• 05.12.2019 10:53
    Всё это странно мягко говоря. О запрете использования Гост-2001 уже давно банеры ...

    Подробнее...

 
 
 

ГИИС «Электронный бюджет» и ГОСТ Р 34.10-2012

NEW! У кого  Jinn не видит контейнер читаем подробности

При использовании сертификатов по ГОСТ Р 34.10-2012 в подсистемах ГИИС «Электронный бюджет», оператором которых является Федеральное казначейство, необходимо:
1. Для аутентификации пользователей на автоматизированном рабочем месте установить СКЗИ «Континент TLS-клиент». Версия 2» и провести настройку в соответствии с инструкцией, размещенной на официальном сайте Федерального казначейства в разделе ГИС - Электронный бюджет - Подключение к системе.
2. В качестве адреса TLS сервера ГИИС ЭБ и доступа в личный кабинет указывать адрес lk2012.budget.gov.ru.

=======

Про Jinn Sign Extension Provider

I

Убедительная просьба админам разместить информацию о том, что Jinn Sign Extension Provider может не до конца установится, если использовать предложенную папку по умолчанию (папка в профиле пользователя)
Я час бился с проблемой, оказывается надо было изменить папку на C:\Program Files\Security Code\ (если х64, то папку C:\Program Files(х86)\Security Code\)
Я пока не понял причину, возможно из-за того что в имени пользователя используется кириллица
P.S. спасибо статье sbis.ru/help/auction/workplace/jinn_pl , так бы еще мучался неизвестно сколько

.....

слишком сложно написано
Просьба написать попроще, например что в пути установки не должно быть кириллицы, например имя пользователя написано по-русски (аля Юзер, Пользователь, Админ и прочее) и используется путь установки предложенный установщиком (в папку профиля пользователя)

II

Параметры командной строки для тихой установки Jinn Sign Extension Provider сразу для всех пользователей Windows (путь можете указать свой, лишь бы он был доступен для всех пользователей):
msiexec /i JinnSignExtensionSetup.msi /qn INSTALLLOCATION="%ALLUSERSPROFILE%\Security Code" ALLUSERS=1

ПРИМЕЧАНИЕ: Командную строку нужно запускать по правой кнопки мыши с выбором "Запуск от имени администратора"

=======

Jinn не видит контейнер

Размер имеет значение (с)

Британские учёные установили
При подписании в ЭБ косяк выявили, если название организации в сертификате ГОСТ 2012 превышает 127 символов, то jinn просто не видит контейнер с таким сертификатом. Решение - конвертация контейнера. Утилита конвертации контейнеров КриптоПро в PKCS#15 в приложении. Инструкция по использованию в архиве. Для работы на рабочем месте должен быть установлен КриптоПро CSP.

Инструкция по созданию носителя от пользователя 7449

УТИЛИТА КОНВЕРТАЦИИ КОНТЕЙНЕРА  

ИНСТРУКЦИЯ ПО СОЗДАНИЮ НОСИТЕЛЯ  

++++

ДОПОЛНЕНИЕ

ОТВЕТ ТЕХПОДДЕРЖКИ УФК

Цитата:

Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки. Для конвертации контейнера PKCS#12 в PKCS#15 есть специальная утилита, для получения обращаться в ТОФК.
1. В компьютере вставлен съемный носитель с сертификатом PKCS#12.
2. Запускаем утилиту конвертации.
3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».
4. Выбираем нужный сертификат и нажимаем «Конвертировать».
5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».
6. В окне Крипто-ПРО повторно указываем пароль ранее и «ОК».
7. Конвертирование завершено успешно, на съемном носителе будет сертификат и ключ в контейнере PKCS#15.
При отсутствии сертификата в jinn плагине при подписании требуется обратиться в отдел ОРСИБИ вашего ТОФК для получения конвертера и инструкции по конвертации контейнера подписи из формата PKCS#12 в PKCS#15.
 
++++++
(Примечание: Ссылка на утилиту выше.)

 ======

Очень плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP

Вернул обратно на своём тестовом стенде КАП 3.7.651 с крипто-провайдером от КБ (куда ж теперь без него?)
На этапе подписи заявки в ЭБ при "поиске носителя" получаем: "Прекращена работа программы визуализации и подписи Jinn-Client"
До этого всё подписывало в ЭБ (Win 10.15063x64)

update:  Ложка мёда в бочку дёгтя: проверяли на win7x32 sp1 такой проблемы нет.

=======

Плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP

Для правильной установки Континент TLS-клиент». Версия 2 придётся удалять КАП. Вычищать следы пребывание КБ CSP утилитой от кода безопасности тынц с параметрами -to из командной строки от администратора. Так же должен стоять криптопро. Тогда ТЛС клиент не будет пытаться установить или обновить свой криптопровайдер. Потом континент ап можно ставить обратно с его криптопровайдером, все работает. Не забываем удалить
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
из реестра.

======

СКЗИ «Континент TLS-клиент». Версия 2  "Доступ к конфигурационному файлу запрещен"

Британские учёные установили, ошибка СКЗИ «Континент TLS-клиент». Версия 2  "Доступ к конфигурационному файлу запрещен" таки связана с недостатком прав. Все установщики запускать через .ехе а не через .msi и от имени администратора. Если это не помогло. смотрим права на ветку реестра [HKEY_LOCAL_MACHINE\SOFTWARE\SecurityCode]

Цитата:

По логам на проблемной машине видно что идёт обращение к ветке [HKEY_LOCAL_MACHINE\SOFTWARE\SecurityCode], и не может получить доступ туда. Проверил права на ветку - кривые, нет права на запись. Можно выдать права, я полечил просто удалив ветку целиком (но у меня и были имитация установки на чистую, без других компонентов КБ). В общем случае, надо пробовать давать права на ветку Еще добавлю - сегодня под обычным пользователем пытался запустить Континент-TLS дал разрешения в реестре, но при запуске так же ошибку выдавал. Дал разрешение на чтение и запись до каталогов:
c:\Program Files\Security Code\
c:\Users\Public\ContinentTLSClient\
Заработало и под обычным пользователем.

