Embed Size (px)
Citation preview
М-12.02.09-01 версия 2.0
Дата печати 4/15/2014 11:53:00 AM 1
М-12.02.09-01 версия 2.0
ВведениеНастоящий методический документ разработан на базе документов [1]-[7], с учетом
документа ПК-12.02-01 Политики информационной безопасности.Настоящий методический документ разработан в целях обеспечения выполнения
требований СК-12.02.09.Настоящей инструкцией устанавливаются единые для всех пользователей
Удостоверяющего центра ПАО «Газпром нефть» требования по использованию сертификатов ключей проверки электронной подписи, выданных Удостоверяющим центром ПАО «Газпром нефть», ключевой информации и ключевых носителей, а также определяется ответственность работников Компании за выполнение данной инструкции.
Дата печати 4/15/2014 11:53:00 AM 2
М-12.02.09-01 версия 2.0
Содержание1 Область применения.......................................................................................................62 Нормативные ссылки*.....................................................................................................63 Термины и сокращения...................................................................................................64 Регистрация пользователей и получение сертификата ключа проверки
электронной подписи......................................................................................................85 Требования по работе с ключевым носителем..........................................................96 Порядок смены PIN-кода...............................................................................................107 Порядок установки и работы с сертификатами ключей проверки
электронных подписей..................................................................................................128 Шифрование и наложение ЭПГ...................................................................................149 Порядок использования служб УЦ.............................................................................14Библиография..........................................................................................................................19История изменений документа.............................................................................................20
Дата печати 4/15/2014 11:53:00 AM 3
М-12.02.09-01 версия 2.0
1 Область применения 1.1 Настоящий методический документ является составной частью СК-12.02.09
«Регламента Удостоверяющего центра ПАО «Газпром нефть»», который определяет порядок функционирования УЦ, условия предоставления и правила пользования услугами УЦ, включая права, обязанности, ответственность УЦ и пользователей, форматы данных, основные организационно-технические мероприятия, направленные на обеспечение работы УЦ.
1.2 Настоящая инструкция определяет требования к действиям пользователей УЦ при регистрации, получении и использовании ключевых носителей с ключевой информацией с учетом принятых в ПАО «Газпром нефть» и ДО требований режима информационной безопасности (ПК-12.02-01), а также ответственность пользователей УЦ за выполнение данной инструкции.
1.3 Положения настоящей инструкции подлежат соблюдению всеми работниками Организаций Группы компаний «Газпром нефть» (далее - ГК ГПН), регистрируемыми в качестве пользователей УЦ.
1.4 Положения настоящей инструкции вступают в силу с момента её утверждения и действуют до момента утверждения актуализированной версии инструкции, либо отмены настоящей инструкции.
1.5 Внесение изменений (дополнений) в инструкцию, включая приложения к ней (в части, не противоречащей [2]), осуществляется УЦ.
1.6 Уведомление о внесении изменений (дополнений) в инструкцию осуществляется УЦ путем обязательного размещения информации на Интернет-ресурсе УЦ в разделе «Информация».
1.7 Любые изменения и дополнения в инструкции с момента вступления в силу равно распространяются на всех лиц, присоединившихся к СК-12.02.09 «Регламент Удостоверяющего центра ПАО «Газпром нефть», в том числе присоединившихся ранее даты вступления изменений в силу.
1.8 В целях своевременного получения информации о внесении изменений и дополнений в инструкцию владелец сертификата УЦ обязан не реже одного раза в месяц обращаться за получением указанной информации на Интернет-ресурс УЦ.
2 Нормативные ссылки*
В настоящем документе содержатся ссылки на следующие нормативные и организационно-распорядительные документы Группы компаний ГПН:
ПК-12.02-01 Политика информационной безопасностиСК-12.02.09 Регламент Удостоверяющего центра ПАО «Газпром нефть»Приказ №248-П от 25.12.2009г. «О создании удостоверяющего центра ПАО «Газпром
нефть»»КТ-004 Термины и сокращения
3 Термины и сокращения3.1 В методическом документе используются термины и сокращения, определенные в
каталоге КТ-004, а также следующие термины:Группа компаний ГПН (ГК ГПН): ПАО «Газпром нефть» и его дочерние общества.Организация: юридическое лицо, входящее в Группу компаний «Газпром нефть».
** Примечание – при пользовании настоящим документом целесообразно проверить действие документов, приведенных в разделе «Нормативные ссылки» и «Библиография». Если ссылочный документ заменен (изменен), то при пользовании настоящим документом следует руководствоваться замененным (измененным) документом. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку
Дата печати 4/15/2014 11:53:00 AM 4
М-12.02.09-01 версия 2.0АРМ: автоматизированное рабочее место.
3.2 В стандарте используются следующие локальные термины и сокращения, определенные в КТ-004:
владелец сертификата ключа проверки электронной подписи (владелец сертификата): лицо, которому в установленном Федеральным законом Российской Федерации от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" [1] порядке выдан сертификат ключа проверки электронной подписи.
Интернет-ресурс СУЦ (http://caweb.gazprom.ru): информационный портал, обеспечивающий доступ к информации о деятельности СУЦ, а также доступ владельцев сертификатов СУЦ к сервису поиска сертификатов ключей проверки электронных подписей.
Интернет-ресурс УЦ (http://gazprom-neft.ru/ ca ): информационный портал, обеспечивающий доступ к информации о деятельности УЦ, спискам аннулированных сертификатов УЦ, а также доступ владельцев сертификатов УЦ к сервису поиска сертификатов ключей проверки электронных подписей.
ключ проверки электронной подписи: уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Примечание: ключ проверки электронной подписи известен другим пользователям системы и предназначен для проверки электронной подписи и шифрования. При этом ключ проверки электронной подписи не позволяет вычислить ключ электронной подписи.
ключ электронной подписи: криптографический ключ, использующийся для формирования электронной подписи, расшифрования данных и в процессе аутентификации, сохранность которого обеспечивается пользователем Удостоверяющего центра.
ключевой носитель (USB-ключ/смарт-карта eToken или JaCarta PKI): носитель информации, предназначенный для хранения ключей электронных подписей.
пользователь Удостоверяющего центра (пользователь): работник Организации ГК ГПН, зарегистрированный в реестре удостоверяющего центра, которому изготовлен сертификат ключа проверки электронной подписи.
регистрация пользователя: внесение регистрационной информации о пользователе в реестр Удостоверяющего центра.
репозиторий СУЦ (http://ca.gazprom.ru): централизованное информационное хранилище сертификатов ключей проверки электронных подписей УЦ СУЦ и списков аннулированных сертификатов УЦ СУЦ.
сертификат ключа проверки электронной подписи (СКП): электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
сеть удостоверяющих центров Группы Газпром (СУЦ): совокупность удостоверяющих центров Группы Газпром, а также иных организаций, объединенных на основе иерархической модели доверия и действующих на основании Положения о Сети удостоверяющих центров Группы Газпром [5].
средства криптографической защиты информации (СКЗИ): совокупность аппаратных и(или) программных компонентов, обеспечивающих защиту информации путем применения криптографических преобразований.
средства шифрования и электронной подписи: шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.
Дата печати 4/15/2014 11:53:00 AM 5
М-12.02.09-01 версия 2.0удостоверяющий центр: юридическое лицо или индивидуальный предприниматель,
осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом Российской Федерации от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" [1].
удостоверяющий центр СУЦ (УЦ СУЦ): удостоверяющий центр, зарегистрированный в СУЦ.
уполномоченное лицо удостоверяющего центра СУЦ: представитель удостоверяющего центра СУЦ, наделенный полномочиями по заверению сертификатов ключей проверки электронной подписи.
УЦ-К: Корпоративный удостоверяющий центр ПАО «Газпром», является головным удостоверяющим центром СУЦ и обеспечивает функции по управлению жизненным циклом сертификатов ключей проверки электронной подписи уполномоченных лиц УЦ СУЦ и выдачу кросс-сертификатов для организаций доверительных отношений с удостоверяющими центрами сторонних организаций.
УЦ: Удостоверяющий центр ПАО «Газпром нефть».электронная подпись (ЭП): информация в электронной форме, которая присоединена к
другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
электронная подпись в корпоративных информационных системах Группы Газпром (ЭПГ): усиленная неквалифицированная электронная подпись, применяемая в корпоративных информационных системах Группы Газпром.
4 Регистрация пользователей и получение сертификата ключа проверки электронной подписи
4.1 Регистрация пользователей УЦ, выдача ключевых носителей (только для работников ПАО «Газпром нефть»), ключей ЭПГ и проверки ЭПГ, сертификатов ключей проверки ЭПГ осуществляется для работников Организаций ГК ГПН исключительно для выполнения ими служебных обязанностей.
4.2 Для регистрации в качестве пользователя УЦ, получения ключей ЭПГ и проверки ЭПГ, а также СКП пользователь УЦ должен обратиться в УЦ.
4.3 Для регистрации пользователь УЦ должен при личном прибытии, либо с доверенным лицом по Доверенности на регистрацию в УЦ (Ш-12.02.09-03) предоставить оператору УЦ заявление на регистрацию пользователя, генерацию ключей ЭПГ и проверки ЭПГ, создание сертификата ключа проверки ЭПГ на бумажном носителе (Ш-12.02.09-01). В случае, если пользователь уже зарегистрирован в УЦ, для генерации ключей ЭПГ и проверки ЭПГ, создания сертификата ключа проверки ЭПГ используется Ш-12.02.09-04. Для генерации криптографических ключей и создания сертификата ключа проверки ЭПГ серверной аутентификации используется Ш-12.02.10-02.
4.4 После принятия работниками УЦ положительного решения по заявлению и выполнения регистрационных действий, а также генерации ключей ЭПГ и проверки ЭПГ, создания СКП пользователь УЦ должен получить:
ключевой носитель, содержащий ключи ЭПГ и проверки ЭПГ, а также сертификат ключа проверки ЭПГ пользователя УЦ в электронной форме;
СКП пользователя УЦ на бумажном носителе; копию Заявления пользователя УЦ на регистрацию пользователя УЦ, генерацию
ключей ЭПГ и проверки ЭПГ, создание сертификата ключа проверки ЭПГ, с резолюцией уполномоченного лица УЦ (лица, временно его замещающего) и отметкой о произведенной регистрации пользователя УЦ, генерации ключей и сертификата и их передаче заявителю;
Дата печати 4/15/2014 11:53:00 AM 6
М-12.02.09-01 версия 2.0 распечатанный на бумаге адрес в формате URL страницы WEB-сервера УЦ, на
которой пользователь УЦ может получить электронные версии действующих сертификатов Корпоративного (корневого) Удостоверяющего центра ПАО «Газпром» и УЦ, а также последние изданные версии списков отозванных сертификатов указанных удостоверяющих центров.
4.5 Факт выдачи и получения ключей ЭПГ и проверки ЭПГ, создания сертификата ключа проверки ЭПГ, фиксируется в заявлении и удостоверяется личной подписью его владельца или его доверенного лица.
4.6 Плановая смена ключей ЭПГ и проверки ЭПГ, сертификата ключа проверки ЭПГ владельца сертификата УЦ может осуществляться в централизованном режиме типа (1) и (2).
4.7 При централизованном режиме типа (1) порядок плановой смены ключей и сертификата ключа проверки ЭПГ аналогичен порядку, установленному для регистрации владельца сертификата УЦ и осуществляется на основании заявления Ш-12.02.09-02, которое владелец сертификата УЦ должен направить в УЦ не позднее, чем за 10 дней до окончания срока действия ключа ЭПГ.
4.8 При централизованном режиме типа (2) генерация ключей и формирование заявления на создание сертификата ключа проверки ЭПГ осуществляется на специальном автоматизированном рабочем месте, расположенным в ДО (далее – АРМ Оператора ДО) с помощью Web-интерфейса Центра регистрации (https://cr.gazprom-neft.ru/ui/), предоставляемого УЦ. Заявление на создание сертификата ключа проверки ЭПГ в электронной форме представляет собой электронный документ в формате PKCS#10, подписанный ЭПГ владельца сертификата УЦ.
4.9 Формы заявлений на выполнение действий в отношении пользователя УЦ, а также права и обязанности пользователя УЦ определены в СК-12.02.09 «Регламент Удостоверяющего центра ПАО «Газпром нефть».
4.10На АРМ пользователя должны быть выполнены работы по настройке аппаратно-программных средств АРМ пользователя для работы со средствами шифрования и ЭП. Информацию о необходимом для работы программном обеспечении можно получить на интернет-сайтах компаний разработчиков (http://www.aladdin-rd.ru, https://www.cryptopro.ru/, https://trusted.ru/).
4.11Порядок установки и настройки аппаратно-программных средств криптографической защиты информации приведен в Приложении 1.
5 Требования по работе с ключевым носителем5.1 СКП в электронной форме и ключ ЭП хранятся на ключевом носителе
(USB-ключ/смарт-карта eToken или JaCarta PKI), выданном пользователю.
5.2 Для получения доступа к защищённым данным, хранящимся в памяти ключевого носителя, требуется ввести PIN-код (Personal Identification Number), являющегося аналогом пароля.
5.3 Пользователь должен выполнять следующие требования: обеспечить сохранность ключевого носителя. Не передавать его другим лицам; изменить PIN-код сразу после получения ключевого носителя (USB-ключ/смарт-
карту eToken или JaCarta PKI). PIN-код необходимо хранить в тайне; соблюдать требования к ПИН-коду ключевого носителя, к его периодической
смене; сдавать в УЦ выданный ключевой носитель в случае увольнения или отсутствия
необходимости его использования.
Дата печати 4/15/2014 11:53:00 AM 7
М-12.02.09-01 версия 2.05.4 Порядок смены пользователем PIN-кода приведен в разделе 6 .
5.5 При последовательном вводе более пяти неправильных PIN-кодов ключевой носитель блокируется. Для разблокировки ключевого носителя необходимо обратиться в УЦ.
5.6 По решению УЦ пользователю УЦ может быть предоставлен индивидуальный административный пароль для возможности самостоятельной разблокировки ключевого носителя.
Внимание!В случае утраты или физического разрушения ключевого носителя
(USB-ключ/смарт-карты eToken или JaCarta PKI) ключ ЭП восстановить невозможно. Зашифрованная с помощью утерянного ключа ЭП информация восстановлению не подлежит!
При повторном получении СКП информация, зашифрованная с использованием старого ключа ЭП в случае его уничтожения, восстановлению не подлежит!
5.7 Для обеспечения проведения системных и регламентных работ, а также учёта ключевой информации и ключевых носителей в целях контроля состояния информационной безопасности, доступ работников подразделения информационной безопасности к ключевым носителям должен быть предоставлен пользователем УЦ немедленно по требованию.
6 Порядок смены PIN-кода6.1 Каждому ключевому носителю eToken или JaCarta не зависимо от форм-фактора
реализации при первоначальной инициализации сотрудниками УЦ присваивается стандартный PIN-код – 1234567890. В целях безопасности необходимо изменить стандартный PIN-код сразу после получения ключевого носителя. Ответственность за сохранность пароля всецело лежит на владельце ключевого носителя.
При смене PIN-кода, новое значение должно соответствовать требованиям к качеству паролей, указанным в пункте 6.4 (см. ниже).
6.2 Смена PIN-кода пользователем для ключевого носителя eToken.Для смены PIN-кода на ключевом носителе eToken, необходимо выполнить следующие
действия:
запустите утилиту Свойства eToken и в правой части окна нажмите Сменить пароль;
в открывшемся окне (рисунок 1) введите текущее значение PIN-кода в поле Текущий пароль для eToken;
Дата печати 4/15/2014 11:53:00 AM 8
М-12.02.09-01 версия 2.0Рисунок 1
введите новое значение PIN-кода в полях Новый пароль для eToken и Подтверждение;
Примечание: По мере того, как вы вводите символы в поле для нового пароля,
справа вы увидите шкалу, которая показывает, насколько введенный пароль
соответствует установленным критериям качества.
нажмите OK, после этого пароль пользователя eToken будет обновлен.
