Подпись на сервере 1С

Разберем основные каноны к получению электронной подписи. Что такое экспортируемый и неэкспортируемый ключ сертификата электронной подписи. Что включает в себя настройка ЭП (ЭЦП) в 1С-решениях и как подать заявление на сертификат электронной подписи из 1С.

В программах «1С:Предприятие» возможна работа только с отсоединенной электронной подписью в формате PKCS#7. Ее создают в системе 1С при помощи сертифицированных криптографических программ, и она отвечает всем требованиям 63-ФЗ «Об электронной подписи»

Основные требования к КЭП

Взаимодействия в области использования квалифицированных электронных подписей (КЭП) при заключении юридически значимых сделок, оказании различного рода услуг (муниципальных или государственных), функций, действий, а также в случаях, установленных другими федеральными законами, регламентируются 63-ФЗ «Об электронной подписи».

На основании вышеуказанного закона электронная подпись является информацией в электронной форме, которая прикрепляется к электронному подписываемому документу или иному файлу, используемому для определения лица, подписывающего данную информацию.

Чтобы пользоваться электронной подписью и шифрованием, нужно установить специальную программу, так называемый криптопровайдер. Программа дает возможность выполнять такие операции, как:

• подписывать содержимое хранимых файлов;
• шифровать содержимое хранимых файлов.

Перед тем, как начать использование ЭП и шифрования, необходимо произвести:

1. Общую настройку программы.
2. Персональную настройку программы.

Руководители компаний как юрлиц, так и ИП с 1 января 2022 года получают электронные подписи только в УЦ ФНС России или в доверенных ей аккредитованных УЦ. Такие электронные подписи должны быть неэкспортируемыми в целях усиления безопасности работы с ними.

Доверенное лицо УЦ ФНС России – выбранная ФНС компания, где можно приобрести КЭП УЦ ФНС, соответствующую требованиям 63-ФЗ. Правила к таким фирмам обозначены постановлением Правительства РФ № 2409. Также необходимо выполнить требования технического характера согласно приказу ФСБ №171. У аналитических центров есть свои партнеры и точки, которые помогают в сборе документов для выпуска квалифицированной ЭП.

Многие задаются вопросом, почему так мало доверенных лиц. Вот несколько причин:

1. Необходима аккредитация Минцифры по новым правилам.
2. При создании ключей ЭП применять средства ЭП классов КВ2.
3. Выездная идентификация не предусмотрена требованиями п.25 Порядка УЦ ФНС.
4. Первичная идентификация только личная, нет сценариев дистанционной идентификации.
5. Сложность реализации решения.

Что необходимо иметь при себе для выпуска квалифицированной электронной подписи указано на рисунке 3.

Экспортируемый и неэкспортируемый ключи

ФНС обозначила ряд рекомендаций, относящихся к использованию носителей с ключами ЭП и выделила пару видов закрытых ключей: Пассивные и Активные.

Пассивный закрытый ключ защищается только ПИН-кодом. Активный закрытый ключ защищен встроенными функциями СКЗИ (средства криптографической защиты информации)

Возможность и невозможность копирования закрытой части ключа – наиболее значимое в безопасности его свойство. Для сохранения конфедициальности данных и невозможности передачи КЭП третьим лицам рекомендуется использовать неэкспортируемые ключи.

Также существует понятие извлекаемый и неизвлекаемый закрытый ключ.

Если закрытый ключ неизвлекаемый – это указывает на то, что он никогда не оставляет носитель, на котором был сгенерирован

Такие ключи записываются на активные носители с поддерживаемыми функциями СКЗИ.

Извлекаемые ключи – все иные, а также экспортируемые и неэкспортируемые.

Вопросы – ответы

Можно ли установить подпись директора на компьютер, а не пользоваться флешкой каждый раз при отправке отчетов и электронных документов?

Если ключ ЭП записан на токен с признаком неизвлекаемости, перенести такой ключ с токена на компьютер нельзя! ОДНАКО документы может подписывать не только директор организации, но и сотрудник по доверенности. Можно получить в АУЦ сертификат, например, на замдиректора или бухгалтера, установить его на ПК и использовать для подписания электронных документов и отчетности.

