Содержание

Сертификат КриптоПро для Сбербанка

В Терминале Транзита реализован функционал, который позволяет получать сертификаты КриптоПро для пользователей Сбербанка.

Требования по установленному ПО

Для того чтобы использовать искомый функционал запроса сертификатов, должен быть выполнен ряд условий:

Должен быть установлен OpenSSL.

Данное требование основано на документации Сбербанка (подробнее см. по ссылке https://developers.sber.ru/docs/ru/sberbusinessapi/holdings/crypto ).

Примечание: версия OpenSSL выбирается самостоятельно в соответствии с регламентом и политикой безопасности.
Должен быть установлен КриптоПро с утилитой cryptcp (ссылка на утилиту: https://www.cryptopro.ru/products/other/cryptcp ). Достаточно один раз с использованием утилиты установить серийный номер лицензии.

Проверить текущее состояние, а именно был установлен серийный номер лицензии ранее или нет можно, открыв каталог с утилитой cryptcp в командной строке и выполнив команду cryptcp -sn:

Запуск утилиты cryptcp - проверка текущего состояния

Если серийный номер не был добавлен, то необходимо выполнить команду cryptcp -sn <серийный номер лицензии>:

Запуск утилиты cryptcp - указание серийного номера лицензии

Если же серийный номер лицензии уже установлен, то никаких дополнительных действий не требуется.
В переменные среды в переменную Path должны быть прописаны пути до OpenSSL и cryptcp.

Чтобы открыть переменные среды Windows можно воспользоваться поиском в панели задач (начните вводить «Переменных» и откройте пункт «Изменение системных переменных среды»). На вкладке «Дополнительно» нажмите кнопку «Переменные среды…» - откроется модальное окно, где необходимо выбрать переменную Path и нажать на кнопку «Изменить». Для добавления нового значения (пути) в системную переменную в следующем окне необходимо нажать кнопку «Создать», либо дважды кликнуть по первой пустой строке, затем — ввести нужный путь к папке, содержащей нужные исполняемые файлы (OpenSSL и cryptcp).

На рисунке ниже в системную переменную Path пути до OpenSSL и cryptcp уже добавлены.

Добавление путей до OpenSSL и cryptp в переменную Path

После того как пути были добавлены, нажмите на кнопку “ОК” в каждом из модальных окон для сохранения настроек.


Запуск утилиты cryptcp - проверка текущего состояния


Запуск утилиты cryptcp - указание серийного номера лицензии


Добавление путей до OpenSSL и cryptp в переменную Path

Процесс получения сертификата КриптоПро

Для того чтобы получить сертификат КриптоПро для пользователя Сбербанка, необходимо выполнить следующие шаги:

Авторизоваться в Терминале Транзита под пользователем с правами Администратора;
Перейти в панель настроек администратора в раздел Банковские модули, слева в списке выбрать модуль Сбербанка, перейти на вкладку Запросы сертификатов, и нажать на кнопку Создать запрос на сертификат:

Создать запрос на сертификат

Откроется форма Создать запрос на сертификат.
На форме выбрать организацию и нажать на кнопку Далее:

Выбор организации

Примечание: в выпадающем списке отображаются только те организации, для которых в настройках организации заполнено поле Идентификатор Сбербанка (КПП). Если данное поле не заполнено ни для одной из организаций, то список будет пустым.
Необходимо заполнить форму для создания сертификата. Предусмотрены следующие поля (значком * помечены обязательные для заполнения поля):
- Идентификатор запроса* - поле заполняется автоматически на основании выбранной организации, недоступно для редактирования;
- Код сертификата* - поле заполняется автоматически на основании выбранной организации, недоступно для редактирования;
- Номер сертификата* - поле заполняется автоматически на основании выбранной организации, недоступно для редактирования;
- Логин пользователя* - текстовое поле, заполняется вручную. Введенный логин строго должен соответствовать логину в СББОЛ;
- Фамилия* - текстовое поле, заполняется вручную;
- Имя* - текстовое поле, заполняется вручную;
- Отчество* - текстовое поле, заполняется вручную;
- Код страны* - заполняется автоматически значением Российская Федерация (RU), при необходимости может быть изменено (значение выбирается из выпадающего списка, где реализован текстовый поиск)
- Наименование организации - текстовое поле, заполняется автоматически. Наименование должно строго соответствовать наименованию в СББОЛ;
- Подразделение - текстовое поле, заполняется вручную;
- Должность* - текстовое поле, заполняется вручную;
- E-mail* - текстовое поле, заполняется вручную;
Заполнение формы для создания сертификата
На шаге Импортируйте сертификат необходимо заполнить поля Наименование контейнера закрытого ключа и Пароль контейнера закрытого ключа:

Заполнение данных о контейнере закрытого ключа
После того как данные о контейнере были заполнены, необходимо нажать на кнопку Скачать - на компьютер пользователя будет загружен архив со скриптом для создания сертификата:

Скачивание архива со скриптом для создания сертификата

Далее необходимо распаковать скаченный архив.
Выполнить скрипт из архива, скаченного на шаге 6.

Запуск скрипта для создания сертификата

Во время выполнения скрипта появится окошко “КриптоПро CSP”, где необходимо выбрать нужное устройство и нажать ОК:

Выполнение скрипта - выбор устройства в окне КриптоПро CSP

Далее появится окошко с сообщением о необходимости перемещать указатель мыши и нажимать случайные клавиши для генерации случайной последовательности:

Выполнение скрипта - генерация случайной последовательности

После выполнения скрипта в папке, где располагается сам скрипт, дополнительно сгенерируются файлы, в том числе, необходимый сертификат request_cms.der (далее его нужно будет выбрать на шаге 8):

Сгенерированные файлы после выполнения скрипта
Необходимо вернуться в Терминал Транзита, нажать на кнопку Загрузить сертификат, и выбрать сертификат, сгенерированный на шаге 7 (request_cms.der ).

Загрузка сертификата

Далее необходимо нажать на кнопку Создать.
После создания запроса в табличной части появляется запрос, отправленный в банк:

Запрос, отправленный в банк

Статусы меняются автоматически.

Можно двойным кликом левой кнопки мыши по запросу открыть форму, где на вкладке Шаги можно проследить изменения, происходящие с сертификатом с подробным описанием:

Текущий шаг запроса
После смены статуса заявления на Принято к исполнению на вкладке Шаги появляется кнопка Скачать PDF

Скачивание заявления в формате PDF

По кнопке необходимо скачать заявление и направить его в банк. В зависимости от контура (ПРОМ или ТЕСТ) могут быть разные требования по отправке заявления. Подробности см. по ссылке https://developers.sber.ru/docs/ru/sberbusinessapi/holdings/crypto.
После регистрации сертификата в банке статус запроса изменяется на Исполнено. На форме создания запроса осуществляется переход на шаг Активация, где необходимо нажать на кнопку Активировать сертификат:

Активация сертификата
После активации осуществляется переход на следующий шаг Скачивание сертификата. Необходимо нажать на кнопку Скачать сертификат:

Сохранение сертификата

Далее распаковать скаченный архив.

Распакованный архив с сертификатами
Необходимо из распакованного на предыдущем шаге архива взять сертификат с наименованием bank и все сертификаты cert (содержащие в наименовании слово cert) и добавить их в доверительные сертификаты КриптоПро. И только один сертификат (с наименованием, соответствующим значению в столбце Bicrypt ID для искомого запроса на вкладке Запросы сертификатов) необходимо добавить в личные (подробнее см. раздел Добавление сертификата в личные сертификаты).
В настройках банковского модуля на вкладке Запросы сертификатов необходимо скачать корневые сертификаты.

