• 18.11.2019 14:47
    Не удалось запустить vpn, получил ошибку "неправильная последовательно сть ...

    Подробнее...

 
 
 
× Функционирование и эксплуатация Государственной интегрированной информационной системы управления общественными финансами "Электронный бюджет" (ГИИС ЭБ).

Континет TLS-клиент (CRL сертификата сервера не загружен или устарел)

25 июнь 2019 07:42 #12626 от Сергей
Не могу зайти в личный кабинет ЭБ. Континет TLS-клиент выдаёт следующее сообщение "CRL сертификата сервера не загружен или устарел". CRL загружал и обновлял по несколько раз. Возможно кто то сталкивался с этой проблемой и знает её решение. Сриншоты прилагаю.
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

25 июнь 2019 09:10 - 25 июнь 2019 09:11 #12630 от Wmffre
Закройте Континент TLS Клиент 2.0.1440.0 Откройте Пуск --> Крипто-Про --> Сертификаты и удалите в "Сертификаты - текущий пользователь" все установленные Списки отзыва сертификатов. Далее запустите Континент TLS Клиент и удалите, а затем импортируйте Серверные сертификаты.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

26 июнь 2019 07:25 #12640 от Сергей

Wmffre пишет: Закройте Континент TLS Клиент 2.0.1440.0 Откройте Пуск --> Крипто-Про --> Сертификаты и удалите в "Сертификаты - текущий пользователь" все установленные Списки отзыва сертификатов. Далее запустите Континент TLS Клиент и удалите, а затем импортируйте Серверные сертификаты.

Попробовал, результат тот же.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

26 июнь 2019 08:02 #12641 от heorhee
Переустановите Крипто про

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

26 июнь 2019 08:11 #12643 от Сергей

heorhee пишет: Переустановите Крипто про

Вы думаете что проблема в КриптоПро? Просто пару дней назад всё работало без проблем. Никаких манипуляций с ПО не проводилось. Возможно есть другое решение проблемы? В крайнем случае конечно переустановлю.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

26 июнь 2019 08:23 - 26 июнь 2019 08:26 #12645 от Wmffre

Сергей пишет:

Wmffre пишет: Закройте Континент TLS Клиент 2.0.1440.0 Откройте Пуск --> Крипто-Про --> Сертификаты и удалите в "Сертификаты - текущий пользователь" все установленные Списки отзыва сертификатов. Далее запустите Континент TLS Клиент и удалите, а затем импортируйте Серверные сертификаты.

Попробовал, результат тот же.

Может мешать прокси, установленный в Internet Explorer 11 (127.0.0.1). Чтобы это проверить, сделайте следующее. В не зависимости от используемого браузера установите прокси в Internet Explorer 11 через сценарий автоматической настройки wpad.dat , другие прокси в Internet Explorer 11 отключите. Уберите галочку в Континент TLS Клиент "Внешний прокси - настраивать автоматически" (Обязательно нажмите "Сохранить" внизу), далее установите непрозрачное проксирование с портом 8080. Перезапустите Континент TLS Клиент, проверьте, что все заданные настройки в Континент TLS Клиент сохранились. Перезапустите Internet Explorer 11, чтобы проверить, что Континент TLS Клиент не проставил прокси в IE11 127.0.0.1:8080 дополнительно к уже используемому сценарию автоматической настройки wpad.dat. Если проставил, то отключите прокси 127.0.0.1:8080, оставив один только сценарий автоматической настройки wpad.dat.

Далее всё как в предыдущем моём сообщении .
Спасибо сказали: Сергей

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

26 июнь 2019 08:45 #12646 от Сергей

Wmffre пишет:

Сергей пишет:

Wmffre пишет: Закройте Континент TLS Клиент 2.0.1440.0 Откройте Пуск --> Крипто-Про --> Сертификаты и удалите в "Сертификаты - текущий пользователь" все установленные Списки отзыва сертификатов. Далее запустите Континент TLS Клиент и удалите, а затем импортируйте Серверные сертификаты.

Попробовал, результат тот же.

Может мешать прокси, установленный в Internet Explorer 11 (127.0.0.1). Чтобы это проверить, сделайте следующее. В не зависимости от используемого браузера установите прокси в Internet Explorer 11 через сценарий автоматической настройки wpad.dat , другие прокси в Internet Explorer 11 отключите. Уберите галочку в Континент TLS Клиент "Внешний прокси - настраивать автоматически" (Обязательно нажмите "Сохранить" внизу), далее установите непрозрачное проксирование с портом 8080. Перезапустите Континент TLS Клиент, проверьте, что все заданные настройки в Континент TLS Клиент сохранились. Перезапустите Internet Explorer 11, чтобы проверить, что Континент TLS Клиент не проставил прокси в IE11 127.0.0.1:8080 дополнительно к уже используемому сценарию автоматической настройки wpad.dat. Если проставил, то отключите прокси 127.0.0.1:8080, оставив один только сценарий автоматической настройки wpad.dat.

Далее всё как в предыдущем моём сообщении .


Спасибо за рекомендации, попробую.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

26 июнь 2019 14:15 #12665 от Сергей

Сергей пишет:

Wmffre пишет:

Сергей пишет:

Wmffre пишет: Закройте Континент TLS Клиент 2.0.1440.0 Откройте Пуск --> Крипто-Про --> Сертификаты и удалите в "Сертификаты - текущий пользователь" все установленные Списки отзыва сертификатов. Далее запустите Континент TLS Клиент и удалите, а затем импортируйте Серверные сертификаты.

Попробовал, результат тот же.

Может мешать прокси, установленный в Internet Explorer 11 (127.0.0.1). Чтобы это проверить, сделайте следующее. В не зависимости от используемого браузера установите прокси в Internet Explorer 11 через сценарий автоматической настройки wpad.dat , другие прокси в Internet Explorer 11 отключите. Уберите галочку в Континент TLS Клиент "Внешний прокси - настраивать автоматически" (Обязательно нажмите "Сохранить" внизу), далее установите непрозрачное проксирование с портом 8080. Перезапустите Континент TLS Клиент, проверьте, что все заданные настройки в Континент TLS Клиент сохранились. Перезапустите Internet Explorer 11, чтобы проверить, что Континент TLS Клиент не проставил прокси в IE11 127.0.0.1:8080 дополнительно к уже используемому сценарию автоматической настройки wpad.dat. Если проставил, то отключите прокси 127.0.0.1:8080, оставив один только сценарий автоматической настройки wpad.dat.

Далее всё как в предыдущем моём сообщении .


Спасибо за рекомендации, попробую.


Пробовать не стал проблема ушла сама собой, жаль что не удалось выяснить причину, CRL в статусе "Действителен". После обеда получил новый сертификат сделанный по ГОСТ 2012. Появилась другая проблема (скриншот ниже). Да плюс ко всему Континент TLS-клиент в трее всегда горит красным и при наводке пишет истёк срок действия сертификата.
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 июнь 2019 04:47 - 27 июнь 2019 04:50 #12672 от sam28daphne
в сертификаты пользователя внимательно посмотрите, там обычно подписано какой сертификат просрочен.

а если на этапе аутентификации разрывает - сертификата в цепочке может не хватает? у нас такое сообщение уходило после того, как дополнительно воткнули цепочку головного и промежуточного в сертификатах (локальный компьютер), а не только (пользователь)
Спасибо сказали: Сергей

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 июнь 2019 05:32 #12674 от Gvinpin

sam28daphne пишет: у нас такое сообщение уходило после того, как дополнительно воткнули цепочку головного и промежуточного в сертификатах (локальный компьютер), а не только (пользователь)

Как бы для ЭБ это не дополнительно, а обязательное условие?

______________________________
Чем проще, тем сложнее ©

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 июнь 2019 07:26 - 27 июнь 2019 07:27 #12684 от sam28daphne

Gvinpin пишет:

sam28daphne пишет: у нас такое сообщение уходило после того, как дополнительно воткнули цепочку головного и промежуточного в сертификатах (локальный компьютер), а не только (пользователь)

Как бы для ЭБ это не дополнительно, а обязательное условие?

я в курсе, просто меня всегда в обратном убеждали.
+ сами что-то поставят, а потом приходится вот косяки разыскивать

поэтому я просто поделилась взглядами. вдруг поможет

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

27 июнь 2019 07:32 - 27 июнь 2019 07:32 #12686 от Gvinpin

sam28daphne пишет:

Gvinpin пишет:

sam28daphne пишет: у нас такое сообщение уходило после того, как дополнительно воткнули цепочку головного и промежуточного в сертификатах (локальный компьютер), а не только (пользователь)

Как бы для ЭБ это не дополнительно, а обязательное условие?

я в курсе, просто меня всегда в обратном убеждали.
+ сами что-то поставят, а потом приходится вот косяки разыскивать

поэтому я просто поделилась взглядами. вдруг поможет

Наверное. Многие просто упорно игнорируют этот нюанс.

______________________________
Чем проще, тем сложнее ©

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

28 июнь 2019 07:50 #12719 от Сергей

sam28daphne пишет: в сертификаты пользователя внимательно посмотрите, там обычно подписано какой сертификат просрочен.

а если на этапе аутентификации разрывает - сертификата в цепочке может не хватает? у нас такое сообщение уходило после того, как дополнительно воткнули цепочку головного и промежуточного в сертификатах (локальный компьютер), а не только (пользователь)


Просроченный сертификат пользователя удалил, помогло.

В сертификате в путях сертификации есть 2 сертификата Минкомсвязи (действует по 01.07.2036) и ФК (действует по 19.11.2033). Эти 2 сертификата "прописаны" в КриптоПро. Скриншоты прилагаю.
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

28 июнь 2019 10:37 #12721 от Wmffre
Если "Кому выдан" не совпадает с "Кем выдан", то такой сертификат должен быть установлен в "Промежуточные центры сертификации" и называется он промежуточным Поэтому два сертификата установлены в неверное хранилище: 1)Федеральное казначейство -- Минкомсвязь России и 2)Федеральное казначейство -- Головной удостоверяющий центр)

Реально корневым является только тот, у которого "Кому выдан" совпадает с "Кем выдан" и такой сертификат устанавливается в "Доверенные корневые центры сертификации" (они установлены правильно).


Сертификаты - текущий пользователь --> Доверенные корневые центры сертификаты --> Локальный компьютер -->Сертификаты ___и___ Сертификаты (локальный компьютер) --> Доверенные корневые центры сертификаты --> Реестр --> Сертификаты __это одно и тоже хранилище.
Спасибо сказали: Сергей

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

28 июнь 2019 12:22 #12724 от Сергей

Wmffre пишет: Если "Кому выдан" не совпадает с "Кем выдан", то такой сертификат должен быть установлен в "Промежуточные центры сертификации" и называется он промежуточным Поэтому два сертификата установлены в неверное хранилище: 1)Федеральное казначейство -- Минкомсвязь России и 2)Федеральное казначейство -- Головной удостоверяющий центр)

Реально корневым является только тот, у которого "Кому выдан" совпадает с "Кем выдан" и такой сертификат устанавливается в "Доверенные корневые центры сертификации" (они установлены правильно).


Сертификаты - текущий пользователь --> Доверенные корневые центры сертификаты --> Локальный компьютер -->Сертификаты ___и___ Сертификаты (локальный компьютер) --> Доверенные корневые центры сертификаты --> Реестр --> Сертификаты __это одно и тоже хранилище.


Спасибо большое за уточнение, честно говоря не знал но теперь в курсе, исправлю.

Тех. поддержка прислала следующие рекомендации:
Добрый день! В настоящий момент вход в ЛК ЭБ с помощью сертификатов на основе ГОСТ 2012 реализован по адресу lk2012.budget.gov.ru. В целях корректного отображения информации в подсистемах следует использовать протокол http, а не https. Вход по протоколу http осуществляется с помощью СКЗИ Континент TLS Клиент 2.0. В случае отсутствия необходимых дистрибутивов Вам следует обратиться в ОРСиБИ Федерального казначейства своего региона. Для входа в Личный кабинет Электронного бюджета по сертификатам, выпущенным на основе ГОСТ 2012, необходимо выполнить указанные ниже действия.
1) Установить сертификат ГУЦ (доступен по ссылке: www.roskazna.ru/upload/iblock/7e3/guts_2012.cer ) в хранилище Локальный компьютер – Доверенные корневые центры сертификации.
2) Установить сертификат УЦ Федерального казначейства (доступен по ссылке: www.roskazna.ru/upload/iblock/acb/fk_2012.cer ) в хранилище Локальный компьютер – Промежуточные центры сертификации.
3)В свойствах браузера, изменить настройки подключения:
1.Если в организации используется прокси, указать адрес и порт прокси-сервера.
2.Если в организации прокси не используется, отключить использование прокси.
4) При использовании в организации прокси-сервера добавить на нем разрешающее правило для 94.25.27.229 tcp-443.
5) Если в организации используется антивирусное средство, то перед настройкой Континент TLS Клиента необходимо внести его исполняемый файл в доверенное программное обеспечение антивирусного средства.
6) Осуществить установку и настройку Континент TLS Клиента в соответствии с разделом «Установка и настройка СКЗИ Континент TLS VPN Клиент» Руководства, доступного по ссылке: roskazna.ru/upload/iblock/3f8/rukovodstv...ya_gost2012-ver2.doc После выполнения указанных выше действий просьба почистить кэш/куки в браузере, сбросить соединения TLS клиента, перезапустить браузер и осуществить попытку входа.

P.S. Сейчас возможности проверить нет. Как только появится возможность, обязательно сообщу о результатах.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.