Klient Tls nie widzi certyfikatu. Budżet elektroniczny. Nie znaleziono certyfikatu głównego. Typowe błędy podczas łączenia się z GIS

W związku ze zmianą certyfikatu serwera lk.budget.gov.ru konieczne jest wprowadzenie zmian w konfiguracji kontynentu klienta zainstalowanego na twoim, a mianowicie zmiana certyfikatu serwera. Nowy certyfikat jest dostępny do pobrania na stronie w dziale GIIS \Podłączenie do systemuhttp://www.roskazna.ru/upload/iblock/e91/lk.budget.gov.ru.cer

Lub pobierz ze strony internetowej OTR

Aby utworzyć nowe połączenie ( Kontynent - 1.2.1073.0).

Przejdź do menu „Start”

1. W pasku wyszukiwania wpisz „Konfigurator”

2.Wybierz konfigurator

3.Przejdź do zakładki „Ustawianie połączeń”
4. Naciśnij przycisk „Dodaj połączenie”

5. W wierszu Adres/nazwa serwera określ ( lk . budżet. rząd. ru)

6. Naciśnij przycisk „Dalej”

7. Naciśnij przycisk " Wybierz certyfikat”

8. Na pasku wyszukiwania wybierz folder lub ścieżkę do pliku lk . budżet. rząd. ru. Cer

9. Wybierz certyfikat

10. Kliknij otwórz

11.Upewnij się, że wybrany certyfikat jest wybrany i kliknij Dalej

12. Adres odbioru Lista CRL : Pozostaw to bez zmian i kliknij „Dalej”

13. Adres odbioru Lista CRL : Pozostaw to bez zmian i kliknij „Dalej”

14. Nowe połączenie zostało pomyślnie utworzone, zamknij przyciskiem „OK”

Aby edytować już utworzone połączenie, musisz:

1. Naciśnij przycisk „Edytuj”

2.Wybierz certyfikat z listy

3. Kliknij przycisk „Wybierz certyfikat”

4. Na pasku wyszukiwania wybierz folder lub ścieżkę do pliku lk . budżet. rząd. powiadomi Cię, że zmiana na istniejące połączenie się powiodła

Wymiana certyfikatu zakończona

Konfiguracja stanowiska E-budżet odbywa się w kilku etapach, nie są skomplikowane, ale wymagają staranności. Wszystko robimy zgodnie z instrukcją zakładania elektronicznego budżetu. Krótko i na temat...

Konfiguracja elektronicznego budżetu w miejscu pracy

E-budżet certyfikatu głównego

Utwórz folder kluczy w Moich dokumentach, aby przechowywać pobrane certyfikaty w tym folderze:

Na stronie http://roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ w menu GIS -> Urząd certyfikacji -> Certyfikaty root, należy pobrać " Certyfikat główny (kwalifikowany)” (patrz rysunek) lub, jeśli otrzymałeś dysk flash z certyfikatami, skopiuj je z folderu Certyfikaty.

Certyfikat kontynentalny TLS VPN

Drugi certyfikat, który musisz pobrać to certyfikat TLS VPN Continent, ale nie mogłem go znaleźć na nowej stronie roskazna, więc umieściłem link z mojej strony. Pobierz certyfikat Continent TLS VPN do folderu kluczy, będziemy go potrzebować później podczas konfigurowania programu klienta Continent TLS.

Zainstaluj pobrany certyfikat Root (kwalifikowany), aby pracować z budżetem elektronicznym.

W menu START -> Wszystkie programy -> CRYPTO-PRO -> uruchom program Certyfikaty.

Przejdź do pozycji Certyfikaty, jak pokazano na poniższym rysunku:

Przejdź do menu Akcja – Wszystkie zadania – Importuj, pojawi się okno Kreatora importu certyfikatów – Dalej – Przegląd – Znajdź pobrany plik Certyfikat główny (kwalifikowany) w naszym przypadku znajduje się w Moich Dokumentach w folderze kluczowym

Jeśli wszystko zostanie wykonane poprawnie, w folderze certyfikatów pojawi się certyfikat główny urzędu certyfikacji Skarbu Federalnego.

Instalacja „Klient kontynentalny TLS” do pracy z budżetem elektronicznym

Continent_tls_client_1.0.920.0 można znaleźć w Internecie.

Rozpakuj pobrane archiwum, przejdź do folderu CD i uruchom ContinentTLSSetup.exe

Z pozycji kliknij Continent TLS Client KC2 i rozpocznij instalację.

Akceptujemy warunki

W folderze docelowym pozostaw domyślnie

W oknie konfiguratora uruchamiania zaznacz pole Uruchom konfigurator po zakończeniu instalacji.

Podczas instalacji pojawi się okno Ustawienia serwisu:

Adres - podaj lk.budget.gov.ru

Certyfikat — wybierz drugi certyfikat pobrany wcześniej w folderze kluczy.

Kliknij OK i zakończ instalację, Gotowe.

Poproszono o ponowne uruchomienie system operacyjny odpowiadamy Nie.

Instalacja narzędzia do podpisu elektronicznego „Jinn-Client”

Możesz pobrać program Jinn-Client z Internetu.

Przejdź do folderu Jinn-client - CD, uruchom setup.exe

Kliknij z listy Jinn-Client, rozpocznie się instalacja programu

Zignoruj ​​błąd, kliknij Dalej, Dalej, zaakceptuj umowę i kliknij Dalej.

Wprowadź wydany klucz licencyjny

Ustaw domyślny program, kliknij Dalej

Kończymy instalację, odpowiadamy na pytanie o restart systemu operacyjnego Nie

Instalacja modułu do pracy z podpisem elektronicznym „Cubesign”

Jeśli potrzebujesz archiwum z programem, napisz w komentarzach.

Uruchom plik instalacyjny cubesign.msi

Konfigurowanie przeglądarki Mozilla Firefox do pracy z budżetem elektronicznym.

1. Otwórz menu „Narzędzia” i wybierz „Ustawienia”.

2. Przejdź do sekcji „Zaawansowane” w zakładce „Sieć”

3. W sekcji ustawień „Połączenie” kliknij przycisk „Konfiguruj…”.

4. W oknie parametrów połączenia, które się otworzy, ustaw wartość

„Ręczna konfiguracja usługi proxy”.

5. Ustaw wartości pól proxy HTTP: 127.0.0.1; Port: 8080.

6. Naciśnij przycisk OK.

7. W oknie „Ustawienia” kliknij przycisk „OK”.

Zaloguj się do konta osobistego Budżetu Elektronicznego

Otworzy się okno z wyborem zaświadczenia do wprowadzenia konta osobistego Budżetu Elektronicznego.

Wybieramy zaświadczenie do wpisu do Konta Osobistego Budżetu Elektronicznego, jeśli istnieje hasło do część zamknięta Piszemy zaświadczenie i klikamy OK, po czym otworzy się Konto Osobiste Budżetu Elektronicznego.

Powiedziałem ci, jak zainstalować program Continent AP w systemie Windows 7. Faktem jest, że ten program wykorzystuje w swojej pracy certyfikaty, za pomocą których tworzone jest bezpieczne połączenie i wymiana danych z serwerem dostępu Continent AP. W tym artykule postaram się opowiedzieć, jak stworzyć wniosek o wydanie certyfikatu dla AP Continent, a także jak zainstalować ten certyfikat w programie.

Pokażę jak zawsze przy zdjęciach, mimo że zostały one wykonane na komputerze z systemem Windows XP. Więc zacznijmy...

Po zainstalowaniu AP Continent, powinieneś zobaczyć ikonę "szarej tarczy" na pasku zadań. Jeśli klikniesz prawym przyciskiem myszy tę "tarczę", pojawi się menu kontekstowe, jak pokazano na poniższym obrazku:

Tutaj musisz wybrać pozycję menu „Certyfikaty”, a następnie „Utwórz wniosek o certyfikat użytkownika”. Otworzy się następujące okno (rys. 2):

Formularz ten należy wypełnić. Zanim to zrobisz, nie zapomnij włożyć czystego uchwytu na klucze. Rzeczywiście, po wypełnieniu tego formularza rozpocznie się generowanie kluczy prywatnych, które następuje na odrzuconym nośniku klucza. Może to być np. pendrive. Jeśli używasz programu Crypto PRO 3.6 lub nowszego na swoim komputerze, dyski flash są tam domyślnie włączone. A dokładniej mówiąc, „Wszystkie nośniki wymienne”. Nie rozważam generowania na nośniku klucza typu „Rejestr”, ponieważ jest to zabronione w naszym UFC.

Wróćmy więc do wypełniania formularza (rys. 2). Jak widać, składa się z dwóch bloków. Zakreśliłem je na żółto. Jeśli z górnym blokiem wszystko jest intuicyjne (musisz wypełnić wszystkie pola), omówię bardziej szczegółowo dolny. Natychmiast musisz zaznaczyć pole " formularz papierowy Domyślnie nie jest zainstalowany. Za pomocą przycisków „Przeglądaj” możesz wybrać lokalizację do zapisania plików. I będą dwa. * .reg i * .html. Możesz edytować nazwy plików tak, jak dopasuj, oczywiście bez zmiany rozszerzeń plików.

Domyślnie program oferuje zapisanie pod następującą nazwą: nazwa komputera w sieci (zakreśliłem na niebiesko), data i godzina utworzenia żądania. Jak widać na rysunku, żądanie zostało utworzone w dniu 12.10.2015 o godzinie 09:51:46 na komputerze o nazwie „imyacompa”. Ostatnie 3 znaki są dodawane losowo. Zawsze składają się z trzech cyfr i nie zauważyłem żadnego systemu w ich generacji.

Warto zauważyć, że jeśli pobrałeś wersję 3.5.68.0 programu Continent AP z mojej strony, to najprawdopodobniej istnieje stary szablon do wydrukowania. Po zainstalowaniu tego programu musisz zmienić ten szablon. Dotyczy to naszego regionu, a mianowicie Obwód czelabiński. Zmiana szablonu do druku wpłynie tylko na drukowalny w formacie *.html, nie wpłynie na plik *.req.

Jeśli Twój region korzysta ze starego szablonu, musisz postępować zgodnie z wytycznymi dla swojego regionu. Możesz pobrać nowy szablon z poniższego linku. Jeśli jesteś w naszym regionie, to przed wygenerowaniem kluczy i żądaniem certyfikatu zmień szablon zgodnie z instrukcją w załączonym pliku.

Po ustaleniu nazwy plików można więc rozpocząć generowanie żądania certyfikatu, klikając przycisk „OK”. Jak wspomniano powyżej, otrzymamy 2 pliki *.req i *.html, a także klucze prywatne na pendrive'a lub innym nośniku.

Następnie musisz postępować zgodnie z procedurą składania wniosków o wydanie certyfikatu, która obowiązuje w Twoim UFK. Tutaj drukujemy plik *.html na papierze, podpisujemy go przez właściciela certyfikatu i szefa organizacji. Następnie wysyłamy kopię papierową i plik *.req na nośnikach wymiennych do Skarbu Państwa i otrzymujemy w zamian certyfikat.

Tak więc prośba została wysłana do UFC, otrzymaliśmy certyfikat. Nawiasem mówiąc, może upłynąć trochę czasu między wysłaniem żądania a otrzymaniem certyfikatu, każdy jest inny, ale najważniejsze jest oczekiwanie na certyfikat. Co dalej? A następnie klikamy prawym przyciskiem myszy „tarczę” kontynentu AP i robimy to, co pokazano na poniższym rysunku:

