Как настроить автоматическое обновление токена Честный ЗНАК в 1С и избежать установки КриптоПро на каждое рабочее место?

Системный администратор 1С v8.3 (Управляемые формы) 1С:Управление торговлей Управленческий учет Торговля и дистрибуция
← На главную

При внедрении маркировки в крупных компаниях с большим количеством рабочих мест (склады, торговые точки, офисы) часто возникает критический вопрос: нужно ли устанавливать криптографическое ПО и электронную подпись (ЭЦП) каждому сотруднику? В рамках работы с системой «Честный ЗНАК» (ГИС МТ) взаимодействие происходит через специальные токены авторизации — для этого подойдёт автоматизация интеграции 1С с системой Честный ЗНАК. Рассмотрим подробно, как организовать процесс так, чтобы подпись использовалась централизованно на сервере, а токены обновлялись автоматически без участия пользователя.

Разберем концепцию работы токена и ЭЦП

Для любого обращения к серверам «Честного ЗНАКА» (проверка кодов маркировки, получение списка документов, ввод в оборот) требуется авторизация. Система работает следующим образом: 1С подписывает сертификатом электронной подписи специальную «квитанцию» (запрос на авторизацию) и отправляет её в ГИС МТ. В ответ сервер выдает токен доступа. Этот токен имеет ограниченный срок жизни (традиционно до 10 часов, в новых протоколах — до 72 часов).

Проанализируем ситуацию: если настраивать обмен стандартным способом, то при истечении срока действия токена первому же обратившемуся пользователю система выдаст запрос на подписание новой квитанции. Если сертификат не установлен на его локальном компьютере, работа остановится. Чтобы этого избежать, мы будем использовать механизм серверного подписания.

Настройка подписания на стороне сервера 1С

Для того чтобы система могла самостоятельно обновлять токен, необходимо перенести функции криптографии на сервер. Выясним, какие шаги для этого требуются в типовых конфигурациях (УТ 11, ERP, КА):

  1. Установка КриптоПро на сервере: Программное обеспечение КриптоПро CSP должно быть установлено непосредственно на сервере, где запущен кластер 1С:Предприятия.
  2. Установка сертификата: Сертификат электронной подписи должен быть установлен в хранилище «Локальный компьютер» или в хранилище пользователя, под которым запущена служба 1С (обычно это USR1CV8). Важно: если сертификат находится на токене (флешке), она должна быть физически вставлена в сервер или проброшена через специальные сервисы.
  3. Настройка в интерфейсе 1С: Перейдем в раздел НСИ и администрирование — Настройка интеграции — Настройки электронной подписи и шифрования. На вкладке «Программы» убедимся, что криптопровайдер определен корректно.
  4. Включение серверных опций: В настройках программы (часто скрыто в общих настройках или дополнительных параметрах) необходимо активировать флажки Подписывать на сервере и Проверять подписи и сертификаты на сервере — это упростит расширение для ЭДО и работы с МЧД в 1С. Это позволит серверному процессу 1С обращаться к установленному крипто-ПО.

Автоматизация обновления токена через регламентные задания

Проанализируем, как 1С управляет актуальностью токена. В современных релизах реализована библиотека ГИС МТ, которая поддерживает фоновую авторизацию. Разберем по шагам, как это работает:

Когда срок действия токена подходит к концу, система инициирует регламентное задание. Если в настройках сертификата в 1С указано «Сохранять пароль» (пароль к закрытому ключу), серверная часть 1С самостоятельно берет сертификат, подписывает запрос и получает новый токен. Полученный токен записывается в РегистрСведений.КэшДанныхАвторизацииГИСМТ (или аналогичный в зависимости от версии БСП).

Таким образом, рядовые пользователи на складах и в магазинах даже не знают о существовании токена — они просто получают данные из системы, используя уже «добытый» сервером ключ доступа. На их рабочих местах устанавливать КриптоПро и сертификаты не требуется.

Рассмотрим использование обезличенных сертификатов

Один из лучших способов упростить администрирование — это получение обезличенной КЭП. Рассмотрим подробнее её преимущества:

Различие между авторизацией и юридически значимыми действиями

Важно понимать разницу, которую мы сейчас разберем. Существует два уровня взаимодействия с ГИС МТ:

1. Получение данных (по токену): Проверка статусов марок, получение списка входящих УПД. Для этого достаточно один раз настроить серверную авторизацию, и всё будет работать по токену.

2. Подписание документов (отгрузка, ввод в оборот): Для выполнения этих действий всё равно требуется «живая» подпись. Если вы хотите, чтобы кладовщик мог нажать кнопку «Выполнить обмен» и документ ушел в Честный ЗНАК, у него либо должна быть своя подпись (с МЧД), либо в 1С должна быть настроена возможность использования серверной подписи для конкретных видов документов.

Пример программного обращения к механизму авторизации в коде 1С (условно):


// Пример получения данных из кэша авторизации
ПараметрыАвторизации = ИнтеграцияГИСМТ.ПараметрыАвторизации(Организация);
Если ПараметрыАвторизации.ТокенИстек Тогда
    ИнтеграцияГИСМТ.ОбновитьТокенАвторизации(Организация);
КонецЕсли;

Переход на новые протоколы (OIDC) и изменения в 2024 году

Выясним причину последних изменений в API Честного ЗНАКА. Система переходит на протокол OIDC (OpenID Connect). Для нас, как для пользователей 1С, это несет несколько позитивных моментов:

  1. Увеличенный срок жизни: Новые токены TrueAPI смогут работать до 72 часов.
  2. Механизм Refresh Token: Появится возможность обновлять токен без повторного использования ЭЦП в течение определенного периода, что снизит нагрузку на серверную криптографию.
  3. Работа через МЧД: Теперь при получении токена система будет требовать GUID доверенности (МЧД). В настройках обмена ГИС МТ в 1С обязательно проверьте заполнение поля Доверенность, иначе сервер ЧЗ отклонит запрос даже при наличии верной подписи.

Подведем итог: Для стабильной работы без установки КриптоПро на каждое место необходимо: настроить службу 1С на сервере, установить туда сертификат, разрешить подписание на сервере в настройках 1С и сохранить пароль к ключу. Это обеспечит бесперебойное автоматическое обновление токенов и комфортную работу пользователей.

← На главную