Электронная цифровая подпись

ARTA Synergy поддерживает:

К ЭЦП документа Synergy введены следующие требования:

При реализации процесса подписи документа с помощью ЭЦП для удобства пользователя, а также для того, чтобы иметь возможность предотвратить ошибки (например, подписывание чужим ключом), до непосредственного создания подписи пользователю будут отображаться следующие данные о сертификате:

Полное описание полей см. в [RFC 5280]. Также при подписании на стороне сервера Synergy сертификат, которым будет подписан документ, подвергается следующим проверкам:

Если сертификат не проходит хотя бы одну из указанных проверок, то подпись документа таким сертификатом невозможна.

Доверенные корневые сертификаты, которые используются при проверке ЭЦП, задаются в конфигурационном файле configuration/arta/security/digital-signature.xml. После корректной настройки файла для пользователя будет доступна возможность подписывать документы указанной ЭЦП.

Настройка ЭЦП

Настройка конфигурационного файла

  1. Сохранить следующие корневые сертификаты (например, в папке /etc):

    Примечание

    Во избежание возникновения проблем с правами на папку, в которой находятся корневые сертификаты, не рекомендуется хранить ее в директории /root.

  2. Настроить конфигурационный файл ЭЦП (/opt/synergy/jboss/standalone/configuration/arta/security/digital-signature.xml):

    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
    <configuration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
         <enable>true</enable>
         <!-- Блок, описывающий доверенный сертификационный центр -->
         <!-- Таких блоков может быть несколько -->
         <ca>
              <!-- Описание CA -->
              <description>Корневой сертификат НУЦ РК</description>
              <!-- Поддерживаемые схемы URI: file и http -->
              <!-- Путь до файла с корневым сертификатом -->
              <certificate-uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crt</certificate-uri>
              <!-- Основной список CRL -->
              <algorithm>SHA1WithRSA</algorithm>
              <!-- Поддерживаемые ARTA Synergy алгоритмы:
                   SHA1withRSA
                   MD5WithRSA
                   SHA256withRSA
                   SHA512withRSA
                   ECGOST3410
                   ECGOST34310
              -->
              <base-crl>
                <!-- Включить использование основного CRL -->
                <enable>true</enable>
                <!-- Путь до основного CRL -->
                <uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crl</uri>
                 <!-- Период обновления основного CRL, в минутах
                          Значение по умолчанию - 1 неделя -->
                 <period>10080</period>
              </base-crl>
              <!-- Список Delta CRL -->
              <delta-crl>
                <!-- Включить использование Delta CRL -->
                <enable>true</enable>
                <!-- Путь до Delta CRL -->
                <uri>file:///etc/ssl/certs/synergy/pki.gov.kz-delta.crl</uri>
                <!-- Период обновления основного CRL, в минутах -->
                <period>60</period>
              </delta-crl>
          </ca>
    </configuration>
    

    В случае использования нескольких сертификатов рабочий конфигурационный файл может выглядеть так:

    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
    <configuration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
        <enable>true</enable>
        <ca>
            <description>RSA</description>
            <certificate-uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crt</certificate-uri>
            <algorithm>SHA1WithRSA</algorithm>
            <base-crl>
                <enable>true</enable>
                <uri>file:///etc/ssl/certs/synergy/nca_rsa.crl</uri>
                <period>10080</period>
            </base-crl>
            <delta-crl>
                <enable>true</enable>
                <uri>file:///etc/ssl/certs/synergy/nca_d_rsa.crl</uri>
                <period>60</period>
            </delta-crl>
        </ca>
        <ca>
            <description>GOST</description>
            <certificate-uri>file:///etc/ssl/certs/synergy/nca_gost.crt</certificate-uri>
            <algorithm>ECGOST3410</algorithm>
            <base-crl>
                <enable>true</enable>
                <uri>file:///etc/ssl/certs/synergy/nca_gost.crt</uri>
                <period>10080</period>
            </base-crl>
            <delta-crl>
                <enable>true</enable>
                <uri>file:///etc/ssl/certs/synergy/pki.gov.kz-delta.crl</uri>
                <period>60</period>
            </delta-crl>
        </ca>
        <ca>
            <description>GOST</description>
            <certificate-uri>file:///etc/ssl/certs/synergy/nca_gost.crt</certificate-uri>
            <algorithm>ECGOST34310</algorithm>
            <base-crl>
                <enable>true</enable>
                <uri>file:///etc/ssl/certs/synergy/nca_gost.crt</uri>
                <period>10080</period>
            </base-crl>
            <delta-crl>
                <enable>true</enable>
                <uri>file:///etc/ssl/certs/synergy/pki.gov.kz-delta.crl</uri>
                <period>60</period>
            </delta-crl>
        </ca>
        </configuration>
    

    По умолчанию при подписании ЭЦП в столбце Имя, организация на сертификате будет отображаться только имя и организация пользователя, подписавшего документ. Набор данных полей можно настроить, добавив в конфигурационный файл параметр configuration → ca → description-cert. Данный параметр может содержать следующие значения:

    • ALGORITHM - алгоритм, с которым созданы ключи;

    • FORMAT - формат сертификата;

    • SERIAL_NUMBER - серийный номер сертификата;

    • KEY_CN - основное имя;

    • KEY_O - организация;

    • KEY_OU - подразделение;

    • KEY_L - местоположение;

    • KEY_ST - штат;

    • KEY_C - страна;

    • KEY_EMAILADDRESS - электронная почта;

    • KEY_GIVENNAME - отчество;

    • KEY_SURNAME - фамилия;

    • KEY_SERIALNUMBER - индивидуальный идентификационный номер (ИИН);

    • CERT - сертификат, закодированный в Base64.

    Формат записи параметра регистронезависим. В случае, если указан неверный (несуществующий) параметр, он не будет отображаться в таблице проверки подписей. Символы, введенные в параметре description-cert вне тегов будут отображаться в качестве подстановки.

  3. Перезапустить jboss.

Таким образом, для отображения имени, организации и электронной почты пользователя, подписавшего документ, необходимо настроить конфигурационный файл следующим образом:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<configuration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <enable>true</enable>
    <!-- Блок, описывающий доверенный сертификационный центр -->
    <!-- Таких блоков может быть несколько -->
    <ca>
        <!-- Описание CA -->
        <description>Корневой сертификат НУЦ РК</description>
        <!-- Поддерживаемые схемы URI: file и http -->
        <!-- Путь до файла с корневым сертификатом -->
        <certificate-uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crt</certificate-uri>
        <!-- Отображаемые поля при подписании -->
        <description-cert>${KEY_CN}, ${KEY_O}, ${KEY_EMAILADDRESS}</description-cert>
        <!-- Основной список CRL -->
        <algorithm>SHA256withRSA</algorithm>
    <!-- Поддерживаемые ARTA Synergy алгоритмы:
        SHA1withRSA
        MD5WithRSA
        SHA256withRSA
        SHA512withRSA
        ECGOST3410
        ECGOST34310
        -->
    <base-crl>
        <!-- Включить использование основного CRL -->
        <enable>true</enable>
        <!-- Путь до основного CRL -->
        <uri>file:///etc/ssl/certs/synergy/pki.gov.kz.crl</uri>
        <!-- Период обновления основного CRL, в минутах
            Значение по умолчанию - 1 неделя -->
        <period>10080</period>
    </base-crl>
    <!-- Список Delta CRL -->
    <delta-crl>
        <!-- Включить использование Delta CRL -->
        <enable>true</enable>
        <!-- Путь до Delta CRL -->
        <uri>file:///etc/ssl/certs/synergy/pki.gov.kz-delta.crl</uri>
        <!-- Период обновления основного CRL, в минутах -->
        <period>60</period>
    </delta-crl>
    </ca>
</configuration>

Настройка при работе по https

Если пользователи, которым необходимо подписывать ЭЦП, работают с системой GNU/Linux, то для них в файле /etc/hosts необходимо добавить имя сервера и его IP-адрес:

127.0.0.1 synergy.arta.pro

В случае работы с MS Windows этого делать не требуется, настройка прописывается автоматически.

Пользовательский агент Synergy

Для работы с ЭЦП в основном приложении необходимо скачать и установить пользовательский агент Synergy. Он располагается в Справке (раздел О программе).

Запуск Synergy Agent:

  • для GNU/Linux - вызвать следующую команду в терминале:

    `java -jar ./SynergyAgent.jar`
    
  • для MS Windows - открыть приложение с ярлыка, созданного на Рабочем столе.

При возникновений проблем с Synergy Agent, в новой вкладке браузера необходимо ввести:

https://localhost:8389/?TYPE=INFO

Возможные причины проблем:

  • Невозможно зайти в клиент - необходимо изучить код ошибки.

  • Не найден хост - проблема с hosts.

  • Отображается сообщение о том, что порт не доступен - проблемы с брандмауром.

  • Отображается сообщение о том, что страница не найдена - проблема с настройкой прокси-сервера.

  • Проблемы с прокси - необходимо добавить в исключения 127.0.0.1 и local.arta.pro.

  • Synergy Agent не установлен, версия Synergy может быть не совместима с текущей версией Synergy Agent - необходимо установить клиент по ссылке из Web-приложения.