1с настройка электронной подписи и шифрования vipnet
Андрей Глебов, докладчик конференции Infostart Event 2017 Community, делает обзор нормативной базы РФ по теме электронной подписи. Рассказывает о возможностях криптографии в платформе «1С:Предприятие 8» и ее расширении через технологию создания внешних компонент. Также он описывает функционал подсистемы «Электронная подпись» в конфигурации «1С:Библиотека стандартных подсистем», приводит примеры использования криптографии в сервисах «1С-ЭДО» и «1С:ДиректБанк», дает рекомендации по разработке собственных решений с криптографией и устранению проблем при запуске электронного документооборота на предприятиях.
Надо смотреть какую именно отчетность подписываете и требования законодательства к уровню ЭП для этой отчетности. На сколько помню, в 1С-Отчетности, с этим все было хорошо, чего не скажешь про другие сервисы "специализированное ПО для ведения списка сертификатов". А можно примеры? Еще бы хорошо чтобы оно на почту предупреждения об окончании сертификата заранее слало. (3) к сожалению, такого готового ПО не подскажу, чтобы еще и рассылку делало, но в 1С можно легко реализовать, особенно, если ЭДО туда встроено.. )) (4) У меня "Контур" внешний. Ну и если я сам писать буду, то это надолго боюсь. (6) возьмите демо-поставку БСП, там уже есть справочник "Сертификаты" - при выдаче отв.лицу туда вносите запись (программа сама зачитает все данные открытого ключа), за одним будет порядок - понятно, какой сертификат, кому выдан.Останется прикрутить отправку по smtp письма, можно без визуализации и хранения отправленного (в БСП подсистема работы с почтой тоже есть).
Ну если что найдете готовое, черкните сюда плиз!
Успехов! Подскажите, а работает ли 1С под Linux?
К сожалению, на ИТС мануалы только под windows или только о криптопро. (5) если вопрос "работает ли механизм криптографии в платформе 1С:Предприятие на Linux?", то ответ "Да".
В БСП модуль работал точно. Вероятно придется какое-то время повозиться с настройками, но это придется в любом случае делать. Также важно понимать, где будет располагаться модуль криптографии: на клиенте или на сервере, ну и соответственно, туда ставить Linux нужной версии и битности.
Рекомендую учесть, что сначала надо собрать стенд для экспериментов, полностью выверить состав ПО, аппаратной части, вплоть до конкретного набора токетов и сертификатов, и только потом планировать масштабирование. (7) Заказчик просит всенепременно на сервере 1с, 1с сервер на линуксе, и криптопровайдер нужен - VipNet SCP.
Я вот пытаюсь понять, возможна ли эта связка вообще. (9) Напишите на тех.подержку 1С с нужными вопросами, лучше производителя никто не ответит на этот вопрос + предложите провести пилот с подобной связкой, если получите теоритическое "да". Пилот подразумевает обычно прямое взаимодействие с командой разработки и более оперативное исправление проблем Добрый день, Андрей!
Вы пишите что для избежания одновременного использования VipNet и CryptoPro "Вы заказываете сертификат в удостоверяющем центре, Вы можете указать, для какого криптосредства Вы его будете использовать."
Не могли бы чуть чуть поподробнее описать о чем идет речь. По крайней мере у меня не получилось.
(Задал вопрос в VipNet - есть ли возможность через них подписывать сертификаты CryptoPro и получил отказ).
Обратитесь в УЦ 1С, Такском или какой другой, не привязанный жестко к ВипНет или КриптоПро.
Если возникнет сложность, тех.поддержка 1С-ЭДО работает, пользуйтесь.
Добрый!За 2 года много что могло поменяться, в т.ч. и в платформе появиться новые механизмы. ))
По стандарту XMLDSig подпись должна вкладываться в тот же файл, что и сами данные - это принципиальное отличие, т.е. подписывается набор данных в XML-тегах, а сам хеш кладется в другой тег.
Возможно, что в БСП это было реализовать целесообразнее, чем в платформе, но это уже надо спрашивать у разработчиков. А если в 1С по терминалу работать? Можно ли поставить «КриптоПро» и в терминале пробросить для него ключи?
