Выпуск сертификата ЕИО
Сервис позволяет оформить сертификат электронной подписи на сотрудников под пользователем ЕИО для работы с Sber API. Первичная выдача сертификата требует личного посещения отделения Сбербанка, однако перевыпуск осуществляется дистанционно без необходимости визита в офис.
Если в вашем текущем сертификате отсутствуют реквизиты ИНН и СНИЛС - потребуется очный визит в банк:
- Отправьте запрос на выпуск сертификата с новыми атрибутами с помощью методов v2
- Распечатайте и подпишите заявление
- Посетите отделение для завершения процедуры выпуска сертификата
Если ваш сертификат уже содержит ИНН и СНИЛС - выпуск нового доступен полностью онлайн:
- Подпишите заявление и запрос на сертификат действующей ЭП и получите новый сертификат без визита в банк.
Реквизиты запроса на сертификат
OID | Наименование | Формат |
---|---|---|
2.5.4.3 | Наименование юр. лица / ИП Обозначение: CN | UTF-8 STRING ОБЯЗАТЕЛЬНОЕ ПОЛЕ Макс. длина - 128 |
2.5.4.42 | Имя и отчество сотрудника Обозначение: GN | UTF-8 STRING ОБЯЗАТЕЛЬНОЕ ПОЛЕ Макс. длина - 128 Каждое слово в текс те должно быть отделено 1 пробелом. Если в имени или отчестве в написании присутствует «дефис», то в запрос так и вносится с дефисом, без пробелов. Если имя или отчество состоит из нескольких слов разделенных пробелом, то в запрос вносится одним словом, части которого соединены «подчеркиванием» без пробелов. Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП.xlsx Например: «Иван Иванович» |
2.5.4.4 | Фамилия сотрудника Обозначение: SN | UTF-8 STRING ОБЯЗАТЕЛЬНОЕ ПОЛЕ Макс. длина - 128 Требования к формату аналогичны GN |
2.5.4.6 | Страна Обозначение: C | PRINTABLE STRING Макс. длина - 2 ОБЯЗАТЕЛЬНОЕ ПОЛЕ Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП.xlsx Должен записываться только двухбуквенный код выбранной страны из справочника стран. Например, для «Российской федерации» - “RU” |
2.5.4.10 | Организация Обозначение: O | UTF-8 STRING Макс. длина - 64 ОБЯЗАТЕЛЬНОЕ ПОЛЕ Полное или сокращенное название организации, наименование юридического лица. Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП.xlsx Например: «ООО «Клиент»» |
2.5.4.11 | Подразделение Обозначение: OU | UTF-8 STRING Макс. длина - 64 Необязательное поле Наименование подразделения.Указываются данные подразделения уполномоченного представителя юридического лица. Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП.xlsx Если длина ИНН = 12 знакам ИЛИ поле «Подразделение» не заполнено, то oid не добавляется в запрос. Например: «Бухгалтерия» |
2.5.4.12 | Должность Обозначение: T | UTF-8 STRING ОБЯЗАТЕЛЬНОЕ ПОЛЕ Макс. длина - 64 Указываются данные уполномоченного представителя юридического лица. Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП.xlsx Если длина ИНН = 12 знакам, то oid не добавляется в запрос. Например: «Главный бухгалтер» |
1.2.643.3.131.1.1 | ИНН Физ.лица Обозначение: INN | NUMERIC STRING Длина - 12 ОБЯЗАТЕЛЬНОЕ ПОЛЕ |
1.2.643.100.4 | ИНН Юр.лица Обозначение: INNLE | NUMERIC STRING Длина - 10 или 12 ОБЯЗАТЕЛЬНОЕ ПОЛЕ |
1.2.643.100.3 | СНИЛС Физ.лица Обозначение: SNILS | NUMERIC STRING Длина - 11 ОБЯЗАТЕЛЬНОЕ ПОЛЕ |
1.2.643.100.1 | ОГРН Обозначение: OGRN | NUMERIC STRING Длина - 13 ОБЯЗАТЕЛЬНОЕ ПОЛЕ для юр.лиц |
1.2.643.100.5 | ОГРНИП Обозначение: OGRNIP | NUMERIC STRING Длина - 15 ОБЯЗАТЕЛЬНОЕ ПОЛЕ для ИП |
1.2.840.113549.1.9.1 | Адрес электронн ой почты Обозначение: E | IA5STRING ОБЯЗАТЕЛЬНОЕ ПОЛЕ Макс. длина - 64 Адрес электронной почты. Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП.xlsx Значение, которое записывается в атрибут “E” должно загружаться из поля «Адрес электронной почты» экранной формы. |
OID | Наименование | Формат |
---|---|---|
1.2.643.7.1.1.1.1 | Алгоритм подписи | Алгоритм подписи по ГОСТ Р 34.10-2012 с ключом 256 id-tc26-gost3410-12-256 |
1.2.643.2.2.35.2 | Параметры эллиптической кривой для алгоритма | Параметры ГОСТ Р 34.10-2001 256 бит, вариант B id-GostR3410-2001-CryptoPro-B-ParamSet |
