КриптоАРМ ГОСТ
КриптоАРМ
Как создать запрос и самоподписанный сертификат в КриптоАРМ#
Эта инструкция поможет вам создать самоподписанный сертификат и сформировать запрос на сертификат электронной подписи в приложении КриптоАРМ.
Вы узнаете, как подготовить запрос на сертификат, создать самоподписанный сертификат для личного или тестового использования, настроить параметры ключей и назначение сертификата, а также сохранить и импортировать готовый сертификат в хранилище.
Содержание:
Создание запроса#
Что такое запрос на сертификат?#
Запрос на сертификат — это электронный документ, содержащий необходимые данные для получения сертификата электронной подписи от Удостоверяющего центра (УЦ).
Запрос необходим, чтобы УЦ убедился, что создаваемые ключи действительно принадлежат вам, а сведения о владельце верны. Он служит официальным документом для выдачи сертификата.
С помощью запроса можно получить сертификат для:
- Подписи и шифрования документов,
- Обеспечения безопасности электронной почты,
- TLS-сертификатов для сайтов и сервисов.
Шаблоны запросов#
В приложении предусмотрены готовые шаблоны запросов, которые помогают быстро и корректно сформировать запрос на сертификат в зависимости от его назначения.
| Шаблон | Для кого | Назначение |
|---|---|---|
| КЭП ФЛ | Физические лица | Создание запроса на квалифицированный сертификат электронной подписи |
| КЭП ИП | Индивидуальные предприниматели | Создание запроса на квалифицированный сертификат электронной подписи для индивидуальных предпринимателей |
| КЭП ЮЛ | Юридические лица | Создание запроса на квалифицированный сертификат электронной подписи сотрудника организации |
| Расширенный шаблон | ФЛ / ИП / ЮЛ | Создание запроса с расширенным набором атрибутов, когда требуется гибкая настройка данных владельца или специальных параметров сертификата |
| DV (Domain Validation) — сертификат от Минцифры | ФЛ, ИП, ЮЛ | Создание запроса на сертификат безопасности (TLS). Сертификат подтверждает, что вы управляете доменом, который указан в сертификате, а передача данных пользователей защищена. |
| OV (Organization Validation) — сертификат от Минцифры | ФЛ, ИП, ЮЛ | Создание запроса на сертификат безопасности (TLS). Сертификат подтверждает, что вы владеете и управляете доменом, который указан в сертификате, а передача данных пользователей защищена. |
🔍 Подробнее о DV и OV-сертификатах читайте на портале Госуслуги.
Что включает запрос на сертификат#
-
Сведения о владельце
- ФИО, должность, организация и контактная информация.
- Эти данные будут указаны в самом сертификате.
-
Параметры ключевой пары
- Тип и длина ключа,
- Назначение ключа,
- Возможность экспорта ключа для переноса на другие устройства.
-
Технические требования к сертификату
- Политики безопасности,
- Срок действия сертификата,
- Настройки использования ключа.
Как используется запрос#
- После создания файла запроса его отправляют в Удостоверяющий центр.
- Удостоверяющий центр проверяет предоставленные данные и создаёт сертификат, который соответствует указанным параметрам.
- После получения сертификата его импортируют в приложение, и он становится готовым для подписания и шифрования документов.
Создание запроса на сертификат#
- Перейдите в раздел Сертификаты.
- Нажмите кнопку Добавить сертификат в боковом меню.
-
В появившемся списке действий выберите Создать запрос.
-
Откроется форма создания запроса.
- В поле Сохранить в укажите папку для сохранения файла запроса. Если папка не выбрана, файл запроса сохранится в папку:
%USERPROFILE%\.Trusted\CryptoARM <версия>\Requests. -
В поле Шаблон сертификата выберите шаблон сертификата. Можно выбрать шаблон из списка или загрузить собственный в формате
.json.
-
Заполните данные в запросе одним из способов:
- Загрузите данные из XML — позволяет автоматически заполнить поля в запросе с помощью загрузки файлов XML.
- Укажите вручную.
-
Заполните поля вкладки Сведения о владельце. Набор полей меняется в зависимости от выбранного на предыдущем шаге шаблона.
- Установите настройки на вкладке Параметры ключа (см. Параметры ключа).
- Нажмите Сохранить.
- При необходимости выберите ключевой носитель для хранения контейнера (реестр, диск, токен).
- При необходимости установите пароль на контейнер.
На основе указанных данных сформируется запрос на сертификат.
Дальнейшие действия#
После создания запроса на сертификат необходимо отправить его в Удостоверяющий центр для обработки.
⚠️ Правила отправки и формат запроса определяются самим УЦ. Перед отправкой уточните эти требования.
Где хранится созданный запрос#
После успешного формирования:
- Файл запроса сохраняется в формате:
<CN сертификата>_<алгоритм >_<дата генерации>. - Запрос появляется в папке Запросы раздела Сертификаты.
Импорт готового сертификата#
После проверки запроса УЦ выдаст готовый сертификат в виде файла .cer.
- Перейдите в раздел Сертификаты.
- Нажмите кнопку Добавить сертификат в боковом меню.
- В появившемся списке действий выберите Импорт из файла.
- В файловом менеджере выберите файл сертификата
.cer. - Дождитесь окончания импорта.
После успешного импорта сертификат готов к использованию.
Параметры ключа#
| Название настройки | Значение по умолчанию | Описание | Допустимые значения |
|---|---|---|---|
| Криптопровайдер | КриптоПро CSP (если установлен) | Криптопровайдер, в хранилище которого будет установлен сертификат | КриптоПро CSP (если установлен),OpenSSL |
| Алгоритм | ГОСТ Р 34.10-2012 или EC | Алгоритм подписи | ГОСТ Р 34.10-2012,EC,RSA |
| Размер ключа | 512 бит или 384 бит (P-384) | Размер ключа | Для ГОСТ Р 34.10-2012: 256 бит и 512 бит,Для EC: 384 бит (P-384),Для RSA: 2048 бит |
| Идентификация заявителя | - | Процедура проверки личности | Личное присутствие,С использование КЭП,Электронный документ, удостоверяющий личность,С использованием сведений ЕСИА и ЕБС |
| Назначение ключа | Подпись и шифрование | Назначение ключа | Подпись,Подпись и шифрование,Шифрование |
| Контейнер | Автоматически заданное значение | Название контейнера | — |
| Пометить ключи как экспортируемые | Выкл | Если включено, позволяет экспортировать сертификат вместе с закрытым ключом для переноса на другое устройство | Вкл / Выкл |
| Средство электронной подписи владельца | КриптоПро CSP (версия 5.0) | Шифровальное (криптографическое) средство, которое используется для реализации криптографических функций | - |
| Политики сертификата | Класс средства ЭП КС1 | Класс средства ЭП зависит от используемого средства подписи и указывает на уровень защиты информации | КС1, КС2, КС3, КВ1, КВ2, КА |
Использование ключа#
Указаны значения, выставленные по умолчанию:
| Назначение ключа | Подпись | Шифрование | Подпись и шифрование |
|---|---|---|---|
| Подпись (digitalSignature) | ✅ | ✅ | |
| Шифрование ключей (keyEncipherment) | ✅ | ✅ | |
| Неотрекаемость (nonRepudiation/contentCommitment) | ✅ | ✅ | |
| Шифрование данных (dataEncipherment) | ✅ | ✅ | |
| Согласование ключей (keyAgreement) | ✅ | ✅ | ✅ |
| Подпись сертификатов (keyCertSign) | |||
| Подпись CRL (cRLSign) | |||
| Только шифрование (encipherOnly) | |||
| Только расшифрование (decipherOnly) | |||
| Защищенная почта | ✅ | ✅ | ✅ |
| Проверка подлинности сервера | |||
| Проверка подлинности клиента | ✅ | ✅ | ✅ |
| Подпись кода |
Самоподписанный сертификат#
Самоподписанный сертификат — это сертификат электронной подписи, созданный пользователем самостоятельно без обращения в Удостоверяющий центр.
Особенности#
- Совмещает функции личного сертификата и корневого сертификата.
- Подходит только для личного или внутреннего использования, например, для тестирования или обмена документами внутри доверенной группы.
❌ Не подходит для официального документооборота:
- Нет независимой проверки — сертификат создан вами, и сторонние организации не могут проверить его подлинность.
- Нет юридической силы — государственные порталы, банки и официальные системы требуют сертификаты, выданные доверенными Удостоверяющими центрами.
- Риск подделки — любой может создать сертификат с вашим именем, поэтому внешние системы не могут доверять такой подписи автоматически.
Создание самоподписанного сертификата#
Основной способ (через раздел «Сертификаты»)#
- Перейдите в раздел Сертификаты.
- Нажмите кнопку Добавить сертификат в боковом меню.
-
В появившемся списке действий выберите Самоподписанный сертификат.
-
Выберите шаблон сертификата.
- Заполните поля вкладки Сведения о владельце. Набор полей меняется в зависимости от выбранного на предыдущем шаге шаблона.
- Установите настройки на вкладке Параметры ключа (см. Параметры ключа).
- Нажмите Сохранить.
- При необходимости выберите ключевой носитель для хранения контейнера (реестр, диск, токен).
- При необходимости установите пароль на контейнер.
На основе указанных данных создается самоподписанный сертификат.
Альтернативный способ (через раздел «Настройки»)#
- Перейдите в раздел Настройки → Личные сертификаты.
- В открывшемся окне нажмите кнопку Добавить
. - Выберите действие Создать самоподписанный сертификат.
-
В открывшемся окне укажите сведения о владельце, параметры ключа, использование ключа. Подробнее о настройках читайте в разделе Параметры ключа.
-
Нажмите Создать.
- Выберите ключевой носитель для хранения контейнера (реестр, диск, токен).
- При необходимости установите пароль на контейнер.
На основе указанных данных создается самоподписанный сертификат.
Результаты создания#
При успешной генерации сертификат устанавливается в хранилище Личные сертификаты раздела Сертификаты.
💡 Совет: Если после создания сертификат не появляется в разделе Личные сертификаты, обновите список сертификатов с помощью соответствующей кнопки
.
Дополнительные действия#
Чтобы самоподписанный сертификат был действительным:
- Экспортируйте созданный сертификат без закрытого ключа (см. Экспорт личного сертификата).
- Установите его в хранилище Удостоверяющие центры (см. Установка корневого и промежуточного сертификатов).
Смотрите также#
- Установка сертификатов — инструкция по установке личных, корневых и промежуточных сертификатов, сертификатов других пользователей и списков отзыва (CRL).
- Экспорт и удаление сертификатов — инструкция по экспорту и удалению сертификатов в КриптоАРМ.
- Действия с ключевыми контейнерами — работа с ключевыми контейнерами для установки и привязки сертификатов.