Континент-АП

Alex_04 пишет: Шедеврально!

заменить адрес сервера в настройках континента 3.7.5.514 на доменное имя. Windows 7 64 разрядная. Крипто про 4.0.9944.

краткое содердание:
А пробовали заменить Крипто про на версию помладше?
подробный ответ, почему именно эта версия как нормально живущая с криптопровайдером от КБ

Елена Соленова, [15.09.18 12:49]
[В ответ на Alex67 Alex67]
пичалька.
просто работу АП 3.7 именно с данным КриптоПРО мы не смотрели и кто там кому подсирает, неизвестно. Я сейчас не уверяю, что ошибка не подключения по доменному имени именно в КП.
Пусть попробую на каком-нить одном АП прописать в хосты и посмотреть - подключится ли или нет.

ПРОБУЕМ, ОТПИСЫВАЕМ В ТЕМЕ!

Естественно зависеть от ответа DNS - дополнительный неучтенный фактор, но.... мне кажется это просто ТУПО прописывать доменное имя в хостс когда одновременно меняешь айпи на доменное имя. Даже если избавляться от неучтенного фактора, лучше прописать на шлюзе Интернета, а не в хостс.

Ситуация, когда прописывание в хостс на мой взгляд удобно: если надо прописать несколько адресов (допустим 3 адреса для распределения нагрузки), а поле адреса в программе одно, так как из хостс они все 3 считаются по одному доменному имени и будут перемешиваться согласно стандартам DNS (треть соединений уйдет на первый, треть на второй, треть на третий). Однако такое перемешивание не очень подходит для защищеных соединений, так как защищенное соединение устанавливается с конкретным адресом.

У нас 6 сентября настраивал континент по доменному имени (бухгалтерия паниковала вдруг с 7-го перестанет работать), версия 3.5.71 отказалась соединяться, так что заменил континент на 3.7.7 (651 кажется) с отключением криптопровайдера и межсетевого экрана, указанием папки в командной строке, тремя перезагрузками, он тоже немного покапризничал (при внимательной проверке оказалась опечатка в слове roskazna), потом повисел до-о-о-ольше чем обычно (видимо имя в айпи разрешалось), но в итоге соединился по доменному имени. В следующий раз соединилось примерно как обычно, видимо кэш ответов DNS сработал. КриптоПро 4.0.9944, win7.

Итого: хоть они и не тестировали 9944 и 3.7, но сочетание работает. Дело опять в (не)совместимости версий, выдаваемых ФК. Выходит, что получаем диск только для "положения в сейф", а работать приходится на совсем других версиях. Печально.

Alex67 пишет: заменить адрес сервера в настройках континента 3.7.5.514 на доменное имя. Windows 7 64 разрядная. Крипто про 4.0.9944.
А пробовали заменить Крипто про на версию помладше?

Примерно у половины клиентов была казначейская КриптоПро-4.0.9842. Об успешной связке её с КАП-3.7.5.514 при подключении по DNS имени писал в этом посте.

two_oceans пишет: Дело опять в (не)совместимости версий, выдаваемых ФК.

КП-4.0.9842 начали выдавать с 2017 года. На тот момент именно она являлась сертифицированной ФСБ. И о критических траблах с КАП-3.6/7 не припомню, чтоб кричали на всех форумах.
Пока не наступили всем на горло уже более чем через год следующие новшества:
а) 1 июля (августа - пардон за ошибку) 2018 - новое ПО л/к ЕИС (v.8.х), потребовавшее обновления КП до версии 4.0.9944 минимум;
б) сентябрь 2018 - переход на DNS имя в КАП, потребовавший его обновления до версии 3.7.хз...
Н-да, ЦАФКу явно не хватает еще одного управления (анэнэрба) провидцев, чтоб предугадывали: а что там будет через годик-два или лет так через ...дцать, чтоб правильные версии ПО всем дать сейчас???

Вот что пишут разработчики по поводу контрольных сумм:



ngc /b вроде пересчет КС, но внешне не заметно.....

Alex_04 пишет:

two_oceans пишет: Дело опять в (не)совместимости версий, выдаваемых ФК.

КП-4.0.9842 начали выдавать с 2017 года. На тот момент именно она являлась сертифицированной ФСБ. И о критических траблах с КАП-3.6/7 не припомню, чтоб кричали на всех форумах.

Не, дело в пользователях с ихней Win X, однозначно.
Когда казна выдавала КАП 3.5 и Крипту 3.0 шумели "семёрочники" (требуя Криптопро 3.6), теперь "десяточники".....

Alex67 пишет: Вот что пишут разработчики по поводу контрольных сумм:

ВНИМАНИЕ: Спойлер!

Anton, [06.08.18 12:22]
[В ответ на Evgeniy Korin]
ngc /b надо запустить просто после обновления

А перевести на понятный простым пользователям язык смысл данной команды они не могли бы?

Alex67 пишет: дело в пользователях с ихней Win X, однозначно.

Ну про эту адскую смесь в соответствующей теме форума СУФД + Windows 10 изначально и постоянно говорят: под 10-й работа КП и КАП - сущий мазохистский эксперимент на свой страх и риск с обязательным элементом везения.
А из этого поста two_oceans явно следует вывод о неработоспособности казначейских версий КП и КАП на всех ОСях, имхо...

Alex67 пишет:

Alex_04 пишет:

two_oceans пишет: Дело опять в (не)совместимости версий, выдаваемых ФК.

КП-4.0.9842 начали выдавать с 2017 года. На тот момент именно она являлась сертифицированной ФСБ. И о критических траблах с КАП-3.6/7 не припомню, чтоб кричали на всех форумах.

Не, дело в пользователях с ихней Win X, однозначно.
Когда казна выдавала КАП 3.5 и Крипту 3.0 шумели "семёрочники" (требуя Криптопро 3.6), теперь "десяточники".....

two_oceans пишет: мне кажется это просто ТУПО прописывать доменное имя в хостс когда одновременно меняешь айпи на доменное имя. Даже если избавляться от неучтенного фактора, лучше прописать на шлюзе Интернета, а не в хостс.

Ну, один из написавших сюда, что "не работает по имени" сознался, что у него kerio, что у второго -- неизвестно, может это антивирус (к примеру тот же аваст) бушует.
Что бы было "остро", а не "тупо" ---- господа сисадмины связывайтесь с разрабами, прикладывайте логи Континента, ваших антивирусов и фаерволов.
А пока этого нет вам предложено "универсальное" решение -- "не работает по имени --- впишите в хостс"

two_oceans пишет: Выходит, что получаем диск только для "положения в сейф", а работать приходится на совсем других версиях. Печально.

И на совсем других ОС. И что бы при этом были и локалка, и интернет --- хотя какой может быть интернет при установке защищённого соединения?
Был бы это банк, а не казначейство --- стоял бы у вас выделенный аттестованный АРМ обмена под Win7 и ничего лишнего

А из этого поста two_oceans явно следует вывод о неработоспособности казначейских версий КП и КАП на всех ОСях, имхо...

Не могу понять что не так с совместимостью. 41 учреждение перешло на КАП 3.7.5.474. Где-то 3/4 учреждений с КП 4.0.9842. Всё работает. ОС - xp, 7, 8.1
Не спорю, не всегда установка проходила гладко (тут ОГРОМНОЕ спасибо этому порталу и участникам), но именно о несовместимости казначейских версий КАП и КП, я бы говорить не стал, ИМХО.

Pola пишет: Здравствуйте. Опять обратились ко мне за помощью . Нужно заменить адрес сервера в настройках континента 3.7.5.514 на доменное имя. Windows 7 64 разрядная. Крипто про 4.0.9944. Со старым адресом не было и нет никаких проблем, но стоит только поменять адрес на доменное имя, так сразу выдается ошибка 651 "Модем или другое устройство связи сообщило об ошибке". Может кто-то сталкивался? Подскажите где смотреть

Ничего Вам не поможет, кроме переустановки оси в чистую. Уже пройденный этап. Результат - организация приобрела новый системник, избавившись от тормозов старого, но рабочего железа десятилетней давности.

HappyHyman пишет: Не могу понять что не так с совместимостью.

Вот напишешь сейчас: "Размер Радиус кривизны рук имеет значение" - опять обидятся

Alex67 пишет: Когда казна выдавала КАП 3.5 и Крипту 3.0 шумели "семёрочники" (требуя Криптопро 3.6), теперь "десяточники".....

Ах да, было такое, склероз мне в печень... вобщем как ни угождай клиентам - всё равно будут считать халявное казначейское ПО СКЗИ негодным (и казначеев негодяями заодно). Так походите по базару и найдите лучшее... за деньги.

Alex_04 пишет:

two_oceans пишет: Дело опять в (не)совместимости версий, выдаваемых ФК.

КП-4.0.9842 начали выдавать с 2017 года. На тот момент именно она являлась сертифицированной ФСБ. И о критических траблах с КАП-3.6/7 не припомню, чтоб кричали на всех форумах.
Пока не наступили всем на горло уже более чем через год следующие новшества:
а) 1 августа 2018 - новое ПО л/к ЕИС (v.8.х), потребовавшее обновления КП до версии 4.0.9944 минимум;
б) сентябрь 2018 - переход на DNS имя в КАП, потребовавший его обновления до версии 3.7.хз...
Н-да, ЦАФКу явно не хватает еще одного управления (анэнэрба) провидцев, чтоб предугадывали: а что там будет через годик-два или лет так через ...дцать, чтоб правильные версии ПО всем дать сейчас???

Ну пожалуйста не надо додумывать половину того, чего я по Вашему мнению считаю. Я вроде бы не написал в цитате именно про совместимость между КП и К-А. КП и Континент TLS несовместимы на 100% с серверным ПО Казначейства, К-АП с сертификатами прочих УЦ. И от версии операционки в этих случае ни сколько не легче. Да, на некоторых операционках еще сложнее, но чтобы легче - не заметил.
Про 9842 согласен, была шикарная версия до 2 июля 2018, когда обновился ЕИС и выявил какую-то ошибку КП, приводящую к падению операционки. Наверно не нужно напоминать, что оператором ЕИС является кто? Федеральное казначейство, которое не могло заранее протестировать совместимость выдаваемого КП с со своим же порталом.Что характерно с другими сайтами 9842 не падает, значит дело в каком-то специфическоп ПО на сервере ЕИС. Где-то я соврал про КП и ЕИС?

Про континент TLS тоже все помнят квест угадай какая версия совместимая с сервером, отмечу что проблема как раз с той частью ЭБ, которая на серверах Казначейства. И работает по факту только старая версия с истекшим сертификатом или несертифицированная новая. И что некоторые сертификаты так и неизвестно по какой причине просто не работают. Где-то я соврал про континент TLS?

Про то что К-АП исправили ошибку реагирования на кавычки и т.д. в чужих сертификатах писали выше. И что казначейство раздает не финальную версию где исправлено, а версию с ошибкой. Про баг с правкой реестра из-за криптопровайдера КБ помним? Где-то я соврал про К-АП?

Негодяями я тоже никого не называл, но дальновидности где-то там наверху ФК мягко говоря не хватает. Так что да, я бы всеми руками и ногами за "управление провидцев" в ЦАФК, ну или хотя бы управление тестеров. Это относится не только к казначейству, но уже тошнит от ГИС/ГАС, которые ставят тесты на всей стране. Про десятку без комментариев - это мазохизм даже без ПО от Казначейства. Вывод, что 3/4 работали и все было гладко... ну да, гладко после того, как большинство из них зашло на этот форум (так что спасибо дорогим форумчанам и создателю форума персонально) и выполнило все по инструкциям. А представьте сколько бы Вашего времени освободилось от выстраивания оптимальной последовательности шагов, если бы "управление провидцев" уже все рассчитало заранее. Эх, мечты.

two_oceans пишет: дальновидности где-то там наверху ФК мягко говоря не хватает

Коллега, я скажу больше:

дальновидности где-то там наверху, мягко говоря, не хватает

У нас просто реальный системный кризис управления, когда левая рука не знает, что творит правая. Принцип "разделяй и властвуй" никто не отменял, но последствия этого в ближайшем будущем коснутся разделяющего. Ладно, это лирика, вернёмся к баранцам.
Уже лет 10 трындят о свободном ПО, но госзакупки как требовали ПО наших врагов, так и продолжают требовать. Эпикфейлом для меня этим летом оказалась раздача Крипто не "той системы", что анонсировалось в требованиях к обновлённой версии закупок. Опять же, из-за IE11 приходится уходить на 7 с лицензионной XP. Примеры, наверное, каждый сможет привести.