Развернуть все
Свернуть все

Требования к конфигурации

Создание сообщения со штампом времени (CAdES-T/XAdES-T)

Для создания сообщения со штампом времени должны быть выполнены следующие условия:

  • Должна быть доступна запущенная служба штампов времени (TSP-сервер).

  • Если соединение с TSP-сервером осуществляется через прокси-сервер, и этот прокси-сервер отличается от настроенного в Internet Explorer, то его адрес должен быть задан либо в групповых политиках соответствующего клиента, либо передан в качестве аргумента соответствующим функциям КриптоПро ЭЦП SDK.

  • Если прокси-сервер требует аутентификации, то соответствующие параметры должны быть заданы в групповых политиках соответствующего клиента, либо переданы в качестве аргуметов соответствующим функциям КриптоПро ЭЦП SDK.

  • Если для соединения с TSP-сервером требуется аутентификация, то соответствующие параметры должны быть заданы в групповых политиках соответствующего клиента, либо переданы в качестве аргуметов соответствующим функциям КриптоПро ЭЦП SDK.

  • Должена быть установлена лицензия на КриптоПро TSP Client.

Создание сообщения с усовершенствованной подписью (CAdES-X Long Type 1/XAdES-X Long Type 1)

Для создания сообщения с усовершенствованной подписью должны быть выполнены следующие условия:

  • Должны быть выполнены все требования для создания подписи CAdES-T/XAdES-T.

  • Должна быть доступна запущенная служба актуальных статусов (OCSP-сервер).

  • OCSP-сервер должен быть сконфигурирован таким образом, чтобы в поле ThisUpdate OCSP-ответа проставлялось текущее время (например, в режиме работы по БД ЦС для КриптоПро OCSP Server).

  • Если соединение с OCSP-сервером осуществляется через прокси-сервер, и этот прокси-сервер отличается от настроенного в Internet Explorer, то его адрес должен быть задан либо в групповых политиках соответствующего клиента, либо передан в качестве аргумента соответствующим функциям КриптоПро ЭЦП SDK.

  • Если для соединения с OCSP-сервером требуется аутентификация, то соответствующие параметры должны быть заданы в групповых политиках соответствующего клиента, либо переданы в качестве аргуметов соответствующим функциям КриптоПро ЭЦП SDK.

  • Адрес OCSP-сервера должен либо содержаться в расширении AIA (Authority Information Access) сертификата, на ключе которого создаётся подпись, либо должен быть передан в структуре CADES_SIGN_PARA с использованием полей cAdditionalOCSPServices и rgAdditionalOCSPServices, либо должен быть задан в групповой политике КриптоПро OCSP Client Адрес службы OCSP по умолчанию, либо его можно указать в свойствах сертификата УЦ, выдавшего данный сертификат. Для этого сертификат УЦ нужно установить в соответствующее хранилище локального компьютера, после чего указать необходимый адрес в свойствах на вкладке «Протокол OCSP».

  • Сертификат, на котором создаётся подпись и сертификат службы штампов времени, должны проверяться на отзыв и для них должны строиться цепочки.

  • Для сертификата службы актуальных статусов должна строиться цепочка, также он должен иметь расширение Признак доверия службе OCSP (id-pkix-ocsp-nocheck - OID 1.3.6.1.5.5.7.48.1.5).

  • Должена быть установлена лицензия на КриптоПро OCSP Client.

Проверка сообщения

Для проверки подписи со штампом времени и усовершенствованной подписи необходимо, чтобы в хранилище "Доверенные корневые центры сертификации" ("Root") были установлены сертификаты:

  • корневой сертификат для сертификата, на котором была сделана подпись;

  • корневой сертификат для сертификата службы штампов времени.