Продукты
КриптоАРМ ГОСТ
КриптоАРМ
КриптоАРМ Server
Железный почтовый ящик
КриптоАРМ Mobile
Блог Документация Получить КЭП Магазин
Установка сертификатов в КриптоАРМ — личные, корневые, CRL - Документация для КриптоАРМ 6
Перейти к содержанию
trusted.ru/КриптоАРМ

Как установить сертификаты в КриптоАРМ#

В этом руководстве вы узнаете, как установить сертификаты электронной подписи в КриптоАРМ: личные, корневые, промежуточные, сертификаты других пользователей и списки отзыва (CRL).

Руководство подходит для первоначальной настройки КриптоАРМ, устранения ошибок проверки подписи и подготовки среды для подписи и шифрования документов.

Содержание:

🚨 Чтобы сертификаты корректно проверялись, в системе должны быть установлены корневые и промежуточные сертификаты цепочки сертификации, а также загружен актуальный список отозванных сертификатов (CRL).
Подробнее см. установка корневых и промежуточных сертификатов и установка списка отзыва.

Установка личного сертификата#

Установка из ключевого контейнера#

Основной способ (через раздел «Сертификаты»)#

  1. Подключите токен к устройству.
  2. Перейдите в раздел СертификатыКлючи.
  3. Нажмите кнопку Добавить сертификат в боковом меню.

  4. В открывшемся списке действий выберите Установить из контейнера.

    Установка сертификата из контейнера в приложении КриптоАРМ

  5. Откроется список контейнеров.

  6. Выделите необходимый контейнер в списке.

    💡 Совет: С помощью кнопки Подробно Кнопка Подробно можно просмотреть сертификат, находящийся в контейнере.

  7. Нажмите кнопку Установить на панели действий.

    Установка сертификата из контейнера в приложении КриптоАРМ

  8. При необходимости введите пароль к ключевому контейнеру.

После успешного импорта сертификат появится в разделе Личные сертификаты.

Альтернативный способ (через раздел «Настройки»)#

  1. Перейдите в раздел НастройкиЛичные сертификаты.
  2. В открывшемся окне нажмите на кнопку Добавить Кнопка Добавить в верхней части окна.
  3. Выберите действие Установить из контейнера.
  4. В открывшемся окне выберите необходимый контейнер в списке и нажмите кнопку Установить.
  5. При необходимости введите пароль к ключевому контейнеру.

💡 Совет: Если после установки сертификат не появляется в разделе Личные сертификаты, обновите список сертификатов с помощью соответствующей кнопки Кнопка Обновить.

Установка из файла .pfx#

Основной способ (через раздел «Сертификаты»)#

  1. Перейдите в раздел Сертификаты.
  2. Нажмите кнопку Добавить сертификат в боковом меню.

  3. В появившемся списке действий выберите Импорт из файла.

    Установка сертификата из файла в КриптоАРМ

  4. В файловом менеджере выберите файл сертификата .pfx.

  5. В открывшемся окне Ввод пароля:

    • Выберите криптопровайдер, в хранилище которого будет установлен сертификат. В текущей версии приложения поддерживаются 2 провайдера: КриптоПро CSP и OpenSSL.
    • Введите пароль от pfx-контейнера.

    Установка сертификата из файла в КриптоАРМ

  6. При необходимости задайте новый пароль к ключевому контейнеру.

Альтернативный способ (через раздел «Настройки»)#

  1. Перейдите в раздел НастройкиЛичные сертификаты.
  2. В открывшемся окне нажмите на кнопку Добавить Кнопка Добавить в верхней части окна.
  3. Выберите действие Импорт из файла.
  4. В файловом менеджере выберите файл сертификата .pfx.

  5. В открывшемся окне Ввод пароля:

    • Выберите криптопровайдер, в хранилище которого будет установлен сертификат. В текущей версии приложения поддерживаются 2 провайдера: КриптоПро CSP и OpenSSL.
    • Введите пароль от pfx-контейнера.

  6. При необходимости задайте новый пароль к ключевому контейнеру.

Установка с привязкой к ключевому контейнеру#

Данный способ установки используется для импорта сертификата открытого ключа и его последующего связывания с существующим ключевым контейнером, содержащим соответствующий закрытый ключ. В результате сертификат становится доступным для использования в криптографических операциях.

  1. Перейдите в раздел Сертификаты.
  2. Нажмите кнопку Добавить сертификат в боковом меню.
  3. В появившемся списке действий выберите Импорт из файла.
  4. В файловом менеджере выберите файл сертификата .cer или .crt.
  5. При необходимости введите пароль к ключевому контейнеру.

Установка сертификата из DSS#

Сертификат DSS — сертификат электронной подписи, ключ от которого генерируется и хранится на сервере Удостоверяющего центра. Благодаря этому владельцу сертификата не требуется записывать и хранить ключ на токене или компьютере. Это позволяет ему подписывать электронные документы с любого устройства и из любого места, где есть доступ в интернет.

Для установки сертификата из DSS необходимо создать подключение к сервису DSS.

Создание подключения к сервису DSS#

Основной способ (через раздел «Сертификаты»)#

  1. Перейдите в раздел Сертификаты.
  2. Нажмите кнопку Добавить сертификат в боковом меню.

  3. В открывшемся списке действий выберите Импорт из DSS.

    Установка сертификата из DSS в КриптоАРМ

  4. Откроется новая вкладка с формой подключения сервиса DSS.

  5. Заполните поля:

    • Сервер авторизации DSS и Сервер DSS — данные адреса необходимо получить в организации, предоставившей вам сертификат электронной подписи;
    • Использовать подтверждения КриптоПро DSS 2.0 — нужно включить данную опцию, если используется продукт КриптоПро DSS 2.0;
    • Логин — ваш логин для доступа к сертификату.

    Настройка подключения к сервису DSS в КриптоАРМ

  6. Нажмите Подключить.

  7. Если в личном кабинете DSS в настройках стоит подтверждение по паролю, то на следующем шаге введите пароль для подключения к сервису DSS и нажмите кнопку Применить.

    Чтобы каждый раз не вводить пароль для подключения при работе с сертификатом DSS, можно установить флаг Запоминать пароль до выхода из приложения.

    Ввод пароля для подключения к сервису DSS в КриптоАРМ

    Если пароль не задан, то данный шаг пропускается.

  8. Если в личном кабинете DSS в настройках стоит подтверждение аутентификации по SIM-карте или с помощью мобильного приложения, то на следующем шаге появляется информационное окно с ожиданием подтверждения операции на телефоне.

    Подтвердите операцию на телефоне.

    Если идентификация настроена не с помощью телефона, то данный шаг пропускается.

При успешной аутентификации сертификат DSS автоматически помещается в хранилище Личные сертификаты.

💡 Сертификаты DSS в списке отмечаются специальной иконкой Иконка.

Альтернативный способ (через раздел «Настройки»)#

  1. Перейдите в раздел НастройкиЛичные сертификаты.
  2. В открывшемся окне нажмите кнопку Добавить Кнопка Добавить в верхней части окна.
  3. Выберите действие Импортировать из DSS.
  4. Откроется новая вкладка с формой подключения сервиса DSS.
  5. Следуйте шагам из инструкции Основной способ (через раздел «Сертификаты»).

Установка корневого и промежуточного сертификатов#

Корневой сертификат — это цифровой документ, в котором содержится информация об удостоверяющем центре. Именно с него начинается «цепочка доверия».

  • Корневые сертификаты выпускаются только аккредитованными организациями.
  • В России главный корневой сертификат принадлежит Минцифры РФ.
  • Минцифры подписывает корневым сертификатом сертификаты удостоверяющих центров — они называются промежуточными.
  • На основе промежуточных сертификатов УЦ выпускает пользовательские сертификаты (ваши личные или сертификаты других лиц).

Таким образом, проверка подлинности сертификата всегда строится снизу вверх: Пользовательский → Промежуточный → Корневой.

🚨 Для корректной проверки статуса сертификата в приложении должны быть установлены все звенья цепочки доверия — корневой и все промежуточные сертификаты.

Чтобы получить корневой сертификат, посетите официальный сайт удостоверяющего центра. Его обычно можно найти в разделах «Поддержка», «Загрузки» или «Документы».

Всегда скачивайте сертификаты только с официальных сайтов УЦ.

Установка из файла#

⚠️ Примечание: Для установки корневого сертификата удостоверяющего центра могут потребоваться права администратора.

Основной способ (через раздел «Сертификаты»)#

  1. Перейдите в раздел СертификатыУдостоверяющие центры.
  2. Нажмите кнопку Добавить сертификат в боковом меню.

  3. В появившемся меню действий выберите Импорт из файла.

    Установка корневого сертификата в КриптоАРМ

  4. В окне файлового менеджера выберите файл сертификата (обычно .cer или .crt).

  5. Подтвердите запрос на установку сертификата.

При успешной установке сертификат появится в хранилище сертификатов Удостоверяющие центры.

Альтернативный способ (через раздел «Настройки»)#

  1. Перейдите в раздел НастройкиСертификаты других пользователей.
  2. В открывшемся окне нажмите кнопку Добавить Кнопка Добавить в верхней части окна.
  3. Выберите действие Импортировать из файла.
  4. В окне файлового менеджера выберите файл сертификата (обычно .cer или .crt).
  5. Подтвердите запрос на установку сертификата.

При успешной установке сертификат появится в хранилище сертификатов Удостоверяющие центры.

⚠️ Примечание: Если выбрано другое хранилище для установки сертификата, КриптоАРМ запросит подтверждение. Для установки сертификата в хранилище «Удостоверяющие центры» выберите опцию «Поместить в рекомендуемое хранилище "Удостоверяющие центры"».

Установка корневого сертификата в КриптоАРМ

Установка при проверке подписи#

  1. Выполните проверку подписи документа в мастере Проверка и расшифрование (см. Проверка подписи документа).
  2. Нажмите на кнопку Показать сведения или кнопку Подробно Кнопка Подробно на панели действий.
  3. Справа от списка писем откроется область со сведениями.
  4. В блоке Цепочка сертификации нажмите на сертификат, который необходимо установить.
  5. Откроются сведения о сертификате.

  6. Вызовите меню действий по кнопке Еще.

    Установка корневого сертификата в КриптоАРМ

  7. Нажмите на Сохранить сертификат.

При успешной установке сертификат появится в хранилище сертификатов Удостоверяющие центры.

Установка сертификата другого пользователя#

Для шифрования документов, адресованных другому пользователю, вам потребуется его сертификат.

Установка сертификата, который был отправлен вам другим пользователем, происходит в хранилище сертификатов Других пользователей. Он нужен для шифрования документов в адрес этого сертификата. Такой сертификат устанавливается без закрытого ключа.

Установка из файла#

Основной способ (через раздел «Сертификаты»)#

  1. Перейдите в раздел СертификатыДругих пользователей.
  2. Нажмите кнопку Добавить сертификат в боковом меню.

  3. В открывшемся меню действий выберите Импорт из файла.

    Установка сертификата другого пользователя в КриптоАРМ

  4. В окне файлового менеджера выберите файл сертификата (обычно .cer или .crt).

  5. Подтвердите запрос на установку сертификата.

При успешной установке сертификат появится в списке хранилища сертификатов Других пользователей.

Альтернативный способ (через раздел «Настройки»)#

  1. Перейдите в раздел НастройкиСертификаты других пользователей.
  2. В открывшемся окне нажмите кнопку Добавить Кнопка Добавить в верхней части окна.
  3. Выберите действие Импортировать из файла.
  4. В открывшемся окне файлового менеджера выберите файл сертификата (обычно .cer или .crt).
  5. Подтвердите запрос на установку сертификата.

При успешной установке сертификат появится в списке хранилища сертификатов Других пользователей.

Установка при проверке подписи документа#

  1. Выполните проверку подписи документа в мастере Проверка и расшифрование (см. Проверка подписи документа).
  2. Нажмите на кнопку Показать сведения или кнопку Подробно Кнопка Подробно на панели действий.
  3. Справа от списка откроется область со сведениями.
  4. В блоке Цепочка сертификации нажмите на сертификат подписанта.
  5. Откроются сведения о сертификате.
  6. Вызовите меню действий по кнопке Еще.
  7. Нажмите на Сохранить сертификат.

Сертификат будет успешно сохранен в хранилище сертификаты «Других пользователей».

Установка при проверке подписи письма#

  1. Откройте сведения о подписи письма (см. Как проверить подпись письма).

  2. Вызовите меню действий по кнопке Еще.

    Установка сертификата

  3. Нажмите на Сохранить сертификат.

Сертификат будет успешно сохранен в хранилище сертификаты Других пользователей.

Установка списка отзыва#

Список отзыва сертификатов (СОС) или Certificate Revocation List (CRL) — это специальный цифровой документ, публикуемый удостоверяющим центром. В нём содержатся сведения о сертификатах, которые были признаны недействительными до окончания срока их действия.

Использование СОС необходимо для проверки актуальности сертификатов и исключения компрометированных ключей из доверенной среды.

Основные причины отзыва:

  • Компрометация закрытого ключа (потеря, кража токена)
  • Изменение данных владельца (смена фамилии, реквизитов организации)
  • Ошибки при выпуске сертификата
  • Прекращение деятельности удостоверяющего центра
  • Нарушение условий использования

📌 Проверка СОС — обязательная часть процесса подтверждения подлинности сертификатов. Если сертификат присутствует в списке отзыва, его использование считается недопустимым.

Где взять список отзыва#

Списки отзыва публикуются удостоверяющими центрами, которые выпускают сертификаты.

Получить списки отзыва можно несколькими способами:

  1. На официальном сайте удостоверяющих центров: обычно в разделе «Поддержка» или «Загрузки» доступны актуальные версии СОС вместе с корневыми и промежуточными сертификатами.
  2. Из личного сертификата: в свойствах сертификата есть поле CRL Distribution Point (CDP). По указанной там ссылке (http://...) можно скачать актуальный СОС.

⚠️ Списки отзыва имеют ограниченный срок действия. По его истечении необходимо скачать и установить обновлённую версию.

Всегда скачивайте списки отзыва только с официальных сайтов УЦ.

Как установить список отзыва#

  1. Перейдите в раздел СертификатыСписки отзыва.
  2. Нажмите кнопку Добавить сертификат в боковом меню.

  3. В открывшемся меню действий выберите Импорт из файла.

    Установка списка отзыва в КриптоАРМ

  4. В окне файлового менеджера выберите файл списка отзыва (обычно .crl).

  5. Подтвердите запрос на установку списка.

При успешной установке СОС отображается в разделе Списки отзыва.

Возможные ошибки#

Подробности о возникающих ошибках можно найти в Журнале.

Ниже приведены типовые ошибки при установке сертификатов в КриптоАРМ и способы их устранения.

Ошибка Описание Рекомендуемые действия
Не удалось импортировать сертификат. Провайдер с поддержкой ГОСТ алгоритмов не найден. Отсутствует криптопровайдер КриптоПро CSP Установите криптопровайдер КриптоПро СSP и перезапустите приложение КриптоАРМ
Не удалось импортировать сертификат При установке сертификата из файла выбран неподходящий криптопровайдер Попробуйте импортировать сертификат ещё раз. Выберите другой провайдер.
Не удалось импортировать сертификат Выбранный сертификат не является корневым или промежуточным сертификатом 1. Проверьте расширение файла (.cer, .crt)
2. Запросите сертификат повторно у УЦ
Не удалось импортировать сертификат Возможно, выбрано не подходящее хранилище для сертификата Перейдите в раздел СертификатыДругих пользователей и повторите попытку установки.
Не удалось загрузить контейнеры Отсутствует криптопровайдер КриптоПро CSP Установите криптопровайдер КриптоПро СSP и перезапустите приложение КриптоАРМ
Не удалось подключиться к серверу DSS (при установке сертификата из DSS) Возможно, указан неверный логин или пароль Проверьте правильность заполнения данных
Не удалось подключиться к серверу DSS (при установке сертификата из DSS) Возможно, указаны некорректные адреса серверов, либо отсутствует подключение к сети Интернет 1. Проверьте правильность заполнения данных,
2. Проверьте подключение к сети Интернет.

Смотрите также#

Для повышения удобства работы и хранения данных веб-сайт CRYPTOARM.RU использует файлы COOKIE. Продолжая работу с веб-сайтом, Вы даете свое согласие на работу с этими файлами.

Согласен