Электронная цифровая подпись

ARTA Synergy поддерживает:

К ЭЦП документа Synergy введены следующие требования:

При реализации процесса подписи документа с помощью ЭЦП для удобства пользователя, а также для того, чтобы иметь возможность предотвратить ошибки (например, подписывание чужим ключом), до непосредственного создания подписи пользователю будут отображаться следующие данные о сертификате:

Полное описание полей см. в [RFC 5280]. Также при подписании на стороне сервера Synergy сертификат, которым будет подписан документ, подвергается следующим проверкам:

Если сертификат не проходит хотя бы одну из указанных проверок, то подпись документа таким сертификатом невозможна.

Доверенные корневые сертификаты, которые используются при проверке ЭЦП, задаются в конфигурационном файле configuration/arta/security/digital-signature.xml. После корректной настройки файла для пользователя будет доступна возможность подписывать документы указанной ЭЦП.

Настройка ЭЦП

  • Настройка конфигурационного файла

    • Сохранить следующие корневые сертификаты (например, в папке /etc):

      А также:

      Примечание

      Во избежание возникновения проблем с правами на папку, в которой находятся корневые сертификаты, не рекомендуется хранить ее в директории /root.

    • Настроить конфигурационный файл ЭЦП (/opt/synergy/jboss/standalone/configuration/arta/security/digital-signature.xml):

      <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
      <configuration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
              >
          <enable>false</enable>
          <!-- Блок, описывающий доверенный сертификационный центр -->
          <!-- Таких блоков может быть несколько -->
          <ca>
              <!-- Описание CA -->
              <description>Корневой сертификат НУЦ РК</description>
              <!-- Поддерживаемые схемы URI: file и http -->
              <!-- Путь до файла с корневым сертификатом -->
              <certificate-uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crt</certificate-uri>
              <!-- Основной список CRL -->
              <algorithm>SHA1WithRSA</algorithm>
              <!-- Поддерживаемые ARTA Synergy алгоритмы:
                     SHA1withRSA
                     MD5WithRSA
                     SHA256withRSA
                     SHA512withRSA
                     ECGOST3410
                     ECGOST34310
                -->
              <base-crl>
          <!-- Включить использование основного CRL -->
                  <enable>true</enable>
                  <!-- Путь до основного CRL -->
                  <uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crl</uri>
                  <!-- Период обновления основного CRL, в минутах
                       Значение по умолчанию - 1 неделя -->
                  <period>10080</period>
              </base-crl>
              <!-- Список Delta CRL -->
              <delta-crl>
                  <!-- Включить использование Delta CRL -->
                  <enable>true</enable>
                  <!-- Путь до Delta CRL -->
                  <uri>file:///etc/ssl/certs/synergy/pki.gov.kz-delta.crl</uri>
                  <!-- Период обновления основного CRL, в минутах -->
                  <period>60</period>
              </delta-crl>
          </ca>
      </configuration>
      

    По умолчанию при подписании ЭЦП в столбце Имя, организация на сертификате будет отображаться только имя и организация пользователя, подписавшего документ. Набор данных полей можно настроить, добавив в конфигурационный файл параметр configuration → ca → description-cert. Данный параметр может содержать следующие значения:

    • ALGORITHM - алгоритм, с которым созданы ключи;

    • FORMAT - формат сертификата;

    • SERIAL_NUMBER - серийный номер сертификата;

    • KEY_CN - основное имя;

    • KEY_O - организация;

    • KEY_OU - подразделение;

    • KEY_L - местоположение;

    • KEY_ST - штат;

    • KEY_C - страна;

    • KEY_EMAILADDRESS - электронная почта;

    • KEY_GIVENNAME - отчество;

    • KEY_SURNAME - фамилия;

    • KEY_SERIALNUMBER - индивидуальный идентификационный номер (ИИН);

    • CERT - сертификат, закодированный в Base64.

    Формат записи параметра регистронезависим. В случае, если указан неверный (несуществующий) параметр, он не будет отображаться в таблице проверки подписей. Символы, введенные в параметре description-cert вне тегов будут отображаться в качестве подстановки.

    Таким образом, для отображения имени, организации и электронной почты пользователя, подписавшего документ, необходимо настроить конфигурационный файл следующим образом:

    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
    <configuration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
            >
        <enable>false</enable>
        <!-- Блок, описывающий доверенный сертификационный центр -->
        <!-- Таких блоков может быть несколько -->
        <ca>
            <!-- Описание CA -->
            <description>Корневой сертификат НУЦ РК</description>
            <!-- Поддерживаемые схемы URI: file и http -->
            <!-- Путь до файла с корневым сертификатом -->
            <certificate-uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crt</certificate-uri>
            <!-- Отображаемые поля при подписании -->
            <description-cert>${KEY_CN}, ${KEY_O}, ${KEY_EMAILADDRESS}</description-cert>
            <!-- Основной список CRL -->
            <algorithm>SHA256withRSA</algorithm>
        <!-- Поддерживаемые ARTA Synergy алгоритмы:
                   SHA1withRSA
                   MD5WithRSA
                   SHA256withRSA
                   SHA512withRSA
                   ECGOST3410
                   ECGOST34310
              -->
            <base-crl>
      <!-- Включить использование основного CRL -->
                <enable>true</enable>
                <!-- Путь до основного CRL -->
                <uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crl</uri>
                <!-- Период обновления основного CRL, в минутах
                     Значение по умолчанию - 1 неделя -->
                <period>10080</period>
            </base-crl>
            <!-- Список Delta CRL -->
            <delta-crl>
                <!-- Включить использование Delta CRL -->
                <enable>true</enable>
                <!-- Путь до Delta CRL -->
                <uri>file:///etc/ssl/certs/synergy/pki.gov.kz-delta.crl</uri>
                <!-- Период обновления основного CRL, в минутах -->
                <period>60</period>
            </delta-crl>
        </ca>
    </configuration>
    
  • Настройка при работе по https

    Если пользователи, которым необходимо подписывать ЭЦП, работают с системой GNU/Linux, то для них в файле /etc/hosts необходимо добавить имя сервера и его IP-адрес:

    127.0.0.1 synergy.arta.pro

    В случае работы с MS Windows этого делать не требуется, настройка прописывается автоматически.

  • Пользовательский агент Synergy

    Для работы с ЭЦП в основном приложении необходимо скачать и установить пользовательский агент Synergy. Он располагается в Справке (раздел О программе).

    Запуск Synergy Agent:

    • для GNU/Linux - вызвать следующую команду в терминале:

      java -jar ./SynergyAgent.jar

    • для MS Windows - открыть приложение с ярлыка, созданного на Рабочем столе.

    При возникновений проблем с Synergy Agent, в новой вкладке браузера необходимо ввести:

    https://localhost:8389/?TYPE=INFO

    Возможные причины проблем:

    • Невозможно зайти в клиент - необходимо изучить код ошибки.

    • Не найден хост - проблема с hosts.

    • Отображается сообщение о том, что порт не доступен - проблемы с брандмауром.

    • Отображается сообщение о том, что страница не найдена - проблема с настройкой прокси-сервера.

    • Проблемы с прокси - необходимо добавить в исключения 127.0.0.1 и local.arta.pro.

    • Synergy Agent не установлен, версия Synergy может быть не совместима с текущей версией Synergy Agent - необходимо установить клиент по ссылке из Web-приложения.

Дополнительная литература

Руководства по ЭЦП Национального удостоверяющего центра Республики Казахстан для информационных систем