Как сформировать запрос на сертификат в КриптоАРМ для УЦ Банка России (2026) — пошаговая инструкция

Новые требования УЦ Банка России к запросу на сертификат в 2026 году

В 2026 году УЦ Банка России изменил требования к формированию запроса на сертификат. Теперь удостоверяющий центр не редактирует запрос и выпускает сертификат строго на основании переданных данных.

Это означает, что все параметры сертификата должны быть уже включены в сам запрос, иначе он будет отклонён.

При формировании участником финансового рынка запроса на сертификат необходимо заполнить все поля в строгом соответствии с требованиями приказа ФСБ России от 27.12.2011 № 795 «Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи», с учётом типа выпускаемого сертификата.

Что изменилось

УЦ Банка России больше не дополняет запрос OID-ами

Ранее можно было отправить список OID отдельно — удостоверяющий центр добавлял их при выпуске сертификата. Теперь все OID должны находиться непосредственно в запросе на сертификат и добавлены самим заявителем.

Расширение Дополнительное имя субъекта (Subject Alternative Name) должно быть заполнено в запросе на сертификат для информационных систем (обезличенный)

Теперь необходимо указывать альтернативное имя (SAN) прямо при генерации запроса. Поддерживаются два поля:

• DNS
• IP-адрес

Запрос должен быть сформирован в кодировке DER

УЦ Банка России принимает запросы на сертификат только в DER-кодировке.

Запросы в других форматах (BASE64) могут быть отклонены.

Важно!

Удостоверяющий центр Банка России не вносит изменений в запрос на сертификат.

Квалифицированный сертификат выпускается строго на основании данных, указанных в запросе, включая объектные идентификаторы (OID) и расширения.

Если в запросе допущена ошибка, необходимо сформировать новый запрос и отправить его повторно. Редактирование уже отправленного запроса не допускается.

Также все данные в запросе должны полностью совпадать с подтверждающими документами:

• паспортные данные
• СНИЛС
• ИНН
• ИНН ЮЛ и т.д.

Несоответствие данных приведёт к отклонению запроса на сертификат.

Пошаговая инструкция: генерация запроса на сертификат в КриптоАРМ

В КриптоАРМ (версии 7.1 и выше) уже встроены два готовых шаблона для УЦ Банка России, которые упрощают формирование запроса на сертификат:

1. Для автоматизированной системы — обезличенный сертификат для АИС. Используется в информационных системах.
2. Личный сертификат — предназначен для юридических лиц и персонального использования.

Эти шаблоны уже содержат базовые настройки, соответствующие требованиям УЦ Банка России, поэтому в большинстве случаев их можно использовать как основу для формирования запроса без ручной настройки всех параметров.

Для КриптоАРМ ГОСТ 3 есть ограничения: нет возможности добавлять произвольные OID и указывать IP-адрес в поле Subject Alternative Name.

В обоих версиях в качестве криптопровайдера используется КриптоПро CSP (подойдут версии 5.0 R3 и выше).

Генерация запроса на сертификат в КриптоАРМ

1. Откройте Меню и перейдите в раздел Сертификаты.

2. В разделе Сертификаты выберите пункт Добавить сертификат и Создать запрос.

3. Выберите подходящий для вас шаблон.

4. Заполните сведения о владельце. В поле Адрес указывается информация из раздела Местонахождение и адрес юридического лица выписки из ЕГРЮЛ без почтового индекса.

5. Для личных сертификатов дополнительно заполняются поля ФИО.

6. Во вкладке Параметры ключа выберите криптопровайдер КриптоПро CSP, алгоритм ГОСТ Р 34.10-2012, размер ключа 256.

7. В пункте Идентификация заявителя при личной явке в пункт выдачи сертификатов выбрать Личное присутствие. При формировании заявки через личный кабинет на портале УЦ Банка России выбрать С использованием квалифицированной ЭП.

8. В случае необходимости переноса сформированного ключа ЭП следует отметить флаг Пометить ключи как экспортируемые. Он позволит в дальнейшем выполнить экспорт сертификата с закрытым ключом в формате pfx.

9. Необходимое значения полей в блоке ИСПОЛЬЗОВАНИЕ КЛЮЧА (KEYUSAGE) уже выставлено по умолчанию. Вы можете скорректировать его, но пункты Автономное подписание списка отзыва (CRL) и Подпись сертификатов (keyCertSign) заблокированы к выбору, т.к. при их наличии заявка в УЦ ЦБ будет отклонена.

10. В блоке РАСШИРЕННОЕ ИСПОЛЬЗОВАНИЕ КЛЮЧА (EXTENDEDKEYUSAGE) значения указываются в зависимости от типа сертификата. Для обезличенного это Проверка подлинности сервера.

11. Для личных выбран флаг Проверка подлинности клиента и Защита электронной почты (устанавливается при включении в состав квалифицированного сертификата адреса электронной почты).

12. Дополнительные объектные идентификаторы (OID) указываются перечислением, разделенные точкой с запятой (;) без пробелов, пример: 1.2.643.100.2.2;1.2.643.100.2.3.

13. Для обезличенных сертификатов (для АИС) заполните поле Дополнительное имя субъекта. Примеры заполнения:
• dnsName=example.com;ipAddress=127.0.0.1 
• dnsName=example.com;dnsName=www.example.com;dnsName=*.example.com;ipAddress=127.0.0.1 

14. Укажите корректные название и класс средства, используемые на рабочем месте.

15. Для шаблонов УЦ ЦБ по умолчанию выставлена кодировка DER.

16. После заполнения сведений о владельце сохраните запрос на сертификат, нажав Сохранить.

17. В появившимся окне выберите тип носителя для записи закрытого ключа.

18. Выполните генерацию случайной последовательности и задайте пин-код для контейнера. Не отменяйте эти шаги!

После успешной генерации откроется папка с вновь созданным запросом. Будет сохранено два файла:

1. запрос с расширением .req;
2. данные формы, которые можно использовать при повторном создании запроса (формат XML).

Генерация запроса на сертификат в КриптоАРМ ГОСТ 3

Генерацию запроса в КриптоАРМ ГОСТ 3 можно выполнить по инструкции от УЦ Банка России.

Для генерации запроса с указанием альтернативного имени субъекта (DNS) необходимо предварительно импортировать расширенные (обновленные) шаблоны.

Указание произвольных объектных идентификаторов (OID) и IP адреса в КриптоАРМ ГОСТ 3 невозможно, следует использовать КриптоАРМ версий 7.1 и выше. Оба приложения могут быть установлены рядом на одном рабочем месте.

Т.к. теперь запросы должны быть в кодировке DER, а КриптоАРМ ГОСТ 3 по умолчанию создавал их в BASE64, перед отправкой в УЦ их нужно перекодировать. Эта операция выполняется в консоли, например утилитой certutil. Команда:

> certutil -decode <исходный файл запроса.req> <путь выходного файла.req>

Автоматическое заполнение формы запроса на сертификат из XML в КриптоАРМ

Для КриптоАРМ и КриптоАРМ ГОСТ 3 поддерживается заполнение формы данными из XML-файла.

В КриптоАРМ (версий 7.1 и выше) такой XML автоматически сохранится рядом с файлом запроса. При следующей генерации запроса достаточно выбрать прошлый XML-файл.

Для КриптоАРМ ГОСТ 3 файл с данными формы необходимо первый раз сформировать вручную или реализовать выгрузку из ИС. Пример заполненного файла по ссылке.

Скачать шаблоны запроса на сертификат для КриптоАРМ

КриптоАРМ и КриптоАРМ ГОСТ 3 поддерживают импорт шаблонов. Взяв за основу исходные шаблоны, можно подготовить подходящий для себя с уникальным набором полей и названием.

Скачать шаблоны:

• КриптоАРМ
• КриптоАРМ ГОСТ 3 (исходные)
• КриптоАРМ ГОСТ 3 (обновленные)

В обновленных шаблонах для ГОСТ 3 увеличена максимальная длина полей. Это решает проблему, когда полное название организации не помещалось в поле ввода. Также мы добавили подсказки к названиям полей согласно спецификации.

Для загрузки новых шаблонов перейдите в раздел Сертификаты → Форма создания запроса → Выбор шаблона → Загрузить шаблон.

Новые добавленные шаблоны будут в конце списка (после дефолтных). Такие шаблоны можно удалять при необходимости, кликнув по значку Корзина.

По вопросам формирования персональных шаблонов и расширению функционала КриптоАРМ обращайтесь в нашу поддержку support@trusted.ru.

Скачать КриптоАРМ

Скачать КриптоАРМ ГОСТ 3