Настройката на работната станция E-budget става на няколко етапа, те не са сложни, но изискват грижи. Правим всичко според инструкциите за настройване на електронен бюджет. Кратко и по същество...
Електронна настройка на бюджета на работното място
Корен сертификат за електронен бюджет
Създайте ключова папка в Моите документи, за да съхранявате изтеглените сертификати в тази папка:
На сайта http://roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ в менюто на ГИС -> Сертифициращ орган -> Root сертификати, трябва да изтеглите " Root Certificate (Qualified)" (виж фигурата) или ако сте получили флаш устройство със сертификати, копирайте ги от папката Certificates.
Сертификат Continent TLS VPN
Вторият сертификат, който трябва да изтеглите, е Continent TLS VPN сертификат, но не можах да го намеря в новия уебсайт на roskazna, затова сложих линк от моя сайт. Изтеглете сертификата TLS VPN Continent в папката с ключове, ще ни трябва по-късно, когато конфигурираме клиентската програма TLS Continent.
Инсталирайте изтегления Root сертификат (квалифициран), за да работите с електронния бюджет.
В менюто СТАРТ -> Всички програми -> CRYPTO-PRO -> стартирайте програмата Certificates.
Отидете до елемента Сертификати, както е показано на фигурата по-долу:
Отидете в менюто Действие - Всички задачи - Импортиране, ще се появи прозорецът на Съветника за импортиране на сертификати - Напред - Преглед - Намерете изтегленото Корен сертификат (квалифициран)в нашия случай се намира в Моите документи в папката с ключове
Ако всичко е направено правилно, тогава основният сертификат на CA на Федералната хазна ще се появи в папката със сертификати.
Инсталация "Continent TLS Client" за работа с електронен бюджет
Continent_tls_client_1.0.920.0 може да се намери в интернет.
Разопаковайте изтегления архив, отидете в папката на CD и стартирайте ContinentTLSSetup.exe
От елемента щракнете върху Continent TLS Client KC2 и започнете инсталацията.
Приемаме условията
В папката дестинация оставете по подразбиране
В прозореца за стартиране на конфигуратора поставете отметка в квадратчето Стартиране на конфигуратора след завършване на инсталацията.
По време на инсталацията ще се появи прозорецът с настройки на услугата:
Адрес - посочете lk.budget.gov.ru
Сертификат - изберете втория сертификат, изтеглен по-рано в папката с ключове.
Щракнете върху OK и завършете инсталацията, Готово.
Отговорете с Не на подкана за рестартиране на операционната система.
Инсталиране на инструмента за електронен подпис "Jinn-Client"
Можете да изтеглите програмата Jinn-Client от Интернет.
Отидете в папката Jinn-client - CD, стартирайте setup.exe
Щракнете от списъка Jinn-Client, инсталацията на програмата започва
Не обръщаме внимание на грешката, щракнете върху Продължи, Напред, приемете споразумението и натиснете бутона Напред.
Въведете издадения лицензионен ключ
Задайте програмата по подразбиране, щракнете върху Напред
Завършваме инсталацията, отговаряме на въпроса за рестартиране на операционната система №
Инсталиране на модула за работа с електронен подпис "Cubesign"
Ако имате нужда от архив с програмата, пишете в коментарите.
Стартирайте инсталационния файл cubesign.msi
Настройване на браузъра Mozilla Firefox за работа с електронния бюджет.
1. Отворете менюто "Инструменти" и изберете "Настройки".
2. Отидете в раздела "Разширени" в раздела "Мрежа".
3. В секцията за настройки „Връзка“ щракнете върху бутона „Конфигуриране…“.
4. В прозореца с параметри на връзката, който се отваря, задайте стойността
„Ръчно конфигуриране на прокси услугата.“
5. Задайте стойностите на HTTP прокси полетата: 127.0.0.1; Пристанище: 8080.
6. Натиснете бутона OK.
7. В прозореца "Настройки" щракнете върху бутона "OK".
Влезте в личния акаунт на Електронния бюджет
Ще се отвори прозорец с избор на сертификат за влизане в личната сметка на Електронния бюджет.
Избираме сертификат за влизане в Личната сметка на Електронния бюджет, ако има парола за личната част на сертификата, напишете и щракнете върху OK, след което ще се отвори Личният акаунт на Електронния бюджет.
Често при използване на софтуерен продукт за работа с Федералното министерство на финансите Континент APпотребителите срещат грешката " Корен сертификат не е намерен". Може да има няколко причини за появата на тази грешка, в тази статия ще изброим основните и ще разберем какво да правим в такива случаи и как да премахнем грешката. Моля, имайте предвид, че информацията е уместна към момента на пишете статията, ако изброените методи не ви помогнат да се справите сами с проблем - винаги можете да се свържете с отдела за техническа поддръжка на Министерството на финансите или разработчиците на програмата Continent AP.
Причини за грешката "Root certificate not found" в Continent AP
1. Коренните сертификати не са инсталираницентър за сертифициране (CA) на Федералното съкровище. Обикновено служителите на OFC ги записват на флаш устройство заедно с личния сертификат на потребителя. Тук трябва да проверите присъствието им в доверени root сертифициращи органи. За да направите това, трябва да влезете по пътя: Старт - Контролен панел - Интернет опции- Раздел " Съдържание" - параграф " Сертификати" - параграф " Доверени коренни сертифициращи органи", спуснете плъзгача към тях и вижте кои коренови сертификати са инсталирани с руско обозначение. Ако всичко е направено правилно, трябва да видите нещо подобно:
Ако нямате тези сертификати в списъка, трябва да ги изтеглите и инсталирате, процедурата е описана по-долу. Можете също да проверите за инсталирани сертификати в системата, като натиснете клавишите Win (клавишът в долния ред на клавиатурата с иконата на Windows) + R и в прозореца, който се показва, въведете certmgr.msc, натиснете Enter.
2. CA коренни сертификатиса били сбъркани или умишлено премахнати. Отново - изтеглете и инсталирайте сертификати.
3. Коренните сертификати са изтекли. Много рядка грешка, CU се издават за дълъг период от време - от 5 до 10 години, но понякога се пускат и други версии. Отстраняването на неизправности в този случай е същото - изтеглете и инсталирайте нови root сертификати.
4. Проблем с CryptoPro. Често актуализираните версии на програмата Crypto Pro не работят правилно с програми и сертификати на Treasury. Вече сме писали за това, например. Решението е да преинсталирате Crypto Pro на по-нова или, обратно, по-стара версия.
5. Ограничени потребителски права. Грешка на Continent AP „Няма намерен коренен сертификат“ във версия 10 на Windows. Решението е да дадете на потребителя пълни права.
6. Неправилна работа на програмата Continent AP. Решението е пълното премахване и инсталиране на текущата версия на програмата Continent AP съгласно ръководството, достъпно на официалния уебсайт.
Връзка за изтегляне за основни сертификати на Treasury
Можете да изтеглите валидните основни сертификати на Центъра за сертифициране на Министерството на финансите от официалния уебсайт на връзката: roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/За правилна работа трябва да изтеглите и инсталирате двата предложени файла сертификати:
1. Удостоверение на Главен сертифициращ център на Министерството на далекосъобщенията и масовите съобщения,
2. Сертификат на Центъра за сертифициране на Федералното съкровище.
Датите на тяхното издаване могат да варират, като правило те се издават за няколко години.
Как да инсталирате
Преди да инсталирате основния сертификат на CA, трябва да се уверите, че имате инсталирана програмата Crypto-Pro и нейният лиценз е активен. Щракнете с десния бутон върху изтегления сертификат и изберете Инсталиране на сертификат от менюто. След това изберете мястото за съхранение - потребител или локален компютър. Препоръчваме да изберете втория вариант. Щракнете върху бутона Напред. Изберете Поставяне на сертификати в следното хранилище, щракнете върху Преглед, щракнете върху Доверени коренни сертифициращи органи, щракнете върху OK, Next и Finish. Ще се появи предупредителен знак за инсталиране:
Ако сте направили всичко правилно, ще се появи съобщение, че импортирането е завършено успешно. Същата процедура трябва да се направи с инсталирането на втория коренен сертификат. Можете да изтеглите архива с текущите коренни сертификати към момента на писане на това издание от
Поредните федерални хемороиди изпълзяха по план и както винаги... Инструкцията, изпратена по имейл (с молба "инкогнито"), ще бъде взета за основа, допълнена от моите текстове и бележки. Защото имаме всичко да работи. По аналогия с покупките в ⇒ облакхвърли всичко, което може да ти трябва.
Текстовете и допълненията също са важни, четени от кора до кора.
въвеждащ . Имаме всичко настроено да работи през Internet Explorer версия 11 и антивирусната програма KES 10 е инсталирана. След епидемията от ransomware трябваше да деактивираме защитната стена и сега работим през защитната стена на Windows. Не бяха направени настройки в "пожарната стена", EB-2012 работи без проблеми. Но ще покажа настройките за KES 10 по-късно. Internet Explorer 11 може да бъде изтеглен от ⇒ Yandex.
