Настройка проверки принадлежности УЦ к определенному списку
Квалифицированная электронная подпись (КЭП) создается с помощью сертифицированных ФСБ криптографических средств и имеет сертификат от аккредитованного удостоверяющего центра, выступающего гарантом подлинности подписи. Электронный документ, подписанный КЭП, во всех случаях приравнивается законодательством к бумажному документу с собственноручной подписью.
Подтверждение подлинности ЭП сертификата, изданного удостоверяющим центром, входящим в список аккредитованных удостоверяющих центров Министерства цифрового развития, связи и массовых коммуникаций, и соответствующих электронных подписей при помощи КриптоПро SVS возможно после выполнения следующих условий:
- Корневой сертификат Головного удостоверяющего центра должен быть установлен в хранилище сертификатов SVS.
- Сертификаты подчиненных Удостоверяющих Центров: «УЦ 1 ИС ГУЦ», «УЦ 2 ИС ГУЦ» должен быть установлен в хранилище «Промежуточные центры сертификации» локального компьютера.
- Сертификат аккредитованного УЦ в режиме подчинения должен быть установлен в хранилище «Промежуточные центры сертификации» локального компьютера.
- КриптоПро SVS должен иметь возможность проверки статуса сертификата по CRL или OCSP-ответу. Для этого необходимо либо установить локально и регулярно обновлять CRL, либо обеспечить доступ с сервера SVS в интернет для возможности загрузки CRL или проверки актуального статуса сертификата по протоколу OCSP.
Для удобства установки всех необходимых сертификатов аккредитованных УЦ и CRL в
состав установки КриптоПро SVS включена утилита КриптоПро TSL (Dss.TslTool.exe
). Утилита предназначена для выполнения следующих действий:
- Установка корневого сертификата Головного удостоверяющего центра
- Загрузка TSL (списка аккредитованных УЦ, Trust-service Status List)
- Установка сертификатов подчиненных УЦ, перечисленных в TSL (сертификаты аккредитованных УЦ и сертификаты подчинённых УЦ)
- Загрузки и установки CRL аккредитованных УЦ
- Удалению CRL аккредитованных УЦ с истёкшим сроком действия
Утилита распространяется в самораспаковывающемся архиве DssTslTool.exe
, который
устанавливается в каталог C:\Program Files\Crypto Pro\DSS\VerificationService. Для
начала работы с утилитой необходимо распаковать архив:
После распаковки архива необходимо ознакомиться со справкой к утилите. Для этого в командной строке следует перейти в каталог, куда была распакована утилита, и выполнить следующую команду.
DSS.TslTool.exe --help
Пример базового использования утилиты Dss.TslTool:
- Первоначальная установка всех необходимых сертификатов и CRL:
DSS.TslTool.exe --rootstorages SVS-TSL --castorages SVS-CA --onlyvalidca 1
Примечание
Имя хранилища сертификатов для установки сертификата головного удостоверяющего Центра
зависит от имени Веб-приложения SVS и имеет вид <ApplicationName>-TSL
.
Имя хранилища сертификатов и CRL для установки
сертификатов подчиненных удостоверяющих Центров имеет вид <ApplicationName>-CA
.
Примечание
При обновлении с версий SVS 2.0.2300 и предыдущих рекомендуется очистить хранилище Промежуточные центры сертификации локального компьютера от ранее установленных сертификатов и CRL. Большое количество сертификатов и CRL в данном хранище замедляет как работу SVS, так и системы в целом.
Примечание
Для того чтобы устанавливать сертификаты и CRL удостоверяющих центров, имеющих аккредитацию на момент запуска утилиты,
используется параметр --onlyvalidca 1
.
- Обновление сертификатов аккредитованных УЦ и CRL
DSS.TslTool.exe --skiproot --removeoutOfdatecrl --removeoutOfdatecert --rootstorages SVS-TSL --castorages SVS-CA
Примечание
Выполнение данной команды можно добавить в планировщик Windows для регулярного обновления CRL.
В случае если сервер SVS не имеет выхода в интернет, то сертификаты аккредитованных УЦ и CRL могут быть установлены из файла. Для этого на машине, имеющей выход в Интернет, следует запустить утилиту со следующими параметрами.
DSS.TslTool.exe --downloadcrlonly --skipcerts --skiproot
После выполнения данной команды в каталог <dsstsltool_installdir>\tmp
будут сохранены
TSL и CRL. Каталог для сохранения объектов, загруженных из сети, при необходимости
может быть изменен.
Примечание
Для запуска утилиты Dss.TslTool.exe
на другом хосте необходимо наличие .NET Framework
4.6.1. Установочный файл может быть взят с дистрибутивного диска.
Далее необходимо перенести каталог с загруженными файлами на сервер КриптоПро SVS. Для установки сертификатов аккредитованных УЦ и CRL из файла необходимо запустить утилиту со следующими параметрами:
DSS.TslTool.exe --crlfromfolder C:\temp\ --tslfile C:\temp\tsl.xml --castorages SVS-CA