Configurarea stației de lucru E-budget are loc în mai multe etape, acestea nu sunt complicate, dar necesită îngrijire. Facem totul conform instrucțiunilor pentru stabilirea unui buget electronic. Scurt și la obiect...
Configurare electronică la locul de muncă pentru buget
Certificat rădăcină e-buget
Creați un dosar cheie în Documentele mele pentru a stoca certificatele descărcate în acest folder:
Pe site-ul http://roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ în meniul GIS -> Autoritate de certificare -> Certificate rădăcină, trebuie să descărcați " Certificat rădăcină (calificat)” (vezi figura), sau dacă ați primit o unitate flash cu certificate, copiați-le din folderul Certificate.
Certificat Continent TLS VPN
Al doilea certificat pe care trebuie să-l descărcați este certificatul Continent TLS VPN, dar nu l-am găsit pe noul site rokazna, așa că am pus un link de pe site-ul meu. Descărcați certificatul TLS VPN Continent în folderul cheie, vom avea nevoie de el mai târziu când vom configura programul client TLS Continent.
Instalați certificatul rădăcină descărcat (calificat) pentru a lucra cu bugetul electronic.
În meniul START -> Toate programele -> CRYPTO-PRO -> rulați programul Certificate.
Accesați elementul Certificate așa cum se arată în figura de mai jos:
Accesați meniul Acțiune - Toate sarcinile - Import, va apărea fereastra Expert Import certificat - Următorul - Prezentare generală - Găsiți fișierul descărcat Certificat rădăcină (calificat)în cazul nostru, se află în Documentele mele din folderul cheie
Dacă totul este făcut corect, atunci în folderul certificate va apărea certificatul rădăcină al CA al Trezoreriei Federale.
Instalare „Continent TLS Client” pentru lucrul cu buget electronic
Continent_tls_client_1.0.920.0 poate fi găsit pe internet.
Despachetați arhiva descărcată, accesați folderul CD și rulați ContinentTLSSetup.exe
Din articol, faceți clic pe Continent TLS Client KC2 și începeți instalarea.
Acceptăm condițiile
În folderul de destinație, părăsiți implicit
În fereastra configuratorului de lansare, bifați caseta Rulați configuratorul după finalizarea instalării.
În timpul instalării, va apărea fereastra Setări serviciu:
Adresă - specificați lk.budget.gov.ru
Certificat - selectați cel de-al doilea certificat descărcat mai devreme în folderul de chei.
Faceți clic pe OK și finalizați instalarea, Terminat.
Răspundeți Nu la solicitarea de repornire a sistemului de operare.
Instalarea instrumentului de semnătură electronică „Jinn-Client”
Puteți descărca programul Jinn-Client de pe Internet.
Accesați folderul Jinn-client - CD, rulați setup.exe
Faceți clic din lista Jinn-Client, începe instalarea programului
Ignorați eroarea, faceți clic pe Continuare, Următorul, acceptați acordul și faceți clic pe Următorul.
Introduceți cheia de licență emisă
Setați programul implicit, faceți clic pe Următorul
Finalizăm instalarea, răspundem la întrebarea despre repornirea sistemului de operare Nr
Instalarea modulului pentru lucrul cu semnătura electronică „Cubesign”
Dacă aveți nevoie de o arhivă cu programul, scrieți în comentarii.
Rulați fișierul de instalare cubesign.msi
Configurarea browserului Mozilla Firefox pentru a funcționa cu bugetul electronic.
1. Deschideți meniul „Instrumente” și selectați „Setări”.
2. Accesați secțiunea „Avansat” din fila „Rețea”.
3. În secțiunea de setări „Conexiune”, faceți clic pe butonul „Configurare...”.
4. În fereastra de parametri de conexiune care se deschide, setați valoarea
„Configurarea manuală a serviciului proxy”.