new

Обнаружил машину на которой даже после манипуляций с реестром, после установки TLS клиента всё равно вылетала ошибка по доступу. Вылечилось после следующих манипуляций:
1. Через панель управления удалить ВСЕ продукты КриптоПро и Кода Безопасности, перезагрузка
2. Удаление через cspclean (КП)и cspcleaner -to (КБ), перезагрузка,
3. Удаление следов в ProgramFiles, удаление веток [HKEY_LOCAL_MACHINE\SOFTWARE\SecurityCode] и [HKEY_LOCAL_MACHINE\SOFTWARE\Security Code], перезагрузка
4. Установка КриптоПро 4.0 R4 (4.0.9963), перезагрузка
5. Установка TLS клиента 2.0.1440.
После этого заработало. Замечу, что устанавливать клиент лучше через командную строку с параметрами /install /log log.txt. Если в результате установки появился только один log файл - то установка точно прошла с косяком и работать не будет. Если два файла - то скорее всего всё ок. Если три файла - то к TLS клиенту доставился еще и КБ CSP

=======

Если кто задумает "хочу установить все заново"

(взято с форума росказны)

Варианты установки программных продуктов

Вариант 1

Состав программных продуктов:
* КриптоПро CSP или Валидата CSP;
* Jinn-Client;
* TLS-клиент.

Выполните действия в следующем порядке:

1. Установите сторонний криптопровайдер (КриптоПро CSP или Валидата CSP).
2. Установите Jinn-Client. В состав данного продукта входит криптопровайдер "Код Безопасности CSP" версии 3.7, в котором необходимо отменить регистрацию. Загрузите и распакуйте архив по ссылке https://www.securitycode.ru/upload/docu ... gScCSP.zip. Перейдите в папку, соответствующую данной платформе (x86 или x64) и запустите файл unreg_sc_37.reg.
3. Установите TLS-клиент. В состав данного продукта входит криптопровайдер "Код Безопасности CSP" версии 4.0, который не будет установлен. В такой ситуации используется сторонний криптопровайдер.

Вариант 2

Состав программных продуктов:
* КриптоПро CSP или Валидата CSP;
* TLS-клиент.

Выполните действия в следующем порядке:

1. Установите сторонний криптопровайдер (КриптоПро CSP или Валидата CSP).
2. Установите TLS-клиент. В состав данного продукта входит криптопровайдер "Код Безопасности CSP" версии 4.0, который не будет установлен. В такой ситуации используется сторонний криптопровайдер.

Вариант 3

Состав программных продуктов:
* Jinn-Client;
* TLS-клиент.

Выполните действия в следующем порядке:

1. Установите Jinn-Client. В состав данного продукта входит криптопровайдер "Код Безопасности CSP" версии 3.7. © КОМПАНИЯ "КОД БЕЗОПАСНОСТИ"
2. Удалите криптопровайдер "Код Безопасности CSP" версии 3.7.
3. Установите TLS-клиент. Он содержит криптопровайдер "Код Безопасности CSP" версии 4.0, который установится автоматически.

Вариант 4

Отсутствуют сторонние криптопровайдеры (КриптоПро CSP или Валидата CSP) и Jinn-Client.

В данном случае установите TLS-клиент. Он содержит криптопровайдер "Код Безопасности CSP" версия 4.0, который установится автоматически.

Исправление ошибок установки

При нарушении порядка установки выполните действия в следующем порядке:
1. Удалите все программные продукты, входящие в вариант установки.
2. После каждого удаления программного продукта выполните перезагрузку, если она требуется.
3. Установите программные продукты заново в соответствии с описанными вариантами установки.

=======

Для подписания в Электронном бюджете в Mozilla Firefox с помощью Jinn-client 1.0.3050.0, рекомендуется использовать версию от 52.9.0esr и выше, необходимо установленное в браузере расширение Jinn Sign Extension, а также установленный в Windows Jinn Sign Extension Provider версии 1.0.0.5. Во избежание появления в firefox ошибки при подписании:

Не удалось обработать

script

Document.GetElementByID(...).loadCertificates is not a function (TypeError)

необходимо в firefox выполнить следующее:

  1.  В адресной строке firefox ввести about:config
  2. Установить параметры accessibility.delay_plugins = true; accessibility.delay_plugin_time = 90000
  3. В браузере включить плагин Jinn-client (если версия firefox поддерживает плагин - например, как версия 52.9.0esr) и одновременно включить расширение Jinn-client.

Если такая ошибка появилась, то помимо указанных выше настроек необходимо при закрытом firefox удалить, а затем заново установить Jinn sign extension provider версии 1.0.0.5. (Перезагружать компьютер при этом необязательно, куки и кэш желательно удалить).

Так как для браузеров Mozilla Firefox и Google Chrome, в отличие от Internet Explorer 11, при подписании в Электронном бюджете используются ещё расширение Jinn-client и Jinn Sign Extension Provider, то при возникновении ошибок при подписании лучше всего после этого проверять подписание в настроенном для работы в Электронном бюджете Internet Explorer 11.


Извините, но у вас недостаточно прав для комментирования

Комментарии   

0 # Hlopec83 02.12.2019 13:12
КриптоПро 5 кто-то пробовал, возможно она увидит PKCS#15?!
0 # Alex67 02.12.2019 13:36
Цитирую Hlopec83:
КриптоПро 5 кто-то пробовал, возможно она увидит PKCS#15?!

