Администрирование (Windows) > Общесистемные настройки > Настройка усовершенствованной электронной подписи

По умолчанию в Directum RX поддерживается работа с электронными подписями в формате CAdES-BES – основной формат ЭП, описываемый в стандарте CAdES.

Чтобы обеспечить юридическую значимость документов в течение всего срока хранения, используйте усовершенствованную электронную подпись. В Directum RX поддерживается работа со следующими форматами, при этом каждый последующий формат включает в себя предыдущий и расширяет его возможности:

•CAdES-T добавляет к электронной подписи штамп времени. Он гарантирует, что время создания подписи было не позднее времени, указанного в штампе. Формат используется для доказательства того, что сертификат подписанта не был отозван в момент создания подписи;

•CAdES-XL добавляет к электронной подписи полные данные сертификатов и списки отзыва сертификатов. Это обеспечивает офлайн-доступ ко всей информации о сертификатах и отзывах, необходимых для проверки подписи, и предотвращает возможность утери этой информации;

•CAdES-A добавляет к электронной подписи архивные штампы времени. Формат используется для долгосрочного хранения подписей.

Вы можете настроить усовершенствование подписей до форматов:

•CAdES-T, CAdES-XL – автоматически или программно, если есть среда разработки Directum RX;

•CAdES-A – только программно.

Настройка автоматического усовершенствования подписи до формата CAdES-T или CAdES-XL

1.Настройте работу с сервером штампов времени. Вы можете:

•использовать готовый сервер штампов времени. Например, поддерживается TSP-сервер, предоставляемый аккредитованным удостоверяющим центром (УЦ) ФНС России. Для работы с TSP-сервером необходимо далее в настройках системы указать адрес http://pki.tax.gov.ru/tsp/tsp.srf;

•самостоятельно развернуть сервер штампов времени на отдельном компьютере, например, КриптоПро TSP Server.

2.В конфигураторе Directum Launcher в секцию Веб-сервер (SungeroWebServer) и в секцию Сервис выполнения блоков схем задач (WorkflowBlockService) добавьте параметр ADVANCED_SIGNATURE_TIMESTAMP_AUTO_ADD_MODE – режим автоматического добавления штампа времени на подпись. Возможные значения:

•Disabled – добавление штампа времени отключено. Значение по умолчанию;

•Async – асинхронный режим (рекомендуется). Штамп времени добавляется после подписания с помощью асинхронного обработчика на сервисе асинхронных событий;

•Sync – синхронный режим. Штамп времени добавляется в момент подписания.

Для добавления штампов времени рекомендуется использовать асинхронный режим (Async). Подписание в асинхронном режиме выполняется быстрее, чем в синхронном. Кроме того, если сервер штампов времени недоступен в момент подписания, то в асинхронном режиме обработчик выполнится повторно и подпись установится, штамп времени будет добавлен.

Пример настройки в config.yml:

ADVANCED_SIGNATURE_TIMESTAMP_AUTO_ADD_MODE: 'Async'

3.Определите, в какие секции конфигуратора будут добавляться все последующие параметры. Это зависит от того, какой режим выбран на предыдущем шаге:

•Async – добавляйте все последующие параметры в секцию Сервис асинхронных событий (SungeroWorker) либо в секцию Общий сервис (GenericService), если используется общий сервис;

•Sync – добавляйте все последующие параметры в секцию Веб-сервер (SungeroWebServer) и в секцию Сервис выполнения блоков схем задач (WorkflowBlockService).

4.В секции, которые вы определили на предыдущем шаге, добавьте параметры:

•ADVANCED_SIGNATURE_TIMESTAMP_SERVER_URL – адрес сервера штампов времени. Например, для использования TSP-сервера, аккредитованного УЦ ФНС России, укажите http://pki.tax.gov.ru/tsp/tsp.srf;

•ADVANCED_SIGNATURE_TIMESTAMP_HASH_ALGORITHM_OID – алгоритм штампа времени.

5.Если используется сервер штампов с поддержкой аутентификации, дополнительно заполните параметры:

•ADVANCED_SIGNATURE_TIMESTAMP_SERVER_AUTH_USER – имя пользователя для аутентификации на сервере штампов времени;

•ADVANCED_SIGNATURE_TIMESTAMP_SERVER_AUTH_PASSWORD – пароль пользователя.

В зависимости от настроек сервера при подключении используется механизм базовой аутентификации (Basic) или дайджест-аутентификации (Digest).

СОВЕТ. Для защиты конфиденциальных данных эти параметры можно зашифровать после выполнения всей настройки.

6.Чтобы подписи усовершенствовались до формата CAdES-XL, заполните параметры, иначе пропустите этот шаг:

•ADVANCED_SIGNATURE_REQUIRE_OCSP_RESPONSE_FOR_SIGNATORY_CERTIFICATE – установите флажок (true), если нужно требовать OCSP-ответ в качестве доказательства достоверности сертификата подписанта. Например, КриптоПро в качестве доказательства достоверности требует OCSP-ответ, а не список отозванных сертификатов (CRL). Иначе снимите флажок (false). Если флажок установлен и OCSP-ответ не поддерживается, подпись не будет усовершенствована;

•ADVANCED_SIGNATURE_WAIT_CRL_REPUBLISH_FOR_INTERMEDIATE_CA – установите флажок (true), если нужно ожидать перепубликации списка отозванных сертификатов (CRL) для промежуточных удостоверяющих центров. Иначе снимите флажок (false). Снимите флажок, если список постоянный или перепубликовывается редко, например, раз в год;

•ADVANCED_SIGNATURE_ASYNC_IMPROVING_TO_CADES_XL_ENABLED – установите флажок (true).

Пример заданных настроек в config.yml:

ADVANCED_SIGNATURE_TIMESTAMP_AUTO_ADD_MODE: 'Async'
ADVANCED_SIGNATURE_TIMESTAMP_SERVER_URL: 'http://pki.tax.gov.ru/tsp/tsp.srf'
ADVANCED_SIGNATURE_TIMESTAMP_HASH_ALGORITHM_OID: '1.2.643.7.1.1.2.2'
ADVANCED_SIGNATURE_TIMESTAMP_SERVER_AUTH_USER: 'tsp_user'
ADVANCED_SIGNATURE_TIMESTAMP_SERVER_AUTH_PASSWORD: '<Пароль>'
ADVANCED_SIGNATURE_REQUIRE_OCSP_RESPONSE_FOR_SIGNATORY_CERTIFICATE: 'true'
ADVANCED_SIGNATURE_WAIT_CRL_REPUBLISH_FOR_INTERMEDIATE_CA: 'true'
ADVANCED_SIGNATURE_ASYNC_IMPROVING_TO_CADES_XL_ENABLED: 'true'

7.Установите корневой сертификат службы штампов времени в физическое хранилище «Доверенные корневые центры сертификации» в зависимости от решаемых задач на компьютере с установленным веб-сервером, общим сервисом и сервисом интеграции.

ПРИМЕЧАНИЕ. Если сервис выполнения блоков схем задач и сервис асинхронных событий развернуты отдельно, то установите корневой сертификат службы штампов времени на компьютер с этими сервисами.

В результате после применения настроек все новые подписи на документах всех видов будут усовершенствоваться до настроенного формата.

Дополнительная настройка для формата CAdES-A

Если при усовершенствовании подписи до формата CAdES-A доказательства достоверности подписи устарели, в лог-файле фиксируется ошибка, и подпись не усовершенствуется. В тексте ошибки отображается дата доказательств достоверности и требуемая для подписания дата. В случае, если время сервера штампов времени и OCSP-сервера рассинхронизировано, то для исправления ошибки задайте паузу перед сбором доказательств. Для этого в параметре ADVANCED_SIGNATURE_DELAY_IN_SECONDS_TO_COLLECT_EVIDENCE_FOR_ARCHIVE_TIMESTAMP укажите время в секундах из диапазона от 0 до 15. Значение по умолчанию 0 секунд. Если значение указано не из диапазона, то система воспринимает его как 0 секунд.