Для завершения процесса загрузите документ с эп что это
Приложение N 2. Руководство по установке и настройке программного обеспечения для работы с электронной подписью на портале «Личный кабинет налогоплательщика юридического лица»
Руководство
по установке и настройке программного обеспечения для работы с электронной подписью на портале «Личный кабинет налогоплательщика юридического лица»
1. Установка программного обеспечения
1.1. Сведения о технических и программных средствах, обеспечивающих работу
Для работы с электронной подписью (ЭП) в Личном кабинете налогоплательщика юридического лица необходимо на рабочее место пользователя установить следующее программное обеспечение (ПО):
— ОС Microsoft Windows XP или выше, либо Mac OS X 10.9 или выше);
— Браузер с поддержкой шифрования защищенных соединений по ГОСТ 34.10-2001, 28147-89;
— Криптопровайдер с поддержкой алгоритмов шифрования ГОСТ 34.10-2001 и ГОСТ 28147-89;
— Набор драйверов и дополнительных утилит для работы с электронными ключами eToken PKI Client 5.1 SP1;
— Программный компонент для работы с электронной подписью с использованием Web-браузера (Крипто ПРО ЭЦП browser plug-in).
Необходимо установить сертификаты:
— Сертификат «УЦ ФГУП ГНИВЦ ФНС России» в хранилище сертификатов «Доверенные корневые центры»;
— В случае использования криптопровайдера Signal-COM CSP необходимо осуществить экспорт пользовательского сертификата в локальное хранилище.
В случае использования криптопровайдера КриптоПро CSP:
— Цепочку квалифицированных сертификатов ключей проверки электронной подписи (далее КСКПЭП), начиная от КСКПЭП УЦ, непосредственно выдавшего юридическому лицу его КСКПЭП, и до корневого КСКПЭП, последнего в цепочке сертификатов, в соответствующие хранилища:
— Квалифицированный сертификат ключа проверки электронной подписи (КСКПЭП), выданный юридическому лицу удостоверяющим центром, аккредитованным в сети доверенных удостоверяющих центров ФНС России, в хранилище сертификатов «Личные».
Могут быть использованы КСКПЭП, выданные для представления налоговой и бухгалтерской отчетности по телекоммуникационным каналам связи.
Кроме того, необходимо выполнить следующие настройки:
— Установить узлы http://lk3.nalog.ru и https://lk3.nalog.ru в зону надежных узлов;
— Порты 80, 443, 8443 должны быть открыты для отправки и приема данных из сети Интернет.
1.2. Установка Internet Explorer
Рекомендуется обновлять версию Internet Explorer до максимально возможной (зависит от установленной ОС пользователя), а так же регулярно проводить Windows-обновления и доставлять все необходимые патчи и компоненты безопасности для браузера Internet Explorer.
1.3. Установка eToken PKI Client 5.1 SP1
Скачать ПО можно по ссылке http://www.aladdin-rd.ru/support/downloads/26037/. Установите ПО с настройками по умолчанию.
1.4. Установка КриптоПро ЭЦП browser plug-in для Windows
Компонент для подписания документов с использованием Web-браузера доступен по ссылке http://www.cryptopro.ru/products/cades/plugin/downloads.
Загрузите КриптоПро ЭЦП browser plug-in для Windows (актуальную версию):
Нажмите «Выполнить» в окне завершения установки ЭЦП browser plug-in для Windows.
Завершите установку ЭЦП browser plug-in:
1.5. Установка сертификата «УЦ ФГУП ГНИВЦ ФНС России» в хранилище сертификатов «Доверенные корневые центры»
Для установки сертификата вам потребуется перейти с помощью браузера Internet Explorer на официальный сайт ФГУП ГНИВЦ ФНС РОССИИ по ссылке http://www.gnivc.ru/power_home/certification_center/uc/resurses/ks/ и выберите «Корневой сертификат от 2012 года», нажмите «Открыть».
Далее нажмите «Установить сертификат»:
В открывшемся окне мастера импорта сертификатов нажмите «Далее».
Выберите «Поместить все сертификаты в следующее хранилище», после чего нажмите «Обзор. «:
Укажите «Доверенные корневые центры сертификации», нажмите «ОК»:
Для завершения работы мастера импорта сертификатов нажмите «Готово»:
Подтвердите установку сертификата, нажав кнопку «Да»:
1.6. Установка узлов http://lk3.nalog.ru и https://lk3.nalog.ru в зону надежных узлов
Зайдите в меню «Сервис» и выберите пункт «Свойства обозревателя». В появившемся окне перейдите на вкладку «Безопасность», выберите «Надежные узлы» и нажмите кнопку «Узлы»:
По очереди добавьте узлы http://lk3.nalog.ru и https://lk3.nalog.ru в список:
2. Установка и настройка КриптоПро CSP
Если на рабочее место пользователя установлен другой криптопровайдер (отличный от КриптоПро), то рекомендуется его удалить.
Внимание! Если на рабочее место пользователя установлено программное обеспечение КриптоПро версии 3.0, его необходимо удалить.
Загрузите дистрибутив КриптоПро CSP с официального сайта по ссылке http://www.cryptopro.ru/products/csp/overview.
При установке КриптоПро CSP следуйте инструкциям мастера установки:
В блоке «Требуемые библиотеки поддержки» необходимо выбрать все опции:
После завершения установки обязательно перезагрузите компьютер.
2.2. Выстраивание цепочки КСКПЭП
Установите КСКПЭП, выданный юридическому лицу удостоверяющим центром в хранилище сертификатов «Личные» (см. п. Ошибка! Источник ссылки не найден. Ошибка! Источник ссылки не найден.).
Далее необходимо выстроить цепочку доверия к установленному личному сертификату. Для этого нужно установить сертификаты устанавливающие доверие.
Выберите установленный сертификат, кликнув по нему два раза левой кнопкой мыши. Перейдите на вкладку «Состав»:
Выберите в верхнем окне строку «Доступ к информации о центрах сертификации» и нижнем окне отобразится ссылка на сертификат. По данной ссылке можно скачать сертификат.
В случае отсутствия строки «Доступ к информации о центрах сертификации», можно посмотреть, кто издал искомый сертификат на вкладке «Состав», значение в поле «Издатель».
Перед установкой сертификата, откройте его (кликнув по нему два раза левой кнопкой мыши), чтобы узнать какой это сертификат: самоподписанный или нет. Перейдите на вкладку «Состав».
У самоподписанного сертификата поля «Издатель» и «Субъект» на вкладке «Состав» имеют одинаковые значения.
Если сертификат самоподписанный, то его нужно устанавливать в доверенные корневые центры сертификации. Установка аналогична установке сертификата «УЦ ФГУП ГНИВЦ ФНС России» (см. п.1.5 Установка сертификата «УЦ ФГУП ГНИВЦ ФНС России» в хранилище сертификатов «Доверенные корневые центры»).
После установки самоподписанного сертификата цепочка доверия к личному сертификату будет выстроена.
Если у сертификата поля «Издатель» и «Субъект» на вкладке «Состав» имеют различные значения, то данный сертификат необходимо устанавливать в промежуточные центры сертификации.
Для этого загрузите сертификат по кнопке «Открыть».
На вкладке «Общие» окна с информацией о сертификате нажмите «Установить сертификат».
Выберите «Поместить все сертификаты в следующее хранилище», после чего нажмите «Обзор. «:
Укажите «Промежуточные центры сертификации», нажмите «ОК»:
Для завершения работы мастера импорта сертификатов нажмите «Готово»:
Если отобразится предупреждение системы безопасности, подтвердите установку сертификата, нажав кнопку «Да».
Выберите установленный сертификат, кликнув по нему два раза левой кнопкой мыши. Перейдите на вкладку «Состав», где в строке «Доступ к информации о центрах сертификации» и нижнем окне отобразится ссылка на следующий сертификат в цепочке.
