Перейти к содержанию

Настройки электронной подписи

Открыть карточку настроек электронной подписи можно из правого меню → Настройки → Настройки электронной подписи.

Карточка содержит в себе следующие настройки:

  • Вид подписи – выбирается вид подписи, поддерживается только CAdES (CMS Advanced Electronic Signatures).

  • Профиль подписи – используемый профиль подписи:

    • BES – подписывается дата подписи, хеш данных, идентификатор сертификата, тип данных;

    • T – это BES плюс метка времени по хешу от BES;

    • C – это T плюс ссылки на сертификаты, и ссылки на ocsp-ответы или ссылки на crl;

    • XL – это C плюс данные сертификатов и данные ocsp или crl;

    • X-Type1 – это C плюс метка времени на всю C;

    • X-Type2 – это C плюс метка времени только на ссылки;

    • XL-Type1 – это XL плюс метка времени на всю XL;

    • XL-Type2 – это XL плюс метка времени только на ссылки.

  • Упаковка подписи – поддерживается только отсоединённая.

  • Адрес TSP-сервиса – Timestamp provider, сервис меток времени, http(s). Вы можете указать следующий адрес TSP-сервиса для тестирования подписи с метками времени, но не в production: http://sha256timestamp.ws.symantec.com/sha256/timestamp

  • Логин TSP-сервиса – логин для подключения к сервису.

  • Пароль для TSP-сервиса – пароль для подключения к сервису.

  • Алгоритм хеширования TSP - выбор алгоритма хеширования для сервиса меток времени. По умолчанию - SHA256.

  • Адрес OCSP-сервиса – Online Certificate Status Protocol, проверка сертификата на отозванность, http(s).

  • Источник данных CRL - Certificate Revocation Lists, список отозванных сертификатов http(s), UNC.

  • Сохранять подпись с временными ошибками - если флаг не стоит, то подпись не сохраняется при любых ошибках, в противном случае подпись может быть сохранена при ошибках, связанных с недоступностью ресурсов (сетевые проблемы) при проверке. В разделе ниже приведена таблица с составом каждого из уровней подписи, с тем, что проверяется, и с указанием на серьезность ошибки.

  • Фильтры сертификатов – набор правил фильтрации сертификатов; из сертификатов, прошедших проверку, пользователь может выбрать сертификат для подписи.

    • Дата начала - дата начала действия сертификатов;

    • Дата окончания – дата окончания действия сертификатов;

    • Не показывать просроченные – показывать только активные на текущий момент сертификаты;

    • Компания – регулярное выражение, проверяется поле Company;

    • Субъект – регулярное выражение, проверяется поле Subject;

    • Издатель – регулярное выражение, проверяется поле Issuer.

      Note

      Все параметры одного фильтра объединены по логическому И (т.е. для отображения сертификата необходимо, чтобы сертификат удовлетворял всем указанным параметрам), все фильтры (строки таблицы) между собой объединены по логическому ИЛИ (т.е. для отображения сертификата необходимо, чтобы параметры сертификата удовлетворяли хотя бы одному фильтру).

  • Настройка алгоритмов подписи и хеширования – набор пар алгоритмов подписи и хеширования. По умолчанию в таблицу уже занесены некоторые алгоритмы.

    • Алгоритм подписи - при добавлении новой строки необходимо указывать алгоритм Другие, т.к. все типовые алгоритмы уже добавлены в таблицу. Алгоритм Другие - это все алгоритмы, которых явно в списке нет.

    • Алгоритмы хеширования - агоритмы SHA256, SHA384, SHA512 следует использовать только для решений, где не используется работа с подписями в web-клиенте. Для web-клиента используйте алгоритм SHA1.

    • Менеджер подписи - для desktop-клиента это имя зарегистрированного в Unity объекта ICAdESManager, который используется для подписания и для проверки подписи. Для web-клиента настройка не используется. Ниже перечислены типовые значения.

      Note

      В рамках проекта могут быть разработаны собственные реализации алгоритмов, которые регистрируются по именам, их можно ввести вручную, или в desktop-клиенте доступен выпадающий список с перечислением всех именованных регистраций.

      • DefaultEDSManager - реализация по умолчанию, которая использует типовые алгоритмы, доступные в .NET. Не учитывает зарегистрированные в Windows CSP-провайдеры.

      • CryptoProEDSManager - использует COM-объект КриптоПро, который устанавливается вместе с расширением КриптоПро для браузера, но доступен не только из браузера, но и из desktop-клиента.

      • ServiceEDSManagerForCAdES - использует Windows Crypto API для взаимодействия с КриптоПро, не используйте для других CSP-провайдеров. Подписание и проверка выполняются в отдельном процессе .NET Framework.

      • ServiceEDSManagerForCMS - использует Windows Crypto API для взаимодействия с CSP-провайдерами (включая встроенные в Windows), не используйте для КриптоПро CSP. Подписание и проверка выполняются в отдельном процессе .NET Framework.

  • Список файлов с доверенными сертификатами – здесь можно приложить сертификаты и файлы crl. Доверенными будут считаться только корневые сертификаты. Добавление этого типа файлов устраняет необходимость их загрузки из сети. Сертификаты принимаются с расширениями .cer, .p7b, crl-файлы - с расширением .crl.

    • Использовать серверные доверенные корневые и промежуточные сертификаты - сертификаты, которые на сервере указаны как доверенные корневые и промежуточные, будут считаться доверенными и в ТЕССА.

Note

Стандартный механизм подписи можно заменить своим расширением для поддержки подписи/проверки определенным методом, например, для работы с токенами. В расширении надо создать класс-наследник от абстрактного класса CAdESManager и переопределить два метода для подписи и проверки. В регистраторе используйте свойство order со значением больше 1 для переопределения стандартной реализации.

Ниже представлена таблица поддерживаемых хеш-алгоритмов, выбранных в настройках электронной подписи:

desktop-клиент Web-клиент
Алгоритмы Подпись/Проверка Подпись/Проверка
sha1 OK OK
sha256 OK Error
sha384 OK Error
sha512 OK Error
ГОСТ 34.11 2012 OK (если установлен CryptoPro) OK
ГОСТ 34.11 94 OK (если установлен CryptoPro) OK

Проверка подписей

В каротчках документов в результате проверки подписи на файле, возможные следующие цветовые обозначения:

  • Зеленый – целостность подписи верна, сертификат проверен и подтвержден доверенным сертификатом.

  • Красный – целостность подпись не верна, несмотря на сертификат.

  • Голубой – целостность подписи верна, сертификат не удалось проверить до доверенного.

При этом в поле “Профиль подписи” отображается уровень подписи в виде ВИД_ПОДПИСИ-ПРОФИЛЬ_ПОДПИСИ.

Дважды щелкнув левой кнопкой мыши по строке со статусом проверки подписи, открывается дополнительная информация:

  • Статус – общий статус проверки (соответствует цветам, описанным выше);

  • Целостность подписи – статус проверки целостности подписи;

  • Целевой уровень подписи – проверяемый уровень подписи;

  • Достигнутый уровень подписи – уровень, которые удалось подтвердить в процессе проверки;

  • Описание уровней подписи – описание достигнутого уровня подписи, нажав на поле можно подробней посмотреть информацию в виде: Уровень подписи - Статус и дополнительная информация:

  • Дата подписи – указана дата подписи в формате: подтверждённая дата подписи (дата подписи, указанная в пакете подписи);

  • Подписывающий сертификат – нажав на поле, можно посмотреть подробную информацию о сертификате:

    Показывается цепочка сертификатов: сверху - подписывающий сертификат, далее – сертификат издателя, далее – сертификат издателя издателя, и т. д. до доверенного сертификата, или до того сертификата, до которого удалось найти информацию.

    • Субъект – название сертификата;

    • Издатель – издатель сертификата;

    • Компания – компания сертификата;

    • Дата начала – дата начала действия сертификата;

    • Дата окончания – дата окончания действия сертификата;

    • Статус – статус проверки сертификата;

    • Скачать - ссылка для скачивания сертификата.

  • Валидность сертификата - нажав на поле, открывается окно с информацией о валидности сертификата:

    • OCSP – информация об источнике;

    • Сертификаты – цепочка сертификатов от подписывающего.

  • Метки времени T/X-Type1/X-Type2 – информация о соответствующих уровню метках времени. Нажав на поле, открывается дополнительная информация:

    • Номер – внутренний номер метки времени;

    • Издатель – издатель, выпустивший метку времени, подписант;

    • Дата – собственно это альфа и омега;

    • Целостность подписи – статус проверки целостности подписи;

    • Валидность сертификата – при нажатии на поле показывается подробная информация о цепочке сертификатов от подписанта до корневого сертификата;

  • Лог проверки – технический лог проверки.

Таблица уровней подписи

Если подпись невалидна, то она может быть сохранена - это регулируется настройкой Сохранять подпись с временными ошибками. Случаи, когда это возможно, описаны в таблице.

Профиль Что входит в пакет Что проверяется Подпись невалидна при ошибке
BES Подписываемые атрибуты Целостность Да
Подпись Валидность подписывающего сертификата до корневого Да, но сохранение зависит от настройки
T Подписываемые атрибуты Целостность Да
Подпись Валидность подписывающего сертификата до корневого Да, но сохранение зависит от настройки
Метка времени Валидность подписывающего сертификата метки времени до корневого Да, но сохранение зависит от настройки
C Подписываемые атрибуты Целостность Да
Подпись Валидность подписывающего сертификата до корневого Да, но сохранение зависит от настройки
Метка времени Валидность подписывающего сертификата метки времени до корневого Да, но сохранение зависит от настройки
Ссылки на сертификаты Валидность ссылок на сертификаты Да
Ссылки на валидационную информацию Валидность ссылок на валидационную информацию Да
XL Подписываемые атрибуты Целостность Да
Подпись Валидность подписывающего сертификата до корневого Да
Метка времени Валидность подписывающего сертификата метки времени до корневого Да
Ссылки на сертификаты Валидность ссылок на сертификаты Да
Ссылки на валидационную информацию Валидность ссылок на валидационную информацию Да
Сертификаты
Валидационная информация
X-Type1 Подписываемые атрибуты Целостность Да
Подпись Валидность подписывающего сертификата до корневого Да, но сохранение зависит от настройки
Метка времени Валидность подписывающего сертификата метки времени до корневого Да, но сохранение зависит от настройки
Ссылки на сертификаты Валидность ссылок на сертификаты Да
Ссылки на валидационную информацию Валидность ссылок на валидационную информацию Да
Метка времени по C Валидность подписывающего сертификата метки времени по C до корневого Да, но сохранение зависит от настройки
X-Type2 Подписываемые атрибуты Целостность Да
Подпись Валидность подписывающего сертификата до корневого Да, но сохранение зависит от настройки
Метка времени Валидность подписывающего сертификата метки времени до корневого Да, но сохранение зависит от настройки
Ссылки на сертификаты Валидность ссылок на сертификаты Да
Ссылки на валидационную информацию Валидность ссылок на валидационную информацию Да
Метка времени по ссылкам Валидность подписывающего сертификата метки времени по ссылкам до корневого Да, но сохранение зависит от настройки
XL-Type1 Подписываемые атрибуты Целостность Да
Подпись Валидность подписывающего сертификата до корневого Да
Метка времени Валидность подписывающего сертификата метки времени до корневого Да
Ссылки на сертификаты Валидность ссылок на сертификаты Да
Ссылки на валидационную информацию Валидность ссылок на валидационную информацию Да
Сертификаты Валидность подписывающего сертификата метки времени по C до корневого Да
Валидационная информация
Метка времени по C
XL-Type2 Подписываемые атрибуты Целостность Да
Подпись Валидность подписывающего сертификата до корневого Да
Метка времени Валидность подписывающего сертификата метки времени до корневого Да
Ссылки на сертификаты Валидность ссылок на сертификаты Да
Ссылки на валидационную информацию Валидность ссылок на валидационную информацию Да
Сертификаты Валидность подписывающего сертификата метки времени по ссылкам до корневого Да
Валидационная информация
Метка времени по ссылкам
Back to top