1.Подготовка к работе
1.1.Настройки обозревателя Microsoft Internet Explorer
Для обеспечения полноценного функционирования системы Web-сбора, необходимо выполнить следующие настройки обозревателя Microsoft Internet Explorer:
добавить сайт системы Web-сбора в зону «Надежные узлы»;
установить для зоны «Надежные узлы» особый уровень безопасности, который позволяет использовать:
элементы ActiveX для подписания документов ЭЦП;
всплывающие окна для просмотра шаблонов ЭВФ.
1.1.1.Добавление сайта системы Web-сбора в зону «Надежные узлы»
В окне обозревателя выполните команду меню Сервис → Свойства обозревателя. Откроется окно «Свойства обозревателя». Перейдите на закладку «Безопасность».
Выберите зону Интернета «Надежные узлы» и нажмите кнопку «Узлы». Откроется дополнительное окно «Надежные узлы» («Trusted sites») (см. Рис. 1).
Рис. 1. Добавление сайта системы Web-сбора в зону «Надежные узлы».
Добавьте сайт системы Web-сбора в зону «Надежные узлы» («Trusted sites»). Для этого наберите адрес сайта в поле «Добавить в зону следующий узел» и нажмите кнопку «Добавить». Закройте окно «Надежные узлы».
1.1.2.Выбор параметров безопасности, необходимых для использования ЭЦП
По умолчанию обозреватель Microsoft Internet Explorer использует уровень безопасности, который не позволяет загружать на компьютер пользователя компоненты ActiveX. Для того чтобы иметь возможность использовать ЭЦП, необходимо после добавления сайта системы Web-сбора в зону «Надежные узлы» установить для этой зоны особый уровень безопасности.
В окне обозревателя выполните команду меню Сервис → Свойства обозревателя. Откроется окно «Свойства обозревателя». Перейдите на закладку «Безопасность».
Выберите зону Интернета «Надежные узлы» и нажмите кнопку «Другой» на панели «Уровень безопасности для этой зоны» Откроется окно «Параметры безопасности – зона надежных узлов» (см. Рис. 2).
Рис. 2. Включение использования элементов ActiveX.
Установите для зоны «Надежные узлы» опцию "Использование элементов ActiveX, не помеченных как безопасные для использования"= «Включить» ("Initialize and script ActiveX not marked as safe" = «Enabled» .
Установите для зоны «Надежные узлы» опцию "Загрузка неподписанных элементов ActiveX"= «Предлагать» ("Download unsigned ActiveX controls" = «Prompt»). См. Рис. 3.
Рис. 3. Установка уровня безопасности для параметра
«Загрузка неподписанных элементов ActivX».
Нажать кнопку «OK» в окне «Параметры безопасности». В открывшемся диалоговом окне подтвердить изменения в настройках безопасности для зоны «Надежные узлы».
Нажать кнопку «OK» в окне «Свойства обозревателя».
Установленный для зоны «Надежные узлы» уровень безопасности будет действовать только для сайта Web-сбора, и не будет уменьшать безопасность для любых других интернет-сайтов.
1.1.3.Выбор значений параметров безопасности, необходимых для просмотра шаблонов ЭВФ
Для того чтобы иметь возможность просматривать шаблоны ЭВФ на сайте системы Web-сбора, необходимо после добавления сайта системы Web-сбора в зону «Надежные узлы» установить для этой зоны особые значения для двух параметров безопасности.
Примечание:
Установку параметров безопасности, необходимых для просмотра шаблоны ЭВФ можно выполнять вместе с установкой параметров безопасности, необходимых для использовать ЭЦП (см. предыдущий раздел «Выбор параметров безопасности, необходимых для использования ЭЦП».
В окне обозревателя выполните команду меню Сервис → Свойства обозревателя. Откроется окно «Свойства обозревателя». Перейдите на закладку «Безопасность».
Выберите зону Интернета «Надежные узлы» и нажмите кнопку «Другой» на панели «Уровень безопасности для этой зоны» Откроется окно «Параметры безопасности – зона надежных узлов» (см. Рис. 2).
В списке параметров безопасности найти параметр «Автоматические запросы на загрузку файлов» и установить для него значение «Разрешить» (см. Рис. 4).
Рис. 4. Выбор значения для параметра
«Автоматические запросы на загрузку файлов».
В списке параметров безопасности найти параметр «Блокировать всплывающие окна» и установить для него значение «Отключить» (см. Рис. 5).
Рис. 5. Выбор значения для параметра
«Блокировать всплывающие окна».
Нажать кнопку «OK» в окне «Параметры безопасности». В открывшемся диалоговом окне подтвердить изменения в настройках безопасности для зоны «Надежные узлы».
Нажать кнопку «OK» в окне «Свойства обозревателя».
Установленный для зоны «Надежные узлы» уровень безопасности будет действовать только для сайта Web-сбора, и не будет уменьшать безопасность для любых других интернет-сайтов.
1.1.4.Выбор приложения для просмотра шаблонов ЭВФ
По умолчанию файлы с расширением XML открываются приложением XML Editor. Для того чтобы заменить приложение, в котором будут открываться шаблоны ЭВФ, на обозреватель Microsoft Explorer, необходимо выполнить следующие действия:
Открыть стандартное приложение ОС Windows «Проводник».
Выполнить команду меню Сервис → Свойства папки. Откроется окно «Свойства папки».
Перейти на закладку «Типы файлов».
Найти в списке типов значение «XML Document» (см. Рис. 6).
Рис. 6. Свойства папки. Типы файлов.
Нажать кнопку «Изменить», расположенную в панели «Сведения для расширения ‘XML’». Откроется окно «Выбор программы» (см. Рис. 7)
Рис. 7. Выбор приложения для XML-файлов.
Выберите приложение Internet Explorer. Если в поле «Использовать ее для всех типов файлов» не установлена отметка, установите ее. Нажмите кнопку «OK». Окно «Выбор программы» закроется. В окне «Свойства папки» для открытия XML-файлов будет установлено выбранное приложение (см. Рис. 8).
Рис. 8. Новое приложение для файлов типа «XML Document».
Нажмите кнопку «Закрыть».
1.2.Установка сертификатов в системное хранилище
Сертификат открытого ключа, который соответствует секретному ключу, необходимо установить в Системное хранилище сертификатов. Сертификат открытого ключа может находиться на ключевом носителе вместе с секретным ключом, а может находиться отдельно (на любом другом носителе). Модель расположения сертификатов зависит от УЦ, формирующего секретные ключи и выдающего сертификаты.
1.2.1.Установка сертификата в Системное хранилище сертификатов с ключевого носителя
Выполните команду меню Пуск → Панель управления → Крипто Про CSP.
Перейдите на закладку «Сервис» и нажмите кнопку «Просмотреть сертификаты в контейнере…». См. Рис. 9
Рис. 9. Выбор ключевого носителя для установки сертификата.
Нажмите кнопку «Обзор…», в открывшемся диалоговом окне (см. Рис. 10) выберите ключевой носитель и нажмите кнопку «ОК».
Рис. 10. Список ключевых носителей (контейнеров) для выбора.
Нажмите кнопку «Далее >». Некоторое время система будет осуществлять поиск сертификата на выбранном ключевом носителе, после чего откроется окно «Сертификат для просмотра» (см. Рис. 11).
Рис. 11. Просмотр выбранного сертификата.
Нажмите кнопку «Свойства». Откроется окно со свойствами выбранного сертификата (см. Рис. 12).
Рис. 12. Просмотр свойств выбранного сертификата.
Нажмите кнопку «Установить сертификат…». Открывается окно приветствия мастера импорта сертификатов в Системное хранилище сертификатов (см. Рис. 13).
Рис. 13. Окно приветствия мастера импорта сертификатов.
Нажмите кнопку «Далее >». Откроется окно выбора хранилища сертификатов. Укажите, в какое хранилище необходимо установить сертификат. Для этого необходимо отметить пункт «Поместить все сертификаты в выбранное хранилище…» и нажать кнопку «Обзор…». Откроется дополнительное диалоговое окно «Выбор хранилища сертификата» (см. Рис. 14).
Рис. 14. Выбор хранилища сертификатов.
Выберите хранилище «Личные». Сертификаты, установленные в хранилище, выбранном на этом шагу, будут предоставляться пользователю для выбора в момент подписания отчетов. Нажмите кнопку «ОК» дополнительного окна. Затем нажмите кнопку «Далее >». Откроется последнее окно мастера импорта сертификатов (см. Рис. 15).
Рис. 15. Завершение работы мастера импорта сертификатов.
Нажмите кнопку «Готово». Указанный сертификат будет установлен в выбранное хранилище.
1.2.2.Установка сертификата в Системное хранилище сертификатов с любого другого носителя
Выполните команду меню Пуск → Панель управления → Крипто Про CSP.
Перейдите на закладку «Сервис» и нажмите кнопку «Установить личный сертификат». Откроется окно приветствия мастера установки личного сертификата (см. Рис. 16).
Рис. 16. Окно приветствия мастера установки личного сертификата.
Нажмите кнопку «Далее». Откроется окно, в котором необходимо указать файл сертификата открытого ключа (см. Рис. 17).
Рис. 17. Выбор файла сертификата для установки.
Нажмите кнопку «Обзор». После выбора сертификата нажмите кнопку «Далее >». Откроется окно просмотра свойств выбранного сертификата (см. Рис. 18).
Рис. 18. Окно просмотра свойств выбранного сертификата.
Нажмите кнопку «Далее >». Откроется окно выбора ключевого контейнера (носителя), который должен соответствовать выбранному сертификату (см. Рис. 19)
Рис. 19. Окно выбора закрытого ключа, соответствующего выбранному сертификату.
Нажмите кнопку «Обзор…», откроется дополнительное окно «Выбор ключевого контейнера» (см. Рис. 20).
Рис. 20. Выбор ключевого контейнера.
Выберите ключевой носитель и нажмите кнопку «ОК». В окне мастера установки личного сертификата нажмите «Далее >». Система некоторое время будет искать ключ на ключевом носителе, затем запросит пароль для ключа. После ввода пароля откроется окно выбора хранилища для установки сертификата (см. Рис. 21).
Рис. 21. Выбор хранилища для установки сертификата.
Нажмите кнопку «Обзор», из предложенных хранилищ выберите «Личное» Нажмите кнопку «Далее >». Откроется завершающее окно мастера установки личного сертификата (см. Рис. 22).
Рис. 22. Завершение работы мастера установки личного сертификата.
Нажмите кнопку «Готово». Выбранный сертификат будет уставлен в указанное хранилище.
1.3.Работа с ключами на ключевых носителях
Для того чтобы иметь возможность использовать ЭЦП для подписания отчетов, необходимо обеспечить доступность секретного ключа сертификата.
В данном разделе рассматриваются вопросы копирования секретного ключа для подписания документов с одного ключевого носителя на другой, а также просмотр информации о ключевом носителе. Весь описываемый функционал реализуется с помощью панели Управления КриптоПро. Будет рассмотрен процесс копирования секретного ключа с одного флэш-диска на другой флэш-диск.
В приведённом примере будет осуществляться копирование секретного ключа с дисковода G на дисковод H. Для КриптоПро нет разницы между дисководом флоппи-диска и дисководом флэш-диска. Для неё все такие считыватели называются дисководами. Поэтому в примере вместо дисковода G можно использовать и дисковод A.
Примечание:
Для того чтобы была возможность копирования секретного ключа с одного ключевого носителя на другой, необходимо, чтобы секретный ключ был создан как экспортируемый. Устанавливает этот признак УЦ, который выполняет формирование секретного ключа.
1.3.1. Обеспечение доступности секретного ключа сертификата
Вставить флэш-диск в компьютер и посмотреть, под какой буквой подключился диск.
Удостовериться, добавлен ли данный диск в КриптоПро как ключевой носитель. Для этого необходимо выполнить команду Пуск → Панель управления → Крипто Про CS, перейти на закладку «Оборудование» и нажать кнопку «Настроить считыватели» (см. Рис. 23).
Рис. 23. Проверка ключевого носителя.
В списке «Установлены следующие считыватели» должен присутствовать дисковод с именем подключенного диска.
Если дисковода с таким именем в списке нет, то его следует добавить, нажав кнопку «Добавить…». Начнет работать мастер установки считывателя. В первом окне мастера установки считывателя необходимо нажать кнопку «Далее >». Откроется окно для выбора считывателя (см. Рис. 24).
Рис. 24. Выбор считывателя.
В списке «Производители» выбрать «Компания КриптоПро», а в Списке «Доступные считыватели» выбрать «Дисковод» и нажать кнопку «Далее >». Откроется окно выбора соединения (см. Рис. 25).
Рис. 25. Выбор соединения.
В списке «Доступные соединения» выбрать название (букву) флеш-диска, подключенного к системе, и нажать кнопку «Далее >». Откроется окно «Имя считывателя».
Рис. 26. Выбор имени считывателя.
В случае необходимости, измените имя считывателя и нажмите кнопку «Далее >». Откроется окно завершения работы мастера установки считывателя (см. Рис. 27).
Рис. 27. Окно завершения работы мастера установки считывателя.
Для завершения установки нажмите кнопку «Готово».
1.3.2.Копирование закрытого ключа с одного ключевого носителя на другой
Выполните команду Пуск → Панель управления → Крипто Про CSP, перейти на закладку «Сервис» и нажать кнопку «Скопировать контейнер». Откроется дополнительное окно, см. Рис. 28.
Рис. 28. Копирование контейнера закрытого ключа.
Для выбора ключа, который необходимо скопировать, нажмите кнопку «Обзор». Откроется окно «Выбор ключевого контейнера» (см. Рис. 29).
Рис. 29. Выбор ключевого контейнера.
В списке ключевых контейнеров пользователя выберите необходимый считыватель и нажмите кнопку «Ок». В окне «Контейнер закрытого ключа» нажмите кнопку «Далее >».
В поле «Имя ключевого контейнера» введите любое удобное для Вас имя ключевого контейнера и нажмите кнопку «Готово».
Рис. 30. Ввод имени ключевого контейнера закрытого ключа.
В следующем окне необходимо выбрать ключевой носитель (Дисковод), куда необходимо скопировать закрытый ключ, и нажать кнопку «Ок» (см. .
Рис. 31. Выбор нового ключевого носителя для закрытого ключа.
В том случае, если ключ содержит пароль, система попросит ввести пароль для ключа, а затем предложит поменять пароль для скопированного ключа.
На этом копирование ключа можно считать успешным.
Просмотреть созданный контейнер с закрытым ключом на новом ключевом носителе можно следующим образом:
Выполнить команду Пуск → Панель управления → Крипто Про CSP.
Перейти на закладку «Сервис».
Нажать кнопку «Просмотреть сертификаты в контейнере».
Нажать кнопку «Обзор».
Рис. 32. Просмотр скопированного контейнера закрытого ключа на новом ключевом носителе.
1.3.3.Установка сертификата в системное хранилище сертификатов
Кроме непосредственно копирования секретного ключа с одного ключевого носителя на другой, необходимо также выполнить установку сертификата для данного секретного ключа в системное хранилище сертификатов. Это необходимо для того, чтобы вновь установленный сертификат указывал на новое местоположение секретного ключа (на дисковод H).
Дальнейшие действия зависят от того, где находится сертификат открытого ключа – вместе с секретным ключом в контейнере на ключевом носителе или отдельно.
1.3.3.1.Сертификат находится вместе с секретным ключом в контейнере на ключевом носителе
Выполнить команду Пуск → Панель управления → Крипто Про CSP. Перейти на закладку «Сервис». Нажать кнопку «Просмотреть сертификаты в контейнере». Нажать кнопку «Обзор».
Выбрать добавленный считыватель в окне «Выбор ключевого контейнера» (см. Рис. 33) и нажать кнопку «OK».
Рис. 33. Выбор ключевого контейнера.
Нажать кнопку «Далее >». В следующем окне будет выведена информация о сертификате для данного ключа (см. Рис. 34).
Рис. 34. Просмотр информации о сертификате.
Нажмите кнопку «Свойства». Откроется окно установки сертификата (см. Рис. 35).
Рис. 35. Окно установки сертификата.
Нажмите кнопку «Установить сертификат…». Далее следуйте простым инструкциям установщика сертификата.
1.3.3.2.Сертификат находится в отдельном файле
В это случае необходимо осуществить привязку сертификата из файла с секретным ключом на ключевом носителе и после этого установить сертификат в системное хранилище сертификатов.
Выполнить команду Пуск → Панель управления → Крипто Про CSP. Перейти на закладку «Сервис». Нажать кнопку «Установить личный сертификат…».
В первом окне нажать «Далее >». Затем выбрать файл с сертификатом в поле «Имя файла сертификата» (см. Рис. 36), нажав кнопку «Обзор» и указав нужный сертификат в стандартном диалоговом окне.
Рис. 36. Выбор сертификата для установки.
Нажать кнопку «Далее >». В следующем окне просто нажать кнопку «Далее >» Откроется окно «Контейнер закрытого ключа» (см. Рис. 37).
Рис. 37. Выбор ключевого носителя для связи с устанавливаемым сертификатом.
Нажать кнопку «Обзор» и выбрать ключевой носитель, с которым мы хотим связать наш сертификат из списка в дополнительном окне (см. Рис. 38).
Рис. 38. Выбор ключевого контейнера из списка.
Нажмите кнопку «ОК». Система попросит ввести пароль для секретного ключа на ключевом носителе и вызовет стандартный мастер установки сертификатов в системное хранилище сертификатов (см. Рис. 39).
Рис. 39. Окно мастера установки сертификата в системное хранилище.
Нажмите кнопку «Обзор». выберите наименование хранилища сертификатов (Обычно «Личные») и нажмите копку «Далее >».
В последнем окне нажмите кнопку «Готово».
Установленный таким образом сертификат будет иметь привязку к ключевому носителю и при использовании сертификата Система будет по этой привязке находить новый ключевой носитель.
Если необходимо вернуться к использованию старого ключевого носителя, то достаточно просто переустановить в системное хранилище сертификат от старого ключа.
|
