НАСТРОЙКА ХРОМИУМ ГОСТ ДЛЯ ЭЛЕКТРОННОГО БЮДЖЕТА

*NEW* Настройка ЭБ от пользователя  FarWinter

QuickEB – Порядок быстрой настройки Электронного бюджета

Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ

QuickCG – Порядок быстрой настройки Chromium GOST

Типовые ошибки при работе в Chromium GOST

КриптоПро CSP считает недействительными сертификаты по ГОСТ 2012

Использование  Chromium GOST позволяет избавиться от использования продуктов “Код безопасности” 😉

( использовать х32 версию браузера  для ОС любой разрядности )

Chromium GOST не хочет использовать смешанный контент, когда на страницах https открывается http контент

Нужно в параметры запуска chrome.exe добавить ключ 

и добавить lk.budget.gov.ru в список разрешённых доменов где можно использовать смешанный контент 
в свойствах ярлыка “ЭБ CG.lnk”  
добавить в конец через пробел ключ

Chromium GOST и DrWEB не открываются сайты

Помогает запуск с ключом – -no-sandbox. (для х64 версии)

Но лучше использовать х32 версию браузера 

У кого  Jinn не видит контейнер читаем подробности


При использовании сертификатов по ГОСТ Р 34.10-2012 в подсистемах ГИИС «Электронный бюджет», оператором которых является Федеральное казначейство, необходимо:

1. Для аутентификации пользователей на автоматизированном рабочем месте установить СКЗИ «Континент TLS-клиент». Версия 2» и провести настройку в соответствии с инструкцией, размещенной на официальном сайте Федерального казначейства в разделе ГИС – Электронный бюджет – Подключение к системе.

2. В качестве адреса TLS сервера ГИИС ЭБ и доступа в личный кабинет указывать адрес .   lk.budget.gov.ru (*)

(*) С 01.08.2020 lk2012 больше не доступен

Про Jinn Sign Extension Provider

Убедительная просьба админам разместить информацию о том, что Jinn Sign Extension Provider может не до конца установится, если использовать предложенную папку по умолчанию (папка в профиле пользователя)

Я час бился с проблемой, оказывается надо было изменить папку на C:\Program Files\Security Code\ (если х64, то папку C:\Program Files(х86)\Security Code\)

Я пока не понял причину, возможно из-за того что в имени пользователя используется кириллица


P. S. спасибо статье sbis.ru/help/auction/workplace/jinn_pl
, так бы еще мучался неизвестно сколько

слишком сложно написано

Просьба написать попроще, например что в пути установки не должно быть кириллицы, например имя пользователя написано по-русски (аля Юзер, Пользователь, Админ и прочее) и используется путь установки предложенный установщиком (в папку профиля пользователя)

Параметры командной строки для тихой установки Jinn Sign Extension Provider
сразу для всех пользователей Windows

(путь можете указать свой, лишь бы он был доступен для всех пользователей):

  msiexec /i JinnSignExtensionSetup.msi /qn INSTALLLOCATION="%ALLUSERSPROFILE%\Security Code" ALLUSERS=1     

ПРИМЕЧАНИЕ: Командную строку нужно запускать по правой кнопки мыши с выбором “Запуск от имени администратора”

Jinn не видит контейнер

Размер имеет значение (с)

Британские учёные установили

При подписании в ЭБ косяк выявили, если название организации в сертификате ГОСТ 2012 превышает 127 символов, то jinn просто не видит контейнер с таким сертификатом
. Решение – конвертация контейнера. Утилита конвертации контейнеров КриптоПро в PKCS#15 в приложении. Инструкция по использованию в архиве. Для работы на рабочем месте должен быть установлен КриптоПро CSP.

Инструкция по созданию носителя от пользователя 7449

УТИЛИТА КОНВЕРТАЦИИ КОНТЕЙНЕРА  

ИНСТРУКЦИЯ ПО СОЗДАНИЮ НОСИТЕЛЯ  

ОТВЕТ ТЕХПОДДЕРЖКИ УФК

Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки. Для конвертации контейнера PKCS#12 в PKCS#15 есть специальная утилита, для получения обращаться в ТОФК.

1. В компьютере вставлен съемный носитель с сертификатом PKCS#12.

2. Запускаем утилиту конвертации.

3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».

4. Выбираем нужный сертификат и нажимаем «Конвертировать».

5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».

6. В окне Крипто-ПРО повторно указываем пароль ранее и «ОК».

7. Конвертирование завершено успешно, на съемном носителе будет сертификат и ключ в контейнере PKCS#15.

При отсутствии сертификата в jinn плагине при подписании требуется обратиться в отдел ОРСИБИ вашего ТОФК для получения конвертера и инструкции по конвертации контейнера подписи из формата PKCS#12 в PKCS#15.

++++++

(Примечание: Ссылка на утилиту выше.)

Очень плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP

Вернул обратно на своём тестовом стенде КАП 3.7.651 с крипто-провайдером от КБ (куда ж теперь без него?)


На этапе подписи заявки в ЭБ при “поиске носителя” получаем: “Прекращена работа программы визуализации и подписи Jinn-Client”

До этого всё подписывало в ЭБ (Win 10.15063×64)

update:  Ложка мёда в бочку дёгтя: проверяли на win7x32 sp1 такой проблемы нет.

Плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP

Для правильной установки Континент TLS-клиент». Версия 2 придётся удалять КАП. Вычищать следы пребывание КБ CSP утилитой от кода безопасности тынц
с параметрами -to из командной строки от администратора. Так же должен стоять криптопро. Тогда ТЛС клиент не будет пытаться установить или обновить свой криптопровайдер. Потом континент ап можно ставить обратно с его криптопровайдером, все работает. Не забываем удалить

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

из реестра.

СКЗИ «Континент TLS-клиент». Версия 2  “Доступ к конфигурационному файлу запрещен”

Если кто задумает “хочу установить все заново”

(взято с форума росказны)

Варианты установки программных продуктов

Состав программных продуктов:

* КриптоПро CSP или Валидата CSP;

* Jinn-Client;

* TLS-клиент.

Выполните действия в следующем порядке:

Состав программных продуктов:

* КриптоПро CSP или Валидата CSP;

* TLS-клиент.

Выполните действия в следующем порядке:

1. Установите сторонний криптопровайдер (КриптоПро CSP или Валидата CSP).

2. Установите TLS-клиент. В состав данного продукта входит криптопровайдер “Код Безопасности CSP” версии 4.0, который не будет установлен. В такой ситуации используется сторонний криптопровайдер.

Состав программных продуктов:

* Jinn-Client;

* TLS-клиент.

Выполните действия в следующем порядке:

Отсутствуют сторонние криптопровайдеры (КриптоПро CSP или Валидата CSP) и Jinn-Client.

В данном случае установите TLS-клиент. Он содержит криптопровайдер “Код Безопасности CSP” версия 4.0, который установится автоматически.

Исправление ошибок установки

При нарушении порядка установки выполните действия в следующем порядке:

1. Удалите все программные продукты, входящие в вариант установки.

2. После каждого удаления программного продукта выполните перезагрузку, если она требуется.

3. Установите программные продукты заново в соответствии с описанными вариантами установки.

Для подписания в Электронном бюджете в Mozilla Firefox с помощью Jinn-client 1.0.3050.0
, рекомендуется использовать версию от 52.9.0esr и выше

, необходимо установленное в браузере расширение Jinn Sign Extension

, а также установленный в Windows Jinn Sign Extension Provider
версии 1.0.0.5
. Во избежание появления в firefox
ошибки при подписании:

Не удалось обработать

необходимо в firefox выполнить следующее:

  1.  В адресной строке firefox ввести about:config
  2. Установить параметры accessibility.delay_plugins = true
    ; accessibility.delay_plugin_time = 90000
  3. В браузере включить
    плагин Jinn-client (если версия firefox поддерживает плагин – например, как версия 52.9.0esr)
    и одновременно включить расширение Jinn-client
    .

Если такая ошибка появилась, то помимо указанных выше настроек необходимо при закрытом firefox удалить, а затем заново установить Jinn sign extension provider
версии 1.0.0.5
. ( Перезагружать компьютер при этом необязательно, куки и кэш желательно удалить).

Так как для браузеров Mozilla Firefox
и Google Chrome
, в отличие от Internet Explorer 11
, при подписании в Электронном бюджете используются ещё расширение Jinn-client
и Jinn Sign Extension Provider
, то при возникновении ошибок при подписании лучше всего после этого проверять подписание в настроенном для работы в Электронном бюджете Internet Explorer 11.

QuickCG – Порядок быстрой настройки Chromium GOST

Настройка браузера Chromium GOST с подписанием в ЭБ через КриптоПРО ЭЦП Browser Plug-in

(Для Chromium GOST в Электронном бюджете
Континент TLS-клиент
.

Для подписания документов в ЭБ используется КриптоПРО ЭЦП Browser Plug-in

,

Настройка подписания в 1С-облачном портале через
в сообщении
ссылка

)

Типовые ошибки при работе в Chromium GOST

в сообщении
ссылка

Отдельно корневые сертификаты ФК ГУЦ(Минцифры России) и УЦФК 2022,2023(Казначейство России)
ссылка

Настройка ндекс. Браузера
в теме Настройка Яндекс. Браузера для работы в Электронном бюджете


ссылка

(Изначально сборка создавалась для работы в сети ЗКВС УФК, для ускорения настройки Chromium GOST

и упрощения переноски в ЗКВС нужных расширений браузера, но в интернет сети

также всё работает
)

“QuickCG – Порядок настройки Chromium GOST”

!!! Ссылки для скачивания !!!



Через Disk, ссылка для скачивания: drive.google.com/drive/folders/1GYw7tLtv.2tZ4vQrN?usp=sharing

Кликнуть на файле левой кнопкой мыши

Для файла скаченного с GoogleDisk пароль при распаковке 123

сохранить и затем распаковать файл “QuickCG – Порядок настройки Chromium GOST.zip”

Если при распаковке появляются ошибки, распаковать с помощью архиваторов 7zip или WinRAR

Дополнительно (Chromium GOST portable – для удалённой установки на несколько компьютеров)

Требования для работы в Электронном бюджете через браузер Chromium GOST, и на других сайтах где используется ГОСТ шифрование :

– Должен быть Континент TLS-клиент (если установлен на компьютере)

– КриптоПРО CSP 4.0.9944 или выше версия

– КриптоПРО ЭЦП Browser Plug-in (на 07.07.2020 последняя версия 2.0.13771.0)

– Добавить нужные сайты в список доверенных узлов ЭЦП Browser Plug-in

– Установлены корневые сертификаты ФК:

Корневой “Минкомсвязь России”,в промежуточные “Федеральное казначейство”
и

Корневой “Минцифры России”,в промежуточные “Казначейство России”

– Установлен личный сертификат пользователя в контейнер на носителе информации

– Браузер Chromium GOST (на 07.07.2020 последняя версия 83.0.4103.116)

– В браузер Chromium GOST должно быть установлено расширение ” CryptoPro Extension for CAdES Browser Plug-in

– Старая ссылка входа в ЭБ сейчас не актуальна.

