СУФД — различия между версиями

Материал из Корпоративная wiki Администрации города Волгодонски
Перейти к: навигация, поиск
(Получение электронной подписи)
(Решение проблем)
(не показаны 23 промежуточные версии этого же участника)
Строка 1: Строка 1:
== Получение электронной подписи ==
 
В связи с изменением федеральным казначейством правил генерации квалифицированных ключей сертификатов подписи (далее - КСКП) заявки на создание КСКП осуществляются на специализированном рабочем месте в отделе информационных систем и технологий.
 
#. Перед началом генерации ключей нужно вставить USB–накопитель в компьютер.
 
#. На рабочем столе дважды нажать левой кнопкой мыши по ярлыку «Портал СУФД».
 
#. В появившемся окне нажать кнопку «Да»
 
#. В открывшейся странице ввести в поля «Пользователь» и «Пароль» данные, полученные у сотрудника отдела информационных систем и технологий «Вход в систему»:
 
 
 
== Подключение ==
 
== Подключение ==
 
# Уточнить в УФК наличие нового регламента на текущий момент.
 
# Уточнить в УФК наличие нового регламента на текущий момент.
 
# Определить лиц имеющих право подписи.
 
# Определить лиц имеющих право подписи.
 
# Выпустить распоряжение/приказ со списком лиц, имеющим право доступа в СУФД.
 
# Выпустить распоряжение/приказ со списком лиц, имеющим право доступа в СУФД.
# Получить ЭП в УФК.
+
# Установить Mozilla Firefox/Yandex.Browser.
# Установить Mozilla Firefox.
 
 
# Установить КриптоПро CSP.
 
# Установить КриптоПро CSP.
# Установить Java Runtime Environment.
+
# Установить КриптоПро ЭЦП Browser plug-in.
## В апплете Java отключаем проверку:
+
# В Mozilla Firefox в разделе "Плагины" указать для "КриптоПро ЭЦП Browser plug-in" настройку "Всегда включать".
### На вкладке: Advanced;
+
# Открыть "Пуск ⇒ КРИПТО-ПРО ⇒ Настройки ЭЦП Browser Plug-in" и добавить в исключения адрес СУФД-Портала "http://sufd.s2400w03.ufk24.roskazna.local:28081".
#### В разделе: Mixed code;
 
#### Выставить параметр: Disable verification.
 
### На вкладке Security;
 
#### По кнопке Edit Site List... добавить адреса доступа к СУФД.
 
 
# Установить Континент-АП лицам, указанным в распоряжении/приказе. При установке исключить элемент "Межсетевой экран".
 
# Установить Континент-АП лицам, указанным в распоряжении/приказе. При установке исключить элемент "Межсетевой экран".
 
## Добавить IP серверов доступа.
 
## Добавить IP серверов доступа.
## Установить шаблон заявления.
+
## Выбрать криптопровайдер «Код Безопасности CSP» по умолчанию [[Файл:2018-11-01 Континент-АП 3.7 выбор CSP по умолчанию.png|center|мини|Выбор криптопровайдера по умолчанию.]]
### Сформировать закрытую часть ЭП и запрос на сертификат (файл .req).
+
## Установить шаблон заявления [[Файл:Файл шаблона заявления.zip|мини|request.xsl]].
### Подписать запрос на сертификат в УФК.
+
## Выбрать криптопровайдер «Код Безопасности CSP» [[Файл:2018-11-01 Континент-АП 3.7 выбор CSP по умолчанию 1.png|мини|центр|Выбор CSP при генерации запроса на сертификат]]
 +
## Сформировать закрытую часть ЭП и запрос на сертификат (файл .req).
 +
## Получить сертификат в УФК.
 
## Установить сертификат для доступа к СУФД в "Континент-АП".
 
## Установить сертификат для доступа к СУФД в "Континент-АП".
 
# Внести строки в %SystemRoot%\System32\drivers\etc\hosts или настройки зон DNS сервера.
 
# Внести строки в %SystemRoot%\System32\drivers\etc\hosts или настройки зон DNS сервера.
Строка 31: Строка 21:
 
  10.58.200.66 sufd.s5800w03.ufk58.roskazna.local  sufd
 
  10.58.200.66 sufd.s5800w03.ufk58.roskazna.local  sufd
  
-----
+
== Настройка "Континет АП" ==
http://arh-sufd-portal.ru/forum/viewtopic.php?p=3 можно выполнить 4й пункт, должен ускорить подписание.
+
 
 +
Установку лучше производить командой:
 +
Continent_AP_3.7.7.641.exe /S /DO=INSTALL /NMSE
 +
Данный набор букв установит только VPN клиент, Биологический ДСЧ, Континент CSP и без межсетевого экрана.
 +
 
 +
Поскольку адрес по умолчанию 0.0.0.0, то необходимо в настройке соединения указать серверы доступа
 +
5800-SD-01.roskazna.ru
 +
5800-SD-02.roskazna.ru
 +
5800-SD-03.roskazna.ru
 +
5800-SD-04.roskazna.ru
 +
соответственно соединению.
 +
 
 +
== Решение проблем ==
 +
'''В:''' Если на все сертификаты ГОСТ 2012, в том числе удостоверяющие пишет, что сертификат поврежден или содержит неправильную ЭП. КриптоПро CSP 4 переустановили, обновили на R3, результат тот же. ГОСТ 2001 работает.
 +
 
 +
'''О:''' Удалить
 +
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
 +
и
 +
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
 +
командами в командной строке запущенной с повышенными правами:
 +
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1 /f
 +
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1 /f
 +
 
 +
== Матрица подписания ==
 +
 
 +
Список пользователей имеющих соответствующее право подписи который можно использовать для проверки возможности непрерывности процедуры подписания документов.
 +
 
 +
{| class="wikitable"
 +
!Лицо имеющее право 1й подписи (Руководитель)
 +
!Лицо имеющее право 2й подписи (Главный бухгалтер)
 +
|-
 +
|Глава Администрации || Главный бухгалтер
 +
|-
 +
|Зам. главы Администрации|| Зам. главного бухгалтера
 +
|}
 +
 
 +
Идея в том, что в каждой колонке должно быть хотя бы одно должностное лицо с действующей зарегистрированной ЭП.

Версия 17:17, 4 декабря 2019

Подключение

  1. Уточнить в УФК наличие нового регламента на текущий момент.
  2. Определить лиц имеющих право подписи.
  3. Выпустить распоряжение/приказ со списком лиц, имеющим право доступа в СУФД.
  4. Установить Mozilla Firefox/Yandex.Browser.
  5. Установить КриптоПро CSP.
  6. Установить КриптоПро ЭЦП Browser plug-in.
  7. В Mozilla Firefox в разделе "Плагины" указать для "КриптоПро ЭЦП Browser plug-in" настройку "Всегда включать".
  8. Открыть "Пуск ⇒ КРИПТО-ПРО ⇒ Настройки ЭЦП Browser Plug-in" и добавить в исключения адрес СУФД-Портала "http://sufd.s2400w03.ufk24.roskazna.local:28081".
  9. Установить Континент-АП лицам, указанным в распоряжении/приказе. При установке исключить элемент "Межсетевой экран".
    1. Добавить IP серверов доступа.
    2. Выбрать криптопровайдер «Код Безопасности CSP» по умолчанию
      Выбор криптопровайдера по умолчанию.
    3. Установить шаблон заявления Файл:Файл шаблона заявления.zip.
    4. Выбрать криптопровайдер «Код Безопасности CSP»
      Выбор CSP при генерации запроса на сертификат
    5. Сформировать закрытую часть ЭП и запрос на сертификат (файл .req).
    6. Получить сертификат в УФК.
    7. Установить сертификат для доступа к СУФД в "Континент-АП".
  10. Внести строки в %SystemRoot%\System32\drivers\etc\hosts или настройки зон DNS сервера.
10.58.200.66 s5800w03.ufk58.roskazna.local   s5800w03
10.58.200.66 sufd.s5800w03.ufk58.roskazna.local  sufd

Настройка "Континет АП"

Установку лучше производить командой:

Continent_AP_3.7.7.641.exe /S /DO=INSTALL /NMSE

Данный набор букв установит только VPN клиент, Биологический ДСЧ, Континент CSP и без межсетевого экрана.

Поскольку адрес по умолчанию 0.0.0.0, то необходимо в настройке соединения указать серверы доступа

5800-SD-01.roskazna.ru
5800-SD-02.roskazna.ru
5800-SD-03.roskazna.ru
5800-SD-04.roskazna.ru

соответственно соединению.

Решение проблем

В: Если на все сертификаты ГОСТ 2012, в том числе удостоверяющие пишет, что сертификат поврежден или содержит неправильную ЭП. КриптоПро CSP 4 переустановили, обновили на R3, результат тот же. ГОСТ 2001 работает.

О: Удалить

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

и

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

командами в командной строке запущенной с повышенными правами:

reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1 /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1 /f

Матрица подписания

Список пользователей имеющих соответствующее право подписи который можно использовать для проверки возможности непрерывности процедуры подписания документов.

Лицо имеющее право 1й подписи (Руководитель) Лицо имеющее право 2й подписи (Главный бухгалтер)
Глава Администрации Главный бухгалтер
Зам. главы Администрации Зам. главного бухгалтера

Идея в том, что в каждой колонке должно быть хотя бы одно должностное лицо с действующей зарегистрированной ЭП.