× Функционирование и эксплуатация Государственной интегрированной информационной системы управления общественными финансами "Электронный бюджет" (ГИИС ЭБ).

QuickEB - Порядок быстрой настройки Электронного бюджета, ГОСТ 2012

27 фев 2021 08:50 #18156 от Gvinpin

Alex_04 пишет: 1. Запуск ImportCRL_http.bat ч/з ПКМ - от им. админа - отрабатывается норм, НО все изменения вносятся в хранилище "Промежуточные центры сертификации

для головного УЦ нужно заменить mCA (промежуточные центры сертификации) на mroot (доверенные корневые).

______________________________
лучше уже было
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

01 март 2021 05:20 - 09 июль 2021 07:43 #18159 от FarWinter

Alex_04 пишет: Убился после НГ с одним компом клиента -- не обновляются САС автоматом хоть тресни. А без этого TLS-клиент не хочет подключать к СУФД (немного не в тему, но главное -- борьба с CRL).

Пусть проверят вход и подписание в СУФД без Континент-TLS,
через Internet Explorer 11 по https ссылке https://ufk<Код УФК>.sufd.budget.gov.ru



Списки отзывов не обновлялись скорее всего из-за того что
в прежнем файле CRL.ZIP списки отзывов загружались в хранилище сертификатов Локальный компьютер (mCA)
Если пользователь не Администратор или на ПК включен контроль учётных записей,
то запускать пакетный файл можно было только по правой кнопке мыши - Запуск от имени Администратора



Новая версия CRL.ZIP ссылка для скачивания

В файл dwlCRL_http.vbs добавлены новые списки отзыва для скачивания.

ImportCRL_USER_uCA.bat - импорт списков отзывов сертификатов
в хранилище сертификатов Текущий пользователь (uCA)

ImportCRL_LC_mCA.bat - импорт списков отзывов сертификатов
в хранилище сертификатов Локальный компьютер (mCA)
(если включен контроль учетных записей, то запускать файл правой кнопкой мыши - Запуск от имени Администратора)

(Примечание: Континент TLS-клиент загружает списки отзывов сертификатов в хранилище сертификатов
(uCA) - Текущий пользователь - Промежуточные центры сертификации - Список отзыва сертификатов )
Вложения:
Спасибо сказали: Alex_04

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

01 март 2021 08:13 - 01 март 2021 08:16 #18161 от Alex_04

ranger пишет: возможно проблема в неправильной установки корневых и промежуточных сертов - вместо локального компьютера ставили в пользователя

Смотрел -- и там и там серты ГУЦ и ФК по своим хранилищам лежат, не перепутаны, но есть дубли, надо будет удалить (если снова обратятся).

ещё вариант - мешает прокси сервер и/или шлюз, настроенный параноидально

Прокси нет, инет от РТК как раз такой (совсем никакой), используют мобильный, но и его скорость оставляет желать лучшего...

Gvinpin пишет: для головного УЦ нужно заменить mCA (промежуточные центры сертификации) на mroot (доверенные корневые).

По содержимому 5-и CRL неясно для корневых они или промежуточных, но даже без загрузки их в корневые (только в промежуточные) в ТЛС статусы серверных сертов становятся как положено -- "действительный". Отсюда предположу, что НЕТ необходимости грузить CRL в доверенные корневые -- не влияет это на работу TLS.

FarWinter пишет: Пусть проверят вход и подписание в СУФД без Континент-TLS,
через Internet Explorer 11 по https ссылке https://ufk<Код УФК>.sufd.budget.gov.ru

Была такая мысль, если опять обратятся за помощью пожалуй так и настрою -- наверно последний из простейших вариантов.

СПАСИБО ВСЕМ за идеи и советы! :)


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

21 апр 2021 05:38 - 26 апр 2021 11:26 #18540 от FarWinter
Установка Нового подчиненного сертификата от Головного удостоверяющего центра (сертификата УЦ ФК) (Действительного с 13.04.2021 по 13.04.2036)
новость на сайте roskazna.gov.ru, ссылка

в сборки QuickEB новый сертификат УЦ ФК не добавлен, его нужно установить вручную или с помощью инсталлятора

Для клиентов Федерального казначейства, которые получали свои сертификаты после 04.05.2021
созданные с использованием Нового подчиненного сертификата УЦ ФК(Действительного с 13.04.2021 по 13.04.2036)

Нужно установить вручную в "Локальный компьютер"-"Промежуточные центры сертификации" , скачав
Сертификат УЦ ФК размещенный на официальном сайте Федерального казначейства .

Либо

Установить с помощью автоматического инсталлятора все нужные корневые сертификаты ФК включая новый сертификат УЦ ФК от 13.04.2021
"root_2036 Локальный компьютер (ГОСТ 2012).exe"
ссылки для скачивания:
c Яндекс Диск "root_2036 Локальный компьютер (ГОСТ 2012).exe"
или
с сайта sedkazna.ru файл: root_2036 Локальный компьютер (ГОСТ 2012).zip

В файле "root_2036 Локальный компьютер (ГОСТ 2012).zip"
"root_2036 Локальный компьютер (ГОСТ 2012).exe" - автоматическая установка сертификатов ФК в Локальный компьютер

Устанавливать нужно под пользователем с правами Администратора
и обязательно запускать файл правой кнопкой мыши - Запуск от имени Администратора
Выполнить файл "root_2036 Локальный компьютер (ГОСТ 2012).exe"

Установка корневых сертификатов для ГОСТ 2012
в хранилище сертификатов - Локальный компьютер
В Доверенные корневые центры сертификации (Root):
"Минкомсвязь России" Действующий по {1 июля 2036 г. 15:18:06}
В Промежуточные центры сертификации (CA):
"Федеральное казначейство" Действующий по {19 ноября 2033 г. 18:56:01}
"Федеральное казначейство" Действующий по {5 февраля 2035 г. 17:02:47}
"Федеральное казначейство" Действующий по {13 апреля 2036 г. 16:27:57}

Вложения:
Спасибо сказали: ranger, andreyfoxter, maLkwin

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июль 2021 13:07 - 13 июль 2021 06:02 #18842 от FarWinter
Новые СЕРВЕРНЫЕ СЕРТИФИКАТЫ Континент-TLS
На сайте ФК www.roskazna.gov.ru/gis/ehlektronnyj-byudzhet/
выложены новые СЕРВЕРНЫЕ СЕРТИФИКАТЫ Континент-TLS
для сайтов lk.budget.gov.ru (старый сертификат заканчивается 14.07.2021)
и buh2012.budget.gov.ru (старый сертификат заканчивается 18.07.2021)

Пример для lk.budget.gov.ru
Есть 2 варианта установки нового серверного сертификата "Континент TLS-клиент":

1) !!! Самый простой способ !!! При входе на сайт автоматическое добавление сертификата.
Главное чтобы был установлен
новый подчиненный сертификат УЦ ФК(Действительный с 13.04.2021 по 13.04.2036)
в "Локальный компьютер"-"Промежуточные центры сертификации"
(Пример установки нового подчинённого сертификата УЦ ФК в сообщении выше
sedkazna.ru/forum.html?view=topic&defaul...=1011&start=30#18540 )

и
В настройках Континент TLS был добавлен ресурс lk.budget.gov.ru
Главная
соединения:
lk.budget.gov.ru

Достаточно один раз зайти в ЭБ с запущенным "Континент TLS-клиентом"
по ссылке http://lk.budget.gov.ru или http://lk.budget.gov.ru/udu-webcenter
Появится сообщение:

Внимание
Получен сертификат сервера Федеральное казначейство
Серийный номер: 46 74 2b 38 6d ef bf 98 bd 5d a3 5d e1 60 45 c8 9f f8 d6 ad
Издатель: Федеральное казначейство
Серийный номер издателя: 00 cb c6 98 33 00 00 00 00 05 6e
Добавить в хранилище ?

Предложено добавить сертификат сервера в хранилище, нужно будет нажать [ OK ]
новый сертификат сам добавится в СЕРВЕРНЫЕ СЕРТИФИКАТЫ Континент TLS


2) Скачать файл с официального сайта www.roskazna.ru и установить вручную
Из раздела Главная/ГИС/Электронный бюджет/Подключение к системе
www.roskazna.gov.ru/gis/ehlektronnyj-byu...lyuchenie-k-sisteme/
или
www.roskazna.gov.ru/gis/ehlektronnyj-byudzhet/

На значке "Континент TLS-клиент" в системном трее(Панель задач) кликнуть левой кнопкой мыши два раза.
Выбрать в окне Континент TLS-клиент - Управление сертификатами - вкладка СЕРВЕРНЫЕ СЕРТИФИКАТЫ
[ Импортировать ]
Т.к. файл сертификата сайта с нестандартным расширением crt
при ручном импорте, после нажатия на кнопку [ Импортировать ] нужно в окне внизу справа изменить фильтр на Все файлы(*.*)
выбрать файл сертификата и нажать [ Открыть ]





Если на ПК не был установлен новый подчиненный сертификат УЦ ФК(Действительный с 13.04.2021 по 13.04.2036)
то при входе на сайт ЭБ http://lk.budget.gov.ru/udu-webcenter будет ошибка:

Континент TLS-клиент. Ошибка
Федеральное казначейство: Сертификат сервера не прошёл проверку. Ошибка: Цепочка сертификатов недействительна

Спасибо сказали: Alex_04, maLkwin

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

12 июль 2021 06:07 - 12 июль 2021 06:08 #18855 от Alex_04
Просьба к модератору форума: вынести данный пост автора на главную страницу сайта в "Новости" (например с тем же заголовком "Новые СЕРВЕРНЫЕ СЕРТИФИКАТЫ Континент-TLS") -- чтоб было куда посылать почитать всех звонящих по данному вопросу после 14.07, когда истекут старые. :)


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 июль 2021 11:02 - 19 июль 2021 11:16 #18933 от Alex_04

FarWinter пишет:

Alex_04 пишет: Убился после НГ с одним компом клиента -- не обновляются САС автоматом хоть тресни. А без этого TLS-клиент не хочет подключать к СУФД (немного не в тему, но главное -- борьба с CRL).



Списки отзывов не обновлялись скорее всего из-за того что
в прежнем файле CRL.ZIP списки отзывов загружались в хранилище сертификатов Локальный компьютер (mCA)


Новая версия CRL.ZIP ссылка для скачивания

В файл dwlCRL_http.vbs добавлены новые списки отзыва для скачивания.

ImportCRL_USER_uCA.bat - импорт списков отзывов сертификатов
в хранилище сертификатов Текущий пользователь (uCA)

ImportCRL_LC_mCA.bat - импорт списков отзывов сертификатов
в хранилище сертификатов Локальный компьютер (mCA)
(если включен контроль учетных записей, то запускать файл правой кнопкой мыши - Запуск от имени Администратора)

(Примечание: Континент TLS-клиент загружает списки отзывов сертификатов в хранилище сертификатов
(uCA) - Текущий пользователь - Промежуточные центры сертификации - Список отзыва сертификатов )

У того же самого клиента наступил очередной день "Ч" -- не обновились САС автоматом.
Испытал на нем Ваш обновленный набор -- оказалось достаточно одной "таблетки": запустить ч/з ПКМ - от им. админа ImportCRL_LC_mCA.bat + сброс соединения в настройках ТЛСа. Все 3 необходимых казначейских CRL актуализировались в обоих разделах -- "Текущий пользователь" и "Локальный компьютер" (как ни странно).
СПАСИБО! Проверено -- мин нет работает. :)


"Мы будем жить плохо, но недолго." (© Черномырдин В.С.)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 июль 2021 08:58 #18934 от maLkwin
Спасибо..проблема решилась за пару кликов! была такая же ошибка!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

30 нояб 2021 05:44 #19651 от premio739
Добрый день. Настроен "электронный бюджет" через Chromium gost. АРМ находится за брандмауэром. Доступ разрешен только к тем адресам, которые указаны в инструкции по настройке АРМ. Проблема заключается в том, что:

- вход в ЭБ происходит очень долго (предполагаю, что связано с проверкой и загрузкой CRL)
- периодически выдает, что сервер не доступен
- список сертификатов(при подписании) подгружается очень долго - порой до 15- 20 минут

При предоставлении полного доступа в интернет первые две проблемы уходят. Уже отслеживал куда идут запросы и разрешил кучу дополнительных диапазонов ip адресов. При закрытии доступа снова появляются.

Последняя проблема вне зависимости от ограниченный интернет или полный доступ.

Может кто сталкивался с похожими проблемами? Спасибо.

PS:
До этого АРМ было настроено в связке с TLS клиентом. Проблемы были те же.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

30 нояб 2021 06:21 - 30 нояб 2021 06:33 #19652 от FarWinter

premio739 пишет: - вход в ЭБ происходит очень долго (предполагаю, что связано с проверкой и загрузкой CRL)
- периодически выдает, что сервер не доступен
- список сертификатов(при подписании) подгружается очень долго - порой до 15- 20 минут

При предоставлении полного доступа в интернет первые две проблемы уходят. Уже отслеживал куда идут запросы и разрешил кучу дополнительных диапазонов ip адресов. При закрытии доступа снова появляются.

Можно попробовать:
Выставить настройки в "КриптоПро CSP"
КриптоПро CSP -> Настройки TLS:
Включить - Не проверять сертификат сервера на отзыв.
Включить - Не проверять назначение собственного сертификата.
Отключить - Не использовать устаревшие chiper suite-ы.

!!! Перезагрузить компьютер



Проверить доступность списков отзывов
http://reestr-pki.ru/cdp/guc_gost12.crl
и
http://crl.roskazna.ru/crl/ucfk_2021.crl



Проверить и удалить старые просроченные сертификаты и списки отзывов

Пуск - КРИПТО-ПРО - Сертификаты
(Это файл: "C:\Program Files (x86)\Common Files\Crypto Pro\Shared\certs.ru.msc")
Проверить Сертификаты - текущий пользователь - Личное - Сертификаты

Проверить Сертификаты - текущий пользователь и Сертификаты (локальный компьютер)
Доверенные корневые центры сертификации - Список отзыва сертификатов
Промежуточные центры сертификации - Список отзыва сертификатов

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

30 нояб 2021 09:39 - 30 нояб 2021 09:41 #19655 от ranger

premio739 пишет: При предоставлении полного доступа в интернет первые две проблемы уходят. Уже отслеживал куда идут запросы и разрешил кучу дополнительных диапазонов ip адресов. При закрытии доступа снова появляются.

значит плохо отследили
сниффер в руки и вперед

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

24 фев 2022 11:05 - 28 фев 2022 08:00 #20374 от andreyfoxter
Обновил ImportCRL - добавил новые .crl для корневого и промежуточного от января 2022


надо бы еще скрипт установки самих сертификатов обновить...

UPD.: а в последней "QuickCG - Порядок настройки Chromium GOST" скрипт с новыми сертами уже есть - "root_2040 Локальный компьютер.exe", (спасибо FarWinter)
Вложения:
Спасибо сказали: Alex_04, ranger

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

25 март 2022 12:02 #20610 от FarWinter
В теме QuickEB - Порядок быстрой настройки Электронного бюджета, для ГОСТ 2002 ссылка
и в сообщении Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ ссылка
добавлено описание ручной и автоматической установки новых корневых сертификатов ФК



Установка новых корневых сертификатов ФК - ГУЦ(Минкомсвязь России), УЦФК 2021 (Федеральное казначейство)
и ФК - ГУЦ(Минцифры России), УЦФК 2022 (Казначейство России)
без них не будет заходит в lk.budget.gov.ru (вход в лк ЭБ c 1 августа 2020 через lk2012.budget.gov.ru - не работает),
будет ошибка
:

Континент TLS-клиент. Ошибка
Федеральное казначейство: Сертификат сервера не прошел проверку. Ошибка: Цепочка сертификатов недействительна

в сборки эти сертификаты не добавлены, их нужно установить вручную или с помощью инсталлятора
например, установить после выполнения QuickEB.exe или QuickEB_Lite.exe
Установка новых корневых сертификатов ФК под спойлером
Спасибо сказали: andreyfoxter

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.