Инструкция использования ПО «КриптоАрм»

Установка КриптоАРМ. 3

Регистрация КриптоАРМ.. 3

Создание ЭЦП.. 3

Создание дополнительной ЭЦП.. 8

Создание заверяющей ЭЦП.. 8

Проверка ЭЦП.. 10

Проверка ЭЦП совмещенного файла подписи. 10

Проверка ЭЦП с отделенной подписью.. 11

Шифрование данных. 12

Расшифровка данных. 15

Шифрование файла и создание ЭЦП.. 16

Расшифровка файла и проверка ЭЦП.. 16

Пример возможного решения бизнес процесса. 16

Установка КриптоАРМ.

Для установки программы "КриптоАРМ" запустите на исполнение файл trusteddesktop_ru. exe из дистрибутива программы. Далее следуйте стандартным инструкциям программы InstallShield Wizard. Для завершения процедуры установки необходимо выполнить перезагрузку компьютера.

После установки программы:

В указанном при установке каталоге (по умолчанию в каталоге Program Files ) будет создан подкаталог Digt . В меню панели задач Пуск -> Программы появится группа Digt , которая содержит меню вызова программы КриптоАРМ Агент.

Регистрация КриптоАРМ

После установки продукта запустите агент КриптоАРМ из меню ПУСК, при этом в панели задач появится агент КриптоАРМ. Зайдите в контекстное меню агента, нажав на него правой кнопкой мыши. Выберите О программе –> Регистрация и нажмите на кнопку Зарегистрировать. Введите регистрационные данные. Нажмите на кнопку Регистрация.

При успешной регистрации "КриптоАРМ 2.5" возникнет подтверждающее это сообщение.

Создание ЭЦП

Для того чтобы создать ЭЦП файла (подписать файл):

Активизируйте приложение КриптоАРМ Агент Операции Создать ЭЦП.

В открывшемся окне выберите файл, который необходимо подписать (создать ЭЦП). Выберите выходной формат файла ЭЦП (.p7s ).

В этом же окне выберите режим сохранения ЭЦП данных:

При установке флага Сохранить ЭЦП в отдельном файле будет сформирован файл с ЭЦП. При отсутствии флага - будет сформирован совмещенный файл с исходными данными и ЭЦП. При установке флага Включать время создания ЭЦП в файл ЭЦП будет включено время создания ЭЦП.

Укажите необходимые параметры ЭЦП - выберите сертификат для создания ЭЦП (используйте кнопку Выбрать ):

Для доступа к выбранному ключевому контейнеру введите пароль. Предварительно система потребует вставить ключевой носитель, если он не был вставлен до того. Сформированный файл ЭЦП по умолчанию будет сохранен в тот же каталог, в котором находится файл с исходными данными. Имя файла ЭЦП совпадает с именем подписываемого файла, дополненным расширением (расширение соответствует выбранному выходному формату). Если файл с таким именем уже существует, сохраните его под другим именем. После завершения операции возникнет окно с информацией о статусе операции и об используемых параметрах: сертификат, которым был подписан файл.

http://pandia.ru/text/79/570/images/image006_15.jpg" width="432" height="285">

Под дополнительной ЭЦП понимается электронная цифровая подпись, заверяющая документ, для которого уже была создана ЭЦП другого пользователя. Дополнительная ЭЦП необходима для того, чтобы подписанный документ можно было отредактировать и заново подписать, подтвердив своей ЭЦП внесенные изменения.

Активизируйте приложение КриптоАРМ Агент . В контекстном меню приложения выберите пункт Операции Добавить ЭЦП. В открывшемся окне выберите файл ЭЦП. Откроется окно Создание ЭЦП. Введите необходимые свойства добавляемой подписи (комментарий к ЭЦП, идентификатор ресурса, включение времени подписи, сохранение ЭЦП в отдельном файле) и нажмите на кнопку Далее. Затем выберите личный сертификат, который будете использовать для создания ЭЦП (используйте кнопку Выбрать ). Данные будут подписаны с использованием вашего личного сертификата. На экране возникнет сообщение с результатом операции.

Режим позволяет формировать заверяющую ЭЦП (в данном случае подписываются не сами данные, а собственно значение ЭЦП). С помощью этого пользователь может заверить ЭЦП другого пользователя, сформировав ЭЦП на значении ЭЦП другого пользователя, тем самым косвенно подписывая сами данные.

Для выполнения данной операции:

Активизируйте приложение КриптоАРМ Агент . В контекстном меню приложения выберите пункт Операции . В списке операций выберите пункт Проверить ЭЦП. Открыть ). Откроется Менеджер ЭЦП . Выделите подпись и нажмите на кнопку Соподпись .

Откроется окно Создание ЭЦП: Введите необходимые свойства встречной ЭЦП (комментарий к ЭЦП и идентификатор ресурса, а также флаг включения времени создания ЭЦП) и нажмите на кнопку Далее>. Выберите личный сертификат, который будет использоваться для создания ЭЦП (кнопка Выбрать ). Следуйте указаниям системы. В результате проделанной операции в окне Менеджер ЭЦП появится значок подписи, которой вы заверили другую подпись (в иерархии ЭЦП ваша подпись будет подписью второго уровня).

Проверка ЭЦП

При проверке ЭЦП совмещенного файла (файла, содержащего как сами подписанные данные, так и ЭЦП к ним) сначала выполняется снятие ЭЦП с данных и сохранение подписанных данных в отдельный файл, а после этого собственно проверка ЭЦП. Результат проверки ЭЦП просматривается в Менеджере ЭЦП .

Для того чтобы проверить корректность ЭЦП совмещенного файла в формате .p7s :

Активизируйте приложение КриптоАРМ Агент . В контекстном меню приложения выберите пункт Операции . Выберите в списке операций пункт Снять и проверить ЭЦП. В открывшемся окне выберите файл ЭЦП, который необходимо проверить (используйте кнопку Выбрать ). Подписанные данные извлекаются из выбранного файла и по умолчанию сохраняются в тот же каталог, в котором находится совмещенный файл подписи. Имя нового файла совпадает с именем файла подписи без расширения. Если файл с таким именем уже существует, сохраните его под другим именем. Если в файле подписи содержится одна подпись (нет дополнительных и/или встречных ЭЦП), то проверяется корректность ЭЦП и действительность сертификата отправителя. Откроется окно Менеджер ЭЦП, позволяющее просмотреть информацию о проверяемой ЭЦП и сертификате подписчика:

Для просмотра информации о подписи и сертификате используйте кнопку Просмотр. Дополнительно. Так же можно просмотреть сам сертификат, нажав кнопку Сертификат.

Откроется окно Менеджер ЭЦП, Просмотр .

При проверке статуса сертификата может возникнуть следующие сообщения:

Произошла ошибка при получении последней версии СОС из УЦ – такая ошибка возникает, если компьютер, на котором идет проверка сертификатов не имеет доступа во внешнюю сеть (Internet). Подпись недействительна – это означает, что файл был изменен после подписания, и цифровая подпись стала не действительной.

Проверка ЭЦП файла с отделенной подписью – проверка корректности самого файла подписи.

Файл подписи и исходный файл должны находится в одной папке!

Для того чтобы проверить ЭЦП файла с отделенной подписью :

Активизируйте приложение КриптоАРМ Агент . В контекстном меню приложения выберите пункт Операции . Выберите в списке операций пункт Проверить ЭЦП. В открывшемся окне выберите файл ЭЦП, который необходимо проверить (используйте кнопку Выбрать ). Если в файле подписи содержится одна подпись (нет дополнительных и/или встречных ЭЦП), то проверяется корректность ЭЦП и действительность сертификата отправителя. Откроется окно Менеджер ЭЦП, позволяющее просмотреть информацию о проверяемой ЭЦП и сертификате подписчика. Для просмотра информации о подписи и сертификате используйте кнопку Просмотр. Более подробную информацию об ЭЦП данного файла можно получить, используя кнопку Дополнительно. Откроется окно Дополнительные свойства подписи и сертификата. Оно содержит информацию об используемых алгоритмах подписи и хеширования, сроках действия сертификата, издателе сертификата. Если в файле ЭЦП содержится более одной подписи, то откроется окно Менеджер ЭЦП, содержащие дерево ЭЦП. Отчет о проверке любой из подписей дерева можно просмотреть, выбрав ветку дерева ЭЦП и нажав на кнопку Просмотр .

Проверка заверяющей ЭЦП (соподписи) происходит аналогично выше изложенному.

Шифрование данных

При необходимости фалы можно зашифровать. Для того чтобы зашифровать файл:

Активизируйте приложение КриптоАРМ Агент . В контекстном меню приложения выберите пункт Операции . В списке операций выберите пункт Зашифровать . В открывшемся окне выберите файл для шифрования. Выберите выходной формат файла с зашифрованными данными (.p7m ).

Выберите тип криптопровайдера Crypto- Pro GOST R 34.10-2001 Criptographic Service Proiver из списка.

В открывшемся окне выберите сертификаты получателей шифруемого файла, используя кнопку Добавить : Выберите необходимый сертификат. Здесь будут отображаться только те сертификаты, которые были предварительно установлены в «Другие пользователи» консоли сертификатов (см. руководство пользователя УЦ).

После завершения операции возникнет окно с информацией о статусе операции и об используемых параметрах:

Расшифровка данных

Расшифровка данных в "КриптоАРМ" производится с использованием пункта списка операций Расшифровать :

В открывшемся окне выберите файл для расшифровки: По запросу системы вставьте ключевой носитель и введите пароль. Данные будут расшифрованы и по умолчанию сохраняются в тот же каталог, в котором находится исходный файл данных. Имя нового файла совпадает с именем файла подписи без расширения. Если файл с таким именем уже существует, сохраните его под другим именем. После завершения операции возникнет окно с информацией о результатах расшифровки и используемых параметрах: имя исходного файла, имя выходного (расшифрованного) файла и имя владельца сертификата шифрования.

Расшифровать данный файл сможет только тот человек, сертификатом открытого ключа которого файл был зашифрован.

Шифрование файла и создание ЭЦП

Процедура Шифрование файла и создание ЭЦП объединяет в себе операции шифрования файла и его подписи (создание ЭЦП файла).

Для того чтобы зашифровать и подписать файл (создать ЭЦП файла):

Активизируйте приложение КриптоАРМ Агент . В контекстном меню приложения выберите пункт Операции . Выберите в списке операций пункт Создать ЭЦП и зашифровать .

Расшифровка файла и проверка ЭЦП

Для того чтобы расшифровать файл и проверить его ЭЦП:

Активизируйте приложение КриптоАРМ . В контекстном меню приложения выберите пункт Операции . Выберите в списке операций пункт Расшифровать и проверить ЭЦП

Пример возможного решения бизнес процесса.

Бизнес-процесс: документ (например – налоговая или бухгалтерская отчетность), подготовленный бухгалтером и заверенный генеральным директором направляется в налоговый орган.

Предположения.

Каждый единоличный исполнительный орган, представляющий организацию, имеет:

рабочее место - персональный компьютер, оснащенный операционной системой семейства «Windows» и пакетом офисных программ «Microsoft Office»; возможность (средства) для обмена почтовыми сообщениями; ключи подписи и сертификат открытого ключа, полученные от Удостоверяющего центра Московской области .

Условие.

Требуется обеспечить конфиденциальность данных при передаче.

А также юридическую значимость электронного документооборота.

Используемые программные средства лицами, участвующими в процессе согласования:

СКЗИ «КриптоПро CSP»; ключи подписи на ключевом носителе типа eToken; ПО «КриптоАРМ»; сертификат открытого ключа.

Общее описание процесса согласования документа.

1. Бухгалтер формирует с использованием MS Word документ и сохраняет его в виде файла на диск.

2. Бухгалтер подписывает файл своей электронной цифровой подписью (далее ЭЦП) с использованием ПО «КриптоАРМ». Для этого необходимо выполнить следующие действия:

§ Запустить агент КриптоАРМ из меню Пуск Программы Digt КриптоАРМ 2.5.0 КриптоАРМ агент Операции Создать ЭЦП .

Рисунок 1.

§ Появиться окно выбора файла для которого необходимо создать ЭЦП. Выберите необходимый файл и нажмите кнопку Открыть .

§ Выбор файла приведет к сообщению системы о том, что необходимо определить режим формирования ЭЦП и выбрать сертификат открытого ключа собственного сертификата. Для продолжения операции нажать на кнопку Далее .

http://pandia.ru/text/79/570/images/image002_30.jpg" width="501" height="467">

Рисунок 3.

ПО «КриптоАРМ» позволяет использовать как отделенную ЭЦП (представляет собой реквизит электронного документа, размещаемый в виде отдельного файла), так и неотделенную ЭЦП (в этом случае электронный документ преобразуется в формат определенный спецификацией PKCS#7 Data Signed). Для удобства эксплуатации рекомендуется использовать отделенную ЭЦП (далее будет рассматриваться именно этот случай, операции с неотделенной ЭЦП описаны в Руководстве пользователя ПО «КриптоАРМ»).

§ В появившемся окне указать свойства подписи: добавить комментарий к ЭЦП, указать идентификатор подписываемого ресурса, а так же определить режим создания ЭЦП (отделенная, совмещенная). При установке маркера напротив строки Отделенная ЭЦП система сформирует файл с именем исходных данных в формате. p7s. Нажать кнопку Далее .

Рисунок 4.

§ На запрос системы выбора собственного сертификата из персонального хранилища, в связке с которым имеется закрытый ключ нажать кнопку Выбрать .

Рисунок 5.

§ Следующее окно отобразит сертификат (если он единственный) или список личных сертификатов пользователя. Выбрать нужный сертификат и нажать кнопку ОК .

Рисунок 6.

Система запросит ключевой носитель, содержащий закрытый ключ, выбранного сертификата, если носитель не вставлен в соответствующий USB-порт.

Рисунок 7.

Вставить ключевой носитель. Система определит вставленный носитель.

§ В предыдущем окне появятся идентификационные сведения сертификата, выбранного из хранилища личных сертификатов. Нажатием кнопки Просмотреть можно просмотреть сам сертификат. Нажать кнопку Далее .

http://pandia.ru/text/79/570/images/image018_7.jpg" width="500" height="468 src=">

Рисунок 9.

§ Появится окно ввода пин-кода. Ввести в предложенное поле пин-код и нажать кнопку ОК .

http://pandia.ru/text/79/570/images/image020_7.jpg" width="434" height="285 src=">

Рисунок 11.

3. Бухгалтер формирует почтовое сообщение с использованием почтового клиента из пакета MS Office, в котором может указать любую информацию об отправляемом документе.

4. Бухгалтер прикрепляет два файла: файл отделенной ЭЦП и файл подписанного документа к почтовому сообщению.

5. Бухгалтер отправляет почтовое сообщение с использованием стандартных средств почтового клиента из пакета MS Office генеральному директору.

6. Генеральный директор получает почтовое сообщение с использованием почтового клиента из пакета MS Office и сохраняет вложение в виде двух файлов на диск.

7. Бухгалтер стандартными средствами почтового клиента из пакета MS Office получает подтверждение прочтения отправленного им генеральному директору сообщения.

8. Генеральный директор проверяет с использованием ПО «КриптоАРМ» ЭЦП бухгалтера. Необходимо выполнить следующие действия:

· Запустить агент КриптоАРМ из меню Пуск Программы Digt КриптоАРМ 2.5.0 КриптоАРМ агент , если он небыл запущен ранее. Правой кнопкой мыши нажмите на значок КриптоАРМ в панели задач и выберите Операции Проверить ЭЦП .

Рисунок 12.

· Появиться окно выбора файла, для которого необходимо создать ЭЦП. Выберите необходимый файл и нажмите кнопку Открыть .

Система проверяет корректность подписи. Если проверка действительности подписи отправителя прошла не успешно, система известит об этом..jpg" width="27" height="18 src=">)

Рисунок 13.

· Более подробную информацию об ЭЦП можно получить, используя кнопку Просмотр .

9. Генеральный директор открывает с использованием MS Word документ и знакомится с его содержанием.

10. Если генеральный директор не согласен с содержанием документа:

¨ Генеральный директор вносит нужные изменения в содержание документа, сохраняет их и закрывает приложение MS Word.

¨ Генеральный директор с использованием ПО «КриптоАРМ» подписывает документ, в комментарии к ЭЦП может, например, указать факт редакции документа и причины. Необходимо выполнить операцию Проверить ЭЦП Подпись .

http://pandia.ru/text/79/570/images/image025_4.jpg" width="481 height=289" height="289">

Рисунок 15.

¨ Генеральный директор формирует почтовое сообщение с использованием почтового клиента из пакета MS Office.

¨ Генеральный директор отправляет почтовое сообщение с использованием стандартных средств почтового клиента из пакета MS Office бухгалтеру.

¨ Бухгалтер получает почтовое сообщение с использованием почтового клиента из пакета MS Office и сохраняет вложение в виде двух файлов на диск.

¨ Бухгалтер проверяет с использованием ПО «КриптоАРМ» ЭЦП генерального директора (описано выше).

¨ Бухгалтер учитывает внесенные изменения.

11. Если генеральный директор согласен с содержанием документа:

¨ Генеральный директор закрывает приложение MS Word, не внося изменений в документ.

¨ Генеральный директор с использованием ПО «КриптоАРМ» заверяет документ. Необходимо выполнить операцию Проверить ЭЦП (описано выше) и нажать в появившемся окне кнопку Со-подпись .

Рисунок 16.

Далее следуют стандартные действия подписи (описано выше). Тем самым генеральный директор заверяет подпись бухгалтера. Обе подписи размещаются в одном файле подписи документа. Документ становится заверенным.

Рисунок 17.

12. Генеральный директор формирует почтовое сообщение с использованием почтового клиента из пакета MS Office.

13. Генеральный директор отправляет автоматически зашифрованное и подписанное своей ЭЦП почтовое сообщение с использованием стандартных средств почтового клиента из пакета MS Office в налоговый орган.

14. Представитель налогового органа получает почтовое сообщение, оно автоматически расшифровывается и проверяется подпись генерального директора средствами почтового клиента из пакета MS Office.

15. Генеральный директор стандартными средствами почтового клиента из пакета MS Office получает подтверждение прочтения отправленного им в налоговый орган сообщения.

16. Представитель налогового органа сохраняет вложение в виде двух файлов на диск.

17. Представитель налогового органа проверяет с использованием ПО «КриптоАРМ» ЭЦП бухгалтера и генерального директора (описано выше). Система проверяет корректность подписей. Если проверка действительности подписей не прошла, система известит об этом. В ином случае в окне информации о подписей будет сообщено об их корректности (Рис. 16).

18. Представитель налогового органа открывает с использованием MS Word документ и знакомится с его содержанием.

19. Если представитель налогового органа не согласен с содержанием документа:

¨ Представитель налогового органа нажатием кнопки в приложении почтового клиента из пакета MS Office запускает макрос, создающий стандартный в таком случае ответ, который в виде почтового сообщения автоматически зашифрованного и подписанного ЭЦП представителя налогового органа отправляется генеральному директору.

¨ Генеральный директор получает почтовое сообщение, оно автоматически расшифровывается и проверяется подпись представителя налогового органа средствами почтового клиента из пакета MS Office.

¨ Генеральный директор знакомится с содержанием ответа и принимает меры.

20. Если представитель налогового органа согласен с содержанием документа:

¨ Представитель налогового органа сохраняет полученный документ для дальнейшей работы с ним.

Не смотря на то, что программа КриптоАРМ во многих отраслях уже стала стандартом для электронной подписи, у пользователей по-прежнему возникает множество вопросов по работе с ней. Мы решили рассказать о том, как начать работу в КриптоАРМ и одновременно осветить наиболее часто задаваемые вопросы, которые возникают почти у всех: как исправить ошибку построения пути сертификации и ошибку отсутствия полного доверия к сертификату.

Обычно эта ошибка выглядит так:

Давайте сначала разберемся, почему эта ошибка возникает.

Отсутствие полного доверия к сертификату означает, что ваш компьютер не знает, может ли он доверять Удостоверяющему Центру (УЦ), который выдал вам сертификат, а соответственно - и самому вашему сертификату электронной подписи. Чтобы это исправить, нам нужно будет добавить этот УЦ в список доверенных на вашем компьютере.

Сообщение об ошибке построения пути сертификации говорит нам о том, что КриптоАРМ хотел бы проверить, нет ли вашего сертификата в списке отозванных. Такой список нужен для того, чтобы включать в него потерянные или украденные сертификаты. Если ваш сертификат в таком списке - им никто не может воспользоваться. Ссылка на такой список (его выкладывает УЦ на свой сайт) есть прямо в вашем сертификате, и если у вас есть подключение к Интернет, то КриптоАРМ сам может скачать и проверить, нет ли вашего сертификата в таком списке.

Можно сделать следующий вывод: если вы железобетонно уверены, что ваш УЦ правильный, и что вашего сертификата нет в списке отзыва - то можно ничего не делать и ошибки не исправлять. Это действительно так!

Шаг 1: Переводим КриптоАРМ в режим Эксперт

В КриптоАРМ почему-то в режиме Эксперт работать значительно проще, чем в режиме пользователя. Поэтому для начала перейдем в этот режим

Шаг 2: Подключаем сертификат электронной подписи

Здесь я руководствуюсь тем, что вы уже озаботились безопасностью вашего сертификата, приобрели токен , и положили туда свой сертификат. Ну или по крайней мере положили на дискету или флешку (и храните их в сейфе). Если все же нет - .

Подключаем отчуждаемый носитель

Выбираем криптопровайдер , как показано на скриншоте, а выбирая тип носителя, следует выбрать токен или дискету (флешка считается дискетой , не удивляйтесь).

или

Теперь выбираем контейнер. Контейнер, если упростить, это просто место где хранится сертификат на токене или флешке. В одном контейнере обычно лежит один сертификат, поэтому выбор контейнера сводится к выбору сертификата. Если у вас на носителе (флешке, токене, дискете) лежит несколько сертификатов - выберите именно тот, который вам нужен.

5

Если ваш контейнер хранится на токене (или в иных случаях), то нужно будет ввести пин-код. Для Рутокен стандартный пин-код 12345678 , для eToken - 1234567890 . Если вы все еще пользуетесь стандартным пин-кодом - стоит его сменить, ведь весь смысл использования токена заключается в защите сертификата пин-кодом.

Все, мы объяснили программе КриптоАРМ , где находится наш сертификат, но она ему не очень доверяет.

Шаг 2-1: Подключаем сертификат, если он не на съемном носителе

Если ваш сертификат лежит где-то на вашем локальном диске, то хочу вас предупредить - это очень небезопасно . Согласно данным Лаборатории Касперского, Россия находится в первой пятерке стран с наивысшей вероятностью заражения вирусами , при этом каждый двадцатый компьютер, имеющий антивирусную защиту, все же заражен тем или иным вирусом. А это значит, что злоумышленники, которые управляют вирусами, могут легко и непринужденно украсть ваш сертификат электронной подписи.

Я попытался найти простой способ добавить сертификат в КриптоАРМ, если он лежит на локальном диске, но не нашел. Поэтому единственный быстрый способ добавить сертификат с локального диска в КриптоАРМ - это положить его на флешку (прямо в корень, без папок) и .

Шаг 3: Добавляем сертификат УЦ в список доверенных центров сертификации

Для этого возвращаемся в основное окно КриптоАРМ, заходим Сертификаты - Личное хранилище сертификатов - Правой кнопкой мыши на ваш сертификат - Свойства

Переходим на вкладку "Статус Сертификата ", выбираем сертификат удостоверяющего центра (из него "вытекает" ваш сертификат), и нажимаем Просмотреть , а затем нажимаем кнопку Установить сертификат .

Выбираем пункт "Поместить все сертификаты в следующее хранилище ", нажимаем Обзор , а затем выбираем "Доверенные корневые центры сертификации ", а затем подтверждаем установку сертификата.

КриптоАРМ Trusted TLS Trusted Java

КриптоАРМ

• 1. Ошибка - указан неверный серийный номер

  Установите соответствующий лицензии дистрибутив:

  
  

• 2. Ошибка - Статус сертификата: недействителен, ошибка построения пути сертификации

  Сообщение “ошибка построения пути сертификации” говорит о том, что Вам необходимо установить на рабочем месте корневой сертификат удостоверяющего центра и список отозванных сертификатов (СОС). Если у вас их нет, скачайте с официального сайта удостоверяющего центра или по ссылке в составе сертификата. Для просмотра ссылки необходимо:
  1. Если у Вас “КриптоАРМ” версии 4, то выберите в меню ВИД - Эксперт, если “КриптоАРМ” версии 5, просто перейдите к следующему пункту инструкции.
  2. В личном хранилище сертификатов двойным кликом мыши открыть сертификат
  3. Нажать на кнопку “Просмотреть”
  4. Выбрать вкладку “Состав”.
  5. Выбрать “Доступ информации о центре сертификации”.
  6. По ссылке скачать корневой сертификат удостоверяющего центра.
  7. Принудительно установить сертификат в папку: “Доверенные корневые центры сертификации”.

• 3. При подписании или проверке документа возникает предупреждение: "Нет полного доверия к сертификату подписи"

  При подписании или проверке документа возникает предупреждение: «Нет полного доверия к сертификату подписи» (статус сертификата отображается с желтым вопросительным знаком).
  Чтобы устранить предупреждение необходимо проверить сертификат по списку отозванных сертификатов, для этого:
  1. Если у вас 4-я версия КриптоАРМа, то выберите в меню ВИД - Эксперт, если 5-я версия просто перейдите к следующему пункту инструкции
  2. Выберите папку «Личное хранилище сертификатов»
  3. В окне справа выберите нужный сертификат, правой кнопкой мыши вызвать контекстное меню и выбрать «Проверить статус» - «По СОС (CRL) полученному из УЦ»
  4. Статус сертификата должен обновиться, актуальный СОС будет установлен в локальном хранилище.
  Если статус сертификата не обновился, запустите «Internet Explorer», откройте меню «Сервис» -> пункт «Свойства обозревателя» («Свойства браузера») -> закладка «Подключения» -> кнопка «Настройка сети». Убедитесь в том, чтобы в «Настройках сети» флажки «Автоматическое определение параметров» и «Использовать скрипт автоматической настройки» были сброшены и повторите процедуру обновления статуса сертификата, как это указано в предыдущем абзаце.

• 4. Ошибка в ходе установки "КриптоАРМ"

  В большинстве случаев устранить ошибку помогает удаление и установка его заново:

  1. Удалите программу «КриптоАРМ» через Панель управления;

  2. Проверьте, осталась ли папка Digt в каталоге Program Files (дополнительно проверьте каталог Program Files (х86) если используете 64-х разрядную систему Windows);

  3. Если Вы устанавливали «КриптоАРМ» версии 5, то необходимо дополнительно проверить, удалились ли папки, содержащие в названии CifrovieTehnologii.TrustedTLS из папки WinSxS.

  4. Скачайте заново дистрибутив из Центра загрузок .

  5. Установить «КриптоАРМ», согласно шагам Мастера установки.

• 5. Росреестр не принимает файлы, подписанные с помощью "КриптоАРМ".

  При создании подписи убедитесь что выбран тип кодировки DER и указана опция “Сохранить подпись в отдельном файле”. Т.е. нужно создать отделенную подпись, на портале помещать исходный файл и файл подписи (около 2Кб).

  Видеоинструкция о том, как подписать документы для Росреестра по ссылке .

• 6. Чем отличается использование самоподписанных сертификатов от сертификатов, выданных официальным Удостоверяющим центром?

  Сертификат – это электронный или печатный документ, удостоверяющий соответствие между парой цифровых ключей и их владельцем. В корпоративных и иных системах такие сертификаты выдаются специальным органом – Удостоверяющим центром. В этом случае получатель подписанного вами электронного документа может проверить подлинность и корректность данных отправителя, обратившись к этому УЦ.

  Самоподписанный сертификат формируется самим пользователем за счет возможностей, заложенных в программу “КриптоАРМ”, т.е. сам удостоверяет соответствие своих ключей и себя, как их владельца. Использование таких сертификатов возможно при личной переписке или в тех организациях, где такая возможность специально оговорена регламентом использования ЭЦП.

  Для использования сертификата вне организации для обеспечения юридически значимого документооборота необходимо использовать сертификаты, выданные сторонней организацией, Удостоверяющим центром. Одними из ведущих УЦ на территории РФ являются КриптоПро УЦ, Ekey УЦ и ряд других.

• 7. Почему размер зашифрованного файла увеличивается почти в два раза?

  Размер зашифрованного файла зависит от того, какой вариант шифрования вы выбираете. Если выбираете шифрование в p7s, то выходной файл будет в der-кодировке. Если выбираете вариант pem, то он будет в кодировке Base 64, что естественно приводит к увеличению размера на 33%. Если же вы подписываете и шифруете одновременно и в обоих случаях используете Base 64 кодировку, то выходной файл будет больше аналогичного бинарного в 1,33 * 1,33 = 1,77 раза.

• 8. Как переустановить личный сертификат (с привязкой к ключевому контейнеру) средствами "КриптоАРМ".

  Далее предполагается, что закрытый ключ хранится на токене (например, eToken или ruToken), если он хранится на дискете, то соответственно вынимать и вставлять следует дискету. Если же он хранится в реестре, то ничего вынимать и вставлять не требуется, но тогда необходимо быть особо внимательным на шаге 2.3, - на второй вопрос (про удаление ключей) необхидомо ответить “Нет”.

  0. подготовка:
  0.1. запустить КриптоАРМ.
  0.2. в верхнем меню “Вид” выбрать режим “Эксперт”.

  1. сохранить сертификат в файл в следующем порядке:
  1.1. выбрать элемент списка “Личное хранилище сертификатов” в левой части окна КриптоАРМ.
  1.2. встать на сертификат в списке в правой части окна и нажать на него правую кнопку.
  1.3. в появившемся контекстном меню выберите “Экспорт”.
  1.4. если появится окно “CryptoPro CSP” для ввода пин-кода, на нем можно нажать “Отмена” (при необходимости - несколько раз).
  1.5. в появившемся окне мастера нажать “Далее”.
  1.6. на следующей странице мастера выбрать “Нет, не экспортировать закрытый ключ” и нажать “Далее”.
  1.7. на следующей странице мастера выбрать первый (”DER”) или второй (”Base64″) формат и нажать “Далее”.
  1.8. на следующей странице мастера нажать кнопку “Обзор”, перейти на рабочий стол (или в любое удобное место), в поле “Имя файла” ввести любое имя, например, “Сертификат1″ и нажать кнопку “Сохранить”. В странице мастера появится путь, по которому он будет сохранен, этот путь рекомендуется запомнить или даже скопировать в блокнот. Нажать “Далее”.
  1.9. на следующей странице мастера нажать кнопку “Завершить”.

  2. удалить сертификат из хранилища в следующем порядке:
  2.0. подготовка: ВЫНУТЬ ТОКЕН из компьютера!!!
  2.1. выбрать элемент списка “Личное хранилище сертификатов” в левой части окна КриптоАРМ.
  2.2. в правой части окна нажать правой кнопкой мыши на сертификат.
  2.3. в появившемся конекстном меню выбрать пункт “Удалить”, в первом окне подтверждения выбрать “Да”, а затем во втором окне подтверждения (где спрашивается про закрытые ключи) выбрать “Нет”.
  2.4. убедиться что сертификат пропал из списка.

  3. установить сертификат подписи в следующем порядке:
  3.1. щелкнуть правой кнопкой на элемент левого окна “Личное хранилище сертификатов”.
  3.2. в появившемся контекстном меню выбрать “Импорт”
  3.3. в появившемся мастере включить галочки “Установить личный сертификат”, нажать “Далее”.
  3.4. на следующей странице мастера нажать кнопку “Выбрать” и в диалоге выбора файла выбрать файл по имени из п.1.8 (сохраненный в блокноте). Нажать “Далее”.
  3.5. на следующей странице мастера можно увидеть информацию о сертификате и нажать “Далее”.
  3.6. ВСТАВИТЬ ТОКЕН.
  3.7. на следующей старнице мастера необходимо выбрать криптопровайдер “CryptoPro GOST R 34.10-2001 Cryptographic Service Provider”, нажать кнопку ниже “Выбрать” и в появившемся окне выбрать контейнер, нажать “ОК”, а затем нажать кнопку “Далее”.
  3.8. в появившемся окне при необходимости укажите пин-код и нажмите “ОК”.
  3.9. на следующей странице мастера нажмите “Завершить”.

  Если в процессе выполнения этих пунктов не возникло проблем, то дальнейшая подпись должна работать без ошибок.

  
  

• 9. Как подписать и зашифровать декларацию для ФСРАР (Росалкогольрегулирование)?

• 10. Ошибка - Использование выбранного сертификата невозможно

  Для корректной подписи и расшифрования в КриптоАРМ личный сертификат должен иметь привязку к ключевому контейнеру (ключевой паре).
  Ее наличие можно проверить путем просмотра сертификата из личного хранилища сертификатов, например, при помощи КриптоАРМ: Контекстное меню трей-агента -> Хранилища сертификатов -> Личное хранилище сертификатов -> Выбор сертификата -> Просмотреть.
  Если привязка существует, то на закладке ”Общие” (”General”) последней строкой (после срока действия сертификата) будет надпись ”Есть закрытый ключ, соответствующий этому сертификату.” (”You have a private key that corresponds to this certificate.”).

  Для сертификатов с ключевой парой на КриптоПро CSP установить привязку можно следующим образом:
  1. сохраните сертификат (например, в der-формате) в файл и удалите из личного хранилища;
  2. откройте Панель КриптоПро CSP: Пуск -> Настройки -> Панель управления -> КриптоПро CSP -> Закладка ”Сервис”;
  3. нажмите кнопку ”Просмотреть сертификаты в контейнере”, затем ”Обзор”, выберите контейнер и нажмите ”ОК”, должно заполниться поле с именем контейнера;
  4. нажмите ”Далее”, при необходимости введите пароль (ПИН-код), откроется форма ”Сертификаты в контейнере секретного ключа”;
  5. нажмите кнопку ”Свойства”, откроется стандартная форма просмотра сертификата;
  6. при необходимости сравните данный сертификат с сертификатом, сохраненным на первом шаге, если они отличаются, вернитесь на шаг 3 и выберите другой контейнер;
  7. нажмите кнопку ”Установить сертификат”, затем ”Далее”, выберите ”Автоматически выбирать хранилище на основе типа сертификата”, снова ”Далее” и ”Готово”.

Полезные инструменты