Как удаленно установить сертификат электронной подписи для сотрудников органов ФСБ РФ?

Усиленные неквалифицированные электронные подписи для согласования заявок на пропуск на территорию объектов транспортной инфраструктуры и в пункты пропуска через государственную границу РФ выдаются сотрудникам органов ФСБ РФ (в том числе сотрудникам пограничной службы ФСБ РФ) оператором сервиса на токенах в виде неэкспортируемых сертификатов. Для того, чтобы при продлении электронной подписи на следующий год не проводить повторно достаточно длительную процедуру специальной проверки и специального исследования новых токенов в лицензированных лабораториях, можно выпустить подпись и установить ее на токен удаленно.

 

Данную процедуру нужно проводить на используемом органом ФСБ РФ компьютере (как правило, защищенного исполнения «Обруч Интернет»), с установленным на нем крипто-провайдером «КриптоПро».

 

Установка корневых сертификатов удостоверяющего центра

Перед началом работы рекомендуется установить последние версии корневых сертификатов удостоверяющего центра ООО «ДелоТех» (ранее ООО «РОЛИС»). Сделать это можно двумя способами:

 

• скачать и запустить специальный установщик сертификатов,
• скачать корневой сертификат удостоверяющего центра и установить его по инструкции.

 

Выпуск сертификата

Для выпуска нового сертификата электронной подписи ответственному лицу органа ФСБ РФ нужно обратиться к оператору сервиса и получить у него временный логин (маркер) и пароль для входа на портал удостоверяющего центра.

 

Маловероятно, но возможно нужно будет сообщить оператору сервиса внешний IPv4-адрес компьютера, на котором будет производиться генерация нового сертификата.

 

Получив логин и пароль нужно запустить браузер Internet Explorer и в нем перейти по ссылке. Если на компьютере не установлен Internet Explorer, можно выполнить указанные действия в браузере Microsoft Edge, но перезагрузив страницу в режиме Internet Explorer. 

 

На экране может появиться предупреждение о том, что данный сайт не соответствует параметрам безопасности:
 

В этом случае нужно нажать на кнопку «Изменить параметры» и в появившемся окне «Свойства браузера» установить флажок TLS 1.0 и нажать на кнопку «ОК».

 

 

После этого на экране появится окно входа в личный кабинет удостоверяющего центра. В нем нужно ввести логин и временный пароль, полученный от оператора сервиса и нажать на кнопку «Выполнить вход».

 

Внимание: Выданный пароль является одноразовым. Если завершить сеанс работы в браузере, войти повторно с тем же паролем уже не получится – нужно будет запрашивать новый пароль у оператора сервиса.

 

Далее для создания сертификата нужно в USB-порт компьютера вставить токен (ключевой носитель), на который будет записан новый сертификат электронной подписи. Важно, чтобы генерация сертификата происходила со вставленным токеном, и чтобы запись сертификата происходила на этот же токен. Поэтому при создании нескольких сертификатов электронных подписей, которые будут записываться на разные токены, нужно выполнять полную последовательность действий, описанных ниже, по очереди для каждой пары сертификата и токена.     

 

После входа в личный кабинет нужно перейти в меню «Сертификаты» и нажать на кнопку «Создать». Если после этого на экране появится предложение о необходимости установки двух плагинов (надстроек) CRYPTO-PRO (About Class и WebClassFactory Class), их нужно будет установить.

 

 

Затем на экране откроется окно запроса на сертификат. В поле «Шаблон сертификата» нужно установить значение «Пользователь (НЕэкспортируемый сертификат)». Все остальные параметры оставить по умолчанию. После чего нажать на кнопку «Создать». 

 

 

На экране появится запрос на подтверждение операции с цифровым сертификатом. Нужно нажать на кнопку «Да».

 

 

После чего на экране появится окно с выбором ключевого носителя. В списке ключевых носителей нужно выбрать нужный токен и нажать на кнопку «ОК».

 

 

Далее действия будут отличаться в зависимости от типа используемого токена:

• Rutoken Lite
• Rutoken S (именно он используется чаще всего)

 

Для токена Rutoken Lite

На экране появится генератор случайных чисел. Над появившимся окошком генератора случайных чисел нужно хаотично водить курсором мыши или нажимать на клавиши клавиатуры до тех пор, пока это окно не закроется.

 

После закрытия окна генератора случайных чисел появится окно для создания пароля и ПИН-кода. Пароль можно не вводить, ПИН-код имеет смысл ввести стандартный: 12345678

 

 

Для токена Rutoken S

На экране появится окно для создания пароля ФКН. Рекомендуется ввести стандартный пароль ФКН: 12345678

Затем на экране появится окно для создания ФКН PUK. Рекомендуется ввести стандартный пароль PUK: 87654321

 

Установка сертификата на токен

После выполнения описанных выше действий на экране появится сформировавшийся запрос на сертификат.

 

 

О появлении запроса нужно сообщить в удостоверяющий центр ООО «ДелоТех» (ранее ООО «РОЛИС») по телефону +7 (812) 335-77-22 (Афанасьев Сергей) или по электронной почте office@rlisystems.ru. После подтверждения запроса со стороны удостоверяющего центра надо обновить страницу и нажать на ссылку «Установить» в строке с нужным сертификатом.

 

 

В появившемся окне последовательно нажать на кнопки «Установить сертификат» и «Подтвердить установку». Если в процессе установки появится окно ввода пароля, введите пароль, который вы указали при выпуске сертификата.

 

 

Если все сделано правильно, появится окно об успешной установки сертификата.

 

 

Сведения о сертификат нужно сохранить в файл pdf, нажав на кнопку «Печать», и переслать его оператору сервиса (ООО «Конверста»).

 

 

 

Новый сертификат нужно не забыть установить в личное хранилище сертификатов на компьютере, где будет использоваться электронная подпись.

 

Возможные проблемы и способы решения:

 

• Если при установке сертификата возникла ошибка «CertEnroll::CX509Enrollment::InstallResponse: Не удается проверить подпись сертификата. 0x80096004 (-2146869244 TRUST_E_CERT_SIGNATURE) |-2146869244|», значит на компьютер не был установлен корневой сертификат удостоверяющего центра. Для решения проблемы его нужно установить.
• Если в окне запроса на сертификат в полях «Криптопровайдер» и «Алгоритм хеширования» отображается надпись «Загрузка...» и больше ничего не происходит, нужно убедиться, что используется именно браузер Internet Explorer или браузер Microsoft Edge, но в режиме Internet Explorer. Для открытия текущей страницы в Internet Explorer из Microsoft Edge нужно нажать на кнопку меню браузера в правом верхнем углу («...») и выбрать пункт «Открыть в Internet Explorer» или «Перезагрузить в режиме Internet Explorer».