Как создать КЭП для Аутентификация с использованием OpenID Connect 1.0?

Question

[Aleksandr Yurchenko]

Добрый день.

Пытаюсь реализовать интеграцию ЕСИА через OpenID Connect, читаю "Методические рекомендации по использованию Единой ...(Версия 2.87)". Раздел 3 АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ ЧЕРЕЗ
ЕСИА", подраздел "Аутентификация с использованием OpenID Connect 1.0".

Шаг 1-2 (Регистрация ИС) - выполнен, застрял на пункте 3 (Доработать систему), цитирую 1 подпункт:

Выпустить ключевой контейнер и сертификат ключа квалифицированной электронной
подписи для подключаемой ИС (должен содержать ОГРН ЮЛ, являющегося оператором
ИС). 

Сертификат требуется для идентификации ИС при взаимодействии с ЕСИА. ЕСИА
использует сертификаты в формате X.509 и взаимодействует с алгоритмами
формирования электронной подписи ГОСТ Р 34.10-2012 и
криптографического
хэширования ГОСТ Р 34.11-2012.

Каким образом мне можно выпустить КЭП (квалифицированной электронной
подписи), для того что бы в дальнейшем указать его в заявке.

Опыта интеграции с ЕСИА не было, а изучение очень сильно затянулось, что не регламент/методичка - обязательно 50-200стр. Может кто-то уже занимался интеграцией и может на пальцах объяснить, буду очень признателен.

Answer 1

[Антон Иванов]

Подразумевается, что вы должны обратиться в любой УЦ (удостоверяющий центр) в вашем регионе, чтобы приобрести за деньги КЭП.

Comments

[Aleksandr Yurchenko]

то есть самостоятельно такой сертификат не выпустить? В бесконечных гуглениях я натыкался на различные темы, гле люди отписывались - что самостоятельно генерируют данный сертификат, пример темы.

Сразу оговорю, что я понимаю разницу КЭП и ЭЦП.
* КЭП - выдается и как понял самостоятельно создать нельзя.
* ЭЦП - можно создать самостоятельно.

И я предположил, что если присутствуют подобные темы, где четко говорится - что самостоятельно это возможно сделать - может госуслуги дружат просто с ЭЦП?

Именно по этой причине я создал темы, так как до конца не пониманию - нужно исключительно КЭП или сойдет ЭЦП. Когда ты читаешь регламенты/методички и потом смотришь, как люди реализовывали - эту интеграцию, голова кругом(

P.S. также регистрируюсь я не как ФЗ, а ЮЛ., но смысл в данном вопросе это особо не меняет - тут вопрос в создание сертификата.

[Василий Банников]

Aleksandr Yurchenko, неквалифицированная ЭЦП - это когда пользователь получает смс с кодом :)

[Aleksandr Yurchenko]

Василий Банников, не согласен с вашим утверждением. ЭЦП - выдается после регистрации на госуслугах и никаким смс оно не приходит

[Василий Банников]

Aleksandr Yurchenko, вот смысл простой ЭЦП и процесс её выдачи - это как раз и есть отправка смс кодов на телефон :)
По крайней мере везде под этим термином подразумевается именно это

[Василий Банников]

Aleksandr Yurchenko,

Простая электронная подпись — это комбинация из логина и пароля. Она подтверждает, что электронное сообщение отправлено конкретным лицом. Сообщение с простой электронной подписью может быть приравнено к бумажному документу, подписанному собственноручно, только по предварительной договоренности сторон и в специально предусмотренных законом случаях.

Усиленная неквалифицированная электронная подпись защищена больше, чем простая — это две уникальные последовательности символов, которые однозначно связаны между собой: ключ электронной подписи и ключ проверки электронной подписи. Для формирования этой связки используются средства криптографической защиты информации. Этот вид подписи не только идентифицирует отправителя, но и подтверждает, что с момента подписания документ не менялся. Однако она тоже не аналог собственноручной подписи (только по предварительной договоренности сторон и в специально предусмотренных законом случаях).

Усиленная квалифицированная электронная подпись подтверждается сертификатом от аккредитованного удостоверяющего центра и приравнивается к бумажному документу с собственноручной подписью (кроме случая, если ФЗ или принимаемыми в соответствии с ними НПА установлено требование о необходимости составления документа исключительно на бумажном носителе). Сертификат выдается на USB-носителе.

duma.gov.ru/news/52004
(ошибся. СМСки - это усиленная)

[Aleksandr Yurchenko]

Окончательно запутался, с одной стороны по методичке:

Выпустить ключевой контейнер и сертификат ключа квалифицированной электронной
подписи для подключаемой ИС (должен содержать ОГРН ЮЛ, являющегося оператором
ИС).

То есть нужен конкретно КЭП и этот КЭП нужно трясти с клиента (самостоятельно его не создать). С другой стороны для интеграции ЕСИА я недавно наткнулся на тему где закрытый ключ и сертификат генерировали по средствам openssl...

Вы не сталкивались с интеграцией ЕСИА? закрытый ключ и сертификат через openssl я могу создать сам, но подойдет ли (точнее одобрят ли отправленную заявку на подключение) или надо трясти с клиента КЭП.

Неожидал таких трудностей с ЕСИА(((

[Иван Шумов]

Aleksandr Yurchenko, OpenSSL это просто инструмент, либа) чтобы получить куда либо доступ - надо чтобы владелец ресурса передал вам набор данных для аутентификации. Людей с улицы никуда никто пускать не будет по тому что с тем же успехом можно вообще сделать публичный доступ и раздаивать всем государственные деньги по социалистическим заветам

[Aleksandr Yurchenko]

Иван Шумов, но ведь сгенерированый сертификат можно добавить в "Технологический портал" (https://digital.gov.ru/uploaded/presentations/ruko...) и тогда это будет не рандомный сертификат, он будет привязан к учетной записи.

Но в методички написано, что требуется КЭП, с другой стороны есть тема где говорится, что можно сгенерировать самостоятельно. Я вот в чем запутался((

P.S. в конкретном случае, всю техническую часть должны выполнить мы. Просто получение сертификата "висит" посередине между "Организационным этапом" и "Техническим".

Answer 2

[Евгений]

Не совсем понятно какая КЭП требуется от сертифицированного УЦ или тестовая, тестовую можно сгенерить тут testgost2012.cryptopro.ru/certsrv знаю что ее используют для тестирования взаимодействия с той же налоговой, в противном случае без вариантов только получать в УЦ за деньги

Comments

[Aleksandr Yurchenko]

>> Не совсем понятно какая КЭП требуется от сертифицированного УЦ.

Из методички и и гайду по технологическому порталу - нифига не понятно и это мягко сказано. Но вроде бы для реализации ЕСИА через госуслуги достаточно создать сертификат, за одним важным исключением:

перечень стандартов GOST3410EL, GOST3410_2012_256, GOST3410_2012_512, GOST3410 для сертификата.

Сегодня по гайду добавил либу "шифрования по ГОСТ Р 34.10-2012" (https://jakondo.ru/kak-dobavit-podderzhku-shifrova...), сертификат создал - алгоритму шифрования соответствует.

Отправили заявку, посмотрим что ответят.

[Евгений]

Aleksandr Yurchenko, Могу только вам посочувствовать и пожелать успехов, сам ковыряюсь с площадками гос. закупок и тоже вовсю воюю с КЭП, у них у всех черт ногу сломит в документации, терминологии, если она вообще есть эта документация. А тех поддержка этих площадок, этом вообще ммм....

[Aleksandr Yurchenko]

Евгений, Спасибо! =)

за последние дни я это понял и понял, что в следующий раз 100 раз подумаю взяться ли за интеграцию есиа. Такое ощущение, что все свои манускрипты они пишут для кого угодно, но не для тех кто будет заниматься интеграцией.