С чего вдруг она должна его увидеть? Ей и с PKCS#12 нормально.
Проблемы джинклиента криптопро не волнуют.
+1 # Ira 05.11.2019 12:26
Еще помощь нужна, Зарегистрирован ные в системе пользователи (не один) заходят в Электронный бюджет - Единая точка доступа системы, во вкладку 1.4 Общие сведения о публично - правовых образования, формирующих и исполняющих бюджет и у них выходит ошибка "Неверный запрос Oracle Access Manager ", во все остальные вкладки пускает...
0 # Gvinpin 05.11.2019 13:13
Если напишете в соответствующей теме, то это прочитает гораздо больше народу и вероятность ответа возрастет.
P.S. Вы имеете в виду ЕПБС?
0 # Ira 11.11.2019 05:56
Да.
0 # Ira 05.11.2019 05:47
Доброе утро! Подскажите пожалуйста, как быть? При входе в личный кабинет Электронного бюджета по ссылке lk2012.budget.gov.ru выскакивает ошибка на Континент TLS клиент (что сертификат сервера не прошел проверку....) и не заходит, после этого приходит перезагружаться .
0 # Gvinpin 05.11.2019 09:17
Есть такая тема: sedkazna.ru/.../.
+1 # craftwr 01.10.2019 05:00
Континент TLS не работает с прокси, просит пароль, потом снова выкидывает окошко с запросом пароля и он его не запоминает. Как исправить?
0 # Curufinwe 02.10.2019 12:32
На двух АРМ (Windows7 и Windows10) мне помогло по совету с данного форума поставить "\" перед именем пользователя в первоначальном окне авторизации прокси
0 # craftwr 03.10.2019 10:28
Домен\имя пользователя - не помогло, при этом я логинюсь из другого домена (домашнего)

Где копать?
0 # Curufinwe 03.10.2019 12:03
Закрытые порты 80 и 443 на данной машине. Внести в исключения антивирусника. Проблем еще много.
0 # craftwr 03.10.2019 12:13
Порты открыты, антивируса нет.
0 # craftwr 08.10.2019 08:32
Сделал костыль, теперь континент ходит, но выдает "Устарел сертификат сервера", а в проксе: 502 bad gateway.

Да они офигели..
0 # craftwr 08.10.2019 10:27
Заработало, но при заходе на страницу "Произошла ошибка в навигации.."
0 # craftwr 08.10.2019 11:06
В общем победил, все заработало, никогда бы не подумал что понадобится опыт "пиратских" подключений.
0 # Curufinwe 08.10.2019 13:01
"Ошибка в навигации" и так появляется - бывает периодически. У меня еще проблема была и в ДалласЛоке - снес его и все заработало.
0 # craftwr 09.10.2019 07:51
Еще вопрос, плагин от крипто-про для броузеров ставить или не нужен?
-1 # Curufinwe 10.10.2019 12:00
cades да, нужен для подписания
0 # craftwr 15.10.2019 04:59
Спасибо, теперь уже все работает как надо.
0 # ovo 29.08.2019 13:21
Добрый день, подскажите пожалуйста, будет ли работать континент электронный бюджет с сертификатами 2012 ГОСТ (К ТЛС 2.0 и т.д.) в виндовс ХР x86. И Совместим ли с Континент АП 3.7 для СУФД.( Ранее и СУФД и Электронный бюджет стояли на одном АРМ с виндовс XP). Стоит ли заморачиваться с установкой, или ставить на другой комп с виндовс 7
+1 # Wmffre 29.08.2019 16:33
Установка Континент TLS клиент 2.0.1440.0 НЕ сможет запуститься на Windows XP SP3.

Континент-АП 3.7.5 полностью совместим с Windows XP SP3. Континент-АП 3.7.7 может установиться на Windows XP SP3 только с бубнами.
0 # ovo 30.08.2019 04:19
спасибо, а на какой лучше виндовс устанавливать Виндовс 7 х32 или х64
-1 # Wmffre 31.08.2019 20:27
Разрядность Windows 7 не играет никакого значения. Главное, чтобы на Windows 7 были установлены последние обновления.
-1 # Alex_04 02.09.2019 10:12
Главное (имхо) - НЕ Home Basic (Домашняя базовая)! Уж на худой случай - Домашняя Расширенная. А /х86 или /х64 - смотрите на мощность проца и главное - количество оперативы. Если 4 Гб - /х86, 8 Гб и более - /х64.
+3 # ranger 05.08.2019 05:29
Подготовка рабочего места для ЭБ (lk.budget.gov. ru и lk2012.budget.g ov.ru). Комплекс программ

sedkazna.ru/.../

программы yadi.sk/d/XUPEObdByfxMbw



Далее проверка на виртуалке:
Win10 x64 1809
UAC - по-умолчанию

Установлен Net Framework 3.5 (я ставил через консоль, но можно установить через компоненты, но потребуется интернет - объем ~80 МБ)
Установлен DirectX 9.0c
Установлен КриптоПро 4.0.9944
Установлен WinRAR 5.61 x64
Установлены компоненты Visual C++ 2005-2008-2010- 2012-2013-2017 x64|x32 (беру отсюда forum.oszone.net/.../)


Далее настройки через портал диагностики контура (help.kontur.ru):
Настроена доверенная зона (компонент AddToTrusted kontur-extern.ru/.../...)
Установлен Capicom
Настроены OID
Установлены сертификаты


Далее из облака с комплексом:
002 Установка сертификатов казначейства (Локально - для всех пользователей)
004 Установка Jinn v1.0.3050 + Key (Локально - для всех пользователей)
005 Установка JinnSignExtensi onProvider v1.1.0.5 (Локально - для всех пользователей)
007 Установка eXtended_Contai ner(xc)_v1.0.2. 2 + Key
008 Континент TLS Клиент 2.0 (tls-client)

Перезагрузка после установки кажлого элемента ОБЯЗАТЕЛЬНА, если об этом пишет установщик! Игнорирование перезагрузки может привести к неработоспособн ости ЛК ЭБ и последующей переустановки всех компонентов!

Результат: все подписывает без проблем в портативной лисе 56 ESR (с установленным расширением джина). Также в лисе установлено расширение для фикса отвала расширений support.mozilla.org/.../...

