Вход | Регистрация
 
1С:Предприятие :: 1С:Предприятие 8 общая

Установка ЭЦП на сервер с возможностью подписания менеджерами документов на клиентах

Установка ЭЦП на сервер с возможностью подписания менеджерами документов на клиентах
Я
   h_d_d
 
26.05.21 - 10:16
Всем доброго времени суток.

Подскажите, реально ли реализовать такую схему подписания документов:
Установить подпись на сервер - и дать всем менеджерам на клиентских ПК доступ на подписание документов ТОЛЬКО в 1с, без доступа к подписанию на своих ПК других документов и в сторонних сервисах и сайтах?
Если это реально, то как можно реализовать подобное, подскажите, пожалуйста? Либо ЭЦП делать ограниченную только для 1С? какие варианты?
 
 Партнерская программа EFSOL Oblako
   Bigbro
 
1 - 26.05.21 - 10:19
сделать виртуальную машину на которой администратору зарезать все кроме 1с, на эту же машину поставить ЭЦП, доступ  по RDP и вперед.
   mikecool
 
2 - 26.05.21 - 10:23
(0) емнип - такая возможность есть, но на прошлом моем месте админы не смогли это сделать
   h_d_d
 
3 - 26.05.21 - 10:54
Вот и я слышал, что возможность есть, но админы реализовать даже что-то подобное не могут (( говоря- нет, и все(...
   Bigbro
 
4 - 26.05.21 - 11:41
(3) ссаными тряпками гнать таких админов.
вменяемые должны говорить "нет, потому что ..." и дальше список аргументов. более или менее адекватный.
   vde69
 
5 - 26.05.21 - 11:46
на сервере ставишь https://www.gnupg.org/ дальше все просто, для каждого пользователя делаешь отдельную директорию в которую кладешь его сертификат, из 1с формируешь на сервере строку подписания файла и все...
   Garykom
 
6 - 26.05.21 - 12:15
   Garykom
 
7 - 26.05.21 - 12:15
(6)+ программист
   h_d_d
 
8 - 26.05.21 - 12:43
Bigbro , аргумент такой, что если бы так можно было бы, что смысла в ЭЦП отсутствовала бы, Т.К. будет иметь совсем полный доступ... что противоречит сути. Как вариант предложили установить на вервер, по РДП подключаться и подписывать, НО!!! В таком случае, с сервера ( по РДП) будет возможность подписать все, что угодно!! естественно, такой вариант не рассматривается даже...

vde69 , звучит очень просто, но сомневаюсь, что будет так же на деле..)) спасибо большое, попробую передать админам..
   h_d_d
 
9 - 26.05.21 - 12:50
Garykom были бы рядом программисты, не писал бы этот вопрос на форум).. но как вариант! Спасибо!
   Garykom
 
10 - 26.05.21 - 12:51
(8) Советую слегка повысить свой уровень знаний
Чтобы не вестись на "спасибо большое, попробую передать админам.." с GnuPG которая не УКЭП по законам РФ
   Bigbro
 
11 - 26.05.21 - 12:58
(8) перечитал трижды, так и не понял сути возражений.
что с РДП, что без РДП из 1с будет возможность подписать все что угодно. вопрос ответственности.
   timurhv
 
12 - 26.05.21 - 12:59
(0) Подписать файл в 1С, скачать с ЭЦП, удалить файл в 1С? Уехать из страны.
   Megas
 
13 - 26.05.21 - 15:31
(8) Можно так сделать. Я так делал, проблем вообще не вижу.
   Megas
 
14 - 26.05.21 - 15:33
(8)
Вот это предложение не понял "Т.К. будет иметь совсем полный доступ... что противоречит сути."

