Создание и настройка центра сертификации (ЦС) в CentOS 8 | DigitalOcean

Содержание
  1. Что делать при отсутствии своего сертификата в списке на странице «ваши сертификаты»
  2. Почему «криптопро csp» может не видеть ключей
  3. Введение
  4. Что нужно для начала работы
  5. Почему нужно заполнять новое заявление
  6. (необязательно) — подписание csr
  7. (необязательно) — создание и подписание образца запроса сертификата
  8. Godaddy – как вручную установить ssl-сертификат на сервер apache (centos)
  9. Изучение и проверка содержимого списка crl
  10. Как заполнить заявление в экстерне
  11. Как установить личный сертификат?
  12. Как установить модуль ncalayer
  13. Поддерживаемые документы и их форматы
  14. Подтверждение о представлении отчетности по ткс
  15. Регламентирующие и методические материалы
  16. Поддерживаемые документы и их форматы
  17. Действующий сертификат проверки эп пфр
  18. Параметры подключения к интерфейсу эдо пфр
  19. Пошаговая инструкция решения проблемы
  20. Пошаговая инструкция: как получить сертификат на материнский капитал онлайн?
  21. Требования к программе криптопро csp
  22. Шаг 3 — создание центра сертификации
  23. Шаг 4 — распространение публичного сертификата центра сертификации
  24. Отзыв сертификата
  25. Заключение

Что делать при отсутствии своего сертификата в списке на странице «ваши сертификаты»

Если подобный объект не был установлен, переходят на интернет-страницу удостоверяющего центра, скачивают и устанавливают компоненты личной электронной подписи. Если сертификат скачан ранее, проверяют правильность его загрузки. Для этого выполняют следующие действия:

  1. Переходят в пусковое меню. Выбирают раздел «Все программы». После этого нужно найти в списке «КриптоПро».
  2. В открывшемся окне выбирают вариант «Личное», переходят во вкладку «Сертификаты».
  3. Двойным нажатием открывают объект, который не отображается в списке. Переходят в раздел «Путь сертификации». Здесь находится цепочка, включающая личные файлы, корневые сертификаты удостоверяющего центра, ключи вышестоящих инстанций, выполнявших аккредитацию.
  4. Проверяют, присутствуют ли возле найденных объектов предупредительные знаки, например, крестики. При наличии таковых сертификат считается недействительным. Нажав на файл, можно посмотреть причину ошибки.
  5. Если объекты просрочены, необходимо обратиться в удостоверяющий центр для продления. Если предупредительные знаки отсутствуют, а доступные файлы не проходят проверку, переустанавливают корневой сертификат личной электронной подписи.

Почему «криптопро csp» может не видеть ключей

В таком случае проверяют следующие параметры:

  • правильность установки программы (должна быть активной служба Installer);
  • наличие подключения к интернету;
  • корректность указанного в сертификационном центре файла.

При установке плагина выполняют следующие действия:

  1. Загружают личный сертификат с учетом даваемых мастером инструкций. С помощью кнопки «Обзор» прописывают путь сохранения файла с расширением .cer.
  2. Используют контейнер закодированного ключа. С помощью кнопки «Обзор» нужно выбрать на флеш-накопителе требуемый сертификат.

Если ранее файлы были установлены неправильно и перенос на новый носитель не выполняется, очищают реестр операционной системы.

Для этого в меню CSP предусмотрена клавиша «Удалить пароли». Если приложения и надстройки работают без ошибок, а Event Log выдает ложную информацию, нужно сканировать файлы с помощью функции Sfc/scannow.

После этого выполняют повторную регистрацию компонентов посредством MSIExec/regserver.

Введение

Центр сертификации (ЦС) — это служба, отвечающая за выдачу цифровых сертификатов удостоверения личности в Интернете. Хотя публичные ЦС часто используются для подтверждения подлинности сайтов и других общедоступных служб, для закрытых групп и частных служб обычно используются частные ЦС.

Создание частного ЦС позволит вам настраивать, тестировать и запускать программы, требующие шифрованного канала связи между клиентом и сервером. Частный ЦС позволяет выпускать сертификаты для пользователей, серверов или отдельных программ и служб в вашей инфраструктуре.

Существует множество программ для Linux, использующих частные ЦС, в том числе OpenVPN и Puppet. Также вы можете настроить веб-сервер для использования сертификатов, выпущенных частным ЦС, с целью обеспечить соответствие сред разработки и тестирования и производственных сред, где используется служба TLS для шифрования соединений.

Из этого руководства мы узнаем, как настроить частный Центр сертификации на сервере CentOS 8, а также как сгенерировать и подписать сертификат тестирования, используя новый ЦС. Также вы научитесь импортировать публичный сертификат сервера ЦС в хранилище сертификатов операционной системы, чтобы проверять цепочку доверия между ЦС и удаленными серверами или пользователями.

