× Функционирование и эксплуатация Государственной интегрированной информационной системы управления общественными финансами "Электронный бюджет" (ГИИС ЭБ).

QuickEB - Порядок быстрой настройки Электронного бюджета, ГОСТ 2012

06 март 2020 10:49 - 06 март 2020 10:53 #15547 от FarWinter
Проверка подписания в браузерах через Jinn-Client не заходя в Электронный бюджет
скачать архив
"Тестирование подписания через Jinn-Client.zip" 352,2 Кб
ссылка для скачивания: yadi.sk/d/s6Ccr06aKKE0uw

Инструкция находится в сообщении: "Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ"
пункт 5.0 Тестирование подписания через Jinn-Client

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 апр 2020 13:30 - 25 апр 2020 05:48 #15782 от FarWinter
КриптоПро CSP считает недействительными сертификаты по ГОСТ 2012,
1. Если Континент-АП(с криптопровайдером Код безопасности CSP) установить раньше чем КриптоПро CSP

Так например:
Корневой сертификат - Минкомсвязь России, открыть на просмотр:

Вкладка - Общие:
Целостность этого сертификата не гарантирована, возможно он повреждён или изменён

Вкладка - Состав
Алгоритм подписи: ГОСТ Р 34.11-2012/34.10-2012 256 бит

Вкладка - Путь сертификации:
Этот сертификат содержит недействительную цифровую подпись.

Причина ошибки проверки цифровой подписи и решение под спойлером:
ВНИМАНИЕ: Спойлер!


2.1 Аналогичная ошибка, Если Сертификат пользователя выпущен после 18.02.2020
созданый с использованием нового корневого сертификата УЦ ФК(Действительного с 05.02.2020 по 05.02.2035)

При просмотре сертфиката:

Вкладка - Общие:
Целостность этого сертификата не гарантирована, возможно он повреждён или изменён
Вкладка - Путь сертификации:
Этот сертификат содержит недействительную цифровую подпись.


Причина ошибки проверки цифровой подписи:
На компьютере уже есть установленный
старый корневой сертификат УЦ ФК ГОСТ 2012 (Действительный с 19.11.2018 по 19.11.2033),
(Который может ещё требоваться для сертификатов клиентов ФК по ГОСТ 2012 выпущенных ранее и для работы на некоторых сайтах.),
но не установлен новый корневой сертификат УЦ ФК ГОСТ 2012 (Действительный с 05.02.2020 по 05.02.2035)

Решение:
Установка нового корневого сертификата УЦ ФК (Действительного с 05.02.2020 по 05.02.2035)
его нужно установить вручную или с помощью инсталлятора

Для клиентов Федерального казначейства, которые получали сертификаты после 18.02.2020
созданные с использованием нового корневого сертификата УЦ ФК(Действителен с 05.02.2020 по 05.02.2035)

Можно установить вручную в "Локальный компьютер"-"Промежуточные центры сертификации" , скачав
Сертификат УЦ ФК размещенный на официальном сайте Федерального казначейства .

или

Установить с помощью автоматического инсталлятора
"root_2036 Локальный компьютер (ГОСТ 2012).exe"
ссылки для скачивания:
c Яндекс Диск "root_2036 Локальный компьютер (ГОСТ 2012).exe"
или
с сайта sedkazna.ru файл: "root_2036 Локальный компьютер (ГОСТ 2012).zip"

Устанавливать нужно из под пользователя с правами Администратора
и обязательно запускать файл правой кнопкой мыши - Запуск от имени Администратора

Будет выполнена
Установка корневых сертификатов для ГОСТ 2012
в хранилище сертификатов - Локальный компьютер
Root "Минкомсвязь России" Действующий по {1 июля 2036 г. 15:18:06}
CA "Федеральное казначейство" Действующий по {19 ноября 2033 г. 18:56:01}
CA "Федеральное казначейство" Действующий по {5 февраля 2035 г. 17:02:47}


2.2 Так же без установки нового корневого сертификата УЦ ФК ГОСТ 2012
CA "Федеральное казначейство" Действующий по {5 февраля 2035 г. 17:02:47}

нельзя будет зайти через Континент TLS-клиент по http ссылке
на сайты lk2012.budget.gov.ru и buh2012.budget.gov.ru
Будет ошибка:

Континент TLS-клиент. Ошибка
Федеральное казначейство: Сертификат сервера не прошел проверку. Ошибка: Цепочка сертификатов недействительна

или по https ссылке без Континент TLS-клиента
Будет ошибка в браузере Internet Explorer:

Возникла проблема с сертификатом безопасности этого веб-сайта.

Вложения:
Спасибо сказали: Mann

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 апр 2020 07:00 #15785 от danmadman
Форумчане, а что слышно про новый сертификат lk2012.budget.gov.ru.cer? А то 23.04.2020 его полномочия всё... Окончены

roskazna.ru/dokumenty/gis/elektronnyy-by.../?sphrase_id=3501052

«✘Access Denied✘»©®

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 апр 2020 11:38 #15788 от Beck
Может и появится в скорости сертификат lk2012.budget.gov.ru.cer...
хотя в нём нет необходимости, если осуществлять вход в IE по адресу https://lk2012.budget.gov.ru/udu-webcenter без использования Континент TLS.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 апр 2020 15:09 #15791 от Alex_04

danmadman пишет: а что слышно про новый сертификат lk2012.budget.gov.ru.cer?

Да вроде и раньше особо так задолго о нем не трубили официально нигде -- просто выкладывали новый буквально в предпоследний момент и всё путём. :)


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

13 апр 2020 07:23 - 13 апр 2020 07:23 #15805 от danmadman

Beck пишет: Может и появится в скорости сертификат lk2012.budget.gov.ru.cer...
хотя в нём нет необходимости, если осуществлять вход в IE по адресу https://lk2012.budget.gov.ru/udu-webcenter без использования Континент TLS.


ну не знаю через IE, никогда толком нормально ничего не работало, а подписании вообще промолчу

«✘Access Denied✘»©®

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

17 апр 2020 15:22 #15846 от Beck

danmadman пишет: ну не знаю через IE, никогда толком нормально ничего не работало, а подписании вообще промолчу

Раньше не работало, с конца 2019 года работает и подписывает c помощью КриптоПро ЭЦП Browser plug-in (Jinn тоже подписывает, если кому-то он ещё нужен).

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 апр 2020 05:22 - 20 апр 2020 05:22 #15851 от Alex_04

Beck пишет: Jinn тоже подписывает, если кому-то он ещё нужен.

Нужен не нам (нам они все даром не нужны...), а ЭБу. Вы подтвердаете, что ВСЕМ его подсистемам для ЭП достаточно КП плагина, и Jinn вообще ни в одной не потребуется? (раземеется при входе в л/к по httpS)


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 апр 2020 06:54 #15852 от Alex67

Alex_04 пишет:

Beck пишет: Jinn тоже подписывает, если кому-то он ещё нужен.

Нужен не нам (нам они все даром не нужны...), а ЭБу. Вы подтвердаете, что ВСЕМ его подсистемам для ЭП достаточно КП плагина, и Jinn вообще ни в одной не потребуется? (раземеется при входе в л/к по httpS)

Просто не успевал поставить новому пользователю (МБ) всю эту байду по ЭБ ГОСТ 2012
поэтому ставил только плагин и ярлык https в ИЕ
(Но я его и не предуреждал, что он "особенный")
Пользователь не жаловался.


"Кто людям помогает - лишь тратит время зря. Хорошими делами прославиться нельзя" (с) Шапокляк
Спасибо сказали: Alex_04

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

23 апр 2020 10:32 - 23 апр 2020 12:39 #15900 от FarWinter
Установка Корневых сертификатов ФК ГОСТ 2012 в хранилище сертификатов - Локальный компьютер
и Установка СЕРВЕРНЫХ СЕРТИФИКАТОВ Континент TLS 2.0 в user хранилище ContinentTLSClientServer
ссылки для скачивания:
c Яндекс Диск yadi.sk/d/yjjK4XsNBmpHAA
или
с сайта sedkazna.ru файл: "Установка сертификатов.zip"

Установка Корневых сертификатов ФК ГОСТ 2012
включает в себя новый корневой сертификат
УЦ ФК "Федеральное казначейство" Действующий по {5 февраля 2035 г. 17:02:47}
без него не заходит в lk2012.budget.gov.ru, будет ошибка:

Континент TLS-клиент. Ошибка
Федеральное казначейство: Сертификат сервера не прошел проверку. Ошибка: Цепочка сертификатов недействительна

ВНИМАНИЕ: Спойлер!

Установка СЕРВЕРНЫХ СЕРТИФИКАТОВ Континент TLS 2.0
(с удалением старого Серверного сертификата для ЭБ - lk2012.budget.gov.ru.cer)

ВНИМАНИЕ: Спойлер!

В СЕРВЕРНЫЕ СЕРТИФИКАТЫ Континент TLS дополнительно ставятся сертификаты:
Серверный сертификат для СКИАО - FK2020_cert.roskazna.ru.cer
Серверный сертификат для СКИАО - FK2020_login.roskazna.ru.cer
Это нужно для УФК и ОФК, если они не нужны,
то их можно удалить из SFX архива rar CT-TLS_Server_Certificates_User.exe

или в настройках Континент TLS - Управление сертификатами

После установки новых СЕРВЕРНЫХ СЕРТИФИКАТОВ
в Континент TLS - Управление сертификатами
вкладка СЕРВЕРНЫЕ СЕРТИФИКАТЫ
в колонке "Защищенный сервер" у всех новых будет название "Федеральное казначейство"
их можно различить, если открыть на просмотр (два раза кликнуть мышкой)
Отличаются - "Дополнительное имя субъекта"
Например:
В сертификате - вкладка Состав
Дополнительное имя субъекта:
DNS-имя=buh2012.budget.gov.ru
у другого
DNS-имя=lk2012.budget.gov.ru
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

30 июнь 2020 13:28 #16236 от ivn
Добрый день.
Столкнулся я с этим чудом (такого я еще не видел):
Установил, континет, джино, настроил континент на вот этот адрес buh2012.budget.gov.ru
Открываю в браузере buh2012.budget.gov.ru и если он раньше вообще ошибку возвращал, то теперь он пишет (даёт выбрать ключ, выбираю):
Welcome to nginx!

If you see this page, the nginx web server is successfully installed and working. Further configuration is required.

For online documentation and support please refer to nginx.org.
Commercial support is available at nginx.com.

Thank you for using nginx.

Прошу подсказать, что с этим делать?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

30 июнь 2020 14:21 - 30 июнь 2020 17:39 #16237 от Wmffre

ivn пишет: Thank you for using nginx.

Прошу подсказать, что с этим делать?

Ссылка для входа buh2012.budget.gov.ru/buh2012/ (обязательно "/" в конце), по ней и заходите. А Вы, похоже, что пытаетесь зайти по другой ссылке.

Auto screen capture + mencoder - бесплатные(GPL) программы для создания видео действий пользователя для техподдержки.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

30 июнь 2020 16:26 #16238 от Alex67

ivn пишет: Thank you for using nginx.
Прошу подсказать, что с этим делать?

Видимо просто был глюк.
Тоже успел увидеть
buh2012.budget.gov.ru/buh2012/
сейчас всё ОК


"Кто людям помогает - лишь тратит время зря. Хорошими делами прославиться нельзя" (с) Шапокляк

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

26 фев 2021 10:50 - 26 фев 2021 11:54 #18154 от Alex_04

FarWinter пишет: Проверьте и удалите старые списки отзывов сертификатов, после удаления снова нажать - Скачать CRL.
Удаление списков отзывов сертификатов производится через оснастку КриптоПРО
Пуск - КРИПТО-ПРО - Сертификаты
(Это файл: "C:\Program Files (x86)\Common Files\Crypto Pro\Shared\certs.ru.msc")
Проверить Сертификаты - текущий пользователь и Сертификаты (локальный компьютер)
Доверенные корневые центры сертификации - Список отзыва сертификатов
Промежуточные центры сертификации - Список отзыва сертификатов

Убился после НГ с одним компом клиента -- не обновляются САС автоматом хоть тресни. А без этого TLS-клиент не хочет подключать к СУФД (немного не в тему, но главное -- борьба с CRL).
Чтобы не проделывать каждую неделю вручную всё выше описанное решил воспользоваться Вашим предложением:

есть скрипт для скачивания CRL (Запускать файл ImportCRL_http.bat)
Его можно добавить в планировщик Windows
см. приложенный файл CRL.ZIP

Подкорректировал bat и vbs файлы с учетом реальных на данный момент CRL на оф. сайте росказны (см. CRL_up.zip во вложении).

Проверьте командой ping crl.roskazna.ru

Адрес пингуется.

Может у вас нужно прописать crl.roskazna.ru в файле hosts

Если прописать адрес crl.roskazna.ru в файле hosts, то он становится недоступен, не пингуется.

Но самое неинтересное:
1. Запуск ImportCRL_http.bat ч/з ПКМ - от им. админа - отрабатывается норм, НО все изменения вносятся в хранилище "Промежуточные центры сертификации -- Список отзыва сертификатов" в учетку администратора. Причем так запускать ОБЯЗАТЕЛЬНО и под учеткой админа, иначе см. п.2.
2. Запуск ImportCRL_http.bat под учетной записью НЕ администратора (без ПКМ...) отрабатывается с ошибками, CRL и не удаляются из хранилища, и не устанавливаются: отказано в доступе. Результат в файле "error_CRL_up_user.txt" во вложении.

Не знаю как разбить этот порочный круг, еженедельное удаленное подключение к клиентскому ПК для ручного обновления CRL-ов уже ... :evil:

Может есть еще какие-то идеи/варианты?


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 фев 2021 02:13 - 27 фев 2021 02:35 #18155 от ranger
Alex_04, было подобное, мог входить в ЭБ только после ручного обновления списка отзыва
когда еще в СвР работали через TLS первой версии (1.х)

причину не нашел, после переустановки ОС и правильной последовательности установки сертов и ПО проблема ушла

возможно проблема в неправильной установки корневых и промежуточных сертов - вместо локального компьютера ставили в пользователя

ещё вариант - мешает прокси сервер и/или шлюз, настроенный параноидально

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.