Подготовительный этап

Получение квалифицированной электронной подписи

Первым делом получите квалифицированную электронную подпись (КЭП) на приложение, формальным языком — на информационную систему (ИС). КЭП нужна, чтобы ИС могла авторизоваться в ЕСИА, демонстрируя таким образом правомерность запроса информации у ЕСИА.

Для этого обратитесь удостоверяющий центр (УЦ). При обращении заполните, в том числе, следующие поля: название ИС и email ответственного за эксплуатацию ИС.

Получение разрешений со стороны ЕСИА на использование в ИС

После этого получите разрешение на тестовый и продуктивный контур для ИС у ЕСИА. Регламент выполнения этой процедуры вы можете найти здесь: Вход на сайт через Госуслуги (ЕСИА).

При получении разрешений задается в том числе:

  • Мнемоника системы;
  • Название системы;
  • Scope — данные, которые в принципе сможет запрашивать ИС у ЕСИА. Рекомендуется указывать как минимум oid и поле, по которому можно будет косвенно распознать пользователя ЕСИА, поддерживаемые методы идентификации:
    • СНИЛС
    • ИНН
    • Email
    • Телефон
В заявке эти scope обозначаются как snils, inn, email и mobile соответственно.
Важно: Если указывается email или mobile, то нужно обязательно указать в заявке в графе scope contacts.
Совет: Рекомендуем указывать в scope как минимум: openid, email, contacts.
Лучше всего указать СНИЛС (потому что он не изменяется со временем) и контакты (email и телефон): openid, snils, email, mobile, contacts.

Установка программного обеспечения

Для работы с КЭП на компьютере, на котором работает сервер «1С:Шины» и приложение (ИС), установите:КриптоПро CSP нужна для того, чтобы экспортировать сертификат — это понадобится дальше.

КриптоПро JCP нужна для того, чтобы КЭП хранилась так, что «1С:Шина» мог использовать ее из Java для подписывания запросов в ЕСИА.

Инициализация программного обеспечения

Импортируйте КЭП в КриптоПро CSP. Для этого:
  • Скопируйте папку с КЭП (вида bla-bla.x000) в корень на флеш накопитель;
  • Откройте КриптоПро CSP;
  • Выполните импорт хранилища ключей.
Добавьте КЭП в КриптоПро JCP. Для этого:
  • Скопируйте папку с КЭП в:
    • C:\Users\<username>\AppData\Local\Crypto Pro для ОС Windows;
    • /var/opt/cprocsp/keys/<user> для ОС Linux.
  • Хранилище должно появиться в контрольной панели КриптоПро JCP. Открыть панель можно следующей командой:
    <Путь к папке скачивания>\jcp-2.0.40132-A>.\ControlPane.bat <Путь к JDK, например "C:\Program Files\Java\jdk15.0.1">
При дополнительных вопросах может помочь тема на форуме КриптоПро: https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=14143;
Активируйте КриптоПро JCP. Для этого:
  • Откройте контрольную панель КриптоПро JCP;
  • Укажите код лицензии, который вы получили при покупке КриптоПро JCP.
Возможная проблема: Рекомендуется активировать КриптоПро JCP и запускать сервер «1С:Шины» на одной и той же версии JDK.
Возможная проблема: В общем случае у пользователя, под которым запускается сервер «1С:Шины», должен быть доступ к каталогу с КЭП. При стандартной установке это пользователь USR1CE.
Путь к каталогу с КЭП сохранен в контрольной панели КриптоПро JCP.
Чтобы добавить пользователю, под которым запускается сервер «1С:Шины», доступ к каталогу, выполните следующие действия:
  • В контекстном меню на каталоге, который указан в КриптоПро JCP, нажмите Безопасность > Изменить > Добавить;
  • Выберите пользователя, под которым запускается сервер;
  • Установите все флажки Разрешить;
Также есть и другой вариант — можно запускать сервер «1С:Шины» от имени того же пользователя, на которого сохранена КЭП в КриптоПро JCP.
Если обеспечить вызов от одного и того же пользователя сложно или невозможно, то рекомендуется сменить этот путь, а также переместить по новому пути КЭП, дав разрешение на доступ к этой директории для всех пользователей компьютера. В противном случае при обращении «1С:Шины» к КриптоПро JCP будет отдаваться пустой контейнер для электронных подписей.
Экспортируйте сертификат КЭП из КриптоПро CSP и сохраните его на диск. Для этого:
  • Откройте Инструменты КриптоПро;
  • Перейдите в Сертификаты;
  • Выберите сертификат нужной КЭП;
  • Нажмите Экспортировать сертификаты;
  • Выберите тип файла Сертификат X.509 в DER (*.cer);
  • Выберите место сохранения файла.

Настройка технологической консоли

Для того, чтобы ЕСИА могла авторизовать ИС загрузите сертификат КЭП, который вы получили на предыдущем шаге, в технологическую консоль ЕСИА. Это нужно сделать и для тестовой и для продуктивной технологической консоли.

Логин-пароль для технологической консоли доступен после регистрации ИС. Например, для тестовой консоли учетная запись содержится в документе Инструкция к тестовой среде.

В тестовой консоли выполните следующие действия:

  • Откройте список организаций и найти свою ИС по названию или мнемонике;
  • Добавьте сертификат к ИС;
  • Заполните поля, относящиеся к ИС. В том числе заполните список доверенных адресов, с которых возможна подача запросов в ЕСИА.

Если, например, используется локальный компьютер для тестов, то доверенный адрес можно узнать так:

  • Запустите cmd.exe;
  • Выполните команду ipconfig;
  • Из выпавшего списка выберите используемый адаптер (обычно первый);
  • Скопируйте IPv4 адрес;
  • Вставьте его в доверенные адреса технологической консоли.