Как настроить работу с КЭП на токенах?#
Общие сведения#
Для того чтобы установленная СЭД Лексема поддерживала подписание документов пользователем при помощи квалифицированной электронной подписи (КЭП), необходимо:
- Установить драйверы Рутокен, КриптоПро.net и КриптоПро CSP на сервере приложения;
- Установить драйверы Рутокен и CSPServer на рабочем месте пользователя;
- Привязать КЭП к пользователю Lexema-ECM при помощи документа Заявка на выпуск сертификата ЭЦП;
- Выбрать сертификат в качестве действующего на вкладке "Сертификаты" панели "Документооборот".
Более подробно про виды подписей можно прочесть в разделе Виды электронных подписей.
Шаг 1. Установка дополнительного ПО на сервере приложения#
На сервер, на котором развернуто приложение Lexema-ECM, необходимо установить КриптоПро.net и КриптоПро CSP. Программное обеспечение можно скачать по ссылке https://install.kontur.ru/kekep.
На сайте могут потребовать установить расширения. После их установки достаточно следовать инструкциям на сайте.
Для работы с Рутокеном необходимо установить драйвера с официального сайта https://www.rutoken.ru/support/download/windows. При использовании групповых политик можно установить драйверы из раздела "Системным администраторам". В противном случае потребуется самостоятельная установка драйверов пользователями из раздела "Пользователям Windows".
Шаг 2. Установка дополнительного ПО на рабочем месте пользователя, который будет подписывать документы КЭП#
Для настройки КЭП на рабочем месте пользователя нужно установить драйверы Рутокен и приложение CSPServer.
В конфигурационном файле (файл с расширением .config) в секции AvailableDomains должны быть прописаны адреса:
- адрес приложения (например,
https://demo-ecm.lexema.ru) http://localhost:9421
Пример файла конфигурации:
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<configSections>
<sectionGroup name="userSettings" type="System.Configuration.UserSettingsGroup, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" >
<section name="CSPServer.Properties.Settings" type="System.Configuration.ClientSettingsSection, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" allowExeDefinition="MachineToLocalUser" requirePermission="false" />
</sectionGroup>
</configSections>
<startup>
<supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.5" />
</startup>
<userSettings>
<CSPServer.Properties.Settings>
<setting name="AvailableDomains" serializeAs="Xml">
<value>
<ArrayOfString xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema">
<string>http://localhost:9421</string>
<string>https://demo-ecm.lexema.ru</string>
</ArrayOfString>
</value>
</setting>
</CSPServer.Properties.Settings>
</userSettings>
</configuration>
Шаг 3. Привязка КЭП к пользователю Lexema-ECM#
В приложении Lexema-ECM необходимо привязать сертификат КЭП к пользователю системы. Для этого необходимо создать новый документ «Заявка на выпуск сертификата». Доступ к реестру документов «Заявка на выпуск сертификата» есть у пользователей с ролью ECM_DigitalSignature.
Сначала необходимо запустить CSPServer (запустить файл CSPServer.exe) на рабочем месте пользователя-создателя заявки, подключить токен с КЭП пользователя, для которого создаётся заявка, и нажать на кнопку «Привязать УКЭП на токене». Из появившегося списка необходимо выбрать сертификат КЭП, который будет привязан к пользователю.
После выбора сертификата поле "Отпечаток" автоматически заполняется цифровым отпечатком ключа (сертификат ключа КЭП).
Далее необходимо поставить признак «Квалифицированный» и выбрать пользователя, который будет подписывать документы этим КЭП. При выборе пользователя информация о нём заполнит ещё несколько полей. Тип ЭП необходимо выбрать "УКЭП".
В итоге должны быть заполнены как минимум поля "Отпечаток", "Квалифицированный" и "Пользователь". После этого необходимо нажать на кнопку "Выпустить сертификат". После сохранения документа пользователь может воспользоваться КЭП на токене, следуя инструкциям из Шага 4.
Для импортированных сертификатов CSPServer.exe должен быть установлен на тот же диск, на который импортирован сертификат, обычно это диск D:.
Warning
В связи с особенностями некоторых операционных систем, сертификат КЭП автоматически может не быть добавлен в личное хранилище сертификатов. В случае, если при добавлении КЭП на токенах список сертификатов пустой, решение описано в соответствующем разделе.
Шаг 4. Как происходит подписание документа КЭП на токене в Lexema-ECM#
На рабочем месте пользователя, который подписывает КЭП, должен быть запущен CSPServer и вставлен токен, а пользователь должен выбрать активный сертификат для подписания на панели "Документооборот", вкладке "Сертификаты".
В самом приложении Lexema-ECM в случае, если действие с документом не требует подписание КЭП, то подписание документа происходит стандартным образом и выбор сертификата КЭП в качестве действующего не обязателен. Более подробно про подписание можно прочесть в разделе Подписание квалифицированным/неквалифицированным сертификатом
Однако если в действии указано подписание КЭП, то использование сертификата КЭП обязательно, при помощи облачного сертификата (УНЭП) подписать не получится. Как и для остальных действий, его необходимо внести в документ "Настройка документа", а затем – в "Шаблоны маршрутов"
Холдинг#
Note
Для каждой компании в холдинге необходимо приобрести свою серверную лицензию КриптоПро.
Одну лицензию можно установить на одном компьютере. При этом лицензией может пользоваться ее конечный пользователь – организация/ИП/физ.лицо, которая лицензию приобрела. Для работы в интересах другой компании/ИП/физ.лица необходимо приобрести отдельную лицензию, в которой конечным пользователем этой лицензии будет та организация/ИП/физ.лицо, которая эту лицензию и приобрела.