Что нужно для начала работы

Окончательно ЕГИССО начнет полностью функционировать в 2022 году. Несмотря на то, что уже сейчас проделана большая часть работы по формированию данной системы, она продолжает наполняться сведениями, а также происходит техническая ее отладка.

Чтобы пополнять каталог информационной системы, уполномоченным на то органам необходимо правильно организовать данный процесс и совершить настройку рабочего места для ЕГИССО. В первую очередь, руководителю организации следует назначить ответственного за ЕГИССО из числа сотрудников учреждения. Именно на нем будет лежать обязанность по добавлению сведений в систему.

Затем руководителю и ответственному лицу следует зарегистрироваться на портале «Госуслуги».

Доступ к учетной записи должен быть полным. Подтверждение ее осуществляется несколькими путями, включая визит в МФЦ или через «Сбербанк Онлайн», если пользователь является клиентом Сбербанка.

Затем, при наличии полного доступа к учетной записи, руководителю следует зарегистрировать организацию на портале предоставления услуг, указав в форме регистрации данные об ответственном лице.

Рабочее место специалиста по ЕГИССО должно быть оборудовано персональным компьютером или ноутбуком с обязательным доступом к интернету.

На устройстве должна быть установлена операционная система Windows. Подойдут все ее последние версии – «7», «8», «10».

Кроме этого, для успешной работы в системе необходим стандартный браузер Internet Explorer последней версии, поддерживающий все необходимые плагины.

К числу программного обеспечения для работы с ЕГИССО необходимо отнести:

  1. Электронно-цифровую подпись, получаемую в удостоверяющем центре или казначействе.
  2. Программу «КриптоПРО CSP последней версии.
  3. Программу CryptoPLUS DE
  4. Плагины для браузера.
  5. Корневые сертификаты ЕГИССО.

Внимание! Подавляющее большинство программного обеспечения, необходимого для работы, распространяется бесплатно.

Почему нужно заполнять новое заявление

С января 2020 года работодатели отчитываются по форме СЗВ-ТД. Под новую отчётность ПФР запустил новую информационную систему федерального уровня. Если раньше отчёты поступали сначала в региональную базу данных, а потом уже передавались в централизованную, то теперь они сразу попадают в единое, на всю Россию, хранилище.

Пока в этой системе обрабатываются отчёты СЗВ-ТД и исходящие документы ПФР о выявленных нарушениях и об уплате штрафов. Позднее на эту базу данных планируется перевести и остальные формы персонифицированного учёта.

Поскольку это новая система документооборота, в ней нужно заново регистрироваться независимо от того, заключали ли вы раньше Соглашение об обмене электронными документами с ПФР.

Порядок электронного документооборота между страхователями и Пенсионным фондом утвержден Постановлением Правления ПФ РФ от 11.03.2020 № 178П.

(необязательно) — подписание csr

На предыдущем шаге мы создали запрос тренировочного сертификата и ключ вымышленного сервера. Мы скопировали его в директорию /tmp на сервере ЦС, моделируя процесс, который мы бы использовали при отправке запросов CSR на подпись реальными клиентами или серверами.

Продолжим рассматривать вымышленный сценарий. Теперь серверу ЦС необходимо импортировать тренировочный сертификат и подписать его. Когда ЦС подтвердит сертификат и отправит ответ серверу, клиенты, доверяющие Центру сертификации, смогут также доверять новому сертификату.

Поскольку мы будем работать внутри инфраструктуры PKI в ЦС, где доступна утилита easy-rsa, мы будем использовать утилиту easy-rsa для большего удобства в отличие от использования openssl, как мы делали в предыдущем примере.

Первым шагом для подписания вымышленного CSR будет импорт запроса сертификата с помощью скрипта easy-rsa:

Output

. . . The request has been successfully imported with a short name of: sammy-server You may now use this name to perform signing operations on this request.

Теперь вы можете подписать запрос, запустив скрипт easyrsa с опцией sign-req, указав затем тип запроса и общее имя, включаемое в CSR. Запрос может иметь тип client, server или ca. Поскольку мы тренируемся с сертификатом для вымышленного сервера, нужно использовать тип запроса server:

В результатах вам будет предложено подтвердить, что запрос поступил из надежного источника. Для подтверждения введите yes и нажмите ENTER:

Output

You are about to sign the following certificate. Please check over the details shown below for accuracy. Note that this request has not been cryptographically verified. Please be sure it came from a trusted source or that you have verified the request checksum with the sender. Request subject, to be signed as a server certificate for 3650 days: subject= commonName = sammy-server Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes . . . Certificate created at: /home/sammy/easy-rsa/pki/issued/sammy-server.crt

Если вы зашифровали ключ ЦС, вам будет предложено ввести пароль.

