Перейти к основному содержимому

Подготовительный этап

Получение квалифицированной электронной подписи

Первым делом получите квалифицированную электронную подпись (КЭП) на приложение, формальным языком — на информационную систему (ИС). КЭП нужна, чтобы ИС могла авторизоваться в ЕСИА, демонстрируя таким образом правомерность запроса информации у ЕСИА.

Для этого обратитесь удостоверяющий центр (УЦ). При обращении заполните, в том числе, следующие поля: название ИС и email ответственного за эксплуатацию ИС.

Получение разрешений со стороны ЕСИА на использование в ИС

После этого получите разрешение на тестовый и продуктивный контур для ИС у ЕСИА. Регламент выполнения этой процедуры вы можете найти здесь.

При получении разрешений задается в том числе:

  • мнемоника системы;
  • название системы;
  • scope — данные, которые в принципе сможет запрашивать ИС у ЕСИА. Рекомендуется указывать как минимум oid и поле, по которому можно будет косвенно распознать пользователя ЕСИА, поддерживаемые методы идентификации:
    • СНИЛС
    • ИНН
    • Email
    • Телефон

В заявке эти scope обозначаются как snils, inn, email и mobile соответственно.

дополнительно

Если указывается email или mobile, то нужно обязательно указать в заявке в графе scope contacts.

совет

Рекомендуем указывать в scope как минимум openid, email, contacts.

Лучше всего указать СНИЛС (потому что он не изменяется со временем) и контакты (email и телефон): openid, snils, email, mobile, contacts.

Установка программного обеспечения

Для работы с КЭП на компьютере, на котором работает сервер «1С:Шины» и приложение (ИС), установите:

КриптоПро CSP нужна для того, чтобы экспортировать сертификат — это понадобится дальше.

КриптоПро JCP нужна для того, чтобы КЭП хранилась так, что «1С:Шина» мог использовать ее из Java для подписывания запросов в ЕСИА.

Инициализация программного обеспечения

Импортируйте КЭП в КриптоПро CSP. Для этого:

  • Скопируйте папку с КЭП (вида bla-bla.x000) в корень на флеш накопитель.
  • Откройте КриптоПро CSP.
  • Выполните импорт хранилища ключей.

Добавьте КЭП в КриптоПро JCP. Для этого:

  • Скопируйте папку с КЭП в:

    • C:\Users\<username>\AppData\Local\Crypto Pro для ОС Windows;
    • /var/opt/cprocsp/keys/<user> для ОС Linux.

  • Хранилище должно появиться в контрольной панели КриптоПро JCP. Открыть панель можно следующей командой:

    <Путь к папке скачивания>\jcp-2.0.40132-A>.\ControlPane.bat <Путь к JDK, например "C:\Program Files\Java\jdk15.0.1">

При дополнительных вопросах может помочь тема на форуме КриптоПро: https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=14143;

Активируйте КриптоПро JCP. Для этого:

  • Откройте контрольную панель КриптоПро JCP.
  • Укажите код лицензии, который вы получили при покупке КриптоПро JCP.
совет

Рекомендуется активировать КриптоПро JCP и запускать сервер «1С:Шины» на одной и той же версии JDK.

совет

В общем случае у пользователя, под которым запускается сервер «1С:Шины», должен быть доступ к каталогу с КЭП. При стандартной установке это пользователь USR1CE.

Путь к каталогу с КЭП сохранен в контрольной панели КриптоПро JCP.

Окно настроек КриптоПро JCP

Чтобы добавить пользователю, под которым запускается сервер «1С:Шины», доступ к каталогу, выполните следующие действия:

  • В контекстном меню на каталоге, который указан в КриптоПро JCP, нажмите БезопасностьИзменитьДобавить.
  • Выберите пользователя, под которым запускается сервер.
  • Установите все флажки Разрешить.

Также есть и другой вариант — можно запускать сервер «1С:Шины» от имени того же пользователя, на которого сохранена КЭП в КриптоПро JCP.

Если обеспечить вызов от одного и того же пользователя сложно или невозможно, то рекомендуется сменить этот путь, а также переместить по новому пути КЭП, дав разрешение на доступ к этой директории для всех пользователей компьютера. В противном случае при обращении «1С:Шины» к КриптоПро JCP будет отдаваться пустой контейнер для электронных подписей.

Экспортируйте сертификат КЭП из КриптоПро CSP и сохраните его на диск. Для этого:

  • Откройте Инструменты КриптоПро.
  • Перейдите в Сертификаты.
  • Выберите сертификат нужной КЭП.
  • Нажмите Экспортировать сертификаты.
  • Выберите тип файла Сертификат X.509 в DER (*.cer).
  • Выберите место сохранения файла.

Настройка технологической консоли

Для того, чтобы ЕСИА могла авторизовать ИС загрузите сертификат КЭП, который вы получили на предыдущем шаге, в технологическую консоль ЕСИА. Это нужно сделать и для тестовой и для продуктивной технологической консоли.

Логин-пароль для технологической консоли доступен после регистрации ИС. Например, для тестовой консоли учетная запись содержится в документе Инструкция к тестовой среде.

В тестовой консоли выполните следующие действия:

  • Откройте список организаций и найти свою ИС по названию или мнемонике.
  • Добавьте сертификат к ИС.
  • Заполните поля, относящиеся к ИС. В том числе заполните список доверенных адресов, с которых возможна подача запросов в ЕСИА.

Если, например, используется локальный компьютер для тестов, то доверенный адрес можно узнать так:

  • Запустите cmd.exe.
  • Выполните команду ipconfig.
  • Из выпавшего списка выберите используемый адаптер (обычно первый).
  • Скопируйте IPv4-адрес.
  • Вставьте его в доверенные адреса технологической консоли.
Последнее обновление