Создание сообщения со штампом времени (CAdES-T/XAdES-T)
Для создания сообщения со штампом времени должны быть выполнены следующие условия:-
Должна быть доступна запущенная служба штампов времени (TSP-сервер).
-
Если соединение с TSP-сервером осуществляется через прокси-сервер, и этот прокси-сервер отличается от настроенного в Internet Explorer, то его адрес должен быть задан либо в групповых политиках соответствующего клиента, либо передан в качестве аргумента соответствующим функциям КриптоПро ЭЦП SDK.
-
Если прокси-сервер требует аутентификации, то соответствующие параметры должны быть заданы в групповых политиках соответствующего клиента, либо переданы в качестве аргуметов соответствующим функциям КриптоПро ЭЦП SDK.
-
Если для соединения с TSP-сервером требуется аутентификация, то соответствующие параметры должны быть заданы в групповых политиках соответствующего клиента, либо переданы в качестве аргуметов соответствующим функциям КриптоПро ЭЦП SDK.
-
Должена быть установлена лицензия на КриптоПро TSP Client.
Создание сообщения с усовершенствованной подписью (CAdES-X Long Type 1/XAdES-X Long Type 1)
Для создания сообщения с усовершенствованной подписью должны быть выполнены следующие условия:-
Должны быть выполнены все требования для создания подписи CAdES-T/XAdES-T.
-
Должна быть доступна запущенная служба актуальных статусов (OCSP-сервер).
-
OCSP-сервер должен быть сконфигурирован таким образом, чтобы в поле ThisUpdate OCSP-ответа проставлялось текущее время (например, в режиме работы по БД ЦС для КриптоПро OCSP Server).
-
Если соединение с OCSP-сервером осуществляется через прокси-сервер, и этот прокси-сервер отличается от настроенного в Internet Explorer, то его адрес должен быть задан либо в групповых политиках соответствующего клиента, либо передан в качестве аргумента соответствующим функциям КриптоПро ЭЦП SDK.
-
Если для соединения с OCSP-сервером требуется аутентификация, то соответствующие параметры должны быть заданы в групповых политиках соответствующего клиента, либо переданы в качестве аргуметов соответствующим функциям КриптоПро ЭЦП SDK.
-
Адрес OCSP-сервера должен либо содержаться в расширении AIA (Authority Information Access) сертификата, на ключе которого создаётся подпись, либо должен быть передан в структуре CADES_SIGN_PARA с использованием полей cAdditionalOCSPServices и rgAdditionalOCSPServices, либо должен быть задан в групповой политике КриптоПро OCSP Client Адрес службы OCSP по умолчанию, либо его можно указать в свойствах сертификата УЦ, выдавшего данный сертификат. Для этого сертификат УЦ нужно установить в соответствующее хранилище локального компьютера, после чего указать необходимый адрес в свойствах на вкладке «Протокол OCSP».
-
Сертификат, на котором создаётся подпись и сертификат службы штампов времени, должны проверяться на отзыв и для них должны строиться цепочки.
-
Для сертификата службы актуальных статусов должна строиться цепочка, также он должен иметь расширение Признак доверия службе OCSP (id-pkix-ocsp-nocheck - OID 1.3.6.1.5.5.7.48.1.5).
-
Должена быть установлена лицензия на КриптоПро OCSP Client.
Проверка сообщения
Для проверки подписи со штампом времени и усовершенствованной подписи необходимо, чтобы в хранилище "Доверенные корневые центры сертификации" ("Root") были установлены сертификаты:-
корневой сертификат для сертификата, на котором была сделана подпись;
-
корневой сертификат для сертификата службы штампов времени.