Возможен конфликт с Континент АП, его необходимо удалить перед установкой вышеуказанных программ. И, если он будет необходим для работы, устанавливать без его МСЭ и криптопровайдер а, запустив инсталлятор с ключами /S /NR /LANG=RU /DO=INSTALL /NMSE /NCSP


ОТДЕЛЬНАЯ ИСТОРИЯ СО СРЕДСТВАМИ АНТИВИРУСНОЙ ЗАЩИТЫ (И ИХ СЕТЕВЫМИ ЭКРАНАМИ)!
Для продуктов Касперского (KFA и обычный антивирус) необходимо добавить адреса и исключения в Дополнительно - Сеть - Настроить исключения и добавить домены ЛК. Для KES скорее всего тоже самое. Для корпоративных продуктов - неизвестно.

Для Dr. Web требуется добавить в исключения сам Континент TLS

Для остальных - пробуем дотавить в исключения адреса ЛК и/или добавить в исключения Континент TLS
0 # ivn 08.07.2019 15:59
Добрый день.
Иду по инструкции:
УТИЛИТА КОНВЕРТАЦИИ КОНТЕЙНЕРА

ИНСТРУКЦИЯ ПО СОЗДАНИЮ НОСИТЕЛЯ
и тут бац пункт
8. Затем открываем программу АРМ генерации ключей в папке код безопасности в меню пуск и нажимаем импорт

Скажите пожалуйста, я в упор не вижу эту программу. Где я её могу скачать???????? ?
0 # Gvinpin 08.07.2019 17:09
Для флешки достаточно просто сконвертировать контейнер, а АРМ генерации понадобится для токена. Для подписания уже должен быть установлен Jinn-Client, АРМ генерации является его подсистемой. Открывается именно так, как в бац пункте 8: Пуск - Все программы - Код безопасности - Jinn - АРМ генерации ключей.
+2 # ivn 08.07.2019 17:37
О какой версии Jinn-Client идет речь,и где её скачать? У меня нет АРМ генерации (( работаю в windows 8.1 x64
Мне нужно сохранить возможность подписывать старым ГОСТом и новым, так как ключи разные, два сотрудника
-1 # Gvinpin 08.07.2019 17:57
Если Jinn-Client не установлен, то нет и АРМ генерации. Для подписания и старым, и новым ГОСТом нужна версия Jinn 1.0.3050, дистрибутив нужно получить в обслуживающем УФК. Для входа в ЭБ по старому и новому ГОСТу нужен Континент TLS 2.0, дистрибутив нужно скачать с сайта разработчика. Но на форуме в категории "Электронный бюджет" можно найти и дистрибутивы, и кучу информации по установке и настройке АРМ.
0 # ivn 08.07.2019 18:05
спасибо за помощь, поделитесь конкретной ссылкой, где что нужно скачать (на сайте разработчика не вижу где что скачать, одно описание только). Jinn клиент стоит (какая версия сейчас не скажу)- ! АРМ генерации - Нет .
0 # Gvinpin 08.07.2019 19:07
Здесь выкладывали полный комплекс программ: sedkazna.ru/.../.
+4 # vetal747 20.06.2019 13:40
Подскажите как в "АРМ генерации ключей" который в папке "Код безопасности" импортировать несколько ключей? Например, при импорте второго сертификата, первый затирается
0 # ovmiev 16.05.2019 07:06
А с etokena можно документы подписывать? У меня на моменте подписи видит только флэшки.
-1 # Alex67 16.05.2019 09:39
Цитирую ovmiev:
А с etokena можно документы подписывать? У меня на моменте подписи видит только флэшки.
так драйвера надо ставить из комплекта джинклиента
0 # System 27.06.2019 10:03
Можно
+4 # redsp263 08.05.2019 06:37
Добрый день, коллеги прошу помочь, при переходе на новый гост 2012, столкнулся с такой проблемой что IE не открывается любая форма, висит "обработка запроса" и все ничего не происходит.
В Google Chrome и FireFox форма открывается но возникает другая проблема при утверждении или подписании, в FireFox могу выбрать сертификат но при нажатии кнопки подписать - ничего не происходит. В Chome не могу выбрать сертификат даже. Уже по инструкции по 10 раз все перенастраивал, не могу понять в чем загвоздка.
0 # System 27.06.2019 10:13
Работает только на IE. Ссылка http:// должна быть, если правильно установлен набор ПО для ЭБ должна форма грузиться
-1 # epn1 04.07.2019 05:53
та же ерунда... Подключаюсь через прокси. Антивирусник отключен. Брэндмауер отключен.
Кто-нибудь ходит через прокси? Хожу через IE-11, Win7, все установки по инструкции.
0 # ranger 08.05.2019 01:28
не было печали...

