Как настроить сертификат страхователя в 1С для нескольких пользователей?

Системный администратор 1С v8.3 (Управляемые формы) 1С:ERP Управление предприятием Бухгалтерский учет IT и автоматизация бизнеса
← На главную

При замене или обновлении сертификата электронной подписи (например, для работы с СФР, бывшим ФСС) в крупных ERP-системах ИТ-специалисты часто сталкиваются с важной проблемой. Если установить подпись на компьютере администратора, сможет ли бухгалтер подписывать документы в своей сессии 1С? Почему программа «не видит» установленный сертификат у других пользователей и как правильно организовать коллективную работу с электронной подписью? Разберем эти вопросы подробно в нашей статье.

Почему установленный сертификат виден только одному пользователю?

Для того чтобы ответить на этот вопрос, проанализируем архитектуру хранения закрытых ключей в операционной системе Windows. Электронная подпись состоит из двух частей: публичного сертификата (файл с расширением .cer) и закрытого ключа (контейнера), который обеспечивает непосредственное подписание файлов.

Когда мы устанавливаем сертификат через криптопровайдер (например, КриптоПро CSP), закрытый ключ чаще всего копируется в реестр компьютера. По умолчанию запись производится в ветку реестра текущего пользователя: HKEY_CURRENT_USER\Software\Crypto Pro\Settings\Users\...

Важно понимать: операционная система Windows строго разграничивает права доступа между пользователями. Если системный администратор зашел под своей учетной записью Windows, установил закрытый ключ в реестр и настроил 1С, то бухгалтер, авторизовавшись на этом же компьютере (или на своем рабочем месте) под своей учетной записью Windows, физически не получит доступа к этому контейнеру. Криптопровайдер под учетной записью бухгалтера просто не «увидит» закрытый ключ, из-за чего подписание документов станет невозможным.

Варианты решения проблемы для многопользовательской работы

Выяснив причину проблемы, рассмотрим несколько практических сценариев настройки системы, от классических локальных методов до современных и безопасных технологий взаимодействия с СФР.

Сценарий 1. Локальный перенос закрытого ключа на компьютер бухгалтера

Если бухгалтер работает за своим персональным компьютером, и ему физически необходимо иметь доступ к подписанию отчетов от имени страхователя (руководителя), нам потребуется перенести контейнер закрытого ключа на его рабочее место. Разберем этот процесс по шагам:

  1. Откроем программу КриптоПро CSP на компьютере, где изначально установлен рабочий сертификат с привязанным закрытым ключом.
  2. Перейдем на вкладку «Сервис» и выберем пункт «Скопировать контейнер».
  3. В открывшемся окне нажмем кнопку «Обзор», выберем нужный контейнер и укажем имя для новой копии.
  4. В качестве целевого устройства (куда копировать) выберем съемный носитель (флеш-накопитель или токен) и установим пароль на новый контейнер при необходимости.
  5. Перенесем накопитель на компьютер бухгалтера. Откроем там КриптоПро CSP, перейдем в «Сервис» -> «Скопировать контейнер» и скопируем его со съемного носителя в локальный реестр ПК бухгалтера (в область текущего пользователя).
  6. После этого перейдем на вкладку «Сервис», нажмем «Просмотреть сертификаты в контейнере», выберем скопированный контейнер и нажмем кнопку «Установить». Это свяжет публичный сертификат с закрытым ключом в профиле Windows нашего бухгалтера.

Внимание! Этот метод имеет существенное ограничение. Согласно действующему законодательству, подписи руководителей юридических лиц, выдаваемые ФНС, записываются на сертифицированные токены (например, Рутокен ЭЦП 3.0) с неизвлекаемыми ключами. Скопировать такой ключ через реестр программным способом невозможно. Поэтому для современных подписей данный сценарий не всегда применим.

Сценарий 2. Работа через МЧД и личную подпись сотрудника (Рекомендуемый метод)

Чтобы избежать компрометации ключа руководителя и не заниматься небезопасным копированием контейнеров, проанализируем современный и законный механизм работы через Машиночитаемые доверенности (МЧД).

