Какие есть способы генерации rsa ключа для егаис на ос windows xp sp3

Обновлено: 07.07.2024

Воообще-то, надо отдать должное разработчикам ЕГАИС. Они предложили интересную технологию, которая позволяет для доступа использовать личные сертификаты (сертификат плюс ключевая пара), хранящиеся на криптографических токенах с поддержкой российской криптографии, а канал защищать на RSA-сертификатах. Хотя если сказали А, то можно было сказать и В, т.е. защищать канал на ГОСТ-овых алгоритмах. Огорчает одно, что все это заточено только под MS Windows (или я ошибаюсь?), а точнее под Internet Explorer. А утилиты генерации запросов на сертификат для ЕГАИС привязаны к тому или иному токену.

Итак, в чем же особенность запроса на сертификат для ЕГАИС? Основная особенность, — это обязательное наличие в отличительном имени владельца сертификата (DN subject) дополнительного поля unstucturedName (UN) (oid — 1.2.840.113549.1.9.2). Если владельцем сертификата будет индивидуальный предприниматель, то в это поле записывыется строка «КПП=», а если владелец юридическое лицо, то в это поле записывается строка следующего вида:
КПП=код_причины_постановки_на_налоговый_учет:


В связи с этим требование на первой странице вкладки запрос на сертификат была добавлена кнопка ЕГАИС:


Еще одна особенность заключается в том, что обладатели сертификатов для ЕГАИС могут быть лицензиатами системы декларирования ФСРАР (oid — 1.2.643.3.6.78.4.4). Это тоже необходимо учитывать при создании запроса:


После того как все поля запроса на сертификат заполнены и вы подтвердили правильность данных, будут сгенерирована ключевая пара и создан запрос:


Если просмотреть запрос, то в нем можно увидеть oid-ы (Extetnded Key Usage — Расширенное Использование Ключа), которые требуются для ЕГАИС Росалкогольрегулирование:



Традиционно тройка сертификат х открытый_ключ х закрытый ключ
на токене связывается через атрибут CKA_ID
:

Наиболее распространенный способ задания CKA_ID – это использование значения хэш-функции от значения открытого ключа. Именно такой способ для связывания тройки объектов используется в проекте NSS (Network Security Services). При этом в качестве хэш-функции используется алгоритм SHA1.

К сожалению, и CKA_LABEL и CKA_ID можно установить/изменить в любой момент с любым значением. Таким образом, всегда существует вероятность, что сертификат окажется связанным с чужим приватным ключом. Не нужно объяснять, к каким это приведет последствиям.

А вообще, существует ли строгий математический алгоритм, который позволяет связать тройку CKO_CERTIFICATE x CKO_PRIVATE_KEY x CKO_PUBLIC_KEY в единое целое?
Да, такой алгоритм на базе криптографических механизмов (CKM_) токена существует.

К сожалению (хотя объективно понять можно), рассматривает связку в тройке через CKA_LABEL, формируемую выше упомянутым способом. Более того и для закрытого и открытого ключей СКА_ID формируется аналогичным образом. Для ключей это просто катастрофа, т.к. как ни CKA_ID ни CKA_LABEL никак не привязаны к самому ключу. Это касается и сертификата после его установки на токен. Если при традиционном формировании CKA_ID как хэш от открытого ключа, можно вегда проверить соответствие одного другому, то при задании CKA_ID и CKA_LABEL описанным выше способом это сделать невозможно.

Может возникнуть вопрос, а как проверить соответствие для закрытого ключа? Ответ простой, — вычислив значение открытого ключа по закрытому. Что касается сертификата, то значение его открытого ключа находится, естественно, в нем. Более того, сертификат сам содержит значение CKA_ID как для владельца сертификата (Certificate Subject Key Identifier), так и для издателя сертификата (Certificate Authority Key Identifier):


Самое неприятное оказалось, что при установке сертификата проверяется не наличие закрытого ключа, а достаточно наличия только открытого ключа. В этом случае сертификат установится, но закрытого ключа на нем не будет. Еще одна проблема. Это поиск открытого ключа по ИНН. Представляете, у человека один ИНН и несколько ключей для различных сертификатов. Какой кому принадлежит? После этого становится понятным требование наличия на JaCarta только одного сертификата и одной ключевой пары:

Данная ошибка может быть связана с задвоением сертификата. В Едином клиенте JaCarta в режиме администратора на вкладке ГОСТ После ввода пин-кода должен быть виден один открытый, один закрытый ключ и сертификат. В данном случае видно задвоение ключей. Вам нужно удалить лишние. Заново вставить носитель в usb разъем и повторите попытку установки УТМ. Если ошибка не исчезла, проведите инициализацию Jacarta по инструкции ссылка 1 и заново пройдите процесс генерации.

Будем надеяться, что этот недостаток будет устранен. Вы можете спросить, а как устанавливает сертификат утилита cryptoarmpkcs для ЕГАИС. Для полной совместимости для JaCarta мы сохранили идеологии, что CKA_ID и CKA_LABEL для ключей совпадают. Но только после установки сертификата на токен и его привязке в ключевой паре. А до этого момента CKA_ID ключевой пары сохраняется равным значению хэш от открытого ключа.
После установки сертификата его можно использовать для подписания документов.

В инструкции содержится информация о том, как настроить доступ в личный кабинет ЕГАИС, а также будут рассмотрены все его возможности: получение RSA сертификата для организации, ИП и транспортного средства, добавление контрагентов и номенклатуры, выгрузка журнала розничной продажи, переотправка ТТН и актов.

Перед настройкой доступа к личному кабинету ЕГАИС, нужно убедиться, что для аппаратного ключа Рутокен ЭЦП 2.0 или JaCarta-2 SE установлен соответствующий драйвер (Панель управления Рутокен или Единый клиент JaCarta), а также записан и действует ГОСТ сертификат, полученный в аккредитованном удостоверяющем центре (УЦ):

Аппаратные ключи

2. Настройка доступа в личный кабинет ЕГАИС.

Доступ в личный кабинет возможен при соблюдении следующих условий:

  • Использование браузера Internet explorer версии 9 и выше.
  • Наличие установленного программного компонента ФСРАР-Крипто 3.
  • Подключенный аппаратный ключ.

Для проверки выполнения условий нужно открыть сайт ЕГАИС по адресу http://egais.ru и в правом верхнем углу перейти по ссылке "Войти в личный кабинет":

Сайт ЕГАИС

Далее нужно нажать кнопку "Ознакомиться с условиями и проверить их выполнение":

Проверка условий для входа в личный кабинет ЕГАИС

В случае, если какие-либо программные компоненты не были установлены, то после проверки появятся ссылки для их скачивания:

Результат проверки условий

Все необходимые программы можно также скачать на этом сайте в разделе "Полезный софт".

При выполнении проверки может появиться всплывающее окно с запросом запуска надстройки в нижней части страницы. Нужно нажать кнопку "Разрешить" и повторно выполнить проверку условий:

Запрос запуска надстройки

Если все условия выполнены, нужно нажать кнопку "Перейти в Личный кабинет":

Результат проверки условий

В поле нужно ввести ПИН-код ГОСТ аппаратного ключа:

Ввод ПИН-кода (ГОСТ)

Пользовательские ПИН-коды по умолчанию для Рутокен ЭЦП 2.0:

  • ПИН-код ГОСТ: 12345678;
  • ПИН-код RSA: 12345678.

Пользовательские ПИН-коды по умолчанию для JaCarta-2 SE:

  • ПИН-код ГОСТ: 0987654321;
  • ПИН-код RSA: 11111111.

После ввода ПИН-кода нужно нажать кнопку "Показать сертификаты" и щёлкнуть по изображению сертификата:

Выбор сертификата

Появится страница личного кабинета ЕГАИС. Справа в меню можно выбрать различные разделы:

Личный кабинет ЕГАИС

3. Получение ключа доступа (RSA сертификата) для организаций и ИП.

Для каждого обособленного подразделения организации, а также ИП, формируется уникальный ключ доступа, который используется УТМ для защищённого соединения с ЕГАИС.

Формирование RSA сертификата для продуктивного контура ЕГАИС

Если нужное подразделение организации или ИП не отображается в списке, то его можно добавить в разделе "Контрагенты".

Для формирования ключа доступа нужно нажать кнопку "Сформировать ключ" и в появившемся окне указать ПИН-коды RSA и ГОСТ, подтвердить достоверность указанных сведений (поставить галочку) и нажать кнопку "Сформировать ключ":

Формирование RSA сертификата для продуктивного контура ЕГАИС

Появится еще один запрос ПИН-кода RSA, нужно его ввести и нажать кнопку "Ок":

Формирование RSA сертификата для продуктивного контура ЕГАИС

В течение нескольких минут сертификат будет сформирован и записан на аппаратный ключ (браузер Internet explorer на это время может зависнуть):

Формирование RSA сертификата для продуктивного контура ЕГАИС

Для получения RSA сертификата для тестового контура ЕГАИС, нужно перейти в раздел "Тестовый транспортный модуль", в нижней части страницы развернуть список "Получить тестовый RSA ключ", выбрать нужную запись и нажать кнопку "Сформировать ключ":

Формирование RSA сертификата для тестового контура

В появившемся окне нужно ввести ПИН-код RSA и нажать кнопку "Сформировать ключ":

Формирование RSA сертификата для тестового контура

Появится окно, в котором нужно ещё раз ввести ПИН-код для начала процесса формирования и записи сертификата.

На аппаратном ключе должен отображаться записанный RSA сертификат. Для Рутокен ЭЦП 2.0, например, нужно запустить программу Панель управления Рутокен, перейти на вкладку "Сертификаты". В списке должен быть сертификат с именем, состоящим из 12 цифр, которые являются идентификатором организации в ФСРАР (ФСРАР ИД):

Панель управления Рутокен

Срок действия RSA сертификата составляет 1 год. По окончании действия его нужно повторно записать.

4. Получение ключа доступа (RSA сертификата) для транспортного средства.

Формирование RSA сертификата транспортного средства для продуктивного контура ЕГАИС

После обработки запроса системой надпись на кнопке изменится на "Сформировать ключ". После этого можно приступить непосредственно к записи RSA сертификата для продуктивного контура, аналогично, как и для организации или ИП.

Для получения тестового RSA сертификата для транспортного средства, нужно перейти в раздел "Получить тестовый ключ для транспортного средства", выбрать из списка транспорт и нажать кнопку "Сформировать ключ" для записи сертификата на аппаратный ключ:

Формирование RSA сертификата транспортного средства для тестового контура ЕГАИС

5. Загрузка универсального транспортного модуля (УТМ).

Ссылки для скачивания УТМ для продуктивного контура находятся в разделе "Транспортный модуль". Доступны версии для операционных систем Windows, Debian, Ubuntu. Также в этом разделе находятся ссылки на различную документацию к УТМ:

УТМ для продуктивного контура

Дистрибутивы УТМ для тестового контура и документация к нему доступны в разделе "Тестовый транспортный модуль":

УТМ для тестового контура

Также ссылки для скачивания УТМ и документации доступны на этом сайте в разделе УТМ.

6. Добавление контрагентов.

Добавить контрагента в ЕГАИС можно в разделе "Контрагенты". Для этого нужно нажать соответствующую кнопку, заполнить и сохранить необходимые реквизиты:

Добавление контрагента

После добавления контрагента, он будет отображаться в таблице. Информация о нём проверяется в ФНС. По окончанию проверки статус в таблице изменится на "Подтверждена ФНС" и контрагент будет добавлен в ЕГАИС:

Добавление контрагента

7. Выгрузка журнала учёта розничной продажи.

Для розничных организаций, использующих технические средства для отправки сведений о реализуемой алкогольной продукции в ЕГАИС, автоматически формируется журнал учёта розничной продажи. Для его выгрузки необходимо перейти в раздел "Журнала учёта розничной продажи", указать КПП, дату и нажать кнопку "Открыть":

Журнал учёта розничной продажи

В остальных случаях данный журнал введётся вручную или с использованием сторонних программных средств.

8. Добавление номенклатуры.

Для добавления номенклатуры в справочник алкогольной продукции ЕГАИС нужно предварительно зарегистрировать её в Федеральном реестре алкогольной продукции (ФРАП) для получения регистрационного номера (кода реестра). После этого в разделе "Добавление номенклатуры" нужно указать ИНН и КПП и нажать кнопку "Проверить":

Добавление номенклатуры

Далее необходимо выбрать, является ли продукция иностранной:

Добавление номенклатуры

На следующем этапе нужно внести информацию о новой продукции:

Добавление номенклатуры

Для этого нужно указать регистрационный номер ФРАП и нажать кнопку "Проверить номер ФРАП". После проверки номера в поля "Полное наименование" и "Код вида продукции" автоматически загрузится информация из ФРАП. Останется только заполнить поля "Краткое наименование", "Крепость" и, в случае, если продукция является фасованной, "Ёмкость".

9. Переотправка ТТН и актов.

Для повторного получения ТТН или акта по ней необходимо перейти в раздел "Переотправка накладных/актов", в котором достаточно указать ФСРАР ИД получателя документа и идентификатор ТТН в ЕГАИС:

Переотправка ТТН и актов

10. Заключение.

В данной инструкции были подробно описаны все основные возможности личного кабинета ЕГАИС на данный момент. По мере внесения различных изменений в его функциональность, данная статья будет обновляться.

На данном этапе нам необходимо убедиться в Продавце ЭЦП и его лицензии, так как именно он несет ответственность за рабочее состояние электронной подписи. Выбирая ЭП между криптопровайдарами JaCarta PKI/ГОСТ/SE и КЭП Рутокен 2.0 следует знать что с 1 января 2019 года JaCarta PKI/ГОСТ/SE станет недействителен из за не соответствия стандартам ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

Для удобства обозначим следующие этапы:

Получение ЭЦП (электронной цифровой подписи)

Подготовка Компьютера к работе

Установка программного обеспечения для электронной подписи

Формирование RSA-ключа

Установка и настройка универсального транспортного модуля (УТМ)

Подключение 1С и Кассы

Подготовка Компьютера к работе

ОС - Microsoft Windows XP или выше

Программный компонент установлен и корректно работает Фсрар-Крипто

Браузер Internet Explorer версии 9.0 или выше

ОЗУ От 2 Гб или более

Установлена Java 8 и выше

Иметься подключение к сети интернет

Установка программного обеспечения для электронной подписи

Если статус «Поддерживается» все хорошо, продолжаем дальше

Для того чтобы нам попасть в ЛК, нужно:

3) Если каких либо компонентов не хватает, устанавливаем их в предложенной форме
4) В поле «Введите PIN-код аппаратного ключа (ГОСТ)» пишем 12345678 - PIN-код по умолчанию и нажимаем кнопку «Показать сертификаты»;

5) Выбираем нашу ЭЦП – Готово, мы в личном кабинете!

Формирование RSA-ключа

После того как мы зашли в личный кабинет нам нужно запросить RSA-ключ. Стоит отметить что к одной ЭЦП прикрепляются только одно КПП. Соответственно для организаций, имеющих несколько обособленных подразделений для каждого обособленного подразделения нужно иметь свою ЭЦП. Индивидуальным предпринимателям можно сделать одну ЭЦП для всех своих точек.

1) В ЛК ЕГАИС заходим во вкладку «получить ключ» На страничке буду перечислены адреса всех Ваших подразделений.

2) Выбираем нужный нам адрес и нажимаем «Сформировать ключ»

3) В появившемся окне вводим PIN - код 12345678 и нажимаем сформировать ключ. Если все сделано верно, то RSA-ключ запишется н Рутокен ЭЦП 2.0

Установка и настройка универсального транспортного модуля (УТМ)

Далее из личного кабинета во вкладке «транспортный модуль» нужно пройти по ссылке или указать свою почту для получения ПО универсального транспортного модуля (УТМ).

Устанавливаем УТМ следуя всем инструкциям в установочнике. Эта программа является шлюзом между вашим оборудованием учёта и личным кабинетом федеральной службы росалкогольрегулирования ЕГАИС.

Подключение 1С и Кассы

После установки программного обеспечения УТМ, появиться возможность произвести настройку между Вашей торговой системой учета и модулем УТМ, а также подключать контрольно-кассовую технику со сканером.

Для этого нужно обратиться за помощью к поставщику Вашего учетного решения.

Как установить ЕГАИС для Розницы?

Для подключения к ЕГАИС Розница (в части подтверждения факта закупки) необходимо:

1. Приобрести квалифицированную электронную подпись на носителе JaCarta или Рутокен ЭЦП 2.0
2. Установить Единый клиент JaCarta или Драйвера на Рутокен ЭЦП 2.0 в соответствии с разрядностью Вашей операционной системы (32-х или 64-х разрядной).

Порядок установки:

2. Нажмите «Начать проверку».

1_startproverka

2_runjava

4. Если при проверке прошли не все этапы, скачайте и установите предложенные программные компоненты.

3_pinkep

6. Введите ПИН код контейнера, где у Вас записан КЭП для ЕГАИС (по умолчанию ПИН код 0987654321).

8. В личном кабинете Вам необходимо получить дополнительный RSA сертификат, для идентификации в ЕГАИС и защищенного соединения с сервером.

4_viborpodrazdeleniya

[warning]Обращаем внимание, что связка ИНН-КПП для каждого подразделения должна быть уникальной.[/warning]
Если у Вас несколько подразделений, то производить генерацию RSA ключа нужно для каждого подразделения на отдельном носителе JaCarta с КЭП.
Если Ваше подразделение не отображается или отображается с неправильными реквизитами, Вам необходимо обратиться в лицензирующий орган вашего региона, с просьбой добавить подразделение (по месту осуществления деятельности) в реестр лицензий ФСРАРа.
Если Вашей организации нет в списке, значит Ваша организация не имеет лицензии на продажу алкоголя или Вы ИП.

7_addorg

5_rsakey

11. Введите ПИН код PKI (по умолчанию ПИН код 11111111).

6_pinrsa

14. Запустите скаченный файл установки транспортного модуля ЕГАИС (УТМ) и нажмите далее.

Читайте также: