Общая информация
Эту инструкцию можно использовать, если вы работаете с устройствами:
- Рутокен ЭЦП 2.0 2100;
- Рутокен ЭЦП 2.0;
- Рутокен ЭЦП 2.0 micro;
- Рутокен ЭЦП 2.0 Touch;
- Рутокен ЭЦП 2.0 Flash;
- Рутокен ЭЦП 2.0 Type-C;
- Рутокен ЭЦП 2.0 3000;
- Смарт-карта Рутокен ЭЦП 3.0 NFC
В соответствии с Приказом ФСБ России №795 в Генератор запросов добавлена возможность заполнения полей:
INN (ИНН физического лица)
INNLE (ИНН юридического лица)
OGRNIP (ОГРНИП)
Также добавлено поле identificationKind (Тип идентификации при выдаче сертификата)
По умолчанию в Генераторе запросов устанавливается значение "00" (Лично)
Изменить тип идентификации можно внутри шаблона- .
"01" - По действующей КЭП
"02" - Загранпаспорт с электронным носителем"03" - ЕСИА / ЕБС
У каждого устройства Рутокен есть PIN-код Пользователя и PIN-код Администратора.
PIN-код Пользователя является паролем, который используется для реализации основных функций устройства Рутокен. Его значение по умолчанию — 12345678.
PIN-код Администратора является паролем, который используется для доступа к административным функциям устройства Рутокен. Его значение по умолчанию — 87654321.
Tip |
---|
Процесс создания сертификата квалифицированной электронной подписи состоит из следующих этапов: 1 этап. Создание запроса на сертификат квалифицированной электронной подписи и сохранение его на компьютере. 2 этап. Подписание запроса на сертификат квалифицированной электронной подписи. 3 этап. Создание сертификата квалифицированной электронной подписи и сохранение его на компьютере. 4 этап. Запись сертификата на устройство Рутокен ЭЦП 2.0 и 3.0. |
Утилита "Генератор запросов сертификатов для Рутокен ЭЦП 2.0 и 3.0" предназначена:
- для создания запроса на сертификат квалифицированной электронной подписи;
- для записи готового сертификата на устройство Рутокен.
Запрос на сертификат используется для указания всей необходимой информации для сертификата квалифицированной электронной подписи.
Доступ к утилите возможен из Панели управления Рутокен, которая входит в состав комплекта "Драйверы Рутокен для Windows".
Установка комплекта "Драйверы Рутокен для Windows"
Актуальная версия комплекта драйверов доступна по ссылке:
https://www.rutoken.ru/support/download/drivers-for-windows/
Warning |
---|
Перед началом установки комплекта драйверов рекомендуется закрыть все работающие приложения и отключить Рутокен от компьютера. |
Warning |
---|
Для установки комплекта драйверов необходимы права администратора системы. |
Для установки комплекта драйверов:
- Запустите программу установки комплекта драйверов и нажмите Установить.
- В окне с запросом на разрешение изменений на компьютере нажмите Да. В результате запустится процесс установки комплекта драйверов.
- После завершения процесса установки нажмите Закрыть.
- Подключите Рутокен к компьютеру.
- Запустите Панель управления Рутокен. В результате откроется главное окно панели управления и в поле Подключенные Рутокен отобразится название подключенного устройства.
Запуск утилиты "Генератор запросов сертификатов для Рутокен ЭЦП 2.0 и 3.0"
Чтобы генератор запросов стал доступен в Панели управления Рутокен необходимо ввести PIN-код Администратора.
Если вы не знаете PIN-кода Администратора, то обратитесь к тому, кто выдал вам устройство Рутокен.
Чтобы запустить утилиту:
- В Панели управления Рутокен на вкладке Администрирование выберите устройство.
- Нажмите Ввести PIN-код.
- Установите переключатель в положение Администратор и введите PIN-код Администратора.
- Нажмите ОК.
- Перейдите на вкладку Сертификаты.
- Нажмите Выписать сертификат (эта кнопка станет активной, если вы ввели корректный PIN-код Администратора). В результате откроется окно утилиты "Генератор запросов сертификатов для Рутокен ЭЦП 2.0 и 3.0".
В полях отображаются примеры значений для каждого поля.
После этого вы можете работать с утилитой.
Краткое описание работы с утилитой
Создание запроса на сертификат квалифицированной электронной подписи
Warning |
---|
Перед запуском утилиты отключите от компьютера все лишние устройства Рутокен. Оставьте только устройство, на которое необходимо записать сертификат квалифицированной электронной подписи. |
Для создания запроса на сертификат квалифицированной электронной подписи:
- Запустите утилиту.
