Защита удаленного доступа к корпоративной сети по алгоритмам ГОСТ
Обмен данными с сотрудниками, работающими удаленно или находящимися в командировке, а также их подключение к информационным ресурсам организации защищены в соответствии с криптоалгоритмами ГОСТ.
Контроль внешней среды
Континент ZTN клиент контролирует соответствие удаленного рабочего места политике безопасности. Это значительно сокращает вероятность проникновения злоумышленника в ИТ инфраструктуру через взломанный удаленный компьютер.
Быстрый старт
В Континент АП предусмотрено всё для быстрого развёртывания клиента на большом количестве новых устройств – для настройки необходим только файл конфигурации, единожды созданный администратором.
Простой и привычный доступ со всех ОС
Сервер доступа не учитывает ОС клиента, поэтому при импортозамещении нет необходимости в покупке новых лицензий на подключение, а мобильные приложения бесплатно доступны в Google Play, Huawei AppGallery и Apple AppStore.
Клиентское ПО для всех популярных ОС
Windows
Linux
Android
iOS
Современный лаконичный интерфейс
Незаметная для пользователя работа клиента
Автоподключение на десктопных клиентах
Запуск на мобильных устройствах в один клик
Тёмная тема
-
Клиентское ПО для всех популярных ОС
-
Современный лаконичный интерфейс
Континент АП 4
по требованиям РД ФСБ
СКЗИ класса КС1/КС2 (Windows)
Континент АП 3
по требованиям РД ФСБ
СКЗИ класса КС1/КС2 (Windows)
СКЗИ класса КС1/КС2/КС3 (Linux)
Подключение к информационным системам
Дополнительные материалы
Новости
Где используется Континент АП/ZTN
Таблица совместимости Сервера доступа и Континент АП/ZTN
Сервер Доступа | Совместимая версия Континент АП/ZTN | |||||||
Континент АП для Windows | Континент АП для Linux | Континент АП для Android | Континент АП для iOS/iPadOS | ZTN для Windows | ZTN для Linux | ZTN для Android | ZTN для Аврора | |
Континент 3.7 | 3.7, 4.1 | 3.7, 4.0, 4.1 | 4.0, 4.1 | 4.0 | — | 4.3 | 4.0 | — |
Континент 3.9 | 3.7, 4.1 | 4.0, 4.1 | — | 4.3 | 4.0 | — | ||
Континент 3.9.1 | 3.7 (только 3-й протокол), 4.1 | 4.1, 4.0 | 4.0, 4.1 | 4.0 | 4.3 (только 4-й протокол) | 4.3 | 4.0, 4.1 (только 4-ый протокол) | 4.1 (только 4-ый протокол) |
Континент 3.9.2 | 4.0, 4.1 | 4.3 (только 4-й протокол) | 4.3 | 4.0, 4.1 (только 4-ый протокол) | 4.1 (только 4-ый протокол) | |||
Континент 4.0.3 | 4.1 | 4.0, 4.1 | 4.0, 4.1 | 4.0 | 4.3 | 4.3 | 4.0, 4.1 | 4.1 |
Континент 4.1 | 4.0, 4.1 | 4.0, 4.1 | 4.3 | 4.3 | 4.0, 4.1 | 4.1 |
Континент АП/ZTN 4.1 для Windows
Операционная система | Windows Server 2016 x64 Windows Server 2012 R2 x64 Windows Server 2012 x64 Windows 10 x86/x64 (кроме выпусков Education Edition, Home Edition и Insider Preview) Windows 8.1 x86/x64 |
Процессор и оперативная память | В соответствии с требованиями ОС, установленной на компьютер |
Жесткий диск (свободное пространство) | 150 МБ |
Оптический привод | CD/DVD-ROM |
Дополнительные устройства и программное обеспечение | ПАК Соболь (для исполнений 2, 3) СКЗИ «КриптоПро CSP» |
Континент АП/ZTN 4.1 для Linux
Операционная система | Исполнение 4:
Исполнения 4 и 5:
Исполнение 6:
|
Процессор и оперативная память | В соответствии с требованиями ОС, установленной на компьютер |
Жесткий диск (свободное пространство) | 300 МБ |
Оптический привод | CD/DVD-ROM |
Дополнительные устройства и программное обеспечение | ПАК Соболь (для исполнений 5, 6) Secret Net LSP |
Континент АП/ZTN 4.1 для Android
Операционная система | Android 5.0, 5.1 Lollipop Android 6.0 Marshmallow Android 7.0, 7.1 Nougat Android 8.0, 8.1 Oreo Android 9 Pie Android 10 |
Процессор и оперативная память | В соответствии с требованиями ОС, установленной на устройство |
Средства выхода в Интернет | Встроенный модуль 3G/4G Встроенный модуль Wi-Fi |
Континент АП/ZTN 4.0 для iOS/iPad OS
Операционная система | iOS 10 iOS 11 iOS 12 iOS 13 iOS 14 iPad OS 13 iPad OS 14 |
Процессор и оперативная память | В соответствии с требованиями ОС, установленной на устройство |
Средства выхода в Интернет | Встроенный модуль 3G/4G Встроенный модуль Wi-Fi |
Континент ZTN клиент для Windows
Операционная система | Windows 8.1 x86/x64 Windows 10 x86/x64 (не ниже версии 1909) Windows 11 x64 Windows Server 2012 R2 x64 Windows Server 2016 x64 Windows Server 2019 x64 |
Процессор и оперативная память | В соответствии с требованиями ОС, установленной на компьютер |
Жесткий диск (свободное пространство) | 300 МБ |
Оптический привод | CD/DVD-ROM |
Дополнительные устройства и программное обеспечение | ПАК «Соболь» СКЗИ «КриптоПро CSP» СЗИ Secret Net Studio |
Континент ZTN клиент для Linux
Операционная система | Исполнение 1 и 2:
Исполнения 3:
|
Процессор и оперативная память | В соответствии с требованиями ОС, установленной на компьютер |
Жесткий диск (свободное пространство) | 300 МБ |
Оптический привод | CD/DVD-ROM |
Дополнительные устройства и программное обеспечение | ПАК Соболь (для исполнений 2, 3) СЗИ Astra Linux SE «Смоленск» (исп. 1) |
Континент ZTN клиент для Android
Операционная система | Android 6.0 Marshmallow Android 7.0, 7.1 Nougat Android 8.0, 8.1 Oreo Android 9 Pie Android 10 Android 11 Android 12 |
Процессор и оперативная память | В соответствии с требованиями ОС, установленной на устройство |
Средства выхода в Интернет | Встроенный модуль 3G/4G Встроенный модуль Wi-Fi |
Континент ZTN клиент для ОС Аврора
Операционная система | ОС Аврора 2.2.3 ОС Аврора 4.0.1 ОС Аврора 4.0.3 |
Процессор и оперативная память | В соответствии с требованиями ОС, установленной на устройство |
Средства выхода в Интернет | Встроенный модуль 3G/4G Встроенный модуль Wi-Fi |
Документация Континент АП/ZTN
Информация, содержащаяся в этих документах, может быть изменена разработчиком без специального уведомления, что не является нарушением обязательств по отношению к пользователю со стороны компании-разработчика.
-
Release Notes.
Описание основных особенностей и ограничений.
-
Руководство по эксплуатации.
Сведения для установки и настройки компонентов комплекса на платформе Windows.
-
Release Notes.
Описание основных особенностей и ограничений.
-
Руководство администратора.
Сведения для установки и настройки компонентов комплекса на платформе Windows.
-
Руководство пользователя.
Сведения для эксплуатации программного обеспечения комплекса на платформе Windows.
-
Руководство администратора. Сервер доступа.
Сведения, необходимые для управления работой сервера доступа.
-
Ответы на наиболее частые вопросы по Континент АП 3.7.
Рекомендации по решению проблем, которые могут возникнуть при настройке и эксплуатации.
-
Release Notes. Linux.
Описание основных особенностей и ограничений.
-
Руководство по эксплуатации. Linux.
Сведения для установки, настройки и эксплуатации компонентов комплекса на платформе Linux.
-
Release Notes. Linux.
Описание основных особенностей и ограничений.
-
Руководство администратора. Linux.
Сведения для установки и настройки компонентов комплекса на платформе Linux.
-
Руководство пользователя. Linux.
Сведения для эксплуатации программного обеспечения комплекса на платформе Linux.
-
Быстрый старт. Android.
Сведения для установки и первого запуска приложения на платформе Android.
-
Руководство администратора. Android.
Сведения для установки и настройки компонентов комплекса на платформе Android.
-
Руководство пользователя. Android.
Сведения для эксплуатации программного обеспечения комплекса на платформе Android.
-
Руководство пользователя.
Сведения для эксплуатации программного обеспечения комплекса на платформе iOS.
-
Быстрый старт. iOS.
Сведения для установки и подключения приложения.
-
Руководство администратора. iOS.
Сведения для установки, настройки и эксплуатации абонентского пункта на iOS и iPadOS.
-
Руководство пользователя. iOS.
Сведения для доступа к защищаемым ресурсам средствами абонентского пункта на платформе iOS и iPadOS.
-
Быстрый старт. Аврора.
Сведения для установки и подключения приложения.
-
Руководство администратора. Аврора.
Сведения для установки, настройки и эксплуатации абонентского пункта на платформе ОС Аврора 3.x.
-
Руководство пользователя. Аврора.
Сведения для доступа к защищаемым ресурсам средствами абонентского пункта на платформе ОС Аврора 3.x.
Операционные системы развиваются, появилась Windows 8, следом Windows 10, и наконец-то у Федерального казначейства появилась программа Континент АП, которую можно установить на эти операционные системы. Сегодня я покажу как установить эту программу на Windows 10. Про «восьмерку» речь не веду, потому что она обновляется через интернет до «десятки».
Но сначала, я хотел бы показать, что старая версия Континента АП, а именно, 3.5.68.0, не устанавливается на Windows 10. Я попытался это сделать, и вот какое сообщение я получил в результате:
На рис. 1 это сообщение я обвел жирной красной рамкой. Ну что ж, значит нужна другая версия программы и она есть у нас. Итак приступим. Сначала выдержка из инструкции по установке программы:
Перед установкой комплекса убедитесь, что компьютер удовлетворяет всем требованиям, предъявляемым к аппаратному и программному обеспечению. Программное обеспечение комплекса устанавливается в соответствии с одним из трех вариантов, обеспечивающим необходимый уровень безопасности:
- низкий — соответствует классу КС1;
- средний — соответствует классу КС2;
- высокий — соответствует классу КС3.
Предусмотрено два варианта программы установки ПО комплекса:
- обычная установка — используется для низкого и среднего уровней безопасности;
- расширенная установка, включающая в себя установку ПО Secret Net, — используется для высокого уровня безопасности.
В общем там много еще чего написано, инструкции есть в архиве с программой, можете почитать. Я понимаю, что читать мануалы всегда некогда, поэтому расскажу, как понял сам.
Для установки программы со средним и высоким уровнем безопасности, необходимо наличие платы и ПО ПАК «Соболь». Кроме этого, для установки с высоким уровнем безопасности, дополнительно необходимо наличие ПО Secret Net версии, зависящей от используемой ОС. А вот для установки программы с низким уровнем безопасности ничего из выше перечисленного не нужно. Это нам как раз и подходит. Будем устанавливать с низким уровнем безопасности.