6.3 Смена PIN-кода пользователем для ключевого носителя JaCarta PKIДля смены PIN-кода пользователя на ключевом носителе JaCarta PKI необходимо
выполнить следующие действия:
запустите утилиту JaCarta PINTool (Пуск=> Все программы=> JC-Client=> JaCarta PINTool), отобразится следующее окно (рисунок 2);
Рисунок 2
напротив типа доступа Пароль щелкните на ссылке Изменить, отобразится окно смены пароля (рисунок 3);
Рисунок 3
введите текущий пароль пользователя в поле Текущий пароль, после чего введите новый пароль и подтверждение в полях Новый пароль и Подтверждение соответственно;
нажмите Изменить, отобразится следующее сообщение (рисунок 4);
Рисунок 4
Примечание: Если новый пароль не соответствует политике безопасности
Дата печати 4/15/2014 11:53:00 AM 9
М-12.02.09-01 версия 2.0паролей, отобразится предупреждение. В этом случае нажмите OK и введите
пароль, который будет соответствовать требованиям сложности,
установленным во время персонализации электронного ключа JaCarta PKI.
нажмите OK для завершения процедуры, пароль пользователя успешно изменен.
6.4 Требования к PIN-кодуПри назначении PIN-кода пользователь должен выполнять следующие требования:
PIN-код должен состоять не менее чем из шести символов; в PIN-коде должны присутствовать символы из категорий строчные буквы
английского алфавита от a до z, прописные буквы английского алфавита от A до Z, десятичные цифры от 0 до 9, символы, не принадлежащие к алфавитно-цифровому набору;
использование трёх и более идущих подряд на клавиатуре символов, набранных в одном регистре, недопустимо;
использование трёх и более идущих подряд символов английского алфавита, набранных в одном регистре, недопустимо;
использование двух и более идущих подряд одинаковых символов недопустимо; задание PIN-кода, совпадающего с любым из последних трёх PIN-кодов,
недопустимо; PIN-код не должен содержать букв русского алфавита.
7 Порядок установки и работы с сертификатами ключей проверки электронных подписей
7.1 На Интернет-ресурсе УЦ пользователи имеют возможность получения: сертификата ключа проверки ЭП уполномоченного лица Корпоративного УЦ ПАО
«Газпром» (Root Gazprom CA) в электронной форме; сертификата ключа проверки ЭП уполномоченного лица УЦ в электронной форме; списков аннулированных (отозванных) сертификатов Корпоративного УЦ ПАО
«Газпром»; списков аннулированных (отозванных) сертификатов УЦ; сертификатов других зарегистрированных пользователей УЦ.
Аналогичные сервисы можно получить на Интернет-ресурсе СУЦ.Примечание: Установка всех сертификатов производится из-под учетной записи
ПОЛЬЗОВАТЕЛЯ, который будет в дальнейшем с ними работать.
7.2 Установка сертификатов УЦ-КПоследовательность установки:
перейдите на страницу по ссылке http://caweb.gazprom.ru/reestr/, откуда нажатием на соответствующую ссылку сертификата УЦ-К скачайте его. При этом появится диалоговое окно «Просмотр загрузок» браузера Internet Explorer (рисунок 5);
Дата печати 4/15/2014 11:53:00 AM 10
М-12.02.09-01 версия 2.0
Рисунок 5
нажмите Открыть, при этом откроется сертификат; нажмите Установить сертификат; в окне приветствия Мастера установки сертификатов нажмите Далее; выберите Поместить все сертификаты в следующее хранилище, нажмите
Обзор; выберите хранилище Доверенные корневые центры сертификации и нажмите
ОК; нажмите Далее; в окне завершения мастера импорта сертификатов нажмите Готово; аналогично установите все сертификаты УЦ-К.
7.3 Установка сертификатов УЦ ПАО «Газпром нефть»Процедура аналогична процедуре установки сертификата корневого УЦ, но на шаге 1
необходимо перейти по ссылкам сертификата подчиненного УЦ ПАО «Газпром нефть», а на шаге 6 выбрать хранилище Промежуточные центры сертификации (рисунок 6).
