في
الجزء الأول من قصتنا ، أوضحنا كيف ، في أيدينا ، رمز تشفير مع دعم للتشفير الروسي ، إنشاء طلب للحصول على شهادة ، والحصول على وتثبيت شهادة الرمز المميز ، والتحقق من التوقيع الإلكتروني للشهادة وصلاحيتها مقابل قائمة الشهادات الملغاة (CRL) الرمز المميز ، وتغيير الملصقات ، وما إلى ذلك
بعد إنشاء طلب شهادة (بعد إنشاء زوج مفاتيح) ، واستلام شهادة في المرجع المصدق (CA) وتعيينها على رمز مميز ، لا شيء يمنعنا من الآن من استخدام شهادة شخصية (شهادة مع زوج مفاتيح) للتوقيع الإلكتروني للمستندات. لنبدأ. أولاً ، تذكر أين توجد الأداة المساعدة cryptoarmp11.
بعد ذلك ، قم بتشغيل الأداة المساعدة وانقر فوق الزر "1. قم بتوقيع المستند":
نختار الملف مع المستند الذي نريد توقيعه ، ونقرر في الدليل أين سنحفظ الملف بالتوقيع (ستكون نهاية اسم هذا الملف .p7s). نقرر ما إذا كان سيتم تخزين المستند الموقّع نفسه في نص التوقيع أم لا (التوقيع المرفق / غير المتصل). والأهم من ذلك ، نحن تحديد تنسيق التوقيع. في رأيي ، يمكنك الالتزام بالقواعد التالية. إذا كان هذا
تدفقًا داخليًا لمستندات الشركة ، حيث يتم تنفيذ مراقبة صارمة على أجهزة الكمبيوتر ، فسيكون كافيًا استخدام تنسيق توقيع
CAdes -BES ، والذي يتضمن ، بالإضافة إلى التوقيع الرياضي ، وفقًا لـ GOST R 34.10-2012 ووقت إنشاء التوقيع (حقل الوقت الحالي). إذا لم يكن هناك سيطرة صارمة على أجهزة الكمبيوتر (يمكن للجميع ضبط أي وقت على أجهزة الكمبيوتر الخاصة بهم) ، وتاريخ توقيع المستند مهم ، فعليك استخدام تنسيق CAdes-T أو CAdes-XLT1. عند استخدام تنسيقات CAdes-T و CAdes-XLT1 ، فإن الجانب الخارجي متورط (يشبه جذب natarius) - خادم طابع زمني. باستخدام تنسيق CAdes-T ، تتم إضافة استجابة خادم طابع الوقت إلى الملف بالتوقيع الإلكتروني (انظر حقل "خادم TSP"). تتيح لك هذه الإجابة (وهذا أيضًا مستند بتنسيق PKCS # 7 ، موقّع من قِبل خادم TSP) تحديد الوقت الذي تم فيه توقيع المستند. يجب أن يؤخذ في الاعتبار أنه في كثير من الأحيان يتم التحقق فقط من توقيع رياضي ، ويتم حذف صلاحية التوقيع نفسه عن طريق الطوابع الزمنية. للتحقق من صحة التوقيع ، بالطبع ، مطلوب التحقق من صحة الشهادات. وهكذا ، من أجل تبسيط هذا العمل ، يتضمن تنسيق توقيع CAdes-XLT1 تضمين جميع ملفات إثبات صحة التوقيع في ملف التوقيع في وقت إنشائه. هذه هي الشهادات ، بما في ذلك شهادات المرجع المصدق (CA) وخوادم طابع الوقت وخوادم ocsp ، بالإضافة إلى قوائم الشهادات الملغاة والردود على خوادم OCSP. لن نتناول هذا. الذي يريد أن يجد الأدب المناسب.
لذلك ، قررنا تنسيق التوقيع وقمنا بالنقر فوق الزر "توقيع المستند". بعد ذلك ، سنحتاج إلى إدخال رمز PIN آخر للرمز ، ثم يظهر تحذير حول بداية تشكيل التوقيع والحاجة إلى التحلي بالصبر ، وفي النهاية ، سيتم إنشاء التوقيع:
ما الذي يتطلبه الأمر لإنشاء توقيع؟ هذا ، بالطبع ، هو الحسابات الرياضية نفسها وجمع البيانات المختلفة (الشهادات ، CRLs ، استجابات خادم OCSP ، الطوابع الزمنية). كل شيء ، يتم إنشاء التوقيع. عند استلام الشهادة في المرجع المصدق (CA) ، تأكد من معرفة عنوان خادم الطابع الزمني الخاص بك. إذا تم أخذ ارتباطات شهادات المراجع المصدقة (
سلسلة الشهادات) ، إلى قوائم الشهادات المبطلة ، وكذلك خادم OCSP من الشهادات ، فيجب إدخال عنوان خادم طابع الوقت يدويًا (الحقل "خادم TSP").
كيفية التأكد من إنشاء التوقيع بشكل صحيح ويمكن نقل المستند إلى الحالة. على الإنترنت ، يمكنك العثور على مواقع مختلفة للتحقق من التوقيع. يقوم البعض منهم بالتحقق فقط من التوقيع غير المتصل ، بينما يقوم الآخرون بفحص كل شيء وإبلاغهم جيدًا:
ولكن في كلتا الحالتين ، هذا لا يضمن لك أن يتم قبول توقيعك في المنظمة التي تقدم فيها المستند الموقع ، على سبيل المثال ، على موقع خدمة الدولة. ويرجع ذلك إلى حقيقة أنه يمكن بطرق مختلفة تخزين أدلة التحقق من صحة التوقيع بتنسيق XLT1 والتحقق منها. لذلك ، على سبيل المثال ، على موقع خدمة الدولة ، من الضروري أن يتم تخزين دليل صحة شهادة خادم الطابع الزمني في التوقيع الذي تم استلامه من الخادم. وإذا لم يكونوا هناك ، فعلى الرغم من احتمال وجودهم في توقيع المستند ، سيتم إبطال التوقيع على موقع خدمات الدولة. كل شيء على ما يرام مع توقيعنا:
نذهب إلى صفحة "2. العمل مع ES (PKCS7)" وتحديد الملف الذي تم إنشاؤه على الفور:
عند تحميل توقيع ، تملأ الأداة المساعدة الحقول المناسبة في النافذة الرئيسية. تعرض لقطة الشاشة هذا جيدًا. يوضح تاريخ إنشاء التوقيع على كمبيوتر المستخدم (الحقل "تاريخ التوقيع:") ، وعندما تم التحقق من هذا التاريخ على خادم الطابع الزمني (الحقل "تاريخ استلام الطابع الزمني") وعندما تم جمع جميع أدلة الصلاحية (الحقل "تاريخ الموافقة على الملصق" الوقت ").
ما هي العمليات التي يمكن تنفيذها على توقيع واضح أيضا. الأكثر أهمية هنا هو إضافة توقيع إلى وثيقة موقعة سابقا. للقيام بذلك ، ما عليك سوى اختيار شهادة لإضافة توقيع جديد (تناظر تزوير المستندات) ولا تنسَ اختيار خادم TSP:
وإذا نظرت إلى من وقع المستند ، فهناك الآن موقعان. وتم التحقق من كلا التواقيع بنجاح على موقع الخدمات العامة:
في رأيي ، الأداة المساعدة تتوافق مع تطلعات
الحصول على أداة مساعدة لتوقيع المستندات ، والحصول على "شهادات على الرموز مع مفتاح غير قابل للاسترداد بحيث يمكنهم قراءة كل شيء بأنفسهم".
ومع ذلك ، قررنا المضي قدمًا وإدراج صفحة في هذه الأداة المساعدة للعمل مع حاوية
PKCS # 12 ، التي أصبحت شائعة بشكل متزايد. وإذا كنت تحتاج الآن لتوقيع وثيقة ما ، فأنت تحتاج إلى رمز PKCS # 11 ومكتبة لها ، ثم عند استخدام PKCS # 12 ، ستحتاج فقط إلى الحاوية نفسها. وبالطبع الأداة التي تحدثنا عنها اليوم. ولكن هذه الأداة هي مكتفية ذاتيًا تمامًا ، وعلى عكس CSP المختلفة ، لا تعمل على تصحيح أي نواة وتعمل على أي نظام أساسي. لذلك ،
ننتقل إلى الجزء الثالث .