Buh2012 budget gov ru настройка инструкция

QuickEB — Порядок быстрой настройки Электронного бюджета, для ГОСТ 2001 и ГОСТ 2012.
(также подходит для настройки подписания в Облачном портале 1С, только нужно выполнить дополнительно
настройки для Internet Explorer 11 из сообщения
«Сборник типовых ошибок в ЭБ», ссылка

пункт 4.3 Ошибка при подписании на сайте buh2012.budget.gov.ru)

На форуме, в теме QuickCG — Порядок быстрой настройки Chromium GOST
ссылка

Настройка браузера Chromium GOST для работы в

Электронном бюджете

(Для Chromium GOST, Континент TLS-клиент не нужен.
Для подписания документов используется КриптоПРО ЭЦП Browser Plug-in

QuickEB — Полная сборка
Автоматическая установка Jinn-Client_1.0.3050, Континент_TLS_VPN_Клиент_2.0.1440
и ещё ряд программ для работы в ЭБ
«QuickEB — Порядок установки ЭБ.zip» 311.1 Mb
ссылка для скачивания yadi.sk/d/-OoFDEBzJcpslA

QuickEB_Lite — Малая сборка
Автоматическая до установка программ для работы в Электронном бюджете,
если Jinn-Client_1.0.3050 и Континент TLS 2.0 — уже установлены на ПК вручную
(В малой сборке отсутствуют дистрибутивы JinnClient и КонтинентTLS)
«QuickEB_Lite — Порядок установки ЭБ.zip» 75.3 Mb
ссылка для скачивания yadi.sk/d/00CQGswqHtCVIg

!!! ВНИМАНИЕ, ОБЯЗАТЕЛЬНО !!!
Установка новых корневых сертификатов ФК — ГУЦ(Минкомсвязь России), УЦФК 2021 (Федеральное казначейство)
и ФК — ГУЦ(Минцифры России), УЦФК 2022 (Казначейство России)
без них не будет заходит в lk.budget.gov.ru (вход в лк ЭБ c 1 августа 2020 через lk2012.budget.gov.ru — не работает),
будет ошибка:

Континент TLS-клиент. Ошибка
Федеральное казначейство: Сертификат сервера не прошел проверку. Ошибка: Цепочка сертификатов недействительна

в сборки эти сертификаты не добавлены, их нужно установить вручную или с помощью инсталлятора
например, установить после выполнения QuickEB.exe или QuickEB_Lite.exe

Порядок настройки Электронного бюджета, для подписания сертификатами ГОСТ 2001 и ГОСТ 2012.
Автоматическая установка Jinn-Client_1.0.3050, Континент_TLS_VPN_Клиент_2.0.1440
и ещё ряд программ для работы в ЭБ

0.0 Зайти под Администратором
0.1 Удалить старые версии Continent TLS 1.0.920.0 и Jinn-Client 1.0.1130.0
0.2 Обновить КриптоПро 4.0 до 4.0.9944
1.0 Установить Mozilla Firefox 51 и обновить Java 6u21
2.0 QuickEB — Автоматическая установка программ для работы в Электронном бюджете
3. Перезагрузка ПК и вход под Пользователем
4. Континент_TLS Настройки
5.0 Настроить Java 6u21 под пользователем
5.1 Mozilla Firefox 51 и Internet Explorer 11. Настроить под профилем пользователя
6.0 Установка личного сертификата и Конвертер для ГОСТ 2012

!!! Все EXE и BAT файлы запускать правой кнопкой мыши — Запуск от имени Администратора !!!
!!! Если для работы в электронном бюджете вы используете Internet Explorer 11,
то Mozilla Firefox 51 и Java 6u21 не нужно устанавливать
!!! Для работы в ЭБ Java не нужна

0.0 Зайти под Администратором
Если настройка происходит у пользователя с правами Опытный пользователь на рабочей станции,
то нужно обязательно выйти из системы и зайти под Администратором (Локальными или Доменным)

Если пользователь Администратор на рабочей станции — обычно этого достаточно, можно устанавливать из под него.
(в случае проблем с правами при установке, зайти под пользователем локальный Администратор)

0.1 Удалить старые версии Continent TLS 1.0.920.0 и Jinn-Client 1.0.1130.0
Запустить файл:
!Полное Удаление ЭБ, ГОСТ 2001.bat

Здесь перечислены только те версии, которые были установлены у нас
Если после выполнения этого файла Jinn-Client и Континент TLS-клиент остались
нужно в ручную их удалить через Панель управления — Удаление программ
Перезагружаться после удаления не нужно.

0.2 Обновить КриптоПро 4.0 до 4.0.9944
CSPSetup.exe
КриптоПро CSP 4.0.9944

Если на рабочей станции не было установлено вообще КриптоПро
Можно установить этим файлом CSPSetup.exe КриптоПро CSP 4.0.9944
!!! ОБЯЗАТЕЛЬНО ПЕРЕЗАГРУЗИТСЯ после установки, и продолжить настройку ЭБ !!!
также можно установить ЭЦП Browser Plug-in 2.0.13292.0 файл cadesplugin.exe
для подписания в ЭБ он не нужен, но для многих других программ он требуется.

Если на рабочей станции установлена старая версия КриптоПро например 3.6
Лучше будет сделать полное удаление с чисткой следов КриптоПро, чтобы не ловить потом непонятных косяков с подписанием.
И установить КриптоПро 4.0
!!! ОБЯЗАТЕЛЬНО ПЕРЕЗАГРУЗИТСЯ после установки
Инструкцию по удалению следов КриптоПро можно взять из файла «!Порядок полного удаления КриптоПро и Кода Безопасности.zip»

Если требуется только обновить КриптоПро 4.0, например, с версии 4.0.9842 до 4.0.9944,
то старую версию удалять не нужно, запустить CSPSetup.exe и нажать ДА (т.е. обновить)
!!! Перезагружаться не нужно.

1.0 Установить Mozilla Firefox 51 и обновить Java 6u21
!!! Если для работы в электронном бюджете вы используете Internet Explorer 11,
то Mozilla Firefox 51 и Java 6u21 не нужно устанавливать
!!! Для работы в ЭБ Java не нужна

Установить Mozilla Firefox 51, запускаете файл:
Firefox Setup 51.0 x32.exe
Если на ПК есть старая версия Mozilla до 51, то установка идёт просто поверх,
оставляете каталог по умолчанию, и нажимаете обновить.

Если в Mozilla будет использоваться Java, то нужно запустить файл: JavaSetup6u21.msi
Если на ПК была установлена Java 6 версии, например Java 6u17, то она обновиться до Java 6u21

2.0 QuickEB
Автоматическая установка программ для работы в Электронном бюджете
QuickEB.exe — файл запускать правой кнопкой мыши — Запуск от имени Администратора
(В некоторых случаях процессу установки может помешать Касперский с очень старыми антивирусными базами,
но в основном нормально всё устанавливается с включённым антивирусом)

Ввести ключ Jinn-Client руками или предварительно скопировать ключ в буфер CTRL+C
и вставить из буфера, нажать правой кнопкой мыши — Вставить
И нажать Enter

!!!! Если в командном окне в Свойствах-Правка выставлено = Выделение мышью
(т.е. вставка текста из буфера, просто по правой кнопке мыши)
И при установке, случайно кликнуть мышкой в командное окно, процесс установки может остановиться
В заголовке окна добавится слово: Выбрать (т.е. процесс будет ждать выделения текста)
Нужно просто нажать один раз любую стрелку (вверх, вниз), процесс установки продолжится

Будут автоматически выполнятся следующие пункты установки:

— Настроить КриптоПро 4.0, Установить Корневые сертификаты
. Установка корневых сертификатов для ГОСТ 2001 в хранилище сертификатов — Локальный компьютер:
. Установка корневых сертификатов для ГОСТ 2012 в хранилище сертификатов — Локальный компьютер:
. Настройка КриптоПро для работы в ЭБ
— Установка библиотек Microsoft Visual С++
— Jinn-Client_1.0.3050 без XC 1.0.1.1
— Континент_TLS_VPN_Клиент_2.0.1440 и eXtended Container 1.0.2.2
. Установка Континент TLS-клиент 2.0
. Установка лицензии UFK для Континент TLS-клиент
— Удалить eXtended Container 1.0.2.2 и установить правильный 1.0.2.2
— Дать права на каталоги Continent TLS Client
— JinnSignExtensionProvider_1.1.0.5 для Mozilla установка для всех пользователей

Самыми долгими по времени могут быть «Установка библиотек Microsoft Visual С++» и «Континент_TLS_VPN_Клиент_2.0.1440»
Всё зависит от конкретного компьютера.

