Здравствуйте! помогите пожалуйста разобраться куда копать. Задача такая - нужно чтобы через свой сайт можно было подписывать документы разных форматов. Загрузить документ, нажать на кнопку "подписать" и чтобы документ подписался.

Что мне для этого нужно?

Я так понял плагин КриптоПро ЭЦП Browser plug-in справляется с данной работой?

Но не понимаю для чего тогда нужно ставить на сервер, на котором находится сайт программу
cryptcp?

Или как раз таки плагин КриптоПро ЭЦП Browser plug-in не нужен, поскольку после отправки файла на сервер, его будет перехватывать php Скрипт и вызывать утилиту cryptcp для подписи файла?

Помогите пожалуйста разобраться. И я правильно понял, что можно скачать тестовые ключи и бесплатно пользоваться для обучения и тестирования?

Спасибо! а вы можете пояснить? У нас должен быть сайт. У каждого пользователя на нем будет личный кабинет. Пользователь сможет прикреплять файлы разных форматов в своем личном кабинете и подписывать их. Именно тогда нужна будет утилита cryptcp чтобы подписывать файлы на стороне сервера?

И я правильно понял, что нет универсальной команды для подписания документов любого типа? Для каждого нужна своя утилита - для pdf - одна, для office документов другая? Невозможно подписывать произвольные файлы, например, архивы, картинки?

Отредактировано пользователем 10 октября 2018 г. 10:31:37(UTC)  | Причина: Не указана

DSS Lite позволяет решить такую задачу

Скорее, наверно, проверять действительность и подписи и сертификата? Да, для проверки подписи ГОСТ нужно как минимум установить криптопровайдер, поддерживающий ГОСТ. Заметьте, что криптопровайдеры у клиента и на сервере могут быть разные, так как сертификат и базовая подпись формируются по одному международному формату и если криптопровайдеры указывают в сертификате и подписи одинаковые оид алгоритмов гост проверка будет доступна даже с другим криптопровайдером.

Если Вы воспользуетесь "универсальным" (не зависимым от формата подписываемого файла) методом (через плагин), то подпись может быть отсоединенной (не изменяющей исходный файл), в этом случае будет два загружаемых клиентом файла. Парой файлов не очень удобно управлять в хранилище, но удобно сразу проверять или открывать файл. Если выберите присоединенную подпись, то файл будет один - вокруг данных подписываемого документа будет обертка из подписи, такой файл удобно хранить, но перед проверкой или открытием файла нужно будет "снять подпись", то есть разделить файл на 2 части. Для проверки это можно сделать и в памяти, а вот для открытия придется записывать еще один файл.
В случае метода подписи зависимого от формата (аналоги КриптоПро PDF и КриптоПро Office Signature), то подпись будет включена в формат подписываемого документа, то есть снимать ее перед открытием документа не нужно, приложение открывающее файл уже знает как с ней работать и отображать пользователю. Хотя с этим тоже есть проблемы, например, Office 2007 понимает подписи в документах, созданных в версиях и выше и ниже (и 2003 и 2010 версии). Однако Office 2010 "не понимает" подписи 2003 версии - выдает, что они недействительные, хотя на 2002, 2003, 2007 версиях подпись успешно проверяется. Аналогично Office 2003 "не понимает" подписи 2010 версии. В итоге, большинство сайтов ориентируется на "универсальную" отсоединенную подпись и загрузку 2 файлов.Да, в подпись может дополнительно включаться: либо только сертификат клиента либо вся цепочка сертификатов либо вся цепочка без корневого сертификата. В любом из 3 случаев по сертификату клиента из подписи будет возможно проверить математическую корректность подписи. Для проверки цепочки корневые сертификаты должны быть установлены на компьютере, где проверяется подпись (на сервере), даже если корневой присутствует в подписи. Если в подпись включен только сертификат клиента, то нужно установить также и промежуточные сертификаты (иногда цепочка построится и без этого, но лучше подстраховаться). В случае подписи ГОСТ и когда клиенты пользуются разными УЦ наиболее удобен вариант, когда на сервере установлен корневой сертификат ГУЦ, на клиенте установлена вся цепочка сертификатов от ГУЦ до сертификата клиента, в подпись включены все сертификаты цепочки кроме корневого ГУЦ.

Судя по снимку плагин успешно загрузился. Возможно, в Internet Explorer потребуется добавить адрес сайта в доверенные узлы. Просмотрите сертификат в хранилище личные - на первой страничке внизу должно присутствовать что-то вроде "Имеется закрытый ключ, соответствующий сертификату", на последней страничке - построена цепочка доверия до корневого сертификата без красных крестов и восклицательных знаков.

Также желательно добавить сайт в список разрешенных в самом плагине (Пуск - все программы - Криптопро - Настройки ЭЦП Браузер плагин, правой кнопкой открыть с помощью - Internet Explorer). Без добавления бывает появляется запрос на доступ к хранилищу сертификатов, на который пользователи не обращают внимание (полоска внизу или верху страницы) или отвечают нет - в таком случае будет отображаться сообщение, что сертификаты не найдены как на Вашем снимке.