Главная Казначейство Сертификат Континента АП

Вход на сайт



Ссылки

Автоденьги


11.12.2015 17:34

Сертификат Континента АП.


В одной из своих статей я рассказывал как установить программу Континент АП на Windows 7. Дело в том, что эта программа использует в своей работе сертификаты, с помощью которых создается защищенное соединение и обмен данными с сервером доступа Континента АП. В этой статье я постараюсь рассказать как создать запрос на издание сертификата для Континента АП, а также как установить этот сертификат в программу.

Показывать буду как всегда с картинками, правда сделаны они были на компьютере, под управлением Windows XP. Итак приступим...

После установки Континента АП, у вас в трее должен появиться значёк "серый щит". Если кликнуть этот "щит" правой кнопкой мышки, то появится контекстное меню, как показано на картинке ниже:


01


Тут надо выбрать пункт меню "Сертификаты", а затем "Создать запрос на пользовательский сертификат". Откроется следующее окошко (рис.2):


02


Эту форму необходимо заполнить. Перед этим не забудьте вставить чистый ключевой носитель. Ведь после заполнения этой формы начнется генерация закрытых ключей, которая происходит на отторгаемый ключевой носитель. Это может быть, например, флешка. Если вы используете на своём компьютере программу Крипто ПРО 3.6 и выше, то там флешки включены по умолчанию. А если быть более точным, то "Все съёмные носители". Генерацию на ключевой носитель типа "Реестр" не рассматриваю, т.к. это запрещено в нашем УФК.



Итак, вернемся к заполнению формы (рис.2). Как можно видеть, она состоит как бы из двух блоков. Я их обвел желтым контуром. Если с верхним блоком все интуитивно понятно (надо заполнить все поля), то на нижнем остановлюсь подробнее. Сразу необходимо установить галку "бумажная форма". По умолчанию она не установлена. По кнопкам "Обзор" можно выбрать место для сохранения файлов. А их будет два. *.reg и *.html. Имена файлов можно отредактировать так, как вам будет удобно, не меняя, конечно же, расширения файлов.



По умолчанию программа предлагает сохранить под следующим именем: имя компьютера в сети (я обвёл синим контуром), дата и время создания запроса. Как видно из рисунка, запрос создавался 10.12.2015 в 9 часов 51 минуту 46 секунд на компьютере с именем "imyacompa". Последние 3 символа добавляются случайным образом. Они всегда состоят из трёх цифр и какой-то системы в их генерации я не заметил.

Итак, определившись с именем файлов, можно запустить генерацию запроса на сертификат, нажав кнопку "ОК". Как уже было сказано выше, мы получим 2 файла *.req и *.html, а также закрытые ключи на флешке или любом другом носителе.



Дальше необходимо действовать в соответствии с порядком предоставления запросов на сертификат, который действует в вашем УФК. У нас мы передаем эти два файла *.req и *.html в наше управление и взамен получаем сертификат. Еще раз повторюсь: в этом случае необходимо действовать с вашим порядком предоставления запросов.

Итак, запрос отправлен в УФК, мы получили сертификат. Кстати, между отправкой запроса и получением сертификата может пройти время, у всех по разному, но главное дождаться сертификата. Что же дальше? А дальше кликаем правой кнопкой мыши на "щите" Континента АП и делаем то, что показано на рисунке ниже:


03


А именно: идем опять на "Сертификаты", а потом "Установить сертификат пользователя". Стрелочки на рисунке 3 показывают, что надо делать. Перед этим вставьте ключевой носитель с закрытыми ключами, полученными в результате генерации, а также подготовьте полученный из УФК сертификат. Я его переписал на ключевой носитель, чтобы он всегда был под рукой. Вы можете поступить по своему: переписать его куда угодно, главное, чтобы при установке Вы смогли до него добраться. Кстати, вместе с пользовательским сертификатом, наше УФК выдает также и корневой сертификат Континента АП. Этот сертификат, при установке, должен быть расположен в том же каталоге, что и пользовательский. В общем, на рисунке ниже всё это показано:


04


Корневой сертификат Континента АП - это файл root. Этот сертификат нужен при установке Континента АП в первый раз. После установки пользовательского сертификата, программа устанавливает корневой, если он не установлен. В противном случае - ничего не делает. Но если в первый раз программа не найдет корневой, то будут проблемы. Поэтому лучше пусть будет всегда вместе с сертификатом пользователя в одном каталоге.

