Использование квалифицированной ЭЦП и внешнего криптопровайдера CryptoPro в ELMA

Добрый день всем участникам!

Решили внедрить электронное подписание документов квалифицированной ЭЦП. При настройке столкнулись с массой проблем, от части из-за того, что что в справке и документации по системе крайне мало внимания уделено настройке работы с внешним криптопровайдером CryptoPro, и очень многие (почти все, если честно) важные моменты опущены.

Специалисты поддержки нашу проблему решали 3 для, но решение так и не было найдено. Сертификат ELMA видит, но не подписывает, валяться ошибки в консоли. В итоге разобрались сами.

В общем, что нужно сделать, чтобы все заработало:

----------------------------------------------------------------
1. Установить CryptoPro SCP на клиентский ПК.

2. Установить CryptoPro Browser PlugIn на клиентский ПК, разрешить его использование в настройках.

3. На СЕРВЕР установить компонент CryptoPro .NET и CryptoPro SCP (обязательно требуется для CryptoPro .NET) (что это и для чего - можно прочитать тут: https://www.cryptopro.ru/products/net). Если этого не сделать, получим ошибку в ELMA о неверно установленных компонентах CryptoPro .NET или CryptoPro SCP.

4. Установить все корневые сертификаты в папку "Доверенные корневые центры сертификации" (для пользователя) на ПК клиента и ОБЯЗАТЕЛЬНО СЕРВЕРА (для компьютера). Если не ставить на сервер - получим ошибку в ELMA о том, что невозможно проверить издателя.

5. В настройках безопасности ELMA указать адрес сервера штампа времени (его можно узнать у поставщика сертификата). Иначе получим ошибку о том, что не задан сервер штампов времени TSP.

6. Сервер ELMA должен иметь доступ в Интернет к адресу со списком отзыва сертификатов (его можно узнать у поставщика сертификата). Иначе получим ошибку о невозможности проверить список отзыва.
--------------------------------------------------------------

Странно, что НИГДЕ не указаны эти важные моменты, особенно про компонент CryptoPro .NET, который обязательно необходим для работы WEB-приложения .NET c CryptoPro. Лицензия на него, кстати, платная, как и на CryptoPro SCP.

Предлагается, по согласованию с разработчиками, дополнить документацию на сайте.

Кстати, почти все ошибки в WEB-интерфейсе ELMA, связанные с ошибками при проверке сертификатов, выглядят одинаково: "Ошибка ЭЦП: ЭЦП не верна". Поэтому надо смотреть логи ELMA. Также помогает утилита консольная certutil.

 

Спасибо. Очень полезно. Полностью согласен с необходимостью доработки документации по ЭЛМА.