Настройка использования усовершенствованной квалифицированной подписи#

Документы можно подписывать в Системе усовершенствованной квалифицированной подписью.

Формат усовершенствованной подписи предусматривает включение в электронную подпись доказательства момента создания подписи (TSP) и доказательства действительности сертификата в момент создания подписи (OCSP). После подписания документа в процессе его согласования в браузере с помощью личного сертификата формируется подпись формата CAdES BES. Далее она передается на сервер приложения и усовершенствуется до формата CAdES X Long Type 1.

Важно

  • Для использования усовершенствованной квалифицированной подписи необходимо дополнительное ПО:

    • Крипто Про Java CSP

    • TSP Client v2.0

    • OCSP Client v2.0

  • Установка TSP Client v2.0 и OCSP Client v2.0 выполняется c помощью пакета cprocsp-pki-2.0.0-amd64-cades, который входит в состав Крипто Про ЭЦП SDK (v2.0.13771).

Для использования усовершенствованной квалифицированной подписи необходимо:

  1. Убедиться в доступности адресов TSA и OCSP (указывается в личном сертификате).

Примеры команд для проверки доступа:

wget http://tsp.2021.ru/tsp/tsp.srf
wget http://ocsp.2021.ru/ocsp2/ocsp.srf

  1. Скопировать в jre/lib/ext библиотеки bcpkix-jdk15on-1.50.jar, bcprov-jdk15on-1.50.jar и папки dependencies установочного пакета Java CSP.

  2. Указать адрес TSA для протокола TSP в файле конфигурации службы подписи. Необходимо создать файл конфигурации в каталоге ${installDirArg}/Signature с наименованием: application.properties, пример заполнения адреса TSA:

signing.tsaAddress=http://testca2012.cryptopro.ru/tsp/tsp.srf

  1. Добавить в хранилище доверенных сертификатов jre всю цепочку родительских сертификатов для: личного сертификата, сертификатов TSP, OCSP.

Все сертификаты добавляются этой командой:

keytool -import -trustcacerts -keystore "/bin/java/jre/lib/security/cacerts" -storepass changeit -alias Root -import -file cert.cer

Alias у сертификатов должен быть произвольным. А путь в параметре keystore и путь до java, с которой работает сервис подписи, должны совпадать.

Если указанные выше инструкции выполнялись после установки Системы, то необходимо перезапустить службу подписи: systemctl restart Grad.Signature.Service.service. Перезапуск необходим так же после выполнения команд указанных в 4 пункте.

В случае если подпись является усовершенствованной, в окне «Перечень подписей» отображается значок, указывающий на такой формат подписи. В поле «Подписано» отображается дата подписи, которая берется из штампа времени, в случае если подпись является усовершенствованной: дата из штампа времени подписи в UTC + часовой пояс сервера.