ГОСТ-сертификаты
Для дополнительной защиты ваших персональных данных при использовании некоторых методов T-API применяются отечественные алгоритмы ГОСТ-шифрования.
ГОСТ-шифрование реализуется через ГОСТ-сертификаты, которые вы выпускаете для использования метода. Срок действия сертификата — 1 год с даты выпуска.
Для выпуска сертификата нужна КЭП. Ее можно заказать в разделе Квалифицированная электронная подпись или использовать КЭП от ФНС.
Выпуск
Шаг 1. Сгенерируйте ключевую пару и CSR-запрос на сертификат
Для генерации используется КриптоПро CSP с утилитой cryptcp — она входит в КриптоПро CSP для Unix-систем.
- При генерации ключевой пары используется алгоритм
GOST_R341012, длина секретного ключа — 256 бит. - ФИО, наименования организаций, населенных пунктов и муниципальных образований заполняются на русском языке.
В терминале введите команду, подставив ваши данные:
cryptcp.x64.exe -creatrqst "<Путь до файла>.req" -dn "C=RU,ST=ОБЛАСТЬ,L=ГОРОД,O=НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ (Только ЮЛ),CN=НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ (ФИО ДЛЯ ИП),ИНН=ИНН ИП, ОГРНИП=ОГРНИП,ОГРН=ОГРН (Только ЮЛ),ИНН ЮЛ=ИНН ЮЛ (Только ЮЛ),SN=ФАМИЛИЯ,G=ИМЯ И ОТЧЕСТВО,T=ДОЛЖНОСТЬ (Только ЮЛ),СНИЛС=СНИЛС,E=EMAIL" -provtype 80 -provname "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -exprt -both -ku -certusage "1.3.6.1.5.5.7.3.2" -cont "<Путь к контейнеру закрытого ключа>" -pin "<Пин-код контейнера>"
После выполнения запроса у вас будет файл1.req — если его открыть, вы увидите CSR-запрос, который нужно скопировать в шаблон.
Если у вас возникли вопросы по работе с приложением КриптоПро CSP, воспользуйтесь инструкцией КриптоПро.
Шаг 2. Заполните заявку на выпуск сертификата
Скачайте и заполните шаблон для ЮЛ или шаблон для ИП.
В заявку вставьте СSR-запрос, который вы сгенерировали на шаге 1. Данные в заявке должны полностью соответствовать данным из запроса.
Шаг 3. Подпишите заполненную заявку
Заявка подписывается квалифицированной электронной подписью (КЭП) уполномоченного лица организации, который имеет право подписывать такие документы.
Подписать заявку можно в программах ЭДО или «Инструментах КриптоПро». Если уполномоченное лицо действует по доверенности, приложите эту доверенность — она должна быть подписана КЭП единоличного органа (ЕИО), сертификат которого выдан удостоверяющим центром ФНС России или ЦБ РФ.
После выполнения у вас будет один атрибут — заявка в формате doc, pdf, sig, sgn, sign или p7s.
Шаг 4. Отправьте заявку на выпуск сертификата
Отправьте два файла на openapi@tbank.ru:
- Заполненная заявка на сертификат.
- Подписанная КЭПом заявка на сертификат в формате
doc,pdf,sig,sgn,signилиp7s.
Шаблон письма для mTLS-сертификата:
**Тема письма**
Заявка на выпуск ГОСТ mTLS-сертификата для <название организации>
**Тело письма**
Прошу выпустить ГОСТ mTLS-сертификат для <название организации>.
ИНН <ИНН компании> для сервиса <T-API/Host-to-Host/Транзит/T-Bundle>
**Вложения**
- Файл подписанной заявки на сертификат
- Файл отсоединенной подписи, если есть
По истечении четырех рабочих дней мы отправим сертификат на вашу электронную почту.
Использование сертификата
Подставляйте только свои значения в параметры запроса.
Пример запроса с ГОСТ-сертификатом:
/opt/cprocsp/bin/curl -iv --cert SHA1 --url https://gost-openapi.tbank.ru/api/v3/sc/partner/schools -H "Accept: application/json" -H "Authorization: Bearer TOKEN"
Параметры запроса:
/opt/cprocsp/bin/curl— путь доcurlв пакете КриптоПро.SHA1— SHA1-отпечаток вашего ГОСТ-сертификата в инструментах КриптоПро. Чтобы его посмотреть, на вкладке Сертификаты выберите нужный и внизу нажмите Свойства сертификата.url— адрес вызываемого метода.TOKEN— токен, выпущенный в личном кабинете Т-Бизнеса.