- В раскрывающемся списке Шаблон выберите название необходимого шаблона.
- Введите необходимые значения полей запроса (все поля заполняются согласно Приказу ФСБ РФ от 29.01.2021 № 31 "О внесении в приказ ФСБ России от 27.12.2011 № 795 "Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи"). Требования к данным, указанным в запросе на сертификат квалифицированной электронной подписи смотрите в таблице.
- Нажмите Создать запрос.
- Выберите на компьютере папку для сохранения файла запроса и нажмите Сохранить.
- Укажите PIN-код Пользователя устройства Рутокен.
- Нажмите на кнопку . В результате на компьютере сохранится файл запроса, а на устройстве Рутокен сгенерируется ключевая пара.
- Чтобы убедиться в том, что запрос создан, щелкните по ссылке Показать в папке. В результате откроется папка, в которой сохранен этот запрос.
Запись сертификата квалифицированной электронной подписи на устройство Рутокен
Для записи сертификата квалифицированной электронной подписи на устройство Рутокен ЭЦП 2.0 и 3.0:
- Нажмите Запись сертификата.
- Выберите на компьютере файл с сертификатом и нажмите Открыть. В результате сертификат запишется на устройство Рутокен.
- Для просмотра сертификата, записанного на устройство Рутокен, щелкните по ссылке Просмотреть в Панели управления Рутокен. В результате осуществится переход в Панель управления Рутокен.
- Перейдите на вкладку Сертификаты и нажмите на кнопку .
- Найдите созданный сертификат квалифицированной электронной подписи. Сертификат записан на устройство Рутокен.
Дополнительные возможности утилиты
Пользователям утилиты доступны следующие возможности для работы с шаблонами:
- изменение параметров шаблона;
- сохранение нового шаблона на компьютере;
- использование существующего или нового шаблона.
Изменение параметров шаблона запроса на сертификат квалифицированной электронной подписи
Для изменения параметров шаблона:
- Запустите Панель управления Рутокен.
- Запустите утилиту.
- В раскрывающемся списке Шаблон выберите название необходимого шаблона.
- Щелкните по ссылке "Просмотреть в Блокноте". Откроется окно шаблона.
- Измените необходимый параметр запроса.
- В окне шаблона выберите пункт Файл и подпункт Сохранить как.
- Выберите папку для сохранения шаблона на компьютере.
- Укажите имя файла.
- Нажмите Сохранить.
Использование нового шаблона запроса на сертификат квалифицированной электронной подписи
Для использования нового шаблона запроса на сертификат квалифицированной электронной подписи:
- Запустите Панель управления Рутокен.
- Запустите утилиту.
- В раскрывающемся списке Шаблон выберите название созданного шаблона.
- Следуйте инструкции по созданию запроса на сертификат квалифицированной электронной подписи.
Структура кода шаблона запроса на сертификат квалифицированной электронной подписи
Код шаблона запроса на сертификат квалифицированной электронной подписи состоит из блоков, у каждого из которых есть свое назначение.
Блок [DisplayName] используется для указания названия шаблона, которое отобразится в раскрывающемся списке в окне Генератор запросов сертификатов для Рутокен ЭЦП 2.0 и 3.0.
Блок [CertificateRequest] используется для указания информации о владельце сертификата. Параметры запроса данного блока описаны в Таблице 1.
Таблица 1
Название поля (параметр запроса) | Требования к данным |
---|---|
Общее имя (commonName) |
|
Организация (organizationName) |
|
Фамилия (surname) |
|
Имя и отчество (givenName) |
|
Эл. почта (email) |
|
СНИЛC (snils) |
|
ИНН (inn) | ИНН физического лица, строка, состоящая из 12 цифр |
ИНН ЮЛ (innLe) | ИНН юридического лица, состоящая из 10 цифр |
ОГРН (ogrn) |
|
ОГРНИП(ogrnip) |
|
Неструктурир. имя(un) |
|
Подразделение (organizationUnitName) |
|
Должность (title) |
|
Страна (countryName) |
|
Регион (stateOrProvinceName) |
|
Населенный пункт (localityName) |
|
Улица, дом (streetAddress) |
|
Блок [KeyUsage] используется для указания области использования сертификата. Значения, которые можно указать в данном блоке указаны в Таблице 2.
Таблица 2
Название | Описание |
---|---|
digitalSignature | электронная цифровая подпись |
nonRepudiation | неотрекаемость от авторства |
keyEncipherment | шифрование ключей |
dataEncipherment | шифрование данных |
keyAgreement | согласование ключей |
keyCertSign | электронная цифровая подпись сертификатов ключей подписи |
crlSign | электронная цифровая подпись списков отозванных сертификатов |
encipherOnly | зашифровывание |
decipherOnly | расшифровывание |
Блок [ExtendedKeyUsage] используется для указания параметров расширенного использования сертификата. Здесь указываются идентификаторы необходимых операций, классов пользователей и устройств. Примеры значений смотрите в Таблице 3. В данном блоке вы можете задавать и свои значения.
Таблица 3
Значение | Описание |
---|---|
1.3.6.1.5.5.7.3.2 | проверка подлинности клиента |
1.3.6.1.5.5.7.3.4 | защищенная электронная почта |
1.2.643.2.2.34.6 | пользователь Центра Регистрации, HTTP, TLS клиент |
1.2.643.2.2.34.26 | пользователь службы актуальных статусов |
1.2.643.2.2.34.25 | пользователь службы штампов времени |
Блок [CustomExtension] используется для указания расширений сертификата не предусмотренных в других блоках.
Расширения сертификата — это информационные поля, которые содержат дополнительные сведения о сертификате.
Расширения сертификата задаются следующими параметрами:
oid — идентификатор расширения;
- value — данные этого расширения в DER-кодировке.
- criticality — критичность наличия данного расширения.
Блок [Criticality] используется для указания критичности наличия параметров сертификата, указанных в блоках [KeyUsage] и [ExtendedKeyUsage].
Способ идентификации заявителя (IdentificationKind, OID=1.2.643.100.114) задается в этом блоке.
Значение с 0 (личное присутствие) - по умолчанию добавляется.
В описании шаблона есть другие значения:
Таблица 4
Значение IdentificationKind oid=1.2.643.100.114 | Описание |
---|---|
@ByteArray(\x02\x01\x00) | Личное присутствие (0) |
@ByteArray(\x02\x01\x01) | По действующей КЭП (1) |
@ByteArray(\x02\x01\x02) | Загранпаспорт с электронным носителе (2) |
@ByteArray(\x02\x01\x03) | ЕСИА / ЕБС (3) |
Дополнительная информация об утилите
Изменение значения поля запроса на сертификат квалифицированной электронной подписи
Для изменения параметра запроса на сертификат квалифицированной электронной подписи необходимо выполнить следующие действия:
- Запустите Панель управления Рутокен.
- Запустите утилиту.
- Выберите название шаблона.
- Щелкните по ссылке "Просмотреть в блокноте". Откроется окно Шаблон-Основной.
- Поставьте курсор мыши в необходимой строке между кавычками и укажите значение параметра.
- В окне шаблона выберите пункт Файл и подпункт Сохранить как.
- Выберите папку для сохранения шаблона на компьютере.
- Укажите имя файла.
- Нажмите Сохранить.
Примеры работы с шаблонами запросов
Пример 1:
Изменения в блоке [CertificateRequest].
1) Изменим следующие параметры запроса на сертификат квалифицированной электронной подписи:
value;
organizationName;
inninnLe;
ogrn.
2) Сохраним новый шаблон на компьютере и назовем его Люди-делаего Шаблон ООО Прогресс.
3) Запустим Панель управления Рутокен.
4) Откроем утилиту.
5) В раскрывающемся списке выберем название шаблона.
56) Заданные параметры отобразятся в окне Генератор запросов сертификатов для Рутокен ЭЦП 2.0.
Пример 2:
Изменения в блоке [CustomExtension].
1) Добавим следующие расширения для сертификата:
1\oid=1.3.6.1.4.1.311.21.7
1\value=@ByteArray(\x30\x0D\x06\x08\x2A\x85\x03\x02\x02\x2E\x00\x08\x02\x01\x01)
1\criticality=non critical
Каждое расширение для сертификата может быть обозначено, как критическое или некритическое (параметр criticality). Сертификат должен быть отвергнут при отсутствии критических расширений (если параметр у расширения criticality=critical).
Отсутствие некритических расширений может быть проигнорировано (если параметр у расширения criticality= non critical).
2) Сохраните шаблон на компьютере. В результате для сертификата будет задано следующее расширение:
SEQUENCE {
OBJECTIDENTIFIER 1.2.643.2.2.46.0.8
INTEGER 1
}