Для работы с электронной подписью на компьютере должны быть установлены корневые сертификаты. Это требуется только при использовании операционной системы Windows. Чтобы узнать, какие корневые сертификаты установлены на ПК:
- Откройте «Пуск/Панель управления/Свойства браузера» или «Пуск/Панель управления/Сеть и интернет/Свойства браузера».
- В открывшемся окне перейдите на вкладку «Содержание».
- Нажмите кнопку «Сертификаты».
- Перейдите на вкладки «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации». Убедитесь, что в списке присутствуют все корневые сертификаты, необходимые для работы в системе.
- Что делать, если сертификатов нет в списке?
Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.
Скачайте корневой сертификат:
- Корневой сертификат Минкомсвязи России (с 06.07.2018 по 01.07.2036)
- Корневой сертификат Минкомсвязи России (с 02.07.2021 по 02.07.2039)
- Корневой сертификат Минцифры России (с 08.01.2022 по 08.01.2040)
- Корневой сертификат Головного Удостоверяющего центра (с 20.07.2012 по 17.07.2027)
Затем дважды кликните левой кнопкой мыши по нему (Рис. 1).
Во всплывающем предупреждающем окне нажмите «Открыть» (Рис. 2).
Откроется сертификат. Во вкладке «Общие» нажмите кнопку «Установить сертификат» (Рис. 3).
Откроется окно «Мастер импорта сертификатов». Нажмите кнопку «Далее» (Рис. 4).
Далее отметьте строку «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор» (Рис. 5).
В открывшемся окне выберите «Доверенные корневые центры сертификации», затем нажмите кнопку «Ок» (Рис. 6).
В окне «Мастер импорта сертификатов» нажмите кнопку «Далее» (Рис. 7).
Далее нажмите кнопку «Готово» (Рис. 8).
Дождитесь завершения установки корневого сертификата. По окончанию нажмите кнопку «Ок» (Рис. 9).
Перейти к контенту
Как установить корневой сертификат удостоверяющего центра
На чтение: 2 минОпубликовано: 31.03.2019
Корневой сертификат — файл, которой содержит в себе информацию об удостоверяющем центре. Эта информация содержится в зашифрованном виде и используется криптопровайдерами для проверки подлинности личных сертификатов пользователя. Многие пользователи имеют электронные цифровые подписи, но даже не догадываются, как установить корневой сертификат удостоверяющего центра и где его взять.
Где взять корневой сертификат
Корневые сертификаты удостоверяющего центра выдаются организацией, которая изготавливает электронно-цифровые подписи (ЭЦП). Обычно они идут в комплекте с личными электронными подписями пользователя на usb-носителе или cd/dvd диске. Так же некоторые удостоверяющие центры предлагают скачать корневые сертификаты с их официальных сайтов.
Пример корневых сертификатов:
- Единая государственная информационная система социального обеспечения (ЕГИССО) — Скачать
- Удостоверяющий Центр ПНК — скачать
- Федеральное Казначейство и Минкомсвязь — скачать
Как установить корневой сертификат удостоверяющего центра.
- Если скачанный корневой сертификат находится в заархивированном виде, то первым делом его нужно извлечь. Для этого открываем архив любым архиватором, например 7zip. Нажимаем кнопку «извлечь», выбираем папку для разархивации и жмём «ОК».
- Открываем извлеченный файл и жмём кнопку «Установить сертификат«. Выбираем между «Текущий пользователь» и «Локальный компьютер». Если за компьютером обычно работает один пользователь и имеет одну учетную запись Windows, то смело выбираем «Текущий пользователь». Если на компьютере несколько учетных записей, то для того чтобы корневой сертификат установился для всех выбираем «Локальный компьютер».
- В следующем окне Мастер импорта сертификатов спросит, в какое хранилище сертификатов установить Ваш сертификат. Жмем кнопку «Обзор» и выбираем «Доверенные корневые центры сертификации«. Т.к. данный сертификат устанавливается на компьютер в первый раз, система безопасности Windows сообщит о том, что ей не удается проверить действительность сертификата. Жмём кнопку «Да» и получаем окошко, в котором сообщается о том, что Импорт выполнен успешно.
Заключение
На этом установка корневого сертификата закончена. Для проверки можно ещё раз открыть только что установленный корневой сертификат или личный сертификат пользователя. Во вкладке «путь сертификации» не должно быть никаких красных крестиков или желтых восклицательных знаков.
