Произошли ошибки при загрузке crl континент tls клиент - Oshibku.top - решение и исправление самых разных ошибок

Wmffre пишет: Если «Кому выдан» не совпадает с «Кем выдан», то такой сертификат должен быть установлен в «Промежуточные центры сертификации» и называется он промежуточным Поэтому два сертификата установлены в неверное хранилище: 1)Федеральное казначейство — Минкомсвязь России и 2)Федеральное казначейство — Головной удостоверяющий центр)

Реально корневым является только тот, у которого «Кому выдан» совпадает с «Кем выдан» и такой сертификат устанавливается в «Доверенные корневые центры сертификации» (они установлены правильно).

Сертификаты — текущий пользователь —> Доверенные корневые центры сертификаты —> Локальный компьютер —>Сертификаты ___и___ Сертификаты (локальный компьютер) —> Доверенные корневые центры сертификаты —> Реестр —> Сертификаты __это одно и тоже хранилище.

Тех. поддержка прислала следующие рекомендации:
Добрый день! В настоящий момент вход в ЛК ЭБ с помощью сертификатов на основе ГОСТ 2012 реализован по адресу lk2012.budget.gov.ru. В целях корректного отображения информации в подсистемах следует использовать протокол http, а не https. Вход по протоколу http осуществляется с помощью СКЗИ Континент TLS Клиент 2.0. В случае отсутствия необходимых дистрибутивов Вам следует обратиться в ОРСиБИ Федерального казначейства своего региона. Для входа в Личный кабинет Электронного бюджета по сертификатам, выпущенным на основе ГОСТ 2012, необходимо выполнить указанные ниже действия.
1) Установить сертификат ГУЦ (доступен по ссылке: www.roskazna.ru/upload/iblock/7e3/guts_2012.cer) в хранилище Локальный компьютер – Доверенные корневые центры сертификации.
2) Установить сертификат УЦ Федерального казначейства (доступен по ссылке: www.roskazna.ru/upload/iblock/acb/fk_2012.cer) в хранилище Локальный компьютер – Промежуточные центры сертификации.
3)В свойствах браузера, изменить настройки подключения:
1.Если в организации используется прокси, указать адрес и порт прокси-сервера.
2.Если в организации прокси не используется, отключить использование прокси.
4) При использовании в организации прокси-сервера добавить на нем разрешающее правило для 94.25.27.229 tcp-443.
5) Если в организации используется антивирусное средство, то перед настройкой Континент TLS Клиента необходимо внести его исполняемый файл в доверенное программное обеспечение антивирусного средства.
6) Осуществить установку и настройку Континент TLS Клиента в соответствии с разделом «Установка и настройка СКЗИ Континент TLS VPN Клиент» Руководства, доступного по ссылке: roskazna.ru/upload/iblock/3f8/rukovodstv…ya_gost2012-ver2.doc После выполнения указанных выше действий просьба почистить кэш/куки в браузере, сбросить соединения TLS клиента, перезапустить браузер и осуществить попытку входа.

P.S. Сейчас возможности проверить нет. Как только появится возможность, обязательно сообщу о результатах.

Всем привет!

Сегодня особенный привет работникам бюджетной сферы. Поговорим о наболевшем. О работе в системе ГИС «Электронный бюджет». Который просто кишит ошибками.

Вот эта ошибка: «crl сертификата сервера не загружен или устарел» , по запросу на которую вы сюда и пришли, она тянется с августа 2020г. Тогда в электронном бюджете произошли большие изменения, и вместе с ними, например, «приклеились» и всякие ошибки, которые до сих пор не могут быть устранены в автоматическом режиме в «полюбившемся» вам континент tls 2.0. Уж извините за сарказм.

Однако, вернёмся к нашим баранам… Такая у вас сейчас ошибка?

ЭБ: crl сертификата сервера не загружен или устарел

Если вы видите такую ошибку в своём TLS — клиенте, значит нужно установить «список отзыва» вручную

Проблема в том, что ещё 2 года назад программисты УФК говорили, что обычные пользователи не должны выискивать вручную в интернете «рецепты», и всё должно делаться автоматически в Континент TLS 2.0 «по кнопке»:

рис. 2. Континент TLS 2.0

На этом скрине по задумке авторов — создателей ПО Континент TLS 2.0, мы, пользователи системы «Электронный бюджет», должны при возникновении подобных проблем лишь нажимать кнопку «обновить». Но .. реальность как всегда несколько иная… чем ожидания.

Да, кстати, если при попытке войти в электронный бюджет ПОСЛЕ выбора сертификата пользователя вылезает ошибка вида: «Необходимо обновить CRL серверного сертификата», то рецепт избавления тот же. Читаем внимательно текст НИЖЕ:

1. Перед тем как устанавливать список отзыва, необходимо вручную скачать и установить новый серверный сертификат для сервера «Континент TLS VPN» Инструкция с официального сайта Федерального казначейства . На рис.2 стрелочками указано как это сделать.

2. Теперь переходим к процедуре установки «списка отзыва»

Есть некая ссылка… — Вот она (http://crl.roskazna.ru/crl/)

По ней надо пройти, и вы увидите заголовок:

Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства:

Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства

Список этот будет меняться с течением времени. Но ссылка работает пока. Это файлы с расширением .CRL на текущий момент их 6. Но не суть важно. Главное понять как их устанавливать. Итак, скачиваем все .CRL — файлы с этой страницы в какую-либо папку:

Установка списка отзыва вручную

И правой мышкой, по очереди на каждом файле, нажимаем и выбираем в меню «Установить список отзыва CRL». Следуйте несложным инструкциям после этого (грубо говоря жмём на все вопросы «ОК», «далее» и т.п.)

После этого в TLS — клиенте на закладке «СЕРВЕРНЫЕ СЕРТИФИКАТЫ» вместо зловещего «требуется обновление» или «не найден» , «не действителен» изменится тут же на «Действителен», и можно работать. Вот такой вот он… Электронный бюджет… Желаю всем, чтобы это шаманство и вам помогло, ибо мне оно помогло..)

P.S. Данный рецепт получил от тех.поддержки УФК.

Настройка АРМ Электронного бюджета происходит в несколько этапов, они не сложные, но требуют внимательности. Делаем все по инструкции по настройке электронного бюджета. Коротко и по делу…

Электронный бюджет настройка рабочего места

Установка и настройка ПО для Электронного Бюджета состоит из:

Установка и настройка КриптоПро 4.0.
Установка корневых сертификатов казначейства.
Скачивания сертификата Континента TLS-клиент.
Установка и настройка Континент TLS-клиент.
Установка Jinn Client
Установка eXtended Container

Корневые сертификаты казначейства

Перед установкой корневых сертификатов ПО КриптоПро 4.0 должен быть установлен.

Подробнее как скачать и установить корневые сертификаты казначейства можно по ссылке.

На сайте http://roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ в меню ГИС -> Удостоверяющий центр -> Корневые сертификаты, необходимо скачать cо вкладок 2022 и 2021 года «Корневой сертификаты (квалифицированный)» (см. рисунок), либо если вами была получена флешка с сертификатами установите их.

Настройка Электронного Бюджета (гост 2012)

Сертификат Континент TLS VPN (гост 2012)

Еще один сертификат который необходимо скачать, это сертификат Континент TLS VPN по этой ссылке.

Скачиваем сертификат Континент TLS VPN в загрузки, он нам пригодиться позднее, когда будем настраивать программу Континент TLS клиент.

Установка «Континент TLS-клиент» для работы с Электронным Бюджетом (гост 2012)

Распаковываем архив TLS_Client_2.0.1440 и запускаем установщик Континент TLS-клиент.

Устанавливаем Континент TLS-клиент, настройки оставляем по дефолту, после установки перегружаем компьютер.

После перезагрузки на рабочем столе запускаем ярлык Континент TLS-клиент. Запускается мастер регистрации программы, нажимаем на зарегистрировать и регистрируем программу.

UPDATE: c 27 марта 2022 года используется новая ссылка: eb.cert.roskazna.ru

После открытия программы Континент TLS-клиента, необходимо добавить Ресурс: eb.cert.roskazna.ru нажимаем Сохранить.

В меню Сертификаты -> Серверные сертификаты -> Импортируем сертификат Электронного бюджета, который мы скачали в начале статьи.

Чтобы Континент TLS-клиент запускался при загрузке Windows, необходимо в Настройках -> Основные -> установить галочки на Запускать при старте системы и При запуске свернуть в системный трей.

Установка JinnClient_1.0.3050.0 для подписания документов

Распаковываем архив и запускаем установщик Setup.exe

Нажимаем на Jinn-Client, открывается Мастер установки:

Вводим лицензионный ключ полученный в Казначействе.

Не меняем настройки, продолжаем установку, по окончании перегружаем компьютер.

Установка eXtended Container

Запускаем Setup.exe в папке JinnClient_1.0.3050.0.

Вводим лицензионный ключ продукта полученный в Казначействе и продолжаем установку.

После установки перегрузите компьютер.

Вход в личный кабинет Электронного бюджета

В браузере Firefox открываем ссылку: http://eb.cert.roskazna.ru/

Откроется окно с выбором сертификата для входа в личный кабинет Электронного бюджета.

Выбираем сертификат для входа в Личный кабинет Электронного бюджета, если есть пароль на закрытую часть сертификата пишем и нажимаем ОК, после откроется Личный кабинет Электронного бюджета.

Готово!

Возможные проблемы

При подключении к Электронному Бюджету появляется ошибка CRL сертификата сервера не загружен или устарел.

Решение:

Скачайте новые корневые сертификаты Казначейства по этой ссылке.
Выключить проверку CRL в настройках программы:

Электронный бюджет на Windows 11

К сожалению, очень сложно установить ПО для Электронного бюджета, но наши специалисты помогу вам установить и настроить ПО для работы в Windows 11.

Стоимость работ 4500 руб.

Оплата после выполненных работ.

Содержание

Континент tls клиент ошибка пакета установщика windows невозможно запустить необходимую dll
Сертификаты сервера «Континент TLS VPN» (lk2012.budget.gov.ru и lk.budget.gov.ru)
Инструкция по установке Континент TLS VPN клиент 2.0.1440
Настройка СКЗИ «Континент TLS VPN Клиент» для работы в Электронном бюджете
Ошибка пакета установщика Windows Континент-TLS 2.0.1440
Ошибка пакета установщика Windows Континент-TLS 2.0.1440
Ошибка пакета установщика Windows Континент-TLS 2.0.1440

Континент tls клиент ошибка пакета установщика windows невозможно запустить необходимую dll

Континент TLS VPN клиент 2.0.1440 необходим для работы с сертификатом электронной подписи ГОСТ Р 34.10-2012. Континент TLS VPN клиент 1.0.920.0 не работает с сертификами ГОСТ 2012.

Данный дистрибутив скачан с сайта производителя и имеет ограничение в работе 14 дней. При регистрации Континента через интернет это ограничение снимается. Приобретать лицензию на СКЗИ «Континент TLS VPN Клиент» не надо. Клиенты казначейства также могут получить данное СКЗИ в местном казначействе.

Континет TLS VPN клиент используется для работы с информационными системами:

1. Электронный бюджет (Федеральное казачейство) budget.gov.ru
2. ФГИС ЦС (Главгосэкспертиза) fgiscs.minstroyrf.ru

Сертификаты сервера «Континент TLS VPN» (lk2012.budget.gov.ru и lk.budget.gov.ru)

Инструкция по установке Континент TLS VPN клиент 2.0.1440

Перед установкой Континента ТЛС версии 2 необходимо удалить предыдущую версию Континента (если конечно она была установлена) через Пуск > Панель управления > Программы > Программы и компоненты. Потом перезагрузить компьютер.

Скачанный дистрибутив необходимо разархивировать и запустить файл «Континент TLS-клиент.exe»

Далее в появившемся окне отмечаем чекбокс «Я принимаю условия лицензионного соглашения» и нажимаем кнопку «Установить».

После успешной установки предлагается перезагрузить компьютер — соглашаемся.

Далее необходимо зарегистрировать СКЗИ «Континент TLS VPN Клиент». При запуске незарегистрированной программы появится следующее окно.

Если в течение 14 дней не зарегистрировать программу, то по окончании демонстрационного периода работа программы будет приостановлена.

Если не зарегистрировались сразу, то форму регистрации ищите в Континент TLS Клиент на вкладке «Настройки» > раздел «Регистрация» > кнопка «Начать» под полем «Онлайн-регистрация».

В открывшемся окне заполняем поля: Фамилия, Отчество, Электронная почта, в поле Адрес сервера регистрации (если не было указано) пишем «registration.securitycode.ru», нажимаем «Готово».

После успешной регистрации всплывает окно. Ограничение демонстрационного периода (14 дней) снято.

Для регистрации Континент TLS Клиент работникам казначейства (компьютер находится в локальной сети казначейства) необходимо внести изменения (выделены красным) в файл PublicConfig.json.

<
«loggingConfig»: <
«fileLogMaxSize»: 3145728,
«fileLoggingDirectory»: «C:\Users\Public\ContinentTLSClient\»,
«fileLoggingEnabled»: true,
«sessionLogsEnabled»: false
>,
«serialNumber»: « test-50000 »
>

Настройка СКЗИ «Континент TLS VPN Клиент» для работы в Электронном бюджете

Запускаем Континент TLS VPN Клиент (через меню пуск или иконку на рабочем столе). В открывшемся окне нажимаем «Главная» > «Добавить» > «Ресурс».

В окне добавления ресурса прописываем следующее:

Если используете сертификат пользователя по ГОСТ 2012, то пишем:
- Адрес: lk2012.budget.gov.ru
- Имя ресурса: lk2012.budget.gov.ru
- Удаленный порт: 443
- Тип: Прокси
Если используете сертификат пользователя по ГОСТ 2001, то пишем:
- Адрес: lk.budget.gov.ru
- Имя ресурса: lk.budget.gov.ru
- Удаленный порт: 443
- Тип: Прокси

Нажимаем «Сохранить». В соединениях отобразиться «lk2012.budget.gov.ru» или/и «lk.budget.gov.ru».

Далее идем в раздел «Настройки» > «Основные». Ставим галочки в следующих чекбоксах:

Проверять сертификаты по CRL
Запускать при старте системы
Скачивать CRL автоматически
При запуске свернуть в системный трей

Получаем страницу с такими настройками. Нажимаем «Сохранить».

Следующий этап — настройка прокси. Раздел «Настройки» > «Внешний прокси» ставим галку «Настраивать автоматически» и сохраняем.

Следующий этап — настройка сертификатов. Идем на вкладку «Управление сертификатами» > раздел «Серверные сертификаты» > «Импортировать».

Если у вас нет серверных сертификатов, то качаем…
Сертификат сервера «Континент TLS VPN» ГОСТ Р 34.10-2012
Сертификат сервера «Континент TLS VPN» ГОСТ Р 34.10-2001

В результате добавления сертификатов видим следующее.

Далее проверяем вкладку пользовательские сертификаты. Если вашего сертификата там нет, то его необходимо установить через КриптоПро. Инструкция по установке личного сертификата в КриптоПро тут. Если сертификат установлен, то видим следующее.

Идем на вкладку «Управление сертификатами» > раздел «CDP» > кнопка «Скачать CRL». На панели задач внизу справа нажать правой кнопкой мыши на значок «Континент TLS Клиента» и выбрать пункт «Сброс соединений».

Ошибка пакета установщика Windows Континент-TLS 2.0.1440

Сообщений: 7
Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Wmffre
—>
Не в сети

Сообщений: 599
Репутация: 23
Спасибо получено: 168

finuprg пишет: обновления UpdatePack7R2 установлены, но результат тот же. При установке интернет экпл. 11 выдает ошибку. Ошибка при запуске приложения 0xc0000005.

finuprg пишет: Откатили все назад, результат тот же. На другой машине стоит винда 7 и эксп.11, но тоже не устанавливается Значит дело не экспл.11, тем паче, что работать можно и из других браузеров. Может сама программа не доработанная. Ведь с предыдущей версией проблем не было.

У сотрудников казначейства и других клиентов с февраля программа Континент TLS Клиент 2.0.1440.0 устанавливается нормально. Так что проблема в компьютерах. Может, дистрибутив битый. Скачайте целый дистрибутив .

С сертификатом пользователя ГОСТ-2012 без установленного Континент TLS Клиент 2.0.1440.0 работать не получится, так как версия Континент TLS Клиент 1.0.920.0 не поддерживает ГОСТ-2012.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

hatabych
—>
Не в сети

Сообщений: 30
Спасибо получено: 3

finuprg пишет: обновления UpdatePack7R2 установлены, но результат тот же. При установке интернет экпл. 11 выдает ошибку. Ошибка при запуске приложения 0xc0000005.

finuprg пишет: . На другой машине стоит винда 7 и эксп.11, но тоже не устанавливается .

По логам на проблемной машине видно что идёт обращение к ветке [HKEY_LOCAL_MACHINESOFTWARESecurityCode], и не может получить доступ туда. Проверил права на ветку — кривые, нет права на запись. Можно выдать права, я полечил просто удалив ветку целиком (но у меня и были имитация установки на чистую, без других компонентов КБ). В общем случае, надо пробовать давать права на ветку Еще добавлю — сегодня под обычным пользователем пытался запустить Континент-TLS дал разрешения в реестре, но при запуске так же ошибку выдавал. Дал разрешение на чтение и запись до каталогов:
c:Program FilesSecurity Code
c:UsersPublicContinentTLSClient
Заработало и под обычным пользователем.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Ошибка пакета установщика Windows Континент-TLS 2.0.1440

Сообщений: 7
Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Wmffre
—>
Не в сети

Сообщений: 599
Репутация: 23
Спасибо получено: 168

finuprg пишет: обновления UpdatePack7R2 установлены, но результат тот же. При установке интернет экпл. 11 выдает ошибку. Ошибка при запуске приложения 0xc0000005.

finuprg пишет: Откатили все назад, результат тот же. На другой машине стоит винда 7 и эксп.11, но тоже не устанавливается Значит дело не экспл.11, тем паче, что работать можно и из других браузеров. Может сама программа не доработанная. Ведь с предыдущей версией проблем не было.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

hatabych
—>
Не в сети

Сообщений: 30
Спасибо получено: 3

finuprg пишет: обновления UpdatePack7R2 установлены, но результат тот же. При установке интернет экпл. 11 выдает ошибку. Ошибка при запуске приложения 0xc0000005.

finuprg пишет: . На другой машине стоит винда 7 и эксп.11, но тоже не устанавливается .

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Ошибка пакета установщика Windows Континент-TLS 2.0.1440

Сообщений: 5
Спасибо получено: 0

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Gvinpin
—>
Не в сети

Сообщений: 1805
Репутация: 19
Спасибо получено: 218

sugarufc пишет: Добрый день!
При установки Континент-TLS 2.0.1440 выходит ошибка (скрин прилагается)
пробовал установить и через .exe и через .msi результат один и тот же. Все необходимые библиотеки MS Visual C++ также установил.
В чем может быть причина, никто не сталкивался ?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

sugarufc
Автор темы —>
Не в сети

Сообщений: 5
Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Gvinpin
—>
Не в сети

Сообщений: 1805
Репутация: 19
Спасибо получено: 218

sugarufc пишет: да, с правами администратора. Дистрибутив целый, так как на других машинах всё нормально устанавливалось.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Wmffre
—>
Не в сети

Сообщений: 599
Репутация: 23
Спасибо получено: 168

Установщик Континент TLS клиент 2.0.1440.0 очень требователен к установленным версиям Microsoft Visual C++ Redistributable, требуется именно только конкретные версии, а не более новые установленные. Удалите Microsoft Visual C++ 2013 Redistributable (x86), Microsoft Visual C++ 2013 Redistributable (x64), Microsoft Visual C++ 2017 Redistributable (x86), Microsoft Visual C++ 2017 Redistributable (x64). При установке Континент TLS Клиент 2.0.1440.0 требуемые версии Microsoft Visual C++ Redistributable установятся сами.

Если не поможет, то в папке C:Users AppDataLocalTemp после попытки установки Континент TLS клиент 2.0.1440.0 будут находиться три файла-лога Континент_TLS-клиент_*.log Выложите их сюда на форум.

Установлен КриптоПро CSP 4.0. 9708 — это очень старая промежуточная (тестовая и недостаточно протестированная разработчиками КриптоПро) версия (даже не 4.0.9842). Во избежание проблем с любой информационной системой и ПО установите версию 4.0.9944.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Содержание

Ошибка пакета установщика Windows Континент-TLS 2.0.1440
Ошибка установки КонтинетTLS 0x80070643
Вложенный файл:
«Континент TLS-клиент» (версия 2.0.1440) выдает ошибку «Доступ к конфигурационно
Вложенный файл:
Вложенный файл:
Сбой программы установки Континент TLS Клиент
Не добавляются соединения Континент TLS-клиента

Ошибка пакета установщика Windows Континент-TLS 2.0.1440

Вложения:

forum

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

sugarufc пишет: да, с правами администратора. Дистрибутив целый, так как на других машинах всё нормально устанавливалось.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Ошибка установки КонтинетTLS 0x80070643

Всем привет. При установке КонтинетTLS 2.0.1440 вываливается ошибка 0x80070643.

forum

Может быть кто-то сталкивался с подобным. Как это вылечить?

