При этом использовать можно с Рутокен плагином, через OpenSSL (он же КриптоКом МагПро) или через ViPNet CSP для работы на всяких госуслугах или ActiveX.

Также можно прийти со своими ключами и запросами, однако в соответствии с последними поправками в 63-ФЗ, их придётся продемонстрировать.

abn пишет:

А можно мне тоже в личку про УЦ, которые могут выписать сертификат для КП где приватный ключ неизвлекаем?

Здравствуйте, abn.

Еще из известных нам УЦ:

E-notary http://www.e-notary.ru/
УЦ "Инфотекс Траст" http://iitrust.ru/
Национальный удостоверяющий центр http://www.nucrf.ru/
КриптоПро УЦ http://www.cryptopro.ru/products/ca

Спасибо, Ксения!

Эта информация из реального опыта выписки сертификатов?

Пообщавшись с разными УЦ выяснилось, что в принципе любой УЦ может выдавать такие ключи. По крайней мере, если я правильно понял, в пак крипто-про уц, это дело одного чекбокса.
Единственное, что нужно обязательно к ним приезжать, т.к. по запросу (удаленно) они выдавать не будут. Да и сложность у самого УЦ с поддержкой разных токенов (драйвера нужно ставить и т.д.). Обычно уц работают с ограниченным числом токенов и часто без аппаратной криптографии.

Вместо с тем, мне удалось найти один уц, который создаёт неизвлекаемые ключи и даже на токен пользователя. Правда он в МО.
ca.soft.lissi.ru

Спасибо за наводку!

Все УЦ, с которыми мне приходилось общаться, не могли мне твёрдо гарантировать, что ключ будет неизвлекаемым. КриптоПро УЦ может и имеет такой чекбокс, но непонятно, действительно ли он генерирует ключи средствами токена и с атрибутом неизвлекаемости. Пока не пройдешь процедуру выписки, скорее всего, не поймёшь.

Что касается невозможности удалённой выписки, то так и должно быть, ведь УЦ должен действительно удостовериться что я - это я, а не кто-нибудь другой. Если УЦ декларировал бы возможность удалённой выписки, то я к нему и не стал бы обращаться. Другое дело, что если бы у меня уже был валидный сертификат от какого-нибудь УЦ, тогда да, можно было бы и выписать новый сертификат удалённо. Но, опять же, ни один УЦ даже не предоставляет услуг продления срока действия сертификата по такой процедуре, обязательно надо являться в офис самому.

А можно мне тоже в личку про УЦ, которые могут выписать сертификат для КП где приватный ключ неизвлекаем?

Здравствуйте, abn.

Еще из известных нам УЦ:

E-notary http://www.e-notary.ru/
УЦ "Инфотекс Траст" http://iitrust.ru/
Национальный удостоверяющий центр http://www.nucrf.ru/
КриптоПро УЦ http://www.cryptopro.ru/products/ca

Вместо с тем, мне удалось найти один уц, который создаёт неизвлекаемые ключи и даже на токен пользователя. Правда он в МО.
ca.soft.lissi.ru

Ответил в личку

А можно мне тоже в личку про УЦ, которые могут выписать сертификат для КП где приватный ключ неизвлекаем?

Возможно, для решения вашей задачи использование протокола OCSP является, так сказать, избыточной сложностью.
В сертификате, выдаваемом УЦ  СигналКома, прописан так называемый "crl distribution point", откуда вы можете загрузить актуальный CRL и на его основе проверить статус сертификата.

Или речь идет не об организации, а о софте "УЦ"?