*NEW* Настройка ЭБ от пользователя FarWinter
QuickEB – Порядок быстрой настройки Электронного бюджета
Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ
QuickCG – Порядок быстрой настройки Chromium GOST
Типовые ошибки при работе в Chromium GOST
КриптоПро CSP считает недействительными сертификаты по ГОСТ 2012
Использование Chromium GOST позволяет избавиться от использования продуктов “Код безопасности” 😉
( использовать х32 версию браузера для ОС любой разрядности )
Chromium GOST не хочет использовать смешанный контент, когда на страницах https открывается http контент
Нужно в параметры запуска chrome.exe добавить ключ
и добавить lk.budget.gov.ru в список разрешённых доменов где можно использовать смешанный контент
в свойствах ярлыка “ЭБ CG.lnk”
добавить в конец через пробел ключ
Chromium GOST и DrWEB не открываются сайты
Помогает запуск с ключом – -no-sandbox. (для х64 версии)
Но лучше использовать х32 версию браузера
У кого Jinn не видит контейнер читаем подробности
При использовании сертификатов по ГОСТ Р 34.10-2012 в подсистемах ГИИС «Электронный бюджет», оператором которых является Федеральное казначейство, необходимо:
1. Для аутентификации пользователей на автоматизированном рабочем месте установить СКЗИ «Континент TLS-клиент». Версия 2» и провести настройку в соответствии с инструкцией, размещенной на официальном сайте Федерального казначейства в разделе ГИС – Электронный бюджет – Подключение к системе.
2. В качестве адреса TLS сервера ГИИС ЭБ и доступа в личный кабинет указывать адрес . lk.budget.gov.ru (*)
(*) С 01.08.2020 lk2012 больше не доступен
Про Jinn Sign Extension Provider
Убедительная просьба админам разместить информацию о том, что Jinn Sign Extension Provider может не до конца установится, если использовать предложенную папку по умолчанию (папка в профиле пользователя)
Я час бился с проблемой, оказывается надо было изменить папку на C:\Program Files\Security Code\ (если х64, то папку C:\Program Files(х86)\Security Code\)
Я пока не понял причину, возможно из-за того что в имени пользователя используется кириллица
P. S. спасибо статье sbis.ru/help/auction/workplace/jinn_pl
, так бы еще мучался неизвестно сколько
слишком сложно написано
Просьба написать попроще, например что в пути установки не должно быть кириллицы, например имя пользователя написано по-русски (аля Юзер, Пользователь, Админ и прочее) и используется путь установки предложенный установщиком (в папку профиля пользователя)
Параметры командной строки для тихой установки Jinn Sign Extension Provider
сразу для всех пользователей Windows
(путь можете указать свой, лишь бы он был доступен для всех пользователей):
msiexec /i JinnSignExtensionSetup.msi /qn INSTALLLOCATION="%ALLUSERSPROFILE%\Security Code" ALLUSERS=1
ПРИМЕЧАНИЕ: Командную строку нужно запускать по правой кнопки мыши с выбором “Запуск от имени администратора”
Jinn не видит контейнер
Размер имеет значение (с)
Британские учёные установили
При подписании в ЭБ косяк выявили, если название организации в сертификате ГОСТ 2012 превышает 127 символов, то jinn просто не видит контейнер с таким сертификатом
. Решение – конвертация контейнера. Утилита конвертации контейнеров КриптоПро в PKCS#15 в приложении. Инструкция по использованию в архиве. Для работы на рабочем месте должен быть установлен КриптоПро CSP.
Инструкция по созданию носителя от пользователя 7449
УТИЛИТА КОНВЕРТАЦИИ КОНТЕЙНЕРА
ИНСТРУКЦИЯ ПО СОЗДАНИЮ НОСИТЕЛЯ
ОТВЕТ ТЕХПОДДЕРЖКИ УФК
Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки. Для конвертации контейнера PKCS#12 в PKCS#15 есть специальная утилита, для получения обращаться в ТОФК.
1. В компьютере вставлен съемный носитель с сертификатом PKCS#12.
2. Запускаем утилиту конвертации.
3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».
4. Выбираем нужный сертификат и нажимаем «Конвертировать».
5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».
6. В окне Крипто-ПРО повторно указываем пароль ранее и «ОК».
7. Конвертирование завершено успешно, на съемном носителе будет сертификат и ключ в контейнере PKCS#15.
При отсутствии сертификата в jinn плагине при подписании требуется обратиться в отдел ОРСИБИ вашего ТОФК для получения конвертера и инструкции по конвертации контейнера подписи из формата PKCS#12 в PKCS#15.
++++++
(Примечание: Ссылка на утилиту выше.)
Очень плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP
Вернул обратно на своём тестовом стенде КАП 3.7.651 с крипто-провайдером от КБ (куда ж теперь без него?)
На этапе подписи заявки в ЭБ при “поиске носителя” получаем: “Прекращена работа программы визуализации и подписи Jinn-Client”
До этого всё подписывало в ЭБ (Win 10.15063×64)
update: Ложка мёда в бочку дёгтя: проверяли на win7x32 sp1 такой проблемы нет.
Плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP
Для правильной установки Континент TLS-клиент». Версия 2 придётся удалять КАП. Вычищать следы пребывание КБ CSP утилитой от кода безопасности тынц
с параметрами -to из командной строки от администратора. Так же должен стоять криптопро. Тогда ТЛС клиент не будет пытаться установить или обновить свой криптопровайдер. Потом континент ап можно ставить обратно с его криптопровайдером, все работает. Не забываем удалить
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
из реестра.
СКЗИ «Континент TLS-клиент». Версия 2 “Доступ к конфигурационному файлу запрещен”
Если кто задумает “хочу установить все заново”
(взято с форума росказны)
Варианты установки программных продуктов
Состав программных продуктов:
* КриптоПро CSP или Валидата CSP;
* Jinn-Client;
* TLS-клиент.
Выполните действия в следующем порядке:
Состав программных продуктов:
* КриптоПро CSP или Валидата CSP;
* TLS-клиент.
Выполните действия в следующем порядке:
1. Установите сторонний криптопровайдер (КриптоПро CSP или Валидата CSP).
2. Установите TLS-клиент. В состав данного продукта входит криптопровайдер “Код Безопасности CSP” версии 4.0, который не будет установлен. В такой ситуации используется сторонний криптопровайдер.
Состав программных продуктов:
* Jinn-Client;
* TLS-клиент.
Выполните действия в следующем порядке:
Отсутствуют сторонние криптопровайдеры (КриптоПро CSP или Валидата CSP) и Jinn-Client.
В данном случае установите TLS-клиент. Он содержит криптопровайдер “Код Безопасности CSP” версия 4.0, который установится автоматически.
Исправление ошибок установки
При нарушении порядка установки выполните действия в следующем порядке:
1. Удалите все программные продукты, входящие в вариант установки.
2. После каждого удаления программного продукта выполните перезагрузку, если она требуется.
3. Установите программные продукты заново в соответствии с описанными вариантами установки.
Для подписания в Электронном бюджете в Mozilla Firefox с помощью Jinn-client 1.0.3050.0
, рекомендуется использовать версию от 52.9.0esr и выше
, необходимо установленное в браузере расширение Jinn Sign Extension
, а также установленный в Windows Jinn Sign Extension Provider
версии 1.0.0.5
. Во избежание появления в firefox
ошибки при подписании:
Не удалось обработать
необходимо в firefox выполнить следующее:
- В адресной строке firefox ввести about:config
- Установить параметры accessibility.delay_plugins = true
; accessibility.delay_plugin_time = 90000 - В браузере включить
плагин Jinn-client (если версия firefox поддерживает плагин – например, как версия 52.9.0esr)
и одновременно включить расширение Jinn-client
.
Если такая ошибка появилась, то помимо указанных выше настроек необходимо при закрытом firefox удалить, а затем заново установить Jinn sign extension provider
версии 1.0.0.5
. ( Перезагружать компьютер при этом необязательно, куки и кэш желательно удалить).
Так как для браузеров Mozilla Firefox
и Google Chrome
, в отличие от Internet Explorer 11
, при подписании в Электронном бюджете используются ещё расширение Jinn-client
и Jinn Sign Extension Provider
, то при возникновении ошибок при подписании лучше всего после этого проверять подписание в настроенном для работы в Электронном бюджете Internet Explorer 11.
