Чтобы пользователи могли в веб-клиенте подписывать документы облачной ЭП, в Directum Launcher в режиме редактирования YAML в секции common_config в параметре PLUGINS добавьте секцию plugin и заполните в ней настройки плагина КриптоПро DSS:

1.Укажите общие настройки облачного подписания:

id – идентификатор плагина DSS. Укажите значение 22837f59-e686-4c9b-a8e0-8dec1562aa0a;

identityCenterAddress – URL-адрес Центра идентификации;

signatureServiceAddress – URL-адрес прикладного интерфейса службы подписи;

clientId – идентификатор клиента на DSS. Если используется локальный сервер, то укажите значение параметра -Identifier, заданное при вызове командлета Add-DssClient. Если используется сервис облачного подписания, то значение clientId приходит в письме от компании КриптоПро;

signServiceResource – идентификатор (resource) сервиса подписи. Идентификатор можно получить с помощью командлета Get-DssRelyingPartyTrust. Подробнее см. документацию КриптоПро DSS, раздел «Получение идентификатора Сервиса Подписи»;

platformTokenLifeTime – время жизни токена платформы. Значение по умолчанию 00:05:00 (5 минут), подходит для большинства систем.

2.Если вы планируете использовать усовершенствованную квалифицированную ЭП, укажите настройки:

qualifiedCAThumbprints – отпечатки промежуточных сертификатов издателей, которые позволяют подписывать документы усиленной квалифицированной ЭП. Несколько значений задаются через точку с запятой.

documentsStorageServiceAddress – адрес сервиса обработки документов.

3.В параметре cadesType укажите CAdES-формат подписания, который планируете использовать. Возможные значения:

BES – CAdES-BES.

T – CAdES-T.

XLT1 – CAdES-X Long Type 1.

По умолчанию BES.

4.Если в параметре cadesType указано значение T или XLT1, то в параметре tspServiceAddress укажите адрес сервера штампов времени, с которым работает сервер КриптоПро DSS.

Пример настройки:

PLUGINS:

    # Настройки плагина облачного подписания.
    plugin:
        - '@id': '22837f59-e686-4c9b-a8e0-8dec1562aa0a'
          '@identityCenterAddress': 'https://dss.cryptopro.ru/STS/'
          '@signatureServiceAddress': 'https://dss.cryptopro.ru/signserver/rest/api/'
          '@clientId': 'wpf.hybrid'
          '@signServiceResource': 'urn:cryptopro:dss:signserver:NameXss'
          '@qualifiedCAThumbprints': '430f3c03e9d858a94bc330a561b6a9f1323c7f99'
          '@documentsStorageServiceAddress': 'https://dss.cryptopro.ru/DocumentStore/api/'
          '@cadesType': 'XLT1'
          '@tspServiceAddress': 'http://www.cryptopro.ru/tsp/tsp.srf'

В секции SungeroWebServer в параметре CLOUD_SIGNING_PIN_COOKIE_LIFETIME задается время жизни cookie, содержащих ПИН-код для облачного подписания. После этого времени пользователю нужно повторно вводить ПИН-код. Значение по умолчанию 01:00:00 (1 час), подходит для большинства систем. Чтобы часто не вводить ПИН-код, можно увеличить время жизни cookie. Например, если указать значение 09:00:00, то ПИН-код не нужно повторно вводить в течение рабочего дня. Не рекомендуется использовать большие значения, так как в этом случае снижается безопасность системы.

Также можно настроить подписание документов облачной ЭП в невизуальном режиме, например при выполнении задания или при обмене данными с другими системами. Для этого в зависимости от решаемой задачи продублируйте указанные выше настройки в секциях сервисов:

•общий сервис

•сервис интеграции

Примечание. Если сервис асинхронных событий и сервис выполнения блоков схем задач Workflow развернуты отдельно, то настройки следует продублировать в секциях SungeroWorker и WorkflowBlockService соответственно.

© Компания Directum, 2024