Если Вы всё сделали правильно, то в поле «состояние сертификата» должно быть значение: «Этот сертификат действителен«.
Для проверки подлинности электронной подписи на компьютере, где и используется ЭЦП, обязательно должен устанавливаться корневой сертификат удостоверяющего центра. Это открытый ключ, по которому криптопровайдер понимает, какая именно организация выдала электронную подпись и к чьему реестру необходимо обращаться для проверки актуальности ЭЦП. Более того, только при наличии установленного в системе корневого сертификата на компьютер можно скопировать персональную электронную подпись (в виде открытого ключа, сгенерированного с помощью USB‑токена). Где получить и как установить корневой сертификат удостоверяющего центра?
Где взять корневой сертификат
Мнение эксперта
Александра Степанова
Консультант по подбору ЭЦП
Корневой сертификат удостоверяющего центра выдается самой организацией, которая и зарегистрировала электронную подпись. Как правило, предоставляют сам файл на CD-накопителе или же предлагают его скачать на официальном сайте.
Если удостоверяющий центр не предоставил необходимый файл при выдаче ЭЦП – следует обращаться к нему за получением информационной помощи. Также нередко корневые сертификаты можно скачать на официальном сайте УЦ (к примеру, кто получал ЭЦП в «Контур», то может скачать их по адресу https://ca.kontur.ru/about/certificates).
Необходимо обратить внимание, что срок действия корневых сертификатов также ограничен и составляет 12 месяцев с даты их регистрации (выдачей занимается Минкомсвязи, его наличие у УЦ подтверждает, что организация аккредитована). Соответственно, в начале нового календарного года необходимо проводить инсталляцию нового ключа удостоверяющего центра, чтобы продолжать нормально пользоваться электронной подписью.
Можно ли установить ЭЦП без корневого сертификата
Без корневого сертификата электронную подпись установить тоже получится, но такой ключ не будет признаваться в качестве действительного. Соответственно, подписать документ не получится (КриптоПро CSP будет выдавать ошибку, ссылаясь на невозможность проверить подлинность ЭЦП).
Это актуально и для онлайн-сервисов, где выполняется авторизация через ЭЦП. Все это работать не будет даже при считывании открытого ключа непосредственно из USB-накопителя через КриптоАРМ (без интеграции корневого ключа в систему). Операционная система точно так же будет выдавать ошибку, ссылаясь на невозможность проверить подлинность подписи.
Какая информация содержится в корневом сертификате
Что такое корневой сертификат удостоверяющего центра? Это файл, где сохранена сервисная информация об удостоверяющем центре с указанием даты его действия, сервисным интернет-адресом (через который можно связаться с реестром организации). Все эти данные предоставляются в шифрованном виде, которые использует КриптоПро CSP для проверки подлинности открытой персональной ЭЦП.
Основное назначение корневого ключа – это именно проверка подлинности открытого ключа ЭЦП. Открытую подпись гражданина в теории можно украсть, но воспользоваться ею без сертификата от удостоверяющего центра – не получится. То есть, вся эта схема сделана так, чтобы предотвратить факты использования чужой ЭЦП мошенниками или просто третьими лицами.
Как установить
Как установить корневой сертификат удостоверяющего центра?
Понадобится сам файл с расширением .crt. Если он распространяется в форме архива – сперва файл необходимо разархивировать (для этого подойдет приложение WinRAR или 7Z). Затем для установки корневого сертификата необходимо следовать шагам инструкции:
- Необходимо правой кнопкой кликнуть на файл с расширением .crt;
- Выбрать «Установить сертификат», после чего запустится «Мастер импорта»;
- Нажать «Далее»,
- Выбрать «Поместить все сертификаты в выбранной хранилище»;
- Из диалогового окна выбрать «Доверенные корневые центры сертификации», нажать ОК (пункт «Показать только физические хранилища» не должен быть отмечен галкой);
- Нажать «Далее», на предупреждение системы об установке ключа неизвестного назначения можно не обращать внимание и просто закрыть данное окно, затем – кликнуть на «Готово».
В том случае, если пользователь попытается провести установку корневого сертификата удостоверяющего центра, срок действия которого уже истек, то при попытке его импорта система выдаст ошибку.
После установки корневого ключа настоятельно рекомендуется перезагрузить компьютер. В противном случае – могут возникать ошибки при запуске КриптоПро CSP (довольно частая проблема при использовании Windows XP устаревших редакций, которые официально уже не поддерживаются разработчиком ПО).
Установка в Linux
В современных дистрибутивах Linux установка корневых сертификатов удостоверяющих центров выполняется ничуть не сложнее, нежели в среде Windows. Потребуется файл с расширением .crt, достаточно по нему дважды кликнуть мышкой и выбрать «Установить» (подтвердить выбор необходимо введением пароля пользователя).
При возникновении каких-либо проблем рекомендуется воспользоваться консольной утилитой certmgr. Установка из терминала ключей удостоверяющего центра выполняется по следующей команде: certmgr -inst -store root -file <путь к файлу с расширением .crt>. После ввода данной команды также необходимо указать пароль Root (так как файл интегрируется в корневой раздел диска).
Возможные проблемы и пути их решения
Первое, на что стоит обратить внимание если не устанавливается корневой сертификат удостоверяющего центра – это на лицензию операционной системы. В пиратских версиях Windows функционал, отвечающий за установку и работу с сертификатами, довольно часто полностью обрезан или нарушена целостность хранилищ (из-за некоторых отключенных служб). Поэтому начать следует именно с установки лицензионной версии Windows.
Ошибка с правами
Если при попытке установки корневого сертификата удостоверяющего центра возникает ошибка на недостаточность полномочий пользователя, то это означает, что в систему необходимо войти под логином администратора и выполнить установку в таком режиме. Если речь идет о компьютере, подключенного к локальной сети предприятия, то сертификат импортируется в хранилище сервера.
Windows не может проверить подлинность сертификата
Такая ошибка возникает при использовании устаревшей редакции Windows 7. Необходимо обновить ОС до редакции Service Pack 1 и выполнить импорт сертификата удостоверяющего центра ещё раз.
Также следует упомянуть, что разработчики КриптоПро CSP рекомендуют использовать 64-битные версии операционных систем. Это актуально для Windows 7 и выше. Windows XP последней редакции (Service Pack 3) никогда не выходила в 64-битной вариации, но там с установкой сертификатов никаких подобных проблем не возникает.
Данная ошибка также часто встречается в Windows Vista (кроме редакции Service Pack 2). Решение – обновить операционную систему или установить более актуальную версию. Все это относится не только к пользовательским версиям Windows, но и к серверным.
Ошибка импорта сертификата
Если Windows выдает ошибку при попытке выполнения импорта сертификата во внутреннее хранилище, то это может указывать на:
- использование несовместимого дистрибутива криптопровайдера (следует использовать КриптоПро CSP версии 3.5 или выше);
- копия открытого ключа уже установлена в систему (проверить список можно через КриптоПро CSP из панели управления Windows);
- ошибки в работе с реестром (рекомендуется выполнить восстановление системы или чистку реестра с помощью специального ПО, типа C&CLeaner);
- срок действия корневого сертификата удостоверяющего центра истек (необходимо импортировать действующий, а не отозванный);
- файл ключа поврежден (его целостность проверяется с помощью хеширования, на сайтах удостоверяющих центров может указываться хеш-сумма для проверки).
Если все вышеуказанные причины устранены, но ошибка все равно возникает, то следует выполнить переустановку операционной системы с очисткой всего хранилища ранее установленных пользователем сертификатов.
Обновление корневого сертификата удостоверяющего центра
При наступлении нового календарного года необходимо самостоятельно устанавливать обновленные ключи удостоверяющих центров на компьютеры, где используется ЭЦП (операционная система выдаст соответствующее напоминание при запуске).
Выполнить обновление можно двумя методами:
- Вручную загрузить и установить необходимый ключ.
- С помощью специального ПО, распространяемого удостоверяющими центрами (таковое есть, к примеру, в «Контур»).
Установка нового сертификата ничем не отличается от описанной выше. Удалять старый ключ удостоверяющего центра не обязательно – он все равно будет считаться системой как недействительный, использоваться он не будет.
Также некоторые удостоверяющие центры выпускают специальные программы для автоматической установки всех необходимых корневых сертификатов. Информацию на этот счет можно получить в самом УЦ или на их официальном сайте. Для установки обновленных ключей действующее интернет-подключение не нужно, актуальность файла будет автоматически проверена при первом подключении к сети. Такая проверка проводится всего один раз за весь срок действия корневого сертификата.
Итого, как установить корневой сертификат удостоверяющего центра для КриптоПро? Как и любой другой ключ, потребуется лишь указать в качестве хранилища «Доверенные корневые центры». В противном случае – ключ будет импортирован как персональный, для проверки электронной подписи он использоваться не будет.
