8.1.7. Требования к сертификату ключа подписи и списку отозванных сертификатов для обеспечения единого пространства доверия сертификатам ключей электронной подписи в соответствии с Приказом ФНС №ММ-7-6/353@ от 02.07.09г.
1.2.643.3.<Координирующая организация>.<Эмитент1>. <эмитент2>.<Роль владельца СКП в информационных системах ФНС России (НП, НО, уполномоченный представитель НП, СпецОператор и т.д.)>.<Квалификация подписи (директор, бухгалтер, инспектор НО и т.д.)>.< Пользователь сервисов системы >.<Другие назначения1>.<другие назначения2>
№ арки
1.– 4. зафиксировано 1.2.643.3
5. Координирующая организация – ФНС или Организатор Сети ДУЦ
6. Эмитент1 – ДУЦ. Содержит идентификатор ДУЦ, формируемый, как 1000+№паспорта ДУЦ. УЦ ГНИВЦ ФНС России имеет идентификатор 1000.
7. Эмитент2 – УЦ, подчиненный ДУЦ
8. Роль владельца СКП в информационных системах ФНС – НП, инспектор НО, уполномоченный представитель НП, ИРУЦ, СОЭД, САОЭД, СпецОператор и т.д.
9. Квалификация подписи – 1-я подпись (директор, заместитель директора и т.д.), 2-я подпись (главный бухгалтер, бухгалтер и т.д.), 1-я и 2-я подпись, право подписи отсутствует - только шифровать и/или отправка, квалификация подписи не установлена и т.д.
10. Пользователь сервисов системы – сервис ИОН on-line (да или нет), др. сервисы
11. Другие назначения1 – зарезервировано
12. Другие назначения2 – зарезервировано
Если в арке №6 стоит число меньше 1000, то эта арка – управляющая, она содержит назначение данных, которые размещены в следующей арке (№7), если в арке №7 число меньше 1000, то арка – управляющая и содержит тип данных, которые размещены в следующей арке (№8) и т.д. В случае с управляющими арками приведённая в начале приложения схема OID применяться не может.
Если арка №6 содержит единицу, то арка – управляющая, указывает на то, что в следующей арке будет указан OID поля сертификата ключа подписи.
Поля сертификата ключа подписи
1.2.643.3.131.1.1 – INN (ИНН)
Объектные идентификаторы политики сертификата
Координирующая организация
1.2.643.3.131 – ГНИВЦ
Эмитент1
1.2.643.3.131.1059 ― ООО Мостинфо-Екатеринбург
Эмитент2
1.2.643.3.131.1059.0 ― нет
Роль владельца СКП
1.2.643.3.131.1000.0.1 ― Администратор ИРУЦ
1.2.643.3.131.1000.0.2 ― Оператор ИРУЦ
1.2.643.3.131.1059.0.3 ― ЮЛ и ИП
1.2.643.3.131.1000.0.6 ― Веб-сервер ИРУЦ
1.2.643.3.131.1000.0.7 ― Доверенный УЦ
1.2.643.3.131.1000.0.8 ― Сервер регистрации ИРУЦ
1.2.643.3.131.1000.0.9 ― УЦ организатора системы.
1.2.643.3.131.1000.0.11 ― Специализированный оператор связи
1.2.643.3.131.1000.0.13 ― ЦСДИ
Квалификация подписи
1.2.643.3.131.1059.0.3.1 ― руководитель
1.2.643.3.131.1059.0.3.2 ― главный бухгалтер
1.2.643.3.131.1059.0.3.3 ― руководитель и главный бухгалтер
1.2.643.3.131.1059.0.3.4 ― уполномоченный представитель
1.2.643.3.131.1059.0.3.5 ― индивидуальный предприниматель
1.2.643.3.131.1059.0.3.6 ― ответственный исполнитель
Пользователь сервисов системы
1.2.643.3.131.1059.0.3.1.0 - сервисы не используются
1.2.643.3.131.1059.0.3.2.0 - сервисы не используются
1.2.643.3.131.1059.0.3.3.0 - сервисы не используются
1.2.643.3.131.1059.0.3.4.0 - сервисы не используются
1.2.643.3.131.1059.0.3.5.0 - сервисы не используются
1.2.643.3.131.1059.0.3.6.0 - сервисы не используются
1.2.643.3.131.1059.0.3.1.1 - используется сервис ИОН on-line
1.2.643.3.131.1059.0.3.2.1 - используется сервис ИОН on-line
1.2.643.3.131.1059.0.3.3.1 - используется сервис ИОН on-line
1.2.643.3.131.1059.0.3.4.1 - используется сервис ИОН on-line
1.2.643.3.131.1059.0.3.5.1 - используется сервис ИОН on-line
1.2.643.3.131.1059.0.3.6.1 - используется сервис ИОН on-line
8.1.6. Требования к составу сертификата ключа подписи участника размещения заказа на электронных торговых площадках
Сертификат ключа подписи, издаваемый удостоверяющим центром для участника размещения заказа должен соответствовать стандарту X.509v3 согласно RFC 5280 "Internet X.509 Public Key Infrastructure. Certificate and Certificate Revocation List (CRL) Profile" с учетом RFC 4491 "Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure Certificate and CRL Profile".
Сертификат ключа подписи участника размещения заказа должен соответствовать следующей структуре:
Название
|
Описание
|
Содержание
|
Базовые поля сертификата
|
Version
|
Версия
|
V3
|
Serial Number
|
Серийный номер
|
Уникальный серийный номер сертификата
|
Signature Algorithm
|
Алгоритм подписи
|
ГОСТ Р 34.11/34.10-2001
|
Issuer
|
Издатель сертификата
|
СN = Псевдоним уполномоченного лица Удостоверяющего центра
О = Организация
OU = Подразделение
L = Город
S = Субъект федерации
C = Страна/Регион = RU
E = Электронная почта
Конкретный перечень компонент имени уполномоченного лица Удоствоеряющего центра устанавливается Удостоверяющим центром по согласованию c Уполномоченным оператором
|
Validity Period
|
Срок действия сертификата
|
Действителен с (notBefore): дд.мм.гггг чч:мм:сс UTC
Действителен по(notAfter): дд.мм.гггг чч:мм:сс UTC
|
Subject
|
Владелец сертификата
|
СN = ФИО владельца сертификата
T = Должность - для юридических лиц
О =
Наименование организации - для юридических лиц;
Наименование ИП – для ИП
OU = Подразделение - для юридических лиц
L = Город
S = Субъект федерации
C = Страна/Регион= RU
E = Электронная почта
UnsructuredName (UN) =
INN=ИНН/KPP=КПП/OGRN=ОГРН - для юридических лиц;
INN=ИНН - для физических лиц и ИП
В поле Subject сертификата могут быть добавлены дополнительные компоненты имени согласно RFC 5280
|
Public Key
|
Открытый ключ
|
Открытый ключ (алгоритм подписи)
|
Issuer Signature Algorithm
|
Алгоритм подписи издателя сертификата
|
ГОСТ Р 34.11/34.10-2001
|
Issuer Sign
|
ЭЦП издателя сертификата
|
Подпись издателя в соответствии с
ГОСТ Р 34.11/34.10-2001
|
Расширения сертификата
|
Private Key Validity Period
|
Срок действия закрытого ключа, соответствующего сертификату
|
Действителен с (notBefore): дд.мм.гггг чч:мм:сс UTC
Действителен по(notAfter): дд.мм.гггг чч:мм:сс UTC
|
Key Usage
|
Использование ключа
|
Информация об использовании ключа.
Значение данного поля должно обеспечивать использование ключа для формирования ЭЦП и шифрования данных
|
Extended Key Usage
|
Улучшеный ключ
|
Указываются идентификат оры областей использования закрытых ключей и сертификатов открытых ключей:
Проверка подлинности клиента (OID 1.3.6.1.5.5.7.3.2)
Защищенная электронная почта (OID 1.3.6.1.5.5.7.3.4)
Использование на электронных площадках, отобранных для проведения аукционов в электронной форме(OID 1.2.643.6.3.1.1)
Области использования согласно заявлению клиента:
Тип участника (один вариант из списка)
Юридическое лицо(OID 1.2.643.6.3.1.2.1)
Физическое лицо(OID 1.2.643.6.3.1.2.2)
Индивидуальный предприниматель(OID 1.2.643.6.3.1.2.3)
Тип организации:
Участник размещения заказа(OID 1.2.643.6.3.1.3.1)
Полномочия (множественный выбор):
Администратор организации(OID 1.2.643.6.3.1.4.1)
Уполномоченный специалист(OID 1.2.643.6.3.1.4.2)
Специалист с правом подписи контракта (OID 1.2.643.6.3.1.4.3)
|
Application Policy
|
Политика применения
|
Набор дополнительных областей использования ключей и сертификатов
Устанавливается Удостоверяющим центром по согласованию с Уполномоченным оператором
|
Certificate Policies
|
Политики сертификатов
|
Набор дополнительных областей использования ключей и сертификатов
Устанавливается Удостоверяющим центром по согласованию с Уполномоченным оператором
|
Subject Key Idendifier
|
Идентификатор ключа владельца сертификата
|
Идентификатор закрытого ключа владельца сертификата
|
Authority Key Identifier
|
Идентификатор ключа издателя сертификата
|
Идентификатор закрытого ключа Уполномоченного лица Удостоверяющего центра, на котором подписан данный сертификат
|
CRL Distribution Point
|
Точка распространения списка отозванных сертификатов
|
Набор адресов точек распространения списков отозванных сертификатов следующего вида:
URL=http://ResourceServer/Path/Name.crl, где ResourceServer – имя сервера, Path – путь к файлу списка отозванных сертификатов, Name - имя файла списка отозванных сертификатов .
|
|
|
В сертификат ключа подписи могут быть добавлены дополнительные поля и расширения согласно RFC 5280
|
Поле «Субъект» сертификата ключа подписи, идентифицирующего владельца сертификата ключа подписи, должно содержать следующие компоненты имени:
компонент «Общее имя» (CN, Common Name), содержащий фамилию, имя, отчество владельца сертификата с разделителями в один пробел (Фамилия Имя Отчество) (обязательное к заполнению);
компонент «Организация» (O, Organization), содержащий:
краткое название организации (согласно ЕГРЮЛ) - для юридических лиц (обязательное к заполнению);
название индивидуального предпринимателя – для индивидуальных предпринимателей (обязательное к заполнению);
не заполняется – для физических лиц.
компонент «Должность» (T, Title), содержащий:
название должности владельца сертификата в организации - для юридических лиц (обязательное к заполнению);
не заполняется – для индивидуальных предпринимателей и физических лиц;компонент «Подразделение» (OU, Organization Unit), содержащий наименование подразделения организации, в котором работает владелец сертификата – для юридических лиц (не обязательное к заполнению);
компонент «Город» (L, Locality), содержащий название населённого пункта, где зарегистрировано юридическое лицо, индивидуальный предприниматель, физическое лицо (обязательное к заполнению);
компонент «Область/Край» (S, State), содержащий название региона, где зарегистрировано юридическое лицо, индивидуальный предприниматель, физическое лицо (обязательное к заполнению);
компонент «Страна/регион» (С, Country), содержащее двухзначный код страны (например, «RU»), в которой зарегистрировано юридическое лицо, индивидуальный предприниматель, физическое лицо (обязательное к заполнению);
компонент «Электронная почта» (E, EMail), содержащее адрес электронной почты владельца сертификата ключа подписи (обязательное к заполнению);
компонент «Неструктурированное имя» (UN, Unsructured Name), содержащее:
INN=ИНН/KPP=КПП/OGRN=ОГРН организации владельца сертификата - для юридических лиц (обязательное к заполнению);
INN=ИНН индивидуального предпринимателя – для индивидуального предпринимателя (обязательное к заполнению);
INN=ИНН физического лица - для физических лиц (обязательное к заполнению).
4.2.4. В сертификате ключа подписи участника размещения заказа расширение «Улучшенный ключ» (OID 2.5.29.37) должно содержать значения: «Проверка подлинности клиента» (OID 1.3.6.1.5.5.7.3.2), «Защищенная электронная почта» (OID 1.3.6.1.5.5.7.3.4).
4.2.5. В сертификате ключа подписи в расширении «Улучшенный ключ», согласно заявлению участника размещения заказа, содержатся сведения, устанавливающие правомерность использования сертификата ключа подписи на электронных площадках:
Использование в работе систем электронного документооборота и электронных торговых систем, входящих в АЭТП (1.2.643.6.3)
Использование в работе систем электронного документооборота и электронных торговых систем B2B-CENTER (OID 1.2.643.6.7)
Использование на электронных площадках, отобранных для проведения открытых аукционов в электронной форме (OID 1.2.643.6.3.1.1)
Тип участника (один вариант из списка)
Юридическое лицо (OID 1.2.643.6.3.1.2.1)
Физическое лицо (OID 1.2.643.6.3.1.2.2)
Индивидуальный предприниматель (OID 1.2.643.6.3.1.2.3)
Тип организации:
1. Участник размещения заказа (OID 1.2.643.6.3.1.3.1)
Полномочия (множественный выбор):
1. Администратор организации (OID 1.2.643.6.3.1.4.1)
Уполномоченный специалист (OID 1.2.643.6.3.1.4.2)
Специалист с правом подписи контракта(OID 1.2.643.6.3.1.4.3)
4.3. Требования к составу списка отозванных сертификатов, публикуемого удостоверяющим центром
4.3.1. Список отозванных сертификатов, издаваемый удостоверяющим центром должен соответствовать стандарту X.509v2 согласно RFC 5280 "Internet X.509 Public Key Infrastructure. Certificate and Certificate Revocation List (CRL) Profile" с учетом RFC 4491 "Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure Certificate and CRL Profile".
|
