Как внедрить шифрование в 1с предприятие

Записки IT специалиста

Защищаем веб-публикацию 1С:Предприятие при помощи SSL и аутентификации по паролю

Автор: Уваров А.С.
23.09.2022

Публикация информационных баз 1С:Предприятие при помощи веб-сервера — один из популярных сценариев удаленного доступа, удобный тем. что можно работать из любого места и даже без установленного клиента 1С, через браузер. Но при этом остро встает вопрос обеспечения безопасности такого соединения. Для этих целей мы будем использовать SSL-шифрование с бесплатным сертификатом от Let’s Encrypt, а для дополнительной защиты подключим аутентификацию средствами веб-сервера.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

В рамках данной статьи мы будем считать, что у вас уже установлен и настроен веб-сервер Apache и на нем выполнена публикация необходимых вам информационных баз. Также будем предполагать, что никаких иных веб-ресурсов данный сервер не обслуживает.

Если же вы только начинаете заниматься этим вопросом, то правильно настроить веб-сервер и опубликовать базы вам поможет наша статья:

Также, для получения бесплатного сертификата вам понадобится доменное имя, получить сертификат на IP-адрес или несуществующий домен нельзя.

Получение бесплатного сертификата Let’s Encrypt

На сегодняшний день получение бесплатного сертификата Let’s Encrypt является наиболее оптимальным способом для защиты ваших веб-служб. Некоторых пугает кажущаяся сложность данной операции и необходимость продления сертификата каждые 90 дней, но ничего страшного в этом нет. все прекрасно автоматизировано и работает по принципу один раз настроил и забыл.

Прежде всего установим службу для управления сертификатами:

Затем создадим некоторую инфраструктуру для ее работы:

Затем создадим файл конфигурации для веб-сервера Apache:

И поместим в него следующий текст:

Затем подключим созданную конфигурацию к Apache:

Проверим конфигурацию веб-сервера на ошибки и перезапустим его:

Теперь попробуем пробное получение сертификата:

где 1с.example.com — используемый нами домен, ключ —dry-run обозначает пробную попытку, без реального получения сертификата. Если все прошло без ошибок получим сертификат по-настоящему:

Если ваш сервер находится внутри периметра, то для нормальной работы certbot вы должны пробросить наружу как 443 порт (HTTPS), так и 80 порт (HTTP).

При установке certbot задания на автоматический запуск продления будут созданы автоматически, ничего делать не нужно. Но потребуется настроить перезапуск веб-сервера после обновления сертификата, для этого откройте конфигурационный файл /etc/letsencrypt/renewal/1с.example.com.conf и добавьте в секцию [renewalparams] строку:

Это обеспечит перезапуск Apaсhe после обновления сертификата, если обновления не было, то перезапускаться служба не будет.

Настройка SSL-шифрования на веб-сервере Apache

Сертификат получен, самое время перейти к настройке веб-сервера. Современные реалии диктуют единственный вариант работы: только HTTPS, все запросы по незащищенному протоколу HTTP должны автоматически перенаправляться на HTTPS-версию. При этом не следует делать недоступным HTTP-порт, во-первых, он нужен для работы certbot, во-вторых, это создаст неудобство пользователям, так как просто набрав в адресной строке 1с.example.com они никуда не попадут, пока явно не укажут протокол: https://1с.example.com.

Так как наш веб-сервер, по условиям, обслуживает только публикации 1С, то мы не будем создавать новые виртуальные хосты, а отредактируем те, что по умолчанию. Откроем файл /etc/apache2/sites-available/000-default.conf и приведем его к следующему виду:

Конфигурация стандартная и особо в комментариях не нуждается, за исключением первых трех строк, которые осуществляют перенаправление на HTTPS всех HTTP запросов, кроме Let’s Encrypt.

Теперь откроем /etc/apache2/sites-available/default-ssl.conf — файл с настройками виртуального хоста с SSL-защитой и внесем в него следующие строки:

Конфигурация, в целом, тоже стандартная. Набор SSL-опций включает шифрование и указывает пути к сертификатам. Последние две строки разрешают протокол HTTP/2, если поддерживается клиентом и включают HSTS, специальный заголовок, который предписывает клиенту, если он уже один раз успешно соединился с сайтом по HTTPS отвергать подключения по HTTP в течении указанного в параметре max-age времени. На время отладки эту опцию рекомендуется закомментировать.

Теперь откроем главный файл конфигурации Apache /etc/apache2/apache2.conf и добавим туда глобальные опции, отвечающие за шифрование:

Так как правильное их формирование вопрос сложный, то рекомендуем воспользоваться специальным генератором moz://a SSL Configuration Generator. В нашем случае взяты настройки среднего уровня (Intermediate) обеспечивающие необходимый баланс между безопасностью и совместимостью. Рекомендуем время от времени посещать указанный сайт и обновлять настройки шифрования собственного сервера.

Подключим необходимые модули Apache и виртуальный хост для работы с SSL:

Проверяем конфигурацию и перезапускаем веб-сервер:

Если все сделано правильно, то при обращении к веб-публикации 1С она будет открываться только через защищенное соединение.

Включаем дополнительную аутентификацию по паролю

У нас нет основания сомневаться во встроенном механизме аутентификации 1С:Предприятия, во всяком случае в онлайн-сервисах дополнительной аутентификации не предусмотрено, но есть слабое место — пользователи. Во многих базах могут использоваться простые пароли или не использоваться вообще, часть таких паролей могут использоваться скриптами и средствами автоматизации, поэтому взять и установить сразу всем сложные пароли будет не так-то просто.

Ситуация усугубляется, если администрирование 1С выполняют другие сотрудники, они вполне могут, пойдя на поводу пользователей снова установить им слабые пароли, что сильно снижает безопасность собственного механизма аутентификации. Поэтому мы пойдем другим путем и установим дополнительную аутентификацию на уровне веб-сервера, тут уже точно без нас никто пароль не изменит. Основная его цель — оградить собственный механизм аутентификации 1С от доступа всех желающих, которым достаточно будет просто узнать ссылку.

Следует отметить, что 1С:Предприятите поддерживает только Basic-аутентификацию, которая считается небезопасной, так как передает учетные данные в открытом виде, однако в нашем случае это не имеет значения, так как канал защищен SSL-шифрованием.

Прежде всего создадим файл паролей. Можно использовать один пароль для всех публикаций, либо разные, а также комбинировать этот подход. Например, установим пароль для пользователя user1c:

Ключ -с создает файл в случае его отсутствия и перезапишет его, если файл существует. Для создания последующих пользователей используйте команду:

Затем в директории публикации базы, например, /var/www/infobase создадим файл .htaccess:

И добавим в него следующие строки:

Первая строка включает Basic-аутентификацию, вторая задает наименование области безопасности, можете вписать туда все что угодно. Затем указывается путь к файлу паролей и политика аутентификации, valid-user обозначает что доступ получит любой аутентифицированный пользователь. Если нужно указать конкретные учетные записи, то последнюю строку нужно изменить следующим образом:

Сохраняем файл, перезапуск веб-сервера не требуется, настройка начнет действовать сразу для всех новых подключений. Теперь, при попытке доступа к публикации вы увидите следующий запрос:

И только после того, как вы пройдете аутентификацию средствами веб-сервера вам будет предложено войти под своим именем в программу 1С:Предприятие:

Если вы используете для доступа к опубликованным на веб-сервере базам тонкий клиент, то увидите дополнительное окно аутентификации на веб-сервере, настроить запоминание пароля здесь нельзя и это может быть неудобно пользователям.

Чтобы автоматизировать вход и избежать лишних запросов учетных данных можно указать в свойствах информационной базы дополнительные параметры запуска:

Где ключ /WSN определяет пользователя веб-сервера, а ключ /WSP — пароль.

Если публикаций несколько, то файл .htaccess следует создать в директории публикации каждой информационной базы, при этом вы можете комбинировать политики доступа, куда-то разрешать доступ всем пользователям, а куда-то только некоторым. При необходимости настройки можно изменять налету, перезапуск веб-сервера не требуется.

Дополнительные материалы:

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

Руководство для параноика: защищаем базу 1С на VDS

Когда думаешь о том, что данные твоей фирмы будут «лежать» далеко, на третьей стороне, да еще и, возможно, у этой стороны к ним будет доступ, начинается признак паранойи. С другой стороны, понимаешь, что у этой третьей стороны созданы все условия для надежного и безопасного хранения этих данных: резервирование питание и каналов связи, системы пожаротушения, охрана, кондиционирование Построить уровня III может себе позволить далеко не каждая организация. К счастью, компромисс существует и сегодня мы поговорим о нем. Для обеспечения безопасности хранимых на виртуальном сервере данных нужно выполнить всего два простых шага.

