ТРЕБОВАНИЯ К ЕДИНОЙ СТРУКТУРЕ СЕРТИФИКАТА КЛЮЧА ПРОВЕРКИ ЭЛЕКТРОННОЙ ПОДПИСИ

1. Общие требования.

Сертификат ключа проверки электронной подписи (далее - СКП) представляет собой электронный документ с электронной подписью уполномоченного лица удостоверяющего центра.
Структура и содержание СКП определяются:
Федеральным законом Российской Федерации от 6 апреля 2010 г. № 1 ФЗ «Об электронной цифровой подписи»;
настоящим документом;
международными рекомендациями RFC 5280 «Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile»;
международными рекомендациями RFC 4491 «Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure Certificate and CRL Profile».
СКП должен содержать:
обязательные поля СКП;
расширения СКП.

2. Требования к составу и содержанию обязательных полей СКП.

В состав обязательных полей СКП входят следующие поля:
поле «Версия»;
поле «Серийный номер»;
поле «Издатель сертификата»;
поле «Срок действия сертификата»;
поле «Владелец сертификата»;
поле «Открытый ключ»;
2.1. Поле «Версия» (version) должна быть не ниже 3.
2.2. Поле «Серийный номер» (serialNumber) должно содержать серийный номер СКП, уникальный в пределах серийных номеров всех сертификатов, выданных УЦ, издавшего СКП.
2.3. Поле «Издатель сертификата» (issuer) должно содержать фамилию, имя, отчество (при наличии) уполномоченного лица УЦ либо псевдоним издателя сертификата.
2.4. Поле «Срок действия сертификата» должно содержать дату начала и дату истечения срока действия СКП в формате UTC;
2.5. Поле «Владелец сертификата» (Subject) содержит следующие компоненты имени и формируется следующим образом:
Обязательный компонент «Общее имя» (CN, Common Name), содержащий фамилию, имя, отчество (при наличии) владельца СКП – физического лица;
компонента «Должность»;
компонента «Структурное подразделение»;
компонента «Организация»;
компонента «Город»;
компонента «Страна»;
компонента «Адрес электронный почты»;
компонента «Основной государственный регистрационный номер владельца СКП – юридического лица, OGRN»;
компонента «Идентификационный номер налогоплательщика владельца СКП – юридического лица, INN»;
компонента «Страховой номер индивидуального лицевого счета владельца СКП сертификата – физического лица, СНИЛС».
2.5.1. Формат компоненты «Общее имя».
Длина текста не более 255 символов
ФИО должно быть указано полностью так, как оно указано в документе, удостоверяющем личность владельца (например, паспорт).
Формат:
первое слово - Фамилия;
1 символ «#»;
второе слово - Имя;
1 символ «#»;
третье слово – Отчество (при наличии);
остальные слова (если есть) могут быть отнесены к отчеству, в зависимости от контекста обработки;
каждое слово в тексте должно быть отделено одним символом «#»;
не разрешается использовать пробел в начале и в конце текста;
разрешается использовать только один атрибут CN в DN владельца.
2.5.2. Компонента «Должность» (T, Title), содержащий должность владельца СКП для юридических лиц. Длина текста не более 64 символов.
2.5.3. Компонента «Структурное подразделение» (OU, OrgUnit), содержащий подразделение организации владельца сертификата для юридических лиц. Длина текста не более 64 символов.
2.5.4. Компонента «Организация» (O, Organization), содержащая название юридического лица. Длина текста не более 1024 символов.
2.5.5. Компонента «Город» (L, Locality), содержащий название населенного пункта, в котором расположена организация владельца сертификата. Длина текста не более 128 символов.
2.5.6. Компонента «Страна» (С), содержащая название страны, в которой расположена организация владельца сертификата.
2.5.7. Компонента «Адрес электронной почты» (E, EMail), содержащая адрес электронной почты владельца сертификата ключа подписи. Длина текста не более 255 символов.
2.5.8. Компонента «Идентификационный номер налогоплательщика владельца СКП – юридического лица, INN» (OID: 1.2.643.3.131.1.1) (для владельца СКП юридического лица). Текст длиной до 12 цифр, содержащий ИНН юридического лица.
2.5.9. Компонента «Основной государственный регистрационный номер владельца СКП – юридического лица, OGRN» (OID: 1.2.643.100.1) (для владельца СКП юридического лица). Текст длиной до 10 цифр, содержащий ОГРН юридического лица.
2.5.10. Компонента «Cтраховой номер индивидуального лицевого счета владельца СКП сертификата – физического лица, СНИЛС» (OID:2.5.4.5) «SerialNumber» - (для физического лица) страховой номер индивидуального лицевого счета владельца сертификата, содержащий уникальный идентификатор владельца сертификата ключа подписи.
2.6. Поле «Открытый ключ» должно содержать:
название и алгоритм формирования открытого ключа. (Для формирования открытого ключа в соответствии с государственными стандартами Российской Федерации – ГОСТ Р 34.11/34.10-2001 (OID 1.2.643.2.2.3);
параметры и значение открытого ключа уполномоченного лица УЦ.

3. Требования к составу и содержанию расширений СКП.

В состав расширений СКП входят следующие расширения:
расширение «Использование ключа»;
расширение «Улучшенный ключ»;
расширение «Идентификатор ключа владельца»;
расширение «Идентификатор ключа издателя»;
расширение «Политики применения сертификата»;
расширение «Точки распространения списков отзыва»;
расширение «Доступ к информации издателя сертификата».
3.1. Расширение «Использование ключа» (обязательное поле) содержит набор областей использования ключа: Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных.
3.2. Расширение «Улучшенный ключ» содержит набор областей использования ключа. Набор областей является расширяемым в зависимости от области использования ключа.
3.3. Расширение «Идентификатор ключа субъекта» содержит идентификатор ключа владельца СКП.
3.4. Расширение «Идентификатор ключа центра сертификатов» содержит идентификатор ключа уполномоченного лица УЦ.
3.5. Расширение «Политики применения сертификата» содержит описание политик применения сертификата, описывающих юридическую сферу применения СКП. В состав политик может входить описание использования СКП в различных информационных системах и др.
3.6. Расширение «Точки распространения списков отзыва» содержит URL-адрес точек распространения списков отозванных сертификатов по протоколу «http» или «ldap».
3.7. Расширение «Доступ к информации издателя сертификата» содержит URL-адрес официального сайта удостоверяющего сайта, выпустившего СКП, а также набор адресов OCSP-сервисов, с помощью которых может быть проверен СКП.

4. Подпись Удостоверяющего центра.

Поле «Подпись Удостоверяющего центра» содержит:
алгоритм подписи, включающий идентификатор в соответствии с которыми сформирована подпись;
значение подписи удостоверяющего центра.

Отсюда следующие вопросы:

1. Когда будет сертификат ФСБ на версию 1.5?
2. Когда будет патч к УЦ 1.5, чтобы можно было вводить новые поля?
3. Есть ли возможность при выпущенном корневом сертификате от версии 1.4 подсунуть для версии 1.5(или нужно его перевыпускать)?

Отредактировано пользователем 3 мая 2011 г. 17:51:41(UTC)  | Причина: Не указана

Получены сертификаты соответствия на УЦ 1.5 (варианты исполнения 1 и 2).
Номер сертифицированной сборки ПАК "КриптоПро УЦ" - 1.5.986.

Сертификаты соответствия СФ/128-1657 и СФ/128-1658 от 1 мая 2011, действительны до 15 апреля 2014.

Добавить ОГРН в данной сборке можно, выполнив некоторые дополнительные действия.

У нас выложен дистрибутив новой сборки 1.05.0997 - в ней ОРГН уже добавлен.

Можно сразу поставить 1.05.0997, если для Вас не критично что он еще не сертифицирован

Если 1.05.0986, то на каждой машине с ЦС,ЦР, АРМ нужно:
Зарегистрировать ОИД в реестре
Выполнить скрипт
Добавить в Политике имен на ЦР
(На клиентских машинах нужна только регистрация в реестре)
Подробную инструкцию со скриптами и оег-файлами можем выслать по запросу на support@cryptopro.ru

Поменять не получится и дело тут не в КриптоПро УЦ:
http://msdn.microsoft.co...ary/aa386991(VS.85).aspx