Приложение N 2. Руководство по установке и настройке программного обеспечения для работы с электронной подписью на портале "Личный кабинет налогоплательщика юридического лица". Приказ Федеральной налоговой службы от 14.01.2014 N ММВ-7-6/8@ "О вводе в промышленную эксплуатацию подсистемы "Личный кабинет налогоплательщика юридического лица"

Приложение N 2
к Рекомендациям

Руководство
по установке и настройке программного обеспечения для работы с электронной подписью на портале "Личный кабинет налогоплательщика юридического лица"

1. Установка программного обеспечения

1.1. Сведения о технических и программных средствах, обеспечивающих работу

Для работы с электронной подписью (ЭП) в Личном кабинете налогоплательщика юридического лица необходимо на рабочее место пользователя установить следующее программное обеспечение (ПО):

- ОС Windows XP SP3 или выше (например, Windows 7);

- Internet Explorer 8.0 (32-разрядный) или выше;

- КриптоПро CSP 3.6 R3 (или выше) либо Signal-COM CSP начиная с версии 2.3.0.0 с действующими лицензиями;

- Набор драйверов и дополнительных утилит для работы с электронными ключами eToken PKI Client 5.1 SP1;

- КриптоПро ЭЦП browser plug-in для Windows.

Необходимо установить сертификаты:

- Сертификат "УЦ ФГУП ГНИВЦ ФНС России" в хранилище сертификатов "Доверенные корневые центры";

- В случае использования криптопровайдера Signal-COM CSP необходимо осуществить экспорт пользовательского сертификата в локальное хранилище.

В случае использования криптопровайдера КриптоПро CSP:

- Цепочку квалифицированных сертификатов ключей проверки электронной подписи (далее КСКПЭП), начиная от КСКПЭП УЦ, непосредственно выдавшего юридическому лицу его КСКПЭП, и до корневого КСКПЭП, последнего в цепочке сертификатов, в соответствующие хранилища:

- Самоподписанный (поле "Кому выдан" совпадает с полем "Кем выдан") КСКПЭП удостоверяющего центра - в хранилище сертификатов "Доверенные корневые центры";

- Остальные сертификаты цепочки - в хранилище сертификатов "Промежуточные центры сертификации";

- Квалифицированный сертификат ключа проверки электронной подписи (КСКПЭП), выданный юридическому лицу удостоверяющим центром, аккредитованным в сети доверенных удостоверяющих центров ФНС России, в хранилище сертификатов "Личные".

Могут быть использованы КСКПЭП, выданные для представления налоговой и бухгалтерской отчетности по телекоммуникационным каналам связи.

Кроме того, необходимо выполнить следующие настройки:

- Установить узлы http://lk3.nalog.ru и https://lk3.nalog.ru в зону надежных узлов;

- Порты 80, 443, 8443 должны быть открыты для отправки и приема данных из сети Интернет.

1.2. Установка Internet Explorer 8.0

В том случае, если на ПК пользователя установлена версия Internet Explorer ниже 8.0, необходимо перейти по ссылке http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie-8 и установить Internet Explorer 8.0.

Рекомендуется обновлять версию Internet Explorer до максимально возможной (зависит от установленной ОС пользователя), а также регулярно проводить Windows-обновления и доставлять все необходимые патчи и компоненты безопасности для браузера Internet Explorer.

1.3. Установка eToken PKI Client 5.1 SP1

Скачать ПО можно по ссылке http://www.aladdin-rd.ru/support/downloads/26037/. Установите ПО с настройками по умолчанию.

1.4. Установка КриптоПро ЭЦП browser plug-in для Windows

Компонент для подписания документов с использованием Web-браузера доступен по ссылке http://www.cryptopro.ru/products/cades/plugin/downloads.

Загрузите КриптоПро ЭЦП browser plug-in для Windows (актуальную версию):

"Окно выбора загрузки КриптоПро ЭЦП browser plug-in для Windows"

Запустите приложение:

"Окно выбора действия с файлом загрузки"

Выполняется установка:

"Окно выполнения загрузки КриптоПро ЭЦП browser plug-in для Windows"

Нажмите "Выполнить" в окне завершения установки ЭЦП browser plug-in для Windows.

"Окно завершения установки ЭЦП browser plug-in для Windows"

Завершите установку ЭЦП browser plug-in:

"Окно завершения установки ЭЦП browser plug-in"

1.5. Установка сертификата "УЦ ФГУП ГНИВЦ ФНС России" в хранилище сертификатов "Доверенные корневые центры"

Для установки сертификата вам потребуется перейти с помощью браузера Internet Explorer на официальный сайт ФГУП ГНИВЦ ФНС РОССИИ по ссылке http://www.gnivc.ru/power_home/certification_center/uc/resurses/ks/ и выберите "Корневой сертификат от 2012 года", нажмите "Открыть".

Далее нажмите "Установить сертификат":

"Страница с Корневым сертификатом УЦ ФГУП ГНИВЦ ФНС России 2012 год (63-ФЗ)"

В открывшемся окне мастера импорта сертификатов нажмите "Далее".

"Установить сертификат"

Выберите "Поместить все сертификаты в следующее хранилище", после чего нажмите "Обзор_":

"Мастер импорта сертификатов"

Укажите "Доверенные корневые центры сертификации", нажмите "ОК":

"Доверенные корневые центры сертификации"

Нажмите "Далее":

"Окно выбора хранилища сертификатов"

Для завершения работы мастера импорта сертификатов нажмите "Готово":

"Завершение работы мастера импорта сертификатов"

Подтвердите установку сертификата, нажав кнопку "Да":

"Сообщение о подтверждении установки сертификата"

1.6. Установка узлов http://lk3.nalog.ru и https://lk3.nalog.ru в зону надежных узлов

Зайдите в меню "Сервис" и выберите пункт "Свойства обозревателя". В появившемся окне перейдите на вкладку "Безопасность", выберите "Надежные узлы" и нажмите кнопку "Узлы":

"Вкладка "Безопасность"

По очереди добавьте узлы http://lk3.nalog.ru и https://lk3.nalog.ru в список:

"Добавление в зону веб-узлов"

2. Установка и настройка КриптоПро CSP

2.1. Установка

Если на рабочее место пользователя установлен другой криптопровайдер (отличный от КриптоПро), то рекомендуется его удалить.

Внимание! Если на рабочее место пользователя установлено программное обеспечение КриптоПро версии 3.0, его необходимо удалить.

Загрузите дистрибутив КриптоПро CSP 3.6 R3 с официального сайта по ссылке http://www.cryptopro.ru/products/csp/overview.

При установке КриптоПро CSP следуйте инструкциям мастера установки:

"Установка КриптоПро CSP"

В блоке "Требуемые библиотеки поддержки" необходимо выбрать все опции:

"Требуемые библиотеки поддержки"

"Окно завершения установки"

После завершения установки обязательно перезагрузите компьютер.

"Сообщение о необходимости перезагрузить компьютер"

2.2. Выстраивание цепочки КСКПЭП

Установите КСКПЭП, выданный юридическому лицу удостоверяющим центром в хранилище сертификатов "Личные" (см. п.Ошибка! Источник ссылки не найден. Ошибка! Источник ссылки не найден.).

Далее необходимо выстроить цепочку доверия к установленному личному сертификату. Для этого нужно установить сертификаты устанавливающие доверие.

Чтобы найти сведения о следующем сертификате в цепочке, в меню "Пуск" выберите Программы -> Крипто-Про -> Сертификаты. Откройте папку "Сертификаты - текущий пользователь" -> Личные -> Реестр -> Сертификаты:

"Папка "Сертификаты"

Выберите установленный сертификат, кликнув по нему два раза левой кнопкой мыши. Перейдите на вкладку "Состав":

"Вкладка "Состав"

Выберите в верхнем окне строку "Доступ к информации о центрах сертификации" и нижнем окне отобразится ссылка на сертификат. По данной ссылке можно скачать сертификат.

