КриптоПро в составе сертификата 1С-Отчетность | Астрал Бух

У клиента есть управляющая компания, действующая на основании договора об управлении

Управляющая компания будет указана в ЕГРЮЛ. В данном случае подписывает руководитель управляющей компании или другие лица, которые имеют право действовать без доверенности.

Выпуск подписи на руководителя или сотрудника управляющей компании проходит по аналогичному сценарию. 

Выбираем архитектуру

С лицензиями определились, теперь выделяем одну (аппаратные лицензии) или две (программные лицензии) виртуальные машины под кластер 1С. Характеристики машин примерно такие:

PostgreSQL можно держать на той же машине что и саму 1С.

Обратите внимание, что виртуальные диски лучше держать на шине SATA или SCSI (виртуальная машина с поддержкой UEFI загрузки, например ovmf), и физически осуществлять хранение на lvm томе или iSCSI/FiberChannel/SAS LUN´e. Это позволит Вам в любой момент увеличить объем диска под нужды операционной системы или базы данных.

Если вы используете KVM, то укажите шину IDE для сервера лицензирования и VirtIO-SCSI для кластера 1С/СУБД.

После подготовки машин устанавливаем туда любимый дистрибутив (для начинающих я рекомендую Ubuntu Server 16.04 LTS), СУБД (например PostgreSQL), серверную часть платформы 1С предприятия на сервера лицензирования и кластер 1С. При желании можно дополнить конфигурацию веб-сервером Apache2.

Выпуск подписи на фл

Выпуск и использование сертификата на физическое лицо (ФЛ) реализованы в связи со вводом машиночитаемых доверенностей (МЧД).

Криптопро в составе сертификата 1с-отчетность | астрал бух

Купить криптопро, встроенная в электронную подпись 1с-отчетность цена 790 руб.

Определяемся с лицензиями

В 1С есть два типа лицензий — на сервер и на клиент. Лицензии на сервер позволяют работать в режиме клиент-сервера, а именно это нам и нужно для работы 1С-Отчетности в Linux. Лицензии на клиент позволяют запустить клиентское программное обеспечение (толстый, тонкий, веб) и регламентируют одно подключение к базе (программные) или много подключений с одного устройства (аппаратные).

Если у вас нет лицензии на сервер, то теоретически должен работать тонкий клиент при подключении к файловой базе через Apache — но данная конфигурация не проверялась.Если у вас только одна информационная база — то выгоднее использовать программные клиентские лицензии.

Если у вас с каждой базой работает не более 5и человек одновременно, то можно с чистой совестью брать лицензию на Сервер-Мини на 5 подключений. Она и стоит не дорого, и держит 5 1 (клиент конфигуратор) подключений (сеансов) до каждой информационной базы, для 32х и 64х битного варианта сервера.

Если у вас клиентская лицензия программная, и она одна (например в случае с электронной поставкой), то имейте в виду, что программная лицензия в клиент-серверном варианте расходуется на каждое подключение к базе. То есть запустить конфигуратор и клиент одновременно по сети уже не получится.

Ещё момент, и он очень важен: Аппаратная лицензия расходуется на каждого клиента (IP адрес) а программная — на подключение (сеанс) пользователя. Количество программных лицензий равно максимальному количеству подключений. Программная лицензия при этом привязана к оборудованию, и очень жестко, по этому общая рекомендация — выносить сервер лицензирования как отдельную виртуальную машину с 2ГБ (двумя Гибибайтами) оперативной памяти и виртуальным дисковым контроллером SATA или IDE, обязательно указав серийные номера дисков. Сам сервер лицензирования не требует серверной лицензии.

В качестве платформы виртуализации подойдет KVM (qemu), Citrix (Xen) или VMWare (V-Sphere, ESXi), использовать VirtualBox или Hyper-V не рекомендую.

Отправка заявления в 1с

В мастере подключения к 1С-Отчетности в поле Сертификат эл. подписи отметьте Издать новый.

В поле Получить сертификат эл. подписи выберите из списка в инспекции ФНС:

Для отправки заявления потребуется токен:

Заполните остальные реквизиты и нажмитеОтправить заявление.

В открывшемся окне нажмитеСоздать закрытый ключ. Укажите место хранения контейнера закрытого ключа — токен.

После успешной отправки ожидайте на e-mail, указанный в заявлении, уведомление, о том, что проверки пройдены успешно и нужно пройти идентификацию в ФНС.

Получение подписи на руководителя в фнс и дл уц фнс

Варианты получения подробно описаны в статье и в памятке.

Необходимо получить КЭП в ФНС:

1. Определить свою налоговую инспекцию из списка.
2. Записаться на прием в ФНС, которая выдает подписи. Не каждая ФНС выдает подписи. Проверьте данную возможность, воспользовавшись инструкцией.
3. Приобрести токен.
4. Приобрести СКЗИ (КриптоПро CSP). 
5. Посетить ФНС в назначенное время.
6. Получить USB-токен с КЭП.

Для выпуска квалифицированной электронной подписи необходимо иметь с собой:

• основной документ, удостоверяющий личность (паспорт);
• сведения о страховом номере индивидуального лицевого счета (СНИЛС);
• сведения об идентификационном номере налогоплательщика (ИНН);
• сертифицированный носитель (USB-токен) для записи на него ключей электронной подписи.

Для начала работы:

Получение подписи на сотрудника

Выпустите подпись на сотрудника с использованием доверенности. Подпись на сотрудника выпускается и перевыпускается в сервисе 1С-Отчетность бесплатно.

Используйте «бумажный» вариант доверенности.

Для выпуска подписи на сотрудника, нужно предоставить оригинал бумажной доверенности Партнеру (кто проверяет документы), подписанную руководителем организации с печатью. Далее, Партнер прикрепляет скан доверенности и отправляет заявку на выпуск сертификата. 

Формирование доверенности возможно несколькими способами:

Получение сертификата в 1с

После успешного прохождения процедуры идентификации обновите статус заявления в 1С, нажав кнопку Обновить

Далее подключите токен к ПК, нажмите Настроить автоматически:

Сертификат будет установлен, можно пользоваться сервисом.

Также по теме: Вопрос — Ответ.

Предоставление доверенности в фнс

Предоставить (отвезти) в инспекцию бумажную доверенность, подписанную руководителем. 

Решение 1. формирование электронной доверенности в 1с-отчетность

1. Зарегистрировать КЭП руководителя в сервисе 1С-Отчетность путем подачи заявки на подключение 1С-Отчетность. Будут сформированы все настройки у подписи, в т.ч. выполнена её регистрация в ИРУД.
2. Сформировать электронную доверенность на сотрудника из сервиса 1С-Отчетность. Доверенность необходимо подписать КЭП руководителя.
3. Используя сервис 1С-Отчетность, отправить доверенность в ФНС. Дождаться изменения статуса на «Зарегистрировано».
4. Выпустить подпись на сотрудника, используя новое подключение к сервису 1С-Отчетность (Заявка на изменение).
1. Оформить оригинал доверенности на сотрудника по форме АУЦ «Калуга Астрал».
2. Сотрудник с документами должен пройти идентификацию (список, можно выбрать удобный адрес).
3. При идентификации передать оригинал доверенности на сотрудника по форме АУЦ «Калуга Астрал».
5. Токен не обязателен, можно сформировать КЭП в реестр на компьютер или на flash-накопитель.
6. СКЗИ — сотрудник может выбрать КриптоПро CSP (платный) или ViPNet CSP (бесплатный).
7. Для 1С:Фреш выпустить подпись с хранением в программе.
8. Начать отправку отчетности в КО, используя подпись сотрудника.

Решение 2. загрузка электронной доверенности, подписанной сторонними средствами

В случае, если подключение к сервису 1С-Отчетность с подписью руководителя невозможно, существует возможность подключения к сервису с использованием подписи сотрудника. Необходимо выпустить электронную подпись на сотрудника предприятия. Далее, загрузить электронную доверенность, подписанную с помощью сторонних средств подписью руководителя, например, с помощью КриптоПро CSP:

Файл для электронной доверенности формируется также, как и в предыдущем варианте.

Сдача отчетности за ип

Существует возможность сдачи отчетности за ИП сотрудником или представителем. Также ИП может выпустить доверенность на представителя (другое ЮЛ или ИП).

Это можно сделать в сервисе 1С-Уполномоченный Представитель (1С-УП).

1. Если ИП планирует сдавать отчеты по доверенности без получения собственного сертификата КЭП, то предоставляет оригинал доверенности в ФНС и представитель сдает отчетность за ИП. Тут изменений нет.
2. Если ИП планирует приобрести собственный сертификат, то должен получить его в УЦ ФНС и далее обраться к УП. После чего приступить к сдаче отчетности. Отчетность подписывается подписью ИП. Доверенность представлять не нужно, либо нужно оформить доверенность на представителя (другое ЮЛ или ИП). 
3. У УП отсутствует передоверие. Через УП невозможно выпустить сертификат на сотрудника организации и в дальнейшем сдавать отчеты, подписанные сертификатом сотрудника.

Способ 1. доверенность для удостоверяющего центра «калуга астрал»

Для УЦ «Калуга Астрал» действует своя форма доверенности. Ее необходимо заполнить, распечатать, подписать и поставить печать. В УЦ предоставляется ОРИГИНАЛ доверенности.

Способ 2. «бумажная» доверенность для фнс

В 1С доступна форма доверенности, которую можно заполнить в 1С, затем распечатать, подписать и поставить печать:

Требования к носителю ключевой информации

УЦ ФНС России поддерживает ключевые носители формата USB Тип-а (далее токен), в частности:

• Рутокен ЭЦП 2.0,
• Рутокен S,
• Рутокен Lite,
• JaCarta-2 SE (JaCarta-2 PKI/ГОСТ/SE),
• JaCarta LT,
• JaCarta-2 ГОСТ,
• JaCarta-2 PKI/ГОСТ,
• JaCarta PKI,
• ESMART Token,
• ESMART Token ГОСТ,
• а также иные, соответствующие установленным требованиям.

Требования к скзи

Согласно требованиям УЦ ФНС для работы с ЭП необходимо использовать КриптоПро CSP.

У руководителя имеется кэп

В случае, если руководитель имеет КЭП, но отчетность подписывает сотрудник, можно воспользоваться одним из решений:

У руководителя отсутствует кэп

В случае если руководитель не имеет КЭП и не планирует её получать, отчетность может подписать сотрудник. Для этого необходимо:

1. Выпустить КЭП на сотрудника:
   1. Оформить оригинал доверенности на сотрудника по форме АУЦ «Калуга Астрал»:
      1. Сотрудник с документами должен пройти идентификацию (список АУЦ КА, можно выбрать удобный адрес).
      2. При идентификации необходимо приложить оригинал доверенности на сотрудника по форме АУЦ «Калуга Астрал».
      3. Выпустить подпись на сотрудника в сервисе «1С-Отчетность».
   2. Токен не обязателен, можно сформировать и сохранить КЭП в реестре, на ПК или на flash-накопителе.
   3. СКЗИ. Сотрудник может выбрать КриптоПро (платный) или VipNet (бесплатный).
   4. Для «1С: Фреш» выпустить подпись с возможностью хранения в программе.
   5. Оформить «бумажную» доверенность на сотрудника, который будет подписывать отчетность.
   6. Зарегистрировать “бумажную” доверенность в ФНС. Необходимо отнести оригинал доверенности в ФНС.
2. Начать отправку отчетности в контролирующие органы,  используя подпись сотрудника. При отправке отчетности доверенность прикрепляется автоматически.

Часть вторая: готовим начинку клиент

Установка клиентской части в чем то тривиальна — устанавливаем общие компоненты из состава сервера и толстый клиент (для рабочих мест можно только тонкий). В качестве клиентской системы я рекомендую что-нибудь простое и удобное для простого пользователя, все таки работать в системе будет либо руководство, либо бухгалтер, возможно ещё кассиры и иной персонал.

В моем случае выбор падает на Linux Mint, вы можете выбрать и другой дистрибутив, например Rosa или Astra Linux, в силу религиозных государственных предпочтений. Нужно отметить что на текущий момент 1С не очень хорошо дружит с Gnome 3.0 и его производными, в частности на момент написания статьи 1С 8.3.

На настоящий момент 1С-Отчетность работает только с СКЗИ КриптоПро (захардкожено в 1С), тем не менее ЭДО можно использовать с тем же VipNet или другим CADES совместимым СКЗИ.

Толстый и тонкий клиент:

mkdir 1c-dist
tar -zxf deb64.tar.gz -C 1c-dist
tar -zxf client-deb64.tar.gz -C 1c-dist
sudo dpkg -i 1c-dist/1c-enterprise83-{common,server,client}*.deb

Только тонкий клиент:

mkdir 1c-dist
tar -zxf thin.client-deb64.tar.gz -C 1c-dist
sudo dpkg -i 1c-dist/1c-enterprise83-thin-client*.deb

Устанавливаем КриптоПро 4.0:

mkdir cp-csp
tar -zxf linux-amd64_deb.tgz -C cp-csp
sudo apt-get install pcscd pcsc-tools opensc lsb-core lsb-release
sudo dpkg -i cp-csp/linux-amd64_deb/cprocsp-{compat-debian,curl,rdr-emv,rdr-gui-gtk,rdr-mskey,rdr-novacard,rdr-pcsc,rdr-rutoken,rsa}*.deb cp-csp/linux-amd64_deb/lsb-cprocsp-{base,ca-certs,capilite,kc1,pkcs11,rdr-64}*.deb

Проверяем и устанавливаем лицензию на КриптоПро (можно остаться на пробной версии и попробовать продукт перед приобретением, или если у вас лицензия на КриптоПро в составе сертификата — ничего не делать):

/opt/cprocsp/sbin/amd64/cpconfig -license -view
/opt/cprocsp/sbin/amd64/cpconfig -license -set <ваш лицензионный ключ>

Теперь подключаем к рабочей станции USB токен, смарт-карту, флешку с контейнером КриптоПро, производим вывод перечня контейнеров и импортируем сертификаты. При импорте с рутокена могут быть проблемы с кодировкой в наименовании контейнера, в этом случае можно воспользоваться inline вызовом iconv для преобразования кодировки, там cp1251.

/opt/cprocsp/bin/amd64/csptest -keyset -enum -verifycontext -fqcn

На выходе должны получить список контейнеров вида:.Aktiv Rutoken lite 00 00blahblahblah.Aktiv Rutoken ECPblahblahblah.HDIMAGEmycontЕсли получили крякозяблики в имени контейнера пробуем вывести сведения вот так:

/opt/cprocsp/bin/amd64/csptest -keyset -enum -verifycontext -fqcn | iconv -f cp1251

В случае если контейнер создан в ОС Windows и имеет в имени кириллицу, импорт конкретного контейнера будет чуть чуть усложнен, но не невозможен.

/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\.Aktiv Rutoken lite 00 00blahblahblah'

Или в случае cp1251

Часть первая: готовим коржи сервер.

Итак, если у Вас ещё нет своего кластера 1С, то самое время его поднять. Если есть — можно приступать к следующему шагу. Я не буду детально разбирать базовые вещи, они и без меня хорошо освещены на портале ИТС и других технических ресурсах, посвященных 1С бухгалтерии. Вместо этого я акцентирую внимание на мелочах, на которые следует обратить внимание и о которых обычно забывают.

Часть третья: покрываем глазурью

Завершающий этап самый важный. На этой стадии мы уже имеем установленный и настроенный кластер серверов 1С предприятия, и клиентскую машину с тонким и толстым клиентами 1С. Толстый клиент нам понадобится для первоначального развертывания ИБ, активации лицензий и обновления конфигурации ИБ (режим конфигуратора) в остальных случаях нам хватит тонкого клиента. Сама 1С-Отчетность работает только в тонком клиенте.

P.S. Может быть сотрудники 1С или Калуги-Астрал пояснят такое поведение системы при работе с внешней компонентой взаимодействия с СКЗИ.

Настраиваем подключение к базе:

Запускаем клиент 1С и добавляем новое подключение к информационной базе. Если база данных на кластере серверов ещё не существует, создаем её из толстого клиента, можно пустую с последующим импортом дампа средствами конфигуратора (dt,cf файл) или СУБД.

Настраиваем СКЗИ в 1С:

Все настройки приводятся для интерфейса “Такси”, если вы используете классический интерфейс 1С-Предприятия — выбирайте соответствующие пункты главного меню программы.

Открываем “Администрирование” -> “Настройки программы”: “Обмен электронными документами”.

Из открывшейся вкладки выбираем “Электронная подпись и шифрование”: “Настройки электронной подписи и шифрования”.

Переходим на вкладку “Программы”, находим “КриптоПро CSP (ГОСТ 2001)” и “КриптоПро CSP (ГОСТ 2022)” — для этих программ указываем путь “/opt/cprocsp/lib/amd64/libcapi20.so”. После ввода пути программы можем переключиться на любой пункт списка, состояние результата проверки должно смениться с “Не указан путь к программе” на “Установлена на компьютере”.

Добавляем сертификаты и проверяем работу СКЗИ:

Переходим на вкладку “Сертификаты”, нажимаем кнопку “Добавить” из установленных на компьютере. Выпускать сертификат на стороне тонкого клиента я ещё не пробовал, раньше он не работал. Выбираем сертификат из установленных в хранилище пользователя, нажимаем кнопку “Проверить”, вводим

пинкод

пароль. Должны получить окно с прошедшей проверкой сертификата:

Добавляем оператора документооборота:

Теперь нам нужно добавить оператора документооборота, если он не настроен на уровне Windows клиента ранее. Для этого открываем “Отчеты” -> “1С-Отчетность”: “Регламентированные отчеты”. Из открывшейся вкладки выбираем пункт “Настройки” и далее “Заявление на подключение к 1С-Отчетности” или “Настройки обмена с контролирующими органами”.

В случае ручной настройки обмена с КО, нажимаем на направление сдачи отчетности, которое мы настраиваем, например ФНС. В открывшемся окне выбираем “Документооборот в универсальном формате с использованием встроенного механизма” и создаете новую учетную запись документооборота (или выбираете уже существующую).

В “Назначении” учетной записи указываете направления обмена у данного оператора, выбираете оператора ЗАО “Калуга-Астрал” или ООО “Такском”. Почтовый адрес — указываете адрес электронной почты выданный оператором ЭДО. Идентификатор документооборота — указываете ваш, присвоенный оператором ЭДО и идентификатор оператора (первая часть вашего идентификатора до дефиса).

Осуществляем автонастройку оператора:

Выбираете пользователей и нажимаете “Автонастройка”. Должен пройти обмен данными, расшифроваться xml контейнер с настройками и обновиться сертификаты головных и подчиненных УЦ. Данную операцию (автонастройку) нужно провести первый раз вручную на всех линукс-клиентах.

Настраиваем сервер на автоматический обмен ЭДО и ЭДКО (опционально):

Открываем “Администрирование” -> “Настройки программы”: “Обслуживание”. Далее “Регламентные операции”: “Регламентные и фоновые задания”. Находим в списке “Обновление проверок контролирующими органами”, “Получение результатов отправки отчетности” и “Обмен с контролирующими органами”.

Проверяем работу оператора документооборота, ЭДО и 1С-Отчетности.

К сожалению все ещё остается проблема в реализациях подсистем ЭДО и ЭДКО. Например при получении подтверждения и отправке отчета в контролирующие органы необходимо каждый раз вводить пин-код контейнера для каждого факта подписания данных. Пин-код, сохраненный в настройках ЭДО не учитывается конфигурацией 1С, возможно такое поведение исправят в следующих версиях ПО. Одно можно сказать точно: лед тронулся.

Электронная доверенность в фнс

 Отправить электронную доверенность через сервис «1С-Отчетность».