Содержание
Государственная интегрированная информационная система управления
общественными финансами «Электронный бюджет»
Установка и настройка ЭБ
Руководство по установке и настройке программного обеспечения автоматизированного рабочего места пользователя системы «Электронный бюджет»
Настоящий документ содержит описание последовательности действий по установке и настройке программного обеспечения автоматизированного рабочего места пользователя системы «Электронный бюджет».
Содержание
СПИСОК ТЕРМИНОВ И СОКРАЩЕНИЙ
В документе используются следующие термины и сокращения:
| АРМ | автоматизированное рабочее место пользователя системы «Электронный бюджет»; |
| ОС | операционная система; |
| ПО | программное обеспечение; |
| Пользователь | зарегистрированный в системе «Электронный бюджет» сотрудник организации, которому предоставлен доступ к определенным функциям в системе «Электронный бюджет», в соответствии с заявкой на подключение; |
| Система «Электронный бюджет» | государственная интегрированная информационная система управления общественными финансами «Электронный бюджет»; |
УЦ – Удостоверяющий центр.
ПОРЯДОК ПОДГОТОВКИ АРМ
Установка и настройка программного обеспечения автоматизированного рабочего места пользователя должна выполняться под учетной записью пользователя, входящего в группу локальных администраторов операционный системы. Порядок подготовки АРМ пользователя приведен в таблице:
| № п/п | Раздел |
|---|---|
| 1. | #Копирование сертификата сервера TLS в локальную директорию АРМ пользователя |
| 2. | #Копирование корневого сертификата УЦ Федерального казначейства в локальную директорию АРМ пользователя. |
| 3. | #Установка корневого сертификата УЦ Федерального казначейства в локальное хранилище компьютера. |
| 4. | #Установка ПО «Windows Installer». |
| 5. | #Установка драйвера используемого носителя ключевой информации сертификата пользователя. |
| 6. | #Установка ПО «Jinn-Admin» для генерации запроса к УЦ на получение квалифицированного сертификата пользователя (устанавливается при необходимости). |
| 7. | #Установка и настройка средства создания защищенного TLS-соединения «Континент TLS Клиент». |
| 8. | #Установка средства электронной подписи «Jinn-Client». |
| 9. | #Установка модуля для работы с электронной подписью «Cubesign». |
ОПИСАНИЕ ОПЕРАЦИЙ
Копирование сертификата сервера TLS в локальную директорию АРМ пользователя
Для копирования файла сертификата сервера TLS в локальную директорию АРМ пользователя необходимо:
- Открыть в веб-обозревателе официальный сайта Федерального казначейства, перейдя по адресу в сети Интернет: www.roskazna.ru
- Перейти в раздел «Электронный бюджет > Подключение к системе».
- Активировать ссылку «Ссылка для скачивания сертификата сервера “Континент TLS VPN”».
- На предложение сохранить файл сертификата «Федеральное казначейство__.cer» выбрать локальную директорию в АРМ пользователя, в которую необходимо сохранить файл.
- Сохранить файл сертификата сервера TLS.
Копирование корневого сертификата УЦ Федерального казначейства в локальную директорию АРМ пользователя
Для копирования файла корневого сертификата УЦ Федерального казначейства в локальную директорию АРМ пользователя необходимо:
- Открыть в веб-обозревателе официальный сайта Федерального казначейства, перейдя по адресу в сети Интернет: www.roskazna.ru
- Перейти в раздел «Удостоверяющий центр > Корневые сертификаты».
- Активировать ссылку «Корневой сертификат (квалифицированный)».
- На предложение сохранить файл сертификата «Корневой сертификат (квалифицированный).cer» выбрать локальную директорию в АРМ пользователя, в которую необходимо сохранить файл.
- Сохранить файл сертификата сервера TLS.
Установка корневого сертификата УЦ Федерального казначейства в локальное хранилище компьютера
Для установки корневого сертификата УЦ в хранилище сертификатов компьютера средствами операционной системы семейства Windows необходимо:
- Через контекстное меню файла корневого сертификата УЦ Федерального казначейства выбрать пункт меню «Установить сертификат».
- На экране отобразится мастер импорта сертификатов.
