о порядке выпуска сертификата
Криптографический ключ (далее КК) – это пара соответствующих друг другу файлов: файл ключа (секретного ключа) и файл сертификата (публичного ключа, ключа проверки ключа).
КК для разных целей их дальнейшего применения выпускаются в разных форматах, разными программами (ПО). Здесь речь только о КК (SMIME – шифрование, сертификаты X.509), которые бывают для идентификации сервера (Server), идентификации клиента (Client), ЭП в электронной почте, прочие. ГОСТ – только для РФ, соответствующие сертификаты выпускаются только аккредитованными Удостоверяющими центрами (УЦ). Здесь речь о международном стандарте (не ГОСТ).
Отдельный УЦ (ОУЦ) – не аккредитованный, подчиненный по ветви Отдельный удостоверяющий пункт (ОУП) – не аккредитованный.
Памятка для моих клиентов: регистрационное производство пройдено, все нужные соглашения подписаны.
1. Скачать, распаковать и запустить программу “Yet Another OpenSSL GUI” – free, portable. Программа применима для создания всей собственной иерархии ключей, но есть и удобнее.
2. Сектор окна программы Subject. Здесь Subject – субъект, владелец. Не путать со служебным заголовком eMail-сообщения: Subject – тема письма.
3.
Name (CN) – Common Name – общее имя.
3.1. Для своего собственного ОУП: краткое наименование организации на англ.яз.
3.2. Для сервера: URL/URI сервера (напр.: www.domain.com).
3.3. Для клиента: собственное имя владельца или DNS-name машины.
3.3. Для ЭП: собственное имя владельца.
В международном формате требуется транслитерация в латиницу (ГОСТ 7.79-2000). Система А – строгий вариант транслитерации. Система Б – более употребимый вариант, т.к. даже международный стандарт используется владельцем ЭП преимущественно в РФ. Соответственно порядок слов в системе А: First_name Lastname – Имя (Given name) Фамилия (Surname). В системе Б допустимо (транслитом): Фамилия Имя Отчество (именительный падеж, полностью). Недопустимо: Имя Прозвище Фамилия, например: Петр Зоркий Петренко – в любой литерации.
4. Другие поля Subject. Country (страна): RU, City (населенный пункт): Rostov-on-Don, Region (регион, субъект РФ): Rostovskaya (если выбрана система Б, для Б допустимо: 61 Rostovskaya), Organisation (Организация): краткое название или пусто, Org Unit (отдел, подразделение): краткое название или пусто, Email: обязательное поле для адреса электронной почты.
5. Digest. Выбрать SHA3-512. SHA1 или MD5 – устарело, но воля владельца.
6. Validity (days) – срок действия в днях, максимальное значение 365 дней, т.е. 1 год. Для сертификатов зависимых ОУП: 3 года.
7. Справа: сектор окна программы Key (ключ). Type (тип ключа): выбрать RSA. Уместность других вариантов оговариваются отдельно. Size (размер): размер ключа в битах. Для типов Server и Client размер в 1024 – вполне приемлемо. Если под Вашим сервером мощная современная аппаратура, то 2048. Если для варианта ЭП (eMail), то 4096 – минимум, а то и 8192. Ключ большей длины дольше генерируется Вашим компьютером и дольше будет выполнять шифрование / расшифрование, в процессе эксплуатации. Но бо`льшая дляна – бо`льшая криптостойкость от взлома.
8. Password Protected (защита ключа паролем): оставляем поле пустым. Поле Pass – для ввода пароля – остается серым, неактивным.
9. Cipher (шифр): рекомендую aes256 или des3.
10. Поле X509 extentsions: оставляем пустым.
11. Возвращаемся в сектор Subject. Что генерировать? CSR (existing key) – файл запроса (Certificate Signing Request), если ключ у Вас уже есть – не подходит. Autosign + key – для самоподписанного сертификата: в этом случае будет сгенерирован ключ, запрос и запрос будет подписан Вашим же ключем, создан сертификат (иногда называют self) – не подходит, я Вам не нужен. CSR+key – программа сгенерирует Ваш ключ и, на его основе, запрос на выпуск сертификата – именно этот вариант должен быть выбран.
12. Нажимаем на кнопку Generate. Откроется вспомогательное окно программы с названием Certificate Request Generation – протокол процесса генерации ключа. После завершения генерации ключа кнопка внизу вспомогательного окна Close станет активной, ее можно будет нажать. Обозначьте (выделите) весь текст внутри окна мышкой, копировать.
13. Открываем проводник Windows или Пуск – Компьютер – Диск С.
На диске С находится, как правило, сама операционная система: вылетает система – все файлы на С – гибнут. Если есть другой диск, или USB-Disk, или Flash-ка – используйте их. Создайте папку. Я назову ее Test, а Вы назовите так, как Вам удобно. Все наше творчество будем сохранять в эту папку. Создать текстовый файл IvanPetrov_R1.log Здесь: R1 – короткое имя ОУП, IvanPetrov – Common Name владельца, расширение .log – файл протокола создания ключа. В открывшееся окно текстового редактора вставьте содержимое буфера памяти, т.е. содержимое вспомогательного окна. Сохраните. Закройте. Проверьте: там ли сохранилось, то ли сохранилось? В окне генерации нажать Close.
14. Обратите внимание на два нижних поля – ранее они были пусты. В правом поле текст начинается: -----BEGIN PRIVATE KEY-----. В этом поле в текстовом формате находится Ваш ключ. Это секретный ключ!!! Слева – текстовый формат запроса - -----BEGIN CERTIFICATE REQUEST----- . Слева находим кнопку Test cert and key match – проверка соответствия сертификата (запроса) и ключа – нажимайте. Появляется окно Valid: CSR and key match – запрос и ключ соответствуют друг другу. OK.
15. Справа кнопка Save – сохранить ключ – ищем свою папку, вводим название файла: IvanPetrov_R1.pem – расширение файла .pem обычно используется для не защищенного ключа. Слева аналогичная кнопка Save – расширение файла запроса .csr. Справа кнопка Encrypt – зашифровать файл ключа – жмем – спросит ввести пароль: ЗАПОМНИТЕ ПАРОЛЬ и язык раскладки, на котором Вы его ввели. Содержимое правого окна изменилось: -----BEGIN ENCRYPTED PRIVATE KEY----- , снова Save, теперь с расширением .key – это файл зашифрованного (защищенного) ключа.
16. Передать файл .csr – в ОУП (мне). Не перепутайте файлы. CSR – запрос на выпуск сертификата, это, практически, сертификат, публичная часть Вашего КК. CSR – не секретный, но возможен перехват и подмена. Лучше: из рук в руки на флэшке, только лично.
17. Выпуск сертификата, подпись CSR – секунда. Немного времени уходит на проверку заполненных полей Subject. Заполненные пользователем поля – это заявленное желаемое, действительным становится заполнение тех же полей ОУП. ОУП проставляет использование (предназначение) сертификата и подписывает CSR (запрос) – результат сертификат. Подмена сертификата – дело пустое, поэтому передача сертификата может производиться открытым каналом связи. Как клиент предпочитает получить свой сертификат решает только сам клиент.
18. Сертификат имеет расширение .cer (кодировка BASE64). Слева кнопка Load – загрузить: указываем на файл сертификата. Содержимое левого окна изменилось, флажек перепрыгнул с CSR на Certificate. Нажимаем Test cert and key match – Вы должны сверить полученный от меня сертификат на соответствие Вашему ключу, итог: Valid – Cert and key match – соответствуют.
19. Слева кнопка save PKCS12, Dialog: Friendly name (понятное Вам имя сертификата в Вашем хранилище), например: My_eMail – требований нет.
PKCS – это международные (американские) стандарты файлов, образующихся в процессе эксплуатации X.509. Стандартов 12 штук и некоторые имеют подстандарты формы, именуемые буквами, например p7b или p7c. Иногда лица, для которых таблица стандартов – часть жизни, именуют файлы (расширения) по номеру стандарта. Файл запроса .csr и .p10 – одно и тоже. Файл только ключа может быть защищен паролем (armed), что мы (Вы) сделали в п.15. Но есть PKCS12 – стандарт для хранения обеих ключей, защищенных паролем. Такой файл именуют контейнером, его расширение .p12, но я предпочитаю .pfx. Это другой файл и другой пароль.
Password – задайте пароль контейнера КК. Save as – сохраните файл pfx.
Работа с программой на этом завершена.
20. Папка с нашими файлами. Если сертификат сервера, то серверы (напр.: Web-Server) требуют предоставить им два файла: сертификата и ключа (в открытой форме, без пароля, т.е. .pem). Для использования в ЭП .pem – не нужен, хранить его опасно и лучше удалить. Ведь самый простой способ его восстановить – из файла .key, кнопкой справа Load – загрузить, потом Decrypt – расшифровать (пароль п.15) и снова Save – сохранить .pem. Файл .cer можно разместить публично на своих сайтах или страницах – этот файл может пригодиться Вашим корреспондентам для проверки легитимности Вашей ЭП или Ваших серверов (зависит от предназначения сертификата), для направления в Ваш адрес не только подписанного, но и защищенного (зашифрованного) сообщения, напр.: документы ограниченного доступа.
21. Файл .pfx можно кликнуть дважды – это процедура импорта КК в Вашу операционную систему (Windows). Система спросит пароль п.19. Поставленная галочка экспортируемый – позволит в дальнейшем экспортировать Ваш КК из системы в .pfx. Усиленная защита будет требовать ввода пароля каждый раз, когда требуется КК – для ЭП это важно. Это уже третий пароль, но любой «не Вы» не сможет использовать Вашу личную персональную ЭП. Куда сохранять – выберите вручную хранилище личных сертификатов. В конце процедуры импорта выскочит окошечко системы: все в порядке.
22. ЭП используется программами-клиентами eMail при отправке сообщения. Такие программы имеют доступ к системному хранилищу, но не к самой ЭП (усиленная защита).
23. Каждый сертификат имеет уникальную последовательность символов: KeyFP – Finger Print – отпечаток. Если дважды кликнуть по .cer, то в открывшемся окне свойств нужно найти соответствующее поле и его значение. Для подписанных сертификатов (не самоподписанных) есть вторая уникальная последовательность KeyID – идентификатор ключа. Если Ваш сертификат подписывал я (ОУП), то даты начала и окончания срока действия, оба значения KeyFP и KeyID – будут указаны в выписке реестра КК на моем сайте. Имя владельца вносится в реестр, но в выписке скрывается. В имени файла .cer, с самого начала будет трех цифровой код – это регистрационный номер Вашего сертификата по реестру, в самом сертификате этого номера нет. Зная свой регистрационный номер, проверьте запись в реестре KeyID и KeyFP – они должны в точности соответствовать Вашим.
24. Запоминайте и храните свои пароли так, как только Вам ведомо. Обеспечьте неприкасаемость к Вашей папке с ключами. Вопросы, проблемы, подозрения – немедленно сообщайте, вместе легче найти решения.
Благодарю за внимание.
03.04.2024 № 052
РФ, г.Ростов-на-Дону - Борчанкин С.Г.