Вложенный файл:

Командами sfc и dism провёл восстановление системы, нет фреймворки переустанавливал, с++ все удалил, поставл только те версии которые просил тлс, винду 7 про обновил до конца. Уже все ходы исчерпал, больше идей нету.

Может быть у уважаемого сообщества есть мысли по ремонту?

Вложения:

forum

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

synergyit пишет: нет фреймворки переустанавливал

с++ все удалил, поставл только те версии которые просил тлс

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

synergyit пишет: Всем привет. При установке КонтинетTLS 2.0.1440 вываливается ошибка 0x80070643.

Скорее всего у вас не установлено КриптоПРО 4.0, возможно из-за этого ошибка во время установки.

Похоже, у вас установлен Код Безопасности CSP 4.0
КриптоПРО CSP 4.0 должен быть установлен раньше, тогда Код Безопасности CSP 4.0 вроде не должен устанавливатся.

В этом сообщении
sedkazna.ru/forum.html?view=topic&catid=9&id=1011#14694
В конце, если ни чего не помогло, написан порядок как
Удалить все продукты КриптоПРО и Кода Безопасности (с удалением следов в реестре)
и переустановить программы для Электронного бюджета

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Alex_04 пишет: Какая версия сейчас установлена?

Alex_04 пишет: т.е. он при установке всё же ругался на невозможность установить именно с++ какой-то версии? какой именно?

Нет. Он не ругался.Поставил с++ 2012 и 2013, 11 и 12 версии.

Сейчас докинул ему ещё несколько последних версий с++.

forum

Вложения:

forum

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

FarWinter пишет: Скорее всего у вас не установлено КриптоПРО 4.0, возможно из-за этого ошибка во время установки.

FarWinter пишет: В этом сообщении
sedkazna.ru/forum.html?view=topic&catid=9&id=1011#14694
В конце, если ни чего не помогло, написан порядок как
Удалить все продукты КриптоПРО и Кода Безопасности (с удалением следов в реестре)
и переустановить программы для Электронного бюджета

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

У вас на скрине программ
Secret Net Studio 8.4 от ООО «Код безопасности»
Что это за программа, она не может блокировать установку Континент TLS?

Вы её тоже удаляли или с ней устанавливали Континент TLS?

На счёт обновления Windows7.
Проверял установку программ для ЭБ своим инсталлятором на чистых системах, поставленных с образов MSDN
ru_windows_7_ultimate_with_sp1_x64_dvd_u_677391.iso
ru_windows_7_ultimate_with_sp1_x86_dvd_u_677463.iso
, т.е. после установки не обновлял их через интернет. (только IE11 в ручную накатывал)

Всё таки возможно у вас какой-то софт мешает установке.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

FarWinter пишет: У вас на скрине программ
Secret Net Studio 8.4 от ООО «Код безопасности»
Что это за программа, она не может блокировать установку Континент TLS?
Всё таки возможно у вас какой-то софт мешает установке.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

«Континент TLS-клиент» (версия 2.0.1440) выдает ошибку «Доступ к конфигурационно

davydkov пишет: Пока не удалось поставить TLS клиент на машинах на которых он уже был. На машине на которой не было до этого Кода Безопасности, встал нормально. Вопрос, что же надо вычищать, и сможет ли он совместно работать с КАП?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Вложенный файл:

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

porsche.911 пишет: А если обновить КриптоПро до 4.0 R4 (4.0.9963)? ну а вдруг, хотя это конечно на TLS никак не должно влиять.
И, если машина в домене, и работаете под пользователем, но устанавливаете все с правами администратора, включите UAC в позицию «по-умолчанию»

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

porsche.911 пишет: Возможно дело в наличии на этой машине других продуктов КБ? (Континент-АП, Код Безопасности CSP)

forum

Вложения:

forum

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

porsche.911 пишет: Возможно дело в наличии на этой машине других продуктов КБ? (Континент-АП, Код Безопасности CSP)

forum

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

porsche.911 пишет: Возможно дело в наличии на этой машине других продуктов КБ? (Континент-АП, Код Безопасности CSP)

forum

А можно поподробней о манипуляциях?
Или это большой большой секрет?

Секрета нет. КБ CSP 4.0.400(какая то) ниже сборка, которая была в куче с ПО КБ, почему то у меня не заработала. Обязательно запускать с правами администратора. В заголовке окна появится дополнение (Администратор). После этого копируем контейнер. У которого уже исчеpнет надпись (сторонний провайдер). Ставим сертификат в скопированный контейнер и радуемся.

Jinn кстати нормально работает и с 2001 и 2012 ГОСТом в крайней версии Мозиллы 67.0.1 =) Использование КБ CSP, если еще немного поковыряться, можно настроить и при наличии Крипто ПРО.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Сбой программы установки Континент TLS Клиент

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Tempus пишет: Во время установки программы появляется ошибка «Произошла ошибка при записи информации об установке на диск. Убедитесь в наличии необходимого свободного места на диске и нажмите кнопку «повтор», либо нажмите кнопку «отмена».
Места на диске более, чем достаточно. Диск нормально работает.
Кроме того на других ПК такая же история.
Подскажите чего не хватает этой программе, так как подозрение на это.

Возможно, недостаточно прав для записи на жесткий диск или запись чем-то блокируется (скорее всего, антивирусом). Попробуйте:
1. Установку с правами администратора.
2. Отключение контроля учетных записей на время установки.
3. Отключение антивируса на время установки.

Может быть и проблема с установщиком, если, например, неполностью скопировали дистрибутив на другой носитель.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Gvinpin пишет: Возможно, недостаточно прав для записи на жесткий диск или запись чем-то блокируется (скорее всего, антивирусом). Попробуйте:
1. Установку с правами администратора.
2. Отключение контроля учетных записей на время установки.
3. Отключение антивируса на время установки.

Установку с админа пробовали, контроль уч записей и вся защита системы полностью отключена.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Не добавляются соединения Континент TLS-клиента

FarWinter пишет: Получается, если даже вручную подсовываете файл с настройками, то Континент TLS всё равно не может его прочитать.

Удалите установленный Континент TLS 2.0
Удалите каталоги ContinentTLSClient
Перезагрузитесь
и запустите установку Континент TLS 2.0 файлом Континент TLS-клиент.exe правой кнопкой мыши Запуск от имени Администратора

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Jonin пишет: Результат тот-же, ресурс не добавляется.

Когда вы отвечали на вопросы, не написали, отключен ли контроль учетных записей. По-моему, ничего не писали о наличии/отсутствии антивируса.

Понятно, что настройки Континент TLS вы начинаете с добавления ресурса. А настройки пробовали? Например, с сертификатами тоже проблема или все хорошо? Нет ли просроченных в личных?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Jonin пишет: Все попробовал сделать с этой новой сборкой. Результат тот-же, ресурс не добавляется.

Если бы проблема была с правами
Континент TLS-клиент пишет в низу в сплывающем окне «Отказано в доступе»
при попытке сохранить ресурс

значит какой софт мешает:
— Проверьте на вирусы свой ПК с помощью Dr.Web CureIt!

— Может что то типа SecretNet мешать
— Антивирус может блокировать.
Какой антивирус у вас установлен?
(проверьте с отключённым антивирусом)

Возможно, проще новую систему установить чем, сейчас искать из-за чего проблема.
Может мешать какой-нибудь старый софт.
Свою установку ЭБ проверял на Windows7Sp1x86, Windows7Sp1x64, Windows8.1×64, Windows10x64(1607)
всё устанавливается и без проблем работает.

и посмотреть что выдаёт переменная среды APPDATA
запустить cmd и выполнить:
echo %APPDATA%
должно вывести
C:Users AppDataRoaming

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Jonin пишет: Результат тот-же, ресурс не добавляется.

Антивирус Drweb с отключенными компонентами

Да, удаляю ветки в реестре, сертификаты удаляю все.

А настройки пробовали? Например, с сертификатами тоже проблема или все хорошо? Нет ли просроченных в личных?
Настройки пробовал, с сертификатами та-же проблема, просроченные есть, но их удалить я тоже не могу, но есть и действующие.

Источник

Обновлено 10.12.2020

Континет TLS VPN клиент используется для работы с информационными системами:

1. Электронный бюджет (Федеральное казачейство) budget.gov.ru
2. ФГИС ЦС (Главгосэкспертиза) fgiscs.minstroyrf.ru

Содержание

1 Сертификаты сервера «Континент TLS VPN» (lk2012.budget.gov.ru и lk.budget.gov.ru)
2 Инструкция по установке Континент TLS VPN клиент 2.0.1440
3 Настройка СКЗИ «Континент TLS VPN Клиент» для работы в Электронном бюджете

Сертификаты сервера «Континент TLS VPN» (lk2012.budget.gov.ru и lk.budget.gov.ru)

Инструкция по установке Континент TLS VPN клиент 2.0.1440

Скачанный дистрибутив необходимо разархивировать и запустить файл «Континент TLS-клиент.exe»

После успешной установки предлагается перезагрузить компьютер — соглашаемся.

После успешной регистрации всплывает окно. Ограничение демонстрационного периода (14 дней) снято.

{
«loggingConfig»: {
«fileLogMaxSize»: 3145728,
«fileLoggingDirectory»: «C:\Users\Public\ContinentTLSClient\»,
«fileLoggingEnabled»: true,
«sessionLogsEnabled»: false
},
«serialNumber»: «test-50000»
}

Настройка СКЗИ «Континент TLS VPN Клиент» для работы в Электронном бюджете

В окне добавления ресурса прописываем следующее:

Если используете сертификат пользователя по ГОСТ 2012, то пишем:
- Адрес: lk2012.budget.gov.ru
- Имя ресурса: lk2012.budget.gov.ru
- Удаленный порт: 443
- Тип: Прокси
Если используете сертификат пользователя по ГОСТ 2001, то пишем:
- Адрес: lk.budget.gov.ru
- Имя ресурса: lk.budget.gov.ru
- Удаленный порт: 443
- Тип: Прокси

Нажимаем «Сохранить». В соединениях отобразиться «lk2012.budget.gov.ru» или/и «lk.budget.gov.ru».

Далее идем в раздел «Настройки» > «Основные». Ставим галочки в следующих чекбоксах:

Проверять сертификаты по CRL
Запускать при старте системы
Скачивать CRL автоматически
При запуске свернуть в системный трей

Получаем страницу с такими настройками. Нажимаем «Сохранить».

В результате добавления сертификатов видим следующее.

Идем на вкладку «Управление сертификатами» > раздел «CDP» > кнопка «Скачать CRL».

На панели задач внизу справа нажать правой кнопкой мыши на значок «Континент TLS Клиента» и выбрать пункт «Сброс соединений».

— 79-07-93.

Далее переходите в браузер (желательно Google Chrome или Mozilla Firefox). В адресной (не поисковой) строке браузера вводим адрес АИС: http://tls.dou.omskportal.ru

Работа в АИС происходит как обычно.

Программа для удаленного доступа TeamViewer QuickSupport.

Источник

Как настроить континент tsl

Континет TLS VPN клиент используется для работы с информационными системами:

1. Электронный бюджет (Федеральное казачейство) budget.gov.ru
2. ФГИС ЦС (Главгосэкспертиза) fgiscs.minstroyrf.ru

Сертификаты сервера «Континент TLS VPN» (lk2012.budget.gov.ru и lk.budget.gov.ru)

Инструкция по установке Континент TLS VPN клиент 2.0.1440

Скачанный дистрибутив необходимо разархивировать и запустить файл «Континент TLS-клиент.exe»

После успешной установки предлагается перезагрузить компьютер — соглашаемся.

После успешной регистрации всплывает окно. Ограничение демонстрационного периода (14 дней) снято.

Настройка СКЗИ «Континент TLS VPN Клиент» для работы в Электронном бюджете

В окне добавления ресурса прописываем следующее:

Если используете сертификат пользователя по ГОСТ 2012, то пишем:
- Адрес: lk2012.budget.gov.ru
- Имя ресурса: lk2012.budget.gov.ru
- Удаленный порт: 443
- Тип: Прокси
Если используете сертификат пользователя по ГОСТ 2001, то пишем:
- Адрес: lk.budget.gov.ru
- Имя ресурса: lk.budget.gov.ru
- Удаленный порт: 443
- Тип: Прокси

Нажимаем «Сохранить». В соединениях отобразиться «lk2012.budget.gov.ru» или/и «lk.budget.gov.ru».

Далее идем в раздел «Настройки» > «Основные». Ставим галочки в следующих чекбоксах:

Проверять сертификаты по CRL
Запускать при старте системы
Скачивать CRL автоматически
При запуске свернуть в системный трей

Получаем страницу с такими настройками. Нажимаем «Сохранить».

В результате добавления сертификатов видим следующее.

Источник

Как настроить континент tsl

Для перехода на работу в СУФД – Портал с использованием СКЗИ «Континент TLS–клиент» вместо СКЗИ «Континент-АП» необходимо:

1. Установить на рабочее место СКЗИ «Континент TLS–клиент» версии 2.0.1440.

В случае, если на рабочем месте СКЗИ «Континент TLS–клиент» установлен для работы с ГИС «Электронный бюджет» необходимо выполнить его настройку, добавив сервер подключения СУФД – Портал.

— Инструкция по настройке СКЗИ «Континент TLS-клиент» (открыть)

— Сертификат сервера TSL для СУФД-Портал (открыть)

2. При работе нескольких пользователей на одном рабочем месте для авторизации под другим пользователем необходимо закрыть браузер и выполнить «Сброс соединений» на пиктограмме СКЗИ «Континент TLS-клиент» (в правом нижнем углу рабочего стола). Обратите внимание, что «Сброс соединений» выполняется для всех настроенных подключений в «Континент TLS-клиент», в т.ч. для ГИС «Электронный бюджет».

3. Для работы электронной подписи должен быть установлен и включен в браузере «КриптоПро ЭЦП Browser plug-in» (версия 2.0).
Для использования плагина в браузере Firefox версии 52 и выше требуется дополнительно установить расширение для браузера.
Актуальная версия плагина, расширения для браузера Firefox, а так же инструкция по установке доступны по адресу https://www.cryptopro.ru/products/cades/plugin

4. Если организация использует учетные записи без права подписи, то пользователям необходимо получить сертификаты с формализованной должностью «Операционист» («Исполнитель»).

Instruktsiya-po-nastroyke-SKZI-_Kontinent-TLS_klient_.docx DOCX 3.3 МБ

Источник

Подключение к СУФД через Континент TLS.

Недавно клиенты Федерального казначейства по Челябинской области получили письмо «О переключении клиентов СУФД-портала на работу через TLS». В письме Федеральное казначейство информирует о том, что это переключение необходимо завершить до 31.05.2021 года.

Я решил опубликовать небольшую статейку, касающуюся этой темы. Кстати, ниже в тексте, вы можете видеть заголовок этого письма:

Континент TLS — это средство криптографической защиты информации (СКЗИ), которое выдает Федеральное казначейство по Челябинской области своим клиентам, для работы в системе «Электронный бюджет». Ну, и значит, теперь еще будут выдавать тем, кто работает в СУФД. С чем это связано, спросите вы? Могу только предположить, что это связано с тем, что теперь не нужно будет получать «транспортный сертификат» Континент-АП, достаточно будет личного сертификата клиента, с помощью которого производится подпись электронных документов в СУФД.

Если у вас в организации настроено рабочее место для работы в «Электронном бюджете», то вам беспокоиться не о чем. С этого же рабочего места можно будет подключиться к СУФД. Для этого надо установить браузер с поддержкой ГОСТ-шифрования, например Chromium GOST и ввести адрес: https://ufk69.sufd.budget.gov.ru. Специально не стал делать этот адрес ссылкой, чтобы удобнее было его копировать. Для тех, у кого рабочее место для работы в «Электронном бюджете» не настроено и предназначена моя статья.

Итак, приступим. Первое, что необходимо знать — это минимальные требования к компьютеру, на котором планируется работать в СУФД. Общее ППО клиентского уровня должно удовлетворять следующим требованиям:

Операционная система не ниже Microsoft Windows 7;

Крипто Про CSP browser plug-in версия 2 и выше;

Браузер, поддерживающий работу плагина Internet Explorer 11 или браузер Chromium GOST с ГОСТ-шифрованием;

«Крипто Про CSP» версия 4.0;

«Континент TLS клиент» версии 2.0.

Если СКЗИ Континент TLS 2.0 не установлен, то его необходимо получить в казначействе. Письмо о выдаче СКЗИ можно скачать отсюда. После получения и установки Континента TLS, необходимо выполнить небольшие настройки:

Открыть «Континент TLS-клиент». Запустить Континент TLS клиент можно с помощью ярлыка на рабочем столе или перейти в меню «Пуск» -> «Все программы» -> «Код безопасности» -> «Континент TLS-клиент». В меню Континент TLS-клиента необходимо нажать на «+ Добавить» и выбрать вкладку «Ресурс». В появившемся окне поля заполняются следующими значениями: Адрес — «ufk69.sufd.budget.gov.ru», Удаленный порт — «443». Всё проделанное иллюстрирует рисунок ниже:

Перейти во вкладку «Управление сертификатами». Выбрать раздел «Серверные сертификаты». Нажать на кнопку «Импортировать». В открывшемся меню выбрать необходимый файл (скачать сертификат можно отсюда). Все проиллюстрировано на рисунке ниже:

После проведения вышеуказанных процедур вход в СУФД-Портал осуществляется по ссылке: https://ufk69.sufd.budget.gov.ru. Конечно, не надо забывать, что в личное хранилище на рабочем компьютере уже должен быть установлен личный сертификат. Как это сделать, я рассказывал тут. После перехода на СУФД-портал должно открыться окно выбора сертификата.

Если на рабочей станции в СУФД-Портале работают пользователи под разными учетными записями (руководитель, главный бухгалтер), то для переключения между пользователями необходимо сбросить TLS соединение и зайти заново. Для этого, выходим из СУФД-Портала. Закрываем браузер. Далее в правом нижнем углу нажимаем правой кнопкой на ярлык Континент TLS-клиента и в открывшемся меню выбираем «Сброс соединений». Это показано на следующем рисунке:

Для удобства, клиентам УФК по Челябинской области, рекомендую скачать и установить необходимое ПО из этого архива. Содержимое архива устанавливается в два этапа:

Подкаталог 1 «Установка с правами администратора». Устанавливаем последовательно Континент TLS, КриптоПро браузер плагин и корневые сертификаты. Все программы запускаем от имени администратора;

Подкаталог 2 «Установка под пользователем». Запускаем автонастройку Континент TLS с помощью *.bat файла.

Вот вроде и все, что хотелось рассказать. Отмечу, что если вы будете работать в СУФД через браузер Internet Explorer, то не забудьте добавить в список надежных узлов портал СУФД. Это можно сделать во вкладке «Безопасность». Выбираем «Надежные узлы» и нажимаем кнопку «Сайты». В появившемся окне вводим сайт «https://ufk69.sufd.budget.gov.ru» и нажимаем кнопку «Добавить». На этом все!

И напоследок. Если вам понравилась эта статья и вы почерпнули из нее что-то новое для себя, то вы всегда можете выразить свою благодарность в денежном выражении. Сумма может быть любой. Это вас ни к чему не обязывает, все добровольно. Если вы всё же решили поддержать мой сайт, то нажмите на кнопку «Поблагодарить», которую вы можете видеть ниже. Вы будете перенаправлены на страницу моего сайта, где можно будет перечислить любую денежную сумму мне на кошелек. В этом случае вас ждет подарок. После успешного перевода денег, вы сможете его скачать.

Источник

Всем привет!

Однако, вернёмся к нашим баранам… Такая у вас сейчас ошибка?

ЭБ: crl сертификата сервера не загружен или устарел

Если вы видите такую ошибку в своём TLS — клиенте, значит нужно установить «список отзыва» вручную

рис. 2. Континент TLS 2.0

2. Теперь переходим к процедуре установки «списка отзыва»

Есть некая ссылка… — Вот она (http://crl.roskazna.ru/crl/)

По ней надо пройти, и вы увидите заголовок:

Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства:

Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства

Установка списка отзыва вручную

P.S. Данный рецепт получил от тех.поддержки УФК.

Источник

P.S. Сейчас возможности проверить нет. Как только появится возможность, обязательно сообщу о результатах.

Источник

Электронный бюджет настройка рабочего места

Установка и настройка ПО для Электронного Бюджета состоит из:

Установка и настройка КриптоПро 4.0.
Установка корневых сертификатов казначейства.
Скачивания сертификата Континента TLS-клиент.
Установка и настройка Континент TLS-клиент.
Установка Jinn Client
Установка eXtended Container

Корневые сертификаты казначейства

Перед установкой корневых сертификатов ПО КриптоПро 4.0 должен быть установлен.

Подробнее как скачать и установить корневые сертификаты казначейства можно по ссылке.

Настройка Электронного Бюджета (гост 2012)

Сертификат Континент TLS VPN (гост 2012)

Еще один сертификат который необходимо скачать, это сертификат Континент TLS VPN по этой ссылке.