РУ-токен локально установлен на сервере 1С, там же КрптиПро серверная, хочу подписывать из клиента на терминальном сервере (т.е. на рабочих местах нет и не будет ключей), подписание и шифрование стоит "на сервере" - а не взлетает . Бухгалтерия 2.0 КОРП, платформа 8.3.12. Куда копать ? Или нереализуемый вариант ?
Бухгалтерия 2.0 КОРП, платформа 8.3.12. Куда копать ? Или нереализуемый вариант ?Определите, что именно не работает, в БСП есть диагностика, которая должна помочь - сертификат не виден, КриптоПро не подхватывается или еще что-то.
Дальше уже решать.
Самым простым, на мой взгляд, выглядит вариант - сесть за сервер, как за рабочую станцию и добиться того, что там все заработает, потом двигаться дальше.
Ну и пробуйте задавать вопросы по настройке на партнерском форуме 1С, разработчики БСП и платформы обычно вникают в детали и помогают решить вопрос, даже если это дефект какой-то конкрентной версии ПО.
Подскажите, пожалуйста, возможно ли настроить 1С-Отчетность так, чтобы КриптоПро и сертификаты были установлены на отдельном сервере (не на сервере 1С), а сервер 1С или локальный пользователь обращался к этому серверу за данными?
Проблема в том, что у организации несколько серверов 1С, несколько терминальных серверов и много расчетчиков, которым нужно получать данные в ФСС. Сейчас получается каждому нужно устанавливать сертификат на каждом сервере.
По настройке 1С-Отчетности никто лучше разработчиков 1С не скажет. Разве что коллеги из "Калуги-Астрал", попробуйте написать на хот-лайн.
Еще как вариант, ограничить средствами платформы установку соединения с АРМ расчетчиков каким-то одним 1С-сервером (или поделить по сегментам), чтобы сертификат ставить только на один сервер.
Добрый день, коллеги!У меня такой вопрос: можно ли с помощью БСП или синтаксис помощника, как то понять, что это сертификат JaCard или токен.
Есть ли какой то признак в свойствах сертификата, мне нужно разделять обычные сертификаты от указанных.
БСП у меня 2.4.6 - ничего похожего не нашел, возможно в более старших версиях что то есть?
Спасибо!
Опишите подробнее, какую проблему хотите решить, почему важно разделять "обычные сертификаты от указазанных"?
Также не понятно в чем их отличие.
Собственно, токен/JaCard/реестр - это места хранения.
Сертификат с его закрытым ключом может быть также успешно перенесен в реестр Windows, но из-за этого он ничего не потеряет. Тогда не понятно, станет ли он "обычным"?
(22) Добрый день.
Это бизнес задача, у нас в одной конфигурации хранятся все сертификаты компании, их много, у нас своя конфигурация на основе БСП 2.4.6 для управления правами доступа.
Для работы с сертификатами используются ограничения в том числе и РЛС.
Для примера: нужно что некоторые сотрудники, могли видеть и работать только с сертификатами JzCarta (токены) а обычные сертификаты не видели в базе.
Поэтому мне нужен признак того, как определить токен ли это.
На счет реестра, это к данному вопросу не подходит, т.к. на сервере где запущена база, в реестре сертификатов ничего нет.
Я достаточно хорошо описал проблему?
Спасибо!
(23) что уловил:
- в базе есть сертификаты, которые связаны с закр.ключами размещенными на Токене (JaCarta) или в другом месте (тут не понял каком, что такое "обычный" сертификат);
- нужно сделать так, чтобы сотрудники могли видеть только какую-то часть сертификатов (но не понятно в каком сценарии, при какой "операции").
Если без дальнейших распросов, то вижу 2 варианта:
1) добавить признак в справочник сертификатов - "связан с токеном" - заполнять его при добавлении сертификата в базу и использовать для отборов и РЛС;
2) в момент "перед операцией" у пользователя делать поиск доступность закрытого ключа сертификата (ов) и если их нет (токен не вставлен или криптосредство не доступно), то просто не показывать (но не понятно, что такое "обычный сертификат").
Был на семинаре, общался с платформщиками, понял что средствами 1С это понять на сегодняшний день нельзя, оставил заявку на рассмотрение изменения в платформе.
