Получение и установка сертификата ЭП КАП
После предоставления всех перечисленных документов и файлов, будет изготовлен сертификат (открытая часть ключа ЭП). Об этом будет сообщено по телефону, на контактный номер учреждения. После чего, уполномоченному лицу, необходимо получить сертификат на бумажном носителе и в электронном виде (файлы user.cer и root.p7b) на флешку.
Полученные файлы необходимо скопировать на компьютер где используется СКЗИ «Континет-АП». Рекомендую выделить для этого специальную папку, например «c:\certifikate».
Сертификат необходимо установить в Континент-АП.
1. Запускаем программу «Континент-АП», если она еще не запущена. Возле «часов» появится иконка в виде серого щита с черными буквами «АП». Кликаем правой клавишей мыши, в появившемся контекстном меню заходим «Сертификаты — Установить сертификат пользователя».
2. Находим папку в которую вы сохранили полученные файлы сертификатов ЭП (например c:\certifikate). Встаем на файл с именем «user.cer«, и жмем «Открыть».
3 .В открывшемся окне выбираем контейнер ключа (закрытая часть ключа) находящийся на флэшке или на дискете (у вас он естественно будет с другим именем). Встаем на него и жмем «ОК».
4. В этом окне вам предлагается установить корневой сертификат. Кликаем по кнопке с надписью «Да, вручную».
5. Выбираем, все в той же папке, но уже файл с именем «root.p7b«. Жмем «Открыть».
6. Компьютер спрашивает вашего разрешения установить корневой сертификат, советую ответить «Да» 🙂
Инструкция по работе с Континент-АП 3.7
Перед установкой СКЗИ «Континент-АП» администратору безопасности необходимо ознакомиться с Руководством пользователя абонентского пункта «Континент-АП версия 3.7».
Подготовить носитель ключевой информации (рекомендуется использовать USB — Flash носитель). Произвести маркировку USB-Flash носителя согласно внутреннему учету носителей предоставившей организации. Ключевые документы учитываются и хранятся в соответствии с требованиями «Инструкции об организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну», утвержденной приказом Федерального агентства правительственной связи и информации (ФАПСИ) при Президенте Российской Федерации от 13.06.2001 № 152.
Установка СКЗИ Континент-АП версии 3.7
Для доступа к ресурсам Управления Федерального казначейства по Краснодарскому краю (далее – УФК), необходимо убедиться, что рабочее место подключено к сети Интернет и имеется в наличии дистрибутив СКЗИ «Континент-АП» версии 3.7. Дистрибутив выдается участникам системы удаленного финансового документооборота (далее – СУФД) по письменному обращению.
Перед установкой убедитесь, что на компьютере установлено СКЗИ КриптоПро-CSP версии 4.0.
Установка СКЗИ «Континент-АП» выполняется от имени администратора.
Скачать подробную инструкцию по настройке КОНТИНЕНТ-АП
Запустить установку «Континент–АП» с помощью ts_setup.exe.
ts_sn_setup.exe устанавливает Континент-АП с Secret Net. Это нам не надо.
Будет предложено ознакомиться с лицензионным соглашением по использованию программного обеспечения. В случае согласия выбрать я принимаю условия соглашения, и нажать Далее.
В следующем окне необходимо отказаться от установки компонента Брандмауэр, и продолжить установку.
Будет предоставлена возможность изменить папку установки СКЗИ, делать этого не рекомендуется. Ознакомьтесь с путём установки программы и продолжайте установку.
В поле «Адрес сервера доступа» указать значение 1800-SD-01.roskazna.ru. Это основной адрес подключения. Резервный — 1800-SD-02.roskazna.ru, используется только при неработоспособности основного (изменить адрес подключения можно будет в настройках абонентского пункта после установки). Для подключения через модемный пул УФК по Краснодарскому краю (с использованием dial-up –модема)
— 10.18.250.9
Ниже, в разделе Уровень безопасности, выбрать пункт Низкий.
7 
После завершения установки нажимаем Далее.
Для завершения установки необходимо перезагрузить компьютер.
После чего Континент-АП автоматически запустится
Формирование и отправка запроса на сертификат ключа аутентификации клиента Континент-АП
Если вы уже формировали запрос ранее и знаете как это делать, можете сразу перейти к последнему пункту.
1 Если еще не запущен, запустить Континент-АП. Ярлык находится в Пуск > Все программы > Код безопасности > Континент-АП 3.7 > VPN клиент. В панели задач появится значок Континент-АП.
В первую очередь необходимо изменить криптопровайдер по умолчанию. Для этого правой кнопкой мыши (ПКМ) нажать на значок Континент АП, и в пункте Выбор криптопровайдера по умолчанию выбрать «Код Безопасности CSP».
3 Установить в компьютер съемный носитель информации (флешку), на которую будет записана закрытая ключевая информация.
4 ПКМ по значку Континент-АП > Сертификаты > Создать запрос на пользовательский сертификат…
В представленной форме заполнить поля образом, представленным на картинке слева.
Обратите внимание, что бумажную форму сохранять не нужно, т.к. прилагается бланк заявления. Обратите также внимание на путь сохранения электронной формы. Это файл запроса (.req). Запомните этот путь, либо измените его для сохранения файла запроса на флешку. Для генерации ключа нажать кнопку «ОК».
Если рабочая станция не оборудована ПАК «Соболь» или аналогичным средством защиты информации от несанкционированного доступа, имеющим физический датчик случайных чисел появится окно биологического датчика случайных чисел и перемещающаяся по экрану мишень, по которой необходимо быстро попадать нажатием левой кнопкой мыши до достижения 100%.
В появившемся окне необходимо ввести пароль, состоящий из не менее 6 символов на создаваемый ключевой контейнер. Внимание: утерянный пароль на ключевой контейнер не восстанавливается.
В появившемся окне необходимо выбрать внешний носитель для создаваемого ключевого контейнера и нажать кнопку «ОК» (в качестве носителя поддерживаются дискета “3,5”, Touch Memory DS1993 – DS1996, электронный ключ с интерфейсом USB (token), cменный носитель с интерфейсом USB (usb-flash)). В настоящей инструкции приведен пример сохранения ключей на съемный usb-flash носитель.
9 В результате генерации на флешке сохранится закрытая часть сертификата (папка с зашифрованным названием) и, возможно (если в пункте 5 вы указали этот путь), файл запроса.
10 Для подачи запроса, необходимо отправить электронное письмо следующего содержания:
| Адресат: | ufkkk@rambler.ru |
| Тема: | Сертификат Континент-АП |
| Тело: | — обоснование запроса (например, «Предоставление доступа») — имя файла запроса — объем файла запроса в байтах — версия Континент-АП (можно узнать, нажав ПКМ по значку Континент-АП и выбрав пункт «О программе…») |
| Вложения: | файл запроса (.req), скан заполненной заявки на подключение к информационным ресурсам АС УФК |
На заявке необходимо поставить угловой штамп!
Установка полученных сертификатов
1 После получения архива с сертификатами по электронной почте, рекомендуется распаковать их на тот же съемный носитель, на котором хранятся закрытые части, полученные при формировании запроса. Архив содержит 2 файла: root.p7b и user.cer.
2 ПКМ по значку Континент-АП > Сертификаты > Установить сертификат пользователя.
3 Выбрать файл user.cer с флешки и продолжить.
4 Из предложенного списка выбрать соответствующий ключевой контейнер. Понять, соответствующий он или нет, можно, посмотрев на название контейнера в списке и сверив его с названием файла запроса, который вы отправляли по электронной почте.
5 Будет предложено автоматически внести корневой сертификат в доверенные корневые центры сертификации. Соглашайтесь.
6 Будет высказано предупреждение о безопасности. Ознакомьтесь и согласитесь.
Сертификат Континента АП.
В одной из своих статей я рассказывал как установить программу Континент АП на Windows 7. Дело в том, что эта программа использует в своей работе сертификаты, с помощью которых создается защищенное соединение и обмен данными с сервером доступа Континента АП. В этой статье я постараюсь рассказать как создать запрос на издание сертификата для Континента АП, а также как установить этот сертификат в программу.
Показывать буду как всегда с картинками, правда сделаны они были на компьютере, под управлением Windows XP. Итак приступим.
После установки Континента АП, у вас в трее должен появиться значёк «серый щит». Если кликнуть этот «щит» правой кнопкой мышки, то появится контекстное меню, как показано на картинке ниже:
Тут надо выбрать пункт меню «Сертификаты», а затем «Создать запрос на пользовательский сертификат». Откроется следующее окошко (рис.2):
Эту форму необходимо заполнить. Перед этим не забудьте вставить чистый ключевой носитель. Ведь после заполнения этой формы начнется генерация закрытых ключей, которая происходит на отторгаемый ключевой носитель. Это может быть, например, флешка. Если вы используете на своём компьютере программу Крипто ПРО 3.6 и выше, то там флешки включены по умолчанию. А если быть более точным, то «Все съёмные носители». Генерацию на ключевой носитель типа «Реестр» не рассматриваю, т.к. это запрещено в нашем УФК.
Итак, вернемся к заполнению формы (рис.2). Как можно видеть, она состоит как бы из двух блоков. Я их обвел желтым контуром. Если с верхним блоком все интуитивно понятно (надо заполнить все поля), то на нижнем остановлюсь подробнее. Сразу необходимо установить галку «бумажная форма». По умолчанию она не установлена. По кнопкам «Обзор» можно выбрать место для сохранения файлов. А их будет два. *.reg и *.html. Имена файлов можно отредактировать так, как вам будет удобно, не меняя, конечно же, расширения файлов.
По умолчанию программа предлагает сохранить под следующим именем: имя компьютера в сети (я обвёл синим контуром), дата и время создания запроса. Как видно из рисунка, запрос создавался 10.12.2015 в 9 часов 51 минуту 46 секунд на компьютере с именем «imyacompa». Последние 3 символа добавляются случайным образом. Они всегда состоят из трёх цифр и какой-то системы в их генерации я не заметил.
Стоит отметить, что если вы скачали у меня с сайта программу Континент АП версии 3.5.68.0, то скорее всего там старый шаблон печатной формы. После установки данной программы, вам необходимо поменять этот шаблон. Это актуально для нашего региона, а именно Челябинской области. Изменение шаблона печатной формы затронет только печатную форму в формате *.html, на *.req файл это не окажет никакого влияния.
Если у вас в регионе используется старый шаблон, то вы должны действовать в соответствии с рекомендациями для вашего региона. Скачать новый шаблон можно по следующей ссылке. Если же вы находитесь в нашем регионе, то перед генерацией ключей и запроса на сертификат, поменяйте шаблон в соответствии с инструкцией в приложенном файле.
Итак, определившись с именем файлов, можно запустить генерацию запроса на сертификат, нажав кнопку «ОК». Как уже было сказано выше, мы получим 2 файла *.req и *.html, а также закрытые ключи на флешке или любом другом носителе.
Дальше необходимо действовать в соответствии с порядком предоставления запросов на сертификат, который действует в вашем УФК. У нас мы распечатываем *.html файл на бумажном носителе, подписываем владельцем сертификата и руководителем организации. Затем передаем в казначейство бумажный экземпляр и *.req файл на съёмном носителе и взамен получаем сертификат.
Итак, запрос отправлен в УФК, мы получили сертификат. Кстати, между отправкой запроса и получением сертификата может пройти время, у всех по разному, но главное дождаться сертификата. Что же дальше? А дальше кликаем правой кнопкой мыши на «щите» Континента АП и делаем то, что показано на рисунке ниже:
А именно: идем опять на «Сертификаты», а потом «Установить сертификат пользователя». Стрелочки на рисунке 3 показывают, что надо делать. Перед этим вставьте ключевой носитель с закрытыми ключами, полученными в результате генерации, а также подготовьте полученный из УФК сертификат. Я его переписал на ключевой носитель, чтобы он всегда был под рукой. Вы можете поступить по своему: переписать его куда угодно, главное, чтобы при установке Вы смогли до него добраться. Кстати, вместе с пользовательским сертификатом, наше УФК выдает также и корневой сертификат Континента АП. Этот сертификат, при установке, должен быть расположен в том же каталоге, что и пользовательский. В общем, на рисунке ниже всё это показано:
Корневой сертификат Континента АП — это файл root. Этот сертификат нужен при установке Континента АП в первый раз. После установки пользовательского сертификата, программа устанавливает корневой, если он не установлен. В противном случае — ничего не делает. Но если в первый раз программа не найдет корневой, то будут проблемы. Поэтому лучше пусть будет всегда вместе с сертификатом пользователя в одном каталоге.
Здесь, рисунок 4, при установке надо выбирать, конечно же, сертификат пользователя. Он подчеркнут мною на картинке. А желтая папка — это закрытые ключи, полученные при генерации запроса. Там шесть файлов с расширением *.key. Кстати, ключи стандартные для программы Крипто Про 3.6. Ведь именно она генерирует эти ключи. Итак, выбрав сертификат пользователя, нажимаем кнопку «Открыть» и попадаем на следующую картинку:
Самая верхняя строчка — это как раз и есть ключевой контейнер с закрытыми ключами. А на этом этапе мы как раз и должны указать программе соответствующий нашему сертификату ключевой контейнер. А именно тот, который был сгенерирован при создании запроса на сертификат. Вообще, позволю себе небольшое отступление. Все ЭЦП, которые генерируются с помощью Крипто Про (вы ведь не думаете, что ключи генерирует Континент АП), состоят из двух частей:
- закрытый ключ — это ключевой контейнер, получаемый при генерации;
- открытый ключ — это сертификат, полученный из казначейства.
Эти части соединяются (опять же, с помощью Крипто Про) только в том случае, если они соответствуют друг другу. Не составляет труда сделать вывод: если одна из частей утеряна или повреждена, то перестаёт работать всё ЭЦП. И исправить эту ситуацию невозможно, кроме генерации новой ЭЦП. Есть способы сделать копию ЭЦП, но в этой статье я касаться этого не буду.
Итак, возвращаемся к «нашим баранам». На рисунке 5 надо обязательно кликнуть по верхней строчке с ключевым контейнером, а потом нажать «ОК». После того как всё это будет проделано, Вы получите следующее окно:
Ну тут только «ОК», других путей не дано. Поздравляю Вас, сертификат установлен. Настало время проверить его работоспособность. Для этого надо сделать так, как подсказывает нам следующая картинка:
ПКМ на «щите», идем «Установить/разорвать соединение» -> «Установить соединение Континент АП» и попадаем в следующее окно:
Нажмем туда, куда показывает красная стрелка (рис. 8). Если на предыдущих этапах Вы следовали этой инструкции, то у Вас выскочит как минимум один сертификат. Вы должны выбрать именно тот, который только что установили (см. рис 9):
Выбрав его, отметьте галочкой «всегда использовать данный сертификат при подключении». В этом случае Ваш Континент АП будет подключаться к серверу используя указанный сертификат. В противном случае (если галка не установлена), он будет предлагать выбрать сертификат при каждом подключении. Чтобы узнать правильно ли был выбран сертификат, можно воспользоваться кнопкой «Свойства». Она покажет всё о выбранном сертификате. В конце, как всегда кнопка «ОК». Начнется процесс подключения Континента АП к серверу доступа. Если все сделано правильно, то в результате вы увидите в трее, как «щит» сменил цвет с серого на синий:
Если у Вас получилось то же, что и у меня, то я рад поздравить Вас с удачной установкой сертификата для континента АП. После того, как Вы подключились к серверу доступа, можете загружать СУФД и начинать в ней работать.
P.S. Ну и ещё: Я думаю, что я достаточно подробно тут всё изложил. Но все равно могут возникнуть какие-нибудь вопросы. В этом случае пишите их в комментариях ниже. Кстати, для зарегистрированных пользователей моего сайта, комментарии появляются сразу, без модерации.
И напоследок. Если вам понравилась эта статья и вы почерпнули из нее что-то новое для себя, то вы всегда можете выразить свою благодарность в денежном выражении. Сумма может быть любой. Это вас ни к чему не обязывает, все добровольно. Если вы всё же решили поддержать мой сайт, то нажмите на кнопку «Поблагодарить», которую вы можете видеть ниже. Вы будете перенаправлены на страницу моего сайта, где можно будет перечислить любую денежную сумму мне на кошелек. В этом случае вас ждет подарок. После успешного перевода денег, вы сможете его скачать.
СЭДО (бюджетные организации через Континент АП 3.7) «Базовая настройка»
Для условной, «базовой настройки» СЭДО на компьютере с OS Windows 7/10 x64 , нам потребуются набор программ и сертификаты (Федеральное казначейство), исходная инструкция по настройке от оператора, с которым Вы заключили договор и, немного терпения.
- Программы: КриптоПро с действующей лицензией (не ниже 4.0.99) , Яндекс Браузер , Континент АП 3.7
- Дополнения в Яндекс Браузере : CAdES Plugin
- Дополнения в IE 11 или Edge: КриптоПро Browser PlugIN
Дополнения и програмный продукт от компании КриптоПро можно найти на сайте компании, в личном кабинете.
Самое первое действие — звонок или письмо в организацию с которой заключен договор по работе с СЭДО и спрашиваем » номер сети для подключения к СЭДО, через Континент АП «
Второе действие. В процессе уточнения номера сети, мы убеждаемся что имеем действительный сертификат из Федерального Казначейства на ответственное лицо(например директор или руководитель) ; Проверяем что имеется установленный и функциональный КриптоПро версии не ниже 4.0.99.
Третье действие. Если у Вас нет лицензии на использования продукта КонтинетАП 3.7 в виде сертификата с серийным номером на Вашу организацию — нужно его приобрести (спрашиваем у Яндекса, Гугла или иного поисковика). В процессе приобритения, менеджеру организации поставщика, нужно сообщить номер сети для подключения, который Вы получили в самом начале действий.
Пока ожидаем процесс получения серийного номера сертификата, мы скачиваем ЯндексБраузер, если он не установлен, и\или производим его настройку, согласно типовой инструкции, которую Вам направлял оператор. Самое базовое из настроек это зайти в НАСТРОЙКИ ЯндексБраузера (три полоски справо вверху):
- Настройка — пункт «Системные» , параметр «Производительность» поставить(включить): «Аппаратное ускорение»;
- Настройка — пункт «Системные» , параметр «Сеть» поставить(включить): «Подключатся к сайтам, использующим шифрование по ГОСТ»; «Автоматически открывать сайты по протоколу HTTPS»
Если у Вас есть лицензия на Континент АП и\или после получения номера лицензии и самого програмного продукта Континент АП 3.7, необходимы следующие шаги:
- Направляем в адрес оператора номер лицензии Континент АП 3.7 , для генерации сертификата подключения;
- Устанавливаем програмный продукт Континент АП 3.7 (Особо на данном пункте, не задерживаюсь, ибо, нам нужно установить по инструкции от оператора только Континент АП, без дополнительных программ как SecureNetStudio);
- Согласно инструкции от оператора, необходимо сгенерировать запрос на сертификат для подключения к СЭДО через Континент АП (вызвать меню Континент АП, нажав правой кнопкой мыши по значку щита рядом с часами справа, в меню выбрать «Сертификаты» и выбрать «Создать запрос на пользовательский сертификат») , в процессе потребуется сертификат руководителя. Так же, возможно, настроить само подключение к СЭДО (информация из инструкции). Полученные файлы в процессе создания запроса, нужно направить в адрес оператора.
После получения от оператора файлов, согласно инструкции, переместите их в указанные каталоги, и произведите действия по установке сертификатов в программу Континент АП, в частности, сертификат, необходимо установить : вызвать меню Континент АП, нажав правой кнопкой мыши по значку щита рядом с часами справа, в меню выбрать «Сертификаты» и выбрать «Установить сертификат пользователя».
Для подключения к СЭДО через Континент АП 3.7, в дальнейшем, необходимо устанавливать настроеное Вами подключение в программе Континент АП, с использованными сертификатами от оператора СЭДО. Результат верно настроеного подключения — смена цвета иконки щита Континент АП, рядом с часами справа.
В инструкции по подключению, указаны адрес сервера для доступа к СЭДО, через ЯндексБраузер, пожалуйста введите данный адрес в строке браузера, если все ваши дейтвия были верны, вы будете достигнуты цели.
По программе Континент АП, имеется форум с решением некоторых проблем: ссылка на форум.
Внимание! При создании данного материала, не использованы фото и\или видео материалы, дабы не скомпрометировать рабочее место и\или данные пользователя и\или организации.
Все необходимые данные и инструкции, спрашивайте у оператора, с которым заключен договор по работе с СЭДО. Данный материал подготовлен для бюджетных организаций с подключением через Континент АП.
Возможно, потребуются дополнительно сертификаты Федерального казначейства.
Материал подготовлен для ознакомления с базовой настройкой подключения к СЭДО через Континент АП (КодБезопасности ооо). Все действия пользователя как повторения из данной статьи, совершаются на свой страх и риск. Автор статьи, ровно как и ресурс размещающий, ответственности за действия пользователя и возможный ущерб — не несут.
Не забывайте использовать Антивирусное Програмное обеспечение.
Не сообщайте имеющиеся у Вас логины, пароли, пин коды и прочую информацию, относящуюся к Важной, Тайной и Персональной.