Таким образом, необходимо установить все сертификаты, пока не дойдете до самоподписанного сертификата. После установки самоподписанного сертификата будет выстроена цепочка доверия к личному сертификату.
2.3. Установка КСКПЭП, выданного юридическому лицу удостоверяющим центром, аккредитованным в сети доверенных удостоверяющих центров ФНС России, в хранилище сертификатов «Личные»
Подключите носитель КСКПЭП (дискету, e-token с сертификатом) к компьютеру.
Вариант установки 1 (через кнопку «Посмотреть сертификаты в контейнере. «):
На вкладке «Сервис» нажмите «Посмотреть сертификаты в контейнере. «:
Нажмите «Обзор.» рядом с полем «Имя ключевого контейнера»:
Выберите ключевой контейнер, соответствующий подключенному носителю электронной подписи:
После того, как имя контейнера отобразится в поле «Имя ключевого контейнера», нажмите «Далее».
Внимание! Если при выборе ключевого контейнера появляется показанное ниже окно, это означает, что истек срок действия лицензии КриптоПро CSP. В этом случае необходимо обязательно обновить лицензию, иначе работа с Личным кабинетом не будет возможна.
Вариант установки 2 (через кнопку «Установить личный сертификат. «):
На вкладке «Сервис» нажмите кнопку «Установить личный сертификат.»:
В окне «Мастер установки личного сертификата» нажмите кнопку «Обзор» рядом с полем «Имя файла сертификата», чтобы выбрать файл сертификата:
В поле «Имя файла сертификата» отобразится выбранный сертификат, нажмите «Далее».
В окне «Сертификат для установки» кликните по кнопке «Далее».
Выберите «Обзор», чтобы указать соответствующий контейнер закрытого ключа.
Выберите нужный ключевой контейнер. Нажмите «ОК».
После того, как имя контейнера отобразится в поле «Имя ключевого контейнера», нажмите «Далее».
В окне «Выбор хранилища сертификатов» кликните по кнопке «Обзор».
Выберите хранилище «Личное» и нажмите «ОК».
После выбора хранилища нажмите на кнопку «Далее».
Затем нажмите на кнопку «Готово».
После нажатия на кнопку «Готово» может появиться такое сообщение: «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?». В таком случае необходимо выбрать «Да».
В сообщении об успешной установке нажмите «ОК». Если у Вас отобразилось сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», то сообщение «Сертификат был установлен в хранилище «Личные» текущего пользователя» может не появиться.
Внимание! Если при установке КСКПЭП в хранилище сертификатов «Личные» появляется сообщение «Закрытый ключ на указанном контейнере не соответствует открытому ключу в сертификате. Выберите другой ключевой контейнер», попробуйте сделать следующее:
1. Запустите редактор реестра (Пуск/ввести в поисковую строку «regedit»/ ввод).
2. Перейдите в следующую ветвь редактора реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS, найдите ветку с названием S-1-5-21-887842899-779666540-1964827887-17186 (где S-1-5-21-887842899-779666540-1964827887-17186- SID пользователя).
3. Зайдите в KeyDevices и удалите там passwords.
4. Удалите содержимое папки C:\Documents and Settings\имя пользователя \Application Data\Microsoft\SystemCertificates\My\Keys.
5. Установите заново сертификат.
Если выполнение описанных выше действий, не решило Вашу проблему, обратитесь в Удостоверяющий центр, выдавший КСКПЭП.
2.4. Проверка установки сертификатов
Выберите установленный сертификат, кликнув по нему два раза левой кнопкой мыши. Перейдите на вкладку «Путь сертификации»:
На вкладке «Путь сертификации» должна отображаться цепочка сертификатов, с помощью которых устанавливается доверие. Верхний сертификат должен быть самоподписанным.
В поле «Состояние сертификата» должно отображаться сообщение о действительности сертификата.
Сертификат «УЦ ФГУП ГНИВЦ ФНС России» и самоподписанный КСКПЭП удостоверяющего центра, выдавшего КСКПЭП юридическому лицу, будут размещаться в хранилище сертификатов «Доверенные корневые центры сертификации»:
Остальные сертификаты цепочки будут размещаться в хранилище сертификатов «Промежуточные центры сертификации»:
При возникновении окна с просьбой ввести pin-код во время работы в системе, установки или копирования сертификата, необходимо указать pin-код пользователя сертификатом. Pin-код выдается удостоверяющим центром вместе с сертификатом.
Внимание! Если выданный pin-код пользователя был самостоятельно изменен пользователем, то в данном окне следует прописать новый pin-код. Информация о новом pin-коде хранится только у пользователя.
3. Установка и настройка Signal-COM CSP
Внимание! На рабочем месте может быть установлен только один криптопровайдер. Если у Вас уже установлен какой-либо криптопровайдер, установите криптопровайдер Signal-COM CSP на другое рабочее место.
— Запустите установочный файл Signal-COM CSP, в зависимости от разрядности системы выберете нужный файл
— В окне установщика нажмите кнопку «Далее»
— Ознакомьтесь с условиями Лицензионного соглашения, для принятия условий выберите «Я принимаю условия лицензионного соглашения» и нажмите кнопку «Далее»
— В окне сведений о пользователе введите пользователя, название организации и ключ продукта и нажмите кнопку «Далее»
— В окне выбора компонент выберете необходимые компоненты и нажмите кнопку «Далее»
— по умолчанию устанавливаются компоненты CSP и TLS
— Нажмите кнопку «Установить»
— Дождитесь, пока завершится процесс установки
— В окне выбора ключевого носителя для создания контейнера RNG Initialization Container выберете «Локальный компьютер» и нажмите кнопку «Ок»
— Для инициализации генератора случайных чисел нажимайте кнопки клавиатуры или перемещайте мышь до окончания процесса
— Нажмите кнопку «Готово»
— Для завершения процесса установки Signal-COM CSP и перезагрузки системы нажмите «Да»
Если после перезагрузки системы появится окно с просьбой выбора ключевого контейнера для инициализации генератора случайных чисел, то выполните действия описанные ниже. Если данное окно не появится, то перейдите к следующему пункту.
— В появившемся окне нажмите кнопку «Отмена»
— Для инициализации генератора случайных чисел нажимайте кнопки клавиатуры или перемещайте мышь до окончания процесса
— Создайте ключевой контейнер для инициализации генератора случайных чисел, нажав кнопку «Да»
3.2. Экспорт сертификата
— Войдите в меню «Пуск» и откройте программу «Администратор»
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Как создать отсоединенную подпись к документу
В правилах работы с информационной системой может быть указано, что документы должны загружаться с отсоединенной (или открепленной) подписью. Она создается как отдельный файл и не меняет сам документ, поэтому его можно открыть без специальных программ.
Для создания отсоединенной подписи потребуется:
Порядок действий зависит от того, где вы будете создавать отсоединенную подпись.
Вы получите архив, который содержит сам документ и отсоединенную подпись к нему.
В указанном выше каталоге будет создано 2 файла: сам документ и отсоединенная подпись.
Как работать с электронной подписью?
Чтобы повысить эффективность работы и увеличить скорость бизнес-процессов, современные предприниматели переходят на электронный документооборот, ядром которого является электронная подпись. Тем, кто только начинает ею пользоваться, стоит сразу разобраться, как это делать и что учесть.
В предыдущей статье мы разобрались, где и как получить электронную подпись, и выяснили, что самой незащищенной является простая электронная подпись. Поскольку простая ЭП не содержит криптографические механизмы, алгоритмы и представляет собой, например, пару логин-пароль или SMS-код, то пользоваться ею довольно просто.
Гораздо больше вопросов вызывает использование усиленной ЭП, так как оно сопряжено с различными технологическими нюансами. Поскольку в основе усиленной ЭП лежат криптографические механизмы, то для того, чтобы все они работали, необходимы соответствующие инструменты: ПО, правильная реализация в информационной системе и др.
