Содержание

Сертификат КриптоПро для Сбербанка

В Мультибанке (Транзит 2.0) реализован функционал, который позволяет получать сертификаты КриптоПро для пользователей Сбербанка.

Требования по установленному ПО

Для того чтобы использовать искомый функционал запроса сертификатов, должен быть выполнен ряд условий:

  1. Должен быть установлен OpenSSL.

    Данное требование основано на документации Сбербанка (подробнее см. по ссылке https://developers.sber.ru/docs/ru/sberbusinessapi/holdings/crypto ).

    Примечание: версия OpenSSL выбирается самостоятельно в соответствии с регламентом и политикой безопасности.

  2. Должен быть установлен КриптоПро с утилитой cryptcp (ссылка на утилиту: https://www.cryptopro.ru/products/other/cryptcp ). Достаточно один раз с использованием утилиты установить серийный номер лицензии.

    Проверить текущее состояние, а именно был установлен серийный номер лицензии ранее или нет можно, открыв каталог с утилитой cryptcp в командной строке и выполнив команду cryptcp -sn:
    Запуск утилиты cryptcp - проверка текущего состояния

    Если серийный номер не был добавлен, то необходимо выполнить команду cryptcp -sn <серийный номер лицензии>:
    Запуск утилиты cryptcp - указание серийного номера лицензии

    Если же серийный номер лицензии уже установлен, то никаких дополнительных действий не требуется.

  3. В переменные среды в переменную Path должны быть прописаны пути до OpenSSL и cryptcp.

    Чтобы открыть переменные среды Windows можно воспользоваться поиском в панели задач (начните вводить «Переменных» и откройте пункт «Изменение системных переменных среды»). На вкладке «Дополнительно» нажмите кнопку «Переменные среды…» - откроется модальное окно, где необходимо выбрать переменную Path и нажать на кнопку «Изменить». Для добавления нового значения (пути) в системную переменную в следующем окне необходимо нажать кнопку «Создать», либо дважды кликнуть по первой пустой строке, затем — ввести нужный путь к папке, содержащей нужные исполняемые файлы (OpenSSL и cryptcp).

    На рисунке ниже в системную переменную Path пути до OpenSSL и cryptcp уже добавлены.
    Добавление путей до OpenSSL и cryptp в переменную Path

    После того как пути были добавлены, нажмите на кнопку “ОК” в каждом из модальных окон для сохранения настроек.

Процесс получения сертификата КриптоПро

Для того чтобы получить сертификат КриптоПро для пользователя Сбербанка, необходимо выполнить следующие шаги:

  1. Авторизоваться в Мультибанке (Транзит 2.0) под пользователем с ролью в котором отмечен чекбокс редактирования “Управление сертификатами и транспортными ключами Сбербанка”;

  2. Перейти в панель настроек администратора в раздел Запросы сертификатов Сбербанка, и нажать на кнопку Создать запрос на сертификат:
    Создать запрос на сертификат

    Откроется форма Создать запрос на сертификат.

  3. На форме выбрать организацию и нажать на кнопку Далее:
    Выбор организации

    Примечание: в выпадающем списке отображаются только те организации, для которых в настройках организации заполнено поле Идентификатор Сбербанка (КПП). Если данное поле не заполнено ни для одной из организаций, то список будет пустым.

  4. Необходимо заполнить форму для создания сертификата. Предусмотрены следующие поля (значком * помечены обязательные для заполнения поля):

    • Идентификатор запроса* - поле заполняется автоматически на основании выбранной организации, недоступно для редактирования;
    • Код сертификата* - поле заполняется автоматически на основании выбранной организации, недоступно для редактирования;
    • Номер сертификата* - поле заполняется автоматически на основании выбранной организации, недоступно для редактирования;
    • Логин пользователя* - текстовое поле, заполняется вручную. Введенный логин строго должен соответствовать логину в СББОЛ;
    • Фамилия* - текстовое поле, заполняется вручную;
    • Имя* - текстовое поле, заполняется вручную;
    • Отчество* - текстовое поле, заполняется вручную;
    • Код страны* - заполняется автоматически значением Российская Федерация (RU), при необходимости может быть изменено (значение выбирается из выпадающего списка, где реализован текстовый поиск)
    • Наименование организации - текстовое поле, заполняется автоматически. Наименование должно строго соответствовать наименованию в СББОЛ;
    • Подразделение - текстовое поле, заполняется вручную;
    • Должность* - текстовое поле, заполняется вручную;
    • E-mail* - текстовое поле, заполняется вручную;
    Заполнение формы для создания сертификата

  5. На шаге Импортируйте сертификат необходимо заполнить поля Наименование контейнера закрытого ключа и Пароль контейнера закрытого ключа:
    Заполнение данных о контейнере закрытого ключа

  6. После того как данные о контейнере были заполнены, необходимо нажать на кнопку Скачать - на компьютер пользователя будет загружен архив со скриптом для создания сертификата:
    Скачивание архива со скриптом для создания сертификата

    Далее необходимо распаковать скаченный архив.

  7. Выполнить скрипт из архива, скаченного на шаге 6.
    Запуск скрипта для создания сертификата

    Во время выполнения скрипта появится окошко “КриптоПро CSP”, где необходимо выбрать нужное устройство и нажать ОК:
    Выполнение скрипта - выбор устройства в окне КриптоПро CSP

    Далее появится окошко с сообщением о необходимости перемещать указатель мыши и нажимать случайные клавиши для генерации случайной последовательности:
    Выполнение скрипта - генерация случайной последовательности

    После выполнения скрипта в папке, где располагается сам скрипт, дополнительно сгенерируются файлы, в том числе, необходимый сертификат request_cms.der (далее его нужно будет выбрать на шаге 8):
    Сгенерированные файлы после выполнения скрипта

  8. Необходимо вернуться в Мультибанк (Транзит 2.0), нажать на кнопку Загрузить сертификат, и выбрать сертификат, сгенерированный на шаге 7 (request_cms.der ).
    Загрузка сертификата

    Далее необходимо нажать на кнопку Создать.

  9. После создания запроса в табличной части появляется запрос, отправленный в банк:
    Запрос, отправленный в банк

    По мере обработки банком запроса меняется статус запроса. Подробнее про статус запроса.

    Можно двойным кликом левой кнопки мыши по запросу открыть форму, где на вкладке Шаги можно проследить изменения, происходящие с сертификатом с подробным описанием:
    Текущий шаг запроса

  10. После смены статуса заявления на Принято к исполнению на вкладке Шаги появляется кнопка Скачать PDF
    Скачивание заявления в формате PDF

    По кнопке необходимо скачать заявление и направить его в банк. В зависимости от контура (ПРОМ или ТЕСТ) могут быть разные требования по отправке заявления. Подробности см. по ссылке https://developers.sber.ru/docs/ru/sberbusinessapi/holdings/crypto.

  11. После регистрации сертификата в банке статус запроса изменяется на Исполнено. На форме создания запроса осуществляется переход на шаг Активация, где необходимо нажать на кнопку Активировать сертификат:
    Активация сертификата

  12. После активации осуществляется переход на следующий шаг Скачивание сертификата. Необходимо нажать на кнопку Скачать сертификат:
    Сохранение сертификата

    Далее распаковать скаченный архив.
    Распакованный архив с сертификатами

  13. Установите все сертификаты из скачанного архива (некоторые сертификаты могут не устанавливаться, это нормально). Сертификаты со словом cert в названии при этом добавьте в доверенные сертификаты КриптоПро. И только один сертификат (с наименованием, соответствующим значению в столбце Bicrypt ID для искомого запроса на вкладке Запросы сертификатов) необходимо добавить в личные (подробнее см. раздел Добавление сертификата в личные сертификаты).

  14. В настройках банковского модуля на вкладке Запросы сертификатов необходимо скачать корневые сертификаты.
    Скачивание корневых сертификатов

    Далее необходимо распаковать скаченный архив. Из данного каталога устанавливаются сертификаты с расширением cer в доверительные сертификаты КриптоПро.
    Корневые сертификаты в скаченном архиве

  15. После установки сертификатов (доверительных и личного) необходимо обновить список в настройках модуля Сбербанка на вкладке Расширенные настройки, нажав на кнопку обновления сертификатов:
    Обновление списка сертификатов

    Потребуется какое-то время для обновления таблицы со списком сертификатов (до 5 минут). Через указанное время можно обновить страницу банковских модулей, и увидеть искомый сертификат в таблице Список сертификатов:
    Обновленная таблица со списком сертификатов

  16. Далее для пользователя, который будет выполнять подписание документа полученным от Сбербанка сертификатом КриптоПро, необходимо в сертификаты пользователя добавить искомый сертификат. Подробнее по добавлению сертификатов пользователю см. раздел Настройка Клиентского подписания КриптоПРО.

  17. На последнем шаге необходимо выполнить настройку полномочий пользователю, который будет подписывать документы, направляемые в Сбербанк, и указать искомый сертификат КриптоПро (полученный от Сбербанка) для необходимой фазы подписания. Подробнее по настройке полномочий пользователю см. раздел Полномочия пользователя.

Статусы запроса

После создания запроса его статус обновляется каждый час в течение 14 дней. Количество дней можно поменять в Настройке запросов, создав свой период запроса статусов.
Даже по истечение 14 дней вы можете запросить статус вручную, для этого в окне запроса нажмите Запросить статус.

Обратите внимание: для корректного отображения статуса время в базе данных оркестратора должно совпадать со временем на сервере, где установлен адаптер.

Добавление полученного сертификата в личные сертификаты

Необходимо из распакованного архива с сертификатами (см. шаг 12 раздела Процесс получения сертификата КриптоПро) взять сертификат с наименованием, которое соответствует значению в столбце Bicrypt ID для искомого запроса на вкладке Запросы сертификатов модуля Сбербанк, и добавить его в личные сертификаты.

Чтобы добавить сертификат в личные сертификаты необходимо:

  1. Открыть “КриптоПро CSP”, перейти на вкладку “Сервис” и нажать на кнопку “Установить личный сертификат”:
    Установка личного сертификата

  2. Выбрать файл сертификата из загруженного и распакованного ранее архива (см. шаг 12 раздела Процесс получения сертификата КриптоПро), и нажать кнопку “Далее”:
    Установка личного сертификата

  3. Нажать кнопку “Далее” на следующем шаге:
    Установка личного сертификата

  4. Выбрать путь к контейнеру закрытого ключа, который был задан при формировании запроса на сертификат (см. шаг 5 раздела Процесс получения сертификата КриптоПро), и нажать “Далее”:
    Установка личного сертификата

  5. Оставить включенной опцию “Установить сертификат (цепочку сертификатов) в контейнер”, и нажать “Далее”:
    Установка личного сертификата

  6. Нажать кнопку “Готово”, в открывшемся окне ввести пароль от контейнера и нажать “ОК”:
    Установка личного сертификата

Диагностическая информация по запросу

На форме Запрос создания сертификата предусмотрена кнопка Скачать диагностическую информацию, по нажатию на которую скачивается архив с диагностической информацией. Содержит, в том числе, информацию от адаптера. Данный архив может быть скачен и направлен в техническую поддержку при возникновении проблем или ошибок при запросе сертификата.
Скачивание диагностической информации