Установка «Континент TLS-клиент» для работы с Электронным Бюджетом (гост 2012)

Распаковываем архив TLS_Client_2.0.1440 и запускаем установщик Континент TLS-клиент.

Устанавливаем Континент TLS-клиент, настройки оставляем по дефолту, после установки перегружаем компьютер.

UPDATE: c 27 марта 2022 года используется новая ссылка: eb.cert.roskazna.ru

После открытия программы Континент TLS-клиента, необходимо добавить Ресурс: eb.cert.roskazna.ru нажимаем Сохранить.

Установка JinnClient_1.0.3050.0 для подписания документов

Распаковываем архив и запускаем установщик Setup.exe

Нажимаем на Jinn-Client, открывается Мастер установки:

Вводим лицензионный ключ полученный в Казначействе.

Не меняем настройки, продолжаем установку, по окончании перегружаем компьютер.

Установка eXtended Container

Запускаем Setup.exe в папке JinnClient_1.0.3050.0.

Вводим лицензионный ключ продукта полученный в Казначействе и продолжаем установку.

После установки перегрузите компьютер.

Вход в личный кабинет Электронного бюджета

В браузере Firefox открываем ссылку: http://eb.cert.roskazna.ru/

Откроется окно с выбором сертификата для входа в личный кабинет Электронного бюджета.

Готово!

Возможные проблемы

CRL сертификата сервера не загружен или устарел

При подключении к Электронному Бюджету появляется ошибка CRL сертификата сервера не загружен или устарел.

Решение:

Скачайте новые корневые сертификаты Казначейства по этой ссылке.
Выключить проверку CRL в настройках программы:

Электронный бюджет на Windows 11

Стоимость работ 4500 руб.

Оплата после выполненных работ.

Источник

CADES — КриптоПРО ЭЦП Browser Plug-in, не видит сертификаты ГОСТ2012

В своё время столкнулся с этим в модуле учёта начислений ssl.mun.minfin.ru
sedkazna.ru/forum.html?view=topic&catid=9&id=1011#14312

При подписании с помощью КриптоПРО ЭЦП Browser Plug-in
в выпадающем списке не было видно сертификатов по ГОСТ 2012, только сертификаты по ГОСТ 2001

Мне тогда не дали толком разобраться из-за чего была проблема, починил и ладно.

На текущий момент, есть три предположения из-за чего была проблема:

1. Нужно установить Корневые сертификаты ФК в локальный компьютер

Если корневые сертификаты ФК установлены не в локальный компьютер,
Корневой сертификат

Минкомсвязь России

(01.07.2036)
Промежуточные сертификаты

Федеральное казначейство

(19.11.2033) и

Федеральное казначейство

(05.02.2035)

найти через оснастку КриптоПРО — Сертификаты
в Win10 это файл («C:Program Files (x86)Common FilesCrypto ProSharedcerts.ru.msc«)
, удалить их и установить с помощью автоматического инсталлятора

2. Нужно проверить доступны ли точки распределения списка отзыва

Например в промежуточных сертификатах УЦ ФК — Федеральное казначейство Действительного до 05.02.2035
Вкладка — Состав
Точки распределения списка отзыва (CRL)

[1]Точка распределения списка отзыва (CRL)
Имя точки распространения:
Полное имя:
URL=http://reestr-pki.ru/cdp/guc_gost12.crl
[2]Точка распределения списка отзыва (CRL)
Имя точки распространения:
Полное имя:
URL=http://company.rt.ru/cdp/guc_gost12.crl
[3]Точка распределения списка отзыва (CRL)
Имя точки распространения:
Полное имя:
URL=http://rostelecom.ru/cdp/guc_gost12.crl

Нужно пингануть, если все точки распространения недоступны, то возможно ошибка в этом.
ping reestr-pki.ru
ping company.rt.ru
ping rostelecom.ru

в
сообщении по ошибке в модуле учёта начислений ssl.mun.minfin.ru

есть как скачать списки отзыва скриптом
CRL — Скачивание списков отзывов сертификатов скриптом.ZIP
Запускать файл ImportCRL_http.bat

3. Выставить настройки для КриптоПРО как для Электронного бюджета

Настройка КриптоПро для работы в ЭБ
КриптоПРО CSP
вкладка — Настройки TLS
Включить — Не проверять сертификат сервера на отзыв.
Включить — Не проверять назначение собственного сертификата.
Отключить — Не использовать устаревшие chiper suite-ы.

Проверьте подписание через Chromium GOST
QuickCG — Порядок быстрой настройки Chromium GOST
sedkazna.ru/forum.html?view=topic&catid=9&id=1206#16364
Для Chromium GOST в Электронном бюджете Континент TLS-клиент не нужен.
Для подписания документов в ЭБ используется КриптоПРО ЭЦП Browser Plug-in

oilcoil пишет: Комп стоит в локалке к интернету доступа нет.

Если вы из ОФК и ходите в ЭБ через сеть ЗКВС, то Отдел РСиБИ должны были прописать на своих континентах
чтобы точки распределения списка отзыва

reestr-pki.ru

company.rt.ru

rostelecom.ru

были доступны.

Ещё остался вариант удалить КриптоПРО ЭЦП Browser Plug-in, перезагрузится и снова установить,
но вы скорее всего — это уже проверяли.

— Ошибка 401 Решение: проверить настройки «Континент TLS». Перезагрузка службы «Континент TLS»

— Ошибка 403 Решение: Установить корневой сертификат в локальное хранилище(локальный компьютер) взять можно здесь, дополнительно проверить доступность списка отозванных сертификатов fk01.crl, возможно по каким то причинам блокируется пути.

Глобальный адрес: crl.roskazna.ru/crl/fk01.crl

Локальный адрес(для УФК): crl.fsfk.local/crl/fk01.crl

Еще один вариант решения данной ошибки Здесь

— Ошибка 404 Решение: все худо с настройками.(смотрим выше)

— Ошибка 434 Решение: В первую очередь обратить внимание на правильность вводимого адреса( lk.budget.gov.ru/udu-webcenter ), особенно на букву «c», если адрес откуда то скопирован. Проверить настройки «Континент TLS» и браузера. (Все выше). В редких случаях фаирвол блочит(встречал только на ПК с comodo, avast) Сам порт открывать без необходимости не стоит, нужно лишь разрешить нормально работать Континент TLS. Как это не прискорбно. Перезагрузка службы «Континент TLS» иногда помогает.

— Ошибка 500 : Ошибка на стороне сервера. Обновляем страницу в браузере

— Ошибка 502 : Глобальная проблема связанная с работой сервера

— Необходимо обратиться к сис. админу. Решение: перезагрузка службы «Континент TLS» Либо элементарно обновить страницу в браузере.

— Необходимо обратиться к регистратору ФК. Решение:

Не установлен сертификат прилагаемый с заявкой(писал выше), либо выбран не верный сертификат. В окне выбора сертификатов справа есть серийные номера по которым легко опознавать необходимый сертификат. Для повторного выбора сертификата,после ошибки, желательна перезагрузка службы «Континент TLS»

— Ошибка 401 Решение: проверить настройки «Континент TLS». Перезагрузка службы «Континент TLS»
— Ошибка 403 Решение: Установить корневой сертификат в локальное хранилище(локальный компьютер) взять можно здесь, дополнительно проверить доступность списка отозванных сертификатов fk01.crl, возможно по каким то причинам блокируется пути.
Глобальный адрес: crl.roskazna.ru/crl/fk01.crl
Локальный адрес(для УФК): crl.fsfk.local/crl/fk01.crl
Еще один вариант решения данной ошибки Здесь
— Ошибка 404 Решение: все худо с настройками.(смотрим выше)
— Ошибка 434 Решение: В первую очередь обратить внимание на правильность вводимого адреса( lk.budget.gov.ru/udu-webcenter ), особенно на букву «c», если адрес откуда то скопирован. Проверить настройки «Континент TLS» и браузера. (Все выше). В редких случаях фаирвол блочит(встречал только на ПК с comodo, avast) Сам порт открывать без необходимости не стоит, нужно лишь разрешить нормально работать Континент TLS. Как это не прискорбно. Перезагрузка службы «Континент TLS» иногда помогает.
— Ошибка 500 : Ошибка на стороне сервера. Обновляем страницу в браузере
— Ошибка 502 : Глобальная проблема связанная с работой сервера
— Необходимо обратиться к сис. админу. Решение: перезагрузка службы «Континент TLS» Либо элементарно обновить страницу в браузере.
— Необходимо обратиться к регистратору ФК. Решение:
Не установлен сертификат прилагаемый с заявкой(писал выше), либо выбран не верный сертификат. В окне выбора сертификатов справа есть серийные номера по которым легко опознавать необходимый сертификат. Для повторного выбора сертификата,после ошибки, желательна перезагрузка службы «Континент TLS»

Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Ошибка при проверке цепочки сертификатов — 2

7443498	#1 Оставлено : 12 мая 2022 г. 16:30:22(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 12.05.2022(UTC) Сообщений: 35 Откуда: CPb	Добрый день уважаемые форумчане. Обращаюсь за помощью к сообществу. На одном из компов в фирме негаданно прекратил подписываться запрос на регистрацию карт на сайте Росимущества. На остальных сайтах все работает. На компе установлена криптопро 4. начал проверять цепочку сертификата — высветилась ошибка. скачал корневые сертификаты и минцифры и казначейства, но ошибка не уходит. возможно это проявилось после обновления плагина(но не уверен). Посмотрел ряд информации на форумах, к сожалению ничего не помогло. каковы варианты?
	WWW

7443498	#2 Оставлено : 12 мая 2022 г. 16:35:46(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 12.05.2022(UTC) Сообщений: 35 Откуда: CPb	6.jpg (514kb) загружен 7 раз(а). 112.jpg (334kb) загружен 6 раз(а). 5.jpg (262kb) загружен 3 раз(а). 11.jpg (279kb) загружен 4 раз(а). 4.jpg (276kb) загружен 4 раз(а). 3.jpg (272kb) загружен 4 раз(а).

two_oceans	#3 Оставлено : 13 мая 2022 г. 7:50:27(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,598 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 388 раз в 363 постах	Добрый день. Сертификаты как я смотрю выданы в январе и начале февраля 2022 года. У меня под рукой есть сертификат от 4 февраля 2022 года. В эти сроки Казначейство выдавало сертификаты от «Федеральное казначейство», то есть для еще них нужен корневой Минкомсвязи 2018 года и Федерального казначейства 2021 года. В итоге, для конкретного сертификата от 19 января 2022 года нужны не самые последние сертификаты УЦ, а немного «постарее». Скачать можно на сайте Казначейства, выбрав нужный год. Еще там есть сертификат от 30 апреля 2021 года — для него я не уверен, возможно понадобится Федеральное казначейство 2020 года, так как сертификат казначейства 2021 от 13 апреля 2021 года, возможно до конца месяца выдавали еще на сертификате 2020 года. Также под рукой есть сертификат полученный 15 февраля 2022 года. Он уже выдан от «Казначейство России», для него нужен корневой Минцифры 2022 года и Казначейства России 2022 года. Где-то между 4 и 15 февраля 2022 года произошла смена цепочки для вновь выдаваемых сертификатов. Собственно, этих трех сертификатов Казначейства 2020, 2021, 2022 и двух корневых Минкомсвязи и Минцифры должно хватать на все еще действующие сертификаты Казначейства (плюс для сертификатов Континента у каждого региона своя схема). Отредактировано пользователем 13 мая 2022 г. 7:51:48(UTC) \| Причина: Не указана

1 пользователь поблагодарил two_oceans за этот пост.	nickm оставлено 13.05.2022(UTC)

7443498	#4 Оставлено : 13 мая 2022 г. 13:11:41(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 12.05.2022(UTC) Сообщений: 35 Откуда: CPb	two_oceans, спасибо. Возможно дело не в сертификатах? До недавнего времени все работало, но в какой-то момент говорит о нарушении цепочки, так совпало что до этого момента айтишник обновлял плагин криптопро. может это совпадение. Сертификаты установлены, добавил и 21 и 20 годов, но ничего не изменилось. сегодня установил плагин ЕСЭП и подпись через него прошла, а через криптопро так и не отображает сертификаты
	WWW

7443498	#5 Оставлено : 16 мая 2022 г. 14:45:48(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 12.05.2022(UTC) Сообщений: 35 Откуда: CPb	Приветствую уважаемое сообщество. Выходные частичго ушли на решение проблемы, но результат нулевой. сертификаты установлены. И корневой и промежуточный вроде действующие, но ошибка теста, хотя такой нюанс. решил для чистоты эксперимента установить сертификаты на другой комп — один сертификат по ссылке личного сертификата не находится, может дело в в этом? ( http://crl.fsfk.local/crl/ucfk_2021.crl ). https://ltdfoto.ru/image/MtGFV8 https://ltdfoto.ru/image/MtQAdA https://ltdfoto.ru/image/MtQEZU https://ltdfoto.ru/image/MtQeKs https://ltdfoto.ru/image/MtQw4C

nickm	#6 Оставлено : 16 мая 2022 г. 15:06:25(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 765 Сказал(а) «Спасибо»: 232 раз Поблагодарили: 126 раз в 116 постах	Автор: 7443498 может дело в в этом? У Вас такой в промежуточных имеется ли? С отпечатком: Код: `0b48b8d07d142a5b45e9b0e8c52186687d75e58e` Отредактировано пользователем 16 мая 2022 г. 15:07:08(UTC) \| Причина: Не указана

7443498	#7 Оставлено : 16 мая 2022 г. 16:23:51(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 12.05.2022(UTC) Сообщений: 35 Откуда: CPb	Спасибо, но не помогло. Скачал, установил и все та же ошибка https://ltdfoto.ru/image/MtTu5f
	WWW

nickm	#8 Оставлено : 16 мая 2022 г. 16:31:34(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 765 Сказал(а) «Спасибо»: 232 раз Поблагодарили: 126 раз в 116 постах	Проверьте и Минцифры в «корневых». Я исхожу из даты изготовления Вашего сертификата — головной и промежуточный изданы как раз началом января, возможно и Ваш «казначейский» был подписан этими январскими сертификатами.

7443498	#9 Оставлено : 16 мая 2022 г. 16:45:58(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 12.05.2022(UTC) Сообщений: 35 Откуда: CPb	к сожалению не помогло.
	WWW

7443498	#10 Оставлено : 17 мая 2022 г. 12:52:22(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 12.05.2022(UTC) Сообщений: 35 Откуда: CPb	Всем спасибо, разобрался сам — скачал новый список отзывов и все восстановилось
	WWW

Пользователи, просматривающие эту тему

Guest

Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Ошибка при проверке цепочки сертификатов — 2

Быстрый переход

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Всем привет!

Однако, вернёмся к нашим баранам… Такая у вас сейчас ошибка?

ЭБ: crl сертификата сервера не загружен или устарел

Если вы видите такую ошибку в своём TLS — клиенте, значит нужно установить «список отзыва» вручную

рис. 2. Континент TLS 2.0

2. Теперь переходим к процедуре установки «списка отзыва»

Есть некая ссылка… — Вот она (http://crl.roskazna.ru/crl/)

По ней надо пройти, и вы увидите заголовок:

Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства:

Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства

Установка списка отзыва вручную

P.S. Данный рецепт получил от тех.поддержки УФК.

Tattobu	#1 Оставлено : 6 апреля 2022 г. 12:49:50(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 31.10.2019(UTC) Сообщений: 5 Сказал(а) «Спасибо»: 1 раз	Среда: РедОС 7.3. сертифицированная Встроенный уже в РедОС браузер Chromium Версия 94.0.4606.81 (Официальная сборка), RED OS (64 бит) КриптоПро CSP: тестировалось с 5.0.12000 и до 5.0.12417. Пакет Cades plugin актуальный на сегодня: cprocsp-pki-plugin-64-2.0.14530-1.x86_64 cprocsp-pki-phpcades-64-2.0.14530-1.x86_64 cprocsp-pki-cades-64-2.0.14530-1.x86_64 Далее, что происходит: 1. При установке всего набора без Cades plugin всё работает замечательно. Логинимся в ГИСы по сертификатам ЭП, и дальше всё ок. 2. Если же на АРМ требуется пользователю подписывать документы своей ЭП — ставим дополнительно пакеты от Cades в систему, а в Chrоmium расширение. И тут начинаются проблемы даже со входом в ГИСы — либо вообще не удаётся зайти (ошибки: не получен ответ от системы, либо виснет Chromium), либо удается зайти после нескольких попыток со скрипом (обновляя страничку по тысяче раз, нажимая на вплывающее окно «подождать отклик от системы»). Но!В этой же конфигурации идём на страничку https://cryptopro.ru/sit…ge/cades_bes_sample.html для проверки работы ЭП — ЭП сотрудника проставляется без ошибок, то есть как бы всё ок и тест проходит. 3. Удаляем пакеты от Cades plugin — всё опять работает, можем логиниться на ГИСах. Но тогда нет возможности подписывать ЭП. ГИСы: https://sobi.cert.roskazna.ru https://ssl.budgetplan.minfin.ru/bp/ https://eb.cert.roskazna.ru Куда смотреть? Отредактировано пользователем 6 апреля 2022 г. 12:50:36(UTC) \| Причина: Не указана

nickm	#2 Оставлено : 6 апреля 2022 г. 14:18:07(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 765 Сказал(а) «Спасибо»: 232 раз Поблагодарили: 126 раз в 116 постах	Автор: Tattobu Куда смотреть? Сюда.

Tattobu	#3 Оставлено : 6 апреля 2022 г. 14:26:08(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 31.10.2019(UTC) Сообщений: 5 Сказал(а) «Спасибо»: 1 раз	Так там как раз и написано, что «Модуль Network в Chromium с 90 версии был помещён в песочницу, то есть теперь к библиотекам уровня Network предъявляются повышенные требования. Все версии CSP 5.0 удовлетворяют данным требованиям, CSP 4.0 к сожалению нет. Поэтому всем пользователям CSP 4.0 для работы TLS в браузере Chromium-Gost версии 90 и выше рекомендуется просто перейти на 5.0, первая сертифицированная версия 5.0.11455 поддерживает приобретённые лицензии от CSP 4.0 в полном объёме.» Что именно в нашей конфигурации не удовлетворяет этой цитате?

Tattobu	#4 Оставлено : 18 апреля 2022 г. 14:00:12(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 31.10.2019(UTC) Сообщений: 5 Сказал(а) «Спасибо»: 1 раз	Вопрос к сотрудникам КриптоПро. Подскажите, где можно взять предыдущие версии (сборки) КриптоПро ЭЦП Browser plug-in 2.0? Знаю, что актуальная тут: https://www.cryptopro.ru/products/cades/downloads А ранние версии есть где скачать? Нужна для 64 битной linux… т.е. архив cades-linux-amd64.tar.gz Отредактировано пользователем 18 апреля 2022 г. 14:02:52(UTC) \| Причина: Не указана

Александр Лавник	#5 Оставлено : 18 апреля 2022 г. 14:09:41(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,192 Сказал «Спасибо»: 51 раз Поблагодарили: 719 раз в 672 постах	Автор: Tattobu Вопрос к сотрудникам КриптоПро. Подскажите, где можно взять предыдущие версии (сборки) КриптоПро ЭЦП Browser plug-in 2.0? Знаю, что актуальная тут: https://www.cryptopro.ru/products/cades/downloads А ранние версии есть где скачать? Нужна для 64 битной linux… т.е. архив cades-linux-amd64.tar.gz Какая цель использования более старых сборок плагина?
Техническую поддержку оказываем тут Наша база знаний

Tattobu	#6 Оставлено : 18 апреля 2022 г. 14:36:42(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 31.10.2019(UTC) Сообщений: 5 Сказал(а) «Спасибо»: 1 раз	Протестировать в среде, которая описана в первом моём сообщении в этой теме выше.

Александр Лавник	#7 Оставлено : 18 апреля 2022 г. 16:37:38(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,192 Сказал «Спасибо»: 51 раз Поблагодарили: 719 раз в 672 постах	Автор: Tattobu Протестировать в среде, которая описана в первом моём сообщении в этой теме выше. Яндекс.Браузер пробовали использовать? Если нет, то проверьте в нем. Что в логе /var/log/messages при неудачной попытке входа?
Техническую поддержку оказываем тут Наша база знаний

Tattobu	#8 Оставлено : 19 апреля 2022 г. 9:51:40(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 31.10.2019(UTC) Сообщений: 5 Сказал(а) «Спасибо»: 1 раз	Автор: Александр Лавник Автор: Tattobu Протестировать в среде, которая описана в первом моём сообщении в этой теме выше. Яндекс.Браузер пробовали использовать? Если нет, то проверьте в нем. Что в логе /var/log/messages при неудачной попытке входа? 1. Да, в Яндекс браузере все работает хорошо и быстро. Но, извините, Яндекс браузер это какая-то рождественская ёлка с огоньками и алисой в комплекте. Нет желания такое ставить на АРМы пользователей. По логам: В логе проблемы с доступом к спискам отозванных: ===== chromium-browser[8008]: <ssp>tls_get_ems! no TLS_EXT_EXTENDED_MASTER_SECRET has been sent chromium-browser[8008]: <ssp>AddToMessageLog!CryptoPro TLS. This CLIENT_HELLO message’s extension does not sent: 0x17 chromium-browser[8008]: <ssp>InitializeSecurityContextW!(failed: 0xFFFFFFFF80090304) /etc/gdm/Xsession[8008]: [8008:8051:0419/092700.517957:ERROR:ssl_client_socket_impl.cc(1018)] handshake failed; returned 0, SSL error code 6, net_error -107 etc/gdm/Xsession[8008]: [8008:8051:0419/092700.518489:ERROR:ssl_client_socket_impl.cc(1018)] handshake failed; returned 0, SSL error code 6, net_error -107 chromium-browser[8008]: <ssp>tls_get_ems! no TLS_EXT_EXTENDED_MASTER_SECRET has been sent chromium-browser[8008]: <ssp>AddToMessageLog!CryptoPro TLS. This CLIENT_HELLO message’s extension does not sent: 0x17 chromium-browser[8008]: <ssp>InitializeSecurityContextW!(failed: 0xFFFFFFFF80090304) chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x2 chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x2 chromium-browser[8008]: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://rostelecom.ru/cdp/guc_gost12.crl). chromium-browser[8008]: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x2 chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x2 chromium-browser[8008]: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://crl.fsfk.local/crl/ucfk_2021.crl). chromium-browser[8008]: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x2 chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x ==== С доступом к crl действительно есть проблемы. В соседней ветке обсуждение: https://www.cryptopro.ru…aspx?g=posts&t=20735 Все что выше было протестировано на сборке Cades — cprocsp-pki-*-64-2.0.14530-1_amd64 2. Нашел на сайте госзакупок (там где ПО у них) старую версию Cades — cprocsp-pki-cades-64_2.0.14458-1_amd64. Установил вместо 14530 — всё отлично теперь работает и в Chromium и в Яндекс браузере. Хотя в /var/log/messages ошибки присутствуют, но в несколько другом виде.

Пользователи, просматривающие эту тему

Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

На чтение 3 мин. Просмотров 609 Опубликовано 15.12.2019

crl не прошел проверку — такую ошибку стало выдавать у моих специалистов при входе в Электронный Бюджет.

Лечится довольно просто, перезапуском службы Континент ТЛСа.

Перезапускаем службу, перезаходим в ЭБ, выбираем нужный сертификат для входа и работаем дальше.

Для тех кто не хочет делать это в ручную или незнает как перезапустить службу — в этой статье есть сам батник (который можно скачать), а так же его содержимое.

Государственная интегрированная информационная система управления
общественными финансами «Электронный бюджет»

Подсистема обеспечения информационной безопасности подсистем

Инструкция по обновлению сертификата сервера TLS на автоматизированном рабочем месте пользователя системы «Электронный бюджет»

Содержание

Содержание
СПИСОК ТЕРМИНОВ И СОКРАЩЕНИЙ
ОПИСАНИЕ ОПЕРАЦИЙ
Копирование нового сертификата сервера TLS на АРМ пользователя
Замена сертификата сервера TLS в ПО «Континент TLS Клиент»

Содержание

СПИСОК ТЕРМИНОВ И СОКРАЩЕНИЙ

В документе используются следующие термины и сокращения:

Текст заголовка	Текст заголовка
АРМ	автоматизированное рабочее место пользователя системы «Электронный бюджет»;
ОС	операционная система;
Пользователь	зарегистрированный в системе «Электронный бюджет» сотрудник организации, которому предоставлен доступ к определенным функциям в системе «Электронный бюджет», в соответствии с заявкой на подключение;
Система «Электронный бюджет»	государственная интегрированная информационная система управления общественными финансами «Электронный бюджет»;

ОПИСАНИЕ ОПЕРАЦИЙ

Копирование нового сертификата сервера TLS на АРМ пользователя

Для копирования файла сертификата сервера TLS в локальную директорию АРМ пользователя необходимо:

Открыть в веб-обозревателе официальный сайта Федерального казначейства, перейдя по адресу в сети Интернет: www.roskazna.ru

Замена сертификата сервера TLS в ПО «Континент TLS Клиент»

Внимание: Настройки внешнего прокси-сервера могут отличаться от настроек, приведенных в настоящей инструкции. Настройки внешнего прокси-сервера не изменяются в рамках работ по замене сертификата сервера TLS, и должны соответствовать настройкам, используемым в организации пользователя.

Выполнить запуск диалога «Континент TLS Клиент: настройка сервиса». Для этого в меню «Пуск» ввести «Континент TLS клиент» и щелкнуть по найденному элементу.
В разделе «Настройки защищаемого сервера» в поле «Сертификат» указать файл сертификата сервера TLS, скопированный в локальную директорию в п.4 раздела 2.1 настоящего Руководства.

Решение проблемы CRL не прошел проверку в Электронном бюджете состоит в том, что не установлены новые корневые сертификаты.

Для этого переходим на страницу http://crl.roskazna.ru/crl/ скачиваем все корневые сертификаты с расширение .crt с помощью Internet Explorer.

Устанавливаем скаченные корневые сертификаты в Доверенные корневые центры сертификации.

Предупреждение

При установке с использованием графического интерфейса пользователя плагин «Загрузка реестра TSL, сертификатов, CRL» не устанавливается.

Установка возможна только с использованием ключа /downloadPlugin.

Подробное описание установки и использование ключей описано в разделе Установка приложения, в документации Руководство пользователя.

Плагин предназначен для загрузки и обновления из соответствующих источников обновления:

реестра аккредитованных УЦ Минкомсвязи (TSL);
cертификатов аккредитованных УЦ, выданных ГУЦ;
списков отозванных сертификатов аккредитованных УЦ;
дополнительных сертификатов УЦ и списков отозванных сертификатов УЦ, определенных администратором системы;
настроек проверки соответствия квалифицированных сертификатов требованиям уполномоченных органов.

Загруженные данные проходят специальную подготовку и размещаются на сетевом ресурсе, доступном рабочим станциям пользователей (централизованное хранилище), откуда в дальнейшем загружаются плагином обновления сертификатов, CRL, TSL, выполняющимся на рабочих местах пользователей.

Централизованное хранилище

В качестве централизованного хранилища могут быть использованы:

веб сервер, доступный пользователям по url (рекомендуется)
сетевая папка, доступная пользователям по unc-пути

При установке приложения в качестве настройки по умолчанию в плагине обновления сертификатов, CRL, TSL настраивается значение:

http://CryptoPlusUpdateServer/

С целью минимизации настроек, которые могут потребоваться в будущем рекомендуется оставить настройку по умолчанию, т.к. в следующих версиях планируется реализация функции автоматического обновления версий и настроек плагинов из веб-ресурса http://CryptoPlusUpdateServer.

Таким образом для минимизации настроек и исключения перенастройки рабочих станций необходимо и достаточно выполнить следующие действия:

зарегистрировать в сети dns-псевдоним CryptoPlusUpdateServer
развернуть http-сервер, на котором создать веб-сайт с именем CryptoPlusUpdateServer (либо добавить сайт CryptoPlusUpdateServer на имеющемся веб-сервере)
настроить на веб-сервере сетевую папку, сопоставленную с сайтом CryptoPlusUpdateServer, в которую плагин сможет помещать информацию
настроить плагин загрузки сертификатов, CRL, TSL для размещения информации в сетевую папку веб-сервера

Объем данных, которые будут размещаться на веб-сервере составит около 45 мб (по состоянию на конец 2015 г)

около 2,5 мб – вспомогательный реестр,
около 10 мб – реестр TSL,
остальное – около 3 тыс. файлов с сертификатами и CRL.

Плагин может быть настроен на отправку по электронной почте уведомления о возникших в ходе работы ошибках и предупреждениях. Рекомендуется указание соответствующих данных в настройках плагина.

В плагине имеется возможность настройки на загрузку данных из сети Интернет через прокси-сервер.

Внимание

При работе через прокси сервер не гарантируется стабильная работа плагина.

5.3.1.Входные параметры

Перечень входных параметров соответствует перечню настроек плагина.

Любой параметр, указанный в настройках, может быть переопределен при запуске плагина в http-запросе. В случае, если параметр не указан при вызове плагина – используется значение, заданное в настройках плагина.

5.3.2.Режимы работы

Плагин может работать в двух режимах:

загрузка реестра TSL и обновление crl;
только обновление crl.

Рекомендуется настройка периодического запуска плагина через планировщик в разных режимах, например:

загрузка реестра TSL и обновление crl – 1 раз в 2 дня;
только обновление crl – каждые 6 часов.

Настройка запуска по расписанию

Для выполнения плагина по расписанию требуется добавить команду в стандартный планировщик заданий, которая будет обращаться по url к этому плагину

Для запуска загрузки реестра TSL и обновление crl

http://localhost:3573/downloadplugin/load?download_mode=0

Для обновления CRL

http://localhost:3573/downloadplugin/load?download_mode=1

Для обращения по url может использоваться скрипт на языке powershell (работает на powershell версии 3.0 и выше. для Windows 7sp1/2008 – необходимо поставить отдельным пакетом):

Powershell Invoke-WebRequest http://localhost:3573/downloadplugin/load?download_mode=0 -TimeoutSec 1200

5.3.3.Формирование нескольких централизованных хранилищ

В настройках плагина имеется возможности:

ограничения обрабатываемых реестровых номеров аккредитованных УЦ
формирования нескольких хранилищ, содержащих различные наборы сертификатов
указания параметров выполнения при запуске плагина

Указанные возможности могут быть использованы для выделения нескольких групп компьютеров, например:

группа, которая работает с полным набором аккредитованных УЦ, содержащая полный реестр аккредитованных УЦ, все их сертификаты и CRL (например, на которых выполняется прием отчетности)
одна или несколько групп, которые работают с ограниченным набором аккредитованных УЦ, содержащая ограниченный набор сертификатов и CRL (например, на которых выполняется работа только с УЦ ОПФР, а также ограниченным набором УЦ-контрагентов)

Внимание

Рекомендуется сформировать несколько хранилищ, т.к. хранение и обработка на компьютере всех сертификатов и CRL всех аккредитованных УЦ является крайне ресурсоемкой операцией

В случае применения нескольких хранилищ в настройках их загрузки должны различаться параметры:

baseUrl
targetUploadPath
CARegistryNumbers

В случае применения нескольких хранилищ в настройках их загрузки могут различаться параметры:

fileCertUrls
fileCrlUrls
fileCheckConfig

5.3.3.1.Пример настройки двух групп

Обработка и загрузка полного реестра

Параметры

baseUrl = http://CryptoPlusUpdateServer/full
target_upload_path = C:reestr_full
CARegistryNumbers

Для запуска загрузки реестра TSL и обновление crl

http://localhost:3573/downloadplugin/load?download_mode=0″&»baseUrl=aHR0cDovL0NyeXB0b1BsdXNVcGRhdGVTZXJ2ZXIvZnVsbA==»&»target_upload_path=QzpccmVlc3RyX2Z1bGw=»&»c_a_registry_numbers=

Для обновления CRL

http://localhost:3573/downloadplugin/load?download_mode=1″&»baseUrl=aHR0cDovL0NyeXB0b1BsdXNVcGRhdGVTZXJ2ZXIvZnVsbA==»&»target_upload_path=QzpccmVlc3RyX2Z1bGw=»&»c_a_registry_numbers=

обработка и загрузка ограниченного количества реестровых записей

Параметры

baseUrl = http://CryptoPlusUpdateServer
target_upload_path = C:reestr_partial
CARegistryNumbers = 320

Для запуска загрузки реестра TSL и обновление crl

http://localhost:3573/downloadplugin/load?download_mode=0″&»baseUrl=aHR0cDovL0NyeXB0b1BsdXNVcGRhdGVTZXJ2ZXI=»&»target_upload_path=QzpccmVlc3RyX3BhcnRpYWw»&»c_a_registry_numbers=MzIw

Для обновления CRL

http://localhost:3573/downloadplugin/load?download_mode=1″&»baseUrl=aHR0cDovL0NyeXB0b1BsdXNVcGRhdGVTZXJ2ZXI=»&»target_upload_path=QzpccmVlc3RyX3BhcnRpYWw»&»c_a_registry_numbers=MzIw

5.3.4.Работа плагина

инициализуется криптосессия с использованием сертификата, определенного «по умолчанию» в настройках плагина криптосервер (настройка defaultCertificate)

Внимание

Администратору необходимо обеспечить условия для возможности корректной инициализации сессии (доступность и действительность сертификатов, наличие всех необходимых crl, возможность построения цепочки), т.к. в противном случае при попытке инициализации сессии будет получено сообщение об ошибке и работа плагина будет прервана.

выполняется проверка соответствия значения поля CN владельца сертификата значению «Сrypto+ Download Service»

Внимание

Значение поля CN владельца сертификата, с которым работает плагин, должно быть равно Crypto+ Download Service. Указанное значение не может быть переопределено или изменено.

выполняется проверка возможности подписания с помощью сертификата, определенного в настройках

в случае ошибки — прекращение выполнения, администратору направляется уведомление

выполняется функция удаления сессии
загрузка реестра TSL (в зависимости от режима):

в режиме «загрузка из реестра аккредитованных УЦ» – выполняется загрузка реестра TSL из сети Интернет
в режиме «только обновление crl» – реестр TSL загружается из сетевого размещения (централизованного хранилища). В случае отсутствия в нем ранее загруженного реестра выполняется загрузка реестра TSL из Интернет
в случае ошибки — прекращение выполнения, администратору направляется уведомление
выполняется добавление в файл индекса реестров данных о версии реестра TSL

выполняется добавление в файл индекса реестров данных о версии файла конфигурации проверки квалифицированной подписи, указанного администратором в настройках плагина
если указаны конкретные реестровые номера УЦ, то обработка будет происходить только для них.
выполняется обработка записей реестра TSL – для каждой записи УЦ со статусом аккредитации «действует» для каждой записи сертификата (ключа):

выполняется извлечение сертификатов УЦ из реестра TSL
выполняется загрузка CRL данного УЦ путем обращения по каждому url CDP, опубликованному в реестре TSL для данного УЦ
сертификаты и CRL размещаются во временный каталог, в котором создается структура каталогов (краткие названия соответствующих УЦ из реестра TSL), в которые помещаются файлы сертификатов и CRL с именами вида «номер_сертификата.cer» и «идентификатор_ключа_издателя.crl» соответственно

самоподписанные сертификаты подписываются сертификатом «Сrypto+ Download Service», определенным в настройках приложения

данные о сертификатах и CRL сохраняются во вспомогательном реестре
в случае ошибки загрузки CRL — в зависимости от настройки плагина:

данные о CRL добавляются во вспомогательный реестр, не загружая файл CRL
данные о CRL не добавляются во вспомогательный реестр
добавить в свой реестр данные о реестре ГУЦ

выполняется построчная обработка файлов-списков дополнительных сертификатов УЦ и списков отозванных сертификатов УЦ, определенных администратором в настройках плагина:

выполняется загрузка сертификатов и CRL
сертификаты и CRL размещаются во временный каталог, в котором создается каталог «Дополнительные УЦ», в которые помещаются файлы сертификатов и CRL с именами вида «номер_сертификата.cer» и «идентификатор_ключа_издателя.crl» соответственно

самоподписанные сертификаты подписываются сертификатом «Сrypto+ Download Service», определенным в настройках приложения

данные о сертификатах и CRL сохраняются в дополнительном разделе во вспомогательном реестре.

инициализуется криптосессия с использованием сертификата, определенного «по умолчанию» в настройках плагина криптосервер
выполняется проверка соответствия значения поля CN владельца сертификата значению «Сrypto+ Download Service»
выполняется проверка возможности подписания с помощью сертификата, определенного в настройках

в случае ошибки — прекращение выполнения, администратору направляется уведомление

вспомогательный реестр подписывается ЭП с использованием сертификата, определенного «по умолчанию» в настройках плагина криптосервер

в случае ошибки — прекращение выполнения, администратору направляется уведомление

выполняется сохранение на определенный в настройках плагина сетевой ресурс по unc-пути:

файла вспомогательного реестра – Registry.xml;
файла ЭП вспомогательного реестра – Registry.xml.p7s;
файла вспомогательного реестра — Registry.2.0.xml
файла ЭП вспомогательного реестра — Registry.2.0.xml.p7s
файла индекса реестров — RegistryIndex.xml
файла реестра TSL – TSLExt.1.0.xml;
файла конфигурации проверки квалифицированной подписи – CheckConfig.xml;
файлов сертификатов и CRL в структуре каталогов;
файлов подписей, сформированных для самоподписанных сертификатов.

по завершении загрузки выполняется отправка письма администратору с указанием количества загруженных/незагруженных CRL, адресов незагруженных CRL, иных ошибках и предупреждениях

В некоторых случаях невозможно выполнить загрузку сертификатов, CRL, TSL при заданных корректных настройках. В журналах ПО присутствует ошибка вида:

ERROR DownloadPlugin.DownloadPlugin — Ошибка при загрузке реестра УЦ
System.Net.WebException: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel. —> System.Security.Authentication.AuthenticationException: The remote certificate is invalid according to the validation procedure.

В этом случае необходимо установить в хранилище Windows сертификат сайта http://e-trust.gosuslugi.ru/CA/DownloadTSL?schemaVersion=0, а также все сертификаты цепочки.

Источник

Если вы видите такую ошибку в своём TLS — клиенте, значит нужно установить «список отзыва» вручную

2. Теперь переходим к процедуре установки «списка отзыва»

Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства:

Электронный бюджет настройка рабочего места

Корневые сертификаты казначейства

Настройка Электронного Бюджета (гост 2012)

Сертификат Континент TLS VPN (гост 2012)

Установка «Континент TLS-клиент» для работы с Электронным Бюджетом (гост 2012)

Установка JinnClient_1.0.3050.0 для подписания документов

Установка eXtended Container

Вход в личный кабинет Электронного бюджета

Возможные проблемы

Электронный бюджет на Windows 11

Континент tls клиент ошибка пакета установщика windows невозможно запустить необходимую dll

Сертификаты сервера «Континент TLS VPN» (lk2012.budget.gov.ru и lk.budget.gov.ru)

Инструкция по установке Континент TLS VPN клиент 2.0.1440

Настройка СКЗИ «Континент TLS VPN Клиент» для работы в Электронном бюджете

Ошибка пакета установщика Windows Континент-TLS 2.0.1440

Ошибка пакета установщика Windows Континент-TLS 2.0.1440

Ошибка пакета установщика Windows Континент-TLS 2.0.1440

Вложения:

Ошибка пакета установщика Windows Континент-TLS 2.0.1440

Вложения:

Ошибка установки КонтинетTLS 0x80070643

Вложенный файл:

Вложения:

Вложения:

«Континент TLS-клиент» (версия 2.0.1440) выдает ошибку «Доступ к конфигурационно

Вложенный файл:

Вложенный файл:

Вложения:

Вложения:

Сбой программы установки Континент TLS Клиент

Не добавляются соединения Континент TLS-клиента

Сертификаты сервера «Континент TLS VPN» (lk2012.budget.gov.ru и lk.budget.gov.ru)

Инструкция по установке Континент TLS VPN клиент 2.0.1440

Настройка СКЗИ «Континент TLS VPN Клиент» для работы в Электронном бюджете

Как настроить континент tsl

Сертификаты сервера «Континент TLS VPN» (lk2012.budget.gov.ru и lk.budget.gov.ru)

Инструкция по установке Континент TLS VPN клиент 2.0.1440

Настройка СКЗИ «Континент TLS VPN Клиент» для работы в Электронном бюджете

Как настроить континент tsl

Подключение к СУФД через Континент TLS.

Если вы видите такую ошибку в своём TLS — клиенте, значит нужно установить «список отзыва» вручную

2. Теперь переходим к процедуре установки «списка отзыва»

Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства:

Электронный бюджет настройка рабочего места

Корневые сертификаты казначейства

Настройка Электронного Бюджета (гост 2012)

Сертификат Континент TLS VPN (гост 2012)

Установка «Континент TLS-клиент» для работы с Электронным Бюджетом (гост 2012)

Установка JinnClient_1.0.3050.0 для подписания документов

Установка eXtended Container

Вход в личный кабинет Электронного бюджета

Возможные проблемы

CRL сертификата сервера не загружен или устарел

Электронный бюджет на Windows 11

Если вы видите такую ошибку в своём TLS — клиенте, значит нужно установить «список отзыва» вручную

2. Теперь переходим к процедуре установки «списка отзыва»

Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства:

Содержание

СПИСОК ТЕРМИНОВ И СОКРАЩЕНИЙ

ОПИСАНИЕ ОПЕРАЦИЙ

Копирование нового сертификата сервера TLS на АРМ пользователя

Замена сертификата сервера TLS в ПО «Континент TLS Клиент»

5.3.1.Входные параметры

5.3.2.Режимы работы

5.3.3.Формирование нескольких централизованных хранилищ

5.3.3.1.Пример настройки двух групп

5.3.4.Работа плагина

Интересное по теме: