Головна
Програми
Континент tsl клієнт crl не пройшов перевірку. Поширені помилки при підключенні до ГІІС «електронний бюджет. Встановлення модуля для роботи з електронним підписом Cubesign

Континент tsl клієнт crl не пройшов перевірку. Поширені помилки при підключенні до ГІІС «електронний бюджет. Встановлення модуля для роботи з електронним підписом Cubesign

Я пам'ятаю ті труднощі, які нам потрібно було долати для створення тестових лабораторій багато років тому. У 1990-ті роки комп'ютери не були такими дешевими, як сьогодні, і була потрібна кругленька сума, щоб зібрати тестове середовище хоча б з декількох машин. Іноді нам доводилося проводити тестування у своїх виробничих середовищах просто тому, що ми не могли собі дозволити апаратне обладнання для створення відповідного лабораторного середовища. Як ви можете уявити, це викликало безліч проблем. Але у нас не було вибору, оскільки програми для створення образів дисків були або недоступні або ненадійні, а також не було надійного рішення для віртуалізації серверів. Нам доводилося намагатися щосили при роботі з доступними засобами.

Все значно змінилося за останні 15 років ' і, якоюсь мірою, на краще. Однією з найзначніших змін стала віртуалізація робочих станцій та серверів. Використовуючи такі інструменти як VMware або Microsoft Hyper-V, ми тепер можемо купувати сервери середньої потужності на базі процесора Nehalem з 16ГБ+ оперативної пам'ятіта виконувати дуже складні тести, які можуть справді симулювати наші фізичні установки.

Однак, все ще існують моменти, які можуть викликати проблеми при роботі з тестовим середовищем, і інфраструктура відкритих ключів (PKI) завжди очолює цей список. Інфраструктура відкритих ключів (Public Key Infrastructure) є важливим моментом у будь-якому тестовому середовищі, оскільки сертифікати використовуються у багатьох ситуаціях під час тестування продуктів та технологій Microsoft. Одним із найскладніших аспектів інфраструктури PKI є доступність списку відкликання сертифікатів (certificate revocation list – CRL). Суть у тому, що деяким рішенням потрібна успішна перевірка CRL, а деяким – ні. Проблема полягає в тому, що в документації Microsoft не завжди говориться, під який випадок підпадає та чи інша ситуація, тому доводиться гадати, чи потрібна така перевірка чи ні (або ще гірше, виконувати весь процес конфігурації, щоб, врешті-решт, виявити , що рішення не працює).

Одним із підходів до відключення збоїв перевірки CRL є видалення всіх посилань на CRL точку розповсюдження у сертифікатах, що надаються клієнтам. Коли це робиться, CRL перевірки не будуть невдалими, оскільки ніде перевіряти. Звичайно, це знижує рівень безпеки, тому в більшості випадків у середовищі підприємства такий варіант не підходить, але в тестових середовищах, в яких довірчі відносини не є проблемою, є кілька способів зробити це.

Якщо ви не хочете відключати CRL перевірки у своєму середовищі, ви можете створити свою власну точку розповсюдження сертифікатів, яка може використовуватися в тестовому середовищі, а потім налаштувати сервер сертифікації на включення цих точок розподілу CRL DP у сертифікати.

Спочатку ми розглянемо два способи вимкнення перевірки CRL.

Вимкнення перевірки CRL

У першому способі ми налаштуємо центр сертифікації (Certificate Authority) так, щоб він не включав інформацію про адресу для точки розповсюдження CRL в сертифікати. Для цього переходимо в меню Адміністрація (Administrative Tools)і натискаємо.

Малюнок 1

У консолі центру сертифікації натискаємо правою клавішею на ім'я сервера в лівій панелі та вибираємо Властивості (Properties).

Малюнок 2

У діалозі властивостей (Properties)сервера сертифікації вибираємо закладку Розширення (Extensions). Зверніть увагу, що в меню списку Вибір розширень (Select extension)стоїть CRL Distribution Point (CDP). Під нею ви знайдете чотири адреси. Зверніть увагу, що обрана перша адреса. Переконайтеся, що жодна з опцій не позначена прапорцем у нижній частині діалогу. Опції та НЕ повинні бути позначені галочками.

Малюнок 3

Натискаємо другий запис у списку, як показано на малюнку нижче. Переконайтеся, що такі опції НЕ позначені прапорцями: Публікація списків відгуків сертифікатів за адресою (Publish CRLs to this location), і Публікація різницевих CRLs за адресою (Publish Delta CRLs to this location).

Малюнок 4

Натисніть на третій запис у списку. Переконайтеся, що наступні опції НЕ позначені галочками: Включити до CRL. Клієнти використовують дані для пошуку у розміщеннях Delta CRL. (Include in CRL. Clients use this to find Delta CRL locations), Включати в CDP-розширення виданих сертифікатів (Include in the CDP extension of issued certificates)і Включати у розширення IDP виданих CRL (Include in the IDP extension of issued CRLs).

Малюнок 5

Натисніть четвертий запис. Переконайтеся, що параметри, показані на малюнку нижче, не позначені прапорцями.

Малюнок 6

Натисніть OKпісля внесення змін. Можливо, вам доведеться перезапустити службу сертифікатів (Certificate Services), якщо так, зробіть це.

Наведена вище процедура дозволяє налаштувати службу так, що всі сертифікати ЦС, що видаються, будуть виключати цю інформацію. Але, можливо, вам потрібно буде зробити це тільки для певного шаблону сертифіката, а не для всіх сертифікатів, що видаються ЦС. У цьому випадку ви можете створити та налаштувати шаблон сертифіката на виключення CRL DP інформації із сертифікатів, що видаються за допомогою цього шаблону.

Щоб переглянути, як це працює, натисніть меню Пуск (Start)та в полі Виконати введіть MMC, потім натисніть ENTER.

Малюнок 7

У новій консолі MMC натисніть меню Файл (File)та виберіть опцію Додати або видалити оснастку (Add/Remove Snap-in)’Додати оснастку, як показано на малюнку нижче.

Малюнок 8

У консолі Шаблони сертифікатів (Certificate Templates)натисніть на розділ Шаблони сертифікатіву лівій панелі. правою клавішею на шаблоні сертифіката та виберіть Властивості (Properties).

Малюнок 9

У діалозі властивостей шаблону сертифіката перейдіть до закладки Сервер (Server). В закладці Серверви знайдете опцію Не включати відомості про анулювання у видані сертифікати (застосовується тільки для Windows Server 2008 R2 та пізніших версій) ( ). Коли ви вибираєте цю опцію, сертифікати, що видаються за допомогою цього шаблону, не включатимуть відомості про анулювання та перевірка відкликання сертифіката для таких сертифікатів не може бути безуспішною.

Малюнок 10

Створення CRL точки поширення для свого тестового середовища

Якщо ви не хочете відключати перевірки CRL у своєму середовищі, ви можете створити власні точки розповсюдження, які можна використовувати в тестовому середовищі, після чого ви зможете налаштувати сервер сертифікації на включення цих CRL DP у сертифікати. Першим кроком буде налаштування ЦС на звернення до точки поширення CRL Distribution Point, яку ми створимо. Другим кроком буде створення CRL DP та публікація CRL у CRL DP

Почнемо з налаштування параметрів точки розповсюдження CRL Distribution Point у центрі сертифікації. Оскільки кроки з налаштування ЦС і точки розповсюдження дуже докладні і точні, ми скористаємося покроковим підходом, щоб нічого не проґавити.

  1. На комп'ютері з центром сертифікації натисніть меню Пуск, наведіть курсор на пункт Адміністраціяі натисніть Центр сертифікації (Certification Authority).
  2. У лівій панелі консолі натисніть правою клавішею на ім'я сервера та виберіть Властивості.
  3. У діалозі Властивостіперейдіть в закладку Розширення (Extensions).
  4. В закладці Розширеннянатисніть Додати. У полі Адреса (Location)введіть URL-адресу, яку клієнти використовують для підключення до точки розповсюдження CRL Distribution Point через HTTP з'єднання. В даному прикладіми використовуємо http://crl.corp.contoso.com/crld/. Переконайтеся, що у вас є DNS запис, який зіставляє цей FQDN із сервером, на якому розташована точка CRL Distribution Point. Ми створимо шлях і прив'яжемо його до веб-сайту пізніше.
  5. У полі Змінна (Variable)натисніть , а потім натисніть Вставити (Insert).
  6. У полі Зміннанатисніть , а потім натисніть Вставити.
  7. У полі Зміннанатисніть , а потім натисніть Вставити.
  8. У полі Адреса (Location)введіть .crlв кінці адресного рядка, а потім натисніть OK.

Малюнок 11

  1. Виберіть опцію Включити у CRLs. Клієнти використовують дані для пошуку в розміщеннях Delta CRL (Include in CRLs. Clients use this to find Delta CRL locations)і Включати в CDP-розширення виданих сертифікатів (Include in the CDP extension of issued certificates), а потім натисніть Застосувати (Apply). Натисніть Ні (No)у діалозі, який запитає вас про необхідність перезавантаження служб Active Directory Certificate Services.
  2. Натисніть Додати.
  3. У полі Адресавведіть шлях UNC до файлового ресурсу, який міститиме CRL Distribution Point. У цьому прикладі ми використовуємо file://app1/crldist$/ , де app1 є ім'ям сервера, який міститиме CRL Distribution Point, а шлях до ресурсу з CRL DP буде \crldist$. Ми налаштуємо ці адреси на наступному кроці.
  4. У полі Зміннанатисніть , а потім Вставити.
  5. У полі Зміннанатисніть , а потім Вставити.
  6. У полі Зміннанатисніть , а потім Вставити.
  7. У полі Адресавведіть .crlв кінці рядка та натисніть OK.

Малюнок 12

  1. Виберіть опцію Публікація CRLs за адресою (Publish CRLs to this location)і Публікація різницевих CRLs за адресою (Publish Delta CRLs to this location), а потім натисніть OK.

Малюнок 13

  1. Тепер натисніть Так (Yes), щоб перезавантажити службу Active Directory Certificate Services.
  2. Закрийте консолі центру сертифікації.

Тепер давайте створимо точку Web-based CRL Distribution Point на машині, де потрібно розташувати CRL. Ми створимо веб точку CRL Distribution Point, щоб клієнти могли отримати доступ до CRL через HTTP підключення.

  1. На машині, де потрібно розташувати CRL, натисніть меню Пускта наведіть курсор на рядок Адміністрація. Виберіть диспетчера.
  2. У лівій панелі консолі перейдіть до \Sites\Default Web Site. Натисніть правою клавішею Default Web Siteта виберіть Додати віртуальний каталог (Add Virtual Directory).

Малюнок 14

  1. У діалозі додавання віртуального каталогу у текстовому полі Псевдонім (Alias)введіть CRLD(це може будь-яке ім'я, ми вибрали CRLD). Потім у полі Фізичний шлях (Physical path)натисніть кнопку пропуску ‘‘‘.

Малюнок 15

  1. У діалозі Огляд папок (Browse for Folder)виберіть запис Локальний диск(С:) (Local Disk (C:)і натисніть Створити нову папку (Make New Folder).
  2. Введіть CRLDistяк ім'я папки та натисніть ENTER. Натисніть OKу діалозі Огляд папок.

Малюнок 16

  1. Натисніть OKу діалозі Додати віртуальний каталог.

Малюнок 17

  1. У середній панелі консолі двічі натисніть Огляд каталогів (Directory Browsing).
  2. У правій панелі консолі натисніть Увімкнути (Enable).

Малюнок 18

  1. У лівій панелі консолі натисніть папку CRLD.
  2. У середній панелі консолі двічі натисніть на значку Редактор конфігурації (Configuration Editor)
  3. Натисніть стрілку вниз у списку, що розкривається Розділ (Section)і перейдіть до system.webServer\security\requestFiltering.
  4. У середній панелі консолі двічі натисніть на запис allowDoubleEscaping, щоб змінити значення з Falseна True.

Малюнок 19

  1. У правій панелі консолі натисніть Застосувати.

Малюнок 20

  1. Закрийте консоль Internet Information Services (IIS) Manager.

Тепер нам потрібно налаштувати дозволи CRL Distribution Point File Share. Тут ми налаштуємо роздільну здатність файлового ресурсу для створеної папки CRL Distribution Point.

  1. На комп'ютері, що містить CRL DP, натисніть меню Пускта виберіть Комп'ютер (Computer).
  2. Двічі натисніть Локальний диск (C:).
  3. У правій панелі провідника Windows Explorerнатисніть правою клавішею на папці CRLDistта виберіть Властивості.
  4. У діалозі властивостей CRLDist Propertiesнатисніть на вкладку Загальний доступ (Sharing). На вкладці Загальний доступ (Sharing)натискаємо кнопку Розширене налаштування загального доступу (Advanced Sharing).
  5. У діалозі ставимо прапорець напроти опції Надати спільний доступ до цієї папки (Share this folder).
  6. У полі Ім'я загального ресурсу (Share name)додайте $ наприкінці імені наступним чином CRLDist$
  7. У діалозі Розширене налаштування загального доступунатисніть кнопку Дозволи (Permissions).
  8. У діалозі Дозволи для CRLDist$натисніть Додати.

Малюнок 21

  1. У діалозі Вибір облікових записів користувача, комп'ютера, служби або групи (Select Users, Computers, Service Accounts, or Groups)натисніть кнопку Типи об'єктів (Object Types).
  2. У діалозі Типи об'єктівпозначте опцію Комп'ютери (Computers)і натисніть OK.
  3. У діалозі Вибір облікового записукористувача, комп'ютера, служби або групиу текстовому полі Введіть імена об'єктів для вибору (Enter the object names to select) Перевірка імен (Check Names). Натисніть OK.
  4. У діалозі Дозволи для CRLDist$виберіть ім'я комп'ютера, на якому розташована служба сертифікації (Certificate Services) зі списку Імена груп або користувачів (Group or user names). В розділі Дозволипозначте опцію Дозволити (Allow)для Повний доступ (Full Control). Натисніть OK.

Малюнок 22

  1. У діалозі Розширене налаштування загального доступунатисніть OK.
  2. У діалозі Властивості CRLDistнатисніть закладку Безпека (Security).
  3. В закладці Безпеканатисніть кнопку Змінити.
  4. У діалозі Дозволи для CRLDistнатисніть кнопку Додати.
  5. У діалозі натисніть кнопку Типи об'єктів.
  6. У діалозі Типи об'єктівпоставте прапорець для опції Комп'ютери. Натисніть OK.
  7. У діалозі Вибір облікових записів користувачів, комп'ютерів, служб або групу текстовому полі Введіть імена об'єктів для виборувведіть ім'я комп'ютера, на якому розташовано ЦС, і натисніть Перевірка імен. Натисніть OK.
  8. У діалозі Дозволи для CRLDistвиберіть ім'я комп'ютера, на якому розташована служба сертифікації (Certificate Service) зі списку Імена груп або користувачів. В розділі Дозволипоставте прапорець у стовпці Дозволитидля опції Повний доступ (Full control). Натисніть OK.

Малюнок 23

  1. Натисніть кнопку Закрити (Close)у діалозі Властивостей CRLDist.
  1. На всіх комп'ютерах, що містять ЦС, натисніть меню Пускі перейдіть в Адміністрація. Виберіть Центр сертифікації.
  2. У лівій панелі консолі двічі натисніть на ім'я сервера та правою клавішею натисніть Анульовані сертифікати (Revoked Certificates), потім наведіть курсор на рядок Усі завдання (All Tasks)та виберіть опцію Опублікувати (Publish).
  3. У діалозі Публікація CRLвиберіть опцію Новий CRLі натисніть OK.
  4. Натисніть Пускта в текстовому полі Пошук програм та файлів (Search programs and files)введіть \\\CRLDist$, натисніть ENTER. В цьому випадку є ім'ям комп'ютера, де розташований CRL.
  5. У вікні провідника Windows Explorer ви повинні побачити два нових файли у файловому ресурсі CRL DP.
  1. Закрийте вікно провідника Windows Explorer.
  2. Закрийте консоль центру сертифікації.

Висновок

У цій статті ми розглянули кроки для кількох процедур, які можна використовувати для спрощення перевірки CRL у тестовому середовищі. Ми почали з розгляду кількох способів відключення CRL перевірок у тестовому середовищі. Потім ми докладно розглянули процедуру, у якій створюється точка розподілу, щоб перевірки сертифікатів були безуспішними, оскільки CRL насправді доступний. Слід зазначити, що ці CRL перевірки будуть працювати для інтрамережних клієнтів вашого тестового середовища. Якщо у вас є клієнти, розташовані за межами інтрамережі, вам доведеться знайти спосіб публікації внутрішнього CRL цих зовнішніх клієнтів. Це може бути досить складно, і тому я не можу охопити всі численні сценарії в цій статті. Надішліть мені лист, якщо у вас є конкретний сценарій, який вас цікавить, і я напишу статтю про те, як публікувати CRL в цьому сценарії.

Клієнта дозвіл на роботу. Також необхідно перевірити роботу плагінівJava JRE (Середовище, в якому функціонує ДІІС ) -Java Deployment Toolkit та Java (TM) Platform SE

Для цього Вам необхідно:

а. Якщо у Вас браузерInternet Explorer:

відкрийте Internet Explorer, натисніть кнопкуСервіс(шістка), а потім виберіть пунктНалаштувати надбудови . В списку Відображативиберіть пункт Усі надбудови. Виберіть надбудову, натисніть кнопку Увімкнути, а потім — Закрити.

б. Якщо у Вас браузерMozilla Firefox , то:

натиснути одночасно ctrl+shift+a (англійська). Вибрати зліва пунктПлагіни, знайти Jinn-client, поставити навпроти нього "Дозволити завжди".

в. Якщо у Вас браузерGoogle Chrome , то:

необхідно відкрити меню браузера з трьома смужками в кутку екрана, вибрати пункт «Додаткові інструменти» - «Розширення», у меню перевірити плагінJinn-client. Для включення плагіна необхідно поставити галочку напроти назви розширення.

3. Якщо в ході попереднього пункту Ви не знайшли у себе в браузері плагінJinn-client і Java , отже, у Вас не встановлені програми і Вам необхідно звернутися до системного адміністратора Вашої організації.

4. Якщо під час другого пункту Вам було виявлено плагінJinn-client та йому дозволені дії у браузері, необхідно перевірити дозвіл у браузері на спливаючі вікна.

Для цього Вам необхідно:

а. Якщо у Вас браузерInternet Explorer:

Відкрийте Internet Explorer , натисніть кнопку Сервіс (шістка), а потім виберіть пункт Властивості браузера.

На вкладці Конфіденційність у розділі "Блокування спливаючих вікон" встановіть або зніміть прапорець Увімкнути блокування спливаючих вікон та натисніть кнопку ОК.

б. Якщо у Вас браузерMozilla Firefox, то:

Клацніть по кнопці меню три смужки та виберіть Установки. - Виберіть панель Вміст - На панелі Вміст у розділі Спливаючі вікна - Заберіть галочку з Блокувати спливаючі вікна, щоб вимкнути блокування спливаючих вікон.

в. Якщо у Вас браузерGoogle Chrome, то:

Запустіть браузерChrome . - Натисніть на значок Ще в правому верхньому куткуекрану.

Виберіть Установки. - Виберіть Показати додаткові налаштуванняу нижній частині сторінки. - Натисніть кнопку Налаштування контенту в розділі "Особисті дані". - У розділі "Випливаючі вікна" виберіть потрібний варіант: Дозволити відкриття спливаючих вікон на всіх сайтах.

5. Вимкнути програми та розширення для блокування реклами у браузері.

Якщо ці пункти не допомагають: тимчасово відключити Брандмауер, тимчасово відключити антивірус.


Одна з найпоширеніших помилок програми АРМ "Електронний бюджет" - помилка, що виникає при підключенні до сервера, має індексний номер 434. Вирішити її досить просто, в більшості випадків допомагає всього 2 дії:

1. Оновлення складання Континент TLSдо актуальної версії Наприклад, версія номер 920 працювала нестабільно і часто з'єднання завершувалося 434 помилкою Сервер призначення недоступний. Актуальну версію можна завантажити із сайту securitycode.ru.

2. Перевірка правильності введення адресиособистого кабінету користувача програми "Електронний бюджет" у Континент TLS, а також номери порту (8080). У рядку не повинно стояти пробілів або інших символів ні на початку рядка, ні в кінці. Правильною буде адреса: lk.budget.gov.ru(як на фото). Якщо ж ви налаштовуєте проксі-сервер через браузер, він повинен бути налаштований відповідним чином. Якщо ви не працюєте через проксі-сервер – галочка в налаштуваннях TLS стояти не повинна. Про це нижче.

Помилка 434 "Недоступний сервер призначення". Як прибрати?

Якщо два перерахованих варіанти вирішення проблем вам не допомогли (оновлення складання і правильність написання адреси особистого кабінету) - значить проблема швидше за все криється в неправильній установці кореневих сертифікатів центру, що засвідчує, або налаштуваннях проксі в браузері і вона теж вирішується.

- Щодо сертифікатів- деякі користувачі при неправильній установці програми ставлять кореневі сертифікати УЦ та TLS до Реєстру, тоді як за інструкцією правильно - у Локальний комп'ютер. І тут допоможе переміщення сертифікатів.

Якщо ви вибираєте налаштування проксі-сервера в браузері, воно має бути включене правильним чином. Треба вказати тип проксі-HTTP і поставити галочку, що проксі-сервер використовуватиметься для всіх протоколів. Приклад налаштування браузера Firefoxнижче.

Поширені помилки при підключенні до ДІВС

« Електронний бюджет»

При виникненні проблем із підключенням до ДІВС «Електронний бюджет» необхідно перевірити налаштування:

1. вхід у особистий кабінет здійснюється за посиланням http://lk. budget. gov. ru/ udu- webcenter;

2. перевірити налаштування «Континент TLSVPN Клієнт».

Відкрити конфігуратор налаштувань (Пуск >Всі програми > Код Безпеки >Client> Налаштування Континент TLSклієнта), «Порт»має бути вказане значення 8080 , «Адреса» -lk.Позначки «Використовувати зовнішній проксі-сервер» не повинно бути, якщо організація не використовує зовнішній проксі, Вимагати підтримку RFC 5746 можна прибрати.

Після додавання сертифіката Континенту TLS у полі «Сертифікат» має бути вказано «<»;

Рисунок 1. Налаштування сервісу

3. перевірити налаштування браузера.

На прикладі браузера MozillaFireFox, запустити оглядач, відкрити параметри з'єднання (Головне меню браузера «Інструменти»>«Налаштування»> вкладка «Додаткові»> вкладка «Мережа»> кнопка «Налаштувати»). Вибрати «Ручне налаштування сервісу проксі», у полі проксі» вказати значення 127.0.0.1, «Порт» - 8080. Поставити позначку «Використовувати цей проксі-сервер для всіх протоколів».

У полі «Не використовувати проксі для» не повинно бути вказано значення 127.0.0.1.

Рисунок 2. Параметри з'єднання

Типові помилки при підключенні до ДІВС

« Електронний бюджет»


Варіанти розв'язання: 1) Вимкнути антивірус. У разі вирішення проблеми – змінити параметри антивірусу 2) Перевірити налаштування TLS та браузера.

2. 403 Доступ заборонено. Сертифікат сервера відрізняється від заданого в установках. Відрізняється довжина сертифікатів.

Рішення: Перевірити вказаний в налаштуваннях TLS сертифікат за найменуванням у рядку. Повинно бути "<».

3. Не відображає вікно вибору сертифіката.

Рішення: Прибрати галочку "Вимагати підтримку RFC 5746" якщо варто. Інакше перевірте інші налаштування.

4. 403 Доступ заборонено. Не знайдено кореневого сертифіката.

Рішення: Повторне встановлення сертифіката УЦ Федерального казначейства (якщо вже встановлено).

Для WindowsXP:

Пуск >Виконати>mmc>консоль>додати або видалити оснастку>додати «сертифікати»(Мал. 3) >мого облікового запису>Готово >ОК>розгорнути список >відкрити рядок «довірені кореневі центри» - «сертифікати»>на порожньому місці вікна із сертифікатами натиснути праву кнопкумиші та вибрати (Мал. 4)>всі завдання>імпорт>

Малюнок 3

Малюнок 4

Для Windows 7:

Пуск >Виконати>mmc>файл>додати або видалити оснастку>додати оснастку «сертифікати» (Рис. 5)>додати>мого облікового запису>Готово>ОК>розгорнути вміст і стати на рядок «довірені кореневі центри»- «сертифікати» 6)>на порожньому місці вікна з сертифікатами натиснути праву кнопку миші та вибрати>всі завдання>імпорт>вибрати потрібний сертифікат і встановити.

Малюнок 5

Програми

Вам також може сподобатися