Как установить список отозванных сертификатов

Установка списков отозванных сертификатов (СОС)

Автоматическая установка сертификатов производится с помощью программы CertsUniv.exe.
Сохраните на компьютер CertsUniv.exe по следующей ссылке и запустите его. Программа автоматически установит сертификаты.

Загрузить актуальный список отозванных сертификатов Головного УЦ ФГУП "ЦентрИнформ" файл CenterInform.crl

В окне Сохранить как в указанном Вами месте, например на Рабочем столе, сохраните файл CenterInformMskf.crl

Наведите курсор на ранее сохраненный файл и в контекстном меню (по нажатии правой кнопки мыши) выберите пункт Установить список отзыва (CRL).

Для завершения установки нажмите кнопки Далее — Далее — Готово.

При появлении окна Мастер импорта сертификатов нажать Да.

Как установить список отозванных сертификатов

Для работы с сертификатами нужно установить сертификат удостоверяющего центра (обычно
файл с расширением .cer или .p7b), при необходимости, цепочку сертификатов (обычно файл с
расширением .cer или .p7b), а также список отозванных сертификатов (обычно файл с расширением .crl).

Чаще всего расширение .cer соответствует сертификату, а .p7b — контейнеру, в котором может содержаться один или больше сертификатов (например, их цепочка).

Для получения корневых и промежуточных сертификатов нужно обратиться в удостоверяющий центр.

Установить сертификаты можно через программный интерфейс приложения КриптоАРМ ГОСТ
или с помощью команд программы КриптоПРО CSP.

Установка сертификата через КриптоАРМ ГОСТ:

• Импорт личного сертификата с привязкой к закрытому ключу.

В появившемся диалоговом окне нужно выбрать файл сертификата. Это может быть файл формата pfx, содержащий ключевую пару (закрытый ключ и сертификат), или обычный сертификат, у которого есть закрытый ключ.

При успешном выполнении операции импорта сертификат автоматически помещается в личные сертификаты.

Если при импорте не будет найден закрытый ключ, соответствующий сертификату, то возникнет сообщение с предложением установить данный сертификат в подходящее хранилище или принудительно в выбранное. Если сертификат без закрытого ключа будет установлен в личное хранилище, то данным сертификатом нельзя будет подписывать и расшифровывать файлы.

• Импорт сертификата без привязки к закрытому ключу.

В появившемся диалоговом окне нужно выбрать файл сертификата.
При успешном выполнении операции импорта сертификат автоматически помещается в выбранное хранилище.

Если при импорте приложение определило, что для данного сертификата лучше подойдет другое хранилище, то возникнет сообщение с предложением установить сертификат в подходящее хранилище или принудительно в выбранное.

Установка корневого, промежуточных и списка отозванных сертификатов с помощью программы КриптоПРО CSP и OS X осуществляется командами:

Установка корневого сертификата удостоверяющего центра

для Linux: /opt/cprocsp/bin/<arch>/certmgr -inst -cert -file <название файла корневого сертификата>.cer -store uRoot

для OS X: /opt/cprocsp/bin/certmgr -inst -store uRoot -file пробел и перетащить в терминал файл сертификата в формате crt

То есть не только название файла должно быть, а полный путь к нему. Проще всего это сделать перетаскиванием файла непосредственно в терминал.


− Установка цепочки промежуточных сертификатов

/opt/cprocsp/bin/ <arch>/certmgr -inst -cert -file <название файла промежуточных сертификатов>.p7b -store CA

Установка списка отозванных сертификатов

/opt/cprocsp/bin/ <arch>/certmgr -inst -crl -file пробел и перетащить в терминал файл списка отзыва в формате crl

В приведенных выше командах под <arch>подразумевается один из следующих идентификаторов платформы:

ia32 — для 32-разрядных систем Linux;
amd64 — для 64-разрядных систем Linux;
для OS X разрядность не указывается.

После импорта сертификата или списка отзыва перезапустите программу нажав кнопку Выход.

Списки отзыва сертификатов (СОС)

Для работы со списками отзыва сертификатов в пункт меню сертификаты добавлен подпункт Списки отзыва сертификатов.

Списки отзыва можно импортировать, экспортировать и удалять.

Для импорта списка отзыва надо нажать кнопку добавления («+») и выбрать опцию Импорт из файла. В открывшемся окне выбрать файл списка отзыва.

