Instrukcje dotyczące generowania klucza podpisu elektronicznego. Instrukcje dotyczące generowania klucza podpisu elektronicznego Utwórz centrum certyfikujące

Dzisiaj porozmawiamy o:

  • ciekawy temat kryptografii i podpisu elektronicznego dzisiaj;
  • jakie przepisy działają obecnie na tym temacie;
  • jakie są możliwości kryptografii wdrożonej na platformie 1C;
  • jak rozwinąć te możliwości za pomocą elementów zewnętrznych;
  • porozmawiajmy o podsystemie "podpisu elektronicznego" w BSP;
  • o wdrażaniu usług "1C-Edo" i "1C: Directbanku", który nadzoruję;
  • będziemy dotknąć kwestii opracowania własnych rozwiązań do pracy z kryptografią na platformie 1C: Enterprise;
  • rozważ typowe problemy, które pojawiają się na wprowadzeniu EDO w przedsiębiorstwie - powiem ci, jak je rozwiązać.

Chcę zwrócić uwagę na dwa terminy, które będą używane w klasie głównej.

  • Pierwszy jest EDO, elektroniczny przepływ dokumentu. Pod nim rozumiemy wewnętrzny przepływ dokumentu elektroniczny w przedsiębiorstwie i zewnętrznej z kontrahentami innych firm.
  • Drugi skrót jest EP. W Internecie znajdują się dekodenty: "rząd elektroniczny" i "napęd elektryczny". Będziemy to mieć podpis elektroniczny.

Dlaczego kryptografia i podpisy elektroniczne są istotne dla obecnego momentu?

  • Dla nowoczesnego przedsiębiorstwa prędkość procesów biznesowych jest jedną z konkurencyjnych korzyści.. Podczas stosowania elektronicznego zarządzania dokumentami, czas spędzony na statystyki spadek o 75%.
  • Podczas przełączania na dokument elektroniczny występuje zapisywanie własnych zasobów (Wkłady papierowe do drukarek, dokumenty do przechowywania dokumentów, czas personelu na organizację zarządzania dokumentami papierowymi). Wszystko to zdecydowanie pomaga firmie.
  • Prawie każde przedsiębiorstwo używa obecnie kanałów bankowości zdalnej i bezpieczeństwo płatności zdalnych Obecnie bardzo istotne.
  • Wszyscy główni podatnicy zawierają obecnie abstrakty, jeśli chcesz z nimi współpracować - udostępniać dokumenty w formie elektronicznej. Wszystko idzie do elektronicznego- faktury elektroniczne, zamówienia elektroniczne itp. Chcą uczestniczyć w aukcji - powinieneś mieć podpis elektroniczny.
  • Wszystko to stopniowo staje się masąAle mimo to nasza populacja nie jest informowana. Stanowi to poważne zaniepokojenie, a zatem cel tej recenzji jest zadać ci kurs, który pomoże w nawigowaniu w tych kwestiach i dowiedzieć się, co można studiować i gdzie widać.

Ramy regulacyjne, praktyka

W jakich koncepcjach będziemy rozważyć?

Dokument elektroniczny

Dokument elektroniczny to dowolne informacje przedstawione w formie elektronicznej:

  • Sfotografowałeś swój samochód - ten obraz jest dokumentem elektronicznym;
  • wysłaliśmy oświadczenie do głowy e-maila - jest to również dokument elektroniczny.

Każdy dokument może być przetłumaczony na "cyfrę", ale nie każdy dokument elektroniczny może być rozpoznawany bez udziału człowieka.

Przetwarzanie maszynowe jest bardziej obiecujące, więc wiele dokumentów można podzielić na sformalizowane i nieformalizowane dokumenty elektroniczne.

  • W ramach nieformalizowanego dokumentu rozumiemy, że osoba patrzy na zdjęcie i widzi, że numer samochodu jest tak.
  • W przypadku sformalizowanych dokumentów elektronicznych są zwykle rozwijane, w przypadku, gdy przepisuje się skład pól, ich ograniczenia, wiązanie lub opcjonalne itp. Takie sformalizowane dokumenty można rozpoznać automatycznie.

Perspektywa dla sformalizowanych dokumentów elektronicznych. Wydziały stopniowo przenoszą się do nowych szyn. Wielu z nich wytwarza swoje przepisy opisujące, w którym format można wymienić informacje.

  • Na przykład próba arbitrażowa akceptuje dokumenty tylko w formacie PDF.
  • A faktury elektroniczne muszą być przesyłane w formacie XML, a istnieje specjalne ramy regulacyjne z opisem ich wymaganych pól. Podatnikami, którzy chcą udostępniać faktury w formie elektronicznej, powinni wyraźnie spełniać te wymagania.

Wcześniej istniało problem, że FTS zobowiązuje się do przeniesienia do nowego formatu dokumentów elektronicznych jest w przybliżeniu taki sam jak nowy format raportowania elektronicznego - od 1 marca odbędzie się nowy format, a następnie "Nawet trawa nie rośnie . " Teraz, po kilku latach publikują format, czekając na informacje zwrotne, a następnie ostrzegają, że konieczne jest płynnie przejść do tego roku. Jednocześnie zarówno stare, jak i nowe formaty są akceptowane równolegle. Usługa podatkowa powinna zawsze otrzymywać dokumenty w dowolnym formacie, ponieważ dokumenty mogą mieć pięć lat, aw formie elektronicznej muszą być nadal akceptowane.

Podpis elektroniczny

Prawo nr 63-FZ wprowadza koncepcję podpisu elektronicznego. Wcześniej istniała koncepcja "elektronicznego podpisu cyfrowego" (EDS), teraz jest bardziej poprawna, aby użyć terminu "podpis elektroniczny". Istnieje prawo trzy rodzaje podpisu elektronicznego.

  • Pierwszy widok jest prosty podpis elektroniczny. Na przykład podczas korzystania z mobilnego banku, otrzymasz SMS z jednorazowym hasłem, a potwierdzeniem - jest to analog prosty podpis elektroniczny. Zgodnie z takim podpisem można określić tylko autora.
  • Drugi i trzeci gatunek jest ulepszony podpis elektroniczny. "Ulepszony" oznacza, że \u200b\u200bużywany jest jakiś rodzaj kryptionion. Ulepszony podpis jest podzielony na niewykwalifikowany i kwalifikowany.

Wzmocniony wykwalifikowany podpis elektroniczny jest czasami nazywany po prostu wykwalifikowanym podpisem elektronicznym (CEP). Jest to podpis elektroniczny na podstawie certyfikatu, który jest wydawany przez akredytowane centrum certyfikatu. Ministerstwo Komunikacji jest prowadzone przez listę ośrodków certyfikujących, które zapewniają elektroniczne certyfikaty podpisu.

Certyfikat podpisu elektronicznego (nadal może być nazywany certyfikatem klucza podpisu elektronicznego) - to dokument papierowy lub elektroniczny, jednoznacznie określający, kto jest właścicielem tego podpisu.

Wykwalifikowany podpis elektroniczny stosuje najczęściej. Jego głównym celem jest to, że potwierdza autorstwo, gwarantuje nie do bramki i zapewnia integralność podpisanych danych. Oznacza to, że jeśli podpisałeś elektroniczną fakturę przez wykwalifikowany podpis elektroniczny, to:

  • Nie możesz powiedzieć, że to nie jest twój podpis;
  • Nie możesz go odmówić (wycofać);
  • możesz sprawdzić, czy zmiany wprowadzone do tego dokumentu po jej podpisaniu.

If Talking Pro. Zastosowanie podpisów elektronicznychWarto podzielić je do lokalnych i chmur.

  • Lokalny podpis elektroniczny - Sytuacja po podpisaniu dowolnych dokumentów na komputerze. W tym przypadku wymagane jest kryptocion, instalacja certyfikatu jest duża trudności.
  • Signature elektroniczny - Sytuacja, gdy ufasz magazynowi zamkniętych kluczy do pewnego posiadacza w "Chmurze" i podpisanie dokumentu, konieczne jest przekazanie go przed tą chmurą. Najprawdopodobniej jest jednorazowy hasło przyjdzie do twojego telefonu, który ma zostać potwierdzony. A po potwierdzeniu podpis elektroniczny zostanie utworzony na serwerze w chmurze, a otrzymasz podpisany dokument.

FSB wydał list wyjaśniający, w którym wyjaśnił podpis elektroniczny chmury nie jest kwalifikowany. Dlatego też, jeżeli prawo mówi, że dokument musi być podpisany przez wykwalifikowany podpis elektroniczny, a masz dokument podpisany w "Cloud", a następnie należy pamiętać, że może to mieć problemy - do tego musisz podejść bardzo ostrożnie.

Co jeszcze mogę powiedzieć ciekawe prawodawstwo, które nas dotyczy?

  • W 2016 r. Pojawiła się pojedyncze centrum certyfikujące Ministerstwa Komunikacji Rosji, która pozwala budować łańcuch zaufania do każdego certyfikatu. Centrum Certyfikacji Ministerstwa Ministerstwa Komunikacji, wydaje certyfikaty do akredytowanych centrów certyfikujących i są już wydawane jednostkom i podmiotom prawnym. Dlatego dla każdego podpisu elektronicznego zawsze możesz zbudować łańcuch zaufania. Jest bardzo wygodny, ponieważ trudno było sprawdzić w praktyce, że podpis z innego centrum certyfikującego Walidna.
  • Większość nowych - na początku 2017 r. Ministerstwo Communications dokonało inicjatywy legislacyjnej, aby wydać wszystkie wykwalifikowane podpisy elektroniczne, aby dać monopolu państwowym. W tym banku centralnym i Ministerstwu Rozwoju Gospodarczego, dosłownie w lipcu odpowiedział, że nie można tego zrobić, ponieważ wziąłoby to zadania i zniszczy to, co zostało wypracowane przez lata. Najprawdopodobniej ta inicjatywa legislacyjna nie pójdzie dalej, ale taka myśl była.

Cechy korzystania z EDO z EP w firmach

Jakie są cechy korzystania z zarządzania dokumentami elektronicznymi w firmach? Należy pamiętać, że podczas rozpoczęcia projektów związanych z podpisem elektronicznym i kryptografią, usługi konsultingowe są bardzo ważne.

Jeśli firma uruchamia elektroniczny przepływ dokumentu, następnie:

  • pierwszym zadaniem jest przepisać użycie elektronicznego zarządzania dokumentami w zasadach rachunkowości;
  • następna potrzeba wydaj zamówienie w przedsiębiorstwiegdzie określić, które twarze mogą podpisywać dokumenty;
  • jeśli wymieniasz kontrahenta, musisz mieć umowę, w której napisano, w jaki sposób anulujesz i dostosować dokumenty. Na przykład, jeśli nie lubisz dokumentu papierowego, możesz zgodzić się z kontrahentem i po prostu go złamać, a wszystko będzie dobrze. W formularzu elektronicznym wszystko jest bardziej skomplikowane, ponieważ liczba kopii generowanych i podpisanych na dokumencie mogą być nieograniczone. A nawet jeśli ty i twój kontrahent zgodzili się anulować ten dokument, jego odpowiednik e-mail nie wystarczy, aby po prostu usunąć z podstawy. Aby dostosować dokument elektroniczny lub odmówić go, musisz utworzyć nowy dokument elektroniczny na swojej podstawie i już określić, jak wygląda teraz transakcja. I tylko po podpisaniu tego nowego dokumentu elektroniczny po obu stronach informacje o transakcji zostaną ustalone w potrzebie formularza.

Wszystko to musi być przepisane i używać.

Gotowość ram regulacyjnych

Byłbym wdzięczny za gotowość naszych ram regulacyjnych - już istnieje jakiś "budynek", ale musi być bardziej dokładny.

  • Na przykład, nie ma zrozumienia, jak sprawdzimy podpis elektroniczny w archiwum dokumentów elektronicznych za pięć lat. Ponieważ certyfikat żyje jeden rok, a kiedy kończy się okres ważności, podpis zostanie vivend - nie jest jasne, jak sprawdzić.
  • Nie jest jasne, co jest "Data podpisu". W pewnych dokumentach księgowych ważne jest, aby wiedzieć, jaki czas podpisano dokument. Teraz, przy podpisaniu dokumentu możesz "Mukhlove" - \u200b\u200bprzeniesiona datę komputera, podpisana i będzie wyglądać jak dokument podpisany przez "z tyłu". Dlatego, aby jednoznacznie powiedzieć, że dokument subskrybowany powinien być jedną z opcji:
    • lub musi być pojedynczy centralny rozkład tagów czasowych, tak że w momencie podpisania dokumentów poszliśmy do niektórych działów Federal Servivent, który dałby nam znacznik czasu dla podpisu;
    • lub, gdy wymieniasz faktury e-mail, istnieje kolejny trzeci link - jest to operator zarządzania dokumentami elektronicznych. Tęskni za dokumentami za pośrednictwem samego siebie i nie daje "dimness", ponieważ generuje swoje wpływy (potwierdzenie), w którym przepisuje się data i godzina.

Ogólnie rzecz biorąc, gdzie się poruszy.

Mechanizm kryptografii na platformie "1C: Przedsiębiorstwo 8"

Mechanizm kryptografii na platformie pojawił się z wersji 8.2 - jest to dość młody mechanizm. Sama platforma nie zawiera Cryptoalgorithms, zawiera tylko połączenia i obiekty, z którymi można odnieść się do usług kryptograficznych na komputerze:

  • w systemie Windows jest interfejs Cryptoapi;
  • dla Linuksa nie ma takich interfejsów, istnieje bezpośrednie odwołanie do modułów kryptograficznych.

Stąd staje się jasne kryptografia może być stosowana tylko wtedy, gdy w komputerze zainstalowano kryptocution. I z drugiej strony, sama platforma "1C: Enterprise" nie musi być certyfikowana z punktu widzenia kryptografii.

Główne operacje kryptograficzne w platformie 1C: Enterprise 8:

  • Wiesz, że platforma może pracować w różnych trybach: gruby, cienki, klient internetowy, zewnętrzne połączenie i aplikacja mobilna. We wszystkich tych trybach uruchamiania jest wspierany kryptografia - W przypadku aplikacji mobilnej obsługa mechanizmów kryptograficznych pojawiła się z wersji 8.3.10. Polecam przeczytanie "asystenta składni" i obserwować, które metody są dostępne w jednym lub innym trybie uruchamiania, ponieważ istnieją ograniczenia.
  • Platforma pozwala na pracę z kluczowymi certyfikatami (X.509)które są zainstalowane na komputerze. Nie możemy wydać nowego certyfikatu ani żądać wydania, pracujemy tylko z tym, co mamy - przy użyciu mechanizmów platformowych, możemy znaleźć certyfikat na komputerze, przeczytać jego atrybuty, wyładuj go do pliku i sprawdź, jak ważny jest.
  • Często natknąłem się na moją praktykę z nieporozumieniem jak na platformie działa szyfrowanie i dekodowanie. Jest to szczególnie ważne, gdy tworzysz integrację z zewnętrznym wykonawcą, który nie działa dla 1C. Po zaszyfrowaniu dokumentu, wysłał go na drugą stronę, a tam próbują rozszyfrować. Na przykład, pytania często pojawiają się, jeśli algorytm GOG 28147-89 został określony podczas ustawiania kryptoprodera w 1C, co jest symetryczne, a deszyfr wymaga odwołania do klucza zamkniętego. Pozwól mi przypomnieć, że algorytm Symetrycznego szyfrowania oznacza, że \u200b\u200bdo szyfrowania i deszyfrującej używasz tego samego klucza. A Asymetryczne szyfrowanie jest wtedy, gdy dane są szyfrowane za pomocą klucza publicznego, a druga zamknięta (tajemnica) jest używana do odszyfrowania. Wykonawcy są pytani: "Ale powiedziałeś, że algorytm szyfrowania jest symetryczny, dlaczego wtedy, gdy deszyfrowanie potrzebujesz zamkniętej części klucza?" Dowiedzmy się, jak działa mechanizm szyfrowania na platformie:
    • losowo tworzy stały klucz długości, z którym zestaw danych jest szyfrowany zgodnie z symetrycznym algorytmem;
    • następnie sam klucz jest szyfrowany przez asymetryczne algorytm przy użyciu klucza publicznego certyfikatu odbiorcy;
    • szyfrowanie przy użyciu symetrycznego algorytmu działa szybciej - zaszyfrowaliśmy dużą ilość danych, a następnie mały klucz stałej długości jest szybko zaszyfrowany za pomocą algorytmu asymetrycznego;
    • dane zaszyfrowane, lista certyfikatów odbiorców i sam szyfrowany klucz są pakowane w pakiet specyfikacji PCCS # 7;
    • ten pakiet jest wysyłany do boku odbiorcy;
    • a dekodowanie działa w odwrotnej kolejności.
  • Podpisanie i sprawdzanie podpisu elektronicznego. Podpisując narzędzia platformy, odwołanie do zamkniętej części klucza i sprawdzanie integralności (ważność matematyczna) podpisu jest wbudowana w platformę. Z punktu widzenia znaczenia prawnego tego nie wystarczy. Jeśli chcesz sprawdzić podpis elektroniczny pod dokumentem, musisz sprawdzić:
    • certyfikat;
    • ważność matematyczna wysłanych danych.

Jest to tak zrobione w mechanizmie BSP - będzie to omówione trochę później. Platforma nie.

Chronione połączenie TLS do organizowania zaszyfrowanego kanału wymiany danych.Obsługiwane są dwie wersje TLS - 1.0 / 1.2. Wersja TLS jest ustawiona na źródło, z którym instalujesz połączenie - jeśli źródło używa protokołu 1.2, wówczas platforma podniesie zaszyfrowany związek 1.2. Jeśli używany jest BSP, a następnie podczas uzyskiwania dostępu do zasobu, którego adres jest zarejestrowany "HTTPS", szyfrowanie jest automatycznie włączane. Jeśli "HTTP" jest zarejestrowany na adres, ruch jest szyfrowany. Inną ciekawą rzeczą, jaką mogę powiedzieć, że przed zaszyfrowanym połączeniem został zainstalowany tylko na algorytmach RSA, a teraz w GOST-algorytmach też. Przeglądarki nie są obsługiwane przez Algorytmy GOST, a platforma jest już w stanie. Ale nie wszystko jest tak dobre, niestety.

Wspomniałem już, że platforma może pracować tylko z tymi usługami kryptograficznymi zainstalowanymi na samym komputerze. W związku z tym istnieje limit - jeśli chcesz użyć kryptografii, musisz mieć jakiś kryptionion. W którym Cryptustrality nie może być używany w trybie przenośnym, należy go zainstalować w OS. Wydaje się, że na komputerze wystąpiło żeton z Cryptustia, platforma pracowała z nim - nie działa.

Podpis elektroniczny jest generowany tylko w formacie PKCS # 7 (Oddzielny, zewnętrzny plik), w inny sposób platforma nie wie, jak.

Niektóre departamenty wymagają formatu podpisu. Xmldig. - W wersji uproszczonej sytuacji, w której w pliku XML możesz wziąć określony zestaw znaczników, podpisać je i umieścić podpis w następnej tagu, aby w jednym dokumencie było kilka podpisów. Platforma nie wie, jak to zrobić.

Nadal to zauważył z pomocą platformy trudno jest zdiagnozować pojawiające się problemy.Na przykład na komputerze znajdują się cryptochemenie na komputerze, jest certyfikat, gdzieś jest zamknięta część klucza, a jeśli platforma zacznie nazywać to wszystko, a w pewnym momencie coś nie pasuje, po prostu podaje błąd - Co się nie powiodło, a operacja nie nastąpiła. Co się tam stało, gdzie problem jest niezrozumiały. W związku z tym istnieje miejsce do poruszania się w tym kierunku i platformie oraz krypturiała.

Kryptografia w elementach zewnętrznych

Aby usunąć ograniczenia na platformie, możesz spróbować wykonać komponent zewnętrzny.

  • W tym celu firma "1C" ma całość metodologia jest opublikowana na dysku W https://its.1c.ru/db/metod8dev#content: 221: Hdoc. Przykłady są dołączone do niego, możesz użyć.
  • Podczas rozwijania się komponentu zewnętrznego musisz zrobić zespoły dla wszystkich systemów operacyjnych, na których pracują klienci. Cóż, jeśli wiesz z góry, masz 100 klientów, a wszystkie 32-bitowe okna. Jeśli tak nie jest, powinieneś zrobić zgromadzenia:
    • dla Linuksa;
    • w systemie Windows (32 zrzuty i 64 cyfry);
    • jeśli klienci pracują przez przeglądarkę, musisz dokonać rozbudowy dla każdej przeglądarki oddzielnie.
  • Podczas pracy jest jeszcze gorsza. Pracujesz z elementem zewnętrznym, podobnie jak obiekt, którego właściwości znasz tylko. Jeśli podczas implementacji pojawiłeś się gdzieś błąd, kod programu do interakcji z tym obiektem nie będzie w stanie pracować.
  • Jest inny problem - nie jest jasne, w jaki sposób dostarczysz ten element zewnętrzny klientowi. Platforma klienta jest już warta, z krypturiałami, wszystko jest jasne, a teraz napisałeś element zewnętrzny, który wiąże krypturę i platformę. Ale gdzie kosztuje ten element zewnętrzny, gdy umieścisz go z klientem - nie jest jasne.
  • Musisz utrzymuj i zaktualizuj kod programu. Jeśli korzystasz ze składnika zewnętrznego w typowym rozwiązaniu, oznacza to, że wszystko musi być brane pod uwagę podczas aktualizacji. A jeśli produkuje się nowa wersja platformy, musisz zrobić wszystko.
  • Istnieją gotowe przykłady elementów zewnętrznych. Najbardziej żywy przykład mojej praktyki jest element zewnętrzny dla Sberbank. Dokładniej, Sberbank produkuje element zewnętrzny usługi "1C: Directbank". Ten element zewnętrzny implementuje swój własny format podpisu elektronicznego i instalując zaszyfrowany związek.

Podsystem BSP "Podpis elektroniczny"

Teraz, jak łatwiej pracować.

"1C: Biblioteka standardowych podsystemów" (BSP) jest gotową typową konfiguracją z "1C", zestaw uniwersalnych podsystemów funkcjonalnych, z których jeden nazywany jest "podpisem elektronicznym".

Natychmiast chcę zauważyć, że sam BSP jest pewnym wyizolowanym poziomem z platformy, która ma interfejsy oprogramowania i użytkownika. Podsystem "Electronic Signature" implementuje oprogramowanie i interfejs użytkownika do pracy z kryptografią (szyfrowanie, podpis elektroniczny).

Rozważając podsystem "podpis elektroniczny", ważne jest, aby zrozumieć, co jest w nim:

  • Podstawowa funkcjonalność, gdzie jest realizowany, że nigdy nie zostanie dotknięty, jeśli chcesz, aby wszystko działało.
  • I jest wyjątkowa powszechna część dla deweloperów, takich jak my, gdzie można dodać coś do pracy inaczej. Jeśli nie ma czegoś, polecam pisanie dla facetów, którzy opracowują BSP, aby uruchomić możliwość zastąpienia do podstawowej funkcjonalności, a następnie możesz zrobić to, czego potrzebujesz w przedefiniowanej części.

Liczba obiektów w podsystemie nie jest zbyt duża, katalogi są tylko dwa:

  • "Program ElektronneepOpiyShips";
  • "CerticateCelectriCeElectronic Posyaching".

Ale liczba linii kodów we wspólnych modułach jest bardzo duża - 11,5 tys. Strachów kodu. I sama praca z podsystemem nie jest zbyt prosta.

Jak osadzić podsystem podpisu elektronicznego?
Przypuśćmy, że masz pewną konfigurację, zdecydowałeś, że musisz osadzić ten podsystem:

  • przede wszystkim musisz przeczytać na swoim, jak osadzić podsystemy;
  • następny - przeczytaj instrukcje dla podsystemu (rozdział "ustawiający się i za pomocą podsystemów w zakresie konfiguracji", podsekcji "podpisu elektronicznego") - kolejność pracy jest tam zapisana;
  • konieczne jest zapoznanie się z BSP Demobaz z przykładami wyzwań podsystemu podpisu elektronicznego;
  • a na końcu po zbudowaniu podsystemu musisz sprawdzić:
    • istnieje rozszerzona platforma kontrola, gdy osadzasz obiekty;
    • i nadal istnieje oddzielne przetwarzanie dla jego "Sprawdzanie podsystemów osadzających BSP" - przy pomocy tego możesz sprawdzić, jak wszyscy osadzono.

A jeśli masz konfigurację od podstaw, bierzesz podsystem i napisz na nim - zaktualizujesz się.

Jak przetestować podpis elektroniczny?

  • Do testowania jest możliwe użyj identyfikatora samoznacznego - Zwolnij go na wykorzystaniu krypturalnym z Microsoft, który jest osadzony w systemie Windows.
  • Lub jest to możliwe użyj fuzji zewnętrznej. Z pomocą "Cryptopro" możesz:
    • pobierz wersję próbną z witryny;
    • zamów certyfikat testowy za pośrednictwem Centrum Certyfikacji Testu;
    • zainstaluj certyfikat główny centrum certyfikacyjnego testowego;
    • pobierz i umieść listę wycofania certyfikatu (SOS) z tego UC.

Tak więc "bez wstawania z sofy", otrzymasz środowisko testowe do pracy z certyfikatami i kryptografią. Można to użyć.

Główne funkcje podsystemu "podpisu elektronicznego" z BSP

Jest to przykład bsp demobaza. W sekcji "Administracja" istnieją dwie opcje funkcjonalne: "szyfrowanie" i "podpis elektroniczny". Jeśli je włączyłeś, możesz przejść do ustawień.

Ustawienia są dwoma książkami referencyjnymi: "Programy" i "Certyfikaty". W "Programach" system określa, które programy są zainstalowane i natychmiast pokazuje, że wszystko jest w porządku lub wszystko jest złe. Jeśli używasz jakiegoś konkretnego kryptacji, który nie znajduje się w BSP, możesz kliknąć przycisk "Dodaj" i określić parametry odwołania do niego.

Jeśli pracujesz za pośrednictwem klienta WWW, podsystem BSP skłoni, że najpierw musisz zainstalować rozszerzenie do pracy z plikami i ekspansją do pracy z kryptografią. Jest bardzo wygodny, ponieważ nie musisz dostosowywać się - system znajdzie rozszerzenie i będzie oferować go.

Certyfikaty można dodawać na dwa sposoby.

  • Pierwszą opcją jest "z zainstalowanego na komputerze". W takim przypadku otwiera się okno dialogowe, w którym określimy, w jaki sposób użyjemy tego certyfikatu.

  • I druga opcja - możesz zamówić wydanie nowego kwalifikowanego certyfikatu. Należy pamiętać, że sama platforma nie pozwala na zamówienie problemu certyfikatu, a BSP pozwala. BSP integracja z centrum certyfikacyjnym 1C, który wydaje certyfikaty wykwalifikowanego podpisu elektronicznego. Możesz przejść przez kreatora ustawień:
    • system monituje, który dokumenty do wypełnienia i wydruku na wydanie certyfikatu;
    • konieczne będzie zawarcie umowy z partnerem, który może prowadzić dowody tożsamości i dokumenty transferowe w 1C;
    • po otrzymaniu dokumentów 1C otrzymasz certyfikat;
    • system go znajdzie i zainstaluje go na komputerze.

W ten sposób użytkownicy bez opuszczania programu otrzymują kwalifikowany certyfikat podpisu elektronicznego.

Magia dzieje się dalej - sprawdzanie certyfikatu, diagnozowanie poprawności ustawień. Ten okno dialogowe umożliwia sprawdzenie, jak poprawnie skonfigurowano kryptografię na komputerze - system będzie próbował podpisać certyfikat, sprawdzić, szyfrować, rozszyfrować. Możliwe jest również wstawienie dodatkowej diagnostyki tutaj.

Jeśli ty lub twoi klienci mają pewne problemy, prowadzisz "diagnostykę", a wszystko będzie jasne. Jeśli istnieją problemy, jak w przykładzie na slajdzie można kliknąć na ikonę błędu, pokaże Ci możliwe przyczyny i spróbuje ci powiedzieć, co naprawić.

Jak sprawić, aby zaproszenia do podpisu i szyfrowania / deszyfrującej można wyświetlić przykład katalogu "Pliki" w demo-bazy danych BSP lub w "1C: Zarządzanie handlem", "1C: ERP" - jest ten sam podsystem.

Usługi "1C-Edo" i "1C: Direct-Bank"

Jak kryptografia w usługach? Pierwsza usługa, 1C-EDO to usługa przeznaczona do wymiany prawnie znaczących dokumentów elektronicznych poprzez przyjaznych operatorów firmy "1C".

  • Funkcjonalność klienta jest rozwijana w "bibliotece elektronicznej dokumentów".
  • Podczas próby połączenia z serwerem pojawia się zaszyfrowane połączenie SSL (przez HTTPS) w algorytmach RSA.
  • Przy użyciu autoryzacji z kryptografią. Ponieważ serwer nie wie o nas, wysyłasz do zaszyfrowanego tokena, a jeśli jesteś "właściwą" osobą, odszyfruj ten token za pomocą klawisza zamkniętego i użyj go później, aby wymienić dane.
  • Możliwe jest wyświetlenie dokumentu elektronicznego, podpisać go, sprawdź, opakuj pakiet danych i wyślij.
  • Sprawdź i ogólnie wszystkie kryptografia działa przez BSP. Sprawdzanie podpisu elektronicznego jest wykonywane w dwóch etapach:
    • po pierwsze, sprawdzana jest ważność samego certyfikatu: okres ważności, łańcuch zaufania, atrybuty;
    • jeśli wszystko jest w porządku z certyfikatem, wykonuje się obliczenie matematycznego hasha. Jeśli wszystko jest w porządku z matematyką, podpis jest uważany za ważny i stosowany do dokumentu.
  • Ponadto, przy użyciu BSP wdrożył rozszerzoną diagnostykę ustawień EDO - określa się, że serwery są dostępne, i że uczestnik zarządzania dokumentami elektronicznej jest w porządku - ma aktywne plany taryfy itp.

Druga usługa jest "1C: Directbank". Jego spotkanie jest wymiana z bankami bezpośrednio dokumenty elektroniczne, omijając program Klienta-Bank.

  • Ta usługa jest również dostarczana w "bibliotece elektronicznej dokumentów".
  • Otwarta technologia Directbanku jest opisana na GitHub.
  • Z nowego - zaszyfrowany kanał komunikacyjny z usługą można podnieść na algorytmie GOST.
  • Ustawienie wymiany jest takie: 1C składa wniosek do banku, aby uzyskać ustawienia dla konkretnego klienta. W razie potrzeby, wraz z ustawieniami, Bank wysyła komponent zewnętrzny, który jest używany z dalszą wymianą (tak wdrażane przez Sberbank).
  • Autoryzacja jest wykonana albo za pomocą zaszyfrowanego tokena lub SMS (za pomocą jednego hasła).
  • Podpisanie i weryfikacja podpisu elektronicznego działa za pośrednictwem BSP lub przez elementy zewnętrzne (w zależności od tego, jak sam został wdrożony).
  • A diagnostyka tutaj jest jeszcze bardziej interesująca, dzięki pełnym cyklu wymiany dokumentów elektronicznych typu specjalnego - "żądanie-sonda".
    • System 1C jest zalogowany w systemie banku i przesyła dokument elektroniczny do jego podpisu;
    • Bank sprawdza podpis elektroniczny klienta, formy zauważają, że wszystko jest dobrze i podpisane przez jego podpis;
    • Zawiadomienie przybywa w "1C", sprawdza, że \u200b\u200bpodpis banku Walidna i mówi po tym, że wszystko jest w porządku.

Jest to taki mini-cykl - staje się jasno, jak duża wymiana z bankiem jest poprawnie skonfigurowana.

Własne rozwiązania z kryptografią na platformie 1C


Jak rozwijać własne rozwiązania z kryptografią?

Możesz utworzyć konfigurację od podstaw - Otwórz "Asystent Syntax" i użyj możliwości platformy operacji kryptograficznych. Ale polecam użycie BSP - jest już wiele tego, co jest napisane. W tym przypadku musisz napisać nie 11 tysięcy linii kodu, ale mniejszy. Ale pięć tysięcy linii kodu - na pewno.

Jak testować - już powiedziałem. Możesz uzyskać certyfikat testowy i spróbować pracować.

Jeśli opracowałeś konfigurację od podstaw - towarzyszysz mu sam. A jeśli użyłeś podczas opracowywania BSP, i wydał kilka nowych okazji, możesz zaktualizować podsystem BSP i spróbuj tej okazji. Trudności będą w każdym razie, ponieważ nie ma tutaj "Bullet Srebrny". Zbliżałbym się do oceny, czy jest tego warte, czy nie wymyślać czegoś, w zależności od zadania, które chcesz rozwiązać. Biorąc pod uwagę określone zadanie, już wybierasz: Twoje rozwiązanie lub standardowy BSP na podstawie.

Przykładem własnego rozwiązania jest rozwój partnera IT. Opracowali mały moduł do wewnętrznego zarządzania dokumentami elektronicznymi na podstawie "1C: Upp". Tam, w oparciu o wydrukowaną formę utworzona jest dokument elektroniczny, który jest dołączony do dokumentu podstawy informacyjnej i możliwe jest podpisanie go z podpisem elektronicznym. Prosty przepływ dokumentu w firmie, ale i tak musi go towarzyszyć.

Trudności w wprowadzeniu kryptografii i EP w organizacjach

Co tam są. główne problemy?

  • Jeśli chcesz zainstalować na jednym komputerze dwa kryptocution, pojawi się konflikt. Na przykład, jeśli zgłaszasz za pośrednictwem VIPNET i elektroniczny przepływ dokumentu z kontrahentami za pośrednictwem "CryptoPro". Jak rozwiązać ten problem?

Pierwszą opcją jest rozpowszechnianie tych kryptachami na różnych komputerach.

Jeśli jest to niemożliwe, a następnie dla jednej z usług musisz zwolnić certyfikat na innym kryptionion - po zamówieniu certyfikatu w centrum certyfikatów, możesz określić, że za jaką potrzebą kryptograficzną użyjesz go.

  • Czasami w klientach. kryptografia w przeglądarce IE nie działa - Wymagane jest ustanowienie rozszerzenia, ale nie jest umieszczone. Rada banalna - uruchom przeglądarkę w imieniu administratora. Pozwoli to ustalić rozszerzenie, a problem zostanie rozwiązany.
  • Program 1C nie zawsze widzi tokeny Jacard. Nie wiem, jaki jest problem lub w Jacard lub platformie. Ponownie instalujemy kryptochement - działa przez chwilę, a po ponownym uruchomieniu systemu ponownie leci. Z jakiegoś powodu 1C i Jacard nie są bardzo przyjaźni.
  • Jest inny problem - podczas sprawdzania certyfikatów platforma zawsze próbuje sprawdzić, w jaki sposób niezawodny, a czasami nie udaje się. Dlaczego to się dzieje? Istnieje lista recenzji, w których znajdują się nieprawidłowe certyfikaty. Na przykład, gdy pracownik zrezygnował z firmy, musi poinformować Centrum Certyfikujące, że pracownik zrezygnował, a jego certyfikat jest nieprawidłowy. Potem centrum certyfikujące uwalnia listę informacji zwrotnych, która obejmuje ten certyfikat, po którym zaczyna być uważany za nieważny. Czasami z jakiegoś powodu sprawdź, czy certyfikat na liście Rekonferencji nie powiedzie się. Jaki jest problem? Te listy recenzji dla 1C nie mają żadnego związku, są one automatycznie aktualizowane przez kryptografię. Aby to zrobić, stabilny kanał musi być skonfigurowany do certyfikatu. Jeśli lista opinii nie zostanie automatycznie zaktualizowana, oznacza to, że usługa nie jest wystarczająco skoordynowana w centrum certyfikatu, albo jest na ogół nieobecny. Zmień centrum certyfikujące, a problem zostanie odejść.
  • Gdy certyfikaty stają się dużo (na przykład więcej niż 30), zaczynają się trudności. Załóżmy, że przetłumaczyłeś biznes do szyn elektronicznych, a w środku dnia roboczego okazuje się, że podpis nieważny, ponieważ jego certyfikat jest zakończony. Wydanie certyfikatu zajmuje trochę czasu, biznes "na uszach", ty też. Za takie przypadki musisz użyć specjalistycznego oprogramowania, aby utrzymać listę certyfikatów. Istnieją programy, które umożliwiają monitorowanie cyklu życia certyfikatu, a gdy ma okres ważności, wysyłają przypomnienie do administratora. Jest to banalna opcja, ale pozwala na mniej lub bardziej usprawnione certyfikaty.

  • Wymiana z danymi z 1C występuje z serwerów, więc:
    • otwarte porty na 1C: Przedsiębiorstwa: Przedsiębiorstwa;
    • prawa konta serwera muszą być "dostępem do Internetu";
    • jeśli masz klastra serwera, oznacza to, że wszystkie serwery 1C zawarte w klastrze muszą być otwarte porty.
  • Jeśli nie ma zaufania do zasobu zewnętrznego, istnieje oddzielny artykuł na temat "diagnostyki problemu" zdalny węzeł nie przekazał czeku "".
  • Podstawowe zasady bezpieczeństwa:
    • hasła na naklejkach nie przechowywać;
    • praca, wyjmij żetony z samochodów;
    • regularnie aktualizować antywirus.
      W przeciwnym razie okazuje się, że ustawiłeś certyfikowany kryptocion, klucze i wokół wirusów, które mogą skorzystać z tego. Dlatego chroń obwód.

Źródła informacji

pytania

Polecam korzystanie z centrum certyfikującego, z którym będziesz nadal pracować pod względem wymiany dokumentów elektronicznych. Przykładem jest operator elektronicznych zarządzania dokumentami "takson", ma centrum certyfikujące. Jeśli uruchomisz przepływ dokumentu elektroniczny poprzez "taksę", ma sens, a certyfikat do nich skontaktuje się z nimi.

Powiedziałeś, że FSB dał pewne wyjaśnienie certyfikatów w chmurze. Co jeśli certyfikat nie jest przechowywany lokalnie, ale w chmurze nie można go uznać za wzmocnić. W przypadku standardowej wymiany faktury i UPS możemy użyć certyfikatu Cloud lub konieczne jest użycie tego wszystkiego samego?

Prawo mówi, że podczas wymiany faktury wymagane jest zwiększony wykwalifikowany podpis elektroniczny, więc chmura nie jest tutaj odpowiednia. Ale dla innych typów dokumentów elektronicznych - proszę.

Mniej więcej mówiąc, dla dowolnego standardowego EDO, którego używamy w 1C, potrzebujemy wzmocnionego certyfikatu?

Nie, nie dla nikogo. Prawo jest zapisywane tylko o fakturach elektronicznych. Muszą być podpisane przez wykwalifikowany podpis elektroniczny. W odniesieniu do reszty dokumentów nic nie jest napisane. Oznacza to, że dla faktur, dla zamówień można użyć wzmocnionego niezwykłego podpisu elektronicznego - w tym w chmurze.

A o stopie nie ma nic? W rzeczywistości UPB jest teraz tak samo jak faktura.

Istnieje niewyraźne definicja - faktura z zaawansowanymi wskaźnikami, ale nie jest to samo jak aktualizacja. Dlatego myślę, że aktualizacja dostaje się w odprowadzanie niewykwalifikowanego podpisu elektronicznego.

A jaka funkcja w całym łańcuchu jest operator - "1c-edo" lub "taksówka"? Zwykle za pośrednictwem operatorów wysyłamy dokumenty do agencji rządowych i faktur wymiany, a podczas wymiany innych dokumentów z kontrahentami, dlaczego potrzebujemy operatora?

Operatorzy na rynku nie są również pierwszym dniem, faktury przechodzą przez nich. Mówią, że - wysyłasz jedną fakturę, a dwa inne dokumenty są bezpłatne. Nadal nie wymieniasz faktur przez faktury, więc jest łatwiejsze, a same dokumenty również wysyłają je przez nich. Inną rzeczą, jeśli usiądziesz na uproszczonym i nie masz faktur, możesz poprosić operatora, aby wyszukać Państwu niedrogi plan taryfowy. I tak w tej samej "elektronicznej bibliotece dokumentów" istnieje możliwość wymiany dokumentów za pomocą podpisu elektronicznego przez e-mail, za pośrednictwem FTP itp. Ale kiedy masz 100 kontrahentów, organizuj dla każdego z nich Twój kanał komunikacyjny będzie trudny pod względem akompaniamentu.

A jeśli chcemy przetestować certyfikat z podpisem własnym, możemy przetestować dowolną wymianę przy użyciu autorefotografowanego certyfikatu przez operatora?

Nie, przez operatora - nie. Jeśli naprawdę chcesz przetestować, napisz do firmy "1C", który chcesz połączyć się z usługą EDO, aby przetestować.

Mówią, że nie jesteśmy cennikiem certyfikującym.

Napisz do mnie, pomogę.

A jeśli wymieniamy bez operatora EDO, przynoszę podpisany dokument elektroniczny i chcę go pobrać w 1C, aby go tam trzymać. W BSP istnieje wystarczająco dużo funduszy, aby sprawdzić, czy jest to CEP i ma odpowiednie szczegóły, dzięki czemu wszystko jest w trybie automatycznym bez modalnych okien itp.?

Nie spełniłem takich przypadków w naszej praktyce, ale w BSP jest dokładnie możliwe, aby przesłać plik i sprawdzić podpis elektroniczny. Najprawdopodobniej będziesz musiał tylko na ten skrypt, aby narysować jakiś mistrz: Sprawdź folder, podnieś dokument, weź podpis, sprawdź to wszystko, umieść go tam, gdzie i powiedz, że wszystko jest w porządku. Jeśli chodzi o synchronizację połączenia - wszystko to jest realizowane w BSP, wszystko w przeglądarkach działa w trybie asynchronicznym.

A jeśli w 1C przez terminal do pracy? Czy można umieścić "Cryptopro", aw terminalu, argumentujemy dla niego klucze? Jakie są funkcje? W związku z tym, jeśli mamy więcej niż 20 podmiotów prawnych i dla każdego z nich dwóch kluczy, jak wychodziły do \u200b\u200btych klawiszy? Na poziomie 1C lub jak?

W samym BSP, gdy wysyłasz otwartą część klucza, możliwe jest określenie, który użytkownik będzie dostępny. Możesz, wprowadzając swoje imię, zobacz tylko twoje certyfikaty. Ale jednocześnie wszyscy będą na samym komputerze. Dlatego wiesz, zainstaluj zamkniętą część do rejestru nie jest konieczne, ponieważ zamknięta część klucza jest przenoszona bez żadnych problemów z samochodem w samochodzie. Lepiej użyj żetonów. Możliwe jest złamanie tokena z zamkniętą częścią klucza do serwera terminali. Kluczowi faceci producentów pomagają się go skonfigurować, aby ten klucz był widoczny w terminalu. Spróbuj, eksperymentuj, znajdź inne klucze, znajdź ludzi, którzy pomagają dostosować. Ale tutaj musisz zrozumieć, że ten tunel z serwera terminali przed kluczem nie jest bezpieczny. Wygenerujesz dokument elektroniczny na serwerze terminali i powiedzmy - znak. Co się dzieje? Istnieje transfer danych na niezabezpieczony kanał najpierw do komputera lokalnego, w którym klawisz jest zainstalowany, wygenerowany jest podpis elektroniczny, a następnie dane są przesyłane z powrotem do serwera terminali. Ale ten kanał nie jest chroniony. Może być chroniony tylko przez instalowanie specjalistycznego oprogramowania, który sprawia, że \u200b\u200btunel między serwerem terminali a bezpiecznym maszyną. Jeśli chcesz pracować bezpiecznie, oznacza to, że musisz umieścić token, przerywamy go do terminala i umieścimy oprogramowanie do szyfrowania kanału między serwerem terminali a maszyną klientą.

Powiedz mi, czy istnieje różnica prędkości między podpisaniem faktury elektronicznej a zeskanowaną umową na 100 stronach (gdzie czysto grafika).

Im więcej dokumentu, bardziej wolniejsze znaki, ponieważ istnieje asynchroniczne szyfrowanie - Hash jest obliczany za pomocą algorytmu asynchronicznego. Ale z punktu widzenia, niezależnie od tego, czy podpiszesz fakturę elektroniczną w kilku liniach lub pliku 10 MB - wizualnie różnica, której nie zauważysz. Uwaga tylko na woluminach w dokumentach 1000-3000.

W odniesieniu do roamingu 1C-EDO. W "taksonie" jest roaming między operatorami. I ile jest w stanie działać w "1c-edo"? Czy masz takie doświadczenie? Ponieważ wszystkie kontrahenty siedzą na różnych operatorach i wybierz operatora z maksymalną powłoką, jest bardzo trudne. Kogo doradziłbyś?

Jeśli wybierzesz między "1С-edo" a innymi, oczywiście, "1c-edo". Ale "1c-Edo" ma problemy z roamingiem - nie jest tak wielu operatorów. Istnieje oddzielny zasób dla 1C-EDO, istnieje lista obsługiwanych operatorów, myślę, że musi być uzupełniany z czasem.

I gdzie przechowywać archiwum podpisanych dokumentów? Lokalnie w firmie lub w chmurze? Czy możliwe jest zapewnienie ważności dokumentów utrzymujących się w chmurze?

Gdzie przechowujemy podpisane dokumenty (w chmurze lub nie) - bez względu na to. Hash Matematycznie jest już obliczony, a zawartość dokumentu nie zmieni się bez śladu. Następnie można go przekazać co najmniej 10 razy, podpis zawsze może być sprawdzany czysto matematycznie. Jeśli usługa w chmurze jest wygodna - należy go zachować, prawdopodobnie jest to jeszcze bardziej interesujące.

A operator zapewnia taką usługę?

Jeśli oddzielna umowa z nim umieściła kopie zapasowe do przechowywania - robią to indywidualne pieniądze.

Czy nie są przechowywane dla podpisanych dokumentów?

Fizycznie są przechowywane, ale zgodnie z prawem nie są zobowiązani do ich przechowywania. Są zobowiązane do przechowywania tylko pokwitowania. Jeśli podatek przyjdzie do nich i zapytał - czy taki dokument minął, pokażą, tak, oto pokwitowanie, wygląd - taki podpis. A co tam jest w tym dokumencie - to już nie jest pytanie.

A do UPP operatorzy nie zapewniają żadnych przetwarzania EDO?

Nie mogę powiedzieć o operatorach, istnieje wiele z nich, a każdy ma własne wydarzenia, ale w samym EPP istnieje elektroniczny przepływ dokumentu.

****************

Ten artykuł jest napisany w wynikach konferencji Wspólnoty Event 2017 InfostART 2017. Można odczytać więcej artykułów.

W 2020 r. Zapraszamy wszystkich do wzięcia udziału w 7 alokacjach regionalnych, a także rocznicowej imprezy infostartu 2020 w Moskwie.

Podpis elektroniczny (zwany dalej - EP), zgodnie z federalnym ustawą federacji Rosyjskiej nr 63-FZ 25 marca 2011 r. W sprawie podpisu elektronicznego ", jest zdefiniowane jako informacje w formie elektronicznej, która jest dołączona do innej informacji w elektronicznej Formularz (informacje podpisane) lub w inny sposób związane z takimi informacjami, które są używane do określenia informacji podpisujących. Określona ustawa regulacyjna została zastąpiła siłę prawną prawa federalnego Federacji Rosyjskiej nr 1-FZ 10 stycznia 2002 r. W sprawie elektronicznego podpisu cyfrowego "od 1 lipca 2013 r.

Ustawa o wartości 25 marca 2011 przydziela dwa typy EP: proste i wzmocnione. Ten ostatni może być kwalifikowany lub niewykwalifikowany. Jeśli Proste EP potwierdza, że \u200b\u200bten e-mail jest wysyłany do określonej osoby, wtedy wzmocnione niewykwalifikowany EP pozwala nie tylko jednoznacznie zidentyfikować nadawcę, ale potwierdza również, że nikt nie zmienił go od momentu podpisania dokumentu. W przyszłości omówimy wzmocnione epoki bezwarunkowane. Wiadomość z niewykwalifikowaną PE może być równa dokumentowi papieru podpisanego samemu, jeżeli strony uzgodnione w tym z wyprzedzeniem, a także w przypadkach określonych przez prawo.

