Главная причина — я использовал неизвлекаемый ключ на носителе. А это означает, что закрытый ключ никогда не покидает носитель и все криптографические операции выполняются на токене, а не в КриптоПро.
Это также означает, что имеет большое значение срок действия сертификата ФСБ. Он конечен и не сильно большой. Всего пару-тройку лет. Вы гарантированно не используете всю память токена. При истечении этого срока софт удостоверяющего центра откажется создавать новый ключ. Что у меня и произошло.
Но, это только половина дела!
У меня было два токена — Рутокен ЭЦП 2.0 2000 и Рутокен ЭЦП 2.0 3000. По ним я получил ответ от поддержки удостоверяющего центра:
С 1 июня 2024 года у средства электронной подписи, встроенного в носитель «Рутокен ЭЦП 2.0», закончился сертификат соответствия от ФСБ. Это означает, что дальнейшее использование данного устройства для подписания электронных документов станет невозможным в соответствии с законодательством.
По Федеральному закону от 06.04.2011 № 63-ФЗ «Об электронной подписи» при подписании электронных документов можно использовать только сертифицированные средства электронной подписи, поэтому с началом лета встроенные в Рутокен 2.0 средства электронной подписи будут считаться несертифицированными.
Если на «Рутокен ЭЦП 2.0» хранится действующая подпись, и она создана до 1 июня 2024 года, ее можно использовать до окончания срока действия ключа, вплоть до 1 сентября 2025 года. Но создавать новые ключи для электронной подписи после 1 июня 2024 года на таком носителе запрещено, нужно заменить его на «Рутокен ЭЦП 3.0».
Заказал и получил новый — Рутокен ЭЦП 3.0 3120. У него с сертификатом соответствия все хорошо — до 01.05.2027. Токен у меня был на руках, я на ПК, весь софт давно установлен и настроен. Действующая ЭЦП еще актуальна 2 часа. Но я не могу создать новый ключ, просто нет такой кнопки и все тут. Поддержка ничего сделать не может, т.к. в заявке менеджер указал получение ЭЦП в офисе. Вот так!
Как так вышло я не знаю. Менеджер и до этого менял тип заявки. Но в этот раз суета под клиентом больно ударила по клиенту. Я был готов полностью, но не смог ничего сделать.
В этом УЦ (Тензор) принято звонить клиенту за месяц до истечения срока действия ЭЦП. И мне звонили. Разговор стандартный и нацелен на то, чтобы выставить счет и указать в нем правильную сумму (спрашивают что я собрался делать с ЭЦП).
Предупреждать клиента о том, что его токен протух — не дело УЦ. Информация об этом у него есть, ибо используется в момент генерации ключа. А сервиса нет.
Да, если бы я задался целью сделать все за месяц, а не за неделю, то проблемы у меня и не было бы. Но так заранее я не делаю. Наверное, зря. Для себя я решил лепить стикер со сроками действия на коробочку с токеном.
В итоге ЭЦП не переиздал. В офис ехать очень далеко и это мероприятие, похоже на туристическую поездку выходного дня. Делаются такие вещи только по пути (когда есть большой список дел).
Деньги мне вернули, но сделали так, чтобы я почувствовал, что зарабатываю их заново. Платил я по карте. Такие операции можно провести минут за 15 в личном кабинете эквайера. Но Тензору очень требуется мое заявление. Его нужно распечатать, заполнить, отсканировать и отправить по email. Вынужден сказать «спасибо» за то, что не потребовалось воспользоваться услугами Почты России.
Шаблон заявления поражает воображение. Им можно пользоваться только в MS Office. Мой LibreOffice и МойОфис мне не помогли (я на Linux). Гораздо проще было набить заявление по своему шаблону, указав все теже данные.
Как можно добиться такой несовместимости? А очень просто! Формат doc и таблица внутри. Я очень редко сталкиваюсь с такими проблемами. Тензор — сила!
И как я перевыпустил ЭЦП на Рутокен ЭЦП 2 в ФНС
Софт для перевыпуска у них предельно устойчив к ошибкам. На первой попытке он банально завис, но я смог продолжить процедуру. Но он не может работать с двумя носителями (один для действующей подписи, а другой — для новой). Думаю, именно поэтому мне позволили перевыпустить подпись так, а не заставили купить Рутокен ЭЦП 3.
В итоге, Рутокен ЭЦП 3 у меня пока лежит и просто ждет своего часа. Мне предстоит поиск нового УЦ (Тензор и Контур пока в стороне). Мне снова придется настаивать на неизвлекаемом ключе (потому что я параноик и так хочу). По умолчанию любой УЦ (имел дело с тремя) создает на любом токене извлекаемый ключ. Т.е. вы получите дорогую флешку с ПИН-кодом и отметкой на ключе, что его низя копировать.