При работе с электронным документооборотом (ЭДО) пользователи часто сталкиваются с ситуацией, когда диагностика соединения проходит успешно, но при попытке подписать документ система выдает ошибку: «НА КОМПЬЮТЕРЕ: Недоступен сервер доверенных меток времени по адресу...». Особенно остро эта проблема проявилась в последних релизах программных продуктов (например, Зарплата и Управление Персоналом редакции 3.1.30 и выше), где разработчики изменили логику формирования электронной подписи. Разберем детально, почему это происходит и как наладить работу системы. Для этой задачи есть инструмент для организации юридически значимого ЭДО и подписания документов в 1С.
Проанализируем программные изменения в последних релизах 1С. Ранее в настройках обмена электронными документами можно было выбрать «Базовый» тип подписи (CAdES-BES), для которой существует универсальная выгрузка документов. Такая подпись не требует обращения к сторонним серверам, так как она содержит только сам документ и криптографический отпечаток.
Однако в связи с массовым переходом на Машиночитаемые доверенности (МЧД), требования ужесточились. Для подтверждения того, что подпись была поставлена в момент действия сертификата и доверенности, 1С принудительно использует тип подписи СМеткойДоверенногоВремениCAdEST. Этот формат требует обращения к серверу TSP (Time Stamp Protocol) для получения штампа точного времени от доверенного источника. Если программа не может «достучаться» до этого сервера, подписание прерывается.
Как показывает практика многих администраторов, 1С может пытаться использовать внутренние настройки прокси для внешних запросов, которые конфликтуют с сетевой инфраструктурой. В рамках проектирования защищенной IT инфраструктуры важно проверить следующее:
Часто помогает полное отключение использования прокси в настройках пользователя 1С, чтобы система использовала системные параметры Windows.
Выясним важную техническую особенность: компоненты криптографии и сама платформа 1С при обращении к серверам меток времени часто игнорируют настройки прокси, указанные в браузере или внутри самой конфигурации 1С. Они используют системный уровень WinHTTP.
Если в вашей организации используется PAC-скрипт (Proxy Auto-Configuration), 1С может его «не видеть». В этом случае необходимо жестко прописать прокси для системных служб. Выполним следующие действия в командной строке от имени администратора:
netsh winhttp set proxy proxy-server="ваш_адрес_прокси:порт" bypass-list="*.1c-edo.ru;*.taxcom.ru;*.cryptopro.ru"
Эта команда принудительно направляет системный трафик через прокси, исключая адреса серверов ЭДО из проверки, что позволяет протоколу TSP проходить без препятствий.
Рассмотрим ситуацию, когда доступ блокируется на уровне сетевого экрана (Firewall). Серверы меток времени работают по протоколу HTTP (порт 80), но передают специфические бинарные данные. Рассмотрим основные адреса, доступ к которым должен быть открыт анонимно (где не требуется аутентификация JWT-токеном):
http://tsp.taxcom.ru/tsp/tsp.dllhttp://tsp.kalugaastral.ru/tsp/tsp.dllhttp://qs.cryptopro.ru/tsp/tsp.dllПопробуем открыть эти адреса в браузере на рабочем месте бухгалтера. Если страница загружается или предлагает скачать файл tsp.dll, значит, физический доступ есть. Если же возникает ошибка таймаута — доступ заблокирован сетевым оборудованием или антивирусом.
Посмотрим на проблему со стороны криптопровайдера. В последних версиях КриптоПро CSP 5.0 настройки серверов меток времени могут быть переопределены на уровне самой программы. Проанализируем настройки:
Если инфраструктура компании категорически не позволяет использовать метки времени, а стандартная подпись файла методами криптографии блокируется из-за ограничений релиза ЗУП 3.1.30, можно прибегнуть к доработке через расширение.
Проанализируем фрагмент кода, который отвечает за подписание. В модуле КадровыйЭДОКлиент (или аналогичном в зависимости от конфигурации) процедура ПодписатьФайлыСертификатом может содержать жесткую установку:
// Пример того, что может быть в коде 1С
ТипПодписи = Перечисления.ТипыПодписиКриптографии.СМеткойДоверенногоВремениCAdEST;
Через расширение можно заменить это значение на Базовая (CAdES-BES), однако помните, что это может привести к проблемам при проверке таких подписей контролирующими органами в будущем, так как метка времени является гарантом актуальности сертификата на момент подписания.
Подведем итог. Чаще всего проблема «Недоступен сервер доверенных меток времени» решается одним из трех способов:
netsh winhttp и добавлением серверов TSP в список исключений (bypass) на шлюзе.Помните, что корректная работа ЭДО с МЧД в долгосрочной перспективе невозможна без доступа к серверам меток времени, поэтому правильным стратегическим решением будет именно настройка сетевого доступа, а не отключение функционала.