Всем доброго времени суток.

Подскажите, реально ли реализовать такую схему подписания документов:
Установить подпись на сервер - и дать всем менеджерам на клиентских ПК доступ на подписание документов ТОЛЬКО в 1с, без доступа к подписанию на своих ПК других документов и в сторонних сервисах и сайтах?
Если это реально, то как можно реализовать подобное, подскажите, пожалуйста? Либо ЭЦП делать ограниченную только для 1С? какие варианты?

сделать виртуальную машину на которой администратору зарезать все кроме 1с, на эту же машину поставить ЭЦП, доступ  по RDP и вперед.

(0) емнип - такая возможность есть, но на прошлом моем месте админы не смогли это сделать

Вот и я слышал, что возможность есть, но админы реализовать даже что-то подобное не могут (( говоря- нет, и все(...

(3) ссаными тряпками гнать таких админов.
вменяемые должны говорить "нет, потому что ..." и дальше список аргументов. более или менее адекватный.

на сервере ставишь https://www.gnupg.org/ дальше все просто, для каждого пользователя делаешь отдельную директорию в которую кладешь его сертификат, из 1с формируешь на сервере строку подписания файла и все...

(0) https://www.cryptopro.ru/products/other/cryptcp

(6)+ программист

Bigbro , аргумент такой, что если бы так можно было бы, что смысла в ЭЦП отсутствовала бы, Т.К. будет иметь совсем полный доступ... что противоречит сути. Как вариант предложили установить на вервер, по РДП подключаться и подписывать, НО!!! В таком случае, с сервера ( по РДП) будет возможность подписать все, что угодно!! естественно, такой вариант не рассматривается даже...

vde69 , звучит очень просто, но сомневаюсь, что будет так же на деле..)) спасибо большое, попробую передать админам..

Garykom были бы рядом программисты, не писал бы этот вопрос на форум).. но как вариант! Спасибо!

(8) Советую слегка повысить свой уровень знаний
Чтобы не вестись на "спасибо большое, попробую передать админам.." с GnuPG которая не УКЭП по законам РФ

(8) перечитал трижды, так и не понял сути возражений.
что с РДП, что без РДП из 1с будет возможность подписать все что угодно. вопрос ответственности.

(0) Подписать файл в 1С, скачать с ЭЦП, удалить файл в 1С? Уехать из страны.

(8) Можно так сделать. Я так делал, проблем вообще не вижу.

(8)
Вот это предложение не понял "Т.К. будет иметь совсем полный доступ... что противоречит сути."

Если они имеют ввиду что по "сути нельзя" - то да - по сути это не правильно, должен подписывать человек, а не сервер, но сделать так можно.

(0) Подпись поди одна, директора ?

Garykom не совсем понял что имеете ввиду...

Bigbro возражение в том, что надо подписывать ТОЛЬКО в 1с, но обрезать все остальные варианты они не предлагали.. задача - разрешить подписывать документы ТОЛЬКО в 1с!

Megas "Т.К. будет иметь совсем полный доступ... что противоречит сути.".. здесь они имеют ввиду, что у каждого менеджера будет тот же полный доступ к подписанию не только в 1с, что и на рабочем ПК, что по РДП на сервере... на сервере ничего не обрезали и ничего не ограничивали..

Biker Да, подпись одна, но проблема то не в этом.. можно и 10 заказать, но вопрос то в другом..

(16) Имею но введу... в смысле у вас слабое понимание что такое ЭП, криптопровайдер, сертификат УКЭП и прочее
Да у вас вполне понятная хотелка

Только начните с того что любая УКЭП она выдается на конкретное ФИО!

Короче если у вас много сотрудников подписывают одной подписью генерального директора - это профанация

У каждого сотрудника должна быть по закону своя собственная и тут ваша хотелка (подписи на сервере) пропадает же да?

(0) Дайте админам ссылку на 1С ИТС где расписано как настроить ЭДО

1.Ставишь криптопровайдер
2.Устанавливаешь сертификаты
3. настраиваешь какими документами кто будет пользоваться и что подписывать

(0) Правильно ли я понимаю? Вам нужно что бы пользователи имели доступ к сертификату, но при этом могли им воспользоваться только в 1С.

(20) ну не скажи
у нас электронные больничные
более 100 врачей с ЭЦП
более 10 мест "выдачи" больничных (там где документ должен подписываться подписью руководителя)

врачи "бегают" по рабочим местам

пришли к тому, что все подписи врачей - на сервере
подпись "руководителя" - только на ПК в местах выдачи (возможно связано с тем, что не стали бороться с тем, что шифрование в конфигурации только на клиенте реализовано)

врачу не надо таскать с собой флешку, и нам не надо устанавливать сертификат врача на каждый новый для него комп
доступ к сертификату врача ограничен конфигурацией 1С - пользователи не имеют доступа к сертификату ни программно, ни физически

(23) И вы не понимаете что у вас система скомпрометирована?

