Личный кабинет юридического лица на nalog.ru
Продолжаю тему российской криптографии, бессмысленной и беспощадной.
На этот раз потребовалось получить доступ к личному кабинету юридического лица на официальном сайте нашей доблестной ФНС. Пришлось промудохаться с этим целый день. В итоге сделал.
Теоретически там же, на офсайте, есть инструкция. Только вот там не указана пара мелких нюансов, без знания которых почему-то ничего не взлетает. При этом по отлупу браузера совершенно невозможно разобраться почему же именно. Итак.
Начнём с того, что помимо приснопамятного "КриптоПро" существует ещё и бесплатная альтернатива под названием "ViPNet". Оный весьма популярен по причине как раз таки своей бесплатности. Но какое же это сраное вонючее калище, у меня других слов просто нет. И учтите, что поскольку формат ключевых контейнеров нигде никем и никак не регламентирован и не стандартизирован, то вы впоследствии не сможете перейти на другой криптопровайдер. Иными словами, если вы начали использовать ViPNet, то вы уже малой кровью не перелезете с него на КриптоПро: придётся заново генерировать все закрытые ключи и перевыпускать привязанные к ним сертификаты.
Дальше. Мало кто знает, но квалифицированная цифровая попись, которая выдаётся для работы в программе "Астрал-отчёт" (на сленге ITшников - "Отсрал-отчёт", такое же вонючее калище, зато дешёво), также годится и для регистрации в личном кабинете имени налоговой. Но придётся совершить ряд неочевидных шаманств.
Во-первых, берите версию ViPNet 4.2. С 4.0 у меня так ничего и не получилось. Во-вторых, в разделе "дополнительно" нужно расставить "галки" так, как показано на скриншоте (кликабельно). Это я выяснял долгим и мучительным опытным путём.
В-третьих, наши доблестные госорганы, конечно же, не удосужились включить в ответах веб-серверов все необходимые промежуточные и корневые сертификаты. В том числе и по этой причине тоже браузер ругается со словами "не могу установить TLS-соединение". Поэтому понадобится ручками установить вот этот корневой сертификат в "Доверенные корневые центры сертификации" и вот этот промежуточный сертификат в "Доверенные промежуточные центры сертификации". Только тогда X509-цепочка собирается, и браузер начинает ей доверять.
Такие дела. Пока существуют российская криптография и российские госорганы, всякие аутсо(р)синговые конторы точно свой кусок хлеба урвут. Всегда. Непонятно только, хорошо это или плохо. Прибавочный продукт-то они все ни разу не создают. Просто одни создают лютый геморрой гражданам, а другие героически его зашивают.