– Новая ссылка вход в ЭБ идёт через ПОИБ (Подсистема Обеспечения Информационной Безопасности)

– Вход в ЭБ ПОИБ через https ссылку

– Вход в ПОИБ СОБИ через https ссылку

(Настройка профиля пользователя в ПОИБ СОБИ)



!!! Внимание !!!
На официальном сайте Федерального казначейства


Информационные материалы по регистрации пользователей в ПОИБ СОБИ ФК

меню Главная/ГИС/Система обеспечения безопасности информации Федерального казначейства


ПОИБ СОБИ (Памятки, инструкции)

Первый вход руководителя организации
в pdf
файле
“Инструкция по регистрации пользователей ПОИБ СОБИ”



Роли и полномочия для Электронного бюджета настраиваемые пользователю:

меню Главная/ГИС/Электронный бюджет


Подключение к системе

В выпадающем списке 13-файлов
– пример заполнения и перечень доступных полномочий для разных категорий пользователей



Настройка входа в ЭБ через Internet Explorer 11
или Mozilla Firefox 51

с использованием Континент TLS-клиент 2.0 и подписанием с помощью Jinn-Client

Тема на форуме “QuickEB – Порядок быстрой настройки Электронного бюджета, ГОСТ 2012”

ссылка



====================================================================================

Если на компьютере уже был настроен вход в Электронный бюджет через Континент TLS-клиент,

установлен КриптоПРО CSP 4.0.9944 (или выше версия)
и КриптоПро ЭЦП Browser Plug-in,

Корневые сертификаты ФК установлены, Сертификат пользователя установлен в контейнер,

т.е. основные настройки уже сделаны, можно воспользоваться краткой инструкцией:

Порядок установки и настройки “Chromium GOST”

Настройки можно частично автоматизировать,

поэтому сначала предлагается вариант автоматической установки настроек,

потом, как те же настройки сделать вручную.



0.0 Должен быть Континент TLS-клиент (если установлен на компьютере)

Если Континент TLS-клиент установлен и запущен

Нужно закрыть Континент TLS, внизу-справа в системном трее(Панель задач)

на значке “Континент TLS-клиент” правой кнопкой мыши – Выход

(Значок может быть в скрытых, его можно перетащить из скрытых зажав левую кнопкой мыши и перетащить,

чтобы внизу показывался значок и уведомления)

1.0 КриптоПРО CSP и ЭЦП Browser Plug-in

1.1 КриптоПРО CSP 4.0.9944 (минимальная версия)

– Установочный файл КриптоПро CSP версии 4.0.9944

Если на рабочей станции не было установлено вообще КриптоПро

Можно установить этим файлом CSPSetup_4.0.9944.exe КриптоПро CSP 4.0.9944

В процессе установки нужно будет ввести номер лицензии КриптоПро 4.0

!!! ОБЯЗАТЕЛЬНО ПЕРЕЗАГРУЗИТСЯ после установки, и продолжить настройку !!!

Если на рабочей станции установлена совсем старая версия КриптоПро, например 3.6

Лучше будет сделать полное удаление с чисткой следов КриптоПро, чтобы не ловить потом непонятных косяков с подписанием.

И установить КриптоПро 4.0

!!! ОБЯЗАТЕЛЬНО ПЕРЕЗАГРУЗИТСЯ после установки

Инструкцию по удалению следов КриптоПро можно взять

из файла “!Порядок полного удаления КриптоПро и Кода Безопасности.zip”

Если ранее было установлено КриптоПро версии 4.0, можно обновить поверх без удаления, например, с версии 4.0.9842 до 4.0.9944,

поэтому старую версию удалять не нужно, запустить CSPSetup_4.0.9944.exe и нажать ДА (т.е. обновить)

!!! ОБЯЗАТЕЛЬНО ПЕРЕЗАГРУЗИТСЯ после установки

1.3 Установка корневых сертификатов ФК

1.3.1 Автоматическая установка корневых сертификатов ФК

В каталоге “1.0 КриптоПРО CSP и ЭЦП Browser Plug-in\”

Устанавливать нужно оба файла под пользователем с правами Администратора

Обязательно запускать оба файла правой кнопкой мыши – Запуск от имени Администратора:

Для “ГУЦ (Минкомсвязь России)” – файл “root_2036 Локальный компьютер (ГОСТ 2012).exe”

и

Для “ГУЦ (Минцифры России)” – файл “root_2040 Локальный компьютер.exe”

1.3.2 Ручная установка корневых сертификатов ФК

Проверить “Сертификаты – текущий пользователь” и “Сертификаты (локальный компьютер)”

Доверенные корневые центры сертификации – Сертификаты

Промежуточные центры сертификации – Сертификаты

Для Windows 10: быстро открыть оснастку просмотра сертификатов можно через поиск

нажать клавиши Win+S (Win – клавиша с логотипом Windows, находится между Ctrl и Alt)

В поисковой строке набрать: Сертификаты

Примечание:

Когда корневой сертификат установлен в хранилище Локальный компьютер,

он будет показываться и в “Сертификаты – текущий пользователь” и в “Сертификаты (локальный компьютер)”

А когда корневой сертификат установлен для текущего пользователя только в “Сертификаты – текущий пользователь”

1.5 Добавление сайтов в список доверенных узлов КриптоПро ЭЦП Browser Plug-in

1.5.1 Автоматическое добавление сайтов в список доверенных узлов КриптоПро ЭЦП Browser Plug-in

Чтобы при подписании не появлялось сообщение от КриптоПро ЭЦП Browser Plug-in

нужно добавить соответствующие сайты в список доверенных узлов.

запустив (два раза кликнуть левой кнопкой мыши на vbs скрипте)

vbs скрипты для автоматического добавления сайтов в доверенные узлы:

“КриптоПро ЭЦП Browser Plug-in – Добавление всех нужных сайтов списком.vbs”
– добавляет сразу все нужные сайты

https :
//*.budget.gov.ru

https :
//*.minfin.ru

https :
//*.roskazna.ru

https :
//*.zakupki.gov.ru

Или отдельно по сайтам vbs файлы:

“КриптоПро ЭЦП Browser Plug-in – Добавление звёздочка.budget.gov.ru.vbs”

“КриптоПро ЭЦП Browser Plug-in – Добавление звёздочка.minfin.ru.vbs”

“КриптоПро ЭЦП Browser Plug-in – Добавление звёздочка.roskazna.ru.vbs”

“КриптоПро ЭЦП Browser Plug-in – Добавление звёздочка.zakupki.gov.ru.vbs”

Можно было указать конкретный сайт, например https :
//eb.cert.roskazna.ru, но в этих vbs скриптах сайты добавлены по маске,

если требуется добавить ещё какой-нибудь сайт в доверенные узлы, можно отредактировать текстовый файл с расширением vbs,

скопировать строку, вставить ниже и вписать соответствующий сайт

  RegAddValue_REG_MULTI_SZ HKEY_CURRENT_USER,"Software\Crypto Pro\CAdESplugin","TrustedSites","https://*.budget.gov.ru"
RegAddValue_REG_MULTI_SZ HKEY_CURRENT_USER,"Software\Crypto Pro\CAdESplugin","TrustedSites","https://*.minfin.ru"
RegAddValue_REG_MULTI_SZ HKEY_CURRENT_USER,"Software\Crypto Pro\CAdESplugin","TrustedSites","https://*.roskazna.ru"
RegAddValue_REG_MULTI_SZ HKEY_CURRENT_USER,"Software\Crypto Pro\CAdESplugin","TrustedSites","https://*.zakupki.gov.ru"  

Если потребуется отключить всплывающие сообщения при выполнении vbs скрипта, нужно закомментировать строки с MsgBox,

т.е. в начале строк c MsgBox проставить символ ‘

1.5.2 Вручную, добавление или удаление сайтов в списке доверенных узлов КриптоПро ЭЦП Browser Plug-in

2.0 Настроенный профиль Chromium GOST

Включённые настройки “Chromium GOST”:

– “Удалять файлы cookie и данные сайтов при выходе из Chromium GOST”

– “Предлагать перевод страниц, если их язык отличается от используемого в браузере”

2.1 Установка браузера “Chromium GOST” в соответствии с разрядностью системы Windows

Файлы находятся в каталоге: “2.1 Установить браузер Chromium GOST”

2.1.1 Автоматическая установка браузера “Chromium GOST” для соответствующей разрядности системы Windows

2.1.2 Вручную установить браузер “Chromium GOST” выбирая файл для соответствующей разрядности системы Windows

Для 32 битных систем Windows, тихая установка

Для 64 битных систем Windows, тихая установка

Ссылка на сайте www.cryptopro.ru

www.cryptopro.ru/products/chromium-gost

Ссылки для скачивания актуальных сборок и основная ветка разработки:

github.com/deemru/chromium-gost/releases/latest

3.1 Включение расширений при первом запуске Chromium GOST

При первом запуске Chromium GOST Справа вверху в Оранжевом круге может появится Восклицательный знак

Или при входе на страницу, где будет использоваться соответствующее расширение

Это сообщение о добавлении нового расширения

Нужно нажать на Восклицательный знак

затем в меню

выбрать на пункт меню:

Добавлено новое расширение (CryptoPro Extension for CAdES Browser Plug-in)

Откроется окно:

Одна из ваших программ установила расширение, которое может повлиять на работу Chrome

3.2 Просмотр, включение, отключение установленных расширений и установка через интернет-магазин chrome

Если расширения установлены, но не включены (переключатель серого цвета)

Для нужного расширения кликнуть по переключателю (он должен загореться синим цветом),

и в браузере вверху справа должна появиться иконка расширения.

Обычно, если на странице это расширение не используется иконка серого цвета (не активная)

при переходе в браузере на страницу где будет использовать это расширение, она становиться цветной.

Если расширения не установились
, то можно установить их вручную через интернет-магазин chrome:

В браузере Chromium GOST для установки соответствующего расширения открыть ссылку:

CryptoPro Extension for CAdES Browser Plug-in

Cube Sign Extension – Для обычных пользователей не нужен, и похоже что удалён из интернет-магазин chrome

3.3 Ручной перенос расширения с одного компьютера на другой через упаковку в Режиме разработчика.

3.4 Проверка работы КриптоПРО ЭЦП Browser Plug-in

4.0 Ручное включение настроек “Chromium GOST”:

в Настроенном профиле Chromium GOST они уже включены:

– “Удалять файлы cookie и данные сайтов при выходе из Chromium GOST”

– “Предлагать перевод страниц, если их язык отличается от используемого в браузере”

4.1 ВКЛЮЧЕНО “Удалять файлы cookie и данные сайтов при выходе из Chromium GOST”

4.2 ОТКЛЮЧЕНО “Предлагать перевод страниц, если их язык отличается от используемого в браузере”

5.0 Ярлыки Chromium GOST

Скопировать нужные ярлыки на Рабочий стол

Вход в Электронный бюджет через https ссылку без Континента TLS

“ЭБ ПОИБ CG.lnk”
– Запуск Chromium GOST и переход на страницу https :
//eb.cert.roskazna.ru

“ПОИБ СОБИ CG.lnk”
– Запуск Chromium GOST и переход на страницу https :
//sobi.login.roskazna.ru/poib/

(Настройка профиля пользователя в ПОИБ(Подсистема Обеспечения Информационной Безопасности))

В названии ярлыка – аббревиатура, сокращение от

Пример Настройки ярлыка:

“ЭБ ПОИБ CG.lnk”

Объект

  %UserProfile%\AppData\Local\Chromium\Application\chrome.exe -no-default-browser-check https://eb.cert.roskazna.ru  

Ключи и передаваемые параметры при запуске Chromium GOST:

-no-default-browser-check

Отключить надпись: Сделать, браузером по умолчанию

https :
//eb.cert.roskazna.ru

Запуск Chromium GOST и открытие страницы входа в Электронный бюджет:

Список ярлыков с указанием строки запуска, и комментария к ярлыку

в каталоге “5.0 Ярлыки Chromium GOST\” :

6.0 Установка личного сертификата пользователя

Для входа в Электронный бюджет Сертификат пользователя должен быть установлен

через КриптоПРО в контейнер и в хранилище сертификата – личное.