Z jednej strony EP służy do potwierdzenia autorstwa dokumentu - w tej jego wartości dla nadawcy dokumentu. Z drugiej strony, podpis elektroniczny w przypadku uznania jej znaczenia prawnego zapewnia niezwykły autora z podpisanego dokumentu, co z kolei jest ważne dla odbiorcy dokumentu. W przypadku kontrowersyjnej sytuacji mogą być zawsze przeprowadzane konflikty, które jednoznacznie określają autor podpisanego dokumentu i zmusi go do odpowiedzialności za podpisany dokument.

Relacja konfliktów związanych z EP

Głównym problemem z analizą konfliktów sytuacji sportowych w dokumentach podpisanych przez EP jest dowodem faktu, że "Informacje w formie elektronicznej, które są dołączone do innej informacji w formie elektronicznej (podpisane informacje)" jest prawnym i znaczącym ep konkretna osoba w określonym dokumencie.

Wykorzystanie metod kryptograficznych pozwala rozwiązać ten problem. Jeśli dana osoba jest wydawana unikalny klucz elektroniczny, a następnie wytwarza specjalne transformacje za pomocą tego klucza elektronicznego i dokumentu elektronicznego, wówczas wynik tych transformacji (a to jest PE) będzie unikalne dla tej pary (kluczowy dokument). Tak więc zadaniem pierwszego etapu parsowania konfliktów jest określenie, czy ten podpis został opracowany przy użyciu tego klucza elektronicznego, czy nie - jest rozwiązany przez metody kryptograficzne.

Drugim etapem parsowania konfliktów jest udowodnienie, że ten klucz elektroniczny jest własnością konkretnej osoby. Ten dowód daje znaczeniu prawnym EP. Aby rozwiązać ten zadanie organizacyjne - rozliczanie wyemitowanych kluczy - stosuje się PKI (infrastruktura klucza publicznego).

Dawanie znaczenia prawnego PE z PKI

W prawie "na podpisie elektronicznym" odróżnić klucz EP i klucz weryfikacyjny EP. Elektroniczny klawisz Signature to unikalna sekwencja symbolu zaprojektowana do tworzenia podpisu elektronicznego. W sprawdzeniu podpisu elektronicznego jest unikalną sekwencją znakową, wyjątkowo związaną z kluczem podpisu elektronicznego i przeznaczony do uwierzytelniania podpisu elektronicznego. Kluczem kontrolnym jest epusody z klucza EP, ale operacja odwrotna nie jest możliwa. W ten sposób istnieje jednoznaczna zgodność między kluczem EP a kluczem testowym. Klucz EP powinien być stworzony przez sam klienta i są tajne. To ten klucz służy do podpisywania dokumentów przez podpis elektroniczny. Klucz weryfikacyjny PE służy weryfikacji EP i dystrybucji wszystkim, aby sprawdzić podpis.

Głównym elementem PKI jest centrum certyfikujące. Centrum certyfikatu zawiera rejestr zgodności kluczy i osób, które są właścicielami tych kluczy. Aby zarejestrować klucz, Klient odnosi się do UC Otwórz część jego klucza wraz z jego danymi identyfikacyjnymi i otrzymuje certyfikat zgodności poświadczający jego posiadanie tego konkretnego klucza. Certyfikat zgodności zawiera klucz kontrolny EP i dane identyfikacyjne klienta i jest podpisany przez Centrum Certyfikujące PE. W ten sposób UC potwierdza, że \u200b\u200bten klient został sprawdzony i jest tym, dla którego daje się. Po otrzymaniu certyfikatu, Klient z kolei podpisuje specjalne dokumenty dotyczące wiarygodności certyfikatu wydanego przez jego ręczny podpis. Dokumenty te są głównym połączeniami między konkretną osobą a "zestawem znaków elektronicznych", jego EP.

W ten sposób wystarczy sprawdzić podpis i identyfikację podpisanego certyfikatu podpisanego. Oznacza to, że podpisanie podpisuje dokument z kluczem EP, a następnie wysyła ten podpisany dokument do odbiorcy i jego certyfikatu zawierające klucz weryfikacji EP. W ten sposób odbiorca będzie w stanie sprawdzić, czy podpis został wykonany przez klucz EP podpisany i otrzymywać dane identyfikacyjne do podpisanego z certyfikatu. Klient musi chronić swój klucz EP przed kompromisowaniem. Jest to w tym celu, że różne urządzenia do przechowywania klawiszy sprzętowej są tworzone ze zwiększonym poziomem ochrony, na przykład, podłączony urządzenie USB.

Rosyjski standardowy EP.

Standardy ed są dwa poziomy. Na pierwszym poziomie znajduje się bezpośrednio EP z dokumentu. Drugi poziom obejmuje EP i wszystkie dokumenty niezbędne do udzielenia znaczenia prawnego PE: certyfikat podpisanego lub łańcucha certyfikatów, czas tworzenia podpisu itp.

Rosyjski standardowy poziom pierwszego poziomu jest GOST 34-10.2012. Rosyjski standardowy poziom EP jest PKCS # 7 z możliwością dodawania tymczasowych tagów TSA.

Zakres EP.

  • bank internetowy.
  • elektroniczny rynek
  • systemy zarządzania dokumentami korporacyjnymi
  • e-mail
  • dostawa raportów do różnych usług federalnych
  • prawo autorskie

Strona internetowa z EP

Sformułowanie problemu

Załóżmy, że w organizacji postanowiła przejść do systemu zarządzania dokumentami elektronicznych zbudowany na technologiach internetowych. Jednocześnie główne miejsca, w których wymagane są PE:

  • Pliki PE dowolnego formatu przy pobieraniu ich do witryny internetowej przez użytkownika za pomocą formularza wejściowego
  • Dane tekstowe EP wprowadzone przez użytkownika w formularzu wejściowym na stronie internetowej
  • EP Wysłany na stronie internetowej dokumentu przez kilku użytkowników
Zadaniem towarzyszącym jest ochrona poufnych informacji i danych osobowych, które są podzielone na następujące podtaski:
  • ochrona danych kryptograficznych między robotnikiem użytkownika a witryną sieci Web
  • uwierzytelnianie użytkownika dla certyfikatu cyfrowego, aby uzyskać dostęp do swojego konta osobistego
  • ochrona kryptograficzna przechowywana na informacji o serwerze
Spróbujmy zrozumieć, w jaki sposób możesz rozwiązać wyznaczone zadania z najniższymi kosztami czasu i pieniędzy, wykonaj bez szkolenia użytkowników i zminimalizują dalsze wsparcie techniczne.

Schematyczne rozwiązanie

Tworzenie centrum certyfikującego

    wybierz serwer, na którym zostanie wdrożone centrum certyfikujące. Opcjonalnie, tymczasowa etykieta i status certyfikatu weryfikacji online można wdrożyć. CAC i określone usługi dla oszczędności mogą być używane przez jeden serwer, który powinien być dostępny online. Wykonalność tych usług omówimy poniżej.

    zainstaluj produkt Magpro CryptoSacket

    utwórz klucz UC i aplikacji na certyfikat główny CCM za pomocą narzędzia MKKey z kryptopetu Magpro. Klucz można utworzyć na bezpiecznym urządzeniu, na przykład, na podłączeniu. Po utworzeniu klucza CC wymaga się zapewnienia jej bezpieczeństwa metodami organizacyjnymi. Najbardziej bezpieczną opcją jest przechowywanie klucza na podłączeniu urządzenia i podawanie go do serwera tylko podczas wydawania certyfikatów. Certyfikat CAC to plik. Plik ten zostanie następnie wydany wszystkim klientom CCC po otrzymaniu certyfikatu.

    utwórz certyfikat główny UC za pomocą narzędzia OpenSSL z kryptopetu MagPro.

    utwórz strukturę katalogów w systemie plików, w którym będziesz przechowywany jako pliki wydane certyfikaty użytkowników wydane certyfikaty serwerów, aplikacji certyfikatów. Następuje się metodami organizacyjnymi (na przykład przy użyciu ACL), aby zapewnić właściwe prawa dostępu do tych katalogów. Certyfikaty zostaną wystawione jako pliki w formacie PEM. Należy pamiętać, że nazwy plików certyfikatów są najlepiej zrozumiane w celu dalszego ułatwienia zadania znalezienia certyfikatów.

Tworzenie klawisza i aplikacji PKCS # 10 do certyfikatu

Aby uzyskać certyfikat, użytkownik UC może używać dwóch schematów: scentralizowanych i pilota. Dzięki scentralizowanym schemacie użytkownik przychodzi do CC i podaj go plik, w którym znajdują się klucz i certyfikat. Następnie dodaje ten plik do dysku flash USB. Ten schemat jest prosty i wygodny, ale niebezpieczny, ponieważ pozwala na znalezienie klucza użytkownika do pracowników UC. Ale w niektórych przypadkach użycie tego schematu jest niesamowite.

Najbardziej bezpieczny schemat uzyskiwania certyfikatu jest dystrybuowany. Użytkownik tworzy klucz, tworzy aplikację PKCS # 10 dla certyfikatu, który zawiera klucz kontrolny EP i dane identyfikacyjne. Użytkownik podpisuje tę aplikację z kluczem EP i odnosi się do UC. CCC sprawdza podpis w ramach aplikacji, dane identyfikacyjne użytkownika są sprawdzane, na przykład, z paszportem i wydaje certyfikat. Następnie drukowanie certyfikatu, a użytkownik podpisuje ręczny dokument podpisu w sprawie zgodności wydanego certyfikatu.

W ramach dyskusji w ramach dyskusji, generowanie klucza i tworzenie wniosku są wykonane przy użyciu specjalnego programu z kryptopetu Magpro. Ten program wchodzi do zestawu użytkownika Cryptunnel.

Ten program ma elastyczny system konfiguracyjny, z którym można tworzyć aplikacje do zupełnie różnych rodzajów certyfikatów, rozszerzyć standardowy zestaw informacji identyfikacyjnych, dodawanie roli i praw użytkownika do certyfikatów, na przykład, do ograniczenia dostępu do zasobów internetowych; Dodaj do aplikacji różnych atrybutów.

Po utworzeniu klucza użytkownik musi zapewnić jego bezpieczne przechowywanie.

Rodzaje certyfikatów dla EP na stronie internetowej

W naszym portalu użyto kilku rodzajów certyfikatów:

    certyfikat korzeniowy UTS.

    Ten certyfikat służy do sprawdzania wszystkich innych certyfikatów uczestników portalu internetowego.

    certyfikat uwierzytelniania serwera TLS

    Ten certyfikat służy do weryfikacji serwera przez klienta podczas tworzenia bezpiecznego połączenia TLS podczas przesyłania podpisanych dokumentów na stronie internetowej

    certyfikat uwierzytelniania TLS klienta

    Ten certyfikat służy do sprawdzania klienta przez serwer i uzyskać dostęp do klienta na swoje konto osobiste podczas tworzenia bezpiecznego połączenia TLS podczas przesyłania podpisanych dokumentów na stronie internetowej

    certyfikat EP klient.

    Ten certyfikat klient dodaje do jego es, a zatem strona testowa może sprawdzić podpis i zidentyfikować podpisany

    certyfikat podpisu serwera OCSP

    Ten certyfikat serwera OCSP dodaje podpisanej odpowiedzi na jego certyfikat

    certyfikat podpisu serwera TSA

    Ten certyfikat serwera TSA zwiększa podpisaną odpowiedź na jego certyfikat i daje mu znaczenie prawne

Wszystkie te typy certyfikatów można utworzyć przy użyciu narzędzia UGPRO CryptoSacket i UC na podstawie kryptopetu Magpro.

Uzyskanie certyfikatu w UC

Podczas odbierania aplikacji od użytkownika administrator UC tworzy kopię zapasową swojej aplikacji. Następnie sprawdza aplikację i korzystanie z narzędzia OpenSSL tworzy certyfikat użytkownika, podpisuje go na klawiszu CCT, a także zapewnia jego kopię zapasową. Ponadto, aby zapewnić znaczenie prawne, administrator dokonuje wydruku informacji z certyfikatu (uzyskanie tych informacji jest wyposażony w narzędzie openssl.exe) i odbiera podręcznik użytkownika pod tym wydrukiem. Następnie daje użytkownikowi jego certyfikatowi w pliku.

W tej chwili udało nam się wdrożyć UC i dowiedziałem się, jak tworzyć klucze użytkownika, akceptujemy aplikacje do certyfikatów i wydawania certyfikatów do odebranych aplikacji. Uzyskanie i zgodność z certyfikatem, użytkownik poświadcza swój ręczny podpis, a zatem można argumentować, że jesteśmy rozmieszczani przez PKI, co zapewnia znaczenie prawne EP Użytkownika

Następnym zadaniem jest użycie wdrożonych PKI do rozwiązywania zadania zastosowanego - organizacja bezpiecznej transmisji za pomocą przeglądarki podpisała elektroniczne dokumenty na stronie internetowej i odbieramy je do przetwarzania na stronie internetowej.

Moduł czeku i pamięci masowej EP (serwer)

Zwykle witryna internetowa jest wdrażana na pewnym serwerze WWW (Apache, IIS, Nginx itp.). Ta strona zawiera konto osobiste dla każdego użytkownika, który jest zarejestrowany na stronie. Aby uzyskać dostęp do konta osobistego, użytkownik musi przekazać procedurę uwierzytelniania. Zwykle uwierzytelnianie polega na wprowadzeniu deigna i hasła uzgodnione, aby zarejestrować użytkownika.

Ponadto używany jest formularz wejścia do pobierania dokumentów elektronicznych na serwer.

Aby "przymocować" kontrolę EP do tego systemu, aby chronić połączenia między przeglądarką użytkownika a witryną, a także zapewnić rygorystyczne uwierzytelnianie użytkownika użytkownika do dostępu, aby uzyskać dostęp do osobistego kabiny na serwer, powinieneś zainstalować Produkt serwera Magpro Crypt.

Architektonicznie rozwiązanie będzie wyglądać tak:

Cryptoer jest zainstalowany przed zabezpieczonym serwerem WWW. W tym samym czasie serwer WWW jest skonfigurowany w taki sposób, że wymaga połączeń przychodzących tylko z serwera Crypto (patrz instrukcja konfiguracji). Cryptoerver akceptuje przychodzące połączenia HTS, odszyfrowuje je i przekazuje do serwera WWW. Ponadto serwer Crypto dodaje żądanie nagłówka X509-CERT do żądania HTTP, która przesyła certyfikat cyfrowy klienta, który przekazał procedurę uwierzytelniania. Ten certyfikat jest następnie używany do dostępu do klienta na swoje prywatne konto. Aby zweryfikować EP w ramach transmisji, serwer Crypto zawiera narzędzie OpenSSL, co pozwala sprawdzić oryginalne typy podpisów, uzyskaj z koperty PKCS # 7 Certyfikat podpisany lub łańcuch certyfikatów itp. Aby sprawdzić EP, strona internetowa odbierania dokumentów powinna nawiązać połączenie do tego narzędzia.

ED Moduł Rozwoju (Klient)

Głównym zadaniem użytkownika podczas uzyskiwania dostępu do witryny sieci Web jest załadowanie dokumentów elektronicznych i danych tekstowych do witryny, a także pobieranie dokumentów elektronicznych z witryny. Aby chronić połączenie internetowe za pomocą witryny SSL / TLS i podpisów internetowych danych przesyłanych do witryny, na stacji roboczej klienta należy używać kryptotunnel.

Główne zalety kryptotunnel:

  • zapewnia ochronę połączeń internetowych między witryną protokołową przeglądarką a SSL / TLS przy wsparciu rosyjskich kryptoalorgorytmów
  • Ładuje Uwierzytelnianie użytkownika za pomocą certyfikatu cyfrowego, aby uzyskać dostęp do konta użytkownika.
  • umożliwia podpisanie dokumentów online podczas pobierania na stronie bez użycia CSP i aktywnego X
  • obsługuje kontrolę statusu certyfikatu online (OCSP)
  • obsługuje otrzymywanie zaufanych tymczasowych tagów w PE (znacznik czasu)
  • obsługuje różne karty pamięci USB-tokeny i karty inteligentne
  • nie wymaga instalacji w miejscach użytkowników, dystrybuowanych przez kopiowanie
  • może być przechowywany na konwencjonalnym dysku flashowym i uruchom z niego
  • nie wymaga praw administratora systemu
  • obsługuje pracę z dowolną przeglądarką internetową (Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari Apple itp.)
  • nie ma "wiązania" do jednego komputera - Użytkownik może korzystać z jednego zestawu do użytku w biurze i domach - oszczędności gotówkowe
  • ma prosty i zrozumiały interfejs użytkownika, który pozwala na uczenie się bez użytkownika
  • pozwala zminimalizować koszty wsparcia technicznego dla użytkowników
  • może pracować nad dużym spektrum systemów operacyjnych (roztwór krzyżowy)
Cryptotunnel zapewnia podpis danych i plików przesyłanych za pośrednictwem formularza internetowego, jeśli ta forma internetowa jest specjalnie zaznaczona. Oznacza to, że formularz internetowy musi zawierać pole o określonej nazwie. Nazwa ta jest zapisywana w pliku konfiguracyjnym CryptOntaLnel, a po tym, jak Cryptotunnel zaczyna podpisywać dane lub plik, który są przesyłane w tej dziedzinie. Ponadto, w jednym z ukrytych dziedzinach formularza internetowego, rodzaj podpisu (dołączony lub wolnostojący) można ustawić, w drugim ukrytym polu - adres URL zaufanego tagów czasowych. Nazwy tych dziedzin powinny być również określone w pliku konfiguracyjnym Cryptotellen. Jeśli podpis ma odłączony typ, a następnie w pliku konfiguracyjnym kryptotunnel, należy określić nazwę pola, w którym ta odłączona podpis zostanie wysłana na serwer. Tam, powinieneś określić nazwę pola, w którym zostanie wysłana tymczasowa etykieta na serwer.

Są to wszystkie działania, które chcesz, aby Cryptunnel do rozpoczęcia podpisywania danych i plików przesyłanych za pośrednictwem formularza internetowego. Nie trzeba pisać żadnych dodatkowych skryptów, aktywnych X itd.

Organizacja wielu EP

Wymagane jest wiele EP, jeśli dokument musi być podpisany przez kilka osób. W takim przypadku dokument jest zwykle odroczony na stronie, dzięki czemu jest dostępny tylko dla użytkowników, których PE jest wymagane. Ten rozdzielanie dostępu jest zawyżony przy użyciu uwierzytelniania użytkownika przez certyfikat cyfrowy.

Podczas korzystania z kryptotunnel, użytkownik nie musi ponownie pobierać dokument, a następnie podpisać i pobrać dokument do serwera ponownie - wszystkie te operacje Cryptotelnel automatycznie nacisną przycisk na stronie internetowej.

Usługa OCSP.

Często zdarza się, że HC przypomina certyfikat użytkownika (na przykład, jeśli klucz użytkownika został skradziony przez atakującego). Jednocześnie reszta użytkowników musi zostać powiadomiona o cofnięciu tego certyfikatu, dzięki czemu powstrzymują go zaufanie. Istnieje kilka sposobów powiadomienia użytkowników o odwołaniu.

Najprostszym sposobem jest dystrybucja list wycofania (CRL). Oznacza to, że CAC tworzy i okresowo aktualizuje specjalny plik, który użytkownicy są również okresowo pobierane.

Innym sposobem jest korzystanie z usługi kontroli statusu certyfikatu online - Usługi OCSP. Aby zweryfikować status dowolnego certyfikatu, kryptotunnel i Cryptoerver automatycznie tworzą żądanie OCSP, wyślij ten wniosek do usługi w sieci. Usługa sprawdza certyfikat, podpisuje wynik sprawdzenia swojego EP i zwraca odpowiedź na klienta. Klient obserwuje odpowiedź, sprawdza pod podpisem i podejmuje decyzję - zaufanie do tego certyfikatu, czy nie.

Tworzenie usługi OCSP jest możliwe przy użyciu narzędzia OpenSSL z kryptopetu Magpro. Należy pamiętać, że wybór pomiędzy CRL i OCSP zawsze pozostaje w uznaniu twórców witryny. CRL - trochę tańszy, OCSP - trochę bezpieczniejszy.

Powinien być anulowany, że serwer Cryptotunnel i Crypto obsługują zarówno OCSP, jak i CRL.

Tymczasowa usługa TSA

Głównym celem pracy tymczasowej służby etykiet jest potwierdzenie faktu, że dokument podpisano przez EP nie później niż czas określony w znaczniku czasu.

Aby stworzyć tymczasowy znak, Cryptunnel tworzy żądanie TSA, do którego ma zastosowanie Hash z EP; Wysyła to żądanie do usługi TSA. Usługa TSA dodaje tego aktualnego czasu i podpisuje wynik swojego EP. Zatem tworzona jest zaufana tymczasowa etykieta.

Aby utworzyć online zaufane tagi tymczasowe, użyj produktu Magpro TSA. W takim przypadku adres URL usługi Tymczasowej Usługi jest ustawione przez stronę internetową, w której formularz sieciowy jest

Część klienta TSA jest wbudowana w kryptotunnel. Po otrzymaniu znacznika EP, wszystkie działania są automatycznie produkowane, bez przyciągania użytkownika.

Arbiter

Sędzia jest specjalnym programem, który jest używany podczas analizowania zgodnych z EP.

Sędzia umożliwia wizualizację danych identyfikacyjnych certyfikatów, które są w podpisach PKCS # 7; Wizualizacja łańcucha zaufania i czas tworzenia EP (znacznik czasu). Aby przenikać konflikt, arbitra sprawdza podpis w określonym dokumencie i ujawnia, czy został on wytwarzany przez właściciela certyfikatu.

Należy zauważyć, że dla samej możliwości parsowania konfliktów, dokumentów i ich podpisów powinny być przechowywane w archiwum elektronicznym przez długi czas.

Ochrona danych osobowych na stronie internetowej

Dane, które wymieniają między przeglądarką klienta a witryną mogą zawierać dane osobowe i informacje poufne. Jeśli wszyscy użytkownicy witryny są zainteresowani ochroną informacji poufnych, ochrona danych osobowych jest wymogiem prawa FZ 152-FZ "na danych osobowych".

Podczas korzystania z witryny dane są poddawane zagrożeniom podczas przechodzenia przez Internet i gdy są one przechowywane na serwerze witryny.

Ochrona po przeniesieniu między klientem a serwerem

Internet jest niebezpiecznym kanałem transmisji informacji. Główne zagrożenie podczas przesyłania danych za pośrednictwem Internetu jest atak "Człowiek w środku", czyli atakujący łączy się z linią między klientem a serwerem i zastępuje przesyłane informacje. Jedynym sposobem ochrony danych w Internecie jest szyfrowanie tych danych. Ponieważ szyfrowanie jest kryptograficznym sposobem ochrony informacji, wówczas wymagania FSB są stosowane do środków ochrony informacji kryptograficznych - dostępność certyfikatu FSB.

W przypadku ochrony kryptograficznej połączeń między przeglądarką użytkownika a witryną sieci Web (połączenia internetowe) jest używany protokół SSL / TLS. Kryptunnel zapewnia ochronę danych w tym protokole w pełni istotne dla wymagań FSB. W ten sposób Kryptunnel jest certyfikowanym rozwiązaniem, który w pełni spełnia wymagania dotyczące środków technicznych o ochronie danych osobowych.

Ochrona podczas przechowywania

Podczas przechowywania danych w elektronicznym archiwum witryny, dane te powinny być przechowywane w postaci zaszyfrowanej. Tworzenie bezpiecznego archiwum elektronicznego jest przedmiotem oddzielnego artykułu.

Podstawowe koncepcje

Kskpep. -Zazujący elektroniczny podpis zaznaczenia kluczowego certyfikatu.
Cep. - wykwalifikowany podpis elektroniczny.

CryptoRodzić.narzędzie ochrony kryptograficznej w celu uzyskania informacji. Program, z którym zamknięta część podpisu elektronicznego jest generowana i która pozwala na pracę z podpisem elektronicznym. To pole wyboru jest automatycznie umieszczane.

Eksportowany kluczmożliwość skopiowania podpisu elektronicznego do innego medium. W przypadku braku znacznika wyboru kopiowanie podpisu elektronicznego będzie niemożliwe.

LKM. - Lewy przycisk myszy.

Pkm. - prawy przycisk myszy.

Crm-Agent. - Aplikacja opracowana przez specjalistów CC w celu uproszczenia procedury generowania pary kluczy, tworzenie certyfikatu zapytania i zapisu.

Przed wytworzeniem wytwarzania

Po odwiedzeniu centrum certyfikującego i przekazując procedurę pojednania osobowości, e-mail określony w instrukcji, UC wysłał literę zawierającą link do generowania. Jeśli nie otrzymałeś liter, zapoznaj się z menedżerem lub wsparcie techniczne dla UC w numerze kontaktowym z tej instrukcji.

Otwórz link, aby wygenerować z litery w jednej z zalecanych przeglądarek:Google Chrome., Mozilla Firefox., Yandex.browser.. Jeśli jesteś już w jednej z powyższych przeglądarek, kliknij link LKM. lub Pkm.\u003e "Otwórz link w nowej karcie". Strona generowania (rys. 1) otwiera się w nowym oknie.

Podczas otwierania łącza pojawi się początkowe ostrzeżenie. Sprawdź go, jeśli używasz przewoźnika do przechowywania CEPJacarta. Lt. . Więcej o mediach poniżej. Jeśli użyjesz innego nośnika, naciśnij przycisk. "Blisko".

Rys.1 - Strona generacji

Instalowanie aplikacji.

Kliknij w link"Pobierz aplikację" Zacząć ładować. Jeśli nic się nie stało po kliknięciu, kliknij link Pkm. > "Otwórz link w nowej karcie". Po pobraniu aplikacji rozpocznij instalację.

Zaleca się wyłączenie oprogramowania antywirusowego przed załadowaniem programu. !

W procesie instalacji aplikacji « cRM. - agent » Wiadomość pojawi się z żądaniem dostępu (rys. 2).

Rys.2 - Żądanie dostępu


naciśnij przycisk "Tak".

Zapewnienie dostępu

Po zainstalowaniu aplikacji wróć do strony generacji. Wiadomość pojawia się na temat "Dostarczanie dostępu" (rys. 3).

Rys.3 - Dostęp do repozytorium certyfikatów


Kliknij "Kontynuować" i w wyświetlonym oknie, "Zapewnić dostęp"(Rys.4).

Rys.4 - Dostęp do repozytorium certyfikatów 2


Jeśli przycisk się nie pojawia "Kontynuować"

Jeśli po zainstalowaniu aplikacji « cRM. - agent » Link do pobrania aplikacji nie zniknął, powodem może blokować połączenie systemu bezpieczeństwa.

Aby wyeliminować sytuację, której potrzebujesz:

Wyłącz antywirus zainstalowany na komputerze;

Otwórz nową kartę w przeglądarce;

Wprowadź adres bez spacji do paska adresu przeglądarki - 127.0.0.1:90 - i idź (kliknijWCHODZIĆ na klawiaturze);

Gdy pojawi się komunikat przeglądarki "Twoje połączenie nie jest chronione", Dodaj przeglądarkę, aby wykluczyć stronę. Na przykład,Chrom.: "Dodatkowy" - "To samo Idź na stronę". W przypadku innych przeglądarek użyj odpowiedniej instrukcji programistów.

Po pojawi się komunikat o błędzie, wróć do strony generacji i powtórz Punkt 2. Ta instrukcja.

Ustawianie Cryptopro CSP.

W przypadku nie masz wstępnie zainstalowanych kryptopoderów po fazie dostępu, pojawią się odniesienia do pobierania kryptopro (rys. 5).


To jest ważne: przywiązanie « cRM. - agent » wykrywa wszelkie krypropoprze na komputerze, a jeśli masz inny Kryptopro Csp. Program (na przykład,VIPNET. Csp. ) Kontakt specjaliści wsparcia technicznego do konsultacji.

Kliknij w link "CryptoPro 4.0" Na stronie pokolenia lub podobnym łącze poniżej, aby pobrać plik instalacyjny Cryptopro do komputera.

CRTOPRO CSP 4.0 - wersja dla Win 7/8/10

Po zakończeniu pobierania otwartezamek błyskawiczny.- Archiwizuj odpowiednim programem archiwizacji (na przykład,ZDOBYĆ. - Rar ). Wewnątrz będzie plik instalacyjny kryptopro. Uruchom go i ustaw ustawienia domyślne. Podczas procesu instalacji możesz mieć następujące okno:

Rys.5 - Montaż Cryptopro

Pomiń okno, klikając "Dalej". Zakończona instalacja kryptopro.

Instalacja sterownika dla token

Podpisy mogą być przechowywane w rejestrze komputera, na zwykłych dyskach flash i na specjalneusb.- Centra. Lista żetonów, kodów PIN i odniesienia do oprogramowania przedstawiono w poniższej tabeli (Tabela 1).

Tabela 1 - Sterowniki do chronionych mediów

Typ nośnika USB.

Zewnętrzny nośnik USB.

Link do pobierania sterowników

KOŁEK

rutynowy.

mob_info.