- Сообщений: 137
- Спасибо получено: 12
СЭД казначейства
Пятьдесят оттенков СЭДа
Проблема с ЕИС
- ViktorGRBS
-
- Не в сети
Меньше
Больше
02 июль 2018 07:59 #7768
от ViktorGRBS
Читайте новости на главной странице. Написано: проблемы со входом, техническая поддержка занимается решением этого вопроса!
ViktorGRBS ответил в теме Проблема с ЕИС
two_oceans пишет: Ага, при входе в ЕИС мелким шрифтом пишет про КриптоПро 4.0. У меня такая же на нескольких компьютерах с КриптоПро 3.6 R3 - 3.6.1, а на моем ноутбуке с КриптоПро 4.0 и Win 7... при заходе на ЕИС через IE вообще появляется ошибка от какой-то службы "Произошла критическая ошибка. Компьютер будет перезагружен через 1 минуту". (Поискал в интернете, процесс svchost в котором служб как грязи, попытка изменить параметры Крбероса тоже ничего не дала. В свете этой ошибки я наверно пока придержу тиражирование 4.0 в организации). Причем на ЕГИССО прекрасно заходит, в антивирусе проверка защищенных соединений и порта 443 отключена.
Читайте новости на главной странице. Написано: проблемы со входом, техническая поддержка занимается решением этого вопроса!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- two_oceans
-
- Не в сети
Меньше
Больше
- Сообщений: 183
- Спасибо получено: 36
02 июль 2018 08:19 #7769
от two_oceans
two_oceans ответил в теме Проблема с ЕИС
Спасибо, но этот совет неприменим, так как ЕГИССО как раз требует TLS 1.2. Для одной только 1.0, для другой 1.2. Придем к тому, чтобы сделать по отдельному компу для каждой ГИС и к нему по расписанию пользователей пускать?Blaze пишет: В свойствах Internet Explorer включите только протокол TLS 1.0
Все остальные протоколы отключите (снимите галочку со всех SSL и TLS новых версий)
Тут быстрее узнаешь, когда туда вообще ни прямо ни в профиль не зайти. Очень замечательно, что техподдержка занимается, однако что уже начало что-то в службах крашится от "горячо любимой" ЕИС, настораживает. Потом порадуют рекомендацией на десятку и Эдж перейти?Читайте новости на главной странице. Написано: проблемы со входом, техническая поддержка занимается решением этого вопроса!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- felix
-
- Не в сети
Меньше
Больше
- Сообщений: 30
- Спасибо получено: 4
02 июль 2018 10:16 #7770
от felix
felix ответил в теме Проблема с ЕИС
Support прислал решение:
Уважаемый пользователь!
На главной странице сайта ЕИС размещена новость:
Начиная с версии ЕИС 8.2., выходящей 1.07.2018 пользователям ЕИС, за исключением пользователей, работающим по 223-ФЗ, настоятельно рекомендуется использовать средство криптографической защиты информации (далее - СКЗИ) «КриптоПро CSP» 4.0 (сборка 4.0.9944), дистрибутив которого размещен по ссылке.
Обращаем внимание, что в случае использования «КриптоПро CSP» версии 4.0 (сборка 4.0.9842) в отдельных случаях возможно некорректное поведение СКЗИ, приводящее к перезагрузке персонального компьютера пользователя (далее - ПК). В целях предотвращения непредвиденной перезагрузки ПК пользователям необходимо выполнить настройки веб-обозревателя в соответствии с инструкцией (раздел 1.2.5).
Также, обращаем внимание пользователей, что обновление сборки 4.0.9842 «КриптоПро CSP» версии 4.0 на сборку 4.0.9944 не требует приобретения дополнительных лицензий на программное обеспечение.
Рекомендуем Вам проверить настройки рабочего места в соответствии с документом Инструкция по настройке рабочего места (с 01.07.2018), переустановить сертификаты : Сертификат Головного удостоверяющего центра, Сертификат Удостоверяющего центра Федерального казначейства, Корневой сертификат Уполномоченного удостоверяющего центра федерального казначейства (2013 г.).
Инструкция по установке сертификатов (подробнее в Руководстве пользователя):
1. Открыть нужный сертификат и нажать кнопку «установить сертификат»
2. На появившемся окне мастера импорта сертификатов нажать кнопку «Далее»
3. В следующем окне необходимо выбрать по умолчанию.
4. Выбрать "Далее" и завершить установку сертификата, нажав кнопку «Готово».
Данные файлы доступны по ссылке :
zakupki.gov.ru/epz/main/public/document/...FZALL&_categories=on
В случае актуальности проблемы от Вас необходима запись последовательности входа в ЛК с отображением ошибки, настройки рабочего места, скриншот сборки «КриптоПро CSP» программы :
1. Зайти на главную страницу ЕИС;
2. Пуск - Выполнить - прописать PSR и нажать enter;
3. Появится ПО "Средство записи действий", в параметрах необходимо указать максимальное количество скриншотов "99";
4. Зайти в ЛК;
5. Нажать F12;
6. Сеть - Начать сбор сетевого трафика;
7. Воспроизвести проблему;
8. Сеть - Остановить сбор, затем "Экспорт собранного трафика" (сохранить файл);
9. В открытой программе "Средство записи действий" остановить запись действий, сохранить файл;
10. Полученные файлы направить на Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Так же приложите ранее высланную информацию.
С уважением, служба технической поддержки Официального сайта ЕИС.
Уважаемый пользователь!
На главной странице сайта ЕИС размещена новость:
Начиная с версии ЕИС 8.2., выходящей 1.07.2018 пользователям ЕИС, за исключением пользователей, работающим по 223-ФЗ, настоятельно рекомендуется использовать средство криптографической защиты информации (далее - СКЗИ) «КриптоПро CSP» 4.0 (сборка 4.0.9944), дистрибутив которого размещен по ссылке.
Обращаем внимание, что в случае использования «КриптоПро CSP» версии 4.0 (сборка 4.0.9842) в отдельных случаях возможно некорректное поведение СКЗИ, приводящее к перезагрузке персонального компьютера пользователя (далее - ПК). В целях предотвращения непредвиденной перезагрузки ПК пользователям необходимо выполнить настройки веб-обозревателя в соответствии с инструкцией (раздел 1.2.5).
Также, обращаем внимание пользователей, что обновление сборки 4.0.9842 «КриптоПро CSP» версии 4.0 на сборку 4.0.9944 не требует приобретения дополнительных лицензий на программное обеспечение.
Рекомендуем Вам проверить настройки рабочего места в соответствии с документом Инструкция по настройке рабочего места (с 01.07.2018), переустановить сертификаты : Сертификат Головного удостоверяющего центра, Сертификат Удостоверяющего центра Федерального казначейства, Корневой сертификат Уполномоченного удостоверяющего центра федерального казначейства (2013 г.).
Инструкция по установке сертификатов (подробнее в Руководстве пользователя):
1. Открыть нужный сертификат и нажать кнопку «установить сертификат»
2. На появившемся окне мастера импорта сертификатов нажать кнопку «Далее»
3. В следующем окне необходимо выбрать по умолчанию.
4. Выбрать "Далее" и завершить установку сертификата, нажав кнопку «Готово».
Данные файлы доступны по ссылке :
zakupki.gov.ru/epz/main/public/document/...FZALL&_categories=on
В случае актуальности проблемы от Вас необходима запись последовательности входа в ЛК с отображением ошибки, настройки рабочего места, скриншот сборки «КриптоПро CSP» программы :
1. Зайти на главную страницу ЕИС;
2. Пуск - Выполнить - прописать PSR и нажать enter;
3. Появится ПО "Средство записи действий", в параметрах необходимо указать максимальное количество скриншотов "99";
4. Зайти в ЛК;
5. Нажать F12;
6. Сеть - Начать сбор сетевого трафика;
7. Воспроизвести проблему;
8. Сеть - Остановить сбор, затем "Экспорт собранного трафика" (сохранить файл);
9. В открытой программе "Средство записи действий" остановить запись действий, сохранить файл;
10. Полученные файлы направить на Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Так же приложите ранее высланную информацию.
С уважением, служба технической поддержки Официального сайта ЕИС.
Спасибо сказали: two_oceans, Wmffre, sam28daphne
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Blaze
-
- Не в сети
02 июль 2018 12:35 #7771
от Blaze
Blaze ответил в теме Проблема с ЕИС
Корневые zakupki.gov.ru и клиентские сертификаты используют старый протокол TLSv1.0 и GOST R 34.10-2001в то время как Google Chrome и Mozilla Firefox поддерживают протокол TLS 1.3
# nmap --script ssl-enum-ciphers -p 443 zakupki.gov.ru
Starting Nmap 7.70 ( https://nmap.org ) at 2018-06-20 17:48 Local time zone must be set--see zic manual page
Nmap scan report for zakupki.gov.ru (31.173.38.227)
Host is up (0.016s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_DH_RSA_WITH_AES_128_CBC_SHA - unknown
| TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
| compressors:
| NULL
| cipher preference: client
|_ least strength: unknown
Nmap done: 1 IP address (1 host up) scanned in 1.27 secondsКомпания Google анонсировала скорое прекращение поддержки протокола SSLv3 и алгоритма RC4, которые не отвечают современным требованиям безопасности и подвержены нескольким видам атак.
На первом этапе поддержка SSLv3 и RC4 будет отключена на фронтэнд-серверах, после чего отключение распространится на все продукты Google, включая Chrome (SSLv3 в Chrome уже отключён, в очереди на отключение RC4), Android, поисковые боты и SMTP-серверы. По статистике SSL Pulse из 200 тысяч крупнейших HTTPS-сайтов 42% уже отключили RC4 и 65% отключили SSLv3.
Кроме того, планируется повысить требования к параметрам установки соединения HTTPS, например, для работы с сайтами Google по защищённому каналу связи на стороне клиента станет обязательной поддержка TLS 1.2, наличие расширения SNI (Server Name Indication) и присутствие набора шифров TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Доверие будет ограничено корневыми сертификтами из списка pki.google.com/roots.pem, при обработке сертификатов обязательной будет поддержка DNS SAN (Subject Alternative Names). Для тестирования соответствия клиентского ПО новым требованиям Google подготовлена страница cert-test.sandbox.google.com/
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Wmffre
-
- Не в сети
Меньше
Больше
- Сообщений: 749
- Спасибо получено: 229
02 июль 2018 12:59 - 02 июль 2018 13:11 #7772
от Wmffre
Обратите внимание: по умолчанию браузеры КриптоПро Fox и Mozilla firefox будут использовать один и тот же профиль настроек; чтобы настроить их на использование разных профилей, то необходимо для каждого из них создать свой профиль и затем прописать в ярлыке параметры запуска: -no-remote -p <название профиля>.
Также могут подойти любые другие браузеры, в которых была доработана поддержка ГОСТ-шифрования. Можете также попробовать настроить таким же образом КриптоПро Fox для входа в личный кабинет ЕИС - только возможно, что и для этого браузера потребуется отключать TLS 1.1 и TLS 1.2.
Auto screen capture + mencoder - бесплатные(GPL) программы для создания видео действий пользователя для техподдержки.
Wmffre ответил в теме Проблема с ЕИС
Если используется ГОСТ-шифрование в ЕГИССО, то для него в качестве обходного пути можете попробовать настроить КриптоПро Fox 45 (для него требуется флешка/етокен с контейнером закрытого ключа, и чтобы обязательно при этом сертификат пользователя был установлен в контейнер закрытого ключа).two_oceans пишет: Спасибо, но этот совет неприменим, так как ЕГИССО как раз требует TLS 1.2. Для одной только 1.0, для другой 1.2. Придем к тому, чтобы сделать по отдельному компу для каждой ГИС и к нему по расписанию пользователей пускать?
Обратите внимание: по умолчанию браузеры КриптоПро Fox и Mozilla firefox будут использовать один и тот же профиль настроек; чтобы настроить их на использование разных профилей, то необходимо для каждого из них создать свой профиль и затем прописать в ярлыке параметры запуска: -no-remote -p <название профиля>.
Также могут подойти любые другие браузеры, в которых была доработана поддержка ГОСТ-шифрования. Можете также попробовать настроить таким же образом КриптоПро Fox для входа в личный кабинет ЕИС - только возможно, что и для этого браузера потребуется отключать TLS 1.1 и TLS 1.2.
Auto screen capture + mencoder - бесплатные(GPL) программы для создания видео действий пользователя для техподдержки.
Спасибо сказали: two_oceans
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Blaze
-
- Не в сети
02 июль 2018 14:49 - 02 июль 2018 19:19 #7774
от Blaze
Blaze ответил в теме Проблема с ЕИС
У клиента протестировал подпись документов в ЕИС через браузер Спутник. Подпись работает.
В предыдущем сообщении я проверял nmap 2018-06-20, там была поддержка только TLSv1.0, а сейчас:Что-то они в версии ЕИС 8.2 поменяли. Интересно что будет в сертификате с ГОСТ Р 34.10-2012
В предыдущем сообщении я проверял nmap 2018-06-20, там была поддержка только TLSv1.0, а сейчас:
nmap --script ssl-enum-ciphers -p 443 zakupki.gov.ru
Starting Nmap 7.70 ( https://nmap.org ) at 2018-07-02 22:09 Local time zone must be set--see zic manual page
Nmap scan report for zakupki.gov.ru (31.173.38.227)
Host is up (0.016s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| SSLv3:
| ciphers:
| TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
| compressors:
| NULL
| cipher preference: indeterminate
| cipher preference error: Too few ciphers supported
| TLSv1.0:
| ciphers:
| TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
| compressors:
| NULL
| cipher preference: indeterminate
| cipher preference error: Too few ciphers supported
| TLSv1.1:
| ciphers:
| TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
| compressors:
| NULL
| cipher preference: indeterminate
| cipher preference error: Too few ciphers supported
|_ least strength: unknown
Nmap done: 1 IP address (1 host up) scanned in 0.63 secondsПожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- two_oceans
-
- Не в сети
Меньше
Больше
- Сообщений: 183
- Спасибо получено: 36
03 июль 2018 05:08 - 03 июль 2018 06:25 #7778
от two_oceans
Да, 31-ая так и настроена с отдельным профилем, отдельным ярлыком и установлена в отдельную папку. И честно говоря ее работа меня устраивает в плане ГАС "Управления" и админки сайта организации. Админка древняя, 31 криптофокс каким-то чудом работает, в практически всех остальных браузерах (новее ИЕ 8 ), нет полосы прокрутки. 45 неизвестно сработает ли. А значит мне еще и 45 ставить в отдельную папку, отдельный профиль и т.д. Плагины на 45 вроде бы нужны другой версии, так что еще новый ряд плагинов. И самое главное будет жрать еще дофига памяти когда случится работать одновременно с несколькими ГИС. Проблему с памятью фаерфокс решили в районе 56-58 версии при переходе на другой движок, для которого сборки не видел еще. А еще если обновляться до 9944, то все криптофоксы надо переустанаввливать.
Другие (спутник и хромиум гост)не проверял, но, собственно, те же минусы - огромная потеря оперативки и переустановка после любого чиха с криптопровайдером.
Сейчас проверил вход в личный кабинет ЕИС, КриптоПро Fox 31-я с криптопро 4.0.9842 заходит в ЕИС (правда сертификат запрашивает чуть не на каждой странице и представление неудобное, еле нашел нужный) и даже запросили доступ к ключам.Неужели свершилось и ланитовский компонент не нужен для подписи?Да, подписал изменение регистрационных данных через КриптоПро ЭЦП Browser plug-in. Ура!! Если еще все функции ЕИС работают в КриптоФоксе, то всех пользователей ЕИС на него пересаживать буду.
two_oceans ответил в теме Проблема с ЕИС
Да они вообще с цепи сорвались, походу с ГОСТ использовать будет возможно только сборки от других производителей, но не от них. Но это отдельная тема, не буду тут обсуждать.в то время как Google Chrome и Mozilla Firefox поддерживают протокол TLS 1.3
Ага, ага я проверял на 31 версии КриптоПроФокс, там с ГАС "Управление" работаю - на егиссо говорит "Нет общих алгоритмов", на ЕИС заходило, но не подписывало из-за отсутствия версии Ланитовского компонента для Фоксов.Если используется ГОСТ-шифрование в ЕГИССО
Да, 31-ая так и настроена с отдельным профилем, отдельным ярлыком и установлена в отдельную папку. И честно говоря ее работа меня устраивает в плане ГАС "Управления" и админки сайта организации. Админка древняя, 31 криптофокс каким-то чудом работает, в практически всех остальных браузерах (новее ИЕ 8 ), нет полосы прокрутки. 45 неизвестно сработает ли. А значит мне еще и 45 ставить в отдельную папку, отдельный профиль и т.д. Плагины на 45 вроде бы нужны другой версии, так что еще новый ряд плагинов. И самое главное будет жрать еще дофига памяти когда случится работать одновременно с несколькими ГИС. Проблему с памятью фаерфокс решили в районе 56-58 версии при переходе на другой движок, для которого сборки не видел еще. А еще если обновляться до 9944, то все криптофоксы надо переустанаввливать.
Другие (спутник и хромиум гост)не проверял, но, собственно, те же минусы - огромная потеря оперативки и переустановка после любого чиха с криптопровайдером.
Сейчас проверил вход в личный кабинет ЕИС, КриптоПро Fox 31-я с криптопро 4.0.9842 заходит в ЕИС (правда сертификат запрашивает чуть не на каждой странице и представление неудобное, еле нашел нужный) и даже запросили доступ к ключам.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- ViktorGRBS
-
- Не в сети
Меньше
Больше
- Сообщений: 137
- Спасибо получено: 12
03 июль 2018 08:24 #7783
от ViktorGRBS
Прошу прощения, слегка погорячился, рекомендуют настраивать АРМ согласно новой "Инструкции.." в которой рекомендуется включить только TLS 1.0, что идёт вразрез с настройками браузера (IE) для других ГИИС. хм
ViktorGRBS ответил в теме Проблема с ЕИС
two_oceans пишет:
Спасибо, но этот совет неприменим, так как ЕГИССО как раз требует TLS 1.2. Для одной только 1.0, для другой 1.2. Придем к тому, чтобы сделать по отдельному компу для каждой ГИС и к нему по расписанию пользователей пускать?Blaze пишет: В свойствах Internet Explorer включите только протокол TLS 1.0
Все остальные протоколы отключите (снимите галочку со всех SSL и TLS новых версий)Тут быстрее узнаешь, когда туда вообще ни прямо ни в профиль не зайти. Очень замечательно, что техподдержка занимается, однако что уже начало что-то в службах крашится от "горячо любимой" ЕИС, настораживает. Потом порадуют рекомендацией на десятку и Эдж перейти?Читайте новости на главной странице. Написано: проблемы со входом, техническая поддержка занимается решением этого вопроса!
Прошу прощения, слегка погорячился, рекомендуют настраивать АРМ согласно новой "Инструкции.." в которой рекомендуется включить только TLS 1.0, что идёт вразрез с настройками браузера (IE) для других ГИИС. хм
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- two_oceans
-
- Не в сети
Меньше
Больше
- Сообщений: 183
- Спасибо получено: 36
11 июль 2018 08:32 - 11 июль 2018 08:43 #7940
от two_oceans
two_oceans ответил в теме Проблема с ЕИС
У меня вопрос - только у меня не получилось настроить IE 10 по новой инструкции? Заходит на ЕИС, но плагин ни в какую грузить не хочет и ошибок о плагине тоже не появляется. Естественно ЕИС добавлена в доверенные узлы. В соседней вкладке тестовая страница криптопро и площадка Сбербанка на ура и плагин загружают и подписывают. По всем признакам или ЕИС тупит или ерунда с доверенными узлами. Обход конечно настроил через КриптоПро Fox, но интересно в чем беда.
В ходе поиска причин увидел сообщение на форуме Криптопро, что IE 10 и IE 11 выдают разное значение в свойстве navigator, плагин Криптопро обновили, но сайтам, использующим плагин, тоже надо учесть различие для правильной работы. ЕИС это отличие не учитывает или как? Или дистрибутив IE 10 у меня глючный?
С IE 11 уже на 7 компьютерах все работает просто с перепроверкой сертификатов и обновлением КриптоПро и плагина.
ВНИМАНИЕ: Спойлер!
Вчера почти весь день с таким рабочим местом провозился - сначала пользователи сами галочки тыкали, а когда не заработало пришли ко мне (еще одно рабочее место они смогли сами настроить, там IE 11). Похоже кто-то жестоко пошутил описав сначала настройку, а потом среди прочего сброс настроек. Они настроили потом нажали сброс. Вернул галочки как по памяти - не взлетело. Открыл все новые инструкции, галочки по ним проверил под микроскопом (про режим совместимости не нашел то что в инструкции написано, поставил режим совместимости через F12) - не взлетело. Запустил утилиту от контура, она все мыслимые площадки в доверенные прописала (ЕИС аж по два раза получилось) и почти все их плагины установила (от плагинов московской площадки и газпрома я отказался). И предложила обновить IE 10 (судя по названию не на 11, а какую-то обновленную версию 10 го) - отказался. Ну думаю если 2 раза адрес ЕИС в доверенном списке наверно какой-то знак не тот, на глаз одинаковые, надо удалить оба адреса и занести снова. Один-то адрес удалился, а второй удаляю, открываю снова чтоб добавить - есть в списке. Мистика, настроил КриптоПро Fox, работает. Ну ладно пошел на соседний компьютер (нетронутый, пользователь в отпуске, до 1 июля все было настроено), тоже с IE 10. Обновил КриптоПро и плагин, ланитовский плагин удалил. Один-в-один - заходит, но не подписывает. Версия Ie 10 ставилась с одного дистрибутива. Решил обновить IE через WU (не зря же утилита советовала обновить) - установил, перезагрузка и вуаля, подпись заработала. Без всяких заходов со сбросом и галочками.
С IE 11 уже на 7 компьютерах все работает просто с перепроверкой сертификатов и обновлением КриптоПро и плагина.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- bugzi
-
- Не в сети
Меньше
Больше
- Сообщений: 108
- Спасибо получено: 6
19 июль 2018 04:47 - 19 июль 2018 04:55 #8028
от bugzi
Не я такой, а жизнь этому учит..
bugzi ответил в теме Проблема с ЕИС
ставьте только ie 11 и не ниже. были на некоторых машинах 10-ки, были траблы, заменил на 11 стало все рульно. бывает чего то слетает но все лечится. либо переустановкой сертификатов ли каких либо плагинов, смотря для какого сайта (sufd\bus.gov\zakupki.gov\ast-sberbank\электронные бюджеты росказна\минфин\смарт-про). все эти ресурсы работают у меня на ie 11
Не я такой, а жизнь этому учит..
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex_04
-
- Не в сети
- ТОФК
Меньше
Больше
- Сообщений: 2426
- Спасибо получено: 405
24 июль 2018 14:56 - 24 июль 2018 15:01 #8073
от Alex_04
"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)
Alex_04 ответил в теме Проблема с ЕИС
Сегодня столкнулся на клиентком компе с преславутой ошибкой крипты с последующей перезагрузкой компа. Сделал:
1. В IE11 выставил все настройки строго по Инструкции по настройке рабочего места ЕИС
2. Так же в соответствии с ней в КриптоПро-4.0.9842 - Безопасность - галку в "Усиленный контроль использования ключей".
3. На всякий случай обновил КриптоПро браузер ЭЦП plugin до последней версии 2.0.13292 (апрель 2018, рекомендуется).
4. Перезагрузил комп.
Вход в л/к ЕИС - ОК! Без обновления крипты до 4.0.9944, проверили ЭП при сохранении данных пользователя - тоже Ок.
Имхо: именно "Усиленный контроль использования ключей" в КриптоПро-4.0.9842 и снятие галок "Использовать TLS 1.1 и 1.2" в IE всё же позволили обойтись без обновления крипты и победить ошибку, приводящую к перезагрузке компа.
НЕ факт, что это проканает абсолютно везде, где вылезет такая оказия. Однако очень даже стОит вначале выполнить все настройки из Инструкции, прежде чем плеваться и обновляться (хотя то и другое конечно очень будет напрашиваться).
1. В IE11 выставил все настройки строго по Инструкции по настройке рабочего места ЕИС
2. Так же в соответствии с ней в КриптоПро-4.0.9842 - Безопасность - галку в "Усиленный контроль использования ключей".
