Создание запроса на сертификат при плановой смене для аккредитованных УЦ
Опубликовано Илья Харченко on 2018-05-23 16:57

 Примечание: если Вы хотите создать запрос с использованием ГОСТ 2012, то перед выполнением дальнейших действий, выполните указания описанные в статье: https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/225/29/porjadok-perekhod-uc-s-gost-2001-n-gost-2012 Если для хранения закрытых ключей Вы используете ПАКМ КриптоПро HSM, то его будет необходимо обновить до версии 2.0(по вопросам обновления пишите  на почту info@cryptopro.ru)

Пуск -> Все программы -> КРИПТО-ПРО -> Диспетчер УЦ

Диспетчер УЦ-> Роли УЦ-> Сервер ЦС-> Центры сертификации-> <Имя Вашего УЦ> -> Администраторы-> <Имя Вашего администратора> -> Смена ключа

 

 После этого будет запущен мастер создания запроса на сертификат ЦС

 

Далее выберите пункт «Создать сертификат или запрос». Рекомендуется изменить имя контейнера

 

Нужно задать дополнительные расширения, которые будут включены в сертификат ЦС согласно требованиям Минкомсвязи.

Расширения:

1. Основные ограничения (2.5.29.19)

2. Политики Сертификата (2.5.29.32)

3. Средства электронной подписи владельца (1.2.643.100.111)

Требуется добавлять самостоятельно.

Если у Вас установлен подчиненный ЦС, удовлетворяющий требованиям Минкомсвязи, то добавление дополнительных расширений не требуется, они будут загружены автоматически.

Требуется проверить значения автоматически добавленных расширений (или добавить/отредактировать их) в соответствии с рекомендациями

 На финальном шаге можно просмотреть скрипт PowerShell, созданный мастером. При нажатии кнопки «Далее» будет произведено выполнение скрипта с подробным выводом информации.

 

Выберите нужный носитель для хранения контейнера закрытого ключа и задайте пароль

 

 

Далее будет предложение сохранить запроса на сертификат. Сохраните его

 

 Теперь у Вас есть запрос для передачи в Минкомсвязи

 

Рекомендация по добавлению расширений в сертификат ЦС согласно требованиям Минкомсвязи

 

Расширение Использование ключа со следующими значениями по умолчанию: Цифровая подпись, Подписывание сертификатов, Автономное подписание списка отзыва (CRL), Подписывание списка отзыва (CRL) (86)

 

Редактирование значения расширения «Основные ограничения (2.5.29.19)»

Выделяем в списке расширение «Основные ограничения», нажимаем Изменить

Снова на Изменитьи ставим галку - «Ограничение на длину пути» со значением «0» и кнопку OK.

 

Добавление расширения «Средства электронной подписи владельца (1.2.643.100.111)»

Для указания в квалифицированном сертификате наименования используемого владельцем квалифицированного сертификата средства ЭП должно использоваться некритичное дополнение subjectSignTool типа UTF8String SIZE(1..200).

Для создания этого расширения нажимаем кнопку Добавить, выбираем из списка «Средства электронной подписи владельца»

Нажимаем Изменить и указываем название используемого средства ЭП

Внимание, название должно соответствовать перечню http://clsz.fsb.ru/certification.htm

Добавление расширения «Политики сертификата (2.5.29.32)»

Объектный идентификатор дополнения certificatePolicies. Для обозначения класса средств ЭП владельца квалифицированного сертификата должны применяться следующие идентификаторы:

- 1.2.643.100.113.1 - класс средства ЭП КС 1,

- 1.2.643.100.113.2 - класс средства ЭП КС 2,

- 1.2.643.100.113.3 - класс средства ЭП КС 3,

- 1.2.643.100.113.4 - класс средства ЭП КВ 1,

- 1.2.643.100.113.5 - класс средства ЭП КВ 2,

- 1.2.643.100.113.6 - класс средства ЭП КА 1.

Для создания этого расширения нажимаем Добавить, выбираем из списка «Политики сертификата»

 

Нажимаем «Изменить» и указываем политики:

 

Значение «Все политики выдачи» рекомендуется добавлять всегда.

 

 

(25 плюсик(ов))
Класс!
Не очень :(

Коментарии (0)