Уважаемые Клиенты! На сайте Ситуационного центра Минкомсвязи https://sc.minsvyaz.ru/ опубликован документ о том, что начал работать новый Головной Удостоверяющий центр (ГУЦ) с алгоритмом ключа ГОСТ Р 34.10-2012 и что можно отправлять запросы на сертификаты аккредитованных УЦ с алгоритмом ГОСТ 2012. Там же написано, что рекомендуется использовать короткий ключ ГОСТ 2012 (256 бит). В связи с этим, мы подготовили для Вас инструкцию о способах перехода аккредитованного УЦ на ГОСТ 2012.

Важно:

    1) Перед началом работ необходимоустановить новый сертификат ГУЦ на сервера УЦ, прямая ссылка на него: https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A

    2)На серверах УЦ необходимо организовать доставку и установку CRLнового ГУЦ. Ссылки на этот CRL для скачивания:

http://reestr-pki.ru/cdp/guc_gost12.crl

http://company.rt.ru/cdp/guc_gost12.crl

http://rostelecom.ru/cdp/guc_gost12.crl

    3) Перед выполняем любых действий рекомендуется создать резервные копии баз данных, руководствуясь пунктом 7 ЖТЯИ.00078 01 90 03 ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации

    4) Если для хранения ключей используется ПАКМ «КриптоПро HSM» версии 1.0, то создать на нём новый ключ с алгоритмом ГОСТ 2012 не получится. В дальнейшем ПАК «КриптоПро УЦ» будет сертифицирован в варианте исполнения с ПАКМ «КриптоПро HSM» версии 2.0 с поддержкой ГОСТ 2012.  На данный момент рекомендуется в качестве средства электронной подписи для создания ключа ЦС выбирать СКЗИ «КриптоПро CSP» версии 4.0 и сохранить закрытый ключ на любой поддерживаемый этим СКЗИ носитель, а при следующей смене ключа ЦС сгенерировать новый закрытый ключ в ПАКМ КриптоПро HSM 2.0.

    5) Перед началом работ необходимопроверить, что на всех серверах и рабочих станциях, где будут использоваться новые сертификаты с алгоритмом ГОСТ 2012, установлено СКЗИ «КриптоПро CSP» версии 4.0 (4.0.9842) и выше.

    6) Перед началом работ необходимопроверить, что на серверах ЦС, ЦР и рабочих станциях администраторов (операторов) УЦ  установлена сборка компонентов УЦ не ниже 2.0.6142.

    7) Под ГОСТ 2012 256 бит -следует понимать криптопровадер Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider c длинной ключа 512 бит и Алгоритмом хеширования ГОСТ Р 34,11-2012 256 бит

У аккредитованных УЦ, есть несколько вариантов перехода на ГОСТ 2012.

Вариант 1, без создания нового экземпляра ЦС

(Рекомендуется при отсутствии необходимости одновременно выпускать сертификаты пользователей с алгоритмами ГОСТ 2001 и ГОСТ 2012)

Порядок действий:

    1) Сменить используемый на действующем ЦС криптопровайдер на тот, который поддерживает работу с ключом электронной подписи с алгоритмом ГОСТ 2012 (256 бит)

Для этого необходимо выполнить на сервере ЦС, следующие команды в «Командной строке управления УЦ (Администратор)»:

Командлеты для перехода на ГОСТ 2012 (256 бит)

certutil2 -config 'localhost\<ИмяЦС>' -setentry ca\CSP\HashAlgorithm 32801

certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\ProviderType 80

certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\Provider "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"

certutil2 -config 'localhost\<Имя ЦС>' -setentry ca\CSP\RenewalKeyLength 512

certutil2 -config 'localhost\<Имя ЦС>' -control ApplyConfiguredSettings

     2) Теперь нужно создать запрос на сертификат ЦС в соответствии с рекомендациями http://minsvyaz.ru/ru/appeals/faq/66/  (инструкция по созданию запроса для Минкомсвязи также доступна в нашей Базе Знаний https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/248/29/sozdnie-zpros-n-sertifikt-pri-plnovojj-smene-dlja-kkreditovnnykh-uc)

Внимание: после создания запроса на сертификат, если на сервере ЦР списки отозванных сертификатов данного аккредитованного УЦ не доступны по ссылкам, указанным в служебных сертификатах и сертификатах пользователей - необходимо заранее обеспечить их доступность.

Для этого есть 3 способа:

А) Используйте нашу утилиту Дистрибутив ПО для автоматизации установки списков отозванных сертификатов вышестоящих УЦ (msi, 20 Мб) После её установки настройте скачивание CRL в любую произвольную папку на ЦР, установка CRL при этом будет выполняться автоматически.

Б) Отредактируйте файл hosts на ЦР, таким образом, чтобы список отзыва мог быть доступен локально.

В) В течении этого времени устанавливайте список отзыва вручную (сразу после выпуска)

    3)  Отправить запрос на сертификат в Минкомсвязи. УЦ при этом будет продолжит работать, как и раньше – выпускать сертификаты для пользователей с алгоритмом ГОСТ 2001.