3. На всякий случай обновил КриптоПро браузер ЭЦП plugin до последней версии 2.0.13292 (апрель 2018, рекомендуется).
4. Перезагрузил комп.
Вход в л/к ЕИС - ОК! Без обновления крипты до 4.0.9944, проверили ЭП при сохранении данных пользователя - тоже Ок.
Имхо: именно "Усиленный контроль использования ключей" в КриптоПро-4.0.9842 и снятие галок "Использовать TLS 1.1 и 1.2" в IE всё же позволили обойтись без обновления крипты и победить ошибку, приводящую к перезагрузке компа.
НЕ факт, что это проканает абсолютно везде, где вылезет такая оказия. Однако очень даже стОит вначале выполнить все настройки из Инструкции, прежде чем плеваться и обновляться (хотя то и другое конечно очень будет напрашиваться).
"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)
Спасибо сказали: sam28daphne
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- bugzi
-
- Не в сети
Меньше
Больше
- Сообщений: 108
- Спасибо получено: 6
24 июль 2018 20:39 #8075
от bugzi
Не я такой, а жизнь этому учит..
bugzi ответил в теме Проблема с ЕИС
так же есть одна из машин где решением было снятие галочек и обновление плагина. Но так же есть машины где стоят старые версии крипты и все работает. По этому танцы с бубном индивидуальны к каждому случаю..
Не я такой, а жизнь этому учит..
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- two_oceans
-
- Не в сети
Меньше
Больше
- Сообщений: 183
- Спасибо получено: 36
25 июль 2018 04:31 - 25 июль 2018 04:52 #8077
от two_oceans
Не знаю насчет конкретных действий, так как на 4.0.9842 не пробовал данные действия (в частности, для меня был не вариант снятие галки TLS 1.2 из-за ЕГИССО). В КриптоФоксе и версия 4.0.4892 без выделенных красным действий не перезагружала компьютер. Усиленный контроль ключей по идее нам ничего не дает и не мешает, так как закрытым ключом практически ничего не шифруется (а "обычный" контроль позволяет расшифровку после истечения срока использования закрытого ключа). В установленном соединении TLS шифруется симметричным ключом, не закрытым. При установке соединения чуть шифруется закрытым ключом, но эти данные одномоментные, не нужно расшифровывать через год. Поэтому усиленный контроль ключей нужно отключать только в 2 случаях: 1) если есть зашифрованные данные (например, в системе документооборота вроде Контур-Экстерн), которые потребуется расшифровать через год; 2) истек срок действия закрытого ключа, но сертификат еще действует несколько дней.
Вот глюки в реализации TLS 1.1 или TLS 1.2 не стану исключать, но это именно с Майкрософтовскими программами конфликт. В моем случае я подозреваю причина перезагрузки была еще и в компонентах 4.0.9842 - были выбраны дополнительно Криптопровайдер уровня ядра ОС и Revocation provider и потому что-то в службах крашилось. Сегодня ходил в подведомственную организацию, у них антивирус блокировал соединение и плагина не было, но там тоже 9842 и работает ЕИС в IE.
two_oceans ответил в теме Проблема с ЕИС
Рад Вашим успехам, особенно удивило про IE 8. Как бы сказать, если нужно исправить конкретную ошибку и не обращать внимания больше ни на что, то инструкции конечно нужно выполнять. Однако очень часто инструкции ГИС противоречат друг другу и тогда приходится выбирать чему же следовать. А то и вовсе сочинять свой вариант. Так, после обновления 9944 у меня работает и без снятия галочек и усиления контроля (зато были мелкие проблемы с пин-кодами - по умолчанию их не запоминало после обновления). Конкретная инструкция ЕИС убивает пунктом про сброс настроек (который расположен не в начале настройки, а почти в самом конце) и ссылкой на отдельную инструкцию по плагину (не могли все в одной свести?). Ага, настроили и сбрасываем, авось заработает. Рекомендация обновиться до 9944 тоже мягко говоря странная - дали ссылку на СКЗИ, но про учет СКЗИ умолчали, лицензия от ФК подходит и ладно. 90% пользователей сидевших на 3.6 и сделавших по инструкции самостоятельно сейчас с пробной лицензией (даже если лицензии на них уже получены в ФК) и побегут "к программистам" или в теротдел ФК в октябре.Alex_04 пишет: Имхо: именно "Усиленный контроль использования ключей" в КриптоПро-4.0.9842 и снятие галок "Использовать TLS 1.1 и 1.2" в IE всё же позволили обойтись без обновления крипты и победить ошибку, приводящую к перезагрузке компа.
Не знаю насчет конкретных действий, так как на 4.0.9842 не пробовал данные действия (в частности, для меня был не вариант снятие галки TLS 1.2 из-за ЕГИССО). В КриптоФоксе и версия 4.0.4892 без выделенных красным действий не перезагружала компьютер. Усиленный контроль ключей по идее нам ничего не дает и не мешает, так как закрытым ключом практически ничего не шифруется (а "обычный" контроль позволяет расшифровку после истечения срока использования закрытого ключа). В установленном соединении TLS шифруется симметричным ключом, не закрытым. При установке соединения чуть шифруется закрытым ключом, но эти данные одномоментные, не нужно расшифровывать через год. Поэтому усиленный контроль ключей нужно отключать только в 2 случаях: 1) если есть зашифрованные данные (например, в системе документооборота вроде Контур-Экстерн), которые потребуется расшифровать через год; 2) истек срок действия закрытого ключа, но сертификат еще действует несколько дней.
Вот глюки в реализации TLS 1.1 или TLS 1.2 не стану исключать, но это именно с Майкрософтовскими программами конфликт. В моем случае я подозреваю причина перезагрузки была еще и в компонентах 4.0.9842 - были выбраны дополнительно Криптопровайдер уровня ядра ОС и Revocation provider и потому что-то в службах крашилось. Сегодня ходил в подведомственную организацию, у них антивирус блокировал соединение и плагина не было, но там тоже 9842 и работает ЕИС в IE.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex_04
-
- Не в сети
- ТОФК
Меньше
Больше
- Сообщений: 2426
- Спасибо получено: 405
25 июль 2018 06:08 - 25 июль 2018 06:24 #8079
от Alex_04
Про "всё в одной": в самом первом варианте Инструкции по настройке рабочего места от 02.07.2018 (yadi.sk/d/DI7fM1XL3ZYMTH) так и было - там была разжёвана установка и настройка практически всего необходимого ПО и СКЗИ. И про "Усиленный контроль использования ключей" в КриптоПро-4.0.9842 было именно в первой редакции
- стр.30 перед рисунком 27 "Установка усиленного контроля использования ключей":
"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)
Alex_04 ответил в теме Проблема с ЕИС
В том посте речь шла про ГИИС ЭБ - войти-то удалось, а подписание не было проверено...two_oceans пишет: особенно удивило про IE 8
Про невнятность использования и необходимости(-ли?) сброса настроек согласен, +1!Конкретная инструкция ЕИС убивает пунктом про сброс настроек (который расположен не в начале настройки, а почти в самом конце) и ссылкой на отдельную инструкцию по плагину (не могли все в одной свести?). Ага, настроили и сбрасываем, авось заработает.
Про "всё в одной": в самом первом варианте Инструкции по настройке рабочего места от 02.07.2018 (yadi.sk/d/DI7fM1XL3ZYMTH) так и было - там была разжёвана установка и настройка практически всего необходимого ПО и СКЗИ. И про "Усиленный контроль использования ключей" в КриптоПро-4.0.9842 было именно в первой редакции
- стр.30 перед рисунком 27 "Установка усиленного контроля использования ключей":
- стр.35 последний абзац:Использование СКЗИ КриптоПро CSP 4.0.9842 без включения режима усиленного контроля использования ключей разрешается только в тестовых целях.
В текущей редакции Инструкции (от 05.07.2018 на сегодня) вырезали всё, что касалось установки, настройки и особенностей КриптоПро, сославшись, что:Использование СКЗИ «КриптоПро CSP» версии 4.0 с выключенным режимом усиленного контроля использования ключей не допускается.
Процесс установки КриптоПро CSP, а также необходимые настройки для работы (ввод серийного номера лицензии, требования к эксплуатации, настройка считывателей, установка сертификатов) приводятся в сопроводительной документации для данного ПО на официальном сайте производителя.
+1! В первом варианте Инструкции этому был посвящен целый пункт "1.2.10 Требования к эксплуатации ПО CryptoPro CSP" (стр.33-35) хотя-бы, а теперь и в ней ни слова на эту тему...two_oceans пишет: Рекомендация обновиться до 9944 тоже мягко говоря странная - дали ссылку на СКЗИ, но про учет СКЗИ умолчали, лицензия от ФК подходит и ладно.
Возможно Вы правы, и поэтому м.б. из Инструкции и убрали это требование? Я не проверил вход в ЕИС до установки этой настройки в крипте при уже отключенных TLS 1.1 и 1.2 в IE.Усиленный контроль ключей по идее нам ничего не дает и не мешает... Вот глюки в реализации TLS 1.1 или TLS 1.2 не стану исключать...
м.б. тогда стОит переустановить крипту без этих компонентов?В моем случае я подозреваю причина перезагрузки была еще и в компонентах 4.0.9842 - были выбраны дополнительно Криптопровайдер уровня ядра ОС и Revocation provider и потому что-то в службах крашилось.
т.е. работают БЕЗ криптоплагина ЭЦП? подписание удаётся через яву значит до сих пор?у них антивирус блокировал соединение и плагина не было, но там тоже 9842 и работает ЕИС в IE.
"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- two_oceans
-
- Не в сети
Меньше
Больше
- Сообщений: 183
- Спасибо получено: 36
25 июль 2018 07:15 - 25 июль 2018 07:23 #8080
от two_oceans
Еще один момент инструкции - в ActiveX сказано все включить. Однако для Ie 10 в Профессиональной версии семерки там же есть пункт - ограничить списком допущенных в домене. И если мы включаем его, а список допущенных в домене пуст, то полагаю вообще все ActiveX отключатся.
Подписание как раз не работало, выдавало какую-то "муть" перед собственно ошибкой. Вчера зачитали по телефону у меня чуть волосы дыбом не встали - в духе ошибок openssl - что не найдено смещение хх в сертификате, вероятно недостаточен размер буфера. Сегодня сам туда пришел и увидел сообщение "Нет сертификата", потом всплыло окно что вероятно нет плагина потом сообщение что с 1 июля нужен криптопро плагин. Попробовал скачать - все вообще зависло, но на флешке был плагин.
Кстати, ланитовский я удаляю, не подскажете он еще нужен? Мимоходом заходил в старую часть госзакупок (до ЕИС бывшую, где права пользователей, уполномоченные организации, заявки на регистрацию пользователей), там ругнулось дескать плагина ланита нет. Мне там ничего не нужно было править, вроде там и подписывать нечего, проигнорировал ошибку, но любопытно нужен все же ланитовский для чего-нибудь в госзакупках или нет.
two_oceans ответил в теме Проблема с ЕИС
Раньше насколько помню были проблемы с IE 8. На ЕИС заходило, но что-то не отображалось, что-то блокировалось, что-то уезжало за пределы экрана... Кажется кнопка подписать как раз уезжала и ее было невозможно нажать. Поэтому пришлось всех переводить на Семерку.Alex_04 пишет: В том посте речь шла про ГИИС ЭБ - войти-то удалось, а подписание не было проверено...
Вот оно что, значит я не застал первую версию. Ну конечно разжевывание совсем всего это тоже нехорошо. У меня уже почти начинает глаз дергаться когда вижу в руководстве очередной ГИС шаги установки КриптоПро и установки корневых сертификатов на 80% от объема инструкции. Не спорю, они нужны, но их наверно можно было централизовано выложить на каком-то федеральном ресурсе МКС, а в руководствах давать ссылки на них и изложить моменты из-за которых именно эта ГИС не едет (где брать корневой сертификат и про лицензирование криптопро). Ведь в общей инструкции по установке КриптоПро никто не будет разжевывать порядок получения лицензии в ФК. Получается сложно найти золотую середину, которая бы устроила и "новичков"и "бывалых".Alex_04 пишет: Про "всё в одной": в самом первом варианте Инструкции по настройке рабочего места от 02.07.2018 (yadi.sk/d/DI7fM1XL3ZYMTH) так и было - там была разжёвана установка и настройка практически всего необходимого ПО и СКЗИ.
Еще один момент инструкции - в ActiveX сказано все включить. Однако для Ie 10 в Профессиональной версии семерки там же есть пункт - ограничить списком допущенных в домене. И если мы включаем его, а список допущенных в домене пуст, то полагаю вообще все ActiveX отключатся.
В формуляре и руководстве администратора самого КриптоПро тоже это есть, во всех сертифицированных версиях 4.0, с уточнением как контроль вообще отключить для тестовых целей. А еще скачивая с сайта мы тоже можем использовать КриптоПро только в тестовых целях, но про это тоже в новой версии руководства умолчали.Alex_04 пишет: И про "Усиленный контроль использования ключей" в КриптоПро-4.0.9842 было именно в первой редакции
Возможно, но мне удобнее на своем рабочем месте сразу поставить компоненты, так как после установки компонента КриптоПро обязательно просит перезагрузку, а перегружаться бывает совершенно не время.Alex_04 пишет: м.б. тогда стОит переустановить крипту без этих компонентов?
Наверно я неточно выразился, работает в смысле, что заходит в ЕИС при Крипте 9842 без ухода на перезагрузку. Наглядное подтверждение сказанного Вами, но настройки я не сверял по инструкции. Проверил версию КриптоПро 9842, браузера 11.0.35, лицензия постоянная, установлена с ноября прошлого года.Alex_04 пишет: т.е. работают БЕЗ криптоплагина ЭЦП? подписание удаётся через яву значит до сих пор?
Подписание как раз не работало, выдавало какую-то "муть" перед собственно ошибкой. Вчера зачитали по телефону у меня чуть волосы дыбом не встали - в духе ошибок openssl - что не найдено смещение хх в сертификате, вероятно недостаточен размер буфера. Сегодня сам туда пришел и увидел сообщение "Нет сертификата", потом всплыло окно что вероятно нет плагина потом сообщение что с 1 июля нужен криптопро плагин. Попробовал скачать - все вообще зависло, но на флешке был плагин.
Кстати, ланитовский я удаляю, не подскажете он еще нужен? Мимоходом заходил в старую часть госзакупок (до ЕИС бывшую, где права пользователей, уполномоченные организации, заявки на регистрацию пользователей), там ругнулось дескать плагина ланита нет. Мне там ничего не нужно было править, вроде там и подписывать нечего, проигнорировал ошибку, но любопытно нужен все же ланитовский для чего-нибудь в госзакупках или нет.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Подробнее...