Общая информация

Утилита «Генератор запроса на сертификат» (далее — Генератор запроса) предназначена для создания запроса на сертификат электронной подписи и записи готового сертификата на устройство Рутокен.

Запрос на сертификат используется для указания всей необходимой информации для сертификата электронной подписи.

Процесс создания сертификата электронной подписи состоит из следующих этапов:

1 этап. Создание запроса на сертификат электронной подписи и сохранение его на компьютере.

2 этап. Подписание запроса на сертификат электронной подписи в удостоверяющем центре.

3 этап. Создание сертификата электронной подписи и сохранение его на компьютере.

4 этап. Запись сертификата на устройство Рутокен.

Генератор запроса используется для 1 и 4 этапа.

Поддерживаемые устройства

Генератора запроса работает с устройствами из линейки Рутокен ЭЦП 3.0.

Подготовка к работе

Перед началом работы необходимо установить драйверы для подключенного устройства Рутокен и скачать архив с утилитой.

Чтобы установить драйверы:

Перейдите в Центр загрузки.
Нажмите Драйверы Рутокен для Windows, EXE.
Примите условия лицензионного соглашения и дождитесь автоматического скачивания файла.
Откройте загруженный файл и следуйте инструкциям установщика.

В результате драйверы Рутокен будут установлены.

Чтобы скачать Генератор запроса:

В Центре загрузки нажмите Утилиты, чтобы раскрыть список доступных утилит.
В раскрывшемся списке нажмите Генератор запросов сертификатов для Рутокен ЭЦП 3.0.
Примите условия лицензионного соглашения и дождитесь автоматического скачивания файла.
Распакуйте архив в удобную папку.

В результате на компьютере появится папка с Генератором запроса (cert-gen-util.exe).

Работа с Генератором запроса

Запуск Генератора запроса

Чтобы запустить Генератор запроса:

Откройте папку, в которую был распакован архив из раздела Подготовка к работе.
Запустите файл cert-gen-util.exe. В результате откроется окно Генератор запроса на сертификат.

Теперь можно перейти к созданию запроса на сертификат или записи готового сертификата на устройство Рутокен.

Создание запроса на сертификат электронной подписи

Перед запуском утилиты отключите от компьютера все лишние устройства Рутокен. Оставьте только устройство, на которое необходимо будет сгенерировать ключи электронной подписи для создания запроса на сертификат.

Для создания запроса на сертификат электронной подписи:

В раскрывающемся списке Шаблон выберите название необходимого шаблона. Предустановленные шаблоны отличаются алгоритмом, который будет использоваться для генерации ключевой пары.
Введите необходимые значения полей запроса.
Все основные поля заполняются согласно Приказу ФСБ РФ от 29.01.2021 № 31 «О внесении изменений в приказ ФСБ России от 27.12.2011 № 795 "Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи"».
Подробнее каждое из основных полей описано в разделе Структура файла шаблона.
Если создается запрос на сертификат квалифицированной электронной подписи, задайте срок действия закрытого ключа. Для этого включите соответствующий переключатель и выберите дату начала и конца действия ключа.
Нажмите Создать запрос.
Выберите на компьютере папку для сохранения файла запроса и нажмите Сохранить.
Введите PIN-код Пользователя устройства Рутокен и нажмите кнопку .

В результате на компьютере сохранится файл запроса, а на устройстве Рутокен сгенерируется ключевая пара.
Чтобы убедиться, что запрос создан успешно, нажмите Показать в папке.

В результате откроется папка, в которую был сохранен файл запроса на сертификат.
Для дальнейшей работы необходимо подписать запрос на сертификат в вашем Удостоверяющем центре и получить файл сертификата электронной подписи.

Запись сертификата электронной подписи на устройство Рутокен

Для записи сертификата электронной подписи на устройство Рутокен:

Нажмите Записать сертификат.
Выберите на компьютере файл с сертификатом и нажмите Открыть.
Введите PIN-код Пользователя устройства Рутокен и нажмите кнопку .
В результате сертификат запишется на устройство Рутокен.
Чтобы убедиться, что сертификат был записан успешно, нажмите Просмотреть в Панели управления Рутокен. Откроется Панель управления Рутокен.
Перейдите на вкладку Сертификаты и нажмите на кнопку .
В результате отобразятся сертификаты, записанные на устройство Рутокен.