Все технологические вопросы, касающиеся использования ЭП, можно разделить на несколько базовых блоков:
Рассмотрим подробнее каждый блок задач.
Как начать работать с электронной подписью
Инструмент №1 — криптопровайдер
Это специальное ПО, реализующее все криптографические алгоритмы. Оно дает инструментарий для их использования: чтобы создавать ЭП, проверять ее, зашифровывать и расшифровывать информацию. Одни из самых известных криптопровайдеров — КриптоПро CSP и ViPNet CSP.
Инструмент №2 — сертификат ЭП и закрытый ключ к нему
Эти элементы можно получить в удостоверяющем центре (УЦ). Они хранятся на защищенном носителе, который внешне выглядит как флеш-накопитель, но на самом деле является специализированным электронным устройством, обеспечивающим безопасное хранение закрытого ключа пользователя и сертификата ЭП. Этот носитель называется токеном. При осуществлении криптографических операций криптопровайдер обращается к защищенному носителю для получения доступа к закрытому ключу ЭП.
Токены на российском рынке выпускают различные производители. Флагманами считаются Рутокен (компания «Актив»), JaСarta (компания «Аладдин Р.Д.»).
Инструмент №3 — настроенное рабочее место
Основной вопрос касается установки корневых сертификатов УЦ, выдавшего сертификат ЭП. При работе с квалифицированными сертификатами ЭП настройка корневых сертификатов часто связана с дополнительной задачей — установкой кросс-сертификатов Минкомсвязи. Такие сертификаты позволяют удостовериться в том, что УЦ действительно аккредитован, так как в требованиях к квалифицированной ЭП указано, что она обязательно должна быть выдана аккредитованным УЦ.
Следующий блок задач касается правильной настройки браузера. При работе с площадками и системами с веб-доступом необходимо настроить браузер таким образом, чтобы он позволял осуществлять все необходимые операции. Если мы попробуем начать работу с браузером, настроенным по умолчанию, то работа с ЭП будет недоступна из-за политик безопасности операционной системы.
Также часто требуется установка дополнительных надстроек или плагинов для браузера.
Наличие трех основных инструментов — криптопровайдера, закрытого ключа и сертификата ЭП и правильно настроенного рабочего места — обеспечивает корректную работу в 99% случаев. Компания СКБ Контур создала специальный сервис для автоматической настройки рабочего места клиента. Чтобы осуществить настройку, достаточно зайти по адресу sertum.ru, выбрать нужный тип информационной системы, с которой планируется работать, и дождаться окончания работы веб-диска.
Как работать с ЭП в электронных документах
Порядок подписания будет отличаться в зависимости от типа электронного документа, с которым мы работаем. В целом можно выделить два вида документов:
1. Электронные документы специализированного формата, которые позволяют встроить ЭП внутрь самого документа (документы Microsoft Word, PDF).
Чтобы встроить ЭП внутрь файла, иногда нужны дополнительные настройки, но часто достаточно обычной версии программы. В случае с Microsoft Word многое зависит от версии продукта: в версии до 2007 года включительно ЭП в документе можно создавать без дополнительных надстроек, для более поздних версий понадобится специальный плагин — КриптоПро Office Signature. Руководство по настройке ЭП для Microsoft Word/Excel можно найти на сайте УЦ СКБ Контур.
Для подписания PDF-файлов можно использовать программу Adobe Acrobat. При помощи данного функционала можно встраивать ЭП внутрь документа. Проверка созданной таким образом ЭП осуществляется также при помощи программ Adobe Reader и Adobe Acrobat.
2. Неформализованные электронные документы, не обладающие дополнительным инструментарием для встраивания ЭП.
Для электронного документа можно создать ЭП без встраивания в сам документ. Такая подпись будет называться отсоединенной и представлять собой отдельный электронный документ. Таким способом можно подписывать любые электронные документы, в том числе и в форматах Word и PDF.
