Настройка модуля интеграции с УЦ Контур

Выпуск сертификата выполняется с использованием методов API модуля. Описание API модуля приведено в разделе руководстве разработчика модуля: "Разработка компонентов модуля".

Модуль использует API УЦ Контур и требует получить доступ к Crypto API УЦ Контур.

  1. Инструкция по получению доступа к Crypto API приведена на сайте УЦ Контур.

  2. Обратите внимание, что работа в продуктовой среде осуществляется по HTTPS-соединению и потребует настроить защищенный канал связи, использующий ГОСТ-криптографию. Подробности приведены по ссылке: настройка ГОСТ-TLS.

  3. Для подачи заявления в ОС Windows используется приложение PkiTools (см. инструкцию из шага выше). При настройке ГОСТ-криптографии через приложение откажитесь от установки пароля:

    В окне установки пароля для контейнера не задавайте пароль, оставьте поле Новый пароль пустым.
    Пароль для контейнера
    Рисунок 1. Пароль для контейнера

  4. На финальном шаге настройки по инструкции настройка ГОСТ-TLS в приложении на сервере будет создан файл запроса и контейнер закрытого ключа. Этот файл запроса и заявление нужно отправить в УЦ Контур по адресу, указанному на странице "Получение доступа к Crypto API".

  5. Полученный от КриптоПро сертификат нужно установить в контейнер закрытого ключа по инструкции Установка личного сертификата через КриптоПро CSP.

  6. Убедитесь, что у пользователя, для которого будет выпускаться сертификат, в карточке сотрудника указано ФИО и заполнен номер телефона в поле “Рабочий телефон”. На этот номер позже будут приходить СМС уведомления при подписании.

  7. Укажите значение следующих настроек в Конструкторе справочников:

    Заполненные настройки в конструкторе справочников
    Рисунок 2. Заполненные настройки в конструкторе справочников
    CryptoApiConnectionAddress "https://cloudtest.kontur-ca.ru/v3/" (1)
CryptoAuthenticationCertificateThumbprint "certificate-thumbprint" (2)
KcrApiConnectionAddress "https://api.kontur.ru/kcr/" (3)
KcrApiKey "api-key" (4)
RestClientMaxTimeout "60000" (5)
    1 CryptoApiConnectionAddress — точка подключения к КриптоПро.
    2 CryptoAuthenticationCertificateThumbprint — отпечаток сертификата, переданного контуром по заявке.
    3 KcrApiConnectionAddress — точка подключения к API УЦ Контур.
    4 KcrApiKey — API-ключ УЦ Контур.
    5 RestClientMaxTimeout — интервал времени (в миллисекундах), в течение которого будет ожидаться ответ от УЦ Контур. Значение по умолчанию 60 секунд.
    Отпечаток сертификата
    Рисунок 3. Отпечаток сертификата

  8. Подайте заявку на сертификат с использованием "API модуля".

    Поиск сертификата, полученного от УЦ Контур по заявке, будет выполняться в хранилище УЗ, от которой работает Web-клиент. Если Web-клиент работает от УЗ ROOT, сертификат должен быть установлен в хранилище этой УЗ. Аналогичные правила действуют при подписании с использованием сертификата УЦ Контур.

  9. Убедитесь, что в справочнике сотрудников в карточке сотрудника указан полученный сертификат.

Настройка типов подписи

По умолчанию при использовании облачного сертификата Контур УЦ формируется подпись вида CAdES-T. Поведение по умолчанию было изменено в версии 6.1.

Если требуется формировать подписи типа CAdES-BES, в Конструкторе справочников, в узел Настройки модуля интеграции с УЦ Контур, необходимо добавить строку с именем SignType и описанием 0. CAdES-T можно вернуть, если удалить строку или проставить в описании 2.

Запрос на сертификат Unix

При необходимости можно использовать cryptcp для создания запроса на сертификат. В запросе необходимо использовать только поля, требуемые в заявлении. Поля INN и OGRN необходимо указывать в виде цифровых идентификаторов OID.1.2.643.3.131.1.1 и OID.1.2.643.100.1 соответственно.

Пример генерации запроса для сертификата:

cryptcp -creatrqst request.csr -provtype 80 -cont "\\\\.\HDIMAGE\TestReq" -certusage "1.3.6.1.5.5.7.3.2" -dn "CN=АО ПФ СКБ Контур, O=АО ПФ СКБ Контур, OID.1.2.643.3.131.1.1=006663003127, OID.1.2.643.100.1=1026605606620, C=RU, S=66 Свердловская область, L=Екатеринбург, STREET=ул Народной воли стр 19А, E=fake@mail.ru" -ex -ku 11