Просмотр УФЭБС

Плановая смена банковских ключей Сигнатуры 5

NotaBene! Только, если Вы используете расширение "УФЭБС", и только, если Вы там используете Сигнатуру 5 для расшифровки ED-шек и/или для подписи/шифрования РНП и др. документов.

Раз в год банк должен провести плановую смену своих рабочих ключей для работы в расчетной сети Банка России.

Ниже описаны шаги плановой смене при уже работающих настройках Сигнатуры.
Настройки Сигнатуры подробнее здесь.

Принимаем текущей папкой d:\vs_oed\, где установлена программа

Что мы имеем

• два боевых, текущих, ключа, каждый на отдельной UBS флэшке (папка vdkeys)
  можно и оба ключа на одной флэшке, но неразумно, с т.з. безопасности;
• два справочника сертификатов, каждый на свой ключ (он, справочник, им, ключом, зашифрован)
  d:\mci\svk\cert\Processing001_15\
  d:\mci\svk\cert\Processing002_15\

  Последние две цифры в пути - год создания ключей.

Создание запроса на новый сертификат с генерацией новой ключевой пары

Для каждого боевого, текущего, ключа генерим новые ключи и запрос на сертификат (? от 1 до 2):

• вставляем USB носитель с ключами для Processing00?_15;
• копируем папку (у вас может быть другой путь):
  d:\mci\svk\cert\Processing00?_15\ (действующий, текущий)
  в
  d:\mci\svk\cert\Processing00?_16\ (будущий, новый) - но он пока зашифрован на текущем ключе;
  
• на закладке Сигнатура правим неработающие прошлогодние записи.
  (там д.б. 5 записей: тестовая, две рабочие этого года, две неработающие, неактивные, прошлогодние;
  тестового может и не быть, можно и не добавлять;
  прошлогодных тоже может и не быть - их надо добавить).
  

  

  Меняем в прошлогодних записях пути к файлам pse и gdbm (т.е. просто правим год).
  Было:
  d:\mci\svk\cert\Processing00?_14\local.pse (и gdbm)
  Cтало:
  d:\mci\svk\cert\Processing00?_16\local.pse (и gdbm)
  

  Также название записи (тоже год)
  с
  SVKOper?_14
  на
  SVKOper?_16
  В итоге, запись становится "будущий, новый" ключ;

• становимся на эту запись;
• нажимаем кнопку "Сертификаты";
• вставляем новую чистую Флэшку (текущая д.б. тоже вставлена, иначе Сертификаты не откроются)
  можно и на флэшку с текущими ключами генерить, все они будут в папке vdkeys с разными именами, но - безопасность;
• по правой кнопке "Создать запрос на новый сертификат с генерацией новой ключевой пары"

  

  запоминаем путь, куда запросы будут сохранены (*.pse файлы), жмем "Экспорт";

  

• жмем OK;
• пароль оставляем пустой, жмем OK;
• выбираем пустую Флешку (ну, или с текущими ключами, файлы имеют уникальное имя и не перезатрутся).

Отправка запросов в ЦУКС

• запросы , файлы *.pse, все вместе (их два) архивируем в один архив Q_КраткоеНазваниеБанка.zip (или .rar)
• шлем их вложением по почте cuks_mci@cbr.ru
  тема письма КЦОИ_КраткоеНазваниеБанка
• звоним по 495 987-75-73, 495 987-75-99, сказать, что послали.

Бумажные дела

• После звонка нам скажут, когда приезжать на Житную;
• Когда готовы, подъезжаем на Житную к 10-00 и получеам по два экз. распечатанных сертификата;
• Ставим свои подписи/печати на каждой странице листа;
  Отвозим на Житную (с 10-00 до 11-00), они на наших экз. ставят отметки.

Получение сертификатов

• Обычно в тот же день, когда мы сдали подписанные бум. сертификаты, на эл. почту приходят новые сертификаты.
  все эл. сертификаты приходят в одном файле *.pse
  Вынимаем его из архива, например, в корень d:\.
• Итак, у нас есть:
  • рабочие, текущие, справочники сертификатов, их два и они в папках Processing001_15 и Processing002_15;
  • рабочие, текущие, ключи к справочникам сертификатов, их два, они на флэшке (на флэшках);
  • новые сгенеренные ключи на флэшках (на флешке);
  • справочники сертификатов для новых ключей, их два и они в папках Processing001_16 и Processing002_16
    (пока это просто копии Processing001_15 и Processing002_15);
  • сертификаты из ЦУКС МЦИ в формате *.PSE.

Импорт сертификатов

Для каждого НОВОГО ключа (? от 1 до 2)

• делаем резервные копии справочников d:\mci\svk\cert\Processing00?_16\;
• становимся на запись SVKOper?_16;
• нажимаем "Сертификаты" (пока зашифровано на текущем ключе и он д.б. на флэшке, иначе появится окно, "Вставьте....");
• по правой кнопке мыши выбираем "Обновить объекты (Импортировать обновления из Центра Регистрации)";
• выбираем файл с сертификатами *.pse, полученный по почте из ЦУКСа;
• нажимаем "Импорт";
• появляется два новых наших сертификата Processing001 и Processing002 с новыми датами срока действия ("С" "ПО");
  наши, пока еще действующие (Processing001 и Processing002), тоже там есть
• становимся на наш НОВЫЙ Processing00? (помечен как Отправитель в колонке "Описание");
• по правой кнопке мыши выбираем "Просмотр сертификата";
• сохраняем его в файл (Кнопка с дискетой). Закрываем окно просмотра сертификата;
• на списке сертификатов по правой кнопке выбираем "Импортировать свой новый сертификат и сделать его рабочим";
• указываем на файл с сохраненным сертификатом и импортируем. Он должен стать рабочим (колонка "Описание").
  Новый ключ д.б. на флэшке, иначе появится окно, "Вставьте....".
  Если все прошло без ошибок, то справочник будет зашифрован на новом ключе и его сертификат станет рабочим;
• закрываем окно со списоком сертификатов;
• по правой кнопке выбираем "Сертификаты". Если список появляется без ошибок, то все хорошо;
• делаем резервные копии новых справочников d:\mci\svk\cert\Processing00?_16 и ключей;

Если вы использовали одну, временную, флэшку со всеми ключами на ней, то удалите их. Отформатируйте ее.

У вас должны остаться эти ключи на исходных флэшках.

Переход на новые ключи

на сл. день:

• в новых записях о сертификатах поднимаем галочки "Запись активна", "Грузить при запуске" и, если надо, "По умолчанию";
• выбираем в списке "Ключ" новый, создаем ED999, отправляем его и ждем результатов. Положительных;
• на старых записях снимаем галочку "Запись активна";