Про сертификаты:  Электронная отчётность в ФНС

Выполнив эти шаги, мы подписали CSR sammy-server.req с помощью закрытого ключа сервера ЦС в директории /home/sammy/easy-rsa/pki/private/ca.key. Полученный файл sammy-server.crt содержит открытый ключ шифрования тренировочного сервера, а также новую подпись от сервера ЦС. Подпись сообщает всем, кто доверяет ЦС, что они также могут доверять сертификату sammy-server.

Если бы это был запрос веб-сервера, сервера VPN или другого реального сервера, последним шагом на сервере ЦС стало бы распространение новых файлов sammy-server.crt и ca.crt с сервера ЦС на удаленный сервер, отправивший запрос CSR:

На этом этапе выпущенный сертификат можно было бы использовать с веб-сервером, сервером VPN, инструментом управления конфигурацией, СУБД, системой аутентификации клиентов и т. п.

(необязательно) — создание и подписание образца запроса сертификата

Мы настроили ЦС для использования и теперь можем попробовать сгенерировать закрытый ключ и запрос сертификата, чтобы познакомиться с процессом подписания и распространения.

Запрос на подписание сертификата (CSR) состоит из трех частей, а именно открытого ключа, идентификационной информации запрашивающей системы и подписи запроса, создаваемой на основе закрытого ключа запрашивающей системы. Закрытый ключ остается секретным, и его можно будет использовать для шифрования информации, которую сможет расшифровать любой пользователь с подписанным открытым сертификатом.

Следующие шаги будут выполняться на второй системе Linux под управлением CentOS, Fedora или другого производного от RedHat дистрибутива Linux. Это может быть другой удаленный сервер или локальная система Linux, например ноутбук или настольный компьютер.

openssl обычно устанавливается по умолчанию в большинстве дистрибутивов Linux, но для уверенности стоит запустить в системе следующую команду:

Когда вам будет предложено установить openssl, введите y, чтобы продолжить выполнение установки. Теперь вы готовы создать тренировочный CSR с помощью openssl.

В первую очередь для создания CSR необходимо сгенерировать закрытый ключ. Чтобы создать закрытый ключ с помощью openssl, создайте директорию practice-csr и сгенерируйте ключ в этой директории. Мы будем выполнять этот запрос на фиктивном сервере под названием sammy-server, в отличие от случая создания сертификата для идентификации пользователя или другого ЦС.

Output

Generating RSA private key, 2048 bit long modulus (2 primes) . . . . . . e is 65537 (0x010001)

Теперь у нас имеется закрытый ключ, с помощью которого можно создать CSR, используя утилиту openssl. Вам будет предложено заполнить ряд полей, в том числе указать страну, область и город. Вы можете ввести ., если хотите оставить поле пустым, но для реальных CSR лучше использовать правильные значения при указании своего расположения и организации:

Output

. . . ----- Country Name (2 letter code) [XX]:US State or Province Name (full name) []:New York Locality Name (eg, city) [Default City]:New York City Organization Name (eg, company) [Default Company Ltd]:DigitalOcean Organizational Unit Name (eg, section) []:Community Common Name (eg, your name or your server's hostname) []:sammy-server Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

Если вы хотите, чтобы эти значения добавлялись автоматически при вызове openssl, а не запрашивались через интерактивный диалог, вы можете передать аргумент -subj в OpenSSL. Обязательно измените выделенные значения для соответствия вашему расположению, организации и имени сервера:

Чтобы проверить содержимое CSR, вы можете прочитать файл запроса с помощью команды openssl и проверить поля внутри него:

Output

subject=C = US, ST = New York, L = New York City, O = DigitalOcean, OU = Community, CN = sammy-server

Когда вас устроит тема запроса тренировочного сертификата, скопируйте файл sammy-server.req на сервер ЦС с помощью scp:

На этом шаге вы сгенерировали запрос подписи сертификата для вымышленного сервера sammy-server. В реальной ситуации запрос может исходить от веб-сервера разработки, которому требуется сертификат TLS для тестирования, или от сервера OpenVPN, который запрашивает сертификат, чтобы пользователи могли подключиться к VPN. На следующем шаге мы перейдем к подписанию запроса на подписание сертификата с использованием закрытого ключа сервера ЦС.

Godaddy – как вручную установить ssl-сертификат на сервер apache (centos)

Неправильный тип сервера? Вернуться к списку инструкций по установке.

После того как ваш запрос будет одобрен, вы сможете скачать сертификат из диспетчера SSL и установить его на сервере Apache. Если вместо CentOS вы используете операционную систему Ubuntu, ознакомьтесь с инструкциями в этой статье.

  1. Найдите на сервере папку, в которой хранятся файлы сертификатов и ключей, и загрузите в нее промежуточный сертификат (с названием вида gd_bundle.crt) и основной сертификат (файл в формате .crt со случайным названием).
    • В целях безопасности убедитесь, что эти файлы доступны для чтения только пользователям с root-правами.
  2. Найдите файл конфигурации Apache.
  3. Откройте этот файл в любом текстовом редакторе.
  4. Найдите в файле httpd.conf блок VirtualHost>.
  5. Чтобы для подключения к вашему сайту можно было использовать как безопасный (https), так и небезопасный протокол (http), скопируйте блок VirtualHost> и вставьте копию сразу после исходного блока.
  6. Теперь копию блока VirtualHost> можно настроить для безопасных подключений. Вот пример конфигурации:
  7. VirtualHost xxx.xxx.x.x:443>
    	DocumentRoot /var/www/coolexample
    	ServerName coolexample.com www.coolexample.com
    		SSLEngine on
    		SSLCertificateFile /path/to/coolexample.crt
    		SSLCertificateKeyFile /path/to/privatekey.key
    		SSLCertificateChainFile /path/to/intermediate.crt
    /VirtualHost>
    • Не забудьте добавить порт 443 в конец IP-адреса сервера.
    • Значения параметров DocumentRoot и ServerName должны совпадать с указанными в исходном блоке VirtualHost>.
    • Для оставшихся параметров /path/to/… вы можете указать собственные названия каталогов и файлов.
  8. Проверьте файл конфигурации на наличие ошибок, запустив следующую команду:
  9. apachectl configtest
  10. Если вы получите ответ Syntax OK, значит, всё в порядке. В противном случае проверьте файлы конфигурации.
  11. Внимание! Если в файлах конфигурации есть синтаксические ошибки, сервис Apache не запустится снова.

  12. Получив ответ Syntax OK, перезапустите Apache с помощью следующей команды:
  13. apachectl restart

Примечание. Для вашего удобства мы предоставляем инструкции по использованию некоторых сторонних продуктов. Но это не означает, что мы их рекомендуем. GoDaddy не оказывает поддержку по этим продуктам, а также не несет ответственности за их работу. Товарные знаки и логотипы третьих сторон являются зарегистрированными торговыми марками их владельцев. Все права защищены.

Изучение и проверка содержимого списка crl

Если вы хотите изучить содержимое файла CRL, в том числе с целью подтверждения списка отозванных сертификатов, выполните следующую команду openssl в директории easy-rsa на вашем сервере ЦС:

Также вы можете запустить эту команду на любом сервере или на любой системе, где установлен инструмент openssl с копией файла crl.pem. Например, если вы перенесли файл crl.pem на вторую систему и хотите убедиться в отзыве сертификата sammy-server, вы можете использовать следующий синтаксис команды openssl, указав записанный при отзыве сертификата серийный номер вместо выделенного здесь:

Output

Serial Number: 8348B3F146A765581946040D5C4D590A Revocation Date: Apr 1 20:48:02 2020 GMT

Обратите внимание на использование команды grep для проверки уникального серийного номера, записанного на шаге отзыва. Теперь вы можете подтвердить содержимое списка отзыва сертификатов на любой системе, использующей его для ограничения доступа к пользователям и сервисам.

Как заполнить заявление в экстерне

Если не подать заявление о подключении к ЭДО ПФР, отчёт СЗВ-ТД не примут. Поэтому, скорее всего, к началу отчётности все разработчики добавят форму заявления в свои программы. Расскажем, как заполнить её, если вы отчитываетесь через Контур.Экстерн.

Про сертификаты:  Сведения об организации

Войдите в Экстерн. На боковом меню найдите значок ПФР и выберите «Регистрация в ПФР». На главном экране появятся три ссылки — кликните «Заявление на подключение страхователя к электронному документообороту ПФР (ЗПЭД)»:

После клика на заявление откроется форма. Введите нужные реквизиты

Или можете пролистать форму вниз и сразу выбрать сертификат, которым будет подписан документ. Если в реквизитах плательщика все данные заполнены, в форме они проставятся автоматически.

Когда все готово, нажмите «Подписать и отправить».

Информацию о приёме заявления  в Экстерне можно увидеть прямо на странице заполнения формы, рядом с кнопкой «Отправить». По регламенту ПФР, заявление должны принять в течение двух дней. Но на практике ответы приходят уже через полчаса. После того как форму примут, можно отправлять СЗВ-ТД.

Как установить личный сертификат?

1. Откройте меню Пуск – Панель управления – КриптоПро CSP.

2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Просмотреть сертификаты в контейнере:

Создание и настройка центра сертификации (ЦС) в CentOS 8 | DigitalOcean

3. В следующем окне нажмите кнопку Обзор, чтобы выбрать контейнер для просмотра (в нашем примере контейнер находится на смарт-карте JaCarta):

Создание и настройка центра сертификации (ЦС) в CentOS 8 | DigitalOcean

4. После выбора контейнера нажмите кнопку Ок, затем Далее.

* Если после нажатия на кнопку Далее Вы видите такое сообщение:

«В контейнере закрытого ключа отсутствует открытый ключ шифрования», следует установить сертификат по рекомендациям, описанным в разделе Вариант 2.

5. В окне Сертификат для просмотра нажмите кнопку Установить:

Создание и настройка центра сертификации (ЦС) в CentOS 8 | DigitalOcean

6. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

Создание и настройка центра сертификации (ЦС) в CentOS 8 | DigitalOcean

7. Дождитесь сообщения об успешной установке:

Создание и настройка центра сертификации (ЦС) в CentOS 8 | DigitalOcean

8. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Вариант 2. Установка через меню «Установить личный сертификат».

Для установки сертификата этим способом Вам понадобится файл сертификата (файл с расширением.cer). Он может находиться, например, на съемном носителе или на жёстком диске компьютера (если Вы делали копию сертификата или Вам присылали его по электронной почте).

В случае, если файл сертификата отсутствует, напишите письмо с описанием проблемы в техническую поддержку по адресу pu@skbmy-sertif.ru.

1. Откройте меню Пуск – Панель управления – КриптоПро CSP.

2. В окне программы КриптоПро CSP перейдите на вкладку Сервис и нажмите кнопку Установить личный сертификат:
Создание и настройка центра сертификации (ЦС) в CentOS 8 | DigitalOcean

3. В следующем окне нажмите кнопку Обзор, чтобы выбрать файл сертификата:

Создание и настройка центра сертификации (ЦС) в CentOS 8 | DigitalOcean

4. Укажите путь к файлу сертификата и нажмите кнопку Открыть (в нашем примере файл сертификата находится на Рабочем столе):

Создание и настройка центра сертификации (ЦС) в CentOS 8 | DigitalOcean

5. В следующем окне нажмите кнопку Далее; в окне Сертификат для установки нажмите Далее.

Создание и настройка центра сертификации (ЦС) в CentOS 8 | DigitalOcean

6. Поставьте галку в окне Найти контейнер автоматически (в нашем примере контейнер находится на смарт-карте JaCarta) и нажмите Далее:
Создание и настройка центра сертификации (ЦС) в CentOS 8 | DigitalOcean

7. В следующем окне отметьте пункт Установить сертификат (цепочку сертификатов) в контейнер и нажмите Далее:

Создание и настройка центра сертификации (ЦС) в CentOS 8 | DigitalOcean

8. В окне Завершение мастера установки личного сертификата нажмите Готово:

Создание и настройка центра сертификации (ЦС) в CentOS 8 | DigitalOcean
9. Если КриптоПро CSP запрашивает pin-код от контейнера, введите нужный код или попробуйте стандартные pin-коды носителей:

Создание и настройка центра сертификации (ЦС) в CentOS 8 | DigitalOcean

10. Если откроется сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», нажмите Да:

Создание и настройка центра сертификации (ЦС) в CentOS 8 | DigitalOcean

11. Сертификат установлен. Можно закрыть все открытые окна КриптоПро.

Как установить модуль ncalayer

Автоматическое добавление модуля в NCALayer:

  1. Щелкните по значку запущенного NCALayer (правая нижняя часть экрана) правой клавишей мыши;
  2. Выберите Управление модулями;
  3. Выделите в списке нужный модуль;
  4. Щелкните кнопку Установить модуль;
  5. Согласитесь с перезапуском программы.
Как установить модуль NCALayer
Добавление модуля NCALayer

Поддерживаемые документы и их форматы

Перечень типов документов, поддерживаемых электронным документооборотом Пенсионного фонда Российской Федерации, приведён в таблице ниже.

Наименование

Краткое наименование

Условный код

Версия формата

1

Опись содержания пакета

ОСП_2021-11-14.xsd

2

Уведомление о доставке

УОД

00UOD

УОД_2021-09-27.xsd

3

Уведомление об отказе в приёме пакета

УОПП

0UOPP

УОПП_2021-09-27.xsd

4

Заявление на подключение страхователя к электронному документообороту ПФР

ЗПЭД

0ZPED

ЗПЭД_2020-02-11.xsd

5

Заявление на отключение страхователя от электронного документооборота ПФР

ЗОЭД

0ZOED

ЗОЭД_2020-02-04.xsd

6

Уведомление о предоставлении полномочий представителю

УПУП

0UPUP

УПУП_2020-02-03.xsd

7

Уведомление о прекращении полномочий представителя

УПРУП

UPRUP

УПРУП_2020-02-03.xsd

8

Сведения о трудовой деятельности

СЗВ-ТД

SZV-ETD

СЗВ-ТД_2021-12-20.xsd

9

Уведомление о результате рассмотрения

УОРР

0UORR

УОРР_2021-09-26.xsd

10

Уведомление об устранении ошибок и (или) несоответствий между представленными страхователем сведениями и сведениями, имеющимися у ПФР

