Сертификат КриптоПро для Сбербанка
В Терминале Транзита реализован функционал, который позволяет получать сертификаты КриптоПро для пользователей Сбербанка.
Требования по установленному ПО
Для того чтобы использовать искомый функционал запроса сертификатов, должен быть выполнен ряд условий:
-
Должен быть установлен OpenSSL.
Данное требование основано на документации Сбербанка (подробнее см. по ссылке https://developers.sber.ru/docs/ru/sberbusinessapi/holdings/crypto ).
Примечание: версия OpenSSL выбирается самостоятельно в соответствии с регламентом и политикой безопасности.
-
Должен быть установлен КриптоПро с утилитой cryptcp (ссылка на утилиту: https://www.cryptopro.ru/products/other/cryptcp ). Достаточно один раз с использованием утилиты установить серийный номер лицензии.
Проверить текущее состояние, а именно был установлен серийный номер лицензии ранее или нет можно, открыв каталог с утилитой cryptcp в командной строке и выполнив команду
cryptcp -sn
:Запуск утилиты cryptcp - проверка текущего состояния Если серийный номер не был добавлен, то необходимо выполнить команду
cryptcp -sn <серийный номер лицензии>
:Запуск утилиты cryptcp - указание серийного номера лицензии Если же серийный номер лицензии уже установлен, то никаких дополнительных действий не требуется.
-
В переменные среды в переменную Path должны быть прописаны пути до OpenSSL и cryptcp.
Чтобы открыть переменные среды Windows можно воспользоваться поиском в панели задач (начните вводить «Переменных» и откройте пункт «Изменение системных переменных среды»). На вкладке «Дополнительно» нажмите кнопку «Переменные среды…» - откроется модальное окно, где необходимо выбрать переменную Path и нажать на кнопку «Изменить». Для добавления нового значения (пути) в системную переменную в следующем окне необходимо нажать кнопку «Создать», либо дважды кликнуть по первой пустой строке, затем — ввести нужный путь к папке, содержащей нужные исполняемые файлы (OpenSSL и cryptcp).
На рисунке ниже в системную переменную Path пути до OpenSSL и cryptcp уже добавлены.
Добавление путей до OpenSSL и cryptp в переменную Path После того как пути были добавлены, нажмите на кнопку “ОК” в каждом из модальных окон для сохранения настроек.
Процесс получения сертификата КриптоПро
Для того чтобы получить сертификат КриптоПро для пользователя Сбербанка, необходимо выполнить следующие шаги:
-
Авторизоваться в Терминале Транзита под пользователем с правами Администратора;
-
Перейти в панель настроек администратора в раздел Банковские модули, слева в списке выбрать модуль Сбербанка, перейти на вкладку Запросы сертификатов, и нажать на кнопку
Создать запрос на сертификат
:Создать запрос на сертификат Откроется форма Создать запрос на сертификат.
-
На форме выбрать организацию и нажать на кнопку
Далее
:Выбор организации Примечание: в выпадающем списке отображаются только те организации, для которых в настройках организации заполнено поле
Идентификатор Сбербанка (КПП)
. Если данное поле не заполнено ни для одной из организаций, то список будет пустым. -
Необходимо заполнить форму для создания сертификата. Предусмотрены следующие поля (значком
*
помечены обязательные для заполнения поля):Идентификатор запроса*
- поле заполняется автоматически на основании выбранной организации, недоступно для редактирования;Код сертификата*
- поле заполняется автоматически на основании выбранной организации, недоступно для редактирования;Номер сертификата*
- поле заполняется автоматически на основании выбранной организации, недоступно для редактирования;Логин пользователя*
- текстовое поле, заполняется вручную. Введенный логин строго должен соответствовать логину в СББОЛ;Фамилия*
- текстовое поле, заполняется вручную;Имя*
- текстовое поле, заполняется вручную;Отчество*
- текстовое поле, заполняется вручную;Код страны*
- заполняется автоматически значением Российская Федерация (RU), при необходимости может быть изменено (значение выбирается из выпадающего списка, где реализован текстовый поиск)Наименование организации
- текстовое поле, заполняется автоматически. Наименование должно строго соответствовать наименованию в СББОЛ;Подразделение
- текстовое поле, заполняется вручную;Должность*
- текстовое поле, заполняется вручную;E-mail*
- текстовое поле, заполняется вручную;
Заполнение формы для создания сертификата -
На шаге Импортируйте сертификат необходимо заполнить поля
Наименование контейнера закрытого ключа
иПароль контейнера закрытого ключа
:Заполнение данных о контейнере закрытого ключа -
После того как данные о контейнере были заполнены, необходимо нажать на кнопку
Скачать
- на компьютер пользователя будет загружен архив со скриптом для создания сертификата:Скачивание архива со скриптом для создания сертификата Далее необходимо распаковать скаченный архив.
-
Выполнить скрипт из архива, скаченного на шаге 6.
Запуск скрипта для создания сертификата Во время выполнения скрипта появится окошко “КриптоПро CSP”, где необходимо выбрать нужное устройство и нажать ОК:
Выполнение скрипта - выбор устройства в окне КриптоПро CSP Далее появится окошко с сообщением о необходимости перемещать указатель мыши и нажимать случайные клавиши для генерации случайной последовательности:
Выполнение скрипта - генерация случайной последовательности После выполнения скрипта в папке, где располагается сам скрипт, дополнительно сгенерируются файлы, в том числе, необходимый сертификат request_cms.der (далее его нужно будет выбрать на шаге 8):
Сгенерированные файлы после выполнения скрипта -
Необходимо вернуться в Терминал Транзита, нажать на кнопку
Загрузить сертификат
, и выбрать сертификат, сгенерированный на шаге 7 (request_cms.der ).Загрузка сертификата Далее необходимо нажать на кнопку
Создать
. -
После создания запроса в табличной части появляется запрос, отправленный в банк:
Запрос, отправленный в банк Статусы меняются автоматически.
Можно двойным кликом левой кнопки мыши по запросу открыть форму, где на вкладке Шаги можно проследить изменения, происходящие с сертификатом с подробным описанием:
Текущий шаг запроса -
После смены статуса заявления на Принято к исполнению на вкладке Шаги появляется кнопка
Скачать PDF
Скачивание заявления в формате PDF По кнопке необходимо скачать заявление и направить его в банк. В зависимости от контура (ПРОМ или ТЕСТ) могут быть разные требования по отправке заявления. Подробности см. по ссылке https://developers.sber.ru/docs/ru/sberbusinessapi/holdings/crypto.
-
После регистрации сертификата в банке статус запроса изменяется на Исполнено. На форме создания запроса осуществляется переход на шаг Активация, где необходимо нажать на кнопку
Активировать сертификат
:Активация сертификата -
После активации осуществляется переход на следующий шаг Скачивание сертификата. Необходимо нажать на кнопку
Скачать сертификат
:Сохранение сертификата Далее распаковать скаченный архив.
Распакованный архив с сертификатами -
Необходимо из распакованного на предыдущем шаге архива взять сертификат с наименованием bank и все сертификаты cert (содержащие в наименовании слово cert) и добавить их в доверительные сертификаты КриптоПро. И только один сертификат (с наименованием, соответствующим значению в столбце Bicrypt ID для искомого запроса на вкладке Запросы сертификатов) необходимо добавить в личные (подробнее см. раздел Добавление сертификата в личные сертификаты).
-
В настройках банковского модуля на вкладке Запросы сертификатов необходимо скачать корневые сертификаты.
Скачивание корневых сертификатов Далее необходимо распаковать скаченный архив. Из данного каталога устанавливаются сертификаты с расширением cer в доверительные сертификаты КриптоПро.
Корневые сертификаты в скаченном архиве -
После установки сертификатов (доверительных и личного) необходимо обновить список в настройках модуля Сбербанка на вкладке Настройки пользователей, нажав на кнопку обновления сертификатов:
Обновление списка сертификатов Потребуется какое-то время для обновления таблицы со списком сертификатов (до 5 минут). Через указанное время можно обновить страницу банковских модулей, и увидеть искомый сертификат в таблице Список сертификатов:
Обновленная таблица со списком сертификатов -
Далее для пользователя, который будет выполнять подписание документа полученным от Сбербанка сертификатом КриптоПро, необходимо в сертификаты пользователя добавить искомый сертификат. Подробнее по добавлению сертификатов пользователю см. раздел Настройка Клиентского подписания КриптоПРО.
-
На последнем шаге необходимо выполнить настройку полномочий пользователю, который будет подписывать документы, направляемые в Сбербанк, и указать искомый сертификат КриптоПро (полученный от Сбербанка) для необходимой фазы подписания. Подробнее по настройке полномочий пользователю см. раздел Полномочия пользователя.
Добавление полученного сертификата в личные сертификаты
Необходимо из распакованного архива с сертификатами (см. шаг 12 раздела Процесс получения сертификата КриптоПро) взять сертификат с наименованием, которое соответствует значению в столбце Bicrypt ID для искомого запроса на вкладке Запросы сертификатов модуля Сбербанк, и добавить его в личные сертификаты.
Чтобы добавить сертификат в личные сертификаты необходимо:
-
Открыть “КриптоПро CSP”, перейти на вкладку “Сервис”, и нажать на кнопку “Установить личный сертификат”:
Установка личного сертификата -
Выбрать файл сертификата из загруженного и распакованного ранее архива (см. шаг 12 раздела Процесс получения сертификата КриптоПро), и нажать кнопку “Далее”:
Установка личного сертификата -
Нажать кнопку “Далее” на следующем шаге:
Установка личного сертификата -
Выбрать путь к контейнеру закрытого ключа, который был задан при формировании запроса на сертификат (см. шаг 5 раздела Процесс получения сертификата КриптоПро), и нажать “Далее”:
Установка личного сертификата -
Оставить включенной опцию “Установить сертификат (цепочку сертификатов) в контейнер”, и нажать “Далее”:
Установка личного сертификата -
Нажать кнопку “Готово”, в открывшемся окне ввести пароль от контейнера и нажать “ОК”:
Установка личного сертификата
Диагностическая информация по запросу
На форме Запрос создания сертификата предусмотрена кнопка Скачать диагностическую информацию
, по нажатию на которую скачивается архив с диагностической информацией. Содержит, в том числе, информацию от адаптера. Данный архив может быть скачен и направлен в техническую поддержку при возникновении проблем или ошибок при запросе сертификата.
Скачивание диагностической информации |