Итак, вы скачали архив с программой, разархивировали его и после этого переходите в папку «Setup». Что же мы тут видим? А видим мы два исполняемых файла «ts_setup» и «ts_sn_setup» (рис. 2):
Какой же из них надо запускать? Один из файлов используется для установки программы с низким и средним уровнем безопасности, второй — с высоким. Нас интересует первый в списке файл «ts_setup». Запустим его, откроется окно (рис. 3):
Сделаем так, как предписывает нам рис. 3, 4 и 5. На картинках всё понятно и перейдем «Далее» (рис. 5). Откроется окно (рис.6), где остановимся подробнее:
Еще в этой статье мы сталкивались с понятием «Межсетевой экран». Там мы его отключали. Тут он называется «Брандмауэр», но функцию выполняет такую же, как там. А зачем он тогда нужен? Кто устанавливал Континент АП предыдущей версии вместе с межсетевым экраном, тот, скорее всего, намучился с внезапным отключением интернета и других танцев с бубном. А оно нам надо, наступать на те же грабли? Поэтому галку «Брандмауэр» (рис. 6) снимаем и жмем «Далее»:
Проверяем путь установки. Кстати, для жителей Челябинской области, менять его не советую. Потому что, для создания запросов на сертификат для Континента АП, предстоит смена шаблона печатной формы, который можно скачать отсюда. А там в инструкции по замене шаблона указан как раз этот путь установки программы (рис. 7). Жмем «Далее»:
На рис. 8 как раз и выбираем установку программы с низким уровнем безопасности и нажимаем «Установить». Установка проходит достаточно быстро, не больше минуты. После ее завершения жмем «Далее» (рис. 9) и перезагружаем компьютер (рис. 10).
После перезагрузки я немножко «офигел», увидев такую картину, как на рис. 11. Я сначала подумал, что это у меня с компьютером что-то случилось. Потом прочитал сообщение и понял, что это наверно разработчики программы так прикололись. Скучно им наверное… Круглая, бело-синяя мишень передвигается по экрану вашего монитора. Ваша задача кликать мышкой по этой мишени, как бы «стреляя». В результате этих действий будет двигаться индикатор, и когда он достигнет правого положения, всё закончится. В трее у вас должен появиться значок Континента АП, такой как на картинке ниже:
Красная стрелка на него указывает (рис. 12). Он серого цвета. Если соединение с сервером доступа будет установлено, то он поменяет свой цвет на зеленый (рис. 13):
Еще один момент. Для создания запроса на сертификат Континента АП и последующей его установкой, воспользуйтесь моей вот этой статьёй. Там всё подробно описано и пункты меню в новой программе соответствуют пунктам меню в старой.
Совсем недавно в нашем управлении федерального казначейства по Челябинской области изменили адрес сервера доступа Континента АП. Но не все клиенты знают где его нужно поменять в программе. Я получаю очень много звонков с просьбой подсказать, как сменить адрес сервера доступа. Поэтому я тут, как всегда, в картинках, решил показать как это сделать, чтобы хотя бы снять часть звонков.
Итак, правая кнопка мышки на значке Континента АП в трее и дальше смотрите картинки:
Как видно из рисунков, наш адрес сервера доступа я замазал, мало ли… Кому надо — тот знает, а кто не знает — тому не надо. На этом всё, программа установлена и находится в работоспособном состоянии. Удачи!
И напоследок… Если вам понравилась эта статья и вы почерпнули из нее что-то новое для себя, то вы всегда можете выразить свою благодарность в денежном выражении. Сумма может быть любой. Это вас ни к чему не обязывает, все добровольно. Если вы всё же решили поддержать мой сайт, то нажмите на кнопку «Поблагодарить», которую вы можете видеть ниже. Вы будете перенаправлены на страницу моего сайта, где можно будет перечислить любую денежную сумму мне на кошелек. В этом случае вас ждет подарок. После успешного перевода денег, вы сможете его скачать.
Для корректной работы СУФД необходимо:
1) Наличие операционной системы:
— Windows 7 SP1 (кроме всех выпусков Starter и Home Edition);
— Windows 8.1;
— Windows 10, начиная с версии 1703 (кроме всех выпусков Home Edition).
2) Установить браузер, например, Яндекс.Браузер, Google Chrome, Chromium-Gost или Mozilla Firefox.
При необходимости работы в Mozilla Firefox версии ниже 52, рекомендуется использовать версию 40 (либо использовать портативную версию Mozilla Firefox);
3) Установить КриптоПро CSP 4.0 (выдается в удостоверяющем центре вместе с лицензией);
4) Установить КриптоПро ЭЦП Browser plug-in (официальный сайт) (демо-страница проверки работы установленного плагина).
Для Mozilla Firefox дополнительно требуется установить расширение для браузера CryptoPro Extension for CAdES Browser Plug-in и отключить блокировку всплывающих окон (рекомендации по настройке Mozilla Firefox).
5) Установить Континент АП 3.7.7 (выдается в удостоверяющем центре) по прилагаемой к дистрибутиву инструкции без установки компонента «Межсетевой экран»;
6) Установить сертификат головного УЦ 2022 (от 08.01.2022) и головного УЦ ГОСТ 2012 (от 06.07.2018) в хранилище доверенных корневых сертификатов и сертификаты УЦ ФК 2022 (от 10.01.2022), УЦ ФК 2021 (от 13.04.2021), УЦ ФК 2020 (от 05.02.2020) в хранилище промежуточных корневых сертификатов (рекомендация по установке).
7) Установить сертификат для Континента АП (выдается в удостоверяющем центре) и убедиться, что он соединяется с сервером (Рекомендации по установке СКЗИ Континент АП, по созданию электронной подписи для Континента и ее установке).
Установить личные сертификаты (выдаются в удостоверяющем центре) пользователей СУФД (рекомендация по установке).
9) Добавить в файл «C:WINDOWSSystem32driversetchosts» две строки:
10.56.200.13 s5600w03.ufk56.roskazna.local s5600w03
10.56.200.13 sufd.s5600w03.ufk56.roskazna.local
Если у вас Windows 7, 8 или 10, то перед внесением изменений в файл hosts необходимо скопировать его в другое место, например, на Рабочий стол и уже там его редактировать. После сохранения изменений отредактированный файл hosts надо скопировать обратно в папку «C:WINDOWSSystem32driversetc» и заменить им старый файл.