Если они имеют ввиду что по "сути нельзя" - то да - по сути это не правильно, должен подписывать человек, а не сервер, но сделать так можно.
   Biker
 
15 - 26.05.21 - 15:49
(0) Подпись поди одна, директора ?
   h_d_d
 
16 - 26.05.21 - 15:53
Garykom не совсем понял что имеете ввиду...
   h_d_d
 
17 - 26.05.21 - 15:55
Bigbro возражение в том, что надо подписывать ТОЛЬКО в 1с, но обрезать все остальные варианты они не предлагали.. задача - разрешить подписывать документы ТОЛЬКО в 1с!
   h_d_d
 
18 - 26.05.21 - 16:00
Megas "Т.К. будет иметь совсем полный доступ... что противоречит сути.".. здесь они имеют ввиду, что у каждого менеджера будет тот же полный доступ к подписанию не только в 1с, что и на рабочем ПК, что по РДП на сервере... на сервере ничего не обрезали и ничего не ограничивали..
   h_d_d
 
19 - 26.05.21 - 16:01
Biker Да, подпись одна, но проблема то не в этом.. можно и 10 заказать, но вопрос то в другом..
   Garykom
 
20 - 26.05.21 - 16:06
(16) Имею но введу... в смысле у вас слабое понимание что такое ЭП, криптопровайдер, сертификат УКЭП и прочее
Да у вас вполне понятная хотелка

Только начните с того что любая УКЭП она выдается на конкретное ФИО!

Короче если у вас много сотрудников подписывают одной подписью генерального директора - это профанация

У каждого сотрудника должна быть по закону своя собственная и тут ваша хотелка (подписи на сервере) пропадает же да?
   El_Duke
 
21 - 26.05.21 - 16:11
(0) Дайте админам ссылку на 1С ИТС где расписано как настроить ЭДО

1.Ставишь криптопровайдер
2.Устанавливаешь сертификаты
3. настраиваешь какими документами кто будет пользоваться и что подписывать
   Lama12
 
22 - 26.05.21 - 16:15
(0) Правильно ли я понимаю? Вам нужно что бы пользователи имели доступ к сертификату, но при этом могли им воспользоваться только в 1С.
   RomaH
 
23 - 26.05.21 - 16:31
(20) ну не скажи
у нас электронные больничные 
более 100 врачей с ЭЦП
более 10 мест "выдачи" больничных (там где документ должен подписываться подписью руководителя)

врачи "бегают" по рабочим местам 

пришли к тому, что все подписи врачей - на сервере
подпись "руководителя" - только на ПК в местах выдачи (возможно связано с тем, что не стали бороться с тем, что шифрование в конфигурации только на клиенте реализовано)

врачу не надо таскать с собой флешку, и нам не надо устанавливать сертификат врача на каждый новый для него комп
доступ к сертификату врача ограничен конфигурацией 1С - пользователи не имеют доступа к сертификату ни программно, ни физически
   Garykom
 
24 - 26.05.21 - 16:36
(23) И вы не понимаете что у вас система скомпрометирована?
   Garykom
 
25 - 26.05.21 - 16:37
(24)+ Потому что банально любой кто сможет подменить в 1С реквизит может фактически подписать чужим УКЭП?
   Garykom
 
26 - 26.05.21 - 16:38
ЭП предполагает что никто кроме как чья она не может никак ей воспользоваться
   Garykom
 
27 - 26.05.21 - 16:40
(23) Это у вас до первого судебного дела/разбирательства
Когда некто будет отрицать что он что то подписывал ибо хрень какая то а пароль у меня на бумажке записан был на мониторе
   h_d_d
 
28 - 26.05.21 - 16:43
Garykom  Спасибо за пояснение!)
В целом я понимаю логику и суть подписания...
Да, понимание программирования и устройства ПО и тд слабое, именно по этой причине и создана была эта тема

Насчет дел и разбирательств... а что мешает менеджеру так же прибежать к руководству (как делается эта сейчас у нас и у многих ввиду ввода маркировок и тд), взять яко бы на подписание ЭДО или еще чего-то.. и так же подписать ненужные документы?

Поэтому  основной вопрос остается актуальным)
Но спасибо, что пояснили о негативных последствиях
   h_d_d
 
29 - 26.05.21 - 16:45
El_Duke , если я правильно понял ваши рекомендации, задача при этом не решается.. в итоге мы регулируем права по подписанию в 1С, но подпись все так же остается доступной для подписания других документов ВНЕ 1С...
   h_d_d
 
30 - 26.05.21 - 16:47
Lama12 доступ только для подписания документов в 1С (не полный доступ к ЭЦП для копирования и тд)
 
 
   h_d_d
 
31 - 26.05.21 - 16:49
RomaH , как это возможно организовать?
   El_Duke
 
32 - 26.05.21 - 16:54
(29) Задача решается
Админы должны сделать так, чтобы из терминала не было доступа ни к каким дискам где могут быть "другие документы"
   Garykom
 
33 - 26.05.21 - 17:12
(28) >что мешает менеджеру так же прибежать к руководству (как делается эта сейчас у нас и у многих ввиду ввода маркировок и тд), взять яко бы на подписание ЭДО или еще чего-то.. и так же подписать ненужные документы?

ЭП это замена собственноручной подписи

У вас могут менеджеры прибежать к руководству и "взять у него погонять его руку" чтобы подписать ненужные документы?
   Йохохо
 
34 - 26.05.21 - 17:27
(28) а у вас руководство доступно 24/7/366? если нет скажите им что они мне бесполезны
   roman52
 
35 - 26.05.21 - 20:36
а что никто не упомянул про штатный режим последних типовых с серверным режимом использования ЭЦП?
https://images.app.goo.gl/WzmDDxRu2PoqZLt39
   Garykom
 
36 - 26.05.21 - 20:41
(35) не во всех конфах реализовано и не для всего
может быть для отчетности, для маркировки, для эдо и т.д. раздельно где то есть а где то нетути
   Bigbro
 
37 - 27.05.21 - 04:18
(17) (18) прочтите сообщение (2) "...зарезать все, кроме 1с..." - если админы этого не умеют, отправляйте их на свалку картриджи менять.
если на сервере кроме 1с физически невозможно ничего запустить - то подпись не может быть использована нигде кроме как в 1с.
   Гений 1С
 
38 - 27.05.21 - 06:33
Кароче, рассказвваю.
Ставишь на комп босса эцп. Там по расписанию запускается 1с-клиент и подписывает все доки в 1с с галкой "к подписанию". Всё, бинго.
   Irbis
 
39 - 27.05.21 - 06:40
(38) И насрать что босс даже не в курсе, что подписал.

Жил был один менеджер по продажам. Пошел устраиваться на работу. Долго ли коротко ли резюме рассылал, а как-то пришел в одну контору на собеседование с генеральным директором. И шло у них собеседование шесть часов. Уже и директор взмок, и менеджер три раза воды просил. А все никак не могут договориться. Начинали с двухсот баксов в месяц - а уже за два с половиной килобакса спорят, и проценты, и бонусы, и какие-то еще там спортзалы, мобильные связи, обеды, подъемные, страховки, отпуск, командировочные, машину служебную, ноутбук, кучу всякого менеджер себе выбил. Сдался в итоге генеральный директор, все условия выполнил. Все, что менеджер просил - дал. Приступил менеджер к работе, и за первый месяц увеличил продажи втрое, потом вдесятеро, потом в сто раз, потом вообще все в конторе продал, включая мебель, канцтовары, секретаршу - мужикам в баню, базу данных клиентов - конкурентам, а самого шефа - налоговой.

Потому что это был, сука, очень хороший менеджер по продажам.
   Bigbro
 
40 - 27.05.21 - 06:51
(39) боян, но - жиза! ))
   Irbis
 
41 - 27.05.21 - 06:58
(40) Как всегда в каждой шутке есть только доля шутки.
   RomaH
 
42 - 27.05.21 - 07:02
(24) понимаем
что там надо - по железному сейфу в каждый кабинет?...

зато у нас все-таки врач САМ подписывает ЭД, в других больницах все подписи на флешках в ящике стола - надо подписать Ивановым - ищет Иванова - вставляет - подписывает
и журнальчик 1С ведет - и вход в программу по виндус аутентификации - т.е. при хранении на сервере (ТОЛЬКО на сервере) мы гарантируем, что подписью будут подписаны только конкретные типы документов, о них мы будем знать и мы их можем аудировать

если же подпись на флешке - х.з. где врач её оставит, подписать можно что угодно и где угодно ...


Список тем форума
 
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.