Шаг 1: изменяем пароль CloudAdmin

Платформа Xelent сообщает клиенту пароль административного пользователя CloudAdmin в панели управления сервером — сделано это для удобства.

Пароль пользователя

Рис. 1. Пароль пользователя. Любителям подключаться к чужим серверам: данный VDS удален сразу после написания этой статьи!

Но настоящий параноик не будет спокойно спать, если есть в незашифрованном виде пароль от его сервера. Поэтому первым делом, что нужно сделать — это изменить пароль администратора (CloudAdmin) на виртуальном сервере. Процедура изменения пароля такая же, как и на локальной машине — через панель управления (рис. 2).

Изменить пароль

Рис. 2. Воспользуйтесь ссылкой Изменить пароль для смены пароля учетной записи

После изменения пароля закройте окно RDP, смените пароль в настройках удаленного подключения и снова подключитесь к серверу.

Шаг 2: используем прозрачное шифрование для защиты базы 1С

Для защиты личных данных можно использовать контейнеры — виртуальные зашифрованные диски. Такие контейнеры можно создать программами вроде VeraCrypt (форк популярного TrueCrypt). Но на сервере использовать контейнеры не очень удобно, поскольку виртуальный диск нужно смонтировать, прежде чем можно будет получить доступ к информации на нем.

А если виртуальный сервер с 1С выключают на ночь для экономии средств, то это означает, что админ должен утром успеть подмонтировать контейнер — до того момента, как пользователи начнут обращаться к базе.

Выход есть — прозрачное шифрование. При этом файлы зашифровываются и расшифровываются «на лету» — в процессе работы с ними. Файлы остаются зашифрованными, а пользователи и программы работают с ними, как с обычными файлами. Например, если зашифровать папку 1c_base, то 1С даже не поймет, что база зашифрована. Зато данные на диске виртуальной машины будут зашифрованы. Войти сотрудники провайдера тоже не смогут, ведь пароль вы сменили.

В Windows традиционно для организации прозрачного шифрования используется шифрованная файловая система — EFS (Encrypting File System).

EFS предназначена, чтобы один пользователь не мог получить доступ к файлам (зашифрованным) другого пользователя. Зачем нужно было создавать EFS, если NTFS поддерживает разграничение прав доступа? Хотя NTFS и является довольно безопасной файловой системой, но со временем появились различные утилиты, игнорирующие права доступа NTFS. Появилась необходимость в дополнительной защите. Такой защитой должна была стать EFS. Мы же будем ее использовать для защиты данных от якобы нечестных сотрудников облачного провайдера.

EFS удобна тем, что входит в состав Windows и для шифрования файлов вам не нужно дополнительное программное обеспечение — все необходимое уже есть в Windows.

Чтобы зашифровать файлы не нужно совершать предварительные действия, поскольку при первом шифровании файла для пользователя автоматически создается сертификат шифрования и закрытый ключ.

Включить шифрование очень просто: откройте свойства папки, в которой находится база 1С, на вкладке Общие нажмите кнопку Другие и включите атрибут Шифровать содержимое для защиты данных (рис. 3).

Включение шифрования EFS

Рис. 3. Включение шифрования EFS

Конечно, у нашего решения есть недостатки. Первый — это то, что пользователи должны работать под одной учетной записью — под той, которую вы использовали для шифрования каталога с базой 1С. Второй — теоретически есть возможность расшифровки файлов программами вроде Advanced EFS Data Recovery, но на практике оказалось, что результаты работы этой программы не такие уж и хорошие — достаточно установить сложный пароль, чтобы программа не справилась со своей задачей.

Приведенное решение — не панацея, но оно позволяет существенно обезопасить хранимые на виртуальном сервере данные.

Подсистема шифрования данных + пример реализации: решение Keystore для хранения паролей

Вашему вниманию предлагается подсистема шифрования данных в 1С.

В поставляемой конфигурации реализован механизм симметричного шифрования, описанный в статье //v8book.ru/public/363830/

Подсистема может использоваться как для интеграции в другие конфигурации, так и в качестве самостоятельного решения для хранения паролей (реализовано как пример использования инструмента, которым сам стал пользоваться).

В поставку входит конфигурация, содержащая в себе:

Функциональность шифрования данных и ограничения доступа к системе (см. далее);
Функциональность для хранения паролей доступа (см. далее);
Библиотеку универсальных функций и процедур (//v8book.ru/public/319157/);
Универсальный механизм обработки событий записи объектов (//v8book.ru/public/321709/);
Библиотеку универсальной обработки асинхронных вызовов (//v8book.ru/public/363216/)

Описание подсистемы

I. Ключ шифрования

В конфигурации предусмотрена константа «Контейнер ключа шифрования» с типом Хранилище значения. Если при входе в систему хранилище является пустым, то шифрование считается выключенным. В этом случае конфигурация ведет себя как стандартное решение для хранения информации, тогда ключ шифрования не запрашивается.

С помощью обработки «Изменение ключа шифрования» можно установить значение ключа шифрования, который будет применяться для шифрования информации и ограничения доступа в систему (при изменении ключа производятся последовательно дешифровка информации по старому ключу и зашифровка информации по новому ключу). Также введенным ключом шифруется строка пустого УИД, помещаемая в зашифрованном виде в константу «Контейнер ключа шифрования».

После включения шифрования посредством установки ключа при входе в систему помимо стандартной авторизации, необходимо указать ключ шифрования (один на информационную базу). Если с помощью введенного ключа не удастся расшифровать контейнер, сеанс завершится. если ключ указан правильно, его значение помещается в параметр сеанса и используется для шифрования и расшифровки конфиденциальной информации.

Ключ шифрования не хранится ни в информационной базе, ни в конфигурации, поэтому извлечь из информационной базы зашифрованную информацию без подбора ключа практически невозможно.

II. Организация новых объектов шифрования в подсистеме

Для организации шифрования произвольной информации необходимо сделать следующее:

Определиться с составом объектов ссылочного типа, информация в которых подлежит шифрованию (в приводимом решении используется два справочника «Ресурсы» и «Стандарты доступа»). Выбранные объекты указать в качестве составных типов для определяемого типа «Объект шифрования».
В модуль объекта каждого из объектов шифрования добавить следующие экспортные процедуры и функции (без параметров):
- Функция ПроверитьЗаполнениеШифруемыхРеквизитов (возвращает Истина, если реквизиты объекта заполнены информацией, подлежащей шифрованию, в противном случае Ложь);
- Функция ПодготовитьИнформациюДляШифрования (возвращает строку, подлежащую шифрованию; если нужно зашифровать табличную часть или множество других реквизитов, всю информацию можно поместить в произвольную универсальную коллекцию и воспользоваться функцией ЗначениеВСтрокуВнутр);
- Процедура ОчиститьШифруемыеРеквизиты (удаляет из объекта информацию, подлежащую шифрованию);
- Процедура ВосстановитьЗашифрованныеРеквизиты (расшифровывает и восстанавливает в объекте ранее зашифрованную информацию);
Добавить в подписки на события «Перед записью объекта шифрования» и «При записи объекта шифрования» объекты шифрования в качестве источника.
Настроить демонстрацию пользователю зашифрованной информации в формах объектов шифрования

III. Механизм шифрования

Механизм шифрования, как уже было написано выше, работает, если установлен ключ шифрования. Механизм шифрования информации в подсистеме представляет собой следующую последовательность действий:

Перед записью объекта шифрования, если в дополнительных свойствах объекта не установлен флаг «Не шифровать», проверяется наличие информации для зашифровки (Функция ПроверитьЗаполнениеШифруемыхРеквизитов ).
Если шифруемые реквизиты заполнены, производится формирование строки, которая будет зашифрована (Функция ПодготовитьИнформациюДляШифрования )
Информация для шифрования помещается в дополнительные свойства объекта, а реквизиты шифрования очищаются (Процедура ОчиститьШифруемыеРеквизиты ), т.о. шифруемая информация в объекте больше не хранится.
При записи, если не произошел какой-либо отказ, вышеописанные изменения фиксируются, информация шифруется с помощью ключа шифрования симметричным алгоритмом (см. подробно //v8book.ru/public/363830/) и помещается в Хранилище значения, которое записывается в регистр сведений «Данные шифрования».
При проведении дешифровки (Процедура ВосстановитьЗашифрованныеРеквизиты ) значения реквизитов шифрования восстанавливаются.

Для удобства использования в конфигурации предусмотрены две общие команды «Зашифровать информацию по всем объектам» и «Расшифровать информацию по всем объектам».

IV. Описание решения Keystore для хранения паролей

Основой решения является справочник «Ресурсы» (форма элемента представлена на скриншоте).

При заполнении информации в справочнике можно выделить следующие блоки:

Общая информация (наименование, код, интернет-ссылка для web-ресурсов);
Нормативно-справочная информация (аналитические разрезы учета ресурсов по соответствующим справочникам):
- Владелец (провайдер) ресурса (лицо, обеспечивающее доступ к ресурсу);
- Вид (произвольная классификация видов ресурсов — например: домен, личный кабинет, рабочее место, электронная почта и т.п.);
- Объект (для ресурсов, жестко привязанных к некоторому физическому объекту, например, зданию, помещению, земельному участку и т.п.)
Авторизация:
- логин (учетная запись) — можно указать в форме строки или ссылки на справочник «Учетные записи» (справочник создан для ресурсов, использующих одинаковые логины)
- пароль (можно указать в форме строки или ссылки на справочник «Стандарты доступа», описание см. ниже)
- Число вариантов (для периодически изменяемых паролей размер исторической памяти)
Справочно: Даты получения и прекращения доступа к ресурсу
Идентификаторы: табличное поле на отдельной закладке, в котором можно хранить значения различной идентификационной информации, связанной с соответствующим ресурсом (не являющейся логином), например, номер договора, код клиента и т.п.

Поле «Пароль» является шифруемым реквизитом справочника. На форме элемента предусмотрена кнопка открытия значения, при нажатии на которую, если значение заполнено (не зашифровано), то оно и открывается, в противном случае открывается расшифрованное значение, хранящееся в регистре сведений «Данные шифрования».

Справочник «Стандарты доступа» содержит табличную часть со списком паролей, который может применяться, например в ситуациях, когда нужно периодически менять пароль, тогда доступ к ресурсу учитывается посредством ссылки на данный справочник, в котором можно задать список используемых паролей). Табличная часть является шифруемой. Демонстрация расшифрованных значений осуществляется по специальной кнопке на форме элемента справочника.

Шифрование в 1С

Для всех типовых конфигурациях 1С, работающих на платформе 8.3, реализованы следующие механизмы, связанные с ЭЦП:

§ Подписание документов и произвольных файлов цифровой подписью

§ Проверка подписанных файлов и документов

§ Выгрузка документов и подписей в файлы

§ Загрузка документов и подписей из файлов

§ Шифрование файлов с возможностью открытия указанному списку лиц

Для начала нужно подготовить компьютер для работы, т.е. выбрать провайдера, скачать дистрибутив программы поддержки криптографии в 1С и заключить договор на получение реальной электронной подписи, получить сертификаты для шифрования 1С. В примере из статьи выбор пал на провайдера КриптоПро, так как он предоставляет тестовые сертификаты и программные продукты криптографии имеют бесплатный период функционирования).

Для получения и установки ЭЦП для 1С необходимо установить программный продукт «КриптоПро CSP 4.0». Продукт можно скачать на сайте программы в разделе «Продукты СКЗИ КриптоПро CSP/TLS/JSP» пункт «Загрузка файлов».

Возможно протестировать механизм ЭЦП бесплатно, для этого разработчики КриптоПро создали тестовый центр сертификации, который создаст вам бесплатный сертификат, но только для тестирования, расшифровать документ с помощью него навряд ли получится, но чтобы что-то зашифровать в 1С и поставить подпись он годится вполне).

В соответствии с вашей операционной системой вы можете скачать нужный вам дистрибутив, пример показан на рисунке ниже.

Рис. Установка КриптоПро

После установки дистрибутива можно получить тестовые сертификаты (далее просто ключи), для этого нужно проделать следующие шаги:

1. скачиваем и устанавливаем программу КриптоПро ЭЦП Browser plug-in;

2. перейти на раздел сайта КриптоПро;

3. в самом низу переходим по ссылке «сформировать ключи и отправить запрос на сертификат»;

4. при переходе на сайт у вас появится окно — Подтверждение доступа, нужно согласиться.

5. В следующем окне заполняем данные, их можно заполнить как угодно. Далее из выпадающего списка выбираем пункт Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider или Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider (на данный момент алгоритмом шифрования, имеющим юридическую силу, признается последний), далее ставим галочку — “Пометить ключ как экспортируемый” и в последнем пункте пишем имя нашего сертификата.

6. Далее появится окно, в котором нужно в произвольном направлении двигать мышкой что бы у нас произошла генерация случайно последовательности

7. в следующем окне нажимаем на — Установить этот сертификат

Рис. Настройки ключа

Рис. Сохранение ключа, можно в реестре

Рис. Установка ключа

Рис. Успешное завершение сохранения ключа

Далее, чтобы проверить установленные сертификаты в системе нужно:

1. Зайти в КриптоПро через панель управления

2. Открыть вкладку “Сервис”

3. Нажать “Просмотреть сертификаты в контейнере”

4. Нажать копку “Обзор” и смотрим все сертификаты в системе какие есть на данный момент.

Рис. Вызов остнастки КриптоПро

Рис. Проверка, что сертификат установлен

2. Применение ЭЦП в 1С

Рассмотрим использование механизма криптографии в 1С. Для шифрования и подписания документов ЭЦП в 1С нам понадобится включение механизма шифрования, т.е. перейти в “Администрирование”-> “Обмен электронными документами-> Настройки электронной подписи и шифрования“. Также чтобы помимо возможности подписывать документы и иметь возможность шифровать данные нужно установить константу “Использовать шифрование“ , сделать это всегда можно через меню “Все функции”-> “Константы-> Использовать шифрование“ (иначе пункты меню Зашифровать и Расшифровать будут скрыты в программе, а останется лишь опция Подписать).

Рис. Настройки ЭЦП

Рис. Включение опции шифрования 1С

После установки КриптоПро в списке доступных должен появиться провайдер КриптоПро

Рис. Установленные программы криптопровайдеров

Нажимаем на кнопку добавить и добавляем ранее полученный тестовый/рабочий сертификат по кнопке “Добавить”->“Использовать для подписи и шифования”. Далее потребуется ввести пароль, который вы указывали для ключа при его создании. Если по данному сертификату возможна подпись и/или шифрование, то он успешно добавится. Далее можно нажать кнопку “Проверить” , чтобы проверить какие из двух операций по нему доступны.

Рис. Успешно добавленный сертификат

Рис. Успешно добавленный сертификат в списке сертификатов

Рис. Проверка возможностей сертификата

Для проверки работоспособности системы шифрования/расшифрования нужно зайти в справочник Файлы.

Рис. Команда входа в справочник Файлы

Данные в справочнике Файлы мы можем полполнять как вручную файлами из файловой системы, так и, например, посредством массовой рассылки отчетов и писем. Ниже на примере 1С ЗУП 3.1 приводятся настройки формирования отчета Штатное расписание в файлы базы данных.

Рис. Настройка рассылки отчетов в файлы, 1С ЗУП 3 1

Рис. Настройка рассылки отчетов в файлы, 1С ЗУП 3 1 (продолжение)

После нажатия “Зашифровать в 1С” из меню появится окно выбора сертификатов, которыми будет производиться шифрование 1С файла.

Рис. Шифрование/расшифрование файла

Рис. Подбор сертификата для шифрования 1С

После шифрования или подписания мы можем сохранить файл на диск или отправить его вместе с электронной подписью по почте, как это работает для любого отчета или обычного файла.

Рис. Файл успешно зафшифрован

Как видно из рисунка, файл успешно зашифрован и при открытии в 1С для просмотра или редактирования будет автоматически произведена его расшифровка, без расшифровки открытие файла вызовет ошибку.

Подпишем документ Word, это делается практически аналогично шифрованию.

Рис. Подписание файла

Теперь сохраним файл на диск вместе с ЭЦП, выбрав “сохранить вместе с электронной подписью”.

Как видно мы подписали документ отсоединенной подписью. Подпись может быть также и присоединенной к файлу, главное отличие этого формата в том, что когда вы подписываете документ остается того же формата и размера, а после подписания с ним будет идти отдельный файл специального формата (в данном случае.p7s) который будет считаться самой подписью.

3. Проверка корректности ЭЦП в КриптоАРМ

Проверим корректность подписи можно с помощью программы КриптоАрм, тем самым это может служить доказательством, что документ не был кем-то подменен и был отправлен именно тем лицом, от которого мы ожидали его получить. Сначала надо скачать и установить КриптоАРМ, также снова следует обратить внимание, что для запуска необходимо обладать правами администратора.

Рис. Окно установщика КриптоАРМ

При первом запуске программа автоматически определяет установленные ключи.

Рис. КриптоАРМ определил, что ключ является действующим

Далее проведем непосредственно саму проверку ЭЦП, для этого потребуется выбрать файл, к которому относится подпись. В нашем случае это печатная форма Штатное расписание (Т-3 ) в виде pdf , выбираем его и сразу убеждаемся , что подпись верна.

Рис. Окно проверки подписи в КриптоАРМ

Рис. Указываем файл документа/отчета для проверки подписи в КриптоАРМ