Для удобства администрирования каждая подключаемая организация регистрируется как отдельная группа пользователей. Настройку пользователей внутри группы выполняет оператор – администратор со стороны подключенной организации. Подробнее см. в документации КриптоПро DSS статью «Учетные записи».

Порядок подключения к сервису:

1.Ознакомьтесь с условиями использования сервиса электронных подписей (СЭП) и заключите договор с компанией КриптоПро.

ПРИМЕЧАНИЕ. На время настройки облачного подписания можно запросить тестовый доступ к СЭП.

2.Отправьте запрос на подключение вашей компании к СЭП в качестве оператора. Для этого заполните форму на сайте КриптоПро или отправьте письмо на электронный адрес info@CryptoPro.ru.

Пример письма. Укажите суть запроса и параметры подключения. Измените параметры, выделенные курсивом:

Интеграция системы Directum RX и КриптоПро DSS.
Запрос на подключение к СЭП в роли оператора.
Режим_работы_с_ключами: Централизованный ("Облачный")
Наименование_организации: ООО "Сентябрь"
ФИО_оператора: Иванов А.Ю.
Должность_оператора: Оператор
Email_оператора: Ivanov_AY@september.ru
Логин_оператора: Ivanov_AY
Телефонный_номер_оператора: +7 (499) 455-23-51
Наименование_группы_пользователей: September

Если требуется подписание усиленной квалифицированной ЭП, то в запросе дополнительно укажите «Требуется установить службы API v2».

После того, как специалисты КриптоПро развернут необходимые службы, придет письмо, которое содержит:

•реквизиты подключения к СЭП и ссылки на документацию;

•архив с сертификатами, необходимыми для работы.

3.С помощью КриптоПро CSP установите полученные сертификаты на компьютере оператора СЭП и на компьютере с серверными компонентами Directum RX.

4.Настройте плагин подписания КриптоПро DSS, используя полученные реквизиты. Для этого в Directum Launcher во встроенном редакторе YAML в секции common_config заполните параметр PLUGINS. Настройка выполняется аналогично варианту, когда сервер КриптоПро DSS развернут локально.

Обязательные параметры:

id – идентификатор плагина DSS. Укажите значение 22837f59-e686-4c9b-a8e0-8dec1562aa0a;

identityCenterAddress – URL-адрес центра идентификации СЭП;

signatureServiceAddress – URL-адрес прикладного интерфейса СЭП. В конце добавьте постфикс «/rest/api»;

clientId – ClientID;

documentsStorageServiceAddress – сервис обработки документов. В конце добавьте постфикс «/api»;

signServiceResource – идентификатор (resource) сервиса подписи.

Пример настройки обязательных параметров:

PLUGINS:

    # Настройки плагина облачного подписания.
    plugin:
        - '@id': '22837f59-e686-4c9b-a8e0-8dec1562aa0a'
          '@identityCenterAddress': 'https://stenddss.cryptopro.ru/septemberidp/'
          '@signatureServiceAddress': 'https://stenddss.cryptopro.ru/septemberss/rest/api'
          '@clientId': 'clientseptember'
          '@documentsStorageServiceAddress': 'https://stenddss.cryptopro.ru/septemberds/api'
          '@signServiceResource': 'urn:cryptopro:dss:signserver:NameXss'
          '@cadesType': 'XLT1'

5.На странице Центра идентификации КриптоПро DSS войдите в «Личный кабинет», затем на вкладке «Пользователи» создайте пользователей, которые будут использовать облачную ЭП. Логин пользователя СЭП должен совпадать с именем учетной записи Directum RX, то есть пользователей Directum RX нужно продублировать в СЭП.

ПРИМЕЧАНИЕ. Если используется Windows-аутентификация, то имя пользователя и в Directum RX, и в СЭП нужно указывать в формате, который принят в используемой операционной системе, например <Домен>\<Имя пользователя>.

6.В СЭП для каждого пользователя настройте внешний логин, чтобы пользователь мог подключаться из Directum RX к КриптоПро DSS. Для этого на странице Центра идентификации КриптоПро DSS на вкладке «Пользователи» перейдите в «Настройки аутентификации пользователя». Затем добавьте способ входа, задайте внешний логин и установите переключатель Аутентификация по SAML-токену. В результате в списке «Пользователи» в поле Логин будет отображаться внешний логин.

7.В КриптоПро DSS укажите систему Directum RX в качестве стороннего центра идентификации (СЦИ). Для этого в компанию КриптоПро отправьте письмо с запросом на настройку интеграции с СЦИ.

В письмо вложите открытый ключ Sungero data protection проверки токена доступа к сервисам в виде архива с паролем.

Сертификат генерируется во время установки Directum RX, его отпечаток записывается в конфигурационном файле config.yml в секцию common_config в параметр DATA_PROTECTION_CERTIFICATE_THUMBPRINT. Файл сертификата можно выгрузить на сервере с помощью оснастки Сертификаты.

Пример письма. Измените параметры, выделенные курсивом:

Запрос на настройку интеграции системы Directum RX и КриптоПро DSS.
1.Уникальный идентификатор СЦИ: SeptemberRX
2.Наименование СЦИ: SeptemberRX
3.Адрес СЦИ: нет
4.Краткое описание СЦИ: Центр идентификации Directum RX ООО “Сентябрь”
5.Срок действия сертификата СЦИ: ‎с 16 ‎июня ‎2021 ‎г. 11:23:37 ‎по 16 ‎июня ‎2022 ‎г. 11:43:37
6.Отпечаток сертификата СЦИ: 3bbb66cf02c4c302959dcf9a495677bcfa7c9ed9
7.Режим регистрации пользователей СЦИ в СЭП: Ручной
Сертификат во вложении, пароль 1234.

8.В письмо с запросом настройки добавьте также информацию, если планируете:

•использовать усиленную неквалифицированную ЭП. В этом случае запросите, чтобы в КриптоПро DSS включили подписание хеша документов. Для этого на стороне сервиса нужно выполнить командлет Set-DssProperties:

Set-DssProperties -AllowHashSigning 1

•использовать усиленную квалифицированную ЭП. В этом случае запросите установку сервиса обработки документов;

•подписывать усиленной квалифицированной ЭП значительное количество документов (более 10 в минуту и размером более 5 Мбайт). В этом случае запросите, чтобы вам настроили потоковый доступ к документам.

ПРИМЕЧАНИЕ. Если используется усиленная неквалифицированная ЭП, то на сервер КриптоПро DSS передается только хеш документа. При подписании усиленной квалифицированной ЭП передается содержимое документа, поэтому документы большого размера подписываются медленнее.

9.В СЭП для каждого пользователя на закладке «Сертификаты» сгенерируйте сертификаты облачного подписания.

10.В справочнике «Цифровые сертификаты» добавьте сертификаты, которые сгенерировали на предыдущем шаге. В карточке добавленных сертификатов в поле Плагин укажите идентификатор плагина подписания КриптоПро DSS – 22837f59-e686-4c9b-a8e0-8dec1562aa0a.

11.В Directum RX не поддерживается двухфакторная аутентификация при подписании, поэтому отключите политику подтверждения действий в КриптоПро DSS. Для этого в СЭП в настройках для каждого пользователя проверьте, что отключено подтверждение операции подписания. Последовательно перейдите в Настройки аутентификации, Подтверждение операций и снимите флажок Подпись документа.

Если снятие флажка Подпись документа недоступно, то в письме с запросом настройки попросите отключить подтверждение подписания всем пользователям. Также можно запросить, чтобы вам выдали возможность самостоятельного изменения этой настройки.

© Компания Directum, 2024