Настройка КриптоПро УЦ в соответствии с изменениями 795 приказа ФСБ
Опубликовано Наталья Мовчан on 2021-01-28 11:15

В соответствии с изменениями в документе "Требования к форме квалифицированного сертификата ключа проверки электронной подписи", утвержденным приказом ФСБ России от 27 декабря 2011 г. № 795:

"Для указания в квалифицированном сертификате идентификатора, однозначно указывающего на то, что идентификация заявителя при выдаче сертификата ключа проверки ЭП проводилась при его личном присутствии или без его личного присутствия ... должно использоваться некритичное дополнение identificationKind"

"В случае, если идентификация заявителя при выдаче сертификата ключа проверки ЭП проводилась при его личном присутствии, дополнение identificationKind должно иметь значение 0.

В случае, если идентификация заявителя при выдаче сертификата ключа проверки ЭП проводилась без его личного присутствия с использованием квалифицированной ЭП при наличии действующего квалифицированного сертификата, дополнение identificationKind должно иметь значение 1.

В случае, если идентификация заявителя – гражданина Российской Федерации при выдаче сертификата ключа проверки ЭП проводилась без его личного присутствия с применением информационных технологий путем предоставления информации, указанной в документе, удостоверяющем личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, дополнение identificationKind должно иметь значение 2.

В случае, если идентификация заявителя – гражданина Российской Федерации при выдаче сертификата ключа проверки ЭП проводилась без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой биометрической системы в порядке, установленном Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», дополнение identificationKind должно иметь значение 3.

Объектный идентификатор типа IdentificationKind имеет вид 1.2.643.100.114."

Настройка данного расширения выполняется на сервере ЦС в несколько этапов:

  • Внесение информации о регистрации расширения в реестр;
  • Добавление расширения с необходимым значением во все шаблоны выпускаемых сертификатов.

Для внесения в реестр информации о регистрации расширения нужно создать и импортировать reg-файл с содержимым:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo\1.2.643.100.114!6]

"Name"="Тип идентификации при выдаче сертификата"

 

Добавление расширения в шаблоны производится в разделе "Шаблоны" окна Диспетчера УЦ Сервера ЦС. Если окно уже было открыто до внесения информации из reg-файла – его нужно закрыть и открыть заново.

 ca_templates

Для всех шаблонов, по которым на УЦ выдаются сертификаты, в разделе "Настройка расширений сертификата" нажать "Добавить", появится окно "Настройки расширения":

В открывшемся окне настроек нажать кнопку "Найти" и ввести OID (1.2.643.100.114) или название расширения "Тип идентификации при выдаче сертификата":

По нажатию "ОК" произойдет возврат в окно настроек уже данного расширения,

в котором нужно нажать "Загрузить" и выбрать один из четырёх вариантов файла с готовыми значениями в зависимости от типа идентификации владельца при выдаче сертификата по этому шаблону.

Например, при личном присутствии владельца:

После загрузки файла с необходимым значением нажать "ОК" и затем  "Применить" в правой части окна Диспетчера УЦ.

Если при выдаче сертификата по данному шаблону будет допустимо несколько вариантов идентификации владельца сертификата,  то после настройки одного из вариантов нужно скопировать этот шаблон (правой кнопкой мыши на пункте "Шаблоны" в левой части окна Диспетчера УЦ – Добавить и выбрать из списка нужный шаблон) и в шаблоне-копии загрузить другое значение.

К данной статье прикреплены: 

  • IdentificationKind.reg – готовый reg-файл для регистрации расширения;
  • idkind-0.der, idkind-1.der, idkind-2.der, idkind-3.der - файлы с закодированными значениями расширения для четырёх вариантов идентификации владельца сертификата.

В случае возникновения проблем с загрузкой данные файлы можно получить по запросу в рамках обращения на Портале ТП.

 



Вложения 
 
 idkind-0.der (0.00 КБ)
 idkind-1.der (0.00 КБ)
 idkind-2.der (0.00 КБ)
 idkind-3.der (0.00 КБ)
 identificationkind.reg (0.40 КБ)
(8 плюсик(ов))
Класс!
Не очень :(