Настройки электронной подписи

Электронная подпись (ЭП) – реквизит документа, сформированный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить принадлежность подписи владельцу сертификата ключа подписи, а также проверить, не была ли искажена информация в документе с момента формирования подписи. ЭП предназначена для идентификации лица, подписавшего электронный документ, и является полноценной заменой собственноручной подписи в случаях, предусмотренных законом.

Возможность подписания версий документов в системе ELMA доступна только при наличии активированного приложения ECM+, а также при выполнении соответствующих настроек.

Для использования ЭП в системе ELMA требуется выполнить ряд настроек:

настройки электронной подписи;
настройку шаблонов ЭП;
настройку прав на подписание документов;
настройки безопасности;
настройки сертификатов.

Настройки ЭП в системе ELMA осуществляются в веб-приложении в разделе Администрирование – Система – Настройки системы в блоке Настройки ЭП. Данный блок включает в себя два вложенных блока: Общие настройки и Настройка криптопровайдеров (рис. 1).

Рис. 1. Раздел "Администрирование – Система – Настройки системы". Блок "Настройки ЭЦП документооборота"

Блок "Общие настройки"

Для редактирования данных настроек необходимо нажать на кнопку

. В открывшемся диалоговом окне (рис. 2) необходимо внести требуемые изменения и нажать на кнопку Сохранить.

Рис. 2. Диалоговое окно редактирования вложенного блока "Общие настройки"

Криптопровайдер – возможность выбора из выпадающего списка криптопровайдера, по умолчанию установленного в профиле пользователя, который будет использоваться для подписания версий документов. При выборе внутреннего криптопровайдера необходимо предварительно настроить центр сертификации, а также получить пользовательские сертификаты.

Тип цифровой подписи – возможность выбора из выпадающего списка типа цифровой подписи. Список типов отличается в зависимости от выбранного криптопровайдера:

для внутреннего криптопровайдера:
Default CMS;
для криптопровайдера КриптоПро CSP:
CAdES-X Long Type 1;
CAdES-BES;
CAdES-T.

Различия в типах подписи кратко отражены в следующей таблице:

	Default CMS	CAdES-BES	CAdES-T	CAdES-X Long Type 1
Атрибут сontent-type является обязательным	-	+	+	+
Подпись содержит штамп времени	-	-	+	+
Подпись содержит полные данные всех сертификатов, использующихся для проверки подписи	-	-	-	+
Подпись содержит полные данные сертификатов из списка отзыва сертификатов, использующихся для проверки подписи	-	-	-	+
Подпись содержит штамп времени на всей подписи (включая наличие доверенного времени во всех элементах подписи)	-	-	-	+

Требовать ЭП при согласовании:

Да – в диалоговом окне при согласовании документа по умолчанию будет установлен флажок Подписать атрибуты с помощью ЭП, который не может быть снят.
Нет – в диалоговом окне при согласовании документа флажок Подписать атрибуты с помощью ЭП по умолчанию снят. При необходимости пользователь может вручную установить данный флажок и согласовать документ с использованием ЭП.

Требовать ЭП при ознакомлении:

Да – в диалоговом окне при ознакомлении с документом по умолчанию будет установлен флажок Подписать атрибуты с помощью ЭП, который не может быть снят.
Нет – в диалоговом окне при ознакомлении с документом флажок Подписать атрибуты с помощью ЭП по умолчанию снят. При необходимости пользователь может вручную установить данный флажок и ознакомиться с документом с использованием ЭП.

Требовать ЭП при подписании:

Да – в диалоговом окне при подписании документа по умолчанию будет установлен флажок Подписать атрибуты с помощью ЭП, который не может быть снят.
Нет – в диалоговом окне при подписании документа флажок Подписать атрибуты с помощью ЭП по умолчанию снят. При необходимости пользователь может вручную установить данный флажок и согласовать документ с использованием ЭП.

Запретить изменение требования ЭП в подзадачах согласования:

Да – в диалоговом окне при создании подзадачи с типом Задача согласования дополнительная настройка Требовать ЭП не будет отображена.
Нет – в диалоговом окне при создании подзадачи с типом Задача согласования будет отображена дополнительная настройка Требовать ЭП.

Запретить изменение требования ЭП в подзадачах ознакомления:

Да – в диалоговом окне при создании подзадачи с типом Задача ознакомления дополнительная настройка Требовать ЭП не будет отображена.
Нет – в диалоговом окне при создании подзадачи с типом Задача ознакомления будет отображена дополнительная настройка Требовать ЭП.

Выбор сертификата при согласовании множества документов:

Выбирать сертификат один раз при подписании – данная настройка частично аналогична настройке Выбор сертификата при подписании множества документов. Различие заключается в том, что при выборе пункта Выбирать сертификат один раз при подписании доступна возможность подписания решения по задаче.

Решение по задаче содержит в себе весь подписываемый текст документов (в т.ч. атрибуты и решения по всем документам). Для просмотра содержимого решения необходимо в диалоговом окне Создание ЭП (рис. 4) нажать на ссылку Решение по задаче, отобразится диалоговое окно Решение по задаче (рис. 3).

Рис. 3. Диалоговое окно "Решение по задаче"

После согласования или ознакомления с пакетом документов решение по задаче будет отображено в диалоговом окне Информация о подписи в поле Подписываемый текст.

Следует отметить, что подписание решения доступно только при согласовании или ознакомлении с пакетом документов. При использовании внутреннего криптопровайдера доступно подписание только атрибутов документов, а при использовании внешнего криптопровайдера доступно подписание атрибутов документов и версий файлов.

Рассмотрим подписание пакета документов с использованием различных криптопровайдеров.

1. Подписание пакета документов с использованием внутреннего криптопровайдера (рис. 4).

В диалоговом окне (рис. 4) необходимо один раз выбрать сертификат в поле Сертификат*, установить флажок в поле Решение по задаче и нажать на кнопку Подписать. Если в поле Решение по задаче флажок будет снят, то атрибуты документа не будут подписаны, следовательно, ЭП не сформируется.

Рис. 4. Диалоговое окно "Создание ЭП"

2. Подписание пакета документов с использованием КриптоПро CSP (рис. 5).

В диалоговом окне (рис. 5) необходимо один раз выбрать сертификат в поле Сертификат*, флажками отметить нужные файлы и при необходимости установить флажок в поле Решение по задаче. Далее следует нажать на кнопку Подписать.

Рис. 5. Диалоговое окно "Создание ЭП"

При использовании данного криптопровайдера у пользователя есть возможность подписать файлы версий без решения по задаче и наоборот, подписать решение по задаче без файлов версий.

Выбирать сертификат при каждом подписании – данная настройка аналогична настройке Выбор сертификата при подписании множества документов.

Выбор сертификата при ознакомлении со множеством документов – данная настройка аналогична настройке Выбор сертификата при согласовании множества документов.

Выбор сертификата при подписании множества документов:

Выбирать сертификат один раз при подписании – в случае выбора данного параметра при подписании пакета документов (рис. 6) необходимо один раз выбрать сертификат в поле Сертификат подписи* и нажать на кнопку Подписать.

Рис. 6. Диалоговое окно "Создание ЭП"

При использовании внутреннего криптопровайдера документы будут подписаны с использованием ЭП.

При использовании внешнего криптопровайдера будет отображено диалоговое окно (рис. 7), в котором необходимо ввести пароль для контейнера, хранящего сертификат. Данный пароль задается пользователем при получении сертификата в Центре сертификации.

Рис. 7. Диалоговое окно "КриптоПро CSP"

Установка флажка в поле Запомнить пароль позволит сохранить введенные данные в поле Пароль и автоматически заполнить их при следующем подписании документов.

Выбирать сертификат при каждом подписании – в случае выбора данного параметра при подписании пакета документов необходимо отдельно подписывать каждый из документов, выбирая требуемый сертификат. Данный вариант подписания частично аналогичен подписанию пакета документов без ЭП. Различие заключается в дополнительном диалоговом окне выбора сертификата (рис. 8). Подробнее см. соответствующий раздел справки.

Рис. 8. Диалоговое окно "Создание ЭП"

При нажатии на кнопку Подписать (рис. 8) документы будут подписаны в соответствии с установленными настройками криптопровайдера. Подробнее см. в разделе выше.

Запретить пользователям редактирование настроек подписания в профиле:

Да – отсутствие возможности работы с блоком Подписание и разделом Доверенные сертификаты для подписания в профиле пользователя.
Нет – наличие возможности работы с блоком Подписание и разделом Доверенные сертификаты для подписания в профиле пользователя.

Разрешить подписание только по сертификату по умолчанию:

Да – в профиле пользователя будет доступна настройка установки конкретного сертификата для подписания документов по умолчанию. Подробнее см. соответствующий раздел справки.
Нет – настройка установки сертификата по умолчанию будет отключена. Подробнее см. соответствующий раздел справки.

Блок "Настройка криптопровайдеров"

В данном блоке осуществляется настройка криптопровайдеров для подписания документов с использованием ЭП. По умолчанию в системе доступна настройка блоков криптопровайдеров: Внутренний и КриптоПро CSP. Стоит отметить, что настройки данных блоков различны.

Для редактирования настроек блока необходимо нажать на кнопку

справа от выбранного криптопровайдера.

Блок "Настройки внутреннего криптопровайдера"

В открывшемся диалоговом окне (рис. 9) следует заполнить требуемые параметры и нажать на кнопку Сохранить.

Рис. 9. Диалоговое окно настройки внутреннего криптопровайдера

Проверять соответствие алгоритма подписи:

Да – учет алгоритма генерации сертификата при его проверке, а также сравнение выбранного криптопровайдера с криптопровайдером текущего сертификата.
Нет – отказ от проверки алгоритма генерации сертификата, а также сравнения выбранного криптопровайдера с криптопровайдером текущего сертификата.

Отключить проверку сертификата для существующих подписей:

Да – при каждом открытии карточки документа будет осуществлена проверка подлинности сертификатов ЭП, которыми подписан документ. В случае, если подлинность сертификата ЭП не удалось подтвердить (например, сертификат был отозван), в окне с информацией об ЭП будет отображено соответствующее уведомление в поле Предупреждения (рис. 10).

Рис. 10. Окно информации о проверке электронной подписи

Нет – при открытии карточки документа проверка подлинности сертификатов ЭП, которыми подписан документ, не будет осуществляться.

Корневые сертификаты удостоверяющих центров (УЦ):

Для добавления отпечатка корневого сертификата необходимо нажать на кнопку

. После этого будет открыто диалоговое окно (рис. 11).

Рис. 11. Диалоговое окно добавления нового сертификата

Отпечаток* (Authority Key Identifier, SHA-1 хеш от закодированного с помощью DER открытого ключа) используется для проверки подлинности сертификатов пользователей. Если Адрес сервера указан корректно и сервер доступен, Отпечаток можно получить автоматически, нажав на кнопку Получить с центра сертификации.

Центр сертификации осуществляет выдачу и проверку корректности сертификатов открытого ключа, предоставляемых пользователями системы. Сертификат открытого ключа может использоваться для входа в систему ELMA по сертификату и подписания документов с использованием электронной цифровой подписи.

Внимание!

Получение отпечатка из центра сертификации доступно только при условии, что центр сертификации и сервер ELMA находятся на одном сервере или в одной доменной сети. Возможны случаи, когда внешние ЦС допускают подключение из внешней сети, но, в таком случае, их доступность, безопасность и корректность работы не гарантируется.

Если указан центр сертификации, осуществляющий проверку открытого ключа, только сертификаты, успешно проходящие проверку этим центром, считаются корректными. Если предполагается использование коммерческих сертификатов, корневые сертификаты сторонних центров сертификации должны быть добавлены в контейнер доверенных сертификатов указанного центра сертификации.

Если центр сертификации не указан, пользовательский сертификат проверяется по цепочке до корневого сертификата центра сертификации, добавленного в контейнер доверенных сертификатов на компьютере пользователя. Пользовательский сертификат успешно проходит проверку, если корневой сертификат центра сертификации, издавшего пользовательский сертификат, добавлен в контейнер доверенных сертификатов в операционной системе пользователя.

В качестве центра сертификации может использоваться как корпоративный сервер организации, так и центр сертификации внешней организации, предоставляющей услуги сертификации. Центром сертификации издается корневой сертификат и сертификаты пользователей. Корневой сертификат необходимо установить на каждый компьютер, с которого осуществляется работа с сертификатами пользователей, издаваемых этим центром сертификации. Пользовательские сертификаты устанавливаются для каждого пользователя индивидуально.

В случае, если получить отпечаток с сервера не удается, необходимо получить сам корневой сертификат. Если сертификат был ранее установлен на компьютер, его можно получить через оснастку управления сертификатами локального компьютера после скачивания корневого сертификата с центра сертификации.

1. Нажмите Пуск – Выполнить или сочетание Win+R на клавиатуре. Откроется консоль управления.

2. Откройте меню Файл – Добавить или удалить оснастку.

3. В списке оснасток найдите Сертификаты и нажмите Добавить.

4. В открывшемся окне установите переключатель моей учетной записи пользователя и нажмите Готово.

5. Выберите из списка справа добавленную оснастку и нажмите ОК.

6. В левой части окна перейдите в папку Доверенные корневые центры сертификации – Сертификаты. После чего откройте необходимый сертификат, нажав на его название.

Рис. 12. Диалоговое окно консоли

7. В диалоговом окне сертификата перейдите на вкладку Состав и найдите необходимый отпечаток (рис. 13).

Рис. 13. Диалоговое окно сертификата

8. Скопируйте отпечаток, вернитесь к настройкам ЭП веб-приложения ELMA и вставьте его в поле Отпечаток*.

Адрес сервера можно разделить на две части:

первая часть – имя или IP-адрес компьютера, на котором размещен Центр сертификации (на рис. 10: "127.0.0.1");
вторая часть – имя Центра сертификации (на рис. 10: "SertCenter2003").

Для редактирования существующих отпечатков корневого сертификата необходимо нажать на кнопку

, а для их удаления –

Блок "Настройки КриптоПро"

В открывшемся диалоговом окне (рис. 12) следует заполнить необходимые настройки и нажать на кнопку Сохранить.

Рис. 12. Диалоговое окно настройки КриптоПро

Настройки Проверять соответствие алгоритма подписи и Корневые сертификаты удостоверяющих центров (УЦ) полностью аналогичны настройкам внутреннего криптопровайдера, описанным выше.

Адрес службы штампов времени – адрес службы штампов времени, используемый для присвоения подписываемому документу метки времени, в соответствии с которой в дальнейшем будет осуществляться проверка целостности подписи.

См. также: