Как обновить сертификаты ЭП из локального ЦС в Directum RX

В этом материале — наш опыт автоматизированного обновления сертификатов из локального ЦС для сотен сотрудников, включая решение двух самых коварных проблем:

— Невидимые символы при копировании отпечатков.
— Несовместимость SHA256 с устаревшими серверами.

Задача: массовое обновление сертификатов без ручного ввода

Клиент использует внутренний ЦС для выпуска сертификатов ЭП. Срок действия — 1 год. Каждый год — массовое обновление для сотен пользователей.

Ручной ввод сертификатов в Directum RX — трудоёмкий и подверженный ошибкам процесс. Нам нужно было:

— Автоматизировать импорт сертификатов.
— Избежать ошибок при настройке сервисов.
— Обеспечить совместимость с серверами на старых ОС.

Шаг 1: Получение сертификатов из локального ЦС

Сертификаты можно получить несколькими способами:

— Через веб-интерфейс ЦС.
— Через оснастку certmgr.msc (для личных сертификатов).
— Программно — с помощью PowerShell.

Рекомендуемый способ — PowerShell:

# Получить сертификат по отпечатку

$cert = Get-ChildItem -Path Cert:\CurrentUser\My | Where-Object { $_.Thumbprint -eq "A1B2C3D4..." }

# Экспортировать в файл .cer (только открытый ключ)

Export-Certificate -Cert $cert -FilePath "C:\certs\user.cer"

# Или в .pfx (с закрытым ключом, если разрешён экспорт)

Export-PfxCertificate -Cert $cert -FilePath "C:\certs\user.pfx" -Password (ConvertTo-SecureString -String "password" -Force)

Шаг 2: Автоматический импорт в Directum RX

Для массового обновления мы разработали скрипт на C#, который импортирует сертификаты в Directum RX через API.

var newCert = Sungero.CoreEntities.Certificates.Create();

newCert.Owner = Sungero.CoreEntities.Users.As(employee);

newCert.X509Certificate = certificateData; // массив байт .cer или .pfx

newCert.Issuer = certificateInfo.Issuer;

newCert.Subject = certificateInfo.Subject;

newCert.Thumbprint = certificateInfo.Thumbprint;

newCert.NotBefore = certificateInfo.NotBefore.FromUtcTime();

newCert.NotAfter = certificateInfo.NotAfter.FromUtcTime();

newCert.Description = "Обновлён из локального ЦС";

newCert.Save();

Преимущества:

— Не нужно заходить под каждым пользователем.
— Все сертификаты обновляются централизованно.
— Можно запланировать выполнение перед окончанием срока действия.

Проблема 1: Невидимые символы в отпечатке сертификата

Одна из самых коварных ошибок — невидимые символы, которые копируются вместе с отпечатком при копировании из оснастки certmgr.msc.

Симптомы:

— Сервисы не запускаются.
— Ошибка: «Сертификат не найден», хотя отпечаток вроде бы верный.

Решение:

— Скопируйте отпечаток в Блокнот.

— Удалите все пробелы и лишние символы.

— Проверьте длину — должно быть 40 символов (HEX).

— Используйте чистую строку в конфигурационных файлах (appsettings.json, web.config).

Совет: Напишите простой валидатор:

bool IsValidThumbprint(string thumbprint)

{

return !string.IsNullOrWhiteSpace(thumbprint)

&& thumbprint.Length == 40

&& System.Text.RegularExpressions.Regex.IsMatch(thumbprint, @"^[A-F0-9]{40}$");

}

Проблема 2: Ошибка SHA256 на старых серверах

Новые сертификаты используют алгоритм хеширования SHA256, но на серверах с Windows Server 2012 R2 и ниже он не поддерживается по умолчанию.

Симптомы:

— Ошибка при установке .pfx-файла.

— Сервисы подписания не запускаются.

— В логах: «The hash algorithm is not supported».

Решение:

— Установите обновление KB4474419.

— Перезагрузите сервер.

— Только после этого импортируйте сертификат.

Альтернатива (если обновление нельзя установить):

— Импортируйте сертификат на современной ОС (Windows 10/11, Server 2016+).

— Экспортируйте его обратно с шифрованием 3DES-SHA1:

Export-PfxCertificate -Cert $cert -FilePath "C:\certs\legacy.pfx" -Password $pwd -Csp "Microsoft Enhanced RSA and AES Cryptographic Provider" -KeyExportPolicy Exportable

При экспорте система спросит, какое шифрование использовать — выберите 3DES-SHA1.

Важно: Не создавайте .pfx с SHA256, если он будет использоваться на старых серверах.

Шаг 3: Обновление отпечатков в сервисах

После обновления сертификатов необходимо обновить отпечатки в конфигурационных файлах всех сервисов:

— MessageBroker.exe.config
— SignatureService.exe.config
— StorageService.exe.config
— appsettings.json в Web-API

Что проверить:

— Все отпечатки очищены от невидимых символов.
— Используется https в адресах.
— Сертификат доверенный и установлен в хранилище Local Machine.

Итог: чек-лист обновления сертификатов ЭП

Получены новые сертификаты из локального ЦС

— Отпечатки очищены от невидимых символов

— На старых серверах установлено KB4474419

— При необходимости — сертификаты экспортированы в 3DES-SHA1

— Сертификаты импортированы в Directum RX (вручную или через скрипт)

— Отпечатки обновлены во всех сервисах

— Сервисы перезапущены и проверены на работоспособность

Заключение

Обновление сертификатов ЭП — процесс, который можно и нужно автоматизировать. Особенно при работе с локальным ЦС и большим количеством пользователей.

Ключевые моменты успеха:

— Внимание к деталям — даже один невидимый символ может сломать систему.
— Совместимость с инфраструктурой — помните о старых серверах.
— Централизованное управление — используйте скрипты и API Directum RX.

В ЦВД мы помогаем настроить автоматическое обновление сертификатов, включая интеграцию с локальным ЦС. Если у вас — аналогичная задача — обратитесь к нашим экспертам.