NEW! У кого  Jinn не видит контейнер читаем подробности

При использовании сертификатов по ГОСТ Р 34.10-2012 в подсистемах ГИИС «Электронный бюджет», оператором которых является Федеральное казначейство, необходимо:
1. Для аутентификации пользователей на автоматизированном рабочем месте установить СКЗИ «Континент TLS-клиент». Версия 2» и провести настройку в соответствии с инструкцией, размещенной на официальном сайте Федерального казначейства в разделе ГИС - Электронный бюджет - Подключение к системе.
2. В качестве адреса TLS сервера ГИИС ЭБ и доступа в личный кабинет указывать адрес lk2012.budget.gov.ru.

=======

Jinn не видит контейнер

Размер имеет значение (с)

Британские учёные установили
При подписании в ЭБ косяк выявили, если название организации в сертификате ГОСТ 2012 превышает 127 символов, то jinn просто не видит контейнер с таким сертификатом. Решение - конвертация контейнера. Утилита конвертации контейнеров КриптоПро в PKCS#15 в приложении. Инструкция по использованию в архиве. Для работы на рабочем месте должен быть установлен КриптоПро CSP.

Инструкция по созданию носителя от пользователя 7449

УТИЛИТА КОНВЕРТАЦИИ КОНТЕЙНЕРА  

ИНСТРУКЦИЯ ПО СОЗДАНИЮ НОСИТЕЛЯ  

=======

Плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP

Для правильной установки Континент TLS-клиент». Версия 2 придётся удалять КАП. Вычищать следы пребывание КБ CSP утилитой от кода безопасности тынц с параметрами -to из командной строки от администратора. Так же должен стоять криптопро. Тогда ТЛС клиент не будет пытаться установить или обновить свой криптопровайдер. Потом континент ап можно ставить обратно с его криптопровайдером, все работает. Не забываем удалить
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
из реестра.

======

СКЗИ «Континент TLS-клиент». Версия 2  "Доступ к конфигурационному файлу запрещен"

Британские учёные установили, ошибка СКЗИ «Континент TLS-клиент». Версия 2  "Доступ к конфигурационному файлу запрещен" таки связана с недостатком прав. Все установщики запускать через .ехе а не через .msi и от имени администратора. Если это не помогло. смотрим права на ветку реестра [HKEY_LOCAL_MACHINE\SOFTWARE\SecurityCode]

Цитата:

По логам на проблемной машине видно что идёт обращение к ветке [HKEY_LOCAL_MACHINE\SOFTWARE\SecurityCode], и не может получить доступ туда. Проверил права на ветку - кривые, нет права на запись. Можно выдать права, я полечил просто удалив ветку целиком (но у меня и были имитация установки на чистую, без других компонентов КБ). В общем случае, надо пробовать давать права на ветку Еще добавлю - сегодня под обычным пользователем пытался запустить Континент-TLS дал разрешения в реестре, но при запуске так же ошибку выдавал. Дал разрешение на чтение и запись до каталогов:
c:\Program Files\Security Code\
c:\Users\Public\ContinentTLSClient\
Заработало и под обычным пользователем.

new

Обнаружил машину на которой даже после манипуляций с реестром, после установки TLS клиента всё равно вылетала ошибка по доступу. Вылечилось после следующих манипуляций:
1. Через панель управления удалить ВСЕ продукты КриптоПро и Кода Безопасности, перезагрузка
2. Удаление через cspclean (КП)и cspcleaner -to (КБ), перезагрузка,
3. Удаление следов в ProgramFiles, удаление веток [HKEY_LOCAL_MACHINE\SOFTWARE\SecurityCode] и [HKEY_LOCAL_MACHINE\SOFTWARE\Security Code], перезагрузка
4. Установка КриптоПро 4.0 R4 (4.0.9963), перезагрузка
5. Установка TLS клиента 2.0.1440.
После этого заработало. Замечу, что устанавливать клиент лучше через командную строку с параметрами /install /log log.txt. Если в результате установки появился только один log файл - то установка точно прошла с косяком и работать не будет. Если два файла - то скорее всего всё ок. Если три файла - то к TLS клиенту доставился еще и КБ CSP

=======

Если кто задумает "хочу установить все заново"

(взято с форума росказны)

Варианты установки программных продуктов

Вариант 1

Состав программных продуктов:
* КриптоПро CSP или Валидата CSP;
* Jinn-Client;
* TLS-клиент.

Выполните действия в следующем порядке:

1. Установите сторонний криптопровайдер (КриптоПро CSP или Валидата CSP).
2. Установите Jinn-Client. В состав данного продукта входит криптопровайдер "Код Безопасности CSP" версии 3.7, в котором необходимо отменить регистрацию. Загрузите и распакуйте архив по ссылке https://www.securitycode.ru/upload/docu ... gScCSP.zip. Перейдите в папку, соответствующую данной платформе (x86 или x64) и запустите файл unreg_sc_37.reg.
3. Установите TLS-клиент. В состав данного продукта входит криптопровайдер "Код Безопасности CSP" версии 4.0, который не будет установлен. В такой ситуации используется сторонний криптопровайдер.

Вариант 2

Состав программных продуктов:
* КриптоПро CSP или Валидата CSP;
* TLS-клиент.

Выполните действия в следующем порядке:

1. Установите сторонний криптопровайдер (КриптоПро CSP или Валидата CSP).
2. Установите TLS-клиент. В состав данного продукта входит криптопровайдер "Код Безопасности CSP" версии 4.0, который не будет установлен. В такой ситуации используется сторонний криптопровайдер.

Вариант 3

Состав программных продуктов:
* Jinn-Client;
* TLS-клиент.

Выполните действия в следующем порядке:

1. Установите Jinn-Client. В состав данного продукта входит криптопровайдер "Код Безопасности CSP" версии 3.7. © КОМПАНИЯ "КОД БЕЗОПАСНОСТИ"
2. Удалите криптопровайдер "Код Безопасности CSP" версии 3.7.
3. Установите TLS-клиент. Он содержит криптопровайдер "Код Безопасности CSP" версии 4.0, который установится автоматически.

Вариант 4

Отсутствуют сторонние криптопровайдеры (КриптоПро CSP или Валидата CSP) и Jinn-Client.

В данном случае установите TLS-клиент. Он содержит криптопровайдер "Код Безопасности CSP" версия 4.0, который установится автоматически.

Исправление ошибок установки

При нарушении порядка установки выполните действия в следующем порядке:
1. Удалите все программные продукты, входящие в вариант установки.
2. После каждого удаления программного продукта выполните перезагрузку, если она требуется.
3. Установите программные продукты заново в соответствии с описанными вариантами установки.

=======


Извините, но у вас недостаточно прав для комментирования

Комментарии   

0 # Alex_04 15.02.2019 10:23
От ОРСБИ узнал такой "нюанс" (извиняюсь, если инфа уже есть где-то на форуме - некогда читать). Проблема: в ЭБ при ЭП jinn не видит КК и серт в нём на флэшке. Причина (как-то выяснили): ТЛС-2.0 при установке подменяет джиновский eXtended Container своим (?), и об этом ни в какой доке ни гу-гу! Выход: в ПУ - Программы и компоненты - удалить eXtended Container - перезагрузка - запустить установщик Jinn-Client_1.0 .3050 от им. админа и установить этот компонент. Вывод: джина желательно ставить (переустанавлив ать) после ТЛСа. :sigh:

P.S: в тексте темы (вверху) по ссылке УТИЛИТА КОНВЕРТАЦИИ КОНТЕЙНЕРА скачивается та же ИНСТРУКЦИЯ ПО СОЗДАНИЮ НОСИТЕЛЯ - поправьте, плииз. :-) Утилита очень даже может пригодиться.
P.P.S: сейчас уже всё в поряде - СПАСИБО! :-)
0 # Alex67 15.02.2019 11:44
так занят, что и личку не читаешь?
Уже чемодан упаковываешь... ..
0 # naidan19 15.02.2019 07:01
Цитирую Wmffre:
В Internet Explorer 11Сервис - Свойства браузера - Безопасность - Надежные узлы - Сайты - убрать галочку "Для всех сайтов этой зоны требуется проверка адресов (https:)". Далее добавьте адреса:
1) lk2012.budget.gov.ru (начинается на http://)
2) lk2012.budget.gov.ru (начинается на https://)

Сделал как Вы сказали все равно пишет, что не удалось отобразить станицу (убедитесь что веб-адрес lk.budget.gov.ru правильный, хотя я захожу на lk2012.budget.gov.ru/ корневой сертификат подгружен
0 # naidan19 14.02.2019 08:34
Доброго времени суток!!! Подскажите пож-та, ситуация следующего образа. зашел в личный кабинет по сертификату госта 2012, т.е. установку и настройку jinn client в. 1.0.3050.0 и TSL (зарегал) в. 2.0.1440.0. сделал, а вкладки в формулярах не заходит (во ВСЕ) пишет не возможно отобразить страницу, (хотя находясь в личном кабинете и кнопка меню присутствует) убедитесь, что веб-адрес lk.budget.gov.ru правильный, хотя сам захожу по адресу lk2012.budget.gov.ru. Эксплоер пишет, что "Отображать только безопасное содержимое". где сделать настройки, чтобы вкладки начали открываться
0 # Wmffre 14.02.2019 18:11
Посмотрите рекомендацию по ссылке: sedkazna.ru/.../
0 # naidan19 15.02.2019 01:05
Цитирую Wmffre:
Посмотрите рекомендацию по ссылке: sedkazna.ru/.../

Цитирую Wmffre:
Посмотрите рекомендацию по ссылке: sedkazna.ru/.../

не помогло
0 # Wmffre 15.02.2019 01:39
В Internet Explorer 11Сервис - Свойства браузера - Безопасность - Надежные узлы - Сайты - убрать галочку "Для всех сайтов этой зоны требуется проверка адресов (https:)". Далее добавьте адреса:
1) lk2012.budget.gov.ru (начинается на http://)
2) lk2012.budget.gov.ru (начинается на https://)
0 # Wmffre 05.02.2019 16:16
НЕОФИЦИАЛЬНО можно скачать дистрибутив Continent TLS Client 2.0.1438.0 с файлообменника Кода Безопасности и целых 14-ть дней пользоваться без лицензии, а затем всё равно потребуется ввести лицензию - без неё после этого работать не будет. Официальная инструкция по настройке Континент TLS клиент 2.0 здесь.
0 # Wmffre 07.02.2019 16:11
Версию Continent TLS клиент 2.0.1440.0 можно скачать отсюда.
+1 # Alex67 01.02.2019 10:05
При установленном СryptoPro если использовать IE возможно обойтись без «Континент TLS-клиент». Версия 2» Цитата:
Криптопровайдер КриптоПро CSP позволяет осуществлять вход и работу в ГИИС «Электронный бюджет» посредством использования протокола «https» и веб-обозревателя Internet Explorer. Для работы в Личном кабинете Электронного бюджета по протоколу «http», а также в браузерах, отличных от Internet Explorer, необходима дополнительная установка СКЗИ «Континент TLS VPN Клиент» (раздел 3.13).
+1 # creat1ve.brsk 05.02.2019 10:39
Не совсем верно, либо не для всех. Ибо на копьютере с установленным Крипто Про 4.0 (разных сборок, протестировано от R2 до R4), при входе по lk2012.budget.gov.ru не отображаются формы, никакие. Ни справочники, ни формирование и предоставление отчетности.
0 # Alex67 06.02.2019 17:24
Уточняю --- так работает административна я часть (там где регятся заявки на подключение к ЭБ).
А в остальной части с формами бяда.........
0 # Alex_04 13.02.2019 05:23
Цитирую creat1ve.brsk:
при входе по lk2012.budget.gov.ru не отображаются формы

Уточните, плиз, для полной ясности:
- по lk2012.budget.gov.ru только по серту гост-2012 беда с формами?
- по сертам гост-2001 входите по lk.budget.gov.ru и там всё норм?
0 # Alex67 13.02.2019 06:09
Если пытаешься обойтись только Криптопро и ИЕ как написано в инструкции и ходить по протоколу HTTPS то с формами везде беда и в 2012 и в 2001.
При этом административна я часть ЭБ (там где регятся заявки на подключение к ЭБ). работает и подписывает нормально, так что регистратор может обойтись, а остальным надо ставить полный комплект и джин и тлс.....
0 # Alex_04 13.02.2019 13:18
Цитирую Alex67:
Если обойтись только Криптопро и ИЕ и ходить по протоколу HTTPS то с формами везде беда и в 2012 и в 2001.