10) Проверить, что в Mozilla Firefox открывается сайт
http://s5600w03.ufk56.roskazna.local:28081
Настройка Mozilla Firefox (для версии 40)
1) Запустить программу Mozilla Firefox, после этого зайти во вкладку Инструменты > Настройки далее на вкладку Содержимое убрать галочку с пункта «Блокировать всплывающие окна». Нажать [OK];
2) Далее на вкладку Дополнительные и на внутреннюю вкладку Сеть нажать кнопку [Настроить] напротив пункта «Соединение». В появившемся окне «Параметры соединения» выбрать пункт «Без прокси» и нажать [OK];
3) Переходим на внутреннюю вкладку Обновления выбраем пункт «Никогда не проверять наличие обновлений». Нажать [OK];
4) Зайти во вкладку Инструменты > Дополнения далее в разделах «Расширения» и «Плагины» найти все строки, где упоминается CryptoPro CAdES NPAPI Browser Plug-in и убедиться, что они включены со следующими параметрами запуска «Всегда включать» (в ранних версиях может не быть выпадающего списка, вместо этого если есть кнопка «Отключить», то плагин включен). Если плагин отключен, то его необходимо включить;
5) Перезапустить Mozilla Firefox.
Вход в СУФД
1) Устанавливаем соединение Континент АП. Нажимаем правой кнопкой на значке Континент АП и выбираем пункт «Подключить Континент АП», после успешного подключения иконка изменит цвет с серого на зеленый или синий;
2) Запускаем программу Mozilla Firefox и переходим по адресу:
http://s5600w03.ufk56.roskazna.local:28081
3) В появившемся окне вводим логин и пароль, нажимаем кнопку «Вход в систему».
Наконец то мы дождались изменений в настройке доступа к СУФД. С мая 2021 года УФК планомерно переводит ведомства на новый тип авторизации на портале. Что изменилось?
Уходят в небытие забытые пароли, учётные записи и, самое главное, казначейство наконец избавляется от Континент АП 3.7. К сожалению, сама контора, разрабатывающая континент — никуда не делась, вместо неё теперь используется Континент TLS VPN клиент. Зато теперь больше не нужно перевыпускать транспортные сертификаты =).
Что нам понадобится для настройки
1. Сертификат, полученный в казначействе на человека, указанного в карточке образцов подписей;
2. Крипто Про CSP 4;
3. Крипто Про ЭЦП Browser Plugin;
4. Континент TLS VPN клиент;
5. Почти любой современный браузер, но лучше всего подойдёт Chrome или Chromium Gost.
5. Серверный сертификат казначейства, его можно скачать по ссылке. Нам нужен тот, который до 11.05.2023;
6. Нужно знать прошлый адрес доступа к СУФД, либо знать код ТОФК.
Подготовка к настройке
1. Обязательно удаляем континент АП (если был), с обязательной перезагрузкой;
2. Первым делом нужно поставить Крипто Про CSP 4, желательно версии R5. Можно скачать с официального сайта, пробный бесплатный период использования — 3 месяца. Потом покупать, либо просить у казначейства;
3. Затем устанавливаем Континент TLS VPN клиент. Казначейство рекомендует версию 1.2, именно её можно получить сделав запрос в УФК, но я пользуюсь версией 2.0. Скачать Континент TLS VPN клиент 2.0 можно по ссылке;
4. После установки Континент нужно зарегистрировать — это бесплатно. Достаточно просто вбить ФИО, организацию и электронную почту.
5. Устанавливаем личный сертификат, полученный в казначействе. Если не умеете — см. статью Установка сертификатов Крипто Про в реестр.
6. Устанавливаем CADES, он же Крипто Про ЭЦП Browser Plugin. Ссылка на его загрузку — Тык.
Настройка Континент TLS VPN клиента
После установки всего и перезагрузки АРМ, запускаем наш TLS клиент. Его ярлык будет лежать на рабочем столе.
В меню Континент TLS-клиента необходимо нажать на «+ Добавить» и выбрать вкладку «Ресурс». В это поле вписываем адрес нашего суфд портала, но не старый адрес. Порт указываем 443.
Новый адрес выглядит по принципу: ufkXX.sufd.budget.gov.ru, где XX — номер вашего ТОФК. Если не знаете номер — посмотрите на прошлую ссылку, по которой ранее ходили в СУФД. В моём случае старый адрес выглядел так: s2000w03.ufk20.roskazna.local. Делаем вывод, в моём случае, для моего региона, новый адрес доступа к СУФД будет выглядеть так — ufk20.sufd.budget.gov.ru.
Далее нам потребуется установить серверный сертификат. Напоминаю, что скачать его можно тут (до 11.05.2023). Идём в раздел «Управление сертификатами» в континент TLS, выбираем пункт «Серверные сертификаты» и импортируем скачанный файлик.
Если на АРМ ранее не пользовались электронными подписями — будет ошибка типа «Не найден корневой сертификат, невозможно проверить цепочку сертификатов«. Скорее всего не установлены сертификаты минкомсвязи и удостоверяющего центра ФК.
Для удобства — вот ссылка на сертификат минкомсвязи (Обновлено 05.03.2022, теперь этот сертификат выдаётся минцифрой). Его устанавливаете в Доверенные корневые центры сертификации. А вот ссылка на актуальные корневые сертификаты УФК, их устанавливаете в Промежуточные центры сертификации.
Если ошибок нет, сертификат говорит что он действителен, пройдите на соседнюю вкладку «CDP» и прожмите пункт «Скачать CRL».
В настройках Континента можно включить автоматический старт программы при запуске компьютера — это удобно.
Вход в СУФД по новому адресу после настройки
Открываете свой любимый браузер. Удостоверьтесь в том, что Крипто Про ЭЦП Browser plugin включён и работает. Новый адрес доступа к СУФД будет выглядеть как в процессе настройки TLS клиента — то есть в моём случае это ufk20.sufd.budget.gov.ru.
Если всё настроено верно, то попытка зайти на портал попросит вас сразу же выбрать сертификат, под которым будет осуществлён вход.
Из неудобного — для подписания документов другим человеком теперь недостаточно перезайти в СУФД, так как сайт будет помнить, под каким сертификатом прошла авторизация. Чтобы зайти под другим человеком, нужно предварительно сбросить TLS соединение. Для этого в правом нижнем углу нажмите правой кнопкой на значок Континент TLS и нажмите «Сброс соединений»
1. Обращаем ваше внимание, что данная версия устанавливается на операционные системы (ОС) Windows 7 SP 1 x86/64, Windows 8.1, 8х86/х64 и выше. Более подробные рекомендуемые аппаратные и программные требования, описаны в формуляре.
Переходим к процессу установки СКЗИ «Континент-АП» версии 3.7.7. Открываем скаченный архив СКЗИ «Континент-АП» версии 3.7.7 и запускаем файл установки «Континент АП v3.7.7.651.exe»
2. В появившемся окне нажмите кнопку «ДАЛЕЕ>»
3. Далее внимательно читаем лицензионное соглашение для ознакомления, ставим переключатель в положение «Я принимаю условия соглашения» Нажимаем кнопку «ДАЛЕЕ>»
4. Далее будут предложены компоненты устанавливаемой программы. VPN клиент будет установлен по умолчанию. Рекомендуем убрать «галку» Брендмауэр. Нажимаем кнопку «ДАЛЕЕ>»
5. Затем будет предложен выбор папки для установки, рекомендуем оставить путь по умолчанию. Нажимаем кнопку «ДАЛЕЕ>»
6. Конфигурация АП, имя RAS соединения оставьте по умолчанию. Указать необходимо Адрес сервера доступа (для примера укажем реальный адрес сервера доступа УФК по Еврейской автономной области 7800-SD-01.roskazna.ru), Уровень безопасности рекомендуем выбрать – Низкий. Нажимаем кнопку «УСТАНОВИТЬ>»
7. Ожидаем когда программа завершит установку. Нажмите кнопку «Далее»
8. При завершении работы мастера установки рекомендуем выбрать переключатель в положение «Да, перезагрузить ПК сейчас». Нажмите кнопку «Готово»
9. После перезагрузки часто возникает проблема с подписанием, рекомендуем проделать следующее… Перед выполнением обязательно создайте точку для восстановления Вашей операционной системы, а также можете выгрузите реестр т.к. могут возникнуть проблемы, и если Вы что-то сделаете не так, то Вы бы смогли быстро вернуть ваш компьютер в рабочее состояние! (звонить в казначейство и спрашивать, как создать точку восстановления не нужно, для этого в вашей организации должен быть программист (системный администратор), если такого нет, то вся информация есть в интернете, как сделать точку восстановления и тд.)
Нажмите ПУСК->Выполнить или
нажмите сочетание клавиш Win+R и введите команду regedit
Если Windows x86 только в первой ветке реестра. Если Windows x64 тогда в двух ветках реестра.
1)[HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 0CryptDllFindOIDInfo]
2)[HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftCryptographyOIDEncodingType 0CryptDllFindOIDInfo]
Для значения OID [1.2.643.2.1.3.2.1!1] переименуйте параметр «Algid»=dword:0000801e в уникальное, например «Algid-«=dword:0000801e и сохраните в реестре, и проверьте
т.е. Вы переименовываете Имя и добавляете символ, в данном случае примером является символ «-» и получится «Algid-»
После этого снова перезагружаем компьютер!!!
Наша команда имеет большой опыт в сопровождении казначейских программ. Мы готовы помочь вам в любом вопросе. Рекомендуйте нас своим коллегам.
03 март 2014 12:09 — 14 апр 2015 05:40 #53
от Alex_04
Ссылки на некоторые материалы, которые возможно будут полезны пользователям данного ППО.
— Порядок установки Континент-АП (инструкция нашего отдела безопасности образца 2013 года):
yadi.sk/d/-pFZ27IuJrKQR
— Вопросы-ответы по работе с сообщениями об ошибках СКЗИ «Континент-АП» (собрано с форумов):
yadi.sk/d/acyFmxcPJrKdC
— Континент-АП v.3.7.2.1229, поддерживает Windows 8.1 Pro x64, работает с
СД «Континент» версии 3.6/3.7
и в связке только с
«КриптоПро» версии 3.9/4.0
(такой бесплатной версии для клиентов у ФК нет):
yadi.sk/d/T14SsZ8pfxtuD
«Мы будем жить плохо, но недолго.» (© Черномырдин В.С.)
Спасибо сказали: dem, sad41, OlegFlash
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
13 апр 2015 06:52 #159
от Андрей
Выложите, пожалуйста, Континент-АП 3.7.2.1229.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
13 апр 2015 11:58 #160
от Андрей
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
20 нояб 2015 07:32 #957
от Helen
Кто-нибудь ставил СУФД на Wind/10 Pro?
Пока работает КриптоПро 4.0 + Континент 3,7
Однако, есть 2 проблемы:
1. КриптоПро без ключей — на 3 мес.только. Может, какая-то из 3.* версий с ним работает по факту? (по документации — нет, а попробовать не на чем)
2. Континент не видит контейнер, установленный в реестр, только на флешке. КриптоПро его видит, тестирует ОК. В чем может быть дело?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
20 нояб 2015 08:15 #962
от OFK5118
Helen пишет: Однако, есть 2 проблемы:
1. ………
2. Континент не видит контейнер, установленный в реестр, только на флешке. КриптоПро его видит, тестирует ОК. В чем может быть дело?
насколько мне известно континент не может работать с реестром
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
20 нояб 2015 11:10 — 20 нояб 2015 11:13 #969
от Helen
У меня много лет Континент 3.5 и 3.6 работает так без вопросов.
Имеется в виду, что устанавливая личный сертификат через меню Континента можно было выбрать контейнер, записанный в реестр, а вот 3.7 под w10 (КриптоПро4.0) его тупо не видит…
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
26 нояб 2015 11:24 #1095
от Beast2040
Helen пишет: Кто-нибудь ставил СУФД на Wind/10 Pro?
Пока работает КриптоПро 4.0 + Континент 3,7
Однако, есть 2 проблемы:
1. КриптоПро без ключей — на 3 мес.только. Может, какая-то из 3.* версий с ним работает по факту? (по документации — нет, а попробовать не на чем)
2. Континент не видит контейнер, установленный в реестр, только на флешке. КриптоПро его видит, тестирует ОК. В чем может быть дело?
1. попробуй крипту 3.6.7777 установить, аналогично как это делается на Win8.1 (там надо немного подправить дистрибутив с помощью Orca)
На Win8.1 это работает, возможно и на 10ке прокатит.
2. Континент не видит считыватель реестр, но крипта же видит. Поэтому ставьте континентовские ключи через крипту, и все будет гут.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
26 нояб 2015 18:43 #1119
от Evgen57
Helen пишет: 2. Континент не видит контейнер, установленный в реестр, только на флешке. КриптоПро его видит, тестирует ОК. В чем может быть дело?
Для разных версий Континент АП ключ в реестр должен копироваться с отметкой «Пользователя» или «Компьютера»
Спасибо сказали: OlgaSt
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
28 апр 2016 07:06 — 28 апр 2016 07:08 #2195
от Irisha
Добрый день. Подскажите, пожалуйста. При установке континент-ап на машине клиента выдает такую ошибку:
ОС-Windows 7 максимальная SP1
брандмауэр и антивирус отключены
Благодарю
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
28 апр 2016 15:56 #2196
от sedkazna
Приносили подобные машины клиенты пару раз, не мог решить проблему. Обычно, подобное возникает на восстановленной системе после вирусов. Мне бы тоже хотелось узнать решение.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
29 апр 2016 07:06 — 29 апр 2016 08:06 #2198
от Alex67
Irisha пишет: При установке континент-ап на машине клиента выдает такую ошибку:
ОС-Windows 7 максимальная SP1
C другого форума при аналогичной ошибке:
решилось полным удалением и установкой из под админа
Континент для Win7 нужен не менее 3.6.79.0 (межсетевой экран НЕ ставить!!!)
«Кто людям помогает — лишь тратит время зря. Хорошими делами прославиться нельзя» (с) Шапокляк
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
11 мая 2016 00:29 #2214
от nick_e
С некоторых пор при нажатии Установить соединение Континент — АП в меню Установить/разорвать соединение, сразу же выходит сообщение:
в чем может быть дела? требуемый тип протокола действительно отсутствует в списке, но после перезагрузке компьютера вновь появляется и континент подключается. Но в какой то момент снова пропадает и нужно перезагружать компьютер, весь день его перезагружать я понятное дело не могу, да и причину надо выяснить. Казначейство наше как всегда ничем помочь не может,а скорее не хочет…
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
11 мая 2016 06:10 #2216
от sedkazna
nick_e пишет: С некоторых пор при нажатии Установить соединение Континент — АП в меню Установить/разорвать соединение, сразу же выходит сообщение:
Было сегодня подобное. Помогла только «мягкая» (исправление) переустановка.
Но перед этим была ошибка 628. Причина была в антивируснике AVG. Клиент снес его и КАП заработал. Может данная инфа вам поможет.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
11 мая 2016 07:13 — 11 мая 2016 07:17 #2217
от Alex_04
sedkazna пишет: Причина была в антивируснике AVG. Клиент снес его и КАП заработал.
А вот это уже интересно: кто и почему уверен, что причина была
именно в антивируснике AVG?
С апреля на АРМ Интернет теротдела установлен именно этот антивирь как один из наиболее лучших бесплатных (наряду с Avast и Panda — www.comss.ru/page.php?id=2483). Проблем с Континент-АП никаких до сих пор не было (когда возникала необходимость). Можно адрес соединения добавить в исключения в настройках AVG. Пользую AVG AntiVirus Free Edition 2016 build 16.71.7597 (последняя). Подозреваю или недонастроенность AVG или уже «корявость» операционки виноваты.
«Мы будем жить плохо, но недолго.» (© Черномырдин В.С.)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
11 мая 2016 08:07 #2218
от sedkazna
Alex_04 пишет: кто и почему уверен, что причина была именно в антивируснике AVG?
Клиент обратился с ошибкой 628. Вспомнил, что проблемы начались после обновления антивирусника. Самостоятельно его снесли и проблема исчезла.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Содержание
- Настройка рабочего места для доступа к СУФД в 2022 году.
- Что нам понадобится для настройки
- Подготовка к настройке
- Настройка Континент TLS VPN клиента
- Вход в СУФД по новому адресу после настройки
- Как установить и настроить СУФД на Windows 10?
- Настройка рабочего места для работы в СУФД
- СУФД + Windows 10
- СУФД + Windows 10
Настройка рабочего места для доступа к СУФД в 2022 году.
Наконец то мы дождались изменений в настройке доступа к СУФД. С мая 2022 года УФК планомерно переводит ведомства на новый тип авторизации на портале. Что изменилось?
Уходят в небытие забытые пароли, учётные записи и, самое главное, казначейство наконец избавляется от Континент АП 3.7. К сожалению, сама контора, разрабатывающая континент — никуда не делась, вместо неё теперь используется Континент TLS VPN клиент. Зато теперь больше не нужно перевыпускать транспортные сертификаты =).
Что нам понадобится для настройки
1. Сертификат, полученный в казначействе на человека, указанного в карточке образцов подписей;
2. Крипто Про CSP 4;
3. Крипто Про ЭЦП Browser Plugin;
4. Континент TLS VPN клиент;
5. Почти любой современный браузер, но лучше всего подойдёт Chrome или Chromium Gost.
5. Серверный сертификат казначейства, его можно скачать по ссылке;
6. Нужно знать прошлый адрес доступа к СУФД, либо знать код ТОФК.
Подготовка к настройке
1. Обязательно удаляем континент АП (если был), с обязательной перезагрузкой;
2. Первым делом нужно поставить Крипто Про CSP 4, желательно версии R5. Можно скачать с официального сайта, пробный бесплатный период использования — 3 месяца. Потом покупать, либо просить у казначейства;
3. Затем устанавливаем Континент TLS VPN клиент. Казначейство рекомендует версию 1.2, именно её можно получить сделав запрос в УФК, но я пользуюсь версией 2.0. Скачать Континент TLS VPN клиент 2.0 можно по ссылке;
4. После установки Континент нужно зарегистрировать — это бесплатно. Достаточно просто вбить ФИО, организацию и электронную почту.
5. Устанавливаем личный сертификат, полученный в казначействе. Если не умеете — см. статью Установка сертификатов Крипто Про в реестр.
6. Устанавливаем CADES, он же Крипто Про ЭЦП Browser Plugin. Ссылка на его загрузку — Тык.
Настройка Континент TLS VPN клиента
После установки всего и перезагрузки АРМ, запускаем наш TLS клиент. Его ярлык будет лежать на рабочем столе.
В меню Континент TLS-клиента необходимо нажать на «+ Добавить» и выбрать вкладку «Ресурс». В это поле вписываем адрес нашего суфд портала, но не старый адрес. Порт указываем 443.
Новый адрес выглядит по принципу: ufkXX.sufd.budget.gov.ru, где XX — номер вашего ТОФК. Если не знаете номер — посмотрите на прошлую ссылку, по которой ранее ходили в СУФД. В моём случае старый адрес выглядел так: s2000w03.ufk20.roskazna.local. Делаем вывод, в моём случае, для моего региона, новый адрес доступа к СУФД будет выглядеть так — ufk20.sufd.budget.gov.ru.
Далее нам потребуется установить серверный сертификат. Напоминаю, что скачать его можно тут. Идём в раздел «Управление сертификатами» в континент TLS, выбираем пункт «Серверные сертификаты» и импортируем скачанный файлик.
Если на АРМ ранее не пользовались электронными подписями — будет ошибка типа «Не найден корневой сертификат, невозможно проверить цепочку сертификатов«. Скорее всего не установлены сертификаты минкомсвязи и удостоверяющего центра ФК.
Для удобства — вот ссылка на сертификат минкомсвязи. Его устанавливаете в Доверенные корневые центры сертификации. А вот ссылка на актуальные корневые сертификаты УФК, их устанавливаете в Промежуточные центры сертификации.
Если ошибок нет, сертификат говорит что он действителен, пройдите на соседнюю вкладку «CDP» и прожмите пункт «Скачать CRL».
В настройках Континента можно включить автоматический старт программы при запуске компьютера — это удобно.
Вход в СУФД по новому адресу после настройки
Открываете свой любимый браузер. Удостоверьтесь в том, что Крипто Про ЭЦП Browser plugin включён и работает. Новый адрес доступа к СУФД будет выглядеть как в процессе настройки TLS клиента — то есть в моём случае это ufk20.sufd.budget.gov.ru.
Если всё настроено верно, то попытка зайти на портал попросит вас сразу же выбрать сертификат, под которым будет осуществлён вход.
Из неудобного — для подписания документов другим человеком теперь недостаточно перезайти в СУФД, так как сайт будет помнить, под каким сертификатом прошла авторизация. Чтобы зайти под другим человеком, нужно предварительно сбросить TLS соединение. Для этого в правом нижнем углу нажмите правой кнопкой на значок Континент TLS и нажмите «Сброс соединений»
Источник
Как установить и настроить СУФД на Windows 10?
При установки СУФД старой версии, никаких проблем не возникало. Установка проходит нормально в автоматическом режиме. Поэтому описывать установку СУФД старой версии смысла не было. Новая версия СУФД тоже устанавливается нормально в автоматическом режиме, но работать после этого отказывается.
Это связано с тем, что в состав установочного пакета старой и новой версии, входят разные Java. Если старую Java настраивать не требовалось, то с новой не всё так однозначно. В этой статье я покажу как установить СУФД и настроить Java.
С 9 декабря 2019 года изменилась ссылка входа в СУФД. Для того, чтобы изменить ее у вас на компьютере, скачайте новую версию утилиты настройки СУФД.
Итак приступим. Как я уже сказал, установка простейшая, поэтому весь процесс я просто покажу на картинках. Запустите установочный файл и последовательность ваших действий можно посмотреть на картинках ниже:
СУФД установлено, теперь приступим к настройке Java. Сразу надо оговориться, что настройка Java описана в инструкции по установке СУФД, которое наше управление написало для своих клиентов. Это касается Челябинской области. Я воспроизведу эту инструкцию здесь. В ней указан ip-адрес СУФД-портала в нашем управлении, потому я не вижу смысла скрывать его здесь. Для других регионов, я думаю, будет достаточно только заменить этот ip-адрес на свой.
Итак, заходим в панель управления компьютером и запускаем Java (рис. 14):
На вкладке»General» идем «Setting» (рис. 15), затем «Delete Files. » (рис. 16). Галочки «Trace and Log Files» и «Cashed Application and Applets» оставляем как есть и жмем «ОК» (рис. 17). Переходим на вкладку «Security» и жмем кнопку «Edit Site List» (рис. 18):
На рис. 19 в поле «Sertificate type» выбираем «Signer CA» и нажимаем кнопку «Import». Выбираем сертификат. Если вы скачали архив с программой установки СУФД у меня с сайта, то сертификат находится в архиве. После импорта жмем кнопку «Close». Все, теперь главное не забыть о том, когда вы первый раз будете подписывать в СУФД какой-нибудь документ, то выйдет окно, как на рис. 20. Обязательно поставьте галочку «Do not show this again for apps from the publisher and location above» и нажмите «Run». На этом всё!
P.S. В 2019 году Федеральное казначейство выдает сертификаты по ГОСТ Р 34.10-2012. Чтобы подписывать документы в СУФД с помощью таких сертификатов, нужно использовать плагин ЭЦП браузера. Подпись на Java не работает.
И напоследок. Если вам понравилась эта статья и вы почерпнули из нее что-то новое для себя, то вы всегда можете выразить свою благодарность в денежном выражении. Сумма может быть любой. Это вас ни к чему не обязывает, все добровольно. Если вы всё же решили поддержать мой сайт, то нажмите на кнопку «Поблагодарить», которую вы можете видеть ниже. Вы будете перенаправлены на страницу моего сайта, где можно будет перечислить любую денежную сумму мне на кошелек. В этом случае вас ждет подарок. После успешного перевода денег, вы сможете его скачать.
Источник
Настройка рабочего места для работы в СУФД
Итак, вы пришли в учреждение и получили задачу установить/настроить доступ на портал СУФД. Не смотря на статьи с официального сайта казначейства, в данный момент в СУФД можно зайти с абсолютно любой винды, включая Windows 10, для этого нам понадобится: Криптопро 4.0, Континент АП 3.6-3.7, браузер с поддержкой шифрования трафика и плагинов (Firefox ESR 52; Cryptoprofox; Спутник), КриптоПро ЭЦП Browser plug-in (Не Java – она тупит и отваливается при обновлениях, но можно и её если вдруг не работает наш способ). Если вдруг континент постоянно вступает в конфликт с КриптоПро CSP — поставьте 4 версию, ссылка на неё, а так же небольшой экскурс, можно найти в статье Кресты на всех сертификатах после установки Континент АП.
Континент АП. В данный момент актуальной для казначейства является версия 3.7, однако работать можно и в 3.6, разница будет в адресах указываемых при подключении к серверу. Для каждого региона адреса подключений разные, их можно узнать в своём казначействе либо поискать на сайте roskazna.ru. Пример адресов актуальных для Приморского края:
3.6 и ниже
94.25.19.154
94.25.19.155
94.25.33.26
94.25.33.27
Сама установка Континент АП банальна, однако в случае с 3.7 лучше убрать в настройках установку брандмауэра – конфликтует с кучей другого ПО и по сути не нужен для работы в СУФД. После установки обязательна перезагрузка ПК и установка транспортного сертификата, если у вас его нет – сформировать заявление на выпуск и сгенерировать его можно в том же Континенте, после чего отвозим всё это дело в казначейство (не забудьте флешку), вам на руки сразу выдадут файлы user и root. Ясное дело сертификат user – открытый ключ к вашему закрытому ключу, сформированному при генерации. user ставим через криптопро, root добавляем доверенные корневые центры сертификации, затем правый тык на континенте- установить сертификат – выбираете открытый ключ, потом указываете закрытый. Теперь можно подключаться, с успешным подключением значок Континента окрасится в синий/зелёный цвет, зависит от версии.
Выбираем браузер по душе из трех предложенных, можно почитать тут, в основном люди пользуются Firefox ESR 52 для 32-х разрядов, однако позаботьтесь сразу же отключить автоматическое обновление браузера, при первом же подключении ESR 52 превратится в 63+ и ваши плагины перестанут работать. Качаем Крипто Про Browser plugin по ссылке, старайтесь держать последнюю версию плагина в системе.
Источник
СУФД + Windows 10
Win10 скорее всего тут причем.
Как писалось на некоторых форумах, и кучей экспериментов, путем установки того-же комплекта ПО (континент + криптопро) на машины с Win 7 и Win8, проблема в безопасности Windows 10, причем версия ее не играет никакого значения. Где то зашит запрет на прохождение пакетов, или еще что-то.
Вышла версия Континента 3.7.6 может там эта проблема решена.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
KaVic пишет: Win10 скорее всего тут причем.
Как писалось на некоторых форумах, и кучей экспериментов, путем установки того-же комплекта ПО (континент + криптопро) на машины с Win 7 и Win8.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Вложения:
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
andrei_drozhzhin пишет: Есть еще мнение, что на десятке можно только с КрипроПро 4 работать, но лицензии, чтобы попробовать, у меня нет.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Вложения:
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
andrei_drozhzhin пишет: Проблема в том, что не пингуется сервер защиты СУФД несмотря на то, что связь по Континенту устанавливается нормально.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
andrei_drozhzhin пишет: Конечно, но проблема то не в этом..
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
На Windows можно попытаться поиграться с заданием статических маршрутов для конкретного ip-адреса назначения (тогда маску сети можно не знать, а указывать 255.255.255.255) или конкретных сетей назначения (тогда нужно знать конкретные маски сетей).
Статья, где доступно объяснено: interface31.ru/tech_it/2015/08/organizac. marshrutizaciya.html
Обратите внимание: При подключении к VPN-сети основным шлюзом по умолчанию становится не маршрутизатор подключаемого клиента, а шлюз в VPN-сети, если стоит галочка «Использовать основной шлюз по-умолчанию в удаленной сети» wiki.trion.mk.ua/index.php?title=%D0%9D%. 8F_%D0%B2_Windows_10 То есть можно также попробовать убрать эту галочку и прописать статические маршруты вручную на компьютере и на своём маршрутизаторе (не знаю, потребуется это делать на маршрутизаторе, или нет).
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Источник
СУФД + Windows 10
WhatIsThis пишет: Надо как то решать эту проблему. Как можно открыть порты? Есть какие то идеи?
Антивирус? Брандмауэр Windows?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
WhatIsThis пишет: Установлен касперский. Касперского отключал
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
WhatIsThis пишет: Установлен касперский. Касперского отключал, браундмауэр тоже выключен, защитник windows Тоже выключен.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
WhatIsThis пишет: Как полагалось в Континенте убрал галочки с Брандмауэра, после установки вошёл в «Настройки соединения» и поменял на 3200-sd-01.roskazna.ru.
Уже ошибка, адрес вносится при установке, это раз
Два, пропишите IP адрес, а не доменное имя
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
ranger пишет: Уже ошибка, адрес вносится при установке, это раз
Два, пропишите IP адрес, а не доменное имя
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
ну если у вас проблем нет с DNS то вносите доменное имя
у нас было такое что DNS у УФК лагал, только через IP-адрес работало
с тех пор про доменное имя забыл вообще и проблем ниразу не было с IP-адресом
ну а теперь вообще и про АП забыл, перешли на подключение через ГОСТ в ЭБ
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
necros2k7 пишет: в СУФД через Хромиум ГОСТ
Континент TLS может мешать работе хГОСТА?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Источник