Как добавить в 1С сертификат для обмена с сайтом по HTTPS — Документация 4.3.x

Получить сертификаты с сайта

Чтобы получить сертификаты, можно открыть нужный адрес в браузере, затем попросить браузер показать дополнительную информацию или свойства, среди них выбрать просмотр сертификата, и сохранить нужные сертификаты в файле.

Как настроить сертификат ЭП в программе 1С:Документооборот 8

Настройка сертификата ЭП имеет два этапа: настройка программы и персональные настройки.

Настройка программы выполняется во вкладке «Настройка и администрирование» – «Настройка программы» – «Общие настройки» (рис. 2).

Рисунок 2

Для начала работы с ЭП необходимо:

1. Разрешить использовать электронные подписи в общих настройках программы (рис. 3).

Рисунок 3

2. Установить на рабочие компьютеры пользователей один или несколько криптопровайдеров и настроить их.

Для того чтобы остальные сотрудники смогли проверять электронные подписи, требуется установить флаг “Проверять подписи и сертификаты на сервере” (рис. 4), затем выполнить установку криптопровайдера на каждый компьютер кластера серверов “1С:Предприятия”.

Рисунок 4

По умолчанию в списке программ уже присутствуют два криптопровайдера: ViPNet CSP и КриптоПро CSP. Можно добавить любые другие программы. При этом в 1С:Документооборот 8 уже поставляются готовые настройки для Microsoft Enhanced CSP, ViPNet CSP, КриптоПро CSP, ЛИССИ CSP, Сигнал-КОМ CSP.

Персональные настройки ЭП

После того как администратор установил криптопровайдер и настроил профили криптографии, можно приступать к настройке рабочего места пользователя. Это делается в персональных настройках программы на закладке “Настройка и администрирование”:

Рисунок 5

При подписании документов и файлов программа сама предложит выбрать один из личных сертификатов, установленных в персональных настройках ЭП. Если сертификат не найден, система покажет ошибку:

Рисунок 6

В этом случае пользователю необходимо установить личный сертификат.

Рисунок 7

Для регистрации сертификата необходимо:

1. Выбрать назначение сертификата: для подписания и шифрования либо только для шифрования.

2. Выбрать сертификат, установленный на компьютере.

3. Ввести пароль сертификата для автоматического определения подходящих настроек программы ЭП и шифрования. Для того чтобы выбрать профиль настроек криптографии вручную, необходимо пропустить ввод пароля с помощью кнопки «Отмена».

Если вы уверены в том, что пароль правильный, а программа ЭП и шифрования при этом не определяется, обратитесь к администратору. Возможно, вы регистрируете сертификат, для которого в программе еще не заведены настройки.

Рисунок 8

Если сертификат был выпущен с усиленной защитой закрытого ключа, необходимо установить соответствующий флаг (эту информацию можно уточнить в удостоверяющем центре, выпустившем сертификат). Если флаг активен, то в операциях подписания ЭП и расшифровки файлов запрос пароля к сертификату будет проходить в отдельном окне операционной системы.

Флаг «Обязательный сертификат» служит для пометки сертификата, предназначенного для расшифровки любого файла информационной базы при компрометации ключа. Такой сертификат автоматически добавляется в список сертификатов для расшифровки при каждом шифровании объектов информационной базы.

Любой из установленных сертификатов можно пометить на удаление. На статус подписей, удостоверенных этим сертификатом, это не повлияет.

Если на компьютере текущего пользователя зарегистрировано несколько сертификатов, то откроется окно с возможностью выбора требуемого сертификата.

Пользователь выбирает сертификат и вводит пароль к нему.

Пароль сертификата ЭП можно запомнить на время сеанса работы с программой. Для этого при подписании или расшифровке объекта информационной базы достаточно ввести пароль к сертификату и установить флаг “Запомнить пароль”. Если флаг установлен, то до закрытия программы текущему пользователю не придется вводить пароль сертификата ЭП при каждом подписании или расшифровке.

Если сертификат выпущен с усиленной защитой закрытого ключа, то пароль вводится в отдельном окне операционной системы после нажатия кнопки «Готово». После этого документ (файл) будет подписан по алгоритму криптопровайдера, соответствующего этому сертификату.

Подписанный ЭП документ или файл недоступен для редактирования. Чтобы внести изменения в документ, потребуется удалить все подписи. Каждый пользователь может удалить только свои подписи. Право удаления всех подписей принадлежит администратору.

Подписание резолюций и виз согласования ЭП

Рисунок 9

Резолюция может быть подписана сертификатами, выпущенными на разных провайдерах ЭП.

Обратите внимание: подписанная ЭП резолюция становится недоступна для редактирования. Изменить резолюцию можно только после удаления всех ее ЭП.

Статусы проверки ЭП резолюций отображаются на закладке «Резолюции и визы карточки документа». Синий значок говорит о том, что подпись еще не проходила проверку. Зеленый – прошла проверку и получила статус Действительна либо Действительна, но нет доверия к сертификату. Красный – подпись недействительна.

Рисунок 10

Проверка наличия ЭП резолюций и виз

В зависимости от правил документооборота на предприятии электронная подпись резолюции и визы может считаться либо обязательной, либо нет. Для этого в программе предусмотрено несколько режимов настроек.

Для того чтобы заверение резолюций электронной подписью было обязательным для определенного вида документа, предусмотрен Флаг «Подписывать резолюции электронной подписью» на закладке Настройки карточки вида документа.

Рисунок 11

После установки флажка программа не позволит сохранить неподписанные резолюции для документа этого вида. Если предметом процесса «Рассмотрение» указан вид документа с обязательной ЭП резолюции, то независимо от выбранного варианта рассмотрения (ввод текста резолюции, исполнение или просто ознакомление) перед выполнением задачи будет запрошена электронная подпись.

Чтобы настроить обязательное подписание визы электронной подписью, при создании процесса согласования нужно установить флаг «Подписывать ЭП при согласовании». При этом процесс будет считаться выполненным только после успешного подписания визы. Если же при подписании визы возникает ошибка или подписание отменяется, то задача так и остается невыполненной.

Проверка сертификата

На командной панели карточки сертификата ЭП предусмотрена кнопка проверки сертификата.

Кнопка открывает окно с перечнем параметров проверки. Действительный сертификат должен пройти успешную проверку по всем параметрам.

Если проверка не прошла успешно, необходимо нажать на иконку для получения информации об ошибке.

Рисунок 12

Статус проверки электронной подписи сохраняется в информационной базе и отображается в карточке электронной подписи, карточках и списках всех подписываемых объектов.

Проверка подписи и сертификата выполняется раздельно и присваивает электронной подписи один из общих статусов:

■ Действительна – если действительны и подпись, и сертификат;

■ Действительна, но нет доверия к сертификату – если действительна только подпись, но не сертификат;

■ Недействительна – если недействительны ни подпись, ни сертификат.

Документ со статусом подписи Действительна, но нет доверия к сертификату считается подписанным. Но порядок дальнейшей работы с таким документом определяется внутренними нормативными актами предприятия. Например, если документ отправляется на дальнейшее согласование с внешним контрагентом или необходимо зашифровать документ этим сертификатом, необходимо переподписать документ действующим сертификатом.

Рисунок 13

Помимо статуса подписи, в карточке ЭП можно ознакомиться с причиной отрицательного результата проверки, датой подписания, владельцем сертификата и перейти в карточку сертификата.

Подпись можно сохранить в файл (например, для дальнейшей пересылки по электронной почте). Расширение файла указывается в персональных настройках ЭП. По умолчанию это p7s. 

2 Открыть окно просмотра сертификата

Итак, надо добраться до сертификата сайта. В разных браузерах это выглядит по-разному:

2.1 Internet Explorer 11

В главном меню выбрать Файл / Свойства. Либо нажать правой кнопкой на пустом месте страницы (где нет ничего: ни картинок, ни надписей, ни кнопок, и т.д.) и выбрать “Свойства” – обычно это самый нижний пункт меню. Откроется окно свойств страницы:

Нажмём кнопку “Сертификаты” – откроется окно “Сертификат”:

2.2 Google Chrome 68

Слева от адреса кликнуть иконку “сведения о сайте”. Она может выглядеть как буква “i” в кружочке, или надпись “Защищено”, и т.д. Появится окошко сведений:

Нажмём “Сертификат” – откроется окно “Сертификат”, практически такое же, как в IE:

2.3 Opera 54

Слева от адреса кликнуть иконку “сведения о сайте”. Она может выглядеть как замочек, или земной шар, и т.д. Появится окошко сведений:

Нажмем “Подробнее” – появятся подробности:

Кликнем на сертификат – откроется стандартное окно “Сертификат”, как в Google Chrome:

2.4 Firefox 61

Слева от адреса кликнуть иконку “Show site information”. Появится окошко сведений:

Нажать уголок “Show connection details”. Появится окошко “Site security”:

Нажать “More Information”. Появится “Page Info”:

Нажать “View Certificate”. И вот тут, наконец-то, появится “Certificate Viewer”:

В отличие от остальных браузеров, Firefox использует свой собственный просмотрщик сертификатов.

3.2  Экспорт сертификата в стандартном просмотрщике

Напомню: IE, Chrome и Opera используют одинаковые окна для просмотра сертификата (видимо, это стандартное системное окно), а Firefox пользуется своим.

1. На вкладке “Путь сертификации” выбираем нужный сертификат, нажимаем “Просмотр сертификата”. Это, если нужен какой-то из родительских сертификатов. Если сам конечный сертификат – этот шаг пропускаем, мы и так уже его просматриваем.

2. Переходим на вкладку “Состав”, и видим кнопку “Копировать в файл”:

3.3 экспорт сертификата в Firefox:

На вкладке Details выбираем нужный сертификат, нажимаем “Export…”:

Для типа файла выбираем “X.509 Certificate (DER) (*.der)”:

И нажимаем “Сохранить”. Готово!

Подготовка текста сертификата

Теперь надо подготовить текст сертификата для вставки в файл cacert.pem. Он выглядит примерно так:

Название
========
MD5 Fingerprint=....
Certificate:
...
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

Название сертификата надо написать вручную, остальное можно получить с помощью консольного приложения openssl.

Ситуация: недействителен сертификат или электронная подпись

Ниже перечислены наиболее частые причины, по которым недействительный сертификат может быть признан таковым:

■ Требуемый сертификат не прошел проверки по сроку действия при сверке с системными часами или временем подписи в файле. Это означает, что на момент проверки срок действия сертификата истек.

■ Цепочка сертификатов обработана, но прервана на корневом сертификате, который не является доверенным. Это значит, что программе не удается построить цепочку сертификатов для доверенного корневого центра. При этом необходимо проверить:

○ установлены ли на компьютере все сертификаты корневых и подчиненных удостоверяющих центров и действительны ли они;

○ установлен ли список отозванных сертификатов (файл с расширением CRL) и есть ли доступ до OCSP-службы.

■ Не удалось проверить сертификат в списке отозванных, так как соответствующий сервер находится в состоянии offline – в этом случае необходимо запросить список отозванных сертификатов в удостоверяющем центре, выдавшем сертификат, и установить этот список в ОС (файл с расширением CRL). Обратите внимание, что у этого списка ограниченный срок действия, поэтому его необходимо время от времени обновлять.

Если недействительна сама электронная подпись, обратитесь к администратору для проверки общих настроек криптопровайдера и используемого профиля криптографии (Настройка и администрирование – Настройка программы – Настройки криптографии). Неправильно установленные настройки могут стать причиной ошибки вида: Ошибка при получении контекста модуля криптографии, Ошибка при вызове метода контекста и т. п.

Хеш-значение неправильное – ЭП не соответствует подписанным данным. В качестве проверки убедитесь, что данные не были изменены после подписания:

■ Внутри программы 1С:Документооборот 8 изменение подписанных данных исключено (так как подписанный файл закрыт от редактирования), но целостность файла не гарантируется при хранении в томах.

■ Данные могли исказиться при отправке через почтовые программы (например, почтовая программа может добавлять в метаданные пересылаемого файла дополнительную информацию).

Если подписанный файл был загружен с диска или получен по электронной почте, необходимо проверить исходный файл или связаться с отправителем и запросить повторную пересылку файла с действительными подписями. 

Добавление сертификата в cacert.pem

Добавьте название и текст сертификата, полученный на шаге 2, в конец cacert.pem с помощью любого хорошего текстового редактора (блокнот Windows не рекомендуется). Поскольку cacert.pem находится внутри каталога “Program Files”, надо запускать редактор от имени администратора.

Шифрование и расшифровка файлов

Шифрование предназначено для защиты информации от несанкционированного доступа. В функционал 1С:Документооборот входит шифрование информации для защиты от несанкционированного доступа. Расшифровать файл можно только с помощью закрытого ключа одного из сертификатов.

Так же в программе реализована возможность ограничения доступа к файлу с помощью прав доступа. Минус этого варианта – файл будет доступен администратору базы. Только если зашифровать файл сертификатом сотрудника, невозможно будет расшифровать файл без ключа сертификата.

Как и при подписании документов, при шифровании на рабочем компьютере пользователя должен быть установлен личный сертификат с привязкой к закрытому ключу, а также сертификаты получателей.

Зашифровать и расшифровать можно любой файл с помощью группы команд ЭП в подменю “Еще” карточки и списка файлов (рис. 14).

Рисунок 14

После выполнения команды программа предложит вам выбрать сертификат пользователя, который позволит расшифровать этот файл. До этого вам необходимо указать ваш личный сертификат для расшифровки файла. Далее при вызове команды “Расшифровать” программа автоматически выберет нужный сертификат и предложит ввести пароль для расшифровки.

Существуют особенности шифрования файлов:

■ шифруются все версии файла;

■ зашифрованный файл можно копировать, копия останется зашифрованной;

■ зашифрованный файл запрещено редактировать;

■ для зашифрованных файлов не работает полнотекстовый поиск;

■ зашифрованный файл нельзя подписать ЭП, но подписанный ЭП файл можно зашифровать. Программа позволяет проверить подписи зашифрованного файла, причем при выполнении этой операции файл остается зашифрованным.

В программе предусмотрена расшифровка файла информационной базы Обязательным сертификатом. Он добавляется в список сертификатов для расшифровки автоматически. Эта возможность предусмотрена для принудительной расшифровки файлов в случаях утери ключа, отзыве сертификата или увольнении сотрудника, чьим сертификатом зашифрован файл.

Обязательный сертификат должен быть привязан к каждой из установленных программ шифрования. Для этого в настройках ЭП и шифрования предусмотрена колонка Обязательный сертификат для шифрования. 

Проверка связи сертификата с программой выполняется автоматически. При отсутствии сертификата программа предупредит текущего пользователя о необходимости его добавить.

Обязательных сертификатов может быть несколько. Например, если помимо корпоративного сертификата уполномоченный сотрудник (контролер) хочет иметь доступ к расшифровке всех файлов информационной базы с помощью личного сертификата. Для этого в карточке сертификата достаточно установить Флаг Обязательный для шифрования (рис. 15).

Рисунок 15

Специалист компании ООО «Кодерлайн»

Кристина Удалова

Криптография и электронная подпись в решениях на 1с

Создание ключа электронной подписи

Если требуется переиздание сертификата, перед отправкой помощник перейдет к шагу для создания ключа электронной подписи (рис. 5). Чтобы
приступить к созданию ключа, нажмите кнопку “Создать ключ электронной подписи”.

Рис. 5

Ключ электронной подписи генерируется с помощью программы-криптопровайдера. В зависимости от криптопровайдера, он может быть размещен на
внешнем устройстве или на компьютере пользователя. После выбора размещения электронного ключа будет предложено задать пароль (рис. 6).

При создании ключа для инициализации генератора случайных чисел потребуется в произвольном порядке нажимать клавиши на клавиатуре или двигать
мышью.

Рис. 6

После создания ключа электронной подписи заявление будет отправлено (рис. 7).

Рис. 7

После получения заявления представитель оператора ЭДО свяжется с пользователем, используя данные, указанные в контактной информации заявления,
для решения организационных вопросов по изменению настроек подключения (оформление документов, проведения оплаты и пр.).

Чтобы завершить изменение настроек подключения к 1С-Отчетности, необходимо дождаться одобрения заявления.

Шаг 2. создаем файлы с сертификатами

2.1. Создайте новый документ; название может быть любым.

2.2. Вставьте в этот новый документ название сертификата. После названия сертификата в следующей строке добавьте ========.
Например, сертификат называется certificate. Тогда в созданном документе должно быть следующее:

2.3. Откройте окно консоли и по очереди выполните две команды:

Где:

2.4. Информацию, выведенную в консоли, скопируйте в документ, куда вы до этого добавили название сертификата.

2.6. Теперь необходимо получить md5 для сертификата. В консоли наберите команду:

Появившийся в консоли md5 скопируйте в документ, созданный во время шага 2.1.

2.7. Откройте файл certificate.pem, который у вас создался, и скопируйте его содержимое. Вставьте это содержимое в конец документа, созданного во время шага 2.1.