NEW! У кого Jinn не видит контейнер читаем подробности
При использовании сертификатов по ГОСТ Р 34.10-2012 в подсистемах ГИИС «Электронный бюджет», оператором которых является Федеральное казначейство, необходимо:
1. Для аутентификации пользователей на автоматизированном рабочем месте установить СКЗИ «Континент TLS-клиент». Версия 2» и провести настройку в соответствии с инструкцией, размещенной на официальном сайте Федерального казначейства в разделе ГИС — Электронный бюджет — Подключение к системе.
2. В качестве адреса TLS сервера ГИИС ЭБ и доступа в личный кабинет указывать адрес lk2012.budget.gov.ru.
Про Jinn Sign Extension Provider
Убедительная просьба админам разместить информацию о том, что Jinn Sign Extension Provider может не до конца установится, если использовать предложенную папку по умолчанию (папка в профиле пользователя)
Я час бился с проблемой, оказывается надо было изменить папку на C:Program FilesSecurity Code (если х64, то папку C:Program Files(х86)Security Code)
Я пока не понял причину, возможно из-за того что в имени пользователя используется кириллица
P.S. спасибо статье sbis.ru/help/auction/workplace/jinn_pl , так бы еще мучался неизвестно сколько
слишком сложно написано
Просьба написать попроще, например что в пути установки не должно быть кириллицы, например имя пользователя написано по-русски (аля Юзер, Пользователь, Админ и прочее) и используется путь установки предложенный установщиком (в папку профиля пользователя)
ПРИМЕЧАНИЕ: Командную строку нужно запускать по правой кнопки мыши с выбором "Запуск от имени администратора"
Jinn не видит контейнер
Размер имеет значение (с)
Британские учёные установили
При подписании в ЭБ косяк выявили, если название организации в сертификате ГОСТ 2012 превышает 127 символов, то jinn просто не видит контейнер с таким сертификатом. Решение — конвертация контейнера. Утилита конвертации контейнеров КриптоПро в PKCS#15 в приложении. Инструкция по использованию в архиве. Для работы на рабочем месте должен быть установлен КриптоПро CSP.
Инструкция по созданию носителя от пользователя 7449
ДОПОЛНЕНИЕ
ОТВЕТ ТЕХПОДДЕРЖКИ УФК
Цитата:
(Примечание: Ссылка на утилиту выше.)
Очень плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP
Вернул обратно на своём тестовом стенде КАП 3.7.651 с крипто-провайдером от КБ (куда ж теперь без него?)
На этапе подписи заявки в ЭБ при "поиске носителя" получаем: "Прекращена работа программы визуализации и подписи Jinn-Client"
До этого всё подписывало в ЭБ (Win 10.15063×64)
update: Ложка мёда в бочку дёгтя: проверяли на win7x32 sp1 такой проблемы нет.
Плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP
Для правильной установки Континент TLS-клиент». Версия 2 придётся удалять КАП. Вычищать следы пребывание КБ CSP утилитой от кода безопасности тынц с параметрами -to из командной строки от администратора. Так же должен стоять криптопро. Тогда ТЛС клиент не будет пытаться установить или обновить свой криптопровайдер. Потом континент ап можно ставить обратно с его криптопровайдером, все работает. Не забываем удалить
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 1CryptDllImportPublicKeyInfoEx1.2.643.7.1.1.1.1
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftCryptographyOIDEncodingType 1CryptDllImportPublicKeyInfoEx1.2.643.7.1.1.1.1
из реестра.
СКЗИ «Континент TLS-клиент». Версия 2 "Доступ к конфигурационному файлу запрещен"
Британские учёные установили, ошибка СКЗИ «Континент TLS-клиент». Версия 2 "Доступ к конфигурационному файлу запрещен" таки связана с недостатком прав. Все установщики запускать через .ехе а не через .msi и от имени администратора. Если это не помогло. смотрим права на ветку реестра [HKEY_LOCAL_MACHINESOFTWARESecurityCode]
По логам на проблемной машине видно что идёт обращение к ветке [HKEY_LOCAL_MACHINESOFTWARESecurityCode], и не может получить доступ туда. Проверил права на ветку — кривые, нет права на запись. Можно выдать права, я полечил просто удалив ветку целиком (но у меня и были имитация установки на чистую, без других компонентов КБ). В общем случае, надо пробовать давать права на ветку Еще добавлю — сегодня под обычным пользователем пытался запустить Континент-TLS дал разрешения в реестре, но при запуске так же ошибку выдавал. Дал разрешение на чтение и запись до каталогов:
c:Program FilesSecurity Code
c:UsersPublicContinentTLSClient
Заработало и под обычным пользователем.