5. Setați valorile câmpurilor proxy HTTP: 127.0.0.1; Port: 8080.
6. Apăsaţi butonul OK.
7. În fereastra „Setări”, faceți clic pe butonul „OK”.
Conectați-vă la contul personal al bugetului electronic
Se va deschide o fereastră cu alegerea unui certificat pentru intrarea în contul personal al Bugetului Electronic.
Selectam un certificat pentru a intra in Contul Personal al Bugetului Electronic, daca exista parola pentru partea privata a certificatului scriem si dam click pe OK, dupa care se va deschide Contul Personal al Bugetului Electronic.
Adesea, atunci când utilizați un produs software pentru a lucra cu Trezoreria Federală Continent AP utilizatorii întâmpină eroarea " Certificatul rădăcină nu a fost găsit„. Pot exista mai multe motive pentru apariția acestei erori, în acest articol le vom enumera pe cele principale și vom afla ce să facem în astfel de cazuri și cum să eliminați eroarea. Vă rugăm să rețineți că informațiile sunt relevante la momentul scrierea articolului, dacă metodele enumerate nu vă ajută să faceți față singur cu o problemă - puteți contacta oricând departamentul de asistență tehnică al Trezoreriei sau dezvoltatorii programului Continent AP.
Motive pentru eroarea „Certificat rădăcină nu a fost găsit” în Continent AP
1. Certificatele rădăcină nu sunt instalate Centrul de certificare (CA) al Trezoreriei Federale. De obicei, angajații OFC le scriu pe o unitate flash împreună cu certificatul personal al utilizatorului. Aici trebuie să verificați prezența acestora în autoritățile de certificare root de încredere. Pentru a face acest lucru, trebuie să intrați pe calea: Start - Panou de control - Opțiuni Internet- Fila " Conţinut" - Paragraf " Certificate" - Paragraf " Autorități de certificare rădăcină de încredere", coborâți glisorul la ele și vedeți ce certificate rădăcină sunt instalate cu denumirea rusă. Dacă totul este făcut corect, ar trebui să vedeți ceva de genul acesta:
Dacă nu aveți aceste certificate în listă, trebuie să le descărcați și să le instalați, procedura este descrisă mai jos. De asemenea, puteți verifica certificatele instalate în sistem apăsând tastele Win (tasta din rândul de jos al tastaturii cu pictograma Windows) + R și în fereastra care apare, tastați certmgr.msc, apăsați Enter.
2. Certificate rădăcină CA au fost greșite sau intenționate îndepărtat. Din nou - descărcați și instalați certificate.
3. Certificatele rădăcină au expirat. O greșeală foarte rară, CU sunt emise pentru o perioadă lungă - de la 5 la 10 ani, dar alte versiuni sunt uneori lansate. Depanarea în acest caz este aceeași - descărcați și instalați certificate rădăcină proaspete.
4. Problemă cu CryptoPro. Adesea, versiunile actualizate ale programului Crypto Pro nu funcționează corect cu programele și certificatele Trezoreriei. Am scris deja despre asta, de exemplu,. Soluția este să reinstalați Crypto Pro la o versiune mai nouă sau, dimpotrivă, o versiune mai veche.
5. Drepturi limitate de utilizator. Eroarea Continent AP „Nu a fost găsit niciun certificat rădăcină” a fost văzută în versiunea 10 de Windows. Soluția este să acordați utilizatorului drepturi depline.
6. Funcționarea incorectă a programului Continent AP. Soluția este eliminarea completă și instalarea versiunii actuale a programului Continent AP conform Ghidului disponibil pe site-ul oficial.
Link de descărcare pentru certificatele rădăcină de trezorerie
Puteți descărca certificatele rădăcină valide ale centrului de certificare al Trezoreriei de pe site-ul oficial, la link-ul: roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/Pentru o funcționare corectă, trebuie să descărcați și să instalați ambele fișiere de certificate propuse:
1. Certificat al Centrului de Certificare Șef al Ministerului Telecomunicațiilor și Comunicațiilor de Masă,
2. Certificat al Centrului de Certificare al Trezoreriei Federale.
Datele lor de lansare pot varia, de regulă, sunt emise pentru câțiva ani.
Cum să instalați
Înainte de a instala certificatul rădăcină CA, trebuie să vă asigurați că aveți programul Crypto-Pro instalat și că licența acestuia este activă. Faceți clic dreapta pe certificatul descărcat și selectați Instalare certificat din meniu. Apoi, selectați locația de stocare - Utilizator sau Computer local. Vă recomandăm să alegeți a doua opțiune. Faceți clic pe butonul Următorul. Selectați Plasați certificate în următorul magazin, faceți clic pe Răsfoire, faceți clic pe Autorități de certificare rădăcină de încredere, faceți clic pe OK, Următorul și Terminați. Va apărea un semn de avertizare de instalare:
Dacă ați făcut totul corect, va apărea un mesaj care spune că importul a fost finalizat cu succes. Aceeași procedură trebuie făcută și cu instalarea celui de-al doilea certificat rădăcină. Puteți descărca arhiva cu certificatele rădăcină actuale la momentul scrierii acestui articol de către
Alți hemoroizi federali s-au strecurat așa cum era planificat și, ca întotdeauna... Instrucțiunea trimisă prin e-mail (cu cererea „incognito”) va fi luată ca bază, completată de versurile și notele mele. Pentru că avem totul în funcțiune. Prin analogie cu achizițiile din ⇒ Nor a aruncat tot ce ai putea avea nevoie.
Versurile și completările sunt de asemenea importante, citite din scoarță în scoartă.
introductiv . Avem totul setat să funcționeze prin Internet Explorer versiunea 11 și este instalat antivirusul KES 10. După epidemia de ransomware, a trebuit să dezactivăm Firewall-ul și acum lucrăm prin Windows Firewall. Nu s-au făcut setări în „zidul de foc”, EB-2012 funcționează fără probleme. Dar voi arăta setările pentru KES 10 mai târziu. Internet Explorer 11 poate fi descărcat de pe ⇒ Yandex.
Deci să mergem...
Elementul #1
. Eliminați toate versiunile Jinn-Client și Continent TLS (dacă sunt instalate înainte). Reporniți.
Versuri. Dacă nu aveți nevoie de niciun software departamental „autoscris”, vă recomand să rulați și registrul cu utilitarul ccleaner. Și curățați până când apare „Fără erori”. Dacă există VirtualBox - vor exista erori numai de la acesta. Reporniți.
Elementul #2 . Scoateți containerul extins (dacă este instalat înainte). Reporniți.
Versuri. Nu mi-am dat seama cum să-l elimin, a rămas în sistem - acest lucru nu a afectat rezultatul final. În cazuri extreme, puteți pur și simplu să puneți unul proaspăt deasupra. Aici este posibil să avem nevoie de bibliotecile Microsoft Visual C ++ (pe care le-am pus într-un folder separat).
informație. Trezoreria noastră a tăcut de data aceasta și am căutat tot software-ul pe cont propriu și l-am instalat conform instrucțiunilor de pe forumuri. În cele din urmă, Extended Container nu este din distribuția „oficială”, ci versiunea 1.0.2.2 (dosar „eXtendedContainer” în cloud).
Elementul #3 . Instalați browserul Mozilla Firefox 63.0.1 (32 de biți), puteți face upgrade la versiunea veche.
Versuri. Element finalizat, dar nu a funcționat, dar a fost configurat prin Firefox SUFD a zburat. Am hemoroizi în plus. Internet Explorer 11- Totul nostru! Mai este o problemă aici. Firefox și Chrome sunt actualizate constant, dar cerințele finale de securitate nu s-au format, .. iar extensiile se blochează și se opresc... Firefox ESR trece și el printr-o etapă de schimbări globale... Pe scurt, este mai bine să nu-l atingeți .
