Совместимость Дп И Криптоарм

[strashila]

Добрый день.

Может быть кто нибудь сталкивался со следующей проблемой:

Необходимо настроить обмен файлами по ДП между двумя организациями я - первая, и некоторая вторая.

У обеих организация есть Vip Net Деловая почта(далее ДП).

Взаимный экспорт и импорт сделать не проблема. Проблема в подписи.

У второй организации УЦ на базе Vip Net аккредитован, по этому они смогут в рамках 63 ФЗ подписывать файлы этим сертификатом и отправлять, и документооборот в этом случае будет юридически значимым. У первой организации УЦ не аккредитован, по этому нельзя подписывать файлы данными сертификатами.

Но у сотрудников первой организации есть сертификаты УЦ Такском. Но подписывать ими есть возможность только в КриптоАрме (если пытаюсь в ДП подписать выбранным сертификатом то ДП не видит внешний контейнер). Накладываю подпись в программе КриптоАРМ. После наложения подписи пытаюсь в ДП проверить подпись, на что ДП дает ответ - не найдено подписей у выбранных файлов. КриптоАРм по умолчанию подписывает в формате der или base 64, при этом расширение *.sig. Такую подпись ДП не воспринимает, пробовал ставить расширение *.v7s и *.p7s, но безрезультатно. ДП ни в какую не видит подпись.Возможно есть какой то хитрый формат, в котором КриптоАрм позволяет подписывать, и этот формат ДП воспринимает.

В обратную сторону все как работает - подписываю файл в ДП сертификатом, в КриптоАрм импортирую личный, корневой и СОС из УКЦ, и тогда криптоарм спокойно снимает подпись наложенную ДП.

Сталкивался ли кто нибудь с подобной проблемой?

[AnTonN(c)]

Могу предложить вариант все-таки настроить использование криптопровайдера КриптоПРО в Деловой Почте.

Тогда не будет необходимости подписывать в КриптоАРМ, и подпись будет проверяться в ДП нормально.

Что это потребует на АП-отправителе:

Желательно обновиться до 3.2.10.

В настройках параметров безопасности с правами Администратора СУ разрешить использование внешнего криптопровайдера (стр. 80 Использование сертификата, изданного сторонним удостоверяющим центром документации на ДП) и настроить работу с внешним криптопровайдером. Потребуется сертификат отправителя, сертификат издателя и СОС.

На приемной стороне нужно будет тоже поместить сертификат издателя и СОС в хранилище ОС. Чтобы без геморроя было, лучше бы сделать следующее

1. В УКЦ сети 1 (там, где будут использоваться сертификаты Такском) импортировать СОС и корневой сертификат Такском как внешний сертификат, к которому есть доверие. ViPNet такое умеет. При этом корневой сертификат Такском и СОС будут попадать на АП с Деловой Почтой сети 1 в обновлениях ключей.

2. 2. В УКЦ сети 2 (там где аттестованный УЦ ViPNet) желательно сделать то же самое, иначе подпись писем ДП из сети 1 не будет проверяться по причине отсутствия СОС и корневого.

3. Настроить в ДП сети 1 использование для подписи сертификатов Такском и подписывать письма и вложения без всякого КриптоАРМ.

Если этот вариант не пройдет, то остается внедрять Криптофайл на тех машинах сети 2, где нужно проверять подпись под файлом, выполненным в КриптоАРМ. Но это значит, что файл из письма в сети 2 нужно будет сохранять на диск, а это, по-моему, хуже, чем предлагаемый вариант.

[MORO]

Я правильно понял, что научить "КриптоАРМ+ViPNet CSP" на одной стороне и "Деловую почту" на другой понимать формат выходных файлов (как минимум, заверенных ЭП, пусть даже не зашифрованных) друг друга - невозможно?

[MORO]

Yes! Я его выиграл!

Вчера упёрся и таки нашёл комбинацию настроек, при которой КриптоАРМ и ДП понимают взаимно подписанные ЭП файлы.

Шифрование победить, увы, не удалось. Но с ЭП всё нормально.

Сторона 1: КриптоАРМ+ViPNet CSP.

Сторона 2: Деловая почта.