Продление ключа эцп самостоятельно гражданами и юридическими лицами

Пилотный проект по получению ключей ЭЦП и облачной ЭЦП через биометрическую идентификацию в Казахстане

Министерством цифрового развития, инноваций и аэрокосмической промышленности РК разработан и вынесен на обсуждение проект приказа О проведении пилотного проекта при получении ключей электронной цифровой подписи и облачной электронной цифровой подписи по биометрической идентификации посредством официального сайта Национального удостоверяющего центра Республики Казахстан, сообщает Учет.kz

Цель проекта

В целях проработки альтернативного решения при получении ключей электронной цифровой подписи и облачной электронной цифровой подписи по биометрической идентификации посредством официального сайта Национального удостоверяющего центра Республики Казахстан

Длительность проекта

Пилотный проект при получении ключей электронной цифровой подписи и облачной электронной цифровой подписи по биометрической идентификации посредством официального сайта Национального удостоверяющего центра Республики Казахстан (далее – пилотный проект) будет длиться с 4 марта 2024 года по 4 марта 2025 года.

Реализация проекта

В процессе реализации пилотного проекта допустимы доработки прикладного программного обеспечения в части добавления новых функций и возможностей, позволяющих упростить процедуру получения регистрационных свидетельств Национального удостоверяющего центра Республики Казахстан.

Алгоритм получения ключей ЭЦП и облачной ЭЦП через биометрическую идентификацию

Процесс для физических лиц

1. Пользователь на сайте pki.gov.kz выбирает шаблон ЭЦП и инициирует подачу заявки на получение регистрационных свидетельств;

2. Пользователь перенаправляется на сервис НУЦ РК;

3. НУЦ РК выводит соглашение на обработку персональных данных, где для продолжения пользователь дает согласие на сбор и обработку персональных данных;

4. НУЦ РК отображает пользователю данные по ИИН (имя Ф.О. пользователя);

5. Для прохождения биометрической идентификации пользователь нажимает кнопку продолжить и перенаправляется на сервис VI НУЦ РК (vi.pki.gov.kz);

6. Сервис VI НУЦ РК выводит форму для заполнения номера телефона зарегистрированной в БМГ. Пользователь вводит часть номера телефона. После чего VI НУЦ РК отправляет проверочный код на номер телефона;

7. Пользователь вводит полученный проверочный код;

8. VI НУЦ РК проверяет введенный проверочный код. Повторная отправка проверочного кода будет доступна пользователю через 60 секунд. В случае отправки проверочного кода более трех раз в течение сессии VI НУЦ РК блокирует пользователя на 10 минут, о чем сообщает соответствующим сообщением. По истечении 10 минут пользователю необходимо повторно пройти процесс подачи заявки с пункта 1.

9. Пользователь выбирает камеру ПК для прохождения биометрической идентификации. Пользователь разрешает доступ к камере.

Процесс получения ключей ЭЦП по биометрической идентификации

1. Пользователь на сайте pki.gov.kz выбирает шаблон, способ получения ключей по биометрической идентификации и инициирует подачу заявки на получение регистрационных свидетельств;

2. НУЦ РК отображает пользователю данные по ИИН (имя Ф.О. пользователя) и БИН (наименование организации);

3. Для прохождения биометрической идентификации пользователь нажимает кнопку продолжить и перенаправляется на сервис VI НУЦ РК (vi.pki.gov.kz);

4. VI НУЦ РК проверяет введенный проверочный код. Повторная отправка проверочного кода будет доступна пользователю через 60 секунд. В случае отправки проверочного кода более трех раз в течение сессии VI НУЦ РК блокирует пользователя на 10 минут, о чем сообщает об этом соответствующим сообщением. По истечении 10 минут пользователю необходимо повторно пройти процесс подачи заявки с пункта 1 настоящего Алгоритма;

5. Пользователь проходит биометрическую идентификацию. Пользователю предоставляется 10 попыток в течение сессии для успешного прохождения биометрической идентификации. В случае неуспешного прохождения биометрической идентификации VI НУЦ РК блокирует пользователя на 10 минут, о чем сообщает об этом соответствующим сообщением. По истечении 10 минут пользователю необходимо повторно пройти процесс подачи заявки с пункта 1 настоящего Алгоритма;

6. При успешно пройденной биометрической идентификации пользователь перенаправляется на сервис подачи заявки на выпуск регистрационных свидетельств НУЦ РК;

7. НУЦ РК выводит пользователю форму заявки;

8. Пользователь заполняет форму заявки, в которой вводит дополнительную информацию (при необходимости e-mail, код ГУ, доменное имя и т. д.) и подтверждает введенные данные;

9. НУЦ РК формирует заявку на выдачу регистрационных свидетельств;

10. В случае подачи заявки по шаблонам Юридическое лицо – Сотрудник организации, Юридическое лицо – Сотрудник с правом подписи пользователю необходимо обратиться к Первому руководителю юридического лица для подтверждения поданной заявки в личном кабинете Первого руководителя юридического лица;

11. НУЦ РК выпускает регистрационные свидетельства;

12. Пользователь устанавливает пароль и регистрационные свидетельства на закрытые ключи ЭЦП.

Переход на один ключ – ответ АО Национальные информационные технологии

Переход к одному ключу для ЭЦП

Автор письма: Акционерное общество Национальные информационные технологии

В рамках оптимизации процессов и упрощения процедуры получения, хранения и использования ключей электронной цифровой подписи (далее – ЭЦП), Национальный удостоверяющий центр Республики Казахстан (далее – НУЦ РК) планирует осуществить переход от текущего процесса выдачи и использования двух регистрационных свидетельств НУЦ РК (ключей ЭЦП) к применению только одного регистрационного свидетельства, т.е. физическим и юридическим лицам будет выдаваться один ключ на новом алгоритме СТ РК ГОСТ Р 34.10-2015 (далее – ГОСТ 2015), который будет использоваться для подписи и аутентификации.

Для этого, информационным системам, использующим регистрационные свидетельства НУЦ РК, необходимо произвести соответствующие доработки.

В связи с чем, владельцу информационной системы или его законному представителю необходимо получить комплект разработчика НУЦ РК, который содержит библиотеки и тестовые регистрационные свидетельства и разработка со стороны информационной системы.

Для получения комплекта разработчика НУЦ РК необходимо:

1. Предоставить письмо и акт. Ваш запрос будет рассмотрен сотрудником НУЦ РК.
2. При соблюдении вышеуказанных требований, Вам будет выслана ссылка для скачивания комплекта.

Также, сообщаем, что Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан приняло решение о переносе сроков реализации вышеуказанных изменений, в связи с тем, что информационные системы государственных органов не успели произвести соответствующие доработки в своих ИС.

Информация о дате перехода на криптографический стандарт СТ РК ГОСТ Р 34.10-2015 РК будет сообщена дополнительно на сайте pki.gov.kz.

Как гражданам самостоятельно продлить ключ ЭЦП онлайн?

О том, что срок действия ключа подходит к концу, НУЦ РК уведомляет граждан в автоматическом режиме.

Чтобы своевременно получать такие напоминания и не пропустить срок окончания действия ЭЦП, нужно указать свой e-mail в личном кабинете НУЦ РК, а телефон должен быть зарегистрирован в Базе мобильных граждан. Проверить, зарегистрирован ли номер, можно на портале Egov: Главная/ сервис Проверка регистрации в мобильной базе граждан.

Если сообщение об истечении срока действия ключа получено, или сам владелец ключа помнит о приближении окончания срока, продлить ключ ЭЦП можно онлайн на сайте НУЦ РК www.pki.gov.kz в Личном кабинете.

Для этого потребуется:

• Зайти на сайт www.pki.gov.kz
• Войти в Личный кабинет
• Выбрать опцию Продлить ключ ЭЦП
• Следовать указаниям на экране для успешного продления ключа

Услуга по продлению срока действия ЭЦП бесплатная и доступна на государственном и русском языках. Однако вышеописанную процедуру можно провести только, если ключи ЭЦП хранятся на компьютере или флеш-карте. Если ключи были записаны на чипе удостоверения личности, процедура перезаписи производится в ЦОНе (также бесплатно).

Процедура продления ключа ЭЦП юридическим лицам

Перед началом процедуры убедитесь, что срок действия ключа еще не истек, а также проверьте наличие на вашем компьютере приложения NCALayer. Периодически выходят обновления приложения, и если вы давно им не пользовались, возможно, потребуется обновить приложение.

Как продлить ключ ЭЦП онлайн юридическим лицам?

Процедура продления ключа ЭЦП для юридических лиц во многом аналогична перевыпуску ключей ЭЦП физлиц. При приближении срока окончания действия выпущенных ключей на почту юридического лица придет заблаговременное уведомление (за месяц, две недели и 7 дней). Либо придет СМС на мобильный телефон руководителя юрлица.

Для продления ЭЦП юрлица необходимо:

1. Появится уведомление системы об успешной установке новых регистрационных свидетельств.

2. Обратите внимание, что продлить ключи ЭЦП как физическим, так и юридическим лицам можно только в случае, если срок действия имеющихся ключей истекает, но еще не завершился.

3. Если срок действия текущих ключей истек, потребуется услуга не продления, а выпуска новых ключей.

4. Процедуру продления необходимо повторять ежегодно.

Enabling Enterprise Trust of the Common Policy Certificate

This guide provides information on distributing the Federal Common Policy CA G2 (FCPCAG2) certificate to government-furnished workstations and devices as a trusted root certificate.

This guide ends by presenting answers to Frequently Asked Questions

Step 1 – Obtain and verify the FCPCA root certificate

The first step in this process is to obtain a copy of the FCPCAG2 root certificate, and verify its authenticity.

Download a Copy of the FCPCA root certificate

To download a copy of the FCPCAG2 root certificate, use one of these recommended options:

FCPCA Certificate Details

• Distinguished Name: cn=Federal Common Policy CA G2, ou=FPKI, o=U.S. Government, c=US
• Serial Number: 21e5b9a0cc956de278ca012ba8fdc58a98b3fbea
• SHA-1 Thumbprint: 99B4251E2EEE05D8292E8397A90165293D116028
• SHA-256 Thumbprint: 5F9AECC24616B2191372600DD80F6DD320C8CA5A0CEB7F09C985EBF0696934FC

Verify Your Copy of the FCPCA root certificate

To verify your copy of the FCPCA root certificate, use one of these options:

Use Microsoft Certutil

After you have verified the certificate, you are ready to distribute the FCPCA root certificate certificate within your environment.

Step 2 – Distribute to operating systems

To distribute the Federal Common Policy CA G2 (FCPCAG2) certificate, use one of these options:

For Linux/Unix

You can use third-party configuration management tools, such as BigFix.

Use Microsoft Certificate Manager for Unmanaged Devices

To distribute the FCPCAG2 root certificate to unmanaged devices:

MacOS Solutions

For macOS and iOS government-furnished devices, you can use Apple configuration profiles (XML files) to distribute and automatically install the FCPCAG2 root certificate.

These steps describe how to create, distribute, and install profiles using Apple’s free Configurator 2 application. There are also available third-party applications.

Create an Apple Configuration Profile

APPLE CONFIGURATION PROFILE (EXAMPLE)

Before using this profile, you should verify that it is suitable for your agency.

To use this profile, copy the XML information and save it as a .mobileconfig file.

Distribute an Apple Configuration Profile

*For iOS only – If you download and install the FCPCAG2 root certificate from an email or an intranet website, you will need to manually enable SSL trust for FCPCA. This is not needed if you use Configurator 2 with over-the-air (OTA) methods or an MDM enrollment profile to install the FCPCAG2 root certificate. (See Enable Full Trust for FCPCA.)

Install an Apple Configuration Profile

You can also manually install a profile.

Install FCPCA Using Command Line

You can use the System Keychain or Login Keychain to install the FCPCA root certificate.

System Keychain

You can use Apple configuration profiles to install the FCPCA root certificate on both macOS and iOS devices.

Review the Apple configuration profiles guidance for instructions.

Install FCPCA Using Safari Web Browser

You can use the Safari web browser to install the FCPCA root certificate on iOS devices only.

Enable Full Trust for FCPCA

This option works for iOS devices only.

You can now successfully navigate to any intranet website whose SSL certificate was issued by a Federal Public Key Infrastructure (FPKI) CA.

Linux and Unix Solutions

Next, verify distribution of the FCPCAG2 certificate as an operating system trusted root.

Step 3 – Verify operating system distribution

To verify that the Federal Common Policy CA G2 (FCPCAG2) certificate has been distributed to your agency’s workstations and devices, use one of these options:

Verifying – Microsoft Windows

Use LANDesk 2016

GPO-distributed FCPCA

Verifying – iOS

Next, distribute the FCPCA certificate to application trust stores.

Step 4 – Distribute to applications

Many, but not all, software applications leverage the underlying operating system trust store to verify whether a certificate should be trusted.

Collaborate across agency teams to identify applications that rely on custom trust stores to ensure distribution of the Federal Common Policy CA G2 (FCPCAG2) certificate.

