Пин RSA и пин ГОСТ для формирования сертификата

Пин-код ЕГАИС используется в RSA и ГОСТ-ключе. Первый необходим для взаимодействия пользователя с участниками в системе, второй — для установления защищённого соединения с сервером.

В статье подробно расскажем, как получить пин-код ГОСТ и RSA, какие ошибки могут возникать у пользователя и как их исправить.

Введение

Для работы на портале Росалкогольрегулирования подходят не все электронные подписи. С ЕГАИС взаимодействуют модели токенов, сертифицированные ФСБ или ФСТЭК России. Например, Рутокен ЭЦП 2.0 или JaCarta SE PKI/ГОСТ. В память таких устройств уже встроена система криптографической защиты информации (СКЗИ), её не нужно устанавливать дополнительно.

Ключ ГОСТ пользователь получает в удостоверяющем центре при выдаче подписи. Его нужно вводить при входе на сайт ЕГАИС. Ключ-RSA генерируется непосредственно в самой системе и записывается на токен. Важно использовать браузер Internet Explorer версии 9.0 или выше.

Рассмотрим, как зайти в личный кабинет ЕГАИС и сгенерировать RSA-ключ на примере Рутокен ЭЦП 2.0/3.0.

Вход в личный кабинет ЕГАИС

Чтобы войти в личный кабинет ЕГАИС, необходимо:

1. Вставить токен в компьютер.
2. Перейти по адресу: http://egais.ru/ и нажать «Войти в личный кабинет».



3. Нажать «Ознакомиться с условиями и проверить их выполнение».



4. Нажать «Начать проверку».



5. Если каждый пункт отмечен зелёным, значит, проверка прошла успешно. Нужно нажать «Перейти в Личный кабинет».



6. Ввести пин-код аппаратного ключа. У Рутокен ЭЦП 2.0/3.0 пин-код по умолчанию: 12345678.
7. Нажать «Показать сертификаты».



8. Выбрать для входа сертификат ГОСТ.

Ошибки при входе в личный кабинет ЕГАИС

При входе в личный кабинет ЕГАИС могут встречаться две основные ошибки. Они возникают на этапе проверки электронной подписи на соответствие.

«Не установлен программный компонент для работы с электронной подписью с использованием Web-браузера Internet Explorer (Фсрар-Крипто 3)»

Требуется скачать и установить компонент «ФСРАР-Крипто».

Перед установкой программы необходимо закрыть все окна браузера. После установки нужно снова зайти на сайт ЕГАИС и пройти повторную проверку подписи на соответствие. При сохранении ошибки пользователю необходимо:

1. Проверить подключение токена к компьютеру и корректную установку «ФСРАР-Крипто».
2. Использовать Microsoft Edge вместо Internet Explorer.
3. Удалить уже имеющуюся версию ФСРАР Крипто и установить последнюю версию программы от имени администратора.
4. Пройти проверку в режиме разработчика.

«Не обнаружен аппаратный ключ. Перед следующей проверкой вставьте аппаратный ключ. (возможно не установлены драйверы аппаратного ключа, скачайте с сайта производителя аппаратного ключа)»

Обычно ошибка возникает, если:

• вставлен не тот токен или он неисправен;
• не установлены драйверы для электронной подписи.

Ключевой идентификатор Рутокен должен определяться в «Панели управления Рутокен» в поле «Подключенные Рутокен»

Получение RSA-ключа

Для генерации RSA-ключа требуется:

1. Выбрать вкладку «Получить ключ доступа», выбрать торговую точку, для которой создаётся ключ, и нажать «Сформировать ключ»



2. Ввести пин-код. Пин-код Рутокен ЭЦП 2.0/3.0 по умолчанию: 12345678. Подтвердить достоверность указанных сведений. Нажать «Сформировать ключ».

После данных действий RSA-ключ запишется на токен.

Как исправить ошибку при генерации RSA-ключа для ЕГАИС

В основном ошибки при генерации ключа связаны с некорректными настройками компьютера.

Ошибка при генерации RSA-ключа «Выберите устройство чтения смарт карт...»

Ошибка: При генерации ключа-RSA вместо запроса пин-кода у пользователя появляется ошибка:

• «Выберите устройство чтения смарт карт»;
• «Обнаружена смарт-карта, но она не может использоваться для текущей операции...»;
• «Смарт-карта не может выполнить запрошенную операцию либо операция требует другой смарт-карты».

Решение: Нужна корректировка настроек компьютера.

Ошибка появляется, если настройки ПК не позволяют сформировать ключ для ЕГАИС. Если носитель Рутокен ЭЦП, потребуется выполнить следующие действия:

1. Открыть «Панель управления Рутокен» через меню «Пуск» или ярлык на рабочем столе.
2. Во вкладке «Настройки» нажать кнопку «Настройка».
3. Перейти в «Настройки криптопровайдера» и установить напротив строки Рутокен ЭЦП значение «Microsoft Base Smart Card Crypto Provider».

После этого нужно сгенерировать ключ повторно. Если ошибка появилась снова, можно попробовать:

• поменять криптопровайдер, нажать «ОК» и выбрать «Microsoft Base Smart Card Crypto Provider» заново;
• обновить драйвер для Рутокен ЭЦП;
• установить утилиту восстановления работоспособности Рутокен.

Ошибка в методе createCertificateRequest Error: CKR_PNI_INCORRECT

Ошибка
Ошибка в методе createCertificateRequest Error: CKR_PNI_INCORRECT означает, что пин-код введён неверно.

Решение:
Проверить введённый пин-код на соответствие. Пин-коды по умолчанию:

• JaCarta — пин-RSA:11111111, пин-ГОСТ: 0987654321;
• Рутокен — пин-RSA:12345678, пин-ГОСТ: 12345678.

Если стандартные и пользовательские пин-коды не подходят, с большой вероятностью носитель заблокировался. Для разблокировки нужно обратиться в удостоверяющий центр.

Ошибка в методе createCertificateRequest Error: CKR_ATTRIBUTE_TYPE_INVALID

Ошибка:
Ошибка в методе createCertificateRequest Error: CKR_ATTRIBUTE_TYPE_INVALID. Встречается при использовании токенов JaCarta.

Решение:
Нужно провести инициализацию раздела PKI на токене:

1. Открыть «Единый клиент JaCarta»в режиме «Администратора».
2. Во вкладке PKI нажать «Инициализировать».
3. Ввести пин-код Администратора: 00000000; пин-код Пользователя: 11111111.
4. Попробовать сгенерировать RSA-ключ заново.

Общие рекомендации для успешной генерации RSA-ключа ЕГАИС

Чтобы генерация ключа-RSA произошла успешно, следует соблюдать следующие требования к рабочему месту:

• операционная система Windows Vista/7/8/8/1/10;
• браузер Internet Explorer версии 9 и выше;
• актуальная версия плагина ФСРАР Крипто;
• установленные и настроенные драйверы для используемого в ЕГАИС токена;
• во время работы с ЕГАИС должен быть вставлен только один носитель электронной подписи.