Как настроить компьютер для работы с ГИИС “Электронный бюджет”

Или Краткое руководство по настройке рабочего места (АРМ) для работы с ГИИС “Электронный бюджет”.

Список последних изменений в документе

Предисловие

В данном руководстве описано как настроить компьютер для работы с ГИИС «Электронный бюджет» (Казначейским сопровождением или другими подсистемами). Без Континент TLS-клиента. Без Jinn-Client. Не связываясь с продуктами Кода Безопасности. Без выискивания серверных сертификатов для Континент TLS-клиента (которому вечно что-то не так).

Подразумевается, что вы только начинаете свой путь и будете настраивать компьютер с нуля, с чистой операционной системы на неограниченном интернете (было бы идеально). Если это не так, возможные источники проблем так же перечислены.

Для каких ресурсов это будет работать

• eb.cert.roskazna.ru — Портал Федерального Казначейства Государственной Интегрированной Информационной Системы “Электронный Бюджет”. Предоставляет доступ к подсистемам ЭБ, оператором которых является ФК. Включая Казначейское сопровождение, Управление расходами ФБ, Подсистема Информационно-Аналитического Обеспечения и Подсистема Учёта И Отчётности. И другие…

  

• sobi.login.roskazna.ru — Подсистема Обеспечения Информационной Безопасности Системы Обеспечения Безопасности Информации (ПОИБ СОБИ) Федерального Казначейства. За столь длинным и сложным названием скрывается сервис, выполняющий функцию централизованной базы данных пользователей и списка того, что им делать можно, для использования в сервисах, оператором которых является ФК. Чтобы зарегистрироваться 1 раз и пользоваться всеми с одной УЗ.

  

• fzs.roskazna.ru — Портал заявителя Удостоверяющего Центра Федерального казначейства (Казначейства России). Сайт позволяет выпускать сертификаты полностью или частично удалённо. Подавать документы в электронном виде. Управлять уже выпущенными сертификатами от УЦ ФК.

  

Для любых других, использующих КриптоПро ЭЦП для ЭП и ГОСТ TLS для защиты передаваемых данных и аутентификации.

Включая (но не ограничиваясь):

• ufk**.sufd.budget.gov.ru — СУФД-онлайн (через ГОСТ TLS). Вместо звёздочек, первые 2 цифры кода ТОФК.
• lk.zakupki.gov.ru — ЕИС Госзакупки (личный кабинет)
• buh2012.budget.gov.ru — 1С ЗКГУ и БГУ (для госсектора) на базе ГИИС “Электронный Бюджет” через браузер.
• ssl.budgetplan.minfin.ru — ГИИС “Электронный бюджет”, Бюджетное Планирование, подсистемы ведении Минфина России.

Но всё же, центром этой статьи будет являться Портал eb.cert.roskazna.ru в ведении Федерального казначейства.

Что потребуется для установки

• СКЗИ КриптоПро CSP
• КриптоПро ЭЦП browser plug-in
• Браузер с поддержкой ГОСТ TLS Яндекс.Браузер или Chromium GOST
• Драйвер для носителя контейнера ключа ЭП. В случае Рутокен, Драйвер Рутокена. В случае JaCarta, драйвер JaCarta. И т.д.
• Личный сертификат УКЭП

На случай, если всё ещё задаётесь вопросом: СКЗИ Континент TLS-клиент, средство ЭП Jinn-Client при настройке данным способом не понадобятся.

Если у вас уже установлено на компьютере средство ЭП Jinn-Client, можно его либо удалить, либо проигнорировать. Оно всё равно прекратило работать, как только Google удалил его расширение из магазина и пометил как вредоносное (чтобы наверняка). Даже если раньше вы использовали Jinn-Client, с большой вероятностью, вы его уже не используете. Кроме отдельных случаев с закрытым контуром, где интернет ограничен и магазин недоступен.

Если установлен Континент TLS-клиент, достаточно отключить его автозапуск с системой и выйти из него с помощью значка в области уведомлений. Удалить его можно позже. Так же, это может означать, что у вас уже установлен КриптоПро CSP.

• Перейти в Континент TLS-клиент -> Настройки -> Основные. Убрать галочку с пункта “Запускать при старте системы”. Обязательно нажать Сохранить.

  

• Нажать правой кнопкой мыши на значке Континент TLS-клиента в Области уведомлений —> Выход.

  

КриптоПро CSP

Грубо говоря — это ГОСТ-движок (криптопровайдер), с помощью которого осуществляется вся ГОСТ-криптография в ОС, т.к. по умолчанию, вместе с ОС Windows не поставляются программные средства для работы ГОСТ-криптографии, в отличии от широко распространённых алгоритмов.

Без КриптоПро CSP не будет работать доступ по ГОСТ TLS и подписание документов с помощью УКЭП, и альтернативы в данном случае не предвидится (в том числе, потому, что другие ГОСТ-криптопровайдеры ГИИС “Электронный Бюджет” не поддерживаются).

СКЗИ можно скачать с официального сайта, после простой регистрации по Email и принятия Лицензионного соглашения. Это рекомендуемый способ приобретения дистрибутива.

Вам нужно выбрать версию КриптоПро CSP, соответствующую вашей лицензии:

• Для серийного номера лицензии, начинающегося на 4040, нужна версия 4.0.9963.0 (R4). Или 5.0.11455.0 (R1).
• Для серийного номера лицензии, начинающегося на 5050, нужна версия 5.0.12000.0 (R2) и выше.

• Случаи, когда использование КриптоПро CSP 5.0.12000.0 (R2) обязательно:

  • ОС Windows 11. Т.е. если у вас лицензия на КриптоПро CSP для ветки 4.0 и ОС Windows 11, вам придётся либо осуществить даунгрейд до Windows 10, либо приобрести лицензию для КриптоПро CSP 5.0. КриптоПро CSP 4.0 не поддерживает Windows 11 и не собирается.

  • Неизвлекаемые ключей УКЭП на активных смарт-картах (Рутокен ЭЦП 2.0 и подобные). Если у вас активная смарт-карта с установленным неизвлекаемым ключом (в режиме PKCS#11), вам в любом случае нужен КриптоПро версии 5.0.12000.0 (R2) или выше. Даже на Windows 10. Обратите внимание, что ключ на Рутокен ЭЦП может быть так же записан и в пассивном режиме. Узнать наверняка можно только через программу Панель управления вашего носителя. Если ключ записали в активном режиме, в пассивный его конвертировать невозможно. Только перевыпуск. Не зря же их называют неизвлекаемыми.

Если вы не имеете действительной лицензии в данный момент, но планируете её приобрести, рекомендуется скачать 5.0.12000.0 (R2), не ошибетесь. КриптоПро предоставляет пробный период на 90 дней после установки СКЗИ или после обновления с КриптоПро CSP 4.0.* с действительной постоянной лицензией на 5.0.12000.0.

Лицензирование КриптоПро CSP обязательно, т.к. согласно условиям пользовательского соглашения, с истёкшей лицензией не допускается ЭП с помощью сертификата и двухсторонняя аутентификация с помощью сертификата на ресурсах (вход по сертификату).

Исключение — сертификаты со встроенной лицензией. Но вам придётся пользоваться только такими сертификатами и никакими другими. Например, сертификаты выпущенные УЦ ФК не содержат встроенной лицензии, потому с ними так не получится, придётся приобрести полноценную лицензию. А УЦ ФНС перестал выдавать такие в октябре 2022 г.

• Как посмотреть, есть ли в сертификате встроенная лицензия.

  

Лицензию, так же, можно запросить в УФК в безвозмездное пользование, по заявлению, но там выдаётся лицензия только на КриптоПро CSP 4.0. А сама лицензия на 1 компьютер (постоянная, 5.0) стоит около 3-ех тысяч рублей, на момент написания статьи… Целесообразность остаётся на ваше усмотрение.

КриптоПро ЭЦП browser plug-in

Программа, предоставляющая интерфейс программам для осуществления Электронной Подписи документов. Распространяется бесплатно с официального сайта (без регистрации).

В новейшей версии КриптоПро CSP 5.0 R3, по умолчанию встроен в дистрибутив.

Браузер ГОСТ TLS

Специализированный браузер, со встроенной поддержкой установки соединений TLS с применением ГОСТ-шифрования, с использованием установленного в систему криптопровайдера (в нашем случае, это КриптоПро CSP).

