- Что такое корневой сертификат
- В декабре 2021 года госдума в третьем чтении приняла законопроект, который переносит сроки некоторых поправок. обновленные сроки — в новости. статья ниже находится на обновлении.
- Как получить эп сотруднику
- Как работать с егаис алкоголь
- Как электронные подписи фнс будут работать на порталах с расширениями
- Какие подписи будут работать в 2022 году?
- Какую информацию содержит корневой сертификат
- Могу ли я создать корневой сертификат самостоятельно?
- Номенклатура сертификатов
- Онлайн сервис подачи документов для получения сертификатов (портал заявителя)
- Откуда берутся сертификаты?
- Получение эп в 2021 году
- Получение эп в 2022 году
- Словарный запас
- Сценарий №1 — найти следующего в связке
- У доверенных лиц фнс
- Установка цепочки сертификатов
Что такое корневой сертификат
Корневой сертификат — это файл, который содержит сервисную информацию об удостоверяющем центре. Криптопровайдер получает доступ к этой зашифрованной информации, тем самым подтверждая подлинность личной электронной подписи.
На основе корневого сертификата удостоверяющего центра строится цепочка доверия сертификатам. Любая электронная подпись, выпущенная удостоверяющем центром корректно работает только при наличии корневого сертификата.
В декабре 2021 года госдума в третьем чтении приняла законопроект, который переносит сроки некоторых поправок. обновленные сроки — в новости. статья ниже находится на обновлении.
Даты основных изменений:
Как получить эп сотруднику
Работники, обслуживающая бухгалтерия, другие уполномоченные лица — все, кто подписывает документы компании — с 1 января должны при смене электронной подписи получать ЭП нового типа. Это будет ЭП физического лица.
Такие подписи будут выдаваться в УЦ, прошедших переаккредитацию. Также потребуется личный визит, предъявление паспорта и СНИЛС. Отличие от подписи руководителя — подпись будет без запрета на копирование или включение расширений.
Получить электронную подпись
В файле подписи будут указаны только ФИО физлица. Чтобы доказать правомочность своих действий от имени компании, нужна электронная доверенность (она же — машиночитаемая доверенность, МЧД).
Этот новый инструмент еще не разработали для широкого применения. Пока понятная общая схема работы при сдаче отчетности в ФНС: сначала руководителю нужно подписать доверенность на сотрудника в налоговой, а когда ее примут, сотрудник сможет сдавать отчетность от лица компании.
Пока единицы информационных систем принимают электронные доверенности. Электронные подписи можно применять обычным способом.
В 2022 году планируется переходный период для электронных доверенностей. Нормативных документов еще нет, но, вероятно, до определенного срока сотрудники смогут использовать доверенность по желанию.
Как работать с егаис алкоголь
Сейчас торговым точкам нужна ЭП, чтобы продавать спиртное. Обычно используется одна на всю компанию — создаются ее копии. ЭП налоговой так использовать не получится.
Налоговая разъяснила, что ЕГАИС начнет принимать электронные подписи по новым требованиям закона. Предполагаются два возможных сценария:
- Электронная подпись руководителя юрлица или ИП, полученная в ФНС
- Подпись сотрудника-физлица, к которой прикладывается электронная доверенность
Росалкогольрегулирование пока разрабатывает формат необходимой электронной доверенности.
Как электронные подписи фнс будут работать на порталах с расширениями
У ряда порталов и площадок свои требования к ЭП. Например, нужны специальные расширения (OIDы) для работы с электронными закупками, в системах СМЭВ, и Росреестра. При этом по закону расширения не требуются, и сейчас многие площадки от них отказываются.
Какие подписи будут работать в 2022 году?
- Если электронную подпись выдал УЦ, который не прошел переаккредитацию по новым требованиям закона, то в 2022 году она не будет действительна.
- Если электронную подпись выдал УЦ, прошедший переаккредитацию, то ЭП будет работать в 2022 году — пока не закончится ее срок действия. Электронные подписи Контура продолжают работать в 2022 году.
Получить электронную подпись
Какую информацию содержит корневой сертификат
В корневом сертификате хранится информация с датами его действия. Также криптопровайдер с помощью корневого сертификата получает доступ к реестру организации.
Могу ли я создать корневой сертификат самостоятельно?
Чтобы создать корневой сертификат самому, нужно получить статус сертификационного центра. Эта процедура связана со значительными финансовыми затратами, поэтому в большинстве случаев мы рекомендуем обращаться к существующим центрам сертификации.
Номенклатура сертификатов
Давайте рассмотрим, какие сертификаты X.509 встречаются в природе, если рассматривать их по расположению в
пищевой
цепочке доверия.
По степени
крутизны
дороговизны и надежности сертификаты делятся на 3 вида:
DVOVEV
Онлайн сервис подачи документов для получения сертификатов (портал заявителя)
Для получения квалифицированного сертификата ключа проверки электронной подписи (далее – сертификат), созданного Удостоверяющим центром Федерального казначейства (далее – УЦ ФК), необходимо:
Обратиться в территориальный орган Федерального казначейства (далее – ТОФК) при принадлежности к кругу лиц, определённому в пункте 2
Порядка реализации Федеральным казначейством функций аккредитованного удостоверяющего центра и исполнения его обязанностей, утвержденному приказом Федерального казначейства от 16.03.2020 № 11н. 
Проверить настройку АРМ для работы с Порталом заявителя ИС УЦ (
проверить
).
Получить средство электронной подписи (КриптоПро CSP версии 4.0) в ТОФК, в случае его отсутствия.
Настроить автоматизированное рабочее место (далее – АРМ) для работы с Порталом заявителя:
Обеспечить на АРМ наличие одной из следующих операционных систем: ОС Windows 7 с пакетом обновления 1 (SP1) и выше, ОС Astra Linux («Астра Линукс»), ОС Альт Линукс, ОС GosLinux («ГосЛинукс»), РЕД ОС;
Обеспечить на АРМ наличие одной из следующих операционных систем: ОС Windows 7 с пакетом обновления 1 (SP1) и выше, ОС Astra Linux («Астра Линукс»), ОС Альт Линукс, ОС GosLinux («ГосЛинукс»), РЕД ОС; Обеспечить на АРМ наличие любого Web-браузера с поддержкой криптоалгоритмов ГОСТ: Internet Explorer (версии 9.х, 10.х, 11.х), Яндекс.Браузер (скачать), Браузер «Спутник» с поддержкой отечественной криптографии (скачать), Браузер Chromium ГОСТ (скачать);
Установить сертифицированную версию СКЗИ КриптоПро CSP 4.0;
Установить сертифицированную версию СКЗИ КриптоПро CSP 4.0; Установить «КриптоПро ЭЦП Browser Plugin» версии 2.0 (скачать);
Установить драйвера ключевого носителя (например, Рутокен (скачать), e-Token (скачать);
Установить драйвера ключевого носителя (например, Рутокен (скачать), e-Token (скачать); Установить сертификаты Минцифры России (ГУЦ) и УЦ ФК ГОСТ Р 34.10-2021 (инструкция);
Проверить работу КриптоПро ЭЦП Browser plug-in (проверить).
Проверить работу КриптоПро ЭЦП Browser plug-in (проверить).
Подать документы на создание сертификата с использованием Портала заявителя:
Для подачи документов на создание сертификата без использования ЭП, необходимо руководствоваться инструкцией подачи запроса на сертификат без использования ЭП;
Для подачи документов на создание сертификата с использованием действующего ключа ЭП, который соответствует сертификату, созданному УЦ ФК, необходимо руководствоваться инструкцией по смене сертификата с использованием ЭП.
В случае возникновения ошибок при работе с Порталом заявителя рекомендуем воспользоваться «Списком часто задаваемых вопросов» либо обратиться в Единый контактный центр Федерального казначейства по номеру телефона 8(800) 301-07-77
Для работы с Порталом заявителя нажмите на кнопку ниже
Откуда берутся сертификаты?
Еще совсем недавно было всего 2 способа заполучить X.509 сертификат, но времена меняются и с недавнего времени есть и третий путь.