Что делать при уходе сотрудника из компании, владеющего ЭП?

Обязательно отменить доверенность этого сотрудника! Необходимо:

• Сообщить контрагентам об отмене им об аннулировании/отмене доверенности в соответствии со ст. 188 ГК РФ;
• При помощи функционала отмены МЧД в программе 1С – отменить электронную доверенность.

Если сотрудник пользуется КЭПом на юридическое лицо или ИП, нужно обратиться в УЦ, где выпускалась подпись, с заявлением на аннулирование сертификата.

Как бухгалтера аутсорсинговой компании уполномочить на сдачу отчетности клиента доверителя?

Есть 2 варианта передачи бухгалтеру аутсорсинговой компании полномочия от имени доверителя:

1. Клиент, доверитель выдает МЧД на имя фирмы аутсорсера (самый надежный способ). Директор аутсорсера либо сдает отчетность со своей КЭП, либо в порядке передоверения выдает МЧД на имя сотрудника, который ведет отчетность клиента.
2. Клиент выдает МЧД непосредственно на имя сотрудника аутсорсера. Доверитель должен проверить, что этот сотрудник приказом и/или доверенностью от директора аутсорсера уполномочен вести отчетность фирмы клиента, и что эта внутренняя доверенность не была отменена.

Примечание: важно принимать во внимание то, что ЭП может подтвердить авторство и обеспечить целостность подписанных данных, но подпись не отвечает за конфиденциальность передаваемых данных. Эту задачу решает шифрование. Поэтому рекомендуется использовать электронную подпись совместно с шифрованием.

Поддержка работы ЭДО в 1С

Консультации и поддержка работы ЭДО в любых программах 1С. Приступим к вашему вопросу в течение 15 минут

По тарифам поддержки

Подробнее

1С-ЭДО - встроенный сервис в 1С

Подходит малому бизнесу для типовых 1С. Оперативное подключение и настройка от экспертов ЭДО

0 руб. подключение и пакет с ИТС

Подробнее

Работа с КЭП в программе 1С

В программах «1С:Предприятие» возможна работа только с отсоединенной электронной подписью. Работа с присоединенными подписями и подписями внутри документа в программе невозможна.

Отсоединенная электронная подпись в формате PKCS#7, которую создали в программе 1С при помощи сертифицированных криптографических сервисов, отвечает всем требованиям 63-ФЗ. Такая подпись формируется в отдельном файле от подписываемого объекта. В файл подписи безусловно должен быть добавлен сертификат, которым выполнена подпись. В противном случае будет констатирована ошибка при проверке корректности подписи и при добавлении из файла. Название файла подписи такое же, как подписанный документ с расширением .p7s.

Подписи таких файлов хранятся в информационной базе 1С, в отличие от подписываемых файлов, которые могут храниться в томах на различных сетевых дисках. При необходимости хранения и пересылки понадобятся оба файла. Нельзя их и переименовывать!

Сам подписываемый файл будет доступен для чтения без программ ЭП. Такие программы нужны только для того, чтобы проверить корректность подписи. Для проверки подписи достаточно загрузить в программу 2 файла: подписанный и с электронной подписью.

Настройка использования КЭП в 1С

Чтобы настроить 1С для работы с электронными подписями, необходимо открыть раздел Администрирование – Электронная подпись и шифрование.

Функция подписания данных активируется включением флажка Электронная подпись. Вместе с ним необходимо активировать и шифрование соответствующим флажком.

Далее будут доступны и другие настройки электронной подписи этого раздела.

Программы электронной подписи в 1С

Чтобы создать электронную подпись и шифрование нужно воспользоваться криптопровайдером. Для настройки необходимо открыть вкладку Программы в разделе настройки электронной подписи и шифрования.

Вкладка Программы включает в себя перечень программ криптографии, которые могут быть использованы 1С, а также в числе всех узлов распределенной информационной базы. При первичном открытии вкладки осуществляется поиск программ, которые установлены на ПК. Занимает это обычно непродолжительное время – менее минуты. Результаты проверки каждого указанного/добавленного криптопровайдера можно увидеть в одноименной колонке (Рис. 6).

Настройка в 1С другой программы электронной подписи вручную

Если юридически значимая ЭП не нужна (предположим, для работы с ЭП внутри компании), можно использовать любой криптопровайдер. Например, от Microsoft. Такой криптопровайдер необходимо добавить вручную через кнопку Добавить.

Поле Представление необходимо заполнить при помощи кнопки ❌ и выбрать из выпадающего списка предлагаемый криптопровайдер или Другая программа, заполнив вручную характеристики формы.

В случае использования распределенной информационной базы настройки, рассмотренные выше, можно изменить только в главном узле. Установка программ электронной подписи в клиент-серверном варианте работы.

Чтобы не устанавливать СКЗИ на каждом ПК каждого сотрудника организации, кто работает с КЭП, используется сервер 1С:Предприятия в клиент-серверном варианте работы программы или web-сервер в файловом варианте. Для этого на компьютере, где работает сервер «1С:Предприятия» или web-сервер, устанавливают криптопровайдер (желательно один, во избежание конфликтов между ними).

На следующем этапе необходимо открыть раздел Администрирование – Общие настройки – Электронная подпись и шифрование включить флажок Проверять электронные подписи и сертификаты на сервере. Если включить флажок Подписывать и шифровать на сервере, то потребуется также установить на сервере секретные ключи пользователей.

Если один из флажков Проверять подписи и сертификаты на сервере или Подписывать и шифровать на сервере включен, то в панели навигации становится доступной ссылка Пути к программе на серверах Linux.

Дополнительные настройки программы

На закладке Дополнительно доступны следующие настройки:

• расширение для зашифрованных файлов по умолчанию указано .p7m;
• расширение для файлов подписи по умолчанию .p7s.

С помощью переключателя можно задать поведение программы При сохранении данных в файл вместе с ЭП.

Использование облачной электронной подписи по технологии КриптоПро DSS

В программе есть возможность использовать облачную подпись по технологии КриптоПро DSS. Она работает в тестовом режиме и будет развиваться в следующих версиях программы.

Использование сервиса облачной подписи включается в общих настройках программы.

Для использования сертификатов, хранящихся на сервере, необходимо завести карточку сервера подписи, прописав в ней пути различных сервисов сервера DSS.

В расширенных настройках можно указать наименование сервера для представления в программе, а также различные технические параметры сервера.

На закладках разных видов аутентификации есть возможность указать способы авторизации для использования на сервере при создании КЭП.

После этого можно будет добавить сертификаты, расположенные на сервере КриптоПро DSS.

Во время сеанса при первом обращении 1С обратится к сервису с просьбой пройти первичную аутентификацию и выбрать способ вторичной аутентификации при создании подписи.

При повторном обращении к сервису программа запомнит выбранные первичную и вторичную авторизации. На рисунке ниже изображен пример, когда вторичная аутентификация на сервере не настроена, необходимо ввести только ПИН-код от сертификата на сервере.

Настройка клиент-серверного подписания электронных документов

Многие пользователи задумываются о том, как реализовать подписание документов на сервере, где лежит база 1С и находятся ключи (все в одном месте). Иными словами, как добиться того, чтобы программа смотрела и искала сертификат только там, где сама установлена, а не с компьютера, откуда пользователи заходят в базу.

Настройки и установки сертификатов и криптопровайдера должны быть выполнены от имени того пользователя, под которым запускается служба Агент сервера 1С:Предприятия

Для проверки от имени какого пользователя запущена служба необходимо: Запустить Диспетчер задач → Службы → открыть службы → найти необходимую в списке Агент сервера 1С:Предприятия 8.3 или Агент сервера 1С:Предприятия 8.3 (x86-64) → правой кнопкой мыши открыть Свойства → Вход в систему

После того, как был выбран оптимальный пользователь для запуска 1С , можно приступать к дальнейшим настройкам. На сервере надо авторизоваться под выбранным пользователем и установить:

1. Криптопровайдер.
2. Сертификаты.

Особенности работы в веб-клиенте

Для работы с ЭП и шифрованием в web-клиенте нужно установить расширение.

Перед тем как подтвердить для браузера установку программы на компьютер, необходимо проверить издателя программы (1С) и нажать на кнопку Установить. После окончания установки необходимо выбрать пункт Продолжить, чтобы приступить к настройкам.

Установка расширения работы с СКЗИ проходит аналогичным образом. После выполнения всех манипуляций список настроек электронной подписи и шифрования станет доступным для работы.

Хранение электронной подписи в облачной программе 1cfresh.com. Преимуществами такого хранения может выступать:

• гибкость – работа при помощи любого браузера, который поддерживает платформа 1С и под любой ОС;
• мобильность – работа с ЭДО и Отчетностью с любого ПК, который имеет доступ к сети Интернет;
• безопасность – минимальный риск компрометации КЭП в случае потери его носителя;
• легкий старт работы – нет необходимости устанавливать дополнительные ПО (криптопровайдеры и т.д.).

Хранение КЭП

Хранение облачных ключей происходит в специальном защищенном пространстве, которое называется Аппаратное хранилище. Оно сертифицировано ФСБ России.

Операции с КЭП проводятся через подтверждение одноразовым паролем пользователя.

Заявление на сертификат электронной подписи из 1С

ВАЖНО: в соответствии с ФЗ от 06.04.2011 № 63 выпуск сертификатов для директоров в коммерческих УЦ недоступен! Выпуск осуществляется только для сотрудников, которые работают по доверенности.

1С проверяет имеющиеся сертификаты электронной подписи и предупреждает о необходимости их продления, также сообщает о состоянии заявления, например, на начальной странице в разделе Текущие дела. При подписании документа КЭП менее чем за 30 дней до окончания срока действия, 1С выведет информационное сообщение о необходимости продлить сертификат.

В программных продуктах линейки 1С имеется возможность подготовки заявления на выпуск новой или продление старой КЭП в Удостоверяющем центре 1С. Но для выпуска КЭП необходимо предоставить комплект документов в обслуживающую организацию в бумажном виде. Продлить ранее полученный в программе действующий сертификат можно, подписав им заявление, оформленное в электронном виде (безбумажное продление сертификата).

Заявление на выпуск КЭП в бумажном виде

В списке Настройки электронной подписи и шифрования (вкладка Сертификаты) нажмите кнопку Добавить, выберите Заявление на выпуск сертификата. В поле Оформить выберите В бумажном виде.

Подать заявление можно также из списка физических лиц с помощью кнопки Заявление на сертификат. В данном случае необходимо заполнить только данные обслуживающей организации, остальные поля заполняются автоматически. Также можно подать заявление из карточки сертификата, который нуждается в продлении, с помощью кнопки копирования или F9.

Данные физлица выбираются из соответствующего списка и обязаны быть заполнены. Когда будет готовиться заявление 1С проверяет корректность заполнения данных и оповещает об ошибках. Для того, чтобы заявление было отправлено нужно корректно заполнить все данные, проверить, внести при необходимости корректировки.

Многие данные заполнятся автоматически. Если не все поля заполнены, можно проверить данные с помощью кнопки.

ВАЖНО: выпускать заявление на сервере, где установлена 1С под пользователем, под которым запущена служба Агента сервера 1С.

Заявление сохраняется автоматически на стадии подготовки и хранится в списке сертификатов. В любой момент к нему можно вернуться и продолжить работу.

Заявление на выпуск КЭП в электронном виде

Данный вид используется для возможности перевыпуска сертификата, у которого заканчивается срок действия.

Создать заявление возможно из перечня сертификатов или из карточки сертификата. Если нажать на кнопку Перевыпустить… (Копировать, F9), запустится проверка выбранного сертификата на возможность безбумажного продления. Если такая возможность будет найдена, установится автоматически способ оформления равный В электронном виде.

Поле Сертификат для продления является обязательным к заполнению.

После подтверждения сведений заявления происходит генерация закрытого ключа, создание, подписание и отправка заявления.

Программа уведомит, когда сертификат будет получен. Если продлеваемый сертификат действует, необходимо при получении подписать им новый сертификат. После этого происходит установка и открывается карточка нового сертификата.

Если срок действия сертификата окончен, подтверждение необходимо произвести по «бумажному» сценарию.

Перед установкой сертификата требуется подтвердить информацию об отправке расписки.