Инструкция пользователя сертификатов ключей подписей в формате единого универсального сертификата
Обеспечение регистрации пользователей и пользования официальным сайтом Российской Федерации в сети «Интернет» для размещения информации о размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд
стр.
Дата: 17.2.2018
Версия: 1.2
Статус:
Содержание
1. Введение 3
1.1 Назначение документа 3
1.2 Список сокращений 3
1.3 Термины и определения 4
2. Общая информация 8
2.1 Требуемый уровень подготовки пользователя 8
2.2 Перечень документации, с которыми необходимо ознакомиться пользователю 8
2.3 Обязанности пользователя 8
3. Порядок издания, отзыва, приостановления и возобновления действия сертификата ключа подписи 10
3.1 Издание сертификатов ключей подписи 10
3.2 Отзыв сертификата ключа подписи 14
3.3 Приостановление действия сертификатов ключей подписи 14
3.4 Возобновление действия сертификата ключа подписи 15
4. Получение электронной копии сертификата ключа подписи 16
5. Установка личного сертификата ключа подписи на рабочее место владельца сертификата 17
1.Введение
1.1Назначение документа
Настоящий документ предназначен для пользователей сертификатов ключей подписей (далее - сертификат) в формате единого универсального сертификата Уполномоченного удостоверяющего центра Федерального казначейства и содержит инструкции по получению, отзыву, приостановлению и возобновлению действия сертификата ключа подписи в соответствии с требованиями формата Единого универсального сертификата.
1.2Список сокращений
Сокращение
|
Описание
|
АРМ
|
Автоматизированное рабочее место
|
АС
|
Автоматизированная система
|
БД
|
База Данных
|
ЕУС
|
Единый универсальный сертификат
|
ОФК
|
Отделение Федерального Казначейства
|
ПО
|
Программное обеспечение
|
ППО
|
Прикладное программное обеспечение
|
СУБД
|
Система управления базой данных
|
УУЦ ФК
|
Уполномоченный удостоверяющий центр Федерального казначейства Российской федерации
|
УФК
|
Управление Федерального Казначейства
|
ФК
|
Федеральное казначейство Российской Федерации (Казначейство России)
|
ЦА
|
Центральный Аппарат
|
ЦР
|
Центр регистрации УУЦ ФК
|
1.3 Термины и определения
Наименование термина
|
Определение термина
|
WebHandler
|
Программный компонент ПАК ЮНИСЕРТ-ГОСТ, реализующий функции по регистрации запросов на издание, отзыв, приостановление и возобновление действия сертификатов ключей подписи, получение сертификатов и информации о статусе отзыва
|
WebRAO
|
Программный компонент ПАК ЮНИСЕРТ-ГОСТ, реализующий функции по изданию, отзыву, приостановлению и возобновлению действия сертификатов ключей подписи, получение сертификатов и информации о статусе отзыва
|
WebRAO Client
|
Клиентский компонент WebRAO – реализует пользовательский интерфейс к функциям WebRAO
|
Автоматизированное рабочее место
|
программно-технические средства, предназначенные для работы Пользователя с общероссийским официальным сайтом
|
Закрытый ключ ЭЦП (Закрытый ключ подписи)
|
уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в ЭД ЭЦП с использованием средств ЭЦП (и) или расшифровки ЭД. Закрытый ключ хранится на носителе ключевой информации
|
Запрос на издание Сертификата (далее – Запрос)
|
ЭД, содержащий открытый ключ ЭЦП, сведения о владельце сертификата и иные реквизиты, в том числе и сведения об отношениях, при которых ЭЦП признается равнозначной собственноручной подписи
|
Заявка на получение в Уполномоченном удостоверяющем центре Федерального казначейства сертификата ключа ЭЦП (далее – Заявка)
|
документ, содержащий распечатку значения открытого ключа Пользователя в шестнадцатеричной системе исчисления, наименование организации и иные реквизиты, включая реквизиты идентифицирующие Пользователя, на бумажном носителе, подписанный собственноручными подписями (Пользователя и руководителя Участника) и заверенный оттиском печати Участника, или при наличии технической возможности информационного обмена в электронном виде - в виде электронного документа с применением ЭЦП (далее - в электронном виде), подписанный ЭЦП Пользователя и руководителя Участника.
|
Носитель ключевой информации
|
носитель информации, используемый для хранения цифровых сертификатов, закрытых ключей ЭЦП и шифрования.
|
Компрометация закрытого ключа ЭЦП Участника
|
событие, определенное владельцем закрытого ключа как ознакомление неуполномоченным лицом (лицами) с его закрытым ключом, утеря носителя ключевой информации или другие причины появления у владельца Сертификата сомнений в сохранении тайны закрытого ключа.
|
Корневой сертификат УУЦ ФК
|
сертификат ключа ЭЦП центра сертификации УУЦ ФК, используемый на АРМ для проверки достоверности сертификатов открытых ключей ЭЦП УУЦ ФК и других пользователей. ЭЦП корневого сертификата сформирована с использованием закрытого ключа, соответствующего открытому ключу корневого сертификата
|
Оператор центра регистрации УУЦ ФК (далее – Оператор ЦР)
|
сотрудник Федерального казначейства, занимающийся рассмотрением и обработкой заявок на изготовление, аннулирование (отзыв), приостановление/возобновление действия сертификатов открытых ключей ЭЦП
|
Организатор выдачи пользователям общероссийского официального сайта сертификатов ключей ЭЦП (далее – Организатор)
|
органы Федерального казначейства
|
Отзыв сертификата открытого ключа ЭЦП
|
помещение серийного номера сертификата открытого ключа ЭЦП в Список отозванных сертификатов (далее - СОС).
|
Открытый ключ ЭЦП
|
уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная всем участникам электронного обмена и предназначенная для подтверждения, с использованием средств ЭЦП, подлинности ЭЦП Пользователя в ЭД и шифрования ЭД. Принадлежность открытого ключа ЭЦП участнику электронного обмена подтверждается Сертификатом.
|
Общероссийский официальный сайт
|
официальный сайт Российской Федерации в сети «Интернет», содержащий информацию о размещении заказов на поставки товаров, выполнение работ, оказание услуг для федеральных нужд, нужд субъектов Российской Федерации и муниципальных нужд
|
Пользователь УЦ
(далее – Пользователь)
|
сотрудник Участника, которому руководителем Участника дано право ЭЦП
|
Региональный центр регистрации (далее – РЦР)
|
подчиненный УУЦ ФК компонент инфраструктуры открытых ключей Федерального Казначейства, входящий в организационную структуру подразделения по обеспечению безопасности информации органа Федерального Казначейства.
|
Сертификат ключа подписи (далее – сертификат)
|
документ на бумажном носителе или ЭД с ЭЦП УУЦ ФК, включающий в себя открытый ключ ЭЦП и выдаваемый УУЦ участнику электронного обмена информацией для подтверждения подлинности его ЭЦП и идентификации владельца Сертификата.
|
Соискатель сертификата
|
Лицо, подавшее документы в установленном Регламентом порядке на получение сертификата ключа подписи
|
Средства криптографической защиты информации (далее – СКЗИ)
|
средство вычислительной техники, осуществляющее криптографические преобразования информации для обеспечения ее безопасности.
|
Средства ЭЦП
|
аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: создание ЭЦП в ЭД с использованием закрытого ключа ЭЦП, подтверждение с использованием открытого ключа подлинности ЭЦП в ЭД, создание закрытых и открытых ключей ЭЦП.
|
Транзакция
|
любая операция, выполняемая Оператором ЦР в УУЦ ФК, приводящая к формированию запроса любого типа.
|
Уполномоченное лицо УУЦ
|
сотрудник Федерального казначейства или органа Федерального Казначейства, наделенный правом заверения Сертификатов, изданных центром сертификации УУЦ ФК.
|
Уполномоченное лицо Организатора
|
сотрудник органа Федерального Казначейства, имеющий право формировать запросы на приостановление/возобновления действия сертификата при возникновении факта непредоставления/при представлении Участником информации об изменении его реквизитов.
|
Уполномоченный удостоверяющий центр Федерального казначейства
|
основной компонент инфраструктуры открытых ключей Федерального казначейства, входящий в организационную структуру Управления режима секретности и безопасности информации Федерального казначейства и осуществляющий выполнение целевых функций удостоверяющего центра на основании приказа Федерального казначейства от 10 марта 2005 г. № 43 «Об организации уполномоченного удостоверяющего центра Федерального казначейства» (в редакции приказа Федерального казначейства № 90 от 17.05.2005) и в соответствии с Федеральным законом «Об электронной цифровой подписи» от 10 января 2002 г. № 1-ФЗ (Собрание законодательства Российской Федерации, 2002, № 2, ст.127).
|
Участник
|
организация, обладающая полномочиями в сфере размещения заказов
|
Электронный документ (далее - ЭД)
|
документ, в котором информация представлена в электронно-цифровой форме.
|
Электронная цифровая подпись (далее – ЭЦП)
|
реквизит ЭД, предназначенный для защиты данного ЭД от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в ЭД.
|
2.Общая информация
Порядок осуществления действий в соответствии с данным руководством должен позволить пользователю выполнять действия по изданию и управлению жизненным циклом сертификата ключа подписи.
Данное руководство охватывает следующие основные программные продукты:
2.1Требуемый уровень подготовки пользователя
Для полноценной работы с сертификатом ключа подписи пользователь, должен иметь опыт работы в операционной системе Microsoft Windows XP или Microsoft Windows Server 2003 на уровне пользователя.
2.2Перечень документации, с которыми необходимо ознакомиться пользователю
Перед началом работы пользователю рекомендуется ознакомиться со следующими документами, предоставляемыми Федеральным казначейством совместно с соответствующим программным обеспечением:
«КриптоПро CSP. Описание реализации» (ЖТЯИ.00050-01 90 01);
«КриптоПро CSP. Инструкция по использованию» (ЖТЯИ.00050-01 90 03);
«Программно-аппаратный комплекс Соболь 3.0. Руководство пользователя» (RU.40308570. 501410.001 92);
«eToken PKI Client (Windows). User’s Guide. Version 5.1 Revision A»;
«АРМ Генерации ключей. Руководство пользователя».
2.3Обязанности пользователя
Пользователь обязан соблюдать правила пользования СКЗИ определенные эксплуатационной документацией на СКЗИ.
После создания ключей подписи и сохранения их на ключевом носителе ключевой носитель находится на ответственном хранении у владельца ключа подписи в условиях, исключающих возможность его компрометации, и не может быть передан другому лицу.
Запрещается передавать закрытый ключ подписи любому другому лицу.
Ответственность за компрометацию или утрату закрытого ключа подписи или ключевого носителя возлагается на владельца ключа подписи.
3.Порядок издания, отзыва, приостановления и возобновления действия сертификата ключа подписи
В данном разделе описывается порядок осуществления деятельности Соискателя сертификата и Пользователя при взаимодействии с УУЦ ФК. При выполнении мероприятий по изданию, отзыву, приостановлению и возобновлению действия сертификата ключа подписи Пользователь должен руководствоваться требованиями Приложения 5 к «Порядку регистрации пользователей и пользования официальным сайтом Российской Федерации в сети «Интернет» для размещения информации о размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд».
3.1Издание сертификатов ключей подписи
Основанием для получения сертификата ключа подписи является подача соискателем сертификата пакета документов в соответствии с требованиями Приложения 5 к «Порядку регистрации пользователей и пользования официальным сайтом Российской Федерации в сети «Интернет» для размещения информации о размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд».
Перед созданием запроса на сертификат открытого ключа ЭЦП пользователь обязан:
Получить средства криптографической защиты информации во временное пользование (предоставляется Федеральным казначейством);
Получить программное обеспечение СЭД или АРМ Генерации ключей для возможности создания запросов на издание сертификатов и генерации пары ключей (программное обеспечение и документации предоставляются Федеральным казначейством);
Обеспечить выполнение требований настоящей инструкции, правил пользования СКЗИ, определенных эксплуатационной документацией на СКЗИ, и требования законодательства Российской Федерации в части эксплуатации шифровальных (криптографических) средств.
При издании сертификата ключа подписи пользователь обязан:
Выполнить генерацию ключей и сформировать запрос на издание сертификата ключа подписи с помощью программного обеспечения СЭД или АРМ Генерации ключей, руководствуясь положениями документа «АРМ Генерации ключей. Руководство пользователя», при этом необходимо обеспечить:
1) создать ключи подписи на отчуждаемом носителе ключевой информации;
2) установить пароль доступа к ключевому контейнеру (рекомендовано не менее 6 символов, использовать буквы латинского алфавита и цифры);
3) заполнить поля экранной формы запроса на издание сертификата в соответствии с требованиями:
Требования по заполнению полей запроса на издание сертификата ключа подписи
|
№
|
Проверяемый атрибут
|
Тип данных
|
Требования к заполнению
|
|
SurName
|
Фамилия
|
Заполняется на русском языке
Может содержать только символы русского алфавита и знак «-»
Первая буква фамилии и составных частей фамилии заглавная, остальные строчные
Может начинаться только с буквы
Может заканчиваться только буквой
Пример: Иванов
Пример: Мамин-Сибиряк
|
|
GivenName
|
Имя
|
Заполняется на русском языке
Может содержать только символы русского алфавита и знак «пробел»
Первая буква каждого слова заглавная, остальные строчные
Может начинаться только с буквы
Может заканчиваться только буквой
Пример: Иван Петрович
Пример: Джон
|
|
Initials
|
Инициалы
|
Заполняется на русском языке
Может содержать только символы русского алфавита
Может включать только заглавные буквы
|
|
Title
|
Должность
|
Заполняется на русском языке
Может содержать только символы русского алфавита, знаки «пробел», «-»
Все буквы строчные
Может начинаться только с буквы
Может заканчиваться только буквой
Пример: главный специалист-эксперт
|
|
UnstructuredName
|
Формализованная должность
|
Указывается OID должности из справочника должностей
|
|
StreetAddress
|
Адрес
|
Указывается адрес места работы соискателя сертификата, включает название улицы, номер дома/владения, номер корпуса или строения (при наличии). Заполняется на русском языке
Может содержать только символы русского алфавита, знак «пробел», знаки «,»,«.»,«-»,«/», арабские цифры
Может начинаться только с буквы или цифры
|
|
CommonName
|
Наименование абонента
|
Заполняется на русском языке
Может содержать только символы русского алфавита, знак «пробел», знак «-»
Может начинаться только с буквы
Может заканчиваться только буквой
Первая буква каждого слова и составной части сложной фамилии заглавная, остальные строчные
Пример: Иванов Иван Петрович
Пример: Склодовская-Кюри Мария
|
|
OrganizationalUnit
|
Подразделение 1 уровня
Подразделение 2 уровня
|
Заполняется на русском языке
Может начинаться только с буквы
Подразделение 1-го уровня: <�если владелец ключа руководитель организации, то это поле остается пустым, иначе указывается наименования департамента, управления>
Подразделение 2-го уровня: <�если владелец ключа руководитель организации, департамента, управления, то это поле остается пустым, иначе указывается наименование отдела внутри департамента, управления>
|
|
Organization
|
Организация
|
Заполняется на русском языке
Может начинаться только с буквы
Указывается сокращенное наименование организации (но не более первых 64 символов) соискателя сертификата.
При отсутствии сокращенного наименования указываются первые 64 символа полного наименования организации
|
|
Locality
|
Город
|
Заполняется на русском языке
Должно содержать префикс типа населенного пункта в виде сокращения в соответствии с ОКАТО
Может начинаться только с префикса
Префикс отделяется от названия одним знаком «пробел»
Название начинается с заглавной буквы (в случае сложного названия каждая составная часть начинается с заглавной буквы) все остальные буквы строчные
Пример: д Малое Шарыгино
Пример: д Тат-Бояры
|
|
State
|
Регион
|
Может содержать только значения, приведенные в Приложении В документа «Описание структуры и порядка использования унифицированного сертификата ЭЦП»
|
|
Country
|
Страна
|
Двухбуквенный код страны в соответствие с ISO 3166.
Пример: RU
|
|
EMail
|
E-Mail
|
Адрес должен удовлетворять стандарту RFC822
Пример: test@mail.ru
|
4) сохранить запрос на отчуждаемый носитель информации (USB Flash накопитель, дискета 3.5”) либо передать запрос в ЦР в электронном виде в случае наличия технической возможности информационного обмена в электронном виде;
5) распечатать Заявку на издание сертификата ключа подписи либо, в случае наличия технической возможности информационного обмена в электронном виде, передать Заявку, подписанную ЭЦП, в ЦР в электронном виде.
При отсутствии технической возможности информационного обмена в электронном виде и невозможности личной явки в Центр регистрации УУЦ ФК предоставить доверенность на выполнение действий по взаимодействию с УУЦ ФК в части издания сертификата ключа подписи доверенному лицу;
Предоставить пакет документов и запрос на издание сертификата (в бумажном или электронном виде) в ближайший ЦР. Заявка на получение сертификата в электронном виде может подаваться только при наличии действующих сертификатов Соискателя сертификата и руководителя Участника. После подтверждения запроса на получение сертификата ЭЦП на отчуждаемый носитель будет записана ключевая информация: корневого сертификата УУЦ ФК, сертификата ключа подписи изданного ЦР;
В случае наличия технической возможности информационного обмена в электронном виде получить файл Сертификата в электронном виде и сохранить его на отчуждаемый ключевой носитель с ключами подписи;
Подписать предоставленные сертификаты ключей подписей на бумажном носителе (2 экз.);
Хранить свою копию сертификата ключа подписи на бумажном носителе в течение срока действия сертификата;
Выполнить установку файла Сертификата на АРМ, с которого будет осуществляться работа с общероссийским официальным сайтом, и выполнить необходимые настройки в соответствии с документацией на АРМ.
3.2Отзыв сертификата ключа подписи
Основанием для отзыва сертификата ключа подписи является представление владельцем сертификата Заявки на отзыв сертификата ключа подписи. Заявка подается в виде документа на бумажном носителе или при наличии технической возможности информационного обмена в электронном виде с ЭЦП руководителя Участника.
При отзыве сертификата ключа подписи пользователь обязан:
При компрометации или подозрении на компрометацию своего закрытого ключа незамедлительно обратиться в РЦР, выдавший Сертификат, с просьбой об отзыве Сертификата, и сообщить причину отзыва.
Сформировать Заявку на отзыв в виде документа на бумажном носителе или в электронном виде, при этом необходимо:
1) указать серийный номер сертификата ключа подписи отзыв которого запрашивается;
2) указать причину отзыва сертификата: компрометация ключей подписи, в том числе утрата или кража ключевого носителя, порча ключевого носителя, увольнение владельца сертификата, смена атрибутов указанных в сертификате ключа подписи;
3) указать дату и время, с которого считать сертификат отозванным в случае если оно известно;
4) Заявка в виде электронного документа подписывается ЭЦП руководителя Участника, не допускается для подписания ЭЦП использовать отозванные сертификата и сертификата действие которых приостановлено;
При невозможности личной явки в ЦР и при отсутствии технической возможности информационного обмена в электронном виде предоставить доверенность на выполнение действий по взаимодействию с УУЦ ФК в части отзыва сертификата ключа подписи доверенному лицу;
Предоставить пакет документов на отзыв сертификата ключа подписи в ближайший ЦР в бумажном или электронном виде.
3.3Приостановление действия сертификатов ключей подписи
Основанием для приостановления действия сертификата ключа подписи является представление владельцем сертификата Заявки на приостановление действия сертификата ключа подписи. Заявка подается в виде документа на бумажном носителе или при наличии технической возможности информационного обмена в электронном виде с ЭЦП руководителя Участника.
