Le client Tls ne voit pas le certificat. Budget électronique. Certificat racine introuvable. Erreurs courantes lors de la connexion au SIG

Dans le cadre du changement du certificat du serveur lk.budget.gov.ru, il est nécessaire d'apporter des modifications à la configuration du continent du client installé sur le vôtre, à savoir changer le certificat du serveur. Le nouveau certificat est disponible en téléchargement sur le site internet dans la rubrique GIIS \Connexion au systèmehttp://www.roskazna.ru/upload/iblock/e91/lk.budget.gov.ru.cer

Ou téléchargez depuis le site Web de l'OTR

Pour créer une nouvelle connexion ( Continent - 1.2.1073.0).

Allez dans le menu "Démarrer"

1. Dans la barre de recherche, tapez "Configurateur"

2.Sélectionnez le configurateur

3.Allez dans l'onglet "Paramétrage des connexions"
4.Appuyez sur le bouton "Ajouter une connexion"


5. Dans la ligne Adresse/nom du serveur, spécifiez ( ok. budget. gouv. ru)

6. Appuyez sur le bouton "Suivant"


7. Appuyez sur le bouton " Choisissez le certificat


8. Dans la barre de recherche, sélectionnez un dossier ou un chemin d'accès à un fichier ok. budget. gouv. ru. cer

9. Sélectionnez un certificat

10. Cliquez sur ouvrir



11.Assurez-vous que le certificat souhaité est sélectionné et cliquez sur suivant



12. Adresse de réception CRL : Laissez-le inchangé et cliquez sur "Suivant"


13. Adresse de ramassage CRL : Laissez-le inchangé et cliquez sur "Suivant"


14. Nouvelle connexion créée avec succès, fermez par le bouton "OK"



Pour modifier une connexion déjà créée, vous devez :

1.Appuyez sur le bouton "Modifier"


2.Sélectionnez un certificat dans la liste

3.Cliquez sur le bouton "Sélectionner un certificat"




4. Dans la barre de recherche, sélectionnez un dossier ou un chemin d'accès à un fichier ok. budget. gouv. vous avertira que la modification d'une connexion existante a réussi


Remplacement du certificat terminé

La mise en place du poste de travail E-budget se déroule en plusieurs étapes, elles ne sont pas compliquées, mais demandent du soin. Nous faisons tout selon les instructions pour la mise en place d'un budget électronique. Court et précis...

Configuration du lieu de travail du budget électronique

Certificat racine e-budget

Créez un dossier clé dans Mes documents pour stocker les certificats téléchargés dans ce dossier :

Sur le site http://roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ dans le menu SIG -> Autorité de certification -> Certificats racine, vous devez télécharger " Certificat racine (qualifié)" (voir figure), ou si vous avez reçu un lecteur flash avec des certificats, copiez-les à partir du dossier Certificats.

Certificat Continent TLS VPN

Le deuxième certificat que vous devez télécharger est le certificat TLS VPN Continent, mais je ne l'ai pas trouvé sur le nouveau site Web de roskazna, j'ai donc mis un lien depuis mon site Web. Téléchargez le certificat VPN Continent TLS dans le dossier de clés, nous en aurons besoin plus tard lors de la configuration du programme client Continent TLS.

Installez le certificat racine téléchargé (qualifié) pour travailler avec le budget électronique.

Dans le menu DÉMARRER -> Tous les programmes -> CRYPTO-PRO -> exécutez le programme Certificats.

Accédez à l'élément Certificats comme indiqué dans la figure ci-dessous :

Allez dans le menu Action - Toutes les tâches - Importer, la fenêtre de l'assistant d'importation de certificat apparaîtra - Suivant - Aperçu - Trouvez le fichier téléchargé Certificat racine (qualifié) dans notre cas, il se trouve dans Mes Documents dans le dossier clé

Si tout est fait correctement, le certificat racine de l'AC du Trésor fédéral apparaîtra dans le dossier des certificats.

Installation "Continent TLS Client" pour travailler avec un budget électronique

Continent_tls_client_1.0.920.0 peut être trouvé sur Internet.

Décompressez l'archive téléchargée, accédez au dossier du CD et exécutez ContinentTLSSetup.exe

À partir de l'élément, cliquez sur Continent TLS Client KC2 et démarrez l'installation.

Nous acceptons les conditions

Dans le dossier de destination, laissez par défaut

Dans la fenêtre de lancement du configurateur, cochez la case Exécuter le configurateur une fois l'installation terminée.

Lors de l'installation, la fenêtre Paramètres du service apparaît :

Adresse - précisez lk.budget.gov.ru

Certificat - sélectionnez le deuxième certificat téléchargé précédemment dans le dossier de clés.

Cliquez sur OK et terminez l'installation, Terminé.

demandé de redémarrer système opérateur nous répondons Non.

Installation de l'outil de signature électronique "Jinn-Client"

Vous pouvez télécharger le programme Jinn-Client sur Internet.

Allez dans le dossier Jinn-client - CD, lancez setup.exe

Cliquez dans la liste Jinn-Client, l'installation du programme démarre

Ignorez l'erreur, cliquez sur Continuer, Suivant, acceptez l'accord et cliquez sur Suivant.

Entrez la clé de licence émise

Définissez le programme par défaut, cliquez sur Suivant

Nous terminons l'installation, répondons à la question sur le redémarrage du système d'exploitation Non

Installation du module pour travailler avec la signature électronique "Cubesign"

Si vous avez besoin d'une archive avec le programme, écrivez dans les commentaires.

Exécutez le fichier d'installation cubesign.msi

Configuration du navigateur Mozilla Firefox pour fonctionner avec le budget électronique.

1. Ouvrez le menu "Outils" et sélectionnez "Paramètres".

2. Allez dans la section "Avancé" de l'onglet "Réseau"

3. Dans la section des paramètres "Connexion", cliquez sur le bouton "Configurer…".

4. Dans la fenêtre des paramètres de connexion qui s'ouvre, définissez la valeur

"Configuration manuelle du service proxy."

5. Définissez les valeurs des champs proxy HTTP : 127.0.0.1 ; Port : 8080.

6. Appuyez sur le bouton OK.

7. Dans la fenêtre "Paramètres", cliquez sur le bouton "OK".

Connectez-vous au compte personnel du budget électronique

Une fenêtre s'ouvrira avec le choix d'un certificat pour entrer dans le compte personnel du budget électronique.

Nous sélectionnons un certificat pour entrer dans le compte personnel du budget électronique, s'il existe un mot de passe pour partie fermée Nous écrivons le certificat et cliquons sur OK, après quoi le compte personnel du budget électronique s'ouvrira.

Je vous ai expliqué comment installer le programme Continent AP sur Windows 7. Le fait est que ce programme utilise des certificats dans son travail, à l'aide desquels une connexion sécurisée et un échange de données avec le serveur d'accès Continent AP sont créés. Dans cet article, je vais essayer de vous dire comment créer une demande de délivrance d'un certificat pour le continent AP, ainsi que comment installer ce certificat dans le programme.

Je vais montrer comme toujours avec des photos, même si elles ont été faites sur un ordinateur sous Windows XP. Alors, commençons...

Après avoir installé l'AP Continent, vous devriez voir une icône "bouclier gris" dans votre barre d'état. Si vous faites un clic droit sur ce "bouclier", un menu contextuel apparaîtra, comme le montre l'image ci-dessous :



Ici, vous devez sélectionner l'élément de menu "Certificats", puis "Créer une demande de certificat utilisateur". La fenêtre suivante s'ouvre (Fig. 2):



Ce formulaire doit être rempli. Avant de faire cela, n'oubliez pas d'insérer un porte-clés propre. En effet, après avoir rempli ce formulaire, la génération des clés privées va commencer, qui se produit sur le porte-clés rejeté. Il peut s'agir, par exemple, d'un lecteur flash. Si vous utilisez le programme Crypto PRO 3.6 et supérieur sur votre ordinateur, les lecteurs flash y sont activés par défaut. Et pour être plus précis, puis "Tous les supports amovibles". Je n'envisage pas la génération sur un porte-clé de type "Registry", car c'est interdit dans notre UFC.


Donc, revenons à remplir le formulaire (Fig. 2). Comme vous pouvez le voir, il se compose de deux blocs. Je les ai entourés de jaune. Si tout est intuitif avec le bloc du haut (il faut remplir tous les champs), alors je m'attarderai plus en détail sur celui du bas. Vous devez immédiatement cocher la case " formulaire papier". Par défaut, il n'est pas installé. À l'aide des boutons "Parcourir", vous pouvez sélectionner un emplacement pour enregistrer les fichiers. Et il y en aura deux. * .reg et * .html. Vous pouvez modifier les noms de fichiers à votre guise. comme bon vous semble, sans changer, bien sûr, les extensions de fichiers.

Par défaut, le programme propose d'enregistrer sous le nom suivant : le nom de l'ordinateur sur le réseau (je l'ai cerclé de bleu), la date et l'heure de création de la requête. Comme vous pouvez le voir sur la figure, la requête a été créée le 12/10/2015 à 09:51:46 sur un ordinateur nommé "imyacompa". Les 3 derniers caractères sont ajoutés aléatoirement. Ils sont toujours composés de trois chiffres et je n'ai remarqué aucun système dans leur génération.

Il convient de noter que si vous avez téléchargé la version 3.5.68.0 du programme Continent AP à partir de mon site Web, il existe très probablement un ancien modèle imprimable. Après avoir installé ce programme, vous devez modifier ce modèle. C'est vrai pour notre région, à savoir Région de Tcheliabinsk. La modification du modèle imprimable n'affectera que l'imprimable au format *.html, cela n'affectera pas le fichier *.req.

Si votre région utilise l'ancien modèle, vous devez suivre les directives de votre région. Vous pouvez télécharger le nouveau modèle à partir du lien suivant. Si vous êtes dans notre région, alors avant de générer des clés et une demande de certificat, modifiez le modèle conformément aux instructions du fichier joint.

Ainsi, après avoir décidé du nom des fichiers, vous pouvez commencer à générer une demande de certificat en cliquant sur le bouton "OK". Comme mentionné ci-dessus, nous obtiendrons 2 fichiers *.req et *.html, ainsi que des clés privées sur une clé USB ou tout autre support.

Ensuite, vous devez agir conformément à la procédure de soumission des demandes de certificat, qui est valable dans votre UFK. Ici, nous imprimons le fichier *.html sur papier, le signons par le propriétaire du certificat et le responsable de l'organisation. Ensuite, nous envoyons une copie papier et un fichier *.req sur support amovible au Trésor et recevons en retour une attestation.

Donc, la demande a été envoyée à l'UFC, nous avons reçu un certificat. Soit dit en passant, cela peut prendre du temps entre l'envoi d'une demande et la réception d'un certificat, tout le monde est différent, mais l'essentiel est d'attendre le certificat. Et après? Et puis nous faisons un clic droit sur le "bouclier" du continent AP et faisons ce qui est montré dans la figure ci-dessous :



A savoir : on repart sur « Certificats », puis sur « Installer le certificat utilisateur ». Les flèches de la figure 3 indiquent ce qu'il faut faire. Avant cela, insérez le porte-clés avec les clés privées obtenues à la suite de la génération, et préparez également le certificat reçu de l'UFK. Je l'ai réécrit sur un support clé pour qu'il soit toujours à portée de main. Vous pouvez faire votre propre chose: réécrivez-le n'importe où, l'essentiel est que lors de l'installation, vous puissiez y accéder. Soit dit en passant, en plus du certificat utilisateur, notre UFK émet également le certificat racine du continent AP. Ce certificat, une fois installé, doit se trouver dans le même répertoire que celui de l'utilisateur. En général, la figure ci-dessous montre tout cela :



Le certificat racine d'AP Continent est le fichier root . Ce certificat est nécessaire lors de la première installation d'AP Continent. Après avoir installé le certificat utilisateur, le programme installe le certificat racine s'il n'est pas installé. Sinon, ça ne fait rien. Mais si le programme ne trouve pas la racine pour la première fois, il y aura des problèmes. Par conséquent, il est préférable de le laisser toujours avec le certificat utilisateur dans le même répertoire.

Ici, Figure 4, lors de l'installation, vous devez bien entendu sélectionner le certificat utilisateur. Il est souligné par moi sur la photo. Et le dossier jaune correspond aux clés privées obtenues lors de la génération de la requête. Il existe six fichiers avec l'extension *.key. Soit dit en passant, les clés sont standard pour le programme Crypto Pro 3.6. Après tout, c'est elle qui génère ces clés. Ainsi, après avoir sélectionné le certificat utilisateur, cliquez sur le bouton "Ouvrir" et accédez à l'image suivante :



La ligne la plus haute est juste le conteneur de clés avec les clés privées. Et à ce stade, il nous suffit d'indiquer au programme le conteneur de clé correspondant à notre certificat. A savoir celui qui a été généré lors de la création de la demande de certificat. En général, je vais me permettre une petite digression... Tous les EDS qui sont générés à l'aide de Crypto Pro (vous ne pensez pas que les clés sont générées par Continent AP) se composent de deux parties :

  • une clé privée est un conteneur de clé obtenu lors de la génération ;
  • la clé publique est un certificat obtenu auprès du Trésor.

Ces parties ne se connectent (encore une fois, avec Crypto Pro) que si elles correspondent. Il n'est pas difficile de conclure: si l'une des pièces est perdue ou endommagée, l'ensemble de l'EDS cesse de fonctionner. Et il est impossible de corriger cette situation, sauf pour la génération d'un nouvel EDS. Il existe des moyens de faire une copie de la signature numérique, mais je n'aborderai pas cela dans cet article.

Donc, revenons à "nos moutons". Dans la figure 5, assurez-vous de cliquer sur la ligne supérieure avec le conteneur de clé, puis cliquez sur "OK". Une fois tout cela fait, vous recevrez la fenêtre suivante :



Eh bien, il n'y a que "OK", il n'y a pas d'autres moyens ... Félicitations, le certificat est installé. Il est temps de tester ses performances. Pour ce faire, vous devez faire comme l'image suivante nous l'indique :



RMB sur le "shield", allez "Establish/disconnect connection" -> "Establish connection Continent AP" et entrez dans la fenêtre suivante :



Cliquez là où pointe la flèche rouge (Fig. 8). Si vous avez suivi cette instruction dans les étapes précédentes, vous obtiendrez au moins un certificat. Vous devez sélectionner exactement celui que vous venez d'installer (voir Figure 9) :



Après l'avoir sélectionné, cochez la case "Toujours utiliser ce certificat lors de la connexion". Dans ce cas, votre AP Continent se connectera au serveur en utilisant le certificat spécifié. Sinon (si la case n'est pas cochée), il vous demandera de sélectionner un certificat à chaque connexion. Pour savoir si le certificat a été sélectionné correctement, vous pouvez utiliser le bouton "Propriétés" ". Il affichera tout sur le certificat sélectionné. À la fin, comme toujours, le bouton "OK". Le processus de connexion de l'AP Continent au serveur d'accès commencera. Si tout est fait correctement, vous verrez alors dans le bac comment le "bouclier" a changé de couleur du gris au bleu:



Si vous avez réussi le même que le mien, je suis heureux de vous féliciter pour l'installation réussie du certificat pour le continent AP. Après vous être connecté au serveur d'accès, vous pouvez télécharger SUFD et commencer à y travailler.

PS Oh, et encore une chose : je pense que j'ai tout expliqué ici avec suffisamment de détails. Mais encore, certaines questions peuvent se poser. Dans ce cas, écrivez-les dans les commentaires ci-dessous. D'ailleurs, pour les utilisateurs enregistrés de mon site, les commentaires apparaissent immédiatement, sans modération.

Et enfin ... Si vous avez aimé cet article et que vous en avez appris quelque chose de nouveau, vous pouvez toujours exprimer votre gratitude en termes monétaires. Le montant peut être quelconque. Cela ne vous oblige à rien, tout est volontaire. Si vous décidez toujours de soutenir mon site, cliquez sur le bouton "Merci", que vous pouvez voir ci-dessous. Vous serez redirigé vers une page de mon site Web où vous pourrez transférer n'importe quelle somme d'argent vers mon portefeuille. Dans ce cas, un cadeau vous attend. Après un transfert d'argent réussi, vous pouvez le télécharger.


Une nouvelle version de HandyCache est sortie.

Les modifications apportées à cette version sont principalement liées à la résolution de problèmes et de bogues.

J'ai mis les bibliothèques dll mises à jour libeay32.dll et ssleay32.dll compilées par moi dans l'archive de la version précédente. Ces bibliothèques fonctionnent lorsque l'option SSL Handling est activée. Comme je l'ai découvert, l'un d'eux nécessitait la présence de la bibliothèque msvcp120.dll lors de son chargement. L'absence de cette librairie sur l'ordinateur a fait qu'au démarrage de HandyCache avec l'option de traitement SSL activée, le message Port xxxx est déjà occupé est apparu. Cette fois, j'ai compilé les dll mentionnées afin que les dll supplémentaires ne soient plus nécessaires.

On me demande parfois quoi Version Windows nécessite-t-il HandyCache ? Si vous n'utilisez pas l'option SSL Handling, vous pouvez utiliser Windows 7 ou 10. Si vous utilisez SSL Handling, il est préférable d'utiliser Windows 10. Si vous utilisez Windows 7, HandyCache ne peut pas garantir l'option SSL Handling lors de l'accès à certains sites . Lorsque vous utilisez Windows 10, il y a beaucoup moins de sites de ce type. Si HandyCache ne peut pas effectuer le traitement SSL lorsqu'il travaille avec un certain site, alors il désactive automatiquement cette option pour ce site et dans le Moniteur, dans la colonne Règles, le message Arrêter le décryptage SSL pour cet hôte+useragent s'affiche.

À PARTIR DE Liste complète les changements peuvent être trouvés ci-dessous.

Pour installer la version RC4 1.0.0.885, décompressez l'archive sur la version existante, en remplaçant les fichiers existants. De nouvelles listes de règles seront créées automatiquement au démarrage de HandyCache, uniquement s'il n'y a pas de listes courantes (fichiers *.lst, *.lso et *.lsb).

Si HandyCache n'a pas encore été installé sur votre ordinateur, copiez simplement le contenu de l'archive dans un dossier vide et exécutez le fichier exe.

mob_info