Установка и настройка средств криптографической защиты информации КриптоПро CSP
В данном разделе используются следующие термины и определения:
Сертификат – идентификационная информация о пользователе и его открытый ключ, подписанный закрытым ключом центра сертификации.
Ключевой контейнер – способ хранения закрытого ключа пользователя.
Для установки СКЗИ следует выбрать пункт загрузочного меню «КриптоПро CSP».
ПРИМЕЧАНИЕ. Если на компьютере, с которого будет производиться отправка отчетности в налоговые органы, уже установлена программа «КриптоПро CSP 3.6», то можно сразу приступить к установке сертификата удостоверяющего центра и получению личного сертификата ключа подписи (пп. 1.7.2, 1.7.3).
-
Установка программы «КриптоПро CSP» версии 3.6
Для установки программы «КриптоПро CSP» версии 3.6 с компакт-диска «Такском-Спринтер» необходимо в загрузочном меню последовательно выбрать пункты «КриптоПро CSP – КриптоПро CSP 3.6».
Установка производится в соответствии с сообщениями, выдаваемыми программой установки. В процессе установки потребуется принять условия лицензионного соглашения и ввести серийный номер КриптоПро CSP с бланка лицензии на использование программы или с карточки настройки ПК «Спринтер».
ВАЖНО! При вводе серийного номера нужно следить за переключателями регистра и раскладки клавиатуры (русский/английский).
После завершения установки необходимо произвести перезагрузку компьютера.
Далее для программы «КриптоПро CSP версии 3.6» необходимо установить датчик случайных чисел (ДСЧ). Для этого нужно:
запустить программу «КриптоПро CSP» («Пуск – Настройка – Панель управления – КриптоПро CSP»);
перейти на закладку «Оборудование» и нажать кнопку «Настроить ДСЧ»;
в открывшемся окне «Управление датчиками случайных чисел» нажать кнопку «Добавить», а затем кнопку «Далее» в окне мастера установки ДСЧ;
в следующем окне мастера установки выбрать «Биологический ДСЧ» и нажать кнопку «Далее»;
в следующем окне мастера установки следует ввести имя ДСЧ и нажать кнопку «Далее» и «Готово».
Если датчик установлен правильно, то окно «Управление датчиками случайных чисел» должно иметь следующий вид.
Далее можно включить режим кэширования. В этом случае при сдаче отчетности достаточно один раз предъявить дискету с ключевым контейнером. Больше этого делать не потребуется до перезагрузки компьютера.
Для установки режима кэширования нужно перейти на закладку «Безопасность», поставить галочку в поле «Включить кэширование», выбрать размер кэша (по умолчанию 8) и нажать «ОК».
Далее следует установить сертификат удостоверяющего центра и получить личный сертификат ключа подписи (пп. 1.7.2, 1.7.3).
-
Установка сертификата Удостоверяющего центра
Перед установкой сертификата удостоверяющего центра следует зайти на Web-сайт специализированного оператора связи, с которым Вы заключили договор об оказании услуг, выбрать раздел «Удостоверяющий центр» и перейти в подраздел «Сертификат Удостоверяющего центра». На этой странице нужно щелкнуть левой кнопкой мыши по ссылке «Корневой сертификат для систем ЭДО ООО «Такском»» и сохранить корневой сертификат Удостоверяющего центра на своем компьютере.
Затем с помощью значка «Мой компьютер» на рабочем столе Вашего компьютера или проводника Windows следует указать каталог, в который был сохранен сертификат с сайта, щелкнуть правой кнопкой мыши по имени сертификата и в открывшемся контекстном меню выбрать пункт «Установить сертификат», в результате чего будет запущен мастер импорта сертификатов.
В открывшемся окне «Мастер импорта сертификатов» нужно нажать кнопку «Далее». В следующем окне необходимо установить переключатель выбора хранилища в положение «Поместить все сертификаты в следующее хранилище», а с помощью кнопки «Обзор» – указать в качестве имени хранилища «Доверенные корневые центры сертификации».
После завершения работы мастера импорта сертификатов (кнопка «Готово») на вопрос о добавлении сертификата в корневое хранилище нужно ответить «Да» и нажать «ОК» в сообщении об успешном импорте сертификата.
-
Формирование личных ключей и получение сертификата ключа подписи
Формирование личных ключей и получение сертификата ключа подписи осуществляется с использованием маркера временного доступа. Параметры маркера временного доступа (ID маркера и пароль) указаны в карточке временного доступа к Удостоверяющему центру, выдаваемой при подключении к системе.
