Привет, друзья! Несколько раз на сайте спрашивали, что такое ЭЦП (электронная цифровая подпись) или проще ЭП (электронная подпись), также наши читатели интересовались программой КриптоПро, ответом я написал несколько подробных статей для начинающих системных администраторов.

↑ Инструкция по работе с программой КриптоПро

В первую очередь КриптоПро – это средство криптографической защиты информации, больше всего используется в работе с ЭП (электронными подписями). КриптоПро устанавливается на компьютер или ноутбук пользователя, работающего с ЭП. В процессе работы КриптоПро считывает файл сертификата электронной подписи и закрытый ключ, затем подписывает электронные документы.

Если сказать проще, то документооборот в современных организациях плавно переходит в электронный вид, а значит создание документов и дальнейшая работа с ними происходит на компьютерных устройствах, но если привычный нам бумажный документ можно подписать обычной шариковой ручкой, то как быть с электронным документом? Вот здесь нам на помощь и придёт КриптоПро — программа, относящаяся к средствам криптографической защиты данных (СКЗИ). 

КриптоПро используется сейчас практически во всех государственных, муниципальных и коммерческих учреждениях, в таких видах деятельности как: работа с ЕГАИС, ЕИС, электронные торги, бухгалтерия, отправка отчётности в налоговую и др.

Для генерации электронной подписи нам будут нужны: программа КриптоПро CSP, сертификат электронной подписи и закрытый ключ. Подписывать документы будем в основном в браузере, поэтому в статье мы установим специальный браузер и расширение: КриптоПРО ЭЦП Browser Plugin.

Сертификат ЭП получим в Удостоверяющем центре Федерального казначейства. Закрытый ключ сгенерируется при составлении нами запроса на электронную подпись на сайте казначейства. Внимательный читатель наверняка уже понял, что выданные казначейством сертификат и закрытый ключ, это и есть по сути электронная подпись.

Давайте уже перейдём к действиям и настроим наш ПК на работу с КриптоПро, затем создадим запрос на сайте Федерального казначейства на получения нами ЭП. Так же мы узнаем, как подписывать с помощью ЭП электронные документы, переносить не экспортируемую ЭП с рутокена на компьютер и многое другое.

Немаловажное замечание! Из Windows 11 у вас не получится войти на сайт Федерального Казначейства  https://sobi.cert.roskazna.ru, даже если вы и установите КриптоПро плюс необходимые три сертификата: Головного удостоверяющего центра, Минкомсвязи, Минцифры, поэтому работайте в Windows 7, 8.1, 10.

↑ Установка специального браузера

Ещё интересный факт. По идее, работу мы с вами должны начать с подачи заявления на получение сертификата электронной подписи и закрытого ключа на ПОРТАЛе ЗАЯВИТЕЛЯ в Информационной системе «Удостоверяющего центра Федерального казначейства», ссылка https://fzs.roskazna.ru/, 

но войти вы туда не сможете без специального браузера и расширения КриптоПРО ЭЦП Browser Plugin, а также самой установленной программы КриптоПро CSP с сертификатами Головного удостоверяющего центра, Минкомсвязи, Минцифры.

Итак, скачиваем и устанавливаем на всякий случай два браузера: Яндекс.Браузер для организаций и Chromium-GOST.

Chromium-GOST можете скачать на сайте https://www.cryptopro.ru/products/chromium-gost.

Если Яндекс.Браузер для организаций в вашу систему не установится, то используйте его обычную версию, настраивается она далее таким же образом. Насчёт Chromium-GOST, то его совсем настраивать не нужно, после инсталляции он сразу готов к работе.

↑ КриптоПро ЭЦП Browser plug-in

В Яндекс.Браузер устанавливаем плагин КриптоПро ЭЦП Browser plug-in, доступен по ссылке https://www.cryptopro.ru/products/cades/plugin/get_2_0.

Плагин «КриптоПро ЭЦП Browser plug-in» предназначен для создания и проверки электронной подписи на веб-страницах с использованием программы КриптоПро CSP.

Устанавливаем плагин КриптоПро ЭЦП browser plug-in.

Идём в Расширения браузера и включаем его.

В правом верхнем углу браузера отображается значок работающего плагина. Нажмите на кнопку «Проверить работу плагина».

У вас выйдет сообщение, что плагин успешно загружен и работает, но КриптоПро CSP отсутствует в вашей операционной системе (установим его позже).

↑ Добавление доверенных сайтов в КриптоПро ЭЦП browser plug-in

При своей работе программа КриптоПро будет запрашивать разрешение на взаимодействие с сайтом. Для подтверждения доступа пользователь будет нажимать кнопку «ОК». Если мы постоянно пользуется определённым сайтом, то освободим его от данных действий. Вносим адрес сайта или даже несколько сайтов в список доверенных.

В список доверенных узлов можно попасть через расширение ЭЦП Browser Plug-in.

В качестве доверенного узла можно указать адрес https://*.roskazna.ru.

По официальной инструкции в список доверенных узлов попадаем так. Выберите ПУСК → КРИПТО-ПРО → Настройки ЭЦП Browser Plug-in → Дополнительно → Перейти к расположению файла.

Настройки ЭЦП Browser Plug-in → Открыть с помощью → Яндекс.Браузер.

↑ Настройка браузера для подключения к сайтам, использующим шифрование по ГОСТ

В настройках браузера перейдите в раздел «Системные», включите чекбоксы: «Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется КриптоПро CSP». «Автоматически открывать сайты по протоколу https, если…»

↑ Установка КриптоПро CSP

Друзья, интересная ситуация. Вам поставили задачу сделать ЭЦП сотруднику вашей организации, значит нужно делать запрос на получение квалифицированного сертификата электронной подписи на имя Руководителя Управления Федерального казначейства, запрос производится на сайте УФК на Портале заявителя https://fzs.roskazna.ru/, но попасть туда вы не можете, так как у вас нет программы КриптоПро. И вот интересный момент. На дистрибутив программы КриптоПро тоже делается отдельный запрос в Казначействе в Сервисе распространения дистрибутивов информационной системы «Автоматизация органов криптографической защиты»  — ИС АОКЗ.

Скачивается дистрибутив опять же на сайте ИС АОКЗ по ссылке https://aokz.cert.roskazna.ru, но чтобы войти на этот сайт вы должны кроме установленной на вашем компьютере КриптоПро ещё иметь уже готовую электронную подпись руководителя вашей организации, выданную в Казначействе.

Мало того, ЭЦП руководителя вашего предприятия должна иметь в ПОИБ СОБИ ФК назначенную роль «Сотрудник ОКИ», делается это на сайте Федерального Казначейства https://sobi.cert.roskazna.ru/.

У обычного человека никогда не работавшего с государственными сайтами в этом месте может возникнуть непонимание, ведь чтобы сделать запрос на получение установщика программы КриптоПро и ЭЦП, нужна уже установленная и работающая на вашем компьютере эта самая программа и готовая ЭЦП да ещё с назначенной ролью «Сотрудник ОКИ»! Да, это так, но всё это решается, давайте об этом поговорим отдельно.

Итак, вернёмся к КриптоПро CSP, скачиваем программу на официальном сайте разработчика https://cryptopro.ru/.

Вводим данные.

После установки программа КриптоПро будет работать три месяца полнофункционально. Позже вы можете получить на сайте казначейства дистрибутив программы и лицензии, затем ввести лицензию в уже установленную программу или переустановить её официальным установщиком и ввести лицензию, всё это мы тоже разберём.

↑ Настройка КриптоПро CSP

Запустите КриптоПро CSP от имени Администратора и перейдите на вкладку «Настройки TLS», в разделе «Клиент» отметьте следующие чекбоксы: Не проверять сертификат сервера на отзыв; Не проверять назначение собственного сертификата.

Применить. Да.

↑ Устанавливаем Панель управления Рутокен и драйвера

Для хранения ЭЦП можно использовать; реестр операционной системы, обычную флешку, раздел жёсткого диска, переносной диск USB, но правильней всего специальное устройство, напоминающее флешку, называется руТокен, бывают они разные, в основном встречаются руТокен Lite, руТокен S, руТокен ЭЦП 2.0, руТокен 3.0, замечу, что с руТокен Lite и S работать проще, об этом тоже поговорим далее в статье.

Скачаем и установим драйвера, которые обеспечат корректную работу USB-токенов в Windows. Вместе с драйвером устанавливается фирменное ПО для управления токенами – Панель управления Рутокен, с помощью которого можно просматривать сертификаты, находящиеся на токене, изменить пин-код, форматировать устройство, экспортировать и импортировать электронные ключи, и др. 

https://www.rutoken.ru/support/download/windows/.

На данном токене находится ЭЦП, которую нельзя перенести в реестр операционной системы или обычную флешку, но далее в статье мы всё равно её перенесём и в реестр и в винду и даже на простую флешку.

↑ Установка сертификатов

Для выполнения функций в системах ИС АОКЗ на вашем ПК должны быть установлены сертификаты:

• Корневой сертификат головного удостоверяющего центра.
• Сертификат Минцифры России
• Сертификат Минкомсвязи России
• Личный сертификат пользователя.

Все перечисленные сертификаты (кроме личного сертификата) установятся в вашу систему вместе с программой КРИПТО-ПРО.

Проверяем так. Пуск -> Выполнить -> certmgr.msc

Доверенные корневые центры сертификации -> Сертификаты. 

Если они у вас каким-то образом сертификаты не установятся, то скачайте их на сайте УФК.

Что касается личного сертификата, то его у нас пока нет, установим его позже.

В следующей статье рассмотрим как сформировать комплект документов на первичное обращение за сертификатом ЭЦП в Удостоверяющем центре Федерального казначейства — https://fzs.roskazna.ru/.

Дальнейшие статьи по этой теме:

1. Подача запроса на квалифицированный сертификат электронной подписи на ПОРТАЛе ЗАЯВИТЕЛЯ Информационной системы «Удостоверяющий центр Федерального казначейства» без использования электронной подписи.

2. Как копировать с руТокена неэкспортируемый ключ электронной подписи на обычную флешку или в реестр операционной системы.