Pki by продление ключа: Продление срока действия сертификата ЮЛ — Национальный центр электронных услуг
Продление ключа электронного декларирования (сертификат ГОССУОК pki.by)
Наша налоговая служба очень активно переводит всех ИП и юрлиц Беларуси на электронное декларирование вместо бумажного. Инициатива неплохая, но пользоваться программным обеспечением весьма непросто, да и стоит оно недешево в сравнении с почти бесплатным бумажным. И даже когда вы сами или с чьей-то помощью настроили все на компьютере — бах, прошло 2 года, и надо продлевать сертификат. Рассказываю, как же это сделать, а точнее, как это делал я.
Если вы ИП и не являетесь плательщиком НДС (а может даже если и являетесь — надо уточнять в налоговой), вы можете вернуться на подачу деклараций в бумажном виде и не платить за флешки с сертификатами их продление. Для этого скачайте бланк на сайте МНС nalog.gov.by/ru/dlya-individualnyh-predprinimateley/, заполните по аналогии с электронной и отнесите в свою ИМНС или отправьте по почте до 20 числа месяц, следующего за отчетным периодом.
Документы и оплата
Для начала вам надо позвонить своему налоговому инспектору и записаться на прием к специалисту Центра регистрации. Такие центры есть далеко не в каждом городе. Список и адреса можно найти на их сайте: раньше это был pki.by, но сейчас с этого адреса перенаправляет на info-center.by
Прийти на прием вам надо с пачкой документов. Привожу список для ИП:
- Копия свидетельства регистрации ИП.
- Анкета с вашими данными в двух экземплярах. Заполнить ее лучше заранее, чтобы сэкономить время.
- Флешка с ключом.
- Распечатанная платежка (счет-фактуру вы сможете найти по ссылке ниже). Я не рисковал и оплатил в банке, чтобы была квитанция с печатью. При оплате сказал, чтобы пометили в назначении платежа мое ФИО. Я платил 59,40 р. за продление на 2 года без выдачи нового ключа (флешки). Уточнить цены можно в разделе Документы
- Паспорт.
Уточнить список документов для ИП вы можете по ссылке на сайте https://info-center.by/napravlenie-deyatelnosti/-u-ts/dokumenty-rts/ — здесь же вы найдете файлы анкеты и счета-фактуры для оплаты (там их много, поэтому лучше уточните у инспектора, какая нужна именно вам).
На приеме вам выдадут новый диск с новым сертификатом еще на 2 года.
Добавление нового сертификата на компьютер
1. Вставьте новый диск в компьютер. Если дисковода нет, то надо сходить к кому-нибудь, у кого он есть и скачать все, что есть на диске, на флешку, а затем с флешки скопировать содержимое на компьютер. Возможно, есть и другие решения, но я действовал так.
2. Вставьте флешку с ключом ГОССУОК.
3. Запустите программу «Персональный менеджер сертификатов Авест для ГосСУОК». Ярлык должен быть у вас на рабочем столе. Если его там нет, то путь к программе по умолчанию такой — C:\Program Files (x86)\Avest\AvPCM_nces\MngCert.exe
4. Нажмите кнопку «Импорт сертификата».
5. Далее нужно выбрать импортирумый файл, т.е. показать программе, где он находится. Жмите кнопку Обзор и выбирайте папку data на новом Диске (либо в папке, в которую вы скопировали содержимое диска). В этой папке будет лежать файл с названием «Индивидуальный предприниматель Иванов Иван Иванович.p7b». Выбирайте его и жмите далее.
6. Потом жмите все время Далее. На одном из шагов вас попросят ввести пароль от флешки с ключом, введите его и — готово!
Видео инструкция на нашем YouTube-канале
Возможно, я что-то упустил, поэтому вот еще ссылка на инструкцию на официальном сайте https://info-center.by/napravlenie-deyatelnosti/-u-ts/instruktsii/
Также можете оставлять комментарии, я их отслеживаю и отвечаю по мере возможности.
Автор материала: Владислав
Загрузка…
Понравилась статья? Поделиться с друзьями:
Закончился срок действия ключа в E-declaration
Спустя 2 года, использования мега-программы для электронного налогового декларирования, у меня закончился срок действия сертификата (ключ). Что не говори, но несмотря на все проблемы с реализацией — дело это практичное и удобное.
Ключ решено было продлить!
Первым делом я позвонил в свою налоговую.
В налоговой мне вежливо сообщили, что ключ можно продлить прямо у них. Что нужно записаться на определённый день и время. И даже выслали на Вайбер квитанцию для оплаты услуг. Душки!
Итак, что бы продлить цифровую подпись для Индивидуального предпринимателя требуется следующее, записывайте:
- Свидетельство о регистрации ИП
- Паспорт
- Квитанция об оплате
- Старый USB ключ
- Заполнить, подписать и проштамповать (если есть печать) в двух экземплярах Перечень сведений о Подписчике для ИП
То, что нужно именно 2 экземпляра — нигде не говорят. В квитанции на оплату есть список необходимых документов, в котором про 2 экземпляра — не слова. Но по факту, каждый первый зашедший, сразу же выходит заполнять второй экземпляр.
Что нужно для других типов собственности — читаем на сайте Удостоверяющего центра :
Как скачать квитанцию на оплату?
Обновлено 17 января 2020
С квитанциями на оплату есть заморочка. Заморочка в том, что квитанций этих чуть больше, чем дофига. И какая нужна лично вам неизвестно. Звоните в налоговую, уточняйте.
Когда уточните, переходите в соответствующий раздел «Информационно-издательского центра по налогам и сборам» и скачивайте. Там же, прямо в квитанции будет список документов, которые нужно иметь с собой.
Например, я скачивал вот эту квитанцию 6.2.21. Продление срока действия сертификата юридического лица на 2 года без выдачи носителя ключевой информации , но не факт, что она подойдёт всем. Опять же, уточните в налоговой какая нужна вам.
Внимание!
В банке при оплате квитанции затребовали паспорт и УНП.
Резюмируя:
- Звоним в налоговую
- Записываемся
- Собираем документы
- Оплачиваем квитанцию
- Приезжаем в налоговую
- На ваш USB носитель записывают новый ключ, который будет действителен следующие 2 года
Через 2 недели приезжаете в налоговую за новым диском.Двадцатый год XXI века достучался до налоговой, две недели ждать не нужно. CD-диск (!!!), привет всем у кого нет cd-привода, запишут прямо при вас — это самый долгий момент в оформлении.- Обновляете ПО с диска
- Всё!
Как установить электронное декларирование — Пошаговая инструкция
Электронное декларирование в Республике Беларусь обязательно для плательщиков НДС. Если вы пользуетесь упрощенной системой налогообложения и НДС не платите, то Edeclaration все равно можно подключить – для удаленной подачи декларации. Что это, как работает и как с этим жить – рассказываем в МТБлоге.
- Что такое Edeclaration
- Как установить Edeclaration – пошаговая инструкция
- Как загрузить справочники в Edeclaration
- Как обновить Edeclaration
- Как заполнить и отправить декларацию
- Разбор наиболее распространенных ошибок при работе с Edeclaration
Edeclaration (АРМ Плательщик) – программа для удаленной подачи декларации в налоговую инспекцию. Индивидуальным предпринимателям, работающим по упрощенной системе налогообложения, программа понадобится 1 раз в квартал. Издание сертификата юридического лица на 2 года стоит 95,28 BYN. Со всеми ценами можно ознакомиться здесь.
Внимание! Программа работает только на ОС Windows. Системные требования для корректной работы программы описаны здесь.
Мы расскажем, как настроить программу Edeclaration для подачи налоговых деклараций на примере ИП по УСН без НДС раз в квартал. Как правило, именно на этапе установки этой программы возникает больше всего вопросов. Разбираемся по порядку.
Как установить электронное декларирование?
- Покупаем электронный ключ pki.by. Вместе с ним дают диск с программами: Авест и Edeclaration. Через последнюю и подается декларация в МНС.
- Устанавливаем криптографическое ПО с диска.
- Устанавливаем программу Edeclaration.
- Отправляем декларацию удаленно!
С первым пунктом все понятно – идем в налоговую и покупаем ключ и ПО. Приступаем сразу ко второму.
Установка криптографического ПО. Запускаем диск, выданный в налоговой. Появляется стартовое окно:
Устанавливаем первую программу. Ставим все галочки и кликаем «Далее».
Ждем. Завершаем установку. Дальше появится окно с выбором ключа. Здесь нужно вставить флешку с ключом, выбрать его в списке и ввести пароль, который был задан при покупке ключа.
Завершаем установку.
Переходим к следующему пункту – установке Edeclaration.
Как установить электронное декларирование – пошаговая инструкция
Нажимаем на установку второй программы из списка на диске. Все время кликаем «Далее» до конца установки. После завершения запускаем программу через ярлык на рабочем столе.
Если выскочило окно с ошибкой – не паникуйте!
«Библиотеки C:\Program Files\Avest\AvPCM_MNS\avlog4c.dll не существует. Проверьте путь к персональному менеджеру сертификатов»
Нажимаем «ОК» и разбираемся с программой дальше. Должно появится окно для авторизации.
ЛАЙФХАК. В строке пользователя вводите «Alex», вместо пароля – «111». Почему именно так – никто не знает, но работает уже не первый год. Наверное, разработчик Alex таким образом потешил самолюбие.
Далее появится окно с номером версии программы.
После успешного входа переходим в «Параметры».
Далее переходим в «Данные о плательщиках» и вводим собственные данные для заполнения декларации.
Заполняем свои данные:
- УНП – 9 цифр собственного УНП.
- ИМНС – код налоговой, в которой вы обслуживаетесь. Его нужно выбрать из списка.
- Наименование – полное название организации, например, Индивидуальный предприниматель Ковалев Иван Сергеевич.
- Вид экономической деятельности – цифровой код деятельности, который указывали при регистрации ИП.
- Орган управления – можно оставить пустым.
- Единица измерения – рубли.
- Место осуществления деятельности – ваше место работы.
- ФИО ответственного лица – для ИП – собственное ФИО.
- Руководитель – для ИП – собственное ФИО.
- Наименование госоргана, осуществившего регистрацию – в свидетельстве о регистрации написан этот орган.
- Дата решения, номер решения – тоже из свидетельства.
- Регистрационный номер в Едином госрегистре – номер УНП.
- Должность лица, составившего регистр – берем из свидетельства.
- ФИО лица, составившего регистр – там же.
- ФИО главного бухгалтера – если его нет, оставляем пустым, если есть, заполняем.
Далее нажимаем «ОК» и попадаем в главное окно программы Edeclaration.
Как загрузить справочники в Edeclaration
В меню «Помощь» выберите «Установить новое ПО»
Откроется форма «Доступное программное обеспечение».
Далее в строке «Работать с сайтом» в выпадающем списке выберите адрес сайта «Сайт обновлений МНС http://www.nalog.gov.by/ed». Возможно, придется прописать вручную.
Отметьте галочками необходимые формы деклараций или нажмите «Выбрать все». Обязательно выбираем строку «Справочники» (последняя строка в списке).
Нажимаем «Далее» по всем предложенным позициям. В процессе обновления откроется окно предупреждения о безопасности, как показано на скриншоте:
Нажимаем «ОК». Процесс загрузки окончен. Нажмите кнопку «Restart Now» для перезапуска программы Edeclaration.
Как обновить электронное декларирование
Внимание! Обновления программы Edeclaration приходят достаточно часто. Не забывайте обновлять программу.
Чтобы обновить программу до последней версии, в верхней строке меню нужно нажать «Помощь»/ «Проверить обновления». Возможно, понадобится прописать в настройках верный адрес для обновления. В принципе, аналогичные действия вы уже совершали сразу после установки программы.
После обновления программа перезапустится. Теперь создаем декларацию.
Как заполнить и отправить декларацию
В верхней строке меню выбираем «Файл»/ «Создать декларацию».
Выбираем год и тип декларации:
Перед нами появляется окно с первоначальными настройками декларации. Программа автоматически берет данные из заполненных выше полей.
Попадаем в основное поле декларации. Заполняем пустые ячейки собственной информацией.
В первом окне нужно заполнить вид деятельности.
В первом разделе заполняем пункт 1 и 1.1 одинаковой информацией (так как работаем без НДС). Здесь нужно внести валовую выручку.
Налоги автоматически рассчитываются программой и отображаются в пункте 4.
Раздел 2 нужен, чтобы исправить ошибки в декларации. Вдруг вы поняли, что вписали данные, в которые что-то не учли или допустили опечатку? Изначально второй раздел не заполняется. Переходим в третий раздел и опять вводим общую валовую выручку в пункт 2:
Ошибки, отмеченные восклицательными знаками, можно пропустить. Заполняем девятый пункт. Вносим информацию в графе «Значение показателя» напротив соответствующего месяца, если отчетный период – календарный месяц, или последнего месяца отчетного квартала, если отчетный период – календарный квартал. Указываем единицу (1) – в случае ведения бухгалтерского учета и двойку (2) – в случае ведения учета в книге учета доходов и расходов организаций и индивидуальных предпринимателей, применяющих УСН.
Ставим двойку, если ИП ведет КУДИР, напротив месяцев подачи декларации. После этого сохраняем изменения и закрываем декларацию.
Теперь ищем только что заполненную декларацию в поле слева, выбираем документ и нажимаем кнопку «Подписать».
Должно появится окно с выбором сертификата. Выбираем и вводим пароль. Теперь декларация подписана. Ее нужно отправить в налоговую.
Снова выбираем декларацию и нажимаем на «Отправить». Выбираем сертификат, вводим пароль. Декларация отправлена.
Проверяем отправку. Открываем в верхнем меню «Окно» – «Декларации из МНС». Внизу появилась соответствующая вкладка. Нажимаем кнопку получить из МНС, вводим пароль от сертификата и смотрим: получено или нет. Обычно через несколько часов декларацию подписывает инспектор. Соответственно, спустя это время у вас должно появится сообщение «Принято инспектором». После этого осталось только заплатить налоги.
Решение наиболее распространенных ошибок при работе с Edeclaration
- Что делать, если допустили ошибку в декларации и хотите её исправить.
Исправить декларацию нельзя! Нужно:
- создать новую декларацию за тот же период;
- ниже поставить галочку «Признак внесения изменения и (или) дополнения в налоговую декларацию (расчёт)»;
- заполнить новую декларацию верно;
- подписать и отправить ее, как и предыдущую.
- Если в списке деклараций нет нужного года.
Вдруг на месте 2018 года стоит 2016. Нажимаем на кнопку «Фильтр» и выбираем нужный нам год.
- Как продлить ключ электронного декларирования.
Чтобы продлить ключ, необходимо обратиться по месту регистрации (в налоговую, в которой вы получали ключ). Продление регистрации включает в себя изготовление и выпуск нового сертификата открытого ключа. Продлить ключ могут юр.лица, ИП и физ.лица, которые являлись Подписчиками РУЦ. Дата прекращения срока действия СОК (ключа) не должна превышать три месяца. При продлении регистрации возможно внести любые изменения в содержание СОК, кроме УНП.
Для получения сертификата в регистрационный центр должен прибыть человек, который лично планирует использовать электронную цифровую подпись – руководитель юр.лица или доверенное должностное лицо.
Срок действия нового сертификата открытого ключа составляет два года с даты окончания срока действия предыдущего сертификата открытого ключа.
Полезные ссылки:
Читайте нас в Telegram и
Яндекс.Дзен
первыми узнавайте о новых статьях!
Как продлить срок действия цифровой подписи: консультация ЭДиН
Вера Харитончик
Специалист по электронному документообороту
Компании, которые перешли на электронный документооборот, рано или поздно встречаются с тем, как продлить срок действия сертификата ЭЦП. Ведь электронная подпись – это один из главных реквизитов, без которого электронные документы не будут считаться действительными.
Электронные цифровые подписи представляют собой набор сгенерированных криптографическим методом символов. У пользователя есть файл с зашифрованными ключами, которые он переносит в документ, подтверждая его достоверность и законность.
Как продлить ключ ЭЦП?
Продлить ЭЦП можно оффлайн, в подразделении Республиканского удостоверяющего центра государственной системы, входящий в состав Национального центра электронных услуг (НЦЭУ). Именно в НЦЭУ все компании, ИП, физические лица могут получить и продлить срок действия своей ЭЦП.
Какой срок действия ЭЦП?
Сертификат ключа электронной подписи действителен на протяжении 1 либо 2 лет. Это связано с тем, что генерация кода происходит с помощью криптографических программ. Соответственно, по истечению 1 либо 2 лет необходимо продлить действие сертификата ЭЦП, иначе новые документы с устаревшими подписями будут недействительны.
Возможности электронной подписи.
Электронный аналог подписи имеет точно такой же функционал, как и обычная подпись «от руки». Стоит поинтересоваться, как продлить срок действия ключа ЭЦП, если вам необходим носитель ключевой информации, с помощью которого можно:
- Подтвердить подлинность документа.
- Утвердить и контролировать целостность и оригинальность информации.
- Защитить документ от подделок и фальсификации в процессе электронного обмена документами.
ЭЦП, выданная ГоССУОК, дает право подписывать электронные документы, которые будут иметь юридическую силу в электронном документообороте между юридическими и физическими лицами Республики Беларусь.
Важно!
Любые изменения, которые будут вноситься в файл после его подписи, автоматически делают документ недействительным. В этом отличие электронного документа от бумажного (в последнем допускается после подписания редактирование различных служебных отметок, например, резолюций, регистрационных индексов, штампов, отметок об исполнении). Поэтому при каждой редакции/корректировки электронного документа актуально переподписание документа существующей ЭПЦ.
Как продлить сертификат ЭЦП?
Если срок действия предыдущей ЭЦП истек, прошел определенный период времени с момента аннулирования кода, понадобится продление электронной цифровой подписи. Для этого необходимо собрать документы для продления ЭЦП и предоставить их лично в соответствующие инстанции.
Необходимы такие документы:
- Паспорт или удостоверение личности.
- Заполненный Перечень сведений о подписчике.
- Копия документа об оплате услуги регистрации.
Продлить действие ЭЦП можно непосредственно в РУЦ ГосСУОК. Записаться в очередь на продление сертификата ЭЦП можно на сайте, не отрываясь от работы. Сама процедура продления проходит оффлайн.
Важно!
Многие ведущие компании уже полностью перешли на электронный документооборот с использованием ЭЦП. Это удобно, просто и быстро.
Многие интересуются, как продлить срок ЭЦП онлайн. К сожалению в РБ продление срока действия сертификата ЭЦП требует вашего личного присутствия РУЦ ГосСУОК. Поэтому продлить ЭЦП онлайн в Беларуси не представляется возможным.
Как продлить ЭЦП юридическому лицу?
Продление ключей ЭЦП юр. лицо производит по той же схеме, что и ИП. В Удостоверяющем центре продление срока ЭЦП доступно как физическим, так и юридическим лицам. Процедура проводится стандартным способом.
Ключами подписи можно пользоваться на протяжении всего времени продления ключа (1 или 2 года), после чего потребуется очередное продление действия ЭЦП.
Хотите читать статьи и советы от экспертов по электронному документообороту?
Подпишитесь на обновления.
Error! Не корректтное значение
Error! Такой email уже существует
Вы успешно подписались!
Подписаться
Поделиться статьей
Удаленное продление сертификата ЭЦП без посещения банка
Удаленное продление сертификата ЭЦП без посещения банка возможно если:
— сертификат выпущен с иcпользованием системы шифрования AvCSPBel (В параметрах контейнера значение BY.ГосСУОК.BIGN)
— срок действия сертификата не истек
— атрибуты сертификата не меняются (наименование организации, владелец и т.д)
За месяц до истечения срока действия сертификата ЭЦП на электронный адрес пользователя, указанный ранее в карточке открытого ключа при создании запроса на сертификат, формируется сообщение следующего содержания:
Тема: Заканчивается срок действия сертификата ЭЦП РД/ДО 369-100 аб. 291111184.2 s/n 40E5D12C16FD21FF00017CF9
Удостоверяющий центр ОАО «БПС – Сбербанк» уведомляет о том, что сертификат личного ключа подписи <наименование организации> серийный номер <***> выданный на имя <имя владельца> заканчивается срок действия 01.01.2019 23:59:59.
Для дальнейшего обслуживания необходимо обновление сертификата.
С этим уведомлением во вложении высылается Ваш сертификат в формате .p7b необходим для актуализации абонентского комплекта «Авест».)
Для продления сертификата ЭЦП необходимо:
2. Сохраните вложенный в сообщение из Банка файл сертификата на ПК (напр. на Рабочий стол)
3. Вставте носитель ЭЦП в ПК
Важно! Носитель электронных ключей должен быть вставлен в USB-порт. Если присутствуют ключи других банков, налоговой, ФСЗН и т.д., достаньте их из компьютера.
4. Выполните импорт сертификата.
Для этого необходимо перейти в меню Пуск — Все программы — Авест для БПС-Сбербанк — Персональный менеджер сертификатов Авест БПС-Сбербанк
Установите признак «Войти в систему без авторизации» и нажмите Ок
Выберите в меню Файл — Импорт сертификата
По кнопке Обзор укажите путь к сохраненному файлу сертификата, нажмите Далее
В окне Импортируемые объекты — нажмите Далее.
Нажмите Далее.
Выберите контейнер соответствующий загружаемому сертификату и нажмите Далее
Примечание: поле Криптопровайдер должно содержать Avest CSP Bel Pro, а не Avest CSP Base. В противном случае необходимо произвести переустановку криптографического ПО (см. пункт 1)
Введите пароль доступа к контейнеру, нажмите ОК
Нажмите Далее
При появлении предупреждения об установке сертификата нажмите Да
Сертификат импортирован. Нажмите Закрыть.
5. Далее переходим к процессу продления сертификата.
Для этого зайдите в меню Создать запрос — На обновление личного сертификата
В окне Срок действия — изменения не вносятся, нажмите Далее.
Введите пароль доступа к контейнеру. Указанный пароль будет использоваться при каждом обращении к ключу.
Примечание: название окна для ввода пароля должно содержать Avest CSP Bel Pro, а не Avest CSP Base.
В противном случае необходимо произвести переустановку криптографического ПО (см. пункт 1)
Важно! В случае утраты личного ключа или пароля доступа к нему следует провести новую процедуру генерации пары ключей.
Восстановление утерянного пароля невозможно!
Для создания личных ключей программе потребуется некоторое количество случайных данных. Подвигайте мышью в пределах появившегося окна до полного заполнения индикатора.
В окне Формирование карточки открытого ключа нажмите Далее.
Проверьте данные об организации и владельце ключа.
Если данные верны — закройте карточку открытого ключа.
В окне Экспорт запроса в файл — по кнопке Обзор выберите путь для сохранения файла запроса.
Нажмите Далее для завершения.
Сохраненный файл запроса с расширением .r2c необходимо отправить по электронной почте в ответ на направленное Вам уведомление с сохранением текущей темы письма.
Электронное декларирование налогов в Беларуси, продление ключа и сертификата 2020
Электронное декларирование налогов – услуга налоговой службы, позволяющая подавать декларации в электронном виде. Сервис призван экономить время плательщиков и сотрудников инспекции, внедрять безбумажный документооборот, избавлять от необходимости личного визита в налоговые органы, снизить количество ошибок и в целом сделать процесс эффективнее.
Кроме подачи декларации об уплате налогов, электронный сервис позволяет посылать в инспекцию любые запросы и документацию, заявления на административные услуги, получать справки. Решения налоговых органов, выписки с лицевого счета, расчеты с госбюджетом – обо всем этом можно узнать через сервис. Также можно посылать отчетность в “Белгосстрах” и в статистические госорганизации, взаимодействовать с Минюстом.
Переходить на электронное декларирование налоговики начали в 2009 году, и их усилиями этот способ представления уплаты налогов со временем стал основным. С 2014 года декларации по НДС принимают только в электронном варианте. Обязательным это стало и для организаций, где работают более 50 сотрудников. Можно ожидать, что позже эта практика распространится и на другие виды налогообложения.
Подключение к системе
Чтобы начать пользоваться электронным декларированием необходимо:
- Зарегистрироваться подписчиком удостоверяющего центра (УЦ) унитарного предприятия «Информационно-издательский центр по налогам и сборам».
- Создать персональный ключ цифровой электронной подписи – им налогоплательщик удостоверяет декларации. Его генерируют в УЦ.
- Создать сертификат открытого ключа – с его помощью налоговики контролируют подлинность присланной и подписанной плательщиком документации.
После этого можно начать заполнять и отправлять электронные декларации.
Что нужно для регистрации в УЦ
Представительства «Информационно-издательского центра по налогам и сборам» открыты в Минске и областных центрах. В столицы районов сотрудники РУП время от времени приезжают сами для обслуживания клиентов. График подключений и технического сопровождения заранее согласовывают.
Услуга регистрации – платная. Скачать счета-фактуры для юрлиц и физлиц, а также индивидуальных предпринимателей можно на официальном сайте центра. Оплатив, надо идти в организацию для первоначальной регистрации, выдачи сертификата и программного обеспечения. Явиться в центр должен именно тот, кто собирается подписывать электронную документацию цифровой подписью. С собой необходимо взять заверенную нотариально копию извещения про постановку на учет, которая удостоверяет номер плательщика Фонда соцзащиты Минтруда.
Списки документов для получения ключа отличаются в зависимости от статуса плательщика. Индивидуальный предприниматель должен принести:
- Паспорт или иной документ для удостоверения личности.
- Копию квитанции об оплаченной регистрации.
- Копию документа о госрегистрации ИП.
- Информационный носитель для ключа и паспорт этого устройства. Сама регистрирующая организация советует пользоваться USB AvPass или AvToken производства компании “Авест-Системс”. Если у плательщика есть собственная флешка с документом, то можно использовать и ее. При оплате выбрать счет-фактуру на регистрацию без предоставления носителя.
- Два экземпляра разборчиво заполненного печатным шрифтом, скрепленного печатью (если она есть) и подписанного списка данных об ИП. В форме надо указать ФИО, информацию о регистрации, учетный номер налогоплательщика, и другую информацию. Скачать форму перечня можно на сайте удостоверяющего центра.
Для регистрации физического лица нужны только паспорт, копия квитанции об оплате, носитель ключа с паспортом и заполненный перечень для физлица. Также получать сертификат могут руководители организаций и филиалов, доверенные лица ИП.
После выдается диск с программным обеспечением и флешка с электронной цифровой подписью. Установив программу с диска на свой компьютер, можно платить налоги, заполнять и отправлять документы через систему. Перед отправкой документ необходимо в той же программе подписать своим сертификатом.
Ключ и сертификат действительны от года до трех, после этого их нужно продлевать.
Продление ключа и сертификата электронного декларирования
Продлить ключ электронного декларирования можно не раньше, чем за три месяца до завершения срока действия. В сертификате при продлении можно изменить любую информацию за исключением УНП. Порядок действий такой же, как и при первичной регистрации:
- Скачать с сайта регистрационного центра счет-фактуру на продление ключа. В отличие от первичной регистрации, срок действия нового сертификата может быть только двухлетним. Отсчет начинается со дня завершения действия прошлого ключа.
- Оплатить счет. В банке для оплаты могут потребовать паспорт и УНП.
- С квитанцией и другими документами явиться уполномоченную организацию. Продлевать ключ можно как в УЦ, так в самой налоговой. В последнем случае нужно позвонить и записаться на прием. Список бумаг тот же, что и для первичной регистрации. Новый информационный носитель для ключа покупать не надо – подойдет прежний.
В УЦ или налоговой на носитель запишут новый ключ. Через две недели придется явиться за новым диском – с него вы обновите программу на своем компьютере и сможете еще два года пользоваться системой электронного декларирования налогов.
Электронное декларирование – хоть и не совершенный, но удобный и быстрый способ взаимодействия с налоговой службой и другими госорганами. В перспективе он может стать всеобщим, поэтому осваивать его уже сейчас.
применяем новшества правильно – ilex
В настоящее время большинство организаций сталкивается в своей работе с электронными документами, т.е. документами, подписанными ЭЦП. Их создание и хранение вызывает ряд сложностей. С 18.02.2019 вступили в силу изменения в Закон об электронном документе. Разобраться в деталях помогает Вячеслав Леонидович Носевич, директор БелНИЦЭД, кандидат исторических наук.
Кто может быть владельцем личного ключа ЭЦП, при помощи которого создается ЭЦП?
Владельцем личного ключа ЭЦП, как и ранее, может быть:
1) физическое лицо. ЭЦП в таком случае является аналогом собственноручной подписи данного лица <*>. Иными словами, это «личная подпись» гражданина, которой он пользуется для подписания электронных документов. При этом использовать ее он может во всех сферах жизни, а не только в работе. Например, для подписания кредитного договора на бытовые нужды в банке;
2) юридическое лицо (организация). Теперь в сертификате открытого ключа (далее — сертификат) будут указываться только реквизиты организации. А данные (паспортные данные) работника, который получает личный ключ ЭЦП, указываться не будут <*>. То есть в данном случае личный ключ ЭЦП будет принадлежать именно организации, а не какому-либо ее работнику.
Отметим, что прежде на практике в сертификате указывались реквизиты организации и паспортные данные конкретного работника, который непосредственно получал открытый ключ ЭЦП. Однако использовать такой ключ в работе мог совсем другой сотрудник или даже несколько. Поэтому было непонятно, соблюдается ли владельцем открытого ключа ЭЦП обязанность по сохранению его в тайне. С одной стороны, все лица, получившие доступ к ключу, являются сотрудниками организации (можно предположить, что тайна ключа не выходит за пределы организации). С другой стороны, в сертификате значатся данные конкретного сотрудника, а пользоваться ключом может не только он.
Таким образом, перечень владельцев личного ключа ЭЦП не изменился. Вместе с тем законодатель четко разграничил статус его владельцев.
Что такое атрибутный сертификат?
Атрибутный сертификат — это электронный документ, который устанавливает объем полномочий физлица, в том числе ИП (далее — физлицо), по подписанию определенных видов электронных документов от имени организации или какого-либо физлица, а также иные предоставленные ему полномочия (например, удостоверять с помощью ЭЦП электронные копии документа на бумажном носителе) (далее — полномочия) <*>. Иначе говоря, это своего рода доверенность на представление интересов организации (физлица) <*>.
Обратите внимание!
Одно и то же лицо может быть владельцем нескольких атрибутных сертификатов <*>.
Атрибутный сертификат в целях информирования всех заинтересованных лиц о том, кто праве подписывать документы от имени организации (физлица), подлежит распространению <*>:
— владельцем открытого ключа;
— поставщиком услуг;
— организацией или физлицом, от имени которых другому физлицу предоставляются полномочия, информация о которых содержится в этом атрибутном сертификате.
Атрибутный сертификат можно будет использовать в целях передачи полномочий кому-то из сотрудников (главному бухгалтеру и т.д.) для подписания электронных документов от имени организации. Предполагается, что впоследствии он станет обязательным для пользователей ряда государственных информационных систем.
Атрибутный сертификат можно отозвать. Когда владельцу сертификата следует это сделать?
Законодательством не установлен перечень случаев, когда возникает такая обязанность. Вместе с тем следует отметить следующее. Атрибутный сертификат, как мы указывали выше, является своего рода доверенностью, подтверждающей предоставление работнику организации (физлицу) тех или иных полномочий. На основании этого можно сделать вывод, что владельцем такого сертификата является не физлицо, полномочия которого им определяются, а организация, от имени которой он выдан. Именно она и должна позаботиться об отзыве сертификата.
Отозвать атрибутный сертификат необходимо в случае увольнения (перевода, изменения должностных обязанностей) работника, которому он был выдан. Срок действия атрибутного сертификата может быть также приостановлен на период пребывания работника в отпуске. На это время активируется атрибутный сертификат работника, который его заменяет.
Для отзыва атрибутного сертификата организация должна обратиться к поставщику услуг (в этой роли выступает, как правило, удостоверяющий или регистрационный центр) с соответствующим заявлением <*>.
На заметку
Одной из обязанностей поставщика услуг является ведение списков отозванных атрибутных сертификатов. Данные списки будут размещаться на сайте РУП «Национальный центр электронных услуг».
Владельцем личного ключа ЭЦП является организация. В каких случаях она может применять ЭЦП?
Когда владельцем личного ключа является организация, ЭЦП применяется <*>:
— в качестве аналога оттиска печати организации.
На заметку
Для носителя, на котором записан личный ключ, используемый в качестве аналога оттиска печати организации, целесообразно в локальном документе определить (как это делается для обычных печатей):
— место хранения;
— порядок применения;
— работника, ответственного за применение.
Разрабатывая данный документ, стоит учитывать степень защиты носителя. Если он не очень надежный, то при смене ответственного работника целесообразно осуществлять и смену личного ключа;
— совместно с ЭЦП, владельцем личного ключа которой является физлицо, при отсутствии атрибутного сертификата. В данном случае ЭЦП организации будет подтверждать полномочия физлица;
— для создания и (или) подписания электронных документов посредством автоматизированных информационных систем (АИС) без участия физлица. Таким способом могут подписываться, например, электронные квитанции, уведомления о доставке писем, счета к оплате и иные документы, которые АИС генерирует автоматически по заранее установленным правилам;
— в иных случаях, предусмотренных законодательством Республики Беларусь.
Физлицо является владельцем личного ключа ЭЦП. В каких случаях оно может использовать ЭЦП от имени организации, в которой работает?
Как уже отмечалось, если владельцем личного ключа ЭЦП является физлицо, его ЭЦП является аналогом его собственноручной подписи <*>. Физлицо при ее помощи может подписывать различные документы. Однако для того чтобы подтвердить полномочия такого физлица действовать от имени организации, необходимо выполнять одно из следующих условий:
— в электронном документе помимо ЭЦП физлица должна быть проставлена ЭЦП организации <*>.
Пример
Бухгалтер является владельцем личного ключа ЭЦП. Он имеет два места работы — основное и по внешнему совместительству. Для подтверждения его полномочий как представителя данных организаций помимо его ЭЦП на документах проставляется ЭЦП организаций;
— полномочия данного физлица (работника) должны быть подтверждены атрибутным сертификатом <*>(ч. 6 ст. 22 Закона об электронном документе).
Пример
В организацию на работу был принят главный бухгалтер. У него имеется личный ключ ЭЦП с еще действующим сертификатом открытого ключа. Чтобы подтвердить полномочия главного бухгалтера действовать от имени данной организации, она получила атрибутный сертификат.
Таким образом, на электронные документы переносится практика ведения традиционного делопроизводства. То есть должностное лицо подписывает документы при помощи своего личного ключа ЭЦП, а организация подтверждает полномочия данного должностного лица при помощи личного ключа ЭЦП организации или атрибутного сертификата.
У ЭЦП появилась новая функция. В чем она заключается?
На практике в организациях распространены сканирование и отправка по электронной почте документов. Ранее правовой статус таких сканов (электронных отображений бумажных документов) не был определен. Теперь при помощи ЭЦП можно удостоверять данные электронные копии документов на бумажном носителе <*>. При этом копия приобретает юридическую силу и может использоваться, например, в переписке государственных органов и других государственных организаций при осуществлении ими функций, возложенных на них нормативными правовыми актами <*>.
Обратите внимание!
Хранение электронных копий документов на бумажном носителе должно осуществляться в том же порядке, что и хранение электронных документов. То есть в соответствии с законодательством данные документы должны формироваться в дела и храниться в течение установленных сроков с учетом их особенностей <*>.
На практике может возникнуть необходимость представить электронный документ на бумажном носителе
(в законодательстве это звучит как форма внешнего представления электронного документа на бумажном носителе).
В данном случае электронный документ распечатывают и удостоверяют в установленном порядке.
Что собой представляет копия электронного документа и как ее удостоверить?
Ранее допускалось только два варианта удостоверения таких копий:
— нотариусом;
— организацией, имеющей соответствующую лицензию (на практике таковой признавалась лицензия, выдаваемая удостоверяющему центру).
Теперь возможности расширены. Бумажную копию сможет удостоверить организация:
создавшая электронный документ, бумажная копия которого подлежит удостоверению;
получившая такой документ от другой организации посредством межведомственных информационных систем.
На заметку
Вместе с тем для регламентации порядка удостоверения копии электронного документа потребуется внести изменения в Положение N 1086.
Обновление сертификата корневого центра сертификации
— PKI Extensions
Обновление от 22.10.2017: обновленных рекомендаций по сценариям использования на основе лучших практик.
Обновление 27.06.2018: добавлено команды
В этой статье я расскажу о продлении сертификата корневого центра сертификации с новой и существующей парой ключей. Сначала мы обсудим продление сертификата CA с существующей парой ключей.
При обновлении сертификата CA с существующей парой ключей ничего важного в сертификате не изменяется.Сертификат будет содержать одинаковый открытый и закрытый ключ. В результате все ранее выданные сертификаты будут привязаны к новому сертификату CA без каких-либо изменений. Вы просто заменяете старый файл CRT в местах загрузки AIA. Кроме того, новое поле CA cert ValidFrom (NotBefore) будет содержать значение, когда была сгенерирована существующая пара ключей CA. Например, старый сертификат CA имеет ValidFrom ( NotBefore ) = 08.10.2000 и ValidTo ( NotAfter ) 08.10.2010. При обновлении сертификата CA с существующей парой ключей новый сертификат будет иметь следующие значения: ValidFrom ( NotBefore ) 08.10.2000 и ValidTo ( NotAfter ) 08.10.2020. Другими словами, это обновление просто увеличивает срок действия текущего сертификата CA. Вдобавок новый сертификат CA представляет одно новое расширение: Хэш сертификата Preious CA , который будет содержать значение расширения Preious Certificate Thumbprint. И меняет другое расширение: CA Version . Давайте посмотрим на расширение CA Version.
Расширение CA Version позволяет строить правильные цепочки в случае, если у конкретного CA более одного сертификата.Это расширение состоит из двух значений: CA Certificate Index и CA Key Index . Эти значения разделены точкой, например: 0,0, 2,1, 3,3 и т. Д. Каждый раз, когда вы обновляете сертификат CA (независимо от существующей или новой пары ключей), индекс сертификата CA увеличивается на 1: 0,0, 1,0, 2,0, и т. д. Поскольку пара ключей остается той же, значение CA Key Index не изменяется. В этом случае ЦС будет поддерживать одни и те же списки отзыва сертификатов, и клиенты смогут объединять ранее (до обновления сертификата ЦС) и недавно (после обновления сертификата ЦС) выпущенные сертификаты до нового сертификата ЦС.Это связано с тем, что все эти клиентские сертификаты были подписаны одним и тем же ключом подписи CA, и оба сертификата CA создают одинаковую подпись для одинаковых данных.
После обновления сертификата ЦС новый сертификат ЦС не заменяет предыдущий сертификат ЦС, а представляет собой другой файл и добавляет индекс сертификата в скобках в имени файла. Например, старый сертификат имеет имя: TestCA.crt , а новый сертификат будет иметь следующее имя: TestCA (1) .crt . Число и скобки контролируются переменной
в настройках местоположения AIA, и число всегда равно значению расширения версии CA сертификата CA Certificate Index (кроме случаев, когда вы устанавливаете новый CA.В этом случае игнорируется).
Как видите, это обновление довольно простое. Однако этот метод не подходит, если имеет место один или несколько из следующих случаев:
- Подпись CA (существующая пара ключей CA) скомпрометирована;
- У вас есть программа, которая требует использования нового ключа подписи с новым сертификатом CA;
- Текущий файл CRL слишком велик, и вы хотите переместить некоторую информацию об отзыве в новый файл CRL.
Выполните следующую команду на сервере CA, чтобы обновить сертификат CA и повторно использовать существующую пару ключей:
certutil -renewCert ReuseKeys
Как мы уже обсуждали, предыдущий сценарий подходит для большинства сценариев. Однако может потребоваться обновить сертификат CA с новой парой ключей. Этот тип продления более сложный. Поскольку создается новая пара ключей, многое в сертификате CA изменяется. Например, новый открытый ключ создаст другой Subject Key Identifier (хэш открытого ключа).Когда CA выдает новый сертификат, он помещает собственный сертификат Subject Key Identifier в расширение выданного сертификата Authority Key Identifier . Фактически это сравнение расширений используется механизмом цепочки сертификатов (CCE). В результате ранее выданные сертификаты будут связаны с предыдущим сертификатом CA, а новые выпущенные сертификаты будут связаны с новым сертификатом CA соответственно. Кроме того, создается новый CRL. Новый CRL будет содержать только те отозванные сертификаты, которые были подписаны с использованием обновленного сертификата CA (или ключа подписи), а новый файл CRL будет содержать суффикс CRL.Например, старый CRL имеет имя TestCA.crl , а новый CRL будет иметь новое имя: TestCA (1) .crl . Этот суффикс CRL управляется переменной
В отличие от значения индекса сертификата CA, индекс ключа CA не всегда увеличивается на 1, а устанавливается равным значению индекса сертификата CA. Например, предыдущий сертификат CA имел расширение версии CA как 2.0 и новое расширение CA сертификата CA Version будет иметь следующее значение: 3.3.
Для решения этой проблемы (когда вы используете новый сертификат корневого ЦС, но он еще не развернут для всех клиентов) ЦС Windows генерирует два перекрестных сертификата. Первый кросс-сертификат подписывается предыдущим ключом подписи ЦС и удостоверяет новый сертификат ЦС. Направление сертификации определяется цифрами в скобках. В нашем случае один кросс-сертификат будет иметь суффикс (0-1) . Вот пример того, как это работает при построении цепочки сертификатов:
1) ПредыдущийCACert
LeafPreviousCertificate
2) ПредыдущийCACert
перекрестный сертификат (0-1)
LeafNewCertificate
Как вы видите в этом примере, с помощью перекрестного сертификата CCE сможет создавать пути сертификации для ранее и вновь (после обновления сертификата CA) выпущенных сертификатов, поэтому оба пути связаны только с предыдущим сертификатом CA (поскольку новый сертификат CA еще не развернут).Чтобы связать оба пути к новому сертификату CA (когда новый сертификат CA развернут и вы готовы удалить старый сертификат CA с клиентов), создается дополнительный перекрестный сертификат. В этом случае новый сертификат CA удостоверяет предыдущий сертификат CA (в обратном направлении). Это направление показано в скобках имени файла: (1-0) . А вот примеры того, как это работает:
3) NewCACert
LeafNewCertificate
4) NewCACert
перекрестный сертификат (1-0)
LeafPreviousCertificate
Как видите, с помощью этих перекрестных сертификатов можно поддерживать только один сертификат корневого ЦС с возможностью построения правильных цепочек для любого сертификата, выданного этим ЦС (до и после обновления сертификата ЦС с новой парой ключей).
Чтобы использовать эти перекрестные сертификаты, вы должны опубликовать их в своем лесу Active Directory, выполнив следующие команды:
certutil –dspublish –fCrossCA certutil –dspublish –f CrossCA
Замените
фактическими именами файлов.
После развертывания нового сертификата ЦС на клиентах (он ДОЛЖЕН быть опубликован в контейнере доверенных корневых центров сертификации на клиентском компьютере) вы можете удалить предыдущий сертификат ЦС с клиентов, если они не требуются для проверки цифровых подписей.
Если вы можете очень быстро развернуть новый сертификат ЦС на всех клиентских компьютерах, вы можете игнорировать эти перекрестные сертификаты или указать серверу ЦС не создавать их, выполнив следующую команду:
certutil -setreg ca \ CRLFlags + CRLF_DISABLE_ROOT_CROSS_CERTS
Выполните следующую команду на сервере CA, чтобы обновить сертификат CA и создать новую пару ключей:
certutil -renewCert
Хотя повторное использование ключей несложно с точки зрения затрат на обслуживание, оно может вызвать непредсказуемые и досадные недостатки в построении цепочки сертификатов, поскольку существующие сертификаты теперь будут создавать две отдельные цепочки: одна цепочка проходит через предыдущий сертификат CA, а вторая — через обновленный сертификат CA.Механизму цепочки сертификатов придется проделать дополнительную работу, чтобы выбрать лучшую цепочку. Различные криптографические библиотеки имеют разные показатели и правила, используемые при выборе лучшей цепочки. Однако эти метрики несовместимы между библиотеками, и поведение может быть действительно непредсказуемым. Кроме того, проблема может быть в одной криптографической библиотеке: KB329433, KB2639180 и KB2831004 являются примерами таких проблем в механизме цепочки сертификатов Microsoft CryptoAPI.
В результате современные передовые практики диктуют, что ключи CA НЕ ДОЛЖНЫ ИСПОЛЬЗОВАТЬСЯ повторно , чтобы избежать потенциальных проблем при выборе неправильной цепочки.Новая пара ключей обеспечивает только один путь сертификации для каждого сертификата, устраняет проблему с несколькими цепочками и гарантирует ожидаемое поведение.
.Инфраструктура открытых ключей
: объяснение
Для начала ответим на вопрос: «Что означает PKI»? PKI расшифровывается как Public Key Infrastructure, использование APKI организацией демонстрирует приверженность безопасности сети и эффективности шифрования с открытым ключом и сетей на основе сертификатов.
Что такое PKI в сетевой безопасности?
Назначение PKI — управлять открытыми ключами, используемыми сетью для шифрования открытого ключа, управления идентификацией, распространения сертификатов, отзыва сертификатов и управления сертификатами.После включения пользователи, которые подают заявку на сертификат, идентифицируются для последующей проверки подлинности или отзыва сертификата.
PKI позволяет пользователям и системам проверять легитимность объектов, владеющих сертификатами, и безопасно обмениваться информацией между ними по беспроводной сети. Внедрение PKI обеспечивает более надежную безопасность на основе сертификатов, а также службы идентификации и инструменты управления для максимального повышения эффективности и безопасности сети.
Содержание
Каковы компоненты PKI?
Компоненты PKI включают:
- открытый ключ
- закрытый ключ
- Центр сертификации
- Магазин сертификатов
- Список отозванных сертификатов
- Аппаратный модуль безопасности
Система с открытым ключом основана на асимметричной криптографии, которая состоит из пары открытого и закрытого ключей.Центр сертификации (CA) удостоверяет право собственности на пары ключей и завершает настройку PKI.
Конечная цель PKI — управление идентификацией и доступом в защищенной сети.
Открытый ключ
Открытый ключ — это криптографический ключ, который может быть распространен среди общественности и не требует безопасного хранения. Сообщения, зашифрованные открытым ключом, могут быть расшифрованы только соответствующим закрытым ключом.
Закрытый ключ
Закрытые ключи используются получателем для расшифровки сообщения, зашифрованного с использованием открытого ключа.Поскольку сообщение зашифровано с использованием данного открытого ключа, его можно расшифровать только с помощью соответствующего закрытого ключа. Это устанавливает право собственности на закрытый и открытый ключи, гарантируя, что сообщение будет прочитано только одобренными сторонами.
Центр сертификации (CA)
CA обычно обрабатывает все аспекты управления сертификатами для PKI, включая этапы управления жизненным циклом сертификата.
CA выдает сертификаты, которые используются для подтверждения того, что субъект, отпечатанный в сертификате, является владельцем открытого ключа.В системе PKI клиент генерирует пару открытого и закрытого ключей. Открытый ключ и информация, которая должна быть отпечатана в сертификате, отправляются в ЦС. Затем CA создает цифровой сертификат, состоящий из открытого ключа пользователя и атрибутов сертификата. Сертификат подписан ЦС своим закрытым ключом.
После распространения сертификата пользователю он может представить подписанный сертификат, а получатель может доверять тому, что он принадлежит клиенту, благодаря соответствующей паре открытого и закрытого ключей.
Корневой центр сертификации
Корневой ЦС — это доверенный ЦС, который имеет право проверять личность человека и подписывает корневой сертификат, который распространяется пользователю. Сертификат считается действительным, поскольку он был проверен и подписан доверенным корневым центром сертификации.
Промежуточный центр сертификации
Промежуточный ЦС также является доверенным ЦС и используется как цепочка между корневым ЦС и сертификатом клиента, на который регистрируется пользователь. Поскольку корневой ЦС подписал промежуточный ЦС и доверяет ему, сертификаты, созданные промежуточным ЦС, считаются доверенными, как если бы они были подписаны корневым ЦС.PKI SecureW2 всегда использует промежуточный ЦС для генерации клиентских сертификатов для аутентификации Wi-Fi, что является наилучшей практикой. Промежуточный ЦС SecureW2 никогда не может быть скомпрометирован, поскольку аппаратный уровень шифрования используется для закрытого ключа промежуточных ЦС.
Список отозванных сертификатов (CRL)
CRL — это список сертификатов, которые были отозваны ЦС, выпустившим их, до истечения срока их действия. Это полезная функция безопасности в случае кражи устройства, содержащего сертификат.Сервер RADIUS отклоняет запрос на соединение от устройства только в том случае, если серийный номер сертификата устройства содержится в CRL. Центр сертификации — это тот, который поддерживает этот список, и сервер RADIUS периодически загружает этот список, отправляя запрос в ЦС. Существует два типа CRL: дельта-CRL и базовый CRL.
Base CRL против Delta CRL
Базовый CRL — это большой файл, содержащий все отозванные сертификаты. Этот файл публикуется и обновляется нечасто.Дельта-CRL — это небольшой файл, содержащий сертификаты, которые были отозваны с момента публикации последнего базового CRL. Обычно базовый CRL обновляется еженедельно, а дельта-CRL обновляется ежедневно. Хотя некоторые организации, заботящиеся о безопасности, предпочитают более частое обновление, поэтому при необходимости вы можете настроить обновление каждые 15 минут. Если вы отзовете сертификат в SecureW2, его серийный номер будет сначала добавлен в Delta CRL, а затем перемещен в базовый CRL.Затем, когда базовый CRL обновляется, список отозванных сертификатов, перечисленных в Delta CRL, добавляется к базовому CRL.
Магазин сертификатов
Хранилище сертификатов используется для хранения сертификатов и потенциально может содержать сертификаты от нескольких центров сертификации. Например, различные сертификаты Windows хранятся в хранилище сертификатов и могут быть просмотрены с помощью оснастки MMC, тогда как в macOS сертификаты хранятся в связке ключей.
Аппаратный модуль безопасности (HSM)
Аппаратный модуль безопасности не является обязательным компонентом PKI, но при его реализации повышается безопасность PKI в целом.Это устройство защищает цифровые ключи и управляет ими, а также служит основой для построения безопасной корпоративной инфраструктуры PKI. HSM способствует управлению полным жизненным циклом криптографических ключей, который включает создание, ротацию, удаление, аудит и поддержку API для интеграции с различными приложениями.
Жизненный цикл сертификата
Жизненный цикл сертификата можно разбить на несколько отдельных этапов.
- Регистрация сертификата — объект отправляет запрос на сертификат в центр сертификации (CA).Сущность может быть человеком, устройством или даже несколькими строками кода.
- Выдача сертификата — ЦС необходимо проверить личность заявителя, что обычно выполняется с помощью учетных данных или путем доверия другому ЦС, который уже подтвердил заявителя.
- Проверка сертификата — каждый раз, когда сертификат используется для аутентификации, сервер RADIUS проверяет с ЦС, что сертификат все еще действителен, срок его действия не истек или он не был отозван.
- Отзыв сертификата — сертификаты содержат дату истечения срока действия, которая указывается при их первом выпуске, обычно на несколько лет.По достижении этой даты ЦС автоматически добавляет этот сертификат в список отзыва сертификатов (CRL), своего рода черный список, который предписывает RADIUS не аутентифицировать эти сертификаты.
- Обновление сертификата — вместо автоматического переключения в CRL некоторые центры сертификации имеют настройки, которые обновляют сертификаты по истечении срока действия, хотя обычно они повторно проверяют личность. В это время вы можете выбрать, создавать или нет новую пару ключей, что фактически делает ее совершенно новым сертификатом.
Доверительный магазин
Хранилище доверенных сертификатов — это список корневых сертификатов (иногда называемых якорями доверия), которые предварительно установлены на устройстве. В его состав входят более сотни крупнейших и пользующихся наибольшим доверием центров сертификации, таких как Digicert, Apple, Microsoft, Symantec, Mozilla, Lets Encrypt и другие.
Он служит нескольким очень важным целям. Во-первых, они подписывают (подтверждают) идентичность устройства для других центров сертификации. Корневые центры сертификации знают открытый ключ устройства и могут подтверждать это третьим лицам.
Во-вторых, они «инокулируют» устройство с помощью доверенных центров сертификации. Без предустановленных сертификатов устройство должно было бы принять сертификат, который изначально не поддавался проверке, и просто «поверить им на слово», и это было бы потенциальным вектором для злоумышленников, чтобы внедрить поддельный сертификат.
Центры сертификации редко подписывают сертификаты напрямую с помощью корневого центра сертификации. Вместо этого они устанавливают один или несколько уровней разделения между собой и клиентом, создавая промежуточные центры сертификации.Промежуточные центры сертификации функционально идентичны, но у них меньше «полномочий», поскольку они несут ответственность за подписание меньшего числа сертификатов. Теоретически они так же заслуживают доверия, но в случае их взлома это ограничивает возможный ущерб.
Цепочка доверия сертификатов
Эта многоуровневая иерархия доверия называется цепочкой сертификатов. Вы можете отследить цепочку от сертификата клиента до единственного корневого ЦС, и каждая цепочка заканчивается лицом (или компанией), от которого в конечном итоге происходит все доверие.
На практике эти цепочки имеют тенденцию связываться с другими цепочками — часто из других центров сертификации. И эти центры сертификации часто предпочитают неявно доверять друг другу, принимая подписанный сертификат от другого центра сертификации, не проверяя его самостоятельно. Это называется федерацией, и, хотя это упрощает задачу, это означает, что хранилище доверенных сертификатов защищено ровно настолько, насколько это уязвимо.
Сертификат может подписывать более одного центра сертификации, что повышает вашу уверенность в его точности, поскольку его подтвердили более одного центра сертификации.Когда сертификат подписывают несколько центров сертификации, это называется перекрестной подписью.
Крестовое подписание
Перекрестное подписание расширяет доверие в вашей сети. Когда сертификат подписывается двумя центрами сертификации, это позволяет сертификату проверять доверие более чем одним центром сертификации без необходимости распространять отдельный сертификат для каждого центра сертификации. Перекрестная подпись по-прежнему эффективна при утечке закрытого ключа одного ЦС, поскольку вы можете отозвать все открытые ключи для этого ЦС, но сертификаты, которые были подписаны перекрестно, могут по-прежнему поддерживать уровень доверия с другим ЦС без необходимость перевыпуска сертификатов для ЦС, который был отозван.
Подробнее о SecureW2
Для чего можно использовать PKI?
PKI имеет множество применений, но то, как ваша организация ее проектирует, во многом зависит от ваших потребностей в безопасности, от того, какого поставщика вы выберете, или от того, решите ли вы создать свою собственную. Наиболее распространенные приложения PKI включают аутентификацию Wi-Fi, аутентификацию веб-приложений, безопасность электронной почты и VPN. Ниже мы продемонстрируем, как каждый из них связан с PKI.
Аутентификация Wi-Fi:
Пользователи с сертификатом, подписанным доверенным центром сертификации, могут подключиться к защищенному SSID и пройти аутентификацию на сервере RADIUS с помощью EAP-TLS.Аутентификация EAP-TLS шифрует данные, передаваемые через нее, и защищает от атак по воздуху. Сертификат отправляется, и RADIUS подтверждает их личность, устанавливая доверие, которое обеспечивает безопасный доступ к сети.
Аутентификация веб-приложений:
Подобно аутентификации Wi-Fi, пользователь, подключающийся к веб-приложению, будет подтверждать свою личность сервером веб-приложений. Поскольку сертификат подписан доверенным центром сертификации, они могут получить доступ к приложению.
Проверка подлинности VPN:
Сертификаты
могут использоваться для аутентификации пользователей для доступа к VPN. Поскольку VPN могут предоставлять доступ к важной информации, сертификаты являются более предпочтительным методом аутентификации, чем пароли. Обычно корневой / промежуточный ЦС хранится на брандмауэре, и после аутентификации пользователя создается безопасный туннель для доступа к сети, к которой пользователь пытается получить доступ.
Защита электронной почты:
Для шифрования электронной почты с помощью сертификатов используется протокол S / MIME (безопасные / многоцелевые расширения почты Интернета).И получатель, и отправитель должны иметь сертификат, подписанный ЦС, чтобы установить доверительные отношения между пользователями. S / MIME обеспечивает криптографическую безопасность, необходимую для гарантии происхождения сообщения с цифровой подписью из сертификата, шифрования сообщения и аутентификации сертификата получателя для расшифровки сообщения. Если вы хотите узнать больше о том, как этот протокол защищает целостность внутренней связи, узнайте больше здесь.
Что такое шифрование PKI?
Асимметричный против симметричного:
Симметричное шифрование включает использование одного закрытого криптографического ключа для шифрования и дешифрования информации.Это один из старейших методов шифрования, поэтому он самый известный. Хотя использование одного ключа ускоряет процесс, ему не хватает безопасности, потому что для этого требуется, чтобы стороны обменивались ключом, что повышает риск для безопасности.
Асимметричное шифрование было разработано как более сложное и безопасное, чем симметричное шифрование. В этом процессе используются два ключа, открытый и закрытый, которые связаны математически. Один ключ шифрует, а другой расшифровывает. Владелец ключа сделает один ключ открытым для сети (общедоступным), а другой будет защищать (закрытым).Если кто-то хочет отправить сообщение владельцу ключа, он может зашифровать сообщение с помощью открытого ключа владельца, зная, что только связанный закрытый ключ сможет расшифровать сообщение.
Каковы некоторые алгоритмы PKI?
AES 256 Сертификат:
Сертификат AES 256 — это алгоритм и текущий стандарт шифрования. Предыдущим стандартом был AES 128. AES 256 отслеживает уязвимости, и когда шифрование было взломано, будет реализован более высокий стандарт шифрования.Чем выше стандартное шифрование, тем лучше загадочна пара открытого / закрытого ключей. Сертификат AES 256 — это длинный ключ, который делает практически невозможными атаки методом грубой силы со стороны потенциальных похитителей учетных данных.
Диффи Хеллман:
Diffie Hellman, также известный как экспоненциальный обмен ключами, представляет собой метод шифрования, который использует числа, возведенные в определенные степени, которые создают ключи дешифрования на основе компонентов, которые никогда не передаются напрямую, что делает его непреодолимым для потенциальных угроз проникновения.Алгоритм создает математически сложное шифрование, которое совместно используется двумя сторонами по секретной связи через общедоступную сеть, чтобы они могли разрешить обмен частным ключом шифрования.
Обмен ключами RSA:
RSA, названный в честь его изобретателей Рона Ривеста, Ади Шамира и Леонарда Олдемана, очень похож на алгоритм Диффи Хеллмана и множит большие целые числа, которые являются произведением двух больших простых чисел. Обмен ключами RSA использует открытые и закрытые ключи, в то время как открытый ключ может быть передан всем, закрытый ключ должен храниться в секрете.Однако в криптографии RSA для шифрования сообщения можно использовать открытый или закрытый ключ, а другой — для дешифрования.
RSA против Диффи Хеллмана:
Хотя оба алгоритма превышают рекомендованную длину ключа для систем шифрования (оба алгоритма используют 1024-битные ключи, в то время как текущий стандарт — 256), алгоритм Деффи Хеллмана уязвим для печально известной атаки MITM, поскольку он не аутентифицирует ни одну из сторон обмена. Вот почему Деффи Хеллман лучше всего использовать в сочетании с другим методом аутентификации, обычно с цифровыми подписями.
У
RSA также есть свои подводные камни, хотя RSA можно использовать для подписи цифровых подписей, даже длина ключа 2048 бит была уязвима для атак «злоумышленник в браузере» (MITB). Эта атака очень похожа на атаку MITM, однако она реализует троянский конь для перехвата и манипулирования вызовами между исполняемым файлом (браузером) и его мерами безопасности или библиотеками на лету.
DSA:
DSA, или алгоритм цифровой подписи, используется для создания цифровых подписей. DSA был создан в 1991 году Национальным институтом стандартов и технологий и является стандартом для государственных учреждений.
Ошибка алгоритма DSA заключается в том, что он может выполнять только цифровые подписи, а не шифрование с открытым ключом. Однако преимущество заключается в скорости алгоритмов создания цифровой подписи.
Что такое TLS Cipher Suite?
TLS Ciphersuites — это набор протоколов TLS, таких как TLS 1.0, 1.2, 1.3 и т. Д., И приложение, которое поддерживает все протоколы TLS. До того, как появился TLS, протоколом перехода был SSL. Некоторые оболочки поддерживают только определенные версии TLS, тогда как оболочка SecureW2 поддерживает любую версию TLS при подключении устройства пользователя.Однако, как и в большинстве случаев, поддержка TLS 1.0 была прекращена из-за растущих уязвимостей.
Использует ли SSL Inspection P
.