Всем привет! Есть кто-нибудь из Казахстана, кто делал интеграцию с ИС ЭСФ?

Я столкнулся с тем, что загруженный мною ЭСФ не принимается системой из-за ошибки подписи. В веб-версии самой ИС мой счет видно и все проверки он прошел кроме подписи.

Основной нюанс в том, что я не использую официальный SDK для подписи, а обхожусь средствами NCALayer. Я понимаю, что сделал велосипед, но счета отправляются и проходят проверки. Проблема только в подписи. На вопрос, отличается ли алгоритм подписи в SDK от NCALayer служба поддержки ИС ЭСФ ответила, что не отличается и проблем быть не должно. Больше от них добиться нечего. Вопрос о том, как "правильно" подписывать с помощью NCALayer они также не прояснили.

Проект является веб-приложением. С NCALayer я работаю через WebSocket. На стороне сервера формирую XML-представление счета и в виде строки шлю клиенту. На клиенте отправляю запрос в NCALayer на выполнение  signXmls (kz.gov.pki.knca.commonUtils.signXmls) с параметрами в виде массива строк (счета) и именем хранилища с сертификатами RSA. В результате получаю массив видоизмененных XML своих счетов: в тело каждого документа добавляется элемент "ds:Signature". Этот XML использую для формирования запроса в ИС ЭСФ: внутренности элемента invoice, кроме "ds:Signature", записываю в invoiceBody (внутрь "v2:invoice"), значение элемента "ds:SignatureValue" в "signature", а "ds:X509Certificate" в "x509Certificate".

irbis_al, спасибо за ответ! Про то, что мои исходные данные не соответствуют эталонному формату, я понял сразу. И убедился в этом, прогнав их через примеры из SDK: подписываются строки, а не XML.

Вопрос мой заключался лишь в том, чтобы узнать, как подписывать ЭСФ только с помощью NCALayer. Это средство необходимо для взаимодействия граждан и бизнеса с государственными сервисами, в том числе и с веб-версией ИС ЭСФ. Так что мне с самого начала казалось логичным, что алгоритм подписи в нем и в SDK должны быть одинаковыми. Увы, в SDK я не нашел связи с NCALayer и подпись там выполняется локальным сервером на Java. Видимо по-уму в проекте надо создавать локальный сервер подписи (на основе примера из SDK). Но если так, то может тогда и отдельный сервер для взаимодействия с ИС ЭСФ?! А не слишком ли много для того, чтобы выполнить несколько операций?

Чуть позже открыв NCALayer обратил внимание на список модулей, среди которых есть "ИС ЭСФ 1.1". Вообще NCALayer предназначен для выполнения криптографических функций, т.е. это его базовый функционал, который может быть расширен сторонними модулями. А если есть модуль, значит он должен где-то использоваться! Поковырявшись в исходниках тестового стенда я нашел скрипт, где есть обращение к NCALayer! Итак

чтобы подписать одну строку отправьте веб-сокету объект следующего вида в формате JSON


где dataToSign ваша строка, storageName - имя хранилища ключей (PKCS12 если ключи хранятся локально на компьютере).

чтобы подписать массив строк


arrayToSign - объект со свойствами из подписываемых строк и ключами из их идентификаторов



Кстати, упоминание модуля "ИС ЭСФ 1.1" есть только в документации пользователя (что он просто требуется), а в SDK вообще ничего нет. Служба поддержки до сих пор не ответила, хотя я в первом же письме (как и в своем первом посте) написал какую команду (неправильную) отправлял в веб-сокет...