Настройка доверия к сертификатам Минцифры России для работы с сервисами Банка 131
Чтобы ваша система могла подключаться к сервисам Банка 131 по защищённому TLS-каналу, ей нужно доверять российским удостоверяющим центрам, которые выпускают наши сертификаты.
Если в операционной системе или в прикладном ПО отсутствуют нужные корневые сертификаты, проверка цепочки сертификации провалится, и установить соединение не получится.
Установите сертификаты Russian Trusted CA заранее — так вы снизите риск сбоев при работе с нашими сервисами и обеспечите стабильную интеграцию.
Основные шаги
- Получить актуальные сертификаты Национального удостоверяющего центра Минцифры России (Russian Trusted CA).
- Установить корневой и промежуточные сертификаты Russian Trusted CA в доверенное хранилище сертификатов используемой операционной системы или программной платформы.
- Проверить работоспособности интеграции.
Получение сертификатов
Актуальные сертификаты и официальные инструкции доступны на портале Госуслуг:
https://www.gosuslugi.ru/crt.
Установите два сертификата:
- Russian Trusted Root CA — корневой,
- Russian Trusted Sub CA — промежуточный.
Установка сертификатов
- Для Windows
- Для Linux
- Для Java
- Скачайте сертификаты Russian Trusted CA.
- Откройте файл сертификата двойным щелчком.
- Выберите действие Установить сертификат.
- Запустите мастер импорта сертификатов.
- Разместите сертификат в хранилище Доверенные корневые центры сертификации.
- Завершите импорт и подтвердите установку.
- Перезапустите используемые приложения и браузеры.
Для систем на базе Debian/Ubuntu выполните следующие команды:
sudo cp russian_trusted_root_ca.pem /usr/local/share/ca-certificates/russian_trusted_root_ca.crt
sudo cp russian_trusted_sub_ca.pem /usr/local/share/ca-certificates/russian_trusted_sub_ca.crt
sudo update-ca-certificates
Для систем на базе RHEL/CentOS:
sudo cp russian_trusted_*.pem /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust
После обновления хранилища сертификатов перезапустите прикладные сервисы.
Если интеграция работает на Java, сертификат может потребоваться дополнительно импортировать в truststore JVM:
# Создать отдельный truststore и импортировать оба сертификата
keytool -importcert -alias russian_trusted_root \
-file russian_trusted_root_ca.pem \
-keystore russian_truststore.jks \
-storepass <пароль> -noprompt
keytool -importcert -alias russian_trusted_sub \
-file russian_trusted_sub_ca.pem \
-keystore russian_truststore.jks \
-storepass <пароль> -noprompt
Укажите truststore при запуске приложения:
java -Djavax.net.ssl.trustStore=/path/to/russian_truststore.jks \
-Djavax.net.ssl.trustStorePassword=<пароль> \
-jar app.jar
Проверка установки
Для проверки доступности доверенной цепочки сертификатов:
- выполните тестовый запрос к API Банка 131,
- убедитесь в отсутствии ошибок SSL/TLS,
- проверьте, что журналы приложения не содержат записей о недоверенном сертификате или ошибках построения цепочки сертификации.
Возможные ошибки при отсутствии необходимых корневых или промежуточных сертификатов в доверенном хранилище:
certificate verify failedunable to get local issuer certificatecertificate chain validation errorSSL handshake failed