Скачивание корневых сертификатов

Далее необходимо распаковать скаченный архив. Из данного каталога устанавливаются сертификаты с расширением cer в доверительные сертификаты КриптоПро.

Корневые сертификаты в скаченном архиве
После установки сертификатов (доверительных и личного) необходимо обновить список в настройках модуля Сбербанка на вкладке Настройки пользователей, нажав на кнопку обновления сертификатов:

Обновление списка сертификатов

Потребуется какое-то время для обновления таблицы со списком сертификатов (до 5 минут). Через указанное время можно обновить страницу банковских модулей, и увидеть искомый сертификат в таблице Список сертификатов:

Обновленная таблица со списком сертификатов
Далее для пользователя, который будет выполнять подписание документа полученным от Сбербанка сертификатом КриптоПро, необходимо в сертификаты пользователя добавить искомый сертификат. Подробнее по добавлению сертификатов пользователю см. раздел Настройка Клиентского подписания КриптоПРО.
На последнем шаге необходимо выполнить настройку полномочий пользователю, который будет подписывать документы, направляемые в Сбербанк, и указать искомый сертификат КриптоПро (полученный от Сбербанка) для необходимой фазы подписания. Подробнее по настройке полномочий пользователю см. раздел Полномочия пользователя.


Создать запрос на сертификат


Выбор организации


Заполнение формы для создания сертификата


Заполнение данных о контейнере закрытого ключа


Скачивание архива со скриптом для создания сертификата


Запуск скрипта для создания сертификата


Выполнение скрипта - выбор устройства в окне КриптоПро CSP


Выполнение скрипта - генерация случайной последовательности


Сгенерированные файлы после выполнения скрипта


Загрузка сертификата


Запрос, отправленный в банк


Текущий шаг запроса


Скачивание заявления в формате PDF


Активация сертификата


Сохранение сертификата


Распакованный архив с сертификатами


Скачивание корневых сертификатов


Корневые сертификаты в скаченном архиве


Обновление списка сертификатов


Обновленная таблица со списком сертификатов

Добавление полученного сертификата в личные сертификаты

Необходимо из распакованного архива с сертификатами (см. шаг 12 раздела Процесс получения сертификата КриптоПро) взять сертификат с наименованием, которое соответствует значению в столбце Bicrypt ID для искомого запроса на вкладке Запросы сертификатов модуля Сбербанк, и добавить его в личные сертификаты.

Чтобы добавить сертификат в личные сертификаты необходимо:

Открыть “КриптоПро CSP”, перейти на вкладку “Сервис”, и нажать на кнопку “Установить личный сертификат”:

Установка личного сертификата
Выбрать файл сертификата из загруженного и распакованного ранее архива (см. шаг 12 раздела Процесс получения сертификата КриптоПро), и нажать кнопку “Далее”:

Установка личного сертификата
Нажать кнопку “Далее” на следующем шаге:

Установка личного сертификата
Выбрать путь к контейнеру закрытого ключа, который был задан при формировании запроса на сертификат (см. шаг 5 раздела Процесс получения сертификата КриптоПро), и нажать “Далее”:

Установка личного сертификата
Оставить включенной опцию “Установить сертификат (цепочку сертификатов) в контейнер”, и нажать “Далее”:

Установка личного сертификата
Нажать кнопку “Готово”, в открывшемся окне ввести пароль от контейнера и нажать “ОК”:

Установка личного сертификата


Установка личного сертификата


Установка личного сертификата


Установка личного сертификата


Установка личного сертификата


Установка личного сертификата


Установка личного сертификата

Диагностическая информация по запросу

На форме Запрос создания сертификата предусмотрена кнопка Скачать диагностическую информацию, по нажатию на которую скачивается архив с диагностической информацией. Содержит, в том числе, информацию от адаптера. Данный архив может быть скачен и направлен в техническую поддержку при возникновении проблем или ошибок при запросе сертификата.


Скачивание диагностической информации