ДЛЯ ЗАГРУЗКИ РОСКАЗНЫ CRL И НА КОНТИНЕНТЕ НЕОБХОДИМО ОБНОВИТЬ CRL

Сегодня особенный привет работникам бюджетной сферы. Поговорим о наболевшем. О работе в системе ГИС «Электронный бюджет». Который просто кишит ошибками.

Вот эта ошибка: «crl сертификата сервера не загружен или устарел» , по запросу на которую вы сюда и пришли, она тянется с августа 2020г. Тогда в электронном бюджете произошли большие изменения, и вместе с ними, например, «приклеились» и всякие ошибки, которые до сих пор не могут быть устранены в автоматическом режиме в «полюбившемся» вам континент tls 2.0. Уж извините за сарказм.

Электронный бюджет: crl сертификата сервера не загружен или устарел
ЭБ: crl сертификата сервера не загружен или устарел

Если вы видите такую ошибку в своём TLS — клиенте, значит нужно установить «список отзыва» вручную

Проблема в том, что ещё 2 года назад программисты УФК говорили, что обычные пользователи не должны выискивать вручную в интернете «рецепты», и всё должно делаться автоматически в Континент TLS 2.0 «по кнопке»:

Континент TLS 2.0
. Континент TLS 2.0

2. Теперь переходим к процедуре установки «списка отзыва»

По ней надо пройти, и вы увидите заголовок:

Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства:
Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства
Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства

Список этот будет меняться с течением времени. Но ссылка работает пока. Это файлы с расширением . CRL на текущий момент их 6. Но не суть важно. Главное понять как их устанавливать. Итак, скачиваем все . CRL — файлы с этой страницы в какую-либо папку:

Уустановка списка отзыва вручную
Установка списка отзыва вручную

И правой мышкой, по очереди на каждом файле, нажимаем и выбираем в меню «Установить список отзыва CRL». Следуйте несложным инструкциям после этого (грубо говоря жмём на все вопросы «ОК», «далее» и т.п.)

P. S. Данный рецепт  получил от тех.поддержки УФК.


04 фев 2020 07:01
#15094

от

Запускаем Континент.

lk.budget.gov.ru – статус сертфиката – сертификат просрочен.

lk2012.budget.gov.ru – статус сертификата – требуется обновить CRL.

CRL- требуется обновление.

Вчера вечером все работало.


04 фев 2020 12:00
04 фев 2020 12:01
#15105

от

finsem пишет: lk.budget.gov.ru – статус сертфиката – сертификат просрочен.

Можете удалить его из настроек Континент ТЛС — он по старому Гост-2001, запрещенному с 01.01.2020.

lk2012.budget.gov.ru – статус сертификата – требуется обновить CRL.

CRL- требуется обновление.





04 фев 2020 12:25
#15106

от


04 фев 2020 12:50
04 фев 2020 12:52
#15108

от

finsem пишет: Возьму совет на заметку для следующего раза.

Есть еще по сабжу от “FarWinter”
в
этом

посте (сам не пробовал — всё в ваших руках) и следующем за ним.





04 фев 2020 13:38
04 фев 2020 14:20
#15111

от


______________________________

лучше уже было

Спасибо сказали:


25 фев 2020 12:50
25 фев 2020 13:20
#15415

от


25 фев 2020 13:33
25 фев 2020 13:40
#15417

от

Он устанавливается в Промежуточные центры сертификации – Локальный компьютер. И guc_gost12.crl
тоже.

Если в хранилище есть просроченные crl, удалите их.


______________________________

лучше уже было


25 фев 2020 13:46
25 фев 2020 13:49
#15418

от

Установила в промежуточные guc_gost12.crl , вот это помогло. Как же сделать, чтобы автоматически это все обновлялось? Ведь через неделю опять это все будет. Опять скачивать и вручную? А перед этим и в промежуточные тоже ucfk_gost12.crl устанавливала.


25 фев 2020 14:02
#15420

от

finsem пишет: Ведь через неделю опять это все будет. Опять скачивать и вручную?

Просроченных crl нет в хранилище?


______________________________

лучше уже было


25 фев 2020 14:30
25 фев 2020 14:31
#15422

от

Он устанавливается в Промежуточные центры сертификации – Локальный компьютер. И guc_gost12.crl
тоже.

Недавно поставил на проблемном АРМе

оба

этих САС в ” Локальный компьютер
” и в ”

Доверенные корневые

” и в ”

Промежуточные

” — помогло (просроченные удалял при этом).

Не знаю прав или нет, но на всякий случай туда же установил и ucfk_2020.crl
— не будет лишним для сертов после 17.02.2020 года выпуска.





26 фев 2020 05:59
#15428

от

Gvinpin пишет: Просроченных crl нет в хранилище?

Где конкретно это посмотреть?


26 фев 2020 06:02
#15429

от

Можно тут:

Win+R (Пуск -> Выполнить, если по старинке) -> certmgr.msc


26 фев 2020 06:41
#15432

от


26 фев 2020 06:56
26 фев 2020 06:56
#15435

от

Возможно, изменены настройки Континент TLS. Проверьте, стоит ли галочка “скачивать crl автоматически” и каков период скачивания. Если автоматическое скачивание настроено, проверьте, не блокируется ли доступ к crl.roskazna.ru/crl/
.


______________________________

лучше уже было


23 апр 2021 04:45
#18547

от

Столкнулся с подобной проблемой при попытке подключения к СУФД под Убунту 20.04, Континент-АП 4.0.0.104 (КС1). После импорта сертификатов для корневого требуется загрузить crl. В областном казначействе сказали, что таковых нет в природе. КодБезопастности CSP их не формирует. Как быть?

Вложенный файл:

*NEW* Настройка ЭБ от пользователя  FarWinter

QuickEB – Порядок быстрой настройки Электронного бюджета

Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ

QuickCG – Порядок быстрой настройки Chromium GOST

Типовые ошибки при работе в Chromium GOST

КриптоПро CSP считает недействительными сертификаты по ГОСТ 2012

Использование  Chromium GOST позволяет избавиться от использования продуктов “Код безопасности” 😉

( использовать х32 версию браузера  для ОС любой разрядности )

Chromium GOST не хочет использовать смешанный контент, когда на страницах https открывается http контент

Нужно в параметры запуска chrome.exe добавить ключ 

и добавить lk.budget.gov.ru в список разрешённых доменов где можно использовать смешанный контент 
в свойствах ярлыка “ЭБ CG.lnk”  
добавить в конец через пробел ключ

Chromium GOST и DrWEB не открываются сайты

Помогает запуск с ключом – -no-sandbox. (для х64 версии)

Но лучше использовать х32 версию браузера 

У кого  Jinn не видит контейнер читаем подробности


При использовании сертификатов по ГОСТ Р 34.10-2012 в подсистемах ГИИС «Электронный бюджет», оператором которых является Федеральное казначейство, необходимо:

1. Для аутентификации пользователей на автоматизированном рабочем месте установить СКЗИ «Континент TLS-клиент». Версия 2» и провести настройку в соответствии с инструкцией, размещенной на официальном сайте Федерального казначейства в разделе ГИС – Электронный бюджет – Подключение к системе.

2. В качестве адреса TLS сервера ГИИС ЭБ и доступа в личный кабинет указывать адрес .   lk.budget.gov.ru (*)

(*) С 01.08.2020 lk2012 больше не доступен

Про Jinn Sign Extension Provider

Убедительная просьба админам разместить информацию о том, что Jinn Sign Extension Provider может не до конца установится, если использовать предложенную папку по умолчанию (папка в профиле пользователя)

Я час бился с проблемой, оказывается надо было изменить папку на C:\Program Files\Security Code\ (если х64, то папку C:\Program Files(х86)\Security Code\)

Я пока не понял причину, возможно из-за того что в имени пользователя используется кириллица


P. S. спасибо статье sbis.ru/help/auction/workplace/jinn_pl
, так бы еще мучался неизвестно сколько

слишком сложно написано

Просьба написать попроще, например что в пути установки не должно быть кириллицы, например имя пользователя написано по-русски (аля Юзер, Пользователь, Админ и прочее) и используется путь установки предложенный установщиком (в папку профиля пользователя)

Параметры командной строки для тихой установки Jinn Sign Extension Provider
сразу для всех пользователей Windows

(путь можете указать свой, лишь бы он был доступен для всех пользователей):

  msiexec /i JinnSignExtensionSetup.msi /qn INSTALLLOCATION="%ALLUSERSPROFILE%\Security Code" ALLUSERS=1     

ПРИМЕЧАНИЕ: Командную строку нужно запускать по правой кнопки мыши с выбором “Запуск от имени администратора”

Jinn не видит контейнер

Размер имеет значение (с)

Британские учёные установили

При подписании в ЭБ косяк выявили, если название организации в сертификате ГОСТ 2012 превышает 127 символов, то jinn просто не видит контейнер с таким сертификатом
. Решение – конвертация контейнера. Утилита конвертации контейнеров КриптоПро в PKCS#15 в приложении. Инструкция по использованию в архиве. Для работы на рабочем месте должен быть установлен КриптоПро CSP.

Инструкция по созданию носителя от пользователя 7449

УТИЛИТА КОНВЕРТАЦИИ КОНТЕЙНЕРА  

ИНСТРУКЦИЯ ПО СОЗДАНИЮ НОСИТЕЛЯ  

ОТВЕТ ТЕХПОДДЕРЖКИ УФК

Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки. Для конвертации контейнера PKCS#12 в PKCS#15 есть специальная утилита, для получения обращаться в ТОФК.

1. В компьютере вставлен съемный носитель с сертификатом PKCS#12.

2. Запускаем утилиту конвертации.

3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».

4. Выбираем нужный сертификат и нажимаем «Конвертировать».

5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».

6. В окне Крипто-ПРО повторно указываем пароль ранее и «ОК».

7. Конвертирование завершено успешно, на съемном носителе будет сертификат и ключ в контейнере PKCS#15.

При отсутствии сертификата в jinn плагине при подписании требуется обратиться в отдел ОРСИБИ вашего ТОФК для получения конвертера и инструкции по конвертации контейнера подписи из формата PKCS#12 в PKCS#15.

++++++

(Примечание: Ссылка на утилиту выше.)

Очень плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP

Вернул обратно на своём тестовом стенде КАП 3.7.651 с крипто-провайдером от КБ (куда ж теперь без него?)


На этапе подписи заявки в ЭБ при “поиске носителя” получаем: “Прекращена работа программы визуализации и подписи Jinn-Client”

До этого всё подписывало в ЭБ (Win 10.15063×64)

update:  Ложка мёда в бочку дёгтя: проверяли на win7x32 sp1 такой проблемы нет.

Плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP

Для правильной установки Континент TLS-клиент». Версия 2 придётся удалять КАП. Вычищать следы пребывание КБ CSP утилитой от кода безопасности тынц
с параметрами -to из командной строки от администратора. Так же должен стоять криптопро. Тогда ТЛС клиент не будет пытаться установить или обновить свой криптопровайдер. Потом континент ап можно ставить обратно с его криптопровайдером, все работает. Не забываем удалить

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

из реестра.

СКЗИ «Континент TLS-клиент». Версия 2  “Доступ к конфигурационному файлу запрещен”

Если кто задумает “хочу установить все заново”

(взято с форума росказны)

Варианты установки программных продуктов

Состав программных продуктов:

* КриптоПро CSP или Валидата CSP;

* Jinn-Client;

* TLS-клиент.

Выполните действия в следующем порядке:

Состав программных продуктов:

* КриптоПро CSP или Валидата CSP;

* TLS-клиент.

Выполните действия в следующем порядке:

1. Установите сторонний криптопровайдер (КриптоПро CSP или Валидата CSP).

2. Установите TLS-клиент. В состав данного продукта входит криптопровайдер “Код Безопасности CSP” версии 4.0, который не будет установлен. В такой ситуации используется сторонний криптопровайдер.

Состав программных продуктов:

* Jinn-Client;

* TLS-клиент.

Выполните действия в следующем порядке:

Отсутствуют сторонние криптопровайдеры (КриптоПро CSP или Валидата CSP) и Jinn-Client.

В данном случае установите TLS-клиент. Он содержит криптопровайдер “Код Безопасности CSP” версия 4.0, который установится автоматически.

Исправление ошибок установки

При нарушении порядка установки выполните действия в следующем порядке:

1. Удалите все программные продукты, входящие в вариант установки.

2. После каждого удаления программного продукта выполните перезагрузку, если она требуется.

3. Установите программные продукты заново в соответствии с описанными вариантами установки.

Для подписания в Электронном бюджете в Mozilla Firefox с помощью Jinn-client 1.0.3050.0
, рекомендуется использовать версию от 52.9.0esr и выше

, необходимо установленное в браузере расширение Jinn Sign Extension

, а также установленный в Windows Jinn Sign Extension Provider
версии 1.0.0.5
. Во избежание появления в firefox
ошибки при подписании:

Не удалось обработать

необходимо в firefox выполнить следующее:

  1.  В адресной строке firefox ввести about:config
  2. Установить параметры accessibility.delay_plugins = true
    ; accessibility.delay_plugin_time = 90000
  3. В браузере включить
    плагин Jinn-client (если версия firefox поддерживает плагин – например, как версия 52.9.0esr)
    и одновременно включить расширение Jinn-client
    .

Если такая ошибка появилась, то помимо указанных выше настроек необходимо при закрытом firefox удалить, а затем заново установить Jinn sign extension provider
версии 1.0.0.5
. ( Перезагружать компьютер при этом необязательно, куки и кэш желательно удалить).

Так как для браузеров Mozilla Firefox
и Google Chrome
, в отличие от Internet Explorer 11
, при подписании в Электронном бюджете используются ещё расширение Jinn-client
и Jinn Sign Extension Provider
, то при возникновении ошибок при подписании лучше всего после этого проверять подписание в настроенном для работы в Электронном бюджете Internet Explorer 11.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *