Что такое корневые сертификаты, списки отозванных и зачем они нужны?
Корневой сертификат
(CA) — это файл, в котором указана информация об удостоверяющем центре. Для корректной работы личного сертификата необходимо установить корневые сертификаты (а именно «промежуточный», выданный Удостоверяющему центру, и «головной корневой» сертификаты, называемые «цепочкой доверия») Удостоверяющего центра, который выпустил данный сертификат.
Списки отозванных сертификатов
(CRL)– список аннулированных сертификатов.
Корневые сертификаты и списки отозванных необходимы для проверки информации о действительности и подлинности электронной подписи пользователя.
Затем дважды кликните левой кнопкой мыши по нему (Рис. 1).
Во всплывающем предупреждающем окне нажмите «Открыть» (Рис. 2).
Откроется сертификат. Во вкладке «Общие» нажмите кнопку «Установить сертификат» (Рис. 3).
Откроется окно «Мастер импорта сертификатов». Нажмите кнопку «Далее» (Рис. 4).
Далее отметьте строку «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор» (Рис. 5).
В открывшемся окне выберите «Доверенные корневые центры сертификации», затем нажмите кнопку «Ок» (Рис. 6).
В окне «Мастер импорта сертификатов» нажмите кнопку «Далее» (Рис. 7).
Далее нажмите кнопку «Готово» (Рис. 8).
Дождитесь завершения установки корневого сертификата. По окончанию нажмите кнопку «Ок» (Рис. 9).
Как установить корневые сертификаты и списки отозванных?
Для установки списка отозванных сертификатов воспользуйтесь инструкцией по установке списка отозванных сертификатов
.
Установить корневые сертификаты можно несколькими способами:
Способ 1 (автоматически)
Откройте «Мастер настройки рабочего места»
, нажмите «Настроить» и следуйте подсказкам системы. Инструкция по работе с «Мастером настройки».
Способ 2 (ручная установка)
Важно при установке сертификата обязательно выбирать только соответствующую папку:
- корневые сертификаты необходимо устанавливать в папку « Доверенные корневые центры сертификации
»; - промежуточные – в « Промежуточные центры сертификации
».
Установка корневых сертификатов
- Откройте файл корневого сертификата
, дважды нажав на него левой кнопкой мыши; - В открывшемся окне нажмите «Установить сертификат»;
- Нажмите «Далее»;
- Выберите пункт «Поместить все сертификаты в следующее хранилище» и нажмите «Обзор»;
- В новом окне выберите хранилище «Доверенные корневые центры сертификации» и нажмите «ОК»;
- В окне «Мастера импорта сертификатов» нажмите «Далее»;
- Нажмите «Готово»;
- Сертификат успешно установлен. Нажмите «ОК» в появившемся окне, чтобы закрыть «Мастер импорта сертификатов»;
- Закройте окно сертификата, нажав «ОК».
Чтобы установить корневые сертификаты в хранилище на ОС Linux, рекомендуем использовать «КриптоПро CSP».
«КриптоПро» версии 5.0
- Откройте утилиту «Инструменты КриптоПро (cptools)»;
- Перейдите на вкладку «Сертификаты», выберите хранилище «Доверенные корневые центры сертификации» и нажмите «Установить сертификаты».
- Найдите загруженный корневой сертификат, выберите его и нажмите «Открыть»;
- Если появится предупреждение, нажмите «ОК»;
- Сертификат успешно установлен. Закройте окно утилиты.
«КриптоПро» версии 4.0
- Откройте утилиту «Терминал»;
- В терминале введите команду sudo /opt/cprocsp/bin/amd64/certmgr -inst -store root -f {путь к файлу};
- Если появится предупреждение, нажмите «ОК»;
- Сертификат успешно установлен. Закройте «Терминал».
В примере используется сертификат Корневой_СА_ООО_Такском.crt, который находится в папке «Загрузки» пользователя.
Установка промежуточных сертификатов
- Откройте файл промежуточного сертификата, дважды нажав на него левой кнопкой мыши;
- В открывшемся окне нажмите «Установить сертификат»;
- В открывшемся окне нажмите «Далее»;
- Выберите пункт «Поместить все сертификаты в следующее хранилище» и нажмите «Обзор»;
- В новом окне выберите хранилище «Промежуточные центры сертификации» и нажмите «ОК»;
- В окне «Мастера импорта сертификатов» нажмите «Далее»;
- Нажмите «Готово»;
- Сертификат успешно установлен. Нажмите «ОК» в появившемся окне, чтобы закрыть «Мастер импорта сертификатов»;
- Закройте окно сертификата, нажав «ОК».
Чтобы установить промежуточные сертификаты в хранилище на ОС Linux, рекомендуем использовать «КриптоПро CSP».
«КриптоПро» версии 5.0
- Откройте утилиту «Инструменты КриптоПро – cptools»;
- Перейдите на вкладку «Сертификаты», выберите хранилище «Промежуточные центры сертификации» и нажмите «Установить сертификаты»;
- Выберите нужный сертификат для установки и нажмите «Открыть»;
- Сертификат установлен. Закройте окно утилиты.
«КриптоПро» версии 4.0
- Откройте утилиту «Терминал»;
- В открывшемся терминале введите команду sudo /opt/cprocsp/bin/amd64/certmgr -inst -store ca -f {путь к файлу};
- Сертификат установлен. Закройте «Терминал».
В примере используется сертификат Промежуточный_ООО_Такском.crt, который находится в папке «Загрузки» пользователя.
Где скачать корневые сертификаты?
Корневые сертификаты зависят от Удостоверяющего центра, выдавшего сертификат. Посмотреть, кем выдан сертификат, можно в открытой части сертификата (файл с расширением .cer). Информация указана в поле «Кем выдан» на вкладке «Общие».
Если сертификат выдан УЦ:
- ООО «Такском»
– сертификаты можно загрузить в разделе «Какие корневые сертификаты нужны для работы с сертификатами УЦ «Такском» данной статьи или с помощью « Мастера настройки
». - Федеральная налоговая служба
– можно загрузить с сайта ФНС
. - Для других
– необходимо обратиться в Удостоверяющий центр, выдавший сертификат.
Как проверить, установлены ли корневые сертификаты?
Необходимо открыть сертификат (файл с расширением .cer) и перейти на вкладку « Путь сертификации
».
Пример корректно установленной цепочки доверия
Если «цепочка доверия» установлена некорректно, на каком-либо сертификате или на самой цепочке могут быть красные «крестики» (пример на скриншоте ниже).
Пример некорректно установленной цепочки доверия
Какие корневые сертификаты нужны для работы с сертификатами УЦ «Такском»?
Для работы с сертификатами УЦ ООО «Такском»
необходимо установить следующие корневые и промежуточные сертификаты:
Для сертификатов, выпущенных по ГОСТу Р 34.10-2012 (кроме сертификатов «Биржа СПбМТСБ» и «Неквалифицированная ЭП»)
Необходимы все сертификаты из списка ниже:
Для сертификатов, выпущенных по ГОСТу Р 34.10-2001 (кроме сертификатов «Биржа СПбМТСБ» и «Неквалифицированная ЭП»)
Необходимы оба сертификата из списка ниже:
Для сертификатов «Биржа СПбМТСБ» и «Неквалифицированная ЭП»
, необходимо установить в хранилище «Доверенные корневые центры сертификации»;
, необходимо установить в хранилище «Доверенные корневые центры сертификации».
Чтобы проверить ГОСТ сертификата, необходимо:
- В браузере открыть «Панель управления» – «Свойства браузера» – «Содержание» – «Сертификаты»;
- Нажать на необходимый сертификат двойным кликом и выбрать вкладку «Состав»;
- Проверить строку «Алгоритм подписи».