    4) После получения ответа от Минкомсвязи – рекомендуем сначала установить новый сертификат аккредитованного УЦ в тех прикладных системах, которые используют сертификаты этого аккредитованного УЦ, а также сертификат нового ГУЦ и только потом установить новый сертификат ЦС на самом сервере ЦС

 Если пользователи УЦ или прикладные системы не готовы к переходу на ГОСТ 2012 или если требуется проверка этого – то рекомендуем после ввода нового ключа ЦС в эксплуатацию выпустить несколько проверочных сертификатов с алгоритмом ГОСТ 2012 (при этом, возможно, нужно будет поправить шаблоны сертификатов на ЦС для разрешения использования СКЗИ с поддержкой ГОСТ 2012) и потом вернуть прежний ключ ЦС (ГОСТ 2001) для подписи сертификатов пользователей, а новый ключ ЦС (2012) использовать только для подписи CRL. 

Процедура смены «активного» ключа Администратора ЦС описана в БЗ: https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/254/29/uprvlenie-kljuchmi-centr-sertifikcii-ispolzuemymi-dlja-izgotovlenija-sertifiktov

Вариант 2 с созданием нового экземпляра ЦС

(Рекомендуется при необходимости одновременного выпуска сертификатов с использованием алгоритмов ГОСТ 2001 и ГОСТ 2012)

Важно: Удалять ЦС с ключом на ГОСТ 2001 в последующем НЕЛЬЗЯ, т.к. будет потеряна информация о всех выпущенных на этом ЦС пользовательских сертификатах.

Порядок действий:

    1)Переименовать ЦС с алгоритмом ГОСТ 2001. Поскольку для аккредитованных УЦ обязательным условием является, чтобы значение ComonName совпадало с названием организации, а два ЦС на одном сервере с одинаковым ComonName создать невозможно, то необходимо переименовать текущий экземпляр ЦС, например, присвоить ему имя <текущее имя> (ГОСТ 2001), это не повлияет на работоспособность УЦ. Подробная инструкция по переименованию доступна на нашем сайте ссылка на инструкцию в БЗ: https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/255/29/izmenenie-komponentov-imeni-uc

    2) Создать новый подчиненный экземпляр ЦС, с алгоритмом ГОСТ 2012 256 бит (создание подчинённого УЦ подробно описано в пункте 2.4.2 ЖТЯИ.00078 01 90 03 ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации) При добавлении необходимых расширений в запрос на сертификат необходимо руководствоваться рекомендациями Минкомсвязи http://minsvyaz.ru/ru/appeals/faq/66/  Более подробно настройку расширений можно посмотреть в БЗ https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/248/29/sozdnie-zpros-n-sertifikt-pri-plnovojj-smene-dlja-kkreditovnnykh-uc раздел- Рекомендация по добавлению расширений в сертификат ЦС согласно требованиям Минкомсвязи.

    3) Получить от Минкомсвязи новый сертификат ЦС и установить его в созданный на этапе 2 экземпляр ЦС

    4) Подключить второй ЦС к ЦР

Алгоритм подключения второго ЦС к ЦР:

    А) На втором ЦС требуется выпустить новый клиентский сертификат для ЦР (его создание подробно описано в пункте 3.1 ЖТЯИ.00078 01 90 03 ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации.) Установить его на сервере ЦР с помощью панели «КриптоПро CSP» в хранилище личное локального компьютера (с привязкой к закрытому ключу).

    Б) В «Командной строке управления УЦ (Администратор)» (Пуск –Все Программы –КриптоПро- Командная строка управления УЦ (Администратор)) Выполнить следующие команделеты:

Проверить подключения командой: Get-CAReference

Добавить подключение:

$CAFullDnsName = "ca.full.dns.name"

$ClientCertificate = Get-Item Cert:\LocalMachine\My\<thumbprint>

$NameAddCA = " имя добавляемого экземпляра ЦС"

Где:

"ca.full.dns.name" - реальное DNS-имя сервера ЦС

<thumbprint> - отпечаток клиентского сертификата ЦР

$NameAddCA – имя добавляемого экземпляра ЦС

 Важно: Если имя ЦС имеет в составе "кавычки", то его необходимо правильно экранировать – указывать в одинарных кавычках. Пример правильного экранирования:

$NameAddCA = 'ООО "Рога и Копыта"'

    В) Добавить подключение ЦР к экземпляру ЦС

Add-CAReference -AuthorityName $NameAddCA -Url "https://$CAFullDnsName/CA" -ClientCertificate $ClientCertificate

 Важно: При одновременной эксплуатации двух ЦС, подключенных к одному ЦР, необходимо будет в Диспетчере УЦ скопировать нужные для работы шаблоны, изменив поставщика криптографии на ГОСТ 2012. Либо разрешить и 2001 и 2012 ГОСТы и каждый раз при генерации запроса на сертификат клиента выбирать алгоритм.

Также при работе в Консоли Управления ЦР будет необходимо выбирать нужный ЦС

Вариант 3 Создать новый УЦ на новом железе

(при использовании этого варианта возможно одновременно выпускать сертификаты с использованием алгоритмов ГОСТ 2001 и ГОСТ 2012)

При наличии технической возможности можно развернуть на новых серверах ЦС и ЦР с использованием ГОСТ 2012.