Wmffre пишет: Если «Кому выдан» не совпадает с «Кем выдан», то такой сертификат должен быть установлен в «Промежуточные центры сертификации» и называется он промежуточным Поэтому два сертификата установлены в неверное хранилище: 1)Федеральное казначейство — Минкомсвязь России и 2)Федеральное казначейство — Головной удостоверяющий центр)
Реально корневым является только тот, у которого «Кому выдан» совпадает с «Кем выдан» и такой сертификат устанавливается в «Доверенные корневые центры сертификации» (они установлены правильно).
Сертификаты — текущий пользователь —> Доверенные корневые центры сертификаты —> Локальный компьютер —>Сертификаты ___и___ Сертификаты (локальный компьютер) —> Доверенные корневые центры сертификаты —> Реестр —> Сертификаты __это одно и тоже хранилище.
Тех. поддержка прислала следующие рекомендации:
Добрый день! В настоящий момент вход в ЛК ЭБ с помощью сертификатов на основе ГОСТ 2012 реализован по адресу lk2012.budget.gov.ru. В целях корректного отображения информации в подсистемах следует использовать протокол http, а не https. Вход по протоколу http осуществляется с помощью СКЗИ Континент TLS Клиент 2.0. В случае отсутствия необходимых дистрибутивов Вам следует обратиться в ОРСиБИ Федерального казначейства своего региона. Для входа в Личный кабинет Электронного бюджета по сертификатам, выпущенным на основе ГОСТ 2012, необходимо выполнить указанные ниже действия.
1) Установить сертификат ГУЦ (доступен по ссылке: www.roskazna.ru/upload/iblock/7e3/guts_2012.cer) в хранилище Локальный компьютер – Доверенные корневые центры сертификации.
2) Установить сертификат УЦ Федерального казначейства (доступен по ссылке: www.roskazna.ru/upload/iblock/acb/fk_2012.cer) в хранилище Локальный компьютер – Промежуточные центры сертификации.
3)В свойствах браузера, изменить настройки подключения:
1.Если в организации используется прокси, указать адрес и порт прокси-сервера.
2.Если в организации прокси не используется, отключить использование прокси.
4) При использовании в организации прокси-сервера добавить на нем разрешающее правило для 94.25.27.229 tcp-443.
5) Если в организации используется антивирусное средство, то перед настройкой Континент TLS Клиента необходимо внести его исполняемый файл в доверенное программное обеспечение антивирусного средства.
6) Осуществить установку и настройку Континент TLS Клиента в соответствии с разделом «Установка и настройка СКЗИ Континент TLS VPN Клиент» Руководства, доступного по ссылке: roskazna.ru/upload/iblock/3f8/rukovodstv…ya_gost2012-ver2.doc После выполнения указанных выше действий просьба почистить кэш/куки в браузере, сбросить соединения TLS клиента, перезапустить браузер и осуществить попытку входа.
P.S. Сейчас возможности проверить нет. Как только появится возможность, обязательно сообщу о результатах.
Всем привет!
Сегодня особенный привет работникам бюджетной сферы. Поговорим о наболевшем. О работе в системе ГИС «Электронный бюджет». Который просто кишит ошибками.
Вот эта ошибка: «crl сертификата сервера не загружен или устарел» , по запросу на которую вы сюда и пришли, она тянется с августа 2020г. Тогда в электронном бюджете произошли большие изменения, и вместе с ними, например, «приклеились» и всякие ошибки, которые до сих пор не могут быть устранены в автоматическом режиме в «полюбившемся» вам континент tls 2.0. Уж извините за сарказм.
Однако, вернёмся к нашим баранам… Такая у вас сейчас ошибка?
Если вы видите такую ошибку в своём TLS — клиенте, значит нужно установить «список отзыва» вручную
Проблема в том, что ещё 2 года назад программисты УФК говорили, что обычные пользователи не должны выискивать вручную в интернете «рецепты», и всё должно делаться автоматически в Континент TLS 2.0 «по кнопке»:
На этом скрине по задумке авторов — создателей ПО Континент TLS 2.0, мы, пользователи системы «Электронный бюджет», должны при возникновении подобных проблем лишь нажимать кнопку «обновить». Но .. реальность как всегда несколько иная… чем ожидания.
Да, кстати, если при попытке войти в электронный бюджет ПОСЛЕ выбора сертификата пользователя вылезает ошибка вида: «Необходимо обновить CRL серверного сертификата», то рецепт избавления тот же. Читаем внимательно текст НИЖЕ:
1. Перед тем как устанавливать список отзыва, необходимо вручную скачать и установить новый серверный сертификат для сервера «Континент TLS VPN» Инструкция с официального сайта Федерального казначейства . На рис.2 стрелочками указано как это сделать.
2. Теперь переходим к процедуре установки «списка отзыва»
Есть некая ссылка… — Вот она (http://crl.roskazna.ru/crl/)
По ней надо пройти, и вы увидите заголовок:
Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства:
Список этот будет меняться с течением времени. Но ссылка работает пока. Это файлы с расширением .CRL на текущий момент их 6. Но не суть важно. Главное понять как их устанавливать. Итак, скачиваем все .CRL — файлы с этой страницы в какую-либо папку:
И правой мышкой, по очереди на каждом файле, нажимаем и выбираем в меню «Установить список отзыва CRL». Следуйте несложным инструкциям после этого (грубо говоря жмём на все вопросы «ОК», «далее» и т.п.)
После этого в TLS — клиенте на закладке «СЕРВЕРНЫЕ СЕРТИФИКАТЫ» вместо зловещего «требуется обновление» или «не найден» , «не действителен» изменится тут же на «Действителен», и можно работать. Вот такой вот он… Электронный бюджет… Желаю всем, чтобы это шаманство и вам помогло, ибо мне оно помогло..)
P.S. Данный рецепт получил от тех.поддержки УФК.
Конечно же первой и самой важной задачей в начале работы с органами казначейства является правильная настройка рабочего места.
Условно говоря настройку рабочего места можно разделить на три основных этапа:
- Установка всех необходимых сертификатов (при необходимости формирование их);
- Установка необходимых программ для корректной работы;
- Настройка подписания документов в программе.
1. Установка всех необходимых сертификатов (при необходимости формирование их)
Первым шагом необходимо установить все сертификаты (корневые, доверенные, личные, пользователя). Необходимо со всем вниманием и точностью установить все сертификаты, так как необходимо создать правильную цепочку сертификатов. Ведь это дает возможность успешно и безпрепятственно заходить как в личный кабинет Электронного бюджета, так и в СУФД. Необходимым условием для правильной установки также является наличие исправно работающего приложения КриптоПро.
Рассмотрим список наиболее встречающихся ошибок из-за неправильно установленных сертификатов:
- Ошибка 403. Формат выбранного ключевого контейнера не поддерживается;
- Ошибка 403 – доступ запрещен. Не найден список отозванных сертификатов;
- Ошибка 403 – доступ запрещен. Не найден корневой сертификат.
2. Установка необходимых программ для корректной работы
Вторым шагом будет установка необходимого программного обеспечения.
Если у Вас открыт 41 лицевой счет (СУФД), то Вам будет необходимо установить:
- Континент-АП;
- Браузер «Mozilla Firefox» (рекоммендуется, но можно и другие);
- Плагин для подписания в браузере.
При установке очень важно правильно настроить программу Континент-АП, так как она дает возможность установки соединения с СУФД (личный кабинет при работе с 41 лицевым счетом).
Список наиболее часто встречающихся ошибок из-за неправильно установленного программного обеспечения:
- Ошибка получения криптографического контекста 0x0000054f;
- Ошибка «Не совпадает подпись открытого эфемерного ключа»;
- Ошибка работы с криптопровайдером 0x80090017. Тип поставщика не определен;
- Ошибка 721 Удаленный компьютер не отвечает.
Если у Вас открыт 71 лицевой счет (Электронный бюджет), то Вам будет необходимо установить:
- Континент-TLS;
- Jinn-client;
- Браузеры для корректной работы;
- Плагин для подписания в браузере.
При установке также необходимо уделить внимание установке Континент-TLS, так как именно с этой программой возникает большое количество проблем.
Список наиболее встречающихся ошибок из-за неправильно установленного программного обеспечения:
- Корневой сертификат не найден или Цепочка сертификатов недействительна;
- Требуется обновить CRL;
- CRL сертификата сервера не загружен или устарел;
- Сервер разорвал соединение на этапе аутентификации;
- Не удалось установить TCP-соединение;
- Ошибка пакета установщика Windows. Невозможно запустить необходимую для завершения установки библиотеку DLL.
Также необходимо помнить, что для успешной работы должны быть установлены все дополнительные компоненты всех программ.
3. Настройка подписания документов в программе
После того, как Вы правильно установили все сертификаты и установили все программное обеспечение на компьютере, можете пробовать заходить в личный кабинет Электронного бюджета или СУФД. Все актуальные ссылки для входа можно уточнить на сайте вашего территориального Казначейства или у наших специалистов.
Необходимым условием для входа будет:
- Наличие действующего сертификата пользователя;
- Осуществления заранее аккредитации в системе СФУД или Электронный бюджет, путем предоставления Заявки на подключение к соответствующей системе.
Последний шаг – это настройка подписания в самих системах. Для этого важным условием выступает правильная установка плагинов для подписание и их настройка в браузерах.
Список наиболее встречающихся ошибок из-за неправильно настроенного процесса подписания в системах СУФД и Электронный бюджет:
- При подписании документов в «Электронном бюджете» Jinn Client не видит установленные сертификаты
Дорогие участники казначейского сопровождения!
Наша компания уже на протяжение долгих лет занимается настройкой рабочих мест для работы с Казначейством таких, как СУФД, Электронный бюджет и т.д.
На самом деле это непростое занятие у неподготовленных специалистов может занять дни, недели и даже месяца. А опыт и технические знания наших специалистов помогают нам настроить для Вас рабочее место всего за 30 минут (при условии соблюдения всех остальных критериев).
Стоимость услуги
Настройка автоматизированного рабочего места (АРМ) СУФД:
5 000
Настройка автоматизированного рабочего места (АРМ) ГИИС Электронный бюджет:
3 000
На настоящий момент нами настроено свыше 2000 рабочих мест по всей стране. Вы можете стать в числе этих счастливых клиентов! А с нашей стороны мы сделаем приятной и комфортной работу с нашей компанией!
Для этого стоит сделать лишь один звонок по тел. 8 (800) 550-2864 или заполнить заявку ниже на нашем сайте и уже на следующий день Вы увидите результат нашей работы!
1.
Установка TLS-CLIENT 2.0
1.1.
Дистрибутив TLS-CLIENT
1.1.1. Распаковываем архив и
запускаем исполняемый файл.
1.1.2. Принимаем условия лицензионного соглашения.
1.1.3. Далее устанавливаем ПО следуя указаниям «мастера установки». После
завершения установки обязательно перезапускаем ПК.
1.2. Настройка TLS-CLIENT 2.0
1.2.1. После перезагрузке ПК откроется окно Континента 2.0. Для добавления точки входа разберём на примере lk.budget.gov.ru
После добавления данных сертификатов, окно
будет выглядеть следующим образом
Примечание
Если CRL
(список отозванных сертификатов недействителен) то необходимо его загрузить по
ссылке http://crl.roskazna.ru/crl/ в зависимости на какой сертификат заругался.
1.3.2. Для lk.budget.gov.ru необходимо установить корневые сертификаты. Путь
установки в хранилище Локальный компьютер — Доверенные корневые центры
сертификации или через панель MMС. Можно скачать в блоке 6 обучающего сайта.
1.4. Основные настройки ТЛС 2.0 Внешний Прокси
1.4.1. Окно «Основных настроек» выглядит следующим образом.
Примечание
Было выявлено что, на некоторых АРМ (личный кабинет) не работает с включенными
настройками проксирование. На некоторых данные
галочки необходимы для работы (советуем смотреть по обстоятельством и в какой
сети и как настроен АРМ).
Также на офф.сайте
выложена инструкция ссылка для ознакомления. http://roskazna.ru/upload/iblock/a66/rukovodstvo_po_nastroyke_arm_polzovatelya_ver1_gost-2012_55_31_01_2019_ver1_.doc
1.4.2. Настройка внешнего
прокси полностью зависит от сети к который подключены данные АРМ.
2. КриптоПРО CSP и
установка сертификатов пользователя
2.1. Дистрибутив КриптоПРО CSP
2.1.1. Для установки сертификатов пользователя на ПК
необходимо ПО CryptoPRO CSP выше 4.0 версии. Рассмотрим на примере версии
4.0.9944.
2.1.2. Для установки перейдем на вкладку сервис.
2.1.3. Далее установить личный сертификат.
2.1.4. Далее обзор, выбираем необходимый нам ТОКЕН (в нашем
случае это флешка) и выбираем необходимый сертификат.
2.1.5. Нажимаем далее, затем еще раз далее.
2.1.6. Проставляем галочку «Найти контейнер автоматически»
и нажать кнопку «Далее».
2.1.7. Нажать кнопку «Далее» и «Готово».
2.1.8. После чего вернемся в ТЛС-Континент 2.0. На вкладку Пользовательские сертификаты.
Как видно из скриншота сертификат Комиссаров А.Б
добавлен.
2.1.9. Далее при входе например
на на lk.budget.gov.ru будет вызваться список всех сертификатов
которые были добавлены в окно ТЛС-Континента по средствам КриптоПРО CSP.
Настройка завершена.
Реально корневым является только тот, у которого «Кому выдан» совпадает с «Кем выдан» и такой сертификат устанавливается в «Доверенные корневые центры сертификации» (они установлены правильно).
Спасибо большое за уточнение, честно говоря не знал но теперь в курсе, исправлю.
Тех. поддержка прислала следующие рекомендации:
Добрый день! В настоящий момент вход в ЛК ЭБ с помощью сертификатов на основе ГОСТ 2012 реализован по адресу lk2012.budget.gov.ru. В целях корректного отображения информации в подсистемах следует использовать протокол http, а не https. Вход по протоколу http осуществляется с помощью СКЗИ Континент TLS Клиент 2.0. В случае отсутствия необходимых дистрибутивов Вам следует обратиться в ОРСиБИ Федерального казначейства своего региона. Для входа в Личный кабинет Электронного бюджета по сертификатам, выпущенным на основе ГОСТ 2012, необходимо выполнить указанные ниже действия.
1) Установить сертификат ГУЦ (доступен по ссылке: www.roskazna.ru/upload/iblock/7e3/guts_2012.cer ) в хранилище Локальный компьютер – Доверенные корневые центры сертификации.
2) Установить сертификат УЦ Федерального казначейства (доступен по ссылке: www.roskazna.ru/upload/iblock/acb/fk_2012.cer ) в хранилище Локальный компьютер – Промежуточные центры сертификации.
3)В свойствах браузера, изменить настройки подключения:
1.Если в организации используется прокси, указать адрес и порт прокси-сервера.
2.Если в организации прокси не используется, отключить использование прокси.
4) При использовании в организации прокси-сервера добавить на нем разрешающее правило для 94.25.27.229 tcp-443.
5) Если в организации используется антивирусное средство, то перед настройкой Континент TLS Клиента необходимо внести его исполняемый файл в доверенное программное обеспечение антивирусного средства.
6) Осуществить установку и настройку Континент TLS Клиента в соответствии с разделом «Установка и настройка СКЗИ Континент TLS VPN Клиент» Руководства, доступного по ссылке: roskazna.ru/upload/iblock/3f8/rukovodstv. ya_gost2012-ver2.doc После выполнения указанных выше действий просьба почистить кэш/куки в браузере, сбросить соединения TLS клиента, перезапустить браузер и осуществить попытку входа.
P.S. Сейчас возможности проверить нет. Как только появится возможность, обязательно сообщу о результатах.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Источник
В Континенте требует обновить CRL
Вложения:
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
finsem пишет: Возьму совет на заметку для следующего раза.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
finsem пишет: В настройках континента полазили (но ничего не меняя), заработало.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
finsem пишет: Прошлый (очередной) раз помогло на вкладке CDP нажать «Скачать crl». Сегодня не помогло. Опять требует обновить CRL. Файл ucfk_gost12.crl скачала и установила в хранилище «Доверенные корневые. » Что еще поделать?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
finsem пишет: Ведь через неделю опять это все будет. Опять скачивать и вручную?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
finsem пишет: Файл ucfk_gost12.crl скачала и установила в хранилище «Доверенные корневые. » Что еще поделать?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Gvinpin пишет: Просроченных crl нет в хранилище?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
finsem пишет: У сертификата ucfk_gost12 окончание 3 марта, у guc_gost12 12 марта. После этих дат опять надо будет скачивать их и устанавливать? Опять ведь будет статус Требует обновления. Как автоматом сделать, чтобы обновлялось?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Источник
Континет TLS-клиент (CRL сертификата сервера не загружен или устарел)
Вложения:
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
heorhee пишет: Переустановите Крипто про
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Попробовал, результат тот же.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Попробовал, результат тот же.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Попробовал, результат тот же.
Спасибо за рекомендации, попробую.
Вложения:
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
в сертификаты пользователя внимательно посмотрите, там обычно подписано какой сертификат просрочен.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
sam28daphne пишет: у нас такое сообщение уходило после того, как дополнительно воткнули цепочку головного и промежуточного в сертификатах (локальный компьютер), а не только (пользователь)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
sam28daphne пишет: у нас такое сообщение уходило после того, как дополнительно воткнули цепочку головного и промежуточного в сертификатах (локальный компьютер), а не только (пользователь)
Как бы для ЭБ это не дополнительно, а обязательное условие?
я в курсе, просто меня всегда в обратном убеждали.
+ сами что-то поставят, а потом приходится вот косяки разыскивать
поэтому я просто поделилась взглядами. вдруг поможет
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
sam28daphne пишет: у нас такое сообщение уходило после того, как дополнительно воткнули цепочку головного и промежуточного в сертификатах (локальный компьютер), а не только (пользователь)
Как бы для ЭБ это не дополнительно, а обязательное условие?
я в курсе, просто меня всегда в обратном убеждали.
+ сами что-то поставят, а потом приходится вот косяки разыскивать
поэтому я просто поделилась взглядами. вдруг поможет
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
sam28daphne пишет: в сертификаты пользователя внимательно посмотрите, там обычно подписано какой сертификат просрочен.
Просроченный сертификат пользователя удалил, помогло.
В сертификате в путях сертификации есть 2 сертификата Минкомсвязи (действует по 01.07.2036) и ФК (действует по 19.11.2033). Эти 2 сертификата «прописаны» в КриптоПро. Скриншоты прилагаю.
Вложения:
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Реально корневым является только тот, у которого «Кому выдан» совпадает с «Кем выдан» и такой сертификат устанавливается в «Доверенные корневые центры сертификации» (они установлены правильно).
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Реально корневым является только тот, у которого «Кому выдан» совпадает с «Кем выдан» и такой сертификат устанавливается в «Доверенные корневые центры сертификации» (они установлены правильно).
Спасибо большое за уточнение, честно говоря не знал но теперь в курсе, исправлю.
Тех. поддержка прислала следующие рекомендации:
Добрый день! В настоящий момент вход в ЛК ЭБ с помощью сертификатов на основе ГОСТ 2012 реализован по адресу lk2012.budget.gov.ru. В целях корректного отображения информации в подсистемах следует использовать протокол http, а не https. Вход по протоколу http осуществляется с помощью СКЗИ Континент TLS Клиент 2.0. В случае отсутствия необходимых дистрибутивов Вам следует обратиться в ОРСиБИ Федерального казначейства своего региона. Для входа в Личный кабинет Электронного бюджета по сертификатам, выпущенным на основе ГОСТ 2012, необходимо выполнить указанные ниже действия.
1) Установить сертификат ГУЦ (доступен по ссылке: www.roskazna.ru/upload/iblock/7e3/guts_2012.cer ) в хранилище Локальный компьютер – Доверенные корневые центры сертификации.
2) Установить сертификат УЦ Федерального казначейства (доступен по ссылке: www.roskazna.ru/upload/iblock/acb/fk_2012.cer ) в хранилище Локальный компьютер – Промежуточные центры сертификации.
3)В свойствах браузера, изменить настройки подключения:
1.Если в организации используется прокси, указать адрес и порт прокси-сервера.
2.Если в организации прокси не используется, отключить использование прокси.
4) При использовании в организации прокси-сервера добавить на нем разрешающее правило для 94.25.27.229 tcp-443.
5) Если в организации используется антивирусное средство, то перед настройкой Континент TLS Клиента необходимо внести его исполняемый файл в доверенное программное обеспечение антивирусного средства.
6) Осуществить установку и настройку Континент TLS Клиента в соответствии с разделом «Установка и настройка СКЗИ Континент TLS VPN Клиент» Руководства, доступного по ссылке: roskazna.ru/upload/iblock/3f8/rukovodstv. ya_gost2012-ver2.doc После выполнения указанных выше действий просьба почистить кэш/куки в браузере, сбросить соединения TLS клиента, перезапустить браузер и осуществить попытку входа.
P.S. Сейчас возможности проверить нет. Как только появится возможность, обязательно сообщу о результатах.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Источник
Континет TLS-клиент (CRL сертификата сервера не загружен или устарел)
Реально корневым является только тот, у которого «Кому выдан» совпадает с «Кем выдан» и такой сертификат устанавливается в «Доверенные корневые центры сертификации» (они установлены правильно).
Спасибо большое за уточнение, честно говоря не знал но теперь в курсе, исправлю.
Тех. поддержка прислала следующие рекомендации:
Добрый день! В настоящий момент вход в ЛК ЭБ с помощью сертификатов на основе ГОСТ 2012 реализован по адресу lk2012.budget.gov.ru. В целях корректного отображения информации в подсистемах следует использовать протокол http, а не https. Вход по протоколу http осуществляется с помощью СКЗИ Континент TLS Клиент 2.0. В случае отсутствия необходимых дистрибутивов Вам следует обратиться в ОРСиБИ Федерального казначейства своего региона. Для входа в Личный кабинет Электронного бюджета по сертификатам, выпущенным на основе ГОСТ 2012, необходимо выполнить указанные ниже действия.
1) Установить сертификат ГУЦ (доступен по ссылке: www.roskazna.ru/upload/iblock/7e3/guts_2012.cer ) в хранилище Локальный компьютер – Доверенные корневые центры сертификации.
2) Установить сертификат УЦ Федерального казначейства (доступен по ссылке: www.roskazna.ru/upload/iblock/acb/fk_2012.cer ) в хранилище Локальный компьютер – Промежуточные центры сертификации.
3)В свойствах браузера, изменить настройки подключения:
1.Если в организации используется прокси, указать адрес и порт прокси-сервера.
2.Если в организации прокси не используется, отключить использование прокси.
4) При использовании в организации прокси-сервера добавить на нем разрешающее правило для 94.25.27.229 tcp-443.
5) Если в организации используется антивирусное средство, то перед настройкой Континент TLS Клиента необходимо внести его исполняемый файл в доверенное программное обеспечение антивирусного средства.
6) Осуществить установку и настройку Континент TLS Клиента в соответствии с разделом «Установка и настройка СКЗИ Континент TLS VPN Клиент» Руководства, доступного по ссылке: roskazna.ru/upload/iblock/3f8/rukovodstv. ya_gost2012-ver2.doc После выполнения указанных выше действий просьба почистить кэш/куки в браузере, сбросить соединения TLS клиента, перезапустить браузер и осуществить попытку входа.
P.S. Сейчас возможности проверить нет. Как только появится возможность, обязательно сообщу о результатах.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Источник
Континент TLS-клиент сертификат сервера не прошёл проверку
Вложения:
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Для lk.budget.gov.ru
в сети ЗКВС вчера заменили сертификат сайта на новый
а в интернет сети
На самом сайте lk.budget.gov.ru
сертификат сайта остался старый (закончился 14 июля 2021 г. 10:48:49 )
Поэтому сейчас можно зайти с помощью IE или Chromium GOST без Континент TLS
по https ссылкам
https://lk.budget.gov.ru/udu-webcenter
или
через старый интерфейс ЭБ по ссылке
https://lk.budget.gov.ru/etd
Будет только ругаться на сертификат, и скажет что соединение не защищено
И не факт, что всё будет работать корректно
Когда сайте lk.budget.gov.ru поменяют сертификат сайта
на новый Действующий с 30 июня 2021 г. 12:59:10 по 30 сентября 2022 г. 12:59:10
Тем кто не обновлял у себя в Континент-TLS серверный сертификат
нужно будет его установить
также нужно будет обязательно установить(если не установлен)
Новый подчинённый сертификат от Головного удостоверяющего центра (сертификат УЦ ФК) (Действительный с 13.04.2021 по 13.04.2036)
sedkazna.ru/forum.html?view=topic&catid=. =1011&start=30#18540
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Вложения:
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Serg39 пишет: И у нас тоже самое,звонили в свой ГРБС и у них,походу старый истек,а новый на сайте не воспринимает,хотя он и не новый от 30.06,на сайте есть от 14.07 и его тоже пробовал не идет.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
DenisKa_ пишет: В данный момент установлен новый сертификат действующий до 30.09.2022, старый был удалён, но почему то tls всё равно говорит что сертификат устарел
Было такое. Дело в некорректном обновлении 2-х CRL-файлов со списками аннулированных сертов на ПК пользователя.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
sect14 пишет: Я тоже никак не могу зайти в ЭБ. Заменил сертификат все ровно ругается.
DenisKa_ пишет: если проблема всё таки на их стороне, не хотелось бы что то менять на многих локальных своих машинах, неивестно как это отразится когда они исправят её, но спс за совет
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Источник
Всем привет!
Сегодня особенный привет работникам бюджетной сферы. Поговорим о наболевшем. О работе в системе ГИС «Электронный бюджет». Который просто кишит ошибками.
Вот эта ошибка: «crl сертификата сервера не загружен или устарел» , по запросу на которую вы сюда и пришли, она тянется с августа 2020г. Тогда в электронном бюджете произошли большие изменения, и вместе с ними, например, «приклеились» и всякие ошибки, которые до сих пор не могут быть устранены в автоматическом режиме в «полюбившемся» вам континент tls 2.0. Уж извините за сарказм.
Однако, вернёмся к нашим баранам… Такая у вас сейчас ошибка?
Если вы видите такую ошибку в своём TLS — клиенте, значит нужно установить «список отзыва» вручную
Проблема в том, что ещё 2 года назад программисты УФК говорили, что обычные пользователи не должны выискивать вручную в интернете «рецепты», и всё должно делаться автоматически в Континент TLS 2.0 «по кнопке»:
На этом скрине по задумке авторов — создателей ПО Континент TLS 2.0, мы, пользователи системы «Электронный бюджет», должны при возникновении подобных проблем лишь нажимать кнопку «обновить». Но .. реальность как всегда несколько иная… чем ожидания.
Да, кстати, если при попытке войти в электронный бюджет ПОСЛЕ выбора сертификата пользователя вылезает ошибка вида: «Необходимо обновить CRL серверного сертификата», то рецепт избавления тот же. Читаем внимательно текст НИЖЕ:
1. Перед тем как устанавливать список отзыва, необходимо вручную скачать и установить новый серверный сертификат для сервера «Континент TLS VPN» Инструкция с официального сайта Федерального казначейства . На рис.2 стрелочками указано как это сделать.
2. Теперь переходим к процедуре установки «списка отзыва»
Есть некая ссылка… — Вот она (http://crl.roskazna.ru/crl/)
По ней надо пройти, и вы увидите заголовок:
Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства:
Список этот будет меняться с течением времени. Но ссылка работает пока. Это файлы с расширением .CRL на текущий момент их 6. Но не суть важно. Главное понять как их устанавливать. Итак, скачиваем все .CRL — файлы с этой страницы в какую-либо папку:
И правой мышкой, по очереди на каждом файле, нажимаем и выбираем в меню «Установить список отзыва CRL». Следуйте несложным инструкциям после этого (грубо говоря жмём на все вопросы «ОК», «далее» и т.п.)
После этого в TLS — клиенте на закладке «СЕРВЕРНЫЕ СЕРТИФИКАТЫ» вместо зловещего «требуется обновление» или «не найден» , «не действителен» изменится тут же на «Действителен», и можно работать. Вот такой вот он… Электронный бюджет… Желаю всем, чтобы это шаманство и вам помогло, ибо мне оно помогло..)
P.S. Данный рецепт получил от тех.поддержки УФК.
Настройка АРМ Электронного бюджета происходит в несколько этапов, они не сложные, но требуют внимательности. Делаем все по инструкции по настройке электронного бюджета. Коротко и по делу…
Электронный бюджет настройка рабочего места
Установка и настройка ПО для Электронного Бюджета состоит из:
- Установка и настройка КриптоПро 4.0.
- Установка корневых сертификатов казначейства.
- Скачивания сертификата Континента TLS-клиент.
- Установка и настройка Континент TLS-клиент.
- Установка Jinn Client
- Установка eXtended Container
Корневые сертификаты казначейства
Перед установкой корневых сертификатов ПО КриптоПро 4.0 должен быть установлен.
Подробнее как скачать и установить корневые сертификаты казначейства можно по ссылке.
На сайте http://roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ в меню ГИС -> Удостоверяющий центр -> Корневые сертификаты, необходимо скачать cо вкладок 2022 и 2021 года «Корневой сертификаты (квалифицированный)» (см. рисунок), либо если вами была получена флешка с сертификатами установите их.
Настройка Электронного Бюджета (гост 2012)
Сертификат Континент TLS VPN (гост 2012)
Еще один сертификат который необходимо скачать, это сертификат Континент TLS VPN по этой ссылке.
Скачиваем сертификат Континент TLS VPN в загрузки, он нам пригодиться позднее, когда будем настраивать программу Континент TLS клиент.
Установка «Континент TLS-клиент» для работы с Электронным Бюджетом (гост 2012)
Распаковываем архив TLS_Client_2.0.1440 и запускаем установщик Континент TLS-клиент.
Устанавливаем Континент TLS-клиент, настройки оставляем по дефолту, после установки перегружаем компьютер.
После перезагрузки на рабочем столе запускаем ярлык Континент TLS-клиент. Запускается мастер регистрации программы, нажимаем на зарегистрировать и регистрируем программу.
UPDATE: c 27 марта 2022 года используется новая ссылка: eb.cert.roskazna.ru
После открытия программы Континент TLS-клиента, необходимо добавить Ресурс: eb.cert.roskazna.ru нажимаем Сохранить.
В меню Сертификаты -> Серверные сертификаты -> Импортируем сертификат Электронного бюджета, который мы скачали в начале статьи.
Чтобы Континент TLS-клиент запускался при загрузке Windows, необходимо в Настройках -> Основные -> установить галочки на Запускать при старте системы и При запуске свернуть в системный трей.
Установка JinnClient_1.0.3050.0 для подписания документов
Распаковываем архив и запускаем установщик Setup.exe
Нажимаем на Jinn-Client, открывается Мастер установки:
Вводим лицензионный ключ полученный в Казначействе.
Не меняем настройки, продолжаем установку, по окончании перегружаем компьютер.
Установка eXtended Container
Запускаем Setup.exe в папке JinnClient_1.0.3050.0.
Вводим лицензионный ключ продукта полученный в Казначействе и продолжаем установку.
После установки перегрузите компьютер.
Вход в личный кабинет Электронного бюджета
В браузере Firefox открываем ссылку: http://eb.cert.roskazna.ru/
Откроется окно с выбором сертификата для входа в личный кабинет Электронного бюджета.
Выбираем сертификат для входа в Личный кабинет Электронного бюджета, если есть пароль на закрытую часть сертификата пишем и нажимаем ОК, после откроется Личный кабинет Электронного бюджета.
Готово!
Возможные проблемы
CRL сертификата сервера не загружен или устарел
При подключении к Электронному Бюджету появляется ошибка CRL сертификата сервера не загружен или устарел.
Решение:
- Скачайте новые корневые сертификаты Казначейства по этой ссылке.
- Выключить проверку CRL в настройках программы:
Электронный бюджет на Windows 11
К сожалению, очень сложно установить ПО для Электронного бюджета, но наши специалисты помогу вам установить и настроить ПО для работы в Windows 11.
Стоимость работ 4500 руб.
Оплата после выполненных работ.
На чтение 3 мин. Просмотров 697 Опубликовано 15.12.2019
crl не прошел проверку — такую ошибку стало выдавать у моих специалистов при входе в Электронный Бюджет.
Лечится довольно просто, перезапуском службы Континент ТЛСа.
Перезапускаем службу, перезаходим в ЭБ, выбираем нужный сертификат для входа и работаем дальше.
Для тех кто не хочет делать это в ручную или незнает как перезапустить службу — в этой статье есть сам батник (который можно скачать), а так же его содержимое.
Государственная интегрированная информационная система управления
общественными финансами «Электронный бюджет»
Подсистема обеспечения информационной безопасности подсистем
Инструкция по обновлению сертификата сервера TLS на автоматизированном рабочем месте пользователя системы «Электронный бюджет»
Содержание
- Содержание
- СПИСОК ТЕРМИНОВ И СОКРАЩЕНИЙ
- ОПИСАНИЕ ОПЕРАЦИЙ
- Копирование нового сертификата сервера TLS на АРМ пользователя
- Замена сертификата сервера TLS в ПО «Континент TLS Клиент»
Содержание
СПИСОК ТЕРМИНОВ И СОКРАЩЕНИЙ
В документе используются следующие термины и сокращения:
| Текст заголовка | Текст заголовка |
|---|---|
| АРМ | автоматизированное рабочее место пользователя системы «Электронный бюджет»; |
| ОС | операционная система; |
| Пользователь | зарегистрированный в системе «Электронный бюджет» сотрудник организации, которому предоставлен доступ к определенным функциям в системе «Электронный бюджет», в соответствии с заявкой на подключение; |
| Система «Электронный бюджет» | государственная интегрированная информационная система управления общественными финансами «Электронный бюджет»; |
ОПИСАНИЕ ОПЕРАЦИЙ
Копирование нового сертификата сервера TLS на АРМ пользователя
Для копирования файла сертификата сервера TLS в локальную директорию АРМ пользователя необходимо:
-
Открыть в веб-обозревателе официальный сайта Федерального казначейства, перейдя по адресу в сети Интернет: www.roskazna.ru
Замена сертификата сервера TLS в ПО «Континент TLS Клиент»
Внимание: Настройки внешнего прокси-сервера могут отличаться от настроек, приведенных в настоящей инструкции. Настройки внешнего прокси-сервера не изменяются в рамках работ по замене сертификата сервера TLS, и должны соответствовать настройкам, используемым в организации пользователя.
-
Для замены сертификата сервера TLS в ПО «Континент TLS Клиент» на АРМ пользователя необходимо:
- Выполнить запуск диалога «Континент TLS Клиент: настройка сервиса». Для этого в меню «Пуск» ввести «Континент TLS клиент» и щелкнуть по найденному элементу.
- В разделе «Настройки защищаемого сервера» в поле «Сертификат» указать файл сертификата сервера TLS, скопированный в локальную директорию в п.4 раздела 2.1 настоящего Руководства.
Решение проблемы CRL не прошел проверку в Электронном бюджете состоит в том, что не установлены новые корневые сертификаты.
Для этого переходим на страницу http://crl.roskazna.ru/crl/ скачиваем все корневые сертификаты с расширение .crt с помощью Internet Explorer.
Устанавливаем скаченные корневые сертификаты в Доверенные корневые центры сертификации.