Возможно ли через NCALayer подписать soap сообщение, как в методе Kalkan signwsse?

Rakhat · 17.09.2025 04:55:13

Добрый день! При отправке данных в ШЭП подписанный методом signXml NCALayer - получаем ошибку SCE015 - неверная транспортная подпись. Связана ли это с тем, что мы не подписываем через метод Signwsse, а SignXML? У NCALayer в примерах SDK есть ли возможность подписания конверта soap методом signwsse?

Danil · 18.09.2025 06:47:37

Здравствуйте!
Для запросов на ШЭП NCALayer не пригоден. Необходимо использовать именно библиотеки на стороне сервера.
Как Вы и писали - для формирования транспортной подписи ШЭП необходимо использовать метод SignWSSE().
Метод SignXML() может Вам помочь при подписании БизнесДанных для конечной системы.

Rakhat · 01.10.2025 05:36:04

Но ЭЦП для подписания запроса используется на стороне клиента, мы не можем передать его в серверную часть изза правил эксплуатации ЭЦП. Также согласно политике использования СДК мы не можем распространять библиотеки клиенту. В связи с этим у нас возникает патовая ситуация. Не рассматривается ли добавление данного метода или же есть рекомендации по исправлению ситуации?

Danil · 01.10.2025 09:19:08

Для подписания SOAP-запроса для ШЭП, используется ключ информационной системы или ключ ПерРука организации. Сертификат необходимо предварительно передать сотрудникам ШЭП-а. То есть подписание вашими клиентами запроса для ШЭП будет не верным.

Можете подробнее описать бизнес процесс, попробую подсказать какие инструменты использовать? Можно письмом на knca@pki.gov.kz

Rakhat · 02.10.2025 06:59:37

Информационная система принадлежит нашему ТОО, конечными пользователями являются пользователи государственных учреждений. В соответствии требованиям владельцев подключаемого сервиса инициатором заявки в ШЭП должен быть госорган, согласно этому запросы в ШЭП также должны подписываться ключом ЭЦП клиента ИС. В связи с этим составление запросов иницируется на стороне сервера и передается для подписания на сторону клиента для подписания через NCALayer и обратной передачи soap-запроса ШЭП/ВШЭП уже на стороне сервера. То есть фактически ключ ЭЦП не передается третьему лицу, а только подписанный запрос.

Rakhat · 15.10.2025 07:08:23

Есть ли ответы по данному вопросу? ИС принадлежит нам, госучреждение пользуется услугами ИС временно, для выпуска сертификата/ключа ИС - нужно зарегистрировать oid. Для подписи wsse не может использоваться NCALayer, клиенту не можем распространят SDK, при этом ЭЦП ГУ передавать на бэк запрещено. Как быть?

Danil · 17.10.2025 04:38:33

Когда каждый ваш клиент должен получить доступ к конечному сервису через SmartBridge. Затем передать сертификат сотрудникам ШЭП. Но в этом случае только один пользователь с этой ИС сможет подписывать запрос. Одна ИС - один сертификат.

Напишите на knca@pki.gov.kz. Обсудим в ином формате, возможно не так понимаем друг друга