ПРИМЕЧАНИЕ. Для выполнения процедуры генерации личных ключей и получения сертификата ключа подписи требуется соединение с Удостоверяющим центром Оператора по протоколу https (порт 443).
Для формирования и получения личного ключа подписи абонент системы «Такском-Спринтер» должен зайти на Web-сайт специализированного оператора связи, выбрать раздел «Удостоверяющий центр» и перейти в подраздел «Вход для зарегистрированных абонентов».
На открывшейся странице нужно нажать ссылку «Вход для пользователей, обладающих маркером временного доступа».
На открывшейся странице нужно ввести идентификатор маркера «ID маркера» и «Пароль», указанные в карточке временного доступа к Удостоверяющему центру, и нажать на кнопку «Войти».
ВАЖНО! Раскладка клавиатуры должна быть латинская, Caps Lock выключен.
На следующей странице нужно установкой галочки в поле «С указанными данными согласен» подтвердить правильность указанной информации и нажать кнопку «Отправить запрос на сертификат».
ПРИМЕЧАНИЕ. Если на экране появится предупреждение безопасности (их может быть несколько), нужно ответить «Да».
Далее необходимо вставить в компьютер ключевой носитель (дискету, eToken и т.д.). В открывшемся окне выбора ключевого носителя в поле «Устройства» выделить курсором мыши соответствующий ключевой носитель. Например, для ключевого носителя дискеты – выбрать «Дисковод, А», для ключевого носителя eToken – «AKS ifdh 0». Затем нужно нажать кнопку «ОК».
ПРИМЕЧАНИЕ. В том случае, если на Вашем компьютере дисковод 3,5 для дискет обозначен буквой «В» и определяется как Диск 3,5 (B:), следует выполнить настройку программы «КриптоПро CSP» на использование в качестве устройства считывания ключевой информации дисковода B: (подробнее см. 1.7.7).
После выбора устройства считывания ключевой информации откроется окно «Биологический датчик случайных чисел». В процессе работы датчика (пока отображается индикатор выполнения) нужно нажимать произвольные клавиши на клавиатуре (кроме клавиши Esc) или двигать курсором мыши в поле окна датчика. При выполнении данной процедуры происходит генерация пары ключей (закрытого и открытого) и запись на ключевой носитель.
По окончании работы датчика откроется окно для установки пароля на контейнер, в котором будут храниться сгенерированные ключи и сертификат. Если Вы не хотите устанавливать пароль, нажмите сразу кнопку «ОК», или сначала введите пароль, а потом нажмите «ОК» для его установки.
ВАЖНО! Если Вы установили пароль, то следует помнить, что при утере пароля дальнейшая работа в системе будет невозможна без смены ключевой информации (внеплановой замены сертификата).
ПРИМЕЧАНИЕ. Если в качестве носителя ключевой информации используется устройство eToken, появится окно для ввода PIN-кода (по умолчанию установлен PIN-код 1234567890, пользователь имеет право сменить PIN-код по своему усмотрению). PIN-код используется для обеспечения безопасности закрытой информации и запрашивается при каждом обращении к создаваемому ключевому контейнеру. При установке галочки в поле «Запомнить PIN-код» последующий ввод PIN-кода при обращении к eToken не потребуется.
Далее на открывшейся странице нужно нажать кнопку «Установить сертификат».
Процедура формирования личных ключей и получения сертификата ключа подписи завершена. Сертификат ключа подписи установлен в хранилище «Личные» на Вашем компьютере. Теперь в процессе работы при установлении защищенного соединения с Удостоверяющим центром будет появляться список установленных сертификатов.
После установки личного сертификата рекомендуется записать его на ключевой носитель (дискету, eToken и т.д.). Хранение сертификата на ключевом носителе позволяет пользователю переносить всю необходимую ключевую информацию с компьютера, где были сформированы личные ключи пользователя на другие рабочие места.
Для этого нужно вставить в компьютер ключевой носитель, который использовался для записи ключевого контейнера, запустить Internet Explorer и последовательно выбрать в меню пункты «Сервис» – «Свойства обозревателя». В открывшемся окне «Свойства обозревателя» следует перейти на закладку «Содержание», нажать на кнопку «Сертификаты» и перейти на закладку «Личные». При этом откроется окно со списком установленных личных сертификатов, в котором нужно выделить экспортируемый сертификат и нажать на кнопку «Экспорт». В открывшемся окне мастера экспорта сертификатов следует нажать кнопку «Далее» и следовать указаниям мастера (если на контейнер был установлен пароль, то сначала откроется окно для ввода пароля). В следующем окне на вопрос об экспорте закрытого ключа вместе с сертификатом следует ответить «Нет» (установить переключатель в положение «Нет»). В окне выбора формата файла сертификата нужно установить переключатель в положение «Файлы в DER-кодировке…». В следующем окне с помощью кнопки «Обзор» необходимо указать ключевой носитель, на который копируется сертификат и имя файла сертификата (имя файла может быть любым, но, если с одного компьютера сдается отчетность нескольких организаций, рекомендуется использовать в качестве имени файла логин организации или ее название). По окончании процедуры экспорта появится сообщение «Экспорт успешно выполнен».
-
Установка личного сертификата
В случае, когда требуется использование ключей и сертификатов на другом компьютере (на новом рабочем месте), необходимо выполнить процедуру установки сертификата с ключевого носителя (дискеты, eToken и т.д.). Предварительно должна быть выполнена процедура экспорта сертификата.
Для установки личного сертификата с ключевого носителя нужно запустить программу «КриптоПро CSP» («Пуск – Настройка – Панель управления – КриптоПро CSP») и на закладке «Сервис» нажать кнопку «Установить личный сертификат».
При этом запускается мастер установки личного сертификата, и нужно следовать его указаниям. При требовании ввести или указать расположение файла устанавливаемого сертификата нужно вставить в компьютер ключевой носитель (дискету, eToken и т.д.) и с помощью кнопки «Обзор» указать путь к файлу сертификата, который имеет вид *.cer.
После нажатия на кнопку «Далее» появится окно, содержащее данные сертификата и затем окно, в котором нужно указать имя ключевого контейнера. При нажатии на кнопку «Обзор» откроется окно «Выбор ключевого контейнера», в котором следует нажать на кнопку «ОК».
Имя контейнера будет автоматически вписано в соответствующее поле. В этом же окне мастера установки нужно нажать кнопку выбора в правой части поля «Выберите CSP для выбора ключевых контейнеров», выбрать «GOST R 34.10-2001 Cryptographic Service Provider» и нажать кнопку «Далее».
В следующем окне с помощью кнопки «Обзор» нужно выбрать хранилище «Личные».
После завершения работы мастера установки личного сертификата нужно нажать кнопку «Готово».
ВАЖНО! Если с одного компьютера сдается отчетность нескольких организаций, необходимо повторить процедуру установки личного рабочего сертификата для каждой организации, в указанном выше порядке.
Просмотреть сертификат ключа подписи можно следующим образом.
Во-первых, можно открыть ключевую дискету и дважды щелкнуть левой кнопкой мыши по имени сертификата. Содержание будет отображено в стандартном окне просмотра сертификатов.
Во-вторых, можно запустить программу «КриптоПро CSP» («Пуск – Настройка – Панель управления – КриптоПро CSP») и на закладке «Сервис» нажать кнопку «Просмотреть сертификаты в контейнере». Далее вставить в компьютер ключевой носитель (дискету, eToken и т.д.) и с помощью кнопки «Обзор» указать ключевой контейнер для просмотра аналогично тому, как это делалось при установке личного сертификата. Затем нужно нажать кнопку «Далее» – в следующем окне будут представлены данные сертификата для просмотра.
В-третьих, можно запустить Internet Explorer и последовательно выбрать в меню пункты «Сервис – Свойства обозревателя». В открывшемся окне «Свойства обозревателя» следует перейти на закладку «Содержание» и нажать на кнопку «Сертификатов…». При этом откроется окно со списком установленных сертификатов, в котором нужно дважды щелкнуть мышью по строке с интересующим Вас сертификатом.
-
Использование в качестве считывателя ключевой информации дисковода В
ВАЖНО! В данном разделе руководства описана процедура установки устройств считывания ключевой информации, которую необходимо выполнять только в том случае, если на Вашем компьютере не может использоваться в качестве устройства для считывания ключевой информации дисковод А:.
Для установки нужного считывателя следует запустить программу «КриптоПро CSP» («Пуск – Настройка – Панель управления – КриптоПро CSP») и перейти на закладку «Оборудование». На этой закладке следует нажать кнопку «Настроить считыватели», после чего откроется окно «Управление считывателями».
В окне «Управление считывателями» будет приведен список установленных ранее считывателей. Если в этом списке нет нужного считывателя, то следует нажать кнопку «Добавить». В результате откроется окно «Мастер установки считывателя», в котором нужно нажать на кнопку «Далее». Открывшееся окно «Выбор считывателя» в поле «Доступные считыватели» будет содержать список всех считывателей, которые когда-либо были установлены на этот компьютер. Для установки в качестве считывателя ключевой информации дисковода B: следует выбрать из списка считыватель «Дисковод».
Если в списке нет нужного считывателя, то следует нажать кнопку «Установить с диска…» и в открывшемся окне нажать кнопку «Далее». Откроется окно «Выбор размещения». В этом окне нужно поставить галочку слева от поля «Сервер Крипто-Про» и нажать на кнопку «Далее». В открывшемся окне «Выбор установщика» в поле «Доступные установщики» из общего списка необходимо выбрать нужный установщик («Считыватель-дисковод» для установки дисковода B:) и нажать на кнопку «Далее».
В окне «Идет установка» следует дождаться окончания установки и нажать на кнопку «Готово». Открывшееся окно «Выбор считывателя» будет содержать список всех доступных считывателей.
Для установки в качестве считывателя ключевой информации дисковода B: следует выбрать из списка считыватель «Дисковод» и нажать на кнопку «Далее».
При этом откроется окно «Выбор соединения», в поле «Доступные соединения» которого нужно выбрать соединение с буквой дисковода В: и нажать на кнопку «Далее». Откроется окно «Имя считывателя», в котором будет указано имя считывателя (Дисковод, В). Изменять имя считывателя не рекомендуется.
Затем нужно нажать кнопку «Далее».
Появится окно «Завершение работы мастера установки считывателя», в котором нужно нажать на кнопку «Готово». В окне «Управление считывателями» со списком всех установленных считывателей следует нажать на кнопку «ОК».
После установки считывателя рекомендуется перезагрузить компьютер.
ПРИМЕЧАНИЕ. На компьютере может быть одновременно установлено и настроено несколько различных считывателей ключевой информации, но для удобства в работе рекомендуется установить только один считыватель.
-
Использование в качестве ключевого носителя информации Реестра или флеш-носителя
-
Изменение набора устройств считывания ключевой информации
Для установки нужного считывателя следует запустить программу «КриптоПро CSP» («Пуск – Настройка – Панель управления – КриптоПро CSP») и перейти на закладку «Оборудование». На этой закладке следует нажать кнопку «Настроить считыватели», после чего откроется окно «Управление считывателями».
В окне «Управление считывателями» будет приведен список установленных ранее считывателей. Если в этом списке нет нужного считывателя (для считывателя Реестр – это «Реестр», а для флеш-носителя – это «Дисковод, <�буква диска флеш-носителя>»), то следует нажать кнопку «Добавить». В результате откроется окно «Мастер установки считывателя», в котором нужно нажать на кнопку «Далее». Открывшееся окно «Выбор считывателя» в поле «Доступные считыватели» будет содержать список всех считывателей, которые когда-либо были установлены на этот компьютер.
Если в списке нет нужного считывателя (для считывателя Реестр – это «Реестр», а для флеш-носителя – это «Дисковод»), то следует нажать кнопку «Установить с диска…» и в открывшемся окне нажать кнопку «Далее». Откроется окно «Выбор размещения». В этом окне нужно поставить галочку слева от поля «Сервер Крипто-Про» и нажать на кнопку «Далее».
В следующем окне «Выбор установщика» в поле «Доступные установщики» из общего списка необходимо выбрать нужный установщик (для считывателя Реестр – это «Считыватель 'Реестр'», а для флеш-носителя – это «Считыватель - дисковод») и нажать на кнопку «Далее».
В открывшемся окне «Идет установка» следует дождаться окончания установки и нажать на кнопку «Готово». Открывшееся окно «Выбор считывателя» будет содержать список всех доступных считывателей.
В поле «Доступные считыватели» следует выбрать нужный считыватель (для считывателя Реестр – это «Реестр», а для флеш-носителя – это «Дисковод») и нажать кнопку «Далее».
ПРИМЕЧАНИЕ. В случае установки считывателя для флеш-носителя, необходимо вставить в USB-порт компьютера флеш-носитель, выделить курсором в поле «Доступные считыватели» считыватель «Дисковод» и нажать кнопку «Далее». В результате откроется окно «Выбор соединения», в котором в поле «Доступные соединения» отобразится буква диска флеш-носителя. В данном окне нужно нажать кнопку «Далее».
В следующем окне «Имя считывателя» будет указано имя считывателя (для считывателя Реестр – это «Реестр», а для флеш-носителя – это «Дисковод, <�буква диска флеш-носителя>»). Изменять имя считывателя не рекомендуется.
Затем следует нажать кнопку «Далее». В открывшемся окне «Завершение работы мастера установки считывателя» нужно нажать на кнопку «Готово». В окне «Управление считывателями» со списком всех установленных считывателей следует нажать на кнопку «ОК».
После установки считывателя рекомендуется перезагрузить компьютер.
ПРИМЕЧАНИЕ. На компьютере может быть одновременно установлено и настроено несколько различных считывателей ключевой информации, но для удобства в работе рекомендуется установить только один считыватель.
Далее необходимо выполнить процедуру копирования ключевой информации с дискеты на носитель ключевой информации (Реестр, флеш-носитель).
-
Копирование ключевой информации с дискеты в Реестр (на флеш-носитель)
Для осуществления процедуры копирования ключевой информации с дискеты в Реестр (на флэш-носитель) следует запустить программу «КриптоПро CSP» («Пуск – Настройка – Панель управления – КриптоПро CSP») и перейти на закладку «Сервис».
На этой закладке следует нажать кнопку «Скопировать контейнер», после чего откроется окно мастера копирования «Копирование контейнера закрытого ключа».
Далее нужно вставить ключевую дискету в компьютер и нажать кнопку «Обзор». В открывшемся окне «Выбор ключевого контейнера» следует выделить мышью строку с нужным ключевым контейнером (который требуется скопировать) и нажать кнопку «ОК».
В поле «Имя ключевого контейнера» окна мастера копирования автоматически отобразится имя ключевого контейнера ключевой дискеты, после чего нужно нажать кнопку «Далее».
В следующем окне в поле «Имя ключевого контейнера» следует ввести имя ключевого контейнера, на который с ключевой дискеты копируется ключевая информация.
Имя может быть любое, но для удобства в работе рекомендуется указать название организации, для которой создается копия ключевой информации. Имя рекомендуется вводить латинскими буквами. В случае копирования ключевой информации на флеш-носитель предварительно нужно вставить это устройство в компьютер. После этого нужно нажать кнопку «Готово». В открывшемся окне в поле «Устройства» следует выбрать требуемый считыватель («Реестр» – для считывателя Реестр или «Дисковод <�буква диска флеш-носителя>» – для флеш-носителя), выделив его мышью, и нажать кнопку «ОК».
ПРИМЕЧАНИЕ. Если на копируемый ключевой контейнер дискеты ранее был установлен пароль, то после этого откроется окно, в котором необходимо ввести требуемый пароль и нажать на кнопку «ОК».
В результате откроется окно для ввода пароля на вновь создаваемый контейнер, в котором при необходимости следует ввести новый пароль и в подтверждение нажать кнопку «ОК».
ВАЖНО! Если Вы забудете пароль на доступ к контейнеру, то без смены ключевой информации (внеплановой замены сертификата) дальнейшая работа в системе будет невозможна.
В результате ключевая информация будет скопирована на новый носитель ключевой информации.
Для обеспечения взаимодействия ключевого контейнера и личного сертификата ключа подписи следует выполнить установку личного сертификата в хранилище «Личные» с нового ключевого носителя.
-
Установка личного сертификата с ключевого носителя
Для установки личного сертификата ключа подписи с ключевого носителя нужно запустить программу «КриптоПро CSP» («Пуск – Настройка – Панель управления – КриптоПро CSP»), перейти на закладку «Сервис» и нажать кнопку «Просмотреть сертификаты в контейнере…».
В открывшемся окне «Сертификаты в контейнере закрытого ключа» с помощью кнопки «Обзор» нужно указать имя ключевого контейнера. При нажатии на кнопку «Обзор» откроется окно «Выбор ключевого контейнера», в котором после выбора контейнера следует нажать кнопку «ОК». Имя ключевого контейнера будет автоматически вписано в соответствующее поле.
Затем следует нажать кнопку «Далее» и в следующем окне с данными сертификата кнопку «Свойства». В результате откроется стандартное окно просмотра сертификата, в котором нужно нажать кнопку «Установить сертификат…».
В открывшемся окне «Мастер импорта сертификатов» следует нажать кнопку «Далее». В следующем окне нужно установить переключатель выбора хранилища в положение «Поместить все сертификаты в следующее хранилище», а с помощью кнопки «Обзор» – указать в качестве имени хранилища «Личные» и нажать кнопку «Далее».
Для завершения работы мастера импорта сертификатов следует нажать кнопку «Готово» и кнопку «ОК» в сообщении об успешном импорте сертификата.
|
