Выпуск корневого сертификата#
Самоподписанный сертификат – сертификат, изданный самим пользователем, без обращения к доверенной стороне Удостоверяющему центру. Самоподписанный сертификат является одновременно личным и корневым (устанавливается в Личное хранилище сертификатов и «Доверенные корневые центры сертификации»).
Самоподписанные сертификаты используются для обмена зашифрованными или подписанными документами между людьми, доверяющими друг другу, например, друзьями, коллегами. Обменявшись такими сертификатами между собой, они могут пересылать друг другу подписанные и зашифрованные электронные данные, не беспокоясь при этом, что информация может быть перехвачена, искажена и использована против их интересов.
Note
Важно помнить, что использование самоподписанных сертификатов не позволяет решать конфликтные ситуации, возникающие при обмене конфиденциальными данными, с помощью суда.
Техническая реализация#
-
На сервер приложения устанавливается компоненты КриптоПро CSP в единственном количестве.
-
С помощью утилиты Крипто АРМ, входящую в КриптоПро CSP, выпускается столько корневых сертификатов, сколько организаций будут работать в данном приложении.
-
В качестве корневого необходимо выпустить и использовать самоподписанный сертификат. Для этого при выпуске в назначении ключа во вкладке «Дополнительно» нужно указать «Подпись сертификатов».
Создание сертификата#
Запустите программу КриптоАРМ.
В дереве элементов главного окна выберите раздел Сертификаты. Вызовите правой клавишей мыши контекстное меню и выберите пункт Создать > Самоподписанный сертификат.
Откроется Мастер создания самоподписанного сертификата.
На первом шаге ознакомьтесь с порядком и требованиями создания самоподписанного сертификата. Нажмите Далее. На следующем шаге из выпадающего списка выберите шаблон сертификата:
Note
Шаблон по умолчанию
При создании запроса на сертификат по «шаблону по умолчанию» необходимо ввести базовую информацию о владельце: Идентификатор, Организация, Город, Область, Страна, E-Mail и ИНН;
Шаблон с расширенным списком полей
При создании запроса на сертификат по «шаблону с расширенным списком полей» дополнительно к базовой информации добавляется следующая: Должность, Подразделение, Регион, Населенный пункт, Адрес
Укажите идентификационную информацию о владельце будущего сертификата, в зависимости от того, какой шаблон вы выбрали на предыдущем шаге.
Note
Поля отмеченные знаком «*» являются обязательными для заполнения.
Обратите внимание, если вы указываете ИНН юридического лица, номер всегда должен начинаться с «00», например 007707049388.
СНИЛС указывается без пробелов и знаков «-», например, 07306654534.
В открывшемся окне Параметры ключа в выпадающем списке выберите укажите следующие настройки:
- Используемый криптопровайдер, например:
Выберите вариант создания ключевого набора:
-
Создать ключевой набор - сертификат будет создан на основе нового ключевого набора.
-
Использовать существующий ключевой набор – выберите ключевой набор, который будет использован при создании сертификата, из списка существующих (кнопка Выбрать).
- Установите переключатель напротив необходимого Назначения ключа сертификата, например:
- Вы также можете выбрать дополнительное назначение ключа, нажав на кнопку Дополнительно. В списке назначений использования ключа выберите необходимое:
В разделе Срок действия сертификата автоматически проставляется дата, с которой сертификат действителен (текущее системное время) и дата, по которую сертификат действителен (1 год вперед от текущего времени). Эти даты вы можете отредактировать.
После всех сделанных изменений нажмите "Ок".
- Укажите необходимую Длину ключа. Например, 2096
- Пометить ключи как экспортируемые. Если вы отметите этот флаг, то сможете проводить экспорт сертификата вместе с закрытыми ключами.
На основе указанных данных будет сформирован самоподписанный сертификат открытого ключа. После завершения операции возникнет окно с информацией о ее результатах. Нажмите Готово.
В открывшемся окне выберите носитель для создания контейнера с ЭП и нажмите Ок:
Далее необходимо перемещать указатель мыши либо нажимать различные клавиши для генерации случайной последовательности:
В окне аутентификации задайте пароль для контейнера и нажмите Ок:
На запрос системы установить ли самоподписанный сертификат в хранилище Доверенных корневых центров сертификации, нажмите на кнопку Да.
В дереве элементов главного окна в разделе Сертификаты выберите "Личное хранилище сертификатов". В данном разделе будет отображен только что созданный самоподписанный сертификат.