Настройка Chromium GOST для работы в ЭБ закончена.

===

7.0 Дополнительно

В разделе Дополнительно, описано создание инсталляторов на основе SFX архивов WinRAR






Весь перечень других сборок

Настройка рабочего места для клиентов ФК



Конвертер ЭП ГОСТ-2012


НАСТРОЙКА ХРОМИУМ ГОСТ ДЛЯ ЭЛЕКТРОННОГО БЮДЖЕТА

Установлена проблема с отображением контейнеров ГОСТ-2012 при подписании в Электронном бюджете если наименование организации в сертификате превышает 127 символов.

Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. В качестве временного решения предлагается выполнить конвертацию контейнеров КриптоПро PKCS#12 в PKCS#15 специальной утилитой (при этом контейнер должен быть экспортируемым).

Вариант выхода из ситуации
: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки.

Для инсталляции
утилиты конвертации контейнера ГОСТ-2012 в PKCS#15 достаточно выполнить следующие действия:

1. Скопировать в локальную директорию.

2. Установить дополнительный распространяемый компонент Microsoft Visual C++ 2015: vc_redist.x86.exe или vc_redist.x64.exe.

3. Для запуска приложения: – открыть файл Converter.exe

1. В компьютер установить съемный носитель с сертификатом PKCS#12.

2. Запускаем утилиту конвертации.

3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».

4. Выбираем нужный сертификат и нажимаем «Конвертировать».

5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».

6. В окне Крипто-ПРО повторно указываем пароль указанный ранее и жмем «ОК».

7. Если конвертирование завершено успешно, то на съемном носителе будет сертификат и ключ в контейнере PKCS#15.



Информация от пользователей

1. Пользователь делится опытом
:

2. Пользователь делится опытом
:

Может кому поможет, программа для выдаёт ошибку 302645276 если у вас Рутокен 2.0, Рутокен Light, НУЖЕН Рутокен S.

3. Пользователь объясняет
:

Если вам нужно подписывать в Электронном бюджете, то можно настроить через браузер Chromium GOST,

Для подписания документов в ЭБ используется

КриптоПРО ЭЦП Browser Plug-in

, а не

Jinn-Client
Jinn-Client

для подписания, то

Нужно использовать конвертер, только когда название организации превышает 127 символов (В сертификате, вкладка Состав – Субъект – O=Название организации)


при подписании в ЭБ Jinn-Client не видит такие контейнера закрытых ключей в ГОСТ 2012

(Если количество символов меньше или равно 127, то конвертер не нужен.)

Можно при использовании конвертера, указать куда создать новый контейнер – на тот же рутокен (а не на флешку)
, в таком случае:

После конвертации контейнера на рутокене, старый контейнер на рутокене не удаляется,

на рутокене создаются файлы которые видит Jinn-Client (TE.cer и TEcont.p15, такие же как при конвертации контейнера закрытого ключа на флешке,

только на рутокене эти файлы стандартными средствами через Панель управления рутокена не видно, их можно только перезатереть, или для удаления формат рутокена)

Ещё при использовании рутокена в Jinn-Client,

желательно удалить все старые закрытые ключи с рутокена и

использовать eXtended Container 1.0.1.1

(меньше подвисаний в JinnClient при чтения с рутокена чем с eXtended Container 1.0.2.2)

———————–

У кого Jinn-Client

не видит контейнера закрытых ключей

, хотя в названии организации

количество символов меньше или равно 127
4.1 В ЭБ при подписании Jinn-Client не видит на флэшке сертификаты ГОСТ 2012



Извините, но у вас недостаточно прав для комментирования

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *