присутствует. Чтобы engine подгружалась, можно прописать ее в конфигурационном файле openssl:

Если конфигурационный файл openssl не расположен в стандартном месте, то путь к нему можно задать через переменную окружения OPENSSL_CONF.

Другим вариантом подгрузки engine gost является ее передача в параметрах командной строки утилиты openssl.

Если engine gost не расположена в стандартном месте, то через переменную окружения OPENSSL_ENGINES можно задать путь к директории, в которой openssl будет ее искать.

Для получения информации о том, успешен ли был вызов утилиты openssl или нет, с возможностью уточнения ошибки, требуется парсить stdout и stderror. В конце статьи приведена ссылка на PHP-скрипт, который использует данную утилиту.

Теперь перейдем к реализации законченных пользовательских сценариев.

Сертификат выдается при регистрации в системе

Последовательность вызовов в клиентском скрипте будет следующей:

Далее запрос отправляется на сервер, где на его основе выдается сертификат.
Для этого на сервере должен быть установлен и правильно сконфигурирован openssl версии от 1.0 и развернут функционал УЦ.

1. Генерация улюча УЦ:

После этого в файле ca.key будет создан закрытый ключ

2. Создание самоподписанного сертификата УЦ:

После ввода необходимой информации об издателе в файле ca.crt будет создан сертификат УЦ.

Полученный от клиента запрос сохраняем в файл user.csr и выдаем на его основе сертификат (без модификации данных из запроса):

Сертификат уже имеется на токене, выдан внешним УЦ

Ключевая пара при этом должна быть создана в формате, совместимом с библиотекой rtPKCS11ECP для Рутокен ЭЦП.

Последовательность вызовов на клиенте:

Подпись получается в base64-формате. При проверке ее на сервере с помощью openssl подпись следует обрамить заголовками, чтобы сделать из нее PEM. Выглядеть подобная подпись будет примерно так:

Проверка подписи на сервере:

Здесь sign.cms — файл, в котором находится подпись, ca.crt — файл с корневыми сертификатами, до одного из которых должна выстроиться цепочка, data.file — файл, в который будет сохранены подписанные данные, user.crt — файл, в который будет сохранен пользовательский сертификат. Именно из data.file нужно извлечь данные отсоединить последние 32 символа и сравнить salt.

Если на сервере нужно получить информацию из сертификата, то парсить его можно так:

Показать содержимое сертификата в текстовом представлении:

Показать серийный номер сертификата:

Показать DN субъекта (subject):

Показать DN издателя:

Показать почтовый адрес субъекта:

Показать время начала действия сертификата:

Показать время окончания действия сертификата:

Строгая аутентификация на портале

Электронная подпись данных и/или файлов в формате CMS

Проверка подписи на сервере описана выше.

Шифрование/расшифрование данных и/или файлов в формате CMS

Шифрование данных на клиенте для сервера

Последовательность вызовов приведена на картинке:

Шифрование данных на клиенте:

Расшифрование данных, полученных с сервера, на клиенте

Для расшифрования данных, полученных с сервера, предназначена функция cmsDecrypt. Так как сервер шифрует для клиента, используя его сертификат, то в качестве keyId должен быть передан дескриптор закрытого ключа клиента, соответствующий открытому ключу в сертификате. Этот дескриптор является уникальным и неизменным и потому может быть сохранен в учетной записи пользователя на сервере. Кроме того, дескриптор ключа пользователя может быть получен явным образом, путем вызова функции getKeyByCertificate.

Шифрование данных на сервере для клиента:

Расшифрование данных на клиенте:

Полезные ссылки

Данные ссылки могут быть полезны разработчикам инфосистем с поддержкой ЭЦП на базе Рутокен Плагин и openssl:

Читайте также:

  
• Чем открыть файл ipd
  
• Отходит зарядка от ноутбука что делать
  
• Компьютер который работает без электричества
  
• Как вернуть графический планшет с алиэкспресс
  
• Настройка ms sql express при установке spds x64 для autocad