ГОСТ-сертификаты

Для дополнительной защиты ваших персональных данных при использовании некоторых методов T-API применяются отечественные алгоритмы ГОСТ-шифрования.

ГОСТ-шифрование реализуется через ГОСТ-сертификаты, которые вы выпускаете для использования метода. Срок действия сертификата — 1 год с даты выпуска.

Для выпуска сертификата нужна КЭП. Ее можно заказать в разделе Квалифицированная электронная подпись или использовать КЭП от ФНС.

Выпуск

Чтобы выпустить ГОСТ-сертификат:

1. Сгенерируйте ключевую пару и CSR-запрос на сертификат через КриптоПро CSP с утилитой cryptcp — она входит в КриптоПро CSP для Unix-систем. При генерации ключевой пары используется алгоритм GOST_R341012, длина секретного ключа — 256 бит.

   Для этого в терминале введите запрос, подставив ваши данные:

   cryptcp.x64.exe -creatrqst "<Путь до файла>.req" -dn "C=RU,ST=ОБЛАСТЬ,L=ГОРОД,O=ИМЯ,CN=ИМЯ" -provtype 80 -provname "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -both -ku -certusage "1.3.6.1.5.5.7.3.2" -cont "<Путь к контейнеру закрытого ключа>" -pin "<Пин-код контейнера>"

   Наименования (ФИО, наименования организаций, населенных пунктов и муниципальных образований) на русском языке заполняются латиницей с соблюдением правил транслитерации. Если запросы будут выполняться на другом устройстве, для экспорта сертификата добавьте параметр -exprt:

   cryptcp.x64.exe -creatrqst "<Путь до файла>.req" -dn "C=RU,ST=ОБЛАСТЬ,L=ГОРОД,O=ИМЯ,CN=ИМЯ" -provtype 80 -provname "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -exprt -both -ku -certusage "1.3.6.1.5.5.7.3.2" -cont "<Путь к контейнеру закрытого ключа>" -pin "<Пин-код контейнера>"

После выполнения у вас будет два атрибута:

• Ключевая пара — два файла: файл1.req и файл2.key.

• CSR-запрос.

  
  

Если у вас возникли вопросы по работе с приложением КриптоПро CSP, воспользуйтесь инструкцией КриптоПро.

2. Заполните заявку на выпуск сертификата — скачайте и заполните шаблон.

   В заявку вставьте СSR-запрос, который вы сгенерировали в пункте 1. Данные в заявке должны полностью соответствовать данным из запроса.

3. Подпишите заполненную заявку квалифицированной электронной подписью (КЭП) уполномоченного лица организации, который имеет право подписывать такие документы.

   Подписать заявку можно в программах ЭДО или в «Инструментах КриптоПро». Если уполномоченное лицо действует по доверенности, приложите эту доверенность — она должна быть подписана КЭП единоличного органа (ЕИО), сертификат которого выдан удостоверяющим центром ФНС России или ЦБ РФ.

   После выполнения у вас будет один атрибут — заявка в одном из форматов: doc, pdf, sig, sgn, sign или p7s.

   Видео подписания заявки через ЭДО или «Инструменты КриптоПро»:

4. Отправьте ZIP-архив с двумя файлами на openapi@tbank.ru:

   • файл1.req — один из файлов, который вы сгенерировали в приложении КриптоПро CSP с cryptcp на первом шаге.
   • Подписанная КЭПом заявка на сертификат в формате doc, pdf, sig, sgn, sign или p7s.

   Шаблон письма:

   **Тема письма**
   Заявка на выпуск ГОСТ mTLS-сертификата для <название организации>
   
   **Тело письма**
   Прошу выпустить ГОСТ mTLS-сертификат для <название организации>.
   ИНН <ИНН компании>.
   
   **Вложения**
   - Файл1.req
   - Файл подписанной заявки на сертификат

По истечении четырех рабочих дней мы отправим сертификат на вашу электронную почту.

Использование сертификата

Пример запроса с ГОСТ-сертификатом:

/opt/cprocsp/bin/curl -iv --cert SHA1 --url https://gost-openapi.tbank.ru/api/v3/sc/partner/schools -H "Accept: application/json" -H "Authorization: Bearer TOKEN"

Параметры запроса:

• /opt/cprocsp/bin/curl — путь до curl в пакете КриптоПро.
• SHA1 — SHA1-отпечаток вашего ГОСТ-сертификата в инструментах КриптоПро. Чтобы его посмотреть, на вкладке Сертификаты выберите нужный и внизу нажмите Свойства сертификата.
• url — адрес вызываемого метода.
• TOKEN — токен, выпущенный в личном кабинете Т-Бизнеса.

Подставляйте только свои значения в параметры запроса.