Набор инструментов для реализации таких возможностей в целом не ограничивается каким-то одним решением. Существуют отдельные программы, которые устанавливаются на рабочее место и позволяют создавать и проверять ЭП, например, КриптоАРМ. Есть веб-решения, с помощью которых можно прямо в браузере создать ЭП, загрузив документ в форму на сайте, присоединив свой токен с закрытым ключом. На выходе вы получите отсоединенную ЭП. Такие возможности предоставляет сервис Контур.Крипто.
Каким требованиям должно соответствовать рабочее место, чтобы с него можно было работать с ЭП? С критериями можно ознакомиться по ссылке.
Проверка электронной подписи
Чтобы проверить ЭП в документах Microsoft Word и PDF, можно воспользоваться штатной программой, открыть в ней документ и посмотреть, корректна ЭП или нет.
Второй способ более универсальный — воспользоваться отдельным инструментарием для работы с ЭП — КриптоАРМ или Контур.Крипто. Нужно загрузить в программу электронный документ с ЭП, сертификат, при помощи которого создавалась ЭП, и осуществить проверку. Данные утилиты в соответствии с алгоритмом проверки ЭП осуществят все необходимые действия. Во-первых, инструментарий позволяет убедиться в том, что сертификат, при помощи которого создавалась ЭП, действующий. Во-вторых, можно удостовериться в том, что сертификат выпущен УЦ, которому мы доверяем. В-третьих, можно получить подтверждение, что ЭП действительно соответствует тому электронному документу, который загрузили.
Как работать с ЭП внутри различных информационных систем
Информационные системы могут представлять собой веб-сервис или настольное приложение. Поскольку каждое настольное решение имеет свои особенности реализации и правила настройки для работы с ЭП, разбирать общие сценарии не имеет смысла. Остановимся на более унифицированных веб-решениях.
Чтобы получить возможность работать с ЭП в электронной облачной системе, нужно правильно настроить браузер. В данном случае потребуется установка плагинов, дополнительных настроек, которые помогают работать с ЭП. Например, на электронной торговой площадке «Сбербанк-АСТ» используется штатный плагин от Microsoft — Capicom. На портале госуслуг устанавливается свой плагин, работающий во всех браузерах и осуществляющий работу с ЭП.
Работа с ЭП на определенном веб-портале осуществляется при помощи интерфейса этого портала. Интерфейсы могут быть разные, но базовые сценарии сходны — это загрузка или создание документа и последующее его подписание ЭП. Веб-портал использует плагин, который совершает необходимые операции по созданию или проверке ЭП, и результат работы попадает на серверы информационной системы.
Чтобы начать работать на электронной торговой площадке, пользователю необходимо пройти аккредитацию и приложить копии требуемых документов, подписанных ЭП. В дальнейшем, участвуя в электронных торгах, все действия подтверждаются при помощи ЭП, и эта информация в юридически значимом виде сохраняется на серверах электронной торговой площадки.
Часто в процессе работы c веб-ориентированными информационными системами у пользователей возникают вопросы: почему мой сертификат не принимается системой? как проверить подлинность сертификата? Ответы на первый вопрос могут быть разными, но основных, как правило, три:
Почему иногда сертификат не проходит проверку подлинности на портале госуслуг?
Обратите внимание на то, что Постановление Правительства РФ от 27.08.2018 № 996 расширило действие простой ЭП на портале госуслуг. Ранее ее использование ограничивалось выполнением лишь элементарных действий, например, просмотром личного кабинета. Более серьезные операции требовали применения усиленной ЭП. Но, чтобы ее получить, нужно оплатить стоимость флеш-носителя, на котором она выдается в УЦ. Предполагается, что это нововведение позволит сократить расходы заявителей, связанные с выпуском физического носителя сертификата ключа ЭП.
Если резюмировать все описанное выше, можно отметить, что работа с усиленной ЭП имеет некоторый технологический порог вхождения. Для преодоления этого порога можно пользоваться готовыми программными решениями по автоматической настройке рабочего места и началу работы с усиленной ЭП, что существенно облегчает процесс.
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.