Чтобы настроить ЭП в системе, перейдите в Администрирование — Система — Настройки системы. На открывшейся странице в блоке Настройки ЭП документооборота укажите параметры. Они располагаются на двух панелях: Общие настройки и Настройка криптопровайдеров.
Общие настройки
Чтобы установить эти настройки, в правом верхнем углу блока нажмите , задайте параметры и нажмите Сохранить.
Криптопровайдер — выберите из списка криптопровайдер для подписания документов.
Если вы хотите выбрать внутренний криптопровайдер, нужно предварительно настроить центр сертификации и получить пользовательские сертификаты. Подробнее об этом читайте в Базе знаний. Также установите приложение ELMA Агент на компьютеры пользователей, которые будут подписывать документы, и запустите его. Подробнее об ELMA Агент читайте в справке по ELMA3.
Тип электронной подписи — укажите тип подписи. Список доступных для выбора типов отличается в зависимости от криптопровайдера:
- Внутренний:
- Default CMS;
- КриптоПро CSP, КриптоПро DSS:
- CAdES-X Long Type 1;
- CAdES-BES;
- CAdES-T.
В таблице представлена краткая характеристика этих типов подписи.
Default CMS |
CAdES-BES |
CAdES-T |
CAdES-X Long Type 1 |
|
Атрибут сontent-type является обязательным |
+ |
+ |
+ |
+ |
Подпись содержит штамп времени |
- |
- |
+ |
+ |
Подпись содержит полные данные всех сертификатов, используемых для проверки подписи |
- |
- |
- |
+ |
Подпись содержит полные данные сертификатов из списка отзыва сертификатов, используемых для проверки подписи |
- |
- |
- |
+ |
Требовать ЭП при согласовании, Требовать ЭП при ознакомлении, Требовать ЭП при подписании — если вы хотите, чтобы при согласовании, ознакомлении или подписании документа пользователи могли использовать ЭП, выберите значение Да. В таком случае в окне закрытия этих задач будут установлены флажки Подписать атрибуты с помощью ЭП и Подписать содержимое с помощью ЭП, пользователи не смогут снять их. Если вы выберите значение Нет, то в окнах закрытия этих задач флажки по умолчанию будут сняты, однако, если необходимо, пользователи смогут установить их.
Запретить изменение требования ЭП в подзадачах согласования, Запретить изменение требования ЭП в подзадачах ознакомления — если вы хотите, чтобы при закрытии подзадач типа согласование или ознакомление можно было подписать атрибуты или содержимое документа, то установите значение Нет. В этом случае в окне создания таких подзадач будет отображаться настройка Требовать ЭП.
Выбор сертификата при согласовании множества документов:
- Выбирать сертификат при каждом подписании — аналогично настройке Выбор сертификата при подписании множества документов.
- Выбирать сертификат один раз при подписании — аналогично настройке Выбор сертификата при подписании множества документов, но особенность в том, что при согласовании можно также подписать решение о задаче. Чтобы просмотреть текст решения, в окне Создание ЭП нажмите Решение по задаче.
Выбор сертификата при ознакомлении со множеством документов — аналогично настройке Выбор сертификата при согласовании множества документов.
Выбор сертификата при подписании множества документов:
- Выбирать сертификат при каждом подписании — при подписании пакета документов каждый документ нужно будет подписывать отдельно, каждый раз выбирая сертификат. Такой вариант подписания аналогичен подписанию пакета документов без ЭП, но предполагает выбор сертификата;
- Выбирать сертификат один раз при подписании — при подписании пакета документов можно подписать несколько документов сразу, выбрав сертификат один раз.
Запретить пользователям редактирование настроек подписания в профиле — чтобы пользователи не могли изменять настройки подписания в своём профиле, выберите значение Да.
Разрешить подписание только по сертификату по умолчанию — если вы хотите, чтобы пользователи могли указать в своём профиле доверенный сертификат для подписания по умолчанию, выберите значение Да.
Настройка криптопровайдеров
Чтобы настроить криптопровайдер на этой панели, слева от его названия нажмите кнопку . В открывшемся окне задайте параметры. Они отличаются для разных криптопровайдеров.
КриптоПро CSP
На рисунке представлено окно настроек КриптоПро CSP.
Проверять соответствие алгоритма подписи — чтобы при проверке сертификата учитывался алгоритм его генерации, а также сравнивался выбранный криптопровайдер с криптопровайдером текущего сертификата, установите значение Да.
Адрес службы штампов времени — это поле заполняется, только если используется тип подписи CAdES-T или CAdES-X Long Type 1. Введите адрес службы штампов времени, например, https://testca.cryptopro.ru/tsp/. Этот адрес используется для присвоения подписываемому документу метки времени, в соответствии с которой в дальнейшем будет проверяться целостность подписи. Его можно узнать у поставщика сертификата.
Запомнить пароль — если вы хотите, чтобы при подписании нескольких документов пароль не нужно было вводить при каждом использовании сертификата, выберите значение Да.
Сбросить пароль при бездействии через — если в поле Запомнить пароль вы выбрали значение Да, укажите время, спустя которое при бездействии пользователя потребуется повторный ввод пароля для контейнера, в котором хранится сертификат. Время начинает отсчитывается после первого ввода пароля, а не с момента открытия страницы или окна подписания. Если вы укажете 0 дн. 0 ч 0 мин, то бездействие пользователя не будет учитываться, пароль запомнится на всю длительность сессии. Сессия заканчивается, если:
- обновить страницу;
- закрыть вкладку или браузер;
- выйти из системы;
- извлечь токен.
Корневые сертификаты удостоверяющих центров (УЦ) — отпечаток и адрес сервера нужно заполнять, только если:
- для подписания требуется использовать только сертификаты, выпущенные УЦ;
- проведена проверка работоспособности функции подписания. Не рекомендуем заполнять эти данные до проверки.
Чтобы добавить отпечаток корневого сертификата этого УЦ, нажмите кнопку Добавить и в появившемся окне заполните поле Отпечаток *. Отпечаток (Authority Key Identifier, SHA-1 хэш от закодированного с помощью DER открытого ключа) используется для проверки подлинности сертификатов пользователей.
Если корневой сертификат установлен на компьютер, то вы можете посмотреть отпечаток, открыв сертификат через оснастку управления сертификатами локального компьютера. Для этого выполните следующие действия:
- Откройте консоль управления (mmc).
- В появившемся окне выберите Файл — Добавить или удалить оснастку… .
- В списке найдите и нажмите Сертификаты, затем кнопку Добавить.
- В открывшемся окне выберите учетной записи компьютера и нажмите Далее. После этого выберите локальным компьютером, нажмите Готово, затем ОК.
- Раскройте Сертификаты, нажав .
- В папке Доверенные корневые центры сертификации нажмите Сертификаты. В появившемся списке сертификатов найдите нужный и дважды нажмите на него.
- Далее в появившемся окне перейдите на вкладку Состав. В списке найдите и нажмите Отпечаток, скопируйте его и вставьте в настройках системы в поле Отпечаток.
Чтобы отредактировать или удалить данные в поле Корневые сертификаты удостоверяющих центров (УЦ), используйте или .
КриптоПро DSS
На рисунке представлено окно настроек КриптоПро DSS: пример интеграции с тестовым облачным DSS.
Проверять соответствие алгоритма подписи — чтобы при проверке сертификата учитывался алгоритм его генерации, а также сравнивался выбранный криптопровайдер с криптопровайдером текущего сертификата, установите значение Да.
Адрес службы штампов времени — это поле заполняется, только если используется тип подписи CAdES-T или CAdES-X Long Type 1. Введите адрес службы штампов времени, например, https://testca.cryptopro.ru/tsp/. Этот адрес используется для присвоения подписываемому документу метки времени, в соответствии с которой в дальнейшем будет проверяться целостность подписи. Его можно узнать у поставщика сертификата.
Идентификатор клиента — укажите идентификатор OAuth-клиента, заданный при выполнении команды Add-DssClient.
Пароль клиента — укажите пароль OAuth-клиента, заданный при выполнении команды Add-DssClientSecret.
Адрес сервера CryptoPro DSS — для облачного DSS узнайте адрес у КриптоПро, если DSS развёрнут на локальном сервере, то укажите адрес этого сервера.
Имя сервиса идентификации сервера CryptoPro DSS — введите адрес сервиса идентификации. Команды для работы с сервисом идентификации описаны в документации к СЭП «КриптоПро DSS» в руководстве Администратора в разделе Центр Идентификации — Командлеты администрирования — Настройки экземпляра.
Имя сервиса подписания сервера CryptoPro DSS — введите имя сервиса подписания. Команды для работы с сервисом подписания описаны в документации к СЭП «КриптоПро DSS» в руководстве Администратора в разделе Сервис Подписи — Командлеты администрирования — Настройки экземпляра.
начало примечание
Примечание
Если у вас нет прав администратора, для облачного DSS имя сервиса идентификации и имя сервиса подписания нужно запросить в службе технической поддержки облачного DSS.
конец примечание
Корневые сертификаты удостоверяющих центров (УЦ) — отпечаток и адрес сервера нужно заполнять, только если:
- для подписания требуется использовать только сертификаты, выпущенные УЦ;
- проведена проверка работоспособности функции подписания. Не рекомендуем заполнять эти данные до проверки.
Чтобы добавить отпечаток корневого сертификата этого УЦ, нажмите кнопку Добавить и в появившемся окне заполните поле Отпечаток *. Отпечаток (Authority Key Identifier, SHA-1 хэш от закодированного с помощью DER открытого ключа) используется для проверки подлинности сертификатов пользователей.
Внутренний
На рисунке представлено окно настроек внутреннего криптопровайдера.
Проверять соответствие алгоритма подписи — чтобы при проверке сертификата учитывался алгоритм его генерации, а также сравнивался выбранный криптопровайдер с криптопровайдером текущего сертификата, установите значение Да.
Отключить проверку сертификата для существующих подписей — если вы хотите, чтобы при открытии карточки документа проверялась подлинность сертификата ЭП, которым был подписан документ, установите значение Да. В таком случае, если подлинность сертификата ЭП подтвердить не удалось, пользователь увидит предупреждение.
Корневые сертификаты удостоверяющих центров (УЦ) — добавьте отпечаток корневого сертификата. Для этого нажмите кнопку Добавить, в появившемся окне заполните поля и сохраните данные.
Отпечаток * (Authority Key Identifier, SHA-1 хэш от закодированного с помощью DER открытого ключа) — используется для проверки подлинности сертификатов пользователей. Его можно получить двумя способами.
Способ 1. В окне добавления отпечатка укажите адрес сервера и добавьте отпечаток, нажав кнопку Получить с центра сертификации.
начало внимание
Чтобы получить отпечаток таким способом, центр сертификации и ELMA4 должны находиться на одном сервере (не рекомендуется) или на разных серверах, но в одной доменной сети. Возможны случаи, когда внешние центры сертификации допускают подключение из внешней сети, но в таком случае их доступность, безопасность и корректность работы не гарантируется.
конец внимание
Адрес сервера — введите в формате <адрес сервера центра сертификации>\<имя центра сертификации>.
Способ 2. Аналогично получению отпечатка криптопрвайдера КриптоПро CSP.
Нашли опечатку? Выделите текст, нажмите ctrl + enter и оповестите нас