При успешном импорте СОС отображается в разделе Список отзыва сертификатов.

Для экспорта списка отзыва нужно нажать кнопку Экспортировать. Открывается форма выбора кодировки файла. При нажатии на Экспорт следует выбрать директорию для сохранения и задать имя файла СОС.

Для удаления СОС надо нажать кнопку Удалить и подтвердить удаление в соответствующем окне.

Установка списка отозванных сертификатов

Для установки списка отозванных сертификатов (СОС) и настройки параметров работы с ними, выполните команду «Ключи и Сертификаты» меню установки параметров ФПСУ-TLS.

В открывшемся окне «Параметры аутентификации, ключи, сертификаты» нажмите кнопку «СОС» :

Откроется окно, содержащее список установленных файлов со списками отозванных сертификатов (по умолчанию пустой).

Для загрузки списка отозванных сертификатов, хранящегося в файле на внешнем носителе, нажмите кнопку «Загрузить с USB диска» . Интерфейс выдаст приглашение подключить USB-носитель, на котором расположен файл со списками отозванных сертификатов. Подключите USB-носитель, на котором находится корневой сертификат удостоверяющего центра, к ФПСУ-TLS, и нажмите кнопку «ОК».

В открывшемся окне выбора каталога и файла, установите курсор на файле, в котором находится один из списков отозванных сертификатов, и нажмите на кнопку «Файл выбран». Если файлов со списком отозванных сертификатов несколько, процедуру загрузки, вызываемой по кнопке «Загрузить с USB диска», потребуется повторить для каждого такого файла отдельно.

Файлы СОС могут быть автоматически загружены с доверенного веб-сервера, подробнее см. пункт Автозагрузка СОС, сертификатов и конфигураций ФПСУ-TLS.

После загрузки на ФПСУ-TLS файла СОС, в окне списка появится новая запись, содержащая информацию о загруженном списке отозванных сертификатов:

В окне списка содержится информация о серийном номере списка отозванных сертификатов, и его издателе.

Флаг «Использовать СОС» задействует проверку используемых на ФПСУ-TLS сертификатов со списками отозванных сертификатов. Если флаг не установлен, проверка проводиться не будет.

ОБРАТИТЕ ВНИМАНИЕ! ФПСУ-TLS может выполнять проверку только по тем спискам отозванных сертификатов, которые подписаны теми УЦ, корневые сертификаты которых были ранее загружены на ФПСУ-TLS! Надпись в окне файлов СОС «Внимание: этот СОС не задействован, т.к. нет сертификата издателя» означает, что по выбранному курсором списку проверка проводиться не будет.

Установленный флаг «Проверка по всей БД» включает проверку сертификата не только по выданному его УЦ файлу СОС, но и по спискам, выданным другими УЦ.

Для удаления записи об отозванном сертификате выделите строку и нажмите кнопку «Удалить» .

Для возврата в окно «Параметры аутентификации, ключи, сертификаты» нажмите кнопку «Выход» .

Как установить список отозванных сертификатов crl

Список отозванных сертификатов нужен, чтобы проверить сертификат средствами ГКО и «Такскома».

1. Откройте личный сертификат пользователя в «КриптоПро CSP» (меню «Пуск» – «Панель управления» — «КриптоПро CSP» — «Сервис») нажмите кнопку «Просмотреть сертификаты в контейнере» — «Обзор» — выберите нужный ключевой контейнер (сертификат) – нажмите кнопку «Далее» — откройте сертификат с помощью кнопки «Свойства».
2. Перейдите на вкладку «Состав» и выберите из списка «Точки распространения списков отзыва»;
3. В блоке «Имя точки распространения» скопируйте ссылку (выделите ее и нажмите Ctrl+C);
4. Откройте браузер и скопируйте ссылку в адресную строку, нажав Ctrl+V;
5. Сохраните файл на компьютер в произвольное место;
6. Откройте папку с ранее сохраненным файлом, нажмите на него правой кнопкой мыши и выберите «Установить список отзыва (CRL)»;
7. Следуйте указаниям «Мастера импорта сертификатов».

Важно! На этапе выбора хранилища сертификата необходимо выбрать пункт «Автоматически выбрать хранилище на основе типа сертификата».

Как установить список отозванных сертификатов

Автоматическая установка сертификатов производится с помощью программы CertsUniv.exe.
Сохраните на компьютер CertsUniv.exe по следующей ссылке и запустите его. Программа автоматически установит сертификаты.

Загрузить актуальный список отозванных сертификатов Головного УЦ ФГУП "ЦентрИнформ" файл CenterInform.crl

В окне Сохранить как в указанном Вами месте, например на Рабочем столе, сохраните файл CenterInformMskf.crl

Наведите курсор на ранее сохраненный файл и в контекстном меню (по нажатии правой кнопки мыши) выберите пункт Установить список отзыва (CRL).

Для завершения установки нажмите кнопки Далее — Далее — Готово.

При появлении окна Мастер импорта сертификатов нажать Да.

Как установить список отозванных сертификатов

Для работы с сертификатами нужно установить сертификат удостоверяющего центра (обычно
файл с расширением .cer или .p7b), при необходимости, цепочку сертификатов (обычно файл с
расширением .cer или .p7b), а также список отозванных сертификатов (обычно файл с расширением .crl).

Чаще всего расширение .cer соответствует сертификату, а .p7b — контейнеру, в котором может содержаться один или больше сертификатов (например, их цепочка).

Для получения корневых и промежуточных сертификатов нужно обратиться в удостоверяющий центр.

Установить сертификаты можно через программный интерфейс приложения КриптоАРМ ГОСТ
или с помощью команд программы КриптоПРО CSP.

Установка сертификата через КриптоАРМ ГОСТ:

• Импорт личного сертификата с привязкой к закрытому ключу.

В появившемся диалоговом окне нужно выбрать файл сертификата. Это может быть файл формата pfx, содержащий ключевую пару (закрытый ключ и сертификат), или обычный сертификат, у которого есть закрытый ключ.

При успешном выполнении операции импорта сертификат автоматически помещается в личные сертификаты.

Если при импорте не будет найден закрытый ключ, соответствующий сертификату, то возникнет сообщение с предложением установить данный сертификат в подходящее хранилище или принудительно в выбранное. Если сертификат без закрытого ключа будет установлен в личное хранилище, то данным сертификатом нельзя будет подписывать и расшифровывать файлы.

• Импорт сертификата без привязки к закрытому ключу.

В появившемся диалоговом окне нужно выбрать файл сертификата.
При успешном выполнении операции импорта сертификат автоматически помещается в выбранное хранилище.

Если при импорте приложение определило, что для данного сертификата лучше подойдет другое хранилище, то возникнет сообщение с предложением установить сертификат в подходящее хранилище или принудительно в выбранное.

Установка корневого, промежуточных и списка отозванных сертификатов с помощью программы КриптоПРО CSP и OS X осуществляется командами:

− Установка корневого сертификата удостоверяющего центра

для Linux: /opt/cprocsp/bin/<arch>/certmgr -inst -cert -file <название файла корневого сертификата>.cer -store uRoot

для OS X: /opt/cprocsp/bin/certmgr -inst -cert -file <название файла корневого сертификата>.cer -store uRoot

− Установка цепочки промежуточных сертификатов

/opt/cprocsp/bin/ <arch>/certmgr -inst -cert -file <название файла промежуточных сертификатов>.p7b -store CA

− Установка списка отозванных сертификатов

/opt/cprocsp/bin/ <arch>/certmgr -inst -crl -file <название файла списка отозванных сертификатов>.crl

В приведенных выше командах под <arch>подразумевается один из следующих идентификаторов платформы:

ia32 — для 32-разрядных систем Linux;
amd64 — для 64-разрядных систем Linux;
для OS X разрядность не указывается.

Списки отзыва сертификатов (СОС)

Для работы со списками отзыва сертификатов в пункт меню сертификаты добавлен подпункт Списки отзыва сертификатов.

Списки отзыва можно импортировать, экспортировать и удалять.

Для импорта списка отзыва надо нажать кнопку добавления («+») и выбрать опцию Импорт из файла. В открывшемся окне выбрать файл списка отзыва.

При успешном импорте СОС отображается в разделе Список отзыва сертификатов.

Для экспорта списка отзыва нужно нажать кнопку Экспортировать. Открывается форма выбора кодировки файла. При нажатии на Экспорт следует выбрать директорию для сохранения и задать имя файла СОС.

Для удаления СОС надо нажать кнопку Удалить и подтвердить удаление в соответствующем окне.

Список отозванных сертификатов CRL

Список отозванных сертификатов нужен, чтобы проверить сертификат средствами ГКО и «Такскома».

1. Откройте личный сертификат пользователя (Internet Explorer → «Сервис» → «Свойства обозревателя» → «Содержание» → «Сертификаты»);
2. Перейдите на вкладку «Состав» и выберите из списка «Точки распространения списков отзыва»;
3. В блоке «Имя точки распространения» скопируйте ссылку (выделите ее и нажмите Ctrl+C);
4. Откройте браузер и скопируйте ссылку в адресную строку, нажав Ctrl+V;
5. Сохраните файл на компьютер в произвольное место;
6. Откройте папку с ранее сохраненным файлом, нажмите на него правой кнопкой мыши и выберите «Установить список отзыва (CRL)»;
7. Следуйте указаниям «Мастера импорта сертификатов».

Важно! На этапе выбора хранилища сертификата необходимо выбрать пункт «Автоматически выбрать хранилище на основе типа сертификата».

Установка списков отозванных сертификатов (СОС)

Автоматическая установка сертификатов производится с помощью программы CertsUniv.exe.
Сохраните на компьютер CertsUniv.exe по следующей ссылке и запустите его. Программа автоматически установит сертификаты.

Загрузить актуальный список отозванных сертификатов Головного УЦ ФГУП "ЦентрИнформ" файл CenterInform.crl

В окне Сохранить как в указанном Вами месте, например на Рабочем столе, сохраните файл CenterInformMskf.crl

Наведите курсор на ранее сохраненный файл и в контекстном меню (по нажатии правой кнопки мыши) выберите пункт Установить список отзыва (CRL).

Для завершения установки нажмите кнопки Далее — Далее — Готово.

При появлении окна Мастер импорта сертификатов нажать Да.

Работа с отозванными сертификатами в системе DIRECTUM

Список отзывов сертификатов (Certificate revocation list) — представляет собой файл указывающий на список сертификатов с указанием серийного номера сертификата, даты отзыва, причина отзыва. В целом списки отзыва сертификатов (CRL) используются для передачи сведений об отзыве сертификатов пользователям, компьютерам и приложениям, пытающимся проверить подлинность сертификата.

При каких ситуациях ваш сертификат может попасть в указанный список:

1. При выдаче сертификата УЦ ошибся в части реквизитов, поэтому был выдан новый сертификат.

2. Сертификатом завладело третье лицо, кто мог бы подписывать за вас (т.н. компрометация ключа).

3. Сертификат был отозван по заявлению владельца сертификата.

4. Сменилось уполномоченное лицо, владеющее сертификатом;

Формируется указанный список центром сертификации и публикуется в любое доступное место для пользователей, чтобы пользователь в свою очередь мог его установить.

После проведенной установки CRL файла ПО использующее функции подписания и шифрования будет проверять находится ли ваш сертификат в указанном списке. В случае если ваш сертификат находится в списке, то подписывать и шифровать файлы и документы данным сертификатом вы уже не сможете.

Что это нам дает? Прежде всего вы всегда можете быть уверены, что сертификат, с которым вы сейчас работаете, является действующим и легитимность выполняемых действий будет подтверждена. Соответственно все законно и мы можем работать в дальнейшем спокойно.

Предположим, что кому-то (или чему-то) сертификат больше не нужен (человек уволился, скомпрометирован секретный ключ и т.п.). Срок действия сертификата ещё не кончился, но нужно, чтобы он не работал. Для этого администратор CA обновляет список отозванных сертификатов и размещает его в доступном для всех месте.

Петя уволился (сам или нет..)
1. На место Пети посадили Колю, который получил полный доступ к всей информации Пети. При этом ещё не все знают, что Пети нет.
2. Маша (которая ещё не знает, что случилось) шлёт Пете файл (что-то личное?!), зашифровав его Петиним открытым ключом.
3. Коля имеет доступ к секретному ключу Пети и может прочитать информацию от Маши. Так же не забываем, что он может ставить ЭЦП от имени Пети.