В случае отсутствия строки "Доступ к информации о центрах сертификации", можно посмотреть, кто издал искомый сертификат на вкладке "Состав", значение в поле "Издатель".

"Издатель"

Перед установкой сертификата, откройте его (кликнув по нему два раза левой кнопкой мыши), чтобы узнать какой это сертификат: самоподписанный или нет. Перейдите на вкладку "Состав".

У самоподписанного сертификата поля "Издатель" и "Субъект" на вкладке "Состав" имеют одинаковые значения.

"Узнать самоподписанный ли сертификат"

Вариант 1

Если сертификат самоподписанный, то его нужно устанавливать в доверенные корневые центры сертификации. Установка аналогична установке сертификата "УЦ ФГУП ГНИВЦ ФНС России" (см. п.1.5 Установка сертификата "УЦ ФГУП ГНИВЦ ФНС России" в хранилище сертификатов "Доверенные корневые центры").

После установки самоподписанного сертификата цепочка доверия к личному сертификату будет выстроена.

Вариант 2

Если у сертификата поля "Издатель" и "Субъект" на вкладке "Состав" имеют различные значения, то данный сертификат необходимо устанавливать в промежуточные центры сертификации.

Для этого загрузите сертификат по кнопке "Открыть".

"Загрузить сертификат"

На вкладке "Общие" окна с информацией о сертификате нажмите "Установить сертификат".

"Вкладка "Общие"

Выберите "Поместить все сертификаты в следующее хранилище", после чего нажмите "Обзор_":

Поместить все сертификаты в следующее хранилище"

Укажите "Промежуточные центры сертификации", нажмите "ОК":

"Промежуточные центры сертификации"

Нажмите "Далее":

"Отображение выбранного хранилища"

Для завершения работы мастера импорта сертификатов нажмите "Готово":

"Завершение мастера импорта сертификатов"

Если отобразится предупреждение системы безопасности, подтвердите установку сертификата, нажав кнопку "Да".

"Сообщение об успешном выполнении импорта"

Далее смотрим сведения о следующем сертификате в цепочке, в меню "Пуск" выберите Программы -> Крипто-Про -> Сертификаты. Откройте папку "Сертификаты - текущий пользователь" -> Промежуточные центры сертификации -> Реестр -> Сертификаты:

"Папка "Сертификаты"

Выберите установленный сертификат, кликнув по нему два раза левой кнопкой мыши. Перейдите на вкладку "Состав", где в строке "Доступ к информации о центрах сертификации" и нижнем окне отобразится ссылка на следующий сертификат в цепочке.

Таким образом, необходимо установить все сертификаты, пока не дойдете до самоподписанного сертификата. После установки самоподписанного сертификата будет выстроена цепочка доверия к личному сертификату.

2.3. Установка КСКПЭП, выданного юридическому лицу удостоверяющим центром, аккредитованным в сети доверенных удостоверяющих центров ФНС России , в хранилище сертификатов "Личные"

Подключите носитель КСКПЭП (дискету, e-token с сертификатом) к компьютеру.

В меню "Пуск" выберите Программы -> Крипто-Про -> КриптоПро CSP:

"КриптоПро CSP"

Вариант установки 1 (через кнопку "Посмотреть сертификаты в контейнере_"):

На вкладке "Сервис" нажмите "Посмотреть сертификаты в контейнере_":

"Посмотреть сертификаты в контейнере"

Нажмите "Обзор_" рядом с полем "Имя ключевого контейнера":

"Контейнер закрытого ключа"

Выберите ключевой контейнер, соответствующий подключенному носителю электронной подписи:

"Выбор ключевого контейнера"

Нажмите "ОК".

После того, как имя контейнера отобразится в поле "Имя ключевого контейнера", нажмите "Далее".

Внимание! Если при выборе ключевого контейнера появляется показанное ниже окно, это означает, что истек срок действия лицензии КриптоПро CSP. В этом случае необходимо обязательно обновить лицензию, иначе работа с Личным кабинетом не будет возможна.

"Сообщение об истекшем сроке действия лицензии"

Нажмите "Установить":

"Сертификат для просмотра"

Нажмите "ОК":

"Сообщение об установке сертификата"

Вариант установки 2 (через кнопку "Установить личный сертификат_"):

Для установки понадобится файл сертификата (файл с расширением .cer). Он может находится, например, на дискете или на жестком диске компьютера (если Вы делали копию сертификата или Вам присылали его по электронной почте). Также файл сертификата можно экспортировать из хранилища Личные.

На вкладке "Сервис" нажмите кнопку "Установить личный сертификат_":

"Установить личный сертификат"

В окне "Мастер установки личного сертификата" нажмите кнопку "Обзор" рядом с полем "Имя файла сертификата", чтобы выбрать файл сертификата:

"Выбрать файл сертификата"

Укажите путь к сертификату (файл с расширением .cer) и нажмите на кнопку "Открыть":

"Указать путь к сертификату"

В поле "Имя файла сертификата" отобразится выбранный сертификат, нажмите "Далее".

"Отображение выбранного сертификата"

В окне "Сертификат для установки" кликните по кнопке "Далее".

"Окно "Сертификат для установки""

Выберите "Обзор", чтобы указать соответствующий контейнер закрытого ключа.

"Указать контейнер закрытого ключа"

Выберите нужный ключевой контейнер. Нажмите "ОК".

"Выбрать ключевой контейнер"

После того, как имя контейнера отобразится в поле "Имя ключевого контейнера", нажмите "Далее".

"Отображение имени контейнера"

В окне "Выбор хранилища сертификатов" кликните по кнопке "Обзор".

"Указать имя хранилища сертификатов"

Выберите хранилище "Личное" и нажмите "ОК".

"Выбрать хранилище сертификата"

После выбора хранилища нажмите на кнопку "Далее".

"Нажмите кнопку "Далее""

Затем нажмите на кнопку "Готово".

"Завершение работы мастера установки личного сертификата"

После нажатия на кнопку "Готово" может появиться такое сообщение: "Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?". В таком случае необходимо выбрать "Да".

"Сообщение о замене существующего сертификата новым"

В сообщении об успешной установке нажмите "ОК". Если у Вас отобразилось сообщение "Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?", то сообщение "Сертификат был установлен в хранилище "Личные" текущего пользователя" может не появиться.

"Сообщение об установке сертификата"

Внимание! Если при установке КСКПЭП в хранилище сертификатов "Личные" появляется сообщение "Закрытый ключ на указанном контейнере не соответствует открытому ключу в сертификате. Выберите другой ключевой контейнер", попробуйте сделать следующее:

1. Запустите редактор реестра (Пуск/ввести в поисковую строку "regedit"/ ввод).

2. Перейдите в следующую ветвь редактора реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS, найдите ветку с названием S-1-5-21-887842899-779666540-1964827887-17186 (где S-1-5-21-887842899-779666540-1964827887-17186- SID пользователя).

3. Зайдите в KeyDevices и удалите там passwords.

4. Удалите содержимое папки C:\Documents and Settings\имя пользователя \Application Data\Microsoft\SystemCertificates\My\Keys.

5. Установите заново сертификат.

Если выполнение описанных выше действий, не решило Вашу проблему, обратитесь в Удостоверяющий центр, выдавший КСКПЭП.

2.4. Проверка установки сертификатов

В меню "Пуск" выберите Программы -> Крипто-Про -> Сертификаты. Откройте папку "Сертификаты - текущий пользователь" -> Личные -> Реестр -> Сертификаты:

"Папка "Сертификаты""

Выберите установленный сертификат, кликнув по нему два раза левой кнопкой мыши. Перейдите на вкладку "Путь сертификации":

"Вкладка "Путь сертификации""

На вкладке "Путь сертификации" должна отображаться цепочка сертификатов, с помощью которых устанавливается доверие. Верхний сертификат должен быть самоподписанным.

В поле "Состояние сертификата" должно отображаться сообщение о действительности сертификата.

Сертификат "УЦ ФГУП ГНИВЦ ФНС России" и самоподписанный КСКПЭП удостоверяющего центра, выдавшего КСКПЭП юридическому лицу, будут размещаться в хранилище сертификатов "Доверенные корневые центры сертификации":

"Хранилище сертификатов "Доверенные корневые центры сертификации""

Остальные сертификаты цепочки будут размещаться в хранилище сертификатов "Промежуточные центры сертификации":

"Хранилище сертификатов "Промежуточные центры сертификации""

2.5. PIN-код

При возникновении окна с просьбой ввести pin-код во время работы в системе, установки или копирования сертификата, необходимо указать pin-код пользователя сертификатом. Pin-код выдается удостоверяющим центром вместе с сертификатом.

"Pin-код"

Внимание! Если выданный pin-код пользователя был самостоятельно изменен пользователем, то в данном окне следует прописать новый pin-код. Информация о новом pin-коде хранится только у пользователя.

3. Установка и настройка Signal-COM CSP

3.1. Установка

Внимание! На рабочем месте может быть установлен только один криптопровайдер.

Если у Вас уже установлен какой-либо криптопровайдер, установите криптопровайдер Signal-COM CSP на другое рабочее место.

Запустите установочный файл Signal-COM CSP, в зависимости от разрядности системы выберете нужный файл

"Запуск установочного файла"

- Ознакомьтесь с условиями Лицензионного соглашения, для принятия условий выберите "Я принимаю условия лицензионного соглашения" и нажмите кнопку "Далее"

"Ознакомление с условиями Лицензионного соглашения"

- В окне сведений о пользователе введите пользователя, название организации и ключ продукта и нажмите кнопку "Далее"

"Введение данных в окно сведений о пользователе"

- В окне выбора компонент выберете необходимые компоненты и нажмите кнопку "Далее"

    - по умолчанию устанавливаются компоненты CSP и TLS

"Выбор компонентов в окне выбора компонент"

- Нажмите кнопку "Установить"

"Окно с кнопкой "Установить""

- Дождитесь, пока завершится процесс установки

"Завершение процесса установки"

- В окне выбора ключевого носителя для создания контейнера RNG Initialization Container выберете "Локальный компьютер" и нажмите кнопку "Ок"

"Окно выбора ключевого носителя"

- Для инициализации генератора случайных чисел нажимайте кнопки клавиатуры или перемещайте мышь до окончания процесса

"Инициализация генератора случайных чисел"

- Нажмите кнопку "Готово"

"Окно с кнопкой "Готово""

- Для завершения процесса установки Signal-COM CSP и перезагрузки системы нажмите "Да"

"Заверщающий этап установки"

Если после перезагрузки системы появится окно с просьбой выбора ключевого контейнера для инициализации генератора случайных чисел, то выполните действия описанные ниже. Если данное окно не появится, то перейдите к следующему пункту.

- В появившемся окне нажмите кнопку "Отмена"

"Окно с выбором ключевого контейнера для инициализации генератора случайных чисел"

- Для инициализации генератора случайных чисел нажимайте кнопки клавиатуры или перемещайте мышь до окончания процесса

"Инициализация генератора случайных чисел"

- Создайте ключевой контейнер для инициализации генератора случайных чисел, нажав кнопку "Да"

"Окно создания ключевого контейнера для инициализации генератора случайных чисел "

- Выберете "Системный реестр" - "Текущий пользователь" и нажмите кнопку "ОК"

"Выбор системного реестра"

3.2. Экспорт сертификата

- Войдите в меню "Пуск" и откройте программу "Администратор"

"Открытие программы "Администратор""

- Нажмите на ключевом контейнере правой кнопкой мыши и выберете "Сертификат" - "Экспорт" - "В хранилище", как показано на рисунке.

"Перенос ключевого контейнера в хранилище"

- Нажмите кнопку "ОК"

"Завершающий этап"

Узнать используемую версию Signal-COM CSP можно через программу "Администратор" в меню "Справка" - "О программе".