Содержание:
1. Как настроить сертификат ЭП в программе 1С:Документооборот 8
2. Ситуация: недействителен сертификат или электронная подпись
3. Шифрование и расшифровка файлов
Электронная подпись (ЭП) является реквизитом электронного документа, который считается законным аналогом документа с собственноручной подписью и печатью.
С помощью ЭП можно подписывать документы, зашифровывать и расшифровывать данные, обмениваться юридически значимыми документами с помощью систем электронного документооборота.
Использование ЭП предполагает наличие сертификата ключа подписи - документа, содержащего открытый ключ подписи и информацию о ее владельце.
Разделяют 3 вида ЭП:
Простая ЭП – упрощенная подпись. Ее достаточно для установления авторства, например, при ведении переписки.
Усиленная неквалифицированная – используется для подписания любых документов, кроме юридически значимых.
Усиленная квалифицированная электронная подпись лица – в основном используется для подписания юридически значимых электронных документов в системе электронного документооборота. Например, договоров, содержащих печать организации, счетов-фактур, товарных накладных ТОРГ-12 и т.п. (рис. 1).
1. Как настроить сертификат ЭП в программе 1С:Документооборот 8
Настройка сертификата ЭП имеет два этапа: настройка программы и персональные настройки.
Настройка программы выполняется во вкладке «Настройка и администрирование» – «Настройка программы» – «Общие настройки» (рис. 2).
Рисунок 2
Для начала работы с ЭП необходимо:
1. Разрешить использовать электронные подписи в общих настройках программы (рис. 3).
Рисунок 3
2. Установить на рабочие компьютеры пользователей один или несколько криптопровайдеров и настроить их.
Для того чтобы остальные сотрудники смогли проверять электронные подписи, требуется установить флаг "Проверять подписи и сертификаты на сервере" (рис. 4), затем выполнить установку криптопровайдера на каждый компьютер кластера серверов "1С:Предприятия".
Рисунок 4
По умолчанию в списке программ уже присутствуют два криптопровайдера: ViPNet CSP и КриптоПро CSP. Можно добавить любые другие программы. При этом в 1С:Документооборот 8 уже поставляются готовые настройки для Microsoft Enhanced CSP, ViPNet CSP, КриптоПро CSP, ЛИССИ CSP, Сигнал-КОМ CSP.
Персональные настройки ЭП
После того как администратор установил криптопровайдер и настроил профили криптографии, можно приступать к настройке рабочего места пользователя. Это делается в персональных настройках программы на закладке "Настройка и администрирование":
Рисунок 5
При подписании документов и файлов программа сама предложит выбрать один из личных сертификатов, установленных в персональных настройках ЭП. Если сертификат не найден, система покажет ошибку:
Рисунок 6
В этом случае пользователю необходимо установить личный сертификат.
Рисунок 7
Для регистрации сертификата необходимо:
1. Выбрать назначение сертификата: для подписания и шифрования либо только для шифрования.
2. Выбрать сертификат, установленный на компьютере.
3. Ввести пароль сертификата для автоматического определения подходящих настроек программы ЭП и шифрования. Для того чтобы выбрать профиль настроек криптографии вручную, необходимо пропустить ввод пароля с помощью кнопки «Отмена».
Если вы уверены в том, что пароль правильный, а программа ЭП и шифрования при этом не определяется, обратитесь к администратору. Возможно, вы регистрируете сертификат, для которого в программе еще не заведены настройки.
4. Заполнить карточку сертификата. В назначении указать понятное описание сертификата. Например, "Для подписания внутренних документов" или "Для обмена документами с контрагентами". Назначение будет выводиться при выборе сертификата для подписания.
Рисунок 8
Если сертификат был выпущен с усиленной защитой закрытого ключа, необходимо установить соответствующий флаг (эту информацию можно уточнить в удостоверяющем центре, выпустившем сертификат). Если флаг активен, то в операциях подписания ЭП и расшифровки файлов запрос пароля к сертификату будет проходить в отдельном окне операционной системы.
Флаг «Обязательный сертификат» служит для пометки сертификата, предназначенного для расшифровки любого файла информационной базы при компрометации ключа. Такой сертификат автоматически добавляется в список сертификатов для расшифровки при каждом шифровании объектов информационной базы.
Любой из установленных сертификатов можно пометить на удаление. На статус подписей, удостоверенных этим сертификатом, это не повлияет.
Если на компьютере текущего пользователя зарегистрировано несколько сертификатов, то откроется окно с возможностью выбора требуемого сертификата.
Пользователь выбирает сертификат и вводит пароль к нему.
Пароль сертификата ЭП можно запомнить на время сеанса работы с программой. Для этого при подписании или расшифровке объекта информационной базы достаточно ввести пароль к сертификату и установить флаг "Запомнить пароль". Если флаг установлен, то до закрытия программы текущему пользователю не придется вводить пароль сертификата ЭП при каждом подписании или расшифровке.
Если сертификат выпущен с усиленной защитой закрытого ключа, то пароль вводится в отдельном окне операционной системы после нажатия кнопки «Готово». После этого документ (файл) будет подписан по алгоритму криптопровайдера, соответствующего этому сертификату.
Подписанный ЭП документ или файл недоступен для редактирования. Чтобы внести изменения в документ, потребуется удалить все подписи. Каждый пользователь может удалить только свои подписи. Право удаления всех подписей принадлежит администратору.
Подписание резолюций и виз согласования ЭП
К резолюции электронная подпись может быть добавлена вручную или автоматически (при выполнении задачи рассмотрения и утверждения). Для добавления резолюции вручную и проверки ЭП используется группа команд ЭП на панели действий карточки резолюции.
Рисунок 9
Резолюция может быть подписана сертификатами, выпущенными на разных провайдерах ЭП.
Обратите внимание: подписанная ЭП резолюция становится недоступна для редактирования. Изменить резолюцию можно только после удаления всех ее ЭП.
Статусы проверки ЭП резолюций отображаются на закладке «Резолюции и визы карточки документа». Синий значок говорит о том, что подпись еще не проходила проверку. Зеленый – прошла проверку и получила статус Действительна либо Действительна, но нет доверия к сертификату. Красный – подпись недействительна.
Рисунок 10
Проверка наличия ЭП резолюций и виз
В зависимости от правил документооборота на предприятии электронная подпись резолюции и визы может считаться либо обязательной, либо нет. Для этого в программе предусмотрено несколько режимов настроек.
Для того чтобы заверение резолюций электронной подписью было обязательным для определенного вида документа, предусмотрен Флаг «Подписывать резолюции электронной подписью» на закладке Настройки карточки вида документа.
Рисунок 11
После установки флажка программа не позволит сохранить неподписанные резолюции для документа этого вида. Если предметом процесса «Рассмотрение» указан вид документа с обязательной ЭП резолюции, то независимо от выбранного варианта рассмотрения (ввод текста резолюции, исполнение или просто ознакомление) перед выполнением задачи будет запрошена электронная подпись.
Чтобы настроить обязательное подписание визы электронной подписью, при создании процесса согласования нужно установить флаг «Подписывать ЭП при согласовании». При этом процесс будет считаться выполненным только после успешного подписания визы. Если же при подписании визы возникает ошибка или подписание отменяется, то задача так и остается невыполненной.
Проверка сертификата
На командной панели карточки сертификата ЭП предусмотрена кнопка проверки сертификата.
Кнопка открывает окно с перечнем параметров проверки. Действительный сертификат должен пройти успешную проверку по всем параметрам.
Если проверка не прошла успешно, необходимо нажать на иконку для получения информации об ошибке.
Рисунок 12
Статус проверки электронной подписи сохраняется в информационной базе и отображается в карточке электронной подписи, карточках и списках всех подписываемых объектов.
Проверка подписи и сертификата выполняется раздельно и присваивает электронной подписи один из общих статусов:
■ Действительна – если действительны и подпись, и сертификат;
■ Действительна, но нет доверия к сертификату – если действительна только подпись, но не сертификат;
■ Недействительна – если недействительны ни подпись, ни сертификат.
Документ со статусом подписи Действительна, но нет доверия к сертификату считается подписанным. Но порядок дальнейшей работы с таким документом определяется внутренними нормативными актами предприятия. Например, если документ отправляется на дальнейшее согласование с внешним контрагентом или необходимо зашифровать документ этим сертификатом, необходимо переподписать документ действующим сертификатом.
Рисунок 13
Помимо статуса подписи, в карточке ЭП можно ознакомиться с причиной отрицательного результата проверки, датой подписания, владельцем сертификата и перейти в карточку сертификата.
Подпись можно сохранить в файл (например, для дальнейшей пересылки по электронной почте). Расширение файла указывается в персональных настройках ЭП. По умолчанию это p7s.
2. Ситуация: недействителен сертификат или электронная подпись
Ниже перечислены наиболее частые причины, по которым недействительный сертификат может быть признан таковым:
■ Требуемый сертификат не прошел проверки по сроку действия при сверке с системными часами или временем подписи в файле. Это означает, что на момент проверки срок действия сертификата истек.
■ Цепочка сертификатов обработана, но прервана на корневом сертификате, который не является доверенным. Это значит, что программе не удается построить цепочку сертификатов для доверенного корневого центра. При этом необходимо проверить:
○ установлены ли на компьютере все сертификаты корневых и подчиненных удостоверяющих центров и действительны ли они;
○ установлен ли список отозванных сертификатов (файл с расширением CRL) и есть ли доступ до OCSP-службы.
■ Не удалось проверить сертификат в списке отозванных, так как соответствующий сервер находится в состоянии offline – в этом случае необходимо запросить список отозванных сертификатов в удостоверяющем центре, выдавшем сертификат, и установить этот список в ОС (файл с расширением CRL). Обратите внимание, что у этого списка ограниченный срок действия, поэтому его необходимо время от времени обновлять.
Если недействительна сама электронная подпись, обратитесь к администратору для проверки общих настроек криптопровайдера и используемого профиля криптографии (Настройка и администрирование – Настройка программы – Настройки криптографии). Неправильно установленные настройки могут стать причиной ошибки вида: Ошибка при получении контекста модуля криптографии, Ошибка при вызове метода контекста и т. п.
Хеш-значение неправильное – ЭП не соответствует подписанным данным. В качестве проверки убедитесь, что данные не были изменены после подписания:
■ Внутри программы 1С:Документооборот 8 изменение подписанных данных исключено (так как подписанный файл закрыт от редактирования), но целостность файла не гарантируется при хранении в томах.
■ Данные могли исказиться при отправке через почтовые программы (например, почтовая программа может добавлять в метаданные пересылаемого файла дополнительную информацию).
Если подписанный файл был загружен с диска или получен по электронной почте, необходимо проверить исходный файл или связаться с отправителем и запросить повторную пересылку файла с действительными подписями.
3. Шифрование и расшифровка файлов
Шифрование предназначено для защиты информации от несанкционированного доступа. В функционал 1С:Документооборот входит шифрование информации для защиты от несанкционированного доступа. Расшифровать файл можно только с помощью закрытого ключа одного из сертификатов. Так же в программе реализована возможность ограничения доступа к файлу с помощью прав доступа. Минус этого варианта - файл будет доступен администратору базы. Только если зашифровать файл сертификатом сотрудника, невозможно будет расшифровать файл без ключа сертификата.
Как и при подписании документов, при шифровании на рабочем компьютере пользователя должен быть установлен личный сертификат с привязкой к закрытому ключу, а также сертификаты получателей.
Зашифровать и расшифровать можно любой файл с помощью группы команд ЭП в подменю "Еще" карточки и списка файлов (рис. 14).
Рисунок 14
После выполнения команды программа предложит вам выбрать сертификат пользователя, который позволит расшифровать этот файл. До этого вам необходимо указать ваш личный сертификат для расшифровки файла. Далее при вызове команды "Расшифровать" программа автоматически выберет нужный сертификат и предложит ввести пароль для расшифровки.
Существуют особенности шифрования файлов:
■ шифруются все версии файла;
■ зашифрованный файл можно копировать, копия останется зашифрованной;
■ зашифрованный файл запрещено редактировать;
■ для зашифрованных файлов не работает полнотекстовый поиск;
■ зашифрованный файл нельзя подписать ЭП, но подписанный ЭП файл можно зашифровать. Программа позволяет проверить подписи зашифрованного файла, причем при выполнении этой операции файл остается зашифрованным.
В программе предусмотрена расшифровка файла информационной базы Обязательным сертификатом. Он добавляется в список сертификатов для расшифровки автоматически. Эта возможность предусмотрена для принудительной расшифровки файлов в случаях утери ключа, отзыве сертификата или увольнении сотрудника, чьим сертификатом зашифрован файл.
Обязательный сертификат должен быть привязан к каждой из установленных программ шифрования. Для этого в настройках ЭП и шифрования предусмотрена колонка Обязательный сертификат для шифрования.
Проверка связи сертификата с программой выполняется автоматически. При отсутствии сертификата программа предупредит текущего пользователя о необходимости его добавить.
Обязательных сертификатов может быть несколько. Например, если помимо корпоративного сертификата уполномоченный сотрудник (контролер) хочет иметь доступ к расшифровке всех файлов информационной базы с помощью личного сертификата. Для этого в карточке сертификата достаточно установить Флаг Обязательный для шифрования (рис. 15).
Рисунок 15
Специалист компании ООО «Кодерлайн»
Кристина Удалова