Mianowicie: ponownie przechodzimy do „Certyfikaty”, a następnie „Zainstaluj certyfikat użytkownika”. Strzałki na rysunku 3 pokazują, co robić. Wcześniej należy wprowadzić nośnik klucza z kluczami prywatnymi uzyskanymi w wyniku generowania, a także przygotować certyfikat otrzymany z UFK. Przepisałem go na kluczowym nośniku, aby był zawsze pod ręką. Możesz zrobić swoje: przepisać w dowolnym miejscu, najważniejsze jest to, że podczas instalacji możesz się do niego dostać. Nawiasem mówiąc, wraz z certyfikatem użytkownika, nasz UFK wystawia również certyfikat główny kontynentu AP. Ten certyfikat, po zainstalowaniu, musi znajdować się w tym samym katalogu co użytkownik. Ogólnie rzecz biorąc, poniższy rysunek pokazuje to wszystko:

Certyfikatem głównym AP Continent jest plik root . Ten certyfikat jest potrzebny podczas pierwszej instalacji AP Continent. Po zainstalowaniu certyfikatu użytkownika program instaluje certyfikat główny, jeśli nie jest zainstalowany. W przeciwnym razie nic nie robi. Ale jeśli program nie znajdzie roota po raz pierwszy, pojawią się problemy. Dlatego lepiej, aby zawsze znajdował się razem z certyfikatem użytkownika w tym samym katalogu.

Tutaj, Rysunek 4, podczas instalacji musisz oczywiście wybrać certyfikat użytkownika. Podkreślam to na zdjęciu. A żółty folder to klucze prywatne uzyskane podczas generowania żądania. Istnieje sześć plików z rozszerzeniem *.key. Nawiasem mówiąc, klucze są standardem dla programu Crypto Pro 3.6. W końcu to ona generuje te klucze. Po wybraniu certyfikatu użytkownika kliknij przycisk „Otwórz” i przejdź do następującego obrazu:

Najwyższy wiersz to po prostu pojemnik na klucze z kluczami prywatnymi. I na tym etapie wystarczy wskazać programowi kontener kluczy odpowiadający naszemu certyfikatowi. Mianowicie ten, który został wygenerowany podczas tworzenia żądania certyfikatu. Ogólnie pozwolę sobie na małą dygresję… Wszystkie EDS, które są generowane za pomocą Crypto Pro (nie sądzisz, że klucze są generowane przez AP Continent) składają się z dwóch części:

• klucz prywatny to kontener kluczy uzyskany podczas generowania;
• kluczem publicznym jest certyfikat uzyskany ze skarbca.

Te części łączą się (ponownie z Crypto Pro) tylko wtedy, gdy pasują. Nietrudno wywnioskować: jeśli jedna z części zostanie zgubiona lub uszkodzona, cały EDS przestaje działać. I nie da się naprawić tej sytuacji, z wyjątkiem generacji nowego EDS. Istnieją sposoby na zrobienie kopii podpisu cyfrowego, ale nie będę tego poruszał w tym artykule.

Wróćmy więc do „naszych owiec”. Na rysunku 5 kliknij górną linię z pojemnikiem na klucze, a następnie kliknij „OK”. Po wykonaniu tych czynności otrzymasz następujące okno:

Cóż, jest tylko "OK", nie ma innych sposobów... Gratulacje, certyfikat jest zainstalowany. Czas przetestować jego działanie. Aby to zrobić, musisz zrobić tak, jak mówi nam poniższy obrazek:

RMB na „shield”, przejdź do „Ustal/rozłącz połączenie” -> „Ustanów połączenie Continent AP” i przejdź do następującego okna:

Kliknij w miejscu wskazanym przez czerwoną strzałkę (rys. 8). Jeśli wykonałeś tę instrukcję w poprzednich krokach, otrzymasz co najmniej jeden certyfikat. Musisz wybrać dokładnie ten, który właśnie zainstalowałeś (patrz Rysunek 9):

Po jego wybraniu zaznacz pole „zawsze używaj ten certyfikat podczas łączenia”. W takim przypadku Continent AP połączy się z serwerem przy użyciu określonego certyfikatu. W przeciwnym razie (jeśli pole wyboru nie jest zaznaczone), przy każdym połączeniu zostanie wyświetlony monit o wybranie certyfikatu. Aby dowiedzieć się, czy certyfikat został wybrany poprawnie, możesz użyć przycisku „Właściwości”. Pokaże on wszystko o wybranym certyfikacie. Na koniec, jak zawsze, przycisk „OK”. Rozpocznie się proces łączenia AP Continent z serwerem dostępowym. Jeśli wszystko jest zrobione poprawnie, w rezultacie zobaczysz w zasobniku, jak „tarcza” zmieniła kolor z szarego na niebieski:

Jeśli odniosłeś sukces tak samo jak mój, to cieszę się, że mogę pogratulować pomyślnej instalacji certyfikatu dla kontynentu AP. Po połączeniu się z serwerem dostępowym możesz pobrać SUFD i rozpocząć na nim pracę.

PS Aha, i jeszcze jedno: myślę, że wyjaśniłem tutaj wszystko wystarczająco szczegółowo. Ale wciąż mogą pojawić się pewne pytania. W takim przypadku napisz je w komentarzach poniżej. Swoją drogą, dla zarejestrowanych użytkowników mojej strony komentarze pojawiają się od razu, bez moderacji.

I wreszcie ... Jeśli podobał Ci się ten artykuł i nauczyłeś się z niego czegoś nowego, zawsze możesz wyrazić swoją wdzięczność w kategoriach pieniężnych. Kwota może być dowolna. Do niczego Cię nie zobowiązuje, wszystko jest dobrowolne. Jeśli nadal zdecydujesz się wesprzeć moją stronę, kliknij przycisk „Dziękuję”, który możesz zobaczyć poniżej. Zostaniesz przekierowany na stronę w mojej witrynie, na której możesz przelać dowolną kwotę pieniędzy do mojego portfela. W takim przypadku czeka na Ciebie prezent. Po pomyślnym przekazaniu pieniędzy możesz go pobrać.

Wydano nową wersję HandyCache.

Zmiany wprowadzone w tej wersji dotyczą głównie naprawiania problemów i błędów.

Umieściłem skompilowane przeze mnie zaktualizowane biblioteki dll libeay32.dll i ssleay32.dll do archiwum poprzedniej wersji. Te biblioteki działają, gdy włączona jest opcja obsługi SSL. Jak się dowiedziałem, jeden z nich podczas ładowania wymagał obecności biblioteki msvcp120.dll. Brak tej biblioteki na komputerze spowodował, że przy uruchamianiu HandyCache z włączoną opcją przetwarzania SSL pojawił się komunikat Port xxxx jest już zajęty. Tym razem skompilowałem wspomniane dll, aby dodatkowe dll nie były już potrzebne.

Czasami pytają mnie co Wersja Windows czy to wymaga HandyCache? Jeśli nie korzystasz z opcji obsługi SSL, możesz użyć systemu Windows 7 lub 10. Jeśli korzystasz z obsługi SSL, lepiej użyć systemu Windows 10. Jeśli używasz systemu Windows 7, HandyCache nie może zapewnić opcji obsługi SSL podczas uzyskiwania dostępu do niektórych witryn . W systemie Windows 10 takich witryn jest znacznie mniej. Jeśli HandyCache nie może wykonać przetwarzania SSL podczas pracy z określoną witryną, automatycznie wyłącza tę opcję dla tej witryny, aw Monitorze, w kolumnie Reguły, wyświetlany jest komunikat Zatrzymaj deszyfrowanie SSL dla tego hosta+użytkownika.

OD pełna lista zmiany można znaleźć poniżej.

Aby zainstalować wersję RC4 1.0.0.885, rozpakuj archiwum na istniejącej wersji, zastępując istniejące pliki. Nowe listy reguł zostaną utworzone automatycznie po uruchomieniu HandyCache, tylko jeśli nie ma aktualnych list (pliki *.lst, *.lso i *.lsb).

Jeśli HandyCache nie został jeszcze zainstalowany na twoim komputerze, po prostu skopiuj zawartość archiwum do pustego folderu i uruchom plik exe.