Example applications with custom trust stores:

Next, determine if you need to distribute the CA certificates issued by the FCPCAG2 root certificate.

Depending on agency configurations, you might need to distribute these certificates to systems and applications. This page will help you understand when to distribute the intermediate CA certificates, which certificates to distribute, and recommended solutions. This page also lists intermediate CA certificate details, including download locations.

You might need to distribute the intermediate CA certificates issued by the FCPCA root certificate, depending upon your enterprise operating systems’ type and configuration.

Collaborate across agency teams to identify applications that rely on custom trust stores to ensure distribution of the intermediate CA certificates issued by the FCPCAG2 root certificate.

Example applications with custom trust stores that may require intermediate CA certificate installation:

Which Certificates Do I Need to Distribute?

Identify which, if any, of the intermediate CA certificates issued by the Federal Common Policy CA G2 are currently being distributed across your agency.

A recommended starting point would be to replicate the existing configuration for CA certificates issued by the Federal Common Policy CA, instead of distributing the new certificates issued by the Federal Common Policy CA G2.

Recommended solutions for distributing intermediate CA certificates are listed below.

Use Linux Command Line

The steps to distribute an intermediate CA certificate are the same as the steps to distribute a root CA certificate.

Certificates Issued By the Federal Common Policy CA

Certificate Attribute Value

Distinguished Name CN=Federal Bridge CA G4, OU=FPKI, O=U.S. Government, C=US

Validity October 15, 2020 to December 6, 2029

Serial Number 234200beaa6dada658f53b403f418295290cae82

SHA-1 Thumbprint 97db351e069964297a82040eb760c9cc1d74ba33

SHA-256 Thumbprint 74383CA1BB648F96EFE9E6ECADB5A8A359E7DF9BA262EF7C02BD004EAB3895F4

Distinguished Name CN=U.S. Department of State AD Root CA, CN=AIA, CN=Public Key Services, CN=Services, CN=Configuration, DC=state, DC=sbu

Validity November 8, 2023 to November 8, 2026

Serial Number 23d03cb4df4c43d5ab11ce630f41ef9d38da7fa1

SHA-1 Thumbprint b47df20b16966f65b0e4859d426d05c452b76bd6

SHA-256 Thumbprint 04aae03b527b1d3de0f3c7b53e73f196984172a33abacc7668b3c2bfb83792cf

US Treasury Root CA

Distinguished Name OU=US Treasury Root CA, OU=Certification Authorities, OU=Department of the Treasury, O=U.S. Government, C=US

Validity April 6, 2022 to April 6, 2025

Serial Number 279f09737fe5dd3d7534be0ea51aff9dc4018501

SHA-1 Thumbprint 52de6628d8c70a9df9e1df94fcd84728b33c05ec

SHA-256 Thumbprint ed40cc2e18e224f1c8dc6d0786559576517139be777153cd9f8ad2d215a9be79

DigiCert Federal SSP Intermediate CA – G6

Distinguished Name CN=DigiCert Federal SSP Intermediate CA – G6, O=DigiCert, Inc., C=US

Validity March 16, 2022 to March 16, 2032

Serial Number 231eb3199085ee8187df5c7a598ef336b356092f

SHA-1 Thumbprint 806b3aa2dbeb6a097bf07920bb77bb1eb9fbb2dd

SHA-256 Thumbprint ac309ffef2da64de1a360c3194b9b78bcdb65dc4863f02c4fa2797f9d71a773b

DigiCert Federal SSP Intermediate CA – G5

Distinguished Name CN=DigiCert Federal SSP Intermediate CA – G5, O=DigiCert, Inc., C=US

Validity November 18, 2020 to December 13, 2028

Serial Number 24bc168f9ccb30cfcef8f0a58f26f10181869266

SHA-1 Thumbprint 9aecfbe2de8aea49d220bbf799172c00527fe756

SHA-256 Thumbprint ea86e0baf55eef020ed58196af865f2fa72a77d1be70a779b65a9cbf0b5ee3f2

Symantec SSP Intermediate CA – G4

Distinguished Name CN=Symantec SSP Intermediate CA – G4, O=Symantec Corporation, C=US

Validity November 18, 2020 to November 12, 2024

Serial Number 262bd1f025c8af37334545666ea6c9ea946c2c34

SHA-1 Thumbprint 4c40f62b5c3f13533a8f8a1d44f8b027aaa0fd3d

SHA-256 Thumbprint 09d3f1a7d2e0be1a8d043fdf5d16bf8bf18e0dff2f397f27b0b8ee962de59de5

Entrust Managed Services Root CA

Distinguished Name OU=Entrust Managed Services Root CA, OU=Certification Authorities, O=Entrust, C=US

Validity July 14, 2023 to December 28, 2030

Serial Number 25da3ccaaa1e16c5050feaad9e712f1b8ca90c3a

SHA-1 Thumbprint d6be623683f2b47e94452c04fa1ab3ab631e83eb

SHA-256 Thumbprint 34e433cdd7c647820e607d695a564bc8559ca01866633fc65b2762427a496eb3

Validity November 18, 2020 to August 14, 2029

Serial Number 215e78d99648b021c6394a6566d8e00f46a1e595

SHA-1 Thumbprint 07f5dc58f83778d5b5738a988292c00a674a0f40

SHA-256 Thumbprint e3d6b1b33d0a5df0630b32bf17f9fb632b0471a6cac561f164aa6429ef0699a1

Verizon SSP CA A2

Distinguished Name CN=Verizon SSP CA A2, OU=SSP, O=Verizon, C=US

Validity November 18, 2020 to December 6, 2026

Serial Number 25fca834ada24a4455a2db0ff4cef7c411198e3a

SHA-1 Thumbprint b2167fd38ff47bb910d8dcc32fcc3b7b63a09ff7

SHA-256 Thumbprint 226508d2a1c926a7092218e743ccd01bab8273291feef66941691592fa7c12b8

ORC SSP 4

Distinguished Name CN=ORC SSP 4, O=ORC PKI, C=US

Validity November 18, 2020 to January 21, 2024

Serial Number 20a0e513367881559a5e7d20d35fa7c6739a42ab

SHA-1 Thumbprint 3e6610b03daca9fa07e1093b60ccb8927c42d83b

SHA-256 Thumbprint 7cd7f21d04beb99d9f833be8697138e3ad4e11313897ee573c066132d21ab5f8

WidePoint ORC SSP CA 5

Distinguished Name CN=WidePoint ORC SSP 5, O=ORC PKI, C=US

Validity November 19, 2020 to November 5, 2030

Serial Number 210b3f17db750e616eb25f3f0b4933e5a98c449b

SHA-1 Thumbprint 80f4731a60fd5f2eb0468d0629310daa50ad210d

SHA-256 Thumbprint 70200179049bdc8cbe94b4880730609489f324f2a770477f7c1859401e644c72

WidePoint SSP Intermediate CA

Distinguished Name CN=WidePoint SSP Intermediate CA, O=ORC PKI, C=US

Validity April 3, 2023 to March 15, 2033

Serial Number 28f49a629440b3fdf097ac0fd46dbd9735379187

SHA-1 Thumbprint eef5180a852b044483a138bcb30ad9548463e09b

SHA-256 Thumbprint edf21e73d9114477a4a4824c93414b4ec67825604575041a33ce24f0df01f66f

Certificates issued to the Federal Common Policy CA

Distrusting the certificate below will prevent workstations from building a path from the Federal Common Policy CA, through the Federal Bridge CA G4, to the Federal Common Policy CA or any other root.

Federal Bridge CA G4

Distinguished Name CN=Federal Common Policy CA, OU=FPKI, O=U.S. Government, C=US

Serial Number 129217e6c9126fd816babe02d9192ae2b519e231

SHA-1 Thumbprint edf2d373f4c56b5186087300638e3c5660c9a090

SHA-256 Thumbprint 0b658c27727dfd6cd47e378ae2390ea376d9708ecf4b06775f8ee7bc50119991

The easiest way to verify your migration to the Federal Common Policy CA G2 (FCPCAG2) is to validate one of your PIV credential certificates.

Verify Migration on Windows

Note: It’s okay if different certification authorities appear below the FCPCAG2 for your certificate. Click for a larger version

Verify Migration on macOS

Frequently Asked Questions

If your question does not appear in this list, send it to FPKI at gsa.gov.

What happens if I don’t distribute the FCPCAG2 root certificate in my environment?

Sample Microsoft Outlook error when a digital signature certificate for an email doesn’t chain to a trusted root CA: Click for a larger version

How can I verify that the FCPCA root certificate has been successfully distributed to my workstation or device?

Please review the steps to verify distribution of the FCPCA root certificate.