Управление шаблонами

Создание нового шаблона

Если вы часто создаете однотипные запросы на сертификат (например, для сотрудников одной и той же организации), можно сделать шаблон, в котором уже будут заполнены некоторые поля.

Чтобы создать новый шаблон:

Запустите Генератор запроса.
В раскрывающемся списке Шаблон выберите шаблон, на основе которого будет создан новый.
Нажмите Просмотреть в Блокноте. Откроется окно выбранного шаблона.
Заполните поля, которые будут использоваться для всех запросов на сертификат, созданных по этому шаблону.
Все основные поля заполняются согласно Приказу ФСБ РФ от 29.01.2021 № 31 «О внесении изменений в приказ ФСБ России от 27.12.2011 № 795 "Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи"».
Помимо основных полей запроса, которые находятся в блоке [CertificateRequest], можно изменить дополнительные параметры: область использования сертификата, параметры алгоритма генерации ключевой пары, расширенную информацию о сертификате и прочее. Подробнее дополнительные параметры описаны в разделе Структура файла шаблона.
В поле value задайте имя шаблона, которое будет отображаться в Генераторе запроса.
В окне текстового редактора выберите пункт Файл и подпункт Сохранить как.
Сохраните файл в ту же папку, где находится Генератор запроса.

В результате в папке с Генератором запроса появится новый шаблон. После перезапуска Генератора запроса новый шаблон отобразится в списке доступных шаблонов.

Использование нового шаблона

Для использования нового шаблона запроса на сертификат электронной подписи:

Запустите Генератор запроса.
В раскрывающемся списке Шаблон выберите название созданного шаблона.
Следуйте инструкции по созданию запроса на сертификат электронной подписи.

Изменение параметров существующего шаблона

Чтобы изменить параметры существующего шаблона:

Запустите Генератор запроса.
В раскрывающемся списке Шаблон выберите шаблон, который нужно изменить.
Нажмите Просмотреть в Блокноте. Откроется окно выбранного шаблона.
Внесите изменения в поля.
Все основные поля заполняются согласно Приказу ФСБ РФ от 29.01.2021 № 31 «О внесении изменений в приказ ФСБ России от 27.12.2011 № 795 "Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи"».
Помимо основных полей запроса, которые находятся в блоке [CertificateRequest], можно изменить дополнительные параметры: область использования сертификата, параметры алгоритма генерации ключевой пары, расширенную информацию о сертификате и прочее. Подробнее дополнительные параметры описаны в разделе Структура файла шаблона.
В окне текстового редактора выберите пункт Файл и подпункт Сохранить.

В результате изменения будут сохранены. Они применятся при следующем выборе шаблона в списке шаблонов.

Примеры работы с шаблонами запросов

Если вы часто создаете однотипные запросы на сертификат для сотрудников одной и той же организации, можно сделать шаблон, в котором уже будут заполнены поля для этой организации в блоке [CertificateRequest].

Для этого:

Запустите Генератор запроса.
В раскрывающемся списке Шаблон выберите шаблон, на основе которого будет создан новый.
Нажмите Просмотреть в Блокноте. Откроется окно выбранного шаблона.
В блоке [CertificateRequest] измените следующие параметры запроса на сертификат:
- value — имя шаблона, которое будет отображаться в Генераторе запроса. В примере: ООО Прогресс ГОСТ 2012-512;
- organizationName — название организации. В примере: ООО Прогрес:
- innLe — ИНН юридического лица. В примере: 5036118397;
- ogrn — ОГРН. В примере: 1115074015077.
В окне шаблона выберите пункт Файл и подпункт Сохранить как.
Задайте для файла новое имя и сохраните его в ту же папку, где находится Генератор запроса.
При сохранении укажите имя, по которому файл шаблона будет легко отличить от предустановленных. Например, такое же, какое указали для параметра value.
Закройте Генератор запроса и запустите его снова.
В раскрывающемся списке выберите новый шаблон.

В результате заданные параметры отобразятся в окне Генератор запроса на сертификат.

Расширения сертификата — это информационные поля, которые содержат дополнительные сведения о сертификате, например, название шаблона, тип идентификации при выдаче сертификата и прочее. Добавить расширения можно в блоке [CustomExtensions].

