Настройки электронной подписи
Электронная подпись (ЭП) – реквизит документа, сформированный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить принадлежность подписи владельцу сертификата ключа подписи, а также проверить, не была ли искажена информация в документе с момента формирования подписи. ЭП предназначена для идентификации лица, подписавшего электронный документ, и является полноценной заменой собственноручной подписи в случаях, предусмотренных законом.
Возможность подписания версий документов в системе ELMA доступна только при наличии активированного приложения ECM+, а также при выполнении соответствующих настроек.
Для использования ЭП в системе ELMA требуется выполнить ряд настроек:
-
-
-
-
-
Настройки ЭП в системе ELMA осуществляются в веб-приложении в разделе Администрирование – Система – Настройки системы в блоке Настройки ЭП. Данный блок включает в себя два вложенных блока:
Общие настройки и
Настройка криптопровайдеров (рис. 1).
Рис. 1. Раздел "Администрирование – Система – Настройки системы". Блок "Настройки ЭЦП документооборота"
Для редактирования данных настроек необходимо нажать на кнопку . В открывшемся диалоговом окне (рис. 2) необходимо внести требуемые изменения и нажать на кнопку Сохранить.
Рис. 2. Диалоговое окно редактирования вложенного блока "Общие настройки"
Тип цифровой подписи – возможность выбора из выпадающего списка типа цифровой подписи. Список типов отличается в зависимости от
выбранного криптопровайдера:
-
для внутреннего криптопровайдера:
-
-
для криптопровайдера КриптоПро CSP:
-
-
-
Различия в типах подписи кратко отражены в следующей таблице:
|
Default CMS
|
CAdES-BES
|
CAdES-T
|
CAdES-X Long Type 1
|
Атрибут сontent-type является обязательным
|
-
|
+
|
+
|
+
|
Подпись содержит штамп времени
|
-
|
-
|
+
|
+
|
Подпись содержит полные данные всех сертификатов, использующихся для проверки подписи
|
-
|
-
|
-
|
+
|
Подпись содержит полные данные сертификатов из списка отзыва сертификатов, использующихся для проверки подписи
|
-
|
-
|
-
|
+
|
Подпись содержит штамп времени на всей подписи (включая наличие доверенного времени во всех элементах подписи)
|
-
|
-
|
-
|
+
|
Требовать ЭП при согласовании:
-
Да – в диалоговом окне при согласовании документа по умолчанию будет установлен флажок Подписать атрибуты с помощью ЭП, который не может быть снят.
-
Нет – в диалоговом окне при согласовании документа флажок Подписать атрибуты с помощью ЭП по умолчанию снят. При необходимости пользователь может вручную установить данный флажок и согласовать документ с использованием ЭП.
Требовать ЭП при ознакомлении:
-
Да – в диалоговом окне при ознакомлении с документом по умолчанию будет установлен флажок Подписать атрибуты с помощью ЭП, который не может быть снят.
-
Нет – в диалоговом окне при ознакомлении с документом флажок Подписать атрибуты с помощью ЭП по умолчанию снят. При необходимости пользователь может вручную установить данный флажок и ознакомиться с документом с использованием ЭП.
Требовать ЭП при подписании:
-
Да – в диалоговом окне при подписании документа по умолчанию будет установлен флажок Подписать атрибуты с помощью ЭП, который не может быть снят.
-
Нет – в диалоговом окне при подписании документа флажок Подписать атрибуты с помощью ЭП по умолчанию снят. При необходимости пользователь может вручную установить данный флажок и согласовать документ с использованием ЭП.
Запретить изменение требования ЭП в подзадачах согласования:
-
Да – в диалоговом окне при создании подзадачи с типом Задача согласования дополнительная настройка Требовать ЭП не будет отображена.
-
Нет – в диалоговом окне при создании подзадачи с типом Задача согласования будет отображена дополнительная настройка Требовать ЭП.
Запретить изменение требования ЭП в подзадачах ознакомления:
-
Да – в диалоговом окне при создании подзадачи с типом Задача ознакомления дополнительная настройка Требовать ЭП не будет отображена.
-
Нет – в диалоговом окне при создании подзадачи с типом Задача ознакомления будет отображена дополнительная настройка Требовать ЭП.
Выбор сертификата при согласовании множества документов:
Решение по задаче содержит в себе весь подписываемый текст документов (в т.ч. атрибуты и решения по всем документам). Для просмотра содержимого решения необходимо в диалоговом окне
Создание ЭП (рис. 4) нажать на ссылку
Решение по задаче, отобразится диалоговое окно
Решение по задаче (рис. 3).
Рис. 3. Диалоговое окно "Решение по задаче"
Рассмотрим подписание пакета документов с использованием различных криптопровайдеров.
В диалоговом окне (рис. 4) необходимо один раз выбрать сертификат в поле Сертификат*, установить флажок в поле Решение по задаче и нажать на кнопку Подписать. Если в поле Решение по задаче флажок будет снят, то атрибуты документа не будут подписаны, следовательно, ЭП не сформируется.
Рис. 4. Диалоговое окно "Создание ЭП"
2. Подписание пакета документов с использованием КриптоПро CSP (рис. 5).
В диалоговом окне (рис. 5) необходимо один раз выбрать сертификат в поле Сертификат*, флажками отметить нужные файлы и при необходимости установить флажок в поле Решение по задаче. Далее следует нажать на кнопку Подписать.
Рис. 5. Диалоговое окно "Создание ЭП"
При использовании данного криптопровайдера у пользователя есть возможность подписать файлы версий без решения по задаче и наоборот, подписать решение по задаче без файлов версий.
Выбор сертификата при подписании множества документов:
-
Выбирать сертификат один раз при подписании – в случае выбора данного параметра при подписании пакета документов (рис. 6) необходимо один раз выбрать сертификат в поле Сертификат подписи* и нажать на кнопку Подписать.
Рис. 6. Диалоговое окно "Создание ЭП"
Рис. 7. Диалоговое окно "КриптоПро CSP"
Установка флажка в поле Запомнить пароль позволит сохранить введенные данные в поле Пароль и автоматически заполнить их при следующем подписании документов.
Рис. 8. Диалоговое окно "Создание ЭП"
При нажатии на кнопку Подписать (рис. 8) документы будут подписаны в соответствии с установленными настройками криптопровайдера. Подробнее см. в разделе выше.
Запретить пользователям редактирование настроек подписания в профиле:
Разрешить подписание только по сертификату по умолчанию:
Блок "Настройка криптопровайдеров"
Для редактирования настроек блока необходимо нажать на кнопку справа от выбранного криптопровайдера.
Блок "Настройки внутреннего криптопровайдера"
В открывшемся диалоговом окне (рис. 9) следует заполнить требуемые параметры и нажать на кнопку Сохранить.
Рис. 9. Диалоговое окно настройки внутреннего криптопровайдера
Проверять соответствие алгоритма подписи:
-
Да – учет алгоритма генерации сертификата при его проверке, а также сравнение выбранного криптопровайдера с криптопровайдером текущего сертификата.
-
Нет – отказ от проверки алгоритма генерации сертификата, а также сравнения выбранного криптопровайдера с криптопровайдером текущего сертификата.
Отключить проверку сертификата для существующих подписей:
-
Да – при каждом открытии карточки документа будет осуществлена проверка подлинности сертификатов ЭП, которыми подписан документ. В случае, если подлинность сертификата ЭП не удалось подтвердить (например, сертификат был отозван), в
окне с информацией об ЭП будет отображено соответствующее уведомление в поле
Предупреждения (рис. 10).
Рис. 10. Окно информации о проверке электронной подписи
-
Нет – при открытии карточки документа проверка подлинности сертификатов ЭП, которыми подписан документ, не будет осуществляться
.
Корневые сертификаты удостоверяющих центров (УЦ):
Для добавления отпечатка корневого сертификата необходимо нажать на кнопку . После этого будет открыто диалоговое окно (рис. 11).
Рис. 11. Диалоговое окно добавления нового сертификата
Отпечаток* (Authority Key Identifier, SHA-1 хеш от закодированного с помощью DER открытого ключа) используется для проверки подлинности сертификатов пользователей. Если Адрес сервера указан корректно и сервер доступен, Отпечаток можно получить автоматически, нажав на кнопку Получить с центра сертификации.
Внимание!
Получение отпечатка из центра сертификации доступно только при условии, что центр сертификации и сервер ELMA находятся на одном сервере или в одной доменной сети. Возможны случаи, когда внешние ЦС допускают подключение из внешней сети, но, в таком случае, их доступность, безопасность и корректность работы не гарантируется.
|
Если указан центр сертификации, осуществляющий проверку открытого ключа, только сертификаты, успешно проходящие проверку этим центром, считаются корректными. Если предполагается использование коммерческих сертификатов, корневые сертификаты сторонних центров сертификации должны быть добавлены в контейнер доверенных сертификатов указанного центра сертификации.
Если центр сертификации не указан, пользовательский сертификат проверяется по цепочке до корневого сертификата центра сертификации, добавленного в контейнер доверенных сертификатов на компьютере пользователя. Пользовательский сертификат успешно проходит проверку, если корневой сертификат центра сертификации, издавшего пользовательский сертификат, добавлен в контейнер доверенных сертификатов в операционной системе пользователя.
В качестве центра сертификации может использоваться как корпоративный сервер организации, так и центр сертификации внешней организации, предоставляющей услуги сертификации. Центром сертификации издается корневой сертификат и сертификаты пользователей. Корневой сертификат необходимо установить на каждый компьютер, с которого осуществляется работа с сертификатами пользователей, издаваемых этим центром сертификации. Пользовательские сертификаты устанавливаются для каждого пользователя индивидуально.
В случае, если
получить отпечаток с сервера не удается, необходимо
получить сам корневой сертификат. Если сертификат был ранее установлен на компьютер, его можно получить через оснастку управления сертификатами локального компьютера после скачивания корневого сертификата с центра сертификации.
1. Нажмите Пуск – Выполнить или сочетание Win+R на клавиатуре. Откроется консоль управления.
2. Откройте меню Файл – Добавить или удалить оснастку.
3. В списке оснасток найдите Сертификаты и нажмите Добавить.
4. В открывшемся окне установите переключатель моей учетной записи пользователя и нажмите Готово.
5. Выберите из списка справа добавленную оснастку и нажмите ОК.
6. В левой части окна перейдите в папку Доверенные корневые центры сертификации – Сертификаты. После чего откройте необходимый сертификат, нажав на его название.
Рис. 12. Диалоговое окно консоли
7. В диалоговом окне сертификата перейдите на вкладку Состав и найдите необходимый отпечаток (рис. 13).
Рис. 13. Диалоговое окно сертификата
8. Скопируйте отпечаток, вернитесь к настройкам ЭП веб-приложения ELMA и вставьте его в поле Отпечаток*.
Адрес сервера можно разделить на две части:
-
первая часть – имя или IP-адрес компьютера, на котором размещен Центр сертификации (на рис. 10: "127.0.0.1");
-
вторая часть – имя Центра сертификации (на рис. 10: "SertCenter2003").
Для редактирования существующих отпечатков корневого сертификата необходимо нажать на кнопку , а для их удаления – .
Блок "Настройки КриптоПро"
В открывшемся диалоговом окне (рис. 12) следует заполнить необходимые настройки и нажать на кнопку Сохранить.
Рис. 12. Диалоговое окно настройки КриптоПро
Настройки Проверять соответствие алгоритма подписи и Корневые сертификаты удостоверяющих центров (УЦ) полностью аналогичны настройкам внутреннего криптопровайдера, описанным выше.
Адрес службы штампов времени – адрес службы штампов времени, используемый для присвоения подписываемому документу метки времени, в соответствии с которой в дальнейшем будет осуществляться проверка целостности подписи.
См. также: