Как удаленно установить сертификат электронной подписи для сотрудников пограничной службы ФСБ РФ?

Изначально усиленные неквалифицированные электронные подписи для согласования заявок на пропуск в пункты пропуска через государственную границу РФ выдаются сотрудникам пограничной службы ФСБ РФ оператором сервиса на токенах в виде неэкспортируемых сертификатов. Для того, чтобы при продлении электронной подписи на следующий год не проводить повторно достаточно длительную процедуру специальной проверки и специального исследования новых токенов в лицензированных лабораториях, можно выпустить подпись и установить ее на токен удаленно.

 

Данную процедуру нужно проводить на используемых пограничной службой компьютерах (как правило, защищенного исполнения «Обруч-Интернет»), с установленным на них крипто-провайдером «КриптоПро».

 

Перед началом работы рекомендуется установить последние версии корневых сертификатов удостоверяющего центра ООО «ДелоТех» (ранее ООО «РОЛИС»). Сделать это можно двумя способами:

 

 

Для выпуска нового сертификата электронной подписи ответственному лицу пограничной службы нужно обратиться к оператору сервиса и получить у него временный логин (маркер) и пароль для входа на портал удостоверяющего центра.

 

Маловероятно, но возможно нужно будет сообщить оператору сервиса внешний IPv4-адрес компьютера, на котором будет производиться генерация нового сертификата.

 

Получив логин и пароль нужно запустить браузер Internet Explorer и в нем перейти по ссылке. Если на компьютере не установлен Internet Explorer, можно выполнить указанные действия в браузере Microsoft Edge, но перезагрузив страницу в режиме Internet Explorer

 

На экране может появиться предупреждение о том, что данный сайт не соответствует параметрам безопасности:
 

В этом случае нужно нажать на кнопку «Изменить параметры» и в появившемся окне «Свойства браузера» установить флажок TLS 1.0 и нажать на кнопку «ОК».

 

 

После этого на экране появится окно входа в личный кабинет удостоверяющего центра. В нем нужно ввести логин и временный пароль, полученный от оператора сервиса и нажать на кнопку «Выполнить вход».

 

Внимание: Выданный пароль является одноразовым. Если завершить сеанс работы в браузере, войти повторно с тем же паролем уже не получится – нужно будет запрашивать новый пароль у оператора сервиса.

 

Для создания сертификата нужно в USB-порт компьютера вставить токен (ключевой носитель), на который будет записан новый сертификат электронной подписи. Важно, чтобы генерация сертификата происходила со вставленным токеном, и чтобы запись сертификата происходила на этот же токен. Поэтому при создании нескольких сертификатов электронных подписей, которые будут записываться на разные токены, нужно выполнять полную последовательность действий, описанных ниже, по очереди для каждой пары сертификата и токена.     

 

После входа в личный кабинет нужно перейти в меню «Сертификаты» и нажать на кнопку «Создать». Если после этого на экране появится предложение о необходимости установки двух плагинов (надстроек) CRYPTO-PRO (About Class и WebClassFactory Class), их нужно будет установить.

 

 

Затем на экране откроется окно запроса на сертификат. В поле «Шаблон сертификата» нужно установить значение «Пользователь (НЕэкспортируемый сертификат)». Все остальные параметры оставить по умолчанию. После чего нажать на кнопку «Создать». 

 

 

На экране появится запрос на подтверждение доступа в интернет. Нужно нажать на кнопку «Да».

 

 

После чего на экране появится окно с выбором ключевого носителя. В списке ключевых носителей нужно выбрать нужный токен и нажать на кнопку «ОК».

 

 

На экране появится генератор случайных чисел. Над появившимся окошком генератора случайных чисел нужно хаотично водить курсором мыши или нажимать на клавиши клавиатуры до тех пор, пока это окно не закроется.

 

 

После закрытия окна генератора случайных чисел появится окно для создания пароля и ПИН-кода. Пароль можно не вводить, ПИН-код имеет смысл ввести стандартный: 12345678

 

 

На экране появится сформировавшийся запрос на сертификат.

 

 

О появлении запроса нужно сообщить в удостоверяющий центр ООО «ДелоТех» (ранее ООО «РОЛИС») по телефону +7 (812) 335-77-22 (Афанасьев Сергей) или по электронной почте office@rlisystems.ru. После подтверждения запроса со стороны удостоверяющего центра надо обновить страницу и нажать на ссылку «Установить» в строке с нужным сертификатом.

 

 

В появившемся окне последовательно нажать на кнопки «Установить сертификат» и «Подтвердить установку».

 

 

Если все сделано правильно, появится окно об успешной установки сертификата.

 

 

Сведения о сертификат нужно сохранить в файл pdf, нажав на кнопку «Печать», и переслать его оператору сервиса (ООО «Конверста»).

 

 

 

Новый сертификат нужно не забыть установить в личное хранилище сертификатов на компьютере, где будет использоваться электронная подпись.

 

Возможные проблемы и способы решения:

 

  • Если при установке сертификата возникла ошибка «CertEnroll::CX509Enrollment::InstallResponse: Не удается проверить подпись сертификата. 0x80096004 (-2146869244 TRUST_E_CERT_SIGNATURE) |-2146869244|», значит на компьютер не был установлен корневой сертификат удостоверяющего центра. Для решения проблемы его нужно установить.
  • Если в окне запроса на сертификат в полях «Криптопровайдер» и «Алгоритм хеширования» отображается надпись «Загрузка...» и больше ничего не происходит, нужно убедиться, что используется именно браузер Internet Explorer или браузер Microsoft Edge, но в режиме Internet Explorer. Для открытия текущей страницы в Internet Explorer из Microsoft Edge нужно нажать на кнопку меню браузера в правом верхнем углу («...») и выбрать пункт «Открыть в Internet Explorer» или «Перезагрузить в режиме Internet Explorer».