При внесении изменений в блок [CustomExtensions] обязательно сохраните последовательную нумерацию перед каждым параметром расширения.

Если в процессе изменения шаблона изменилось общее количество расширений в блоке, также измените параметр size в конце блока.

В данном примере рассмотрено добавление расширения «Шаблон сертификата». Чтобы его добавить:

Запустите Генератор запроса.
В раскрывающемся списке Шаблон выберите шаблон, на основе которого будет создан новый.
Нажмите Просмотреть в Блокноте. Откроется окно выбранного шаблона.
В блоке [CustomExtension] заполните параметры расширения:
n в начале строки параметра — порядковый номер расширения в списке. Для всех параметров расширения этот номер будет одинаковым.
Например, если расширение третье в списке, то все параметры будут начинаться с цифры 3: 3\oid , 3\value, 3\criticality.
- n\oid — объектный идентификатор расширения. В примере: 1.3.6.1.4.1.311.21.7;
- n\value — данные расширения в DER-кодировке. В примере: @ByteArray(\x30\x0D\x06\x08\x2A\x85\x03\x02\x02\x2E\x00\x08\x02\x01\x01);
- n\criticality — критичность расширения. В примере: non critical.
  Если для параметра criticality расширения задано значение critical, при отсутствии в сертификате этого расширения сертификат будет отвергнут.
  Отсутствие некритических расширений (у которых для параметра criticality задано значение non critical) может быть проигнорировано.
Измените значение параметра size в конце блока, если изменилось общее количество расширений в блоке.
Сохраните изменения.

В результате для сертификата будет задано следующее расширение:

SEQUENCE {
 OBJECTIDENTIFIER 1.2.643.2.2.46.0.8
 INTEGER 1
 }

Структура файла шаблона

Файл шаблона запроса на сертификат состоит из блоков, у каждого из которых есть свое назначение.

Блок [DisplayName]

Блок [DisplayName] используется для указания названия шаблона, которое отобразится в раскрывающемся списке в окне Генератор запроса на сертификат.

Блок [CertificateRequest]

Блок [CertificateRequest] используется для указания информации о владельце сертификата.

В таблице ниже приведены описания полей и требования к указываемым в них данным.

Название поля (параметр запроса)	Требования к данным
Общее имя (commonName)	для физического лица — имя, фамилия и отчество владельца сертификата; для юридического лица — наименование организации владельца сертификата
Организация (organizationName)	наименование организации владельца сертификата
Фамилия (surname)	фамилия владельца сертификата с большой буквы в одно слово (без пробелов)
Имя и отчество (givenName)	имя и отчество владельца сертификата
Эл. почта (email)	адрес электронной почты владельца сертификата (используются только латинские буквы и цифры)
СНИЛC (snils)	строка, состоящая из 11 цифр; для физического лица — СНИЛС владельца сертификата; для юридического лица — СНИЛС организации владельца сертификата
ИНН (inn)	строка, состоящая из 12 цифр; ИНН физического лица
ИНН ЮЛ (innLe)	строка, состоящая из 10 цифр; ИНН юридического лица
ОГРН (ogrn)	строка, состоящая из 13 цифр; ОГРН организации владельца сертификата
ОГРНИП (ogrnip)	строка, состоящая из 15 цифр; ОГРНИП владельца сертификата
Неструктурир. имя (un)	КПП организации владельца сертификата (для ЕГАИС)
Подразделение (organizationUnitName)	подразделение или отдел, в котором работает владелец сертификата
Должность (title)	должность владельца сертификата
Страна (countryName)	для физического лица — краткое наименование страны, в которой проживает владелец сертификата; для юридического лица — краткое наименование страны, в которой находится организация владельца сертификата
Регион (stateOrProvinceName)	для физического лица — название региона, в котором проживает владелец сертификата; для юридического лица — название региона, в котором находится организация владельца сертификата
Населенный пункт (localityName)	для физического лица — название населенного пункта, в котором проживает владелец сертификата; для юридического лица — название населенного пункта, в котором находится организация владельца сертификата
Улица, дом (streetAddress)	для физического лица — адрес, по которому проживает владелец сертификата для юридического лица — юридический адрес организации владельца сертификата

Блок [SubjectSignTools]

Блок [SubjectSignTools] используется для управления СКЗИ, которые отображаются в выпадающем списке Средство подписи.

Блок [GostToUse]

Блок [GostToUse] используется для выбора алгоритма генерации ключевой пары.

Доступны следующие значения:

gost2012-256 — для ГОСТ 2012-256;
gost2012-512 — для ГОСТ 2012-512.

Блок [Gost3410-2012-256-Paramset]

Блок [Gost3410-2012-256-Paramset] используется для выбора набора параметров для алгоритма ГОСТ 2012-256. Значение из этого блока не применяется, если в блоке [GostToUse] выбран алгоритм gost2012-512.

Блок [Gost3410-2012-512-Paramset]

Блок [Gost3410-2012-512-Paramset] используется для выбора набора параметров для алгоритма ГОСТ 2012-512. Значение из этого блока не применяется, если в блоке [GostToUse] выбран алгоритм gost2012-256.

Блок [KeyUsage]

Блок [KeyUsage] используется для указания области использования сертификата.

В таблице ниже приведены доступные значения.

Название	Описание
digitalSignature	Электронная цифровая подпись
nonRepudiation	Неотрекаемость от авторства
keyEncipherment	Шифрование ключей
dataEncipherment	Шифрование данных
keyAgreement	Согласование ключей
keyCertSign	Электронная цифровая подпись сертификатов ключей подписи
crlSign	Электронная цифровая подпись списков отозванных сертификатов
encipherOnly	Зашифровывание
decipherOnly	Расшифровывание

Блок [ExtendedKeyUsage]

Блок [ExtendedKeyUsage] используется для указания параметров расширенного использования сертификата. Здесь указываются идентификаторы необходимых операций, классов пользователей и устройств.

В таблице ниже приведены значения, указанные по умолчанию. В данном блоке вы также можете задать свои значения.

Значение	Описание
1.3.6.1.5.5.7.3.2	Проверка подлинности клиента
1.3.6.1.5.5.7.3.4	Защищенная электронная почта
1.2.643.2.2.34.6	Пользователь Центра Регистрации, HTTP, TLS клиент
1.2.643.2.2.34.26	Пользователь службы актуальных статусов
1.2.643.2.2.34.25	Пользователь службы штампов времени

Блок [SMIMECapabilities]

Блок [SMIMECapabilities] используется для указания алгоритма подписи и шифрования электронных писем. По умолчанию используется значение @ByteArray(\x30\x0c\x30\x0A\x06\x08\x2A\x85\x03\x07\x01\x01\x05\x01) (алгоритм шифрования ГОСТ Р 34.12-2015 Магма, oid 1.2.643.7.1.1.5.1).

В таблице ниже приведены все доступные значения.

Значение	Описание
`@ByteArray(\x30\x0c\x30\x0A\x06\x08\x2A\x85\x03\x07\x01\x01\x05\x01)`	Алгоритм шифрования ГОСТ Р 34.12-2015 Магма (oid 1.2.643.7.1.1.5.1)
`@ByteArray(\x30\x0c\x30\x0A\x06\x08\x2A\x85\x03\x07\x01\x01\x05\x02)`	Алгоритм шифрования ГОСТ Р 34.12-2015 Кузнечик (oid 1.2.643.7.1.1.5.2)
`@ByteArray(\x30\x0a\x30\x08\x06\x06\x2A\x85\x03\x02\x02\x15)`	Алгоритм шифрования ГОСТ 28147-89 (oid 1.2.643.2.2.21)

Блок [CustomExtension]

Блок [CustomExtension] используется для указания расширений сертификата не предусмотренных в других блоках.

Расширения сертификата — это информационные поля, которые содержат дополнительные сведения о сертификате.

Расширения сертификата задаются следующими параметрами:

oid — идентификатор расширения;
value — данные этого расширения в DER-кодировке;
criticality — критичность наличия данного расширения.
Если для параметра criticality расширения задано значение critical, при отсутствии в сертификате этого расширения сертификат будет отвергнут.
Отсутствие некритических расширений (у которых для параметра criticality задано значение non critical) может быть проигнорировано.

Способ идентификации заявителя (IdentificationKind, OID=1.2.643.100.114) задается в этом блоке. По умолчанию используется значение (\x02\x01\x00) (личное присутствие).