Что такое корневые сертификаты, списки отозванных и зачем они нужны?
Корневой сертификат (CA) — это файл, в котором указана информация об удостоверяющем центре. Для корректной работы личного сертификата необходимо установить корневые сертификаты (а именно «промежуточный», выданный Удостоверяющему центру, и «головной корневой» сертификаты, называемые «цепочкой доверия») Удостоверяющего центра, который выпустил данный сертификат.
Списки отозванных сертификатов (CRL)– список аннулированных сертификатов.
Корневые сертификаты и списки отозванных необходимы для проверки информации о действительности и подлинности электронной подписи пользователя.
Где скачать корневые сертификаты?
Корневые сертификаты зависят от Удостоверяющего центра, выдавшего сертификат. Посмотреть, кем выдан сертификат, можно в открытой части сертификата (файл с расширением .cer). Информация указана в поле «Кем выдан» на вкладке «Общие».
Если сертификат выдан УЦ:
- ООО «Такском» – сертификаты можно загрузить с нашего сайта: раздел «Техподдержка» – «Корневые сертификаты и списки отзыва» или с помощью «Мастера настройки».
- Федеральная налоговая служба – можно загрузить с сайта ФНС.
- Для других – необходимо обратиться в Удостоверяющий центр, выдавший сертификат.
Какие корневые сертификаты нужны для работы с сертификатами УЦ «Такском»?
Для работы с сертификатами УЦ ООО «Такском» необходимо установить следующие корневые и промежуточные сертификаты:
Для сертификатов, выпущенных по ГОСТу Р 34.10-2012 (кроме сертификатов «Биржа СПбМТСБ» и «Неквалифицированная ЭП»)
Необходимы:
- «Корневой сертификат Минкомсвязи России (ГОСТ 2012)» от 6.07.2018 («Минкомсвязь России»), необходимо установить в хранилище «Доверенные корневые центры сертификации»;
- «Корневой сертификат Минкомсвязи России (ГОСТ 2012)» от 02.07.2021 («Минкомсвязь России»), необходимо установить в хранилище «Доверенные корневые центры сертификации»;
- «Корневой сертификат Минцифры России (ГОСТ 2012)» от 08.01.2022 (Минцифры России) установить в хранилище «Доверенные корневые центры сертификации»;
- «Промежуточный сертификат ООО «Такском» 2018 (ГОСТ 34.10-2012)» от 16.08.2018 («ООО «Такском»), необходимо установить в хранилище «Промежуточные центры сертификации»;
- «Промежуточный сертификат ООО «Такском» 2020 (ГОСТ 34.10-2012)» от 17.12.2020 («ООО «Такском»), необходимо установить в хранилище «Промежуточные центры сертификации».
- «Промежуточный сертификат ООО «Такском» 2021 (ГОСТ 34.10.2012» от 09.06.2021 («ООО «Такском»), необходимо установить в хранилище «Промежуточные центры сертификации»;
- «Промежуточный сертификат ООО «Такском» 2021 (ГОСТ 34.10.2012» от 30.07.2021 («ООО «Такском»), необходимо установить в хранилище «Промежуточные центры сертификации»;
- «Промежуточный сертификат ООО «Такском» 2022 (ГОСТ 34.10.2012» от 28.02.2022 («ООО «Такском»), необходимо установить в хранилище «Промежуточные центры сертификации».
Для сертификатов, выпущенных по ГОСТу Р 34.10-2001 (кроме сертификатов «Биржа СПбМТСБ» и «Неквалифицированная ЭП»)
Необходимы:
- «корневой сертификат Головного удостоверяющего центра» от 20.07.2012 («Головной удостоверяющий центр»), необходимо установить в хранилище «Доверенные корневые центры сертификации»;
- «промежуточный сертификат ООО «Такском» (2018)» от 8.02.2018 («ООО «Такском»), необходимо установить в хранилище «Промежуточные центры сертификации».
Для сертификатов «Биржа СПбМТСБ» и «Неквалифицированная ЭП»
Выпущенных:
Чтобы проверить ГОСТ сертификата, необходимо:
- В браузере открыть «Панель управления» – «Свойства браузера» – «Содержание» – «Сертификаты»;
- Нажать на необходимый сертификат двойным кликом и выбрать вкладку «Состав»;
- Проверить строку «Алгоритм подписи».
Как проверить, установлены ли корневые сертификаты?
Необходимо открыть сертификат (файл с расширением .cer) и перейти на вкладку «Путь сертификации».
Пример корректно установленной цепочки доверия
Если «цепочка доверия» установлена некорректно, на каком-либо сертификате или на самой цепочке могут быть красные «крестики» (пример на скриншоте ниже).
Пример некорректно установленной цепочки доверия
Как установить корневые сертификаты и списки отозванных?
Для установки списка отозванных сертификатов воспользуйтесь инструкцией: инструкция по установке списка отозванных сертификатов.
Установить корневые сертификаты можно несколькими способами:
Способ 1 (автоматически)
Откройте «Мастер настройки рабочего места», нажмите «Настроить» и следуйте подсказкам системы. Инструкция по работе с «Мастером настройки».
Способ 2 (ручная установка)
Важно при установке сертификата обязательно выбирать только соответствующую папку:
- корневые сертификаты необходимо устанавливать в папку «Доверенные корневые центры сертификации»;
- промежуточные – в «Промежуточные центры сертификации».
Установка корневых сертификатов ОС Windows
- Откройте файл корневого сертификата, дважды нажав на него левой кнопкой мыши;
- В открывшемся окне нажмите «Установить сертификат»;
- Нажмите «Далее»;
- Выберите пункт «Поместить все сертификаты в следующее хранилище» и нажмите «Обзор»;
- В новом окне выберите хранилище «Доверенные корневые центры сертификации» и нажмите «ОК»;
- В окне «Мастера импорта сертификатов» нажмите «Далее»;
- Нажмите «Готово»;
- Сертификат успешно установлен. Нажмите «ОК» в появившемся окне, чтобы закрыть «Мастер импорта сертификатов»;
- Закройте окно сертификата, нажав «ОК».
ОС Linux
Чтобы установить корневые сертификаты в хранилище на ОС Linux, рекомендуем использовать «КриптоПро CSP».
«КриптоПро» версии 5.0
- Откройте утилиту «Инструменты КриптоПро (cptools)»;
- Перейдите на вкладку «Сертификаты», выберите хранилище «Доверенные корневые центры сертификации» и нажмите «Установить сертификаты».
- Найдите загруженный корневой сертификат, выберите его и нажмите «Открыть»;
- Если появится предупреждение, нажмите «ОК»;
- Сертификат успешно установлен. Закройте окно утилиты.
«КриптоПро» версии 4.0
- Откройте утилиту «Терминал»;
- В терминале введите команду sudo /opt/cprocsp/bin/amd64/certmgr -inst -store root -f {путь к файлу};
- Если появится предупреждение, нажмите «ОК»;
- Сертификат успешно установлен. Закройте «Терминал».
В примере используется сертификат Корневой_СА_ООО_Такском.crt, который находится в папке «Загрузки» пользователя.
Установка промежуточных сертификатов ОС Windows
- Откройте файл промежуточного сертификата, дважды нажав на него левой кнопкой мыши;
- В открывшемся окне нажмите «Установить сертификат»;
- В открывшемся окне нажмите «Далее»;
- Выберите пункт «Поместить все сертификаты в следующее хранилище» и нажмите «Обзор»;
- В новом окне выберите хранилище «Промежуточные центры сертификации» и нажмите «ОК»;
- В окне «Мастера импорта сертификатов» нажмите «Далее»;
- Нажмите «Готово»;
- Сертификат успешно установлен. Нажмите «ОК» в появившемся окне, чтобы закрыть «Мастер импорта сертификатов»;
- Закройте окно сертификата, нажав «ОК».
ОС Linux
Чтобы установить промежуточные сертификаты в хранилище на ОС Linux, рекомендуем использовать «КриптоПро CSP».
«КриптоПро» версии 5.0
- Откройте утилиту «Инструменты КриптоПро – cptools»;
- Перейдите на вкладку «Сертификаты», выберите хранилище «Промежуточные центры сертификации» и нажмите «Установить сертификаты»;
- Выберите нужный сертификат для установки и нажмите «Открыть»;
- Сертификат установлен. Закройте окно утилиты.
«КриптоПро» версии 4.0
- Откройте утилиту «Терминал»;
- В открывшемся терминале введите команду sudo /opt/cprocsp/bin/amd64/certmgr -inst -store ca -f {путь к файлу};
- Сертификат установлен. Закройте «Терминал».
В примере используется сертификат Промежуточный_ООО_Такском.crt, который находится в папке «Загрузки» пользователя.