Proprietarii semnătură electronică de multe ori nu-și pot aminti parola. Situația este tristă, dar nu fără speranță. Cum să restabiliți accesul la semnătură - citiți articolul.
Parola sau codul PIN pentru o semnătură electronică (ED sau EDS) este similar cu codul PIN pentru un card bancar. Protejează semnătura de fraudatori; aceasta trebuie reținută sau notă pe o bucată de hârtie și ținută departe de semnătura în sine. Dar, spre deosebire de codul PIN al cardului, parola ES este rar folosită și este adesea uitată.
Să-l luăm pe economistul Vasily. A primit o semnătură electronică, a instalat-o pe computerul său, a stabilit o parolă, a bifat caseta „Amintiți-vă” - și asta este tot, nu a mai introdus niciodată această combinație. Dar șase luni mai târziu, Vasily s-a mutat într-un alt birou și s-a așezat la un computer nou. A încercat să-și pună semnătura pe ea, dar nu a funcționat - a uitat parola pentru semnătura electronică și a pierdut bucata de hârtie pe care a notat simbolurile.
Vasily nu este singurul în probleme - mulți proprietari de semnături electronice nu își pot aminti sau nu știu de unde să obțină parola de semnătură electronică. În acest articol vă vom spune ce să faceți într-o astfel de situație și când trebuie să obțineți un nou ES.
Ce este parola și codul PIN pentru o semnătură electronică?
Pe semnătura electronică se instalează unul dintre tipurile de protecție: parolă sau cod PIN. Să ne dăm seama cum diferă.
Parola pentru containerul de semnătură electronică
Parola este folosită pentru o semnătură salvată în memoria computerului. Protejează containerul de semnătură electronică - un folder cu fișiere de semnătură: certificat, chei private și publice.
Proprietarul semnăturii digitale întâlnește parola pentru prima dată când eliberează certificatul de semnătură digitală și îl scrie în registrul computerului sau pe o unitate flash obișnuită (nu un token). Trebuie să veniți singur cu o parolă - când înregistrați, programul CSP CryptoPro va afișa o fereastră în care trebuie să introduceți o combinație de numere, simboluri și litere latine și ruse.
În plus, această parolă va fi solicitată la instalarea unei semnături pe un computer, copierea acesteia și de fiecare dată când este utilizată - semnarea documentelor, lucrul pe o platformă de tranzacționare electronică sau conectarea la servicii. Dacă, desigur, nu bifați caseta de selectare „Reține parola”.
Cod PIN din simbolul de semnătură electronică
Codul PIN este folosit pentru o semnătură electronică, care este înregistrată pe un suport sub forma unei unități flash USB - pe un token. Pinul protejează jetonul, așa că dacă fraudatorii fură semnătura digitală, nu vor putea folosi semnătura în sine.
Pentru prima dată, proprietarul semnăturii digitale trebuie să introducă un cod PIN la emiterea unei semnături - atunci când aceasta este scrisă pe token. Dacă media este nouă, atunci trebuie să introduceți valoarea standard „din fabrică”, de exemplu, 12345678 pentru Rutoken. Este mai bine să schimbați imediat valoarea „fabrică” cu propria dvs., astfel încât atacatorii să nu o poată prelua.
După aceasta, va trebui să introduceți codul PIN pentru a instala certificatul de semnare pe computer, să utilizați și să copiați semnătura electronică și să lucrați cu ea pe un computer nou. Pentru a evita introducerea combinației de fiecare dată, puteți face clic pe caseta de selectare „Reține parola”. Principalul lucru în acest caz este să nu uitați succesiunea de caractere.
Dacă nu vă amintiți parola și PIN-ul semnăturii, nu le veți putea recupera. Nici măcar centrul de certificare care a emis certificatul nu va ajuta în acest sens - nu stochează parole digitale. Prin urmare, trebuie să încercați să vă amintiți combinația prețuită sau să o găsiți.
Ți-ai uitat parola de semnătură
Parola pentru containerul de semnătură electronică poate fi introdusă de un număr nelimitat de ori. Prin urmare, puteți selecta în siguranță toate combinațiile familiare pentru semnătura dvs.: date importante sau codul din SMS-ul trimis de autoritatea de certificare la emiterea certificatului. Poate că acest cod special a fost instalat accidental pe container ca protecție.
Dacă nu puteți ghici parola, atunci accesul la certificat poate fi restabilit în unele cazuri. Dacă ați salvat anterior parola pe computer făcând clic pe caseta de selectare „Reține”, atunci uneori un astfel de container poate fi copiat fără a introduce parola. Încercați să copiați folderul cu toate fișierele de semnătură pe alt dispozitiv sau simbol. Dacă nu vi se cere o parolă în timpul procesului, atunci puteți continua să lucrați cu semnătura electronică.
Dacă nu puteți fie să copiați semnătura, fie să vă amintiți parola EDS, atunci mai rămâne un singur lucru de făcut - obțineți certificat nou EP. Pentru a face acest lucru, trebuie să îl revocați pe cel vechi la centrul de certificare și să trimiteți documente și o cerere pentru emiterea unuia nou. Merită să setați o parolă pe noul container de semnături care este ușor de reținut, dar pe care escrocii nu o vor ghici.
De asemenea, este imposibil să recuperați un cod PIN simbol uitat. Din acest motiv, jetonul este un purtător de încredere al semnăturii digitale: dacă este furat de escroci, codul PIN va proteja semnătura de aceștia.
Cu toate acestea, pentru proprietarul unei semnături electronice există două modalități de a vă ajuta să alegeți combinația potrivită.
Soluția #1. Parola din fabrică.
În mod implicit, noul token este setat la codul PIN standard de la producător. Îl puteți introduce pentru a restabili accesul la certificatul de semnătură digitală. Diferite valori vor funcționa pentru diferite medii:
- „Rutoken”, eSmart, JaCarta și JaCarta LT - 12345678,
- eToken - 1234567890, eToken,
- Jacarta SE - 1111111 pentru partea PKI și 0987654321 pentru partea GOST.
Dacă combinația „fabrică” nu se potrivește cu simbolul, înseamnă că a fost schimbată la înregistrarea certificatului. Apoi, există o singură modalitate de a returna accesul la semnătura electronică - de a selecta simbolurile corecte.
Soluția #2. Selectarea unui cod PIN și a drepturilor de administrator
Există zece încercări de a găsi codul PIN pentru token. După a zecea introducere incorectă de caractere, acesta va fi blocat.
Uneori, numărul de încercări de introducere poate fi mărit. Pentru a face acest lucru, trebuie să vă conectați la token ca administrator și să deblocați codul PIN:
- Accesați panoul de control al simbolurilor. De exemplu, dacă utilizați mediul Rutoken, atunci trebuie să mergeți la Start - Panoul de control - Panoul de control „Rutoken” - fila „Administrare”.
- Introduceți codul PIN de administrator. Valoarea standard este stabilită de producător: pentru Rutoken - 87654321, pentru Jacarta SE - 00000000 pentru partea PKI și 1234567890 pentru partea GOST. Dacă valoarea implicită de administrator nu funcționează, înseamnă că a fost schimbată și trebuie să vă amintiți combinația instalată. Există zece încercări de a face acest lucru, apoi jetonul va fi complet blocat.
- Deblocați codul PIN al simbolului. Pentru a face acest lucru, în fila „Administrare”, faceți clic pe „Deblocare”.
De asemenea, dacă se cunoaște codul PIN al administratorului, atunci puteți reseta încercările de introducere într-un alt mod - prin CryptoPro CSP:
- Deschideți CryptoPro CSP, accesați fila „Hardware” și faceți clic pe butonul „Configurați tipurile media”.
- Selectați jetonul dvs. Deschideți proprietățile sale și accesați secțiunea „Informații”.
- Deblocați codul PIN.
După deblocare, contorul încercărilor de intrare va fi resetat. Dar chiar și atunci, până când nu se introduce combinația corectă pentru token, accesul va fi refuzat și nu se va putea folosi semnătura.
Dacă nu vă amintiți sau modificați combinația necesară, va trebui să obțineți un nou certificat de semnare de la CA: revocați vechiul certificat și obțineți unul nou. Puteți utiliza vechiul token - puteți formata media, apoi vechiul cod PIN și certificatul vor fi șterse. Rețineți că puteți formata jetoane ale mărcilor Rutoken, eToken, JaCarta LT fără drepturi de administrator. Dar pentru a formata media Jacarta SE trebuie să cunoașteți PIN-ul administratorului.
Când înregistrați o semnătură pe un nou token, vă recomandăm să schimbați codul PIN standard al purtătorului cu al dvs. Acest lucru, desigur, poate duce la pierderea combinației din nou. Dar este mai bine să obțineți un nou certificat decât să suferi de escrocii care au reușit să pirateze valoarea „de fabrică” a jetonului și au semnat documente importante cu semnătura electronică furată.
Adesea, după instalarea certificatelor SSL, mulți utilizatori întâmpină erori care împiedică funcționarea corectă a protocolului HTTPS securizat.
Vă sugerăm să căutați modalități de a elimina astfel de erori.
Ce este SSL?
SSL (Secure Socket Layer) este un protocol de Internet pentru crearea unei conexiuni criptate între un utilizator și un server care garantează transferul securizat de date.
Când un utilizator vizitează un site web, browserul solicită serverului informații despre prezența unui certificat. Dacă certificatul este instalat, serverul răspunde pozitiv și trimite o copie a certificatului SSL către browser. Browserul verifică apoi certificatul, al cărui nume trebuie să se potrivească cu numele site-ului, cu perioada de valabilitate a certificatului și prezența unui certificat rădăcină emis de autoritatea de certificare.
Cauzele erorilor de conexiune SSL
Când certificatul funcționează corect, bara de adrese a browserului arată cam așa:
Dar dacă există erori, arată puțin diferit:
Există multe motive pentru care apar astfel de erori. Cele principale includ:
- Data și ora incorecte pe dispozitiv (computer, smartphone, tabletă etc.);
- Certificat SSL neîncrezător;
- Firewall sau antivirus care blochează site-ul;
- Include protocol experimental de Internet QUIC;
- Lipsa actualizărilor sistemului de operare;
- Utilizarea unui certificat SSL versiunea 3.0 învechită;
- O eroare „CSR invalid” apare la generarea unui certificat din panoul de control al furnizorului de cloud.
Să ne uităm la fiecare dintre ele mai detaliat.
Probleme cu data și ora
Dacă data și ora sunt setate incorect pe dispozitiv, o eroare de conexiune SSL este inevitabilă, deoarece la verificarea certificatului se verifică perioada de valabilitate a acestuia. Browserele moderne sunt capabile să detecteze singure o astfel de eroare și să afișeze un mesaj despre data sau ora setate incorect.
Pentru a corecta această eroare, trebuie doar să setați dispozitivul la ora curentă. După aceasta, trebuie să reîncărcați pagina sau browserul.
Certificat SSL neîncrezător
Uneori, când intri pe un site care este protejat Protocolul HTTPS, apare eroarea „Certificatul SSL al site-ului nu este de încredere”.
Unul dintre motivele apariției unei astfel de erori, ca și în cazul precedent, poate fi momentul greșit. Cu toate acestea, există un al doilea motiv - browserul nu poate verifica lanțul de încredere al certificatului, deoarece certificatul rădăcină lipsește. Pentru a scăpa de această eroare, trebuie să descărcați pachet special Autoritatea de certificare primară GeoTrust care conține certificate rădăcină. După descărcare, treceți la instalare. Pentru a face acest lucru:
- Apăsați combinația de taste Win+R și introduceți comanda certmgr.msc, faceți clic pe „Ok”. Autoritatea de certificare se va deschide în Windows.
- Extindeți lista „De încredere centrii radiculari certificare" din stânga, selectați folderul "Certificate", faceți clic dreapta pe el și selectați "Toate sarcinile - import".
- Se va lansa Expertul de importare a certificatelor. Faceți clic pe „Următorul”.
- Faceți clic pe butonul „Răsfoiește” și indicați certificatul descărcat anterior. Faceți clic pe „Următorul”:
- În următoarea casetă de dialog, indicați că certificatele trebuie plasate în autorități de certificare rădăcină de încredere și faceți clic pe „Următorul”. Importul ar trebui să se termine cu succes.
După pașii de mai sus, puteți reporni dispozitivul și verifica afișarea site-ului în browser.
Firewall sau antivirus care blochează site-ul
Unele site-uri web sunt blocate de Windows Firewall. Pentru a verifica, puteți dezactiva firewall-ul și încercați să vizitați site-ul dorit. Dacă certificatul SSL începe să funcționeze corect, atunci problema este cu firewall-ul. În browserul Internet Explorer, puteți adăuga un site care nu funcționează corect la lista de site-uri de încredere și problema va dispărea. Cu toate acestea, acest lucru va reduce securitatea dispozitivului dvs., deoarece este posibil ca conținutul site-ului să nu fie sigur, iar controalele site-ului sunt acum dezactivate.
SSL poate fi blocat și de un program antivirus. Încercați să dezactivați verificarea protocolului SSL și HTTPS în antivirusul dvs. și să vizitați site-ul. Dacă este necesar, adăugați site-ul la lista de excluderi antivirus.
Protocolul experimental QUIC inclus
QUIC este un nou protocol experimental care este necesar pentru a se conecta rapid la Internet. Scopul principal al protocolului QUIC este să accepte mai multe conexiuni. Puteți dezactiva acest protocol în configurația browserului dvs.
Vă arătăm cum să dezactivați QUIC folosind browserul Google Chrome ca exemplu:
- Deschideți browserul și introduceți comanda chrome://flags/#enable-quic;
- Fereastra care apare va evidenția opțiunea: Protocol QUIC experimental. Sub numele acestei opțiuni veți vedea un meniu derulant din care trebuie să selectați opțiunea: Dezactivare.
- După aceea, pur și simplu reporniți browserul.
Această metodă funcționează atât pe Windows, cât și pe Mac OS.
Lipsa actualizărilor sistemului de operare
Probleme cu certificatele SSL pot apărea și din cauza faptului că nu au fost instalate actualizări pe sistemul dvs. de operare de mult timp. Acest lucru este valabil mai ales pentru versiunile învechite de Windows (7, Vista, XP și versiuni anterioare). Instalați cele mai recente actualizări și verificați dacă SSL funcționează.
Utilizarea unui certificat SSL versiunea 3.0
Unele site-uri utilizează protocolul SSL învechit versiunea 3.0, pe care browserele nu îl acceptă. Cel puțin implicit. Pentru ca browserul dvs. să accepte SSL vechi, trebuie să faceți următoarele (folosind browserul Google Chrome ca exemplu):
- Deschideți browserul și accesați Setări.
- Derulați în jos pagina Setări și faceți clic pe Avansat.
- În secțiunea „Sistem”, găsiți opțiunea „Setări server proxy” și faceți clic pe ea.
- Se va deschide o fereastră. Accesați fila „Avansat”.
- În această filă veți vedea o casetă de selectare „SSL 3.0”.
- Bifați caseta de selectare, faceți clic pe „Ok” și reporniți browserul.
Erori „CSR invalid” la generarea unui certificat din panoul de control al furnizorului de cloud
În timpul procesului de activare a certificatului, este posibil să întâmpinați eroarea „CSR invalid”. Această eroare apare din următoarele motive:
- FQDN nevalid ( Numele complet domeniu) ca Nume comun (în unele panouri de control acest câmp poate fi numit și Nume de gazdă sau Nume de domeniu). Acest câmp trebuie să conțină numele de domeniu complet calificat din formularul domain.com sau subdomain.domain.com (pentru subdomenii). Numele de domeniu este specificat fără https://. Numele intranet (text.local) nu pot fi folosite ca această valoare. În cererea de certificate wildcard, numele de domeniu trebuie specificat ca *.domain.com.
- CSR-ul sau parola conține litere și numere non-latine. CSR acceptă numai litere și cifre latine - caracterele speciale sunt interzise. Această regulă se aplică și parolelor pentru perechea CSR/RSA: acestea nu trebuie să conțină caractere speciale.
- Codul de țară este incorect. Codul de țară trebuie să fie un cod ISO 3166-1 din două litere (de exemplu, RU, SUA etc.). Este indicat cu două litere mari.
- Nu există suficiente caractere în șirul de control. Solicitarea CSR trebuie să înceapă cu linia de control ——BEGIN CERTIFICATE REQUEST—— și să se termine cu linia de control ——END CERTIFICATE REQUEST——. Ar trebui să existe 5 cratime de fiecare parte a acestor linii.
- Există spații la sfârșitul sau începutul liniei CSR. Spațiile la sfârșitul rândurilor nu sunt permise în CSR.
- Lungimea cheii este mai mică de 2048 de biți. Lungimea cheii trebuie să fie de cel puțin 2048 de biți.
- Codul CRS pentru un certificat pentru un nume de domeniu are un nume SAN. Codul CSR pentru un certificat destinat să protejeze un singur nume de domeniu nu trebuie să conțină SAN (Subject Alternative Names). Numele SAN sunt specificate pentru certificatele cu mai multe domenii (UCC).
- Când certificatul a fost reemis sau reînnoit, câmpul Nume comun s-a schimbat. Acest câmp nu trebuie schimbat.
Antipireticele pentru copii sunt prescrise de un medic pediatru. Dar sunt situații îngrijire de urgență pentru febră, când copilul trebuie să i se administreze imediat medicamente. Apoi, părinții își asumă responsabilitatea și folosesc medicamente antipiretice.
Ce este permis să fie dat sugarilor? Cum poți scădea temperatura la copiii mai mari? Ce medicamente sunt cele mai sigure?
Adresă globală: crl.roskazna.ru/crl/fk01.crl
Adresă locală (pentru UFK): crl.fsfk.local/crl/fk01.crl
O altă soluție la această eroare
Eroare 404 Soluție: totul este greșit cu setările (vezi mai sus)
Eroare 434 Soluție: În primul rând, acordați atenție corectitudinii adresei introduse (lk.budget.gov.ru/udu-webcenter), în special litera „c” dacă adresa a fost copiată de undeva. Verificați setările Continent TLS și browser. (Totul mai sus). În cazuri rare, firewall-ul se blochează (l-am văzut doar pe un PC cu comodo, avast Portul în sine nu trebuie deschis decât dacă este necesar, trebuie doar să permiteți TLS Continent să funcționeze normal). Ce trist este. Repornirea serviciului Continent TLS uneori ajută.
Eroare 500: Eroare pe partea serverului. Actualizează pagina în browser
Eroare 502: Problemă globală legată de funcționarea serverului
Trebuie să contactați sistemul. catre admin. Soluție: reporniți serviciul Continent TLS Sau pur și simplu reîmprospătați pagina în browser.
Trebuie să contactați registratorul FC. Soluţie: Certificatul inclus cu aplicația nu este instalat (scris mai sus) sau nu este selectat certificat corect
-
. În fereastra de selecție a certificatelor din dreapta există numere de serie care facilitează identificarea certificatului solicitat. Pentru a reselege un certificat după o eroare, este recomandabil să reporniți serviciul „Continent TLS”.Eroare 401 Soluție: verificați setările „Continent TLS”.
-
Repornirea serviciului Continent TLSEroare 403 Soluție: Puteți instala certificatul rădăcină în stocarea locală (calculator local)
, verificați suplimentar disponibilitatea listei de revocare a certificatelor fk01.crl, poate din anumite motive calea este blocată.Adresă globală:
crl.roskazna.ru/crl/fk01.crlAdresă locală (pentru UFK):
crl.fsfk.local/crl/fk01.crl
-
O altă soluție la această eroareSoluție: totul este greșit cu setările (vezi mai sus).
-
Eroare 434Soluție: În primul rând, acordați atenție corectitudinii adresei introduse (lk.budget.gov.ru/udu-webcenter), în special litera „c” dacă adresa a fost copiată de undeva. Verificați setările Continent TLS și browser. (Totul mai sus). În cazuri rare, firewall-ul se blochează (l-am văzut doar pe un PC cu comodo, avast Portul în sine nu trebuie deschis decât dacă este necesar, trebuie doar să permiteți TLS Continent să funcționeze normal). Ce trist este. Repornirea serviciului Continent TLS uneori ajută.
-
Eroare 500: Eroare pe partea serverului. Actualizează pagina în browser
-
Eroare 502: Problemă globală legată de funcționarea serverului
-
Trebuie să contactați sistemul. catre admin.
-
Trebuie să contactați registratorul FC. Soluţie:
Certificatul inclus cu aplicația nu a fost instalat (așa cum este scris mai sus) sau a fost selectat certificatul greșit. În fereastra de selecție a certificatelor din dreapta există numere de serie care facilitează identificarea certificatului solicitat. Pentru a reselege un certificat după o eroare, este recomandabil să reporniți serviciul „Continent TLS”.
„Buget electronic” trebuie să verificați setările:
intrarea la cont personal efectuat prin link http://lk. buget. guvern. ru/ udu- centru web;
verificați setările „Continent TLS VPN Client”.
După adăugarea certificatului TLS Continent, câmpul Certificat trebuie să indice „<.budget.gov.ru>
verificați setările browserului dvs.
Câmpul „Nu utilizați proxy pentru” nu trebuie să conțină valoarea 127.0.0.1.
« Bugetul electronic»
401 Eroare de autorizare. Eroare la stabilirea unui canal securizat folosind protocolul TLS.
Pentru Windows XP:
Start > Run > mmc > console > adăugați sau eliminați un snap-in > adăugați „certificate” (Fig. 3) > contul meu > Terminat > OK > extindeți lista > deschideți linia „autorități rădăcină de încredere” - „certificate” > într-o zonă goală a ferestrei cu certificate, faceți clic dreapta și selectați (Fig. 4)> toate sarcinile> import>
Figura 3
Figura 4
Pentru Windows 7:
Start > Executare > mmc > fișier > adăugați sau eliminați un snap-in > adăugați snap-in-ul „certificate” (Fig. 5) > adăugați > contul meu > Terminare > OK > extindeți conținutul și accesați linia „rădăcină de încredere”. autorități” - „certificate” ( Fig. 6) > într-o zonă goală a ferestrei cu certificate, faceți clic dreapta și selectați > toate sarcinile > import > selectați certificatul necesarși instalați.
Figura 5
Tocmai m-am autentificat de pe telefonul meu inteligent. browser UC.
Pur și simplu cer certificat la intrare, eu îl indic pe cel care mi-a fost dat de administrație.
Și înjură - ca un certificat vechi sau nefuncțional, dar în teorie nu există altă cale.
Așteptați puțin - vă conectați la contul personal de pe telefon fără programe suplimentare?
Atunci de ce să te deranjezi să aranjezi toate astea?\
Doar că există un client TLS acolo și se pare că numai după ce ridică sesiunea, te poți conecta.
Cele mai recente versiuni de Chrome au interzis SSL3, din câte îmi amintesc. Au găsit o gaură serioasă în ea.
Această interdicție obligă browserul să folosească TLS, iar site-ul pe care încercați să îl accesați fie nu acceptă deloc TLS, fie versiunea sa veche, despre care se va plânge și Chrome. Soluție
1. Tastați „Chrome://flags” în bara de adrese
2. Găsiți opțiunea „Suport pentru versiunea SSL/TLS minimă””
3. Bifați opțiunea „SSLv3”.
Această cârjă va face Chrome să nu înjure SSL3 și ar trebui să înceapă să funcționeze cu site-ul dvs. Trebuie doar să rețineți că toți băieții normali opresc SSL3 din cauza găurilor descoperite recent.
În general, cu aceste ultime „anulări” ale protocoalelor SSL și versiunea timpurie a TLS, simt că vom avea mult mai mult de mâncare.
Avem o pasiune generală pentru FIPS. Am trecut serverele de testare în modul numai conform cu FIPS și _acest_ a început... Nici măcar nu știu cum să-l descriu :) Am ales tot felul de lucruri urâte din locuri aparent fără legătură pentru a doua săptămână acum.
Am reușit să intru azi în LC. A trebuit să descarc Firefox ultima versiune(Am încercat prin IE înainte, nu a funcționat), în setările sale, setați serverul proxy 127.0.0.1 portul 8080 conform instrucțiunilor și bifați caseta de selectare „Utilizați pentru toate serviciile”. După aceasta, introduceți Jetonul din semnătura electronică în computer, accesați site-ul web budget.gov.ru, în dreapta sus „Autentificare”, apoi „Autentificare în contul personal al sistemului de buget electronic”. Apare fereastra sistemului Mozilla care vă cere să specificați un certificat, îl selectez pe cel emis de Trezoreria Federală și introduc imediat parola pentru containerul de certificate. Așteptăm OK și intrăm în contul tău personal.
din cerințele pentru armătură:
2. Pentru a introduce contul personal al utilizatorului sistemului „Electronic”.
buget" trebuie utilizată una dintre următoarele versiuni web
browser:
Internet Explorer versiunea 10.0 sau mai mare;
Mozilla Firefox versiunea 32.0 sau mai mare;
Google Chrome versiunea 38.0 sau mai recentă;
Opera versiunea 25.0 sau mai mare.
A avut cineva experiență cu configurarea?
Nu este clar din ce browsere să te autentifici, Chrome se plânge că este un protocol de securitate neacceptat, Firefox pur și simplu nu se încarcă, noua Opera blochează încărcarea.
Răspunsul a fost deja dat mai sus.
Și de ce să configurați un proxy prin loopback dacă tot accesați site-ul web lk.budget.gov.ru?
Doar o adresa lk.budget.gov.ru
Răspunsul a fost deja dat mai sus.
Doar o adresa lk.budget.gov.ru
Am citit aceste instructiuni, am instalat totul ca atare, intru proxy 127.0.0.1, internetul dispare, il elimin, apare
S-a ciocnit. Citiți documentul Ghid de configurare a stației de lucru a utilizatorului.doc (ar fi trebuit să fie emis pentru UFC sau descărcat)
Răspunsul a fost deja dat mai sus.
Apoi se stabilește o conexiune VPN securizată prin clientul Continent TLS. Se pare că nu ai citit deloc instrucțiunile.
Și cel mai important: contul tău personal se află la http://lk.budget.gov.ru/udu-webcenter, doar o adresa lk.budget.gov.ru nu merge! Dezvoltatorii proști nu au făcut redirecționarea.
Dacă înțelegeți acest lucru, ajutați-mă cu accesul de la distanță, scrieți-mi pe e-mail
Am reușit să intru azi în LC. A trebuit să descarc cea mai recentă versiune de Firefox (am încercat-o prin IE înainte, nu a funcționat), în setările sale, să setez serverul proxy 127.0.0.1 portul 8080 conform instrucțiunilor și să bifez „Utilizare pentru toate serviciile” caseta de selectare. După aceea, introduceți Jetonul din semnătura electronică în computer, accesați site-ul web budget.gov.ru, în dreapta sus „Autentificare”, apoi „Conectați-vă la contul personal al sistemului de buget electronic”. Apare fereastra sistemului Mozilla care vă cere să specificați un certificat, îl selectez pe cel emis de Trezoreria Federală și introduc imediat parola pentru containerul de certificate. Așteptăm OK și intrăm în contul tău personal.
Am descărcat toate versiunile de Chrome, am descărcat mozillas, le-am actualizat, le-am încercat prin Yandex și Opera, aceeași eroare
Salutare tuturor, spuneți-mi următoarele, este posibil să ajungeți aici la lk.budget.gov.ru doar folosind un token? Clientul Continent TLS nu afișează o singură semnătură digitală, deși aceste semnături digitale sunt instalate în registru și pe o dischetă prin CryptoPro.
Continent TLS poate folosi doar eToken, Rutoken sau unitatea flash USB. Registrul nu este conform regulilor (IMG:style_emoticons/default/smile.gif), iar dischetele sunt deja moarte.
managementul finanțelor publice „Buget electronic”
Baza de cunoștințe
pentru instalare și configurare software stație de lucru automatizată pentru utilizatorul sistemului „Buget electronic”.
abstract.. 3
1.... Lista termenilor și abrevierilor.. 4
2.... Lista posibile probleme cu conexiune... 5
3.... Opțiuni de soluție.. 6
3.1. Eroare „403 Acces refuzat „Lista actuală de revocare a certificatelor nu a fost găsită”. 6
3.2. Eroare: 403 Acces refuzat: certificatul rădăcină nu a fost găsit. 7
3.3. „Eroare de autentificare: contul de utilizator nu a fost găsit în sistem. Luați legătura cu Registratorul Trezoreriei Federale.” 8
3.4. Eroare „403 Acces refuzat” Nu este selectată certificat corect client. Formatul de container de chei selectat nu este acceptat." 8
3.5. Eroare „503 Serverul de destinație este indisponibil”. 8
Schimbați foaia de înregistrare.. 10
adnotare
Acest document conține o listă de posibile probleme și modalități de eliminare a acestora la instalarea și configurarea software-ului unei stații de lucru automatizate pentru un utilizator al sistemului Electronic Budget.
2. Lista de termeni și abrevieri
Următorii termeni și abrevieri sunt utilizați în acest document:
AWS – automatizat locul de munca utilizator al sistemului de buget electronic;
Software – software;
Sistemul „Buget electronic” este un sistem integrat de stat sistem informatic managementul finanțelor publice „Buget electronic”.
3. Lista cu posibile probleme de conectare
Lista problemelor posibile la instalarea și configurarea software-ului este dată în tabel (Tabelul 1).
Tabelul 1. Lista problemelor posibile la instalarea și configurarea software-ului.
Nu. p/n | Descrierea erorii | Capitol |
Eroare „403 Acces refuzat „Lista actuală de revocare a certificatelor nu a fost găsită” | ||
Eroare „403 Acces refuzat „Certificatul rădăcină nu a fost găsit” | ||
„Eroare de autentificare: contul de utilizator nu a fost găsit în sistem. Contactați Registrul Trezoreriei Federale" | ||
Eroare „403 Acces refuzat” „Nu a fost selectat certificatul client corect. Formatul containerului de chei selectat nu este acceptat" | ||
Eroare „503 Server de destinație inaccesibil” | ||
Certificatul necesar lipsește din fereastra de selecție a certificatului de utilizator |
4. Opțiuni de soluție
4.1. Eroare „403 Acces refuzat „Lista actuală de revocare a certificatelor nu a fost găsită”
4.2. Eroare „403 Acces refuzat „Certificatul rădăcină nu a fost găsit”
4.3. „Eroare de autentificare: contul de utilizator nu a fost găsit în sistem. Contactați Registrul Trezoreriei Federale"
4.4. Eroare „403 Acces refuzat” „Nu a fost selectat certificatul client corect. Formatul containerului de chei selectat nu este acceptat"
4.5. Eroare „503 Server de destinație inaccesibil”
4.6. Certificatul necesar lipsește din fereastra de selecție a certificatului de utilizator
Schimbați foaia de înregistrare
Numărul versiunii documentului | Modificați data (zz. mm. aaaa) |
Greșeli frecvente la conectarea la GIIS
« Bugetul electronic»
Dacă întâmpinați probleme la conectarea la GIIS „Buget electronic”, trebuie să verificați setările:
1. Conectați-vă la contul dvs. personal utilizând linkul http://lk. buget. guvern. ru/ udu- centru web;
2. verificați setările „Continent TLSVPNClient”.
Deschideți configuratorul de setări (Start > Toate programele > Cod de securitate > Client > Setări Continent TLS Client), trebuie specificată valoarea „Port” 8080 , „Adresă” -Lk. Caseta de selectare „Utilizați server proxy extern” nu ar trebui să fie acolo, dacă organizația nu folosește un proxy extern, „Necesită suport RFC 5746” poate fi eliminată.
După adăugarea certificatului TLS Continent, câmpul „Certificat” ar trebui să indice „
Figura 1. Configurarea serviciului
3. verificați setările browserului dvs.
Folosind browserul MozillaFireFox ca exemplu, lansați browserul, deschideți parametrii de conectare (Meniul principal al browserului „Instrumente”> „Setări”> fila „Avansat”> fila „Rețea”> butonul „Configurare manuală”. of proxy service” în câmpul „HTTP” proxy” specificați valoarea 127.0.0.1, „Port” - 8080. Bifați caseta „Utilizați acest server proxy pentru toate protocoalele”.
Câmpul „Nu utilizați proxy pentru” nu trebuie setat la 127.0.0.1.
Figura 2. Parametrii de conectare
Erori tipice la conectarea la GIIS
« Bugetul electronic»
Opțiuni de soluție: 1) Dezactivați antivirusul. Dacă problema este rezolvată, modificați setările antivirus 2) Verificați setările TLS și ale browserului.
2. 403 Acces refuzat. Certificatul serverului diferă de cel specificat în setări. Lungimea certificatelor variază.
Soluție: Verificați certificatul specificat în setările TLS după numele din rând. Ar trebui să fie "
3. Nu afișează o fereastră de selecție a certificatului.
Soluție: debifați „Necesită suport RFC 5746” dacă este bifat. În caz contrar, verificați celelalte setări.
4. 403 Acces refuzat. Certificatul rădăcină nu a fost găsit.
Soluție: Reinstalați certificatul Federal Treasury CA (dacă a fost deja instalat).
Pentru WindowsXP:
Start>Run>mmc>consola>adăugați sau eliminați snap-in>adăugați „certificate” (Fig. 3)>contul meu>Terminat>OK>extindeți lista>deschideți linia „autorități rădăcină de încredere” - „certificate”>în o zonă goală a ferestrei cu certificate, faceți clic dreapta și selectați (Fig. 4)>toate sarcinile>import>
Figura 3
Figura 4
Pentru Windows 7:
Start>Run>mmc>fișier>adăugați sau eliminați snap-in>adăugați snap-in „certificate” (Fig. 5)>adăugați>contul meu>Finish>OK>extindeți conținutul și accesați linia „autorități rădăcină de încredere” - „certificate” ( Fig. 6)> într-o zonă goală a ferestrei cu certificate, faceți clic dreapta și selectați>toate sarcinile>import>selectați certificatul dorit și instalați.
Figura 5
Imprimare
Următorii hemoroizi federali s-au strecurat conform planificării și, ca întotdeauna... Baza va fi preluată din instrucțiunile trimise prin e-mail (cu cererea „incognito”), completate de versurile și notele mele. Pentru că totul a funcționat pentru noi. Prin analogie cu achizițiile din ⇒ Nor Am aruncat tot ce ai putea avea nevoie.
Versurile și completările sunt de asemenea importante, citite din scoarță în scoartă.
Introductiv . Avem totul configurat pentru a funcționa prin versiunea 11 a Internet Explorer și avem instalat antivirusul KES 10 După epidemia de ransomware, a trebuit să dezactivăm Firewall și acum lucrăm prin Windows Firewall. Nu au fost făcute setări în „zidul de foc” EB-2012 funcționează fără probleme. Dar vă voi arăta setările pentru KES 10 mai târziu. Internet Explorer 11 poate fi descărcat din ⇒ Yandex.
Deci, hai să mergem...
Punctul nr. 1
. Eliminați toate versiunile de Jinn-Client și Continent TLS(dacă este instalat înainte). Reporniți.
Versuri. Dacă nu aveți niciun software departamental „de casă”, vă recomand și să rulați utilitarul de registry CCleaner. Și curățați până când scrie „Fără erori”. Dacă este instalat VirtualBox, vor rămâne doar erorile din acesta. Reporniți.
Punctul nr. 2 . Eliminați containerul extins (dacă a fost instalat înainte). Reporniți.
Versuri. Nu mi-am dat seama cum să-l elimin, a rămas în sistem - nu a afectat rezultatul final. Ca ultimă soluție, puteți pune pur și simplu unul proaspăt deasupra. Aici este posibil să avem nevoie de bibliotecile Microsoft Visual C++ (pe care le-am pus într-un folder separat).
Informaţii. De data aceasta Trezoreria noastră a rămas tăcută, iar eu am căutat tot software-ul și l-am instalat conform instrucțiunilor de pe forumuri. În cele din urmă, avem Extended Container nu din distribuția „oficială”, ci versiunea 1.0.2.2 (dosar „eXtendedContainer” în Cloud).
Punctul nr. 3 . Instalați browserul Mozilla Firefox 63.0.1 (32 de biți), îl puteți actualiza deasupra versiunea veche.
Versuri. Am finalizat pasul, dar nu a funcționat, dar a fost configurat prin Firefox SUFD a zburat. Rezultatul au fost hemoroizi în plus. Internet Explorer 11-totul nostru! Mai este o problemă aici. Firefox și Chrome sunt actualizate constant, dar cerințele finale de securitate nu s-au format... iar extensiile se blochează și sunt dezactivate... Firefox ESR trece și el printr-o etapă de schimbări globale... Pe scurt, este mai bine să nu atingeți ea.
Punctul nr. 4 . Instalați CRL pentru GOST-2012 (de la admin în Trusted root în Computer local). Cele mai recente le puteți descărca de pe crl.roskazna.ru.
Pentru informare. Diferite certificate de buget electronic indică căi diferite: crl.roskazna.ru și crl.roskazna.ru/crl/. Dacă dintr-o dată lista se dovedește a fi expirată, puteți încerca de la o altă adresă. Brusc se va scurge.
Versuri. Nu era nevoie de acest lucru, pentru că deja făcusem toate prostiile astea cu o încercare nereușită de a instala Continent-AP 3.7.7.651 (calculatorul era construit pe server hardware). Nu știu despre celelalte, dar am revenit la Continent-AP 3.6.90.4 și continuăm să lucrăm fără probleme (Continents ⇒ ). Așteptăm versiunea normală a Continent-AP 4.0.
Dar au apărut probleme cu GOST-2001 în „Bugetul electronic”. Și acest punct va fi util pentru dezvoltare generală, și pentru a rezolva problema... Cum aflu de unde să obțin CRL (alias „Lista de revocare a certificatelor”)?
Faceți clic de două ori în Explorer pe certificatul problematic. Accesați fila „Compoziție” și selectați linia „Puncte de distribuție a listei de revocare (CRL)”. Obținem adrese... Lansați orice browser de internet și introduceți adresa URL. Dacă „gol” la toate adresele, ei bine, născut mort... :(
Ceea ce am descărcat trebuie să fie forțat în sistem. Și așa de fiecare dată când lista își pierde relevanța... În același Explorer, faceți dublu clic pe fișierul descărcat și selectați „Instalare...”:
Și cel mai interesant lucru este că căile de descărcare sunt înregistrate în TLS 2.0, dar acest c[mama cățelușului] scrie că nu există nimic la adresa specificată.
Și pentru informare: Se dovedește certificate și containere cheie privată independente din punct de vedere al duratei de viață unele de altele. Aceste. certificatul poate fi actual, dar nu se mai poate semna documentul...
Punctul nr. 5 . Instala certificat personal utilizator prin CryptoPro.
Punctul nr. 6 . Accesați CryptoPro și bifați casetele „Nu verificați certificatul de server pentru revocare” și „Nu verificați scopul propriului certificat” din fila „Setări TLS”.
Punctul nr. 7 . Instalați Continent TLS Client 2.0.1440. Reporniți.
Versuri. În timpul procesului de instalare, poate apărea o eroare de acces... Am trecut deja prin asta înainte. Trebuie să deblocați ramura de registry (chiar în timpul procesului de instalare), să schimbați drepturile pentru ao modifica. În mod implicit, proprietarul sucursalei este „sistem”, iar software-ul este instalat în numele utilizatorului. Deoarece pe computerele de acest nivel utilizatorii trebuie să fie în „Administratori” (testat prin practică), oferim acces în mod corespunzător:
Dacă apare întrebarea „Ce este afișat în imaginea de mai sus?”... Este mai bine să nu vă implicați, ci să întrebați o persoană care știe ce este „Registrul de sistem Windows” și cum să lucrați cu el.
Punctul nr. 8 . Am configurat Continent TLS (vezi manualul de pe site-ul roskazna.ru, secțiunea „GIS-Buget electronic”).
- lk2012.budget.gov.ru
- lk.budget.gov.ru
Setări TLS:
Punctul nr. 9 . Înregistrarea Continent TLS.
- Win+R și tastați %PUBLIC%\\ContinentTLSClient\\
- Găsiți fișierul PublicConfig.json
- Deschideți cu Notepad pentru editare
- În parametrul SerialNumber, introduceți valoarea „ între ghilimele test-50000"
- Reporniți TLS Continent.
Punctul nr. 10 . Dezinstalați programul Container extins prin „Programe și caracteristici” din Panoul de control. Reporniți.
Versuri. Nu am finalizat acest pas. Nu înțeleg de ce ar trebui eliminat; nu interferează deloc.
Punctul nr. 11 . Instalați Jinn Client 1.0.3050 (este necesar numărul de serie). Reporniți.
Versuri. Trezoreria ne-a emis versiunea 1.0.1130.0, aceasta nu a afectat în niciun fel performanța. Luăm numărul de serie din versiunea veche a distribuției emise anterior.
Punctul nr. 12 . Instalați Extended Container din distribuție cu Jinn Client (este necesar un număr de serie separat).
Versuri. Despre ce număr de serie vorbesc despre nu am idee. Nu a existat înainte. Poate că asta înseamnă numărul emis în cea mai recentă distribuție. Spre deosebire de Jinn, nu există restricții privind numărul de instalări. Am instalat noul Extended (versiunea 1.0.2.2) mai devreme în încercarea de a rezolva singur problema.
Punctul nr. 13 . Să mergem la C:\Program Files\Secure Code\CSP\și găsiți fișierul csp_uninstal.exe. Îl lansăm și eliminăm furnizorul cripto din Codul de securitate. Reporniți.
Punctul nr. 14 . Să mergem la Instalare JinnSignExtensionProvider(pentru interacțiunea cu browserele Chrome și Firefox).
Versuri. Am ratat și acest punct, pentru că avem Internet Explorer 11. Nu l-am încercat pe Chrome, dar Firefox nu a funcționat.
Punctul nr. 15 . Instalați CadesPlugin (alias - CryptoPro EDS Plug-in pentru browser).
Versuri. Puteți descărca ⇒. Descărcați cea mai recentă versiune. Înregistrăm site-ul „http://lk2012.budget.gov.ru” în setările pluginului:
Punctul nr. 16 . Configurarea browserelor:
- Internet Explorer: adăugați la site-uri de încredere - http://lk2012.budget.gov.ruŞi https://lk2012.budget.gov.ru
- Firefox: adăugați extensia JinnSignExtension.xpi și dezactivați vechea setare proxy din setările de rețea (setat la „Fără proxy”)
- Chrome: adăugați extensia JinnSignExtension (trageți folderul cu extensia în fereastra de instalare a extensiei)
URMĂTORUL ceva care nu era în instrucțiuni.
Crearea de comenzi rapide pe desktop pentru ambele opțiuni (GOST-2001 și GOST-2012) scriind următoarele rânduri în obiecte:
- „C:\Program Files\Internet Explorer\iexplore.exe” http://lk.budget.gov.ru/udu-webcenter
- „C:\Program Files\Internet Explorer\iexplore.exe” http://lk2012.budget.gov.ru/udu-webcenter
Acest lucru este necesar pentru ca browserul să nu comute la protocolul HTTPS în timpul lucrului.
Configurarea Anti-Virus. Rețeaua recomandă dezactivarea completă a antivirusului. O glumă grozavă, mai ales pe un computer de gestionare a banilor. Sugerez setari pentru Kaspersky Endpoint Security 10. Trebuie să creați reguli similare pentru alte antivirusuri.
În primul rând, dezactivați verificarea traficului:
Apoi adăugăm ambele versiuni (x86 și x64) de Internet Explorer la excepțiile de control al aplicației:
Desigur, acest lucru nu este corect, dar este cel mai mic rău dintre toate posibile.
Va trebui să convertiți cheile. Descărcați Convertor cheie privatăși există un fișier în arhivă Citiți-mă.doc cu instructiuni de instalare. Pentru conversie, nu aveți nevoie de o unitate flash suplimentară, facem totul pe aceeași, fișierele cu noul format de cheie vor fi adăugate. Mediul va deveni universal. Atât cheile noi, cât și cele vechi sunt convertite fără probleme.
Schimbați utilizatorul a devenit mult mai ușor. Acum nu mai trebuie să reporniți serviciul, doar schimbați certificatul în linia „Certificat de utilizator implicit” din setările Continent TLS.
Mult succes în lupta ta grea cu portalurile federale!
O nouă serie de aventuri incitante cu EDMS-ul tău favorit budget.gov.ru. Eroare: validarea a eșuat sau nu este încă disponibilă. Când semnați un document, când selectați o semnătură, semnăturile nu sunt vizibile în TLS Continent sau Jinn-Client. Dar sunt în certificate Windows și când le selectezi, sistemul electronic îți arată hieroglife și râde în față, iar clientul jinn intră într-o buclă nesfârșită când semnează.
Nu îl vede deloc pe unitatea flash. 
Jinn-Client scrie lucruri urâte despre tine în hieroglife.
Credeai că problemele tale s-au terminat în sfârșit? Și tocmai au început. Ați trecut la continentul TLS și CryptoPro și accesați contul personal la lk2012.budget.gov.ru.
Să începem cu - validarea a eșuat sau nu este încă disponibilă.
Eroarea este destul de simplă și nu se întâmplă întotdeauna; se referă la un gadget numit eXtended Container. Se pare că vine la pachet cu clientul Continent TLS 2.0.14, dar nu în forma așteptată de Jinn-Client. Mergem să instalăm și să eliminăm programe, găsim eXtanded Container 1.0.2.2 sau similar. Instalăm eXtanded Container 1.0.2.2 din setul clientului Gin pe care îl aveți, ar trebui să existe o cheie acolo.
Dacă nu aveți o cheie, aceasta ar putea funcționa. Clic
cheie de licență E6FV-00BC-CLDE-00BC-0A49-0000-0009
Va exista ceva de genul XC în programe și componente. Apoi validarea nu a reușit sau nu este disponibilă, dar probabil că eroarea va dispărea.
Jinn-Client arată hieroglife atunci când semnează și dacă semnăturile se blochează sau nu în lista de pe unitatea flash.
Această problemă afectează numai semnăturile conform GOST 2012 și apare în lk2012.budget.gov.ru. Din câte am înțeles, asta se datorează faptului că Trezoreria a emis semnături conform GOST 2012, dar nu exact la fel. Poate data viitoare problema nu va apărea.
Apropo, știi unde să cauți ce GOST are semnătura ta?
Așa arată o semnătură de la GOST 2012, evident pentru 2001 în această secțiune va fi GOST 2001 Dar acum trebuie să facem ceva. Suntem hotărâți să descărcam convertorul pentru semnături, există instrucțiuni acolo. Dacă nu avem încredere în mine, accesați site-ul, citiți-l, descărcați-l. Nu este nevoie să instalați nimic. Despachetați arhiva și rulați fișierul .exe. Dacă semnăturile Crypto Pro sunt instalate corect, în fereastra care apare va fi de ales dintre toate semnăturile cu note în ce stare (dacă aveți probleme cu CryptoPRO, vă recomand).
Este important ca în timpul conversiei vi se va cere să furnizați o parolă chiar dacă nu ați avut una. Nu poți refuza, chiar și un gol va fi bine. Faceți clic pe următorul și selectați pe ce unitate flash să îngropați semnătura. Vor apărea două fișiere denumite TE.cer și TEcont.p15. Nu le puteți redenumi și, prin urmare, nu puteți pune două semnături pe o unitate flash. Dacă știe cineva cum să facă asta, aș fi recunoscător pentru răspunsul tău în comentarii.
Ei bine, atunci când semnați documentul, nu uitați să vă setați parola în câmpul Jinn Client - Parola container cripto. Nu sunt sigur de caseta de selectare „remember”, pentru că Dumnezeu știe unde să o anuleze mai târziu dacă se întâmplă ceva.
Iată-le, mai jos.
De fapt, asta e tot, în acest moment Jinn Client ar trebui să înceteze să-ți mai arate hieroglife. Ne bucurăm de viață și așteptăm noi configurații de la maiorul Payne.