1.2.643.7.1.1.2.2 | Параметры алгоритма хэширования | Алгоритм хэширования по ГОСТ Р 34.11-12 с длиной хэш-кода 256 id-tc26-gost3411-12-256 |
1.2.643.2.2.31.1 | Параметры алгоритма шифрования | Алгоритм шифрования по ГОСТ 28147-89 ГОСТ 28147-89 |
1.2.643.7.1.1.3.2 | Алгоритм подписи и хэширования (Это подпись запроса) | Алгоритм подписи ГОСТ Р 34.10-2012 с 256 с хэшированием по ГОСТ Р 34.11-2012 id-tc26-signwithdigest-gost3410-12-256 |
OID | Наименование | Формат |
---|---|---|
1.2.643.3.123.3.1 | Идентификатор Бикрипт | OCTET STRING внутри него UTF-8 STRING с ID Бикрипт ОБЯЗАТЕЛЬНОЕ ПОЛЕ Макс. длина - 32 Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП.xlsx Подробнее о формировании идентификатора рассказали ниже |
2.5.29.15 | Использование ключа | OCTET STRING содержащий BITSTRING ОБЯЗАТЕЛЬНОЕ ПОЛЕ Должно содержать следующие компоненты: Цифровая подпись, неотрекаемость, шифрование ключей, шифрование данных. |
2.5.29.19 | Базовые ограничения | OCTET STRING содержащий базовые ограничения ОБЯЗАТЕЛЬНОЕ ПОЛЕ Битовое поле «CA» ложно, ограничения длинны цепочки сертификатов – 0. |
1.2.643.3.123.3.4 | Parent AS | OCTET STRING содержащий OID бизнес-системы ОБЯЗАТЕЛЬНОЕ ПОЛЕ Заполнять значением 1.2.643.3.123.5.24 |
1.2.643.100.111 | subjectSignTool | UTF-8 STRING содержащий название СКЗИ с помощью которого создан запрос на сертификат ОБЯЗАТЕЛЬНОЕ ПОЛЕ Пример заполенения: КриптоПро CSP 5.0 |
- Первый выпуск
- Дистанционный перевыпуск
Алгоритм выпуска сертификата ЭП

Чек-лист выпуска сертификата ЭП
Шаг | Действие | Метод | Условие |
---|---|---|---|
1 | Получить токен доступа | По инструкции СберБизнес ID | Актуальный access_token для всех последующих запросов |
2 | Запросить криптопрофиль | /v1/crypto/eio | Для холдинга - свой access_token ЕИО по каждой компании |
3 | Сформировать bicryptId | - | Формат: certCenterCode + (certCenterNum +1) + "s" + ФамилияИО |
4 | Сгенерировать ключевую пару (закрытый ключ + CSR) | Запрос к СКЗИ | Параметры: bicryptId, CN, INN и другие реквизиты |
5 | Сохранить закрытый ключ | - | В HSM/токен/защищенное хранилище |
6 | Отправить запрос на сертификат | /v2/crypto/cert-request/eio | Передать CSR в base64 |
7 | П олучить статус заявления | /v1/crypto/cert-requests/eio/{externalId}/state | Ожидать ACCEPTED_BY_ABS |
8 | Получить печатную форму заявления | /v2/crypto/eio/{externalId}/print | PDF для печати и подписания (CMS=null) |
9 | Подписать и подать заявление в банк | Офлайн | Заявление на выпуск сертификата должно быть подано владельцем в отделение Сбербанка. |
10 | Получить статус выпуска сертификата | /v1/crypto/cert-requests/eio/{externalId}/state | Ожидать PUBLISHED_BY_BANK |
11 | Активировать сертификат | /v1/crypto/cert-requests/eio/{externalId}/activate | Только после статуса PUBLISHED_BY_BANK |
12 | Получить сертификат | /v1/crypto/eio | Сохранить в защищенное хранилище |
Участники
- Подписант - пользователь СберБизнес, сотрудник вашей организации, имеющий право на подписание документов от лица компании
- ЕИО - единоличный исполнительный орган вашей организации
- Платформа - любой web-ресурс или АС, которую вы используете для организации процесса оформления сертификата ЭП
- Sber API - представляет из себя ресурсы Sber API, к которым обращается Платформа
- СКЗИ - используемое вашей компанией средство криптографической защиты информации
- Банк - офис Сбера
Предусловия
- Подписант имеет профиль в СберБизнес
- Профиль подписанта имеет право подписи
- В профиле СберБизнес Подписанта установлен тип защиты «электронный ключ» (токен)
Алгоритм перевыпуска сертификата ЭП дистанционно

Чек-лист выпуска сертификата ЭП дистанционно
Шаг | Действие | Метод | Условие |
---|---|---|---|
1 | Получить токен доступа | По инструкции СберБизнес ID | Актуальный access_token для всех последующих запросов |
2 | Запросить криптопрофиль | /v1/crypto/eio | Для холдинга - свой access_token ЕИО по каждой компании |
3 | Сформировать bicryptId | - | Формат: certCenterCode + (certCenterNum +1) + "s" + ФамилияИО |
4 | Сгенерировать ключевую пару (закрытый ключ + CSR) | Запрос к СКЗИ | Параметры: bicryptId, CN, INN и другие реквизиты |
5 | Сохранить закрытый ключ | - | В HSM/токен/защищенное хранилище |
6 | Отправить запрос на сертификат (CSR) | /v2/crypto/cert-requests/eio | Подпись в base64, указать certificateUuid |
7 | Проверить статус заявления | /v1/crypto/cert-requests/eio/{externalId}/state | Дождаться AWAITING_CONFIRMATION |
8 | Получить печатную форму | /v2/crypto/cert-requests/eio/{externalId}/print | Получить PDF и CMS для подписания |
9 | Подтвердить выпуск | /v1/crypto/cert-requests/eio/{externalId}/confirm | Подписи PDF и CMS в base64 |
10 | Получить статус выпуска сертификата | /v1/crypto/cert-requests/eio/{externalId}/state | Дождаться PUBLISHED_BY_BANK |
11 | Активировать сертификат | /v1/crypto/cert-requests/eio/{externalId}/activate | Только при статусе PUBLISHED_BY_BANK |
12 | Получить сертификат | /v1/crypto/eio | Сохранить в защищенное хранилище |
Участники
- Подписант - пользователь СберБизнес, сотрудник вашей организации, имеющий право на подписание документов от лица компании
- ЕИО - единоличный исполнительный орган вашей организации
- Платформа - любой web-ресурс или АС, которую вы используете для организации процесса оформления сертификата ЭП
- Sber API - представляет из себя ресурсы Sber API, к которым обращается Платформа
- СКЗИ - используемое вашей компанией средство криптографической защиты информации
Предус ловия
- Подписант имеет профиль в СберБизнес
- Профиль подписанта имеет право подписи
- В профиле СберБизнес Подписанта установлен тип защиты «электронный ключ» (токен)
- Подписан находится на Платформе
Постусловия
- На подписанта выпущен сертификат ЭП
- Сертификат ЭП готов к созданию ЭП
Формирование BicryptId
Для составления запроса на выпуск нового сертификата ЭП необходимо сгенерировать уникальный идентификатор сертификата ЭП - Bicrypt ID.
Bicrypt ID состоит из:
1 | 2 | 3 | 4 |
---|---|---|---|
КУЦ | Порядковый номер для генерации сертификата | Тип ключа | Фамилия и инициалы владельца сертификата |
значение атрибута certCenterCode из ответа методов /v1/crypto или /v1/crypto/eio | значение атрибута certCenterNum +1 из ответа методов /v1/crypto или /v1/crypto/eio | Всегда используем значение "s" | ФамилияИО (кириллицей без пробелов) |
- Длина КУЦ может быть 4 или 6 символов
- При каждом формировании идентификатора требуется выполнять инкрементацию значения атрибута certCenterNum (добавлять +1 к текущему полученному значению)
- Порядковый номер для генерации сертификата должен соответствовать ряду: «01,02,..09,10,11..99,0A,0B..0Z,1A..1Z…9Z,A0,A1…A9,AA,AB..AZ…Z0,Z1..Z9,ZA..ZZ»
- Порядковый номер не должен содержать символы "I", "O", кириллицу, специальные символы.
- Если длина КУЦ 6 символов, то Порядковый номер необходим длиной 2 символа. Берем его без изменений из ответа методов
/v1/crypto
или/v1/crypto/eio
- Если длина КУЦ 4 символа, то Порядковый номер необходим длиной 4 символа. Берем из ответа методов
/v1/crypto
или/v1/crypto/eio
и добавляем 00 в его начало, чтобы сделать 4 символьным
Общая длина Bicrypt ID = 9 символов + Фамилия и инициалы владельца сертификата.
certCenterCode + (certCenterNum +1) + s + ФамилияИО
Примеры
Если КУЦ 6 символьный | Если КУЦ 4 символьный |
---|---|
При выполнении запроса /v1/crypto или /v1/crypto/eio :- В параметре certCenterCode получили значение A0001P - В параметре certCenterNum получили значение 08 - увеличиваем его на +1 Фамилия Имя Отчество пользователя, на которого создаем запрос на выпуск нового сертификата ЭП: Иванов Иван Иванович Итоговое значение BicryptId: A0001P09sИвановИИ | При выполнении запроса /v1/crypto или /v1/crypto/eio :- В параметре certCenterCode получили значение A01P - В параметре certCenterNum получили значение 08 - увеличиваем его на +1 и добавляем слева к нему 00 Фамилия Имя Отчество пользователя, на которого создаем запрос на выпуск нового сертификата ЭП: И ванов Иван Иванович Итоговое значение BicryptId: A01P0009sИвановИИ |
Набор разрешенных символов для текстов в КСКП ЭП
См. в файле Набор разрешенных символов в сертификате ЭП.xlsx.