ym88659208ym87991671
Выпуск сертификата ЕИО | Документация для разработчиков

Выпуск сертификата ЕИО

Обновлено 15 сентября 2025

Сервис позволяет оформить сертификат электронной подписи на сотрудников под пользователем ЕИО для работы с Sber API. Первичная выдача сертификата требует личного посещения отделения Сбербанка, однако перевыпуск осуществляется дистанционно без необходимости визита в офис.

Если в вашем текущем сертификате отсутствуют реквизиты ИНН и СНИЛС - потребуется очный визит в банк:

  • Отправьте запрос на выпуск сертификата с новыми атрибутами с помощью методов v2
  • Распечатайте и подпишите заявление
  • Посетите отделение для завершения процедуры выпуска сертификата

Если ваш сертификат уже содержит ИНН и СНИЛС - выпуск нового доступен полностью онлайн:

  • Подпишите заявление и запрос на сертификат действующей ЭП и получите новый сертификат без визита в банк.

Реквизиты запроса на сертификат

1. Сведения о владельце сертификата
OIDНаименованиеФормат
2.5.4.3Наименование юр. лица / ИП
Обозначение: CN
UTF-8 STRING

ОБЯЗАТЕЛЬНОЕ ПОЛЕ

Макс. длина - 128
2.5.4.42Имя и отчество сотрудника
Обозначение: GN
UTF-8 STRING

ОБЯЗАТЕЛЬНОЕ ПОЛЕ

Макс. длина - 128

Каждое слово в тексте должно быть отделено 1 пробелом. Если в имени или отчестве в написании присутствует «дефис», то в запрос так и вносится с дефисом, без пробелов. Если имя или отчество состоит из нескольких слов разделенных пробелом, то в запрос вносится одним словом, части которого соединены «подчеркиванием» без пробелов.
Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП.xlsx
Например: «Иван Иванович»
2.5.4.4Фамилия сотрудника
Обозначение: SN
UTF-8 STRING

ОБЯЗАТЕЛЬНОЕ ПОЛЕ

Макс. длина - 128

Требования к формату аналогичны GN
2.5.4.6Страна
Обозначение: C
PRINTABLE STRING

Макс. длина - 2

ОБЯЗАТЕЛЬНОЕ ПОЛЕ

Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП.xlsx

Должен записываться только двухбуквенный код выбранной страны из справочника стран.
Например, для «Российской федерации» - “RU”
2.5.4.10Организация
Обозначение: O
UTF-8 STRING

Макс. длина - 64

ОБЯЗАТЕЛЬНОЕ ПОЛЕ

Полное или сокращенное название организации, наименование юридического лица.

Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП.xlsx
Например: «ООО «Клиент»»
2.5.4.11Подразделение
Обозначение: OU
UTF-8 STRING

Макс. длина - 64

Необязательное поле

Наименование подразделения.Указываются данные подразделения уполномоченного представителя юридического лица.

Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП.xlsx

Если длина ИНН = 12 знакам ИЛИ поле «Подразделение» не заполнено, то oid не добавляется в запрос.
Например: «Бухгалтерия»
2.5.4.12Должность
Обозначение: T
UTF-8 STRING

ОБЯЗАТЕЛЬНОЕ ПОЛЕ

Макс. длина - 64

Указываются данные уполномоченного представителя юридического лица.

Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП.xlsx
Если длина ИНН = 12 знакам, то oid не добавляется в запрос.
Например: «Главный бухгалтер»
1.2.643.3.131.1.1ИНН Физ.лица
Обозначение: INN
NUMERIC STRING

Длина - 12

ОБЯЗАТЕЛЬНОЕ ПОЛЕ
1.2.643.100.4ИНН Юр.лица
Обозначение: INNLE
NUMERIC STRING

Длина - 10 или 12

ОБЯЗАТЕЛЬНОЕ ПОЛЕ
1.2.643.100.3СНИЛС Физ.лица
Обозначение: SNILS
NUMERIC STRING

Длина - 11

ОБЯЗАТЕЛЬНОЕ ПОЛЕ
1.2.643.100.1ОГРН
Обозначение: OGRN
NUMERIC STRING

Длина - 13

ОБЯЗАТЕЛЬНОЕ ПОЛЕ для юр.лиц
1.2.643.100.5ОГРНИП
Обозначение: OGRNIP
NUMERIC STRING

Длина - 15

ОБЯЗАТЕЛЬНОЕ ПОЛЕ для ИП
1.2.840.113549.1.9.1Адрес электронной почты
Обозначение: E
IA5STRING

ОБЯЗАТЕЛЬНОЕ ПОЛЕ

Макс. длина - 64

Адрес электронной почты.

Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП.xlsx
Значение, которое записывается в атрибут “E” должно загружаться из поля «Адрес электронной почты» экранной формы.
2. Параметры по ГОСТ Р 34.10-2012
OIDНаименованиеФормат
1.2.643.7.1.1.1.1Алгоритм подписиАлгоритм подписи по ГОСТ Р 34.10-2012 с ключом 256

id-tc26-gost3410-12-256
1.2.643.2.2.35.2Параметры эллиптической кривой для алгоритмаПараметры ГОСТ Р 34.10-2001 256 бит, вариант B

id-GostR3410-2001-CryptoPro-B-ParamSet
1.2.643.7.1.1.2.2Параметры алгоритма хэшированияАлгоритм хэширования по ГОСТ Р 34.11-12 с длиной хэш-кода 256

id-tc26-gost3411-12-256
1.2.643.2.2.31.1Параметры алгоритма шифрованияАлгоритм шифрования по ГОСТ 28147-89

ГОСТ 28147-89
1.2.643.7.1.1.3.2Алгоритм подписи и хэширования (Это подпись запроса)Алгоритм подписи ГОСТ Р 34.10-2012 с 256 с хэшированием по ГОСТ Р 34.11-2012

id-tc26-signwithdigest-gost3410-12-256
3. Расширения (Extension)
OIDНаименованиеФормат
1.2.643.3.123.3.1Идентификатор БикриптOCTET STRING внутри него UTF-8 STRING с ID Бикрипт

ОБЯЗАТЕЛЬНОЕ ПОЛЕ

Макс. длина - 32

Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП.xlsx

Подробнее о формировании идентификатора рассказали ниже
2.5.29.15Использование ключаOCTET STRING содержащий BITSTRING

ОБЯЗАТЕЛЬНОЕ ПОЛЕ

Должно содержать следующие компоненты: Цифровая подпись, неотрекаемость, шифрование ключей, шифрование данных.
2.5.29.19Базовые ограниченияOCTET STRING содержащий базовые ограничения

ОБЯЗАТЕЛЬНОЕ ПОЛЕ

Битовое поле «CA» ложно, ограничения длинны цепочки сертификатов – 0.
1.2.643.3.123.3.4Parent ASOCTET STRING содержащий OID бизнес-системы

ОБЯЗАТЕЛЬНОЕ ПОЛЕ

Заполнять значением 1.2.643.3.123.5.24
1.2.643.100.111subjectSignToolUTF-8 STRING содержащий название СКЗИ с помощью которого создан запрос на сертификат

ОБЯЗАТЕЛЬНОЕ ПОЛЕ

Пример заполенения: КриптоПро CSP 5.0

Алгоритм выпуска сертификата ЭП

sbbapi-sbp-btb

Чек-лист выпуска сертификата ЭП

ШагДействиеМетодУсловие
1Получить токен доступаПо инструкции СберБизнес IDАктуальный access_token для всех последующих запросов
2Запросить криптопрофиль/v1/crypto/eioДля холдинга - свой access_token ЕИО по каждой компании
3Сформировать bicryptId-Формат: certCenterCode + (certCenterNum +1) + "s" + ФамилияИО
4Сгенерировать ключевую пару (закрытый ключ + CSR)Запрос к СКЗИПараметры: bicryptId, CN, INN и другие реквизиты
5Сохранить закрытый ключ-В HSM/токен/защищенное хранилище
6Отправить запрос на сертификат/v2/crypto/cert-request/eioПередать CSR в base64
7Получить статус заявления/v1/crypto/cert-requests/eio/{externalId}/stateОжидать ACCEPTED_BY_ABS
8Получить печатную форму заявления/v2/crypto/eio/{externalId}/printPDF для печати и подписания (CMS=null)
9Подписать и подать заявление в банкОфлайнЗаявление на выпуск сертификата должно быть подано владельцем в отделение Сбербанка.
10Получить статус выпуска сертификата/v1/crypto/cert-requests/eio/{externalId}/stateОжидать PUBLISHED_BY_BANK
11Активировать сертификат/v1/crypto/cert-requests/eio/{externalId}/activateТолько после статуса PUBLISHED_BY_BANK
12Получить сертификат/v1/crypto/eioСохранить в защищенное хранилище
UML-диаграмма

Участники

  • Подписант - пользователь СберБизнес, сотрудник вашей организации, имеющий право на подписание документов от лица компании
  • ЕИО - единоличный исполнительный орган вашей организации
  • Платформа - любой web-ресурс или АС, которую вы используете для организации процесса оформления сертификата ЭП
  • Sber API - представляет из себя ресурсы Sber API, к которым обращается Платформа
  • СКЗИ - используемое вашей компанией средство криптографической защиты информации
  • Банк - офис Сбера

Предусловия

  • Подписант имеет профиль в СберБизнес
  • Профиль подписанта имеет право подписи
  • В профиле СберБизнес Подписанта установлен тип защиты «электронный ключ» (токен)

Формирование BicryptId

Для составления запроса на выпуск нового сертификата ЭП необходимо сгенерировать уникальный идентификатор сертификата ЭП - Bicrypt ID.

Bicrypt ID состоит из:

1234
КУЦПорядковый номер для генерации сертификатаТип ключаФамилия и инициалы владельца сертификата
значение атрибута certCenterCode из ответа методов /v1/crypto или /v1/crypto/eioзначение атрибута certCenterNum +1 из ответа методов /v1/crypto или /v1/crypto/eioВсегда используем значение "s"ФамилияИО (кириллицей без пробелов)
  • Длина КУЦ может быть 4 или 6 символов
  • При каждом формировании идентификатора требуется выполнять инкрементацию значения атрибута certCenterNum (добавлять +1 к текущему полученному значению)
  • Порядковый номер для генерации сертификата должен соответствовать ряду: «01,02,..09,10,11..99,0A,0B..0Z,1A..1Z…9Z,A0,A1…A9,AA,AB..AZ…Z0,Z1..Z9,ZA..ZZ»
  • Порядковый номер не должен содержать символы "I", "O", кириллицу, специальные символы.
  • Если длина КУЦ 6 символов, то Порядковый номер необходим длиной 2 символа. Берем его без изменений из ответа методов /v1/crypto или /v1/crypto/eio
  • Если длина КУЦ 4 символа, то Порядковый номер необходим длиной 4 символа. Берем из ответа методов /v1/crypto или /v1/crypto/eio и добавляем 00 в его начало, чтобы сделать 4 символьным

Общая длина Bicrypt ID = 9 символов + Фамилия и инициалы владельца сертификата.

certCenterCode + (certCenterNum +1) + s + ФамилияИО

Примеры

Если КУЦ 6 символьныйЕсли КУЦ 4 символьный
При выполнении запроса /v1/crypto или /v1/crypto/eio:
- В параметре certCenterCode получили значение A0001P
- В параметре certCenterNum получили значение 08 - увеличиваем его на +1

Фамилия Имя Отчество пользователя, на которого создаем запрос на выпуск нового сертификата ЭП: Иванов Иван Иванович

Итоговое значение BicryptId: A0001P09sИвановИИ
При выполнении запроса /v1/crypto или /v1/crypto/eio:
- В параметре certCenterCode получили значение A01P
- В параметре certCenterNum получили значение 08 - увеличиваем его на +1 и добавляем слева к нему 00

Фамилия Имя Отчество пользователя, на которого создаем запрос на выпуск нового сертификата ЭП: Иванов Иван Иванович

Итоговое значение BicryptId: A01P0009sИвановИИ

Набор разрешенных символов для текстов в КСКП ЭП

См. в файле Набор разрешенных символов в сертификате ЭП.xlsx.

Заметили ошибку?

Выделите текст и нажмите Ctrl + Enter, чтобы сообщить нам о ней

ПАО Сбербанк использует cookie для персонализации сервисов и удобства пользователей. Вы можете запретить сохранение cookie в настройках своего браузера.