gasu.gov.ru – ГАСУ Управление
23 июль 2020 13:39
– 24 авг 2020 12:34
#16384
от
Континент TLS-клиент. Ошибка
Не совпадают алгоритмы подписи сертификатов. Сертификат сервера по ГОСТ 2001, ожидается: ГОСТ 2012
Вход в Электронный бюджет через – c 1 августа 2020 не работает.
Нужно заходить через
Ещё такая ошибка может быть из-за неправильно настроенного файла hosts
Для браузера Chromium GOST в таком случае будет сообщение:
HTTPS-прокси. Ошибка сертификата
Сертификат имеет неправильное назначение
Сертификат отозван
Время действия сертификата еще не наступило
Срок действия сертификата истёк
В сообщении Типовые ошибки при работе в Chromium GOST
sedkazna.ru/forum.html?view=topic&catid=9&id=1206#16365
пункт
3.2 В файле hosts для lk.budget.gov.ru ошибочно прописан IP адрес от lk2012.budget.gov.ru
Проверьте вход в ЭБ через браузер
без Континент TLS-клиент
(Для Chromium GOST – Не нужно устанавливать Континент TLS-клиент
и для работы в Электронном бюджете)
Тема на форуме QuickCG – Порядок быстрой настройки Chromium GOST
ссылка sedkazna.ru/forum.html?view=topic&catid=9&id=1206#16364
– Запуск Chromium GOST и переход на страницу https :
//lk.budget.gov.ru/udu-webcenter
*NEW* Настройка ЭБ от пользователя FarWinter
QuickEB – Порядок быстрой настройки Электронного бюджета
Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ
QuickCG – Порядок быстрой настройки Chromium GOST
Типовые ошибки при работе в Chromium GOST
КриптоПро CSP считает недействительными сертификаты по ГОСТ 2012
Использование Chromium GOST позволяет избавиться от использования продуктов “Код безопасности” 😉
( использовать х32 версию браузера для ОС любой разрядности )
Chromium GOST не хочет использовать смешанный контент, когда на страницах https открывается http контент
Нужно в параметры запуска chrome.exe добавить ключ
и добавить lk.budget.gov.ru в список разрешённых доменов где можно использовать смешанный контент
в свойствах ярлыка “ЭБ CG.lnk”
добавить в конец через пробел ключ
Chromium GOST и DrWEB не открываются сайты
Помогает запуск с ключом – -no-sandbox. (для х64 версии)
Но лучше использовать х32 версию браузера
У кого Jinn не видит контейнер читаем подробности
При использовании сертификатов по ГОСТ Р 34.10-2012 в подсистемах ГИИС «Электронный бюджет», оператором которых является Федеральное казначейство, необходимо:
1. Для аутентификации пользователей на автоматизированном рабочем месте установить СКЗИ «Континент TLS-клиент». Версия 2» и провести настройку в соответствии с инструкцией, размещенной на официальном сайте Федерального казначейства в разделе ГИС – Электронный бюджет – Подключение к системе.
