Настройка использования усовершенствованной квалифицированной подписи#
Документы можно подписывать в Системе усовершенствованной квалифицированной подписью.
Формат усовершенствованной подписи предусматривает включение в электронную подпись доказательства момента создания подписи (TSP) и доказательства действительности сертификата в момент создания подписи (OCSP). После подписания документа в процессе его согласования в браузере с помощью личного сертификата формируется подпись формата CAdES BES. Далее она передается на сервер приложения и усовершенствуется до формата CAdES X Long Type 1.
Важно
Для использования усовершенствованной квалифицированной подписи необходимо дополнительное ПО:
Крипто Про Java CSP
TSP Client v2.0
OCSP Client v2.0
Установка TSP Client v2.0 и OCSP Client v2.0 выполняется c помощью пакета cprocsp-pki-2.0.0-amd64-cades, который входит в состав Крипто Про ЭЦП SDK (v2.0.13771).
Для использования усовершенствованной квалифицированной подписи необходимо:
Убедиться в доступности адресов TSA и OCSP (указывается в личном сертификате).
Примеры команд для проверки доступа:
wget http://tsp.2021.ru/tsp/tsp.srf
wget http://ocsp.2021.ru/ocsp2/ocsp.srf
Скопировать в jre/lib/ext библиотеки bcpkix-jdk15on-1.50.jar, bcprov-jdk15on-1.50.jar и папки dependencies установочного пакета Java CSP.
Указать адрес TSA для протокола TSP в файле конфигурации службы подписи. Необходимо создать файл конфигурации в каталоге ${installDirArg}/Signature с наименованием: application.properties, пример заполнения адреса TSA:
signing.tsaAddress=http://testca2012.cryptopro.ru/tsp/tsp.srf
Добавить в хранилище доверенных сертификатов jre всю цепочку родительских сертификатов для: личного сертификата, сертификатов TSP, OCSP.
Все сертификаты добавляются этой командой:
keytool -import -trustcacerts -keystore "/bin/java/jre/lib/security/cacerts" -storepass changeit -alias Root -import -file cert.cer
Alias у сертификатов должен быть произвольным. А путь в параметре keystore
и путь до java, с которой работает сервис подписи, должны совпадать.
Если указанные выше инструкции выполнялись после установки Системы, то необходимо перезапустить службу подписи: systemctl restart Grad.Signature.Service.service. Перезапуск необходим так же после выполнения команд указанных в 4 пункте.
В случае если подпись является усовершенствованной, в окне «Перечень подписей» отображается значок, указывающий на такой формат подписи. В поле «Подписано» отображается дата подписи, которая берется из штампа времени, в случае если подпись является усовершенствованной: дата из штампа времени подписи в UTC + часовой пояс сервера.