Внимание:
Настройки внешнего прокси-сервера могут отличаться от настроек, приведенных в настоящей инструкции. Настройки внешнего прокси-сервера не изменяются в рамках работ по замене сертификата сервера TLS, и должны соответствовать настройкам, используемым в организации пользователя.
Для замены сертификата сервера TLS в ПО «Континент TLS Клиент» на АРМ пользователя необходимо:
Организации работающие в Электронном бюджете и использующие пользовательские сертификаты по ГОСТ Р 34.10-2001, необходимо заменить сертификат сервера в настройках программного обеспечения «Континент TLS VPN Клиент». Дополнительно информируем, что при невыполнении указанной настройки вход в систему «Электронный бюджет» со старым сертификатом сервера «Континент TLS VPN» с 09.09.2019 будет невозможен.
3. В окне подтверждения нажимаем ДА
3.png (5.31 КБ) 8282 просмотра
4. Остается один сертификат сервера для работы по ГОСТ 2012
5. Далее скачиваем сертификат ГОСТ Р 34.10-2001
6. Разархивируем и выбираем новый сертификат и нажимаем ОТКРЫТЬ
7. В окне с предупреждением нажимаем ДА
8. В итоге будет присутствовать две строки.
Для сертификатов работающих по ГОСТ 2001 необходимо использовать сертификат сервера lk.budget.gov.ru и использовать ссылку http://lk.budget.gov.ru/udu-webcenter.
Для сертификатов работающих по ГОСТ 2012 необходимо использовать сертификат сервера lk2012.budget.gov.ru и использовать ссылку http://lk2012.budget.gov.ru/udu-webcenter.
Наша команда имеет большой опыт в сопровождении казначейских программ. Мы готовы помочь вам в любом вопросе. Рекомендуйте нас своим коллегам.
21 сен 2022 07:41 #21450
от DenisKa_
На сайте roskazna.gov.ru/gis/ehlektronnyj-byudzhet/, 19 сентября выложили «Открытая часть сертификата на TLS buh2012.budget.gov.ru CER», это он? просто таким сайтом не пользуемся, заходим через eb.cert.roskazna.ru
21 сен 2022 08:22 — 21 сен 2022 08:24 #21451
от Alex_04
«это он?» — А кто нужен-то?
«просто таким сайтом не пользуемся» — Ну так значит это вам и не нужно.
«buh2012.budget.gov.ru» — это «1С в ГИИС ЭБ», грубо говоря. Дальше вам решать — надо оно вам или нет?
21 сен 2022 09:06 #21452
от DenisKa_
Проверил, это именно он, тем кто использует Континент TLS необходимо обновить серверный сертификат до 29го сентября.
21 сен 2022 12:11 — 21 сен 2022 12:21 #21455
от Alex_04
Именно — ТОЛЬКО ИМ.
Ранее Вы писали, что:
ВАМ он НЕ нужен, если верить предыдущему Вашему же посту.
1. Новый серт TLS нужен
только для «1С»
в ГИИС ЭБ (если не ошибаюсь).
2. Для ВСЕХ КАЗНАЧЕЙСКИХ подсистем ГИИС ЭБ и минфиновского БП вход БЕЗ TLS из браузера с поддержкой отечественной криптографии (Яндекс-Браузер, Chromium-GOST) через httpS.
Спасибо сказали: ranger
22 сен 2022 07:17 — 22 сен 2022 08:36 #21457
от DenisKa_
Ну континент tls не работает сам по себе без этого сертификата и соединение не удастся установить с eb.cert.roskazna.ru , де речь про брауезеры без поддержки от. крипт.
так что сертификат НАМ нужен.
22 сен 2022 12:42 — 22 сен 2022 13:00 #21458
от Alex_04
НЕ ВВОДИТЕ В ЗАБЛУЖДЕНИЕ !
://eb.cert.roskazna.ru — без «S» страница НЕ ОТКРЫВАЕТСЯ, от слова «совсем».
Проверил: TLS-клиент НЕ УСТАНОВЛЕН — входит из IE-11 (хотя гораааздо дольше, чем из CG или ЯБ, и тормозит ужааасно), отвечаю!
На счет Edge ничего не могу сказать — нет соответствующей винды для него, и не надо.
Может Вы из Firefox или ещё какого-то «современного» (как рекламы долбят) браузера работаете? Садо-маза — дело сугубо добровольное, или что-то (кто-то?) конкретно в ВАШЕЙ организации категорически запрещает использовать CG или ЯБ. Одно из двух, имхо.
22 сен 2022 15:28 — 22 сен 2022 15:29 #21459
от igor1806
«соединение не удастся установить с eb.cert.roskazna.ru»
А антивирус случайно не блокирует, добавьте в исключения в антивирус eb.cert.roskazna.ru
26 сен 2022 15:36 #21494
от DenisKa_
27 сен 2022 06:41 #21496
от Alex_04
Ну это смотря кто — мы НЕ любим то, с чем у вас нет проблем. ) Как грится — каждому своё.
А какого она года не обратили внимание? Инструкции (и не только) имеют свойство устаревать, а их актуализация также не поспевает за цифровизацией, как скатина за 7-мильными шагами к коммунизму когда-то (
27 сен 2022 07:36 #21497
от andrei28
27 сен 2022 09:05 — 27 сен 2022 09:13 #21498
от DenisKa_
Alex_04
Инструкция прошлого года, её обновили как раз перед переходом с lk.budget на eb.cert, то есть не такая уж и старая, но это конечно не отменяет что возможно она не актуальна.
PS
Проверил у нас работу этого сайта (как http так и https) без континента tls, не работает вообще, яндекс браузер (с настройкой подключаться к сайтам которые используют шифрования ГОСТ ), ff, гугл хром, так что ХЗ.
andrei28
Тот что в 1ом посте у нас работает, на eb.cert.roskazna.ru с ним заходится нормально, континент работает, по остальному не подскажу.
27 сен 2022 12:00 — 27 сен 2022 12:08 #21500
от Alex_04
Проверил только что: у клиента на компе не установлен Континент-ТЛС — из Я.Б по httpS входит без проблем.
Ранее я указывал на браузер
(о котором здесь очень много в разных темах), а не Гугл Хром — это не одно и то же, однако.
Одной из причин невозможности работать м.б.
(особенно горячо «любимый» AVAST, да и с DrWeb отношения не очень гладкие у хром-браузеров).
А самые развернутые, наиподробнейшие мысли и варианты настройки CG, причин ошибок и их решение давно изложил
FarWinter
в созданных им темах (за что ему огромнейшее СПАСИБО!):
QuickCG — Порядок быстрой настройки Chromium GOST
QuickEB — Порядок быстрой настройки Электронного бюджета, ГОСТ 2012
Почитайте — возможно в них найдете и о вашей проблеме и как её решить.
27 сен 2022 13:39 #21505
от DenisKa_
да я не считаю это проблемой, ну ок, спс может быть попробую без антивируса ради интереса
30 сен 2022 06:11 — 30 сен 2022 06:13 #21511
от DenisKa_
Спасибо сказали: andrei28
04 окт 2022 07:22 — 04 окт 2022 07:23 #21517
от DenisKa_
Continent tls client настройка
Информация обновлена: 16.09.2019
Континент TLS VPN клиент 2.0.1440 необходим для работы с сертификатом электронной подписи ГОСТ Р 34.10-2012. Континент TLS VPN клиент 1.0.920.0 не работает с сертификами ГОСТ 2012.
Данный дистрибутив скачан с сайта производителя и имеет ограничение в работе 14 дней. При регистрации Континента через интернет это ограничение снимается. Приобретать лицензию на СКЗИ «Континент TLS VPN Клиент» не надо. Клиенты казначейства также могут получить данное СКЗИ в местном казначействе.
Континет TLS VPN клиент используется для работы с информационными системами:
Инструкция по установке Континент TLS VPN клиент 2. 1440
Скачанный дистрибутив необходимо разархивировать и запустить файл «Континент TLS-клиент.exe»
Далее в появившемся окне отмечаем чекбокс «Я принимаю условия лицензионного соглашения» и нажимаем кнопку «Установить».
После успешной установки предлагается перезагрузить компьютер — соглашаемся.
Далее необходимо зарегистрировать СКЗИ «Континент TLS VPN Клиент». При запуске незарегистрированной программы появится следующее окно.
Если в течение 14 дней не зарегистрировать программу, то по окончании демонстрационного периода работа программы будет приостановлена.
В открывшемся окне заполняем поля: Фамилия, Отчество, Электронная почта, в поле Адрес сервера регистрации (если не было указано) пишем «registration.securitycode.ru», нажимаем «Готово».
После успешной регистрации всплывает окно. Ограничение демонстрационного периода (14 дней) снято.
Для регистрации Континент TLS Клиент работникам казначейства (компьютер находится в локальной сети казначейства) необходимо внести изменения (выделены красным) в файл PublicConfig.json.
Настройка СКЗИ «Континент TLS VPN Клиент» для работы в Электронном бюджете
В окне добавления ресурса прописываем следующее:
Нажимаем «Сохранить». В соединениях отобразиться «lk2012.budget.gov.ru» или/и «lk.budget.gov.ru».
Получаем страницу с такими настройками. Нажимаем «Сохранить».
В результате добавления сертификатов видим следующее.
Далее проверяем вкладку пользовательские сертификаты. Если вашего сертификата там нет, то его необходимо установить через КриптоПро. Инструкция по установке личного сертификата в КриптоПро тут. Если сертификат установлен, то видим следующее.
На панели задач внизу справа нажать правой кнопкой мыши на значок «Континент TLS Клиента» и выбрать пункт «Сброс соединений».
Инструкция по установке TLS-клиента Континент
Инструкция обновлена 22.01.2020.
Эта инструкция предназначена для установки и настройки «Континент TLS-клиента» (далее – TLS-клиент) на рабочее место, на котором еще не установлен TLS-клиент и имеется лицензия КриптоПро CSP 4.0.
1. Проверка электронной подписи.
Для работы с АИС требуется электронная подпись (далее – ЭП). Если Вы еще не получали ЭП, обратитесь в Удостоверяющий центр (ГУИТ): http://uc.omskportal.ru (воспользуйтесь Инструкцией по работе с сайтом ГУИТа).
3. Установка и регистрация TLS-клиента.
Затем «Далее» — «Поместить все сертификаты в следующее хранилище» — «Обзор».
В открывшемся окне выберите «Доверенные корневые центры сертификации» и нажмите «Ок» — Далее — «Готово».
При появлении окна «Предупреждение безопасности» нажмите «Да».
Появится сообщение об успешном выполнении импорта.
Нажмите «Сохранить». Если требуется, повторите этот шаг для других АИС.
5. Проверка доступности АИСов.
Откройте в браузере (Желательно Google Chrome или Mozilla Firefox). В адресной (не поисковой) строке браузера введите адрес АИС:
При появлении ошибок воспользуйтесь Инструкцией по устранению ошибок. Если Вы не нашли решение в Инструкции по устранению ошибок, то можете обратиться в РИАЦ.
8-960-990-83-79 — Татьяна Владимировна;
8-960-980-64-53 — Анна Александровна.
Что такое скзи континент tls vpn клиент
TLS – криптографический протокол, обеспечивающий защищенную передачу данных между узлами в сети интернет. С ним вы можете ознакомиться здесь или здесь.
Ключевые задачи TLS:
Данный протокол широко используется в приложениях, работающих с сетью интернет, таких как веб-браузеры, электронная почта, обмен мгновенными сообщениями и IP-телефония (VoIP).
Задача
В нашем случае необходимо было обеспечить защищенный с помощью ГОСТ-шифрования доступ к веб-ресурсу.
Решение
Ниже представлена схема и описание компонентов.
Для решения данной задачи был выбран продукт компании «Код Безопасности» «Континент TLS VPN», соответствующий всем вышеперечисленным условиям.
Стоит отметить, что на момент проектирования это был единственный сертифицированный ПАК, осуществляющий шифрование по ГОСТ с использованием протокола TLS. В дальнейшем ожидается получение сертификата ПАК ViPNet TLS от «ИнфоТеКС».
Основные элементы системы:
Описание элементов
СКЗИ «Континент TLS VPN Клиент» — TLS-клиент представляет собой устанавливаемое на компьютере удаленного пользователя программное обеспечение, функционирующее совместно с TLS-сервером. TLS-клиент предназначен для реализации защищенного доступа удаленных пользователей к веб-ресурсам корпоративной сети по каналам связи общих сетей передачи данных.
NetScaler — это контроллер доставки приложений, обеспечивающий гибкую доставку сервисов для традиционных, контейнерных и микросервисных приложений из центра обработки данных или любого облака. Балансировщик на основе Citrix Netscaler раскидывает сессии HTTPS между кластерами серверов TLS. Ответы от WEB сервера также собирает балансировщик.
СКЗИ «Континент TLS VPN Сервер» — сервер предназначен для обеспечения защищенного доступа удаленных пользователей к защищаемым ресурсам.
Порядок настройки
Первая сложность возникла при запуске TLS-серверов. Появилось сообщение «No controller found». Совместно со специалистами компании «Код Безопасности» была выявлена довольно нестандартная проблема. Оказалось, ПАК отказался работать в ЦОДе с мониторами фирмы BenQ, а с любыми другими работал без проблем.
Заказчик в проекте использовал два сервера TLS. Оба сервера TLS должны работать в состоянии active-active.
На одном сервере создается мастер-ключ, на другие серверы он импортируется. Мастер-ключ (ключ кластера) предназначен для решения следующих задач:
При экспорте мастер-ключа сервер TLS принял только единственную флешку от Transcend 3.0 4Гб. Никакие флешки, даже те, что шли в комплекте от «Кода Безопасности», к сожалению, не подошли.
Импорт сертификатов
Далее необходимо подключиться к серверу TLS по веб-морде, определить защищаемый ресурс и установить сертификаты для работы серверов (корневой сертификат УЦ, сертификат сервера, сертификат для удаленного управления сервером, сертификат администратора и CRL). Все эти сертификаты должны быть выданы одним УЦ. Для первого подключения по веб-морде нужно использовать КриптоПро CSP, а не «Код Безопасности CSP. При последующих сменах сертификатов, лучше сначала удалить корневой сертификат УЦ, а после менять другие сертификаты.
Из-за невозможности сразу сделать боевые сертификаты было принято решение проверить работоспособность кластера TLS серверов на сертификатах, сделанных на тестовом УЦ Криптопро.
На TLS-серверах есть возможность отключить аутентификацию пользователя. При этом защищенный канал будет создаваться при наличии клиента TLS и установленных сертификатов (корневого, сертификата сервера и CRL), т.е. личного сертификата для работы не требуется.
Проверка подключения
Изначально возникли проблемы с подключением по защищенному каналу к защищаемому ресурсу с помощью сертифицированной версии TLS-клиента от «Кода Безопасности». Получилось подключиться к защищаемому ресурсу с использованием TLS-клиента 2.0 от «Кода Безопасности», но данная версия пока находится на этапе сертификации. Проблема заключалась в неправильном редиректе на защищаемом ресурсе, который не проходил, потому что TLS-серверы не совсем корректно отрабатывали данное правило в релизной версии прошивки. Для решения проблемы необходимо было перепрошивать оба сервера TLS и поднимать сделанные бекапы.
Порядок перепрошивки следующий:
После проделанных операций заработал сертифицированный TLS-клиент от «Кода Безопасности», на работе которого в системе настаивал заказчик. Но вот в чем фокус, он не заработал в браузере Chrome, работа в котором была просто необходима заказчику, можно даже сказать, что все затачивалось под него. Был проведен еще ряд тестирований совместно с поддержкой «Кода Безопасности», и, как результат, заработало все на версии чуть более новой (1.2.1073), чем сертифицированная (1.2.1068).
Кстати, еще один из подводных камней при настройке любого клиента TLS от «Кода Безопасности» (кроме версии 2.0) – они не работают на виртуальных машинах. При тестировании часто использовались виртуальные машины, это еще немного усложнило процесс диагностики.
Выводы
В конце хотелось бы подытожить. Продукт несложный в настройке и разворачивании. Есть еще над чем работать разработчикам, это касается и сервера, и клиента. Но в целом продукт рабочий и работает в кластерной конфигурации. Система на текущий момент работает без сбоев и держит нагрузку. Надеемся, что наши набитые шишки помогут вам быстрее и эффективнее разворачивать «Континент TLS».
Настройка скзи континент tls vpn клиент
В связи с окончанием срока действия сертификата сервера для программного обеспечения «Континент TLS VPN Сервер», используемого в ФГИС ЦС, с целью дальнейшей работы в личном кабинете ФГИС ЦС юридическому лицу необходимо установить новый сертификат, который размещен на Портале ФГИС ЦС в разделе «База знаний» — подраздел «Обучающие материалы» и доступен для скачивания по следующей ссылке: сертификат сервера «Континент TLS VPN Сервер» — https://fgiscs.minstroyrf.ru/api/values/GetFileContent/a6ed2f31-0b48-40fd-ac20-455f34bf56e1
Для корректной установки сертификата необходимо ознакомиться с Инструкцией по переустановке сертификата сервера «Континент TLS VPN Сервер», размещенной по ссылке: https://fgiscs.minstroyrf.ru/api/values/GetFileContent/9395041d-0bdd-4e5b-a7e1-dccf8e79bd47
Сертификат Удостоверяющего центра остался неизменным и размещен по ссылке: https://fgiscs.minstroyrf.ru/api/values/GetFileContent/eb259d6e-4362-4978-82e1-cd033552db34
Напоминаем, что для оказания услуг по технической поддержке пользователей ФГИС ЦС в части предоставления консультаций по вопросам, возникающим в процессе подключения и работы с помощью средств криптографической защиты информации (СКЗИ), для всех пользователей доступна регистрация в специализированном «Личном кабинете пользователя СКЗИ» на сайте: https://skzi.infosec.ru/, где также можно найти контактные телефоны и адреса электронной почты, по которым можно получить оперативную консультационную помощь.
Вам может быть интересно
На интерактивной карте ФГИС ЦС пополняется справочная информация о размещении действующих месторождений и участков разработки нерудных полезных ископаемых, используемых в качестве строительных материалов и сырья для их производства
Агрегатор торговых площадок может повысить наполняемость ФГИС ЦС
Агрегатор торговых площадок может стать механизмом по повышению наполняемости Федеральной государственной информационной системы ценообразования в строительстве (ФГИС ЦС), заявил в четверг замначальника Главгосэкспертизы Сергей Лахаев
Минстрой России утвердил изменения и дополнения в ФСНБ-2020
Минстрой России утвердил пятые по счету изменения и дополнения в федеральную сметную нормативную базу 2020 года. Соответствующие приказы, № 50/пр и № 51/пр, были подписаны главой Минстроя России Иреком Файзуллиным 9 февраля 2021 года.