Зашибизззь... По lk.budget.gov.ru под старыми сертами г-2001 и со старым TLS-1.0.x даже всё норм, пока... Потому не тороплюсь радовать клиентов о поджидающих прелестях дружбы ЭБ с г-2012... да и личек на ТЛС-2.0 нету до сих пор. М.б. к моменту получения ими новых сертов г-2012 устаканится уже наконец ПО л/к ЭБ?
0 # sandrey_ 08.02.2019 11:45
В текущей инструкции это пункт 3.14. Или тут вторая строка в таблице.

Но это не работает. Даже для ГОСТ-2001. То есть вход осуществляется, по меню бегать можно, а вот списки документов (любых) не отображаются. (Потому что форму со списком документов сайт пытается подгрузить по протоколу HTTP, а не HTTPS и у него, конечно же, ничего не выходит.)

Короче авторы этой инструкции нас, мягко говоря, обманули.
А жаль.
Так хотелось избавиться от Континент TLS'а и JinnClient'а...
+1 # Alex_04 08.02.2019 14:38
Цитирую sandrey_:
Потому что форму со списком документов сайт пытается подгрузить по протоколу HTTP, а не HTTPS и у него, конечно же, ничего не выходит.

Возможно Вы правы, что причина именно в этом. :sad: Писатели Руководства не проверили на деле свои рекомендации? :cry:
Цитата:
Так хотелось избавиться от Континент TLS'а и JinnClient'а...
От первого - возможно "да", но от второго - наврятли: он подписывает, куда ж без этого...

P.S: Руководство по настройке АРМ для ЭБ сегодня обновилось на оф. сайте ФК в разделе "ГИС - Электронный бюджет" (roskazna.ru/.../...).
0 # sandrey_ 08.02.2019 16:57
Как это куда без JinnClient'a?
Как и написано в двух ссылках, что я привел, - подписывать будет КриптоПро ЭЦП Browser Plugin.

А в обновленном руководстве, в обсуждаемой здесь части (пункт 3.14), изменений нет (они там выделены желтым, в пункте 3.13, например).
0 # Alex67 09.02.2019 07:16
Зато там "выделено жёлтым" это:
Если на АРМ пользователя также установлен криптопровайдер Код Безопасности CSP, то перед началом установки новой версии Континент TLS Клиента требует ся удалить данный криптопровайдер

Новое на форуме

Новые комментарии

  • Alex67 15.02.2019 11:44
    так занят, что и личку не читаешь? Уже чемодан упаковываешь... ..

    Подробнее...

     
  • Alex_04 15.02.2019 10:23
    От ОРСБИ узнал такой "нюанс" (извиняюсь, если инфа уже есть где-то на форуме - некогда читать).

    Подробнее...

     
  • naidan19 15.02.2019 07:01
    Сделал как Вы сказали все равно пишет, что не удалось отобразить станицу (убедитесь что веб-адрес ...

    Подробнее...

     
  • Wmffre 15.02.2019 01:39
    В Internet Explorer 11Сервис - Свойства браузера - Безопасность - Надежные узлы - Сайты - убрать ...

    Подробнее...

     
  • naidan19 15.02.2019 01:05
    не помогло

    Подробнее...

     
  • Wmffre 14.02.2019 18:11
    Посмотрите рекомендацию по ссылке: sedkazna.ru/.../ ...

    Подробнее...

     
  • naidan19 14.02.2019 08:34
    Доброго времени суток!!! Подскажите пож-та, ситуация следующего образа. зашел в личный кабинет по ...

    Подробнее...