На портале «Госуслуг» появилась возможность получения электронного сертификата безопасности. Уточняется, что им можно заменить зарубежный сертификат безопасности для сайта, если тот будет отозван или закончится срок его действия.

Минцифры РФ с помощью «Госуслуг» предоставляет полностью бесплатный отечественный TLS-сертификат. Заказать его могут только юридические лица, являющиеся владельцами сайтов. Выдача сертификата осуществляется в течение 5 дней после отправки запроса.

Отечественный сертификат безопасности, выданный на «Госуслугах», будет работать в браузерах и приложениях, которые поддерживают сертификат российского удостоверяющего центра.

Чтобы подать заявление на получение отечественного TLS-сертификата, необходимо:

• Оформить запрос на выпуск сертификата (в соответствии с приложенной инструкцией).
• Предоставить данные специалиста компании, которые несёт ответственность за кибербезопасность (глава ИБ-департамента и т. д.).
• Запрос перед отправкой должен быть подписан усиленной квалифицированной электронной подписью.

По заявлению Минцифры РФ, услуга по выдаче отечественного TLS-сертификата всем желающим юридическим лицам будет предоставляться на полностью безвозмездной основе. Результат выполнения услуги – цифровой сертификат, который удостоверяет подлинность сайта и позволяет использование зашифрованного соединения.

TLS-сертификат – криптографический протокол, главная задача которого – обеспечение защищенной передачи данных между узлами в Интернете. TLS(SSL)-сертификат использует асимметричное шифрование для аутентификации, коды аутентичности сообщений для сохранения целостности сообщений, симметричное шифрование для конфиденциальности.

Пошаговая инструкция оформления TLS-сертификата на «Госуслугах»

Прямая ссылка на сервис получения TLS-сертификата – https://www.gosuslugi.ru/tls. Если перейти по ссылке, то будет доступна сама услуга, перечень выпущенных сертификатов, корневой сертификат УЦ.

Услуга предоставляется российским юрлицам бесплатно, но для её получения потребуется наличие усиленной электронной квалифицированной подписи (к примеру такой, которая применяется для отправки отчетности в налоговую). Сертификат обещают сделать в течение 5 рабочих дней:

Создание запроса на сертификат

Необходимо сформировать ключевую пару, к примеру, с использованием OpenSSL:

Алгоритм подписи RSA, длина ключа — 2048 бит.

Поле subject:

• CN (common name) = домен (надо прописать адрес своего домена, к примеру, cisoclub.ru).
• (organization) = полное название организации (нужно указать название своей организации, желательно на латинице).
• L (location) = город, к примеру, Moscow.
• С (country) = RU.

Рекомендуемый формат запроса – #pkcs10 или csr.

Расширения keyUsage = digitalSignature, keyEncipherment или другие значения, к примеру, nonRepudiation, keyEncipherment, опционально.

В качестве subjectAltName надо прописать все нужные DNS-имена (к примеру, DNS1=yandex.ru, DNS2=ya.ru).

Для параметра extendedKeyUsage следует указать serverAuth или другие значения, к примеру, сlientAuth, опционально.

Это должно выглядеть так:

openssl req -out your_ogranization_certificate.csr -new -newkey rsa:2048 -keyout your_ogranization_certificate.key -nodes -config test.cfg -subj "/C=RU/L=Moscow/O=Test Company/CN=cisoclub.ru"

Команда не интерактивная, архив с файлом test.cfg можно скачать здесь. Необходимо будет изменить параметры поля, указанные в примере, на ваши собственные. Нужно учесть и то, что для разделения параметров в OpenSSL применяется обратный слеш, а не запятая.

За счет проделанных манипуляций получаем файл your_ogranization_certificate.csr с запросом, который понадобится на следующем этапе.

Подпись запроса

Файл с запросом на TLS-сертификат нужно подписать электронной подписью. В качестве примера на этом этапе возьмём подпись файла с использованием КриптоПро CSP:

Подписать файл с применением КриптоПро CSP легко: «Пуск»-> «Инструменты КриптоПро»-> «Создание подписи»:

Затем надо выбрать подписываемый файл, созданный ранее, и нажать на «Подписать». В папке, в которой располагается искомый файл запроса, будет создан новый файл с открепленной ЭП с расширением .sig (если расширение поставлено другое, то нажимаем на «Сохранить подпись как…» и выбираем .sig).

Указание контактов

После описанного выше подготовительного процесса можно вновь зайти на «Госуслуги». В соответствующей форме надо прописать контактную информацию администратора, которые потребуются для связи (указывать надо обязательно реальные контакты):

Загрузка файлов

Завершающий этап – загрузка сформированного ранее запроса и подписи к нему:

Затем создаётся заявление на получение TLS-сертификата. Его потребуется скачать, подписать с использованием ЭП, загрузить на госуслуги (точно так же, как описано выше).

Проверка

Затем по контактам, которые были указаны в форме, с администратором свяжутся специалисты для уточнения информации. Необходимо подтвердить право владения доменом. С этой целью предварительно у регистратора доменных имён надо запросить справку о принадлежности домена. Её необходимо подписать ЭП и отправить для подтверждения.

Всё, теперь ожидаем выпуска сертификата.

Автор инструкции: Александр Веселов