Серверные мандаты: запрос в УЦ при помощи КриптоПро CSP

Описание создания мандата шлюза средствами КриптоПро CSP в NGate

В данном разделе описан процесс генерации ключей и запроса на Серверный сертификат (Серверный мандат) с использованием функционала КриптоПро CSP и последующая установка Серверного сертификата в систему NGate.

  1. Откройте страницу мандатов и перейдите на вкладку серверных мандатов Server Credentials: Certificates > Credentials > Server Credentials. Нажмите Server Certificate Request для создания нового запроса на сертификат.


  2. Убедитесь, что в систему загружена внешняя гамма достаточного размера, иначе создание запроса будет невозможно. Сгенерируйте и загрузите гамму при необходимости.


  3. Введите основные обязательные параметры сертификата:
    Name: Наименование данного мандата в ПО NGate
    Algorithm Алгоритм шифрования:
    • ГОСТ 34.10-2001 256 бит
    • ГОСТ 34.10-2012 256 бит
    • ГОСТ 34.10-2012 512 бит
    • RSA 2048 бит
    • RSA 4096 бит

    Subject CN

    Доменное имя, которое может использоваться клиентами для подключения к порталу, например ngate.example.com

    Прим.: Доменное имя должно совпадать с Server Name на портале.
  4. Остальные поля необходимо заполнить в соответствии с требованиями политик безопасности и возможностями УЦ.
    Country (C) Код страны в двухбуквенном формате (например, RU)
    Region (S) Наименование региона субъекта РФ
    City (L) Наименование населённого пункта
    Address (STREET) Почтовый адрес
    Organization (O) Наименование организации
    Department (OU) Наименование подразделения
    E-mail (E) Адрес электронной почты
  5. Введите данные из раздела сети хранения данных.
    DNS names

    В данное поле вводим DNS имена, которые впоследствии будут присутствовать в расширении Альтернативное имя субъекта (Subject Alternative Name) сертификата

    Добавьте с помощью кнопки Add

    IP Addresses

    В данное поле вводим IP-адреса, которые впоследствии будут присутствовать в расширении Альтернативное имя субъекта (Subject Alternative Name) сертификата

    Добавьте с помощью кнопки Add

    Email Addresses

    В данное поле вводим адреса электронной почты, которые впоследствии будут присутствовать в расширении Альтернативное имя субъекта (Subject Alternative Name) сертификата

    Добавьте с помощью кнопки Add

  6. Расширенные настройки (Advanced setting) открываются по нажатию соответствующей кнопки. Можно настроить дополнительные параметры полей сертификата и имя контейнера.
    Container: Имя контейнера c префиксом HDIMAGE, где будет храниться закрытый ключ сервера.
    Важное замечание: Не изменяйте префикс \\.\HDIMAGE\ для корректного создания запроса!
    INN ИНН с Идентификационный номер налогоплательщика (физического лица)

    INN of Legal Entity (INNLE)

    ИНН юридического лица

    OGRN ОГРН ‒ Основной государственный регистрационный номер (для организаций)
    OGRNIP ОГРНИП ‒ Основной государственный регистрационный номер индивидуальных предпринимателей
    SNILS СНИЛС ‒ Страховой номер индивидуального лицевого счёта
    Title (T) Должность
    First Name (G) Полное имя
    Surname (SN) Фамилия
  7. Нажмите кнопку Save для записи введённых данных запроса на сертификат и формирования запроса.
  8. Нажмите кнопку Copy в поле Request test, чтобы скопировать в буфер обмена код запроса на сертификат для УЦ в формате Base64.


  9. Вставьте запрос в текстовый файл и отправьте запрос в используемый УЦ. Получите от УЦ подписанный сертификат в формате шифрования DER или PEM.
  10. Установите полученный в УЦ подписанный сертификат.
    1. Войдите в режим редактирования запроса на сертификат, нажав Edit в поле соответсвующего запроса из списка.


    2. Для загрузки файла сертификата в поле Select server certificate generated by CA for uploading используйте форму выбора файла.


    3. Средствами браузера выберите и откройте нужный файл сертификата. Загрузите файл в систему при помощи кнопки Upload.
  11. Сертификат в списке Server Credentials изменит тип на CSP-supported Credentials (ГОСТ мандаты). Для просмотра параметров соответствующего сертификата в списке сертификатов нажмите Edit.
  12. В дальнейшем сертификат нужно привязать к порталу.