Настройка цифровой подписи
Важно
Для автоматической подписи у вас должна быть активная подписка на обновления и техническую поддержку.
Отчёты, которые формируются в автоматическом режиме, могут быть подписаны цифровой подписью. Для этого вам потребуется PFX-файл с сертификатом в формате PKSC#12, в котором экспортирован закрытый ключ. Чаще всего, такие файлы защищены паролем, поэтому, этот пароль так же потребуется для настройки.
Параметры открытого ключа могут быть заданы как расширенные параметры в файле Lers.Server.xml, или через переменные среды в файле docker-compose.yml, если вы установили ЛЭРС УЧЁТ с помощью docker.
В файле Lers.Server.xml потребуется добавить следующую секцию:
<modules>
<reporting>
<signature>
<!-- Параметры подписи -->
</signature>
</reporting>
</modules>
Если используется docker, переменные среды должны начинаться с префикса:
LERS_SERVER_Modules__Reporting__Signature__
Параметры
CertificatePath
В этом параметре задаётся путь к pfx-файлу с сертификатом. Вы можете поместить файл в любую папку, к которой у сервера есть доступ. На Windows это может быть c:\ProgramData\LERS\Server, на Linux /etc/LERS/Server.
Вы можете скопировать pfx файл в docker контейнер командой:
docker compose cp /путь/к/сертификату.pfx lers:/etc/LERS/Server/certificate.pfx
После этого в параметре укажите путь /etc/LERS/Server/certificate.pfx
CertificatePassword
Файл с сертификатом чаще всего защищён паролем. Укажите пароль в этом параметре.
Location
Значение, заданное в этом поле, отображается в деталях подписи в поле "Расположение". Введите здесь город, в котором находится ваш сервер.
Image
Изображение, которое будет использоваться в качестве подписи. Если не задано, в подписи будет отображаться только текст.
Engine
Позволяет принудительно указать какой провайдер используется для работы с сертификатом. Если параметр не задан, ЛЭРС попытается автоматически определить тип сертификата и выбрать нужного провайдера. Если выбор оказался неверным, можно вручную указать одно из следующих значений:
| Значение | Описание |
|---|---|
| Default | Встроенный провайдер, который не поддерживает алгоритмы ГОСТ. |
| CryptoPro | Провайдер КриптоПро CSP, который требует серверную лицензию. |
Алгоритмы ГОСТ
Важно
Для подписи сертификатами с алгоритмами ГОСТ потребуется установить серверную версию КриптоПро. Лицензия для рабочего места в этом случае не подойдёт.
Сертификат может использовать для подписи различные алгоритмы, в том числе и алгоритмы семейства ГОСТ. Встроенный в ЛЭРС криптопровайдер не поддерживает работу с алгоритмами ГОСТ. Чтобы подписать документы таким сертификатом потребуется установить серверную версию криптопровайдера КриптоПро.
ЛЭРС автоматически определяет алгоритм подписи сертификата и использует для подписи КриптоПро если алгоритм подписи или алгоритм ключа принимает одно из следующих значений.
| Алгоритм | OID | Наименование |
|---|---|---|
| Алгоритм подписи | 1.2.643.7.1.1.3.2 | ГОСТ Р 34.11-2012/34.10-2012 256 бит |
| Алгоритм ключа | 1.2.643.7.1.1.1.1 |
Кроме того, вы можете вручную указать ЛЭРС какую систему использовать для подписи — КриптоПро или встроенную. Для этого используйте параметр Engine.