- Создать свой собственный сертификат и самому же его подписать. Плюсы — это бесплатно, минусы — сертификат будет принят лишь вами и, в лучшем случае, вашей организацией.
- Приобрести сертификат в УЦ. Это будет стоить денег в зависимости от различных его характеристик и возможностей, указанных выше.
- Получить бесплатный сертификат LetsEncrypt, доступны только самые простые DV сертификаты.
Для первого сценария достаточно пары команд и чтобы 2 раза не вставать создадим сертификат с алгоритмом эллиптических кривых. Первым шагом нужно создать закрытый ключ. Считается, что шифрование с алгоритмом эллиптических кривых дает больший выхлоп, если измерять в тактах CPU, либо байтах длины ключа. Поддержка ECC не определена однозначно в TLS < 1.2.
openssl ecparam -name secp521r1 -genkey -param_enc explicit -out private-key.pemДалее, создает CSR — запрос на подписание сертификата.
openssl req -new -sha256 -key private.key -out server.csr -days 730И подписываем.
openssl x509 -req -sha256 -days 365 -in server.csr -signkey private.key -out public.crtРезультат можно посмотреть командой:
openssl x509 -text -noout -in public.crtOpenssl имеет огромное количество опций и команд. Man страница не очень полезна, справочник удобнее использовать так:
openssl -help
openssl x509 -help
openssl s_client -helpРовно то же самое можно сделать с помощью java утилиты keytool.
keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -validity 360 -keysize 2048Следует серия вопросов, чтобы было чем запомнить поля owner и issuer
What is your first and last name?
What is the name of your organizational unit?
What is the name of your organization?
What is the name of your City or Locality?
What is the name of your State or Province?
What is the two-letter country code for this unit?
Is CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU correct?Конвертируем связку ключей из проприетарного формата в PKCS12.
keytool -importkeystore -srckeystore keystore.jks -destkeystore keystore.jks -deststoretype pkcs12Смотрим на результат:
Alias name: selfsigned
Creation date: 20.01.2021
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU
Issuer: CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU
Serial number: 1f170cb9
Valid from: Sat Jan 20 18:33:42 MSK 2021 until: Tue Jan 15 18:33:42 MSK 2021
Certificate fingerprints:
MD5: B3:E9:92:87:13:71:2D:36:60:AD:B5:1F:24:16:51:05
SHA1: 26:08:39:19:31:53:C5:43:1E:ED:2E:78:36:43:54:9B:EA:D4:EF:9A
SHA256: FD:42:C9:6D:F6:2A:F1:A3:BC:24:EA:34:DC:12:02:69:86:39:F1:FC:1B:64:07:FD:E1:02:57:64:D1:55:02:3D
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3
Extensions:
#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 30 95 58 E3 9E 76 1D FB 92 44 9D 95 47 94 E4 97 0.X..v...D..G...
0010: C8 1E F1 92 ....
]
]Значению ObjectId: 2.5.29.14 соответствует определение ASN.1, согласно RFC 3280 оно всегда non-critical. Точно так же можно узнать смысл и возможные значения других ObjectId, которые присутствуют в сертификате X.509.
subjectKeyIdentifier EXTENSION ::= {
SYNTAX SubjectKeyIdentifier
IDENTIFIED BY id-ce-subjectKeyIdentifier
}
SubjectKeyIdentifier ::= KeyIdentifierПолучение эп в 2021 году
До конца 2021 года всем — и руководителям, и сотрудникам, и ИП — можно по-прежнему получать электронные подписи в УЦ. Главное, чтобы этот УЦ был аккредитован по требованиям 63-ФЗ. Найдите удобный УЦ в перечне Минцифры РФ или уточните в УЦ, в котором вы раньше уже получали сертификат.
Получить электронную подпись
Для руководителей организаций, ИП и нотариусов появилась альтернатива — они могут также обратиться за новой электронной подписью в ФНС. До 1 января 2022 года делать это можно по желанию.
Получение эп в 2022 году
В 2022 году сценарий получения изменится. Куда именно обращаться за новой ЭП, будет зависеть от того, кто получает подпись — первое лицо компании или работник.
