Как настроить Рутокен ЭЦП 2.0 для сайта ФНС (nalog.ru)
В последнее время все большей распространенностью пользуется специальный защищенный носитель Рутокен ЭЦП.
Однако, далеко не везде можно им воспользоваться, из-за технических особенностей такого ключа.
Сравнительно недавно появилась возможность работать с такими типами носителей на сайте ФНС для юридических лиц (для Индивидуальных предпринимателей возможность была реализована еще в прошлом году).
Ниже описана краткая инструкция по настройке вашего компьютера для работы с Рутокен ЭЦП 2.0 на сайте ФНС в разделе для Юридически лиц. Те же настройки (только в меньшем объеме) подойдут для работы в Личном кабинете ИП на сайте ФНС.
С чего начать?
Во первых у Вас должен быть носитель Рутокен ЭЦП 2.0 с электронной подписью, сформированной средствами защищенного носителя.
Обычно такие носители и такие подписи используются для системы ЕГАИС-алкоголь.
Установка программ для работы Рутокен ЭЦП 2.0
Для начала устанавливаем или обновляем драйвера Рутокен. Версия драйверов должна быть не ниже чем 4.7. Скачать их можно с официального сайта https://www.rutoken.ru/support/download/get/rtDrivers-exe.html
Теперь ставим специальные компоненты для дополнительного функционала Рутокен ЭЦП 2.0:
Для работы установленных компонентов в вашем браузере необходимо установить расширения.
В Google Chrome они могут появиться автоматически после установки Рутокен Плагин и Рутокен Коннект. Их также можно установить вручную:
Если Ваш браузер Google Chrome или Яндекс.Браузер то установите следующие расширения:
После установки проверьте чтобы они были включены.
Проверьте чтобы адаптеры были включены.
В Яндекс.Браузер зайдите в меню «Дополнения».
В самом низу найдите дополнениях и проверьте чтобы адаптеры были включены.
На этом в принципе настройка настройка аппаратного ключа Рутокен ЭЦП 2.0 для Личного кабинета ФНС окончена.
Входим в личный кабинет ФНС
В случае удачной проверки условий подключения нажимаем «Перейти в личный кабинет юридического лица». Выбираете еще раз сертификат и вводите пин-код.
В итоге Вы зашли в личный кабинет юридического лица ФНС.
Адаптер Рутокен Плагин
автор: aktiv-soft
Rutoken Plugin is a tool of electronic signature, encryption and two-factor authentication for Web and SaaS. The product uses a hardware implementation of Russian cryptographic algorithms implemented on Rutoken ECP, Rutoken ECP PKI, Rutoken Web and Rutoken PinPad devices. Rutoken Plugin is compatible with the most of the Russian cryptographic products and can be used in information systems that use digital certificates and PKI.
—
Рутокен Плагин представляет собой средство электронной подписи, шифрования и двухфакторной аутентификации для веб и SaaS-сервисов. В продукте используется аппаратная реализация российских криптографических алгоритмов «на борту» устройств Рутокен ЭЦП, Рутокен ЭЦП PKI, Рутокен Web и Рутокен PinPad. Рутокен Плагин совместим с решениями российских производителей СКЗИ и может применяться в информационных системах, в которых используются цифровые сертификаты и инфраструктура PKI.
Снимок экрана
О расширении
Похожие
LastPass
LastPass, an award-winning password manager, saves your passwords and gives you secure access from every computer and mobile device.
Оценка: Всего оценок: 3033
Whoer VPN
Whoer VPN для Opera скроет ваш реальный IP, защитит данные при работе через публичные wi-fi точки, разблокирует сайты запрещенные в вашей стране.
Оценка: Всего оценок: 190
uBlock Origin
Наконец-то, быстрый и эффективный блокировщик для браузеров.
Рутокен плагин для Яндекс Браузера
Рутокен – плагин для Яндекс браузера, необходимый для работы с флэш-носителем, на котором хранится электронная подпись. Она позволяет идентифицировать владельца цифровых документов, и применяется при электронном документообороте, получении услуг на государственных Web-ресурсах, визировании форм (счет-фактур, заявок на участие в торгах и.т.д).
Средства защиты данных
В плагине Рутокена применены следующие средства защиты данных:
При заверении документов все криптографические процессы осуществляются на носителе, то есть закрытый ключ не копируется в оперативную память, что исключает кражу электронной подписи в интернете. Даже в случае физического изъятия токена, злоумышленник не сможет воспользоваться им без знания PIN-кода.
Установка Рутокена
Для установки плагина нужно:
В том случае, если используется Apple MacOS:
Для ОС Windows предусмотрен следующий порядок установки:
Для пользователей ОС Linux/GNU дополнительно потребуется установить программу Unzip, чтобы распаковать архив, и в папке «Downloads» создать директорию Plugins.
Настройка компонентов
После завершения инсталляции Рутокена необходима настройка компонентов. Для этого нужно:
Для работы Адаптер Рутокен Плагин используется только API браузера, поэтому не требуется установка дополнительных платформ и драйверов. При посещении интернет-ресурсов плагин подгружается на страницу в автоматическом режиме и в последующем вызов нужных функций производится при помощи скрипта.
Взаимодействие с USB-токенами
Плагин работает с Рутокен Web, Рутокен PINPad, а также Рутокен ЭЦП.
USB-токены не требуют установки специальных дополнений (например, Java) и драйверов. Для начала работы достаточно подключить устройство к USB-порту компьютера.
Сброс PIN-кода
Чтобы сменить PIN-код, необходимо:
Программное решение Рутокен Плагин успешно зарекомендовало себя на рынке продуктов информационной безопасности, соответствует как отечественным, так и зарубежным требованиям. Недостатки, как таковые, отсутствуют.
Адаптер рутокен плагин для чего
В статье описана типичная схема подобной интеграции, основанная на следующих сценариях использования Плагина:
Данные сценарии предполагают клиент-серверное взаимодействие, написание клиентских скриптов на JavaScript и соответствующих им серверных вызовов OpenSSL.
Общие операции
Операции с устройством
Поиск подключенных устройств
Любой клиентский сценарий начинается с поиска подключенных к компьютеру USB-устройств Рутокен.
При этом вызове возвращается список идентификаторов подключенных устройств. Идентификатор представляет собой число, связанное с номером слота, к которому подключено устройство. При повторном перечислении это число может отличаться для одного и того же устройства.
Рутокен Плагин определяет все подключенные к компьютеру USВ-устройства Рутокен ЭЦП. Поэтому следующим шагом следует определить тип устройства.
Получение информации об устройстве
Параметр функции getDeviceInfo TOKEN_INFO_DEVICE_TYPE – устарел и не поддерживается.
С помощью функции getDeviceInfo можно получить:
Смена PIN-кода
Здесь первым параметром выступает старый PIN-код, а вторым новый PIN-код.
Работа с сертификатами
1. На токене могут храниться 3 категории сертификатов:
2. Для чтения сертификатов, хранящихся на устройстве, не требуется авторизация на устройство.
3. Сертификат можно экспортировать в PEM-формате:
Получится примерно такая строка:
4. Сертификат можно распарсить вызовом функции parseCertificate и получить из него DN Subject, DN Issuer, расширения, значение открытого ключа, подпись, серийный номер, срок действия и т.п.
5. Сертификат можно записать на устройство.
6. Вызовом функции deleteCertificate можно удалить сертификат с токена.
Работа с ключевыми парами ГОСТ
1. Для получения дескрипторов ключевых пар, хранящихся на устройстве, требуется ввод PIN-кода. Следует понимать, что само значение закрытого ключ получено быть не может, так как ключ является неизвлекаемым.
2. Для генерации ключевой пары требуется ввод PIN-кода. При генерации ключа можно задать параметры ключевой пары. Если опция не задана, будут выбраны параметры А для любого из алгоритмов ГОСТ.
3. С помощью функции deleteKeyPair ключевая пара может быть удалена с токена.
Создание и проверка электронной подписи
1. Для создание подписи используется метод sign:
Последние аргумент – опции функции. Их подробный список можно найти в документации, некоторые из них:
Предпоследний аргумент определяет формат подписываемых данных :
2. Для проверки подписи используется метод verify:
Последние аргумент – опции функции. Их подробный список можно найти в документации, некоторые из них:
Конфигурирование openssl
Теперь перейдем к реализации законченных пользовательских сценариев.
Регистрация на портале
Сертификат выдается при регистрации в системе
Последовательность вызовов в клиентском скрипте будет следующей:
Далее запрос отправляется на сервер, где на его основе выдается сертификат.
Для этого на сервере должен быть установлен и правильно сконфигурирован openssl версии от 1.0 и развернут функционал УЦ.
1. Генерация улюча УЦ:
После этого в файле ca.key будет создан закрытый ключ
2. Создание самоподписанного сертификата УЦ:
После ввода необходимой информации об издателе в файле ca.crt будет создан сертификат УЦ.
Полученный от клиента запрос сохраняем в файл user.csr и выдаем на его основе сертификат (без модификации данных из запроса):
После этого в файле user.crt создается сертификат пользователя в PEM формате. Его следует отправить на клиент.
Дальнейшая последовательность вызовов на клиенте:
Сертификат уже имеется на токене, выдан внешним УЦ
Ключевая пара при этом должна быть создана в формате, совместимом с библиотекой rtPKCS11ECP для Рутокен ЭЦП 2.0.
Последовательность вызовов на клиенте:
Подпись получается в base64-формате. При проверке ее на сервере с помощью openssl подпись следует обрамить заголовками, чтобы сделать из нее PEM. Выглядеть подобная подпись будет примерно так:
Здесь sign.cms — файл, в котором находится подпись, ca.crt — файл с корневыми сертификатами, до одного из которых должна выстроиться цепочка, data.file — файл, в который будет сохранены подписанные данные, user.crt — файл, в который будет сохранен пользовательский сертификат. Именно из data.file нужно извлечь данные отсоединить последние 32 символа и сравнить salt.
Если на сервере нужно получить информацию из сертификата, то парсить его можно так:
Строгая аутентификация на портале
Общая схема аутентификации, используемая в Рутокен Плагин, выглядит следующим образом:
Реализация данной схемы ничем принципиально не отличается от «Регистрация, сертификат уже имеется, выдан внешним УЦ».
Электронная подпись данных и/или файлов в формате CMS
Проверка подписи на сервере описана выше.
Шифрование/расшифрование данных и/или файлов в формате CMS
Шифрование данных на клиенте для сервера
Для того, чтобы обеспечить конфиденциальность обмена данными между клиентом и сервером в плагине предусмотрено шифрование/расшифрование данных. Данные шифруются в формате CMS. Для того, чтобы зашифровать данные в формате CMS, требуется сертификат открытого ключа «адресата». При этом расшифровать такое сообщение сможет только владелец закрытого ключа. При шифровании данных для сервера рекомендуется хранить сертификат сервера на Рутокен ЭЦП 2.0. Этот сертификат может быть записан на устройство при регистрации пользователя на портале. Для этого следует использовать функцию importCertificate, при этом в качестве параметра category следует передать CERT_CATEGORY_OTHER. Для использования в функции cmsEncrypt нужно получить тело сертификата по его дескриптору с помощью функции getCertificate. При этом дескриптор является уникальным и неизменным и может быть сохранен в учетной записи пользователя на сервере при импорте сертификата сервера. Для того, чтобы использовалось аппаратное шифрование по ГОСТ 28147-89, требуется установить опцию useHardwareEncryption в true. В противном случае будет использована быстрая программная реализация ГОСТ 28147-89.
Последовательность вызовов приведена на картинке:
Перед расшифрованием сообщение нужно обрамить PEM-заголовками «——BEGIN PKCS7——» и «——END PKCS7——«:
Как установить Рутокен Плагина и расширения для браузера
Чтобы установить Рутокен Плагин:
1) На странице Личный кабинет юридического лица щелкните по соответствующей ссылке.
2) На странице щелкните по ссылке Рутокен Плагин для Windows.
3) Дождитесь пока он загрузится.
4) Запустите Рутокен Плагин для установки, для этого нажмите на кнопку [Запустить].
5) В окне Установка Рутокен Плагин нажмите на кнопку [Далее].
6) На следующем этапе установки выберите область установки Рутокен Плагина:
a. чтобы Рутокен Плагин был доступен только текущему пользователю необходимо установить переключатель в положение Установка для текущего пользователя;
b. чтобы Рутокен Плагин был доступен всем пользователям компьютера необходимо установить переключатель в положение Установка для всех пользователей компьютера (доступно для пользователя с правами администратора).
7) Нажмите на кнопку [Далее].
8) Чтобы запустить процесс установки нажмите на кнопку [Установить].
9) После завершения процесса установки нажмите на кнопку [Готово]. Далее установите расширение для браузера.
Чтобы установить расширение для браузера Адаптер Рутокен Плагин:
1) В строке с названием компонента Установлено ли программное расширение «Рутокен Плагин» щелкните по второй ссылке.
2) Рядом с названием расширения Адаптер Рутокен Плагин нажмите на кнопку [Установить].
3) В окне для подтверждения установки нажмите на кнопку [Установить расширение]. В результате расширение для браузера Адапрет Рутокен Плагин будет установлено.
4) Если окно для подтверждения добавления расширения не открылось:
a) в строке браузера с расширениями щелкните по значку;
b) выберите пункт Добавлено новое расширение (Адаптер Рутокен Плагин);
c) нажмите Включить расширение.
5) Перезапустите браузер.
6) Обновите страницу Личный кабинет юридического лица.
Смена PIN-кода для Рутокена
Чтобы сменить PIN-код:
1) Подключите Рутокен к компьютеру.
2) Перейдите по ссылке:
3) Введите текущий PIN-код и два раза новый PIN-код.
4) Нажмите на кнопку [Сохранить]. В результате PIN-код изменится.
Обновление расширения для браузера Адаптер Рутокен Коннект
Если при открытии браузера на экране отображается уведомление о том, что не удается обнаружить или запустить приложение Рутокен Коннект, то необходимо обновить его и перезапустить браузер.
Актуальная в ерсия Рутокен Коннекта доступна по ссылке: