Администрирование (Windows) > Общесистемные настройки > Настройка усовершенствованной электронной подписи

По умолчанию в Directum RX поддерживается работа с электронными подписями в формате CAdES-BES – основной формат ЭП, описываемый в стандарте CAdES.

Чтобы подтвердить юридическую значимость документов в течение всего срока хранения, в Directum RX можно усовершенствовать электронные подписи до форматов СAdES-T, CAdES-XL или CAdES-A. Каждый последующий формат включает в себя предыдущий и расширяет его возможности:

•CAdES-T добавляет к электронной подписи штамп времени. Он гарантирует, что время создания подписи было не позднее времени, указанного в штампе. Формат используется для доказательства того, что сертификат подписанта не был отозван в момент создания подписи;

•CAdES-XL добавляет к электронной подписи доказательства достоверности – полные данные сертификатов и списки отзыва сертификатов. Это обеспечивает офлайн-доступ ко всей информации о сертификатах и отзывах, необходимых для проверки подписи, и предотвращает возможность утери этой информации;

•CAdES-A добавляет к электронной подписи архивные штампы времени. Формат используется для долгосрочного хранения подписей.

Усовершенствование в системе выполняется поэтапно, для этого используется фоновый процесс. Подробнее см. в разделе «Схема работы механизма усовершенствования».

В зависимости от решаемой задачи, используйте возможности:

Задача	Что использовать
Настроить усовершенствование всех новых подписей в системе до нужного формата	Настройки в конфигураторе Directum Launcher
Задать формат подписей для конкретного документа	В среде разработки переопределить событие типа документа До подписания (BeforeSigning) и в аргументе e.SignatureTargetFormat указать целевой формат усовершенствования. Затем в конфигураторе Directum Launcher для параметра ADVANCED_SIGNATURE_AUTO_IMPROVE_ENABLED установить флажок (true)
Усовершенствовать уже существующие подписи в системе	В среде разработки с помощью перегрузок метода RequestImprovement() передать на усовершенствование список подписей или их идентификаторов, а также конкретную подпись. Затем в конфигураторе Directum Launcher для параметра ADVANCED_SIGNATURE_AUTO_IMPROVE_ENABLED установить флажок (true)

Порядок настройки усовершенствования подписей

1.Определитесь, какой сервер штампов времени будете использовать. Например, поддерживается TSP-сервер, предоставляемый аккредитованным удостоверяющим центром (УЦ) ФНС России. Для работы с этим TSP-сервером необходимо далее в настройках системы указать адрес http://pki.tax.gov.ru/tsp/tsp.srf. Либо самостоятельно на отдельном компьютере разверните сервер штампов времени, например, КриптоПро TSP Server.

2.В конфигураторе Directum Launcher в секцию Общие настройки (common_config) добавьте параметры:

•ADVANCED_SIGNATURE_AUTO_IMPROVE_ENABLED – установите флажок (true), чтобы включить автоматическое усовершенствование подписей. По умолчанию флажок снят (false);

•ADVANCED_SIGNATURE_AUTO_IMPROVE_DEFAULT_TARGET_FORMAT – укажите целевой формат автоматического усовершенствования подписей. Возможные значения: None – нет усовершенствования; CadesT, CadesXL, CadesA – соответствующий формат подписи. Значение по умолчанию None;

•ADVANCED_SIGNATURE_TIMESTAMP_SERVER_URL – укажите адрес сервера штампов времени. Например, укажите http://pki.tax.gov.ru/tsp/tsp.srf;

•ADVANCED_SIGNATURE_TIMESTAMP_HASH_ALGORITHM_OID – укажите OID (идентификатор) алгоритма хеширования данных для получения штампа времени. Например, укажите значения:

1.2.643.7.1.1.2.2 – идентификатор алгоритма хеширования ГОСТ Р 34.11-2012-256;

1.2.643.7.1.1.2.3 – идентификатор алгоритма хеширования ГОСТ Р 34.11-2012-512.

Заданный алгоритм должен поддерживаться выбранным сервером штампов времени.

3.Если используется сервер штампов с поддержкой аутентификации, дополнительно заполните параметры:

•ADVANCED_SIGNATURE_TIMESTAMP_SERVER_AUTH_USER – имя пользователя для аутентификации на сервере штампов времени;

•ADVANCED_SIGNATURE_TIMESTAMP_SERVER_AUTH_PASSWORD – пароль пользователя.

В зависимости от настроек сервера при подключении используется механизм базовой аутентификации (Basic) или дайджест-аутентификации (Digest).

СОВЕТ. Для защиты конфиденциальных данных эти параметры можно зашифровать после выполнения всей настройки.

4.Задайте дополнительные настройки усовершенствования до формата CAdES-XL. Если используете только формат CAdES-T, то этот шаг можно пропустить.

•ADVANCED_SIGNATURE_THUMBPRINTS_IA_CERTIFICATE_THAT_REQUIRE_OCSP_RESPONSE_FOR_SIGNATORY_CERTIFICATE – список отпечатков промежуточных сертификатов удостоверяющих центров, для которых всегда требуется OCSP-ответ в качестве доказательств достоверности. В этом случае CRL не проверяется. Значения перечисляются через разделитель «;». По умолчанию не заданы. Если OCSP-ответ не получен, то система записывает исключение в лог-файл сервиса асинхронных событий, и усовершенствование откладывается до получения следующего ответа;

•ADVANCED_SIGNATURE_MAX_CRL_SIZE_KB – максимально допустимый размер списка отозванных сертификатов (CRL), использующегося во время сбора доказательств достоверности. Указывается в килобайтах. Значение по умолчанию 512 КБ. Если заданное значение превышено, то CRL нельзя использовать и подпись не усовершенствуется. Не рекомендуется увеличивать значение параметра, так как это влияет на скорость усовершенствования подписей и дальнейшую работу с ними: замедляется валидация и загрузка данных в списке с информацией о подписях документа и др.;

•ADVANCED_SIGNATURE_OCSP_AND_CRL_URL_BLACK_LIST – список URL-адресов, которые не нужно проверять для получения OCSP-ответа и списка отозванных сертификатов (CRL). Заполните список, если в сертификате указан некорректный адрес или нет доступа в интернет и внешний адрес недоступен. Указанные адреса будут пропускаться. Это позволяет ускорить получение ответа и усовершенствование подписи. Значения перечисляются через разделитель «;». По умолчанию не заданы.

Пример настройки в config.yml:

ADVANCED_SIGNATURE_AUTO_IMPROVE_ENABLED: 'true'
ADVANCED_SIGNATURE_AUTO_IMPROVE_DEFAULT_TARGET_FORMAT: 'CadesXL'
ADVANCED_SIGNATURE_TIMESTAMP_SERVER_URL: 'http://pki.tax.gov.ru/tsp/tsp.srf'
ADVANCED_SIGNATURE_TIMESTAMP_HASH_ALGORITHM_OID: '1.2.643.7.1.1.2.2'
ADVANCED_SIGNATURE_TIMESTAMP_SERVER_AUTH_USER: 'tsp_user'
ADVANCED_SIGNATURE_TIMESTAMP_SERVER_AUTH_PASSWORD: '<Пароль>'
ADVANCED_SIGNATURE_THUMBPRINTS_IA_CERTIFICATE_THAT_REQUIRE_OCSP_RESPONSE_FOR_SIGNATORY_CERTIFICATE: '430f3c03e9d858a94bc330a561b6a9f1323c7f99;6cdf3ddf0bb3661ac7633513fe6259b208a8b03a;80e9d46a07ea06fb6e278a1976431578afcd3319'
ADVANCED_SIGNATURE_MAX_CRL_SIZE_KB: '512'
ADVANCED_SIGNATURE_OCSP_AND_CRL_URL_BLACK_LIST: 'http://www.example.com/ocsp/;https://example.comp.npo/root.crl'

5.Установите корневой сертификат службы штампов времени в физическое хранилище «Доверенные корневые центры сертификации» на компьютере с установленным веб-сервером, общим сервисом и сервисом интеграции.

ПРИМЕЧАНИЕ. Если сервис выполнения блоков схем задач и сервис асинхронных событий развернуты отдельно, то установите корневой сертификат службы штампов времени на компьютер с этими сервисами.

В результате после включения настроек все новые усиленные подписи в системе автоматически усовершенствуются до указанного формата.

Дополнительная настройка для формата CAdES-A

Если при усовершенствовании подписи до формата CAdES-A доказательства достоверности подписи устарели, в лог-файле фиксируется ошибка, и подпись не усовершенствуется. В тексте ошибки отображается дата доказательств достоверности и требуемая для подписания дата. Если время сервера штампов времени и OCSP-сервера рассинхронизировано, то для исправления ошибки задайте паузу перед сбором доказательств. Для этого в параметре ADVANCED_SIGNATURE_DELAY_IN_SECONDS_TO_COLLECT_EVIDENCE_FOR_ARCHIVE_TIMESTAMP укажите время в секундах из диапазона от 0 до 15. Значение по умолчанию 0 секунд. Если значение указано не из диапазона, то система воспринимает его как 0 секунд.

СМ. ТАКЖЕ