Что нужно развернуть для ЭЦП 1С документооборот?

Question

[NoobStar]

Есть задача, подружить 1с (документооборот)(тонкий клиент) с ЭЦП в доменной среде.
Подключение происходит через тонкие клиенты по rdp на терминальный сервер где запускается 1с.
-------------------------------------------------------------------------------------------------
Правильно ли я понимаю, что есть два варианта хранения сертификатов для этой задачи:
1) Сертификаты пользователей хранятся локально на их тачках в личных сертификатах, в 1с импортирую руками каждому юзеру его сертификат.
2) Сертификаты пользователей хранятся на сервере 1с
***3)А возможен ли вариант, что 1С будет проверять закрытый ключ с токена который проброшен через тонкий клиент по rdp или сертификаты обязательно должны хранится на сервере либо на локальный ПК?
--------------------------------------------------------------------------------------------------------------------------------------------
Правильно ли я понимаю, что на сервер с 1с нужно установить криптопро(серверную)/vipnet(бесплатную) для организации хранения/проверки сертификатов пользователей на сервере?
---------------------------------------------------------------------------------------------------------------------------------------------
Вот тут пишут , что службу "Агент сервера 1с" нужно запускать, под определенным пользователем. От этого же пользователя будет устанавливаться крипто защита на сервере. Не совсем понимаю как при таком случаи хранить/импортировать сертификаты пользователей.

Answer 1

[VitalyChaikin]

У нас используется 1 вариант; На локальном компе юзера устанавливается крипто-про; Затем сертификат добавляется в 1С Документооборот (у нас 1.4) причём это может сделать сам юзер (надо просто знать где это в меню) Токен вставлен в локальный комп юзера.
По второму варианту у меня опыта нет. Надо пробовать, возможно разница только в том, что все сертификаты добавляются с сервера (только и всего)
По третьему варианту, rdp на сервер, и токен вставлен в сервер ? (я правильно понял? ну будет работать;) В целом идея такая: в момент подписания сеанс юзера должен получить доступ к токену;
Про службу "Агент сервера 1с" - всегда запускается под отдельным юзером с правами администратора; Это делается чтобы не возникало проблем (на уровне прав доступа) к службам (крипто-провайдер CSP), к диску и т.п.

Comments

[NoobStar]

Спасибо за ответ.

[NoobStar]

подскажите, а вы сертификаты гостовые сами генерите ?

[VitalyChaikin]

NoobStar, ЭЦП может выдавать только удостоверяющий центр, а с нового года только ФНС;
Сами - это как ? :)

[NoobStar]

VitalyChaikin, токены планируем использовать в тонких клиентах, через которые юзеры конектются по rdp к терминальному серверу.
под "Сами" подразумевалось, что ЭЦЦ (гостовскую) сами генерите внутри доменной среды. Вроде как сервисы такие существуют.

[VitalyChaikin]

NoobStar, "... под "Сами" подразумевалось, что ЭЦЦ (гостовскую) сами генерите внутри доменной среды. Вроде как сервисы такие существуют." , - не знал ...
Так это получается у Вас внутри-конторы-подпись ?
ЭЦП - подразумевается что можно такой подписью визировать документы(договоры) со всеми вытекающими юридическими последствиями; А если Вы сами генерите, то её же не подтвердит удостоверяющий центр ...

[NoobStar]

VitalyChaikin, мы планируем использовать только внутри организации, поэтому ее нужно будет дружить только со своим центром. А если уже с контрагентами общаться или для каких либо внешних ресурсов там да нужно только аккредитованною выпускать за деньги.