Перейти к содержанию

Настройки электронной подписи

Открыть карточку настроек электронной подписи можно из меню системы: Настройки -> Настройки электронной подписи.

Карточка содержит в себе следующие настройки:

  • Вид подписи – выбирается вид подписи, поддерживается только CAdES (CMS Advanced Electronic Signatures).

  • Профиль подписи – используемый профиль подписи:

    • BES – простейший из профилей CAdES, содержит хеш данных, идентификатор сертификата, тип данных и время создания подписи;
    • T – содержит атрибуты профиля BES и метку доверенного времени (ответа от сервера TSP) по хешу от BES, что позволяет проконтролировать неизменность подписи;
    • C – содержит атрибуты профиля T, ссылки на сертификаты и массив идентификаторов для доказательств подписи (CRL или OCSP ответов);
    • XL – содержит атрибуты профиля C, данные сертификатов и данные OCSP или CRL;
    • X-Type1 – содержит атрибуты профиля C и метку времени (ответа от сервера TSP) на массив атрибутов подписи профиля C;
    • X-Type2 – содержит атрибуты профиля C и метку времени (ответа от сервера TSP) только на ссылочные атрибуты;
    • XL-Type1 – содержит атрибуты профиля XL и метку времени на массив атрибутов подписи профиля XL;
    • XL-Type2 – содержит атрибуты профиля XL и метку времени только на ссылочные атрибуты.

  • Упаковка подписи – поддерживается только Detached (отсоединенная).

  • Адрес TSP-сервисаhttp(s) адрес TSP-провайдера, сервиса меток времени.

    Note

    В целях тестирования подписи с метками времени можно указать адрес службы TSP Тестового Удостоверяющего Центра ООО “КРИПТО-ПРО”.

  • Логин TSP-сервиса – логин для подключения к сервису.

  • Пароль для TSP-сервиса – пароль для подключения к сервису.

  • Алгоритм хеширования TSP - выбор алгоритма хеширования для сервиса меток времени. По умолчанию - SHA256.

    Note

    Если при подписании документов используется сертификат, алгоритм хеширования которого отличается от указанного в данном поле, максимально доступный формат созданной подписи будет CAdES-BES.

  • Адрес OCSP-сервисаhttp(s) адрес службы OCSP (Online Certificate Status Protocol) для проверки сертификата на отозванность.

  • Источник данных CRL - http(s) адрес сервиса со списками отозванных сертификатов.

  • Сохранять подпись с временными ошибками - если флаг не отмечен, то подпись не сохраняется при любых ошибках, в противном случае подпись может быть сохранена при ошибках, связанных с недоступностью ресурсов (из-за сетевых проблем) при проверке. В разделе ниже приведена таблица с составом каждого из уровней подписи, с тем, что проверяется, и с указанием на серьезность ошибки.

  • Фильтры сертификатов – набор правил фильтрации сертификатов. Из сертификатов, прошедших проверку, пользователь может выбрать сертификат для подписи.

    • Дата начала - дата начала действия сертификатов.
    • Дата окончания – дата окончания действия сертификатов.
    • Не показывать просроченные – показывать только активные на текущий момент сертификаты.
    • Компаниярегулярное выражение, проверяется поле Company.
    • Субъектрегулярное выражение, проверяется поле Subject.

    • Издательрегулярное выражение, проверяется поле Issuer.

      Note

      Все параметры одного фильтра объединены по логическому И (т.е. для отображения сертификата необходимо, чтобы сертификат удовлетворял всем указанным параметрам), все фильтры (строки таблицы) между собой объединены по логическому ИЛИ (т.е. для отображения сертификата необходимо, чтобы параметры сертификата удовлетворяли хотя бы одному фильтру).

  • Настройка алгоритмов подписи и хеширования – набор пар алгоритмов подписи и хеширования. По умолчанию в таблицу уже занесены некоторые алгоритмы.

    • Алгоритм подписи - при добавлении новой строки необходимо указывать алгоритм Другие, т.к. все типовые алгоритмы уже добавлены в таблицу. Алгоритм Другие - это все алгоритмы, которых явно в списке нет.
    • Алгоритмы хеширования - алгоритмы SHA256, SHA384, SHA512 следует использовать только для решений, где не используется работа с подписями в web-клиенте. Для web-клиента используется алгоритм SHA1.

    • Менеджер подписи - для desktop-клиента это имя зарегистрированного в Unity объекта ICAdESManager, который используется для подписания и для проверки подписи. Для web-клиента настройка не используется. Ниже перечислены типовые значения.

      Note

      В рамках проекта могут быть разработаны собственные реализации алгоритмов, которые регистрируются по именам, их можно ввести вручную, или в desktop-клиенте доступен выпадающий список с перечислением всех именованных регистраций.

      • DefaultEDSManager - реализация по умолчанию, которая использует типовые алгоритмы, доступные в .NET. Не учитывает зарегистрированные в Windows CSP-провайдеры.

  • Параметры прокси-сервера - блок, содержащий параметры подключения к прокси-серверу, используемому при выполнении сетевых запросов в рамках работы с электронной подписью.

    • Использовать прокси-сервер - флаг, разрешающий подключение через прокси-сервер.

      Прокси-сервер используется в следующих случаях:

      • взаимодействие с TSP-сервером;
      • взаимодействие с OCSP-сервером;
      • получение недостающих сертификатов в цепочке сертификатов;
      • получение сертификата удостоверяющего центра (Certificate Authority Issuers);
      • получение CRL.

    • Адрес прокси-сервера - адрес прокси-сервера. Значение обязательно для заполнения при установленном флаге Использовать прокси-сервер.

    • Логин - логин для подключения к прокси-серверу. Значение не обязательно для заполнения. Для подключения к прокси-серверу с использованием логина и пароля оба поля должны быть заданы.
    • Пароль - пароль для подключения к прокси-серверу. Значение не обязательно для заполнения.

  • Список файлов с доверенными сертификатами – здесь можно приложить сертификаты и файлы crl. Доверенными будут считаться только корневые сертификаты. Добавление этого типа файлов устраняет необходимость их загрузки из сети. Сертификаты принимаются с расширениями .cer, .p7b, .crl.

    • Использовать серверные доверенные корневые и промежуточные сертификаты - сертификаты, которые на сервере указаны как доверенные корневые и промежуточные, будут считаться доверенными и в ТЕССА.

Note

Стандартный механизм подписи можно заменить своим расширением для поддержки подписи/проверки определенным методом, например, для работы с токенами. В расширении надо создать класс-наследник от абстрактного класса CAdESManager и переопределить два метода для подписи и проверки. В регистраторе будет использоваться свойство order со значением больше 1 для переопределения стандартной реализации.

Ниже представлена таблица поддерживаемых хеш-алгоритмов, выбранных в настройках электронной подписи:

 desktop-клиент Web-клиент
Алгоритмы Подпись/Проверка Подпись/Проверка
sha1 OK OK
sha256 OK Error
sha384 OK Error
sha512 OK Error
ГОСТ 34.11 2012 OK (если установлен CryptoPro) OK
ГОСТ 34.11 94 OK (если установлен CryptoPro) OK

Проверка подписей

В карточках документов в результате проверки подписи на файле возможные следующие цветовые обозначения:

  • Зеленый – целостность подписи верна, сертификат проверен и подтвержден доверенным сертификатом.
  • Красный – целостность подпись не верна, несмотря на сертификат.
  • Голубой – целостность подписи верна, сертификат не удалось проверить до доверенного.

В поле Профиль подписи отображается уровень подписи в виде “вид подписи-профиль подписи” (например, CAdES-BES).

Дважды щелкнув левой кнопкой мыши по строке со статусом проверки подписи, открывается дополнительная информация:

  • Статус – общий статус проверки (соответствует цветам, описанным выше).

  • Целостность подписи – статус проверки целостности подписи.

  • Целевой уровень подписи – проверяемый уровень подписи.

  • Достигнутый уровень подписи – уровень, который удалось подтвердить в процессе проверки.

  • Описание уровней подписи – описание достигнутого уровня подписи. При нажатии на поле можно посмотреть информацию по каждому уровню подписи с указанием статуса и дополнительной информации.

  • Дата подписи – дата подписи в формате “Подтверждённая дата подписи (Дата подписи, указанная в пакете подписи)”.

  • Подписывающий сертификат – информация о сертификате. При нажатии на информацию сертификат будет скачан.

  • Валидность сертификата - нажав на поле, можно посмотреть подробную информацию о сертификате.

    Показывается цепочка сертификатов: сверху - подписывающий сертификат, далее – сертификат издателя, далее – сертификат издателя издателя, и т.д. до доверенного сертификата, или до того сертификата, до которого удалось найти информацию.

