Коллеги, у кого есть опыт реализации ЭЦП в PI хотелось услышать ваше мнение.
Стоит задача подписать документ по определенным ГОСТ-ам ( к примеру реализованным в библиотеках Крипто-Про). Документ - результирующий - который надо подписать - получается только после меппинга - следовательно вызвать библиотеку чтобы подписать лучше всего в самописном модуле адаптера. Еще один скользкий момент, как передать подпись пользователя - передавать его подпись в теле исходного сообщения, предварительно считав ее с "таблетки" или флешки на абап бекенде ? - можно немного "спрятать" в BASE64 и запихнуть в один из элементов исходного XML сообщения ?

можно оформить через RFC/SOAP Lookup в компьютер пользователя, чтобы токен нигде кроме пользовательского компа не был задействован. Тогда и крипто-про может быть как веб-сервис хоть в VBA реализован. На выходе меппинга будет сразу подписанное сообщение; если надо ещё и неподписанное то можно как attachment кого-то сделать.

конечно с рестартом меппингов будут проблемы, если пользователя уже нету. И будут проблемы с сетевым доступом.

Если носить ключ по сети, то Крипто-Про не везде работает и просто так "пробросить" ключ не удастся, в нём же кажется активное выч.устройство а не просто набор бит.

коллеги по проекту шифровали ЭТРАНовские заявки на перевозку Крипто-прой, через цитрикс и ещё как-то. В итоге абапом на клиенте, через свой ActiveX сделано было, но в диалоговой транзакции.

интересно - RFC Lookup - скорее всего в дамп упадет - надо попробовать. Как он найдет клиентскую машину ? Для ABAP системы - это обращение пользователя ( системы PI ) недиалогового - к функциональному модулю - и обращения к фронтенду из него скорее всего упадет в дамп.
А еще вопрос - как с помощью меппинга получить готовое подписанное сообщение - если к примеру поле подписи в заголовке сообщения - еще ж весь меппинг не прошел ? Или использовать события меппинга типа инициализации и т.д. ?

вполне возможно - у Крипто-Про есть реализация в виде com-сервера - вызывать методы из него из ABAP вроде просто

почти просто, там некоторые детали OLE2 используются нехорошие, пришлось обёртку делать и уже её вызывать.
Главное, идейно определиться -- можно ключ от человека отчуждать? отвечает человек за свои данные? а технически всё делается.

и ещё, в некоторых случаях надо подписанное время использовать а не абы какое. Уточняй!