Рисунок 6
7.4 Установка личного сертификата пользователяПоследовательность установки:
установите выданный УЦ персональный ключевой носитель (USB-ключ/смарт-карта eToken или JaCarta PKI) в USB-порт или устройство чтения смарт-карт;
из панели управления запустите приложение КриптоПро CSP; во вкладке Сервис нажмите Просмотреть сертификаты в контейнере; для выбора имени ключевого контейнера нажмите Обзор; выберите ключевой контейнер, находящийся на считывателе AKS ifdh 0/ Athena
ASEDrive IIIe USB 0/ ARDS JaCarta 0, нажмите ОК. Нажмите Далее; нажмите Свойства; нажмите Установить сертификат; в окне приветствия Мастера импорта сертификатов нажмите Далее; выберите Поместить все сертификаты в следующее хранилище, нажмите
Обзор; в списке хранилищ сертификатов выберите Личные, нажмите ОК; нажмите Далее; в окне завершения Мастера импорта сертификатов нажмите Готово; закройте приложение КриптоПро CSP.
7.5 Установка списков отозванных сертификатов УЦ-К и УЦПоследовательность установки:
перейдите на страницу по ссылке http://caweb.gazprom.ru/reestr/, откуда нажатием на соответствующую ссылку списка отозванных сертификатов скачайте его, при этом появится диалоговое окно «Просмотр загрузок» браузера Internet Explorer;
нажмите Сохранить как, в любую папку на компьютере, например «Документы»;
Дата печати 4/15/2014 11:53:00 AM 11
М-12.02.09-01 версия 2.0 войти в папку, где сохранился список отозванных сертификатов и правой кнопкой
мыши нажать на него, в предложенном списке действий выбрать Установить список отзыва (CRL);
на предложение действовать Далее, ответить положительно необходимое количество раз, до сообщения об успешной установке.
7.6 Установка сертификатов других зарегистрированных пользователей УЦ и УЦ СУЦ Последовательность установки:
для того чтобы пользователи УЦ имели возможность использовать средства шифрования и электронной подписи для обмена информацией с другими пользователями, им необходимо получить и установить сертификаты других пользователей УЦ и УЦ СУЦ;
сертификаты пользователей УЦ и УЦ СУЦ являются открытой информацией. Их можно получить с помощью сервиса поиска сертификатов, расположенного на Интернет-ресурсе СУЦ по адресу: https://caweb.gazprom.ru/search/;
сервис поиска сертификатов пользователей УЦ СУЦ доступен только пользователям СУЦ. Для обеспечения поиска сертификатов ключей подписей компьютер должен быть настроен в соответствии с Приложением 1 к настоящей инструкции, п.7 настоящей инструкции, должен быть в наличии действующий сертификат ключа проверки ЭПГ, а также ключевой носитель с ключами;
с помощью веб-страницы поиска сертификатов нужно выбрать удостоверяющие центры, где будет производиться поиск сертификатов, ввести шаблон поиска сертификата пользователя и нажать кнопку Искать сертификаты;
после того, как необходимый сертификат найден, его можно сохранить на компьютере в виде файла или установить в хранилище сертификатов;
для импорта сертификатов необходимо отметить поле выбора нужных сертификатов и нажать кнопку Экспорт сертификатов, при этом стандартный режим браузера MS IE предложит либо сохранить сертификат в файле на диске, либо открыть его при помощи встроенного в операционную систему режима просмотра сертификатов (в зависимости от версии браузера возможно потребуется при нажатии кнопки Экспорт сертификатов удерживать на клавиатуре кнопку Ctrl);
чтобы просмотреть сертификат нажмите кнопку Открыть, при этом сертификат будет отображен в стандартном окне просмотра сертификатов;
для импорта сертификата в специальное хранилище операционной системы в данном окне нажмите кнопку Установить сертификат, при этом запустится мастер установки (импорта) сертификатов в хранилище сертификатов пользователей. Сертификат следует установить в хранилище Другие пользователи с процедурами установки сертификатов, описанных выше.
8 Шифрование и наложение ЭПГОбеспечение защиты информации при помощи шифрования и подписи ЭПГ с
применением СКЗИ возможно следующими способами: при помощи шифрования и подписи сообщений электронной почты (шифруется и
подписывается текстовое сообщение письма вместе с вложенными файлами) в MS Outlook, инструкция в Приложении 2;
при помощи шифрования и подписи только файлов в программе шифрования Littoria Desktop (инструкция в Приложении 3), которые затем можно отправлять вложениями в MS Outlook с незашифрованным комментарием в текстовом сообщении, либо на съемных носителях информации.
9 Порядок использования служб УЦ9.1 Служба проверки статусов сертификатов (OCSP)
Статус отзыва сертификата может быть установлен по спискам отозванных
Дата печати 4/15/2014 11:53:00 AM 12
М-12.02.09-01 версия 2.0сертификатов и/или на основании ответа сервера онлайн проверки статуса сертификатов(OCSP) УЦ.
Второй способ является наиболее предпочтительным в связи с предоставлением наиболее оперативной и точной информации о статусе сертификата пользователя.
В УЦ развернуты 2 сервера OCSP: основной (msk-co-tsp1ocsp.gazprom-neft.local) и резервный(msk-co-tsp2ocsp.gazprom-neft.local).
Для корректной проверки статуса сертификата на серверах OCSP УЦ необходимо обеспечить сетевой доступ к серверам OCSP по протоколу HTTP (tcp, порт 80) с рабочего места пользователя.
Примечание: В связи с тем, что экземпляров служб OCSP на каждом из
серверов может быть несколько, для корректной проверки статуса
сертификата необходимо использовать только те экземпляры службы,
которые указаны в проверяемом сертификате пользователя УЦ.
Для определения адресов экземпляров служб OCSP: двойным щелчком левой кнопки мыши откройте сертификат пользователя, статус
которого необходимо проверить (рисунок 7);
Рисунок 7
перейдите на вкладку Состав и выберите из списка поле Доступ к информации о центрах сертификации (рисунок 8);
Дата печати 4/15/2014 11:53:00 AM 13
М-12.02.09-01 версия 2.0
Рисунок 8
адреса экземпляров служб OCSP будут указаны в полях Доступ к сведениям центра сертификации=> Метод доступа = Протокол определения состояния через сеть (1.3.6.1.5.5.7.48.1)=> Дополнительное имя.
Для формирования электронной подписи в электронных документах используется ПО Litoria Desktop (Блокхост ЭЦП 2.0). Адреса экземпляров служб OCSP указывать в настройках ПО не надо – данное ПО само выполняет проверку в соответствии с параметрами, указанными в сертификате пользователя на этапе проверки статусов сертификатов.
Для проверки статуса сертификата в ручном режиме из командной строки требуется приложение КриптоПро OCSP Client (лицензия закупается отдельно).
Проверка статуса сертификата с помощью утилиты КриптоПро OCSP Client осуществляется следующим образом:
поместите файл сертификата пользователя в директорию OCSP на рабочем столе;
запустите командный интерпретатор Windows: Пуск=> Выполнить=> CMD.EXE=> OK;
перейдите в директорию OCSP командой: cd "c:\Users\<имя текущего пользователя>\Desktop\OCSP";
для формирования файла запроса статуса сертификата выполните команду: "c:\Program Files\Crypto Pro\OCSP\ocsputil.exe" makereq <имя файла сертификата>.cer -o <имя файла запроса>.orq (при успешном завершении операции код статуса будет [ErrorCode: 0x00000000], а в директории OCSP появится файл запроса с расширением *.orq);
для отправки запроса на сервер OCSP выполните команду:"c:\Program Files\Crypto Pro\OCSP\ocsputil.exe" sendreq --url=<адрес экземпляра службы OCSP> <имя файла запроса>.orq <имя файла ответа>.ors (при успешном завершении операции код статуса будет [ErrorCode: 0x00000000], а в директории OCSP появится файл ответа от сервера OCSP с
расширением *.ors);
для просмотра ответа сервера OCSP выполните команду:"c:\Program Files\Crypto Pro\OCSP\ocsputil.exe" respdisp <имя файла ответа>.ors (при успешном завершении операции отобразится окно OCSP-
ответа (рисунок 9)).
Дата печати 4/15/2014 11:53:00 AM 14
М-12.02.09-01 версия 2.0
Рисунок 9
9.2 Служба штампов времени (TSP)
Для формирования усиленной неквалифицированной электронной подписи обязательно наличие штампа времени создания подписи. Для этого в УЦ развернуты 2 сервера штампов времени (TSP): основной (msk-co-tsp1ocsp.gazprom-neft.local) и резервный (msk-co-tsp2ocsp.gazprom-neft.local).
Примечание: DNS-адреса серверов TSP совпадают с адресами серверов OCSP.
Однако адреса служб отличаются. Актуальные адреса экземпляров служб TSP:
http://msk-co-tsp1ocsp.gazprom-neft.local/TSP/tsp.srf
http://msk-co-tsp2ocsp.gazprom-neft.local/TSP/tsp.srf
Для формирования электронной подписи в электронных документах используется ПО Litoria Desktop (Блокхост ЭЦП 2.0). Адреса экземпляров служб TSP указываются в качестве параметров настройки ПО или на этапе формирования электронной подписи.
Для формирования штампа времени в ручном режиме из командной строки требуется приложение КриптоПро TSP Client (лицензия закупается отдельно).
Формирование штампа времени с помощью утилиты КриптоПро TSP Client производится следующим образом:
создайте на рабочем столе директорию TSP; поместите непустой файл, для которого необходимо сформировать штамп
времени, в директорию TSP; запустите командный интерпретатор Windows: Пуск=> Выполнить=> CMD.EXE=>
OK; перейдите в директорию TSP командой:
cd «c:\Users\<имя текущего пользователя>\Desktop\TSP».
для формирования файла запроса штампа времени выполните команду: "c:\Program Files\Crypto Pro\TSP\tsputil.exe" makereq --alg=1.2.643.2.2.9 --cert-req <имя и расширение файла> <имя файла запроса>.tsq (при успешном завершении операции код статуса будет [ErrorCode: 0x00000000], а в директории TSP появится файл запроса с расширением *.tsq);
для отправки запроса на сервер TSP выполните команду:
Дата печати 4/15/2014 11:53:00 AM 15
М-12.02.09-01 версия 2.0"c:\Program Files\Crypto Pro\TSP\tsputil.exe" sendreq --url=<имя экземпляра сервера
TSP> <имя файла запроса>.tsq <имя файла ответа>.tsr (при успешном завершении операции код статуса будет [ErrorCode: 0x00000000], а в директории TSP появится файл ответа от сервера TSP с расширением *.tsr);
для просмотра ответа сервера TSP выполните команду:"c:\Program Files\Crypto Pro\TSP\tsputil.exe" stampdisp <имя файла ответа>.tsr (при
успешном завершении операции отобразится окно Штампа времени (рисунок 10)).
Рисунок 10
Дата печати 4/15/2014 11:53:00 AM 16
М-12.02.09-01 версия 2.0
Библиография[1] Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»
[2] Положение о Сети удостоверяющих центров Группы Газпром, утвержденное
приказом ПАО «Газпром» от 16.10.2012 № 279
[3] КриптоПро CSP. Описание реализации (ЖТЯИ.00087-01 90 01)
[4] КриптоПро CSP. Инструкция по использованию СКЗИ под управлением ОС Windows
(ЖТЯИ.00087-01 92 01)
[5] eToken PKI Client 5.1 SP1. Руководство администратора
[6] eToken PKI Client 5.1 SP1. Руководство пользователя
[7] Программный комплекс «Блокхост-ЭЦП» 2.0 (ПК «Litoria Desktop»). Руководство
пользователя (стандартный интерфейс)
История изменений документа
Дата печати 4/15/2014 11:53:00 AM 17
М-12.02.09-01 версия 2.0
Дата Версия Описание изменений/разработан взамен
Автор
22.05.2017 1.0 Начальная версия. Красиков Д.Ю.22.05.2018 2.0 Актуализированная версия Красиков Д.Ю.
Дата печати 4/15/2014 11:53:00 AM 18
