В связи с массовой ошибкой 504, возникающей при работе в подсистеме учета и отчетности, необходимо на стороне клиента обновить средство криптографической защиты информации «Континент TLS VPN клиент» (далее - СКЗИ) до актуальной версии, используя сервис распространения дистрибутивов. Для использования данного сервиса необходимо настроить рабочее место, скачать и установить новую версию СКЗИ.
Требования к АРМ пользователя.
Для успешного подключения к сервису распространения дистрибутивов на АРМ пользователя Должно быть установлено:
Интернет браузер Internet Explorer версии 10 или выше.
Крипто про CSP версии 3.6.7777 или выше.
ПО «КриптоПро ЭЦП Browser plug-in» 2.0 (ссылка для загрузки с официального сайта производителя: https://www.cryptopro.ru/products/cades/plugin; в случае, если на АРМ отсутствует доступ к сети Интернет, загрузка дистрибутива осуществляется с другого АРМ, имеющего данный доступ, и доставляется на целевой АРМ на отчуждаемом носителе).
TLS клиент (опционально: если подключение выполняется через TLS клиент)
Драйвер для ключевого носителя, на котором хранится сертификат пользователя. Поддерживаются следующие носители:
USB флеш-накопитель;
Rutoken S;
eToken Pro;
eToken PRO (Java).
Корневой самоподписанный сертификат УЦ ФК должен быть установлен в локальное хранилище. Если сертификат не установлен, необходимо выполнить следующие действия:
В меню "Пуск" -> "Выполнить". Набрать команду mmc. Запустится Консоль управления.
В Консоли перейти в меню Файл -> Добавить или удалить оснастку.
В открывшемся окне в левой части выбрать Сертификаты, нажать кнопку "Добавить".
В открывшемся диалоговом окне выбрать пункт "Учетной записи компьютера", нажать "Далее", в следующем окне выбрать "Локальным компьютером". Нажать "Готово".
В окне "Добавление и удаление оснасток" нажать "Ок".
Теперь в Консоли у Вас появилась закладка "Сертификаты (локальный компьютер)". Раскройте ее. Затем раскройте Доверенные корневые центры сертификации/Сертификаты и выполните импорт сертификата УЦ.
Сертификат можно скачать с сайта Федерального казначейства http://roskazna.ru
Внимание! Установка сертификата должна осуществляться пользователем АРМ, входящим в список локальных администраторов данного АРМ
Важно: если в хранилище сертификатов «Доверенные корневые центры сертификации» или «Доверенные промежуточные центры сертификации» присутствует сертификат УЦ ФК, выданный УЦ 2 ИС ГУЦ, его необходимо удалить из хранилища (не путать с сертификатом «Федеральное казначейство», выданным Головным удостоверяющим центром в 2017 г.)
-
Пользовательский сертификат должен быть установлен в контейнер закрытого ключа.
Сохранить пользовательский сертификат в любую директорию на АРМ в виде файла с разрешением «*.cer».
Запустить консоль крипто про CSP и открыть вкладку «Сервис».
Нажать кнопку «Установить личный сертификат» в открывшемся окне, при помощи кнопки «Обзор» выбрать файл пользовательского сертификата и нажать «Далее».
Проверить данные сертификата, убедиться, что выбран правильный сертификат, если все верно нажать «Далее».
В следующем окне отметить галочкой опцию «Найти контейнер автоматически» и после заполнения поля «Имя ключевого контейнера» нажать кнопку «Далее».
Обязательно отметить галочкой опцию «Установить сертификат (цепочку сертификатов) в контейнер» и начать далее.
На последнем экране, после нажатия кнопки «Готово» может появиться сообщение о том, что сертификат уже установлен в хранилище и будет предложено заменить сертификат и обновить ссылку на закрытый ключ – необходимо ответить утвердительно.
На АРМ не должно быть установлено криптопровайдеров, кроме КриптоПро CSP во избежание конфликта. Установленные криптопровайдеры отображаются в Программах и компонентах Панели управления. Также в случае, если установлено ПО Код Безопасности CSP, его необходимо удалить посредством запуска uninstall.exe из директории C:\Program Files\Security Code\CSP. После этого перезагрузка АРМ обязательна. После полного прохождения настоящей Инструкции удаленные криптопровайдеры в случае необходимости могут быть инсталлированы обратно тем же способом, что и при первичной установке.