2. В качестве адреса TLS сервера ГИИС ЭБ и доступа в личный кабинет указывать адрес . lk.budget.gov.ru (*)
(*) С 01.08.2020 lk2012 больше не доступен
Про Jinn Sign Extension Provider
Убедительная просьба админам разместить информацию о том, что Jinn Sign Extension Provider может не до конца установится, если использовать предложенную папку по умолчанию (папка в профиле пользователя)
Я час бился с проблемой, оказывается надо было изменить папку на C:\Program Files\Security Code\ (если х64, то папку C:\Program Files(х86)\Security Code\)
Я пока не понял причину, возможно из-за того что в имени пользователя используется кириллица
P. S. спасибо статье sbis.ru/help/auction/workplace/jinn_pl
, так бы еще мучался неизвестно сколько
слишком сложно написано
Просьба написать попроще, например что в пути установки не должно быть кириллицы, например имя пользователя написано по-русски (аля Юзер, Пользователь, Админ и прочее) и используется путь установки предложенный установщиком (в папку профиля пользователя)
Параметры командной строки для тихой установки Jinn Sign Extension Provider
сразу для всех пользователей Windows
(путь можете указать свой, лишь бы он был доступен для всех пользователей):
msiexec /i JinnSignExtensionSetup.msi /qn INSTALLLOCATION="%ALLUSERSPROFILE%\Security Code" ALLUSERS=1
ПРИМЕЧАНИЕ: Командную строку нужно запускать по правой кнопки мыши с выбором “Запуск от имени администратора”
Jinn не видит контейнер
Размер имеет значение (с)
Британские учёные установили
При подписании в ЭБ косяк выявили, если название организации в сертификате ГОСТ 2012 превышает 127 символов, то jinn просто не видит контейнер с таким сертификатом
. Решение – конвертация контейнера. Утилита конвертации контейнеров КриптоПро в PKCS#15 в приложении. Инструкция по использованию в архиве. Для работы на рабочем месте должен быть установлен КриптоПро CSP.
Инструкция по созданию носителя от пользователя 7449
УТИЛИТА КОНВЕРТАЦИИ КОНТЕЙНЕРА
ИНСТРУКЦИЯ ПО СОЗДАНИЮ НОСИТЕЛЯ
ОТВЕТ ТЕХПОДДЕРЖКИ УФК
Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки. Для конвертации контейнера PKCS#12 в PKCS#15 есть специальная утилита, для получения обращаться в ТОФК.
1. В компьютере вставлен съемный носитель с сертификатом PKCS#12.
2. Запускаем утилиту конвертации.
3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».
4. Выбираем нужный сертификат и нажимаем «Конвертировать».
5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».
6. В окне Крипто-ПРО повторно указываем пароль ранее и «ОК».
7. Конвертирование завершено успешно, на съемном носителе будет сертификат и ключ в контейнере PKCS#15.
При отсутствии сертификата в jinn плагине при подписании требуется обратиться в отдел ОРСИБИ вашего ТОФК для получения конвертера и инструкции по конвертации контейнера подписи из формата PKCS#12 в PKCS#15.
++++++
(Примечание: Ссылка на утилиту выше.)
Очень плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP
Вернул обратно на своём тестовом стенде КАП 3.7.651 с крипто-провайдером от КБ (куда ж теперь без него?)
На этапе подписи заявки в ЭБ при “поиске носителя” получаем: “Прекращена работа программы визуализации и подписи Jinn-Client”
До этого всё подписывало в ЭБ (Win 10.15063×64)
update: Ложка мёда в бочку дёгтя: проверяли на win7x32 sp1 такой проблемы нет.
Плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP
Для правильной установки Континент TLS-клиент». Версия 2 придётся удалять КАП. Вычищать следы пребывание КБ CSP утилитой от кода безопасности тынц
с параметрами -to из командной строки от администратора. Так же должен стоять криптопро. Тогда ТЛС клиент не будет пытаться установить или обновить свой криптопровайдер. Потом континент ап можно ставить обратно с его криптопровайдером, все работает. Не забываем удалить
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
из реестра.
СКЗИ «Континент TLS-клиент». Версия 2 “Доступ к конфигурационному файлу запрещен”
Если кто задумает “хочу установить все заново”
(взято с форума росказны)
Варианты установки программных продуктов
Состав программных продуктов:
* КриптоПро CSP или Валидата CSP;
* Jinn-Client;
* TLS-клиент.
Выполните действия в следующем порядке:
Состав программных продуктов:
* КриптоПро CSP или Валидата CSP;
* TLS-клиент.
Выполните действия в следующем порядке:
1. Установите сторонний криптопровайдер (КриптоПро CSP или Валидата CSP).
2. Установите TLS-клиент. В состав данного продукта входит криптопровайдер “Код Безопасности CSP” версии 4.0, который не будет установлен. В такой ситуации используется сторонний криптопровайдер.
