× Функционирование и эксплуатация Государственной интегрированной информационной системы управления общественными финансами "Электронный бюджет" (ГИИС ЭБ).

Электронный бюджет и СУФД на новых версиях ПО

20 фев 2019 12:26 - 12 март 2019 08:46 #10782 от davydkov
Отдаю дань этому прекрасному форуму и выкладываю наработки по скрещиванию СУФД и ЭБ

Немного общей информации: ЭБ работает по протоколу https с ГОСТовским шифрованием.
[user@host ~]$ openssl s_client -host lk.budget.gov.ru -port 443
......
Client Certificate Types: GOST01 Sign
.....
New, TLSv1/SSLv3, Cipher is GOST2001-GOST89-GOST89
Server public key is 256 bit
......
SSL-Session:
    Protocol  : TLSv1
    Cipher    : GOST2001-GOST89-GOST89
Поэтому ЭБ по https может открыть только IE и поделки типа cryptofox и прочие с подкостыленными реализациями ГОСТовского TLS. Но работает он плохо: не будут отображаться таблицы, например Сведения о бюджетных обязательствах (т.к. табличные формы тянутся через http). TLS-клиент за браузер организовывает подключение к ЭБ с применнением ГОСТовского шифрования и вы можете обращаться к нему через http, а TLS клиент завернет это всё в шифр. Поэтому с TLS клиентом работает и IE и FF и Хром через http. Плюс с TLS клиентом в IE начинают отображаться таблицы. Собственно в настройках TLS-клиента, вы указываете ресурсы которые он обернет в шифр (lk.budget.gov.ru и lk2012.budget.gov.ru) и даете ему сертификаты этих ресурсов. По мануалу казны TLS клиент настраивается в прозрачном режиме и подходит для тех, у кого не используется прокси в организации. Для тех у кого используется прокси в организации и надо сохранить работу интернета на настраиваемой рабочей станции - настройки зависят от конкретной реализации.

Установка связки для работы с СУФД и ЭБ.

Вначале зачистка всего:
1. Через панель управления удалить ВСЕ продукты КриптоПро и Кода Безопасности, перезагузка
Не забыть про Jinn Client, eXtended Container, если есть
2. Удаление через cspclean (КП)и cspcleaner -to (КБ), перезагрузка,
Запустить cmd от админа и выполнить вначале cspclean.exe (он не требует перезагрузки), потом cspcleaner.exe -to, перезагузка пойдет автоматом.
3. Удаление следов в ProgramFiles. Удаление веток [HKEY_LOCAL_MACHINE\SOFTWARE\SecurityCode], [HKEY_LOCAL_MACHINE\SOFTWARE\Security Code]. Также удалить ветку [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B0CBA110-FE9A-4FD1-A6CE-A973A8286AE4}], перезагрузка
Возможно в зависимости от версии Континента АП UID ветки будет другой. Этот для 3.7.5.474. У этих веток могут быть неверные права, сначала правим права, потом удаляем. Если не удалить эту ветку, заново установить КАП невозможно, ругается что уже установлен.

Комплект ПО с версиями:
Windows 7 (протестировано на 32 и 64 битах)
Mozilla Firefox 60.5.1 ESR
КриптоПро 4.0 R4 (4.0.9963)
КриптоПро ЭЦП Browser plug-in 2.0.13579
TLS-клиент 2.0.1440
Jinn-Client 1.0.3050.0
Jinn Sign Extension Provider 1.1.0.5 (В дистре с Jinn-Client 1.0.3050.0 идёт версия 1.1.0.4)
Continent AP 3.7.7.651


Установка (всё выполнялось в профиле админа, с запуском от имени Администратора):
1. Установка КриптоПро 4.0 R4 (4.0.9963), выставление галочек по инструкции казны, перезагрузка
2. Установка TLS клиента 2.0.1440.
Устанавливать клиент лучше через командную строку или ярлык с параметрами /install /log log.txt. Если в результате установки появился только один log файл - то установка точно прошла с косяком и работать не будет. Если три файла - то скорее всего всё ок. См. скриншот.
3. Установка Jinn Client.
Ставить штатно, ключ подходит от предыдущей версии. Одновременно можно удалить eXtended container который поставился, т.к. с ним подписание работать не будет, будет пустой список сертификатов. Нужно ставить XC от версии Jinn, но ключ уже от Jinn не подойдет, нужно запрашивать в УФК. Пока не ставил. Перезагрузка
4. Установка Continent AP 3.7.7.651. Ставим как указано на sedkazna.ru: Continent_AP_3.7.7.651.exe /S /NR /LANG=RU /DO=INSTALL /NMSE /NCSP и перезагрузка.

5. Логинимся под нужным пользователем.
6. Можно сразу проверить работу Continent AP. Должно заработать без нареканий.
7. Настройка и регистрация TLS-клиента по инструкции казны.
www.roskazna.ru/upload/iblock/3f8/rukovo...ya_gost2012-ver2.doc
Нюанс: предыдущая версия работала через localhost:8080, новая версия работает в режиме прозрачной прокси. Если есть устоявшаяся инфраструктура и настройки выполняются автоматически, например через wpad.dat, то можно привести работу новой версии к старому варианту. Для этого надо запустить TLS клиент от имени админа и в настройках поставить галочку Использовать непрозрачное проксирование (см скрин). Потом запустить TLS клиент от пользователя и уже вписать под этой галочкой порт 8080. В целом, мне показалось, что в таком режиме работает стабильнее.
Регистрацию производить на пользователя (как в инструкции казны описано), писать организацию, имя, емаил и прочее, регистрируют нормально и быстро.
8. Установка Jinn Sign Extension Provider 1.1.0.5. Я ставил в профиль, у меня в пути все буквы латинские. Если будет в пути установки кириллица, то установка прервется. Возможна установка для всех: msiexec /i JinnSignExtensionSetup.msi /qn INSTALLLOCATION="%ALLUSERSPROFILE%\Security Code" ALLUSERS=1 (вариант от Wmffre)
9. Запустить Firefox и установить расширение Jinn Sign Extension. Ставил из штатно, через поиск дополнений в FF.
10. Еще раз проверить отсутствие eXtended Container в списке программ (если только не ставили "правильный" от Jinn Client)


С этими настройками можно пользоваться как IE, так и FF. Подписание в СУФД будет работать через CADES. Подписание в ЭБ будет работать через Jinn. Открывать ЭБ необходимо через http! (НЕ httpS). Всё вышеописанное позволяет начать работать с новыми версиями ПО с подписями ГОСТ2001. По сообщению казны, для подписания ГОСТ2012 в FF необходимо доустанавливать eXtended Container. В IE подписание ГОСТ2012 должно работать без XC.
За скобками оставлено добавление корневых сертификатов ГУЦ и УФК под 2001 и 2012 ГОСТы, у хорошего админа это накатывается через GPO.

Отредактировано 21.01.2019 8:22
Отредактировано 12.03.2019 11:46
Вложения:
Спасибо сказали: sedkazna, Wmffre, ranger, dimas36

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

21 фев 2019 02:29 - 25 фев 2019 23:41 #10804 от ranger
Выделите, пожалуйста, жирным предложение "Если будет в пути установки кириллица, то установка прервется"

P.S. Спасибо!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

11 март 2019 01:28 - 11 март 2019 01:29 #11145 от ranger

Возможна установка для всех: msiexec /i JinnSignExtensionSetup.msi /qn INSTALLLOCATION="%ALLUSERSPROFILE%\Security Code" ADDLOCAL=ALL (вариант от Wmffre)


Просьба отредактировать, так как:

Вместо ADDLOCAL=ALL должен быть ключ ALLUSERS=1


Уточнение от Wmffre

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 авг 2019 04:03 #13281 от AlexKusa
Где скачать Jinn-Client 1.0.3050.0 и Jinn Sign Extension Provider 1.1.0.5?
Спасибо сказали: HappyHyman

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 авг 2019 13:20 #13286 от Alex_04

AlexKusa пишет: Где скачать Jinn-Client 1.0.3050.0 и Jinn Sign Extension Provider 1.1.0.5?

Jinn-Client 1.0.3050.0 - получить в обслуживаюшем вашу организацию ТОФК.
Jinn Sign Extension Provider 1.1.0.5 - по ссылкам из этого поста: sedkazna.ru/forum.html?view=topic&defaul...id=389&start=60#9312 или этого: sedkazna.ru/forum.html?view=topic&defaul...d=782&start=30#12644


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)
Спасибо сказали: snn007

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.