Электронное согласование документации невозможно без применения электронной подписи (ЭП).
Для согласования документов в Pilot-ICE на компьютерах пользователей должен быть установлен сертификат ключа ЭП.
Сертификат ключа проверки электронной подписи – электронный документ, выданный удостоверяющим центром и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи. Сертификат содержит в себе открытый ключ, сведения о владельце ЭП, а также о том удостоверяющем центре, который оформлял и выдавал ключ. Таким образом, сертификат ключа можно сравнить с неким электронным удостоверением участника системы документооборота. Он должен содержать следующую информацию:
По истечении срока действия сертификата ключа подписи, обозначенного удостоверяющим центром, он становится недействительным. Для того чтобы продолжить работать в системе управления инженерными данными, следует продлить сертификат.
При любом изменении реквизитов владельца ключа (смена руководителя организации, названия и т. д.) требуется отозвать действующий сертификат и получить новый.
Для обеспечения электронного согласования документации внутри организации можно установить центр сертификации предприятия в операционной системе Windows Server.
Чтобы ЭП подпись можно было использовать вне предприятия, например, для согласования электронной проектной документации в государственных организациях, удобнее всего обратиться к услугам существующих удостоверяющих центров и приобрести ЭП у них. Единый государственный реестр удостоверяющих центров опубликован на сайте Минкомсвязи РФ и на Едином портале ЭЦП в РФ .
Попробовать возможности применения электронной подписи в Pilot-ICE можно и без обращения в удостоверяющий центр. ЭП можно самостоятельно сформировать на компьютере пользователя. Один из самых простых способов - создание тестового сертификата с помощью бесплатной утилиты Make Certificate :
Для работы с электронными подписями Pilot-ICE , как и другое ПО, использует криптопровайдеры, встроенные в Windows, обращаясь к интерфейсу CryptoAPI, который доступен через.NET Framework (3.5 и выше). Поэтому разработчики криптопровайдеров, снабдившие свой продукт API на платформе.NET Framework, расширяют совместимость своего продукта.
Уважаемый Пользователь тестового УЦ ООО "КРИПТО-ПРО"!
Сообщаем Вам, что 4 сентября 2014 года была проведена плановая смена ключей и изготовление нового сертификата ключа подписи тестового Удостоверяющего центра ООО "КРИПТО-ПРО".
Вам необходимо установить новый сертификат тестового УЦ: cacer3.crt (нажмите "Открыть", затем "Установить сертификат", и в мастере в качестве хранилища сертификатов выберите "Доверенные корневые Центры сертификации")
Программный комплекс КриптоПро УЦ (Удостоверяющий Центр) представляет собой интегрированный набор служб и средств администрирования для создания и развертывания приложений, применяющих криптографическую защиту информации с сертификатами открытых ключей, а также для управления ими.
Подсистема удаленного (Web) доступа пользователей к Центру Регистрации позволяет Вам:
Весь обмен информацией с Центром Регистрации Удостоверяющего Центра осуществляется с использованием защищенного протокола TLS с одно и двусторонней аутентификацией.
Установка необходимого программного обеспечения | Для работы с нашим Центром требуется установить на локальном компьютере программное обеспечение Крипто-Про. Прежде всего это касается российских средств криптографической защиты информации для обеспечения конфиденциальности, авторства и целостности информации, а также аутентификации и защищенного обмена данными в Web-приложениях. Crypto Pro CSP, Crypto Pro TLS | ||
Реестр сертификатов | Страница поиска изданных на УЦ сертификатов. | ||
Начать регистрацию | Если необходимое программное обеспечение уже установлено на Вашем компьютере и Вы собираетесь стать пользователем нашего Удостоверяющего Центра, можете приступать к регистрации. | ||
Вход для пользователей, обладающих маркером временного доступа | Если Вы обладаете маркером временного доступа, используйте эту ссылку для продолжения процесса регистрации (или получения сертификата). | ||
Если Вы успешно прошли регистрацию, получили и установили свой первый сертификат, используйте данную ссылку для продолжения работы с Центром Регистрации |
Тестовый сертификат может пригодиться для проверки работы различных приложений или для тестирования при их разработке.
Для создания тестового сертификата есть два пути. Первый путь подразумевает использование КриптоПро ЭЦП Browser plug-in , второй же путь предназначен для того, чтобы без него обойтись.
После проделанных действий сертификат автоматически установится и будет размещён в контейнере, расположенном на жёстком диске компьютера, с которого был сделан запрос. После этого его можно скопировать на требуемое устройство. Для копирования контейнера 1 в контейнер 2 можно использовать следующую команду:
/opt/cprocsp/bin/amd64/csptest -keycopy -contsrc "<путь к контейнеру 1>" -contdest "<путь к контейнеру 2>"где пути к контейнерам и их названия можно узнать с помощью следующей команды:
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifyc -fqподробнее о данной команде можно узнать в инструкции в пункте 2.7.
Для удаления контейнеров можно воспользоваться следующей командой:
/opt/cprocsp/bin/amd64/csptest -keyset -deletekeyset -cont "<путь к контейнеру>"На базе Учебного центра Softline действуют авторизованные Центры тестирования и сертификации IT-специалистов Pearson VUE, Certiport, Prometric, Red Hat, Лаборатория Касперского. Вы можете сдать экзамен как после в нашем Учебном центре, так и самостоятельно. В результате успешного прохождения тестирования и сдачи экзамена вы получаете международный сертификат от вендора, подтверждающий ваш профессиональный уровень знаний.
Про то как работать с КриптоПро, как создавать и добавлять сертификаты на платформе Windows, в интернете куча информации. Для Linux систем информации меньше. И вся она разрозненная. Поэтому немного полезностей для разработчика, работающего в Linux.
Основая задача на сегодня: создать тестовый сертификат и добавить его в систему, чтобы им можно было пользоваться при отладке функционала подписания документов с помощью КриптоПро.
Исходим из того что все пакеты КриптоПро установленны на локальном компьютере разработчика.
А так же предполагаем что уже созданно хранилище для сертификатов. Проверить наличие хранилища можно с помощью команды
/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifyc
В этом случае будет выведен список сертифкатов в хранилище в следующем формате:
\\.\HDIMAGE\cert1 \\.\HDIMAGE\cert2
Где собственно HDIMAGE название хранилища и обозначает что сертификаты хранятся на жестком диске.
Если такого хранилища не существует, то его можно создать (из под пользователя root ):
/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add HDIMAGE store
Теперь добавляем в хранилище контейнер для сертификата:
/opt/cprocsp/bin/amd64/csptest -keyset -newkeyset -cont "\\.\HDIMAGE\cert3"
Утилита попросит понажимать клавиши, для генерации случаных чисел. Так же попросит ввести пароль для доступа к контейнеру. Лучше ввести пустой пароль – нажать Enter два раза. Так проще и меньше проблем будет при дальнейшей работе.
Теперь создадим запрос на получение сертификата для созданного контейнера cert3
/opt/cprocsp/bin/amd64/cryptcp -creatrqst -dn "INN=007814508921, [email protected], C=RU, CN=Иванов Иван Иванович, SN=Иванов" -nokeygen -both -ku -cont "cert3" cert3.req
В параметре -dn указываются данные, которые будут хранится в поле Subject сертификата. Созданый запрос будет сохранен в файле cert3.req. Эти данные нужны для получения сертификата в удостоверяющем центре. Для тестового сертификата можно воспользоваться тестовым удостоверяющим центром КриптоПро.
Нам нужен пункт «Отправить запрос, используя base-64 шифрованный файл PKCS #10 или PKCS #7». На следующей странице в поле «Сохраненный запрос» вставляем содержимое файла cert3.req и нажимаем кнопку «Выдать».
Если все прошло успешно, то будет показано сообщение что сертификат выдан. Выбираем «DER-шифрование» и нажимаем ссылку «Загрузить цепочку сертификатов». Скаченный файл сохраняем с именем cert3.p7b (или любым другим, главное запомнить его, чтобы потом найти для следующей операции).
Теперь надо установить полученный сертификат в контейнер:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -file ./cert3.p7b -cont "\\.\HDIMAGE\cert3"
Т.е. Устанавливаем полученный сертифкат в контейнер cert3. Так как мы выбрали цепочку сертификатов, то при установке утилита попросит ввести номер устанавливаемого сертификата. Смотрим по Subject какой сертификат «наш» и устанавливаем его. Второй сертификат - это корневой сертификат и его надо установить отдельно.
Корневой сертификат устанавливается с правами пользователя root:
Sudo /opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file ./cert3.p7b
Проверить что все установилось корректно и посмотреть список сертификатов можно с помощью команды:
/opt/cprocsp/bin/amd64/certmgr -list
Особое внимание в данных сертификата следует уделить на поле «PrivateKey Link». Если там значение «No», то значит где-то возникли ошибки и возможно не был добавлен корневой сертификат или еще что-то.
Работосопобность установленного сертификата можно проверить на следующей странице: http://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html
Там используется КриптоПро ЭЦП Browser plug-in. Но раз вы собрались работать с ЭЦП, то либо уже у вас есть, либо понадобится в скором времени. Ставится он довольно легко и существует под все основные браузеры.
На данной странице выбираем только что установленный сертификат и пробуем подписать тестовые данные. В результате получаем либо сообщение об ошибке, либо ответ сервера: «Тип подписи: простая. Подпись проверена.». В этом случае можно сказать что плагин установлен и работает нормально, а созданный сертифкат обладает всей функциональностью и может использоваться для тестирования ЭЦП, а также всего что с этим связанно.
Важное замечание: если в ходе работы с хранилищами, контейнерами и сертифкатами возникают какие-то непонятные ошибки, то в первую очередь следует проверить лицензию на КриптоПро.
Сделать это можно командой:
/opt/cprocsp/sbin/amd64/cpconfig -license -view