Как в 1С включить новый механизм аутентификации в ИС ЭСФ?

Дата создания: 23.08.2023
Дата изменения: 08.11.2023
  • 12713
  • ID: -

    Date: 13:04:2024

  • <неавторизован>

  • Документ Электронный акт выполненных работ
  • Документ Электронный документ ВС
  • Документ Электронный счет-фактура
  • Документ Сопроводительная накладная на товары

КГД МФ РК в пресс-релизе на портале ИС ЭСФ «О завершении настроек учётных систем», проинформировал пользователей о том, что:

  • В ИС ЭСФ поддерживается два метода аутентификации (текущий и новый).
  • Срок поддержки текущего метода аутентификации ранее был продлен до 25 ноября 2023 года.
  • С 26 ноября 2023 года текущий метод аутентификации будет не доступен для ключей GOST 2015;
  • Текущий метод аутентификации в ИС ЭСФ будет доступен только для ключей GOST 2004.

В ИС ЭСФ планируются изменения политики безопасности, связанные с подписанием электронных документов через API. По этой причине добавлена поддержка нового метода аутентификации в ИС ЭСФ в следующих типовых решениях:

Отключение действующего способа аутентификации запланировано на 25 ноября 2023 года, поэтому на текущий момент использование настройки не является обязательным, а поддержка работы нового метода аутентификации осуществляется в пилотном режиме.

Для использования нового метода на устройстве должен быть установлен NCALayer актуальной версии 1.3. Для проверки версии программы необходимо на панели задач найти NCALayer, правой кнопкой мыши вызвать контекстное меню и выбрать пункт О программе.

Новый метод аутентификации в ИС ЭСФ

В результате появится информационное окно с актуальными сведениями. Если у пользователя установлена устаревшая версия программы, нужно установить обновление. Скачать NCALayer можно на официальном сайте НУЦ РК.

Для работы с новым механизмом открытия сессии необходимо установить дополнительный модуль «1С-Рейтинг ЭДО» версии 1.9.5. Для этого нужно на панели задач найти NCALayer, правой кнопкой мыши вызвать контекстное меню и выбрать опцию Управление модулями.

В открывшемся списке выбрать «1С-Рейтинг ЭДО» и Установить модуль, после чего потребуется выполнить перезапуск программы.

Новый метод аутентификации в ИС ЭСФ

Таким образом подготовка NCALayer будет завершена и можно приступать к настройке нового механизма аутентификации в конфигурации «1С:Бухгалтерия 8 для Казахстана», ред. 3.0. 

Перед этим необходимо убедиться в корректной работе компоненты для работы с NCALayer с помощью команды Проверить работу (раздел АдминистрированиеОбщие настройкиЭлектронные счета-фактурыНастройка электронных счетов фактур).

Важно!

При работе новой компоненты имеется ряд технических ограничений:

  1. Поддерживается работа только в режиме выполнения криптографических операций «На компьютерах пользователей», т.е. в случае использования серверной базы с подписью на стороне сервера, компонента работать не будет.
  2. Работа компоненты поддерживается только в операционной системе Windows (начиная с версии Windows 7).
  3. При выполнении запросов не поддерживаются настройки прокси-сервера.

Новый метод аутентификации в ИС ЭСФ

Важно!

После установки новой компоненты NCALayer у пользователя появляется возможность использования ЭЦП нового криптографического стандарта ГОСТ 2015  (единый ключ ЭЦП, который используется, как для аутентификации, так и для подписи). При этом ранее выпущенные ключи также будут работать до истечения срока их действия.

Подключение нового механизма аутентификации осуществляется путём установки галочек  в соответствующие поля раздела Настройка использования компонент и API (пилотный режим).

Механизм состоит из двух настроек: Использовать открытие сессии с подписью NCA Layer и Использовать NCA Layer для подписи документов, активация настроек происходит путём установки галочек в соответствующие поля. Ниже подробнее рассмотрим особенности использования каждой настройки.

Новый метод аутентификации в ИС ЭСФ

При активации настройки Использовать открытие сессии с подписью NCA Layer в 1С:Бухгалтерии применяется новый механизм открытия сессии ИС ЭСФ (без включения – применяется старый способ работы с сессиями).  Напомним, что новый механизм, предполагает необходимость подписания запроса на открытие сессии в системе ключом аутентификации пользователя.

Новый метод аутентификации в ИС ЭСФ

С целью повышения удобства пользователя и сокращения обращений к ИС ЭСФ, разработчиками создан дополнительный механизм, суть которого заключается в том, что после первого подписания информация об открытии сессии (тикет) сохраняется в регистре сведений Активные сессии ИС ЭСФ (Пользователи ИС ЭСФУправление сессиямиАктивные сессии). 

В случае необходимости открытия новой сессии в ИС ЭСФ для выполнения какого-либо действия, если имеется ранее сохраненный тикет сессии и время его действия еще не истекло, то система применяет его и открывает сессию автоматически. 

Если время действия ранее сохраненного тикета истекло, то будет сформирован новый запрос для открытия сессии, который пользователю необходимо заверить своей ЭЦП (подписать ключом для авторизации).

Новый метод аутентификации в ИС ЭСФ

Пользователь может самостоятельно настраивать Время активности сессии (тикета) (раздел АдминистрированиеОбщие настройкиНастройка электронных счетов-фактурКриптографическая библиотека). 

Длительность сессии может быть установлена в промежутке от 0 до 1440 минут, время активности по умолчанию составляет 30 минут. Чем больше значение параметра длительность сессии, тем реже в процессе работы будет требоваться подписание запроса на открытие сессии (реже потребуется указывать в системе ключ для авторизации). Чем короче – тем надежнее защищен доступ к системе с точки зрения политики безопасности.

Новый метод аутентификации в ИС ЭСФ

Настройка Использовать NCALayer для подписи документов

  • Если настройка включена, подпись документов будет выполняться средствами модуля 1С-Рейтинг ЭДО в NCALayer. Для работы с новыми ключами формата ГОСТ 2015 требуется использовать именно этот вариант.
  • Если настройка отключена, подпись будет выполняться средствами прежней криптобиблиотеки. 

До перехода на ключи ЭЦП формата ГОСТ 2015 можно использовать любой из вариантов (ключи прежнего формата до истечения срока их действия поддерживаются новым механизмом). 

Таким образом при установке галочки в поле Использовать открытие сессии с подписью NCA Layer процедура открытия сессии будет осуществляться в соответствии с новым механизмом (подпись в окне NCA Layer, с сохранением открытой сессии и возможностью установки времени её активности), для возврата к старому механизму аутентификации необходимо снять галочку и применить изменения.

Установка галочки в поле Использовать NCALayer для подписи документов активирует новый механизм подписания документов в окне NCALayer. В результате при каждом подписании документа нужно выбирать ключ ЭЦП и вводить к нему пароль. Возврат к старому методу осуществляется аналогично предыдущей настройке.

Данные настройки могут использоваться как вместе, так и по отдельности. В зависимости от того в какие поля установлены галочки: новый механизм может быть отключен (галочки не установлены), использован частично (в части открытия сессии или подписания документов), активирован полностью (как в части открытия сессии так и подписания документов).


  • 12713
Нравится
(Нет голосов)

Практика учета

Комментировать материалы сайта могут зарегистрированные пользователи.
Вход с помощью STSL

36 комментариев


  • Виталий Довыденко
    01.11.2023
    [1]
    |
    [0]
    Пользователи подключаются и работают на терминальном сервере и на самом сервере установлен NCALayer, так как для использования нового метода на устройстве должен быть установлен NCALayer, но на сервере одновременно возможна работа только одного пользователя, подключенного к серверу, как правильно настроить NCALayer и 1С для работы на сервере удаленных рабочих столов для нескольких пользователей одновременно?

    Виктория Гусева
    02.11.2023
    [1]
    |
    [0]
    Вопрос по ограничениям запуска NCALayer на терминальном сервере лучше адресовать разработчику NCALayer  - НУЦ РК (pki.gov.kz). В настоящее время такое ограничение присутствует и для работы  пользователя необходимо обеспечить возможность запуска NCALayer в сеансе пользователя.

    Ведутся работы по предоставлению альтернативных инструментов подписи в подобных условиях, оповестим при выпуске. Вы можете обратиться на линию технической поддержки типового решения для уточнения имеющихся у вас огhаничениях по запуску NCALayer
  • Венера Рахметова
    02.11.2023
    [0]
    |
    [0]
    Добрый день. Установили настройки в 1С, но теперь каждый раз необходимо выбирать ключ Гост для подписи. У нас неверные настройки или так и должно работать? Планируется ли сохранение данных ключа Гост, как было ранее в 1С?
    Виктория Гусева
    02.11.2023
    [0]
    |
    [0]
    В настройках NCALayer (правой кнопкой мыши по NCALayer - Настройки)  можно установить опцию «Сохранять пути к файловым хранилищам»
    Семён Свиридов
    22.11.2023
    [0]
    |
    [0]
    Добрый день! По Вашей рекомендации установили эту опцию в настройках NCALayer. Используем ключ ГОСТ 2015. Результата не последовало - постоянно запрашивает ключ для подписи. Возможно необходимо выполнить какие-либо ещё действия? Или имеется альтернативное решение?
    Семён Свиридов
    22.11.2023
    [0]
    |
    [0]
    Сохранение пути ключа происходит только при авторизации в кабинете ИС ЭСФ - определили опытным путём. Но при отправке документов из 1С теперь выходит окно с выбором сохранённых ключей и следом окно ввода пароля.
  • Зауре Мурзагалиева
    06.11.2023
    [0]
    |
    [0]
    Получается те, кто подключаются удаленно к серверу, не смогут отправлять и получать эсф? или это можно регулировать временем сессии (тикета) для одновременно работающих на сервере? 
  • Виталий Довыденко
    10.11.2023
    [0]
    |
    [0]
    Ниже написан официальный ответ на вопрос "как правильно настроить NCALayer и 1С для работы на сервере удаленных рабочих столов для нескольких пользователей одновременно?" , который был задан на почту esfsd@kgd.minfin.gov.kz

    Добрый день,
    Просим выписывать ЭСФ на веб-портале: https://esf.gov.kz:8443/esf-web/login
    Описанная Вами проблема возникает на стороне Вашей ERP-системы. Служба Поддержки ИС ЭСФ  не компетентна отвечать на запросы по ERP-системам налогоплательщиков. Просим направить данный запрос в службу сопровождения 1С.

    Остается одна надежда  - на разработчиков 1С




    Виктория Гусева
    13.11.2023
    [0]
    |
    [0]
    Вопрос по ограничениям запуска NCALayer на терминальном сервере лучше адресовать разработчику NCALayer  - НУЦ РК (pki.gov.kz). Обратите внимание, что служба поддержки ИС ЭСФ и НУЦ РК - это разные структуры.
    В настоящее время такое ограничение присутствует и для работы  пользователя необходимо обеспечить возможность запуска NCALayer в сеансе пользователя.


    Ведутся работы по предоставлению альтернативных инструментов подписи в подобных условиях, оповестим при выпуске. Вы можете обратиться на линию технической поддержки типового решения для уточнения имеющихся у вас огhаничениях по запуску NCALayer
    Виктория Гусева
    24.11.2023
    [0]
    |
    [0]
    Добрый день, по ранее заданному вопросу обратите внимание на включение в версию 3.0.52.3 возможности применения внешней библиотеки KalkanCrypt НУЦ РК для подписания документов. Этот метод  - альтернатива применению NCALayer в случаях, когда применение NCA Layer невозможно по каким-либо причинам. 
  • Семён Свиридов
    22.11.2023
    [1]
    |
    [0]
    "С 26 ноября 2023 года текущий метод аутентификации будет не доступен на алгоритме GOST для нового формата ключей ГОСТ 2015. Текущий метод аутентификации в ИС ЭСФ будет доступен только для ключей на алгоритме RSA старого формата ГОСТ 2004."Подскажите пожалуйста , с 27 ноября 2023 г старые ключи (AUTHRSA) будут работать в 1С для аутентификации на портале ИС ЭСФ?  Можете пожалуйста описать (прокомментировать), как вы понимаете это сообщение , т.к может быть мы неправильно понимаем его смысловое содержание.
    Марина Девяткина
    22.11.2023
    [0]
    |
    [0]
    Текущий метод аутентификации будет работать со "старыми" ключами, новый метод аутентификации будет работать со "всеми" ключами (ГОСТ 2015 и ГОСТ 2004). Подключение нового механизма аутентификации в 1С осуществляется путём установки соответствующего признака разделе Настройка использования компонент и API в настройках подключения к ИС ЭСФ.
  • Николай Семенов
    24.11.2023
    [0]
    |
    [0]
    Добрый день, прошу уточнить почему постоянно при отправке ЭСФ запрашивается ЭЦП, как Вы пишите выше в инструкции, что Сессии сохраняются и все последующие отправки в течении 1 440 минут, будут не запрашиваться ЭЦП, все настройки в том числе в NCALayer выполнены, НО ЭТО НЕ РАБОТАЕТ!!!
    Как нам работать когда в день в среднем 1000 ЭСФ бухгалтер отправляет?!
    Виктория Гусева
    24.11.2023
    [0]
    |
    [0]
    Добрый день, при отправке документов с применением нового метода аутентификации, необходимость в указании ключа для подписания возникает дважды:
    1. Для открытия сессии требуется подписание запроса ключом для аутентификации.
    2. Для заверения отправляемого документа требуется подписание ключом для подписи.

    Увеличение длительности сессий позволяет сократить количество запросов ключа по пункту 1, но не отменяет (и никак не влияет) за запрос ключа по пункту 2.

    Чтобы сохранить количество запросов на подписание документов, можно использовать пакетную отправку.

    Чтобы упростить выбор ключа в NCA можно использовать сохранение путей к ключевым хранилищам (это настройка NCALayer), указание пароля пользователем при подписании документа при этом все равно будет требоваться.

    Рассмотрите так же возможность применения криптографии Kalkan (добавлена в релизе 3.0.53.2) в качестве альтернативы подписания через NCA Layer. Для предприятий с большим объеме отправляемых документов, это, вероятно, будет удобнее.

    Дополнительно, обратите внимание, что вы можете продолжить работу со старым методом аутентификации, если все пользователи располагают действующими ключами прежнего формата.
    Николай Семенов
    27.11.2023
    [0]
    |
    [0]
    Добрый день, после обновление на последний релиз бухгалтерии 3.0.52.3, выходит у Всех ошибка, компании разные, ошибка у Всех одна, в чем пробема ?

    Виктория Гусева
    27.11.2023
    [0]
    |
    [0]
    Видимо, вы установили признак использования KalkanCrypt  в настройках обмена, но не расположили библиотеку в путях запуска. Ознакомьтесь пож-та с документацией к версии 3.0.52.3 по настройке подключения KalkanCrypt  в учетной системе.
  • Александр Михайлов
    24.11.2023
    [0]
    |
    [0]
    Подскажите пожалуйста, что я делаю не так? В разделе "Криптографическая библиотека" - Компонента для работы со средствами криптографии НУЦ РК написано, что версия в информационной базе - 5.25 Версия на клиенте -1.8 При нажатии на кнопку "Обновить компоненту" - Внешняя компонента успешно установлена. Но версия на клиенте не меняется. Проверка работы проходит успешно, но версия также 1.8
    Виктория Гусева
    24.11.2023
    [0]
    |
    [0]
    Это разные компоненты.
    1.8 актуальная версия прежней компоненты
    5,25 актуальная  версия новой компоненты
    Виктория Гусева
    24.11.2023
    [0]
    |
    [0]
    Версия 1.8 может отображаться в версии на клиенте в разделе настройки новой криптобиблиотеки в случае, если настройки выставлены таким образом, что для подписания документов используется прежний механизм.

    Например, не включена опция использования подписи при открытии сессий ИС ЭСФ или не включена опция подписания документов с помощью NCA.

  • Михаил Мацокин
    24.11.2023
    [2]
    |
    [0]
    Доброго времени. Все сделал по статье и получил следующие- 
    При подписании по новому методу вышла ошибка - Код ВК: 300. Тех. информация: action.canceled. Ключ не принадлежит указанному БИН
    Ключ проверил все работает.
    В чем проблема?
    Виктория Гусева
    24.11.2023
    [0]
    |
    [1]
    Добрый день, БИН в ключе, который вы указываете должен принадлежать организации от имени которой вы отправляете ЭСФ, если подписываете личным ключом физ. лица, то ИИН в ключе, должен соответствовать ИИН пользователя.
    Михаил Мацокин
    27.11.2023
    [1]
    |
    [0]
    подписываем ключом с правом подписи или нужен другой ключ? также пробовал ключом гендиректора та же ошибка.
    Елена Богданова
    27.11.2023
    [2]
    |
    [0]
    Добрый день! Та же ситуация, что то решили как? ИП работают без проблем, ТОО не понятно, надо новый ключ получить или? Немного разъясните, пожалуйста.

    Марина Девяткина
    27.11.2023
    [0]
    |
    [1]
    ИИН пользователя, для которого выполнена настройка Профиля ИС ЭСФ, и с помощью которого выполняете отправку, должен соответствовать ИИН используемого ключа. 
    Елена Богданова
    27.11.2023
    [1]
    |
    [0]
    Это понятно, так как с ИП нет проблем а для ТОО значит надо как то перевыпускать ключ? или? 
    Марина Девяткина
    27.11.2023
    [0]
    |
    [1]
    Выпускать новые ключи не требуется. "Основной" ключ ТОО оформлен на директора, ИИН пользователя, под которым работаете в программе должен соответствовать ИИН используемого для отправки ключа. 
    Азамат Тлегенов
    27.11.2023
    [2]
    |
    [0]
    Ничего из предложенного вами не помогает. ИИН пользователя соответствует эцп первого руководителя. Ошибка та же!
    Марина Девяткина
    27.11.2023
    [0]
    |
    [0]
    Добрый день, пожалуйста, обратитесь на линию техподдержки с подробным описанием проблемы (текст ошибки и скрины). 
    Виктория Гусева
    27.11.2023
    [0]
    |
    [0]
    Добрый день, ситуация является ошибочной. Проблема зарегистрирована и будет исправлена
    Азамат Тлегенов
    27.11.2023
    [1]
    |
    [0]
    Проблема в вашем последнем релизе 52.3. Проверил на нескольких базах. Где не обновлял, там всё работает. Где обновил, там нет. Рекомендации ваши по поводу ЭЦП бесполезны.
    Марина Девяткина
    27.11.2023
    [0]
    |
    [0]
    Ваше последующее сообщение было удалено, так как содержало личную идентификационную информацию (ФИО, ИИН, Наименование ТОО, БИН).
    Марина Девяткина
    27.11.2023
    [0]
    |
    [0]
    Подскажите, по какой причине вы "включили" новый метод аутентификации? У вас новые ключи? 
    Грома Люк
    27.11.2023
    [1]
    |
    [0]
    Проблема где-то снаружи. У нас всё было настроено сразу после выхода Бухгалтерия для Казахстана 3.0.52.3 и прекрасно работало. Сегодня выдаёт то же сообщение, что и у Вас. Надеемся, починят.
    Более того - наши бухгалтера на сайт ЭСФ заходят с тем же ключом без проблем. Похоже на проблему в модуле 1С-Рейтинг ЭДО для NCALayer.
    Виктория Гусева
    27.11.2023
    [1]
    |
    [0]
    Добрый день, ситуация является ошибочной. Проблема зарегистрирована и будет исправлена
    Михаил Мацокин
    27.11.2023
    [1]
    |
    [0]
    Когда будет исправлена?
    Виктория Гусева
    27.11.2023
    [0]
    |
    [0]
    Добрый день, ситуация является ошибочной. Проблема зарегистрирована и будет исправлена