ГОСТ-сертификаты
Для дополнительной защиты ваших персональных данных при использовании некоторых методов T-API применяются отечественные алгоритмы ГОСТ-шифрования.
ГОСТ-шифрование реализуется через ГОСТ-сертификаты, которые вы выпускаете для использования метода. Срок действия сертификата — 1 год с даты выпуска.
Для выпуска сертификата нужна КЭП. Ее можно заказать в разделе Квалифицированная электронная подпись или использовать КЭП от ФНС.
Выпуск
Шаг 1. Сгенерируйте ключевую пару и CSR-запрос на сертификат
Для генерации используется КриптоПро CSP с утилитой cryptcp — она входит в КриптоПро CSP для Unix-систем.
- При генерации ключевой пары используется алгоритм
GOST_R341012, длина секретного ключа — 256 бит. - ФИО, наименования организаций, населенных пунктов и муниципальных образований на русском языке заполняются латиницей с соблюдением правил транслитерации.
В терминале введите команду, подставив ваши данные:
cryptcp.x64.exe -creatrqst "<Путь до файла>.req" -dn "C=RU,ST=ОБЛАСТЬ,L=ГОРОД,O=ИМЯ,CN=ИМЯ" -provtype 80 -provname "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -both -ku -certusage "1.3.6.1.5.5.7.3.2" -cont "<Путь к контейнеру закрытого ключа>" -pin "<Пин-код контейнера>"
Если запросы будут выполняться на другом устройстве, для экспорта сертификата добавьте параметр -exprt:
cryptcp.x64.exe -creatrqst "<Путь до файла>.req" -dn "C=RU,ST=ОБЛАСТЬ,L=ГОРОД,O=ИМЯ,CN=ИМЯ" -provtype 80 -provname "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -exprt -both -ku -certusage "1.3.6.1.5.5.7.3.2" -cont "<Путь к контейнеру закрытого ключа>" -pin "<Пин-код контейнера>"
После выполнения запроса у вас будет два атрибута:
Ключевая пара — два файла:
файл1.reqифайл2.key.CSR-запрос.
Если у вас возникли вопросы по работе с приложением КриптоПро CSP, воспользуйтесь инструкцией КриптоПро.
Шаг 2. Заполните заявку на выпуск сертификата
Скачайте и заполните шаблон.
В заявку вставьте СSR-запрос, который вы сгенерировали на шаге 1. Данные в заявке должны полностью соответствовать данным из запроса.
Шаг 3. Подпишите заполненную заявку
Заявка подписывается квалифицированной электронной подписью (КЭП) уполномоченного лица организации, который имеет право подписывать такие документы.
Подписать заявку можно в программах ЭДО или в «Инструментах КриптоПро». Если уполномоченное лицо действует по доверенности, приложите эту доверенность — она должна быть подписана КЭП единоличного органа (ЕИО), сертификат которого выдан удостоверяющим центром ФНС России или ЦБ РФ.
После выполнения у вас будет один атрибут — заявка в формате doc, pdf, sig, sgn, sign или p7s.
Видео подписания заявки через ЭДО или «Инструменты КриптоПро»:
Шаг 4. Отправьте заявку на выпуск сертификата
Отправьте ZIP-архив с двумя файлами на openapi@tbank.ru:
файл1.req— один из файлов, который вы сгенерировали в приложении КриптоПро CSP с cryptcp на первом шаге.- Подписанная КЭПом заявка на сертификат в формате
doc,pdf,sig,sgn,signилиp7s.
Шаблон письма:
**Тема письма**
Заявка на выпуск ГОСТ mTLS-сертификата для <название организации>
**Тело письма**
Прошу выпустить ГОСТ mTLS-сертификат для <название организации>.
ИНН <ИНН компании>.
**Вложения**
- Файл1.req
- Файл подписанной заявки на сертификат
По истечении четырех рабочих дней мы отправим сертификат на вашу электронную почту.
Использование сертификата
Подставляйте только свои значения в параметры запроса.
Пример запроса с ГОСТ-сертификатом:
/opt/cprocsp/bin/curl -iv --cert SHA1 --url https://gost-openapi.tbank.ru/api/v3/sc/partner/schools -H "Accept: application/json" -H "Authorization: Bearer TOKEN"
Параметры запроса:
/opt/cprocsp/bin/curl— путь доcurlв пакете КриптоПро.SHA1— SHA1-отпечаток вашего ГОСТ-сертификата в инструментах КриптоПро. Чтобы его посмотреть, на вкладке Сертификаты выберите нужный и внизу нажмите Свойства сертификата.url— адрес вызываемого метода.TOKEN— токен, выпущенный в личном кабинете Т-Бизнеса.