Новый Сертификат сервера Континент TLS 25.06.2018.

Вообще-то, Gvinpin и Alex_04 правы, что подтверждается и инструкцией по настройке ЭБ. Просто фраза "Для TLS КриптоПро не требовалось" сформулирована Вашими словами. А по сути, как уже было сказано, серверный сертификат Континент TLS указывается только в настройках Континента TLS. "импортирую в корневые\ локального компьютера" - это лишнее, хоть и не мешает.))

ViktorGRBS пишет: Вы хорошо пошутили: "Для TLS КриптоПро не требовалось", и я бы с вами согласился, если бы не изучил этот вопрос на практике, весной. Отвечу - нет, не работает!)

Сорри, но то, что у кого-то Континент TLS не работает без КриптоПро, - не аргумент. Вы его, случайно, не перепутали с Континент АП? А аргумент - это то, что работает. Проверено.

Как-бы "информация для размышления":

Gvinpin пишет:

ViktorGRBS пишет: Вы хорошо пошутили: "Для TLS КриптоПро не требовалось", и я бы с вами согласился, если бы не изучил этот вопрос на практике, весной. Отвечу - нет, не работает!)

Сорри, но то, что у кого-то Континент TLS не работает без КриптоПро, - не аргумент.

К сожалению тут бы я не был столь уверен на все 100%. Да, по документациям и инструкциям ЭБ для Континент TLS не нужна КриптоПро как-бы, но в очень большом количестве случаев с нашими пользователями выходило "как-бы не так!" - без КриптоПро не хотел TLS нормально работать - ? Не думаю, что стОит здесь сейчас нырять в Бермуды нашего криптошного ПО - один чёрт каждый выплывет по-своему.

Alex_04 пишет: Как-бы "информация для размышления":

Gvinpin пишет:

ViktorGRBS пишет: Вы хорошо пошутили: "Для TLS КриптоПро не требовалось", и я бы с вами согласился, если бы не изучил этот вопрос на практике, весной. Отвечу - нет, не работает!)

Сорри, но то, что у кого-то Континент TLS не работает без КриптоПро, - не аргумент.

К сожалению тут бы я не был столь уверен на все 100%. Да, по документациям и инструкциям ЭБ для Континент TLS не нужна КриптоПро как-бы, но в очень большом количестве случаев с нашими пользователями выходило "как-бы не так!" - без КриптоПро не хотел TLS нормально работать - ? Не думаю, что стОит здесь сейчас нырять в Бермуды нашего криптошного ПО - один чёрт каждый выплывет по-своему.

Нет оснований не верить, но при настройке АРМ ЭБ без КриптоПро у меня почему-то ни разу проблем не возникало. А иначе бы не было сомнений, что Континент TLS без КриптоПро не работает, настолько распространено это мнение. Хотя это нечастый случай - компьютер без КриптоПро ))).

Да, работает ЭБ и без криптопро.
С криптопро просто удобней/привычней засовывать сертификат в контейнер.
А без неё приходится для копирования сертификата в контейнер юзать стороннюю утилиту, кажется от КОНТУРа

Alex67 пишет: Да, работает ЭБ и без криптопро.
С криптопро просто удобней/привычней засовывать сертификат в контейнер.
А без неё приходится для копирования сертификата в контейнер юзать стороннюю утилиту, кажется от КОНТУРа

Либо юзать КриптоПро, но на другой машине ).

Что-то Вы меня пугаете тем, что возможна работа Континента без КриптоПро CSP. Например, ключевой контейнер сделан в КриптоПро и получается тогда Континент TLS должен суметь прочитать ключевой контейнер КриптоПро без самого КриптоПро CSP? Не в обиду, но без получения такого результата на практике не очень в это верится. Конечно, после появления в свободном виде исходников утилиты privkey, вытаскивающей закрытый ключ из ключевого контейнера КриптоПро, не будет удивительно, если другая компания адаптировала исходники для считывания ключевого контейнера КриптоПро. Даже если со сторонними утилитами работает, то это как-то "не айс".

С другой стороны, на скриншоте комплекта установки Континент TLS видно, что в комплект входит установщик SecurityCode CSP. Полагаю, логично, если ключевой контейнер сформирован в нем, то КриптоПро вообще не будет нужен. Кто пробовал и получил разные результаты, было бы замечательно, если бы добавили - в каком CSP был сформирован ключ и был ли установлен на рабочем месте SecurityCode CSP. Вероятно, это развеет часть противоречий без "криптопрошных дебрей".

Подтверждаю, сам когда-то проверял: для входа и работы в личном кабинете lk.budget.gov.ru не требуется устанавливать КриптоПро CSP, сертификат пользователя устанавливается просто через оснастку Сертификаты; Сертификат обычный, выдаваемый казначейством. Точно уже не помню, но вроде сертификат должен быть установлен в контейнере закрытого ключа. Проверял тогда на Континент TLS Клиент 1.0.920.0.

Обратите внимание: При установке Континент TLS Клиент 1.0.920.0 никакой криптопровайдер SecurityCodeCSP не устанавливается! (csp_setup.exe отсутствует в дистрибутиве Continent_TLS_Client_1.0.920.0, он есть только в дистрибутиве Jinn_Client_1.0.1130.0 и более новых версий) При этом в руководстве пользователя Континент TLS VPN Клиент Версия 1.0 прямо сказано в разделе "Назначение и основные функции":

функционирование с открытыми ключами и сертификатами открытых
ключей, совместимыми с Удостоверяющим центром "КриптоПро УЦ";

И вообще в руководстве пользователя нет никаких требований о необходимости устанавливать какой-либо криптопровайдер. Даже больше (не для слабонервных).

two_oceans пишет: Что-то Вы меня пугаете тем, что возможна работа Континента без КриптоПро CSP. Например, ключевой контейнер сделан в КриптоПро и получается тогда Континент TLS должен суметь прочитать ключевой контейнер КриптоПро без самого КриптоПро CSP? Не в обиду, но без получения такого результата на практике не очень в это верится.

Так Вы попробуйте, у Вас получится. Если не будете мудрить, конечно.

two_oceans пишет: С другой стороны, на скриншоте комплекта установки Континент TLS видно, что в комплект входит установщик SecurityCode CSP. Полагаю, логично, если ключевой контейнер сформирован в нем, то КриптоПро вообще не будет нужен. Кто пробовал и получил разные результаты, было бы замечательно, если бы добавили - в каком CSP был сформирован ключ и был ли установлен на рабочем месте SecurityCode CSP. Вероятно, это развеет часть противоречий без "криптопрошных дебрей".

Все ключи у нас генерируются с использованием КриптоПро CSP. ИМХО, без него не обойтись там, где требуется установка сертификата с привязкой к контейнеру закрытого ключа. Для работы в ЭБ установка с привязкой к закрытому ключу не требуется.

Wmffre пишет: Подтверждаю, сам когда-то проверял: для входа и работы в личном кабинете lk.budget.gov.ru не требуется устанавливать КриптоПро CSP, сертификат пользователя устанавливается просто через оснастку Сертификаты; Сертификат обычный, выдаваемый казначейством. Точно уже не помню, но вроде сертификат должен быть установлен в контейнере закрытого ключа. Проверял тогда на Континент TLS Клиент 1.0.920.0.

Если контейнер на флешке, то не должен. А вот с рутокенами без установки сертификата в контейнер не получилось (не знаю, может ли с рутокенами быть по-другому).

Хм, ну если требования подразумевает, что может конфликтовать с другими криптопровайдерами, то по любому хоть какое-то криптоядро ГОСТ в нем должно быть.

функционирование с открытыми ключами и сертификатами открытых
ключей, совместимыми с Удостоверяющим центром "КриптоПро УЦ"

Это крайне странно, потому что требования к формату (не содержанию) запроса на сертификат более-менее унифицированы и с парой пинков (на предмет содержания) на КриптоПро УЦ можно выпустить вообще любой сертификат ГОСТ-2001.

Для работы в ЭБ установка с привязкой к закрытому ключу не требуется.

Странно, а фаза установления TLS соединения, где требуется подписать данные пропускается?

Так Вы попробуйте, у Вас получится.

ОК. Собственно я уже пробовал (только наоборот без Континента) настроить ЭБ с КриптоПро 4.0 и InternetExplorer 11. Почти получилось - сейчас я так понимаю, не получалось из-за окончания пробного периода КриптоПро. Потом ушел в отпуск и вызвали специалиста соседней организации. Хотя я тот АРМ потом не изучал, поставил ли он Континент не могу сказать, но КриптоПро 4.0 вроде снесен и поставлен 3.9. Попробую ради интереса с Континентом тоже (на чистой операционке без криптопровайдеров - обычно на такой все сертификаты ГОСТ отклоняются с причиной "неверная подпись сертификата" ).

two_oceans пишет:

Для работы в ЭБ установка с привязкой к закрытому ключу не требуется.

Странно, а фаза установления TLS соединения, где требуется подписать данные пропускается?

Установка с привязкой не требуется, но контейнер на соответствие сертификату проверяется.

two_oceans пишет:

Так Вы попробуйте, у Вас получится.

ОК. Собственно я уже пробовал (только наоборот без Континента) настроить ЭБ с КриптоПро 4.0 и InternetExplorer 11.

Так работает подсистема бюджетного планирование (регистрация пользователей через Минфин). Для подсистем закупок, управления расходами, учета и отчетности (регистрация пользователей через казначейство) требуется Континент TLS.

Gvinpin пишет: Установка с привязкой не требуется, но контейнер на соответствие сертификату проверяется.

Понятно, что ничего не понятно. Если привязки и правда нет, то как потом контейнер находит? Если где-то связь прописывается, то возможно нерабочие сертификаты были как раз из-за отсутствия приписки или проблем с самим контейнером. А потом в процессе подпись ведь потребуется и для этого ставится дополнительно Джинн клиент. Правильно понимаю?

Gvinpin пишет: Так работает подсистема бюджетного планирование (регистрация пользователей через Минфин). Для подсистем закупок, управления расходами, учета и отчетности (регистрация пользователей через казначейство) требуется Континент TLS.

Спасибо за пояснение, это как раз была подсистема бюджетного планирования. Тогда получается к тем подсистемам доступа у меня нет и Континент TLS не проверю.

two_oceans пишет: Если привязки и правда нет, то как потом контейнер находит?

Видимо, аналогично тому, как КриптоПро при установке сертификата автоматически находит соответствующий ему контейнер.

two_oceans пишет: А потом в процессе подпись ведь потребуется и для этого ставится дополнительно Джинн клиент. Правильно понимаю?

Да, в ЭБ средство подписания - это Джинн.
Что значит ставится дополнительно? Это один из равноправных компонентов в настройке АРМ.

two_oceans пишет:

Gvinpin пишет: Установка с привязкой не требуется, но контейнер на соответствие сертификату проверяется.

Понятно, что ничего не понятно. Если привязки и правда нет, то как потом контейнер находит?

При установке сертификата пользователя через КриптоПро CSP, выбрав сертификат, можно затем поставить галочку "Найти контейнер автоматически" - в результате соответствующий контейнер закрытого ключа найдётся даже в том случае, когда внутри контейнера никакого сертификата не установлено. Значит, связь между сертификатом пользователя и контейнером закрытого ключа все равно есть.

Данная особенность находит следующее применение. Если установить сертификат пользователя через КриптоПро CSP с привязкой к таблетке(iButton) от ПАК "Соболь", а затем скопировать контейнер закрытого ключа с таблетки на eToken/флешку (имя контейнера при этом мы оставляем точно таким же - не проверял, важно это, или нет (ПРИМЕЧАНИЕ: чтобы дало возможность скопировать с тем же именем, таблетку при этом необходимо отсоединить)), то при при входе в личный кабинет lk.budget.gov.ru и выборе сертификата пользователя, установленного в хранилище сертификаты пользователя Windows, сайт отыскивает контейнер на etoken-е, не смотря на то, что сертификат в хранилище сертификатов пользователя Windows связан с контейнером на таблетке.

two_oceans пишет: Если где-то связь прописывается, то возможно нерабочие сертификаты были как раз из-за отсутствия приписки или проблем с самим контейнером.

Проблем с контейнером у моего пользователя нет, так как:

• При переустановке сертификата через КриптоПро CSP, при установке галочки "Найти контейнер автоматически" контейнер находится. Последующее тестирование через КриптоПро проходит также успешно.
• С помощью этой ЭЦП пользователь успешно подписывает в других информационных системах казначейства

two_oceans пишет: А потом в процессе подпись ведь потребуется и для этого ставится дополнительно Джинн клиент. Правильно понимаю?

Всё так: Jinn-Client требуется только для подписания, для входа в личный кабинет lk.budget.gov.ru он не требуется.