Elementul #4 . Instalați CRL pentru GOST-2012 (de la administrator la Trusted Roots pe computerul local). Puteți descărca cele proaspete de pe crl.roskazna.ru.
Pentru informații. Diferite certificate E-Budget au căi diferite: crl.roskazna.ru și crl.roskazna.ru/crl/ . Dacă dintr-o dată lista se dovedește a fi întârziată, atunci puteți încerca de la o altă adresă. Brusc se scurge.
Versuri. Nu a fost necesar, pentru că am făcut deja toate prostiile astea cu o încercare nereușită de a instala Continent-AP 3.7.7.651 (calculatorul a fost construit pe hardware de server). Nu știu despre restul, dar am revenit la Continent-AP 3.6.90.4 și continuăm să lucrăm fără probleme (Continents ⇒ ). Așteptăm versiunea normală a Continent-AP 4.0.
Dar cu GOST-2001 în „bugetul electronic” au existat probleme. Și acest paragraf va fi util atât pentru dezvoltarea generală, cât și pentru rezolvarea problemei... Cum pot afla de unde să obțin CRL (alias „Lista de revocare a certificatelor”)?
Faceți clic de două ori în Explorer pe certificatul problematic. Accesați fila „Compoziție” și selectați linia „Puncte de distribuție a listei de revocare (CRL)”. Obținerea adreselor... Lansăm orice browser de internet și accesăm adresa URL. Daca "gol" la toate adresele, ei bine, nascut mort... :(
Ceea ce am descărcat trebuie să fie forțat în sistem. Și astfel de fiecare dată când lista nu mai este relevantă... În același Explorer, faceți dublu clic pe fișierul descărcat și selectați „Instalare...”:
Și cel mai interesant este că căile de descărcare sunt înregistrate în TLS 2.0, dar acest c[mama cățelușului]a scrie că nu există nimic la adresa specificată.
Și pentru informare: Se dovedește că certificatele și containerele de chei private sunt independente în termeni de viață unul față de celălalt. Acestea. certificatul poate fi la zi, dar documentul nu mai poate fi semnat...
Elementul #5 . Instalăm certificatul personal al utilizatorului prin CryptoPro.
Elementul #6 . Conectați-vă la CryptoPro și setați casetele de selectare „Nu verificați certificatul de server pentru revocare” și „Nu verificați scopul propriului certificat” din fila „Setări TLS”.
Articolul #7 . Instalați Continent TLS Client 2.0.1440. Reporniți.
Versuri. În timpul procesului de instalare, poate apărea o eroare de acces... Am trecut deja prin asta înainte. Trebuie să deblocați ramura de registry (chiar în timpul procesului de instalare), să schimbați drepturile pentru ao modifica. În mod implicit, proprietarul sucursalei este „sistem”, iar software-ul este instalat în numele utilizatorului. Deoarece pe computerele de acest nivel, utilizatorii trebuie să fie în „Administratori” (verificat prin practică), atunci acordăm acces în mod corespunzător:
Dacă a apărut întrebarea „Ce este afișat în imaginea de mai sus?”... Este mai bine să nu intrați în voi, ci întrebați o persoană care știe ce este „Registrul Windows” și cum să lucrați cu el.
Elementul #8 . Înființăm Continentul TLS (vezi manualul de pe site-ul roskazna.ru, secțiunea „GIS-Buget electronic”).
- lk2012.budget.gov.ru
- lk.budget.gov.ru
Setări TLS:
Elementul #9 . Înregistrați TLS Continent.
- Win+R și tastați %PUBLIC%\\ContinentTLSClient\\
- Găsiți fișierul PublicConfig.json
- Deschide Notepad pentru editare
- În parametrul SerialNumber, introduceți valoarea „ între ghilimele test-50000"
- Reporniți TLS Continent.
Elementul #10 . Dezinstalăm programul Extended Container prin „Programe și caracteristici” din Panoul de control. Reporniți.
Versuri. Nu am completat acest articol. Nu am inteles de ce ar trebui scos, nu interfereaza deloc.
Articolul #11 . Instalați Jinn Client 1.0.3050 (este necesar numărul de serie). Reporniți.
Versuri. Trezoreria ne-a emis versiunea 1.0.1130.0, aceasta nu a afectat în niciun fel performanța. Luăm serialul din versiunea veche a distribuției emise anterior.
Articolul #12 . Instalați Extended Container din distribuție cu Jinn Client (necesită un număr de serie separat).
Versuri. Habar n-am despre ce număr de serie vorbești. Nu a existat înainte. Poate înseamnă numărul emis în distribuția proaspătă. Spre deosebire de Jinn, nu există restricții privind numărul de instalări. Noul Extended (versiunea 1.0.2.2) a fost instalat mai devreme în încercarea de a rezolva singur problema.
Articolul #13 . Mergem la C:\Program Files\Secure Code\CSP\și găsiți fișierul csp_uninstal.exe. Îl lansăm și eliminăm furnizorul cripto din Codul de securitate. Reporniți.
Articolul #14 . Mergem la Instalare JinnSignExtensionProvider(pentru interoperabilitate cu browserele Chrome și Firefox).
Versuri. Am ratat și acest punct, pentru că avem Internet Explorer 11. Nu l-am încercat pe Chrome, dar Firefox nu a funcționat.
Articolul #15 . Instalați CadesPlugin (alias CryptoPro EDS Browser Plug-in).
Versuri. Puteți descărca ⇒. Descărcarea celei mai recente versiuni. Înregistrăm site-ul „http://lk2012.budget.gov.ru” în setările pluginului:
Articolul #16 . Configurarea browserelor:
- Internet Explorer: adăugați la site-uri de încredere - http://lk2012.budget.gov.ruȘi https://lk2012.budget.gov.ru
- Firefox: adăugați extensia JinnSignExtension.xpi și dezactivați vechea setare proxy din setările de rețea (setat la „Fără proxy”)
- Chrome: adăugați extensia JinnSignExtension (trageți folderul cu extensia în fereastra de instalare a extensiei)
MAI DEPARTE ceva care nu era în instrucțiuni.
Creați scurtături pe desktop pentru ambele opțiuni (GOST-2001 și GOST-2012) scriind linii în obiecte:
- „C:\Program Files\Internet Explorer\iexplore.exe” http://lk.budget.gov.ru/udu-webcenter
- „C:\Program Files\Internet Explorer\iexplore.exe” http://lk2012.budget.gov.ru/udu-webcenter
Acest lucru este necesar pentru ca browserul să nu treacă la protocolul HTTPS în timpul funcționării.
Configurarea antivirusului. Rețeaua recomandă dezactivarea completă a antivirusului. Glumă grozavă, mai ales pe un computer de gestionare a banilor. Sugerați setări pentru Kaspersky Endpoint Security 10. Pe alte antivirusuri, trebuie să creați reguli similare.
Mai întâi, dezactivați verificarea traficului:
Apoi adăugăm ambele versiuni (x86 și x64) de Internet Explorer la excepțiile de control al programului:
Desigur, acest lucru nu este corect, dar este răul mai mic dintre toate posibilele.
Cheile vor trebui convertite. Descărcarea Convertor cheie privatăși există un fișier în arhivă Citiți-mă.doc cu instructiuni de instalare. Pentru conversie, nu este nevoie de o unitate flash suplimentară, facem totul pe aceeași, doar adăugăm fișiere cu un nou format de cheie. Transportatorul va deveni universal. Atât cheile noi, cât și cele vechi sunt convertite fără probleme.
Schimbarea utilizatorului a devenit mult mai ușor. Acum nu trebuie să reporniți serviciul, doar schimbați certificatul în linia „Certificat de utilizator implicit” din setările TLS Continent.
Mult succes în lupta ta grea împotriva portalurilor federale!