Здесь, рисунок 4, при установке надо выбирать, конечно же, сертификат пользователя. Он подчеркнут мною на картинке. А желтая папка - это закрытые ключи, полученные при генерации запроса. Там шесть файлов с расширением *.key. Кстати, ключи стандартные для программы Крипто Про 3.6. Ведь именно она генерирует эти ключи. Итак, выбрав сертификат пользователя, нажимаем кнопку "Открыть" и попадаем на следующую картинку:


05


Самая верхняя строчка - это как раз и есть ключевой контейнер с закрытыми ключами. А на этом этапе мы как раз и должны указать программе соответствующий нашему сертификату ключевой контейнер. А именно тот, который был сгенерирован при создании запроса на сертификат. Вообще, позволю себе небольшое отступление... Все ЭЦП, которые генерируются с помощью Крипто Про (вы ведь не думаете, что ключи генерирует Континент АП), состоят из двух частей:



  • закрытый ключ - это ключевой контейнер, получаемый при генерации;
  • открытый ключ - это сертификат, полученный из казначейства.

Эти части соединяются (опять же, с помощью Крипто Про) только в том случае, если они соответствуют друг другу. Не составляет труда сделать вывод: если одна из частей утеряна или повреждена, то перестаёт работать всё ЭЦП. И исправить эту ситуацию невозможно, кроме генерации новой ЭЦП. Есть способы сделать копию ЭЦП, но в этой статье я касаться этого не буду.



Итак, возвращаемся к "нашим баранам". На рисунке 5 надо обязательно кликнуть по верхней строчке с ключевым контейнером, а потом нажать "ОК". После того как всё это будет проделано, Вы получите следующее окно:


06


Ну тут только "ОК", других путей не дано... Поздравляю Вас, сертификат установлен. Настало время проверить его работоспособность. Для этого надо сделать так, как подсказывает нам следующая картинка:


07


ПКМ на "щите", идем "Установить/разорвать соединение" -> "Установить соединение Континент АП" и попадаем в следующее окно:


08


Нажмем туда, куда показывает красная стрелка (рис. 8). Если на предыдущих этапах Вы следовали этой инструкции, то у Вас выскочит как минимум один сертификат. Вы должны выбрать именно тот, который только что установили (см. рис 9):


09


Выбрав его, отметьте галочкой "всегда использовать данный сертификат при подключении". В этом случае Ваш Континент АП будет подключаться к серверу используя указанный сертификат. В противном случае (если галка не установлена), он будет предлагать выбрать сертификат при каждом подключении. Чтобы узнать правильно ли был выбран сертификат, можно воспользоваться кнопкой "Свойства". Она покажет всё о выбранном сертификате. В конце, как всегда кнопка "ОК". Начнется процесс подключения Континента АП к серверу доступа. Если все сделано правильно, то в результате вы увидите в трее, как "щит" сменил цвет с серого на синий:


10


Если у Вас получилось то же, что и у меня, то я рад поздравить Вас с удачной установкой сертификата для континента АП. После того, как Вы подключились к серверу доступа, можете загружать СУФД и начинать в ней работать.

P.S. Ну и ещё: Я думаю, что я достаточно подробно тут всё изложил. Но все равно могут возникнуть какие-нибудь вопросы. В этом случае пишите их в комментариях ниже. Кстати, для зарегистрированных пользователей моего сайта, комментарии появляются сразу, без модерации.

И напоследок... Если вам понравилась эта статья и вы почерпнули из нее что-то новое для себя, то вы всегда можете выразить свою благодарность в денежном выражении. Сумма может быть любой. Это вас ни к чему не обязывает, все добровольно. Если вы всё же решили поддержать мой сайт, то нажмите на кнопку "Поблагодарить", которую вы можете видеть ниже. Вы будете перенаправлены на страницу моего сайта, где можно будет перечислить любую денежную сумму мне на кошелек. В этом случае вас ждет подарок. После успешного перевода денег, вы сможете его скачать.



 

Комментарии   

 
0 #1 наталья 28.03.2016 10:27
установили все по инструкции, но при установки связи с ап-континентом пишет:"сервет отказал в доступе. неизвестный клиент". что делать?
Цитировать
 
 
0 #2 Administrator 28.03.2016 11:41
Цитирую наталья:
установили все по инструкции, но при установки связи с ап-континентом пишет:"сервет отказал в доступе. неизвестный клиент". что делать?

Проверьте, сколько у Вас сертификатов в хранилище с заполненным полем ROOR UFK. Должен быть один, тот который Вы делали последним. Все остальные надо удалить из хранилища.
Цитировать
 
 
0 #3 Administrator 28.03.2016 11:45
Хранилище можно посмотреть через IE: Сервис -> Свойства обозревателя ->Содержание -> Кнопка "Сертификаты"-> Вкладка "Личные". (Путь менюшек для IE 8 )
Цитировать
 
 
0 #4 Александр 21.10.2016 08:12
Вообще, позволю себе небольшое отступление... Все ЭЦП, которые генерируются с помощью Крипто Про (вы ведь не думаете, что ключи генерирует Континент АП), состоят из двух частей:


закрытый ключ - это ключевой контейнер, получаемый при генерации;
открытый ключ - это сертификат, полученный из казначейства.

Эти части соединяются (опять же, с помощью Крипто Про) только в том случае, если они соответствуют друг другу.

Вопрос: Получается что у пользователя должно быть установлено 3 сертификата: открытый, закрытый и корневой?
Цитировать
 
 
+2 #5 Administrator 21.10.2016 16:19
Цитирую Александр:
Вопрос: Получается что у пользователя должно быть установлено 3 сертификата: открытый, закрытый и корневой?

Вы поняли все не так! :-)
Попробую пояснить. ЭЦП состоит из двух частей: 1 - это закрытый ключ, который представляет из себя контейнер (папка) с файлами с расширением *.key (6 штук), получаемый при генерации запроса на сертификат.
2 - это открытый ключ, а именно сам сертификат, получаемый в удостоверяющем центре Федерального казначейства на основании запроса, генерируемого вместе с закрытым ключом, и который соответствует этому закрытому ключу. Открытый он потому, что любой человек всегда может посмотреть информацию о владельце сертификата. Посмотреть, но не подписать этим сертификатом что-нибудь. Для подписания нужен еще и закрытый ключ. Эти две части соединяются вместе с помощью программы Крипто Про и получается полноценная ЭЦП.
Корневой сертификат нужен для того, чтобы Ваш компьютер "понимал", что личный сертификат был сделан с помощью корневого в удостоверяющем центре...
Как то так...
Цитировать
 
 
0 #6 Наталья 02.11.2016 15:38
Подскажите, а есть ли какие-то сроки изготовления ключа? я отправила запрос в казначейство со всеми прилагающимися, а в течении скольких дней они ОБЯЗАНЫ сделать ключ. где-то это прописано?
Цитировать
 
 
0 #7 Administrator 02.11.2016 17:53
Цитирую Наталья:
Подскажите, а есть ли какие-то сроки изготовления ключа? я отправила запрос в казначейство со всеми прилагающимися, а в течении скольких дней они ОБЯЗАНЫ сделать ключ. где-то это прописано?

