Nastavení pracovní stanice E-budget probíhá v několika fázích, nejsou složité, ale vyžadují péči. Vše děláme dle návodu pro nastavení elektronického rozpočtu. Krátce a k věci...
Nastavení elektronického rozpočtu pracoviště
Kořenový certifikát e-rozpočet
Vytvořte složku klíčů ve složce Moje dokumenty pro ukládání stažených certifikátů do této složky:
Na stránce http://roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ v nabídce GIS -> Certifikační autorita -> Kořenové certifikáty si musíte stáhnout " Kořenový certifikát (kvalifikovaný)" (viz obrázek), nebo pokud jste obdrželi flash disk s certifikáty, zkopírujte je ze složky Certifikáty.
Certifikát Continent TLS VPN
Druhý certifikát, který si musíte stáhnout, je Continent TLS VPN certifikát, ale ten jsem na novém webu roskazna nenašel, tak jsem dal odkaz ze svých stránek. Stáhněte si certifikát VPN Continent TLS do složky klíčů, budeme jej potřebovat později, až budeme konfigurovat klientský program Continent TLS.
Nainstalujte si stažený kořenový certifikát (kvalifikovaný), abyste mohli pracovat s elektronickým rozpočtem.
V nabídce START -> Všechny programy -> CRYPTO-PRO -> spusťte program Certifikáty.
Přejděte na položku Certifikáty, jak je znázorněno na obrázku níže:
Přejděte do nabídky Akce - Všechny úkoly - Import, zobrazí se okno Průvodce importem certifikátu - Další - Přehled - Najděte stažené Kořenový certifikát (kvalifikovaný) v našem případě se nachází ve složce Moje dokumenty ve složce klíčů
Pokud je vše provedeno správně, objeví se ve složce certifikátů kořenový certifikát CA federálního ministerstva financí.
Instalace "Continent TLS Client" pro práci s elektronickým rozpočtem
Continent_tls_client_1.0.920.0 lze nalézt na internetu.
Rozbalte stažený archiv, přejděte do složky CD a spusťte ContinentTLSSetup.exe
V položce klikněte na Continent TLS Client KC2 a spusťte instalaci.
Přijímáme podmínky
Ve výchozím nastavení ponechte v cílové složce
V okně spuštění konfigurátoru zaškrtněte políčko Po dokončení instalace spustit konfigurátor.
Během instalace se zobrazí okno Nastavení služby:
Adresa – uveďte lk.budget.gov.ru
Certifikát – ve složce klíčů vyberte druhý dříve stažený certifikát.
Klikněte na OK a dokončete instalaci, Hotovo.
Na výzvu k restartování operačního systému odpovězte Ne.
Instalace nástroje pro elektronický podpis "Jinn-Client"
Program Jinn-Client si můžete stáhnout na internetu.
Přejděte do složky Jinn-client - CD, spusťte setup.exe
Kliknutím na ze seznamu Jinn-Client se spustí instalace programu
Ignorujte chybu, klikněte na Pokračovat, Další, přijměte smlouvu a klikněte na Další.
Zadejte vydaný licenční klíč
Nastavte výchozí program, klepněte na tlačítko Další
Dokončíme instalaci, odpovíme na otázku o restartu operačního systému č
Instalace modulu pro práci s elektronickým podpisem "Cubesign"
Pokud potřebujete archiv s programem, napište do komentářů.
Spusťte instalační soubor cubesign.msi
Nastavení prohlížeče Mozilla Firefox pro práci s elektronickým rozpočtem.
1. Otevřete nabídku „Nástroje“ a vyberte „Nastavení“.
2. Přejděte do části „Upřesnit“ na kartě „Síť“.
3. V části Nastavení „Připojení“ klikněte na tlačítko „Konfigurovat…“.
4. V okně parametrů připojení, které se otevře, nastavte hodnotu
"Ruční konfigurace služby proxy."
5. Nastavte hodnoty polí HTTP proxy: 127.0.0.1; Port: 8080.
6. Stiskněte tlačítko OK.
7. V okně "Nastavení" klikněte na tlačítko "OK".
Přihlaste se k osobnímu účtu elektronického rozpočtu
Otevře se okno s výběrem certifikátu pro zadání osobního účtu Elektronického rozpočtu.
Vybereme certifikát pro vstup do Osobního účtu elektronického rozpočtu, pokud existuje heslo pro privátní část certifikátu, napište a klikněte na OK, po kterém se otevře Osobní účet elektronického rozpočtu.
Často při použití softwarového produktu pro spolupráci s federálním ministerstvem financí Kontinent AP uživatelé narazí na chybu " Kořenový certifikát nebyl nalezen". Důvodů pro výskyt této chyby může být několik, v tomto článku uvedeme ty hlavní a zjistíme, co dělat v takových případech a jak chybu odstranit. Upozorňujeme, že informace jsou relevantní v době psaní článku, pokud vám uvedené metody nepomohou vyrovnat se s problémem sami - můžete se vždy obrátit na oddělení technické podpory ministerstva financí nebo na vývojáře programu Continent AP.
Důvody chyby „Kořenový certifikát nenalezen“ v Continent AP
1. Kořenové certifikáty nejsou nainstalovány certifikačního centra (CA) federálního ministerstva financí. Obvykle je pracovníci OFC zapisují na flash disk spolu s osobním certifikátem uživatele. Zde je třeba zkontrolovat jejich přítomnost u důvěryhodných kořenových certifikačních autorit. Chcete-li to provést, musíte zadat podél cesty: Start - Ovládací panely - Možnosti Internetu- Tab " Obsah" - odstavec " Certifikáty" - odstavec " Důvěryhodné kořenové certifikační úřady", sklopte k nim posuvník a podívejte se, které kořenové certifikáty jsou nainstalovány s ruským označením. Pokud je vše provedeno správně, měli byste vidět něco takového:
Pokud tyto certifikáty v seznamu nemáte, je potřeba si je stáhnout a nainstalovat, postup je popsán níže. Nainstalované certifikáty v systému můžete zkontrolovat také stisknutím kláves Win (klávesa ve spodním řádku klávesnice s ikonou Windows) + R a v okně, které se objeví, napište certmgr.msc a stiskněte Enter.
2. kořenové certifikáty CA byly chybné nebo úmyslné odstraněny. Opět – stáhněte a nainstalujte certifikáty.
3. Platnost kořenových certifikátů vypršela. Velmi vzácná chyba, CU jsou vydávány na dlouhou dobu - od 5 do 10 let, ale někdy jsou vydány další verze. Řešení potíží je v tomto případě stejné - stáhněte a nainstalujte čerstvé kořenové certifikáty.
4. Problém s CryptoPro. Často aktualizované verze programu Crypto Pro nefungují správně s programy a certifikáty Treasury. O tom jsme již například psali. Řešením je přeinstalovat Crypto Pro na novější nebo naopak starší verzi.
5. Omezená uživatelská práva. Chyba Continent AP „Nebyl nalezen žádný kořenový certifikát“ byla zaznamenána ve verzi 10 systému Windows. Řešením je poskytnout uživateli plná práva.
6. Nesprávná činnost programu Continent AP. Řešením je kompletní odstranění a instalace aktuální verze programu Continent AP dle Průvodce dostupným na oficiálních stránkách.
Odkaz ke stažení pro kořenové certifikáty státní pokladny
Platné kořenové certifikáty certifikačního centra Treasury si můžete stáhnout z oficiálních stránek na odkazu: roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/Pro správnou funkci je třeba stáhnout a nainstalovat oba navrhované soubory certifikátu:
1. Certifikát hlavního certifikačního centra Ministerstva telekomunikací a masových komunikací,
2. Certifikát certifikačního centra federálního ministerstva financí.
Jejich data vydání se mohou lišit, zpravidla se vydávají na několik let.
Jak nainstalovat
Před instalací kořenového certifikátu CA se musíte ujistit, že máte nainstalovaný program Crypto-Pro a že je aktivní jeho licence. Klikněte pravým tlačítkem myši na stažený certifikát a z nabídky vyberte Instalovat certifikát. Dále vyberte umístění úložiště - Uživatel nebo Místní počítač. Doporučujeme zvolit druhou možnost. Klepněte na tlačítko Další. Vyberte Umístit certifikáty do následujícího úložiště, klikněte na Procházet, klikněte na Důvěryhodné kořenové certifikační úřady, klikněte na OK, Další a Dokončit. Objeví se varovný signál instalace:
Pokud jste vše udělali správně, objeví se hlášení, že import byl úspěšně dokončen. Stejný postup je třeba provést s instalací druhého kořenového certifikátu. Archiv s aktuálními kořenovými certifikáty si můžete stáhnout v době psaní tohoto článku
Další federální hemeroidy se připlížily podle plánu a jako vždy... Za základ bude brán návod zaslaný e-mailem (s žádostí "inkognito") doplněný o mé texty a poznámky. Protože to všechno fungujeme. Analogicky s nákupy v ⇒ Mrak vložil vše, co byste mohli potřebovat.
Důležité jsou také texty a doplňky, čtěte od začátku do konce.
úvodní . Vše máme nastaveno tak, aby fungovalo přes Internet Explorer verze 11 a je nainstalován antivirus KES 10. Po epidemii ransomwaru jsme museli vypnout Firewall a nyní pracujeme přes Windows Firewall. V "fire wall" nebylo provedeno žádné nastavení, EB-2012 funguje bez problémů. Nastavení pro KES 10 ale ukážu později. Internet Explorer 11 lze stáhnout z ⇒ Yandex.
Tak pojďme...
Položka #1
. Odeberte všechny verze Jinn-Client a Continent TLS (pokud byly dříve nainstalovány). Restartujte.
Text. Pokud nepotřebujete žádný „sama psaný“ resortní software, doporučuji spustit také registr s obslužným programem ccleaner. A čistěte, dokud se nezobrazí "Žádné chyby". Pokud existuje VirtualBox - budou chyby pouze z něj. Restartujte.
Položka č. 2 . Odstraňte rozšířenou nádobu (pokud byla dříve nainstalována). Restartujte.
Text. Nepřišel jsem na to, jak to odstranit, zůstalo to v systému - na konečný výsledek to nemělo vliv. V extrémních případech můžete jednoduše dát navrch čerstvý. Zde můžeme potřebovat knihovny Microsoft Visual C++ (které jsem umístil do samostatné složky).
Informace. Naše pokladna se tentokrát odmlčela a veškerý software jsem vyhledal sám a nainstaloval jej podle pokynů z fór. Extended Container nakonec není z „oficiální“ distribuce, ale verze 1.0.2.2 (složka „eXtendedContainer“ v cloudu).
Položka č. 3 . Nainstalujte si prohlížeč Mozilla Firefox 63.0.1 (32bitový), můžete upgradovat přes starou verzi.
Text. Položka dokončena, ale nefungovala, ale nakonfigurovala se pomocí Firefoxu SUFD odletěl. Mám hemeroidy navíc. Internet Explorer 11- naše všechno! Tady je stále problém. Firefox a Chrome jsou neustále aktualizovány, ale nebyly vytvořeny finální bezpečnostní požadavky, .. a rozšíření padají a vypínají se ... Firefox ESR také prochází fází globálních změn ... Zkrátka je lepší na něj nesahat .
Položka #4 . Nainstalujte CRL pro GOST-2012 (od správce po důvěryhodné kořeny na místním počítači). Čerstvé si můžete stáhnout z crl.roskazna.ru.
Pro informaci. Různé certifikáty E-Budget mají různé cesty: crl.roskazna.ru a crl.roskazna.ru/crl/ . Pokud se náhle ukáže, že seznam je po splatnosti, můžete to zkusit z jiné adresy. Najednou to teče.
Text. To nebylo nutné, protože všechny ty svinstva jsme již udělali neúspěšným pokusem o instalaci Continent-AP 3.7.7.651 (počítač je postaven na serverovém hardwaru). O zbytku nevím, ale vrátili jsme se zpět na Continent-AP 3.6.90.4 a pokračujeme v práci bez problémů (Kontinenty ⇒ ). Čekáme na normální verzi Continent-AP 4.0.
Ale s GOST-2001 v "elektronickém rozpočtu" byly problémy. A tento odstavec bude užitečný jak pro obecný vývoj, tak pro řešení problému... Jak zjistit, kde získat CRL (alias "Seznam zneplatnění certifikátu")?
Klikněte dvakrát v Průzkumníku na problematický certifikát. Přejděte na kartu "Složení" a vyberte řádek "Distribuční body seznamu odvolání (CRL)". Získávání adres... Spustíme jakýkoli internetový prohlížeč a zadáme URL. Pokud je na všech adresách "prázdno", no, mrtvě narozené... :(
To, co jsme stáhli, je potřeba vnutit do systému. A tak pokaždé, když seznam přestane být relevantní... Ve stejném Průzkumníku dvakrát klikněte na stažený soubor a vyberte „Instalovat ...“:
A nejzajímavější je, že cesty ke stažení jsou registrovány v TLS 2.0, ale tato c[matka štěněte]a píše, že na zadané adrese nic není.
A pro informaci: Ukazuje se, že certifikáty a kontejnery soukromých klíčů jsou na sobě nezávislé z hlediska životnosti. Tito. certifikát může být aktuální, ale dokument již nelze podepsat...
Položka č. 5 . Osobní certifikát uživatele nainstalujeme přes CryptoPro.
Položka #6 . Přihlaste se do CryptoPro a zaškrtněte políčka „Nekontrolovat zrušení certifikátu serveru“ a „Nekontrolovat účel vlastního certifikátu“ na záložce „Nastavení TLS“.
Položka #7 . Nainstalujte Continent TLS Client 2.0.1440. Restartujte.
Text. Během procesu instalace může dojít k chybě přístupu... Tím jsme si již prošli. Musíte odemknout větev registru (přímo během procesu instalace), změnit práva na její změnu. Ve výchozím nastavení je vlastníkem pobočky „systém“ a software se instaluje jménem uživatele. Protože na počítačích této úrovně musí být uživatelé v "Správci" (vyzkoušeno praxí), poskytujeme přístup odpovídajícím způsobem:
Pokud vyvstala otázka: „Co je zobrazeno na obrázku výše?“ ... Je lepší se do toho nepouštět, ale zeptat se člověka, který ví, co je „Registr Windows“ a jak s ním pracovat.
Položka č. 8 . Nastavujeme TLS Continent (viz manuál na webu roskazna.ru, sekce "GIS-Elektronický rozpočet").
- lk2012.budget.gov.ru
- lk.budget.gov.ru
Nastavení TLS:
Položka #9 . Zaregistrujte TLS Continent.
- Win+R a zadejte %PUBLIC%\\ContinentTLSClient\\
- Najděte soubor PublicConfig.json
- Otevřete poznámkový blok pro úpravy
- V parametru SerialNumber vložte hodnotu " do uvozovek test - 50 000"
- Restartujte TLS Continent.
Položka #10 . Program Extended Container odinstalujeme prostřednictvím "Programy a funkce" v Ovládacích panelech. Restartujte.
Text. Tuto položku jsem nedokončil. Nechápal jsem, proč by se to mělo odstraňovat, vůbec to nepřekáží.
Položka #11 . Nainstalujte Jinn Client 1.0.3050 (vyžadováno sériové číslo). Restartujte.
Text. Ministerstvo financí nám vydalo verzi 1.0.1130.0, výkon to nijak neovlivnilo. Seriál přebíráme ze staré verze dříve vydané distribuce.
Položka č. 12 . Nainstalujte Extended Container z distribuce pomocí klienta Jinn (vyžaduje samostatné sériové číslo).
Text. Nevím o jakém sériovém čísle mluvíte. Dříve to neexistovalo. Možná to znamená vydané číslo v čerstvé distribuci. Na rozdíl od Jinn zde nejsou žádná omezení počtu instalací. Nová verze Extended (verze 1.0.2.2) byla nainstalována dříve ve snaze vyřešit problém samostatně.
Položka č. 13 . Jdeme do C:\Program Files\Secure Code\CSP\ a najít soubor csp_uninstal.exe. Spustíme jej a odstraníme poskytovatele kryptoměn z bezpečnostního kódu. Restartujte.
Položka #14 . Jdeme Instalovat JinnSignExtensionProvider(pro interoperabilitu s prohlížeči Chrome a Firefox).
Text. Tento bod jsem také přehlédl, protože máme Internet Explorer 11. Na Chrome jsem to nezkoušel, ale Firefox nefungoval.
Položka #15 . Nainstalujte CadesPlugin (neboli CryptoPro EDS Browser Plug-in).
Text. Můžete si stáhnout ⇒. Stahování nejnovější verze. Registrujeme stránku „http://lk2012.budget.gov.ru“ v nastavení pluginu:
Položka #16 . Nastavení prohlížečů:
- internet Explorer: přidat na důvěryhodné stránky - http://lk2012.budget.gov.ru a https://lk2012.budget.gov.ru
- Firefox: přidejte rozšíření JinnSignExtension.xpi a v nastavení sítě vypněte staré nastavení proxy (nastaveno na „Bez proxy“)
- Chrome: přidejte rozšíření JinnSignExtension (přetáhněte složku s rozšířením do okna instalace rozšíření)
DÁLE něco, co v návodu nebylo.
Vytvořit zkratky na ploše pro obě možnosti (GOST-2001 a GOST-2012) zapsáním řádků do objektů:
- "C:\Program Files\Internet Explorer\iexplore.exe" http://lk.budget.gov.ru/udu-webcenter
- "C:\Program Files\Internet Explorer\iexplore.exe" http://lk2012.budget.gov.ru/udu-webcenter
To je nutné, aby prohlížeč během provozu nepřeskočil na protokol HTTPS.
Nastavení antiviru. Síť doporučuje antivirus úplně zakázat. Skvělý vtip, zvláště na počítači pro správu peněz. Navrhnout nastavení pro Kaspersky Endpoint Security 10. Na jiných antivirech je potřeba vytvořit podobná pravidla.
Nejprve vypněte kontrolu provozu:
Poté přidáme obě verze (x86 a x64) aplikace Internet Explorer k výjimkám ovládání programu:
To samozřejmě není správné, ale je to menší zlo ze všech možných.
Klíče budou muset být převedeny. Stahování Konvertor soukromých klíčů a v archivu je soubor Readme.doc s návodem k instalaci. Pro konverzi není potřeba další flash disk, vše děláme na stejném, jen přidáváme soubory s novým formátem klíče. Nosič se stane univerzálním. Nové i staré klíče jsou konvertovány bez problémů.
Změna uživatele se stala mnohem jednodušší. Nyní již není potřeba službu restartovat, stačí změnit certifikát v řádku „Výchozí uživatelský certifikát“ v nastavení TLS Continent.
Hodně štěstí ve vašem těžkém boji proti federálním portálům!