× Функционирование и эксплуатация Государственной интегрированной информационной системы управления общественными финансами "Электронный бюджет" (ГИИС ЭБ).

QuickCG - Порядок быстрой настройки Chromium GOST

20 янв 2021 11:07 - 20 янв 2021 11:29 #17731 от hooddy

Alex_04 пишет:

hooddy пишет: ERR_SSL_PROTOCOL_ERROR. При попытке зайти на lk.budget.gov.ru. Континент не запущен.

Советы отсюда не помогают?
Т.е., если системные дата и время правильные и чистка кэш/куки не помогает, то:
1. В hosts удалить все лишние строки для ЭБ, если раньше таковые были добавлены.
2. В IE очистить SSL.
3. Отключить в CG QUIC Protocol:
в адресную строку chrome://flags/ -> в поиске Experimental QUIC protocol -> справа отключить Disabled -> перезапустить CG.


Вообще ничего не помогло. Перебрал все.
1. в хосте чисто, по дефолту
2. очищал, заодно включал и отключал ssl3.0
3. отключал
Не понимаю... В системе установлен еще и сам Хром причем в PF, это может как-то корявить?
Я его снести не могу, у меня права кастрированы.
Серты проверил, все норм, минсвязь корневой, два других промежуточные.
Плагин КриптоПро работает, сайты добавлены в исключения.
КриптоПро обновил до последней версии.
Винда 10х64

Посмотрел на сертификат сайта криптопро, Каспер его подменяет. Но смущает, что у коллег в соседних подразделениях все работает, сомневаюсь, что они что-то делали с этим. Хотя и напишу на саппорт.

Полный текст ошибки:
ВНИМАНИЕ: Спойлер!


Помимо этого возникает вопрос, как добавить расширения не от разработчика на машинах без инета, только с туннелями до ЭБ. Есть подозрение, что не все расширения работают в таком виде корректно, например 1С в принципе отказался работать установленным распакованным. Трюк с политиками для Хрома сработал, а Хромиум Гост просто показывает пустую страницу chrome://policy А еще при ребуте они сносятся... :pinch:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 янв 2021 11:41 - 20 янв 2021 11:44 #17732 от Alex_04

hooddy пишет: В системе установлен еще и сам Хром причем в PF, это может как-то корявить?

Не важно куда он установлен, главное - на компе фактически 2 хрома, использующих 1 и ту же клиентскую часть в профиле пользователя ОС! Косяк это или нет -- затрудняюсь сказать, но предчувствую, что это ни есть хорошо.
Интересно: в обычном хроме тоже такая же ошибка при открытии л/к ЭБ ч/з httpS ?

Посмотрел на сертификат сайта криптопро, Каспер его подменяет.

Вооот! А если в каспере "выкл" проверку защищенных соединений, или полностью его "выкл"?

как добавить расширения не от разработчика на машинах без инета

Поищите на этом форуме -- если не ошибаюсь не единожды уже писалось как их ставить из локально источника.
Можно воспользоваться инструкцией Как сохранить расширение Google Chrome .


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)
Спасибо сказали: hooddy

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 янв 2021 11:45 - 20 янв 2021 11:47 #17733 от Gvinpin

hooddy пишет: Помимо этого возникает вопрос, как добавить расширения не от разработчика на машинах без инета, только с туннелями до ЭБ.

Мне кажется, надежней всего на компьютере с интернетом и без установить браузер с одного дистрибутива. В интернете включить расширение, а затем перенести папки.

hooddy пишет: при попытке подписать файл слетает, причем может ругнуться как на криптопровайдерское, так и на 1с расширение и если зайти в панель администрирования, то ругается на неустановленные расширения и не видит установленных криптоприложений. При нажатии на кнопку установить плагин окно появляется на долю секунды и тут же пропадает.

Распакованные папки не удаляли (не перемещали)? После установки расширений папки должны остаться на месте.

______________________________
лучше уже было
Спасибо сказали: hooddy

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 янв 2021 12:09 - 20 янв 2021 12:15 #17734 от hooddy

Gvinpin пишет:

hooddy пишет: при попытке подписать файл слетает, причем может ругнуться как на криптопровайдерское, так и на 1с расширение и если зайти в панель администрирования, то ругается на неустановленные расширения и не видит установленных криптоприложений. При нажатии на кнопку установить плагин окно появляется на долю секунды и тут же пропадает.

Распакованные папки не удаляли (не перемещали)? После установки расширений папки должны остаться на месте.

С этим как-то само разрешилось. Причем, я не имею понятия, как. У меня сложилось впечатление, возможно, ошибочное, что проблема была в именовании файлов. Потому что на другой день сотрудник просто удалил все, залил новые и подписал. А там было ранее по несколько файлов с одним и тем же именем, например, сканирование01, сканирование01 и т.п. Но я не знаю, как это работает со стороны 1С. Понятно что у каждого файла даже с одинаковым именем при загрузке свой какой-то идентификатор, но ничего друго из странностей не было. На текущий момент этот вопрос решился сам собой.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 янв 2021 12:13 - 20 янв 2021 12:14 #17735 от hooddy

Alex_04 пишет:

hooddy пишет: В системе установлен еще и сам Хром причем в PF, это может как-то корявить?

Не важно куда он установлен, главное - на компе фактически 2 хрома, использующих 1 и ту же клиентскую часть в профиле пользователя ОС! Косяк это или нет -- затрудняюсь сказать, но предчувствую, что это ни есть хорошо.
Интересно: в обычном хроме тоже такая же ошибка при открытии л/к ЭБ ч/з httpS ?

Посмотрел на сертификат сайта криптопро, Каспер его подменяет.

Вооот! А если в каспере "выкл" проверку защищенных соединений, или полностью его "выкл"?

как добавить расширения не от разработчика на машинах без инета

Поищите на этом форуме -- если не ошибаюсь не единожды уже писалось как их ставить из локально источника.
Можно воспользоваться инструкцией Как сохранить расширение Google Chrome .

Видели бы вы в принципе хромозоопарк на машинах, это мрак... Яндекс, спутник, хром... И это на одной машине...

Ошибка в Хроме вот такая

ВНИМАНИЕ: Спойлер!


А в IE вот такая

ВНИМАНИЕ: Спойлер!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 янв 2021 13:18 - 20 янв 2021 13:23 #17736 от Alex_04

hooddy пишет: Видели бы вы в принципе хромозоопарк на машинах, это мрак... Яндекс, спутник, хром...

Да, зоопарк известный -- был точно такой же, когда экспериментировал с браузерами с поддержкой отечественного ГОСТ-шифрования... Закончилось всё тем, что CG в упор не видит установленный и плагин ЭЦП от КриптоПро и расширение под него. Как писали здесь коллеги куча браузеров с поддержкой ГОСТ-шифров на 1 ПК тоже ничего хорошего: в системе перезаписываются библиотеки от них и получается полная бурда. С чем я и столкнулся. Переустанавливать ОС нет ни времени ни желания.

Ошибка в Хроме вот такая:

ВНИМАНИЕ: Спойлер!

На том же сайте, ссылку на который приводил в конце стр.3 темы, в конце и про ошибку ERR_SSL_VERSION_OR_CIPHER_MISMATCH есть статья -- попробуйте, м.б. поможет?


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 янв 2021 13:27 #17737 от hooddy

Alex_04 пишет:

hooddy пишет: Видели бы вы в принципе хромозоопарк на машинах, это мрак... Яндекс, спутник, хром...

Да, зоопарк известный -- был точно такой же, когда экспериментировал с браузерами с поддержкой отечественного ГОСТ-шифрования... Закончилось всё тем, что CG в упор не видит установленный и плагин ЭЦП от КриптоПро и расширение под него. Как писали здесь коллеги куча браузеров с поддержкой ГОСТ-шифров тоже ни есть хорошо -- в системе перезаписываются библиотеки от них и получается полная бурда. С чем я и столкнулся. Переустанавливать ОС нет ни времени ни желания.

Ошибка в Хроме вот такая:

ВНИМАНИЕ: Спойлер!

На том же сайте, ссылку на который приводил в конце стр.3 темы, в конце и про ошибку ERR_SSL_VERSION_OR_CIPHER_MISMATCH есть статья -- попробуйте, м.б. поможет?

Нет, пока что все по прежнему. Написал в саппорт на исключения gov.ru в Каспере. В принципе, с Континентом все работает, но хотелось бы сократить цепь посредников, раз есть браузер с поддержкой православного шифрования... А вот вопрос в пустоту, если он по определению поддерживает наши протоколы, почему все просто из коробки не работает?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

21 янв 2021 02:58 - 21 янв 2021 03:56 #17741 от dock10
Доброго времени суток.
2 День мучаюсь с ЭБ.
Работал преспокойно до НГ через TLS
Сейчас перепробовал все варианты и TLS + IE, firefox, Яндекс И Chomium Gost без TLS, все сертификаты на месте, все цепочки тоже, на криптопро проходят проверку и подписывают. gasu.gov открывается тем же хромиумоом ГОСТ, а вот ЭБ ни в какую.
КЭШы куки чистил несколько раз.
Суть ошибки - Спрашивает серт, выбираеш любой и скрин или Not Found ну и урл этот же что и на скрине.
В Крипто-про настройки TLS
V - не проверять серты сервера на отзыв
V - не проверять назначение собственного серта
V - не проверять серты клиента на отзыв
V - поддерживать RFC5746
Больше галок нет.
Пробовал на 3х машинах (1 с чистой ОС и только криптоПро и ГОСТ), сертификаты тоже разные.
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

21 янв 2021 03:52 - 21 янв 2021 04:04 #17742 от Alex_04

dock10 пишет: Суть ошибки - Спрашивает серт, выбираеш любой и скрин или Not Found ну и урл этот же что и на скрине.

Обычно такое при истекшем серте пользователя, под которым входят в л/к ЭБ.
Протестируйте ключевой контейнер ЭП в КриптоПро.

Не верьте сроку окончания действия самого серта -- КриптоПро смотрит на дату окончания (ГЕНЕРАЦИИ) именно ключевого контейнера, который м.б. раньше на несколько дней!

Один из худших вариантов: сгенерили ключи ЭП на сотрудника в пятницу вечером - запрос ушел на проверки в СМЭВ - СМЭВ на регламентных работах в выходные - с понедельника до 5 рабочих дней по закону проверялся в СМЭВ - вернулся в ФЗС в л/к рук-ля орг-ции для согласования тоже вечером в пятницу недопроверенным в какой-либо из 4-х БД СМЭВ (очень возможно) - рук-ль подписал и отправил в УРЦР ТОФКа на рассмотрение - а рабочее время уже закончилось - оператор УРЦР в понедельник ВОЗМОЖНО рассмотрит запрос, а может и в течении 2-3 дней (имеет право) - согласовал - отправился на допроверку в той самой непроверенной БД СМЭВ (опять до 5 рабочих дней может провисеть) - наконец на рассмотрение оператору РЦР - БАЦ: ВРС чего-то не заработала (вполне возможно) - наконец и он согласовал - выгрузил в прогу УЦ ФК для создания и получения самого серта - БАЦ II: в ней тоже сбой (и такое случается) - наконец серт готов на... 10-20 день после генерации запроса на него! Хорошо если КК старого серта еще не истек, тогда заявитель скачает новый из ФЗС, а то и этого уже не сможет без танцев с системной датой компа или прихода в УРЦР ТОФК лично с флешкой за ним.

Не знающие об этом владельцы сертов почему-то тянут до последнего с генерацией смены серта и часто попадаются на этой разнице в датах окончания действия КК и самого серта.

ВНИМАНИЕ: Спойлер!


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

21 янв 2021 03:59 #17744 от dock10

Alex_04 пишет:

dock10 пишет: Суть ошибки - Спрашивает серт, выбираеш любой и скрин или Not Found ну и урл этот же что и на скрине.

Обычно такое при истекшем серте пользователя, под которым входят в л/к ЭБ.
Протестируйте ключевой контейнер ЭП в КриптоПро.

Не верьте сроку окончания действия самого серта -- КриптоПро смотрит на дату окончания (ГЕНЕРАЦИИ) именно ключевого контейнера, который м.б. раньше на несколько дней!


Серт сгенерирован и действителен с ноября 2020 года

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

21 янв 2021 04:11 #17745 от Alex_04

dock10 пишет:

Alex_04 пишет:

dock10 пишет: Суть ошибки - Спрашивает серт, выбираеш любой и скрин или Not Found ну и урл этот же что и на скрине.

Обычно такое при истекшем серте пользователя, под которым входят в л/к ЭБ.
Протестируйте ключевой контейнер ЭП в КриптоПро.

Серт сгенерирован и действителен с ноября 2020 года

Тогда предположу: каким-то загадочным образом в ЭБ (он вообще такой весь загадочный...) слетела привязка серта к учетке пользователя. Редко, но случается такое чудо (писали на форумах). Поэтому обратитесь к регистратору ЭБ в ТОФК с просьбой проверить наличие действующего (старый истекший УДАЛИТЬ) сертификата в Вашей учетке.


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)
Спасибо сказали: dock10

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

21 янв 2021 04:43 - 21 янв 2021 04:45 #17746 от Gvinpin

dock10 пишет: Серт сгенерирован и действителен с ноября 2020 года

А до какого срока действителен старый сертификат?
Глупый вопрос: до Нового года -- это уже новым сертификатом? Например, за 45 дней до окончания старого сертификата можно получить новый и при этом благополучно использовать старый.
И да, новый сертификат должен быть импортирован сотрудниками ТОФК (по письму или заявке) -- только так.

______________________________
лучше уже было

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

21 янв 2021 04:49 #17747 от dock10
Всем спасибо. Вопрос решился казной.
Действительно мои гениальные сотрудники не подали заявку. И все новые перевыпущенные серты не были прицеплены к учеткам.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

21 янв 2021 06:58 - 21 янв 2021 07:17 #17750 от hooddy

Alex_04 пишет:

как добавить расширения не от разработчика на машинах без инета

Поищите на этом форуме -- если не ошибаюсь не единожды уже писалось как их ставить из локально источника.
Можно воспользоваться инструкцией Как сохранить расширение Google Chrome .

Выкладываю, прилепите в мануал, рег файл для обхода политики запрета установки локальных расширений для хрома и хромиума. Для импорта нужны права админа. Сохранить расширение можно с компа с инетом например с помощью Get CRX
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

21 янв 2021 08:41 - 21 янв 2021 08:44 #17754 от Alex_04

hooddy пишет:

Alex_04 пишет:

hooddy пишет: Ошибка в Хроме вот такая:

ВНИМАНИЕ: Спойлер!

На том же сайте, ссылку на который приводил в конце стр.3 темы, в конце и про ошибку ERR_SSL_VERSION_OR_CIPHER_MISMATCH есть статья -- попробуйте, м.б. поможет?

Нет, пока что все по прежнему. Написал в саппорт на исключения gov.ru в Каспере.

Замахнулись Вы однако... На первой странице данной темы её автор в этом посте в конце красным выделил как бороться в Каспере с данной ошибкой -- сделайте пока то, что возможно.


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.