Линк-сервис. Линк-сервис 1с не видит криптопро csp

Такая задача может возникнуть, например, в таком случае: специалист по зарплате сформировал соответствующие формы в программе на своем компьютере, и теперь их нужно отправить в контролирующие органы. В этой статье методисты «1С» покажут, как перенести электронную подпись и сервис для сдачи отчетности, к примеру, с компьютера главного бухгалтера на компьютер, на котором подготовлена отчетность, требующая отправки в контролирующие органы.

Отчетность подготовлена. Что делать, если нужно отправить ее в контролирующие органы с компьютера, на котором не установлен сервис "1С-Отчетность"

Такая задача возникает, например, у пользователей, работающих с программами через интернет - ведь выбор такого режима часто обусловлен желанием или необходимостью работать с программами «1С» с разных компьютеров. Поэтому по объективным причинам у таких пользователей может возникнуть ситуация, требующая оперативного переноса электронной подписи и настроек для отправки отчетности с одного компьютера на другой.

Напомним, что фирма «1С» провела большую работу по развитию технологической платформы «1С:Предприятие 8», в результате чего одна и та же конфигурация может работать и как обычный продукт на локальном компьютере пользователя, так и использоваться как «облачный» сервис. Благодаря этому технологическому достижению рассмотренные ниже настройки не зависят от режима использования программы.

В данной статье настройка будет описана для компьютеров, которые используются для работы с программой «1С:Бухгалтерия 8» через Интернет. Совершенно идентично выполняется настройка для компьютеров, на которых установлена эта программа*.

* Подробнее о настройке 1С:Отчетности, позволяющей отправить сформированную отчетность из «1С:Предприятия 8», читайте в номере 10 (октябрь) «БУХ.1С» за 2012 год, стр. 25.

Для последующего описания будем использовать обозначения:

• Компьютер 1 - компьютер, на котором настроен сервис «1С-Отчетность»
• Компьютер 2 - компьютер, на который необходимо перенести «1С-Отчетность» и с которого необходимо отправить отчетность в контролирующие органы.

Последовательность действий

Чтобы начать сдавать отчетность с Компьютера 2 необходимо (см. рис. 1):

1. Перенести на Компьютер 2 с Компьютера 1 или внешнего носителя контейнер ключа электронной подписи.

2. Установить на Компьютер 2 криптопровайдер (специальную систему криптографической защиты данных - например CryptoPro или VipNet).

3. Запустить на Компьютере 2 процедуру автоматической настройки параметров документооборота

Рис. 1

Теперь подробно разберем каждый шаг.

Перенос ключа электронной подписи на Компьютер 2

Переходим к первому шагу - переносу на Компьютер 2 контейнера ключа электронной подписи. Последовательность действий будет зависеть от того, где хранится этот контейнер - на Компьютере 1 или на каком-то внешнем носителе (например, на USB-накопителе).

Контейнер закрытого ключа генерируется на Компьютере 1 в момент отправки спецоператору заявления на подключение к электронному документообороту (сервису «1С-Отчестность»). Пользователь сам выбирает, где хранить этот контейнер - на съемном носителе, в скрытой системной папке на жестком диске или в реестре Windows. Последнее возможно в случае использования криптопровайдера CryptoPro.

Если ключ находится на внешнем носителе

Если контейнер ключа сохранен на внешнем носителе, то все необходимые файлы находятся на нем, и для установки необходимо просто подсоединить это устройство к Компьютеру 2 .

Если ключ сохранен в скрытой системной папке Компьютера 1

В этом случае для уточнения места хранения контейнера закрытого ключа и переноса необходимого комплекта файлов на Компьютер 2 проделайте следующее:

1. Перейдите к редактированию организации, от имени которой сдается отчетность, и откройте вкладку Документооборот .

3. Дважды щелкните левой кнопкой мыши по нужному заявлению и на вкладке Служебная информация найдите поле Путь к контейнеру закрытого ключа .

4. Перейдите в папку хранения контейнера, выберите необходимый контейнер и перенесите его в любую папку на Компьютере 2 , либо сохраните на внешнем сменном носителе.

В том случае, если в указанной папке присутствует не один, а несколько файлов, настоятельно рекомендуется во избежание ошибок выбрать и перенести на Компьютер 2 именно тот файл, который является носителем закрытого ключа и сертификата, полученного от спецоператора. Для выбора нужного файла, достаточно сравнить его имя с именем, приведенным в поле Путь к контейнеру закрытого ключа (как это показано на рисунке 2).

Рис. 2

Внимание!

Для переноса контейнера потребуется указать пароль закрытого ключа, который был выбран при его регистрации. Если вы забыли этот пароль (например, применяя опцию запоминания пароля), перенос электронной подписи на другой компьютер будет невозможен. Потребуется обратиться к спецоператору и перевыпустить электронную подпись заново!

В том случае, если вы не смогли найти файл с контейнером ключа в указанном месте (такое может произойти, например, если вы переносите электронную подпись с Компьютера 2 на Компьютер 3 ), для его поиска следует обратиться к программе-криптопровайдеру. В настройках криптопровайдера должен быть прописан искомый путь к используемому контейнеру ключа (см. ниже). Здесь необходимо учитывать, что в настройках криптопровайдера может быть зарегистрировано несколько контейнеров ключей (например, если вы используете этот же криптопровайдер при работе в других программах). Тогда необходимо будет выбрать нужный контейнер, который можно идентифицировать по наличию в нем сертификата, изданного удостоверяющим центром на имя ответственного лица организации (см. ниже).

Установка криптопровайдера на Компьютере 2

Перед переносом настроек электронной подписи на Компьютере 2 необходимо установить внешнюю компоненту криптографии (она будет установлена автоматически при начале работы с «1С-Отчетностью») и программу-криптопровайдер.

Эти процессы загрузки и установки (для бесплатного криптопровайдера ViPNet CSP) подробно описаны в Руководстве по использованию сервиса «1С:Отчетность» в «1С:Бухгалтерии 8» в информационной системе 1С:ИТС (см. http://its.1c.ru/db/elreps#content:26:1).

Настройка криптопровайдера ViPNet CSP на Компьютере 2

После установки программы-криптопровайдера на Компьютере 2 необходимо осуществить регистрацию ключа электронной подписи и сертификатов, полученных от спецоператора. Рассмотрим соответствующую последовательность действий на примере криптопровайдера ViPNet CSP:

1. Запустите программу ViPNet CSP.

2. На вкладке Контейнеры при помощи кнопки Добавить начните регистрацию ключей электронной подписи.

3. Укажите путь к папке на Компьютере 2 либо на сменном носителе, в которой помещен файл с контейнером ключа.

4. В открывшемся диалоговом окне Инициализация контейнера ключей убедитесь, что в раскрывающемся списке Имя контейнера присутствует только один элемент (тот файл, который скопирован с Компьютера 1 ).

5. Нажмите кнопку ОК .

6. Если программа запросит пароль для доступа к контейнеру ключа (тот, который вы определили при создании контейнера на Компьютере 1 ), то введите его в поле Пароль .

7. В результате выбранный контейнер ключа будет инициализирован и появится в списке контейнеров программы ViPNet CSP.

8. Выберите установленный контейнер и нажмите кнопку Свойства .

Обратите внимание, что при первом переносе контейнера на данный компьютер установка сертификата начнется автоматически, в этом случае шаг ручной установки следует пропустить.

9. Нажмите кнопку Сертификат .

10. В открывшемся окне сертификата нажмите кнопку Установить сертификат .

11. Пользуясь открывшимся Мастером установки сертификатов , установите сертификат в хранилище сертификатов Личные .

12. На странице Готовность к установке сертификата установите флажок Указать контейнер с закрытым ключом и затем, по требованию программы, введите пароль вашего закрытого ключа ЭЦП (который вы указывали при регистрации на Компьютере 1 ).

13. По завершении работы Мастера , закройте программу настройки криптопровайдера.

После завершения этой процедуры криптопровайдер на Компьютере 2 готов к работе.

Автоматическая настройка сдачи отчетности на Компьютере 2

Перед тем, как приступить к отправке отчетности в контролирующие органы с Компьютера 2 на этот компьютер в автоматическом режиме, в процессе обмена данными с сервером спецоператора будут загружены необходимые сертификаты. В процессе их получения необходимо будет подтвердить намерение установить каждый сертификат.

Указанную установку сертификатов можно выполнить на Компьютере 2 и вручную, для чего следует выполнить следующее:

1. Перейдите к редактированию данных организации, для которой вы настраиваете «1С-Отчетность», и откройте вкладку Документооборот .

3. В открывшемся диалоге нажмите кнопку редактирования (с лупой) справа от поля Учетная запись документооборота .

4. Нажмите кнопку Настроить автоматически сейчас (рис. 3). Приложение начнет обмен данными с сервером спецоператора связи, в процессе чего с него будут загружены необходимые сертификаты.

Рис. 3

5. Подтвердите намерение установить каждый из сертификатов в диалоговых окнах, которые будут появляться по мере загрузки.

6. Закройте диалоговые окна и форму организации.

Компьютер 2 готов к сдаче отчетности!

Отправка отчетности при работе в двух программах

Что делать, если нужно отправить отчетность из программы «1С:Зарплата и управление персоналом 8» в ПФР или ИФНС, в то время как остальная отчетность формируется в программе «1С:Бухгалтерия 8» и отправляется непосредственно оттуда?

Так как подключение к сервису «1С-Отчетности» производится в целом для организации, то с точки зрения оплаты - не важно, ведется учет этой организации в одной программе или в двух. Если при этом программы установлены на разные компьютеры, то необходимо выполнить действия, указанные выше. Но независимо от того на одном компьютере или на разных установлены программы системы «1С:Предприятие 8» необходимо оформить дополнительное подключение.

Для этого необходимо отправить заявку с указанием ИНН, КПП, наименования организации, для которой уже есть подключение, названия конфигурации, отличной от уже имеющейся в базе.

Обращаем внимание, что ФНС, ФСС и Росстат в документообороте ориентируются на учетную запись, поэтому их может быть несколько и можно одновременно отправлять разные отчеты, использую различные учетные записи. ПФР же ведет учет по связке регистрационный номер ###-###-###### и сертификат. Поэтому, именно в отношении ПФР необходимо оставить только одну учетную запись.

Подводя итог, порекомендуем при использовании двух программ - оформить учетные записи для документооборота с ФНС, ФСС и Росстатом в «1С:Бухгалтерии 8», и для документооборота с ПФР, ФНС и ФСС в программе «1С:Зарплата и управление персоналом 8».

Изначально написать данную статью меня побудила дискуссия в комментариях к . Как я заметил, вопросы лицензирования разработок с использованием криптографических преобразований достаточно далеки для основной массы разработчиков на 1С. Тем не менее эти вопросы очень важны, или лучше иначе - жизненно важны, если в один прекрасный момент разработчик не желает проснуться нарушителем Федерального закона.

Маленький "disclaimer" - данная статья является сугубо моим мнением и призвана только обратить внимание разработчиков на существующую проблему.

Для начала позвольте описать кто же я такой:

1. Являюсь первичным автором очень известной программы "КриптоАрм" (www.trusted.ru). Разработал эту программу в 2003-2004 годах, один, с нуля и до версии 2.5 включительно. С середины 2004-го года отношения к ней не имею;
2. Являюсь автором статьи "Использование Crypto API" (http://rsdn.ru/article/crypto/usingcryptoapi.xml), которая была написана в 2004-ом году. Очень рекомендую ознакомиться с этой статьей перед ознакомлением со всем следующим материалом ;
3. Являюсь автором статьи "ASN.1 простыми словами" (http://habrahabr.ru/post/150757/);
4. С 2005-го года являюсь активным участником наиболее популярного форума по тему использования криптографии - форума фирмы "Крипто-ПРО" (http://www.cryptopro.ru/forum2/);
5. Начинал профессиональную карьеру как программист 1С. Опыт работы - более 5-ти лет, сертификаты по всем компонентам 1С 7.7 получены в январе-феврале 2000 года;

Итак, перейдём теперь к сути данной статьи. В последнее время очень популярной стала тема использования шифрования и цифровой подписи (ЭЦП). Возможности удобного использования криптографических преобразований встроены и в 1С. Однако достаточно много людей упускают один важный момент - почти все прикладные решения, использующие криптографию, должны быть выполнены исключительно при наличие лицензии ФСБ. Теперь перейдём к юридической базе данного вопроса.

Основным документом, регулирующим деятельность в описываемой сфере, является Федеральный Закон "О лицензировании отдельных видов деятельности". Приведу выдержку из этого закона:

Статья 12. Перечень видов деятельности, на которые требуются лицензии

1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

1) разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

В качестве более развернутой информации о том, что же собственно понимается под этим лицензируемыми видами деятельности следует использовать постановление правительства Российской Федерации "ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО РАЗРАБОТКЕ, ПРОИЗВОДСТВУ, РАСПРОСТРАНЕНИЮ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ". Ниже приведена выдержка из этого положения:

2. К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:

а) средства шифрования - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;

б) средства имитозащиты - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;

в) средства электронной подписи;

г) средства кодирования - средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;

д) средства изготовления ключевых документов - аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств;

е) ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;

ж) аппаратные шифровальные (криптографические) средства - устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;

з) программные шифровальные (криптографические) средства - программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;

и) программно-аппаратные шифровальные (криптографические) средства - устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.

Ну а теперь расскажу о том, что как здесь может быть нарушено простым программистом 1С. Во-первых при создании конфигураций, использующих создание электронной цифровой подписи, напрямую нарушается пункт "в)" упомянутого выше положения. Кроме того при создании конфигураций использующих шифрование нарушается пункт "г)", хотя это и менее очевидно. Остановимся на этом пункте более подробно.

Для начала подставим вместо определения "средства шифрования" полную расшифровку этого понятия из пункта "а)". В итоге получим следующий текст пункта "г)":

средства кодирования - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций

Согласен, очень много букв, так что упростим данной предложение и уберем лишнее для нас:

Средства кодирования - программные средства, реализующие алгоритмы криптографического преобразования информации, в которых часть криптографических преобразований осуществляется с использованием автоматизированных средств, предназначенных для выполнения таких операций.

То есть если программа имеет своим "выходом" зашифрованный файл, то её производство должно осуществляться только при наличие лицензии ФСБ Российской Федерации на разработку шифровальных и криптографических средств.

Теперь обсудим возможные возражения на приведенное мною утверждение:

1. "Ну я же шифрую через 1С, причём здесь лицензия?"

• Увы, но вы делаете "программное средство", которое производит "криптографические преобразования" с использованием "автоматизированных средств, предназначенных для выполнения таких операций". То есть конечно вы используете сторонние компоненты (криптопровайдер), а также стороннее средство создания программных средств (1С), но сути это не меняет - закон требует лицензирования процесса создания "сферической программы в вакууме", которая выполняет "сферические криптографические преобразования в вакууме";

• Опять же увы, но это ошибка. Разработка криптопровайдеров это тоже лицензируемый вид деятельности, но только он проходит по пункту "а)". А вот все программы, которые используют функции криптопровайдера, должны быть лицензированны уже по пункту "г)";

В заключение приведу ссылки на вопросы, связанные с лицензированием и заданные на форуме Крипто-ПРО. В ответах фигурирует пользователь "Юрий Маслов", который является коммерческим директором самой фирмы Крипто-ПРО. Этот человек занимается лицензированием продукции криптографической направленности уже более 13-ти лет и является одним из наиболее авторитетнейших экспертов в этой области:

А теперь маленькая оговорка: в действительности лицензирование требуется только в том случае, если вы продаёте программное средство, то есть осуществляете предпринимательскую деятельность. В случае если вы делаете это программное средство для себя и своего предприятия, то это выходит за рамки ФЗ "О лицензировании отдельных видов деятельности" (в следствие отсутствия деятельности как таковой).

Так что делайте программные средства, прозводящие криптографические преобразования, сколько вашей душе будет угодно, но только пожалуйста осторожнее.

Здравствуй Гиктаймс, сегодня мы поговорим о некоторых, а по сути - одной большой, проблемах сдачи электронной отчетности в системе GNU/Linux.

Вопрос сдачи электронной отчетности из ОС Linux давно обсуждался как на Хабре/Гиктаймс, так и на тематических форумах - Мисте, Убунту, ЛОРе, КриптоПро и форуме техподдержки 1С: ИТС. В двух словах на настоящий момент есть два решения - либо использовать облачную КЭП и сдавать отчетность через обозреватель, либо использовать выделенную/виртуальную машину с установленной ОС Windows (пусть даже пробной версией) для сдачи отчетности. Вариант сдачи отчетности с помощью специализированных утилит предоставляемых органами (ФНС, ПФР, ФСС, Росстат, ФСРАР) возможен только при использовании Wine@Etersoft, что фактически тоже костыль (ибо нам потребуется ДВЕ лицензии на СКЗИ КриптоПро - для Windows и Linux).

Не секрет что для ОС GNU/Linux существует не так уж и много программ, для ведения бухгалтерии: Ананас (который ныне покоится с миром), украинский Дебет+ (у которого модуль поддержки Российского законодательства не обновлялся уже, Ктулу знает сколько) и 1С бухгалтерия. Имеются в виду Нативные приложения. Из всех вышеперечисленных только 1С на момент написания статьи входит в государственный реестр отечественного ПО и содержит механизмы подготовки и сдачи отчетности в электронном виде через спец-операторов электронного документооборота. К слову операторов, поддерживаемых 1С бухгалтерией не много: ЗАО "Калуга-Астрал" (разработчик подсистемы 1С-Отчетность), ООО "Такском", ООО НПФ "Форус" и мифический "Прочий оператор документооборота".
К сожалению сдача отчетности из 1С сопряжена с рядом трудностей, с которыми может столкнуться рядовой (да и опытный) системный администратор. Разумеется мы подробно рассмотрим эти проблемы и способы их решения.

Первая проблема с которой мы сталкиваемся - это СКЗИ. Нет, не их отсутствие, они есть. Для Linux есть несколько сертифицированных СКЗИ (с поддержкой ГОСТ) доступных к установке и используемых в разных подсистемах. На момент написания статьи это следующие СКЗИ, поправьте меня, если я что-то упустил:

CryptoCom
Данная СКЗИ доступна для платформ i686 и amd64, используется в основном в системах интернет-банкинга, в частности системой iBank (используется многими банками, такими как ГазпромБанк, УБРИР, Альфа и д.р.).

Lissi CSP
Одна из существующих СКЗИ предоставляющая помимо непосредственно, СКЗИ, версии обозревателя Mozilla Firefox и почтового клиента Mozilla Thunderbird с поддержкой алгоритмов шифрования и электронной-цифровой подписи семейства ГОСТ. К сожаления поддерживает только платформу i686, с драйвером ruToken совместимость СКЗИ проверить не удалось, хотя производитель её заявляет. Впрочем, расширение для продуктов Mozilla исправно видит сертификаты и позволяет производить подпись, шифрование и двустороннюю аутентификацию HTTPS с использованием алгоритмов ГОСТ. Совместимость с 1С мной не тестировалась.
Тем не менее, продукт весьма достойный, если Вы пользуетесь 32х разрядной версией системы. Стоит помнить, что в этом случае ни одно приложение не сможет выделить больше 3 ГБ памяти на один процесс. Некоторые приложения, такие как СУБД, могут обходиться трюком с shmem и использовать до 64х ГБ памяти за счет выделения одного процесса на каждую сессию, но 1С бухгалтерия не использует такой технологии и сервер на 32х разрядную архитектуру с этим СКЗИ я бы ставить не советовал.

CryptoPro CSP
Фактически единственное на настоящий момент комплексное решение для Linux для работы с электронной подписью и шифрованием. Доступна для платформ i686, amd64, armhf (включая android), PowerPC. Это не говоря уже о том что у них есть версии для Solaris (i686, amd64, sparc), AIX, FreeBSD, OSX и iOS. Как ни странно (сарказм), именно КриптоПро официально рекомендуется многими органами государственной власти для взаимодействия и электронного документооборота. Лицензии на КриптоПро часто идут в составе ключа ЭЦП, и в составе договора комплексного обслуживания для сдачи отчетности. Мой выбор был однозначным в пользу этого СКЗИ. К минусам можно отнести относительную сложность установки на системах отличных от RHEL/SLES и встречающиеся недочеты в сборке пакетов ПО (не разрешенные импортируемые символы и экспортируемые функции с разорванными зависимостями). В большинстве случаев эти недочеты не видны пользователю, т.к. данные функции предназначены для работы различных библиотек в составе КриптоПро и автоматически разрешаются при их первом вызове ядром ОС (в адресном пространстве приложения уже загружены нужные библиотеки). Второй минус - отсутствие почтового клиента, если обозреватель CryptoFox представлен, но от поддержки Thunderbird в КриптоПро отказались. Нужно отдать должное, что с их стороны предпринимались активные попытки внести изменения в рабочую версию NSS с целью поддержки ГОСТ, но воз и ныне там. Если бы изменения были приняты, поддержка ГОСТ появилась бы во всех обозревателях и приложениях использующих NSS, таких как Open/LibreOffice, продуктах Mozilla, Nautilus/Nemo, Thunar, XCA и других программах.

• VipNet
  Ещё одна сертифицированная СКЗИ, поддержка которой изначально присутствует в 1С. Существует в виде бета-версии для архитектур i686 и amd64. К сожалению, кроме самого СКЗИ больше никаких продуктов для Linux у них нет и полноценная работа на порталах и торговых площадках с ней невозможна.

По понятным причинам был выбран СКЗИ КриптоПро, и давайте остановимся на нем подробнее.

Во-первых, для платформы Linux отсутствует знакомое многим приложение КриптоАРМ, для подписи документов. Впрочем для создания прикрепленной и открепленной подписи можно воспользоваться утилитами командной строки. Для создания и проверки открепленной цифровой подписи мной были созданы два сценария - sign и verify, соответственно. Текст сценариев приведен ниже, согласен что они несколько костыльные, но писалось на скорую руку, а на тот момент бета-версия CryptoPro 4.0 ведя себя странно, при прямой передаче путей к подписываемым, и выходным файлам.

sign

#!/bin/sh DIR=`dirname $1` /opt/cprocsp/bin/amd64/cryptcp -signf $2 $3 -cert -der -norev "$1" mv "$1.sgn" "$1.p7s"

verify

#!/bin/sh DIR=`dirname $1` cp "$1.p7s" "$1.sgn" /opt/cprocsp/bin/amd64/cryptcp -vsignf -der -norev "$1" rm "$1.sgn"

Во-вторых, и это очень важно, мы имеем следующую картину. в 1С бухгалтерии штатные настройки работы с СКЗИ КриптоПро приведены для версии 3.6. С версией 3.6 работает старая версия CryptoFox. На этом достоинства заканчиваются и начинается головная боль. Старая версия CryptoFox не отображает ни один современный сайт, даже портал налоговой инспекции куда-то уползает. При попытке установить ~свежую ~ актуальную версию CryptoFox 31, она падает в корку (Segmentation fault) при входе на любой сайт требующий наличия HTTPS с алгоритмом ГОСТ. Иногда падает даже при работе плагина CryptoPro Browser Plugin. Кстати, тоже весьма старой версии, поддерживающей только подпись, но не шифрование и работающий только с NPAPI.

С версией 3.9 ситуация ещё веселее - 1С её уже не видит, но CryptoFox ещё падает, при чем как старый, так и новый.

Версия 4.0, напротив - не видится 1С, но зато с ней заводится CryptoPro Browser Plugin 2.0, работает вход на госплощадки из CryptoFox (о них разговор отдельный, и если разбирать работу из ОС GNU/Linux с ними - материала хватит на ещё одну статью). Проблема - заставить увидеть 1Ску установленный СКЗИ. Проблема в общем то не такая уж и серьёзная, решается буквально за пятнадцать секунд, но на поиск самого решения ушла целая неделя общения с техподдержкой КриптоПро (и отпинывания меня поддержкой 1С на инструкцию в ИТС). В итоге проблема была решена самостоятельно, и решение в конечном итоге опубликовано на форуме КриптоПро. Методология решения проблемы на будущее:

В 1С бухгалтерии имеется возможность добавить произвольный криптопровайдер. Воспользуемся этим механизмом, добавьте нового криптопровайдера, и назовите его, скажем "КриптоПро CSP 4.0".

• Для того чтобы получить имя криптопровайдера и его тип, нам нужно обратиться к утилите КриптоПро. Проще всего получить эти данные, выведя список установленных сертификатов:

• Указываем следующие данные:
  
• Сохраняем криптопровайдер и указываем путь к библиотеке: /opt/cprocsp/lib/amd64/libcapi20.so

Готово, 1С теперь видит установленный криптопровайдер. Казалось бы - всё, можно проступать к добавлению сертификатов и настройке сдачи отчётности, но не тут то было. Маленькая беленькая сибирская лисичка подкралась к нам откуда мы и не ждали - от самих разработчиков 1С. Так исторически сложилось, что подсистему электронного документооборота, 1С-Отчетность, ядро 1С и конфигурации пишут разные люди, и даже разные компании. При создании конфигураций с функцией 1С-Отчетность для 1С 8.3, например "Бухгалтерия предприятия 3.0", разработчики не долго думая перенесли всю подсистему ЭДКО "как есть", без изменений, в результате чего мы получаем парадокс. Сама 1С бухгалтерия видит СКЗИ, видит сертификаты, позволяет их установить, подписать и зашифровать любые документы, но при этом система электронного документооборота (старая версия) в упор не видит ни одного установленного сертификата, и соответственно не может даже получить начальную конфигурацию от оператора документооборота - её попросту нечем расшифровывать. Вернее чем расшифровывать есть, но подсистема ЭДКО использует свой собственный механизм работы с СКЗИ, задействуя внешнюю компоненту (только для Windows) и ничего не знает о существовании встроенных механизмов работы с СКЗИ, которые использует сама 1С в рамках конфигурации.

Тем не менее, подсистема ЭДО (не путать с ЭДКО) с контрагентами видит все актуальные сертификаты и позволяет подключиться к системе электронного документооборота. Но не сдачи отчетности.
Для Linux действует ограничение на прямую работу конфигурации Клиент-ЭДО, с внешней конфигурационной базой, и для этого нужен работающий сервер 1С. Так как базовые версии конфигураций не позволяют использовать клиент-серверный вариант развертывания 1С, интеграция Клиент-ЭДО и бухгалтерии в Linux для таких конфигураций не возможна, будет работать только для полнофункциональных. В большинстве конфигураций можно включить обмен с контрагентами, и он будет работать, несмотря на не работающую 1С-Отчетность.

Если мы откроем конфигуратор и включим режим отладки, мы увидим следующую картину:
Формы 1С-Отчетности используют Общие->ОбщиеМодули->КриптографияЭДКОКлиент, который в свою очередь опирается на работу внешней компоненты Addin.ЭДОNative.CryptS.
Тот же функционал работы с электронной цифровой подписью и шифрованием (без функционала обмена транспортными контейнерами по электронным каналам связи) реализован в Общие->ОбщиеМодули->ЭлектроннаяПодписьКлиент, которая учитывает работу в ОС семейства Linux и корректно загружает как и внешнюю компоненту работы с XMLDSig, так и модуль криптопровайдера. Данная библиотека корректно видит все сертификаты, позволяет осуществлять подпись и шифрование документов, содержит функции для работы как с объектами в памяти так и с файлами на жестком диске. Данная библиотека используется во всех стандартных механизмах работы с ЭЦП внутри 1С, кроме подсистемы 1С-Отчетности (ЭДКО).

То есть для реализации работы подсистемы 1С ЭДКО достаточно переписать либо формы 1С-Отчетности на использование встроенных механизмов, либо перегрузить КриптографияЭДКОКлиент, для использования не внешней компоненты, а переадресовывать вызовы работы с сертификатами, ЭЦП и шифрованием на встроенный клиент работы с СКЗИ.
Общение с техподдержкой 1С дало лишь ответ что они в курсе данной проблемы, но клиентов использующих ОС GNU/Linux слишком мало (потребность не носит массовый характер), но задача у них "записана".

UPD:
Таки удалось завести работу мастера после детального изучения исходников. Пока застрял на расшифровке контейнера от Такском, но сертификаты уже видятся. Работает только на свежей версии КриптоПро 4. Завести как указано ниже. Наименование представления роли не играет, но "внутри" 1С-ЭДКО именно так:

Обязательными при проверке являются поля Имя программы и Тип программы . Имя программы относится к режиму совместимости с версией криптопровайдера 2.0, в бета версии 4.0 наименование отсутствовало.

Основная проблема скрыта тут: Общие->Общие модули->КриптографияЭДКОСлужебныйКлиент.ПолучитьКриптопровайдеры

Для Linux убрать единичку. Или добавить проверку для версии КриптоПро 3.9 и выше:
Общие->Общие модули->КриптографияЭДКОКлиентСервер.ПолучитьКриптопровайдеры.КриптопровайдерCryptoPro
Имя: Crypto-Pro GOST R 34.10-2001 KC1 CSP
для клиента, или
Имя: Crypto-Pro GOST R 34.10-2001 KC2 CSP
для сервера.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите , пожалуйста.

Два слова, что вообще собой представляет ЭЦП. Для подписания и работы с файлами используется два ключа: закрытый и открытый. Закрытый ключ хранится у Вас на токене и используется для подписания или шифрования документов. Открытый ключ должен быть распространен всем пользователям, которые должны работать с подписанным Вами документом. Обычно это происходит автоматически при подписании файла. Далее, есть файл, который нам нужно подписать. С помощью специального ПО из содержания файла и Вашего закрытого ключа создается уникальная символьная последовательность, что-то вроде контрольной суммы. Эта последовательность и есть электронно-цифровая подпись. ЭЦП всегда уникальна для данного пользователя и данного документа. Подпись содержит информацию о дате подписания документа, подписанте, контрольную сумму для подписанного документа и ссылку или сам файл открытого ключа. Подпись может быть добавлена в подписываемый файл или сохранена в виде отдельного файла. Нас, конечно, интересует первый вариант.

Как всегда, решение задачи начал с изучения того, что уже есть. Нашлось несколько модулей криптографии и ЭЦП для 1С. Но они не подошли. Как правило, они умеют подписывать или XML-файлы, или сохранять подпись и открытый ключ в отдельный файл. А нам нужно было получить на выходе подписанный PDF-документ, который можно будет просто и удобно просмотреть с помощью того же Adobe Acrobat Reader.
Вторым решением было поискать, так называемые, PDF-принтеры – программы, которые умеют сохранять любой документ в виде PDF-файла. Самым подходящим решением оказался BullZip PDF Printer (http://www.bullzip.com/products/pdf/download.php), который в платной версии имеет функцию подписания создаваемых документов. Решение, в принципе, подошло, но появились серьезные бюрократические проблемы с покупкой, согласованием и установкой нового софта на территории предприятия. Пока решение проходило согласование, я обратил внимание на комплект программ КРИПТО-ПРО, который, как правило, поставляется и работает вместе с ключом ЭЦП.

Решение первое, полу-ручное

Не буду рассматривать установку драйверов USB-ключей. Они, как правило, поставляются выпускающим удостоверяющим центром вместе с самими токенами и установка проблем не вызывает. Еще с токенами обычно поставляется лицензия на КРИПТО-ПРО и утилита КриптоПро CSP. Я использовал последнюю доступную на данный момент версию 3.9.

Дальше все просто. Запускаем КриптоПро CSP. Закладка Сервис, кнопка Посмотреть сертификаты в контейнере, нажимаем Обзор для выбора токена с криптохранилищем, и выбираем нужно нам хранилице. Обычно на одном токене одно хранилище.

Нажимаем Далее и получаем окошко с информацией по сертификату, к которому привязан ключ. Ждем кнопку Установить и устанавливаем сертификат в хранилище Личное для локального пользователя. Обычно, вместе с утилитой КриптоПро CSP в меню Пуск устанавливается ярлык для оснастки Сертификаты. Запускаем оснастку, убеждаемся, что все правильно сделано и сертификат действительно установился в раздел Личное для текущего пользователя.

Дальше, Кликаем правой кнопкой по установленному сертификату, Все задачи, Экспорт. Обязательно отказываемся экспортировать закрытый ключ и сохраняем сертификат куда-нибудь на локальный компьютер, например, на рабочий стол, в формате файла X.509 (.CER) в кодировке DER. Сохраненный сертификат нам понадобиться дальше для выполнения подписи.

Последнее, что нам осталось, это скачать с сайта www.cryptopro.ru/downloads утилиту КриптоПро PDF, с помощью которой и будем выполнять подпись PDF-файлов.

Работа утилиты крайне проста. Выбираем папку в которой находятся PDF-файлы, выбираем папку в которую будут сохранены файлы с подписью (если это одна и так же папка, в дополнительных настройках нужно установить флажок «Перезаписывать файлы с одинаковыми именами») выбираем из контейнера сертификат, который будем использовать для подписи, вводим пин от ключа и, если все указали правильно, через несколько секунд в папке-приемнике появятся подписанные PDF-файлы. Для того, чтоб ЭЦП признавалась юридически, по закону, должна быть установлена еще метка времени, но мне для задачи это не требовалось.

В принципе, все! Если у Вас небольшая организация и пара десятков контрагентов то можно вообще ничего больше не делать и оставить все в ручном режиме. Кроме того, 1С нам пока вообще не была нужна, документы в формате PDF можно создать многими способами, в том числе и из Microsoft Office.

Долго не мог разобраться, почему подпись не проходит и выдает ошибку. Оказалось, что успешной работы утилиты КриптоПро PDF на компьютере должна быть установлен Adobe Acrobat Pro (не Reader, это важно! ). Именно с его помощью утилита модифицирует PDF-файлы и добавляет и них подпись.

Пример подписанного файла на картинке. Выглядит как обычный PDF, только на закладке Подписи появились данные о подписанте. Из важного, указано кто подписал документы (обычно это ФИО и название организации) и что с момента подписания документ не изменялся. Информацию о том, что сертификат ненадежный можно игнорировать. Это говорит только о том, что компания Adobe и ее продукт Acrobat Reader ничего не знают о Вашем сертификате.

Решение второе, автоматическое

Обработка уже умеет печатать отобранные документы. В последних версиях платформы появился штатный механизм сохранения печатных форм в виде PDF файлов. Осталось совместить эти два механизма и сохранять выбранные пользователем документы в папку на локальном компьютере, а затем запускать командную строку и запускать утилиту КриптоПро PDF для выполнения подписи.

Немного доработали интерфейсную часть. Убрали из обработки работу со справочниками. Оставили в интерфейсе 4 вида документов, которые нужно отправлять. Изменили систему отборов. Создали новый регистр сведений Настройки ЭЦП. В него для каждого пользователя сохраняется информация о том, по какому пути лежит КриптоПро PDF на локальном компьютере, папки для временного хранения файлов, сертификат, которым будет выполнена подпись. Еще просили сохранять пин от ключа, но мы не стали этого делать из соображений безопасности.

Чтоб автоматизация была уж совсем полной, пришлось в 1С оживить модуль электронной почты. Дальше все просто. Раз в месяц оператор выбирает список контрагентов и виды документов, которые должны быть отправлены, проверяет результат отбора, нажимает кнопку Выполнить, вводит пин-код от ключа и ждет… В моем случае формирование пакета документов может длится несколько часов.

Обработка группирует отобранные документы по контрагентам, дальше циклом проходится по каждому контрагенту, выбирает все его документы, сохраняет в виде PDF-файлов на диск, запускает утилиту КриптоПро PDF из командной строки, подписывает сохраненные документы, создает документ Электронное письмо с контактными данными из справочника контрагентов, в качестве вложения прикрепляет подписанные документы из папки на диске, переводит письмо в статус для отправки и переходит к следующему контрагенту. Письма отправляются регламентным заданием раз в 10 минут. Обработку можно оставлять на ночь. Возникшие проблему будут корректно обработаны, а утром пользователь увидит журнал шибок и журнал отправленных писем.

Для удобства приведу кусочек кода, который выполняет саму процедуру подписания. Все параметры берутся из созданного регистра сведений.

МассивВходящих = НайтиФайлы(КаталогВходящие, "*.pdf", Ложь); КоличествоФайловВходящие = МассивВходящих.Количество(); Сообщить("Обнаружено " + КоличествоФайловВходящие + " файлов для подписи."); КоманднаяСтрока = ИмяФайлаКриптоПро + " sign" + " --in-dir=""" + КаталогВходящие + """" + " --out-dir=""" + КаталогИсходящие + """" + " --report-dir=""" + КаталогЛоги + """" + " --err-dir=""" + КаталогОшибки + """" + " --certificate=""" + ИмяФайлаСертификата + """" + " --pin=""" + ПинКод + """" + " --overwrite-files"; ЗапуститьПриложение(КоманднаяСтрока, "", истина); МассивИсходящих = НайтиФайлы(КаталогИсходящие, "*.pdf", Ложь); КоличествоФайловИсходящие = МассивИсходящих.Количество(); Сообщить("Подписано " + КоличествоФайловИсходящие + " файлов.");