Как создать запрос и самоподписанный сертификат в КриптоАРМ#

Эта инструкция поможет вам создать самоподписанный сертификат и сформировать запрос на сертификат электронной подписи в приложении КриптоАРМ.

Вы узнаете, как подготовить запрос на сертификат, создать самоподписанный сертификат для личного или тестового использования, настроить параметры ключей и назначение сертификата, а также сохранить и импортировать готовый сертификат в хранилище.

Содержание:

Создание запроса
Самоподписанный сертификат
Смотрите также

Создание запроса#

Что такое запрос на сертификат?#

Запрос на сертификат — это электронный документ, содержащий необходимые данные для получения сертификата электронной подписи от Удостоверяющего центра (УЦ).

Запрос необходим, чтобы УЦ убедился, что создаваемые ключи действительно принадлежат вам, а сведения о владельце верны. Он служит официальным документом для выдачи сертификата.

С помощью запроса можно получить сертификат для:

Подписи и шифрования документов,
Обеспечения безопасности электронной почты,
TLS-сертификатов для сайтов и сервисов.

Шаблоны запросов#

В приложении предусмотрены готовые шаблоны запросов, которые помогают быстро и корректно сформировать запрос на сертификат в зависимости от его назначения.

Шаблон	Для кого	Назначение
КЭП ФЛ	Физические лица	Создание запроса на квалифицированный сертификат электронной подписи
КЭП ИП	Индивидуальные предприниматели	Создание запроса на квалифицированный сертификат электронной подписи для индивидуальных предпринимателей
КЭП ЮЛ	Юридические лица	Создание запроса на квалифицированный сертификат электронной подписи сотрудника организации
Расширенный шаблон	ФЛ / ИП / ЮЛ	Создание запроса с расширенным набором атрибутов, когда требуется гибкая настройка данных владельца или специальных параметров сертификата
УЦ ЦБ. Сертификат для автоматизированной системы	ЮЛ	Создание запроса на сертификат для автоматизированных систем, выполняющих операции без участия пользователя (например, подписание и проверка документов)
УЦ ЦБ. Личный сертификат	ЮЛ	Создание запроса на квалифицированный сертификат в удостоверяющем центре Банка России
DV (Domain Validation) — сертификат от Минцифры	ФЛ, ИП, ЮЛ	Создание запроса на сертификат безопасности (TLS). Сертификат подтверждает, что вы управляете доменом, который указан в сертификате, а передача данных пользователей защищена.
OV (Organization Validation) — сертификат от Минцифры	ФЛ, ИП, ЮЛ	Создание запроса на сертификат безопасности (TLS). Сертификат подтверждает, что вы владеете и управляете доменом, который указан в сертификате, а передача данных пользователей защищена.

🔍 Подробнее о DV и OV-сертификатах читайте на портале Госуслуги.

Что включает запрос на сертификат#

Сведения о владельце: ФИО, должность, организация и контактная информация.
Параметры ключевой пары: Тип и длина ключа, назначение ключа, возможность экспорта ключа для переноса на другие устройства.
Технические требования к сертификату: Политики безопасности, срок действия сертификата, настройки использования ключа и прочие.

Создание запроса на сертификат#

Перейдите в раздел Сертификаты.
Нажмите кнопку Добавить сертификат в боковом меню.
В появившемся списке действий выберите Создать запрос.
Откроется форма создания запроса.
В поле Сохранить в укажите папку для сохранения файла запроса. Если папка не выбрана, файл запроса сохранится в папку: %USERPROFILE%\.Trusted\CryptoARM <версия>\Requests.
В поле Шаблон сертификата выберите шаблон сертификата. Можно выбрать шаблон из списка или загрузить собственный в формате .json.
При необходимости выберите кодировку файла запроса BASE64 или DER.
Заполните данные в запросе одним из способов:
- Загрузите данные из XML — позволяет автоматически заполнить поля в запросе с помощью загрузки файлов XML.
- Укажите вручную.
Заполните поля вкладки Сведения о владельце. Набор полей меняется в зависимости от выбранного на предыдущем шаге шаблона.
Установите настройки на вкладке Параметры ключа (см. Параметры ключа).
Нажмите Сохранить.
При необходимости выберите ключевой носитель для хранения контейнера (реестр, диск, токен).
При необходимости установите пароль на контейнер.

На основе указанных данных сформируется запрос на сертификат.

Дальнейшие действия#

После создания запроса на сертификат необходимо отправить его в Удостоверяющий центр для обработки.

⚠️ Правила отправки и формат запроса определяются самим УЦ. Перед отправкой уточните эти требования.

Где хранится созданный запрос#

После успешного формирования:

Файл запроса сохраняется в формате: <CN сертификата>_<алгоритм >_<дата генерации>.
Запрос появляется в папке Запросы раздела Сертификаты.

Импорт готового сертификата#

После проверки запроса УЦ выдаст готовый сертификат в виде файла .cer.

Перейдите в раздел Сертификаты.
Нажмите кнопку Добавить сертификат в боковом меню.
В появившемся списке действий выберите Импорт из файла.
В файловом менеджере выберите файл сертификата .cer.
Дождитесь окончания импорта.

После успешного импорта сертификат готов к использованию.

Параметры ключа#

Название настройки	Значение по умолчанию	Описание	Допустимые значения
Срок действия сертификата (только для самоподписанного сертификата)	Текущая дата + 1 год	Период, в течение которого сертификат считается действительным	Задается вручную (дата начала и окончания)
Криптопровайдер	`КриптоПро CSP` (если установлен)	Криптопровайдер, в хранилище которого будет установлен сертификат	`- КриптоПро CSP` (если установлен), `- OpenSSL`
Алгоритм	—	Алгоритм подписи	`- ГОСТ Р 34.10-2012`, `- EC`, `- RSA`
Размер ключа	—	Размер ключа	Для `ГОСТ Р 34.10-2012`: `256 бит` и `512 бит`, Для `EC`: `384 бит (P-384)`, Для `RSA`: `2048 бит`
Идентификация заявителя (только для КриптоПро CSP)	—	Процедура проверки личности	`- Личное присутствие`, `- С использование КЭП`, `- Электронный документ, удостоверяющий личность`, `- С использованием сведений ЕСИА и ЕБС`
Контейнер (только для КриптоПро CSP)	`Автоматически заданное значение`	Название контейнера	—
Пометить ключи как экспортируемые	`Выкл`	Если включено, позволяет экспортировать сертификат вместе с закрытым ключом для переноса на другое устройство	`Вкл` / `Выкл`
OID для массива расширений	—	Базовый объектный идентификатор (OID), используемый при формировании расширений сертификата	Задается вручную
Дополнительное имя субъекта	—	Дополнительные атрибуты субъекта (Subject Alternative Name)	Задается вручную
Дополнительные объектные идентификаторы (OID)	—	Произвольные OID, добавляемые в расширенное назначение ключа (extKeyUsage)	Задается вручную
Средство электронной подписи владельца (только для КриптоПро CSP)	`КриптоПро CSP (версия 5.0)`	Криптографическое средство, которое используется для реализации криптографических функций	—
Политики сертификата (только для КриптоПро CSP)	`Класс средства ЭП КС1`	Класс средства ЭП зависит от используемого средства подписи и указывает на уровень защиты информации	`КС1`, `КС2`, `КС3`, `КВ1`, `КВ2`, `КА`

Использование ключа (keyUsage) и расширенное назначение (extKeyUsage)#

Указаны значения, выставленные по умолчанию:

Назначение ключа	Подпись	Шифрование	Подпись и шифрование
Использование ключа (KeyUsage)
Подпись (digitalSignature)	✅		✅
Шифрование ключей (keyEncipherment)		✅	✅
Неотрекаемость (nonRepudiation)	✅		✅
Шифрование данных (dataEncipherment)		✅	✅
Согласование ключей (keyAgreement)	✅	✅	✅
Подпись сертификатов (keyCertSign)
Автономное подписание списка отзыва (CRL)
Только шифрование (encipherOnly)
Только расшифрование (decipherOnly)
Расширенное использование ключа (ExtendedKeyUsage)
Проверка подлинности сервера
Проверка подлинности клиента	✅	✅	✅
Подпись кода
Защищенная почта	✅	✅	✅

Самоподписанный сертификат#

Самоподписанный сертификат — это сертификат электронной подписи, созданный пользователем самостоятельно без обращения в Удостоверяющий центр. Подходит только для личного или внутреннего использования, например, для обмена документами внутри доверенной группы.

Создание самоподписанного сертификата#

Основной способ (через раздел «Сертификаты»)#

Перейдите в раздел Сертификаты.
Нажмите кнопку Добавить сертификат в боковом меню.
В появившемся списке действий выберите Самоподписанный сертификат.
Выберите шаблон сертификата.
Заполните поля вкладки Сведения о владельце. Набор полей меняется в зависимости от выбранного на предыдущем шаге шаблона.
Установите настройки на вкладке Параметры ключа (см. Параметры ключа).
Нажмите Сохранить.
Выберите ключевой носитель для хранения контейнера (реестр, диск, токен).
При необходимости установите пароль на контейнер.

На основе указанных данных создается самоподписанный сертификат.

Альтернативный способ (через раздел «Настройки»)#

Перейдите в раздел Настройки → Личные сертификаты.
В открывшемся окне нажмите кнопку Добавить .
Выберите действие Создать самоподписанный сертификат.
В открывшемся окне укажите сведения о владельце, параметры ключа, использование ключа.

Подробнее о настройках читайте в разделе Параметры ключа.
Нажмите Создать.
Выберите ключевой носитель для хранения контейнера (реестр, диск, токен).
При необходимости установите пароль на контейнер.

На основе указанных данных создается самоподписанный сертификат.

Результаты создания#

При успешной генерации сертификат устанавливается в хранилище Личные сертификаты раздела Сертификаты.

💡 Совет: Если после создания сертификат не появляется в разделе Личные сертификаты, обновите список сертификатов с помощью соответствующей кнопки .

Дополнительные действия#

Чтобы самоподписанный сертификат был действительным:

Экспортируйте созданный сертификат без закрытого ключа (см. Экспорт личного сертификата).
Установите его в хранилище Удостоверяющие центры (см. Установка корневого и промежуточного сертификатов).

Смотрите также#

Установка сертификатов — инструкция по установке личных, корневых и промежуточных сертификатов, сертификатов других пользователей и списков отзыва (CRL).
Экспорт и удаление сертификатов — инструкция по экспорту и удалению сертификатов в КриптоАРМ.
Действия с ключевыми контейнерами — работа с ключевыми контейнерами для установки и привязки сертификатов.