Как получить TLS-сертификат безопасности на портале “Госуслуги”
Димитрий Зуйков
6 июля 2022Современные сайты используют протокол HTTPS для предоставления безопасного доступа. Это обеспечивает шифрование чувствительной к потере или передаче сторонним лицам информации: паролей, данных банковских карт и т.д. HTTPS в свою очередь использует протокол TLS (развитие SSL) для процессов аутентификации и подтверждения целостности данных. При этом на стороне защищённого ресурса должен быть установлен TLS-сертификат, выпущенный авторизованным центром сертификации, например, Let’s Encrypt.
Зачем нужен сертификат для TrueConf Server?
Для полноценной работы с видеосвязью TrueConf необходимо настроить HTTPS на стороне TrueConf Server, чтобы пользователи имели доступ к показу презентаций, планировщику, расширенному управлению конференцией, а также могли участвовать в мероприятиях с браузера (по WebRTC).
Однако бывают ситуации, когда срок действия сертификата закончился и продлить его нет возможности, или его отозвал выдавший зарубежный центр. В этом случае вы можете бесплатно заказать отечественный сертификат на государственном портале “Госуслуги”. После обращения в течение 5 дней запрос будет рассмотрен и вы получите сертификат от одного из национальных удостоверяющих центров (НУЦ). Для этого требуется выполнение следующих требований:
- вы должны быть юридическим лицом;
- запрос требуется подписать усиленной электронной квалифицированной подписью (например такой, которая применяется для отправки отчётов в налоговую).
Поддержка со стороны браузеров
Чтобы посетитель сайта мог работать с ним по защищённому протоколу, должна быть поддержка со стороны используемого браузера. По состоянию на июнь 2022 года сертификаты от “Госуслуг” поддерживают Яндекс.Браузер и Atom. При этом признан неполный авторитет сертификатов НУЦ. Это значит, что каждый защищаемый домен должен быть внесён в публичный список, доступный на портале “Госуслуги”:
Рассмотрим получение TLS-сертификата и установку его на TrueConf Server более подробно.
Шаг 1. Подтвердите факт владения доменом
Для завершения процесса вам понадобится доказать, что вы являетесь владельцем указанного в ней DNS-адреса. Поэтому лучше всего заранее перед формированием заявки запросите у вашего регистратора доменных имён справку о принадлежности домена. Она вам понадобится на 6 шаге.
Шаг 2. Установите необходимое ПО
Для генерации ключей
Вам потребуется утилита для генерации RSA-ключей, которые будут использоваться порталом для создания сертификата. Мы рекомендуем бесплатную OpenSource-утилиту OpenSSL.
Для установки на ОС Windows вы можете использовать один из инсталляторов с официальной страницы проекта.
На ОС семейства Linux эта утилита уже может быть предустановлена. Проверить это можно с помощью команды для вывода версии пакета:
|
1 |
openssl version -a |
Если же утилита отсутствует, то её можно установить из репозиториев. Например, на Debian или Astra Linux достаточно с правами суперпользователя выполнить команду:
|
1 |
apt install -y openssl |
Для работы с утилитой на Windows запустите “Win64 OpenSSL Command Prompt”, а на Linux достаточно выполнить в терминале указанную далее команду.
Для подписи заявки
Чтобы подписать заявку, вам понадобится соответствующая программа. Например, КриптоПро CSP. Установите её и убедитесь, что выполнены все необходимые настройки: у вас в системе установлен корневой сертификат удостоверяющего центра, есть USB-носитель с вашим ключом или файл вашего личного сертификата.
Шаг 3. Сгенерируйте ключевую пару
Сгенерируйте с помощью OpenSSL приватный RSA-ключ и на его основе – файл зашифрованного запроса на выпуск сертификата.
Для этого выполните в терминале команду вида:
|
1 |
openssl req -new -subj "/C=RU/L=[city]/O=[company-name]/CN=[site-url]" -out [request-name] -newkey rsa:2048 -keyout [key-name] -nodes |
где:
[city]– город регистрации вашей компании (латиницей), например, Moscow;[company-name]– полное название компании, например, ООО Мега-Компания;[site-url]– URL защищаемого ресурса, в нашем случае это внешний адрес TrueConf Server, например, mycompany.ru;[request-name]– путь для сохранения файла запроса .csr, например,D:\\cert\mycompany.csrна Windows или./cert/mycompany.csrна Linux. Каталогcertдолжен быть предварительно создан;[key-name]– путь для сохранения файла приватного ключа .key, например,D:\\cert\mycompany.keyна Windows или./cert/mycompany.keyна Linux.
Если нужно указать какие-либо дополнительные параметры, можно использовать ключ -addext “[parameter]:[values]” (по одному для каждого параметра, подробнее в документации). Например, чтобы с помощью параметра DNS указать дополнительные DNS-адреса auth.mycompany.ru и mail.mycompany.ru, для которых будет использоваться сертификат, просто добавьте к команде выше:
-addext "subjectAltName = DNS:video.mycompany.ru,DNS:mail.mycompany.ru"
Вы можете указать файл дополнительных настроек с помощью ключа -config [config-file]. Подробнее: пример файла, официальная документация OpenSSL.
Пример итоговой команды для Windows:
|
1 |
openssl req -new -subj "/C=RU/L=Moscow/O=ООО Мега-Компания/CN=mycompany.ru" -out e:\\mycompany.csr -newkey rsa:2048 -addext "subjectAltName = DNS:video.mycompany.ru,DNS:mail.mycompany.ru" -keyout e:\\mycompany.key -nodes |
Пример итоговой команды для Linux:
|
1 |
openssl req -new -subj "/C=RU/L=Moscow/O=ООО Мега-Компания/CN=mycompany.ru" -out ./cert/mycompany.csr -newkey rsa:2048 -addext "subjectAltName = DNS:video.mycompany.ru,DNS:mail.mycompany.ru" -keyout ./cert/mycompany.key -nodes |
Шаг 4. Подпишите файл запроса
Подпишите полученный csr-файл запроса с помощью установленного криптопровайдера. Например, при использовании КриптоПро CSP:
- Перейдите в меню Пуск → Инструменты КриптоПро → Создание подписи.
- В открывшемся окне с помощью кнопки Выбрать файл для подписи укажите полученный ранее csr-файл.
- Нажмите Подписать. В каталоге с файлом запроса появится новый файл с расширением .sig. Если расширение окажется другое, то нажмите кнопку Сохранить подпись как… и укажите .sig.
Шаг 5. Оформите заявку на портале “Госуслуги”
- Перейдите на страницу оформления запроса на портале “Госуслуги” по адресу https://www.gosuslugi.ru/tls.
- Нажмите кнопку Получить сертификат и авторизуйтесь под учётной записью своего юридического лица.
- Откроется страница с вводным текстом, нажмите кнопку Начать.
- Ознакомьтесь с условиями и нажмите кнопку Перейти к заявлению.
- Проверьте информацию о вашей компании и нажмите Продолжить.
- Убедитесь, что указан верный адрес электронной почты и при необходимости измените его с помощью кнопки Редактировать, после чего нажмите Верно.
- Укажите контактные данные администратора вашего TrueConf Server или другого сотрудника компании, который сможет подтвердить заявку. Нажмите Продолжить.
- На странице загрузки документов выберите файл запроса .csr и его подписанную версию .sig. Нажмите Далее.
- Откроется страница с итоговым заявлением. Его требуется скачать и подписать с помощью криптопровайдера, как было показано ранее в шаге 3.
- Отправьте полученный подписанный файл заявления.
Шаг 6. Подтверждение заявки
В течение 5 дней после отправки запроса с вами свяжется представитель портала для уточнения данных и подтверждения владения указанным доменом. В этом вам поможет справка о принадлежности домена, полученная на 1 шаге. Подпишите её вашей электронной подписью как показано в шаге 3, и отправьте для подтверждения.
Шаг 7. Установка сертификата на стороне TrueConf Server
После получения файла сертификата установите его на стороне вашего TrueConf Server. В этом вам поможет наша детальная инструкция.