В статье описаны возможные ошибки при работе Chromium GOST и варианты решения проблем.
1) Перезагрузка компьютера при входе на страницу
lk.budget.gov.ru
Нужно обновить КриптоПРО CSP до версии КриптоПРО CSP 4.0.9944 или выше.
1а) Ошибка при открытии страницы
https :
//lk.budget.gov.ru или
https :
//lk2012.budget.gov.ru :
Этот сайт не может обеспечить безопасное соединение
На сайте lk2012.budget.gov.ru используется неподдерживаемый протокол.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Неподдерживаемый протокол
Клиент и сервер поддерживают разные версии протокола SSL или набора шифров
Варианты ошибок и решение проблемы:
1.1 Не установлен КрипоПРО CSP на рабочей станции.
Решение:
Установить КриптоПРО CSP 4.0.9944 или выше версия.
В первом сообщении темы, пункт «1.0 КриптоПРО CSP и ЭЦП Browser Plug-in»
1.2 Ошибка может возникать, когда антивирус подменяет сертификат сайта своим сертификатом
что приводит к ошибке при работе с сайтами, которые используют сертификаты с ГОСТ алгоритмами электронной подписи, ссылка на сообщение на сайте КриптоПРО
Чтобы проверить это откройте в Internet Explorer страницу https :
//cryptopro.ru , нажмите на пиктограмму замка (в конце адресной строки)
, потом на ссылку «Просмотр сертификатов» в появившемся окне.
Если на вкладке Общие
в строке Кем выдан
стоит значение в котором присутствует слово Kaspersky или название другого антивируса, то это значит, что антивирус подменяет сертификаты веб-сайтов своим сертификатом.
Необходимо отключить эту функцию антивируса (она обычно называется «Проверять защищенные соединения» или «https/ssl» фильтрация).
1.2.1 Может блокировать антивирус Касперский KES11
, https соединения (или другой антивирус)
Решение для Касперского KES11:
Чтобы можно было зайти на защищённые соединения https://
Настройка
Общие параметры
Параметры сети
2) Ошибка при открытии страницы
https :
//lk.budget.gov.ru или
https :
//lk2012.budget.gov.ru :
Не удается получить доступ к сайту
Веб-страница по адресу https :
//lk2012.budget.gov.ru/, возможно, временно недоступна или постоянно перемещена по новому адресу.
ERR_FAILED
Варианты ошибок и решение проблемы:
2.0 Временная Лицензия КриптоПРО на 3 месяца закончилась
2.1 Не установлен личный сертификат пользователя
Установить сертификат в хранилище сертификатов: Текущий пользователь — Личное
2.2 У сертификата пользователя, установленного в хранилище личное, закончился срок действия сертификата
2.3 У Контейнера закрытого ключа, закончился — Срок действия закрытого ключа, но срок действия сертификата ещё не закончился
Можно проверить и перевести системную дату назад в компьютере, на дату когда «Срок действия закрытого ключа» ещё не закончился,
Если не помогло, то лучше выполнить пункты 2.3.1 или 2.3.2
Если срок действия сертификата ещё не закончился, можно пересоздать контейнер закрытого ключа,
чтобы «Срок действия закрытого ключа» продлился.
Перед выгрузкой нужно перевести системную дату назад в компьютере,
на дату когда «Срок действия закрытого ключа» ещё не закончился,
иначе нельзя будет выгрузить такой контейнер.
После всех манипуляций с контейнерами, не забыть вернуть правильную дату.
Нужно будет выгрузить контейнер закрытого ключа в файл с расширением .pfx и затем восстановить контейнер из этого файла,
Новый восстановленный контейнер закрытого ключа будет без установленного сертификата в контейнере, поэтому потом нужно будет ещё установить сертификат в новый контейнер.
Выгрузить в виде файла с расширением .pfx
Экспортировать все расширенные свойства
-> Далее
Задать пароль -> Далее
Задать Имя файла -> Далее
-> Готово
Для восстановления ключа из файла с расширением .pfx на флешку или в реестр
Нужно два раза кликнуть по файлу .pfx
-> Далее -> Далее
Ввести пароль, который был задан при создании файла .pfx
Пометить этот ключ как экспортируемый, что позволит сохранять архивную копию ключа и перемещать его
Включить все расширенные свойства
-> Далее
-> Далее
Выбрать флешку или реестр, куда восстановить контейнер закрытого ключа
(Имя нового контейнера может быть сгенерировано автоматически,
Например: «35417245-1369-4fb1-91dc-bdfa5cab4d81».)
Если требуется задать пароль для контейнера закрытого ключа
-> ОК
Установка сертификата в новый контейнер
Установить сертификат(цепочку сертификатов) в контейнер
Далее — Готово (Если спросит заменить, то нажать ДА)
!!! ВНИМАНИЕ !!! Не забыть вернуть правильную дату на компьютере.
2.3.2 Отключить в КриптоПРО контроль — Срок действия закрытого ключа
2.4 При входе на сайт Не появляется список сертификатов пользователей установленных в Личное
Не появляется список сертификатов пользователей установленных в Личное,
хотя сертификаты пользователя установлены в хранилище сертификатов: Текущий пользователь — Личное,
и не просрочены сами сертификаты и даты окончания закрытого ключа.
в Internet Explorer аналогичная ошибка может выглядеть,
Не удается отобразить эту страницу
Включите протоколы TLS 1.0, TLS 1.1 и TLS 1.2 в разделе «Дополнительные параметры» и снова попробуйте подключиться к веб-странице https :
//fzs.roskazna.ru . Если ошибка повторяется, возможно, этот сайт использует неподдерживаемый протокол или комплект шифров, например RC4, который не считается безопасным. Обратитесь к администратору сайта.
regsvr32 /u cpcng.dll regsvr32 cpcng.dll
В случае неудачи (когда ошибка сохраняется), лучше всё переустановить.
Удалить все продукты Кода Безопасности и КриптоПРО с удалением следов в реестре и на диске, и установить заново.
По инструкции:
!Порядок полного удаления КриптоПро и Кода Безопасности.zip
ссылка для скачивания yadi.sk/d/PAjg5CRY8EqaQA
3) Ошибка при открытии страницы
https :
//lk.budget.gov.ru или
https :
//lk2012.budget.gov.ru :
HTTPS-прокси. Ошибка сертификата
Сертификат имеет неправильное назначение
Сертификат отозван
Время действия сертификата еще не наступило
Срок действия сертификата истёк
3.1 С 1 августа 2020 в Электронный бюджет нужно заходить через lk.budget.gov.ru
(вход в ЭБ через lk2012.budget.gov.ru — не работает)
в командном окне cmd.exe
команда ping в интернет сети
ping lk.budget.gov.ru
должна показывать IP 95.167.245.91
ping lk2012.budget.gov.ru
должна показывать IP 94.25.27.229
(Для УФК и ОФК в сети ЗКВС другой IP адрес для lk.budget.gov.ru)
4) На странице
https :
//lk.budget.gov.ru не отображается содержимое какого либо пункта ЭБ
Белый фон и ничего не происходит
Например на вкладке Рабочие места в разделе Казначейское сопровождение -> Лицевые счета, или ПИАО -> ПИАО
Chromium GOST не хочет использовать смешанный контент, когда на страницах https открывается http контент.
Если заходить в ЭБ используя Континент-TLS по http ссылке http :
//lk.budget.gov.ru такой ошибки не возникает.
Решение:
Для ПИАО можно зайти в ЭБ-ПИАО по другой ссылке https :
//lk.budget.gov.ru/piao
с помощью ярлыка «ЭБ ПИАО CG.lnk»
Для Лицевых счетов, требуется разрешить использовать смешанный контент в Chromium GOST Нужно в параметры запуска chrome.exe добавить ключ
--allow-running-insecure-content
и добавить lk.budget.gov.ru в список разрешённых доменов где можно использовать смешанный контент
Например, в свойствах ярлыка «ЭБ CG.lnk», добавить в конец через пробел ключ —allow-running-insecure-content
%UserProfile%\AppData\Local\Chromium\Application\chrome.exe -no-default-browser-check https://lk.budget.gov.ru/udu-webcenter --allow-running-insecure-content
Добавление lk.budget.gov.ru в список разрешённых доменов, где можно использовать смешанный контент
Открыть ссылку в Chromium GOST
Chrome://net-internals
Выбрать слева
Domain Security Policy
В разделе
Add HSTS domain
Проверить настроки домена можно в разделе
Query HSTS/PKP domain
в поле Domain:
вставить
lk.budget.gov.ru
и нажать Query
Found:
static_sts_domain:
static_upgrade_mode: UNKNOWN
static_sts_include_subdomains:
static_sts_observed:
static_pkp_domain:
static_pkp_include_subdomains:
static_pkp_observed:
static_spki_hashes:
dynamic_sts_domain: lk.budget.gov.ru
dynamic_upgrade_mode: FORCE_HTTPS
dynamic_sts_include_subdomains: false
dynamic_sts_observed: 1597827354.378033
dynamic_sts_expiry: 1684227354.379606
Если нужно удалить доменную политику
в конце страницы, раздел:
Delete domain security policies
вставить
lk.budget.gov.ru
и нажать Delete
5) При входе в Электронный бюджет, ошибки на странице в Chromium GOST:
502 Bad Gateway
404 Not Found
The requested URL /oam/server/auth_cred_submit was not found.
Можно — Удалить все данные о просмотренных страницах — Очистить историю
клавишами Ctrl+Shift+Delete
или
через прямую ссылку:
chrome :
//settings/clearBrowserData
или
В браузере Chromium GOST нажать вверху справа три вертикальные точки (вместо трёх точек может быть (!) ),
Дополнительные инструменты -> Удалить все данные о просмотренных страницах
Очистить историю -> вкладка Основные настройки
Временной диапазон — выбрать Всё время
- История браузера
- Файлы cookie и другие данные сайтов
- Изображения и другие файлы, сохранённые в кеше
QuickEB – Порядок быстрой настройки Электронного бюджета, для ГОСТ 2001 и ГОСТ 2012.
(также подходит для настройки подписания в Облачном портале 1С, только нужно выполнить дополнительно
настройки для Internet Explorer 11 из сообщения
“Сборник типовых ошибок в ЭБ”, ссылка
пункт 4.3 Ошибка при подписании на сайте buh2012.budget.gov.ru)
На форуме, в теме QuickCG – Порядок быстрой настройки Chromium GOST
ссылка
Настройка браузера Chromium GOST для работы в
Электронном бюджете
(Для Chromium GOST, Континент TLS-клиент
.
Для подписания документов используется КриптоПРО ЭЦП Browser Plug-in
QuickEB – Полная сборка
Автоматическая установка Jinn-Client_1.0.3050, Континент_TLS_VPN_Клиент_2.0.1440
и ещё ряд программ для работы в ЭБ
“QuickEB – Порядок установки ЭБ.zip”
311.1 Mb
ссылка для скачивания yadi.sk/d/-OoFDEBzJcpslA
QuickEB_Lite – Малая сборка
Автоматическая до установка программ для работы в Электронном бюджете,
если Jinn-Client_1.0.3050 и Континент TLS 2.0 – уже установлены на ПК вручную
(В малой сборке отсутствуют дистрибутивы JinnClient и КонтинентTLS)
“QuickEB_Lite – Порядок установки ЭБ.zip”
75.3 Mb
ссылка для скачивания yadi.sk/d/00CQGswqHtCVIg
!!! ВНИМАНИЕ, ОБЯЗАТЕЛЬНО !!!
Установка новых корневых сертификатов ФК – ГУЦ ()
, УЦФК 2021 ()
и ФК – ГУЦ ()
, УЦФК 2022 ()
без них не будет заходит в (вход в лк ЭБ c 1 августа 2020 через – не работает)
,
будет ошибка
:
Континент TLS-клиент. Ошибка
Федеральное казначейство: Сертификат сервера не прошел проверку. Ошибка: Цепочка сертификатов недействительна
в сборки эти сертификаты не добавлены, их нужно установить вручную или с помощью инсталлятора
например, установить после выполнения QuickEB.exe или QuickEB_Lite.exe
Порядок настройки Электронного бюджета, для подписания сертификатами ГОСТ 2001 и ГОСТ 2012.
Автоматическая установка Jinn-Client_1.0.3050, Континент_TLS_VPN_Клиент_2.0.1440
и ещё ряд программ для работы в ЭБ
0.0 Зайти под Администратором
0.1 Удалить старые версии Continent TLS 1.0.920.0 и Jinn-Client 1.0.1130.0
0.2 Обновить КриптоПро 4.0 до 4.0.9944
1.0 Установить Mozilla Firefox 51 и обновить Java 6u21
2.0 QuickEB – Автоматическая установка программ для работы в Электронном бюджете
3. Перезагрузка ПК и вход под Пользователем
4. Континент_TLS Настройки
5.0 Настроить Java 6u21 под пользователем
5.1 Mozilla Firefox 51 и Internet Explorer 11. Настроить под профилем пользователя
6.0 Установка личного сертификата и Конвертер для ГОСТ 2012
!!! Все EXE и BAT файлы запускать правой кнопкой мыши – Запуск от имени Администратора !!!
!!! Если для работы в электронном бюджете вы используете Internet Explorer 11,
то Mozilla Firefox 51 и Java 6u21 не нужно устанавливать
!!! Для работы в ЭБ Java не нужна
0.0 Зайти под Администратором
Если настройка происходит у пользователя с правами Опытный пользователь на рабочей станции,
то нужно обязательно выйти из системы и зайти под Администратором (Локальными или Доменным)
Если пользователь Администратор на рабочей станции – обычно этого достаточно, можно устанавливать из под него.
(в случае проблем с правами при установке, зайти под пользователем локальный Администратор)
0.1 Удалить старые версии Continent TLS 1.0.920.0 и Jinn-Client 1.0.1130.0
Запустить файл:
!Полное Удаление ЭБ, ГОСТ 2001.bat
Здесь перечислены только те версии, которые были установлены у нас
Если после выполнения этого файла Jinn-Client и Континент TLS-клиент остались
нужно в ручную их удалить через Панель управления – Удаление программ
Перезагружаться после удаления не нужно.
0.2 Обновить КриптоПро 4.0 до 4.0.9944
CSPSetup.exe
КриптоПро CSP 4.0.9944
Если на рабочей станции не было установлено вообще КриптоПро
Можно установить этим файлом КриптоПро CSP 4.0.9944
!!! ОБЯЗАТЕЛЬНО ПЕРЕЗАГРУЗИТСЯ после установки, и продолжить настройку ЭБ !!!
также можно установить ЭЦП Browser Plug-in 2.0.13292.0 файл cadesplugin.exe
для подписания в ЭБ он не нужен, но для многих других программ он требуется.
Если на рабочей станции установлена старая версия КриптоПро например 3.6
Лучше будет сделать полное удаление с чисткой следов КриптоПро, чтобы не ловить потом непонятных косяков с подписанием.
И установить КриптоПро 4.0
!!! ОБЯЗАТЕЛЬНО ПЕРЕЗАГРУЗИТСЯ после установки
Инструкцию по удалению следов КриптоПро можно взять из файла
“!Порядок полного удаления КриптоПро и Кода Безопасности.zip”
Если требуется только обновить КриптоПро 4.0, например, с версии 4.0.9842 до 4.0.9944,
то старую версию удалять не нужно, запустить CSPSetup.exe и нажать ДА (т.е. обновить)
!!! Перезагружаться не нужно.
1.0 Установить Mozilla Firefox 51 и обновить Java 6u21
!!! Если для работы в электронном бюджете вы используете Internet Explorer 11,
то Mozilla Firefox 51 и Java 6u21 не нужно устанавливать
!!! Для работы в ЭБ Java не нужна
Установить Mozilla Firefox 51, запускаете файл:
Firefox Setup 51.0 x32.exe
Если на ПК есть старая версия Mozilla до 51, то установка идёт просто поверх,
оставляете каталог по умолчанию, и нажимаете обновить.
Если в Mozilla будет использоваться Java, то нужно запустить файл:
Если на ПК была установлена Java 6 версии, например Java 6u17, то она обновиться до Java 6u21
2.0 QuickEB
Автоматическая установка программ для работы в Электронном бюджете
– файл запускать правой кнопкой мыши – Запуск от имени Администратора
(В некоторых случаях процессу установки может помешать Касперский с очень старыми антивирусными базами,
но в основном нормально всё устанавливается с включённым антивирусом)
Ввести ключ Jinn-Client руками или предварительно скопировать ключ в буфер CTRL+C
и вставить из буфера, нажать правой кнопкой мыши – Вставить
И нажать Enter
!!!! Если в командном окне в Свойствах-Правка выставлено = Выделение мышью
(т.е. вставка текста из буфера, просто по правой кнопке мыши)
И при установке, случайно кликнуть мышкой в командное окно, процесс установки может остановиться
В заголовке окна добавится слово: Выбрать (т.е. процесс будет ждать выделения текста)
Нужно просто нажать один раз любую стрелку (вверх, вниз), процесс установки продолжится
Будут автоматически выполнятся следующие пункты установки:
– Настроить КриптоПро 4.0, Установить Корневые сертификаты
. Установка корневых сертификатов для ГОСТ 2001 в хранилище сертификатов – Локальный компьютер:
. Установка корневых сертификатов для ГОСТ 2012 в хранилище сертификатов – Локальный компьютер:
. Настройка КриптоПро для работы в ЭБ
– Установка библиотек Microsoft Visual С++
– Jinn-Client_1.0.3050 без XC 1.0.1.1
– Континент_TLS_VPN_Клиент_2.0.1440 и eXtended Container 1.0.2.2
. Установка Континент TLS-клиент 2.0
. Установка лицензии UFK для Континент TLS-клиент
– Удалить eXtended Container 1.0.2.2 и установить правильный 1.0.2.2
– Дать права на каталоги Continent TLS Client
– JinnSignExtensionProvider_1.1.0.5 для Mozilla установка для всех пользователей
Самыми долгими по времени могут быть “Установка библиотек Microsoft Visual С++” и “Континент_TLS_VPN_Клиент_2.0.1440”
Всё зависит от конкретного компьютера.
После окончания установки, закрыть командное окно, и перезагрузить компьютер.
3. Перезагрузка ПК и вход под Пользователем
!!! Перезагружаем компьютер и заходим под пользователем.
4. Континент_TLS Настройки
На рабочем столе запустить ярлык “Континент TLS-клиент”
На некоторых компьютерах чек бокс “Использовать непрозрачное проксирование”
может быть окрашен серым цветом и быть не доступен для изменения
Это может быть связано с правами текущего пользователя
или включённым Контролем учётных записей
Если требуется поменять, то
Нужно закрыть Континент TLS, внизу-справа в системном трее(Панель задач)
на значке “Континент TLS-клиент” правой кнопкой мыши – Выход
(Значок может быть в скрытых, его можно перетащить из скрытых зажав левую кнопкой мыши и перетащить,
чтобы внизу показывался значок и уведомления)
Затем:
– Если текущий пользователь имеет права Администратора, то на рабочем столе, на ярлыке “Континент TLS-клиент”
запустить правой кнопкой мыши – Запуск от имени Администратора
После включения(или отключения) чек бокса, нажать Сохранить и
снова сделать выход из “Континент TLS-клиент”.
После этого просто запустить ярлык с рабочего стола “Континент TLS-клиент”
(континент запустится с правами текущего пользователя)
!!! ВНИМАНИЕ !!! После 1 августа 2020, приложенные файлы
и в сборке, импортировать не надо, т.к. сертификаты сайта изменились.
есть 2 варианта установки нового серверного сертификата “Континент TLS-клиент”:
!!! Самый простой способ !!!.
– Главное чтобы был установлен новый корневой сертификат в “Локальный компьютер”-“Промежуточные центры сертификации”
(в начале темы есть инструкция как его установить, если он не установлен)
– Установлен сертификат пользователя в хранилище сертификатов – Личное,
в этой инструкции пункт
6.1 Установка личного сертификата
– Были загружены списки отзывов сертификатов CRL (инструкция загрузки списков отзывов см.ниже)
и
В настройках Континент TLS был добавлен ресурс
Главная
соединения:
lk.budget.gov.ru
Достаточно один раз зайти в ЭБ с запущенным “Континент TLS-клиентом”
по http ссылке
– Если Континент TLS ещё не загружал списки отзывов сертификатов,
то статус сертификатов будет => Требуется загрузить CRL
Правильный статус должен быть – Действителен
Проверить Сертификаты – текущий пользователь и Сертификаты (локальный компьютер)
Доверенные корневые центры сертификации – Список отзыва сертификатов
Промежуточные центры сертификации – Список отзыва сертификатов
5.0 Настроить Java 6u21 под пользователем
!!! Для работы в ЭБ Java не нужна
Инструкция по настройке файл: “Настройка Java_6-21 для работы в АСФК и СУФД.docx”
Панель управления – Программы – Java32
Вкладка Advanced
Settings
Security
Mixed code
(*) Disable verification
И потом в плагинах Mozilla нужно будет включить Java(TM) Platform SE 6 U21
также ещё можно в настройках Java отключить авто обновление
Панель управления – Программы – Java32
на той же вкладке Advanced
Settings
JRE Auto-Download
(*) Never Auto-Download
5.1 Mozilla Firefox 51 и Internet Explorer 11. Настроить под профилем пользователя
Инструкция по настройке файл: “Настройки Mozilla Firefox 51.docx”
– устанавливать только, если вы импортируете новые сертификаты в ЭБ,
обычному пользователю его не нужно устанавливать.
Mozilla – Дополнения – Расширения
добавить Jinn Sign Extension
установить дополнение из файла – Для подписания через Jinn-Client в Электронном бюджете
!!! Внимание !!!
С 1 августа 2020 вход в ЭБ через не работает
нужно заходить по ссылке
Можно использовать ярлыки с 2001, только нужно переименовать, т.е. убрать в названии ярлыка 2001,
также для IE ещё нужно настроить удаление временных файлов при выходе из браузера.
из сообщения
” Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ
”
4.5 В ЭБ пропадают кнопки, неправильно отображаются пункты меню, непонятные глюки (типа: Раньше работало, а сейчас нет).
Нужно убрать 2001 из названия ярлыка и можно использовать для входа в ЭБ
Если требуется входить под разными сертификатами в ЭБ, нужно закрывать браузер,
делать Сброс соединений в КонтинентTLS
(внизу-справа в системном трее(Панель задач), на значке “Континент TLS-клиент” правой кнопкой мыши – Сброс соединений)
и после этого заходить в ЭБ.
6.0 Установка личного сертификата и Конвертер для ГОСТ 2012
6.1 Установка личного сертификата
Для входа в Электронный бюджет Сертификат пользователя должен быть установлен
через КриптоПРО в контейнер и в хранилище сертификата – личное.
6.2 Конвертер для ГОСТ 2012
В случае если название организации превышает 127 символов
(В сертификате, вкладка Состав – Субъект – O=Название организации)
при подписании в ЭБ Jinn-Client не видит такие контейнера закрытых ключей в ГОСТ 2012
Нужно использовать конвертер (Если количество символов меньше или равно 127, то конвертер не нужен.)
Распаковать архив
Установить reg файл, кликнуть два раза на файле: и нажать ДА
Запускаем конвертер файл:
Если конвертер не запустился(ошибка при запуске – отсутствует MSVCP140.dll),
то нужно до установить библиотеку Microsoft Visual C++ 2015 файл vc_redist.x86.exe
и снова запустить файл Converter.exe
Выбрать контейнер на флешке,
нажать Конвертировать
Выбрать флешку, куда создавать новый контейнер (т.е. можно ту же флешку, где находится конвертируемый контейнер)
Ввести пароль (минимум 4 символа) (При подписании в ЭБ в окне Jinn-Client нужно будет вводить этот пароль)
Нажать Сохранить
На флешке, в корне, появятся два файла:
TE.cer – сертификат
TEcont.p15 – контейнер закрытого ключа, который увидит Jinn-Client при подписании в ЭБ
(Если, вместо флешки использовать Rutoken, то эти файлы стандартными средствами с рутокена не удалить,
только перезаписывать или форматировать рутокен,
через Панель управления рутокена их невидно)
На флешке получится создать только один такой контейнер, т.к. при конвертации другого контейнера на флешке
файлы TE.cer и TEcont.p15 будут перезаписываться
Настройка ЭБ закончена.
Весь перечень других сборок
–
Настройка рабочего места для клиентов ФК