В одній зі своїх статей я розповідав як встановити програму Континент АП на Windows 7. Справа в тому, що ця програма використовує в своїй роботі сертифікати, за допомогою яких створюється захищене з'єднання і обмін даними з сервером доступу Континенту АП. У цій статті я постараюся розповісти як створити запит на видання сертифіката для Континенту АП, а також як встановити цей сертифікат в програму.
Показувати буду як завжди з картинками, правда зроблені вони були на комп'ютері, під керуванням Windows XP. Отже приступимо.
Після установки Континенту АП, у вас в треї повинен з'явитися значок "сірий щит". Якщо клікнути цей "щит" правою кнопкою мишки, то з'явиться контекстне меню, як показано на зображенні нижче:
Тут треба вибрати пункт меню "Сертифікати", а потім "Створити запит на власний сертифікат". Відкриється наступне вікно (рис.2):
Цю форму необхідно заповнити. Перед цим не забудьте вставити чистий ключовий носій. Адже після заповнення цієї форми почнеться генерація закритих ключів, яка відбувається на відторгається ключовий носій. Це може бути, наприклад, флешка. Якщо ви використовуєте на своєму комп'ютері програму Кріпто ПРО 3.6 і вище, то там флешки включені за замовчуванням. А якщо бути більш точним, то "Все знімні носії". Генерацію на ключовий носій типу "Реєстр" не розглядаю, тому що це заборонено в нашому УФК.
Отже, повернемося до заповнення форми (рис.2). Як можна бачити, вона складається як би з двох блоків. Я їх обвів жовтим контуром. Якщо з верхнім блоком все інтуїтивно зрозуміло (треба заповнити всі поля), то на нижньому зупинюся детальніше. Відразу необхідно встановити галку "паперова форма". За замовчуванням вона не встановлена. По кнопках "Огляд" можна вибрати місце для збереження файлів. А їх буде два. * .reg і * .html. Імена файлів можна відредагувати так, як вам буде зручно, не змінюючи, звичайно ж, розширення файлів.
Отже, визначившись з ім'ям файлів, можна запустити генерацію запиту на сертифікат, натиснувши кнопку "ОК". Як вже було сказано вище, ми отримаємо 2 файли * .req і * .html, а також закриті ключі на флешці або будь-якому іншому носії.
Далі необхідно діяти відповідно до порядку надання запитів на сертифікат, який діє у вашому УФК. У нас ми передаємо ці два файли * .req і * .html в наше управління і натомість отримуємо сертифікат. Ще раз повторюся: в цьому випадку необхідно діяти з вашим порядком надання запитів.
Отже, запит відправлений в УФК, ми отримали сертифікат. До речі, між відправленням запиту й одержанням сертифіката може пройти час, у всіх по різному, але головне дочекатися сертифіката. Що ж далі? А далі натискаємо правою кнопкою миші на "щиті" Континенту АП і робимо те, що показано на малюнку нижче:
А саме: йдемо знову на "Сертифікати", а потім "Встановити сертифікат користувача". Стрілки на малюнку 3 показують, що треба робити. Перед цим вставте ключовий носій із закритими ключами, отриманими в результаті генерації, а також підготуйте отриманий з УФК сертифікат. Я його переписав на ключовий носій, щоб він завжди був під рукою. Ви можете вчинити по-своєму: переписати його куди завгодно, головне, щоб при установці Ви змогли до нього дістатися. До речі, разом з призначеним для користувача сертифікатом, наше УФК видає також і кореневий сертифікат Континенту АП. Цей сертифікат, при установці, повинен бути розташований в тому ж каталозі, що і призначений для користувача. Загалом, на малюнку нижче все це показано:
Кореневий сертифікат Континенту АП - це файл root. Цей сертифікат потрібен при установці Континенту АП в перший раз. Після установки користувальницького сертифіката, програма встановлює кореневої, якщо він не встановлений. В іншому випадку - нічого не робить. Але якщо в перший раз програма не знайде кореневої, то будуть проблеми. Тому краще нехай буде завжди разом з сертифікатом користувача в одному каталозі.
Тут, малюнок 4, при установці треба вибирати, звичайно ж, сертифікат користувача. Він підкреслять мною на зображенні. А жовта папка - це закриті ключі, отримані при генерації запиту. Там шість файлів з розширенням * .key. До речі, ключі стандартні для програми Кріпто Про 3.6. Адже саме вона генерує ці ключі. Отже, вибравши сертифікат користувача, натискаємо кнопку "Відкрити" і потрапляємо на наступну картинку:
Сама верхня рядок - це якраз і є ключовою контейнер з закритими ключами. А на цьому етапі ми якраз і повинні вказати програмі відповідає нашому сертифікату ключовий контейнер. А саме той, який був згенерований при створенні запиту на сертифікат. Взагалі, дозволю собі невеличкий відступ. Все ЕЦП, які генеруються за допомогою Кріпто Про (ви ж не думаєте, що ключі генерує Континент АП), складаються з двох частин:
- закритий ключ - це ключовий контейнер, одержуваний при генерації;
- відкритий ключ - це сертифікат, отриманий з казначейства.
Ці частини з'єднуються (знову ж таки, за допомогою Кріпто Про) тільки в тому випадку, якщо вони відповідають один одному. Чи не складає труднощів зробити висновок: якщо одна з частин загублена або пошкоджена, то перестає працювати все ЕЦП. І виправити цю ситуацію неможливо, крім генерації нової ЕЦП. Є способи зробити копію ЕЦП, але в цій статті я стосуватися цього не буду.
Отже, повертаємося до "наших баранів". На малюнку 5 треба обов'язково клікнути по верхньому рядку з ключовим контейнером, а потім натиснути "ОК". Після того як все це буде зроблено, Ви отримаєте наступне вікно:
Ну тут тільки "ОК", інших шляхів просто немає. Вітаю Вас, сертифікат встановлено. Настав час перевірити його працездатність. Для цього треба зробити так, як підказує нам наступна картинка:
ПКМ на "щиті", йдемо "Встановити / розірвати з'єднання" -> "Встановити з'єднання Континент АП" і потрапляємо в наступне вікно:
Натиснемо туди, куди показує червона стрілка (рис. 8). Якщо на попередніх етапах Ви слідували цій інструкції, то у Вас вискочить як мінімум один сертифікат. Ви повинні вибрати саме той, який щойно встановили (див. Рис 9):
Вибравши його, відзначте галочкою "завжди використовувати даний сертифікат при підключенні". У цьому випадку Ваш Континент АП буде підключатися до сервера використовуючи зазначений сертифікат. В іншому випадку (якщо галка не встановлена), він буде пропонувати вибрати сертифікат при кожному підключенні. Щоб дізнатися чи правильно був обраний сертифікат, можна скористатися кнопкою "Властивості". Вона покаже все вибраного сертифіката. В кінці, як завжди кнопка "ОК". Почнеться процес підключення Континенту АП до сервера доступу. Якщо все зроблено правильно, то в результаті ви побачите в треї, як "щит" змінив колір з сірого на синій:
Якщо у Вас вийшло те саме, що і у мене, то я радий привітати Вас з вдалою установкою сертифіката для континенту АП. Після того, як Ви підключилися до сервера доступу, можете завантажувати СУФД і починати в ній працювати.