Электронная подпись🔗

Электронная подпись позволяет подтвердить подлинность экспортированного файла, а также принадлежность ее владельцу.

Примечание

Наличие электронной подписи является одним из требований Общего регламента по защите данных (GDPR).

Подготовка электронной подписи

Электронная подпись экспортируемых файлов реализуется при помощи сертификатов формата X509. Поддерживаются только сертификаты, в которых используется асимметричный алгоритм RSA.

Корневой сертификат подписанта может быть как самоподписанным корневым сертификатом, так и приобретенным у какого-либо центра сертификации.

На основе главного сертификата подписанта должны быть сгенерированы конечные сертификаты, по одному на каждого пользователя. Эти сертификаты должны быть установлены на компьютер. Их установка осуществляется либо средствами операционной системы, либо с помощью специализированного программного обеспечения.

Корневой сертификат подписанта должен быть внесен у проверяющей стороны в список доверенных.

Генерация сертификатов

Сертификаты для подписи файлов можно сгенерировать с помощью бесплатной утилиты OpenSSL.

Необходимо выбрать версию дистрибутива OpenSSL v1.1.1s Light, которая соответствует разрядности используемой операционной системы.

После того как утилита OpenSSL будет установлена, необходимо открыть Командную строку и последовательно ввести команды, описанные ниже.

Шаг 1. Добавьте директорию OpenSSL в переменную среды PATH.

Если установлена версия Win64 OpenSSL v1.1.1s Light:

path=%path%C:\Program Files\OpenSSL-Win64\bin\;

Если установлена версия Win32 OpenSSL v1.1.1s Light:

path=%path%C:\Program Files\OpenSSL-Win32\bin\;

Шаг 2. Создайте каталог, в котором будут находиться сгенерированные сертификаты. В командной строке перейдите в созданный каталог.

Шаг 3. Сгенерируйте закрытый ключ корневого сертификата:

openssl genrsa -out *rootCertKeyName*.key 2048

Шаг 4. Сгенерируйте корневой сертификат:

openssl req -x509 -new -key *rootCertKeyName*.key -days 10000 -out *rootCertName*.crt

Примечание

При выполнении этой команды будет предложено заполнить информацию о сертификате.

Шаг 5. Сгенерируйте закрытый ключ сервиса:

openssl genrsa -out *serviceCertKeyName*.key 2048

Шаг 6. Создайте запрос на подпись сертификата сервиса корневым сертификатом:

openssl req -new -key *serviceCertKeyName*.key -out *serviceCertRequestName*.csr

Примечание

При выполнении этой команды будет предложено заполнить информацию о сертификате.

Важным пунктом является заполнение информации о Common Name (e.g. server FQDN or YOUR name), необходимо указать IP-адрес сервиса.

Шаг 7. Подпишите запрос корневым сертификатом, сгенерировав тем самым сертификат сервиса:

openssl x509 -req -in *serviceCertRequestName*.csr -CA *rootCertName.crt -CAkey *rootCertKeyName*.key -CAcreateserial -out *serviceCertName*.crt -days 5000

Шаг 8. Экспортируйте сертификат и закрытый ключ сервиса в один файл для импорта:

openssl pkcs12 -export -out \*serviceCertFileName\*.pfx -inkey \*serviceCertKeyName\*.key -in \*serviceCertName\*.crt -certfile \*rootCertName\*.crt

Примечание

Пункты 5 – 8 следует повторять для каждого пользователя, которому необходимо сгенерировать сертификат. Для этого нужно заменить в командах строку *serviceCertKeyName* на имя пользователя, написанное латинскими буквами без пробелов.

Соответствующие файлы с расширением .pfx должны быть переданы пользователям и импортированы в операционную систему на их рабочих местах.

Корневой сертификат *rootCertName*.crt должен быть импортирован в операционную систему на всех рабочих местах, где планируется осуществлять проверку электронной подписи.

Импортирование сертификатов в систему

Для добавления корневого сертификата необходимо произвести двойной щелчок мышью по файлу *rootCertName*.crt. После этого откроется окно Мастера добавления сертификатов. Далее необходимо следовать шагам, обозначенным цифрами на изображениях ниже:

../_images/digital-signature-step1.png ../_images/digital-signature-step2.png ../_images/digital-signature-step3.png ../_images/digital-signature-step4.png ../_images/digital-signature-step5.png ../_images/digital-signature-step6.png ../_images/digital-signature-step7.png

Для добавления личного сертификата пользователя, который будет использоваться для создания электронной подписи, необходимо произвести двойной щелчок мышью по файлу user.pfx. После этого откроется окно Мастера добавления сертификатов. Далее необходимо следовать шагам, обозначенным цифрами на изображениях ниже:

../_images/digital-signature-sign-step1.png ../_images/digital-signature-sign-step2.png ../_images/digital-signature-sign-step3.png ../_images/digital-signature-sign-step4.png ../_images/digital-signature-sign-step5.png
Настройка приложения Macroscop Клиент

Шаг 1: Открыть приложение Macroscop Клиент под той учетной записью, под которой будут экспортироваться подписанные файлы.

Шаг 2: Перейти в панель управления, нажав по кнопке /win-client/img/ico-panel-show.png, расположенной в левом верхнем углу окна.

Шаг 3: Выбрать в пункте меню пункт /img/ico-settings.png Настройки, затем подпункт /win-client/img/ico-app-settings.png Настройки рабочего места.

Шаг 4: Перейти на вкладку Экспорт.

Шаг 5: Включить опцию Электронная подпись с помощью переключателя /img/ico-switch-on.png.

Шаг 6: Нажать на кнопку Выбрать сертификат.

../_images/digital-signature.png

Шаг 7: В открывшемся окне выбрать тот сертификат, которым данный пользователь будет подписывать файлы.

Предупреждение

Важно, чтобы у импортируемого сертификата был закрытый ключ. Если такого ключа нет, либо в сертификате используется асимметричный алгоритм, отличный от RSA, то при попытке выбора такого сертификата появится следующее сообщение об ошибке:

../_images/digital-signature-error.png
Подписание сохранённого кадра

Для подписания кадра нужно в активной ячейке или в ячейке архива нажать на значок /win-client/img/ico-screenshot-b.png или вызвать контекстное меню и выбрать пункт Сохранить кадр.

Далее в открывшемся окне необходимо выбрать пункт Кадр с цифровой подписью.

../_images/digital-signature-save.png

После нажатия кнопки Сохранить откроется диалоговое окно с выбором местоположения сохраняемого кадра.

Предупреждение

Если электронная подпись не настроена, то вместо окна Сохранение кадра сразу же откроется диалоговое окно с выбором местоположения сохраняемого кадра.

Подписание экспортируемых видеороликов

Для подписания экспортируемого архива нужно в окне Экспорт архива включить опцию Подписать файл.

../_images/digital-signature-export.png

Предупреждение

Если электронная подпись не настроена, то пункт Подписать файл будет недоступен.

Примечание

Файл электронной подписи сохраняется рядом с экспортированным файлом. Название файла подписи состоит из названия экспортированного файла и расширения msig.

Проверка

Для проверки подписанных файлов используется программа Macroscop Проигрыватель. Чтобы проверить электронную подпись файла необходимо открыть файл с расширением msig, либо открыть его через кнопку Проверить электронную подпись в окне программы.

../_images/digital-signature-player.png

Примечание

Macroscop Проигрыватель попытается автоматически найти и проверить экспортированный файл. Если в процессе возникнет ошибка, то будет предложено выбрать файл вручную.

В случае успешной проверки выводится следующее окно:

../_images/digital-signature-correct.png

Если файл был изменён, то выводится следующее окно:

../_images/digital-signature-changed.png

Если сертификат не является доверенным, но файл не был изменен, то выводится следующее окно:

../_images/digital-signature-untrusted.png

Также статус электронной подписи можно посмотреть в формате MCM в ячейках Macroscop Проигрыватель.Для этого нужно навести курсор на значок статуса. Проверка проходит в автоматическом режиме, если был найден соответствующий файл подписи.

../_images/digital-signature-automatic-check.png

Для просмотра подробных сведений нужно кликнуть по значку статуса.

Связанные ссылки

Экспорт архива

Экспорт