При приостановлении действия сертификата ключа подписи пользователь обязан:
Сформировать Заявку на отзыв в виде документа на бумажном носителе или электронного документа с ЭЦП, при этом необходимо обеспечить:
1) указать серийный номер сертификата ключа подписи отзыв которого запрашивается;
2) указать причину приостановления действия сертификата: временная невозможность владельца сертификата исполнять обязанности, связанные с использованием сертификата ключа подписи, подозрение на компрометацию ключей подписи;
3) Заявка в виде электронного документа подписывается ЭЦП руководителя Участника, не допускается для подписания ЭЦП использовать отозванные сертификата и сертификата действие которых приостановлено;
При невозможности личной явки в ЦP предоставить доверенность на выполнение действий по взаимодействию с УУЦ ФК в части отзыва сертификата ключа подписи доверенному лицу;
Предоставить пакет документов в ЦР, издавший сертификат ключа подписи.
3.4Возобновление действия сертификата ключа подписи
Основанием для возобновления действия сертификата ключа подписи является подача владельцем сертификата Заявки на возобновление действия сертификата ключа подписи. Заявка подается в виде документа на бумажном носителе или в виде электронного документа с ЭЦП.
При возобновлении действия сертификата ключа подписи пользователь обязан:
Сформировать Заявку на возобновление действия сертификата в виде документа на бумажном носителе или электронного документа с ЭЦП, при этом необходимо:
1) указать серийный номер сертификата ключа подписи отзыв которого запрашивается;
2) указать причину отзыва сертификата: утрата или кража ключевого носителя, порча ключевого носителя, увольнение владельца сертификата, смена атрибутов указанных в сертификате ключа подписи;
3) Заявка в в электронном виде подписывается ЭЦП руководителя Участника, при этом не допускается для создания ЭЦП использовать отозванные сертификата и сертификата действие которых приостановлено;
Предоставить пакет документов в ЦР, издавший сертификат ключа подписи, при этом обеспечить:
1) при невозможности личной явки в ЦР предоставить доверенность на выполнение действий по взаимодействию с УУЦ ФК в части отзыва сертификата ключа подписи доверенному лицу;
2) для передачи Заявки в виде электронного документа с ЭЦП использовать средства электронной почты, указав в качестве адресата оператора ЦР УУЦ ФК, издавшего сертификат.
4.Получение электронной копии сертификата ключа подписи
Получение электронной копии сертификата осуществляется:
в случае наличия технической возможности информационного обмена в электронном виде – от Оператора ЦР в электронном виде;
при отсутствии технической возможности информационного обмена в электронном виде - в ЦР, осуществлявшем выпуск искомого сертификата.
Для получения электронной копии сертификата ключа подписи в ЦР пользователь обязан обратиться в ЦР и предоставить:
серийный номер сертификата ключа подписи электронная копия которого запрашивается;
отчуждаемый носитель информации для записи сертификата ключа подписи (USB Flash накопитель, дискета 3.5”).
5.Установка личного сертификата ключа подписи на рабочее место владельца сертификата
Перед началом использования сертификата он должен быть установлен в личное хранилище пользователя на рабочей станции. Настоящий раздел определяет действии владельца сертификата по установке сертификата ключа подписи на рабочее место под управлением операционной системы Microsoft Windows с установленным СКЗИ КриптоПро CSP 3.x.
Для установки необходимо выполнить следующие действия:
Открыть Панель управления Windows и запустить приложение «КрипроПро CSP»;
В появившемся окне открыть закладку «Сервис» (Рис.1);
Рис. 1. Свойства КриптоПро CSP. Закладка «Сервис»
В окне «Свойства КриптоПро CSP» на закладке «Сервис» нажать кнопку «Установить личный сертификат…»;
В окне мастера установки личного сертификата нажать кнопку «Далее»;
В появившемся окне указать путь к файлу сертификата и нажать кнопку «Далее»;
В открывшемся окне просмотреть свойства сертификата и убедиться, что это нужный сертификат и нажать кнопку «Далее»;
Указать имя ключевого контейнера с закрытым ключом данного сертификата и нажать кнопку «Далее»;
Ввести пароль доступа к ключевому контейнеру и нажать кнопку «ОК»;
Указать в качестве хранилища сертификатов хранилище «Личные» (Рис.2);
Рис. 2. Выбор хранилища сертификатов
Следовать дальнейшим инструкциям мастера, не изменяя опции установленные по умолчанию.
|