× Функционирование и эксплуатация Государственной интегрированной информационной системы управления общественными финансами "Электронный бюджет" (ГИИС ЭБ).

Перестало пускать в эл. бюджет + остальные гос.сайты по эцп

08 июль 2020 20:36 #16275 от spiritwalker
Доброго времени суток. Не знаю в какую ветку писать, напишу в эту.
Не думал, что после всех "приключений" с электронным бюджетом всё-таки попаду в безысходного положение.
Есть предприятие, где я когда-то настроил доступ к электронному бюджету, бюджетному планированию, гос. закупкам и т.д.
Всё прекрасно работало, периодически менялись сертификаты, переходили на ГОСТ2012, всё вполне успешно.
Последний раз всё работало примерно (такая у меня информация) на прошлой неделе. В итоге сегодня бьют в набат - не работает ни один из перечисленных сайтов.
Эл. бюджет в своём классическом стиле пишет "невозможно отобразить страницу". Бюджетное планирование и остальное из под IE11 пишет "Включите TLS 1.0, TLS 1.1 и TLS 1.2...". Естественно, никакие манипуляции не помогают. Chrome/chromium-gost/firefox
- "empty responce" (для lk2012.budget.gov.ru) или жалуются на несоответствие версий SSL а-ля "ERR_SSL_VERSION_OR_CIPHER_MISMATCH" (для остальных сайтов).
Система Windows 7 x86 sp1, криптопро 4.0.9963, tls-клиент 2.0, jinn-client, все дела.
Все сертификаты (корневые, промежуточные, серверные) - вроде актуальные. Казначейские и 2018, и 2020 года. Цепочки в личных сертификатах - в порядке. Непрозрачное проксирование включал/выключал. Настройки прокси в бразерах, соответственно, тоже перепроверял.
Всю голову сломал. После неудачи с рабочими машинами - поставил для теста всё с нуля на свежую виртуалку (тоже Вин7) из "архива программ" по инструкции. Всё аналогично.
Очень извиняюсь за возможно глупую недоработку с моей стороны (смущает только то, что ещё недавно всё работало нормально). Что-то менялось в последние дни, что могло повлиять на работу?
Ключи, вроде, рабочие. Криптопро видит, в условный mos.ru по ним пускает.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июль 2020 07:31 - 09 июль 2020 07:46 #16281 от gurazor

Включите TLS 1.0, TLS 1.1 и TLS 1.2...

Все цепочки сертификатов построены без ошибок? Если пооткрывать их на просмотр, (в окошке где сведения о сертификате) ОС не ругается ли на какую-либо ошибку?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июль 2020 08:02 #16285 от spiritwalker
Да, всё цепочки беспроблемные (и корневые, и промежуточные сертификаты в них).
И для личных сертификатов, и для серверного сертификата элбюджета.
Меня смущает, что перестали появляться окна выбора сертификата вообще.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июль 2020 08:38 - 09 июль 2020 08:40 #16287 от Alex67

spiritwalker пишет: Меня смущает, что перестали появляться окна выбора сертификата вообще.

1. Ежели в настройках тлс клиента явно указан личный сертификат выбора серта не будет
2. Возможно окно выбора серта позади окна браузера и его не видно, по таймауту возникает именно такая ошибка, попробуйте свернуть окно браузера.
3. Попробуйте указать личный сертификат явно в настройках тлс клиента

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июль 2020 09:06 - 09 июль 2020 09:07 #16291 от gurazor

spiritwalker пишет: ...перестали появляться окна выбора сертификата вообще.

Просмотрите хранилище сертификатов на предмет наличия сертификатов с ошибками (например: указан неправильный алгоритм). Если такие есть - удалите.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июль 2020 12:57 - 09 июль 2020 13:02 #16300 от Alex_04

spiritwalker пишет: Chrome/chromium-gost/firefox
- "empty responce" (для lk2012.budget.gov.ru) или жалуются на несоответствие версий SSL а-ля "ERR_SSL_VERSION_OR_CIPHER_MISMATCH" (для остальных сайтов).

Попробуйте вход из chromium-gost по ссылке https -- для л/к ЭБ (ФК) тогда не будет лишней прокладки в виде ТЛСа, без него должны зайти нормально. Вот тока по lk2012 или просто lk -- ??? как повезет. Наши сегодня в ЭБ по https://lk2012...из chromium-gost работали успешно (тьфу 3 раза!).


Деньги портят людей, но у нас народ хороший в основном.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июль 2020 22:17 - 09 июль 2020 22:27 #16308 от spiritwalker
Специально поставил весь сопутствующий софт на машину с Windows 10 x64... и работает. Через chromium-gost и https во всяком случае.
Остальные проблемные сайты нормально открываются через ie11.
Но вот такой момент - ровно с теми же настройками на виртуальной машине с Windows 7 x86 - не работает ни бюджет (через тот же хромиум-гост), ни то же минфиновское бюджетное планирование через ie11. Настройки идентичны, ну кроме самой версии ОС, её разрядности и virtualbox. Может есть какая-то тонкость при работе с ЭЦП через виртуалку? А то проблематично сейчас доезжать до рабочих машин (на которых стоят именно такие семерки и переставить их возможности нет) и узнать, что дело не в virtualbox. Кроме того, работало же всё неделю назад.
Ну и вдогонку вопрос касаемо гост и https: а есть ли какой-нибудь подвох при работе с эл.бюджетом? При подписи документов - по прежнему ли нужен jinn-client? Ну и будет ли он работать через https?

Всем огромное спасибо!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июль 2020 22:28 - 09 июль 2020 22:49 #16309 от Wmffre
spiritwalker, попробуйте обновить корневые сертификаты Windows, скачиваемые операционной системой с сайта Microsoft, вручную. Для этого скачайте KB2728973 , откройте архиватором rvkroots.exe и разархивируйте оттуда только updroots.exe .

Далее скачайте файлы по следующим ссылкам и поместите их рядом в одну папку с updroots.exe:

www.download.windowsupdate.com/msdownloa...edr/en/authroots.sst
www.download.windowsupdate.com/msdownloa...tedr/en/updroots.sst
www.download.windowsupdate.com/msdownloa...rustedr/en/roots.sst
www.download.windowsupdate.com/msdownloa...tedr/en/delroots.sst
www.download.windowsupdate.com/msdownloa...n/disallowedcert.sst

Далее скачайте и разархивируйте в папку с updroots.exe также следующие файлы:
ctldl.windowsupdate.com/msdownload/updat...r/en/authrootstl.cab
ctldl.windowsupdate.com/msdownload/updat...isallowedcertstl.cab

Далее в командной строке, запущенной от имени администратора, перейдите в папку, где находится updroots.exe и выполните следующие команды:
updroots.exe authroots.sst
updroots.exe updroots.sst
updroots.exe -l roots.sst
updroots.exe -d delroots.sst
updroots.exe -l -u disallowedcert.sst
certutil -addstore -f root authroot.stl
certutil -addstore -f  disallowed disallowedcert.stl
После перезагрузите компьютер и проверяйте.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июль 2020 22:49 #16310 от spiritwalker
Проделал все действия - по-прежнему не пускает с той же ошибкой.
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июль 2020 23:03 - 09 июль 2020 23:23 #16311 от Wmffre

spiritwalker пишет: Проделал все действия - по-прежнему не пускает с той же ошибкой.

Установите все необходимые обновления для Internet Explorer 11 и Windows 7 в следующей последовательности:
  1. KB4474419
  2. Перезагрузить компьютер
  3. KB4490628
  4. Перезагрузить компьютер
  5. KB4539601
  6. Перезагрузить компьютер
  7. KB4562030
  8. Перезагрузить компьютер
  9. Выполнить настройки зоны "Надежные сайты" как для lk.zakupki.gov.ru, куда добавлены необходимые адреса сайтов, так как настройки слетят
  10. Проверить вход
P.S. Все эти перезагрузки необходимы в соответствии с рекомендациями Microsoft для установки обновления KB4539601 к Internet Explorer 11.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 июль 2020 07:32 - 10 июль 2020 12:38 #16314 от gurazor

spiritwalker пишет: ...virtualbox.


Конфликты КриптоПРO и виртуал бокс существуют, сам недавно исправлял реестр, но у меня на работоспособности виртуалбокса сказывалось, на хостовой машине (х64). Может под х86 тоже какие-то тонкости есть, попробуйте погуглить... На сайте криптоПРО где-то должны быть правки реестра.
И обновления, да, правильно советуют. Желательно всю W7 SP1 через интернет обновить.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 июль 2020 16:01 #16320 от spiritwalker
В общем обновление (и указанное в теме, и полное до упора) семерки не помогло.
В силу срочности проблемы - в итоге пришлось давать свой компьютер с win10x64 для сдачи отчётности.
Виртуалка роли не сыграла: пробовал на том же виртуалбоксе ставить Win 10 32-битную - всё работает как часы. Конфликт виртуалбокса с криптопро - да, известная тема, но обходимая.

Короче, я теряюсь в догадках. Кроме мысли о том, что на всех "интересующих" сайтах резко поменялись версии механизмов шифрования, которые семёрка перестала поддерживать. Но это бы какой ор бы уже везде стоял... У Вас же на семерках работает?

Так или иначе, большое спасибо!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 июль 2020 18:51 - 10 июль 2020 18:54 #16321 от Wmffre

spiritwalker пишет: Но это бы какой ор бы уже везде стоял... У Вас же на семерках работает?
Так или иначе, большое спасибо!

Конечно, работает. Корневые сертификаты Windows только пришлось недавно установить вручную.

spiritwalker, из версий - осталось только удалить полностью антивирус (он может мешать ГОСТ-шифрованию), а также установить на Windows 7 Криптопро CSP 4.0.9944, предварительно удалив с помощью cspclean.exe установленную версию Криптопро CSP.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

13 июль 2020 13:08 - 13 июль 2020 13:09 #16322 от sabina
Здравствуйте. Я новичок. на сайт ssl.budgetplan.minfin.ru/bp/# смогла зайти подписать согласие на обработку данных, после этого повторно не могу зайти на сайт электронного бюджета и посмотреть свое соглашение.
Выдает Использование данного типа носителей запрещено настройками криптопровайдера или невозможно для данной операции.
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

13 июль 2020 13:33 #16323 от gurazor

sabina пишет: ...Использование данного типа носителей запрещено настройками криптопровайдера или невозможно для данной операции.

Добрый день! Попробуйте в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters] удалить значение EnabledCarrierTypes

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.