Skip to main content

ГОСТ-сертификаты

Для дополнительной защиты ваших персональных данных при использовании некоторых методов T-API применяются отечественные алгоритмы ГОСТ-шифрования.

ГОСТ-шифрование реализуется через ГОСТ-сертификаты, которые вы выпускаете для использования метода. Срок действия сертификата — 1 год с даты выпуска.

Для выпуска сертификата нужна КЭП. Ее можно заказать в разделе Квалифицированная электронная подпись или использовать КЭП от ФНС.

Выпуск

Шаг 1. Сгенерируйте ключевую пару и CSR-запрос на сертификат

Для генерации используется КриптоПро CSP с утилитой cryptcp — она входит в КриптоПро CSP для Unix-систем.

  • При генерации ключевой пары используется алгоритм GOST_R341012, длина секретного ключа — 256 бит.
  • ФИО, наименования организаций, населенных пунктов и муниципальных образований на русском языке заполняются латиницей с соблюдением правил транслитерации.

В терминале введите команду, подставив ваши данные:

cryptcp.x64.exe -creatrqst "<Путь до файла>.req" -dn "C=RU,ST=ОБЛАСТЬ,L=ГОРОД,O=ИМЯ,CN=ИМЯ" -provtype 80 -provname "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -both -ku -certusage "1.3.6.1.5.5.7.3.2" -cont "<Путь к контейнеру закрытого ключа>" -pin "<Пин-код контейнера>"

Если запросы будут выполняться на другом устройстве, для экспорта сертификата добавьте параметр -exprt:

cryptcp.x64.exe -creatrqst "<Путь до файла>.req" -dn "C=RU,ST=ОБЛАСТЬ,L=ГОРОД,O=ИМЯ,CN=ИМЯ" -provtype 80 -provname "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -exprt -both -ku -certusage "1.3.6.1.5.5.7.3.2" -cont "<Путь к контейнеру закрытого ключа>" -pin "<Пин-код контейнера>"

После выполнения запроса у вас будет два атрибута:

  • Ключевая пара — два файла: файл1.req и файл2.key.

  • CSR-запрос.

Если у вас возникли вопросы по работе с приложением КриптоПро CSP, воспользуйтесь инструкцией КриптоПро.

Шаг 2. Заполните заявку на выпуск сертификата

Скачайте и заполните шаблон.

В заявку вставьте СSR-запрос, который вы сгенерировали на шаге 1. Данные в заявке должны полностью соответствовать данным из запроса.

Шаг 3. Подпишите заполненную заявку

Заявка подписывается квалифицированной электронной подписью (КЭП) уполномоченного лица организации, который имеет право подписывать такие документы.

Подписать заявку можно в программах ЭДО или в «Инструментах КриптоПро». Если уполномоченное лицо действует по доверенности, приложите эту доверенность — она должна быть подписана КЭП единоличного органа (ЕИО), сертификат которого выдан удостоверяющим центром ФНС России или ЦБ РФ.

После выполнения у вас будет один атрибут — заявка в формате doc, pdf, sig, sgn, sign или p7s.

Видео подписания заявки через ЭДО или «Инструменты КриптоПро»:

Шаг 4. Отправьте заявку на выпуск сертификата

Отправьте ZIP-архив с двумя файлами на openapi@tbank.ru:

  • файл1.req — один из файлов, который вы сгенерировали в приложении КриптоПро CSP с cryptcp на первом шаге.
  • Подписанная КЭПом заявка на сертификат в формате doc, pdf, sig, sgn, sign или p7s.

Шаблон письма:

**Тема письма**
Заявка на выпуск ГОСТ mTLS-сертификата для <название организации>

**Тело письма**
Прошу выпустить ГОСТ mTLS-сертификат для <название организации>.
ИНН <ИНН компании>.

**Вложения**
- Файл1.req
- Файл подписанной заявки на сертификат

По истечении четырех рабочих дней мы отправим сертификат на вашу электронную почту.

Использование сертификата

Подставляйте только свои значения в параметры запроса.

Пример запроса с ГОСТ-сертификатом:

/opt/cprocsp/bin/curl -iv --cert SHA1 --url https://gost-openapi.tbank.ru/api/v3/sc/partner/schools -H "Accept: application/json" -H "Authorization: Bearer TOKEN"

Параметры запроса:

  • /opt/cprocsp/bin/curl — путь до curl в пакете КриптоПро.
  • SHA1 — SHA1-отпечаток вашего ГОСТ-сертификата в инструментах КриптоПро. Чтобы его посмотреть, на вкладке Сертификаты выберите нужный и внизу нажмите Свойства сертификата.
  • url — адрес вызываемого метода.
  • TOKEN — токен, выпущенный в личном кабинете Т-Бизнеса.

openapi@tbank.ru

АО «ТБанк» использует файлы «cookie» с целью персонализации сервисов и повышения удобства пользования веб-сайтом. «Cookie» представляют собой небольшие файлы, содержащие информацию о предыдущих посещениях веб-сайта. Если вы не хотите использовать файлы «cookie», измените настройки браузера.