При внедрении маркировки в крупных компаниях с большим количеством рабочих мест (склады, торговые точки, офисы) часто возникает критический вопрос: нужно ли устанавливать криптографическое ПО и электронную подпись (ЭЦП) каждому сотруднику? В рамках работы с системой «Честный ЗНАК» (ГИС МТ) взаимодействие происходит через специальные токены авторизации — для этого подойдёт автоматизация интеграции 1С с системой Честный ЗНАК. Рассмотрим подробно, как организовать процесс так, чтобы подпись использовалась централизованно на сервере, а токены обновлялись автоматически без участия пользователя.
Для любого обращения к серверам «Честного ЗНАКА» (проверка кодов маркировки, получение списка документов, ввод в оборот) требуется авторизация. Система работает следующим образом: 1С подписывает сертификатом электронной подписи специальную «квитанцию» (запрос на авторизацию) и отправляет её в ГИС МТ. В ответ сервер выдает токен доступа. Этот токен имеет ограниченный срок жизни (традиционно до 10 часов, в новых протоколах — до 72 часов).
Проанализируем ситуацию: если настраивать обмен стандартным способом, то при истечении срока действия токена первому же обратившемуся пользователю система выдаст запрос на подписание новой квитанции. Если сертификат не установлен на его локальном компьютере, работа остановится. Чтобы этого избежать, мы будем использовать механизм серверного подписания.
Для того чтобы система могла самостоятельно обновлять токен, необходимо перенести функции криптографии на сервер. Выясним, какие шаги для этого требуются в типовых конфигурациях (УТ 11, ERP, КА):
КриптоПро CSP должно быть установлено непосредственно на сервере, где запущен кластер 1С:Предприятия.USR1CV8). Важно: если сертификат находится на токене (флешке), она должна быть физически вставлена в сервер или проброшена через специальные сервисы.Подписывать на сервере и Проверять подписи и сертификаты на сервере — это упростит расширение для ЭДО и работы с МЧД в 1С. Это позволит серверному процессу 1С обращаться к установленному крипто-ПО.Проанализируем, как 1С управляет актуальностью токена. В современных релизах реализована библиотека ГИС МТ, которая поддерживает фоновую авторизацию. Разберем по шагам, как это работает:
Когда срок действия токена подходит к концу, система инициирует регламентное задание. Если в настройках сертификата в 1С указано «Сохранять пароль» (пароль к закрытому ключу), серверная часть 1С самостоятельно берет сертификат, подписывает запрос и получает новый токен. Полученный токен записывается в РегистрСведений.КэшДанныхАвторизацииГИСМТ (или аналогичный в зависимости от версии БСП).
Таким образом, рядовые пользователи на складах и в магазинах даже не знают о существовании токена — они просто получают данные из системы, используя уже «добытый» сервером ключ доступа. На их рабочих местах устанавливать КриптоПро и сертификаты не требуется.
Один из лучших способов упростить администрирование — это получение обезличенной КЭП. Рассмотрим подробнее её преимущества:
Важно понимать разницу, которую мы сейчас разберем. Существует два уровня взаимодействия с ГИС МТ:
1. Получение данных (по токену): Проверка статусов марок, получение списка входящих УПД. Для этого достаточно один раз настроить серверную авторизацию, и всё будет работать по токену.
2. Подписание документов (отгрузка, ввод в оборот): Для выполнения этих действий всё равно требуется «живая» подпись. Если вы хотите, чтобы кладовщик мог нажать кнопку «Выполнить обмен» и документ ушел в Честный ЗНАК, у него либо должна быть своя подпись (с МЧД), либо в 1С должна быть настроена возможность использования серверной подписи для конкретных видов документов.
Пример программного обращения к механизму авторизации в коде 1С (условно):
// Пример получения данных из кэша авторизации
ПараметрыАвторизации = ИнтеграцияГИСМТ.ПараметрыАвторизации(Организация);
Если ПараметрыАвторизации.ТокенИстек Тогда
ИнтеграцияГИСМТ.ОбновитьТокенАвторизации(Организация);
КонецЕсли;
Выясним причину последних изменений в API Честного ЗНАКА. Система переходит на протокол OIDC (OpenID Connect). Для нас, как для пользователей 1С, это несет несколько позитивных моментов:
Доверенность, иначе сервер ЧЗ отклонит запрос даже при наличии верной подписи.Подведем итог: Для стабильной работы без установки КриптоПро на каждое место необходимо: настроить службу 1С на сервере, установить туда сертификат, разрешить подписание на сервере в настройках 1С и сохранить пароль к ключу. Это обеспечит бесперебойное автоматическое обновление токенов и комфортную работу пользователей.