sedkazna.ru/.../

еще и серт может быть "не такой"!!!
0 # masiushakova 16.04.2019 11:38
Добрый день, коллеги! Прошу дать совет, проблема с подписью на ГОСТ 2012, при подписании пишет ошибку"Программ а Джин-клиент доверенная визуализация и формирование электронной подписи не работает" И в поддержку писала и в скайп и никто помочь не может :cry:
0 # sedkazna 16.04.2019 11:47
Цитирую masiushakova:
... проблема с подписью на ГОСТ 2012, при подписании пишет ошибку"Программа Джин-клиент доверенная визуализация и формирование электронной подписи не работает"
Если вы и в техподдержку так же обращались, то неудивительно что не помогли. Очень мало информации, создайте тему на форуме и опишите проблему подробнее: на какой площадке хотите работать, какая система на компьютере, какие программы для работы с ЭП установлены..?
п.с. А в скайп это куда?
+1 # zoch13 02.04.2019 07:27
Доброго времени суток. Присоединяюсь к счастливым обладателям сертификатов гост 2012. Ситуация такая. Машина новая, Ебюджеха не ситела. При установке всего и вся, воспользовался инструкцией с Росказны. Все по пунктикам, но в конце, после запроса сертификата пишет "Не удается отобразить страницу". Шо я делаю не так, с чем это есть, и как с этим жить. Бухи мой мозг доедают 3ий день. Я так больше не могу..... Win 7 64bit, Браузер IE, прокси не имеем, порты ни где не закрывали.
0 # ranger 02.04.2019 09:25
+1 # vvofk 01.04.2019 13:51
Добрый день! Может у кого-нибудь была такая ситуация - как можно удалить контейнер ключа PKCS#15 с Рутокена после конвертации ?
+6 # jurganov 26.03.2019 03:12
наконец то техподдержка казначейства перестала присылать никчемные ответы, то "делайте всё по инструкции" с добавлением выдержки инструкции по пользованию криптопро и с третьего пинка добавила следующее
Цитата:
Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки. Для конвертации контейнера PKCS#12 в PKCS#15 есть специальная утилита, для получения обращаться в ТОФК. 1. В компьютере вставлен съемный носитель с сертификатом PKCS#12. 2. Запускаем утилиту конвертации. 3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список». 4. Выбираем нужный сертификат и нажимаем «Конвертировать». 5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить». 6. В окне Крипто-ПРО повторно указываем пароль ранее и «ОК». 7. Конвертирование завершено успешно, на съемном носителе будет сертификат и ключ в контейнере PKCS#15. При отсутствии сертификата в jinn плагине при подписании требуется обратиться в отдел ОРСИБИ вашего ТОФК для получения конвертера и инструкции по конвертации контейнера подписи из формата PKCS#12 в PKCS#15.
Теперь хоть чуть чуть приоткрылась завеса тайны над косяками программеров
+1 # DJMix27 21.03.2019 05:36
Здравствуйте! Подскажите один момент в инструкции по конвертации контейнера для того чтоб его видел Jinn описана процедура с использованием носителя eToken PRO Java, проблема заключается в том что у меня Jinn не видит этот носитель хотя Крипто-про его определяет и видит на нем сертификаты, подскажите в какую сторону копать? Jinn 1.0.3050. С обычного USB накопителя все работает нормально.
0 # Gvinpin 21.03.2019 10:01
eToken pki client с дистрибутива Jinn установлен?
0 # DJMix27 21.03.2019 11:58
Да, конечно.
0 # DJMix27 21.03.2019 11:59
Вы имеете ввиду pki?
0 # Gvinpin 21.03.2019 12:35
Да, и именно с дистрибутива Jinn 1.0.3050.
0 # Wmffre 21.03.2019 20:31
Для eToken Pro (Java) и Jinn-Client 1.0.3050.0 необходимо, кроме драйверов eToken PKI, устанавливать ещё Единый клиент Jacarta (JaCartaUnifiedClient_2.9.0.1531_win-x86_ru-Ru.msi (либо JaCartaUnifiedC lient_2.9.0.153 1_win-x64_ru-Ru .msi, если операционная система 64-хразрядная): Смотрите ссылку.
Идёт вместе с дистрибутивом Jinn-Client 1.0.3050.0 в папке prerequisites.
-2 # StrNik 11.03.2019 18:20
если название организации в сертификате ГОСТ 2012 превышает 127 символов, то jinn просто не видит контейнер с таким сертификатом. Решение - конвертация контейнера.
И вы устанавливали ПАРОЛЬ. А вот если генерировать запрос на сертификат с паролем, то ЭБ все ключи видит.
0 # kazak.a 12.03.2019 22:46
Добрый день! Столкнулись с такой же проблемой, контейнер конвертировали. В инструкции выше , проверку нового контейнера проверяли на "Странице тестирования расширения Jinn Sign Extention" подскажите пожалуйста где можно найти такую страницу?
0 # marina81 04.03.2019 08:48
При установки Континент TLS версии 2.0.1440.0 происходит ошибка, что делать помогите
+1 # marina81 04.03.2019 05:28
Подскажите после установки нового сертификата гост2012, при входе в электронный бюджет в раздел Управление расходами- бюджетные обязательства- Сведения о БО не отображаются. Сертификат при входе видит. В чем может быть причина . При входе с адресаhttp://lk 2012.budget.gov .ru/ пишет чтоНе удается отобразить эту страницу

•Убедитесь, что веб-адрес lk2012.budget.gov.ru правильный.
•Найдите страницу с помощью поисковой системы.
•Обновите страницу через несколько минут.
Континент TLS j,обязательно должен быть версии 2.0 у меня версия 1.0.902.0. В данный Континент настроен порт 8080. адрес lk2012.budget.g ov.ru. и сертификат
0 # Wmffre 04.03.2019 07:48
Если собираетесь входить в Электронный бюджет с помощью Континент TLS Клиент, то для сертификата ГОСТ-2012 требуется версия 2.0.1440.0, а старые версии - 1.0.902.0 и 1.0.920.0 - не подойдут.

Инструкция для входа без использования Континент TLS Клиент, с помощью КриптоПро CSP 4.0.9944, написана здесь, но этот вариант не рекомендуется.

Почему по http "Не удается отобразить эту страницу"?) Потому что не настроен прокси 127.0.0.1 и порт 8080 для Континент TLS Клиент 1.0.902.0 в браузере. Но даже, когда настроите прокси в браузере, Вам нужен будет Континент TLS Клиент 2.0.1440.0 для входа по сертификату ГОСТ-2012.
0 # marina81 03.03.2019 10:23
Подскажите после установки нового сертификата гост2012, при входе в электронный бюджет в раздел Управление расходами- бюджетные обязательства- Сведения о БО не отображаются. Сертификат при входе видит. В чем может быть причина
0 # Wmffre 03.03.2019 14:08
Причина в том, что вы входите через Internet Explorer по https:// lk2012.budget.g ov.ru, а нужно входить по http:// lk2012.budget.g ov.ru [без пробела]. Если по http не получается войти, то настройте Континент TLS клиент и браузер по инструкции и входите по http://.
+1 # MotoArhangel 01.03.2019 08:22
На досуге сделал полезную штуку. Мож кому нужно будет(Копируем в *.bat):
+1 # Alex67 08.03.2019 11:01
должно быть так:
start /wait msiexec /i %1 %2 INSTALLLOCATION ="%ALLUSERSPROF ILE%\Security Code" ALLUSERS=1
0 # Innaya 27.02.2019 09:37
Коллеги, подскажите, если выполнить все предложенные манипуляции, и сертификат бухгалтера (ГОСТ 2012) заработает, не будет ли проблем при работе с сертификатом руководителя (ГОСТ 2001)
0 # Alex67 27.02.2019 09:42
Нет.
0 # ranger 22.02.2019 00:25
блок Про Jinn Sign Extension Provider
слишком сложно написано

Просьба написать попроще, например что в пути установки не должно быть кириллицы, например имя пользователя написано по-русски (аля Юзер, Пользователь, Админ и прочее) и используется путь установки предложенный установщиком (в папку профиля пользователя)
0 # alex_78 19.02.2019 16:43
Коллеги, добрый вечер! Второй день пытаюсь настроить доступ в личный кабинет... Прочитал все на нашем форуме, но в настройке не преуспел! В IE11 с http не заходит (как и в mozilla), при входе с https в ie11 видно никаких таблиц, бьюсь об стену... Есть у кого-то идеи, почему mozilla выдает "Прокси-сервер отказывается принимать соединения", в настройках стоит 127.0.0.1 и порт 8080, настройки TLS согласно всем бумажкам из казначейства, установка ПО производилась по инструкции на нашем форуме, все версии ПО соответствую... SOS!!!
+2 # Gvinpin 19.02.2019 16:58
Для начала в mozilla настроить сеть "без прокси".
0 # alex_78 19.02.2019 17:13
Спасибо за ответ! Настроил, но теперь ошибка "Соединение было сброшено".
-1 # Gvinpin 19.02.2019 17:37
Вам ответили в теме sedkazna.ru/.../
-1 # Pavel_P 21.02.2019 05:58
Цитирую alex_78:
Коллеги, добрый вечер! Второй день пытаюсь настроить доступ в личный кабинет... Прочитал все на нашем форуме, но в настройке не преуспел! В IE11 с http не заходит (как и в mozilla), при входе с https в ie11 видно никаких таблиц, бьюсь об стену... Есть у кого-то идеи, почему mozilla выдает "Прокси-сервер отказывается принимать соединения", в настройках стоит 127.0.0.1 и порт 8080, настройки TLS согласно всем бумажкам из казначейства, установка ПО производилась по инструкции на нашем форуме, все версии ПО соответствую...SOS!!!

Была такая же проблема, решилась следующим образом в настройках браузера поставил "без прокси" и так же в настройках антивируса отключил контроль портов 80 и 443 и все стало нормально работать
+1 # Alex67 18.02.2019 16:05
Эм, коллеги, а какая ссылка на административну ю часть ЭБ для ГОСТ 2012?
Если зайти через lk2012.budget.g ov.ru\udu-webce nter и нажать домик начинает требовать серт по ГОСТ 2001
+2 # Gvinpin 18.02.2019 17:34
Эм, а что такое "административн ая часть"? Если это КУБ, то не знаю другого способа, кроме как через IE: lk2012.budget.gov.ru/dcs
0 # naidan19 19.02.2019 04:28
Цитирую Gvinpin:
Эм, а что такое "административная часть"? Если вдруг это КУБ, то не знаю другого способа, кроме как через IE: lk2012.budget.gov.ru/dcs

Спасибо за ссылку, помогло
0 # Alex67 19.02.2019 06:55
Да, я про КУБ. Спасибо.
0 # dsmen 17.02.2019 15:29
Коллеги, есть такая проблема.
Настроил новый ноутбук для работы с гостом 2012.
Установил Крипто-про 4.0.9842+Контин ент TLS 2.0.1440++Jinn 1.0.3050+XC.
В общем все как по инструкции казначейства.
Открываю IE. Вхожу на lk2012.budget.gov.ru/.../. Идет обращение к хранилищу сертификатов. Открывается диалоговое окно выбора сертификата стандартное IE. Выбираю нужный сертификат. Идет обращение к контейнеру. Предлагается ввести Пинкод от него. Ввожу и получаю "Не удается отобразить эту страницу •Убедитесь, что веб-адрес lk2012.budget.gov.ru правильный"
Вход по HTTP также ничего не дает. Выходил в интернет с трех разных каналов связи. Результат один и тот же.
Прошу совета. В чем может быть проблема? Континент TLS не регистрировал.
.
Уточню, что через Mozilla идет обращение к контейнеру, и снова предложение выбора сертификата. И так до бесконечности.

Пока играюсь, дошел до того, что для входа по 2001 госту JINN и XC вообще не нужны. Значит проблема с аутентификацией по 2012 госту по идее с ними не связана.
-1 # Alex67 18.02.2019 07:11
Уточню, что через Mozilla идет обращение к контейнеру, и снова предложение выбора сертификата. И так до бесконечности.
Сертификат точно 2012 ГОСТ?
Похоже, что вы ломитесь в lk2012 с сертификатом 2001 гост
0 # dsmen 18.02.2019 10:23
Сертификат получали в казначействе.
я еще обратил внимание. Установил континент CSP. Через него смотрю содержимое токена. Он видит контейнеры с 2001 гостом - но пишет, что другой криптопровайдер , но не видит контейнеры с 2012 гостом. Сертификаты в них установлены одинаково.
0 # Wmffre 18.02.2019 18:07
В свойствах сертификата пользователя можно увидеть, по какому ГОСТу 2001 или 2012 он сделан.
0 # Wmffre 18.02.2019 18:05
Пожалуйста, проверьте: установлены ли две галочки в КриптоПро CSP 4.0 по инструкции казначейства; также убран ли TLS 1.2 в настройках Internet Explorer 11 и добавлен ли адрес lk2012.budget.g ov.ru в Надежные узлы. Заходить нужно по протоколу http:// lk2012.budget.g ov.ru, а не https://

P.S.: Из документации к Континент TLS клиент 2.0.1440.0:
1) Операционная система: Windows 10 (кроме выпусков Education Edition, Home Edi-tion и Insider Preview); Windows 8.1; Windows 7 SP1 (кроме выпусков Starter и Home Edition).
2) 21. Поддерживается совместимость с СКЗИ "КриптоПро CSP" версии не ниже 4.0.9944.0.
3) Должен быть отключён Secure Boot в BIOS перед установкой Континент TLS Клиент 2.0.1440.0;
4) 4. Перед установкой ПО TLS-клиент должны быть установлены последние обновления ОС Windows.

По идее для входа в ЭБ по сертификату ГОСТ-2012 всё-таки должен быть необходим либо eXtended Container, либо XC (а не только для подписания).
0 # Alex67 17.02.2019 11:09
Очень плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдер ом КБ CSP
Вернул обратно на своём тестовом стенде КАП 3.7.651 с крипто-провайде ром от КБ (куда ж теперь без него?) За это на этапе подписи заявки в ЭБ при "поиске носителя" получаем: "Прекращена работа программы визуализации и подписи Jinn-Client" До этого всё подписывало в ЭБ (Win 10.15063x64)
0 # Alexer81 18.02.2019 06:20
я в КУБе проверял "Континент АП 3.7.7.651 с криптопровайдер ом КБ CSP"
win7x32 sp1 подписалось без ошибок
0 # Alex67 18.02.2019 06:56
Ну, значит одно из трёх -- или это только на win 10 такое, либо на х64, либо я криворукий :)
0 # Alex67 18.02.2019 17:01
Переустановка Криптопро починила подпись в ЭБ , но поломала Континент --- Ошибка получения криптографическ ого контекста.
www.youtube.com/.../
+1 # Alex_04 15.02.2019 10:23
От ОРСБИ узнал такой "нюанс" (извиняюсь, если инфа уже есть где-то на форуме - некогда читать). Проблема: в ЭБ при ЭП jinn не видит КК и серт в нём на флэшке. Причина (как-то выяснили): ТЛС-2.0 при установке подменяет джиновский eXtended Container своим (?), и об этом ни в какой доке ни гу-гу! Выход: в ПУ - Программы и компоненты - удалить eXtended Container - перезагрузка - запустить установщик Jinn-Client_1.0 .3050 от им. админа и установить этот компонент. Вывод: джина желательно ставить (переустанавлив ать) после ТЛСа. :sigh:

P.S: в тексте темы (вверху) по ссылке УТИЛИТА КОНВЕРТАЦИИ КОНТЕЙНЕРА скачивается та же ИНСТРУКЦИЯ ПО СОЗДАНИЮ НОСИТЕЛЯ - поправьте, плииз. :-) Утилита очень даже может пригодиться.
P.P.S: сейчас уже всё в поряде - СПАСИБО! :-)
+2 # Alex67 15.02.2019 11:44
Да всё он видит.
Только надо в окне "Поиск носителя....." нажать "Отмена" и увидим окно выбора носителей.
Заколебал этот джин: подписывать надо, а он принимается целостность свою проверять....
0 # naidan19 15.02.2019 07:01
Цитирую Wmffre:
В Internet Explorer 11Сервис - Свойства браузера - Безопасность - Надежные узлы - Сайты - убрать галочку "Для всех сайтов этой зоны требуется проверка адресов (https:)". Далее добавьте адреса:
1) lk2012.budget.gov.ru (начинается на http://)
2) lk2012.budget.gov.ru (начинается на https://)

Сделал как Вы сказали все равно пишет, что не удалось отобразить станицу (убедитесь что веб-адрес lk.budget.gov.ru правильный, хотя я захожу на lk2012.budget.gov.ru/ корневой сертификат подгружен
0 # naidan19 14.02.2019 08:34
Доброго времени суток!!! Подскажите пож-та, ситуация следующего образа. зашел в личный кабинет по сертификату госта 2012, т.е. установку и настройку jinn client в. 1.0.3050.0 и TSL (зарегал) в. 2.0.1440.0. сделал, а вкладки в формулярах не заходит (во ВСЕ) пишет не возможно отобразить страницу, (хотя находясь в личном кабинете и кнопка меню присутствует) убедитесь, что веб-адрес lk.budget.gov.ru правильный, хотя сам захожу по адресу lk2012.budget.gov.ru. Эксплоер пишет, что "Отображать только безопасное содержимое". где сделать настройки, чтобы вкладки начали открываться
0 # Wmffre 14.02.2019 18:11
Посмотрите рекомендацию по ссылке: sedkazna.ru/.../
0 # naidan19 15.02.2019 01:05
Цитирую Wmffre:
Посмотрите рекомендацию по ссылке: sedkazna.ru/.../

Цитирую Wmffre:
Посмотрите рекомендацию по ссылке: sedkazna.ru/.../

не помогло
0 # Wmffre 15.02.2019 01:39
В Internet Explorer 11Сервис - Свойства браузера - Безопасность - Надежные узлы - Сайты - убрать галочку "Для всех сайтов этой зоны требуется проверка адресов (https:)". Далее добавьте адреса:
1) lk2012.budget.gov.ru (начинается на http://)
2) lk2012.budget.gov.ru (начинается на https://)
0 # Wmffre 05.02.2019 16:16
НЕОФИЦИАЛЬНО можно скачать дистрибутив Continent TLS Client 2.0.1438.0 с файлообменника Кода Безопасности и целых 14-ть дней пользоваться без лицензии, а затем всё равно потребуется ввести лицензию - без неё после этого работать не будет. Официальная инструкция по настройке Континент TLS клиент 2.0 здесь.
+1 # Wmffre 07.02.2019 16:11
Версию Continent TLS клиент 2.0.1440.0 можно скачать отсюда.
+1 # Alex67 01.02.2019 10:05
При установленном СryptoPro если использовать IE возможно обойтись без «Континент TLS-клиент». Версия 2» Цитата:
Криптопровайдер КриптоПро CSP позволяет осуществлять вход и работу в ГИИС «Электронный бюджет» посредством использования протокола «https» и веб-обозревателя Internet Explorer. Для работы в Личном кабинете Электронного бюджета по протоколу «http», а также в браузерах, отличных от Internet Explorer, необходима дополнительная установка СКЗИ «Континент TLS VPN Клиент» (раздел 3.13).
+3 # creat1ve.brsk 05.02.2019 10:39
Не совсем верно, либо не для всех. Ибо на копьютере с установленным Крипто Про 4.0 (разных сборок, протестировано от R2 до R4), при входе по lk2012.budget.gov.ru не отображаются формы, никакие. Ни справочники, ни формирование и предоставление отчетности.
0 # Alex67 06.02.2019 17:24
Уточняю --- так работает административна я часть (там где регятся заявки на подключение к ЭБ).
А в остальной части с формами бяда.........
0 # Alex_04 13.02.2019 05:23
Цитирую creat1ve.brsk:
при входе по lk2012.budget.gov.ru не отображаются формы

Уточните, плиз, для полной ясности:
- по lk2012.budget.gov.ru только по серту гост-2012 беда с формами?
- по сертам гост-2001 входите по lk.budget.gov.ru и там всё норм?
0 # Alex67 13.02.2019 06:09
Если пытаешься обойтись только Криптопро и ИЕ как написано в инструкции и ходить по протоколу HTTPS то с формами везде беда и в 2012 и в 2001.
При этом административна я часть ЭБ (там где регятся заявки на подключение к ЭБ). работает и подписывает нормально, так что регистратор может обойтись, а остальным надо ставить полный комплект и джин и тлс.....
0 # Alex_04 13.02.2019 13:18
Цитирую Alex67:
Если обойтись только Криптопро и ИЕ и ходить по протоколу HTTPS то с формами везде беда и в 2012 и в 2001.

Зашибизззь... По lk.budget.gov.ru под старыми сертами г-2001 и со старым TLS-1.0.x даже всё норм, пока... Потому не тороплюсь радовать клиентов о поджидающих прелестях дружбы ЭБ с г-2012... да и личек на ТЛС-2.0 нету до сих пор. М.б. к моменту получения ими новых сертов г-2012 устаканится уже наконец ПО л/к ЭБ?
0 # StrNik 11.03.2019 18:24
Заходить нужно
lk2012.budget.gov.ru
и ждать когда форма ОБРАБОТАЕТЬСЯ (20-30 сек)
+1 # sandrey_ 08.02.2019 11:45
В текущей инструкции это пункт 3.14. Или тут вторая строка в таблице.

Но это не работает. Даже для ГОСТ-2001. То есть вход осуществляется, по меню бегать можно, а вот списки документов (любых) не отображаются. (Потому что форму со списком документов сайт пытается подгрузить по протоколу HTTP, а не HTTPS и у него, конечно же, ничего не выходит.)

Короче авторы этой инструкции нас, мягко говоря, обманули.
А жаль.
Так хотелось избавиться от Континент TLS'а и JinnClient'а...
+2 # Alex_04 08.02.2019 14:38
Цитирую sandrey_:
Потому что форму со списком документов сайт пытается подгрузить по протоколу HTTP, а не HTTPS и у него, конечно же, ничего не выходит.

Возможно Вы правы, что причина именно в этом. :sad: Писатели Руководства не проверили на деле свои рекомендации? :cry:
Цитата:
Так хотелось избавиться от Континент TLS'а и JinnClient'а...
От первого - возможно "да", но от второго - наврятли: он подписывает, куда ж без этого...

P.S: Руководство по настройке АРМ для ЭБ сегодня обновилось на оф. сайте ФК в разделе "ГИС - Электронный бюджет" (roskazna.ru/.../...).
-1 # sandrey_ 08.02.2019 16:57
Как это куда без JinnClient'a?
Как и написано в двух ссылках, что я привел, - подписывать будет КриптоПро ЭЦП Browser Plugin.

А в обновленном руководстве, в обсуждаемой здесь части (пункт 3.14), изменений нет (они там выделены желтым, в пункте 3.13, например).
0 # Alex67 09.02.2019 07:16
Зато там "выделено жёлтым" это:
Если на АРМ пользователя также установлен криптопровайдер Код Безопасности CSP, то перед началом установки новой версии Континент TLS Клиента требует ся удалить данный криптопровайдер

Новое на форуме

Новые комментарии

  • Alex_04 05.12.2019 10:53
    Всё это странно мягко говоря. О запрете использования Гост-2001 уже давно банеры орут в той же ФЗС ...

    Подробнее...

     
  • Alex67 05.12.2019 09:35
    Переведите дату на компе на 2020 и узнаете, будет ли апокалипсдец, что зря переживать ?

    Подробнее...

     
  • silentdante 05.12.2019 09:20
    В регионах обычные годовые сертификаты уже переизданы, вот только большинство по 2001 госту. Наш ...

    Подробнее...

     
  • Alex_04 05.12.2019 04:13
    Возможно "центр" так же думает, однако "на низах", возможно, думают иначе, потому и не "догадываются".

    Подробнее...

     
  • Wmffre 04.12.2019 14:12
    Некоторые клиенты СУФД уже сейчас стали переходить на работу в Электронном бюджете. Поэтому сертификаты ...

    Подробнее...

     
  • Alex67 04.12.2019 13:24
    В регионах где обычные годовые сертификаты КАП они и так все будут переизданы на ГОСТ 2012 до конца этого ...

    Подробнее...

     
  • Alex_04 04.12.2019 13:17
    А вопрос действительно интересный: если "Alex67" прав, то это ж...есть, ибо от ОРСБИ до сих пор нет ...

    Подробнее...