После окончания установки, закрыть командное окно, и перезагрузить компьютер.

3. Перезагрузка ПК и вход под Пользователем
!!! Перезагружаем компьютер и заходим под пользователем.

4. Континент_TLS Настройки
На рабочем столе запустить ярлык «Континент TLS-клиент»

Откроется окно Континент TLS-клиент
нажать внизу-слева колёсико(Настройки) -> Управление конфигурацией -> Импортировать конфигурацию
— Загрузить файл: «ГОСТ 2001 и 2012, +proxy,без самотестирования.JSON»
из каталога:
…\4. Континент_TLS Настройки\2001\
добавятся в соединения ресурсы
Главная
соединения:
lk.budget.gov.ru
lk2012.budget.gov.ru

В настройках -> Основные
Настройки проксирования
[v] Использовать непрозрачное проксирование
Порт: 8080
[ ] Самотестирование драйвера прозрачного проксирования

Настройка через прокси требуется, если антивирус блокирует вход на сайт ЭБ
Если антивирус не блокирует вход на сайт ЭБ, то прокси можно отключить
[ ] Использовать непрозрачное проксирование

На некоторых компьютерах чек бокс «Использовать непрозрачное проксирование»
может быть окрашен серым цветом и быть не доступен для изменения
Это может быть связано с правами текущего пользователя
или включённым Контролем учётных записей

Если требуется поменять, то
Нужно закрыть Континент TLS, внизу-справа в системном трее(Панель задач)
на значке «Континент TLS-клиент» правой кнопкой мыши — Выход
(Значок может быть в скрытых, его можно перетащить из скрытых зажав левую кнопкой мыши и перетащить,
чтобы внизу показывался значок и уведомления)

Затем:
— Если текущий пользователь имеет права Администратора, то на рабочем столе, на ярлыке «Континент TLS-клиент»
запустить правой кнопкой мыши — Запуск от имени Администратора

— Если обычный пользователь, то на рабочем столе, на ярлыке «Континент TLS-клиент»
нажав и удерживая Shift щёлкнуть правой кнопкой мыши «Запуск от имени другого пользователя»
Зайти под локальной администраторской учётной записью
Логин: .\Администратор
Ввести Пароль

После включения(или отключения) чек бокса, нажать Сохранить и
снова сделать выход из «Континент TLS-клиент».
После этого просто запустить ярлык с рабочего стола «Континент TLS-клиент»
(континент запустится с правами текущего пользователя)

— На значке «Континент TLS-клиент» в системном трее(Панель задач) кликнуть левой кнопкой мыши два раза.
Выбрать в окне Континент TLS-клиент — Управление сертификатами — вкладка СЕРВЕРНЫЕ СЕРТИФИКАТЫ
Импортировать
загрузить файлы:
lk.budget.gov.ru_12.2019.cer
из каталога 2001: …\4. Континент_TLS Настройки\2001\
и lk2012.budget.gov.ru.cer
из каталога: …\4. Континент_TLS Настройки\

!!! ВНИМАНИЕ !!! После 1 августа 2020, приложенные файлы
lk.budget.gov.ru.cer и lk2012.budget.gov.ru.cer в сборке, импортировать не надо, т.к. сертификаты сайта изменились.
есть 2 варианта установки нового серверного сертификата «Континент TLS-клиент»:

1)

!!! Самый простой способ !!!

.
— Главное чтобы был установлен новый корневой сертификат УЦ ФК в «Локальный компьютер»-«Промежуточные центры сертификации»
(в начале темы есть инструкция как его установить, если он не установлен)
— Установлен сертификат пользователя в хранилище сертификатов — Личное,
в этой инструкции пункт

6.1 Установка личного сертификата

— Были загружены списки отзывов сертификатов CRL (инструкция загрузки списков отзывов см.ниже)
и
В настройках Континент TLS был добавлен ресурс lk.budget.gov.ru
Главная
соединения:
lk.budget.gov.ru

Достаточно один раз зайти в ЭБ с запущенным «Континент TLS-клиентом»
по http ссылке

http://lk.budget.gov.ru

будет предложено добавить сертификат в хранилище, нужно будет нажать [ OK ]
новый сертификат сам добавится в СЕРВЕРНЫЕ СЕРТИФИКАТЫ Континент TLS

2) Скачать файл с официального сайта www.roskazna.ru в разделе
Главная/ГИС/Электронный бюджет/Подключение к системе
www.roskazna.ru/gis/ehlektronnyj-byudzhe…lyuchenie-k-sisteme/
Т.к. файл сертификата сайта с нестандартным расширением crt
при ручном импорте, после нажатия на кнопку [ Импортировать ] нужно в окне внизу справа изменить фильтр на Все файлы(*.*)
выбрать файл и нажать [ Открыть ]

— Если Континент TLS ещё не загружал списки отзывов сертификатов,
то статус сертификатов будет => Требуется загрузить CRL
Правильный статус должен быть — Действителен

Нужно в ручную загрузить CRL, перейдите на вкладку CDP
Нажмите — Скачать CRL
После загрузки списков отзывов сертификатов, статус должен поменяться на Действителен

Если этого не произошло, нужно проверить и удалить старые списки отзывов сертификатов
и снова нажать — Скачать CRL
Удаление списков отзывов сертификатов производится через оснастку КриптоПРО
Её можно запустить и в Континент TLS-клиент — Управление сертификатами — Открыть хранилище
откроется оснастка: Сертификаты пользователя

или Например, в Windows 7×64:
Пуск — КРИПТО-ПРО — Сертификаты
(Это файл: «C:\Program Files (x86)\Common Files\Crypto Pro\Shared\certs.ru.msc»)

Проверить Сертификаты — текущий пользователь и Сертификаты (локальный компьютер)
Доверенные корневые центры сертификации — Список отзыва сертификатов
Промежуточные центры сертификации — Список отзыва сертификатов

5.0 Настроить Java 6u21 под пользователем
!!! Для работы в ЭБ Java не нужна
Инструкция по настройке файл: «Настройка Java_6-21 для работы в АСФК и СУФД.docx»
Панель управления — Программы — Java32
Вкладка Advanced
Settings
Security
Mixed code
(*) Disable verification
И потом в плагинах Mozilla нужно будет включить Java(TM) Platform SE 6 U21

также ещё можно в настройках Java отключить авто обновление
Панель управления — Программы — Java32
на той же вкладке Advanced
Settings
JRE Auto-Download
(*) Never Auto-Download

5.1 Mozilla Firefox 51 и Internet Explorer 11. Настроить под профилем пользователя
Инструкция по настройке файл: «Настройки Mozilla Firefox 51.docx»

КУБ_2.11.4.2720.exe — устанавливать только, если вы импортируете новые сертификаты в ЭБ,
обычному пользователю его не нужно устанавливать.

Mozilla — Дополнения — Расширения
добавить Jinn Sign Extension
установить дополнение из файла jinn-sign-extension_1.0.0.2.xpi — Для подписания через Jinn-Client в Электронном бюджете

!!! Внимание !!! С 1 августа 2020 вход в ЭБ через http://lk2012.budget.gov.ru/udu-webcenter не работает
нужно заходить по ссылке http://lk.budget.gov.ru/udu-webcenter
Можно использовать ярлыки с 2001, только нужно переименовать, т.е. убрать в названии ярлыка 2001,

На рабочий стол скопировать ярлыки для входа в ЭБ
Для мозиллы
из каталога …\Ярлыки — Mozilla Firefox\
ЭБ 2001.lnk — запуск мозиллы и вход на страницу => http://lk.budget.gov.ru/udu-webcenter

или Internet Explorer 11
из каталога …\Ярлыки IE\
ЭБ 2001 IE.lnk — запуск IE и вход на страницу => http://lk.budget.gov.ru/udu-webcenter
Для работы в ЭБ через Internet Explorer 11 нужно добавить
http://lk.budget.gov.ru и https://lk.budget.gov.ru
в надёжные сайты
Настройки IE — Свойства браузера — Безопасность — Надёжные сайты

также для IE ещё нужно настроить удаление временных файлов при выходе из браузера.
из сообщения

«Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ«

ссылка

пункт

4.5 В ЭБ пропадают кнопки, неправильно отображаются пункты меню, непонятные глюки (типа: Раньше работало, а сейчас нет).

Нужно убрать 2001 из названия ярлыка и можно использовать для входа в ЭБ

Если требуется входить под разными сертификатами в ЭБ, нужно закрывать браузер,
делать Сброс соединений в КонтинентTLS
(внизу-справа в системном трее(Панель задач), на значке «Континент TLS-клиент» правой кнопкой мыши — Сброс соединений)
и после этого заходить в ЭБ.

6.0 Установка личного сертификата и Конвертер для ГОСТ 2012
6.1 Установка личного сертификата
Для входа в Электронный бюджет Сертификат пользователя должен быть установлен
через КриптоПРО в контейнер и в хранилище сертификата — личное.

Пуск — КритоПро CSP — вкладка Сервис
Установить личный сертификат
Выбрать файл сертификата — Далее — Далее
Найти контейнер автоматически или выбрать через Обзор
Далее
[v] Установить сертификат(цепочку сертификатов) в контейнер
Далее — Готово (Если спросит заменить, то нажать ДА)

Если сертификат уже был установлен в контейнер на флешку ранее, то можно просто установить его из контейнера на флешке:
Пуск — КритоПро CSP — вкладка Сервис
Просмотреть сертификаты в контейнере…
Найти контейнер через Обзор
Далее
Установить (Если спросит заменить, то нажать ДА)
Готово

Установленные личные сертификаты можно посмотреть (и удалить не нужные) через оснастку КриптоПРО
Например, в Windows 7×64:
Пуск — КРИПТО-ПРО — Сертификаты
(Это файл: «C:\Program Files (x86)\Common Files\Crypto Pro\Shared\certs.ru.msc»)
Сертификаты — текущий пользователь
Личное
Сертификаты

6.2 Конвертер для ГОСТ 2012
В случае если название организации превышает 127 символов (В сертификате, вкладка Состав — Субъект — O=Название организации)
при подписании в ЭБ Jinn-Client не видит такие контейнера закрытых ключей в ГОСТ 2012
Нужно использовать конвертер (Если количество символов меньше или равно 127, то конвертер не нужен.)

Его можно скачать с сайта sedkazna.ru ссылка для скачивания sedkazna.ru/download/prg/konverter_01-00-01.zip
Конвертер ЭП ГОСТ-2012
sedkazna.ru/polza/konverter-ep-gost-2012.html

Распаковать архив
Установить reg файл, кликнуть два раза на файле: SnHwAPIExp.reg и нажать ДА
Запускаем конвертер файл: Converter.exe
Если конвертер не запустился(ошибка при запуске — отсутствует MSVCP140.dll),
то нужно до установить библиотеку Microsoft Visual C++ 2015 файл vc_redist.x86.exe
и снова запустить файл Converter.exe

Выбрать контейнер на флешке,
нажать Конвертировать

Выбрать флешку, куда создавать новый контейнер (т.е. можно ту же флешку, где находится конвертируемый контейнер)
Ввести пароль (минимум 4 символа) (При подписании в ЭБ в окне Jinn-Client нужно будет вводить этот пароль)
Нажать Сохранить

На флешке, в корне, появятся два файла:
TE.cer — сертификат
TEcont.p15 — контейнер закрытого ключа, который увидит Jinn-Client при подписании в ЭБ
(Если, вместо флешки использовать Rutoken, то эти файлы стандартными средствами с рутокена не удалить,
только перезаписывать или форматировать рутокен,
через Панель управления рутокена их невидно)

На флешке получится создать только один такой контейнер, т.к. при конвертации другого контейнера на флешке
файлы TE.cer и TEcont.p15 будут перезаписываться

Настройка ЭБ закончена.

Весь перечень других сборок —
Настройка рабочего места для клиентов ФК

Как настроить компьютер для работы с ГИИС “Электронный бюджет”

Или Краткое руководство по настройке рабочего места (АРМ) для работы с ГИИС “Электронный бюджет”.

Список последних изменений в документе

Предисловие

В данном руководстве описано как настроить компьютер для работы с ГИИС «Электронный бюджет» (Казначейским сопровождением или другими подсистемами). Без Континент TLS-клиента. Без Jinn-Client. Не связываясь с продуктами Кода Безопасности. Без выискивания серверных сертификатов для Континент TLS-клиента (которому вечно что-то не так).

Подразумевается, что вы только начинаете свой путь и будете настраивать компьютер с нуля, с чистой операционной системы на неограниченном интернете (было бы идеально). Если это не так, возможные источники проблем так же перечислены.

Для каких ресурсов это будет работать

• eb.cert.roskazna.ru — Портал Федерального Казначейства Государственной Интегрированной Информационной Системы “Электронный Бюджет”. Предоставляет доступ к подсистемам ЭБ, оператором которых является ФК. Включая Казначейское сопровождение, Управление расходами ФБ, Подсистема Информационно-Аналитического Обеспечения и Подсистема Учёта И Отчётности. И другие…

  

  Картинка с сайта: ebudget-community.gitflic.space

• sobi.login.roskazna.ru — Подсистема Обеспечения Информационной Безопасности Системы Обеспечения Безопасности Информации (ПОИБ СОБИ) Федерального Казначейства. За столь длинным и сложным названием скрывается сервис, выполняющий функцию централизованной базы данных пользователей и списка того, что им делать можно, для использования в сервисах, оператором которых является ФК. Чтобы зарегистрироваться 1 раз и пользоваться всеми с одной УЗ.

  

  Картинка с сайта: ebudget-community.gitflic.space

• fzs.roskazna.ru — Портал заявителя Удостоверяющего Центра Федерального казначейства (Казначейства России). Сайт позволяет выпускать сертификаты полностью или частично удалённо. Подавать документы в электронном виде. Управлять уже выпущенными сертификатами от УЦ ФК.

  

  Картинка с сайта: ebudget-community.gitflic.space

Для любых других, использующих КриптоПро ЭЦП для ЭП и ГОСТ TLS для защиты передаваемых данных и аутентификации.

Включая (но не ограничиваясь):

• ufk**.sufd.budget.gov.ru — СУФД-онлайн (через ГОСТ TLS). Вместо звёздочек, первые 2 цифры кода ТОФК.
• lk.zakupki.gov.ru — ЕИС Госзакупки (личный кабинет)
• buh2012.budget.gov.ru — 1С ЗКГУ и БГУ (для госсектора) на базе ГИИС “Электронный Бюджет” через браузер.
• ssl.budgetplan.minfin.ru — ГИИС “Электронный бюджет”, Бюджетное Планирование, подсистемы ведении Минфина России.

Но всё же, центром этой статьи будет являться Портал eb.cert.roskazna.ru в ведении Федерального казначейства.

Что потребуется для установки

• СКЗИ КриптоПро CSP
• КриптоПро ЭЦП browser plug-in
• Браузер с поддержкой ГОСТ TLS Яндекс.Браузер или Chromium GOST
• Драйвер для носителя контейнера ключа ЭП. В случае Рутокен, Драйвер Рутокена. В случае JaCarta, драйвер JaCarta. И т.д.
• Личный сертификат УКЭП

На случай, если всё ещё задаётесь вопросом: СКЗИ Континент TLS-клиент, средство ЭП Jinn-Client при настройке данным способом не понадобятся.

Если у вас уже установлено на компьютере средство ЭП Jinn-Client, можно его либо удалить, либо проигнорировать. Оно всё равно прекратило работать, как только Google удалил его расширение из магазина и пометил как вредоносное (чтобы наверняка). Даже если раньше вы использовали Jinn-Client, с большой вероятностью, вы его уже не используете. Кроме отдельных случаев с закрытым контуром, где интернет ограничен и магазин недоступен.

Если установлен Континент TLS-клиент, достаточно отключить его автозапуск с системой и выйти из него с помощью значка в области уведомлений. Удалить его можно позже. Так же, это может означать, что у вас уже установлен КриптоПро CSP.

• Перейти в Континент TLS-клиент -> Настройки -> Основные. Убрать галочку с пункта “Запускать при старте системы”. Обязательно нажать Сохранить.

  

  Картинка с сайта: ebudget-community.gitflic.space

• Нажать правой кнопкой мыши на значке Континент TLS-клиента в Области уведомлений —> Выход.

КриптоПро CSP

Грубо говоря — это ГОСТ-движок (криптопровайдер), с помощью которого осуществляется вся ГОСТ-криптография в ОС, т.к. по умолчанию, вместе с ОС Windows не поставляются программные средства для работы ГОСТ-криптографии, в отличии от широко распространённых алгоритмов.

Без КриптоПро CSP не будет работать доступ по ГОСТ TLS и подписание документов с помощью УКЭП, и альтернативы в данном случае не предвидится (в том числе, потому, что другие ГОСТ-криптопровайдеры ГИИС “Электронный Бюджет” не поддерживаются).

СКЗИ можно скачать с официального сайта, после простой регистрации по Email и принятия Лицензионного соглашения. Это рекомендуемый способ приобретения дистрибутива.

Вам нужно выбрать версию КриптоПро CSP, соответствующую вашей лицензии:

• Для серийного номера лицензии, начинающегося на 4040, нужна версия 4.0.9963.0 (R4). Или 5.0.11455.0 (R1).
• Для серийного номера лицензии, начинающегося на 5050, нужна версия 5.0.12000.0 (R2) и выше.

• Случаи, когда использование КриптоПро CSP 5.0.12000.0 (R2) обязательно:

  • ОС Windows 11. Т.е. если у вас лицензия на КриптоПро CSP для ветки 4.0 и ОС Windows 11, вам придётся либо осуществить даунгрейд до Windows 10, либо приобрести лицензию для КриптоПро CSP 5.0. КриптоПро CSP 4.0 не поддерживает Windows 11 и не собирается.

  • Неизвлекаемые ключей УКЭП на активных смарт-картах (Рутокен ЭЦП 2.0 и подобные). Если у вас активная смарт-карта с установленным неизвлекаемым ключом (в режиме PKCS#11), вам в любом случае нужен КриптоПро версии 5.0.12000.0 (R2) или выше. Даже на Windows 10. Обратите внимание, что ключ на Рутокен ЭЦП может быть так же записан и в пассивном режиме. Узнать наверняка можно только через программу Панель управления вашего носителя. Если ключ записали в активном режиме, в пассивный его конвертировать невозможно. Только перевыпуск. Не зря же их называют неизвлекаемыми.

Если вы не имеете действительной лицензии в данный момент, но планируете её приобрести, рекомендуется скачать 5.0.12000.0 (R2), не ошибетесь. КриптоПро предоставляет пробный период на 90 дней после установки СКЗИ или после обновления с КриптоПро CSP 4.0.* с действительной постоянной лицензией на 5.0.12000.0.

Лицензирование КриптоПро CSP обязательно, т.к. согласно условиям пользовательского соглашения, с истёкшей лицензией не допускается ЭП с помощью сертификата и двухсторонняя аутентификация с помощью сертификата на ресурсах (вход по сертификату).

Исключение — сертификаты со встроенной лицензией. Но вам придётся пользоваться только такими сертификатами и никакими другими. Например, сертификаты выпущенные УЦ ФК не содержат встроенной лицензии, потому с ними так не получится, придётся приобрести полноценную лицензию. А УЦ ФНС перестал выдавать такие в октябре 2022 г.

• Как посмотреть, есть ли в сертификате встроенная лицензия.

  

  Картинка с сайта: ebudget-community.gitflic.space

Лицензию, так же, можно запросить в УФК в безвозмездное пользование, по заявлению, но там выдаётся лицензия только на КриптоПро CSP 4.0. А сама лицензия на 1 компьютер (постоянная, 5.0) стоит около 3-ех тысяч рублей, на момент написания статьи… Целесообразность остаётся на ваше усмотрение.

КриптоПро ЭЦП browser plug-in

Программа, предоставляющая интерфейс программам для осуществления Электронной Подписи документов. Распространяется бесплатно с официального сайта (без регистрации).

В новейшей версии КриптоПро CSP 5.0 R3, по умолчанию встроен в дистрибутив.

Браузер ГОСТ TLS

Специализированный браузер, со встроенной поддержкой установки соединений TLS с применением ГОСТ-шифрования, с использованием установленного в систему криптопровайдера (в нашем случае, это КриптоПро CSP).

Такими являются:

• Яндекс.Браузер
• Chromium GOST

Выбор на ваш вкус и цвет. Если вы работали в Яндекс.Браузере ещё до этого руководства, то поздравляем, у вас уже есть браузер для ГОСТ. Если вам нужно настроить отдельный браузер исключительно для работы с ГОСТ-ресурсами, Chromium GOST будет в самый раз.

Личный сертификат УКЭП

Для работы с ГИИС “Электронный Бюджет” требуются сертификат(ы) Усиленной Квалифицированной Электронной Подписи (УКЭП), выпущенные аккредитованным Удостоверяющим Центром (УЦ) на лица, имеющие право первой и второй подписи (если таковое имеется) в финансовых документах. Лицо, имеющее право первой подписи, обычно, так же имеет статус лица, имеющего право действовать от имени организации без доверенности (руководителя). Сертификат на руководителя, как необходимый минимум, должен быть.

Для работы в ГИИС “Электронный Бюджет” могут использоваться сертификаты от любого УЦ, включая УЦ ФНС. Разница между использованием сертификатов от УЦ Федерального Казначейства (УЦ ФК) и УЦ ФНС (например) при работе в ГИИС “Электронный Бюджет”, заключается только в интеграции ГИС УЦ ФК с ПОИБ СОБИ, для автоматической регистрации. Т.е. когда вы подаёте документы в УЦ ФК для выпуска сертификата, автоматически регистрируется УЗ в ПОИБ СОБИ. Зарегистрироваться в ПОИБ СОБИ можно без подачи запроса в УЦ ФК.

По окончанию выполнения действий из этого руководства, вы так же сможете воспользоваться Порталом заявителя УЦ ФК, для того, чтобы подать запрос на получение сертификата. Узнать, попадаете ли вы в список лиц, которым доступен выпуск сертификата в УЦ ФК, можно в письме №95-09-11/15-377 от 25 августа 2023 г. «О вопросах создания и выдачи сертификатов» от МОУ ФК.

Установка СКЗИ КриптоПро

Для установки вам потребуются права локального администратора на компьютере. Если вы таковых не имеете, закройте эту статью и вышлите ссылку по электронной почте вашим системным администраторам.

Установка КриптоПро CSP

Открываете установочный файл программы CSPSetup.exe и нажимаете Установить (рекомендуется).

Никаких дополнительных настроек не требуется (в большинстве случаев).

Галочку Установить корневые сертификаты рекомендуется оставить.

Картинка с сайта: ebudget-community.gitflic.space

Возможно, вы захотите сразу ввести серийный номер лицензии в Панели управления КриптоПро CSP.

Установка КриптоПро ЭЦП

Тоже производится очень просто и без дополнительных настроек. По двойному клику запускается исполняемый файл cadesplugin.exe, скачанный с сайта.

Возникнет диалог с выбором, Да или Нет. По нажатию Да — плагин устанавливается.

• Нажмите Да

• Нажмите ОК

Установка браузера ГОСТ TLS

Яндекс.Браузер

Установка Яндекс.Браузера производится по двойному клику после скачивания установщика с официального сайта.

Картинка с сайта: ebudget-community.gitflic.space

По умолчанию, работа с ресурсами ГОСТ TLS должна быть уже включена. Но не мешает убедиться.

Картинка с сайта: ebudget-community.gitflic.space

Chromium GOST

Переходим на страницу с перечислением выпусков

https://github.com/deemru/Chromium-Gost/releases/latest/

В разделе Assets ищем windows-amd64-installer, что означает установщик 64-битной версии для Windows.

Картинка с сайта: ebudget-community.gitflic.space

Скачиваем и запускаем. Chromium GOST по умолчанию устанавливается в тихом режиме, без отображения окна с прогрессом, в профиль пользователя. По завершению установки будет открыто окно браузера и добавлены ярлыки в Пуск, Рабочий стол и на Панель задач.

Настройка браузера ГОСТ TLS

Установка расширения КриптоПро ЭЦП в браузер

По умолчанию, устанавливаемая в ОС Windows часть КриптоПро ЭЦП прописывает автоматическую установку расширения как в Chromium GOST, так и в Яндекс.Браузере. При следующем запуске оно добавляется “само” или появляется запрос на его добавление.

• Расширение КриптоПро ЭЦП в Яндекс.Браузере

  

  Картинка с сайта: ebudget-community.gitflic.space

• Расширение КриптоПро ЭЦП в Chromium GOST

  

  Картинка с сайта: ebudget-community.gitflic.space

Если этого не произошло, нужно добавить его вручную.

• Из Каталога Opera, для Яндекс.Браузера.
• Из Интернет-магазина Chrome для Chromium GOST

Если на компьютере ограниченный доступ в интернет, необходимо извлечь CRX из магазина с помощью специальных утилит и установить его оффлайн. Что в статью включено не будет, из-за краткого формата.

Настройка доверенных узлов для КриптоПро ЭЦП

• По умолчанию, КриптоПро ЭЦП не позволяет задействовать плагин для ЭП сайтам, которые не были добавлены в доверенные. Вместо этого отображая окно подтверждения.

  

  Картинка с сайта: ebudget-community.gitflic.space

• Для того, чтобы убрать это подтверждение, необходимо добавить сайты в доверенные.

• Для этого, найдите значок расширения КриптоПро ЭЦП на панели браузера. Кликните на него и откройте меню расширения. Выберите Настройка доверенных сайтов.

• Рекомендуемый для ГИИС “Электронный Бюджет” список ресурсов для добавления в доверенные:

  https://*.cryptopro.ru
  https://*.roskazna.ru
  https://*.gov.ru
  

  Вы можете добавить дополнительные ресурсы позднее.

• Введите в текстовое поле строку для добавления и нажмите кнопку +

  

  Картинка с сайта: ebudget-community.gitflic.space

• После добавления всех указанных строк, нажмите Сохранить

  

  Картинка с сайта: ebudget-community.gitflic.space

• Должно отобразиться подтверждение об успешном сохранении списка.

  

  Картинка с сайта: ebudget-community.gitflic.space

Установка Пути сертификации для УЦ ФК

Скачивание сертификатов

• На компьютере, в Загрузках, создаём две директории:

  • Корневые
  • Промежуточные

• Нужно скачать последний корневой сертификат ГУЦ 2022 года от Минцифры России и последних 2 подчинённых сертификата от УЦ ФК от 2023 и 2024 годов.

  Остальные имеют архивное значение, для того, чтобы проверять подпись документов, подписанных сертификатами, выпущенных более 2-ух лет назад. Актуальных сертификатов у них уже точно нет, учитывая средний срок жизни УКЭП в 1 год и 3 месяца.

  

  Картинка с сайта: ebudget-community.gitflic.space

  Если в “инфографике” не хочется разбираться, следуйте красным стрелочкам.

  Если в будущем появятся Подчинённые сертификаты, скажем, 2025-ого года или 2026-ого года, тоже захватите в папку Промежуточные. Не факт, что скриншот-инфографика будет обновляться каждый раз.

• Чтобы было сподручнее, используйте Сохранить ссылку как.

Или, скачиваем по ссылкам ниже. Список обновляется примерно раз в год.

• Корневые

  • http://crl.roskazna.ru/crl/Корневой%20сертификат%20ГУЦ%202022.cer

• Промежуточные:

  • http://crl.roskazna.ru/crl/ucfk_2023.crt
  • http://crl.roskazna.ru/crl/ucfk_2024.crt

crl.roskazna.ru — это не просто ресурс, откуда можно скачать сертификаты. Это CRL Distribution Point (CDP), т.е. Точка распространения Списка Отзыва Сертификатов. Потому, если этот ресурс не открывается, системному администратору необходимо обеспечить к нему доступ. И http://reestr-pki.ru заодно проверить, чтобы был доступен. Иначе, вы будете ловить ошибки проверки сертификатов на отзыв и вы не сможете воспользоваться ЭП ни на одном из Порталов.

Открытие оснастки MMC Сертификаты через меню Пуск

Переходим в меню Пуск и открываем консоль Сертификаты от имени Администратора используя ярлык в папке программ КРИПТО-ПРО

Установка Корневых сертификатов (ГУЦ)

1. Переходим в хранилище Доверенных корневых центров сертификации Локального компьютера. В левой колонке соответствующее хранилище должно быть выделено.

2. Переходим в Действие —> Все задачи —> Импорт

   

   Картинка с сайта: ebudget-community.gitflic.space

3. Откроется Мастер импорта сертификатов.

   Нажимаем Далее

   

   Картинка с сайта: ebudget-community.gitflic.space

4. Выбираем ранее отобранный в директорию Корневые сертификат. И нажимаем Далее.

   

   Картинка с сайта: ebudget-community.gitflic.space

5. Дальше нажимаем Далее —> Готово. Ничего не меняя.

   

   Картинка с сайта: ebudget-community.gitflic.space

   

   Картинка с сайта: ebudget-community.gitflic.space

Повторить действия с 2 по 5, для каждого файла сертификата в папке Корневые, если их несколько.

Установка Промежуточных центров сертификации (УЦ)

1. В консоли Сертификаты, переходим в хранилище Промежуточных центров сертификации Локального компьютера.

2. Переходим в Действие —> Все задачи —> Импорт

   

   Картинка с сайта: ebudget-community.gitflic.space

3. Откроется Мастер импорта сертификатов.

   Нажимаем Далее

   

   Картинка с сайта: ebudget-community.gitflic.space

4. Выбираем ранее отобранный в директорию Промежуточные сертификат. И нажимаем Далее.

   

   Картинка с сайта: ebudget-community.gitflic.space

5. Дальше нажимаем Далее —> Готово. Ничего не меняя.

   

   Картинка с сайта: ebudget-community.gitflic.space

   

   Картинка с сайта: ebudget-community.gitflic.space

Повторить действия со 2 по 5 для каждого файла сертификата в папке Промежуточные.

Установка личного сертификата

• Открываем Панель управления КриптоПро CSP из меню Пуск.

• Вставляем ключевой носитель с сертификатом.

• Открываем вкладку Сервис —> Просмотреть сертификаты в контейнере... —> Обзор

• Выбираем контейнер с сертификатом, который требуется установить.

  

  Картинка с сайта: ebudget-community.gitflic.space

• Нажимаем Далее

  

  Картинка с сайта: ebudget-community.gitflic.space

• Нажимаем Установить —> Готово

  

  Картинка с сайта: ebudget-community.gitflic.space

Предполагается, что сертификат уже был интегрирован в контейнер ранее. Если это не так, установите сертификат с помощью мастера Установка личного сертификата и файла в формате .cer.

Для пользователей КриптоПро CSP версии 5.0.* по умолчанию доступен упрощённый инструмент для работы с контейнерами и сертификатами, Инструменты КриптоПро. Но способ с Панелью управления универсальный, потому указан в первую очередь.

Картинка с сайта: ebudget-community.gitflic.space

Проверка работоспособности

Тестирование ГОСТ TLS

Протестируем в браузере, что подключения с шифрованием по ГОСТу действительно работают.

Если у вас возникают проблемы с использованием тестовой страницы от компании КриптоПро, т.к. у вас ограниченный доступ в интернет, альтернативная проверка представлена здесь.

Проверка анонимного ГОСТ TLS

• Откройте браузер с поддержкой ГОСТ TLS

• Перейдите по ссылке:

  https://www.cryptopro.ru:4444/test

• Должна отобразится страница:

  

  Картинка с сайта: ebudget-community.gitflic.space

• Тот факт, что страница открылась, означает, что первая часть проверки успешно пройдена. Вы успешно соединились по “анонимному” ГОСТ TLS с использованием односторонней аутентификации.

  

  Картинка с сайта: ebudget-community.gitflic.space

Список возможных ошибок и причин возникновения

Проверка ГОСТ TLS с входом по сертификату

• В браузере, после шага 1, перейдите по единственной ссылке на странице

  

  Картинка с сайта: ebudget-community.gitflic.space

  Или перейдите по ссылке ниже:

  https://www.cryptopro.ru:4444/test/tls-cli.asp

• Вам будет предложено выбрать личный сертификат.

  

  Картинка с сайта: ebudget-community.gitflic.space

• Выделите личный сертификат для проверки, и нажмите ОК.

  

  Картинка с сайта: ebudget-community.gitflic.space

• Должна отобразиться страница с информацией о выбранном сертификате.

  

  Картинка с сайта: ebudget-community.gitflic.space

Список возможных ошибок и причин возникновения

Тестирование ЭП через КриптоПро ЭЦП

• В браузере ГОСТ TLS откройте тестовую страницу КриптоПро ЭЦП.

  • Это можно сделать по ссылке:

    https://cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

  • Или через плагин.

• В списке сертификатов выберите свой личный сертификат и выполните тестовое подписание.

  

  Картинка с сайта: ebudget-community.gitflic.space

  

  Картинка с сайта: ebudget-community.gitflic.space

Завершение

На этом моменте, настройка браузера и СКЗИ были завершены.

Ваш компьютер готов к работе с ГИИС “Электронный бюджет”.

Рекомендуется сделать следующие закладки в браузере:

• https://fzs.roskazna.ru/ — Портал заявителя УЦ ФК
• https://sobi.login.roskazna.ru/ — ПОИБ СОБИ
• https://eb.cert.roskazna.ru/ — Портал ФК ГИИС ЭБ

Если вы не из счастливого большинства и что-то пошло не так, крутите страницу ниже…

Что делать дальше?

Если вы сталкиваетесь с работой в ГИИС “Электронный Бюджет” впервые, вот примерный список того, что потребуется сделать дальше:

• Убедиться, что ваша организация представлена в Реестре участников и неучастников бюджетного процесса.
• Зарегистрироваться в ПОИБ СОБИ под руководителем. Руководители, т.е. лица имеющие право действовать от имени Юр. Лица без доверенности (см. в ЕГРЮЛ), автоматически получают полномочие Главный регистратор. Что даёт им право назначать любые Роли сотрудникам в ПОИБ СОБИ и давать им полномочия Регистратора (которые в свою очередь, тоже могут назначать Роли). Главное помнить, что всё начинается с руководителя.
• Зарегистрировать в ПОИБ СОБИ лицо, имеющее право второй подписи. Т.е. Главного бухгалтера.
• Назначить в ПОИБ СОБИ пользователям необходимые Роли для работы с нужной подсистемой (ранее они назывались Полномочиями). Например, Казначейским сопровождением. Иначе, в меню подсистемы у вас будет пусто и не будет необходимых форм.
• Попытаться зайти на Портал ФК под руководителем.
• Почитать памятки или пройти курс от УФК г. Москве, указанные на этой странице.

В случае возникновения проблем

Если попытаться перечислить здесь все возможные проблемы, то это руководство кратким не будет. Потому будет вкратце перечислено самые основные факторы, которые могут вызвать проблемы.

Лицензия КриптоПро CSP

На случай, если раздел про лицензирование был пропущен…

Использование криптопровайдера КриптоПро CSP с Истекшей лицензией допускается только в случае использования сертификатов со встроенной ограниченной лицензией.

До октября 2022 г. УЦ ФНС выдавал такие бесплатно. После, эксперимент был прекращён.

Так же, после первой установки на АРМ КриптоПро CSP или обновления криптопровайдера с версии 4.0 на 5.0 (с действительной лицензией), программой выдаётся пробная лицензия на 90 дней.

С Истекшей лицензией не допускается использование ключа сертификата для электронной подписи и вход на ресурсы с использованием двухсторонней аутентификации по ГОСТ TLS с использованием УКЭП.

“Бесплатно” допускается только доступ до сайтов использующих ГОСТ TLS без двухсторонней аутентификации.

Т.е. это означает, что у вас вход по сертификату и электронная подпись не будут работать до тех пор, пока вы не введете в программу действительный серийный номер лицензии, выдавая так называемую “ошибку жадности” под номером 0x8007065B

Но, если вы перейдете на ресурс ГОСТ TLS, не требующий сертификат для аутентификации, такие как:

• fzs.roskazna.ru — Портал заявителя УЦ ФК. Раздел для подачи заявления на выпуск сертификата в первичном порядке.

• sobi.login.roskazna.ru — ПОИБ СОБИ ФК, вход по логину и паролю.

• sobi.esia.roskazna.ru — ПОИБ СОБИ ФК, вход с использованием ЕСИА (Госуслуг).

Они у вас откроются.

Потому при проверке работоспособности ГОСТ TLS вас просят сначала пройти проверку на анонимный ГОСТ. Потом уже на возможность аутентификации по сертификату. Чтобы отделить невозможность установить соединение по ГОСТ от невозможности использования сертификата.

Источник: О лицензировании программных продуктов, правообладателем которых является ООО «КРИПТО-ПРО» № 11038 от 11.03.2020 г.

Потому, рекомендуется проверить лицензию. И приобрести, в случае необходимости.

ПО с функциями проверки зашифрованного трафика путём HTTPS-MiTM (включая антивирусы)

Антивирусное ПО и DLP-системы, которые имеют функции вклинивания в зашифрованный трафик приложений, могут мешать установке соединения, зашифрованного по госту.

К такому ПО относится:

• Касперский
• Dr. Web (функция SpIDer Gate)
• PRO32
• Staffcop Enterprise

Для него следует добавить в исключения проверки следующие домены:

• eb.cert.roskazna.ru
• sobi.cert.roskazna.ru
• sobi.esia.roskazna.ru
• sobi.login.roskazna.ru
• fzs.roskazna.ru
• lk-fzs.roskazna.ru
• signservice.roskazna.gov.ru
• Другие домены, с которыми планируете работать. Например, buh2012.budget.gov.ru или ssl.budgetplan.minfin.ru

Подробнее описано в статье

Конфликтующее ПО, которое невозможно настроить на совместную работу

В данном случае, выделился всего одна программа. Avast.

Автор пытался составить исключения, чтобы исправить эту проблему, но что бы он туда не прописывал, не помогало. А каналы обращения в техническую поддержку Avast у автора и вовсе отсутствуют. Потому решено просто объявить Avast вредителем и рекомендовать к удалению/замене.

Отключение защиты — помогает. Но это не решение, а обходной путь.

Отсутствие доступа к CDP для проверки сертификата на отзыв

Сертификаты регулярно проверяются на отзыв и если КриптоПро CSP не в состоянии это сделать, то он предпочитает не доверять сертификату, даже если Путь сертификации проходит проверку.

Если при открытии Портала ФК или другого сайта можно проигнорировать ошибку, то при попытке подписать документ вы не увидите свой сертификат в списке, т.к. в список выводятся только сертификаты, которые прошли проверку.

Картинка с сайта: ebudget-community.gitflic.space

А в тестировании КриптоПро ЭЦП будет писать красным текстом

Картинка с сайта: ebudget-community.gitflic.space

Да, согласен, очень «информативно». Могли бы и отдельный код ошибки выделить под такое.

Потому, нужно обеспечить доступ к следующим адресам:

• http://crl.roskazna.ru/ — на этом ресурсе располагаются списки отзыва для сертификатов, выпущенных УЦ ФК.
• http://reestr-pki.ru/ — на этом ресурсе располагаются списки отзыва от Головных Удостоверяющих Центров (Корневых) Минкомсвязи и Минцифры. Сертификаты УЦ тоже проверяются на отзыв по списку от ГУЦ.

Если ваш личный сертификат выпущен не в УЦ ФК, то нужно посмотреть в его свойствах ссылку на CDP и обеспечить доступ к этому ресурсу.

• Например. УЦ ФНС

  

  Картинка с сайта: ebudget-community.gitflic.space

Этой болезнью часто страдают корпоративные интрасети и закрытые контуры.

Конфликтующие криптопровайдеры

Криптопровайдеры для ГОСТ от других производителей, отличных от КРИПТО-ПРО. В системе должен быть только один ГОСТ-криптопровайдер.

Такие как:

• Код Безопасности CSP 4.0.*
• VIPNet PKI/Client
• Tumar CSP

Если установлено что-то из этого, нужно удалить. Возможно, придётся переустановить КриптоПро CSP после этого.

Теоретически, может возникнуть необходимость
скрестить ежа с ужом работать с двумя криптопровайдерами одновременно, но если вы не знаете как это делать, лучше выделите отдельный компьютер для работы с ГИИС “Электронный бюджет” (возможно, виртуальный) и работайте с ним через Удалённый рабочий стол. Если контейнер ключа будет хранится на Рутокене или другой смарт-карте, она будет пробрасываться через RDP на удалённую машину. Не нужно будет копировать ключ или бегать перетыкать флешку.

Попытка использовать HTTP:// для ресурсов ГОСТ TLS

1. TLS, это по определению HTTPS. Потому убедитесь, что вы используете именно ссылку с указанием протокола HTTPS:// Протокол HTTP:// не подразумевает использование сертификатов для входа. Все указанные в старых инструкциях ссылки на использование HTTP:// подразумевали использование Континент TLS-клиента в качестве прокси.
2. На точках входа ГИИС “Электронный Бюджет” закрыт 80 порт, который используется для протокола HTTP://. Только, вместо явного отклонения соединения, оно просто игнорируется. ¯\_(ツ)_/¯ Потому, вы получите ошибку TIMED_OUT. Словно сервер на той стороне “лежит” и не подаёт признаков жизни. Протокол HTTPS:// использует для работы 443 порт.

Ошибка 404 при переходе на Портал ФК (ошибка бюрократии)

Ошибка возникает из-за того, что ваша организация отсутствует в Сводном Реестре (СвР) ГИИС Электронного Бюджета. Проверить, включены вы или нет, можно здесь (ищем по ИНН организации, например). И до тех пор, пока вы не будете в этом списке, вы будете получать эту ошибку.

Основная статья

У ИП и КФХ существует отдельный реестр в той же подсистеме. Но в публичном доступе, на просмотр его, нет. Если вы ИП и получаете ошибку 404, вы испытываете схожую проблему, но вам нужен другой реестр. Реестр ИП и КФХ.

Настройка АРМ тут не причём, сам факт отображения этой ошибки уже означает, что у вас произошло успешное соединение по ГОСТ TLS с использованием двухсторонней аутентификации и браузер успешно получил эту страницу. Это исключительно проблема бюрократии и реестров. Портал вас “не узнал”.

Ничего не помогает

Соберите скриншоты возникающих ошибок и подайте обращение в техподдержку.

Очередной федеральный геморрой подкрался планово, и как всегда… За основу будет взята инструкция присланная по электронке (с просьбой «инкогнито») дополненная моей лирикой и заметками. Ибо у нас всё заработало. По аналогии с закупками в ⇒ Облако закинул всё, что вам может понадобится.

Лирика и дополнения тоже имеют немаловажное значение, читайте от корки до корки.

Вводная. У нас всё настроено на работу через Internet Explorer версии 11 и стоит антивирус KES 10. После эпидемии шифровальщиков пришлось отключить «Сетевой экран» и теперь мы работаем через Брандмауэр Windows. В «огненной стене» никаких настроек не производилось, ЭБ-2012 работает без проблем. А вот настройки для KES 10 покажу позже. Internet Explorer 11 можно скачать у ⇒ Яндекса.

Итак, поехали…

Пункт №1. Удалить все версии Jinn-Client и Continent TLS (если были установлены до этого). Перезагрузка.

Лирика. Если у вас не стоит какого-нибудь «самописного» ведомственного софта, рекомендую еще прогнать реестр утилитой Ccleaner. И чистить до тех пор, пока она не выдаст «Ошибок нет». Если стоит VirtualBox — останутся ошибки только от него. Перезагрузка.

Пункт №2. Удалить Extended Container (если был установлен до этого). Перезагрузка.

Пункт №3. Установить браузер Mozilla Firefox 63.0.1 (32-bit), можно обновить поверх старой версии.

Лирика. Пункт выполнил, но это не сработало, а вот настроенное через Firefox СУФД слетело. Получился лишний геморрой. Internet Explorer 11 — наше всё! Тут еще проблема в чём. Firefox и Chrome постоянно обновляются, а конечных требований к безопасности не сформировано,.. и расширения вылетают и отключаются… Firefox ESR тоже проходит этап глобальных изменений… Короче, лучше не трогать.

Лирика. Это не понадобилось, ибо всю эту хрень мы уже проделывали с неудачной попыткой установки Континент-АП 3.7.7.651 (компьютер собран на серверном железе). Не знаю, как остальные, а мы откатились назад на Континент-АП 3.6.90.4 и продолжаем работать без проблем (Континенты ⇒ здесь). Ждём нормальную версию Континент-АП 4.0.

А вот с ГОСТ-2001 в «Электронном бюджете» возникли проблемы. И этот пункт будет полезен и для общего развития, и для решения проблемы… Как узнать откуда брать CRL (он же «Список отозванных сертификатов»)? 

Жамкаем дважды в Проводнике на проблемный сертификат. Переходим на вкладку «Состав» и выбираем строку «Точки распространения списка отзыва (CRL)». Получаем адреса… Запускаем любой интернет-браузер и вбиваем URL. Если «пусто» по всем адресам, ну чтож — мертворожденный…

Картинка с сайта: blog.alex-274.ru

То, что мы скачали нужно впихнуть в систему насильственно. И так каждый раз, когда список потеряет актуальность… В том же Проводнике двойной клик на скачанном файле и выбираем «Установить…»:

Картинка с сайта: blog.alex-274.ru

Далее ставим, как и было написано выше «от админа в Доверенные корневые в Локальный компьютер» и на всякий случай можно воткнуть и в «Промежуточные / Локальный компьютер»:

Картинка с сайта: blog.alex-274.ru

И самое интересное, что пути скачивания прописаны в TLS 2.0, но эта c[мать щенка]а пишет, что по указанному адресу ничего нет.

И для информации: Оказывается сертификаты и контейнеры закрытого ключа независимы по сроку жизни друг от друга. Т.е. сертификат может быть актуальным, но подписать документ уже нельзя…

Пункт №5. Устанавливаем личный сертификат пользователя через КриптоПро.

Лирика. Думаю не нужно объяснять, что версия Крипты не менее КриптоПро CSP 4.0.9944 (скачать ⇒ тут).

Пункт №6. Зайти в КриптоПро и выставить на вкладке «Настройки TLS» чекбоксы «Не проверять сертификат сервера на отзыв» и «Не проверять назначение собственного сертификата».

Пункт №7. Устанавливаем Континент TLS Client 2.0.1440. Перезагрузка.

Лирика.  В процессе установки может возникнуть ошибка доступа… Это мы уже проходили ранее. Нужно разблокировать ветку реестра (прям в процессе установки), изменить права на её изменения. По умолчанию владельцем ветки является «система», а софт устанавливается от имени пользователя. Поскольку на компах такого уровня пользователи должны быть в «Администраторах» (проверено практикой), то и доступ даём соответственно:

Картинка с сайта: blog.alex-274.ru

Пункт №8. Производим настройку Континент TLS (см. руководство на сайте roskazna.ru, раздел «ГИС-Электронный бюджет»).

Лирика. Если лень читать инструкцию накидаю картинок из присланного письма. Если «переходный период» и ключей много, то нужно добавить два ресурса. Ну и сертификатов личного кабинета тоже два: 

• lk2012.budget.gov.ru
• lk.budget.gov.ru 

Настройки TLS:

Картинка с сайта: blog.alex-274.ru

Картинка с сайта: blog.alex-274.ru

Картинка с сайта: blog.alex-274.ru

Картинка с сайта: blog.alex-274.ru

Картинка с сайта: blog.alex-274.ru

Пункт №9. Регистрируем Континент TLS.

• Win+R и набрать %PUBLIC%\\ContinentTLSClient\\
• Найти файлик PublicConfig.json
• Открыть Блокнотом на редактирование
• В параметре SerialNumber вставить в кавычках значение «test-50000«
• Перезапустить Континент TLS.

Лирика. Можно поступить проще, никакой крамолы в этом нет — зарегистрироваться официально. Денег за это не попросят.

Пункт №10. Удаляем программу Extended Container через «Программы и компоненты» в Панели управления. Перезагрузка.

 Лирика. Этот пункт я не выполнял. Я не понял, зачем её удалять, она абсолютно не мешает.

Пункт №11. Устанавливаем Jinn Client 1.0.3050 (требуется серийный номер). Перезагрузка.

Лирика. Нам Казначейство выдало версию 1.0.1130.0, на работоспособности это никак не сказалось. Серийник берем со старой версии ранее выданного дистрибутива.

Пункт №12. Устанавливаем Extended Container из дистрибутива с Jinn Client (требуется отдельный серийный номер).

Лирика. О каком серийном номере идёт речь я без понятия. Раньше его не было. Возможно имеется в виду выданный номер в свежем дистрибутиве. В отличии от Jinn ограничений на количество установок нет. Новый Extended (версия 1.0.2.2) ставил ранее в попытке решить проблему самостоятельно.

Пункт №13. Заходим в C:\Program Files\Secure Code\CSP\ и находим файлик csp_uninstal.exe. Запускаем его и удаляем криптопровайдер от Кода Безопасности. Перезагрузка.

Пункт №14. Заходим Устанавливаем JinnSignExtensionProvider (для взаимодействия с браузерами Chrome и Firefox).

Лирика. Этот пункт тоже пропустил, ибо у нас Internet Explorer 11. На Chrome я не пробовал, а Firefox не заработал.

Пункт №15. Устанавливаем CadesPlugin (он же — КриптоПро ЭЦП Browser Plug-in).

Лирика. Скачать можно ⇒ тут. Качаем самую последнюю версию. Прописываем сайт «http://lk2012.budget.gov.ru» в настройки плагина:

Картинка с сайта: blog.alex-274.ru

Пункт №16. Настраиваем браузеры:

• Internet Explorer: добавить в Надежные сайты — http://lk2012.budget.gov.ru и https://lk2012.budget.gov.ru
• Firefox: добавить расширение JinnSignExtension.xpi и отключить в настройках сети старую настройку прокси (выставить «Без прокси»)
• Chrome: добавляем расширение JinnSignExtension (перетягиваем папку с расширением в окно установки расширений)

Лирика. Еще в Internet Explorer нужно отключить Proxy совсем:

Картинка с сайта: blog.alex-274.ru

ДАЛЕЕ то, чего не было в инструкции.

Создаём ярлыки на рабочем столе для обоих вариантов (ГОСТ-2001 и ГОСТ-2012) прописывая в объектах строки:

• «C:\Program Files\Internet Explorer\iexplore.exe» http://lk.budget.gov.ru/udu-webcenter
• «C:\Program Files\Internet Explorer\iexplore.exe» http://lk2012.budget.gov.ru/udu-webcenter

И на всякий случай в свойствах предусматриваем запуск от имени Администратора:

Картинка с сайта: blog.alex-274.ru

Это нужно для того, чтобы браузер не перескакивал во время работы на протокол HTTPS.

Настраиваем Антивирус. В сети рекомендуют отключать антивирус совсем. Отличная шутка, особенно на компьютере управляющем деньгами. Предлагаю настройки для Kaspersky Endpoint Security 10. На других антивирусах нужно создать подобные правила.

Для начала отключаем проверку трафика:

Картинка с сайта: blog.alex-274.ru

Затем вносим в исключения контроля за программами обе версии (x86 и x64) Internet Explorer:

Картинка с сайта: blog.alex-274.ru

Конечно, это не правильно, но это меньшее зло из всех возможных.

Ключи конвертировать придётся. Качаем Конвертер закрытого ключа и там в архиве лежит файлик Readme.doc с инструкциями по установке. Для конвертации дополнительная флэшка не нужна, делаем всё на той же самой, просто добавятся файлы с новым форматом ключа. Носитель станет универсальным. Конвертируются без проблем как новые ключи, так и старые.

Смена пользователя стала намного проще. Теперь не надо перезапускать службу, достаточно просто поменять сертификат в строке «Сертификат пользователя по умолчанию» в настройках Континент TLS.

Удачи вам в нелёгкой борьбе с федеральными порталами!

PS: Есть продолжение по замене сертификата в Континент TLS.

Данный материал описывает настройки клиентского рабочего места 1C на Web интерфейсе под управлением операционной системы Windows. Не рекомендуется использовать 32 битные системы, так как они не поддерживают нормальный объем оперативной памяти для использования отечественных браузеров, поэтому все компоненты размещены для 64 битной системы.

1. Скачиваем и устанавливаем Яндекс браузер отсюда (ссылка на офлайн инсталлятор) https://browser.yandex.ru/download/?full=1

2. Скачиваем и устанавливаем КриптоПро версии 4.0.9963 (для Windows 10).

3. Скачиваем и устанавливаем КриптоПро ЭЦП Browser plug-in с официального сайта https://www.cryptopro.ru/products/cades/plugin/get_2_0

Или скачиваем и устанавливаем отсюда

4. Устанавливаем расширения CAdES (CMS Advanced Electronic Signatures) для браузера (в архиве есть скрин как его правильно поставить в локальной сети. Для рабочего места в сети «Интернет» можно установить его из магазина Chrome по ссылке https://chrome.google.com/webstore/detail/cryptopro-extension-for-c/iifchhfnnmpdbibifmljnfjhpififfog?hl=ru и каталога Opera по ссылке https://operaextensions.com/extension/cryptopro-extension-for-cades-browser-plug-in-extension/ . Но если вы настраиваете рабочее место в локальной сети, то размещаю его для загрузки в архиве ниже. Также в данном архиве несколько различных версий данного плагина, какая-то обязательно подойдет.

5. Устанавливаем это дополнение (Расширение для работы с 1C:Предприятием), его можно загрузить из Магазина Chrome по ссылке https://chromewebstore.google.com/detail/расширение-для-работы-с-1/pbhelknnhilelbnhfpcjlcabhmfangik или скачать из архива ниже, в случае локальной установки. На скриншотах есть инструкция по его настройке.

Здесь показано (на скриншотах) как установить и настроить ExtraCryptoAPIChromeSetup64.exe, 1CCryptoExtensionChrFFSetup64.exe, 1CFileExtensionChrFFSetup64.exe для удобства можно полистать или скачать их одним архивом. При возникновении ошибок установки проверьте наименование учетной записи, возможно она должна быть на латинице без пробелов.

6. Еще нужны плагины (внутренняя обработка документов в 1C, работа с электронной подписью), обычно программа сама предлагает его скачать после шага 5 на странице настройки электронной подписи (скриншоты в архиве), но на всякий случай размещаю в архиве (Названия вложений: ExtraCryptoAPIChromeSetup64.exe, 1CCryptoExtensionChrFFSetup64.exe, 1CFileExtensionChrFFSetup64.exe)

7. Для подписания через Jinn-Client ставим это дополнение Jinn Sign Extension 1.2.0.1 (внимание, браузер будет оповещать Вас, что дополнение содержит вредоносное ПО, будет необходимо отключить проверку расширений в браузере (смотрите скрины выше), я не знаю какой вред несет это ПО, если опасаетесь не ставьте, я к этому отношения не имею, все вопросы к «Яндексу» и «Коду Безопасности»). Можно подписывать всё через КриптоПро и не устанавливать Jinn-Client, но я заметил особенность, что КриптоПро подписывает дольше чем Jinn-Client, поэтому тут стоит исходить из количества подписываемых пользователем в программе документов.

8. Ну и естественно размещаю сам Jinn-Client, строго следуйте инструкциям установщика и всё должно быть в порядке.

9. И плагины к нему Jinn Sign Extension Provider 1.1.0.5 и eXtendedContainer 1.0.2.2 (учтите нюанс, что учётная запись пользователя должны быть без пробелов и на латинице, иначе плагины работать не станут).

10. Перед входом необходимо установить корневые сертификаты из архива ниже.

10.1 Для автоматизации установки сертификатов можно воспользоваться bat скриптом по примеру ниже. В идеале конечно все их подгрузить на контроллер домена и политика сама будет загружать Вам их на компьютер. Инструкции есть в интернете.

11. Ссылка для входа в 1C https://buh2012.budget.gov.ru/buh2012/ (важно, обратите внимание что в конце адреса обязательно должен быть установлен знак «/» иначе адрес не откроется).

Для тех, кому интересна установка с Jinn-Client могу посоветовать программу виртуальной флешки, на ней можно хранить контейнер с подписью для jinn.

И утилита для конвертации ключей из формата, читаемого КриптоПро в формат, читаемый jinn (данная утилита с сайта Казначейства).

П.С.

Возможные ошибки — не верные настройки.