Для чего нужна настройка подписания ЭДО на сервере?
Дать нескольким пользователям возможность подписывать документы с разных компьютеров использую одну или несколько ЭЦП. При этом чтобы на компьютерах пользователей не требовалось установки электронных подписей и криптопровайдеров. Например, иметь возможно подписания документов из дома и из офиса.
Как скопировать ЭЦП с Рутокена, можно прочитать в этой статье:
Постановка задачи
Настроить подписание электронных документов с компьютеров пользователей, но при этом на этих компьютерах не нужно было бы устанавливать сертификаты и криптопровайдера. Все сертификаты должны храниться на сервере.
У нас есть клиент-серверная база, и на сервере установлен КриптоПро.
Реализация
Важно понимать, что работа с сертификатом на сервере будет происходить от имени пользователя под которым запущена служба 1С.
Обычно это пользователь USR1CV8. Следовательно электронно-цифровую подпись мы должны поставить из под этого пользователя. Есть два варианта решения этой задачи:
- Зайти под этим пользователем в ОС и все действия выполнять под ним;
- Либо воспользоваться механизмом "Запуска приложений от имени другого пользователя";
Первый вариант на мой взгляд не совсем правильный, так как этот пользователь является служебный, нам потребуется давать ему дополнительные права, в том числе и права на работу через удаленный рабочий стол, что не совсем хорошо.
Далее будем рассматривать второй вариант, когда под пользователем администратором сервера мы установим сертификаты для пользователя —USR1CV8 от имени которого работает служба 1С.
1. Чтобы установить сертификат нам нужно запустить КриптоПро под пользователем USR1CV8, для это жмем на иконке КриптоПро правой кнопкой мышки и выбираем пункт — Запуск от имени другого пользователя
2. Вводим имя пользователя и пароль. Обратите внимание, если у вас в организации используется доменная авторизация, то имя пользователя нужно вводить в формате ".\USR1CV8", так этот пользователь локальный, а не доменный.
Скорее всего вы получите ошибку вида:
Ru: «Вход в систему не произведен: выбранный режим входа для данного пользователя на этом компьютере не предусмотрен».
En: «Logon failure: the user has not been granted the requested logon type at this computer».
Это связано с тем, что пользователю запрещен локальный вход на сервер. Чтобы отключить запрет, нам нужно открыть оснастку — Параметров безопасности и назначить соответствующие права. Для этого выполняем:
Пуск — Выполнить — secpol.msc — Параметры безопасности — Локальные политики — Назначение прав пользователя — Запретить локальный вход
Нужно выделить нашего пользователя и удалить его из списка.
После этого повторяем запуск КриптоПро от имени — USR1CV8.
3. После запуска КриптоПро мы можем работать с сертификатами, а именно устанавливать / копировать и т.д. и это будет происходить не от от имени пользователя под которым мы работаем в ОС, а от имени пользователя от которого запущена служба 1С.
4. Важно после работы с КриптоПро рекомендую вернуть Запрет на локальный вход для USR1CV8.
5. Настройки в 1С делаем согласно этой инструкции: https://its.1c.ru/db/edohandbook/content/81/hdoc
------------
Если что-то не получается, пишите нам в Телеграм.
Следите за новостями в телефоне? Подпишитесь на наш Telegram-канал.