(24)+ Потому что банально любой кто сможет подменить в 1С реквизит может фактически подписать чужим УКЭП?

ЭП предполагает что никто кроме как чья она не может никак ей воспользоваться

(23) Это у вас до первого судебного дела/разбирательства
Когда некто будет отрицать что он что то подписывал ибо хрень какая то а пароль у меня на бумажке записан был на мониторе

Garykom  Спасибо за пояснение!)
В целом я понимаю логику и суть подписания...
Да, понимание программирования и устройства ПО и тд слабое, именно по этой причине и создана была эта тема

Насчет дел и разбирательств... а что мешает менеджеру так же прибежать к руководству (как делается эта сейчас у нас и у многих ввиду ввода маркировок и тд), взять яко бы на подписание ЭДО или еще чего-то.. и так же подписать ненужные документы?

Поэтому  основной вопрос остается актуальным)
Но спасибо, что пояснили о негативных последствиях

El_Duke , если я правильно понял ваши рекомендации, задача при этом не решается.. в итоге мы регулируем права по подписанию в 1С, но подпись все так же остается доступной для подписания других документов ВНЕ 1С...

Lama12 доступ только для подписания документов в 1С (не полный доступ к ЭЦП для копирования и тд)

RomaH , как это возможно организовать?

(29) Задача решается
Админы должны сделать так, чтобы из терминала не было доступа ни к каким дискам где могут быть "другие документы"

(28) >что мешает менеджеру так же прибежать к руководству (как делается эта сейчас у нас и у многих ввиду ввода маркировок и тд), взять яко бы на подписание ЭДО или еще чего-то.. и так же подписать ненужные документы?

ЭП это замена собственноручной подписи

У вас могут менеджеры прибежать к руководству и "взять у него погонять его руку" чтобы подписать ненужные документы?

(28) а у вас руководство доступно 24/7/366? если нет скажите им что они мне бесполезны

а что никто не упомянул про штатный режим последних типовых с серверным режимом использования ЭЦП?
https://images.app.goo.gl/WzmDDxRu2PoqZLt39

(35) не во всех конфах реализовано и не для всего
может быть для отчетности, для маркировки, для эдо и т.д. раздельно где то есть а где то нетути

(17) (18) прочтите сообщение (2) "...зарезать все, кроме 1с..." - если админы этого не умеют, отправляйте их на свалку картриджи менять.
если на сервере кроме 1с физически невозможно ничего запустить - то подпись не может быть использована нигде кроме как в 1с.

Кароче, рассказвваю.
Ставишь на комп босса эцп. Там по расписанию запускается 1с-клиент и подписывает все доки в 1с с галкой "к подписанию". Всё, бинго.

(38) И насрать что босс даже не в курсе, что подписал.

Жил был один менеджер по продажам. Пошел устраиваться на работу. Долго ли коротко ли резюме рассылал, а как-то пришел в одну контору на собеседование с генеральным директором. И шло у них собеседование шесть часов. Уже и директор взмок, и менеджер три раза воды просил. А все никак не могут договориться. Начинали с двухсот баксов в месяц - а уже за два с половиной килобакса спорят, и проценты, и бонусы, и какие-то еще там спортзалы, мобильные связи, обеды, подъемные, страховки, отпуск, командировочные, машину служебную, ноутбук, кучу всякого менеджер себе выбил. Сдался в итоге генеральный директор, все условия выполнил. Все, что менеджер просил - дал. Приступил менеджер к работе, и за первый месяц увеличил продажи втрое, потом вдесятеро, потом в сто раз, потом вообще все в конторе продал, включая мебель, канцтовары, секретаршу - мужикам в баню, базу данных клиентов - конкурентам, а самого шефа - налоговой.

Потому что это был, сука, очень хороший менеджер по продажам.

(39) боян, но - жиза! ))

(40) Как всегда в каждой шутке есть только доля шутки.

(24) понимаем
что там надо - по железному сейфу в каждый кабинет?...

зато у нас все-таки врач САМ подписывает ЭД, в других больницах все подписи на флешках в ящике стола - надо подписать Ивановым - ищет Иванова - вставляет - подписывает
и журнальчик 1С ведет - и вход в программу по виндус аутентификации - т.е. при хранении на сервере (ТОЛЬКО на сервере) мы гарантируем, что подписью будут подписаны только конкретные типы документов, о них мы будем знать и мы их можем аудировать

если же подпись на флешке - х.з. где врач её оставит, подписать можно что угодно и где угодно ...