Состав программных продуктов:
* Jinn-Client;
* TLS-клиент.
Выполните действия в следующем порядке:
Отсутствуют сторонние криптопровайдеры (КриптоПро CSP или Валидата CSP) и Jinn-Client.
В данном случае установите TLS-клиент. Он содержит криптопровайдер “Код Безопасности CSP” версия 4.0, который установится автоматически.
Исправление ошибок установки
При нарушении порядка установки выполните действия в следующем порядке:
1. Удалите все программные продукты, входящие в вариант установки.
2. После каждого удаления программного продукта выполните перезагрузку, если она требуется.
3. Установите программные продукты заново в соответствии с описанными вариантами установки.
Для подписания в Электронном бюджете в Mozilla Firefox с помощью Jinn-client 1.0.3050.0
, рекомендуется использовать версию от 52.9.0esr и выше
, необходимо установленное в браузере расширение Jinn Sign Extension
, а также установленный в Windows Jinn Sign Extension Provider
версии 1.0.0.5
. Во избежание появления в firefox
ошибки при подписании:
Не удалось обработать
необходимо в firefox выполнить следующее:
- В адресной строке firefox ввести about:config
- Установить параметры accessibility.delay_plugins = true
; accessibility.delay_plugin_time = 90000 - В браузере включить
плагин Jinn-client (если версия firefox поддерживает плагин – например, как версия 52.9.0esr)
и одновременно включить расширение Jinn-client
.
Если такая ошибка появилась, то помимо указанных выше настроек необходимо при закрытом firefox удалить, а затем заново установить Jinn sign extension provider
версии 1.0.0.5
. ( Перезагружать компьютер при этом необязательно, куки и кэш желательно удалить).
Так как для браузеров Mozilla Firefox
и Google Chrome
, в отличие от Internet Explorer 11
, при подписании в Электронном бюджете используются ещё расширение Jinn-client
и Jinn Sign Extension Provider
, то при возникновении ошибок при подписании лучше всего после этого проверять подписание в настроенном для работы в Электронном бюджете Internet Explorer 11.
Windows
, Программное обеспечение
-
16.09.2016 -
124 053 -
28.04.2020 -
25
Сайт ssl.budgetplan.minfin.ru является очень важным для работы бухгалтеров любой отечественной бюджетной организации, и обычно первичная настройка не вызывает особых проблем. Тем не менее, периодически случаются ситуации, когда приходится столкнуться с какой-нибудь непредвиденной ошибкой – и в этой статье мы постараемся ответить на наиболее часто возникающие.
Ошибка “Не удается отобразить эту страницу”
Если при заходе на сайт ssl.budgetplan.minfin.ru появляется следующая ошибка:
Не удается отобразить эту страницу
Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах и повторите попытку подключения к https://ssl.budgetplan.minfin.ru . Если ошибка повторяется, возможно, этот сайт использует неподдерживаемый протокол или комплект шифров, например RC4 (ссылка на статью со сведениями), который не считается безопасным. Обратитесь к администратору сайта.
Первым делом нужно проверить, что в системе присутствует установленный КриптоПро CSP с активной лицензией
. Затем сверяем соответствие всех его настроек, как это указано в соответствующей инструкции (см. скриншот ниже).
Если все верно, то для решения проблемы нужно выполнить следующую команду с правами администратора:
regsvr32 cpcng
И после этого все должно заработать.
P. S: Так же в комментариях подсказывают, что простая переустановка КриптоПро может помочь решить данную проблему.
Ошибка “Прокси сервер не отвечает”
Если Вы уверены, что проблема не в прокси сервере, то в таком случае, чаще всего замешан установленный на компьютере антивирус. Для проверки, стоит отключить антивирус, и посмотреть, пропала ли ошибка, или нет.
Про то, как бороться с данной ошибкой при установленном антивирусе Kaspersky Endpoint Security 11, у нас есть отдельная статья
.