Инструкция по настройке арм для работы с порталом заявителя ис уц фк

Доброго времени суток!
Сегодня хотел бы поделится опытом работы с Vipnet PKI Client и рассказать с чем пришлось столкнутся, что пришлось использовать в конечном итоге и какая последовательность действия была самой эффективной.
Появилась задача на переход Vipnet от КриптоПро и поработать на портале заявителя, однако CryptoPro CSP в том числе использовался для другого функционала, соответственно начались танцы с бубном.

И так что необходимо знать:

1) Vipnet PKI Client не будет работать должным образом с CryptoPro CSP вытекающее из этого: А — Синий экран при установки, либо деинсталляции ПО,
Б — Не работают необходимые корневые сертификаты нарушение целостности ветки при установленных сертификатов, В — в браузере (yandexГОСТ,Chromium,firefox) не определяется криптопровайдер Vipnet CSP (TLS — ошибка российских криптоалгоритмов).
Соответственно оставляем только Vipnet PKI Client.

2) Для должной установки работающего ПО использовать Vipnet PKI Client  версии 1.7, обязательно подобрать определенную сборку ОС Windows, в моем случае интерес был к Windows 10 (10.0.19045), можно использовать:
Версия 1803, сборка 17134;
Версия 1809, сборка 17763;
Версия 1909, сборка 18364;
Версия 2004, сборка 19041;
версия 20H2, сборка 19042.

Если вы используете Windows 7 то вам подойдет любая версия 32/64 разрядная а также Vipnet PKI Client версии 1.6

3) Установка в правильной последовательности начиная от ОС, ПО, сертификатов корневых (.cer), промежуточных (.crt) + списки отзывов (.crl).

4) Обязательно используем браузер Firefox для доступа к fzs.roskazna.ru

5) Инструкция с roskazna.gov.ru не работает

6) Если установлено ПО Рутокен его необходимо удалить. Если вы используете ЭЦП от Рутокен можно пробовать поставить версию 4.16 (с этой версией проверка проходит успешно)

Начнем Товарищи!

1. Установка Vipnet PKI здесь все по стандарту далее и далее нас будет интересовать только настройка в самой программе.
1)»Ползунок» в вкладке TLS + галочка «Разрешать соединения при неполном доверии к сертификату сервера»
2) Добавление сертификатов в вкладке «Сертификаты»

Картинка с сайта: forum.radiodar.ru

2. Скачиваем архив с корневым сертификатом с сайта: https://roskazna.gov.ru/ по переходу на сайт будет всплывающее окно с уведомлением: «В связи с заменой сертификата безопасности официального сайта Федерального казначейства в интернете при установлении защищенного соединения, необходимо установить корневой сертификат удостоверяющего центра, который размещен на официальном сайте Портала государственных услуг Российской Федерации.» После скачивания не забываем его установить через Vipnet PKI Client в вкладке «Сертификаты».

Картинка с сайта: forum.radiodar.ru

3. После установки корневого сертификата переходим на сайт: http://crl.roskazna.ru/crl/ скачиваем и в таком же порядке устанавливаем через Vipnet PKI Client.
1) Корневой сертификат ГУЦ 2022.cer
2) Подчиненный сертификат УЦ ФК от 10.01.2022.crt
3) guc2022.crl
4) ucfk_2022.crl

Картинка с сайта: forum.radiodar.ru

Обязательно, сначала устанавливаем сертификаты только после этого установка списков отзывов!

4. Очищаем кэш TLS Unit (в трее значок) правой кнопкой мыши -> очистить кэш сертификатов + очистить историю браузера.

Перезагружаем машину.

4. После включения ОС и ПО проверяем нашу машину на сайте: http://arm-fzs.roskazna.gov.ru/
Главное что мы должны увидеть что СКЗИ Vipnet PKI Client виден и есть поддержка российских криптоалгоритмов при использовании TLS.

Картинка с сайта: forum.radiodar.ru

5. При успешном выполнении шагов выше, мы можем перейти на портал заявителя https://fzs.roskazna.ru/ (справа внизу также увидите что «Установлено защищенное соединение») соответственно подать документы на получение сертификата либо войти по сертификату в личный кабинет.

Картинка с сайта: forum.radiodar.ru

Для смены сертификата посредством Портала заявителя без посещения ТОФК (территориального органа федерального казначейства) необходимо:

1. Иметь сертификат лица, действующего от имени Заявителя (при условии, что ранее предоставленные в ТОФК сведения не изменились).
2. Подготовить рабочее место.
3. Сформировать запрос для смены сертификата.
4. Получить сертификат.

Рассмотрим пункты 2-4 подробно.

Подготовка к работе

Для начала работы в личном кабинете удостоверяющего центра Федерального Казначейства на компьютере заявителя с ОС Windows должны быть:

1. Установлен один из следующих браузеров: Internet Explorer (версии 9 или выше), Яндекс.Браузер версии 18.9.1.954 и выше, Chromium-gost версии 83.0.4103.61 и выше.
2. Установлена сертифицированная версия СКЗИ КриптоПро CSP 4.0 и выше либо ViPNet PKI Client (Инструкция по установке ViPNet PKI Client).
3. Установлен « КриптоПро ЭЦП Browser plug-in» (в случае использования ViPNet не требуется).
4. Установлены сертификаты Минцифры России (ГУЦ) и УЦ ФК согласно инструкции.
5. Проверить настройку АРМ можно тут — проверить.

Формирование запроса для смены сертификата

Как создать запрос и получить сертификат без посещения ТОФК подробно разобрано в видео. Или ознакомьтесь с текстом далее:

Для формирования запроса на смену сертификата необходимо выполнить следующие действия:

1.   Подключите к компьютеру ключевой носитель (Рутокен, eToken и др.).

2.   Осуществите вход в личный кабинет авторизованного пользователя Портала Заявителя, нажав на кнопку «Войти по сертификату» в блоке «Смена сертификата» открытой части Портала Заявителя, расположенного по адресу https://fzs.roskazna.ru/. Либо закрытой части Портала Заявителя, расположенного по адресу https://lk-fzs.roskazna.ru/ (Рисунок 1).

Картинка с сайта: info.gosuslugi.ru

Рисунок 1. Главная страница открытой части Портала Заявителя

3.   В отобразившейся форме «Формирование запроса на сертификат» проверьте все необходимые сведения (Рисунок 2).

Картинка с сайта: info.gosuslugi.ru

Рисунок 2. Формирование запроса на сертификат.

4. В отобразившемся блоке «Формирование сведений для подачи запроса на сертификат» проверьте заполненные поля и выберете запрашиваемый тип сертификата — «сертификат юридического лица без ФИО».

5. В разделе «Сведения документа, удостоверяющего личность», нажмите на кнопку «Внести сведения» (Рисунок 3).

Картинка с сайта: info.gosuslugi.ru

Рисунок 3. Блок «Сведения документа, удостоверяющего личность». Кнопка «Внести сведения» 

6.   В отобразившейся форме «Внесение сведений о документе, удостоверяющем личность» проверьте данные или, в случае изменения документа по сравнению с поданным ранее запросом, выберите тип документа, удостоверяющего личность, и заполните обязательные поля формы (Рисунок 4).  

Картинка с сайта: info.gosuslugi.ru

Рисунок 4. Форма «Внесение сведений о документе, удостоверяющем личность»

7. Нажмите на кнопку «Сохранить» для сохранения внесенных сведений и перехода к следующему шагу.

8. В отобразившемся блоке «Формирование сведений для подачи запроса на сертификат» в разделе «Файл запроса на сертификат» нажмите кнопку «Внести сведения» (Рисунок 5). 

Картинка с сайта: info.gosuslugi.ru

Рисунок 5. Блок «Файл запроса на сертификат». Кнопка «Внести сведения»

9. Рекомендуемые настройки представлены на рисунке 6. Для возможности переноса закрытой части ключа, выбрать «да» в поле «Экспортируемый закрытый ключ» и нажать «Сохранить и создать запрос на сертификат».

Картинка с сайта: info.gosuslugi.ru

Рисунок 6. Формирование запроса на сертификат.

10. На форме создания запроса на сертификат со сформированными данными нажать «Сформировать» (Рисунок 7). В этот момент формируется закрытый ключ. Надо выбрать место его хранения, произвести действия для формирования (двигать курсором и нажимать клавиши), запомнить пароль.

Картинка с сайта: info.gosuslugi.ru

Рисунок 7. Форма создания запроса на сертификат со сформированными полями запроса.

11. На вновь отобразившимся блоке «Формирование сведений для подачи запроса на сертификат» в разделе «Документы для получения сертификата» проверьте данные и нажмите на кнопку «Сформировать заявление» (Рисунок 8).

Для нашего типа сертификата «без ФИО» галочку «Получатель сертификата является лицом, имеющим право действовать без доверенности от имени Заявителя», ставить не нужно. Даже при подаче заявления непосредственно руководителем. В любом случае обязательно заполнение документа, подтверждающего право действовать от имени заявителя.

Картинка с сайта: info.gosuslugi.ru

Рисунок 8. Блок «Документы для получения сертификата».

12.   На отобразившейся форме «Заявление на выдачу квалифицированного сертификата» заполните должность и нажмите на кнопку «Сохранить» (Рисунок 9). 

Картинка с сайта: info.gosuslugi.ru

Рисунок 9. Форма Заявления на сертификат.

13. При необходимости измените контактные данные и нажмите на кнопку «Подписать сведения ЭП и подать запрос», чтобы перейти к следующему шагу.

14. На отобразившейся форме «Подписать сведения электронной подписью?» ознакомьтесь с информацией и нажмите на кнопку «Да» (Рисунок 10). 

Картинка с сайта: info.gosuslugi.ru

Рисунок 10. Отображение формы «Подписать сведения электронной подписью».

15. В отобразившейся форме «Подписание документов для получения сертификата» проверьте внесенные сведения и нажмите на кнопку «Подписать ЭП» (Рисунок 11). 

Картинка с сайта: info.gosuslugi.ru

Рисунок 11. Отображение формы «Подписание документов для получения сертификата»

16.   В результате отобразится окно подтверждения о подписании сведений ЭП (Рисунок 12).

Картинка с сайта: info.gosuslugi.ru

Рисунок 12. Окно подтверждения о подписания сведений ЭП

17. Нажмите на кнопку «ОК» для закрытия информационного окна.

Сведения запроса на создание сертификата передаются на проверку посредством СМЭВ.  

В случае успешных проверок запроса в СМЭВ, запрос передается на обработку в УЦ ФК.

После успешных проверок, сертификат можно получить через УЦ ФК.

Скачивание готового сертификата Получателем сертификата

Для скачивания готового сертификата Получателем сертификата необходимо выполнить следующие действия:

1. Осуществить вход в личный кабинет авторизованного пользователя Портала Заявителя (Рисунок 13). 

Картинка с сайта: info.gosuslugi.ru

Рисунок 13. Вход в личный кабинет авторизованного пользователя Портала Заявителя

2. Открыть карточку запроса, по которому изготовлен сертификат, и структура сертификата которого еще не подтверждена. 

3. В отобразившейся карточке запроса на создание сертификата нажать на кнопку «Скачать сертификат» (Рисунок 14).

Картинка с сайта: info.gosuslugi.ru

Рисунок 14. Кнопка «Скачать сертификат»

4. В отобразившейся форме «Расписка в ознакомлении с информацией, содержащейся в квалифицированном сертификате» установить галочки (Рисунок 15):

• С Руководством по обеспечению безопасности использования квалифицированной электронной подписи и средств квалифицированной электронной подписи ознакомлен;
• С информацией, содержащейся в квалифицированном сертификате, ознакомлен.

Картинка с сайта: info.gosuslugi.ru

Рисунок 15. Ознакомление с информацией, содержащейся в сертификате

5. Подписать сведения электронной подписью, нажав на кнопку «Подтвердить и подписать ЭП».

6. В отобразившейся печатной форме «Расписка в ознакомлении с информацией, содержащейся в квалифицированном сертификате» нажать на кнопку «Подписать ЭП». После чего отобразится обновленная карточка предварительного запроса с возможностью загрузить файл сертификата.

Далее необходимо обновить сертификат в ЛК УВ и можно работать со СМЭВ с использованием нового сертификата.

Согласно изменениям, вступившим в силу с 1 января 2022 года, определённые категории лиц должны обращаться только в государственные удостоверяющие центры для получения квалифицированных сертификатов электронной подписи.

В удостоверяющем центре Федерального казначейства квалифицированные сертификаты электронной подписи получают:

• лица, замещающие государственные должности Российской Федерации, государственные должности субъектов Российской Федерации;
• должностные лица государственных органов, органов местного самоуправления, их подведомственных учреждений;
• руководители и работники коммерческих организаций, которым предоставляются средства из бюджетов бюджетной системы Российской Федерации, подлежащие казначейскому сопровождению;
• руководители и работники некоммерческих организаций (государственных корпораций, государственных компаний, государственных учреждений, муниципальных учреждений).

В удостоверяющем центре Центрального банка Российской Федерации квалифицированные сертификаты получают:

• лица, имеющие право действовать без доверенности от имени кредитных организаций, операторов платёжных систем, некредитных финансовых организаций и индивидуальные предприниматели, осуществляющие виды деятельности, указанные в ч. 1 ст. 76.1 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»;
• лица, имеющие право действовать без доверенности от имени кредитных рейтинговых агентств, бюро кредитных историй, лица, осуществляющие актуарную деятельность;
• должностные лица Банка России.

Удостоверяющий центр Федеральной налоговой службы выдаёт квалифицированные сертификаты:

• представителям юридических лиц, имеющим право действовать от имени юридического лица без доверенности (за исключением юридических лиц, перечисленных в категориях лиц, получающих квалифицированные сертификаты в УЦ Федерального казначейства или УЦ Банка России);
• индивидуальным предпринимателям (кроме ИП осуществляющих деятельность согласно ч.1 ст. 76.1 86-ФЗ);
• нотариусам.

Все государственные удостоверяющие центры выдают квалифицированные сертификаты заявленным категориям лиц на безвозмездной основе, то есть бесплатно.

Как получить сертификат электронной подписи в удостоверяющем центре Федерального казначейства

Казначейством России была согласована структура сертификата должностного лица, выдаваемого с 1 января 2022 года. Согласно информации, размещённой на официальном сайте Федерального Казначейства, сертификат должностного лица включает: ФИО владельца сертификата, наименование юридического лица и наименование подразделения юридического лица, должность владельца сертификата, его СНИЛС и ИНН, адрес электронной почты, двухсимвольный код страны, наименование населённого пункта и наименование соответствующего субъекта РФ. Таким образом, сертификат должностного лица не содержит такие реквизиты организации, как ИНН и ОГРН.

Для получения квалифицированного сертификата в удостоверяющем центре Федерального казначейства необходимо:

1. Проверить настройку АРМ для работы с Порталом заявителя ИС УЦ (онлайн-сервис подачи документов для получения сертификатов).
2. В случае отсутствия средства электронной подписи получить его в территориальном органе Федерального казначейства (ТОФК).
3. Настроить автоматизированное рабочее место (АРМ) для работы с Порталом заявителя.
4. Подать документы на создание сертификата с использованием Портала заявителя.

Подать заявку на выдачу квалифицированного сертификата в УЦ Федерального казначейства заявитель может как с использованием действующего квалифицированного сертификата, так и без него. При первичном получении квалифицированного сертификата, а также если срок действия сертификата (ключа ЭП) истёк, потребуется личное посещение ТОФК. Если же заявитель имеет действующий сертификат, выданный УЦ ФК, и сведения в сертификате не изменились, то получить сертификат можно без посещения ТОФК.

После подачи запроса на сертификат на Портале заявителя все сведения из него проходят проверку в СМЭВ (системе межведомственного электронного взаимодействия). В случае успешных проверок в СМЭВ заявка на сертификат передаётся на обработку оператору УЦ ФК для проверки электронных документов на создание сертификата. При первичном получении сертификата или истечении его срока действия заявителю дополнительно необходимо будет лично посетить удостоверяющий центр для предоставления оригиналов документов, проведения необходимых проверок и идентификации владельца сертификата. В случае положительного результата всех проверок УЦ Федерального Казначейства выдаст квалифицированный сертификат.

Более подробно ознакомиться с процедурой выдачи сертификата можно на официальном сайте Федерального казначейства.

Необходимо отметить, что настройка АРМ для работы с электронной подписью является нетривиальной задачей для рядового пользователя, так как должны быть выполнены как общие системные требования к рабочему месту пользователя, так и дополнительные требования к программному обеспечению. Для использования электронной подписи необходимо выполнить ряд условий — наличие на АРМ определённой операционной системы, наличие браузера с поддержкой криптоалгоритмов ГОСТ, установка сертифицированной версии СКЗИ (средства криптографической защиты информации) и в зависимости от СКЗИ установка плагина к браузеру, установка драйвера ключевого носителя, сертификатов Минцифры России и УЦ Федерального Казначейства.

Поэтому настройку рабочего места должны проводить профильные специалисты, которые обладают определёнными техническими знаниями и навыками. Воспользуйтесь комплексной помощью и сопровождением технических специалистов «Инфотекс Интернет Траст» для настройки рабочего места и подготовки к работе с электронной подписью. При необходимости у нас можно приобрести и сертифицированные ФСТЭК России и ФСБ России USB-носители для получения сертификата электронной подписи: JaCarta LT, JaCarta-2 SE или Рутокен ЭЦП 3.0.

Как получить сертификат электронной подписи в удостоверяющем центре Банка России

Участники финансового рынка, осуществляющие деятельность в кредитно-финансовой сфере, с 1 января 2022 года получают квалифицированные сертификаты ключа проверки электронной подписи только в удостоверяющем центре Центрального банка Российской Федерации.

Получить сертификат в УЦ Банка России можно при личном присутствии заявителя в пункте выдачи сертификатов в одном из территориальных учреждений Банка России и онлайн через портал удостоверяющего центра Банка России. Перечень территориальных учреждений опубликован на официальном сайте Банка России.

Для получения сертификата при личном присутствии необходимо прежде всего сформировать и отправить заявку на выдачу сертификата на адрес электронной почты пункта выдачи сертификатов по местонахождению заявителя. Оператор удостоверяющего центра проверит информацию о заявителе и сообщит о прохождении предварительной проверки. Если проверка прошла успешно, заявителя пригласят на приём в территориальное учреждение Банка России.

В случае если ключ электронной подписи формируется заявителем самостоятельно, необходимо сгенерировать его с использованием средств электронной подписи, имеющих сертификат ФСБ России. Если ключ электронной подписи будет сформирован на технических средствах УЦ Банка России, то ключ электронной подписи и запрос сформирует оператор удостоверяющего центра в пункте выдачи сертификатов территориального учреждения Банка России. Заявителю необходимо будет предоставить для этого ключевой носитель. В назначенную дату заявителю нужно посетить удостоверяющий центр с подготовленным комплектом документов для получения сертификата и ключевым носителем. После того как документы будут предоставлены, все сведения направятся на проверку в государственные информационные системы. Проверка сведений может занять до пяти рабочих дней. При положительном результате всех проверок нужно будет посетить территориальное учреждение повторно для получения сертификата с паспортом заявителя, а также носителем, на который запишут готовый сертификат.

При наличии действующего квалифицированного сертификата получить новый сертификат можно онлайн без личного присутствия заявителя. Для этого необходим доступ в личный кабинет на портале аккредитованного удостоверяющего центра Банка России, используемый для подачи документов и получения сертификата при идентификации заявителя без личного присутствия.

Получить логин и пароль для доступа к личному кабинету на портале УЦ Банка России можно, направив в территориальное учреждение Банка России по местонахождению заявителя сообщение о выдаче учётных данных из личного кабинета участника информационного обмена, размещённого на официальном сайте Банка России. Для получения сертификата заявителю нужно сформировать запрос на новый сертификат с использованием сертифицированного ФСБ России средства электронной подписи и в личном кабинете на портале УЦ Банка России создать заявку на получение сертификата без личного присутствия. К заявке прикрепляется ранее сформированный запрос на сертификат и документы для создания сертификата, подписанные усиленной квалифицированной электронной подписью действующего сертификата. Удостоверяющий центр Банка России проверит предоставленные сведения и документы, в том числе с использованием СМЭВ, и в случае положительного результата проверки создаст новый сертификат. Скачать его можно будет в личном кабинете на портале УЦ Банка России.

Более подробно ознакомиться с процедурой выдачи сертификата можно на официальном сайте Банка России.

Для получения сертификата и дальнейшего использования электронной подписи необходимо настроить автоматизированное рабочее место (АРМ) пользователя. Для взаимодействия с порталом УЦ Банка России на АРМ пользователя должно быть установлено сертифицированное средство криптографической защиты информации (СКЗИ).

Если в качестве СКЗИ используется КриптоПро CSP, то для работы с электронной подписью в браузере необходимо также наличие установленного плагина. Взаимодействие портала УЦ Банка России с АРМ пользователя осуществляется посредством использования защищенного TLS-соединения с двусторонней аутентификацией.

При настройке АРМ пользователя также проводится установка:

• действующего сертификата пользователя с привязкой к ключу электронной подписи;
• сертификата аккредитованного удостоверяющего центра, выпустившего сертификат пользователя;
• корневого сертификата головного удостоверяющего центра;
• списка аннулированных сертификатов головного удостоверяющего центра;
• списка аннулированных сертификатов аккредитованного удостоверяющего центра, выпустившего сертификат пользователя.

Для успешной работы АРМ необходимо, чтобы его настройка проводилась профессионалами.

Как получить сертификат электронной подписи в удостоверяющем центре ФНС России

С 1 января 2022 года представители юридически лиц, имеющие право действовать без доверенности от имени компании, индивидуальные предприниматели и нотариусы получают квалифицированные сертификаты электронной подписи в УЦ ФНС России или у доверенных лиц УЦ ФНС России.

Для получения сертификата в удостоверяющем центре ФНС заявителю нужно подать документы на создание сертификата ключа проверки. Сделать это можно при личном посещении любого регионального или межрайонного отделения ФНС или в точке выдачи доверенного лица УЦ ФНС России. Также заявление в бумажном виде можно подать в одном из отделений операторов электронного документооборота. Кроме этого доступен дистанционный вариант подачи заявления на создание сертификата — при помощи сервиса «Личный кабинет юридического лица/личный кабинет индивидуального предпринимателя».

Для получения сертификата заявителю понадобится предоставить в удостоверяющий центр ФНС специальный USB-носитель, на который будет записана информация о ключах, сертификате и его владельце. Носитель должен соответствовать требованиям, которые предъявляет ведомство — сертификация ФСБ России или ФСТЭК России, форм-фактор USB-токенов Type-A. Его нужно приобрести заранее и принести с собой.

Процедура получения сертификата предполагает обязательную идентификацию — подтверждение личности будущего владельца сертификата. Идентификация проводится при личном присутствии заявителя в любом налоговом органе, осуществляющем деятельность удостоверяющего центра ФНС России, или у доверенного лица УЦ ФНС.

Также для проведения идентификации необходимо предоставить набор документов. В число обязательных входят паспорт заявители и СНИЛС. Кроме того, понадобятся сведения и документы для предоставления дополнительной информации:

• ИНН физлица и компании;
• ОГРН юрлица;
• документ, подтверждающий право заявителя действовать от имени юридического лица без доверенности.

В настоящее время к доверенным лицам удостоверяющего центра ФНС России относятся три организации: ПАО «Сбербанк России», АО «Аналитический центр» и Банк ВТБ (ПАО).

Для начала работы с электронной подписью от УЦ ФНС необходима квалифицированная подготовка автоматизированного рабочего места пользователя. Подготовка включает:

• настройку компьютера для работы с электронной подписью;
• установку на рабочее место сертификата электронной подписи;
• установку специального программного обеспечения для работы электронной подписи;
• проверку корректности работы программного обеспечения.

Количество времени, необходимое для подготовки рабочего места, и правильность работы программ в результате установки зависят от наличия специальных технических знаний. Настройку рабочего места можно провести самостоятельно, но мы рекомендуем обратиться к квалифицированным техническим специалистам нашей компании, предоставляющим эту услугу.

Эта статья была полезной?

Оформите техподдержку сертификата ФНС

Перейти к выбору услуг

Как настроить компьютер для работы с ГИИС “Электронный бюджет”

Или Краткое руководство по настройке рабочего места (АРМ) для работы с ГИИС “Электронный бюджет”.

Список последних изменений в документе

Предисловие

В данном руководстве описано как настроить компьютер для работы с ГИИС «Электронный бюджет» (Казначейским сопровождением или другими подсистемами). Без Континент TLS-клиента. Без Jinn-Client. Не связываясь с продуктами Кода Безопасности. Без выискивания серверных сертификатов для Континент TLS-клиента (которому вечно что-то не так).

Подразумевается, что вы только начинаете свой путь и будете настраивать компьютер с нуля, с чистой операционной системы на неограниченном интернете (было бы идеально). Если это не так, возможные источники проблем так же перечислены.

Для каких ресурсов это будет работать

• eb.cert.roskazna.ru — Портал Федерального Казначейства Государственной Интегрированной Информационной Системы “Электронный Бюджет”. Предоставляет доступ к подсистемам ЭБ, оператором которых является ФК. Включая Казначейское сопровождение, Управление расходами ФБ, Подсистема Информационно-Аналитического Обеспечения и Подсистема Учёта И Отчётности. И другие…

  

  Картинка с сайта: ebudget-community.gitflic.space

• sobi.login.roskazna.ru — Подсистема Обеспечения Информационной Безопасности Системы Обеспечения Безопасности Информации (ПОИБ СОБИ) Федерального Казначейства. За столь длинным и сложным названием скрывается сервис, выполняющий функцию централизованной базы данных пользователей и списка того, что им делать можно, для использования в сервисах, оператором которых является ФК. Чтобы зарегистрироваться 1 раз и пользоваться всеми с одной УЗ.

  

  Картинка с сайта: ebudget-community.gitflic.space

• fzs.roskazna.ru — Портал заявителя Удостоверяющего Центра Федерального казначейства (Казначейства России). Сайт позволяет выпускать сертификаты полностью или частично удалённо. Подавать документы в электронном виде. Управлять уже выпущенными сертификатами от УЦ ФК.

  

  Картинка с сайта: ebudget-community.gitflic.space

Для любых других, использующих КриптоПро ЭЦП для ЭП и ГОСТ TLS для защиты передаваемых данных и аутентификации.

Включая (но не ограничиваясь):

• ufk**.sufd.budget.gov.ru — СУФД-онлайн (через ГОСТ TLS). Вместо звёздочек, первые 2 цифры кода ТОФК.
• lk.zakupki.gov.ru — ЕИС Госзакупки (личный кабинет)
• buh2012.budget.gov.ru — 1С ЗКГУ и БГУ (для госсектора) на базе ГИИС “Электронный Бюджет” через браузер.
• ssl.budgetplan.minfin.ru — ГИИС “Электронный бюджет”, Бюджетное Планирование, подсистемы ведении Минфина России.

Но всё же, центром этой статьи будет являться Портал eb.cert.roskazna.ru в ведении Федерального казначейства.

Что потребуется для установки

• СКЗИ КриптоПро CSP
• КриптоПро ЭЦП browser plug-in
• Браузер с поддержкой ГОСТ TLS Яндекс.Браузер или Chromium GOST
• Драйвер для носителя контейнера ключа ЭП. В случае Рутокен, Драйвер Рутокена. В случае JaCarta, драйвер JaCarta. И т.д.
• Личный сертификат УКЭП

На случай, если всё ещё задаётесь вопросом: СКЗИ Континент TLS-клиент, средство ЭП Jinn-Client при настройке данным способом не понадобятся.

Если у вас уже установлено на компьютере средство ЭП Jinn-Client, можно его либо удалить, либо проигнорировать. Оно всё равно прекратило работать, как только Google удалил его расширение из магазина и пометил как вредоносное (чтобы наверняка). Даже если раньше вы использовали Jinn-Client, с большой вероятностью, вы его уже не используете. Кроме отдельных случаев с закрытым контуром, где интернет ограничен и магазин недоступен.

Если установлен Континент TLS-клиент, достаточно отключить его автозапуск с системой и выйти из него с помощью значка в области уведомлений. Удалить его можно позже. Так же, это может означать, что у вас уже установлен КриптоПро CSP.

• Перейти в Континент TLS-клиент -> Настройки -> Основные. Убрать галочку с пункта “Запускать при старте системы”. Обязательно нажать Сохранить.

  

  Картинка с сайта: ebudget-community.gitflic.space

• Нажать правой кнопкой мыши на значке Континент TLS-клиента в Области уведомлений —> Выход.

КриптоПро CSP

Грубо говоря — это ГОСТ-движок (криптопровайдер), с помощью которого осуществляется вся ГОСТ-криптография в ОС, т.к. по умолчанию, вместе с ОС Windows не поставляются программные средства для работы ГОСТ-криптографии, в отличии от широко распространённых алгоритмов.

Без КриптоПро CSP не будет работать доступ по ГОСТ TLS и подписание документов с помощью УКЭП, и альтернативы в данном случае не предвидится (в том числе, потому, что другие ГОСТ-криптопровайдеры ГИИС “Электронный Бюджет” не поддерживаются).

СКЗИ можно скачать с официального сайта, после простой регистрации по Email и принятия Лицензионного соглашения. Это рекомендуемый способ приобретения дистрибутива.

Вам нужно выбрать версию КриптоПро CSP, соответствующую вашей лицензии:

• Для серийного номера лицензии, начинающегося на 4040, нужна версия 4.0.9963.0 (R4). Или 5.0.11455.0 (R1).
• Для серийного номера лицензии, начинающегося на 5050, нужна версия 5.0.12000.0 (R2) и выше.

• Случаи, когда использование КриптоПро CSP 5.0.12000.0 (R2) обязательно:

  • ОС Windows 11. Т.е. если у вас лицензия на КриптоПро CSP для ветки 4.0 и ОС Windows 11, вам придётся либо осуществить даунгрейд до Windows 10, либо приобрести лицензию для КриптоПро CSP 5.0. КриптоПро CSP 4.0 не поддерживает Windows 11 и не собирается.

  • Неизвлекаемые ключей УКЭП на активных смарт-картах (Рутокен ЭЦП 2.0 и подобные). Если у вас активная смарт-карта с установленным неизвлекаемым ключом (в режиме PKCS#11), вам в любом случае нужен КриптоПро версии 5.0.12000.0 (R2) или выше. Даже на Windows 10. Обратите внимание, что ключ на Рутокен ЭЦП может быть так же записан и в пассивном режиме. Узнать наверняка можно только через программу Панель управления вашего носителя. Если ключ записали в активном режиме, в пассивный его конвертировать невозможно. Только перевыпуск. Не зря же их называют неизвлекаемыми.

Если вы не имеете действительной лицензии в данный момент, но планируете её приобрести, рекомендуется скачать 5.0.12000.0 (R2), не ошибетесь. КриптоПро предоставляет пробный период на 90 дней после установки СКЗИ или после обновления с КриптоПро CSP 4.0.* с действительной постоянной лицензией на 5.0.12000.0.

Лицензирование КриптоПро CSP обязательно, т.к. согласно условиям пользовательского соглашения, с истёкшей лицензией не допускается ЭП с помощью сертификата и двухсторонняя аутентификация с помощью сертификата на ресурсах (вход по сертификату).

Исключение — сертификаты со встроенной лицензией. Но вам придётся пользоваться только такими сертификатами и никакими другими. Например, сертификаты выпущенные УЦ ФК не содержат встроенной лицензии, потому с ними так не получится, придётся приобрести полноценную лицензию. А УЦ ФНС перестал выдавать такие в октябре 2022 г.

• Как посмотреть, есть ли в сертификате встроенная лицензия.

  

  Картинка с сайта: ebudget-community.gitflic.space

Лицензию, так же, можно запросить в УФК в безвозмездное пользование, по заявлению, но там выдаётся лицензия только на КриптоПро CSP 4.0. А сама лицензия на 1 компьютер (постоянная, 5.0) стоит около 3-ех тысяч рублей, на момент написания статьи… Целесообразность остаётся на ваше усмотрение.

КриптоПро ЭЦП browser plug-in

Программа, предоставляющая интерфейс программам для осуществления Электронной Подписи документов. Распространяется бесплатно с официального сайта (без регистрации).

В новейшей версии КриптоПро CSP 5.0 R3, по умолчанию встроен в дистрибутив.

Браузер ГОСТ TLS

Специализированный браузер, со встроенной поддержкой установки соединений TLS с применением ГОСТ-шифрования, с использованием установленного в систему криптопровайдера (в нашем случае, это КриптоПро CSP).

Такими являются:

• Яндекс.Браузер
• Chromium GOST

Выбор на ваш вкус и цвет. Если вы работали в Яндекс.Браузере ещё до этого руководства, то поздравляем, у вас уже есть браузер для ГОСТ. Если вам нужно настроить отдельный браузер исключительно для работы с ГОСТ-ресурсами, Chromium GOST будет в самый раз.

Личный сертификат УКЭП

Для работы с ГИИС “Электронный Бюджет” требуются сертификат(ы) Усиленной Квалифицированной Электронной Подписи (УКЭП), выпущенные аккредитованным Удостоверяющим Центром (УЦ) на лица, имеющие право первой и второй подписи (если таковое имеется) в финансовых документах. Лицо, имеющее право первой подписи, обычно, так же имеет статус лица, имеющего право действовать от имени организации без доверенности (руководителя). Сертификат на руководителя, как необходимый минимум, должен быть.

Для работы в ГИИС “Электронный Бюджет” могут использоваться сертификаты от любого УЦ, включая УЦ ФНС. Разница между использованием сертификатов от УЦ Федерального Казначейства (УЦ ФК) и УЦ ФНС (например) при работе в ГИИС “Электронный Бюджет”, заключается только в интеграции ГИС УЦ ФК с ПОИБ СОБИ, для автоматической регистрации. Т.е. когда вы подаёте документы в УЦ ФК для выпуска сертификата, автоматически регистрируется УЗ в ПОИБ СОБИ. Зарегистрироваться в ПОИБ СОБИ можно без подачи запроса в УЦ ФК.

По окончанию выполнения действий из этого руководства, вы так же сможете воспользоваться Порталом заявителя УЦ ФК, для того, чтобы подать запрос на получение сертификата. Узнать, попадаете ли вы в список лиц, которым доступен выпуск сертификата в УЦ ФК, можно в письме №95-09-11/15-377 от 25 августа 2023 г. «О вопросах создания и выдачи сертификатов» от МОУ ФК.

Установка СКЗИ КриптоПро

Для установки вам потребуются права локального администратора на компьютере. Если вы таковых не имеете, закройте эту статью и вышлите ссылку по электронной почте вашим системным администраторам.

Установка КриптоПро CSP

Открываете установочный файл программы CSPSetup.exe и нажимаете Установить (рекомендуется).

Никаких дополнительных настроек не требуется (в большинстве случаев).

Галочку Установить корневые сертификаты рекомендуется оставить.

Картинка с сайта: ebudget-community.gitflic.space

Возможно, вы захотите сразу ввести серийный номер лицензии в Панели управления КриптоПро CSP.

Установка КриптоПро ЭЦП

Тоже производится очень просто и без дополнительных настроек. По двойному клику запускается исполняемый файл cadesplugin.exe, скачанный с сайта.

Возникнет диалог с выбором, Да или Нет. По нажатию Да — плагин устанавливается.

• Нажмите Да

• Нажмите ОК

Установка браузера ГОСТ TLS

Яндекс.Браузер

Установка Яндекс.Браузера производится по двойному клику после скачивания установщика с официального сайта.

Картинка с сайта: ebudget-community.gitflic.space

По умолчанию, работа с ресурсами ГОСТ TLS должна быть уже включена. Но не мешает убедиться.

Картинка с сайта: ebudget-community.gitflic.space

Chromium GOST

Переходим на страницу с перечислением выпусков

https://github.com/deemru/Chromium-Gost/releases/latest/

В разделе Assets ищем windows-amd64-installer, что означает установщик 64-битной версии для Windows.

Картинка с сайта: ebudget-community.gitflic.space

Скачиваем и запускаем. Chromium GOST по умолчанию устанавливается в тихом режиме, без отображения окна с прогрессом, в профиль пользователя. По завершению установки будет открыто окно браузера и добавлены ярлыки в Пуск, Рабочий стол и на Панель задач.

Настройка браузера ГОСТ TLS

Установка расширения КриптоПро ЭЦП в браузер

По умолчанию, устанавливаемая в ОС Windows часть КриптоПро ЭЦП прописывает автоматическую установку расширения как в Chromium GOST, так и в Яндекс.Браузере. При следующем запуске оно добавляется “само” или появляется запрос на его добавление.

• Расширение КриптоПро ЭЦП в Яндекс.Браузере

  

  Картинка с сайта: ebudget-community.gitflic.space

• Расширение КриптоПро ЭЦП в Chromium GOST

  

  Картинка с сайта: ebudget-community.gitflic.space

Если этого не произошло, нужно добавить его вручную.

• Из Каталога Opera, для Яндекс.Браузера.
• Из Интернет-магазина Chrome для Chromium GOST

Если на компьютере ограниченный доступ в интернет, необходимо извлечь CRX из магазина с помощью специальных утилит и установить его оффлайн. Что в статью включено не будет, из-за краткого формата.

Настройка доверенных узлов для КриптоПро ЭЦП

• По умолчанию, КриптоПро ЭЦП не позволяет задействовать плагин для ЭП сайтам, которые не были добавлены в доверенные. Вместо этого отображая окно подтверждения.

  

  Картинка с сайта: ebudget-community.gitflic.space

• Для того, чтобы убрать это подтверждение, необходимо добавить сайты в доверенные.

• Для этого, найдите значок расширения КриптоПро ЭЦП на панели браузера. Кликните на него и откройте меню расширения. Выберите Настройка доверенных сайтов.

• Рекомендуемый для ГИИС “Электронный Бюджет” список ресурсов для добавления в доверенные:

  https://*.cryptopro.ru
  https://*.roskazna.ru
  https://*.gov.ru
  

  Вы можете добавить дополнительные ресурсы позднее.

• Введите в текстовое поле строку для добавления и нажмите кнопку +

  

  Картинка с сайта: ebudget-community.gitflic.space

• После добавления всех указанных строк, нажмите Сохранить

  

  Картинка с сайта: ebudget-community.gitflic.space

• Должно отобразиться подтверждение об успешном сохранении списка.

  

  Картинка с сайта: ebudget-community.gitflic.space

Установка Пути сертификации для УЦ ФК

Скачивание сертификатов

• На компьютере, в Загрузках, создаём две директории:

  • Корневые
  • Промежуточные

• Нужно скачать последний корневой сертификат ГУЦ 2022 года от Минцифры России и последних 2 подчинённых сертификата от УЦ ФК от 2023 и 2024 годов.

  Остальные имеют архивное значение, для того, чтобы проверять подпись документов, подписанных сертификатами, выпущенных более 2-ух лет назад. Актуальных сертификатов у них уже точно нет, учитывая средний срок жизни УКЭП в 1 год и 3 месяца.

  

  Картинка с сайта: ebudget-community.gitflic.space

  Если в “инфографике” не хочется разбираться, следуйте красным стрелочкам.

  Если в будущем появятся Подчинённые сертификаты, скажем, 2025-ого года или 2026-ого года, тоже захватите в папку Промежуточные. Не факт, что скриншот-инфографика будет обновляться каждый раз.

• Чтобы было сподручнее, используйте Сохранить ссылку как.

Или, скачиваем по ссылкам ниже. Список обновляется примерно раз в год.

• Корневые

  • http://crl.roskazna.ru/crl/Корневой%20сертификат%20ГУЦ%202022.cer

• Промежуточные:

  • http://crl.roskazna.ru/crl/ucfk_2023.crt
  • http://crl.roskazna.ru/crl/ucfk_2024.crt

crl.roskazna.ru — это не просто ресурс, откуда можно скачать сертификаты. Это CRL Distribution Point (CDP), т.е. Точка распространения Списка Отзыва Сертификатов. Потому, если этот ресурс не открывается, системному администратору необходимо обеспечить к нему доступ. И http://reestr-pki.ru заодно проверить, чтобы был доступен. Иначе, вы будете ловить ошибки проверки сертификатов на отзыв и вы не сможете воспользоваться ЭП ни на одном из Порталов.

Открытие оснастки MMC Сертификаты через меню Пуск

Переходим в меню Пуск и открываем консоль Сертификаты от имени Администратора используя ярлык в папке программ КРИПТО-ПРО

Установка Корневых сертификатов (ГУЦ)

1. Переходим в хранилище Доверенных корневых центров сертификации Локального компьютера. В левой колонке соответствующее хранилище должно быть выделено.

2. Переходим в Действие —> Все задачи —> Импорт

   

   Картинка с сайта: ebudget-community.gitflic.space

3. Откроется Мастер импорта сертификатов.

   Нажимаем Далее

   

   Картинка с сайта: ebudget-community.gitflic.space

4. Выбираем ранее отобранный в директорию Корневые сертификат. И нажимаем Далее.

   

   Картинка с сайта: ebudget-community.gitflic.space

5. Дальше нажимаем Далее —> Готово. Ничего не меняя.

   

   Картинка с сайта: ebudget-community.gitflic.space

   

   Картинка с сайта: ebudget-community.gitflic.space

Повторить действия с 2 по 5, для каждого файла сертификата в папке Корневые, если их несколько.

Установка Промежуточных центров сертификации (УЦ)

1. В консоли Сертификаты, переходим в хранилище Промежуточных центров сертификации Локального компьютера.

2. Переходим в Действие —> Все задачи —> Импорт

   

   Картинка с сайта: ebudget-community.gitflic.space

3. Откроется Мастер импорта сертификатов.

   Нажимаем Далее

   

   Картинка с сайта: ebudget-community.gitflic.space

4. Выбираем ранее отобранный в директорию Промежуточные сертификат. И нажимаем Далее.

   

   Картинка с сайта: ebudget-community.gitflic.space

5. Дальше нажимаем Далее —> Готово. Ничего не меняя.

   

   Картинка с сайта: ebudget-community.gitflic.space

   

   Картинка с сайта: ebudget-community.gitflic.space

Повторить действия со 2 по 5 для каждого файла сертификата в папке Промежуточные.

Установка личного сертификата

• Открываем Панель управления КриптоПро CSP из меню Пуск.

• Вставляем ключевой носитель с сертификатом.

• Открываем вкладку Сервис —> Просмотреть сертификаты в контейнере... —> Обзор

• Выбираем контейнер с сертификатом, который требуется установить.

  

  Картинка с сайта: ebudget-community.gitflic.space

• Нажимаем Далее

  

  Картинка с сайта: ebudget-community.gitflic.space

• Нажимаем Установить —> Готово

  

  Картинка с сайта: ebudget-community.gitflic.space

Предполагается, что сертификат уже был интегрирован в контейнер ранее. Если это не так, установите сертификат с помощью мастера Установка личного сертификата и файла в формате .cer.

Для пользователей КриптоПро CSP версии 5.0.* по умолчанию доступен упрощённый инструмент для работы с контейнерами и сертификатами, Инструменты КриптоПро. Но способ с Панелью управления универсальный, потому указан в первую очередь.

Картинка с сайта: ebudget-community.gitflic.space

Проверка работоспособности

Тестирование ГОСТ TLS

Протестируем в браузере, что подключения с шифрованием по ГОСТу действительно работают.

Если у вас возникают проблемы с использованием тестовой страницы от компании КриптоПро, т.к. у вас ограниченный доступ в интернет, альтернативная проверка представлена здесь.

Проверка анонимного ГОСТ TLS

• Откройте браузер с поддержкой ГОСТ TLS

• Перейдите по ссылке:

  https://www.cryptopro.ru:4444/test

• Должна отобразится страница:

  

  Картинка с сайта: ebudget-community.gitflic.space

• Тот факт, что страница открылась, означает, что первая часть проверки успешно пройдена. Вы успешно соединились по “анонимному” ГОСТ TLS с использованием односторонней аутентификации.

  

  Картинка с сайта: ebudget-community.gitflic.space

Список возможных ошибок и причин возникновения

Проверка ГОСТ TLS с входом по сертификату

• В браузере, после шага 1, перейдите по единственной ссылке на странице

  

  Картинка с сайта: ebudget-community.gitflic.space

  Или перейдите по ссылке ниже:

  https://www.cryptopro.ru:4444/test/tls-cli.asp

• Вам будет предложено выбрать личный сертификат.

  

  Картинка с сайта: ebudget-community.gitflic.space

• Выделите личный сертификат для проверки, и нажмите ОК.

  

  Картинка с сайта: ebudget-community.gitflic.space

• Должна отобразиться страница с информацией о выбранном сертификате.

  

  Картинка с сайта: ebudget-community.gitflic.space

Список возможных ошибок и причин возникновения

Тестирование ЭП через КриптоПро ЭЦП

• В браузере ГОСТ TLS откройте тестовую страницу КриптоПро ЭЦП.

  • Это можно сделать по ссылке:

    https://cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

  • Или через плагин.

• В списке сертификатов выберите свой личный сертификат и выполните тестовое подписание.

  

  Картинка с сайта: ebudget-community.gitflic.space

  

  Картинка с сайта: ebudget-community.gitflic.space

Завершение

На этом моменте, настройка браузера и СКЗИ были завершены.

Ваш компьютер готов к работе с ГИИС “Электронный бюджет”.

Рекомендуется сделать следующие закладки в браузере:

• https://fzs.roskazna.ru/ — Портал заявителя УЦ ФК
• https://sobi.login.roskazna.ru/ — ПОИБ СОБИ
• https://eb.cert.roskazna.ru/ — Портал ФК ГИИС ЭБ

Если вы не из счастливого большинства и что-то пошло не так, крутите страницу ниже…

Что делать дальше?

Если вы сталкиваетесь с работой в ГИИС “Электронный Бюджет” впервые, вот примерный список того, что потребуется сделать дальше:

• Убедиться, что ваша организация представлена в Реестре участников и неучастников бюджетного процесса.
• Зарегистрироваться в ПОИБ СОБИ под руководителем. Руководители, т.е. лица имеющие право действовать от имени Юр. Лица без доверенности (см. в ЕГРЮЛ), автоматически получают полномочие Главный регистратор. Что даёт им право назначать любые Роли сотрудникам в ПОИБ СОБИ и давать им полномочия Регистратора (которые в свою очередь, тоже могут назначать Роли). Главное помнить, что всё начинается с руководителя.
• Зарегистрировать в ПОИБ СОБИ лицо, имеющее право второй подписи. Т.е. Главного бухгалтера.
• Назначить в ПОИБ СОБИ пользователям необходимые Роли для работы с нужной подсистемой (ранее они назывались Полномочиями). Например, Казначейским сопровождением. Иначе, в меню подсистемы у вас будет пусто и не будет необходимых форм.
• Попытаться зайти на Портал ФК под руководителем.
• Почитать памятки или пройти курс от УФК г. Москве, указанные на этой странице.

В случае возникновения проблем

Если попытаться перечислить здесь все возможные проблемы, то это руководство кратким не будет. Потому будет вкратце перечислено самые основные факторы, которые могут вызвать проблемы.

Лицензия КриптоПро CSP

На случай, если раздел про лицензирование был пропущен…

Использование криптопровайдера КриптоПро CSP с Истекшей лицензией допускается только в случае использования сертификатов со встроенной ограниченной лицензией.

До октября 2022 г. УЦ ФНС выдавал такие бесплатно. После, эксперимент был прекращён.

Так же, после первой установки на АРМ КриптоПро CSP или обновления криптопровайдера с версии 4.0 на 5.0 (с действительной лицензией), программой выдаётся пробная лицензия на 90 дней.

С Истекшей лицензией не допускается использование ключа сертификата для электронной подписи и вход на ресурсы с использованием двухсторонней аутентификации по ГОСТ TLS с использованием УКЭП.

“Бесплатно” допускается только доступ до сайтов использующих ГОСТ TLS без двухсторонней аутентификации.

Т.е. это означает, что у вас вход по сертификату и электронная подпись не будут работать до тех пор, пока вы не введете в программу действительный серийный номер лицензии, выдавая так называемую “ошибку жадности” под номером 0x8007065B

Но, если вы перейдете на ресурс ГОСТ TLS, не требующий сертификат для аутентификации, такие как:

• fzs.roskazna.ru — Портал заявителя УЦ ФК. Раздел для подачи заявления на выпуск сертификата в первичном порядке.

• sobi.login.roskazna.ru — ПОИБ СОБИ ФК, вход по логину и паролю.

• sobi.esia.roskazna.ru — ПОИБ СОБИ ФК, вход с использованием ЕСИА (Госуслуг).

Они у вас откроются.

Потому при проверке работоспособности ГОСТ TLS вас просят сначала пройти проверку на анонимный ГОСТ. Потом уже на возможность аутентификации по сертификату. Чтобы отделить невозможность установить соединение по ГОСТ от невозможности использования сертификата.

Источник: О лицензировании программных продуктов, правообладателем которых является ООО «КРИПТО-ПРО» № 11038 от 11.03.2020 г.

Потому, рекомендуется проверить лицензию. И приобрести, в случае необходимости.

ПО с функциями проверки зашифрованного трафика путём HTTPS-MiTM (включая антивирусы)

Антивирусное ПО и DLP-системы, которые имеют функции вклинивания в зашифрованный трафик приложений, могут мешать установке соединения, зашифрованного по госту.

К такому ПО относится:

• Касперский
• Dr. Web (функция SpIDer Gate)
• PRO32
• Staffcop Enterprise

Для него следует добавить в исключения проверки следующие домены:

• eb.cert.roskazna.ru
• sobi.cert.roskazna.ru
• sobi.esia.roskazna.ru
• sobi.login.roskazna.ru
• fzs.roskazna.ru
• lk-fzs.roskazna.ru
• signservice.roskazna.gov.ru
• Другие домены, с которыми планируете работать. Например, buh2012.budget.gov.ru или ssl.budgetplan.minfin.ru

Подробнее описано в статье

Конфликтующее ПО, которое невозможно настроить на совместную работу

В данном случае, выделился всего одна программа. Avast.

Автор пытался составить исключения, чтобы исправить эту проблему, но что бы он туда не прописывал, не помогало. А каналы обращения в техническую поддержку Avast у автора и вовсе отсутствуют. Потому решено просто объявить Avast вредителем и рекомендовать к удалению/замене.

Отключение защиты — помогает. Но это не решение, а обходной путь.

Отсутствие доступа к CDP для проверки сертификата на отзыв

Сертификаты регулярно проверяются на отзыв и если КриптоПро CSP не в состоянии это сделать, то он предпочитает не доверять сертификату, даже если Путь сертификации проходит проверку.

Если при открытии Портала ФК или другого сайта можно проигнорировать ошибку, то при попытке подписать документ вы не увидите свой сертификат в списке, т.к. в список выводятся только сертификаты, которые прошли проверку.

Картинка с сайта: ebudget-community.gitflic.space

А в тестировании КриптоПро ЭЦП будет писать красным текстом

Картинка с сайта: ebudget-community.gitflic.space

Да, согласен, очень «информативно». Могли бы и отдельный код ошибки выделить под такое.

Потому, нужно обеспечить доступ к следующим адресам:

• http://crl.roskazna.ru/ — на этом ресурсе располагаются списки отзыва для сертификатов, выпущенных УЦ ФК.
• http://reestr-pki.ru/ — на этом ресурсе располагаются списки отзыва от Головных Удостоверяющих Центров (Корневых) Минкомсвязи и Минцифры. Сертификаты УЦ тоже проверяются на отзыв по списку от ГУЦ.

Если ваш личный сертификат выпущен не в УЦ ФК, то нужно посмотреть в его свойствах ссылку на CDP и обеспечить доступ к этому ресурсу.

• Например. УЦ ФНС

  

  Картинка с сайта: ebudget-community.gitflic.space

Этой болезнью часто страдают корпоративные интрасети и закрытые контуры.

Конфликтующие криптопровайдеры

Криптопровайдеры для ГОСТ от других производителей, отличных от КРИПТО-ПРО. В системе должен быть только один ГОСТ-криптопровайдер.

Такие как:

• Код Безопасности CSP 4.0.*
• VIPNet PKI/Client
• Tumar CSP

Если установлено что-то из этого, нужно удалить. Возможно, придётся переустановить КриптоПро CSP после этого.

Теоретически, может возникнуть необходимость
скрестить ежа с ужом работать с двумя криптопровайдерами одновременно, но если вы не знаете как это делать, лучше выделите отдельный компьютер для работы с ГИИС “Электронный бюджет” (возможно, виртуальный) и работайте с ним через Удалённый рабочий стол. Если контейнер ключа будет хранится на Рутокене или другой смарт-карте, она будет пробрасываться через RDP на удалённую машину. Не нужно будет копировать ключ или бегать перетыкать флешку.

Попытка использовать HTTP:// для ресурсов ГОСТ TLS

1. TLS, это по определению HTTPS. Потому убедитесь, что вы используете именно ссылку с указанием протокола HTTPS:// Протокол HTTP:// не подразумевает использование сертификатов для входа. Все указанные в старых инструкциях ссылки на использование HTTP:// подразумевали использование Континент TLS-клиента в качестве прокси.
2. На точках входа ГИИС “Электронный Бюджет” закрыт 80 порт, который используется для протокола HTTP://. Только, вместо явного отклонения соединения, оно просто игнорируется. ¯\_(ツ)_/¯ Потому, вы получите ошибку TIMED_OUT. Словно сервер на той стороне “лежит” и не подаёт признаков жизни. Протокол HTTPS:// использует для работы 443 порт.

Ошибка 404 при переходе на Портал ФК (ошибка бюрократии)

Ошибка возникает из-за того, что ваша организация отсутствует в Сводном Реестре (СвР) ГИИС Электронного Бюджета. Проверить, включены вы или нет, можно здесь (ищем по ИНН организации, например). И до тех пор, пока вы не будете в этом списке, вы будете получать эту ошибку.

Основная статья

У ИП и КФХ существует отдельный реестр в той же подсистеме. Но в публичном доступе, на просмотр его, нет. Если вы ИП и получаете ошибку 404, вы испытываете схожую проблему, но вам нужен другой реестр. Реестр ИП и КФХ.

Настройка АРМ тут не причём, сам факт отображения этой ошибки уже означает, что у вас произошло успешное соединение по ГОСТ TLS с использованием двухсторонней аутентификации и браузер успешно получил эту страницу. Это исключительно проблема бюрократии и реестров. Портал вас “не узнал”.

Ничего не помогает

Соберите скриншоты возникающих ошибок и подайте обращение в техподдержку.

Продление квалифицированного сертификата электронной подписи на ПОРТАЛе ЗАЯВИТЕЛЯ Информационной системы «Удостоверяющий центр Федерального казначейства» с использованием электронной подписи

Привет, друзья! Квалифицированный сертификат электронной подписи выпускается в среднем на срок чуть больше года и если он у вас подходит к завершению, то не обязательно ждать до последнего и можно за месяц подать заявление на продление ЭЦП на ПОРТАЛе ЗАЯВИТЕЛЯ Информационной системы «Удостоверяющий центр Федерального казначейства» с использованием электронной подписи, которая у вас уже есть. Сделать это намного проще, чем получить сертификат ЭП первый раз, то есть, не имя электронной подписи. Старый сертификат не будет продлён, а произойдёт выдача нового. Идти с документами в казначейство будет не нужно. Если продлеваете сертификат руководителю организации, то доверенность не нужна.

Продление квалифицированного сертификата электронной подписи на ПОРТАЛе ЗАЯВИТЕЛЯ Информационной системы «Удостоверяющий центр Федерального казначейства» с использованием электронной подписи

Переходим по ссылке на официальный сайт казначейства https://fzs.roskazna.ru/.

В блоке «Смена сертификата» жмём на кнопку «Войти по сертификату».

В открывшемся окне выбора сертификата для входа на сайт УФК выбираем электронную подпись, которую мы хотим продлить и жмём ОК..

Картинка с сайта: remontcompa.ru

Ключевой носитель.

Картинка с сайта: remontcompa.ru

Все данные в поля подставятся автоматически, ведь вы продлеваете сертификат, а не подаёте запрос заново.

Субъект РФ.

ТОФК. Управление казначейства вашей области.

Адрес ТОФК. Адрес казначейства.

Организация.

ОГРН.

Далее.

Картинка с сайта: remontcompa.ru

Выбираем, какой сертификат нужен, Должностного лица или Юридического, затем жмём «Внести изменения» или «Не добавлены».

Картинка с сайта: remontcompa.ru

Картинка с сайта: remontcompa.ru

Проверяем все личные данные и сохраняемся.

Картинка с сайта: remontcompa.ru

Формирование сведений для подачи запроса на сертификат.

Внести сведения.

Картинка с сайта: remontcompa.ru

Сохранить и оформить запрос на сертификат.

Картинка с сайта: remontcompa.ru

Картинка с сайта: remontcompa.ru

Создан запрос на новый сертификат.

Сформировать.

Картинка с сайта: remontcompa.ru

Картинка с сайта: remontcompa.ru

Да.

Картинка с сайта: remontcompa.ru

Создаётся новый квалифицированный сертификат электронной подписи. Выберите накопитель для ЭЦП, это может быть флешка, специальное устройство руТокен, раздел HDD или реестр операционной системы.

ОК.

Картинка с сайта: remontcompa.ru

Картинка с сайта: remontcompa.ru

Можете назначить пароль на создаваемый контейнер закрытого ключа. Если хотите пользоваться ЭЦП без пароля, просто нажмите ОК.

Картинка с сайта: remontcompa.ru

Проверяем все данные. 

Введите номер телефона и укажите вашу электронную почту, затем нажмите «Сформировать заявление».

Картинка с сайта: remontcompa.ru

Картинка с сайта: remontcompa.ru

Заявление на выдачу квалифицированного сертификата готово. Сохранить.

Картинка с сайта: remontcompa.ru

Подписать сведения и подать запрос.

Картинка с сайта: remontcompa.ru

Картинка с сайта: remontcompa.ru

Да.

Картинка с сайта: remontcompa.ru

Запрос на получение квалифицированного сертификата ключа проверки электронной подписи в УФК сформирован.

Подписать электронной подписью.

Картинка с сайта: remontcompa.ru

Картинка с сайта: remontcompa.ru

Выбираем наш сертификат и жмём «Подписать».

Картинка с сайта: remontcompa.ru

ОК.

Картинка с сайта: remontcompa.ru

Статус запроса «На проверке».

Картинка с сайта: remontcompa.ru

Приходит письмо с УФК, что запрос на сертификат проходит проверку и статус проверки можно отслеживать по ссылке.

Картинка с сайта: remontcompa.ru

Статус запроса меняется на «На обработке в УЦ ФК».

Картинка с сайта: remontcompa.ru

На почту приходит письмо, что проверка пройдена, сертификат изготовлен и его можно скачать по ссылке.

Картинка с сайта: remontcompa.ru

Читайте продолжение в статье:  Как установить квалифицированный сертификат электронной подписи формате «*.cer» в хранилище «Личное» и какие бывают ошибки при установке данного сертификата.