Сбербанк – АСТ. Сопоставление сертификата ЭЦП с пользователем на | Тендер Медиа

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа Сертификаты

Аутентификация клиента (двусторонний TLS)

Следующий шаг нашей работы заключается такой настройке сервера, чтобы он требовал бы аутентификации клиентов. Благодаря этим настройкам мы принудим клиентов идентифицировать себя. При таком подходе сервер тоже сможет проверить подлинность клиента, и то, входит ли он в число доверенных сущностей. Включить аутентификацию клиентов можно, воспользовавшись свойством

client-auth

, сообщив серверу о том, что ему нужно проверять клиентов.

Приведём файл сервера application.yml к такому виду:

server:
  port: 8443
  ssl:
    enabled: true
    key-store: classpath:identity.jks
    key-password: secret
    key-store-password: secret
    client-auth: need


Если после этого запустить клиент, то он выдаст следующее сообщение об ошибке:

javax.net.ssl.SSLHandshakeException: Received fatal alert: bad_certificate

Это указывает на то, что клиент не обладает подходящим сертификатом. Точнее — у клиента пока вообще нет сертификата. Поэтому создадим сертификат следующей командой:

keytool -v -genkeypair -dname "CN=Suleyman,OU=Altindag,O=Altindag,C=NL" -keystore client/src/test/resources/identity.jks -storepass secret -keypass secret -keyalg RSA -keysize 2048 -alias client -validity 3650 -deststoretype pkcs12 -ext KeyUsage=digitalSignature,dataEncipherment,keyEncipherment,keyAgreement -ext ExtendedKeyUsage=serverAuth,clientAuth

Нам ещё нужно создать TrustStore для сервера. Но, прежде чем создавать это хранилище, нужно иметь сертификат клиента. Экспортировать его можно так:

keytool -v -exportcert -file client/src/test/resources/client.cer -alias client -keystore client/src/test/resources/identity.jks -storepass secret -rfc


Теперь создадим TrustStore сервера, в котором будет сертификат клиента:

keytool -v -importcert -file client/src/test/resources/client.cer -alias client -keystore shared-server-resources/src/main/resources/truststore.jks -storepass secret -noprompt

Мы создали для клиента дополнительное хранилище ключей, но клиент об этом не знает. Сообщим ему сведения об этом хранилище. Кроме того, клиенту нужно сообщить о том, что включена двусторонняя аутентификация.

Приведём файл application.yml клиента к такому виду:

client:
  ssl:
    one-way-authentication-enabled: false
    two-way-authentication-enabled: true
    key-store: identity.jks
    key-password: secret
    key-store-password: secret
    trust-store: truststore.jks
    trust-store-password: secret


Сервер тоже не знает о только что созданном для него TrustStore. Приведём его файл

application.yml

к такому виду:

server:
  port: 8443
  ssl:
    enabled: true
    key-store: classpath:identity.jks
    key-password: secret
    key-store-password: secret
    trust-store: classpath:truststore.jks
    trust-store-password: secret
    client-auth: need

Если снова запустить клиент — можно будет убедиться в том, что тест завершается успешно, и что клиент получает данные от сервера в защищённом виде.

Примите поздравления! Только что вы настроили двусторонний TLS!

Алгоритм поиска и устранения ошибок при отправкеполучении эд в 1с эдо | блог | компания айлант

 Бывают случаи, когда при отправкеполучении ЭДО ничего не происходит, отсутствуют как сообщения об ошибках, так и движение электронных документов. Еще нередки случаи, когда после нажатия «

Подписать и отправить

» ничего не происходит и документ остается с прежним статусом.

В данных ситуациях необходимо проверить следующие настройки:

1. Проверка наличия установленной программы для работы с криптографией (КриптоПРО, VipNet CSP) на компьютере.

Установка КриптоПРО CSP 

Установка VipNet CSP2. Проверка настроек электронной подписи и шифрования в 1С.

Первым делом проверим настройки программ шифрования в 1С.

Раздел «Администрирование» – «Обмен электронными документами».

Администрирование - Обмен электронными документами

Далее «Настройки электронной подписи и шифрования». 

Обмен электронными документами

  Вкладка «Программы».

Настройки электронной подписи и шифрования - Программы

 
Проверить наличие строки с установленной программой для работы с электронной подписью (КриптоПРО, VipNet CSP). При необходимости добавить нужную программу, нажав соответствующую кнопку (если эта программа действительна установлена на данном компьютере).

Программа электронной подписи и шифрование(создание)

Далее проверим настройки электронной подписи в 1С.

Раздел «Администрирование» – «Обмен электронными документами».

Администрирование - Обмен электронными документами

Далее «Настройки электронной подписи и шифрования». 

Обмен электронными документами

  Вкладка «Сертификаты».

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

Проверить наличие действующего сертификата организации. Проверить работу сертификата можно, дважды щелкнув по нему левой кнопкой мыши. После открытия формы нажать «Проверить», ввести пароль (иногда пароль пустой) и нажать «Проверить». 

  Проверка сертификата

Если нужного сертификата нет в списке, необходимо его добавить, для этого делаем следуещее.

Нажать «Добавить» далее «Из установленных на компьютере».

  Сертификаты - Из установленных на компьютере

  В появившемся окне выбрать нужный действующий сертификат.

Добавление сертификата для подписания данных

Затем ввести пароль (иногда пароль пустой) от сертификата и нажать «Добавить».

Добавление сертификата для подписания данных - Добавить

  Если напротив строчек отобразились зеленые галочки – все в порядке, в ином случае проверить установлена ли цепочка доверенных сертификатов. 

Проверка сертификата

3. Проверка настроек профиля ЭДО

Сертификат профиля ЭДО

 В разделе «

Администрирование

» – «

Обмен с контрагентами

».

Администрирование - Обмен с контрагентами

Далее «Профили настроек ЭДО» выбрать свой профиль и дважды щелкнуть по нему для изменения.

Профили настроек ЭДО
и перейти в открывшемся окне на вкладку  «Сертификаты организации». 

Через оператора ЭДО

  Проверить наличие действующего сертификата. Если указан старый сертификат, и Вы уверены, что у Вас есть новый действующий сертификат, то его необходимо добавить.

Настройки ЭДО - Добавить

Операция добавления сертификата

Сертификаты ключей электронной подписи и шифрования

При продлении или замене сертификата для 1С:Отчетности, и при его использовании в качестве сертификата для ЭДО, он не добавляется автоматически, это необходимо сделать вручную.

  Также необходимо выполнить тест настроек, нажав кнопку  «Тест профиля настроек».

Тест профиля настроек

  Далее вводим пароль от ЭЦП (иногда пароль пустой, либо стандартный: 123456, или 12345678) и нажимаем «ОК».

Тест аутентификации

После чего внизу, либо во всплывающем окне отобразится следующее.

Сообщение

Если тест прошел неудачно, необходимо проверить наличие сертификата в личном хранилище сертификатов пользователя и установленную цепочку доверенных корневых сертификатов. 

Маршруты подписания профиля ЭДО (актуально для ЖКХ 3.1)
 

В разделе «

Администрирование

» – «

Обмен с контрагентами

».

Администрирование - Обмен с контрагентами

Далее «Профили настроек ЭДО».

Администрирование - Обмен электронными документами - Профили настроек ЭДО

Выбрать свой профиль и перейти в открывшемся окне на вкладку «Виды электронных документов». 

Виды электронных документов

  Проверить на отсутствие устаревших форматов электронных документов. Настроить актуальные форматы.
Проверить маршруты подписания. В табличной части в столбце «Регламент ЭДО» по очереди щелкнуть по «Подпись (маршрут: Одной доступной подписью)».

Изменение профиля настроек ЭДО - Продолжить

Откроется окно «Настройка регламента ЭДО». В нем выбрать маршрут, нажав на «».

Настройка регламента ЭДО

Откроется окно с маршрутами подписания (обычно там прописан 1 маршрут).

Маршруты подписания

Если в открывшемся окне «Маршруты подписания» отсутствует строка «Одной доступной подписью», необходимо с помощью обработки(скачать)добавить маршрут подписания.

Глава 3. настройка программы :: 1с:клиент эдо 8. руководство пользователя

Настройку программы «1С:Клиент ЭДО 8» можно условно разделить
на настройку механизма обмена данными с учетной системой и на настройку механизма
обмена электронными документами.

Данные, необходимые для
формирования электронных документов (например, реквизиты организации и
контрагентов) вводятся и хранятся в самой учетной системе, а в программе
«1С:Клиента ЭДО 8» только отображаются. Поэтому при необходимости внести
изменения, например, в юридический адрес организации, потребуется зайти в
учетную систему и уже там отредактировать данные в соответствующем справочнике.

Процесс взаимодействия программы
«1С:Клиента ЭДО 8» и учетной системы, а также процесс изменения правил обмена
данными, задаваемых во внешней обработке, описан в
Приложении данного
руководства.

Для задания параметров
обмена с учетной системой можно воспользоваться Помощником
подключения к учетной системе
или указать их в ручном режиме.

При первом входе в новую
информационную базу «Клиента ЭДО» Помощник подключения к
учетной системе
запуститься автоматически. В дальнейшем его всегда
можно вызвать повторно через команду группы Сервис
Панели действий главного окна программы.

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

На первом шаге помощника
необходимо указать:

1.каталог Информационной
базы
учетной системы;

2.Имя
пользователя
и пароль, от
имени которого будет происходить подключение к учетной системе (рекомендуется
сделать в учетной системе отдельного пользователя с соответствующими правами
доступа);

3.Правила
обработки данных
, которые будут использоваться для обмена данными с
учетной системой (более подробно с настройкой правил обработки можно
познакомиться в
Приложении
данного руководства);

4.Наименование
настроек для быстрого поиска в списке.

После нажатия кнопки Далее > программа выполнить подключение к учетной системе
по указанным параметрам и сохранит в информационной базе для дальнейшего использования.

Про сертификаты:  Политоринг - входное тестирование

На следующих шагах можно
выполнить импорт организации и контрагентов, которые будет использоваться для
обмена электронными документами.

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

Если в Настройках программы
включена возможность использования Электронных цифровых
подписей,
то на последнем
шаге помощника программа предложит добавить новое соглашение обмена
электронными документами через оператора ЭДО.

Настройка обмена с учетной
системой в ручном режиме

Для указания параметров настройки
обмена данными с учетной системой необходимо:

1.в Настройках
программы
выбрать команду Настройки обмена данными с
учетными системами
;

2.если опция Вести обмен
в информационной базе с несколькими учетными системами
задана, то в командной
панели открывшегося списка выбрать команду Создать;

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

3.в открывшейся форме заполнить
основные реквизиты, необходимые для подключения к внешней учетной системе;

4.сохранить данные и закрыть форму.

В форме элемента можно
выполнить проверку правильности указания параметров обмена данными по команде Тест настроек. Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

Для того чтобы исключить
какие-либо настройки из процесса обмена или временно не использовать для
подключения к учетной системе, необходимо включить опцию Не
использовать настройки для подключения
.

Если предполагается, что при
обмене электронными документами будет использоваться ЭП и/или шифрование, то
необходимо установить флаг Электронные подписи
(формы Настройки программы), а также выполнить
общую настройку криптографии и настроить сертификаты подписей в форме Настройка криптографии (гиперссылка Настройка
криптографии
формы Настройки программы).

Для указания общих настроек
провайдера (поставщика) криптографического сервиса нужно воспользоваться закладкой
формы Общие настройки.

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

На открывшейся закладке
система автоматически определит установленный на компьютере криптопровайдер и
заполнит следующие поля:

Провайдер
ЭЦП
— строка, идентифицирующая криптографический сервис,
например: “Crypto-Pro GOST R 34.10-2001 Cryptographic Service
Provider” – идентификатор криптографического провайдера от компании
КриптоПро.

Тип
провайдера ЭЦП
— число, указывающее тип провайдера ЭЦП.
Например, для КриптоПро – 75.

Алгоритм
подписи
— указывается алгоритм подписи. Выбирается из списка
выбора, предоставляемого провайдером ЭЦП, обычно это алгоритм GOST R 34.10-2001.

Алгоритм
шифрования
— указывается алгоритм шифрования. Выбирается из
списка выбора, предоставляемого провайдером ЭЦП, обычно это алгоритм GOST 28147-89.

Выполнять
криптографические операции:
«на клиенте»или«на сервере»
— место выполнения криптографических операций формирования и проверки
электронных подписей, шифрования данных и расшифровки при работе с электронными
документами. На компьютере, где предполагается выполнять криптографические
операции должен быть установлен криптопровайдер, сертификаты подписей, а также
доступны закрытые части ключей подписей.

Выполнять
авторизацию:
«на клиенте»или«на сервере»
место выполнения авторизации при обмене электронными документами через
оператора ЭДО. На компьютере, где предполагается выполнять данную операцию
должен быть установлен криптопровайдер, сертификаты подписей, а также доступны
закрытые части ключей подписей.

Наиболее распространенные
криптопровайдеры, сертифицированные ФСБ России, имеют следующие параметры:

КриптоПро CSP: “Crypto-Pro GOST
R 34.10-2001 Cryptographic Service Provider” (
тип
75);

ViPNet CSP: “Infotecs Cryptographic Service
Provider” (
тип
2).

Для указания дополнительных
настроек криптографии в программе можно воспользоваться командой Все действия – Расширенная настройка криптографии.

Для того чтобы в дальнейшем
в программе использовать шифрование и ЭП необходимо импортировать сертификаты
подписей, используя команды в группе Добавить
сертификат
– Из хранилища сертификатов
или Из файла.

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

После того как сертификат добавлен в программу, в форме сертификата нужно
задать виды документов, для подписи которых будет использоваться данный
сертификат.

В процессе обмена электронными документами может возникнуть ситуация,
когда функции разделены между пользователями: одни сотрудники организации
готовят электронные документы, а другие – только подписывают их ЭП.

В форме сертификата ЭП можно указать ограничение, кому из пользователей
этот сертификат будет доступен для подписи. Если флаг
Ограничить доступ к сертификату
не установлен, то сертификат ЭП в программе
будет доступен всем пользователям, зашедшим с компьютера, на котором установлен
сертификат подписи.

Если установлен флаг Запомнить пароль к
сертификату,
топри наличии
доступа к закрытой части ключа подписи (обычно закрытая часть ключа храниться
на внешних носителях) сформировать ЭП с помощью этого сертификата сможет любой
пользователь программы. Такая ситуация может возникнуть, когда необходимо
настроить автоматическое формирование ЭП программой на извещениях о получении
документов без запроса пользователя.

На закладке Состав исполнителей для сертификата задается список пользователей,
которые могут отправлять электронные документы на подпись ответственному лицу
–  пользователю, который имеет право
подписывать документы этим сертификатом (настройка
Ограничить доступ к сертификату
). Если флаг Проверять
состав исполнителей
не установлен, то на подпись ответственному лицу
по данному сертификату может отправить любой пользователь программы.

В форме сертификата по команде Тест настроек сертификата
можно проверить корректность настроек криптографии для данного
сертификата на текущем компьютере.

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

Все настройки параметров
обмена электронными документами выполняются в справочнике Соглашение об использовании электронных документов.
Обмен
электронными документами может осуществляться через оператора электронного
документооборота (далее оператора ЭДО) или напрямую между контрагентами.

Новый элемент нужного
способа обмена можно ввести из списка соглашений, находясь на нужной закладке.
Список доступен по команде Соглашения об
использовании электронных документов
Панели навигации основного окна
программы или на форме Настройки программы по
отдельной команде.

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

Для использования обмена
электронными документами между контрагентами через оператора ЭДО необходимо
ввести одно, общее соглашение для всех участников обмена.

Обмен через оператора ЭДО
возможен только при применении электронных цифровых подписей и выполненных
настройках криптографии (см. Настройка
шифрования и ЭП)
.

Согласно законодательству
обмен электронными счетами-фактурами между
контрагентами предусматривает обязательное участие третьей стороны – Оператора
ЭДО.

В настоящее время в программе поддержан
обмен через оператора ЭДО – компанию Такском, в рамках совместного решения «1С-Такском».

Важно!
Для того чтобы иметь возможность обмениваться электронными документами через
оператора ЭДО «Такском» необходимо внимательно прочитать условия лицензионного
соглашения по программе и согласиться с ним (в противном случае обмен через
оператора ЭДО будет недоступен в программе).

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

Соглашение через оператора
ЭДО можно ввести 2-мя способами:

используя помощник
регистрации нового соглашения
(по команде Создать);

заполнив все требуемые реквизиты
вручную в форме нового элемента (по команде Создать
новое (ручной режим)
).

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

Воспользовавшись помощником регистрации нового соглашения, можно
последовательно задать и протестировать общую настройку криптографии в системе,
импортировать и настроить сертификат ЭП, получить уникальный ИД участника
обмена. Результатом работы помощника будет открытая форма новое соглашение с
правильными настройками. Именно этот способ ввода нового соглашения является
рекомендуемым.

По шагам в помощнике
необходимо:

1)Проверить общие настройки
криптографии (программа автоматически их предзаполнит).

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

2)Указать организацию и сертификат
организации, который будет использоваться для авторизации на сервисе оператора
ЭДО.

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

3)Получить уникальный идентификатор участника,
заполнив заявку на подключении к обмену электронными документами прямо в
программе.

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

Результатом правильного завершения
процесса регистрации нового участника ЭДО должен быть присвоенный идентификатор
участника обмена ЭД.

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

Если воспользоваться ручным
заполнением формы элемента, то в форме соглашения необходимо задать следующие настройки
обмена:

Указать организацию.

Указать сертификат организации,
который будет использоваться для авторизации на сервисе оператора ЭДО.

Получить уникальный идентификатор
участника, заполнив заявление о подключении к обмену электронными документами в
программе.

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа


Для того
чтобы проверить корректность выполненных настро
ек, необходимо
воспользоваться командой в соглашении Тест настроек соглашения.

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

Для подключения к обмену
нового участника-контрагента необходимо добавить его в список участников и
отправить ему приглашение к обмену через сервис оператора ЭДО по команде Отправить приглашения.

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

Для того чтобы получить
новые приглашения от других контрагентов, а также актуализировать статусы
участников обмена, необходимо воспользоваться командой Обновить
статусы с сервиса
. Программа загрузит новые приглашения в статусе Ожидает согласие, которые необходимо обработать (принять их
или отклонить).

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

Чтобы одобрить приглашение к
обмену или отказаться от обмена, надо выбрать соответствующую команду из группы
Изменить статус. Этими командами можно
воспользоваться в любой момент времени, чтобы отказаться от обмена с конкретным
контрагентом.

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

Обмен с контрагентом через
оператора ЭДО возможен только в том случае, если участник одобрил приглашение к
обмену, тогда сервис оператора ЭДО вернет его Идентификатор
и программа установит статус Присоединен.

Про сертификаты:  Установка корневых сертификатов и списка отозванных сертификатов Удостоверяющего центра

Настройки, выполненные в
соглашении, действуют только в том случае, если соглашение находится в статусе Действует.

Важно! Соглашение прямого обмена имеет более высокий приоритет по сравнению с
Соглашением через оператора ЭДО
, т.е. если в программе оформлено два
действующих соглашения с одним контрагентом (соглашение прямого обмена и
соглашение через оператора ЭДО), то программа выполнит отправку электронного
документа по «Способу обмена», заданному в Соглашении прямого обмена, если на
закладке «Исходящие документы» у используемого «Вида электронного документа»
установлен флаг «Отправлять».

Важно!
Обмен
электронными документами с “не-1С” системой возможен через оператора
ЭДО, если учетная система контрагента поддерживает единые с 1С-конфигурациями
форматы электронных документов. Для такого контрагента-участника в настройках
соглашения об обмене через оператора ЭДО в реквизите Версия регламента ЭДО необходимо указать 2.0.

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

Для использования прямого
обмена электронными документами между контрагентами необходимо ввести для
каждого контрагента свое соглашение, где указать индивидуальные параметры
взаимодействия сторон.

В соглашении необходимо задать
следующие настройки обмена:

Указать организацию.

Контрагента, с которым заключается
соглашение.

Задать идентификаторы для организации
и контрагента. По умолчанию идентификаторы участников обмена автоматически
генерируются программой на основании ИНН, КПП организации и ИНН, КПП контрагента. Для обмена электронными
документами идентификаторы
организации и контрагента должны быть обязательно
указаны в программе.

При использовании в процессе
обмена шифрования электронных документов, в качестве сертификата шифрования
нужно указать файл сертификата контрагента (открытый ключ, полученный от
контрагента по открытым каналам связи), а в качестве сертификата расшифровки необходимо
выбрать сертификат, созданный на предыдущем этапе настройки из списка Сертификаты ЭП (сертификат,
который был передан контрагенту в качестве сертификата шифрования по открытым
каналам связи)
. Сертификаты шифрования и расшифровки действуют
на все виды электронных документов, участвующих в обмене.

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

На закладке Способ обмена настроить
параметры передачи данных между участниками
:

Через
каталог
– в этом случае, задается каталог для исходящих
электронных документов, отправляемых контрагенту, и каталог для входящих
электронных документов, получаемых организацией.

Через
электронную почту
– в этом случае, задается адрес электронной
почты контрагента, на который будут отправляться электронные документы, иуказывается учетная запись электронной почты организации,
с которого будет осуществляться отправка электронных документов, и на который
будут поступать входящие документы. Настоятельно рекомендуется использовать
отдельную, специально выделенную для обмена, 
учетную запись электронной почты.

Через
FTP – в этом случае,
задаются параметры FTP-сервера для авторизации на нем, а также каталог для
исходящих электронных документов, отправляемых контрагенту, и каталог для
входящих электронных документов, получаемых организацией.

Эти настройки также действуют
на все виды электронных документов, участвующие в обмене.

На страницах Исходящие документы и Входящие документы можно указать,
какие документы будут участвовать в обмене. Поддерживается обмен следующими
документами для «1С:Бухгалтерии 7.7»/«1С:Торговля и склад 7.7»:

Значение
ТОРГ-12 соответствует документу «Отгрузка товаров, продукции»/«Реализация (купля-продажа)» в
исходящих и документу «Поступление товаров»/«Поступление
ТМЦ (купля-продажа)»
во входящих электронных документах.

Значение
Акт соответствует документу «Акт об оказании услуг»/« Реализация (купля-продажа)» в
исходящих и документу «Акт об оказании услуг
сторонней организацией»/ «Поступление (услуг пр.)»
во входящих
электронных документах.

В таблице видов документов
необходимо флажками отметить те действия, которые будут осуществляться над
документами:

Получать/Отправлять – документы участвуют в
электронном обмене.

Подписывать
– подписывать документы ЭП.

Контролировать
доставку
– ожидать получение служебного извещения о доставке
электронного документа. Служебное извещение о доставке формируется программой
автоматически всегда, а установка флага  Контролировать доставку влияет на перечень
статусов документа (подробнее о статусах см. далее). Если в процессе обмена
важно видеть подтверждение того, что электронный документ доставлен, то флаг
следует установить.

В правой части формы на
закладках Исходящие документы и Входящие документыотображаются списки статусов документов
для каждого вида электронного документа в отдельности. Состав списков статусов
зависит от
действий, которые будут осуществляться над
документами.

Для исходящих документов
возможны следующие статусы:

Сформирован
– статус присваивается вновь созданному электронному документу.

Утвержден
– документ просмотрен ответственным сотрудником организации и утвержден им.
Утверждение осуществляется в форме просмотра электронного документа.

Подписан
– электронный документ подписан ЭП организацией-отправителем. Действие
выполняется и присваивается статус, если в процессе обмена предусмотрено
использование ЭП.

Подготовлен
к отправке
– электронный документ подготовлен к отправке и
поставлен в очередь на отправку (подробнее см. далее).

Отправлен
получателю
– электронный документ отправлен (подробнее см.
далее).

Доставленполучателю – после получения
электронного документа на стороне контрагента формируется служебное извещение о
доставке, которое уходит в адрес отправителя. После получения такого извещения
у электронного документа устанавливается этот статус. Действие выполняется и
присваивается статус, если в процессе обмена предусмотрен контроль доставки.

Получено
подтверждение
– получена ЭП контрагента на исходящем
электронном документе. Действие выполняется и присваивается статус, если в
процессе обмена предусмотрено использование ЭП разных сторон на одном и том же
экземпляре электронного документа.

Для входящих документов возможны
следующие статусы:

Получен
– электронный документ загружен в программу.

Утвержден
– документ просмотрен ответственным сотрудником организации и утвержден им.
Утверждение осуществляется в форме просмотра электронного документа.

Подписан
– входящий электронный документ подписан ЭП организацией-получателем. Действие
выполняется и присваивается статус, если в процессе обмена предусмотрено
использование ЭП разных сторон на одном и том же экземпляре электронного
документа.

Отправлено
подтверждение
– установленная ЭП на входящий электронный
документ подготовлена к отправке и поставлена в очередь на отправку (подробнее
см. далее). Действие выполняется и присваивается статус, если в процессе обмена
предусмотрено использование ЭП разных сторон на одном и том же экземпляре
электронного документа.

Доставлено
подтверждение
– получено служебное извещение о доставке
контрагенту ЭП, установленной на электронный документ. Действие выполняется и
присваивается статус, если в процессе обмена предусмотрен контроль доставки.

Программа позволяет
вкладывать в пакет передаваемых электронных документов файлы, следующих форматов:
документ
XML (обязательный для использования), документ PDF, документ HTML,
документ Word 2007, лист Excel, табличный документ 1С, электронная таблица ODF.
Такая возможность позволяет визуально контролировать пересылаемые данные. Для
использования такой возможности в форме соглашения на закладке Форматы исходящих документов необходимо
установить соответствующие флаги.

На закладке Доверенные сертификаты подписей в
таблице можно сформировать перечень эталонных сертификатов подписей, полученных
от контрагента. Если такой перечень ведется и установлен флаг Проверять сертификаты подписей контрагента,
то в процессе работы с электронными документами программа будет сверять
сертификат, которым подписан электронный документ от контрагента с сертификатом
из перечня эталонных. Если в процессе проверки, окажется что, сертификат ЭП,
которым подписан документ, отсутствует в списке, то строка ЭП с таким
сертификатом в форме просмотра электронного документа будет выделена
пиктограммой «Внимание».

Настройки, выполненные в
соглашении, действуют только в том случае, если соглашение находится в статусе Действует. Для соглашения можно
указать срок действия соглашения (информационно) – Срок
действия до
.

Для того чтобы проверить
корректность выполненных настроек, необходимо воспользоваться командой в
соглашении Тест настроек соглашения.

Заполнить соглашение прямого
обмена можно по Типовому соглашению. Типовое
соглашение является шаблоном и служит для быстрого заполнения настроек
Организации для соглашений прямого обмена. Например, с помощью типового
соглашения можно быстро заполнить способ обмена, определить состав входящих и
исходящих документов, участвующих в обмене, форматы исходящих файлов. Все эти
поля могут быть заполнены в соглашении из типового соглашения, после того как
типовое соглашение будет выбрано в соответствующем поле формы.  

Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа


Двухфакторная аутентификация в домене с использованием токенов и ms ca | my blog

Пароль является не очень надежным средством защиты. Очень часто используются простые, легко подбираемые пароли или же пользователи не особо следят за сохранностью своих паролей (раздают коллегам, пишут на бумажках и т.д.). В Microsoft уже давно реализована технология, позволяющая для входа в систему использовать SmartCard, т.е. аутентифицироваться в системе по сертификату. Но не обязательно использовать непосредственно смарт-карты, ведь для них нужны еще и считыватели, поэтому проще их заменить на usb токены. Они позволят реализовать двухфакторную аутентификацию: первый фактор — это пароль от токена, второй фактор — это сертификат на токене. Далее на примере usb токена JaCarta и домена Windows я расскажу как внедрить этот механизм аутентификации.

Про сертификаты:  Сбербанк-АСТ - электронная торговая площадка [#F5]

Первым делом в AD создадим группу «g_EtokenAdmin» и уч. запись «Enrollment Agent», входящую в эту группу. Эта группа и пользователь будут рулить центром сертификации.

etoken_auth_01

Далее добавим серверу роль AD CA (центр сертификации).

etoken_auth_02

Дополнительно установим Web службу для запроса сертификатов.

etoken_auth_03

Далее выбираем вариант для предприятия. Выбираем Корневой ЦС (если у нас это первый центр сертификации в домене)
Создаем новый закрытый ключ. Длину ключа можно оставить туже, а вот алгоритм хеширования лучше выбрать SHA2 (SHA256).

etoken_auth_04
Введем имя CA и выберем срок действия основного сертификата.
Остальные параметры оставляем по умолчанию и запускаем процесс установки.

etoken_auth_05
После установки зайдем в оснастку центра сертификации и настроим права на шаблоны.
etoken_auth_06
После установки зайдем в оснастку центра сертификации и настроим права на шаблоны.
Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

Нас будут интересовать два шаблона: Агент регистрации (Enrollment Agent) и Вход со смарт-картой (Smartcard logon).
Зайдем в свойства этих шаблонов и на вкладке безопасность добавим группу «g_EtokenAdmin» с правами чтение и заявка.

etoken_auth_07

Далее включим эти шаблоны.

etoken_auth_08

И они появятся у нас в общем списке.

etoken_auth_09

Следующим шагом настроим групповые политики:
Первым делом расскажем всем компьютерам домена о корневом центре сертификации, для этого изменим Default Domain Policy.
Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики открытого ключа -> Доверенные корневые центры сертификации -> Импорт

etoken_auth_10
Выберем наш корневой сертификат, расположенный по пути: C:WindowsSystem32certsrvCertEnroll. Закрываем Default Domain Policy.
На следующем шаге создадим политику для контейнера, в котором будут находится компьютеры с аутентификацией по токену (Смарт-карте).

etoken_auth_11

По пути Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности. Настроим два параметра «Интерактивный вход в систему: требовать смарт-карту» и  «Интерактивный вход в систему: поведение при извлечении смарт-карты».

etoken_auth_12

На этом с настройками все, теперь можно генерировать клиентский сертификат и проверять аутентификацию по токену.
Залогинемся на компьютере под учетной записью «Enrollment Agent» и откроем браузер, перейдя по ссылке http://Имя_сервера_MS_CA/certsrv

etoken_auth_13

Выбираем пункт Запрос сертификата -> Расширенный запрос сертификата -> Создать и выдать запрос к этому ЦС
Если возникнет ошибка вида «Чтобы завершить подачу заявки на сертификат, следует настроить веб-узел для ЦС на использование проверки подлинности по протоколу HTTPS», то нужно на сервере IIS, на котором установлен MS CA, сделать привязку сайта к протоколу https.

etoken_auth_14
Продолжим получение сертификата, для этого на открывшейся странице выберем шаблон: «Агент регистрации» и нажмем кнопку выдать и установить сертификат.

etoken_auth_15
Теперь пользователь Enrollment Agent может выписывать сертификаты для других пользователей. К примеру запросим сертификат для пользователя test. Для этого откроем консоль управления сертификатами certmgr.msc, т.к. через web интерфейс не получится записать сертификат на usb токен.
В этой консоли на папке личное сделаем запрос от имени другого пользователя

etoken_auth_16
В качестве подписи выбираем единственный сертификат «Enrollment Agent» и переходим к следующему шагу, на котором выбираем пункт «Вход со смарт-картой» и нажимаем подробности для выбора криптопровайдера.
В моем случае я использую токены JaCarta, поэтому вместе с драйверами был установлен криптопровайдер «Athena…»:

etoken_auth_17
На следующем шаге выбираем доменного пользователя, для которого выписываем сертификат и нажимаем на кнопку «Заявка».

etoken_auth_18

Вставляем токен, вводим пин код и начинается процесс генерации. В итоге мы должны увидеть диалоговое окно с надписью «Успешно».
Если процесс окончился неудачно, возможно дело в шаблоне получения сертификата, в моем случае его надо было немного подправить.

Приступим к тестированию, проверим работу токена на компьютере, находящемся в OU с групповой политикой входа по смарт-карте.
При попытке войти под учетной записью с паролем мы должны получить отказ. При попытке войти со смарт-картой (токеном) мы получим предложение ввести пин и должны успешно зайти в систему.

etoken_auth_19

P.s.
1) Если не работает автоматическая блокировка компьютера или выход из системы, после вытаскивания токена, смотрите запущена ли служба «Политика удаления смарт-карт»
2) На токен можно записать (сгенерировать сертификат) только локально, через RDP не получится.
3) Если не получается запустить процесс генерации сертификата по стандартному шаблону «Вход с смарт-картой», создайте его копию с такими параметрами.

etoken_auth_20

На этом все, если будут вопросы, задавайте, постараюсь помочь.

Переносим неэкспортируемые контейнеры крипто-про

Иногда случается так что необходимо перенести клиент-банк или другое разнообразное бухгалтерское и не очень ПО с одного компьютера на другой. В том случае когда в качестве криптопровайдера выступает

СКЗИ Крипто-ПРО

обычно проблем не возникает — СКЗИ имеет штатные средства копирования ключей. Но не всегда все гладко — в том случае, когда ключевой контейнер находится в реестре Windows, и при генерации ключа

не была

выставлена галочка «Пометить ключ как экспортируемый» то при попытке скопировать куда-либо этот ключ Крипто-ПРО будет ругаться и не скопирует ключ.

Из этой ситуации есть очень простой выход — выгружаем ветку реестра

HKLMSOFTWARECryptoProSettingsUsers{SID}Keys

(в x64 операционках контейнеры лежат в

HKLMSOFTWAREWow6432NodeCryptoProSettingsUsers{SID}Keys

), а на том ПК куда необходимо импортировать смотрим

разрядность ОСSID

пользователя, блокнотом правим .reg файл(меняем SID и, если необходимо, путь к конечной ветке), и импортируем его в реестр.

Также этим методом очень удобно бекапить и клонировать ключи тогда, когда их много(например в аутсорс-бухгалтериях).

P.S. Не забывайте после переноса установить сертификаты из криптоконтейнеров в «Личные».

Добавление от Ghool

В крипто-про на контейнеры можно ставить пин-код.
А так же при вводе этого пин-кода можно поставить галочку «сохранить» — и в дальнейшем его вводить не придётся.
Иногда после этого пин-код благополучно забывают (что и произошло у нас в компании).

При копировании вышеописанным методом, контейнер остаётся защищён пин-кодом — а вот «сохранение» этого пин-кода не переносится на новый компьютер.

Что можно сделать в таком случае?

Если исходный компьютер ещё жив — заходим в панель управления -> КриптоПро CSP -> Сервис -> Скопировать
Выбираем нужный контейнер (кнопка «обзор» или «по сертификату», как проще найти) -> Далее -> вводим название нового контейнера -> далее -> устанавливаем на него новый пароль. Или не устанавливаем.

И вот после этого уже копируем ветку реестра на новый комп.

Кстати, что бы не мучаться с подменой SID — можно копировать сертификаты в контейнер компьютера а не пользователя, тогда они будут храниться тут:

Win32
HKLMSOFTWARECryptoProSettingsKeys

Win64
HKLMSOFTWAREWow6432NodeCryptoProSettingsKeys

Экспорт pfx-файла и его установка

Экспорт сертификата с закрытым ключом

1. Откройте оснастку работы с сертификатами:

— Пуск → Все программы → КриптоПро → Сертификатылибо— ​Internet Explorer → Сервис → Свойства обозревателя → вкладка Содержание → Сертификаты.

2. Откройте сертификат, который нужно скопировать. На вкладке «Состав» нажмите «Копировать в файл».
Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа
Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа
Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа
Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа
Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа

7. Экспортируйте открытый ключ сертификата (см. Экспорт открытого ключа).

8. Заархивируйте полученные файлы форматов .pfx и .cer.

Установка сертификата с закрытым ключом

1. Откройте .pfx файл. Сразу запустится «Мастер импорта сертификатов».

2. Укажите хранилище «Текущий пользователь» и нажмите «Далее», затем снова «Далее».
Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа
Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа
Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа
Сбербанк - АСТ. Сопоставление сертификата ЭЦП с пользователем на  | Тендер Медиа
6. Для корректной работы сертификата со встроенной лицензией переустановите сертификат в контейнер (см. Как установить личный сертификат в КриптоПро).

Оцените статью
Мой сертификат
Добавить комментарий