Должны быть выполнены настройки:
Настройка браузера Internet Explorer:
Добавить в список надёжных узлов адрес https://login.roskazna.ru/poib. Для этого необходимо:
• зайти в «Свойства обозревателя»;
• выбрать закладку «Безопасность»;
• выбрать зону для настройки параметров безопасности – «Надежные узлы», нажать на кнопку «Узлы»;
• в поле «Добавить в зону следующий узел» ввести поочередно адреса всех узлов, нажать «Добавить» и закрыть данное окно.
Включить в веб-обозревателе элементы ActiveX:
• в меню Сервис-> Свойства обозревателя;
• на вкладке Безопасность-> Другой;
• перейти к разделу Элементы ActiveX и модули подключения и включить следующие параметры:
Выполнять сценарии элементов ActiveX, помеченные как безопасные.
Запуск элементов ActiveX и модулей подключения;
• нажать ОК, чтобы закрыть диалоговые окна.
Перезапустить браузер.
Если подключение выполняется через TLS клиент версии 1.0.* необходимо выполнить следующие настройки:
Запустить конфигуратор TLS клиента.
В качестве защищаемого адреса указать:
cert.roskazna.ru
Поменять сертификат сервера на (для загрузки сертификата дважды кликнуть на иконку ниже):
Убедиться, что корневой сертификат установлен в хранилище доверенных сертификатов локального компьютера (для загрузки сертификата дважды кликнуть на иконку ниже).
Убедиться, что в настройках браузера, в качестве прокси сервера, установлено 127.0.0.1.
Если в организации используется прокси-сервер, в настройках Континент TLS Клиента необходимо установить галочку «Использовать внешний прокси-сервер», задать адрес и порт используемого прокси.
Вход в личный кабинет сервиса распространения дистрибутивов
Вставить ключевой носитель в USB-разъем АРМ пользователя.
Запустить веб-обозреватель.
Если подключение выполняется через крипто про CSP в адресной строке веб-обозревателя ввести адрес личного кабинета пользователя:
https://cert.roskazna.ru/poib
Если подключение выполняется через TLS клиент в адресной строке использовать адрес
http://cert.roskazna.ru/poib
Предъявить пользовательский сертификат по запросу крипто про (или TLS клиента, в зависимости от того как выполняется подключение).
Получение дистрибутива
На главной странице сервиса распространения дистрибутивов перейти по ссылке необходимого дистрибутива:
Континент TLS VPN клиент.
На странице дистрибутива нажать кнопку «Загрузить».
Сохранить дистрибутив в файловой системе.
После успешной загрузки файла необходимо подтвердить скачивание. Для этого нажать кнопку «Подтвердить скачивание».
В открывшемся окне подтверждения, из выпадающих списков выбрать средство ЭП «CryptoPro» и актуальный сертификат пользователя.
В случае появления окна запроса подтверждения доступа ответить утвердительно:
После нажатия кнопки «Подтвердить» окно подтверждения закроется, это будет означать что операция выполнена успешно.
Кнопка «подтвердить скачивание станет неактивной».
Установить ПО TLS клиент на АРМ следуя указаниям мастера установки.
! Если ранее была установлена более ранняя версия клиента, ее необходимо удалить перед установкой новой версии.
После успешной установки ПО необходимо выполнить контроль целостности, используя встроенную утилиту «itc.exe». Утилита находится в директории установки клиента C:\Program Files\Security Code\Континент TLS Клиент КС1\ITC.
Инструкция по использованию утилиты приведена в файле «HowTo.txt» в той же директории.
В случае успешно пройденной проверки целостности необходимо подтвердить факт установки ПО. В личном кабинете сервиса распространения дистрибутивов, на странице дистрибутива TLS клиента, нажать кнопку «Подтвердить установку».
В открывшемся окне указать номер АРМ, на котором устанавливалось ПО, выбрать средство ЭП и актуальный сертификат пользователя.
После нажатия кнопки «Подтвердить» окно подтверждения закроется, это будет означать что операция выполнена успешно.
Ошибка 400
В случае, если при попытке подключения к сервису в браузере отображается одна из представленных ниже ошибок, необходимо создать заявку в СУЭ на Группу поддержки ЕОИ с просьбой загрузить корневой сертификат на TLS сервер ЕОИ. К заявке необходимо приложить сертификат издателя пользовательского сертификата в архивном файле.
Первый вариант отображения ошибки:
Второй вариант отображения ошибки:
|
