Имя: Пароль:
1C
1С v8
Установка ЭЦП на сервер с возможностью подписания менеджерами документов на клиентах
,
0 h_d_d
 
26.05.21
10:16
Всем доброго времени суток.

Подскажите, реально ли реализовать такую схему подписания документов:
Установить подпись на сервер - и дать всем менеджерам на клиентских ПК доступ на подписание документов ТОЛЬКО в 1с, без доступа к подписанию на своих ПК других документов и в сторонних сервисах и сайтах?
Если это реально, то как можно реализовать подобное, подскажите, пожалуйста? Либо ЭЦП делать ограниченную только для 1С? какие варианты?
1 Bigbro
 
26.05.21
10:19
сделать виртуальную машину на которой администратору зарезать все кроме 1с, на эту же машину поставить ЭЦП, доступ  по RDP и вперед.
2 mikecool
 
26.05.21
10:23
(0) емнип - такая возможность есть, но на прошлом моем месте админы не смогли это сделать
3 h_d_d
 
26.05.21
10:54
Вот и я слышал, что возможность есть, но админы реализовать даже что-то подобное не могут (( говоря- нет, и все(...
4 Bigbro
 
26.05.21
11:41
(3) ссаными тряпками гнать таких админов.
вменяемые должны говорить "нет, потому что ..." и дальше список аргументов. более или менее адекватный.
5 vde69
 
26.05.21
11:46
на сервере ставишь https://www.gnupg.org/ дальше все просто, для каждого пользователя делаешь отдельную директорию в которую кладешь его сертификат, из 1с формируешь на сервере строку подписания файла и все...
6 Garykom
 
гуру
26.05.21
12:15
7 Garykom
 
гуру
26.05.21
12:15
(6)+ программист
8 h_d_d
 
26.05.21
12:43
Bigbro , аргумент такой, что если бы так можно было бы, что смысла в ЭЦП отсутствовала бы, Т.К. будет иметь совсем полный доступ... что противоречит сути. Как вариант предложили установить на вервер, по РДП подключаться и подписывать, НО!!! В таком случае, с сервера ( по РДП) будет возможность подписать все, что угодно!! естественно, такой вариант не рассматривается даже...

vde69 , звучит очень просто, но сомневаюсь, что будет так же на деле..)) спасибо большое, попробую передать админам..
9 h_d_d
 
26.05.21
12:50
Garykom были бы рядом программисты, не писал бы этот вопрос на форум).. но как вариант! Спасибо!
10 Garykom
 
гуру
26.05.21
12:51
(8) Советую слегка повысить свой уровень знаний
Чтобы не вестись на "спасибо большое, попробую передать админам.." с GnuPG которая не УКЭП по законам РФ
11 Bigbro
 
26.05.21
12:58
(8) перечитал трижды, так и не понял сути возражений.
что с РДП, что без РДП из 1с будет возможность подписать все что угодно. вопрос ответственности.
12 timurhv
 
26.05.21
12:59
(0) Подписать файл в 1С, скачать с ЭЦП, удалить файл в 1С? Уехать из страны.
13 Megas
 
26.05.21
15:31
(8) Можно так сделать. Я так делал, проблем вообще не вижу.
14 Megas
 
26.05.21
15:33
(8)
Вот это предложение не понял "Т.К. будет иметь совсем полный доступ... что противоречит сути."

Если они имеют ввиду что по "сути нельзя" - то да - по сути это не правильно, должен подписывать человек, а не сервер, но сделать так можно.
15 Biker
 
26.05.21
15:49
(0) Подпись поди одна, директора ?
16 h_d_d
 
26.05.21
15:53
Garykom не совсем понял что имеете ввиду...
17 h_d_d
 
26.05.21
15:55
Bigbro возражение в том, что надо подписывать ТОЛЬКО в 1с, но обрезать все остальные варианты они не предлагали.. задача - разрешить подписывать документы ТОЛЬКО в 1с!
18 h_d_d
 
26.05.21
16:00
Megas "Т.К. будет иметь совсем полный доступ... что противоречит сути.".. здесь они имеют ввиду, что у каждого менеджера будет тот же полный доступ к подписанию не только в 1с, что и на рабочем ПК, что по РДП на сервере... на сервере ничего не обрезали и ничего не ограничивали..
19 h_d_d
 
26.05.21
16:01
Biker Да, подпись одна, но проблема то не в этом.. можно и 10 заказать, но вопрос то в другом..
20 Garykom
 
гуру
26.05.21
16:06
(16) Имею но введу... в смысле у вас слабое понимание что такое ЭП, криптопровайдер, сертификат УКЭП и прочее
Да у вас вполне понятная хотелка

Только начните с того что любая УКЭП она выдается на конкретное ФИО!

Короче если у вас много сотрудников подписывают одной подписью генерального директора - это профанация

У каждого сотрудника должна быть по закону своя собственная и тут ваша хотелка (подписи на сервере) пропадает же да?
21 El_Duke
 
гуру
26.05.21
16:11
(0) Дайте админам ссылку на 1С ИТС где расписано как настроить ЭДО

1.Ставишь криптопровайдер
2.Устанавливаешь сертификаты
3. настраиваешь какими документами кто будет пользоваться и что подписывать
22 Lama12
 
26.05.21
16:15
(0) Правильно ли я понимаю? Вам нужно что бы пользователи имели доступ к сертификату, но при этом могли им воспользоваться только в 1С.
23 RomaH
 
naïve
26.05.21
16:31
(20) ну не скажи
у нас электронные больничные
более 100 врачей с ЭЦП
более 10 мест "выдачи" больничных (там где документ должен подписываться подписью руководителя)

врачи "бегают" по рабочим местам

пришли к тому, что все подписи врачей - на сервере
подпись "руководителя" - только на ПК в местах выдачи (возможно связано с тем, что не стали бороться с тем, что шифрование в конфигурации только на клиенте реализовано)

врачу не надо таскать с собой флешку, и нам не надо устанавливать сертификат врача на каждый новый для него комп
доступ к сертификату врача ограничен конфигурацией 1С - пользователи не имеют доступа к сертификату ни программно, ни физически
24 Garykom
 
гуру
26.05.21
16:36
(23) И вы не понимаете что у вас система скомпрометирована?
25 Garykom
 
гуру
26.05.21
16:37
(24)+ Потому что банально любой кто сможет подменить в 1С реквизит может фактически подписать чужим УКЭП?
26 Garykom
 
гуру
26.05.21
16:38
ЭП предполагает что никто кроме как чья она не может никак ей воспользоваться
27 Garykom
 
гуру
26.05.21
16:40
(23) Это у вас до первого судебного дела/разбирательства
Когда некто будет отрицать что он что то подписывал ибо хрень какая то а пароль у меня на бумажке записан был на мониторе
28 h_d_d
 
26.05.21
16:43
Garykom  Спасибо за пояснение!)
В целом я понимаю логику и суть подписания...
Да, понимание программирования и устройства ПО и тд слабое, именно по этой причине и создана была эта тема

Насчет дел и разбирательств... а что мешает менеджеру так же прибежать к руководству (как делается эта сейчас у нас и у многих ввиду ввода маркировок и тд), взять яко бы на подписание ЭДО или еще чего-то.. и так же подписать ненужные документы?

Поэтому  основной вопрос остается актуальным)
Но спасибо, что пояснили о негативных последствиях
29 h_d_d
 
26.05.21
16:45
El_Duke , если я правильно понял ваши рекомендации, задача при этом не решается.. в итоге мы регулируем права по подписанию в 1С, но подпись все так же остается доступной для подписания других документов ВНЕ 1С...
30 h_d_d
 
26.05.21
16:47
Lama12 доступ только для подписания документов в 1С (не полный доступ к ЭЦП для копирования и тд)
31 h_d_d
 
26.05.21
16:49
RomaH , как это возможно организовать?
32 El_Duke
 
гуру
26.05.21
16:54
(29) Задача решается
Админы должны сделать так, чтобы из терминала не было доступа ни к каким дискам где могут быть "другие документы"
33 Garykom
 
гуру
26.05.21
17:12
(28) >что мешает менеджеру так же прибежать к руководству (как делается эта сейчас у нас и у многих ввиду ввода маркировок и тд), взять яко бы на подписание ЭДО или еще чего-то.. и так же подписать ненужные документы?

ЭП это замена собственноручной подписи

У вас могут менеджеры прибежать к руководству и "взять у него погонять его руку" чтобы подписать ненужные документы?
34 Йохохо
 
26.05.21
17:27
(28) а у вас руководство доступно 24/7/366? если нет скажите им что они мне бесполезны
35 roman52
 
26.05.21
20:36
а что никто не упомянул про штатный режим последних типовых с серверным режимом использования ЭЦП?
https://images.app.goo.gl/WzmDDxRu2PoqZLt39
36 Garykom
 
гуру
26.05.21
20:41
(35) не во всех конфах реализовано и не для всего
может быть для отчетности, для маркировки, для эдо и т.д. раздельно где то есть а где то нетути
37 Bigbro
 
27.05.21
04:18
(17) (18) прочтите сообщение (2) "...зарезать все, кроме 1с..." - если админы этого не умеют, отправляйте их на свалку картриджи менять.
если на сервере кроме 1с физически невозможно ничего запустить - то подпись не может быть использована нигде кроме как в 1с.
38 Гений 1С
 
гуру
27.05.21
06:33
Кароче, рассказвваю.
Ставишь на комп босса эцп. Там по расписанию запускается 1с-клиент и подписывает все доки в 1с с галкой "к подписанию". Всё, бинго.
39 Irbis
 
27.05.21
06:40
(38) И насрать что босс даже не в курсе, что подписал.

Жил был один менеджер по продажам. Пошел устраиваться на работу. Долго ли коротко ли резюме рассылал, а как-то пришел в одну контору на собеседование с генеральным директором. И шло у них собеседование шесть часов. Уже и директор взмок, и менеджер три раза воды просил. А все никак не могут договориться. Начинали с двухсот баксов в месяц - а уже за два с половиной килобакса спорят, и проценты, и бонусы, и какие-то еще там спортзалы, мобильные связи, обеды, подъемные, страховки, отпуск, командировочные, машину служебную, ноутбук, кучу всякого менеджер себе выбил. Сдался в итоге генеральный директор, все условия выполнил. Все, что менеджер просил - дал. Приступил менеджер к работе, и за первый месяц увеличил продажи втрое, потом вдесятеро, потом в сто раз, потом вообще все в конторе продал, включая мебель, канцтовары, секретаршу - мужикам в баню, базу данных клиентов - конкурентам, а самого шефа - налоговой.

Потому что это был, сука, очень хороший менеджер по продажам.
40 Bigbro
 
27.05.21
06:51
(39) боян, но - жиза! ))
41 Irbis
 
27.05.21
06:58
(40) Как всегда в каждой шутке есть только доля шутки.
42 RomaH
 
naïve
27.05.21
07:02
(24) понимаем
что там надо - по железному сейфу в каждый кабинет?...

зато у нас все-таки врач САМ подписывает ЭД, в других больницах все подписи на флешках в ящике стола - надо подписать Ивановым - ищет Иванова - вставляет - подписывает
и журнальчик 1С ведет - и вход в программу по виндус аутентификации - т.е. при хранении на сервере (ТОЛЬКО на сервере) мы гарантируем, что подписью будут подписаны только конкретные типы документов, о них мы будем знать и мы их можем аудировать

если же подпись на флешке - х.з. где врач её оставит, подписать можно что угодно и где угодно ...