Приложение Г. Процедура формирования и подачи запроса на выпуск цифрового сертификата безопасности. Методические рекомендации Р 104-2024 "Обеспечение информационной безопасности пультов централизованного наблюдения и защиты локальных вычислительных сетей пунктов централизованной охраны при организации централизованной охраны объектов и мест проживания и хранения имущества граждан" (утв. ФКУ "Научно-исследовательский центр "Охрана" Росгвардии, 2024 г.)

Приложение Г
(справочно)

Процедура формирования и подачи запроса на выпуск цифрового сертификата безопасности

Процедура формирования запроса CSR на выпуск и получение цифрового сертификата состоит из трех основных этапов:

- создания запроса и пары ключей шифрования: приватного (секретного) и публичного (открытого);

- подписи запроса усиленной квалифицированной электронной подписью;

- передачи заявления и запроса CSR на сайт Госуслуг по электронной почте.

Для формирования запроса и выполнения всех необходимых процедур на компьютер с сервером ПЦН и ОС Windows необходимо установить криптографическую библиотеку с открытым исходным кодом OpenSSL. В ОС Linux данное ПО как правило предустановлено.

Для ОС Linux и Windows необходимо открыть программу Терминал и вести команду:

- openssl req-out certificate_name.csr-new\

-subj

"/C=RU/ST=Moscow/L=Moscow/O=FGKUUVO/CN=*.domain.ru"\

-addext "keyUsage=digitalSignature, keyEncipherment"/

-addext "subjectAltName=DNS:domain.ru, DNS:www.domain.ru, DNS:*.domain.ru"\

-addext "extendedKeyUsage=serverAuth" newkey rsa:2048-nodes-keyout certificate_name.key

В данной команде вводятся следующие атрибуты:

- C=RU - двухбуквенный код страны;

- ST=Moscow - город, в котором зарегистрирована организация;

- L=Moscow - район, область;

- FGKU UVO - официальное название организации;

- domain.ru - домен, для которого выпускается сертификат;

- certificate_name - название сертификата.

Для доменных имен на русском языке следует указывать конвертированное с помощью метода punycode значение, например, уво.рф.

При заполнении параметров ST/L/O/OU кириллицей необходимо в запросе указывать ключ "-utf8".

Например:

- openssl req -out test3.csr-new-subj\

"/С=RU/ST=Москва/L=Москва/O=ФГКУ УВО по г. Москве.\

/OU=Тестовый департамент/CN=*.mydomain.ru"

-addext "keyUsage = digitalSignature,keyEncipherment"

-addext "subjectAltName = DNS.mydomain.ru,

DNS:www.mydomain.ru,DNS:*.mydomain.ru"

-addext "extendedKeyUsage = serverAuth"-utf8

-key/path/to/existsKey.key.

После формирования запроса правильность его заполнения необходимо проверить командой:

- openssl req-in certificate_name.csr-noout-text.

В случае успешного формирования запроса CSR на экране отобразится информация, содержащая введенные пользователем атрибуты организации в поле Subject и публичный ключ шифрования RCA Public-Key, представленная на рисунке Г.1.

Рисунок Г.1 - Информация об успешном формировании запроса CSR

ГАРАНТ:

Рисунок не приводится

На следующем этапе необходимо подписать сформированный запрос CSR усиленной квалифицированной электронной подписью, имеющейся у подразделения. Данная процедура автоматизирована и, как правило, для ее проведения используется специализированное ПО "КриптоПро", "КриптоАРМ" и др., установленное на компьютер, либо веб-сервисы такие, как Контур.Крипто.

В программе "КриптоАРМ" данная процедура выполняется в следующем порядке.

На компьютере запустить программу и выбрать в главном меню пункт "Подписать" (рисунок Г.2).

Затем необходимо подключить сформированный на предыдущем этапе файл запроса CSR (рисунок Г.3).

Далее требуется выбрать кодировку выходного формата файла электронной цифровой подписи (рисунок Г.4). Расширение выходного файла неизменно и всегда представляется в виде .sig (Signature).

Предпочтительной является кодировка выходного формата Base64. Это метод кодирования, который преобразует двоичные данные в текстовую форму, используя 64 символа ASCII, что делает Base64 удобным для передачи данных в средах, ограниченных исклю