Загрузка файла сертификата в ie
В Internet Explorer специалистами Майкрософт была предусмотрена возможность добавления сертификатов вручную. Речь идёт, разумеется, о вполне безопасных ресурсах, возникновение ошибки на которых не связано с угрозами безопасности.
Для добавления ключа такого сертификата в браузер нужно, проигнорировав ошибку безопасности, перейти на соответствующий сайт и отыскать при наличии ссылку на загрузку ключа. (файлы типа *.cer, *pkcs, *.crt и др.). Загрузив сертификат, можно добавить его в браузер. Для этого требуется:
- В правом верхнем углу окна Internet Explorer нужно нажать на значок шестерёнки, вызывая таким способом основное меню обозревателя.
- Перейти в пункт «Свойства обозревателя».
- Во вкладке «Содержание» выбрать «Сертификаты», затем «Импорт».
- Откроется «Мастер импорта сертификатов», где нужно нажать «Далее».
- Кликнуть «Обзор», после чего перейти в папку, куда файлы сертификатов были загружены, и выбрать нужный.
- Определить место хранения ключей: автоматически (по выбору системы) или вручную, выбрав место хранения и название хранилища, после чего нажать кнопку «Далее».
- Когда процесс создания хранилища будет завершён, «Мастер импорта сертификатов»» отобразит финальное диалоговое окно, в котором будут отображены заданные пользователем параметры.
- После нажатия кнопки «Готово» сертификаты будут загружены в браузер, а также проверена их актуальность. Если не возникло никаких проблем, интеграция и настройка сертификатов будет завершена, что Мастер подтвердит сообщением «Импорт успешно выполнен».
Возникла ошибка при попытке загрузки данных из базы данных.
Сообщите следующую информацию: org.hibernate.exception.SQLGrammarException: could not extract ResultSet.
Приложение АРМ ЛПУ не может получить данные из базы данных PostgreSQL. Эта ошибка возникает чаще всего после установки обновления, когда приложение обновлено, а база данных PostgreSQL по какой либо причине не обновлена.
Что делать:
- Если приложение установлено на компьютере пользователя, а база данных PostgreSQL — на сервере. Необходимо запустить обновление приложение не только на клиенте, но и на серверной машине;
- Если и приложение, и база данных PostgreSQL установлены на одной машине. Проверьте каталог установки приложения. По умолчанию, приложение АРМ ЛПУ ставится в каталог C:FssTools, а база данных PostgreSQL в каталог C:postgresql. Если при первичной установке была выбрана другая директория для установки приложения — то при обновлении вы должны указать именно эту директорию.
Особенности применения эдо с эп в компаниях
Какие понятия мы рассмотрим?
Какие бывают особенности применения электронного документооборота в компаниях? Обратите внимание, что когда Вы запускаете проекты, связанные с электронной подписью и криптографией, консалтинговые услуги очень важны.
Если компания запускает электронный документооборот, то:
- первая задача – это прописать применение электронного документооборота в учетной политике;
- далее нужно издать приказ на предприятии, где указать, какие лица могут подписывать документы;
- если Вы обмениваетесь с контрагентом, у Вас должно быть соглашение, в котором прописано, как Вы будете аннулировать и корректировать документы. Например, если Вам не нравится какой-то бумажный документ, то Вы с вашим контрагентом можете договориться и просто порвать его, и все будет хорошо. А в электронном виде все несколько сложнее, потому что количество экземпляров документа, который Вы сгенерировали и подписали, может быть неограниченное. И даже если Вы и Ваш контрагент договорились этот документ аннулировать, то его электронный эквивалент недостаточно просто удалить из вашей базы. Чтобы скорректировать электронный документ или отказаться от него, нужно сформировать на его основании новый электронный документ, а уже в нем указать, каким образом выглядит Ваша сделка теперь. И только после того, как Вы этот новый электронный документ с двух сторон подпишете, информация о сделке зафиксируется в нужном Вам виде.
Все это нужно прописать и использовать.
Я бы оценил готовность нашей нормативной базы – уже есть какое-то «здание», но его нужно еще достраивать.
- Например, нет понимания, как мы через пять лет будем проверять электронную подпись в архиве электронных документов. Потому что сертификат живет один год, и когда его срок действия заканчивается, подпись будет невалидна – непонятно, как проверять.
- Непонятно, что такое «дата подписи». Для некоторых бухгалтерских документов важно знать, в какой именно момент документ был подписан. Сейчас при подписи документа можно «мухлевать» – перевели дату компьютера, подписали, и это будет выглядеть, как будто документ подписан «задним числом». Поэтому, чтобы однозначно сказать, что документ подписывался тогда-то, должен быть один из вариантов:
- либо должен существовать единый центр раздачи метки времени, чтобы в момент подписания документов мы обращались в какую-то федеральную сервисную службу, которая выдавала бы нам метку времени для подписи;
- либо, когда Вы обмениваетесь электронными счетами-фактурами, существует еще третье звено – это оператор электронного документооборота. Он пропускает документы через себя и не дает «смухлевать», потому что генерирует свои квитанции (подтверждения), в которых прописываются дата и время.
В общем, есть куда двигаться.
Трудности внедрения криптографии и эп в организациях
Механизм криптографии в платформе появился с версии 8.2 – это достаточно молодой механизм. Сама платформа не содержит криптоалгоритмы, она содержит только вызовы и объекты, с помощью которых можно обращаться к криптосредствам, находящимся на компьютере:
- для Windows – это интерфейс CryptoAPI;
- для Linux таких интерфейсов нет, идет непосредственное обращение к модулям криптографии.
Отсюда становится понятно, что криптографию можно применять, только если на компьютере установлено криптосредство. И, с другой стороны, что саму платформу «1С:Предприятие» не требуется сертифицировать с точки зрения криптографии.
Основные криптографические операции в платформе «1С:Предприятие 8»:
- Вы знаете, что платформа может работать в разных режимах: толстый, тонкий, веб-клиент, внешнее соединение и мобильное приложение. Во всех этих режимах запуска криптография поддерживается – для мобильного приложения поддержка криптографических механизмов появилась с версии 8.3.10. Я бы рекомендовал читать «Синтаксис-помощник» и смотреть, какие методы доступны в том или ином режиме запуска, потому что там есть ограничения.
- Платформа позволяет работать с сертификатами открытого ключа (X.509), которые установлены на компьютер. Мы не можем выпустить новый сертификат или запросить его выпуск, мы работаем только с тем, что имеем – с помощью механизмов платформы мы можем найти сертификат на компьютере, прочитать его атрибуты, выгрузить его в файл и проверить, насколько он валидный.
- Я на своей практике часто сталкивался с непониманием того, как в платформе работает шифрование и расшифровка. Это особенно важно, когда Вы делаете интеграцию с каким-то внешним подрядчиком, который работает не на 1С. Когда Вы зашифровали документ, отправили его на ту сторону, а там пробуют расшифровать. Например, часто возникают вопросы, если при настройке криптопровайдера в 1С был указан алгоритм ГОСТ 28147-89, который является симметричным, а при расшифровке требуется обращение к закрытому ключу. Напомню, что симметричный алгоритм шифрования подразумевает, что для шифрования и расшифровки Вы используете один и тот же ключ. А ассиметричное шифрование – это когда данные шифруются с помощью открытого ключа, а для расшифровки используется другой, закрытый (секретный) ключ. Подрядчики спрашивают: «Но Вы же сказали, что алгоритм шифрования симметричный, почему тогда при расшифровке нужна закрытая часть ключа?» Давайте разберемся, как работает механизм шифрования в платформе:
- случайным образом создается некий ключ фиксированной длины, с помощью которого набор данных шифруется по симметричному алгоритму;
- затем сам ключ шифруется асимметричным алгоритмом с помощью публичного ключа сертификата-получателя;
- шифрование с помощью симметричного алгоритма работает быстрее – мы им большой объем данных зашифровали, а потом маленький ключ фиксированной длины быстро шифруем с помощью асимметричного алгоритма;
- зашифрованные данные, список сертификатов-получателей и сам зашифрованный ключ упаковываются в один пакет данных по спецификации PKCS#7;
- этот пакет отправляется на сторону получателя;
- а расшифровка работает в обратном порядке.
- Подписание и проверка электронной подписи. При подписании средствами платформы идет обращение к закрытой части ключа и производится встроенная в платформу проверка целостности (математической валидности) подписи. С точки зрения юридической значимости этого недостаточно. Если Вы хотите проверить электронную подпись под документом, Вы должны проверить:
- действие сертификата;
- математическую валидность данных, которые Вы прислали.
Именно так сделано в механизме БСП – об этом речь пойдет чуть позже. Платформа этого не делает.
Электронная подпись
Вышеуказанная инструкция установки ЭЦП на компьютер описывает процесс установки усиленной квалифицированной подписи. Неквалифицированная, в отличии от неё, состоит из 2 файлов – закрытого ключа и открытого сертификата. Также к ним обязательно добавляется сертификат удостоверяющего центра.
Если ЭЦП необходим ещё для идентификации на портале Госуслуг, то необходимо установить корневой сертификат в браузер Internet Explorer через его меню настроек (также вкладка «Сервис»). Это необходимо только в Windows XP, так как в Internet Explorer версии 8 и выше предусмотрена автоматическая синхронизация браузера с указанными в реестре сертификатами (при первом запуске браузера будет выдан соответствующий запрос на использование сертификата).
Электронный документ – это любая информация, представленная в электронном виде:
- Вы сфотографировали свой автомобиль – это изображение является электронным документом;
- отправили заявление начальнику по электронной почте – это тоже электронный документ.
Любой документ можно перевести в «цифру», но не каждый электронный документ может быть распознан без участия человека.
Машинная обработка более перспективна, поэтому множество документов можно разделить на формализованные и неформализованные электронные документы.
- Под неформализованным документом мы понимаем, что человек смотрит на фотографию и видит, что номер автомобиля такой-то.
- А для формализованных электронных документов обычно разрабатываются схемы, где прописан состав полей, их ограничения, обязательность или необязательность и т.д. Такие формализованные документы можно распознавать автоматически.
Перспектива за формализованными электронными документами. Ведомства постепенно переходят на новые рельсы. Многие из них выпускают свои нормативные положения, описывающие, в каком формате можно обмениваться информацией.
- Например, Арбитражный Суд принимает документы только в формате PDF.
- А электронные счета-фактуры должны передаваться в формате XML, и есть специальная нормативная база с описанием их обязательных полей. Налогоплательщики, которые хотят обмениваться счетами-фактурами в электронном виде, должны четко соблюдать эти требования.
Раньше была проблема, что ФНС обязывала переходить на новый формат электронных документов примерно так же, как на новый формат электронной отчетности – с 1 марта будет новый формат, и дальше «хоть трава не расти». Сейчас, по истечению пары лет, они публикуют формат, ждут обратную связь и затем предупреждают, что на него нужно плавно перейти в течение этого года.
Закон № 63-ФЗ вводит понятие электронной подписи. Раньше было понятие «электронная цифровая подпись» (ЭЦП), теперь правильнее использовать термин «электронная подпись». По этому закону есть три вида электронной подписи.
- Первый вид – это простая электронная подпись. Например, при использовании мобильного банка Вам приходит SMS с одноразовым паролем, и Вы делаете подтверждение – это аналог простой электронной подписи. По такой подписи можно определить только автора.
- Второй и третий виды – это усиленная электронная подпись. «Усиленная» означает, что используется какое-то криптосредство. Усиленная подпись делится на неквалифицированную и квалифицированную.
Усиленную квалифицированную электронную подпись иногда называют просто квалифицированной электронной подписью (КЭП). Это электронная подпись на базе сертификата, который выдается аккредитованным удостоверяющим центром. Минкомсвязь ведет список удостоверяющих центров, которые выдают сертификаты электронной подписи.
Сертификат электронной подписи (он может еще называться сертификат ключа проверки электронной подписи) – это бумажный или электронный документ, однозначно определяющий, кому принадлежит эта подпись.
Квалифицированная электронная подпись применяется наиболее широко. Ее основное назначение в том, что она подтверждает авторство, гарантирует неотказуемость и обеспечивает целостность подписанных данных. Это означает, что если Вы подписали электронный счет-фактуру квалифицированной электронной подписью, то:
- Вы не можете сказать, что это не Ваша подпись;
- Вы не можете от нее отказаться (отозвать);
- можно проверить, вносились ли изменения в этот документ после того, как Вы его подписали.
Если говорить про применение электронных подписей, то стоит поделить их на локальные и облачные.
- Локальная электронная подпись – ситуация, когда Вы подписываете какие-то документы на своем компьютере. В этом случае требуется криптосредство, установка сертификата – много сложностей.
- Облачная электронная подпись – ситуация, когда Вы доверяете хранилище закрытых ключей некоему держателю в «облаке», и, чтобы подписать документ, его нужно до этого облака донести. Скорее всего, Вам на телефон придет одноразовый пароль, который надо подтвердить. А после подтверждения электронная подпись сформируется на сервере в «облаке», и Вы получите подписанный документ.
ФСБ выпустила разъяснительное письмо, в котором объяснила, что облачная электронная подпись не является квалифицированной. Поэтому, если в законе написано, что документ должен подписываться именно квалифицированной электронной подписью, а у Вас документ подписывается в «облаке», то имейте в виду, что с этим могут быть проблемы – к этому нужно подходить очень внимательно.
Что можно еще рассказать интересного про законодательство, которое будет нас касаться?
- В 2021 году появился единый удостоверяющий центр Минкомсвязи России, который позволяет построить цепочку доверия до любого сертификата. Этот головной удостоверяющий центр Минкомсвязи, выдает сертификаты аккредитованным удостоверяющим центрам, а они уже выдают физическим и юридическим лицам. Поэтому для любой электронной подписи всегда можно построить цепочку доверия. Это очень удобно, потому что раньше было сложно проверить на практике, что подпись от другого удостоверяющего центра валидна.
- Совсем из нового – в начале 2021 года Минкомсвязь выступило с законодательной инициативой, чтобы выпуск всех квалифицированных электронных подписей отдать в государственную монополию. На это Центробанк и Минэкономразвития буквально в Июле ответили, что так делать нельзя, потому что это заберет рабочие места и погубит то, что наработано годами. Скорее всего, эта законодательная инициатива дальше не пойдет, но такая мысль была.
Теперь о том, как проще работать.
«1С:Библиотека стандартных подсистем» (БСП) – это готовая типовая конфигурация от фирмы «1С», набор универсальных функциональных подсистем, одна из которых называется «Электронная подпись».
Сразу хочу обратить внимание, что сама БСП – это некий изолированный от платформы уровень, у которого есть программный и пользовательский интерфейсы. Подсистема «Электронная подпись» реализует программный и пользовательский интерфейс для работы со средствами криптографии (шифрование, электронная подпись).
При рассмотрении подсистемы «Электронная подпись» важно понимать, что в ней есть:
- Базовая функциональность, где реализовано то, что никогда нельзя трогать, если Вы хотите, чтобы все работало.
- И есть специальная переопределяемая часть для таких разработчиков, как мы, где можно дописать, чтобы что-то работало по-другому. Если там чего-то нет, рекомендую написать ребятам, которые разрабатывают БСП, чтобы они в базовую функциональность заложили возможность переопределения, и тогда Вы в переопределяемой части сможете делать то, что Вам нужно.
Количество объектов в подсистеме не очень большое, справочников всего два:
- «ПрограммыЭлектроннойПодписиИШифрования»;
- «СертификатыКлючейЭлектроннойПодписиИШифрования».
Но количество строчек кода в общих модулях очень большое – 11,5 тысяч строчек кода. И сама работа с подсистемой не очень простая.
Как встраивать подсистему «Электронная подпись»? Предположим, что у Вас есть какая-то конфигурация, Вы решили, что Вам нужно встроить в нее эту подсистему:
- первым делом нужно прочитать на ИТС, как производится встраивание подсистем;
- далее – прочитать инструкцию по подсистеме (Глава «Настройка и использование подсистем при разработке конфигурации», подраздел «Электронная подпись») – там написан порядок работы;
- обязательно нужно ознакомиться в демобазе БСП с примерами вызовов подсистемы «Электронная подпись»;
- и в конце, после того, как встроили подсистему, нужно сделать проверку:
- есть расширенная проверка платформы, когда Вы встраиваете объекты;
- и есть еще отдельная обработка на ИТС «Проверка встраивания подсистем БСП» – с помощью нее можно проверить, как Вы все это встроили.
А если у Вас конфигурация с нуля, то берете подсистему и на ее базе пишете – обновлять будете сами.
Как тестировать электронную подпись?
Это пример демобазы БСП. В разделе «Администрирование» есть две функциональные опции: «Шифрование» и «Электронная подпись». Если Вы их включили, можно переходить в настройки.
В настройках находятся два справочника: «Программы» и «Сертификаты». В «Программах» система определяет, какие программы установлены, и сразу показывает, что все хорошо или все плохо. Если у Вас используется какое-то специфичное криптосредство, которого нет в БСП, Вы можете нажать кнопку «Добавить» и указать там параметры обращения к нему.
Если Вы работаете через веб-клиент, то подсистема БСП подскажет, что сначала нужно установить расширение для работы с файлами и расширение для работы с криптографией. Это очень удобно, потому что не нужно настраивать самим – система найдет расширение и предложит поставить его.
Сертификаты можно добавить двумя способами.
- Первый вариант – «Из установленных на компьютере». В таком случае открывается диалоговое окно, где мы указываем, как мы будем этот сертификат использовать.
- Обеспечение процесса придания электронным документам юридической значимости посредством использования ЭЦП;
- Обеспечение конфиденциальности и контроль целостности шифрованной информации;
- Контроль целостности и защита ПО от несанкционированного изменения.