Если бы Маша проверила Петин сертификат по CRL, то она бы узнала, что сертификатом Пети шифровать уже нельзя. Да и другие люди должны знать, что Петя ничего больше подписывать не должен. Т.е. все должны регулярно обновлять CRL (если это не делается автоматически или ПО само не производит on-line проверку сертификата).

Таким нехитрым образом происходит работа CRL. Более глубже вдаваться в теорию работы со списками отзывов сертификатов нет смысла, поэтому перейдем к практике.

Практическое применение CRL

Итак, что же нам прежде всего необходимо сделать, чтобы мы могли полноценно использовать CRL в практических целях организации? Во-первых, если ЦС не развернут в вашей организации, то желательно запрашивать раз в неделю (т.к. CRL во внешних организациях, зачастую формируются именно раз в неделю), и проводить его установку на локальные машины в профиль пользователя. Если же в вашей организации развернут ЦС, то формирование crl и его применение в дальнейшем лежит на ваших плечах. Подробнее опишем ситуацию ниже.

Ситуация: ЦС был выдан сертификат. В DIRECTUM указанным сертификатом даже было подписано задание, задачи, документы. Выданным сертификатом завладело третье лицо, нам необходимо обеспечить, чтобы в рамках системы DIRECTUM, указанный сертификат уже не мог использоваться.

В дальнейшем будем иметь дело со следующим сертификатом:

А вот и подписанное задание данным сертификатом.

Отзыв сертификата

Итак опишу действия необходимые для отзыва сертификата.

1. Заходим в консоль ЦС. Открываем раздел «Выданные сертификаты».

2. Вызываем контекстное меню на необходимом нам сертификате, выбираем пункт «Все задачи» -> «Отзыв сертификата».

3. Проверяем, что сертификат отозван. На рисунке будет также видно, что серийный номер совпадает с тем, что был изначально указан в задаче.

На этом операции по отзыву сертификата окончены. Сейчас переходим к следующему пункту

Формирование CRL

CRL формируется также на самом ЦС довольно нехитрыми действиями.

1. Зайдите в консоль ЦС. Выбираем раздел «Отозванные сертификаты. Вызовем контекстное меню и выберем пункт «Все задачи» -> «Публикация».

Выберите тип публикуемого CRL: полный или разностный. Основное отличие это формирование полного списка или за выбранный при настройке период публикации. Если в вашей организации выдачей сертификатов не занимаются каждый день, и список формируемых сертификатов не велик, то лучше выбрать тип «Полный». После выполнения указанных действий, получаем список отозванных сертификатов.

Также сформировать список CRL можно и при помощи командной строки вызвав команду certutil -crl.

2. После публикации указанного списка, необходимо его сформировать в файл. Для этого зайдите в веб-форму ЦС. Выберите действие «Загрузка сертификата ЦС, цепочки сертификатов или CRL» -> «Загрузка сертификата ЦС, цепочки сертификатов или CRL». Сохраните указанный файл на компьютере.

После проделанных операций мы получаем список отзывов сертификата. Выглядит он следующим образом:

Замечаем, что в указанном списке уже есть наш сертификат, который мы отозвали. Операция формирования CRL завершена, перейдем к следующему пункту

Установка CRL

Установка CRL проводится на каждом локальном профиле. При этом устанавливается указанный список, как обычный сертификат:

Далее знакомый интерфейс по установке сертификатов предложит нам установить сертификат. Особенностей в этом случае нет: выбираем «Автоматический выбор хранилища». После установки списка отзывов, можно проверять работает ли он, и можем ли мы подписать, что-либо после указанных операций.

Проверка работоспособности CRL

Итак, наступает ответственный момент, в котором нам необходимо проверить работает ли список отозванных сертификатов в нашем случае. Для этого после установки CRL зайдите в систему DIRECTUM и попытайтесь подписать какой-либо объект системы отозванным сертификатом. Если все действия были проделаны верно, то мы получим сообщение следующего вида:

А теперь проверим данные в компоненте «Пользователи», действительно ли ИД сертификата в сообщении равен тому, что указан в карточке пользователя:

Как видно из скриншота, информация совпадает, выполнять подписание указанным сертификатом мы больше не можем. Главное предназначение списка отзыва сертификатов выполняется.

Дополнительную информацию о процедуре формирования CRL, а также необходимых команд, вы можете найти на следующем ресурсе: