Crl не прошел проверку. Проверка отзыва сертификатов в тестовой лаборатории. Установка модуля для работы с электронной подписью «Cubesign»

Распространенные ошибки при подключении к ГИИС

«Электронный бюджет »

При возникновении проблем с подключением к ГИИС «Электронный бюджет» необходимо проверить настройки:

1. вход в личный кабинет осуществляется по ссылкеhttp:// lk . budget . gov . ru / udu - webcenter ;

2. проверить настройки«Континент TLSVPNКлиент».

Открыть конфигуратор настроек (Пуск >Все программы > Код Безопасности >Client> Настройка Континент TLSклиента), «Порт»должно быть указано значение 8080 , «Адрес»-lk. Отметки «Использовать внешний прокси-сервер» не должно быть, если организация не использует внешний прокси, «Требовать поддержку RFC 5746» можно убрать.

После добавления сертификата Континента TLSв поле «Сертификат»должно быть указано «<»;

Рисунок 1. Настройка сервиса

3. проверить настройки обозревателя.

На примере браузера MozillaFireFox, запустить обозреватель, открыть параметры соединения (Главное менюбраузера «Инструменты»>«Настройки»> вкладка «Дополнительные»> вкладка «Сеть»> кнопка «Настроить»).Выбрать «Ручная настройка сервиса прокси», в поле «HTTP прокси»указать значение 127.0.0.1, «Порт»- 8080. Поставить отметку «Использовать этот прокси-сервер для всех протоколов».

Вполе«Не использовать прокси для» не должно быть указано значение 127.0.0.1.

Рисунок 2. Параметры соединения

Типичные ошибки при подключении к ГИИС

«Электронный бюджет »


Варианты решения: 1) Отключить антивирус. В случае решения проблемы – изменить параметры антивируса 2) Проверить настройки TLS и обозревателя.

2. 403 Доступ запрещен. Сертификат сервера отличается от заданного в настройках. Отличается длина сертификатов.

Решение: Проверить указанный в настройках TLS сертификат по наименованию в строке. Должно быть «<».

3. Не выдает окно выбора сертификата.

Решение: Убрать галочку «Требовать поддержку RFC 5746» если стоит. В противном случае проверить остальные настройки.

4. 403 Доступ запрещен. Не найден корневой сертификат.

Решение: Повторная установка сертификата УЦ Федерального казначейства (если был уже установлен).

Для WindowsXP:

Пуск >Выполнить>mmc>консоль>добавить или удалить оснастку>добавить «сертификаты»(Рис. 3) >моей учетной записи>Готово >ОК>развернуть список >открыть строку «доверенные корневые центры» - «сертификаты»>на пустом месте окна с сертификатами нажать правую кнопку мыши и выбрать (Рис. 4)>все задачи >импорт>

Рисунок 3

Рисунок 4

Для Windows 7:

Пуск >Выполнить>mmc>файл>добавить или удалить оснастку>добавить оснастку «сертификаты» (Рис. 5)>добавить>моей учетной записи>Готово>ОК>развернуть содержимое и встать на строку «доверенные корневые центры»- «сертификаты» (Рис. 6)>на пустом месте окна с сертификатами нажать правую кнопку мыши и выбрать>все задачи >импорт>выбрать нужный сертификат и установить.

Рисунок 5

Я помню те трудности, которые нам нужно было преодолевать для создания тестовых лабораторий много лет назад. В 1990-ые годы компьютеры не были столь дешевыми, как сегодня, и требовалась кругленькая сумма, чтобы собрать тестовую среду хотя бы из нескольких машин. Иногда нам приходилось проводить тестирование в своих производственных средах просто потому, что мы не могли себе позволить аппаратное оборудование для создания соответствующей лабораторной среды. Как вы можете себе представить, это вызывало множество проблем. Но у нас не было выбора, поскольку программы для создания образов дисков были либо недоступны, либо ненадежны, а также не было надежного решения для виртуализации серверов. Нам приходилось стараться изо всех сил при работе с доступными средствами.

Все значительно изменилось за последние 15 лет ‘ и, в какой-то степени, в лучшую сторону. Одним из самых значительных изменений стала виртуализация рабочих станций и серверов. Используя такие инструменты, как VMware или Microsoft Hyper-V, мы теперь можем покупать серверы средней мощности на базе процессора Nehalem с 16ГБ+ оперативной памяти и выполнять очень сложные тесты, которые могут действительно симулировать наши физические установки.

Однако все еще существуют моменты, которые могут вызывать проблемы при работе с тестовой средой, и инфраструктура открытых ключей (PKI) всегда возглавляет этот список. Инфраструктура открытых ключей (Public Key Infrastructure) является важным моментом в любой тестовой среде, поскольку сертификаты используются во многих ситуациях при тестировании продуктов и технологий Microsoft. Одним из наиболее сложных аспектов инфраструктуры PKI является доступность списка отзыва сертификатов (certificate revocation list – CRL). Суть в том, что некоторым решениям требуется успешная проверка CRL, а некоторым нет. Проблема состоит в том, что в документации Microsoft не всегда говорится, под какой случай подпадает та или иная ситуация, поэтому приходиться гадать, требуется ли такая проверка или нет (или и того хуже, выполнять весь процесс конфигурации, чтобы, в конце концов, обнаружить, что решение не работает).

Одним из подходов к отключению сбоев проверки CRL является удаление всех ссылок на CRL точку распространения в сертификатах, предоставляемых клиентам. Когда это делается, CRL проверки не будут безуспешными, поскольку негде проверять. Конечно, это снижает степень безопасности, поэтому в большинстве случае в среде предприятия такой вариант не подходит, но в тестовых средах, в которых доверительные отношения не являются проблемой, есть несколько способов сделать это.

Если вы не хотите отключать CRL проверки в своей среде, вы можете создать свою собственную точку распространения сертификатов, которая может использоваться в тестовой среде, а затем настроить сервер сертификации на включение этих точек распределения CRL DP в выдаваемые им сертификаты.

Сначала мы рассмотрим два способа отключения проверки CRL.

Отключение проверки CRL

В первом способе мы настроим центр сертификации (Certificate Authority) так, чтобы он не включал информацию об адресе для точки распространения CRL в издаваемые им сертификаты. Для этого переходим в меню Администрирование (Administrative Tools) и нажимаем .

Рисунок 1

В консоли центра сертификации нажимаем правой клавишей на имени сервера в левой панели и выбираем Свойства (Properties) .

Рисунок 2

В диалоге свойств (Properties) сервера сертификации выбираем закладку Расширения (Extensions) . Обратите внимание, что в меню раскрывающегося списка Выбор расширений (Select extension) стоит CRL Distribution Point (CDP) . Под ней вы найдете четыре адреса. Обратите внимание, что выбран первый адрес. Убедитесь, что ни одна из опций не отмечена флажком в нижней части диалога. Опции и НЕ должны быть отмечены галочками.

Рисунок 3

Нажимаем на вторую запись в списке, как показано на рисунке ниже. Убедитесь, что следующие опции НЕ отмечены флажками: Публикация списков отзыва сертификатов по адресу (Publish CRLs to this location) , и Публикация разностных CRLs по адресу (Publish Delta CRLs to this location) .

Рисунок 4

Нажмите на третьей записи в списке. Убедитесь, что следующие опции НЕ отмечены галочками: Включить в CRL. Клиенты используют данные для поиска в размещениях Delta CRL. (Include in CRL. Clients use this to find Delta CRL locations) , Включать в CDP-расширение выданных сертификатов (Include in the CDP extension of issued certificates) и Включать в расширение IDP выданных CRL (Include in the IDP extension of issued CRLs) .

Рисунок 5

Нажмите на четвертой записи. Убедитесь, что опции, показанные на рисунке ниже, не отмечены флажками.

Рисунок 6

Нажмите OK после внесения изменений. Возможно, вам придется перезапустить службу сертификатов (Certificate Services) ‘ если так, сделайте это.

Вышеприведенная процедура позволяет настроить службу так, что все сертификаты выдаваемые ЦС, будут исключать эту информацию. Но, возможно, вам нужно будет сделать это только для определенного шаблона сертификата, а не для все сертификатов, выдаваемых ЦС. В этом случае вы можете создать и настроить шаблон сертификата на исключение CRL DP информации из сертификатов, выдаваемых с помощью этого шаблона.

Чтобы посмотреть, как это работает, нажмите меню Пуск (Start) и в поле Выполнить введите MMC , затем нажмите ENTER.

Рисунок 7

В новой консоли MMC нажмите меню Файл (File) и выберите опцию Добавить или удалить оснастку (Add/Remove Snap-in)’ Добавить оснастку , как показано на рисунке ниже.

Р исунок 8

В консоли Шаблоны сертификатов (Certificate Templates) нажмите на разделе Шаблоны сертификатов в левой панели. правой клавишей на шаблоне сертификата и выберите Свойства (Properties) .

Рисунок 9

В диалоге свойств шаблона сертификата перейдите в закладку Сервер (Server) . В закладке Сервер вы найдете опцию Не включать сведения об аннулировании в выдаваемые сертификаты (применяется только для Windows Server 2008 R2 и более поздних версий) (Do not include revocation information in issued certificates (Applicable only for Windows Server 2008 R2 and above)) . Когда вы выбираете эту опцию, сертификаты выдаваемые с помощью этого шаблона, не будут включать сведения об аннулировании и проверка отзыва сертификата для таких сертификатов не сможет быть безуспешной.

Рисунок 10

Создание CRL точки распространения для своей тестовой среды

Если вы не хотите отключать проверки CRL в своей среде, вы можете создать собственные точки распространения, которые можно использовать в тестовой среде, после чего вы сможете настроить сервер сертификации на включение этих CRL DP в выдаваемые им сертификаты. Первым шагом будет настройка ЦС на обращение к точке распространения CRL Distribution Point, которую мы создадим. Вторым шагом будет создание CRL DP и публикация CRL в CRL DP

Начнем с настройки параметров точки распространения CRL Distribution Point в Центре сертификации. Поскольку шаги по настройке ЦС и самой точки распространения очень подробные и точные, мы воспользуемся пошаговым подходом, чтобы ничего не упустить.

  1. На компьютере с Центром сертификации нажмите меню Пуск , наведите курсор на пункт Администрирование и нажмите Центр сертификации (Certification Authority) .
  2. В левой панели консоли нажмите правой клавишей на имени сервера и выберите Свойства .
  3. В диалоге Свойства перейдите в закладку Расширения (Extensions) .
  4. В закладке Расширения нажмите Добавить . В поле Адрес (Location) введите URL адрес, который клиенты используют для подключения к точке распространения CRL Distribution Point через HTTP соединение. В данном примере мы используем http://crl.corp.contoso.com/crld/. Убедитесь, что у вас есть DNS запись, сопоставляющая этот FQDN с сервером, на котором расположена точка CRL Distribution Point. Мы создадим путь и привяжем его к веб сайту позже.
  5. В поле Переменная (Variable) нажмите , а затем нажмите Вставить (Insert) .
  6. В поле Переменная нажмите , а затем нажмите Вставить .
  7. В поле Переменная нажмите , а затем нажмите Вставить .
  8. В поле Адрес (Location) введите .crl в конце адресной строки, а затем нажмите OK .

Рисунок 11

  1. Выберите опцию Включить в CRLs. Клиенты используют данные для поиска в размещениях Delta CRL (Include in CRLs. Clients use this to find Delta CRL locations) и Включать в CDP-расширение выданных сертификатов (Include in the CDP extension of issued certificates) , а затем нажмите Применить (Apply) . Нажмите Нет (No) в диалоге, который спросит вас о необходимости перезагрузки служб Active Directory Certificate Services.
  2. Нажмите Добавить .
  3. В поле Адрес введите UNC путь к файловому ресурсу, который будет содержать CRL Distribution Point. В этом примере мы используем file://app1/crldist$/ , где app1 является именем сервера, который будет содержать CRL Distribution Point, а путь к ресурсу с CRL DP будет \crldist$. Мы настроим эти адреса в следующем шаге.
  4. В поле Переменная нажмите , а затем Вставить .
  5. В поле Переменная нажмите , а затем Вставить .
  6. В поле Переменная нажмите , а затем Вставить .
  7. В поле Адрес введите .crl в конце строки и нажмите OK .

Рисунок 12

  1. Выберите опцию Публикация CRLs по адресу (Publish CRLs to this location) и Публикация разностных CRLs по адресу (Publish Delta CRLs to this location) , а затем нажмите OK .

Рисунок 13

  1. Теперь нажмите Да (Yes) , чтобы перезагрузить службу Active Directory Certificate Services.
  2. Закройте консоли Центра сертификации.

Теперь давайте создадим точку Web-based CRL Distribution Point на машине, где нужно расположить CRL. Мы создадим веб точку CRL Distribution Point, чтобы клиенты могли получать доступ к CRL через HTTP подключения.

  1. На машине, где нужно расположить CRL, нажмите меню Пуск и наведите курсор на строку Администрирование . Выберите диспетчера .
  2. В левой панели консоли перейдите к \Sites\Default Web Site . Нажмите правой клавишей на Default Web Site и выберите Добавить виртуальный каталог (Add Virtual Directory) .

Рисунок 14

  1. В диалоге добавления виртуального каталога в текстовом поле Псевдоним (Alias) введите CRLD (это может любое имя, мы выбрали CRLD). Затем в поле Физический путь (Physical path) нажмите кнопку пропуска ‘‘‘.

Рисунок 15

  1. В диалоге Обзор папок (Browse for Folder) выберите запись Локальный диск (С:) (Local Disk (C:) и нажмите Создать новую папку (Make New Folder) .
  2. Введите CRLDist в качестве имени папки и нажмите ENTER. Нажмите OK в диалоге Обзор папок .

Рисунок 16

  1. Нажмите OK в диалоге Добавить виртуальный каталог .

Рисунок 17

  1. В средней панели консоли дважды нажмите на Обзор каталогов (Directory Browsing) .
  2. В правой панели консоли нажмите Включить (Enable) .

Рисунок 18

  1. В левой панели консоли нажмите на папку CRLD .
  2. В средней панели консоли дважды нажмите на значке Редактор конфигурации (Configuration Editor)
  3. Нажмите стрелку вниз в раскрывающемся списке Раздел (Section) и перейдите к system.webServer\security\requestFiltering .
  4. В средней панели консоли дважды нажмите на записи allowDoubleEscaping , чтобы изменить значение с False на True .

Рисунок 19

  1. В правой панели консоли нажмите Применить .

Рисунок 20

  1. Закройте консоль Internet Information Services (IIS) Manager .

Теперь нам нужно настроить разрешения для CRL Distribution Point File Share. Здесь мы настроим разрешения файлового ресурса для созданной папки CRL Distribution Point.

  1. На компьютере, содержащем CRL DP, нажмите меню Пуск и выберите Компьютер (Computer) .
  2. Дважды нажмите Локальный диск (C:) .
  3. В правой панели проводника Windows Explorer нажмите правой клавишей на папке CRLDist и выберите Свойства .
  4. В диалоге свойств CRLDist Properties нажмите на вкладку Общий доступ (Sharing) . На вкладке Общий доступ (Sharing) нажимаем кнопку Расширенная настройка общего доступа (Advanced Sharing) .
  5. В диалоге ставим флажок напротив опции Предоставить общий доступ к этой папке (Share this folder) .
  6. В поле Имя общего ресурса (Share name) добавьте $ в конце имени следующим образом CRLDist$
  7. В диалоге Расширенной настройки общего доступа нажмите кнопку Разрешения (Permissions) .
  8. В диалоге Разрешения для CRLDist$ нажмите Добавить .

Рисунок 21

  1. В диалоге Выбор учетных записей пользователя, компьютера, службы или группы (Select Users, Computers, Service Accounts, or Groups) нажмите кнопку Типы объектов (Object Types) .
  2. В диалоге Типы объектов отметьте опцию Компьютеры (Computers) и нажмите OK .
  3. В диалоге Выбор учетной записи пользователя, компьютера, службы или группы в текстовом поле Введите имена объектов для выбора (Enter the object names to select) Проверка имен (Check Names) . Нажмите OK .
  4. В диалоге Разрешения для CRLDist$ выберите имя компьютера, на котором расположена служба сертификации (Certificate Services) из списка Имена групп или пользователей (Group or user names) . В разделе Разрешения отметьте опцию Разрешить (Allow) для Полный доступ (Full Control) . Нажмите OK .

Рисунок 22

  1. В диалоге Расширенная настройка общего доступа нажмите OK .
  2. В диалоге Свойства CRLDist нажмите закладку Безопасность (Security) .
  3. В закладке Безопасность нажмите кнопку Изменить .
  4. В диалоге Разрешения для CRLDist нажмите кнопку Добавить .
  5. В диалоге нажмите кнопку Типы объектов .
  6. В диалоге Типы объектов поставьте флажок для опции Компьютеры . Нажмите OK .
  7. В диалоге Выбор учетных записей пользователей, компьютеров, служб или групп в текстовом поле Введите имена объектов для выбора введите имя компьютера, на котором расположен ЦС и нажмите Проверка имен . Нажмите OK .
  8. В диалоге Разрешения для CRLDist выберите имя компьютера, на котором расположена служба сертификации (Certificate Service) из списка Имена групп или пользователей . В разделе Разрешения поставьте флажок в столбце Разрешить для опции Полный доступ (Full control) . Нажмите OK .

Рисунок 23

  1. Нажмите кнопку Закрыть (Close) в диалоге Свойств CRLDist .
  1. На всех компьютерах, содержащих ЦС, нажмите меню Пуск и перейдите в Администрирование . Выберите Центр сертификации .
  2. В левой панели консоли дважды нажмите на имени сервера и правой клавишей нажмите на Аннулированных сертификатах (Revoked Certificates) , затем наведите курсор на строку Все задачи (All Tasks) и выберите опцию Опубликовать (Publish) .
  3. В диалоге Публикация CRL выберите опцию Новый CRL и нажмите OK .
  4. Нажмите Пуск и в текстовом поле Поиск программ и файлов (Search programs and files) введите \\\CRLDist$ , нажмите ENTER. В этом случае является именем компьютера, на котором расположен CRL.
  5. В окне проводника Windows Explorer вы должны увидеть два новых файла в файловом ресурсе CRL DP.
  1. Закройте окно проводника Windows Explorer.
  2. Закройте консоль центра сертификации.

Заключение

В этой статье мы рассмотрели шаги для нескольких процедур, которые можно использовать для упрощения проверки CRL в своей тестовой среде. Мы начали с рассмотрения пары способов отключения CRL проверок в тестовой среде. Затем мы подробно рассмотрели процедуру, в которой создается точка распределения, чтобы проверки сертификатов не были безуспешными, так как CRL на самом деле доступен. Следует отметить, что эти CRL проверки будут работать для интрасетевых клиентов вашей тестовой среды. Если у вас есть клиенты, расположенные за пределами интрасети, вам придется найти способ публикации внутреннего CRL на этих внешних клиентах. Это может быть довольно сложно, и поэтому я не могу охватить все бесчисленные сценарии в этой статье. Пришлите мне письмо, если у вас есть конкретный сценарий, интересующий вас, и я напишу статью о том, как публиковать CRL в этом сценарии.

Клиента разрешение на работу. Также необходимо проверить работу плагинов Java JRE (среда, в которой функционирует ГИИС ) - Java Deployment Toolkit и Java (TM) Platform SE

Для этого Вам необходимо:

а. Если у Вас браузер Internet Explorer:

откройте Internet Explorer, нажмите кнопку Сервис (шестеренка), а затем выберите пункт Настроить надстройки . В списке Отображать выберите пункт Все надстройки . Выберите надстройку, нажмите кнопку Включить, а затем -- Закрыть.

б. Если у Вас браузер Mozilla Firefox , то:

нажать одновременно ctrl +shift + a (английская). Выбрать слева пункт Плагины , найти Jinn-client, поставить напротив него «Разрешить всегда».

в. Если у Вас браузер Google Chrome , то:

необходимо открыть меню браузера с тремя полосками в углу экрана, выбрать пункт «Дополнительные инструменты» - «Расширения», в открывшемся меню проверить плагин Jinn-client. Для включения плагина необходимо поставить галочку напротив названия расширения.

3. Если в ходе предыдущего пункта Вы не обнаружили у себя в браузере плагин Jinn-client и Java , значит у Вас не установлены программы и Вам необходимо обратиться к системному администратору Вашей организации.

4. Если в ходе второго пункта Вам был обнаружен плагин Jinn-client и ему разрешены действия в браузере, необходимо проверить разрешение в браузере на всплывающие окна.

Для этого Вам необходимо:

а. Если у Вас браузер Internet Explorer:

Откройте Internet Explorer , нажмите кнопку Сервис (шестеренка), а затем выберите пункт Свойства браузера.

На вкладке Конфиденциальность в разделе "Блокирование всплывающих окон" установите или снимите флажок Включить блокирование всплывающих окон и нажмите кнопку ОК.

б. Если у Вас браузер Mozilla Firefox , то:

Щёлкните по кнопке меню три полоски и выберите Настройки. - Выберите панель Содержимое - В панели Содержимое в разделе Всплывающие окна - Уберите галочку с Блокировать всплывающие окна, чтобы отключить блокировку всплывающих окон.

в. Если у Вас браузер Google Chrome , то:

Запустите браузер Chrome . - Нажмите на значок Ещё в правом верхнем углу экрана.

Выберите Настройки. - Выберите Показать дополнительные настройки в нижней части страницы. - Нажмите кнопку Настройки контента в разделе "Личные данные". - В разделе "Всплывающие окна" выберите нужный вариант: Разрешить открытие всплывающих окон на всех сайтах.

5. Отключить программы и расширения для блокировки рекламы в браузере.

Если данные пункты не помогают: временно отключить Брандмауэр, временно отключить антивирус.


Одна из самых распространенных ошибок программы АРМ "Электронный бюджет" - ошибка возникающая при подключению к серверу, имеющая индексный номер 434. Решить ее довольно просто, в большинстве случаев помогает всего 2 действия:

1. Обновление сборки Континент TLS до актуальной версии. Например, версия номер 920 работала нестабильно и часто соединение завершалось 434 ошибкой "Сервер назначения недоступен". Актуальную версию можно скачать с сайта securitycode.ru.

2. Проверка правильности ввода адреса личного кабинета пользователя программы "Электронный бюджет" в Континент TLS, а также номера порта (8080). В строке не должно стоять пробелов или каких-либо других символов ни в начале строки, ни в конце. Правильным будет адрес: lk.budget.gov.ru (как на фото). Если же вы настраиваете прокси-сервер через браузер - он должен быть настроен соответствующим образом. Если вы не работаете через прокси-сервер - галочка в настройках TLS стоять не должна. Об этом ниже.

Ошибка 434 "Сервер назначения недоступен". Как убрать?

Если два вышеперечисленных варианта решения проблем вам не помогли (обновление сборки и правильность написания адреса личного кабинета) - значит проблема скорее всего кроется в неправильной установке корневых сертификатов удостоверяющего центра или настройках прокси в браузере и она тоже решаема.

- Касаемо сертификатов - некоторые пользователи при неправильной установке программы ставят корневые сертификаты УЦ и TLS в Реестр, тогда как по инструкции правильно - в Локальный компьютер. В этом случае поможет перемещение сертификатов.

Если вы выбираете настройку прокси-сервера в браузере - она должна быть включена правильным образом. Надо указать тип прокси - HTTP и поставить галочку, что прокси-сервер будет использоваться для всех протоколов. Пример настройки браузера Firefox ниже.