    • Субъект – название сертификата
    • Издатель – издатель сертификата
    • Компания – компания сертификата
    • Дата начала – дата начала действия сертификата
    • Дата окончания – дата окончания действия сертификата
    • Статус – статус проверки сертификата
    • Данные об отзыве – информация о полученных ответах на запросы к серверам. При нажатии на надпись открывается окно с подробной информацией об отзыве используемых сертификатов

    • Сертификаты – цепочка сертификатов от подписывающего
    • Скачать - ссылка для скачивания сертификата

  • Метки времени T/X-Type1/X-Type2 – информация о соответствующих уровню метках времени. Нажав на поле, откроется дополнительная информация:

    • Номер – внутренний номер метки времени
    • Издатель – издатель, выпустивший метку времени, подписант
    • Дата – дата и время получения метки
    • Целостность подписи – статус проверки целостности подписи
    • Валидность сертификата – при нажатии на поле показывается подробная информация о цепочке сертификатов от подписанта до корневого сертификата

  • Лог проверки – технический лог проверки.

Таблица уровней подписи

Если подпись невалидна, то она может быть сохранена - это регулируется настройкой Сохранять подпись с временными ошибками. Случаи, когда это возможно, описаны в таблице.

Профиль Что входит в пакет Что проверяется Подпись невалидна при ошибке
BES Подписываемые атрибуты Целостность Да
Подпись Валидность подписывающего сертификата до корневого Да, но сохранение зависит от настройки
T Подписываемые атрибуты Целостность Да
Подпись Валидность подписывающего сертификата до корневого Да, но сохранение зависит от настройки
Метка времени Валидность подписывающего сертификата метки времени до корневого Да, но сохранение зависит от настройки
C Подписываемые атрибуты Целостность Да
Подпись Валидность подписывающего сертификата до корневого Да, но сохранение зависит от настройки
Метка времени Валидность подписывающего сертификата метки времени до корневого Да, но сохранение зависит от настройки
Ссылки на сертификаты Валидность ссылок на сертификаты Да
Ссылки на валидационную информацию Валидность ссылок на валидационную информацию Да
XL Подписываемые атрибуты Целостность Да
Подпись Валидность подписывающего сертификата до корневого Да
Метка времени Валидность подписывающего сертификата метки времени до корневого Да
Ссылки на сертификаты Валидность ссылок на сертификаты Да
Ссылки на валидационную информацию Валидность ссылок на валидационную информацию Да
Сертификаты
Валидационная информация
X-Type1 Подписываемые атрибуты Целостность Да
Подпись Валидность подписывающего сертификата до корневого Да, но сохранение зависит от настройки
Метка времени Валидность подписывающего сертификата метки времени до корневого Да, но сохранение зависит от настройки
Ссылки на сертификаты Валидность ссылок на сертификаты Да
Ссылки на валидационную информацию Валидность ссылок на валидационную информацию Да
Метка времени по C Валидность подписывающего сертификата метки времени по C до корневого Да, но сохранение зависит от настройки
X-Type2 Подписываемые атрибуты Целостность Да
Подпись Валидность подписывающего сертификата до корневого Да, но сохранение зависит от настройки
Метка времени Валидность подписывающего сертификата метки времени до корневого Да, но сохранение зависит от настройки
Ссылки на сертификаты Валидность ссылок на сертификаты Да
Ссылки на валидационную информацию Валидность ссылок на валидационную информацию Да
Метка времени по ссылкам Валидность подписывающего сертификата метки времени по ссылкам до корневого Да, но сохранение зависит от настройки
XL-Type1 Подписываемые атрибуты Целостность Да
Подпись Валидность подписывающего сертификата до корневого Да
Метка времени Валидность подписывающего сертификата метки времени до корневого Да
Ссылки на сертификаты Валидность ссылок на сертификаты Да
Ссылки на валидационную информацию Валидность ссылок на валидационную информацию Да
Сертификаты Валидность подписывающего сертификата метки времени по C до корневого Да
Валидационная информация
Метка времени по C
XL-Type2 Подписываемые атрибуты Целостность Да
Подпись Валидность подписывающего сертификата до корневого Да
Метка времени Валидность подписывающего сертификата метки времени до корневого Да
Ссылки на сертификаты Валидность ссылок на сертификаты Да
Ссылки на валидационную информацию Валидность ссылок на валидационную информацию Да
Сертификаты Валидность подписывающего сертификата метки времени по ссылкам до корневого Да
Валидационная информация
Метка времени по ссылкам
Back to top