Така че да тръгваме...
Елемент №1
. Премахнете всички версии на Jinn-Client и Continent TLS (ако са инсталирани преди). Рестартирайте.
Текстове на песни. Ако нямате "самописан" софтуер на отделите, препоръчвам ви също да стартирате регистъра с помощната програма ccleaner. И чисти, докато не издаде "Без грешки". Ако има VirtualBox - ще има грешки само от него. Рестартирайте.
Елемент №2 . Премахнете разширения контейнер (ако е инсталиран преди). Рестартирайте.
Текстове на песни. Не разбрах как да го премахна, той остана в системата - това не повлия на крайния резултат. В краен случай можете просто да поставите свеж отгоре. Тук може да ни трябват библиотеките на Microsoft Visual C ++ (които сложих в отделна папка).
Информация. Нашата съкровищница този път мълчеше, а аз сам потърсих целия софтуер и го инсталирах според инструкциите от форумите. В крайна сметка, Extended Container не е от "официалната" дистрибуция, а версия 1.0.2.2 (папка "eXtendedContainer" в облака).
Елемент №3 . Инсталирайте браузъра Mozilla Firefox 63.0.1 (32-битов), можете да надстроите над старата версия.
Текстове на песни. Елементът е завършен, но не работи, а е конфигуриран през Firefox SUFDизлетя. Получих допълнителни хемороиди. Internet Explorer 11- нашето всичко! Тук все още има проблем. Firefox и Chrome се актуализират постоянно, но окончателните изисквания за сигурност не са формирани, .. и разширенията се сриват и се изключват ... Firefox ESR също преминава етап на глобални промени ... Накратко, по-добре е да не го докосвате .
Елемент №4 . Инсталирайте CRL за GOST-2012 (от администратор до доверени корени на локален компютър). Можете да изтеглите свежи от crl.roskazna.ru.
За информация. Различните сертификати за електронния бюджет имат различни пътища: crl.roskazna.ru и crl.roskazna.ru/crl/ . Ако изведнъж списъкът се окаже просрочен, тогава можете да опитате от друг адрес. Изведнъж изтича.
Текстове на песни. Това не беше необходимо, защото вече направихме всички тези глупости с неуспешен опит да инсталираме Continent-AP 3.7.7.651 (компютърът е изграден на хардуер на сървъра). Не знам за останалото, но се върнахме към Continent-AP 3.6.90.4 и продължаваме да работим без проблеми (Континенти ⇒ ). Чакаме нормалната версия на Continent-AP 4.0.
Но с GOST-2001 в "Електронния бюджет" имаше проблеми. И този параграф ще бъде полезен както за общо развитие, така и за решаване на проблема ... Как да разберете къде да получите CRL (известен още като "Списък за анулиране на сертификати")?
Щракнете два пъти в Explorer върху проблемния сертификат. Отидете в раздела „Състав“ и изберете реда „Точки за разпространение на списък за оттегляне (CRL)“. Получаване на адреси... Стартираме всеки интернет браузър и въвеждаме URL адреса. Ако е "празно" на всички адреси, добре, мъртвородено... :(
Това, което изтеглихме, трябва да бъде вкарано в системата. И така всеки път, когато списъкът вече не е уместен... В същия Explorer щракнете двукратно върху изтегления файл и изберете "Инсталиране ...":
И най-интересното е, че пътищата за изтегляне са регистрирани в TLS 2.0, но това c[майката на кученцето]a пише, че няма нищо на посочения адрес.
И за информация: Оказва се, че сертификатите и контейнерите с частни ключове са независими по отношение на живота един от друг. Тези. сертификатът може да е актуален, но документът вече не може да бъде подписан...
Елемент №5 . Инсталираме личния сертификат на потребителя чрез CryptoPro.
Елемент №6 . Влезте в CryptoPro и поставете отметките „Не проверявайте сертификата на сървъра за отмяна“ и „Не проверявайте целта на собствения си сертификат“ в раздела „Настройки на TLS“.
Елемент №7 . Инсталирайте Continent TLS Client 2.0.1440. Рестартирайте.
Текстове на песни. По време на процеса на инсталиране може да възникне грешка при достъп... Вече сме преминали през това преди. Трябва да отключите клона на системния регистър (точно по време на процеса на инсталиране), да промените правата, за да го промените. По подразбиране собственикът на клона е "система", а софтуерът се инсталира от името на потребителя. Тъй като на компютри от това ниво потребителите трябва да са в „Администратори“ (тествано от практиката), тогава даваме достъп съответно:
Ако възникне въпросът „Какво е показано на снимката по-горе?“ ... По-добре е да не влизате в себе си, а да попитате човек, който знае какво е „Windows Registry“ и как да работите с него.
Елемент №8 . Настройваме TLS Continent (вижте ръководството на сайта roskazna.ru, раздел „ГИС-Електронен бюджет“).
- lk2012.budget.gov.ru
- lk.budget.gov.ru
TLS настройки:
Елемент №9 . Регистрирайте TLS Continent.
- Win+R и напишете %PUBLIC%\\ContinentTLSClient\\
- Намерете файла PublicConfig.json
- Отворете бележника за редактиране
- В параметъра SerialNumber поставете стойността " в кавички тест-50000"
- Рестартирайте TLS Continent.
Елемент №10 . Деинсталираме програмата Extended Container чрез "Програми и функции" в контролния панел. Рестартирайте.
Текстове на песни. Не завърших този елемент. Не разбрах защо трябва да се махне, изобщо не пречи.
Елемент №11 . Инсталирайте Jinn Client 1.0.3050 (изисква се сериен номер). Рестартирайте.
Текстове на песни. Министерството на финансите ни издаде версия 1.0.1130.0, това не повлия по никакъв начин на производителността. Вземаме сериала от старата версия на по-рано издадената дистрибуция.
Елемент №12 . Инсталирайте Extended Container от дистрибуцията с Jinn Client (изисква отделен сериен номер).
Текстове на песни. Нямам представа за какъв сериен номер говориш. Преди това не съществуваше. Може би това означава издадения номер в новото разпространение. За разлика от Jinn, няма ограничения за броя на инсталациите. Новият Extended (версия 1.0.2.2) беше инсталиран по-рано в опит да реши проблема самостоятелно.
Артикул №13 . Отиваме на C:\Program Files\Secure Code\CSP\и намерете файла csp_uninstal.exe. Стартираме го и премахваме крипто доставчика от кода за сигурност. Рестартирайте.
Артикул №14 . Отиваме да инсталираме JinnSignExtensionProvider(за оперативна съвместимост с браузъри Chrome и Firefox).
Текстове на песни. Аз също пропуснах този момент, защото имаме Internet Explorer 11. Не го пробвах на Chrome, но Firefox не работи.
Артикул №15 . Инсталирайте CadesPlugin (известен още като CryptoPro EDS Browser Plug-in).
Текстове на песни. Можете да изтеглите ⇒. Изтегляне на най-новата версия. Регистрираме сайта "http://lk2012.budget.gov.ru" в настройките на плъгина:
Елемент №16 . Настройка на браузъри:
- Internet Explorer: добавяне към надеждни сайтове - http://lk2012.budget.gov.ruИ https://lk2012.budget.gov.ru
- Firefox: добавете разширението JinnSignExtension.xpi и деактивирайте старата настройка на прокси в мрежовите настройки (задайте на „Без прокси“)
- Chrome: добавете разширението JinnSignExtension (плъзнете папката с разширението в прозореца за инсталиране на разширението)
ПО-НАДО нещо, което не беше в инструкциите.
Създайте преки пътищана работния плот и за двете опции (GOST-2001 и GOST-2012), като напишете редове в обектите:
- "C:\Program Files\Internet Explorer\iexplore.exe" http://lk.budget.gov.ru/udu-webcenter
- "C:\Program Files\Internet Explorer\iexplore.exe" http://lk2012.budget.gov.ru/udu-webcenter
Това е необходимо, така че браузърът да не прескача към HTTPS протокола по време на работа.
Настройка на антивирусна програма. Мрежата препоръчва напълно да деактивирате антивирусната програма. Страхотна шега, особено на компютър за управление на пари. Предложете настройки за Kaspersky Endpoint Security 10. За други антивирусни програми трябва да създадете подобни правила.
Първо, изключете проверката на трафика:
След това добавяме и двете версии (x86 и x64) на Internet Explorer към изключенията за контрол на програмата:
Разбира се, това не е правилно, но е по-малкото зло от всички възможни.
Ключовете ще трябва да бъдат преобразувани. Изтегляне Конвертор на частни ключовеи има файл в архива Readme.docс инструкции за монтаж. За конвертиране не е необходимо допълнително флаш устройство, правим всичко на същото, просто добавяме файлове с нов ключов формат. Носачът ще стане универсален. И новите, и старите ключове се конвертират без проблеми.
Промяна на потребителястана много по-лесно. Сега не е необходимо да рестартирате услугата, просто променете сертификата в реда „Сертификат на потребител по подразбиране“ в настройките на TLS Continent.
Успех в трудната битка срещу федералните портали!