Дело в том что у нас сложный кейс, и сертификаты попадают автоматически в систему, без участия пользователя, поэтому расставлять ручками конечно можно, но не хотелось бы.
Спасибо. На MacOS в Chrome не могу получить сертификаты, установленные в системе (это когда при добавлении выбираешь - с компьютера или из центра сертификации добавить сертификат), хотя расширение в хроме установлено. Это проблема 1С или я неправильно что-то настроил, кто знает?
(26) Типовой функционал БСП? Какой порядок действий (сценарий воспроизведения)? Какой 1С-клиент?
Отдельно надо пояснить, какое криптосредство на MacOS и где установлены сертификаты.
(27) Типовой Документооборот 8 ПРОФ, редакция 2.1 (2.1.14.4) . Подозреваю, что да - там типовой БСП.
Захожу через все функции в справочник "Сертификаты ключей электронной подписи и шифрования", открывается форма "Настройки электронной подписи и шифрования". На вкладке "Сертификаты" есть кнопка "Добавить" - "Из установленных на компьютере". Выбираю "Для подписания и шифрования", открывается форма "Добавление сертификата для подписания и шифрования". Вот в ней в декорации ругается, что сертификаты недоступны, при нажатии - что не установлено расширение, хотя в хроме на маке стандартное расширение 1С установлено. На винде и линуксе все ок - показывает установленные на компе сертификаты.
Веб-клиент, гугл хром. Платформа 1С:Предприятие 8.3 (8.3.14.1854)
По криптосредству и где сертификаты пока не поясню, мак не мой - у пользователя. Какие есть варианты криптосредств на маке и где сертификаты могут быть установлены на маке?
Удивлен, что в 2019 г еще кто-то пользуется таким барахлом, как токены JaCarta ) Хотя, возможно, некоторые просто любят трудности.В остальном сертификат с неизвлекаемым ключом, даже перенесенный в реестр, не потеряет своих качеств, а значит не станет, конечно, "обычной" подписью в понимании авторов статьи. Добрый день!
А есть какие-то утилиты автоматической установки списка отозванных сертификатов? в рамках Крипто-ПРО автоматически данные списки не актуализируются (30) Добрый день! Списки отзыва ставятся автоматически на Крипто_ПРО, главное, чтобы УЦ, которому принадлежат сертификаты поддерживал распространения (точку расдачи списка отозванных сертификатов можно найти в свойствах сертификата, если открыть его в ОС) - за это отвечает отдельный сервис и он должен администрироваться силами УЦ, а с компьютера, на котором нужно обновлять списки отзыва автоматически, нужно обеспечить доступ через Интернет к точке расдачи списка УЦ.
Регулярность распространения прописана, если правильно помню, в регламенте деятельность УЦ (обычно 1-2 раза в месяц). (31) ага, спасибо. Так и понял. У нас настроен прокси-сервер. Нужно в исключения добавить данные адреса распространения СОС очень классная статья- спасибо.
а теперь вопрос)
Перед нашей компанией стоит задача- разработать сервис по приему отчетности из 1С и передачи отчетности в налоговый орган:
есть пользователи 1С (Конфигурации на базе БСП), у них сертифицированные ключи ЭЦП и программа VipNet. На стороне пользователей 1С будет формировать xml файлик отчета, подписывать его и отправлять в сервис нашей компании
наша компания должна проверить КЭП, проверить сам файлик на правильность заполнения и если всё норм - то передать налоговому органу
есть 2 вопроса:
1. насколько верно будет разработать такой сервис на 1С при условии что пользователей будет от 300 до нескольких тысяч
2. сможет ли бсп проверить КЭП если криптопровайдеры не предоставляют таких сервисов, т.е. проверку нужно будет делать локально
В этом проекте стоит бОльше внимания уделить ворк-флоу (как ваш сервис будет подтверждать приемку? как будет отвечать по ошибке проверки ЭП? как по ошибке формата? как на это будет реагировать 1С-решения клиентов?).
Рекомендую поштудировать стандарт "1С:ДиректБанк" (участвовал в его создании и подобные вопросы там прорабатывались).
2. Да, конечно, БСП умеет проверять. Более того, все типовые решения 1С, когда получают по ЭДО документы с ЭП, обязательно проверяют и отклоняют эл.док-ты, если подпись не валидна (например, просрочен сертификат).
Рекомендую поштудировать стандарт "1С:ДиректБанк" (участвовал в его создании и подобные вопросы там прорабатывались).Спасибо за оперативный ответ. Тоже об этом подумал, тем более с одним банком делали интеграцию и прорабатывали эти вопросы там, но не использовали ЭЦП.
Спасибо за вопросы - теперь примерно понимаю с чем столкнемся.
Спасибо за статью.
На некоторых сайтах есть авторизация в систему через электронную подпись.
Есть ли возможность реализовать аналогичный вход в 1С ?
И как это можно проще сделать ?
1) Из описания не очень понятен кейс, приложите примеры сайтов.
2) Какую проблему решаем?
3) Кто будет пользоваться этим входом?
Поясню, распространие эл.подписи пока ограничено для физ.лиц, поэтому надо понимать целесообразность автоматизации.
Разобрался сам. Кому то возможно потребуется. Реализация подписи на сервере используя БСП:
(42) А как мне подписать строку с прикрепленной подписью?
Можно ли используя БСП подписывать файлы со штампом времени (TSP) ?
Использовать OCSP?
Вопрос в тему хранения документов, подписанных электронной подписью. Может кто сталкивался или имеет представление:
в организации есть идея внедрить подписание внутренних документов усиленной неквалифицированной электронной подписью. Подписание планируется осуществлять в 1С:Бухгалтерии и 1С:Документообороте. Предположим, подписи сгенерированы, в 1с всё настроено и документы подписываются. А где и как хранить эти документы? Нужно ли создавать электронный архив, передавать в него доки с сопутствующими процессами составления архивных дел, описей и т.д.? Или можно не создавать себе таких проблем и хранить подписанные документы в 1С или томах на сетевом диске? Программа 1С не всегда видит токены JaCard. Я не знаю в чем проблема, то ли в JaCard, то ли платформе. Переустанавливаешь криптосредство – оно какое-то время работает, а после перезагрузки системы снова слетает. Почему-то 1С и JaCard не очень дружат.
Здравствуйте, спасибо за статью.
Может кто подскажет - у нас сервер 1С на Windows Server 2016, на нём крутится кластер 1С: Медицина.Поликлиника.
Подписи хранятся в контейнерах на сервере, криптопровайдер - ViPNet CSP - установлен на сервере.
Процесс сервера запускается от доменного пользователя domain\usr1cv8.
Подписание и шифрование выбрано на стороне сервера 1С.
На сервере импортированы сертификаты организации и работников путем запуска ViPNet от имени domain\usr1cv8 и импорта сертификатов в личное хранилище.
Проблема такая: Если зайти в Администрирование-Общие-Настройки ЭП и шифрования, и оттуда выполнить проверку подписи, то все пункты успешно проходят проверку. Но при попытке подписания электронного больничного в интерфейсе 1с, или при запросе данных из ФСС выпадает ошибка:
Что я сделал:
На сервере запустил клиент 1С от имени domain\usr1cv8, затем в настройках ЭП и шифрования указал, что нужно подписывать и шифровать на стороне клиента (я же нахожусь на сервере, то бишь разницы нет, ибо компьютер в данном случае является как сервером так и клиентом).
В итоге всё успешно работает, больничные подписываются, данные из ФСС прилетают.
Но если я опять же на сервере выбираю, чтобы подписание и шифрование выполнялось на стороне сервера, то выскакивает та же ошибка.
То есть разница успехи и неудачи подписания только в том, какой процесс вызывает подписание. Если процесс клиента 1с, то успех. Если процесс сервера, то - ошибка. И всё это при том, что и то и другое запускается на одной и той же машине, от одного и того же пользователя.
В VipNet CSP в настройках установил максимальное логирование действий, но в журнале событий Windows нет ничего стоящего:
В случае, если Вы используете программу 1С в серверном режиме, у Вас есть возможность настроить и серверное подписание электронных документов, т.е. когда и криптопровайдер, и электронные подписи установлены только на сервере (на "клиентах" их нет).
Принципиальное значение в реализации данного варианта имеет то, от имени какого пользователя осуществляется настройка криптографии на сервере.
Настройка должна быть выполнена от имени того пользователя, под которым запускается служба "Агент сервера 1С:Предприятия".
По умолчанию данный пользователь именуется "USR1CV8", см. Рис. 1.
Эта служба может быть запущена и от имени другого пользователя (например, "Administrator") - данное правило задается системным администратором на свое усмотрение.
Поэтому, перед началом настройки серверной криптографии, обязательно нужно уточнить вышеописанный момент.
Определившись с пользователем, можно начинать.
1. Проходим на сервере аутентификацию под пользователем, под которым запускается служба "Агент сервера 1С:Предприятия".
2. Устанавливаем криптопровайдер.
3. Месторасположение контейнеров с закрытыми ключами (реестр, жесткий диск, внешний носитель) может быть любым, с условием, что они доступны пользователю, под которым запускается служба "Агент сервера 1С:Предприятия".
4. Устанавливаем личные сертификаты, корневые сертификаты, списки отозванных сертификатов. При этом установку можно проводить "для текущего пользователя" - нет необходимости устанавливать их "для локального компьютера".
5. Помечаем в программе 1С галочками пункты "Проверять подписи и сертификаты на сервере" и "Подписывать на сервере" (Администрирование - Обмен электронными документами - Электронная подпись и шифрование - Настройки электронной подписи и шифрования - закладка "Программы").
Система настроена. Подписание на "клиентах" должно проходить успешно.
При тестировании сертификата на "клиенте" нужно обращать внимание только на корректность прохождения этапов теста на сервере, см. Рис. 2.
У данной ошибки имеется два сценария воспроизведения:
1. При подписании электронных документов.
При возникновении ошибки "Сертификат, связанный с закрытым ключом, указывает на модуль криптографии, отличный от текущего. Сертификат связан с модулем криптографии "Infotecs Cryptographic Service Provider" с типом 2." необходимо выполнить проверку сертификата электронной подписи.
Алгоритм проверки электронной подписи:
В программном продукте 1С необходимо: - Перейти в раздел "Администрирование" - "Обмен электронными документами" - "Настройка электронной подписи и шифрования".
- На вкладке "Сертификаты" открыть используемый сертификат.
- Убедиться, что в поле программа установлено значение "ViPNet CSP (ГОСТ 2012)".
- Нажать на кнопку "Проверить".
- Ввести пароль закрытой части ключа и нажать "Проверить".
Если в ходе проверки напротив пункта "Подписание данных" возникнет сигнализирующий об ошибке красный символ, на него необходимо нажать для открытия технической информации об ошибке.
Если в технической информации об ошибке указано "Сертификат, связанный с закрытым ключом, указывает на модуль криптографии, отличный от текущего. Сертификат связан с модулем криптографии "Infotecs Cryptographic Service Provider" с типом 2.", необходимо повторно связать сертификат с контейнером. Как связать сертификат с контейнером указано ниже.
2. При добавлении нового сертификата в настройки электронной подписи и шифрования.
Воспроизведение: Перейти в раздел Администрирование - Обмен электронными документами - Настройки электронной подписи и шифрования и во вкладке "Сертификаты" нажать "Добавить" и в открывшемся меню выбрать "Из установленных на компьютере".
В открывшемся окне необходимо выбрать актуальный сертификат и нажать "Далее
В следующем окне необходимо ввести пароль и нажать "Добавить".
Далее возможно возникновение ошибки "Сертификат, связанный с закрытым ключом, указывает на модуль криптографии, отличный от текущего. Сертификат связан с модулем криптографии "Infotecs Cryptographic Service Provider" с типом 2."
В случае её возникновения в предыдущем окне добавления сертификата необходимо нажать на кнопку "Показать данные сертификата, которые сохраняются в файле". Данная кнопка визуализирована в виде иконки сертификата.
В открывшемся окне нажать "Сохранить в файл. " и выполнить сохранение сертификата в любую доступную директорию компьютера и перейти к решению (см. ниже)
Для устранения ошибки "Сертификат, связанный с закрытым ключом, указывает на модуль криптографии, отличный от текущего. Сертификат связан с модулем криптографии "Infotecs Cryptographic Service Provider" с типом 2." необходимо связать сертификат с закрытым ключом.
В окне ViPNet CSP нажать "Установить сертификат"
В открывшемся окне необходимо выбрать директорию, куда был сохранен сертификат, выбрать сохраненный ранее сертификат и нажать "Открыть".
В мастере установки сертификатов нажать "Далее"
При выборе хранилища необходимо выбрать "Текущий пользователь" и нажать "Далее"
В следующем окне необходимо выбрать "Найти контейнер с закрытым ключом" и нажать "Далее".
Контейнер с закрытым ключом определится автоматический. В том случае, когда контейнер не определился необходимо нажать "Обзор" и выбрать контейнер вручную, а затем нажать "ОК" и завершить установку.
После установки связи между сертификатом и закрытой частью ключа ошибка исправится.
Дата публикации 19.01.2018
ViPNet CSP - это бесплатный российский криптопровайдер, сертифицированный ФСБ России как средство криптографической защиты информации (СКЗИ) и электронной подписи. Является разработкой компании "ИнфоТеКС".
При подготовке заявления на подключение к сервису "1С-Отчетность" криптопровайдер ViPNet CSP устанавливается автоматически на одном из шагов мастера подключения, поэтому отдельно устанавливать его не требуется.
Установка программы-криптопровайдера ViPNet CSP, описанная в этой статье, требуется только при подключении дополнительного (нового) рабочего места к прежней учетной записи 1С-Отчетности. Подробнее об этом см. здесь.
Чтобы использовать программу-криптопровайдер ViPNet CSP на своем компьютере, необходимо выполнить следующие действия:
-
на получение ссылки и серийного номера на бесплатный дистрибутив ViPNet CSP на сайте "ИнфоТеКС". , указанной в полученном письме, и установить программу. , следуя инструкциям помощника регистрации.
Оформление заявки на получение бесплатного дистрибутива ViPNet CSP
Чтобы сформировать заявку на получение программы-криптопровайдера ViPNet CSP:
При этом отобразится список дистрибутивов. Выберите необходимый и перейдите по ссылке с его наименованием.
В нашем примере выбираем ViPNet CSP 4.2, т.к. он подходит для большинства операционных систем.
После выбора дистрибутива появится страница, на которой необходимо заполнить заявку (рис. 3):
Скачивание дистрибутива ViPNet CSP и установка программы
Скачайте дистрибутив программы по ссылке, указанной в полученном письме (рис. 5).
Чтобы установить программу, распакуйте ее из архивного файла и запустите файл установки (рис. 6).
Перед установкой программы появится окно Лицензионного соглашения. Установите флажок "Я принимаю это соглашение" и нажмите кнопку "Продолжить" (рис. 7).
В окне "Способ установки" нажмите кнопку "Установить сейчас" (рис. 8).
Рекомендуется установить флажок "Автоматически перезагрузить компьютер после завершения".
Появится окно установки программы (рис. 9).
После установки программы выполняется перезагрузка компьютера (если установлен соответствующий флажок - см. на рис. 8), чтобы изменения вступили в силу.
Программу ViPNet CSP необходимо зарегистрировать в течение 14 дней, пока действует демонстрационный период! Если этого не сделать, то по окончании демонстрационного периода, Вы не сможете подписывать и отправлять отчетность.
После перезагрузки компьютера для регистрации программы (рис. 10):
- Откройте меню "Пуск".
- Далее перейдите: "Все программы" - "ViPNet" - "ViPNet CSP".
- Запустите ярлык программы "ViPNet CSP".
Если вы ранее использовали программу ViPNet CSP (например, более ранней версии), то регистрация может не понадобиться и все последующие шаги по регистрации будут пропущены. В этом случае, программа будет сразу доступна для использования.
Появится окно регистрации, выберите пункт "Запрос на регистрацию (получить код регистрации)" (рис. 12).
В окне "Способ запроса на регистрацию" выберите пункт "Через Интернет (online)" (рис. 13).
Заполните данные в окне "Регистрационные данные" (рис. 14). Серийный номер продукта введите из письма, которое было отправлено при регистрации заявки (рис. 15).
Появится окно запроса на регистрацию, во время которого выполняется проверка введенных данных (рис. 16).
После нажатия на кнопку "Готово" появится диалоговое окно с предложением запустить ViPNet CSP (рис. 18). Вы можете сразу начать использование программы (рис. 19).
Читайте также: