Электронная подпись

Группа настроек для работы с ЭП в комплексе. О подключении (начале работы) с ЭП см описание в разделе "Рекомендации по освоению".

Применение машиночитаемой доверенности задается в настройке "Меню Настройки: НАСТРОЙКИ \ Электронная подпись - Использовать машиночитаемую доверенность".

Обработка установленных сертификатов на компьютере под ОС Windows через консоль сертификатов: Пуск - Выполнить - mmc - в открывшемся окне добавить оснастку "Сертификаты" (меню Файл - Добавить или удалить оснастку).

Автоматическое наложение ЭП на оправдательные документы задается в настройке "Меню Настройки: НАСТРОЙКИ \ Первичные документы \ Подписывать ОД при сохранении".

НПА: 63-ФЗ от 2011г.

Использование ЭЦП

Автоматическая проверка корректности ЭЦП и отсев документов с неверными ЭЦП осуществоляется только при зачислении документов черновиков (переводе их в беловик). В прочих режимах (как то: включение в рейс, выгрузка и т.п.) ЭЦП программой не проверяется, но пользователь может в любой момент проверить ЭЦП документа по кнопке "Электронная подпись" в списке документов .

При наложении ЭП предлагаются только непросроченные сертификаты по состоянию на системную дату компьютера пользователя по следующим реквизитам сертификата:

- свойство сертификата "Период использования закрытого ключа" (при его наличии),

- свойства "Действителен с" и "Действителен по",

- свойство "Действителен с" + значение настройки "Срок действия закрытого ключа (дни)".

Так же сертификаты должны соответствовать идентификаторам пользователя, заданным в справочнике "Уровни ЭЦП", и удовлетворять прочим ограничениям, заданным администратором комплекса в текущем разделе настроек комплекса.

При снятии ЭЦП делается проверка на доступность операции, и удаляются ЭЦП тех уровней, в которых прописан пользователь, производящий удаление ЭЦП. Условия доступности операции по отзыву ЭП:

• отсутствие ЭЦП более старшего уровня,
• удаляемая ЭЦП не чужая (подписал тот же пользователь, что удаляет),
• для заявок на кассовый расход: не формировалась платежка,
• документ не в закрытом периоде,

• на документе отсутствует аналитический признак запрещающий изменение (при этом пользователь не администратор, подписывать ЭП разрешено и при наличии такого признака).

  Если ЭЦП снимает администратор комплекса, то независимо от уровня ЭЦП и наличия аналитических признаков, удаляется один высший уровень при каждой процедуре снятия ЭЦП.

Очередность наложения ЭП

Важность ЭП определяется её очередностью, очередность в свою очередь задается для уровней ЭЦП. Для упрощения рекомендуем важность ЭЦП коррелировать с её уровнем, т.е. чем выше должность пользователя, тем более высокий уровень ЭЦП ему присваивается. по умолчанию в комплексе 5 уровней.

Если применяется Автомат ЭЦП , то последовательность наложения ЭП задается в нём.

Иначе в порядке возрастания уровня, с учетом настройки "Меню Настройки: НАСТРОЙКИ \ Электронная подпись \ Настройка уровней пользователей". И если настройка не задана (нулевые значения), то требуется накладывать ЭЦП в порядке возрастания уровней, начиная с 1. Т.е. невозможно подписать документ пользователю с уровнем 2, пока на документе отсутствует ЭЦП с уровнем 1, и т.д.

bug 61256 (16.5 патч 2) - отключил проверку срока действия сертификата при проверке эцп на черновиках тоже

Перечень типовых ошибок при наложении ЭЦП

Неизвестный криптографический алгоритм (**80091002**)

На компьютере не установлено приложение от криптопровайдера, указанного в сертификате, которым осуществляется попытка наложения ЭЦП либо которым подписан документ (при проверке ЭЦП) - см. свойство сертификата "Алгоритм подписи". Например, ПО от Крипто Про, если ключевая пара (открытый и закрытый) созданы по ГОСТ .

Не удается найти указанный файл (**00000002**)

Возможные причины:

• сертификат установлен без закрытого ключа.
• рутокен (носитель с сертификатом) поврежден/неисправен .
• применяется (вставлен в компьютер) не тот рутокен (носитель) - не от выбираемого сертификата. Например, в период смены сертифкатов, используется прежний еще действующий сертификат, а носитель вставляют от нового сертификата.

Неизвестная ошибка. (**C000000D**)

Проблема в совместимости ПО "Крипто Про" и "Континент АП", способы решения см на форумах соответствующих ПО. См так же обсуждение на форуме "Бюджет-СМАРТ" https://keysystems.ru/forum/index.php?showtopic=19187&p=157205 .

Статус аннулирования сертификатов не выяснен. Не удалось загрузить действующий список отозванных сертификатов - состояние (статус) ЭЦП.

Не удается построить цепочку сертификатов для доверенного корневого центра - сообщение при наложении ЭЦП.

Возможные причины:

• корневой сертификат УЦ не соответствует сертифкатам пользователей;
• корневой сертификат УЦ отсутствует на сервисе ОД/сервере ключей;

• корневой сертификат УЦ установлен неверно (местоположение не "локальный компьютер"/реестр, см. описание "Сервис проверки ЭЦП").

  Корневой сертификат УЦ обычно обновляется ежегодно. На сервисе ОД должен быть установлен (-ы) корневой сертификат УЦ, под которым выдавались ключи пользователям.

  Примеры ситуаций, приводящие к вышеприведенной ошибке: часть пользователей имеют ключи 2011г, часть 2012г, установлен корневой сертификат 2012г - пользователи с сертификатами 2011г не смогут подписать (либо их подпись станет неверна).

Один из сертификатов в цепочке не является доверенным - причина в том, что корневой сертификат УЦ не установлен в список "Доверенные корневые центры сертификации" на компьютере, где проверяется ЭЦП.

Документ не удовлетворяет условиям схем работы с ЭП

Нет подходящего варианта в автомате ЭЦП для данного документа. Если автомат не настраивался, то не следует включать настройку "Использовать Автомат ЭЦП".

Невозможно создать файл, так как он уже существует.

B7: CryptMsgUpdate

При установке сертификата на компьютер пользователя средствами Крипто ПРО был выбран неверный криптопровайдер в поле "Выберите CSP для поиска ключевых контейнеров".

Возникла ошибка при соединении с сервисом проверки ЭЦП: ...

Настройка "Меню Настройки: НАСТРОЙКИ \ Электронная подпись \ Сервис проверки ЭЦП" указана неверно (несуществующий адрес), либо SQL сервер не может подключиться к сервису ОД из указанной настройки (ограничения сетевых экранов, антивирусы и т.п.).

Отказано в доступе. 80090010: CryptMsgOpenToEncode HResult: -2146233296

Истёк срок действия закрытого ключа. Для получения подробных сведений о сроках и причинах, следует протестировать контейнер закрытого ключа в ПО "Крипто Про" - обратить внимание на информацию вида:

Срок действия закрытого ключа 20 января 2019 г. 11:27:15

Использование ключа обмена запрещено. Срок действия закрытого ключа истек.....

Сannot connect или Cannot resolve IP address или Error get version

При применении Сервера ключей (устарело): данные сообщения означают, что не удалось обратиться к серверу ключей: неверно указана настройка сервера ключей, либо на сервере ключей не запущена программа проверки ЭЦП (CertServer.exe), либо не удалось соединиться с сервером ключей (антивирус, брандмауер и т.д.) и т.п. причины.