Как получить TLS сертификат через Госуслуги

В настоящей статье я расскажу о TLS сертификате и о порядке его получения в Российском удостоверяющем центре (центре сертификации Минцифры России).

Что такое TLS сертификат?

TLS сертификат это сертификат безопасности для организации защищенного TLS-соединения, например, между сайтом (сервером сайта) и вашим Интернет-браузером, или между почтовым сервером и вашей почтовой программой, и т.п.

До последнего времени TLS сертификаты продавали нам заграничные центры сертификации (RapidSSL, GeoTrust, Thawne, Comodo и пр.), отечественных центров с этим видом деятельности небыло. Сейчас, видимо, будет.

В сложившейся непростой "санкционной" ситуации в сфере информационных технологий и информационной безопасности владельцы публичных сервисов вынуждены искать альтернативные решения для обеспечения безопасности. В начале марта 2022 года иностранные центры сертификации отказались продавать TLS сертификаты для российских сервисов.

Как сейчас получить TLS сертификат в России?

Поскольку основные иностранные игроки рынка поставили Россию в стоп-лист и не выдают TLS сертификаты для доменов в зоне RU, приходится искать альтернативу. Мы сами попали в ситуацию, когда необходимо было заменить TLS сертификаты, заканчивающиеся 12 марта 2022 года, и это оказалось непросто. С горем пополам, не избежав простоя, мы получили сертификаты от GlobalSign (заказывал в reg.ru за 1599 р.).

4 марта 2022 года Минцифры России опубликовала новость о том, что запускает отечественный центр сертификации для выдачи TLS сертификатов.

Достаточно быстро на портале Госуслуг появилась услуга "Получение электронного сертификата безопасности". Услуга предоставляется бесплатно.

Однако... Нормативных документов о порядке получения и функционировании такого центра сертификации еще нет (надеемся, что скоро появятся).

Для нормального функционирования просто "получить" такой бесплатный сертификат недостаточно. Поскольку корневой сертификат центра сертификации Минцифры не прописан в операционных системах и браузерах, то на стороне клиента однозначно будут возникать проблемы с доступом к ресурсам с новыми сертификатами. Проблема решаема, об этом будет написано ниже.

Заказываем сертификат безопасности TLS на Госуслугах

Процесс заказа сертификата безопасности я прошел сам, в нем нет ничего сложного, сейчас опишу процесс, но прежде вводные.

Процесс оформления заказа уж слишком мудреный и с нотками "отечественной цифровизации". Можно было сделать попроще. Надеюсь что упростят!

Для получения сертификата безопасности TLS вам потребуется доступ в Госуслуги от имени руководителя организации и организация должна быть зарегистрирована в Госуслугах!

Кроме доступа в Госуслуги от лица руководителя потребуется неоднократно применить усиленную квалифицированную электронную подпись (УКЭП). Причем использовать ее придется вне портала Госуслуг (придется использовать отдельное программное обеспечение, увидите ниже).

Для оформления заявки на сертификат безопасности TLS необходимо перейти по кнопке "Получить сертификат" со страницы услуги.

Страница услуги "Получения электронного сертификата безопасности" на Госуслугах

Краткое описание услуги и сроки изготовления

Описание услуги получения сертификата TLS

Переходим к составлению заявления по соответствующей кнопке и подтверждаем данные организации!

Подтверждаем данные организации при подаче заявки

На одном из следующих шагов вам потребуется указать контактные данные сотрудника, ответственного за информационную безопасность. Необходимо указать реальные данные реального человека, кто сможет вменяемо ответить по телефону и вступить в переписку с представителем Минцифры России! Да, вам позвонят! И напишут письмо! Об этом ниже.

укажите контакты лица, ответственного за обеспечение информационной безопасности

На следующем шаге потребуется загрузить два файла:

1. Запрос на изготовление сертификата в формате pkcs10 или csr.

2. файл, содержащий электронную подпись запроса.

Загружаем файл запроса и файл подписи этого запроса

С созданием запроса на выдачу TLS сертификата (файла pkcs10 или csr) технический специалист справится без труда, поэтому этот процесс я описывать не буду. Грузим в форму ваш запрос на сертификат.

Второй файл в этом наборе это открепленная подпись вашего запроса на сертификат, выполненная усиленной квалифицированной электронной подписью (УКЭП). Для этих целей подойдет любая УКЭП, выданная на руководителя вашей организации. С 1 января 2022 года коммерческие организации и предприниматели могут получить УКЭП бесплатно в ФНС России.

Для создания открепленной подписи можно использовать подручные средства:

1. штатные средства криптопровайдера КриптоПРО CSP (почитать можно тут)
2. скачать, установить и воспользоваться бесплатной подписалкой от Такскома - Криптолайн (скачать и почитать инструкцию тут);
3. использовать онлайн подписалку от СКБ Контур (тут даже инструкция не нужна);
4. есть куча вариантов, этих трёх в рамках статьи достаточно :))

Если нужна более подробная статья про подписание документов - подпишитесь, скоро будет!

Грузим наши файлы на форму и двигаемся дальше.

Почти закончили. Осталось немного! Скачиваем и подписываем заявление.

На следующем шаге сайт сформировал нам заявление на получение электронного сертификата. Его необходимо скачать и также подписать УКЭП, как и запрос на сертификат. Оба файла (PDF и открепленную подпись) загружаем на форму и отправляем заявление.

Загружаем готовое заявление и отправляем

Заявление отправлено! Ожидаем рассмотрения заявления.

Заявление отправлено. Ожидаем рассмотрения заявления.

После отправки заявления я был искренне уверен что через 5 дней мы получим сертификат. А нет!

Что делать после отправки заявления на получение сертификата?

На следующий день вечером мне поступил звонок из Минцифры. Гражданин вежливо уточнил о запросе на сертификат, в курсе ли я происходящего. После этого на адрес контактного лица было направлено письмо с дальнейшими инструкциями.

Текст письма я прикладывать не буду, т.к. этот текст скорее всего со временем поменяется, но если вкратце о сути письма:

Необходимо подтвердить право на владение доменом. Для подтверждения домена необходимо выполнить ряд "технических" обрядов (несложных), с которыми технический специалист средних компетенций справится без труда.

Кроме "технического" подтверждения домена также запросили предоставить электронный документ, подписанный квалифицированной электронной подписью о подтверждении администрирования доменного имени. Эту "справку" я получил у своего регистратора, ее получить не сложно.

Справка о принадлежности домена, выданная регистратором.

Скачиваем "справку" в личном кабинете регистратора, подписываем ее УКЭП (как и ранее подписывали файлы) и направляем согласно присланной инструкции.

Теперь осталось ждать выпуска сертификата.

Есть что добавить...

Думаю, что получив новые сертификаты безопасности, я не буду торопиться с их установкой.

Корневой сертификат Минцифры присутствует далеко не во всех системах пользователей. Для тех, у кого не установлен корневой сертификат будут использовать трудности при доступе на наш сайт (чего не хочется, сами понимаете).

Ошибка недоверенного сертификата

Эта "проблема" со временем решится. В настоящее время корневые сертификаты Минцифры уже встроены в решения отечественных разработчиков - браузерах Яндекс и Атом. Но количество пользователей этих современных браузеров, к сожалению, не подавляющее большинство.

Проблема может решиться установкой корневого сертификата Минцифры. Скачать этот корневой можно тут. Рядовой пользователь этим точно не будет заниматься, поэтому на распространение корневого сертификата будет потрачено очень много времени и других ресурсов.

С учетом уровня организации процесса получения сертификата класс сертификата должен быть не ниже чем OV (Organization Validation). Будет ли он сиять в адресной строке браузера - посмотрим.