УУОН-ПУ

NTFC_TO_INS

УУОН-ПУ_2021-04-23.xsd

11

Унифицированный протокол проверок

УППО

UPP

УППО_2021-10-01.xsd

Документы типа УУОН-ПУ могут передаваться из ПФР как в зашифрованном, так и в незашифрованном виде в случае выявления ошибок технического характера, в т. ч. ошибок, связанных с проверкой электронной подписи.

Подтверждение о представлении отчетности по ткс

После отправки отчетности по ТКС страхователь получит из территориального органа ПФР квитанцию о доставке сведений. Если пришла квитанция об обнаружении ошибок в отчетности, то указываются причины некорректности отчета. Работодатель должен устранить эти причины и повторно представить отчетность в ПФР. После сдачи отчетности приходит квитанция о приеме документа в ПФР, которую рекомендуется сохранять.

По результатам проверки отчетности проверочными программами ПФР страхователь получит в зашифрованном виде протокол контроля отчетности, подписанный ЭП территориального органа ПФР.

После этого необходимо отправить в территориальный орган ПФР протокол контроля, подписанный своей ЭП, что является подтверждением получения протокола. Если пришел протокол проверки отчетности, в котором содержатся сообщения об ошибках, необходимо устранить их и повторно представить отчетность в территориальный орган ПФР в сроки, оговоренные нормативными правовыми актами.

В помощь страхователям в разделе «Программное обеспечение» размещены бесплатные проверочные программы и программы для подготовки отчетности по страховым взносам и по персонифицированному учету в электронной форме.

Для реализации страхователями права осуществлять обмен электронными документами в системе электронного документооборота ПФР по телекоммуникационным каналам связи используется усиленная квалифицированная электронная подпись (далее – УКЭП), выданная аккредитованным удостоверяющим центром. Список аккредитованных удостоверяющих центров размещен на сайте Министерства цифрового развития, связи и массовых комуникаций Российской Федерации.

В настоящем разделе представлена технологическая информация, необходимая операторам электронного документооборота для подключения к электронному документообороту Пенсионного фонда Российской Федерации (ЭДО ПФР) и организации информационного обмена с органами ПФР.

Регламентирующие и методические материалы

Поддерживаемые документы и их форматы

Перечень типов документов, поддерживаемых электронным документооборотом Пенсионного фонда Российской Федерации, приведён в таблице ниже.

Наименование

Краткое наименование

Условный код

Версия формата

1

Опись содержания пакета

ОСП_2021-11-14.xsd

2

Уведомление о доставке

УОД

00UOD

УОД_2021-09-27.xsd

3

Уведомление об отказе в приёме пакета

УОПП

0UOPP

УОПП_2021-09-27.xsd

4

Заявление на подключение страхователя к электронному документообороту ПФР

ЗПЭД

0ZPED

ЗПЭД_2020-02-11.xsd

5

Заявление на отключение страхователя от электронного документооборота ПФР

ЗОЭД

0ZOED

ЗОЭД_2020-02-04.xsd

6

Уведомление о предоставлении полномочий представителю

УПУП

0UPUP

УПУП_2020-02-03.xsd

7

Уведомление о прекращении полномочий представителя

УПРУП

UPRUP

УПРУП_2020-02-03.xsd

8

Сведения о трудовой деятельности

СЗВ-ТД

SZV-ETD

СЗВ-ТД_2021-12-20.xsd

9

Уведомление о результате рассмотрения

УОРР

0UORR

УОРР_2021-09-26.xsd

10

Уведомление об устранении ошибок и (или) несоответствий между представленными страхователем сведениями и сведениями, имеющимися у ПФР

УУОН-ПУ

NTFC_TO_INS

УУОН-ПУ_2021-04-23.xsd

11

Унифицированный протокол проверок

УППО

UPP

УППО_2021-10-01.xsd

Документы типа УУОН-ПУ могут передаваться из ПФР как в зашифрованном, так и в незашифрованном виде в случае выявления ошибок технического характера, в т. ч. ошибок, связанных с проверкой электронной подписи.


Действующий сертификат проверки эп пфр

Для шифрования документов, направляемых в ПФР, нужно использовать следующий сертификат проверки ЭП (Скачать сертификат)

В 16-00 мск 14.04.2021 будет произведена замена сертификата ключа проверки электронной подписи уполномоченного лица ПФР, используемого при осуществлении электронного документооборота в электронных сервисах ПФР в связи с окончанием срока его действия. С указанного времени сообщения, зашифрованные на старом сертификате ключа проверки электронной подписи уполномоченного лица ПФР в электронных сервисах ПРФ приниматься не будут.

Параметры подключения к интерфейсу эдо пфр

Среда постоянной эксплуатации: https://edok.pfrf.ru

Пошаговая инструкция решения проблемы

Если флеш-накопитель с ЭЦП не работает, выполняют такие действия:

  1. Устанавливают программные компоненты, необходимые для корректного использования площадки. К ним относятся плагины для сайтов «Госуслуги», «Госзакупки» и т. д.
  2. Убеждаются в правильности установленных на компьютере даты, времени и часового пояса.
  3. Проверяют наличие сертификата в личном хранилище. При его отсутствии или повреждении выполняют переустановку. Убеждаются в том, что срок действия найденного сертификата не истек.
  4. Активируют функцию представления совместимости. Эта рекомендация относится к пользователям Internet Explorer. Чтобы найти функцию, переходят в меню, открывают раздел «Параметры просмотра», пункт «Добавить адрес портала».
  5. Проверяют работу системы в других браузерах. Если система по-прежнему не подписывает документ, можно попробовать использовать другое устройство.
  6. Проверяют операционную систему на наличие вирусов. Для этого используют специальные утилиты, например «Антивирус Касперского».
Про сертификаты:  Сертификат соответствия С-RU.ЧС13.В.00776 | Самоспасатель фильтрующий универсальный «Бриз-3401 (ГДЗК)» по ТУ 2568-042-54598330-2012 с изм. 1

Пошаговая инструкция: как получить сертификат на материнский капитал онлайн?

Для оформления электронного заявления о выдаче сертификата на материнский капитал необходимо сделать несколько простых шагов:

Шаг 1. Войдите в Личный кабинет гражданина на сайте Пенсионного фонда России www.pfrf.ru, используя логин и пароль от Портала госуслуг.

Шаг 2. В разделе «Материнский (семейный) капитал» нажмите «Подать заявление о выдаче государственного сертификата на МСК».

Шаг 3. Выберете территориальный орган ПФР в соответствии с Вашим местом жительства (регион, район или административный центр). При этом появится наименование территориального органа ПФР. Нажмите кнопку «Сохранить». Далее укажите способ подачи заявления: лично или через представителя. Нажмите кнопку «Следующий шаг».

Шаг 4. Введите данные заявителя: ФИО, пол, СНИЛС, дату и место рождения, гражданство, место жительства, паспортные данные, а также контактные данные (адрес электронной почты, номер телефона). Нажмите кнопку «Следующий шаг».

*Еслизаявлениеподаетсячерезпредставителя, необходимозаполнитьтакжеданныепредставителя.

Шаг 5. Добавьте сведения о детях: ФИО, пол, дату и место рождения, гражданство, данные свидетельства о рождении. Нажмите кнопку «Следующий шаг».

Шаг 6. Отметьте необходимые пункты в разделе «Сведения, определяющие право на распоряжение средствами МСК».

Шаг 7. Выберете способ оформления сертификата (на бумажном носителе или в форме электронного документа), а также способ его получения (в территориальном органе ПФР или по почте).

*ВслучаеоформлениясертификатавэлектронномвидедокументбудетдоступенвВашемЛичномкабинете.

Шаг 8. Нажмите кнопку «Сформировать заявление».

После оформления электронного заявления в Ваш Личный кабинет поступит уведомление о том, что Ваше заявление принято.

ВАЖНО! После подачи электронного заявления необходимо в течение 5 дней обратиться в территориальный орган Пенсионного фонда России, куда было направлено заявление, и представить документы личного хранения, подтверждающие право на сертификат. При визите в ПФР необходимо иметь при себе паспорт и СНИЛС.

Это Вам пригодится: В Личном кабинете гражданина также можно подать заявление о распоряжении средствами материнского капитала, получить информацию о размере (остатке) материнского капитала и заказать соответствующую справку (выписку).

Скачать пошаговую инструкцию «Как получить государственный сертификат на материнский капитал онлайн?»

Требования к программе криптопро csp

Перед работой с ЭЦП и установкой сертификата нужно учесть требования, предъявляемые к компьютеру для работы с КриптоПро CSP:

  • На компьютере должна установлена версия ОС не ниже Windows 7 и старше.
  • Должны использоваться следующие виды браузеров: Internet Explorer версия не ниже 8, последние версии Яндекс браузер, Mozilla Firefox, Chrome.
  • Процессор на компьютере должен стоять 32 или 64-битный и иметь частоту 1 Ггц и выше.
  • В компьютере должен стоять объем оперативной памяти не менее 512 МБ.
  • Разрешение экрана устройства (компьютера) должно быть не меньше 800х600 и более.
  • На компьютере должен быть порт USB 1.1 и выше.

Программа КриптоПро CSP сможет работать и с версией ОС Windows XP, но при этом нужно учитывать существующие ограничения (Explorer 7 версии, нельзя использовать актуальные версии Chrome и т.д.).

Такая же ситуация складывается и для операционной системы Windows Vista — криптографический комплекс там работает, но также с ограничениями.

Шаг 3 — создание центра сертификации

Прежде чем создавать закрытый ключ и сертификат ЦС, необходимо создать файл с именем vars и заполнить его значениями по умолчанию. Используйте команду cd для перехода в директорию easy-rsa, а затем создайте и отредактируйте файл vars с помощью nano или другого предпочитаемого текстового редактора:

Предоставляемый с CentOS 8 по умолчанию текстовый редактор — vi. vi является очень мощным текстовым редактором, но освоить работу с ним неопытным пользователям достаточно сложно. Вы можете установить более удобный для пользователя редактор, например nano, для облегчения редактирования файлов конфигурации на сервере CentOS 8:

Когда вам будет предложено установить nano, введите y, чтобы продолжить выполнение установки. Теперь вы готовы к редактированию файла vars:

Открыв файл, вставьте следующие строки и измените каждое выделенное значение для отражения информации о вашей организации. При этом важно, чтобы ни одно значение не оставалось пустым:

Шаг 4 — распространение публичного сертификата центра сертификации

Мы настроили ЦС и можем использовать его в качестве корня доверия для любых систем, которые захотим настроить для этого. Сертификат ЦС можно добавлять на серверы OpenVPN, веб-серверы, почтовые серверы и т. д. Каждый пользователь или сервер, которому потребуется подтвердить подлинность другого пользователя или сервера в вашей сети, должен иметь копию файла ca.crt, импортированную в хранилище сертификатов операционной системы.

Чтобы импортировать публичный сертификат ЦС во вторую систему Linux, например на сервер или локальный компьютер, нужно предварительно получить копию файла ca.crt с сервера ЦС. Вы можете использовать команду cat для ее вывода в терминал, а затем скопировать и вставить ее в файл на втором компьютере, который импортирует сертификат.

Также вы можете использовать scp, rsync и другие подобные инструменты для передачи файла между системами. Мы используем для копирования и вставки текстовый редактор nano, поскольку этот вариант подойдет для всех систем.

Отзыв сертификата

Для отзыва сертификата перейдите в директорию easy-rsa на вашем сервере ЦС:

Затем запустите скрипт easyrsa с опцией revoke, указав имя клиента, у которого хотите отозвать сертификат: В соответствии с приведенным выше практическим примером, сертификат имеет обычное имя sammy-server:

Система предложит вам подтвердить отзыв сертификата. Введите yes:

Output

Please confirm you wish to revoke the certificate with the following subject: subject= commonName = sammy-server Type the word 'yes' to continue, or any other input to abort. Continue with revocation: yes . . . Revoking Certificate 8348B3F146A765581946040D5C4D590A . . .

Обратите внимание на выделенное значение в строке Revoking Certificate. Это значение представляет собой уникальный серийный номер отзываемого сертификата. Данное значение потребуется вам, если вы захотите просмотреть список отзыва и убедиться в наличии в нем сертификата, как описано в последнем шаге этого раздела.

После подтверждения действия ЦС выполнит отзыв сертификата. Однако удаленные системы, использующие ЦС, не имеют возможности проверить отзыв сертификатов. Пользователи и серверы смогут использовать этот сертификат, пока список отзыва сертификатов ЦС (CRL) не будет распространен по всем системам, использующим данный ЦС.

На следующем шаге мы сгенерируем CRL или обновим существующий файл crl.pem.

Заключение

В этом обучающем руководстве мы создали частный Центр сертификации на отдельном сервере CentOS 8 с помощью пакета Easy-RSA. Мы узнали, как работает модель доверия между сторонами, полагающимися на ЦС. Также мы создали и подписали запрос на подписание сертификата (CSR) для вымышленного сервера и научились отзывать сертификаты.

Теперь вы можете выдавать сертификаты пользователям и использовать их в OpenVPN и других подобных сервисах. Также вы можете использовать свой ЦС для настройки веб-серверов разработки и тестирования с помощью сертификатов, чтобы защитить свои непроизводственные среды.

Если вам требуется дополнительная информация об использовании OpenSSL, вам будет полезен наше обучающее руководство Основы OpenSSL: работа с сертификатами SSL, закрытыми ключами и запросами CSR, который поможет вам лучше познакомиться с основами OpenSSL.

Оцените статью
Мой сертификат
Добавить комментарий