× Функционирование и эксплуатация Государственной интегрированной информационной системы управления общественными финансами "Электронный бюджет" (ГИИС ЭБ).

Новый Сертификат сервера Континент TLS 25.06.2018.

10 июль 2018 08:04 #7911 от Beck
Вообще-то, Gvinpin и Alex_04 правы, что подтверждается и инструкцией по настройке ЭБ. Просто фраза "Для TLS КриптоПро не требовалось" сформулирована Вашими словами. А по сути, как уже было сказано, серверный сертификат Континент TLS указывается только в настройках Континента TLS. "импортирую в корневые\ локального компьютера" - это лишнее, хоть и не мешает.))

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 июль 2018 10:17 - 10 июль 2018 10:27 #7915 от Gvinpin

ViktorGRBS пишет: Вы хорошо пошутили: "Для TLS КриптоПро не требовалось", и я бы с вами согласился, если бы не изучил этот вопрос на практике, весной. Отвечу - нет, не работает!)

Сорри, но то, что у кого-то Континент TLS не работает без КриптоПро, - не аргумент. Вы его, случайно, не перепутали с Континент АП? А аргумент - это то, что работает. Проверено.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

Если у вас что-то не получается, не спешите говорить, что это невозможно сделать.
Спасибо сказали: Beck

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 июль 2018 13:04 #7922 от Alex_04
Как-бы "информация для размышления":

Gvinpin пишет:

ViktorGRBS пишет: Вы хорошо пошутили: "Для TLS КриптоПро не требовалось", и я бы с вами согласился, если бы не изучил этот вопрос на практике, весной. Отвечу - нет, не работает!)

Сорри, но то, что у кого-то Континент TLS не работает без КриптоПро, - не аргумент.

К сожалению тут бы я не был столь уверен на все 100%. Да, по документациям и инструкциям ЭБ для Континент TLS не нужна КриптоПро как-бы, но в очень большом количестве случаев с нашими пользователями выходило "как-бы не так!" - без КриптоПро не хотел TLS нормально работать - ? Не думаю, что стОит здесь сейчас нырять в Бермуды нашего криптошного ПО - один чёрт каждый выплывет по-своему. :)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 июль 2018 16:41 - 11 июль 2018 04:01 #7929 от Gvinpin

Alex_04 пишет: Как-бы "информация для размышления":

Gvinpin пишет:

ViktorGRBS пишет: Вы хорошо пошутили: "Для TLS КриптоПро не требовалось", и я бы с вами согласился, если бы не изучил этот вопрос на практике, весной. Отвечу - нет, не работает!)

Сорри, но то, что у кого-то Континент TLS не работает без КриптоПро, - не аргумент.

К сожалению тут бы я не был столь уверен на все 100%. Да, по документациям и инструкциям ЭБ для Континент TLS не нужна КриптоПро как-бы, но в очень большом количестве случаев с нашими пользователями выходило "как-бы не так!" - без КриптоПро не хотел TLS нормально работать - ? Не думаю, что стОит здесь сейчас нырять в Бермуды нашего криптошного ПО - один чёрт каждый выплывет по-своему. :)

Нет оснований не верить, но при настройке АРМ ЭБ без КриптоПро у меня почему-то ни разу проблем не возникало. А иначе бы не было сомнений, что Континент TLS без КриптоПро не работает, настолько распространено это мнение. Хотя это нечастый случай - компьютер без КриптоПро ))).

Если у вас что-то не получается, не спешите говорить, что это невозможно сделать.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 июль 2018 17:06 #7930 от Alex67
Да, работает ЭБ и без криптопро.
С криптопро просто удобней/привычней засовывать сертификат в контейнер.
А без неё приходится для копирования сертификата в контейнер юзать стороннюю утилиту, кажется от КОНТУРа

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

11 июль 2018 01:28 - 11 июль 2018 04:03 #7931 от Gvinpin

Alex67 пишет: Да, работает ЭБ и без криптопро.
С криптопро просто удобней/привычней засовывать сертификат в контейнер.
А без неё приходится для копирования сертификата в контейнер юзать стороннюю утилиту, кажется от КОНТУРа

Либо юзать КриптоПро, но на другой машине ).

Если у вас что-то не получается, не спешите говорить, что это невозможно сделать.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

11 июль 2018 01:56 - 11 июль 2018 01:57 #7932 от two_oceans
Что-то Вы меня пугаете тем, что возможна работа Континента без КриптоПро CSP. Например, ключевой контейнер сделан в КриптоПро и получается тогда Континент TLS должен суметь прочитать ключевой контейнер КриптоПро без самого КриптоПро CSP? Не в обиду, но без получения такого результата на практике не очень в это верится. Конечно, после появления в свободном виде исходников утилиты privkey, вытаскивающей закрытый ключ из ключевого контейнера КриптоПро, не будет удивительно, если другая компания адаптировала исходники для считывания ключевого контейнера КриптоПро. Даже если со сторонними утилитами работает, то это как-то "не айс".

С другой стороны, на скриншоте комплекта установки Континент TLS видно, что в комплект входит установщик SecurityCode CSP. Полагаю, логично, если ключевой контейнер сформирован в нем, то КриптоПро вообще не будет нужен. Кто пробовал и получил разные результаты, было бы замечательно, если бы добавили - в каком CSP был сформирован ключ и был ли установлен на рабочем месте SecurityCode CSP. Вероятно, это развеет часть противоречий без "криптопрошных дебрей".

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

11 июль 2018 03:17 - 11 июль 2018 03:30 #7933 от Wmffre
Подтверждаю, сам когда-то проверял: для входа и работы в личном кабинете lk.budget.gov.ru не требуется устанавливать КриптоПро CSP, сертификат пользователя устанавливается просто через оснастку Сертификаты; Сертификат обычный, выдаваемый казначейством. Точно уже не помню, но вроде сертификат должен быть установлен в контейнере закрытого ключа. Проверял тогда на Континент TLS Клиент 1.0.920.0.

Обратите внимание: При установке Континент TLS Клиент 1.0.920.0 никакой криптопровайдер SecurityCodeCSP не устанавливается! (csp_setup.exe отсутствует в дистрибутиве Continent_TLS_Client_1.0.920.0, он есть только в дистрибутиве Jinn_Client_1.0.1130.0 и более новых версий) При этом в руководстве пользователя Континент TLS VPN Клиент Версия 1.0 прямо сказано в разделе "Назначение и основные функции":

  • функционирование с открытыми ключами и сертификатами открытых
    ключей, совместимыми с Удостоверяющим центром "КриптоПро УЦ";
  • И вообще в руководстве пользователя нет никаких требований о необходимости устанавливать какой-либо криптопровайдер. Даже больше (не для слабонервных).

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    11 июль 2018 03:33 #7934 от Gvinpin

    two_oceans пишет: Что-то Вы меня пугаете тем, что возможна работа Континента без КриптоПро CSP. Например, ключевой контейнер сделан в КриптоПро и получается тогда Континент TLS должен суметь прочитать ключевой контейнер КриптоПро без самого КриптоПро CSP? Не в обиду, но без получения такого результата на практике не очень в это верится.

    Так Вы попробуйте, у Вас получится. Если не будете мудрить, конечно.

    two_oceans пишет: С другой стороны, на скриншоте комплекта установки Континент TLS видно, что в комплект входит установщик SecurityCode CSP. Полагаю, логично, если ключевой контейнер сформирован в нем, то КриптоПро вообще не будет нужен. Кто пробовал и получил разные результаты, было бы замечательно, если бы добавили - в каком CSP был сформирован ключ и был ли установлен на рабочем месте SecurityCode CSP. Вероятно, это развеет часть противоречий без "криптопрошных дебрей".

    Все ключи у нас генерируются с использованием КриптоПро CSP. ИМХО, без него не обойтись там, где требуется установка сертификата с привязкой к контейнеру закрытого ключа. Для работы в ЭБ установка с привязкой к закрытому ключу не требуется.

    Если у вас что-то не получается, не спешите говорить, что это невозможно сделать.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    11 июль 2018 03:45 - 11 июль 2018 03:53 #7935 от Gvinpin

    Wmffre пишет: Подтверждаю, сам когда-то проверял: для входа и работы в личном кабинете lk.budget.gov.ru не требуется устанавливать КриптоПро CSP, сертификат пользователя устанавливается просто через оснастку Сертификаты; Сертификат обычный, выдаваемый казначейством. Точно уже не помню, но вроде сертификат должен быть установлен в контейнере закрытого ключа. Проверял тогда на Континент TLS Клиент 1.0.920.0.

    Если контейнер на флешке, то не должен. А вот с рутокенами без установки сертификата в контейнер не получилось (не знаю, может ли с рутокенами быть по-другому).

    Если у вас что-то не получается, не спешите говорить, что это невозможно сделать.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    11 июль 2018 04:22 - 11 июль 2018 04:27 #7936 от two_oceans
    Хм, ну если требования подразумевает, что может конфликтовать с другими криптопровайдерами, то по любому хоть какое-то криптоядро ГОСТ в нем должно быть.

    функционирование с открытыми ключами и сертификатами открытых
    ключей, совместимыми с Удостоверяющим центром "КриптоПро УЦ"

    Это крайне странно, потому что требования к формату (не содержанию) запроса на сертификат более-менее унифицированы и с парой пинков (на предмет содержания) на КриптоПро УЦ можно выпустить вообще любой сертификат ГОСТ-2001.

    Для работы в ЭБ установка с привязкой к закрытому ключу не требуется.

    Странно, а фаза установления TLS соединения, где требуется подписать данные пропускается?

    Так Вы попробуйте, у Вас получится.

    ОК. Собственно я уже пробовал (только наоборот без Континента) настроить ЭБ с КриптоПро 4.0 и InternetExplorer 11. Почти получилось - сейчас я так понимаю, не получалось из-за окончания пробного периода КриптоПро. Потом ушел в отпуск и вызвали специалиста соседней организации. Хотя я тот АРМ потом не изучал, поставил ли он Континент не могу сказать, но КриптоПро 4.0 вроде снесен и поставлен 3.9. :)
    ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]
    Попробую ради интереса с Континентом тоже (на чистой операционке без криптопровайдеров - обычно на такой все сертификаты ГОСТ отклоняются с причиной "неверная подпись сертификата" ).

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    11 июль 2018 13:21 - 11 июль 2018 13:22 #7942 от Gvinpin

    two_oceans пишет:

    Для работы в ЭБ установка с привязкой к закрытому ключу не требуется.

    Странно, а фаза установления TLS соединения, где требуется подписать данные пропускается?

    Установка с привязкой не требуется, но контейнер на соответствие сертификату проверяется.

    two_oceans пишет:

    Так Вы попробуйте, у Вас получится.

    ОК. Собственно я уже пробовал (только наоборот без Континента) настроить ЭБ с КриптоПро 4.0 и InternetExplorer 11.

    Так работает подсистема бюджетного планирование (регистрация пользователей через Минфин). Для подсистем закупок, управления расходами, учета и отчетности (регистрация пользователей через казначейство) требуется Континент TLS.

    Если у вас что-то не получается, не спешите говорить, что это невозможно сделать.
    Спасибо сказали: two_oceans

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    12 июль 2018 01:42 #7943 от two_oceans

    Gvinpin пишет: Установка с привязкой не требуется, но контейнер на соответствие сертификату проверяется.

    Понятно, что ничего не понятно. Если привязки и правда нет, то как потом контейнер находит? Если где-то связь прописывается, то возможно нерабочие сертификаты были как раз из-за отсутствия приписки или проблем с самим контейнером. А потом в процессе подпись ведь потребуется и для этого ставится дополнительно Джинн клиент. Правильно понимаю?

    Gvinpin пишет: Так работает подсистема бюджетного планирование (регистрация пользователей через Минфин). Для подсистем закупок, управления расходами, учета и отчетности (регистрация пользователей через казначейство) требуется Континент TLS.

    Спасибо за пояснение, это как раз была подсистема бюджетного планирования. Тогда получается к тем подсистемам доступа у меня нет и Континент TLS не проверю.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    12 июль 2018 04:21 #7946 от Gvinpin

    two_oceans пишет: Если привязки и правда нет, то как потом контейнер находит?

    Видимо, аналогично тому, как КриптоПро при установке сертификата автоматически находит соответствующий ему контейнер.

    two_oceans пишет: А потом в процессе подпись ведь потребуется и для этого ставится дополнительно Джинн клиент. Правильно понимаю?

    Да, в ЭБ средство подписания - это Джинн.
    Что значит ставится дополнительно? Это один из равноправных компонентов в настройке АРМ.

    Если у вас что-то не получается, не спешите говорить, что это невозможно сделать.

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    12 июль 2018 04:43 - 12 июль 2018 04:52 #7948 от Wmffre

    two_oceans пишет:

    Gvinpin пишет: Установка с привязкой не требуется, но контейнер на соответствие сертификату проверяется.

    Понятно, что ничего не понятно. Если привязки и правда нет, то как потом контейнер находит?

    При установке сертификата пользователя через КриптоПро CSP, выбрав сертификат, можно затем поставить галочку "Найти контейнер автоматически" - в результате соответствующий контейнер закрытого ключа найдётся даже в том случае, когда внутри контейнера никакого сертификата не установлено. Значит, связь между сертификатом пользователя и контейнером закрытого ключа все равно есть.

    Данная особенность находит следующее применение. Если установить сертификат пользователя через КриптоПро CSP с привязкой к таблетке(iButton) от ПАК "Соболь", а затем скопировать контейнер закрытого ключа с таблетки на eToken/флешку (имя контейнера при этом мы оставляем точно таким же - не проверял, важно это, или нет (ПРИМЕЧАНИЕ: чтобы дало возможность скопировать с тем же именем, таблетку при этом необходимо отсоединить)), то при при входе в личный кабинет lk.budget.gov.ru и выборе сертификата пользователя, установленного в хранилище сертификаты пользователя Windows, сайт отыскивает контейнер на etoken-е, не смотря на то, что сертификат в хранилище сертификатов пользователя Windows связан с контейнером на таблетке.

    two_oceans пишет: Если где-то связь прописывается, то возможно нерабочие сертификаты были как раз из-за отсутствия приписки или проблем с самим контейнером.

    Проблем с контейнером у моего пользователя нет, так как:
    • При переустановке сертификата через КриптоПро CSP, при установке галочки "Найти контейнер автоматически" контейнер находится. Последующее тестирование через КриптоПро проходит также успешно.
    • С помощью этой ЭЦП пользователь успешно подписывает в других информационных системах казначейства

    two_oceans пишет: А потом в процессе подпись ведь потребуется и для этого ставится дополнительно Джинн клиент. Правильно понимаю?

    Всё так: Jinn-Client требуется только для подписания, для входа в личный кабинет lk.budget.gov.ru он не требуется.
    Спасибо сказали: two_oceans

    Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.