Руководители компаний, ИП и частные нотариусы будут получать подписи ФНС — непосредственно в отделении инспекции или в офисе доверенного лица налоговой.
Если в 2022 году на руках останется действующая подпись Контура или другого УЦ, получившего аккредитацию по новым правилам 63-ФЗ, то ей можно продолжать пользоваться, пока ее срок действия не закончится. Экстренно обращаться в ФНС или УЦ 1 января 2022 года, чтобы получить подпись, соответствующую новому законодательству, не обязательно — ни руководителю, ни сотруднику. Сделать это можно в спокойном режиме, когда текущая подпись аккредитованного УЦ будет подходить к концу.
Словарный запас
Определение X.509 сертификатов есть в архиве ITU-T
Certificate ::= SEQUENCE {
tbsCertificate TBSCertificate,
signatureAlgorithm AlgorithmIdentifier,
signatureValue BIT STRING }
TBSCertificate ::= SEQUENCE {
version [0] EXPLICIT Version DEFAULT v1,
serialNumber CertificateSerialNumber,
signature AlgorithmIdentifier,
issuer Name,
validity Validity,
subject Name,
subjectPublicKeyInfo SubjectPublicKeyInfo,
issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL,
-- If present, version MUST be v2 or v3Для того, чтобы досконально понять обозначения и синтаксис, придется читать спеки X.680 редакции 2008 г., где есть полное описание ASN.1. В понятиях ASN.1SEQUENCE обозначает примерно то же самое, что и struct в Си. Это может сбить с толку, ведь по семантике оно должно было соответствовать скорее массиву. И тем не менее.
Стандарт X.690 определяет следующие правила кодирования структур данных, созданных в соответствии с ASN.1: BER (Basic Encoding Rules), CER (Canonical Encoding Rules), DER (Distinguished Encoding Rules). Есть даже XER (XML Encoding Rules), который на практике мне никогда не встречался.
Да, но для чего нужны сертификаты X.509, которые доставляют столько головной боли? Первая и основная функция сертификатов X.509 — служить хранилищем открытого или публичного ключа PKI (public key infrastructure). К этой функции нареканий нет, а вот со второй не все так однозначно.
Вторая функция сертификатов X.509 заключается в том, чтобы предъявитель сего был принят человеком, либо программой в качестве истинного владельца некоего цифрового актива: доменного имени, веб сайта и пр. Это получается по-разному, далеко не все сертификаты имеют высокую ликвидность, если пользоваться финансовой терминологией.
Сценарий №1 — найти следующего в связке
Связка сертификатов — Объединение нескольких X.509 сертификатов в один файл, чаще всего в формате PEM. Связка передается по сети в момент протокола рукопожатия SSL/TLS.
Самый сок начинается, когда имеете дело со связкой сертификатов, a. k. a certificate chain. Часто просматривая лапшу в связке ключей jks непросто понять как найти родительский сертификат, когда там россыпь новых и старых сертификатов на несколько доменных имен.
У доверенных лиц фнс
Доверенные лица налоговой — это «помощники ФНС», в которых можно получить ЭП налоговой. Это будут УЦ, выбранные из числа прошедших переаккредитацию. Полный перечень доверенных лиц станет известен в конце 2021 года.
Для получения также необходимо личное обращение и тот же набор документов. В офисе «помощников» можно будет сразу получить токен, а также КриптоПро CSP. В некоторых УЦ помогут и с настройкой компьютера, проконсультируют по работе с подписью.
Обратите внимание: вышеизложенные способы подходят только для руководителей коммерческих компаний, ИП и нотариусов. Должностные лица бюджетной сферы должны будут получать ЭП Федерального Казначейства. А первые лица банков и финансовых организаций — Центробанка. Сроки те же — после 1 января 2022 года.
Установка цепочки сертификатов
Список доверенных сертификатов, использующихся для создания цепочки, приходит в информационном письме после выпуска и активации SSL. Для установки цепочки сертификатов (в том числе, корневого) воспользуйтесь подробными инструкциями справочного раздела: Установка SSL-сертификата.