Утилита «Генератор запроса на сертификат» (далее — Генератор запроса) предназначена для создания запроса на сертификат электронной подписи и записи готового сертификата на устройство Рутокен.
Запрос на сертификат используется для указания всей необходимой информации для сертификата электронной подписи.
Процесс создания сертификата электронной подписи состоит из следующих этапов:
1 этап. Создание запроса на сертификат электронной подписи и сохранение его на компьютере.
2 этап. Подписание запроса на сертификат электронной подписи в удостоверяющем центре.
3 этап. Создание сертификата электронной подписи и сохранение его на компьютере.
4 этап. Запись сертификата на устройство Рутокен.
Генератор запроса используется для 1 и 4 этапа.
Генератора запроса работает с устройствами из линейки Рутокен ЭЦП 3.0.
Перед началом работы необходимо установить драйверы для подключенного устройства Рутокен и скачать архив с утилитой.
Чтобы установить драйверы:
В результате драйверы Рутокен будут установлены.
Чтобы скачать Генератор запроса:
В результате на компьютере появится папка с Генератором запроса (cert-gen-util.exe).
Чтобы запустить Генератор запроса:
Теперь можно перейти к созданию запроса на сертификат или записи готового сертификата на устройство Рутокен.
Перед запуском утилиты отключите от компьютера все лишние устройства Рутокен. Оставьте только устройство, на которое необходимо будет сгенерировать ключи электронной подписи для создания запроса на сертификат. |
Для создания запроса на сертификат электронной подписи:
Введите необходимые значения полей запроса.
Все основные поля заполняются согласно Приказу ФСБ РФ от 29.01.2021 № 31 «О внесении изменений в приказ ФСБ России от 27.12.2011 № 795 "Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи"». Подробнее каждое из основных полей описано в разделе Структура файла шаблона. |
Для записи сертификата электронной подписи на устройство Рутокен:
Если вы часто создаете однотипные запросы на сертификат (например, для сотрудников одной и той же организации), можно сделать шаблон, в котором уже будут заполнены некоторые поля.
Чтобы создать новый шаблон:
Заполните поля, которые будут использоваться для всех запросов на сертификат, созданных по этому шаблону.
Все основные поля заполняются согласно Приказу ФСБ РФ от 29.01.2021 № 31 «О внесении изменений в приказ ФСБ России от 27.12.2011 № 795 "Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи"». Помимо основных полей запроса, которые находятся в блоке [CertificateRequest], можно изменить дополнительные параметры: область использования сертификата, параметры алгоритма генерации ключевой пары, расширенную информацию о сертификате и прочее. Подробнее дополнительные параметры описаны в разделе Структура файла шаблона. |
В поле value
задайте имя шаблона, которое будет отображаться в Генераторе запроса.
В результате в папке с Генератором запроса появится новый шаблон. После перезапуска Генератора запроса новый шаблон отобразится в списке доступных шаблонов.
Для использования нового шаблона запроса на сертификат электронной подписи:
Чтобы изменить параметры существующего шаблона:
Внесите изменения в поля.
Все основные поля заполняются согласно Приказу ФСБ РФ от 29.01.2021 № 31 «О внесении изменений в приказ ФСБ России от 27.12.2011 № 795 "Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи"». Помимо основных полей запроса, которые находятся в блоке [CertificateRequest], можно изменить дополнительные параметры: область использования сертификата, параметры алгоритма генерации ключевой пары, расширенную информацию о сертификате и прочее. Подробнее дополнительные параметры описаны в разделе Структура файла шаблона. |
В окне текстового редактора выберите пункт Файл и подпункт Сохранить.
В результате изменения будут сохранены. Они применятся при следующем выборе шаблона в списке шаблонов.
|
Файл шаблона запроса на сертификат состоит из блоков, у каждого из которых есть свое назначение.
Блок [DisplayName] используется для указания названия шаблона, которое отобразится в раскрывающемся списке в окне Генератор запроса на сертификат.
Блок [CertificateRequest] используется для указания информации о владельце сертификата.
В таблице ниже приведены описания полей и требования к указываемым в них данным.
Название поля (параметр запроса) | Требования к данным |
---|---|
Общее имя (commonName) |
|
Организация (organizationName) |
|
Фамилия (surname) |
|
Имя и отчество (givenName) |
|
Эл. почта (email) |
|
СНИЛC (snils) |
|
ИНН (inn) |
|
ИНН ЮЛ (innLe) |
|
ОГРН (ogrn) |
|
ОГРНИП(ogrnip) |
|
Неструктурир. имя(un) |
|
Подразделение (organizationUnitName) |
|
Должность (title) |
|
Страна (countryName) |
|
Регион (stateOrProvinceName) |
|
Населенный пункт (localityName) |
|
Улица, дом (streetAddress) |
|
Блок [SubjectSignTools] используется для управления СКЗИ, которые отображаются в выпадающем списке Средство подписи.
Блок [GostToUse] используется для выбора алгоритма генерации ключевой пары.
Доступны следующие значения:
gost2012-256
— для ГОСТ 2012-256;gost2012-512
— для ГОСТ 2012-512.Блок [Gost3410-2012-256-Paramset] используется для выбора набора параметров для алгоритма ГОСТ 2012-256. Значение из этого блока не применяется, если в блоке [GostToUse] выбран алгоритм gost2012-512
.
Блок [Gost3410-2012-512-Paramset] используется для выбора набора параметров для алгоритма ГОСТ 2012-512. Значение из этого блока не применяется, если в блоке [GostToUse] выбран алгоритм gost2012-256
.
Блок [KeyUsage] используется для указания области использования сертификата.
В таблице ниже приведены доступные значения.
Название | Описание |
---|---|
digitalSignature | Электронная цифровая подпись |
nonRepudiation | Неотрекаемость от авторства |
keyEncipherment | Шифрование ключей |
dataEncipherment | Шифрование данных |
keyAgreement | Согласование ключей |
keyCertSign | Электронная цифровая подпись сертификатов ключей подписи |
crlSign | Электронная цифровая подпись списков отозванных сертификатов |
encipherOnly | Зашифровывание |
decipherOnly | Расшифровывание |
Блок [ExtendedKeyUsage] используется для указания параметров расширенного использования сертификата. Здесь указываются идентификаторы необходимых операций, классов пользователей и устройств.
В таблице ниже приведены значения, указанные по умолчанию. В данном блоке вы также можете задать свои значения.
Значение | Описание |
---|---|
1.3.6.1.5.5.7.3.2 | Проверка подлинности клиента |
1.3.6.1.5.5.7.3.4 | Защищенная электронная почта |
1.2.643.2.2.34.6 | Пользователь Центра Регистрации, HTTP, TLS клиент |
1.2.643.2.2.34.26 | Пользователь службы актуальных статусов |
1.2.643.2.2.34.25 | Пользователь службы штампов времени |
Блок [SMIMECapabilities] используется для указания алгоритма подписи и шифрования электронных писем. По умолчанию используется значение @ByteArray(\x30\x0c\x30\x0A\x06\x08\x2A\x85\x03\x07\x01\x01\x05\x01)
(алгоритм шифрования ГОСТ Р 34.12-2015 Магма, oid 1.2.643.7.1.1.5.1).
В таблице ниже приведены все доступные значения.
Значение | Описание |
---|---|
@ByteArray(\x30\x0c\x30\x0A\x06\x08\x2A\x85\x03\x07\x01\x01\x05\x01) | Алгоритм шифрования ГОСТ Р 34.12-2015 Магма (oid 1.2.643.7.1.1.5.1) |
@ByteArray(\x30\x0c\x30\x0A\x06\x08\x2A\x85\x03\x07\x01\x01\x05\x02) | Алгоритм шифрования ГОСТ Р 34.12-2015 Кузнечик (oid 1.2.643.7.1.1.5.2) |
@ByteArray(\x30\x0a\x30\x08\x06\x06\x2A\x85\x03\x02\x02\x15) | Алгоритм шифрования ГОСТ 28147-89 (oid 1.2.643.2.2.21) |
Блок [CustomExtension] используется для указания расширений сертификата не предусмотренных в других блоках.
Расширения сертификата — это информационные поля, которые содержат дополнительные сведения о сертификате.
Расширения сертификата задаются следующими параметрами:
oid — идентификатор расширения;
criticality — критичность наличия данного расширения.
Если для параметра Отсутствие некритических расширений (у которых для параметра |
Способ идентификации заявителя (IdentificationKind, OID=1.2.643.100.114) задается в этом блоке. По умолчанию используется значение (\x02\x01\x00)
(личное присутствие).
В таблице ниже приведены все доступные значения.
Значение IdentificationKind oid=1.2.643.100.114 | Описание |
---|---|
@ByteArray(\x02\x01\x00) | Личное присутствие (0) |
@ByteArray(\x02\x01\x01) | По действующей КЭП (1) |
@ByteArray(\x02\x01\x02) | Загранпаспорт с электронным носителе (2) |
@ByteArray(\x02\x01\x03) | ЕСИА / ЕБС (3) |
Блок [Criticality] используется для указания критичности наличия параметров сертификата, указанных в блоках [KeyUsage], [ExtendedKeyUsage] и [SubjectSignTool]. Если для блока выставлено значение critical
, но соответствующий параметр в запросе отсутствует, сертификат будет отвергнут. Отсутствие некритических расширений (у которых для параметра criticality
задано значение non critical
) может быть проигнорировано.