Обнаружил машину на которой даже после манипуляций с реестром, после установки TLS клиента всё равно вылетала ошибка по доступу. Вылечилось после следующих манипуляций:
1. Через панель управления удалить ВСЕ продукты КриптоПро и Кода Безопасности, перезагрузка
2. Удаление через cspclean (КП)и cspcleaner -to (КБ), перезагрузка,
3. Удаление следов в ProgramFiles, удаление веток [HKEY_LOCAL_MACHINESOFTWARESecurityCode] и [HKEY_LOCAL_MACHINESOFTWARESecurity Code], перезагрузка
4. Установка КриптоПро 4.0 R4 (4.0.9963), перезагрузка
5. Установка TLS клиента 2.0.1440.
После этого заработало. Замечу, что устанавливать клиент лучше через командную строку с параметрами /install /log log.txt. Если в результате установки появился только один log файл — то установка точно прошла с косяком и работать не будет. Если два файла — то скорее всего всё ок. Если три файла — то к TLS клиенту доставился еще и КБ CSP
Если кто задумает "хочу установить все заново"
(взято с форума росказны)
Варианты установки программных продуктов
Состав программных продуктов:
* КриптоПро CSP или Валидата CSP;
* Jinn-Client;
* TLS-клиент.
Выполните действия в следующем порядке:
1. Установите сторонний криптопровайдер (КриптоПро CSP или Валидата CSP).
2. Установите Jinn-Client. В состав данного продукта входит криптопровайдер "Код Безопасности CSP" версии 3.7, в котором необходимо отменить регистрацию. Загрузите и распакуйте архив по ссылке https://www.securitycode.ru/upload/docu . gScCSP.zip. Перейдите в папку, соответствующую данной платформе (x86 или x64) и запустите файл unreg_sc_37.reg.
3. Установите TLS-клиент. В состав данного продукта входит криптопровайдер "Код Безопасности CSP" версии 4.0, который не будет установлен. В такой ситуации используется сторонний криптопровайдер.
Состав программных продуктов:
* КриптоПро CSP или Валидата CSP;
* TLS-клиент.
Выполните действия в следующем порядке:
1. Установите сторонний криптопровайдер (КриптоПро CSP или Валидата CSP).
2. Установите TLS-клиент. В состав данного продукта входит криптопровайдер "Код Безопасности CSP" версии 4.0, который не будет установлен. В такой ситуации используется сторонний криптопровайдер.
Состав программных продуктов:
* Jinn-Client;
* TLS-клиент.
Выполните действия в следующем порядке:
1. Установите Jinn-Client. В состав данного продукта входит криптопровайдер "Код Безопасности CSP" версии 3.7. © КОМПАНИЯ "КОД БЕЗОПАСНОСТИ"
2. Удалите криптопровайдер "Код Безопасности CSP" версии 3.7.
3. Установите TLS-клиент. Он содержит криптопровайдер "Код Безопасности CSP" версии 4.0, который установится автоматически.
Отсутствуют сторонние криптопровайдеры (КриптоПро CSP или Валидата CSP) и Jinn-Client.
В данном случае установите TLS-клиент. Он содержит криптопровайдер "Код Безопасности CSP" версия 4.0, который установится автоматически.
Исправление ошибок установки
При нарушении порядка установки выполните действия в следующем порядке:
1. Удалите все программные продукты, входящие в вариант установки.
2. После каждого удаления программного продукта выполните перезагрузку, если она требуется.
3. Установите программные продукты заново в соответствии с описанными вариантами установки.
Для подписания в Электронном бюджете в Mozilla Firefox с помощью Jinn-client 1.0.3050.0, рекомендуется использовать версию от 52.9.0esr и выше , необходимо установленное в браузере расширение Jinn Sign Extension, а также установленный в Windows Jinn Sign Extension Provider версии 1.0.0.5. Во избежание появления в firefox ошибки при подписании:
Document.GetElementByID(. ).loadCertificates is not a function (TypeError)
необходимо в firefox выполнить следующее:
- В адресной строке firefox ввести about:config
- Установить параметры accessibility.delay_plugins = true; accessibility.delay_plugin_time = 90000
- В браузере включитьплагин Jinn-client (если версия firefox поддерживает плагин — например, как версия 52.9.0esr) и одновременно включить расширение Jinn-client.
Если такая ошибка появилась, то помимо указанных выше настроек необходимо при закрытом firefox удалить, а затем заново установить Jinn sign extension provider версии 1.0.0.5. (Перезагружать компьютер при этом необязательно, куки и кэш желательно удалить).
Так как для браузеров Mozilla Firefox и Google Chrome, в отличие от Internet Explorer 11, при подписании в Электронном бюджете используются ещё расширение Jinn-client и Jinn Sign Extension Provider, то при возникновении ошибок при подписании лучше всего после этого проверять подписание в настроенном для работы в Электронном бюджете Internet Explorer 11.
Извините, но у вас недостаточно прав для комментирования
lk.budget.gov.ru/udu-webcenter — если Вы попали на эту страницу, значит Вы пытались зайти в личный кабинет Электронного Бюджета, но не смогли этого сделать.
Почему? Попытаемся ответить на вопрос.
1. В первую очередь проверяем, установлены ли и у Вас программы Jinn и Континент TLS (На момент написания статьи стояла версия 1.0.920.0). Советую сразу переходить на Континент TLS 2.0
2. — Основная причина, почему Вы не смогли зайти в Электронный Бюджет, когда все необходимые для работы программы установлены, это не настроенный браузер (Mozilla Firefox, Internet Explorer, Google Chrome, Opera). Давайте рассмотрим на примере популярных браузеров для работы в ЭБ.
Настройки браузера для работы в Электронном Бюджете после перехода на Континент TLS 2.0 не требуются.
Советую все настраивать на Internet Explorer .
a) Internet Explorer
1. Открыть свойства веб-обозревателя.
2. Перейти на вкладку «Подключения».
3. Нажать кнопку «Настройка сети».
4. В разделе «Прокси-сервер» задать поля Адрес: 127.0.0.1, Порт: 8080.
5. Нажать кнопку «ОК».
6. Перейти на вкладку «Безопасность».
7. Выбрать зону для настройки «Надежные узлы».
8. Нажать кнопку «Сайты».
9. В окне «Надежные сайты» снять отметку с поля «Для всех сайтов этой зоны требуется проверка серверов (https:)».
10. В поле «Добавить в зону следующий узел» задать значение «http://lk.budget.gov.ru» и нажать кнопку «Добавить».
11. В окне «Надежные сайты» нажать кнопку «Закрыть».
12. В окне «Свойства браузера» нажать кнопку «ОК».
b) Google Chrome
1. Открыть настройки веб-обозревателя.
2. Перейти вниз окна настроек и активировать ссылку «Показать до-полнительные настройки».
3. Нажать кнопку «Изменить настройки прокси-сервера».
4. Повторить п.4-12 раздела «а) Internet Explorer».
c) Mozilla Firefox
1. Откройте меню «Инструменты» и выберите пункт «Настройки».
2. Перейти в раздел «Дополнительные» на вкладку «Сеть».
3. В секции настроек «Соединение» нажать кнопку «Настроить…».
4. В открывшемся окне параметров соединения установить значение «Ручная настройка сервиса прокси».
5. Задать значения полей HTTP-прокси: 127.0.0.1; Порт: 8080.
6. Нажать кнопку «ОК».
7. В окне «Настройки» нажать кнопку «Ок».
d) Opera
1. Откройте меню «НастройкаОбщие настройки».
2. Перейти на вкладку «Расширенные», выбрать раздел настроек «Сеть».
3. Нажать кнопку «Прокси-серверы…».
4. В открывшемся окне параметров соединения установить значение «Конфигурировать прокси-сервер вручную».
5. Для протокола HTTP задать значения полей прокси-сервер: 127.0.0.1; Порт: 8080.
6. Установить значение «Использовать прокси-сервер для всех протоколов».