Предварительная настройка

Криптопровайдер

Все криптографические операции, связанные, в том числе, с вычислением значения электронной подписи происходят на вашем ПК. Чтобы такие вычисления выполнялись, на ПК должно быть установлено специальное программное обеспечение: Crypto Service Provider (CSP), или, по-русски, Система Криптографической Защиты Информации (СКЗИ, или криптопровайдер). Для работы с нашим сервисом мы рекомендуем использовать сертифицированную версию СКЗИ «КриптоПро CSP».

Поддерживаемые ОС

• Microsoft Windows (инструкция по установке);

• Linux (инструкция по установке);

• Apple MacOS (инструкция по установке);

• Аврора (во встроенном в ОС Firefox 78 после установки КриптоПро CSP 5.0 R3);

• Android (в КриптоПро Fox для Android).

Расширение и плагин для браузера

Для того, чтобы установленный на вашем ПК криптопровайдер мог принимать и передавать данные в браузер необходимо установить плагин для браузера «КриптоПро ЭЦП Browser plug-in» версии 2.0.2101 и выше и расширение для браузера «CryptoPro Extension for CAdES Browser Plug-in».

«КриптоПро ЭЦП Browser plug-in» распространяется бесплатно (лицензионное соглашение).

Настройка доверенных адресов

При любой операцией с сертификатами и ключами браузер будет запрашивать у вас разрешение на такую операцию (может отличаться в зависимости от операционной системы вашего рабочего места):

Запрос подтверждения операции с ключами и сертификатами в ОС MacOS

Запрос подтверждения операции с ключами и сертификатами в ОС Windows

Для того, чтобы такой запрос не появлялся постоянно, мы рекомендуем добавить адреса сервиса «НаПодписи» в доверенные сайты, для этого нажмите на значек расширения «CryptoPro Extension for CAdES Browser Plug-in» в вашем браузере, откроется его меню. В меню выберите «Настройка доверенных сайтов»:

Меню расширения «CryptoPro Extension for CAdES Browser Plug-in»

На открывшейся странице укажите следующие адреса, нажимая кнопку со знаком «плюс» (1) после каждого адреса:

1. https://na-podpisi.ru

2. https://xn----7sbnqazjhcv.xn—p1ai

3. https://xn—80aimavhgct.xn—p1ai

После ввода трех указанных адресов, они должны появиться в списке, если все три адреса успешно добавлены в список, нажмите кнопку «Сохранить» (2).

Рекомендуемый браузер

Браузеры, которым не требуется дополнительная настройка расширения браузера после установки плагина (браузеры с поддержкой шифрования защищенных соединений по ГОСТ):

• Chromium-Gost

• Яндекс.Браузер для организаций

Настройка браузера

Мы рекомендуем использовать браузеры, которые не требуют дополнительной настройки после установки плагина (см. рекомендуемые браузеры выше). Помимо них, работа сервиса доступна также в следующих браузерах:

• Google Chrome (в том числе Chromium версии 104+)

• Microsoft Edge (на базе Chromium версии 104+)

• Mozilla Firefox

• Apple Safari

• Opera

• Internet Explorer

В этих браузерах, после завершения установки плагина потребуется вручную включить расширение в браузере. Используйте инструкцию, соответствующую вашей ОС: Windows, macOS, Linux.

Также рекомендуем ознакомиться с настройками Яндекс.Браузера и Chromium GOST на MacOS после блокировки компанией Apple.

Драйвер для носителя ключа

В некоторых случаях может потребоваться установка на вашем ПК драйвера для носителя ключа электронной подписи (например, «РуТокен», «JaCarta»). Чтобы убедиться, что драйверы установлены в системе, вставьте носитель ключа (например, в порт USB) и откройте программу «Инструменты КриптоПро». В разделе «Контейнеры» вы должны увидеть хотя бы один контейнер с вашего носителя ключа, а в разделе «Сертификаты» вы должны увидеть ваши сертификаты электронной подписи.

Цепочка сертификатов

Чтобы электронная подпись была корректна, ваш сертификат электронной подписи должен быть выдан аккредитованным удостоверяющим центом, а его аккредитация (т.е. его сертификат) должна быть удостоверена головным удостоверяющим центом. Таким образом цепочка сертификатов состоит как минимум из трех звеньев, каждое из которых должно быть действующим. Чтобы криптопровайдер, установленный на вашем ПК мог убедиться в корректности вашего сертификата на ПК необходимо установить всю цепочку сертификатов:

Головные сертификаты

Скачайте и установите сертификаты в «Доверенные корневые центры сертификации»:

• Сертификат «Головного Удостоверяющего Центра»

• Сертификат удостоверяющего центра Минцифры России

Промежуточные сертификаты

Скачайте и установите промежуточные сертификаты в хранилище сертификатов «Промежуточные центры сертификации»:

• Для сертификатов, выпущенных до 23:00 17.03.2023

• Для сертификатов, выпущенных позднее 23:00 17.03.2023

Ваш сертификат

Установите ваш Сертификат ЭП, выданный аккредитованным удостоверяющим центром, в хранилище сертификатов «Личные».

Все сертификаты

Не смотря на скачанные выше сертификаты, вы все равно можете получать ошибку «Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)». Она означает, что у Вас на ПК не установлены необходимые промежуточные/корневые сертификаты для проверки и создания подписи.

Для решения проблемы необходимо скачать с сайта Удостоверяющего центра, выдавшего Вам сертификат, промежуточные и корневой сертификаты и установить их в соответствующие хранилища.

Вы можете скачать корневые сертификаты всех основных УЦ единым файлом. В редких случаях для построения цепочки данных сертификатов будет недостаточно, тогда рекомендуем установить промежуточные сертификаты. Вы можете скачать промежуточные сертификаты рекомендуемых УЦ единым файлом.

На странице базы знаний сайта «КриптоПро» приведена и инструкция по установке таких сертификатов, и сами скачиваемые файлы, содержащие такие сертификаты.

Проверка работы

Чтобы убедиться, что всё установлено и настроено верно, перейдите на диагностическую страницу тестового запуска «КриптоПро ЭЦП Browser plug-in». Пример успешного прохождения диагностики:

Успешное прохождение диагностики означает готовность к работе с сервисом «На-Подписи.рф». Если диагностика не завершается успешно, то следуйте рекомендациям, указанным на диагностической странице.

Проверка работы Усовершенствованной подписи

Для использования «Усовершенствованной подписи» (например, в формате CAdES-X Long Type 1) в том числе, содержащей метку доверенного времени, вам необходимо убедиться в наличии требуемых лицензий. Должна быть не только действующая лицензия на криптопровайдер «КриптоПро CSP», но и наличие действующей лицензии на:

• «КриптоПро OCSP Client» и

• «КриптоПро TSP Client»,

при отсутствии хотя бы одной из них будет возникать ошибка при подписании. Проверить эти лицензии можно на диагностической странице «Проверка создания электронной подписи CAdES-X Long Type 1», особое внимание необходимо уделить дате окончания действия лицензий: