在我们的故事的
第一部分中 ,我们展示了如何在手中拥有支持俄罗斯加密的加密令牌,创建证书请求,获取并安装令牌证书,针对已撤销证书(CRL)列表验证证书的电子签名及其有效性,如何从中删除证书令牌,更改标签等。
创建了证书请求(已生成密钥对),在CA中接收到证书并将其设置为令牌之后,现在没有什么可以防止使用个人证书(带有密钥对的证书)进行文档的电子签名了。 让我们开始吧。 首先,回想一下cryptoarmp11实用程序所在的位置。
接下来,运行该实用程序,然后单击“ 1.签署文档”按钮:
我们选择带有我们要签名的文档的文件,然后确定要保存带有签名的文件的目录(此文件名的结尾为.p7s)。 我们决定是否将签名文档本身存储在签名正文中(附加/断开签名)。 最重要的是,我们确定签名的格式。 我认为,您可以遵守以下规则。 如果这是内部公司文档
流 ,其中对计算机进行严格控制,则使用
CAdes -BES签名格式就足够了,该格式除了数学签名外,还符合GOST R 34.10-2012和签名生成时间(当前时间字段)。 如果对计算机没有严格的控制(每个人都可以在其计算机上设置任何时间),并且文档签名的日期很重要,则必须使用CAdes-T或CAdes-XLT1格式。 当使用CAdes-T和CAdes-XLT1格式时,涉及外部(类似于吸引natarius)-时间戳服务器。 对于CAdes-T格式,时间戳服务器的响应将添加到具有电子签名的文件中(请参见“ TSP服务器”字段)。 此答案(也是TSP服务器签名的PKCS#7格式的文档)使您可以确定文档在什么时间签名。 应该记住的是,通常仅验证数学签名,并且省略了时间戳本身的有效性。 当然,要验证签名的有效性,需要验证证书的有效性。 因此,为了简化这项工作,CAdes-XLT1签名格式暗含了在创建签名时所有签名有效性的证据在签名文件中。 这些是证书,包括CA,时间戳服务器,ocsp服务器的证书,以及吊销证书的列表和OCSP服务器的响应。 我们不会对此进行详细说明。 谁想找到合适的文献。
因此,我们决定了签名的格式,然后单击了“对文档签名”按钮。 接下来,我们将需要为令牌输入另一个PIN码,然后将出现关于签名形成开始的警告以及需要耐心等待的警告,最后将创建签名:
创建签名需要什么? 当然,这是数学计算本身以及各种数据(证书,CRL,OCSP服务器响应,时间戳)的集合。 一切都已创建签名。 在CA中收到证书后,请确保找出您CA的时间戳服务器的地址。 如果从证书中获取到证书颁发机构(证书
链 )的证书,已撤销证书的列表以及OCSP服务器的链接,则必须手动输入时间戳服务器的地址(“ TSP服务器”字段)。
如何确保正确创建签名并且可以将文档转移到案件中。 在Internet上,您可以找到各种站点来验证签名。 他们中的一些人只检查断开的签名,其他人则检查所有内容并告知:
但是,无论哪种情况,都不能保证您的签名将在您提供签名文件的组织中被接受,例如在国家服务网站上。 这是由于这样的事实,可以以不同的方式存储和验证XLT1格式的签名有效性的证据。 例如,在国家服务局的网站上,要求将时间戳服务器证书有效性的证据存储在从服务器接收的签名中。 如果他们不在那儿,那么尽管它们可能出现在文件的签名中,但国家服务网站上的签名将失效。 签名就可以了:
我们转到页面“ 2.使用ES(PKCS7)”,然后立即选择具有创建的签名的文件:
加载签名时,实用程序将在主窗口中填写适当的字段。 屏幕截图显示得很好。 它显示何时在用户计算机上生成签名(字段“签名日期:”),何时在时间戳服务器上验证该日期(字段“时间戳的接收日期”)以及何时收集了所有有效证据(字段“标签的批准日期”)时间”)。
可以对签名执行的操作也很清楚。 这里最令人感兴趣的是在先前签名的文档上添加签名。 为此,只需选择一个证书以添加新的签名(类似于文件访问的模拟),并且不要忘记选择TSP服务器:
如果您查看谁签署了该文档,那么现在有两个签署者。 并且两个签名均已在公共服务网站上成功验证:
在我看来,该实用程序与
拥有一种用于签署文档
的实用程序的愿望相对应,该实用
程序具有“用不可恢复的密钥自己可以读取所有内容的令牌上的证书”。
但是,我们决定走得更远,并在此实用程序中包含一个页面,用于处理
PKCS#12容器,该页面正变得越来越流行。 并且,如果现在要签署文档,则需要PKCS#11令牌和用于它的库,那么在使用PKCS#12时,您仅需要容器本身。 当然还有我们今天讨论的实用程序。 但是,该实用程序绝对是自给自足的,并且与各种CSP不同,它不修补任何内核并且可以在任何平台上工作。 因此,我们
继续第三部分 。