Такими являются:

• Яндекс.Браузер
• Chromium GOST

Выбор на ваш вкус и цвет. Если вы работали в Яндекс.Браузере ещё до этого руководства, то поздравляем, у вас уже есть браузер для ГОСТ. Если вам нужно настроить отдельный браузер исключительно для работы с ГОСТ-ресурсами, Chromium GOST будет в самый раз.

Личный сертификат УКЭП

Для работы с ГИИС “Электронный Бюджет” требуются сертификат(ы) Усиленной Квалифицированной Электронной Подписи (УКЭП), выпущенные аккредитованным Удостоверяющим Центром (УЦ) на лица, имеющие право первой и второй подписи (если таковое имеется) в финансовых документах. Лицо, имеющее право первой подписи, обычно, так же имеет статус лица, имеющего право действовать от имени организации без доверенности (руководителя). Сертификат на руководителя, как необходимый минимум, должен быть.

Для работы в ГИИС “Электронный Бюджет” могут использоваться сертификаты от любого УЦ, включая УЦ ФНС. Разница между использованием сертификатов от УЦ Федерального Казначейства (УЦ ФК) и УЦ ФНС (например) при работе в ГИИС “Электронный Бюджет”, заключается только в интеграции ГИС УЦ ФК с ПОИБ СОБИ, для автоматической регистрации. Т.е. когда вы подаёте документы в УЦ ФК для выпуска сертификата, автоматически регистрируется УЗ в ПОИБ СОБИ. Зарегистрироваться в ПОИБ СОБИ можно без подачи запроса в УЦ ФК.

По окончанию выполнения действий из этого руководства, вы так же сможете воспользоваться Порталом заявителя УЦ ФК, для того, чтобы подать запрос на получение сертификата. Узнать, попадаете ли вы в список лиц, которым доступен выпуск сертификата в УЦ ФК, можно в письме №95-09-11/15-377 от 25 августа 2023 г. «О вопросах создания и выдачи сертификатов» от МОУ ФК.

Установка СКЗИ КриптоПро

Для установки вам потребуются права локального администратора на компьютере. Если вы таковых не имеете, закройте эту статью и вышлите ссылку по электронной почте вашим системным администраторам.

Установка КриптоПро CSP

Открываете установочный файл программы CSPSetup.exe и нажимаете Установить (рекомендуется).

Никаких дополнительных настроек не требуется (в большинстве случаев).

Галочку Установить корневые сертификаты рекомендуется оставить.

Возможно, вы захотите сразу ввести серийный номер лицензии в Панели управления КриптоПро CSP.

Установка КриптоПро ЭЦП

Тоже производится очень просто и без дополнительных настроек. По двойному клику запускается исполняемый файл cadesplugin.exe, скачанный с сайта.

Возникнет диалог с выбором, Да или Нет. По нажатию Да — плагин устанавливается.

• Нажмите Да

  

• Нажмите ОК

  

Установка браузера ГОСТ TLS

Яндекс.Браузер

Установка Яндекс.Браузера производится по двойному клику после скачивания установщика с официального сайта.

По умолчанию, работа с ресурсами ГОСТ TLS должна быть уже включена. Но не мешает убедиться.

Chromium GOST

Переходим на страницу с перечислением выпусков

https://github.com/deemru/Chromium-Gost/releases/latest/

В разделе Assets ищем windows-amd64-installer, что означает установщик 64-битной версии для Windows.

Скачиваем и запускаем. Chromium GOST по умолчанию устанавливается в тихом режиме, без отображения окна с прогрессом, в профиль пользователя. По завершению установки будет открыто окно браузера и добавлены ярлыки в Пуск, Рабочий стол и на Панель задач.

Настройка браузера ГОСТ TLS

Установка расширения КриптоПро ЭЦП в браузер

По умолчанию, устанавливаемая в ОС Windows часть КриптоПро ЭЦП прописывает автоматическую установку расширения как в Chromium GOST, так и в Яндекс.Браузере. При следующем запуске оно добавляется “само” или появляется запрос на его добавление.

• Расширение КриптоПро ЭЦП в Яндекс.Браузере

  

• Расширение КриптоПро ЭЦП в Chromium GOST

  

Если этого не произошло, нужно добавить его вручную.

• Из Каталога Opera, для Яндекс.Браузера.
• Из Интернет-магазина Chrome для Chromium GOST

Если на компьютере ограниченный доступ в интернет, необходимо извлечь CRX из магазина с помощью специальных утилит и установить его оффлайн. Что в статью включено не будет, из-за краткого формата.

Настройка доверенных узлов для КриптоПро ЭЦП

• По умолчанию, КриптоПро ЭЦП не позволяет задействовать плагин для ЭП сайтам, которые не были добавлены в доверенные. Вместо этого отображая окно подтверждения.

  

• Для того, чтобы убрать это подтверждение, необходимо добавить сайты в доверенные.

• Для этого, найдите значок расширения КриптоПро ЭЦП на панели браузера. Кликните на него и откройте меню расширения. Выберите Настройка доверенных сайтов.

  

• Рекомендуемый для ГИИС “Электронный Бюджет” список ресурсов для добавления в доверенные:

  https://*.cryptopro.ru
  https://*.roskazna.ru
  https://*.gov.ru
  

  Вы можете добавить дополнительные ресурсы позднее.

• Введите в текстовое поле строку для добавления и нажмите кнопку +

  

• После добавления всех указанных строк, нажмите Сохранить

  

• Должно отобразиться подтверждение об успешном сохранении списка.

  

Установка Пути сертификации для УЦ ФК

Скачивание сертификатов

• На компьютере, в Загрузках, создаём две директории:

  • Корневые
  • Промежуточные

• Нужно скачать последний корневой сертификат ГУЦ 2022 года от Минцифры России и последних 2 подчинённых сертификата от УЦ ФК от 2023 и 2024 годов.

  Остальные имеют архивное значение, для того, чтобы проверять подпись документов, подписанных сертификатами, выпущенных более 2-ух лет назад. Актуальных сертификатов у них уже точно нет, учитывая средний срок жизни УКЭП в 1 год и 3 месяца.

  

  Если в “инфографике” не хочется разбираться, следуйте красным стрелочкам.

  Если в будущем появятся Подчинённые сертификаты, скажем, 2025-ого года или 2026-ого года, тоже захватите в папку Промежуточные. Не факт, что скриншот-инфографика будет обновляться каждый раз.

• Чтобы было сподручнее, используйте Сохранить ссылку как.

  

Или, скачиваем по ссылкам ниже. Список обновляется примерно раз в год.

• Корневые

  • http://crl.roskazna.ru/crl/Корневой%20сертификат%20ГУЦ%202022.cer

• Промежуточные:

  • http://crl.roskazna.ru/crl/ucfk_2023.crt
  • http://crl.roskazna.ru/crl/ucfk_2024.crt

crl.roskazna.ru — это не просто ресурс, откуда можно скачать сертификаты. Это CRL Distribution Point (CDP), т.е. Точка распространения Списка Отзыва Сертификатов. Потому, если этот ресурс не открывается, системному администратору необходимо обеспечить к нему доступ. И http://reestr-pki.ru заодно проверить, чтобы был доступен. Иначе, вы будете ловить ошибки проверки сертификатов на отзыв и вы не сможете воспользоваться ЭП ни на одном из Порталов.

Открытие оснастки MMC Сертификаты через меню Пуск

Переходим в меню Пуск и открываем консоль Сертификаты от имени Администратора используя ярлык в папке программ КРИПТО-ПРО

Установка Корневых сертификатов (ГУЦ)

1. Переходим в хранилище Доверенных корневых центров сертификации Локального компьютера. В левой колонке соответствующее хранилище должно быть выделено.

   

2. Переходим в Действие —> Все задачи —> Импорт

   

3. Откроется Мастер импорта сертификатов.

   Нажимаем Далее

   

4. Выбираем ранее отобранный в директорию Корневые сертификат. И нажимаем Далее.

   

5. Дальше нажимаем Далее —> Готово. Ничего не меняя.

   

   

Повторить действия с 2 по 5, для каждого файла сертификата в папке Корневые, если их несколько.

Установка Промежуточных центров сертификации (УЦ)

1. В консоли Сертификаты, переходим в хранилище Промежуточных центров сертификации Локального компьютера.

   

2. Переходим в Действие —> Все задачи —> Импорт

   

3. Откроется Мастер импорта сертификатов.

   Нажимаем Далее

   

4. Выбираем ранее отобранный в директорию Промежуточные сертификат. И нажимаем Далее.

   

5. Дальше нажимаем Далее —> Готово. Ничего не меняя.

   

   

Повторить действия со 2 по 5 для каждого файла сертификата в папке Промежуточные.

Установка личного сертификата

• Открываем Панель управления КриптоПро CSP из меню Пуск.

  

• Вставляем ключевой носитель с сертификатом.

• Открываем вкладку Сервис —> Просмотреть сертификаты в контейнере... —> Обзор

• Выбираем контейнер с сертификатом, который требуется установить.

  

• Нажимаем Далее

  

• Нажимаем Установить —> Готово

  

Предполагается, что сертификат уже был интегрирован в контейнер ранее. Если это не так, установите сертификат с помощью мастера Установка личного сертификата и файла в формате .cer.

Для пользователей КриптоПро CSP версии 5.0.* по умолчанию доступен упрощённый инструмент для работы с контейнерами и сертификатами, Инструменты КриптоПро. Но способ с Панелью управления универсальный, потому указан в первую очередь.

Проверка работоспособности

Тестирование ГОСТ TLS

Протестируем в браузере, что подключения с шифрованием по ГОСТу действительно работают.

Если у вас возникают проблемы с использованием тестовой страницы от компании КриптоПро, т.к. у вас ограниченный доступ в интернет, альтернативная проверка представлена здесь.

Проверка анонимного ГОСТ TLS

• Откройте браузер с поддержкой ГОСТ TLS

• Перейдите по ссылке:

  https://www.cryptopro.ru:4444/test

• Должна отобразится страница:

  

• Тот факт, что страница открылась, означает, что первая часть проверки успешно пройдена. Вы успешно соединились по “анонимному” ГОСТ TLS с использованием односторонней аутентификации.

  

Список возможных ошибок и причин возникновения

Проверка ГОСТ TLS с входом по сертификату

• В браузере, после шага 1, перейдите по единственной ссылке на странице

  

  Или перейдите по ссылке ниже:

  https://www.cryptopro.ru:4444/test/tls-cli.asp

• Вам будет предложено выбрать личный сертификат.

  

• Выделите личный сертификат для проверки, и нажмите ОК.

  

• Должна отобразиться страница с информацией о выбранном сертификате.

  

Список возможных ошибок и причин возникновения

Тестирование ЭП через КриптоПро ЭЦП

• В браузере ГОСТ TLS откройте тестовую страницу КриптоПро ЭЦП.

  • Это можно сделать по ссылке:

    https://cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

  • Или через плагин.

    

• В списке сертификатов выберите свой личный сертификат и выполните тестовое подписание.

  

  

Завершение

На этом моменте, настройка браузера и СКЗИ были завершены.

Ваш компьютер готов к работе с ГИИС “Электронный бюджет”.

Рекомендуется сделать следующие закладки в браузере:

• https://fzs.roskazna.ru/ — Портал заявителя УЦ ФК
• https://sobi.login.roskazna.ru/ — ПОИБ СОБИ
• https://eb.cert.roskazna.ru/ — Портал ФК ГИИС ЭБ

Если вы не из счастливого большинства и что-то пошло не так, крутите страницу ниже…

Что делать дальше?

Если вы сталкиваетесь с работой в ГИИС “Электронный Бюджет” впервые, вот примерный список того, что потребуется сделать дальше:

• Убедиться, что ваша организация представлена в Реестре участников и неучастников бюджетного процесса.
• Зарегистрироваться в ПОИБ СОБИ под руководителем. Руководители, т.е. лица имеющие право действовать от имени Юр. Лица без доверенности (см. в ЕГРЮЛ), автоматически получают полномочие Главный регистратор. Что даёт им право назначать любые Роли сотрудникам в ПОИБ СОБИ и давать им полномочия Регистратора (которые в свою очередь, тоже могут назначать Роли). Главное помнить, что всё начинается с руководителя.
• Зарегистрировать в ПОИБ СОБИ лицо, имеющее право второй подписи. Т.е. Главного бухгалтера.
• Назначить в ПОИБ СОБИ пользователям необходимые Роли для работы с нужной подсистемой (ранее они назывались Полномочиями). Например, Казначейским сопровождением. Иначе, в меню подсистемы у вас будет пусто и не будет необходимых форм.
• Попытаться зайти на Портал ФК под руководителем.
• Почитать памятки или пройти курс от УФК г. Москве, указанные на этой странице.

В случае возникновения проблем

Если попытаться перечислить здесь все возможные проблемы, то это руководство кратким не будет. Потому будет вкратце перечислено самые основные факторы, которые могут вызвать проблемы.

Лицензия КриптоПро CSP

На случай, если раздел про лицензирование был пропущен…

Использование криптопровайдера КриптоПро CSP с Истекшей лицензией допускается только в случае использования сертификатов со встроенной ограниченной лицензией.

До октября 2022 г. УЦ ФНС выдавал такие бесплатно. После, эксперимент был прекращён.

Так же, после первой установки на АРМ КриптоПро CSP или обновления криптопровайдера с версии 4.0 на 5.0 (с действительной лицензией), программой выдаётся пробная лицензия на 90 дней.

С Истекшей лицензией не допускается использование ключа сертификата для электронной подписи и вход на ресурсы с использованием двухсторонней аутентификации по ГОСТ TLS с использованием УКЭП.

“Бесплатно” допускается только доступ до сайтов использующих ГОСТ TLS без двухсторонней аутентификации.

Т.е. это означает, что у вас вход по сертификату и электронная подпись не будут работать до тех пор, пока вы не введете в программу действительный серийный номер лицензии, выдавая так называемую “ошибку жадности” под номером 0x8007065B

Но, если вы перейдете на ресурс ГОСТ TLS, не требующий сертификат для аутентификации, такие как:

• fzs.roskazna.ru — Портал заявителя УЦ ФК. Раздел для подачи заявления на выпуск сертификата в первичном порядке.

• sobi.login.roskazna.ru — ПОИБ СОБИ ФК, вход по логину и паролю.

• sobi.esia.roskazna.ru — ПОИБ СОБИ ФК, вход с использованием ЕСИА (Госуслуг).

Они у вас откроются.

Потому при проверке работоспособности ГОСТ TLS вас просят сначала пройти проверку на анонимный ГОСТ. Потом уже на возможность аутентификации по сертификату. Чтобы отделить невозможность установить соединение по ГОСТ от невозможности использования сертификата.

Источник: О лицензировании программных продуктов, правообладателем которых является ООО «КРИПТО-ПРО» № 11038 от 11.03.2020 г.

Потому, рекомендуется проверить лицензию. И приобрести, в случае необходимости.

ПО с функциями проверки зашифрованного трафика путём HTTPS-MiTM (включая антивирусы)

Антивирусное ПО и DLP-системы, которые имеют функции вклинивания в зашифрованный трафик приложений, могут мешать установке соединения, зашифрованного по госту.

К такому ПО относится:

• Касперский
• Dr. Web (функция SpIDer Gate)
• PRO32
• Staffcop Enterprise

Для него следует добавить в исключения проверки следующие домены:

• eb.cert.roskazna.ru
• sobi.cert.roskazna.ru
• sobi.esia.roskazna.ru
• sobi.login.roskazna.ru
• fzs.roskazna.ru
• lk-fzs.roskazna.ru
• signservice.roskazna.gov.ru
• Другие домены, с которыми планируете работать. Например, buh2012.budget.gov.ru или ssl.budgetplan.minfin.ru

Подробнее описано в статье

Конфликтующее ПО, которое невозможно настроить на совместную работу

В данном случае, выделился всего одна программа. Avast.

Автор пытался составить исключения, чтобы исправить эту проблему, но что бы он туда не прописывал, не помогало. А каналы обращения в техническую поддержку Avast у автора и вовсе отсутствуют. Потому решено просто объявить Avast вредителем и рекомендовать к удалению/замене.

Отключение защиты — помогает. Но это не решение, а обходной путь.

Отсутствие доступа к CDP для проверки сертификата на отзыв

Сертификаты регулярно проверяются на отзыв и если КриптоПро CSP не в состоянии это сделать, то он предпочитает не доверять сертификату, даже если Путь сертификации проходит проверку.

Если при открытии Портала ФК или другого сайта можно проигнорировать ошибку, то при попытке подписать документ вы не увидите свой сертификат в списке, т.к. в список выводятся только сертификаты, которые прошли проверку.

А в тестировании КриптоПро ЭЦП будет писать красным текстом

Да, согласен, очень "информативно". Могли бы и отдельный код ошибки выделить под такое.

Потому, нужно обеспечить доступ к следующим адресам:

• http://crl.roskazna.ru/ — на этом ресурсе располагаются списки отзыва для сертификатов, выпущенных УЦ ФК.
• http://reestr-pki.ru/ — на этом ресурсе располагаются списки отзыва от Головных Удостоверяющих Центров (Корневых) Минкомсвязи и Минцифры. Сертификаты УЦ тоже проверяются на отзыв по списку от ГУЦ.

Если ваш личный сертификат выпущен не в УЦ ФК, то нужно посмотреть в его свойствах ссылку на CDP и обеспечить доступ к этому ресурсу.

• Например. УЦ ФНС

  

Этой болезнью часто страдают корпоративные интрасети и закрытые контуры.

Конфликтующие криптопровайдеры

Криптопровайдеры для ГОСТ от других производителей, отличных от КРИПТО-ПРО. В системе должен быть только один ГОСТ-криптопровайдер.

Такие как:

• Код Безопасности CSP 4.0.*
• VIPNet PKI/Client
• Tumar CSP

Если установлено что-то из этого, нужно удалить. Возможно, придётся переустановить КриптоПро CSP после этого.

Теоретически, может возникнуть необходимость скрестить ежа с ужом работать с двумя криптопровайдерами одновременно, но если вы не знаете как это делать, лучше выделите отдельный компьютер для работы с ГИИС “Электронный бюджет” (возможно, виртуальный) и работайте с ним через Удалённый рабочий стол. Если контейнер ключа будет хранится на Рутокене или другой смарт-карте, она будет пробрасываться через RDP на удалённую машину. Не нужно будет копировать ключ или бегать перетыкать флешку.

Попытка использовать HTTP:// для ресурсов ГОСТ TLS

1. TLS, это по определению HTTPS. Потому убедитесь, что вы используете именно ссылку с указанием протокола HTTPS:// Протокол HTTP:// не подразумевает использование сертификатов для входа. Все указанные в старых инструкциях ссылки на использование HTTP:// подразумевали использование Континент TLS-клиента в качестве прокси.
2. На точках входа ГИИС “Электронный Бюджет” закрыт 80 порт, который используется для протокола HTTP://. Только, вместо явного отклонения соединения, оно просто игнорируется. ¯\_(ツ)_/¯ Потому, вы получите ошибку TIMED_OUT. Словно сервер на той стороне “лежит” и не подаёт признаков жизни. Протокол HTTPS:// использует для работы 443 порт.

Ошибка 404 при переходе на Портал ФК (ошибка бюрократии)

Ошибка возникает из-за того, что ваша организация отсутствует в Сводном Реестре (СвР) ГИИС Электронного Бюджета. Проверить, включены вы или нет, можно здесь (ищем по ИНН организации, например). И до тех пор, пока вы не будете в этом списке, вы будете получать эту ошибку.

Основная статья

У ИП и КФХ существует отдельный реестр в той же подсистеме. Но в публичном доступе, на просмотр его, нет. Если вы ИП и получаете ошибку 404, вы испытываете схожую проблему, но вам нужен другой реестр. Реестр ИП и КФХ.

Настройка АРМ тут не причём, сам факт отображения этой ошибки уже означает, что у вас произошло успешное соединение по ГОСТ TLS с использованием двухсторонней аутентификации и браузер успешно получил эту страницу. Это исключительно проблема бюрократии и реестров. Портал вас “не узнал”.

Ничего не помогает :(

Соберите скриншоты возникающих ошибок и подайте обращение в техподдержку.