В этом случае на компьютере бухгалтера устанавливается его личная электронная подпись, выданная на физическое лицо (без привязки к организации). Подписание отчетности и отправка сведений в СФР происходит следующим образом:

  1. Организация оформляет в 1С машиночитаемую доверенность (МЧД) для СФР на имя бухгалтера, подписав ее подписью руководителя (страхователя). Доверенность регистрируется в фонде.
  2. В программе 1С переходим в раздел настроек обмена с контролирующими органами (1С-Отчетность -> Настройки -> Настройки обмена с контролирующими органами).
  3. В настройках подключения к СФР активируем флаг «Несколько сертификатов».
  4. В появившейся таблице сопоставляем пользователя 1С (нашего бухгалтера) с его личным сертификатом физического лица и зарегистрированной МЧД.

При такой схеме каждый сотрудник подписывает документы своим личным ключом, а СФР принимает отчеты, сверяя подпись сотрудника с данными зарегистрированной в системе МЧД.

Сценарий 3. Настройка подписания на сервере 1С (Для клиент-серверных баз)

Если база 1С:ERP Управление предприятием работает в клиент-серверном режиме, мы можем настроить систему так, чтобы само подписание и шифрование данных происходило непосредственно на сервере приложений, без необходимости устанавливать криптографические программы и ключи на рабочие станции пользователей.

Для реализации этого сценария выполним следующие действия:

  1. Установим криптопровайдер КриптоПро CSP непосредственно на серверную машину, где запущена служба Агент сервера 1С:Предприятия.
  2. Установим сертификат страхователя и закрытый ключ в локальный реестр сервера под той учетной записью Windows, от имени которой стартует служба 1C:Enterprise Server Daemon (обычно это локальный системный пользователь или специально созданная доменная учетная запись).
  3. В режиме 1С:Предприятие перейдем в меню Администрирование -> Настройки криптографии и электронной подписи.
  4. Включим опцию «Выполнять шифрование и подписание на сервере».

Проверить корректность серверной настройки криптографии можно с помощью небольшого программного кода, выполняемого на стороне сервера:


Попытка
    МенеджерКриптографии = Новый МенеджерКриптографии("Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider", "", 80);
    Сертификаты = МенеджерКриптографии.ПолучитьСертификаты();
    Для Каждого Сертификат Из Сертификаты Цикл
        ЗаписьЖурналаРегистрации("Криптография.Проверка", УровеньЖурналаРегистрации.Информация,, , "Найден сертификат: " + Сертификат.Субъект);
    КонецЦикла;
Исключение
    ЗаписьЖурналаРегистрации("Криптография.Ошибка", УровеньЖурналаРегистрации.Ошибка,,, ОписаниеОшибки());
КонецПопытки;

При такой архитектуре бухгалтеру достаточно нажать кнопку отправки в интерфейсе 1С на своем клиентском ПК. Программа передаст задачу серверу, сервер подпишет транзакцию установленным у себя ключом страхователя и отправит пакет в СФР.

Особенности установки технологических сертификатов СФР для СЭДО

При ручной настройке обмена с Социальным фондом России недостаточно установить только сертификат организации (страхователя). Для корректного шифрования исходящих пакетов и расшифровки входящих уведомлений по электронным больничным листам (ЭЛН) в системе СЭДО необходимо установить актуальные публичные ключи самого фонда.

Эти сертификаты регулярно обновляются и публикуются на официальном сервере СФР. Нам понадобятся два ключевых файла:

  1. Сертификат СЭДО — используется для обмена сообщениями в рамках социального документооборота (уведомления об изменении статуса ЭЛН, запросы недостающих сведений).
  2. Сертификат ПВСО — применяется для отправки классических реестров и некоторых видов регламентированной отчетности.

Правила ручной установки сертификатов фонда:

  1. Скачайте актуальные файлы сертификатов фонда с официального ресурса СФР.
  2. Нажмите правой кнопкой мыши по скачанному файлу сертификата и выберите «Установить сертификат».
  3. В качестве хранилища обязательно выберите «Локальный компьютер» (а не «Текущий пользователь»).
  4. Поместите сертификаты фонда в хранилище «Другие пользователи» (в некоторых версиях ОС — «Промежуточные центры сертификации»).
  5. В настройках обмена с СФР внутри 1С вручную укажите эти сертификаты в соответствующих полях для шифрования. Внимательно проверяйте их назначение, так как из-за схожести названий их легко перепутать, что приведет к ошибкам расшифровки входящей почты СЭДО.

Применяя данные инструкции и понимая принципы работы криптографии в операционных системах, мы сможем быстро и безболезненно настроить совместную работу сотрудников с электронными подписями в 1С:ERP.

← На главную