По моему 5 рабочих дней со дня приема документов в казначействе и до изготовления сертификата. В нашем управлении делают достаточно быстро - день, два максимум. Где прописано? Точно не скажу, вроде в регламенте удостоверяющего центра :-)
Цитировать
 
 
0 #8 Akesson 16.06.2017 09:21
А что делать если корневой сертифика root не подходит? Континент его не принимает.
Цитировать
 
 
0 #9 Administrator 17.06.2017 09:58
Цитирую Akesson:
А что делать если корневой сертифика root не подходит? Континент его не принимает.

Этого не может быть, потому что этого не может быть никогда! :lol: Шутка... А если серьёзно, то 1: надо убедиться, что корневой сертификат имеет имя root.p7b. 2: При получении пользовательско го сертификата от казначейства, они должны были выдать и новый root.p7b тоже (вроде как там его меняли на новый). Если не выдали то требуйте. Если есть root.p7b и он не подходит, значит он старый. Если все выше указанные условия соблюдены, то всё должно работать.
Цитировать
 
 
0 #10 Валентина 28.06.2017 14:11
Почему пишет что не подходит ключ к данному контейнеру.
Цитировать
 
 
0 #11 Administrator 28.06.2017 15:16
Цитирую Валентина:
Почему пишет что не подходит ключ к данному контейнеру.

Хм. Ключ и контейнер, по-моему, это одно и тоже. :-) Может Вы имели ввиду, что сертификат не подходит к данным ключам. Когда происходит генерация ключей, то вместе с ключами генерируется файл запроса с расширением *.req и он передается в казначейство. На основании его содержимого, выпускается сертификат. Если вы несколько раз генерировали ключи, значит и файл запроса генерировался столько же раз. В Вашем случае получается, что Вы передали в казначейство файл запроса тот, который не соответствует Вашим ключам. Вот сертификат и не подходит...
Цитировать
 
 
0 #12 Евгений 02.08.2017 20:21
Добрый, Администратор, при установке личного сертификата в континент АП появляется ошибка "сервер отказал в доступе. неизвестный клиент". Лишние старые сертификаты - удалил. Папка закрытых ключей находится с сертификатами. Было подозрение на некорректный процесс запроса и генерации ключей - повторил процесс получения ключей и сертификатов. В чем может быть проблема? Спасибо. Евгений.
Цитировать
 
 
0 #13 Administrator 03.08.2017 16:05
Цитирую Евгений:
Добрый, Администратор, при установке личного сертификата в континент АП появляется ошибка "сервер отказал в доступе. неизвестный клиент". Лишние старые сертификаты - удалил. Папка закрытых ключей находится с сертификатами. Было подозрение на некорректный процесс запроса и генерации ключей - повторил процесс получения ключей и сертификатов. В чем может быть проблема? Спасибо. Евгений.

Всё ж таки наверно не при установке сертификата появляется эта ошибка, а при попытке подключения к серверу доступа? Вижу 2 пути: 1 - узнайте установлен ли Ваш сертификат на стороне сервера. 2 - проверьте ip адрес подключения. Может не тот вбит. Про брандмауэр и антивирус умолчу, это надо проверить в первую очередь. Еще одно: совсем недавно у них был изменен сертификат удостоверяющего центра, файл root.p7b. Проверьте выдали ли они вам новый. При установке пользовательско го сертификата он должен быть вместе с ним. Проверьте установлен ли межсетевой экран, если да - удалить! Если эти танцы с бубном не помогли, переустановите континент АП. После удаления пройдите чистильщиком реестра, например ccleanerом. Вроде всё. Удачи!
Цитировать
 

Добавить комментарий


Защитный код
Обновить



Ремонт компьютеров в Чесме, услуги, цены. - © Юрий Кондратенко 2013 - 2017

При копировании материалов сайта рабочая ссылка на chesma-comp.ru обязательна.