СУФД — различия между версиями
Litvinyuk (обсуждение | вклад) (→Получение электронной подписи в СУФД) |
Litvinyuk (обсуждение | вклад) (→Решение проблем) |
||
(не показано 13 промежуточных версий этого же участника) | |||
Строка 1: | Строка 1: | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
== Подключение == | == Подключение == | ||
# Уточнить в УФК наличие нового регламента на текущий момент. | # Уточнить в УФК наличие нового регламента на текущий момент. | ||
# Определить лиц имеющих право подписи. | # Определить лиц имеющих право подписи. | ||
# Выпустить распоряжение/приказ со списком лиц, имеющим право доступа в СУФД. | # Выпустить распоряжение/приказ со списком лиц, имеющим право доступа в СУФД. | ||
− | + | # Установить Mozilla Firefox/Yandex.Browser. | |
− | # Установить Mozilla Firefox. | ||
# Установить КриптоПро CSP. | # Установить КриптоПро CSP. | ||
− | # Установить | + | # Установить КриптоПро ЭЦП Browser plug-in. |
− | + | # В Mozilla Firefox в разделе "Плагины" указать для "КриптоПро ЭЦП Browser plug-in" настройку "Всегда включать". | |
− | + | # Открыть "Пуск ⇒ КРИПТО-ПРО ⇒ Настройки ЭЦП Browser Plug-in" и добавить в исключения адрес СУФД-Портала "http://sufd.s2400w03.ufk24.roskazna.local:28081". | |
− | |||
− | # | ||
− | |||
− | |||
# Установить Континент-АП лицам, указанным в распоряжении/приказе. При установке исключить элемент "Межсетевой экран". | # Установить Континент-АП лицам, указанным в распоряжении/приказе. При установке исключить элемент "Межсетевой экран". | ||
## Добавить IP серверов доступа. | ## Добавить IP серверов доступа. | ||
− | ## Установить шаблон заявления. | + | ## Выбрать криптопровайдер «Код Безопасности CSP» по умолчанию [[Файл:2018-11-01 Континент-АП 3.7 выбор CSP по умолчанию.png|center|мини|Выбор криптопровайдера по умолчанию.]] |
− | ### Сформировать закрытую часть ЭП и запрос на сертификат (файл .req). | + | ## Установить шаблон заявления [[Файл:Файл шаблона заявления.zip|мини|request.xsl]]. |
− | ## | + | ## Выбрать криптопровайдер «Код Безопасности CSP» [[Файл:2018-11-01 Континент-АП 3.7 выбор CSP по умолчанию 1.png|мини|центр|Выбор CSP при генерации запроса на сертификат]] |
+ | ## Сформировать закрытую часть ЭП и запрос на сертификат (файл .req). | ||
+ | ## Получить сертификат в УФК. | ||
## Установить сертификат для доступа к СУФД в "Континент-АП". | ## Установить сертификат для доступа к СУФД в "Континент-АП". | ||
# Внести строки в %SystemRoot%\System32\drivers\etc\hosts или настройки зон DNS сервера. | # Внести строки в %SystemRoot%\System32\drivers\etc\hosts или настройки зон DNS сервера. | ||
Строка 75: | Строка 21: | ||
10.58.200.66 sufd.s5800w03.ufk58.roskazna.local sufd | 10.58.200.66 sufd.s5800w03.ufk58.roskazna.local sufd | ||
− | ----- | + | == Настройка "Континет АП" == |
− | + | ||
+ | Установку лучше производить командой: | ||
+ | Continent_AP_3.7.7.641.exe /S /DO=INSTALL /NMSE | ||
+ | Данный набор букв установит только VPN клиент, Биологический ДСЧ, Континент CSP и без межсетевого экрана. | ||
+ | |||
+ | Поскольку адрес по умолчанию 0.0.0.0, то необходимо в настройке соединения указать серверы доступа | ||
+ | 5800-SD-01.roskazna.ru | ||
+ | 5800-SD-02.roskazna.ru | ||
+ | 5800-SD-03.roskazna.ru | ||
+ | 5800-SD-04.roskazna.ru | ||
+ | соответственно соединению. | ||
+ | |||
+ | == Решение проблем == | ||
+ | '''В:''' Если на все сертификаты ГОСТ 2012, в том числе удостоверяющие пишет, что сертификат поврежден или содержит неправильную ЭП. КриптоПро CSP 4 переустановили, обновили на R3, результат тот же. ГОСТ 2001 работает. | ||
+ | |||
+ | '''О:''' Удалить | ||
+ | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1 | ||
+ | и | ||
+ | HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1 | ||
+ | командами в командной строке запущенной с повышенными правами: | ||
+ | reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1 /f | ||
+ | reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1 /f | ||
+ | |||
+ | == Матрица подписания == | ||
+ | |||
+ | Список пользователей имеющих соответствующее право подписи который можно использовать для проверки возможности непрерывности процедуры подписания документов. | ||
+ | |||
+ | {| class="wikitable" | ||
+ | !Лицо имеющее право 1й подписи (Руководитель) | ||
+ | !Лицо имеющее право 2й подписи (Главный бухгалтер) | ||
+ | |- | ||
+ | |Глава Администрации || Главный бухгалтер | ||
+ | |- | ||
+ | |Зам. главы Администрации|| Зам. главного бухгалтера | ||
+ | |} | ||
+ | |||
+ | Идея в том, что в каждой колонке должно быть хотя бы одно должностное лицо с действующей зарегистрированной ЭП. |
Версия 17:17, 4 декабря 2019
Подключение
- Уточнить в УФК наличие нового регламента на текущий момент.
- Определить лиц имеющих право подписи.
- Выпустить распоряжение/приказ со списком лиц, имеющим право доступа в СУФД.
- Установить Mozilla Firefox/Yandex.Browser.
- Установить КриптоПро CSP.
- Установить КриптоПро ЭЦП Browser plug-in.
- В Mozilla Firefox в разделе "Плагины" указать для "КриптоПро ЭЦП Browser plug-in" настройку "Всегда включать".
- Открыть "Пуск ⇒ КРИПТО-ПРО ⇒ Настройки ЭЦП Browser Plug-in" и добавить в исключения адрес СУФД-Портала "http://sufd.s2400w03.ufk24.roskazna.local:28081".
- Установить Континент-АП лицам, указанным в распоряжении/приказе. При установке исключить элемент "Межсетевой экран".
- Добавить IP серверов доступа.
- Выбрать криптопровайдер «Код Безопасности CSP» по умолчанию
- Установить шаблон заявления Файл:Файл шаблона заявления.zip.
- Выбрать криптопровайдер «Код Безопасности CSP»
- Сформировать закрытую часть ЭП и запрос на сертификат (файл .req).
- Получить сертификат в УФК.
- Установить сертификат для доступа к СУФД в "Континент-АП".
- Внести строки в %SystemRoot%\System32\drivers\etc\hosts или настройки зон DNS сервера.
10.58.200.66 s5800w03.ufk58.roskazna.local s5800w03 10.58.200.66 sufd.s5800w03.ufk58.roskazna.local sufd
Настройка "Континет АП"
Установку лучше производить командой:
Continent_AP_3.7.7.641.exe /S /DO=INSTALL /NMSE
Данный набор букв установит только VPN клиент, Биологический ДСЧ, Континент CSP и без межсетевого экрана.
Поскольку адрес по умолчанию 0.0.0.0, то необходимо в настройке соединения указать серверы доступа
5800-SD-01.roskazna.ru 5800-SD-02.roskazna.ru 5800-SD-03.roskazna.ru 5800-SD-04.roskazna.ru
соответственно соединению.
Решение проблем
В: Если на все сертификаты ГОСТ 2012, в том числе удостоверяющие пишет, что сертификат поврежден или содержит неправильную ЭП. КриптоПро CSP 4 переустановили, обновили на R3, результат тот же. ГОСТ 2001 работает.
О: Удалить
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
и
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
командами в командной строке запущенной с повышенными правами:
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1 /f reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1 /f
Матрица подписания
Список пользователей имеющих соответствующее право подписи который можно использовать для проверки возможности непрерывности процедуры подписания документов.
Лицо имеющее право 1й подписи (Руководитель) | Лицо имеющее право 2й подписи (Главный бухгалтер) |
---|---|
Глава Администрации | Главный бухгалтер |
Зам. главы Администрации | Зам. главного бухгалтера |
Идея в том, что в каждой колонке должно быть хотя бы одно должностное лицо с действующей зарегистрированной ЭП.