Настройка электронно-цифровой подписи для работы с государственными сайтами

В инструкции описана последовательность подготовки рабочего места для взаимодействия с государственными сайтами посредством электронно-цифровой подписи такими как Госуслуги, ГМУ (bus.gov.ru), Личный кабинет налогоплательщика (nalog.ru), ЕИС Закупки (zakupki.gov.ru) и т.д.

Для тех кто торопится или знает что делать: ссылка на дистрибутивы

В инструкции указаны ссылки на официальные источники файлов. В конце есть ссылка, где все необходимые файлы доступны для скачивания с этого сайта. В случае проблем или неточностей напишите в комментарии, постараюсь дополнить.

Информация будет актуализироваться с течением времени. Последнее обновление информации 2024-03-13 12:06:40

1. Установка корневых сертификатов

Основной набор корневых сертификатов представлен корневыми сертификатами нескольких организаций

Популярные браузеры могут считать данные сертификаты опасными, соглашаемся на сохранение всё равно. Сертификаты загружаются по прямым ссылкам с официального сайта казначейства.

1.1 Корневые сертификаты Федерального казначейства

Скачивание корневых сертификатов с сайта федерального казначейства
Скачивание корневых сертификатов с сайта федерального казначейства

Все основные корневые сертификаты можно найти на сайте федерального казначейства в разделе ГИС — Удостоверяющий центр — Корневые сертификаты.

Нужно установить все действующие на текущий момент сертификаты (на вкладках 2023-2020 и 2018 годов, на момент публикации инструкции). Вот прямые ссылки на них:

1.2 Корневые сертификаты КриптоПро

Необходимы для открытия официального сайта КриптоПро, сайта проверки работы браузерного плагина и т.д. Подробнее почитать можно на сайтах соответствующих сертификатов по ссылкам: http://cpca20.cryptopro.ru/ и https://cpcakc3.cryptopro.ru/tls.htm

1.3 Корневой сертификат Госуслуг

Необходим для открытия некоторых сайтов (например, ГАС Управление). Посмотреть информацию о данном сертификате, а так же заказать себе свой можно на сайте.

Установка корневых сертификатов

Правой кнопкой мыши нажать по файлу и выбрать пункт Установить сертификат

Выбрать область установки сертификата (рекомендуется выбирать Локальный компьютер, так сертификат будет работать для всех пользователей в системе).

Установка сертификата из скаченного файла
Установка сертификата из скаченного файла

Выбрать хранилище сертификатов Доверенные центры корневой сертификации, наждать ОК, Далее, Готово.

Установка сертификатов корневых центров сертификации
Установка сертификатов корневых центров сертификации

Проделать эти операции для каждого из сертификатов.

2. Установка и запуск криптопровайдера КриптоПро CSP

Установить программу с прилагаемого дистрибутива, либо скачать её с официального сайта (требуется регистрация). Рекомендуемая для использования версия 4.0.9944 и выше.

Для сертификатов выпущенных с 01.01.2022 или для тех, которые не устанавливаются в КриптоПРО CSP четвертой версии, возможно, поможет обновление четвертой версии до версии 5.0.11455, как на изображении ниже, лицензия будет перенесена (но не более новой, иначе, из-за обновленной системы лицензирования, лицензия слетит).

Процесс установки не сложен — там нет необходимости в специфических настройках.

Запустить программу можно нажав на её ярлык в Пуск — Все программы — КРИПТО-ПРО — КриптоПро CSP, либо найдя ярлык запуска в Панели управления (Раздел Система и безопасность)

После установки программа будет работать в пробном, но полнофункциональном, режиме 3 месяца (при условии, что программа была установлена впервые), чего на первое время хватит.

Регистрация лицензии на КриптоПро
Регистрация лицензии на КриптоПро

Следует зарегистрировать программу (кнопка Ввод лицензии) используя выданный в казначействе документ: Учётная карточка лицензии на право использования электронной подписи. Нужный код находится в поле Серийный номер лицензии.

Учётная карточка лицензии на КриптоПро
Учётная карточка лицензии на КриптоПро

Начиная с 2023 года лицензионные номера можно взять в системе АОКЗ, доступ к которой обеспечивается посредством действующей ЭЦП. Для доступа к ней необходимо назначить соответствующую роль в ПОИБ СОБИ.

3. Установка личных сертификатов (своя ЭЦП)

Запустить КриптоПро, перейти на вкладку Сервис, нажать на кнопку Установить личный сертификат, выбрать файл сертификата, нажав кнопку Обзор (файл сертификата обычно находится на той же флэшке, на которой находится контейнер ЭЦП), нажать Далее (отобразятся сведения о сертификате), нажать Далее.

Установка личного сертификата в КриптоПро
Установка личного сертификата в КриптоПро

Отметить галочкой пункт Найти контейнер автоматически. В случае успеха, поле ниже заполнится, нажать Далее, обязательно отметить галочкой пункт Установить сертификат (цепочку сертификатов) в контейнер, так чтобы она приняла вид галочки, а не квадрата. Нажать Далее и Готово.

4. Установка и настройка браузера

Есть возможность работать с сайтами во встроенном в систему Windows браузере Intertnet Explorer (требуется последняя, 11 версия). Но у данного браузера есть определённые минусы включая то, что он больше не будет развиваться и поддерживаться, а соответственно и его поддержка государственными сайтами может быть прекращена в любой момент. На многих сайтах он уже отмечен как не рекомендуемый. Т.к. он не требует особой настройки его можно попробовать использовать как экстренный вариант, если с рекомендуемым ниже браузером что-то не получается.

Рекомендуется использовать для работы Яндекс.Браузер по нескольким причинам: активно разрабатывается и своевременно обновляется, имеет вшитую поддержку сайтов использующих шифрование ГОСТ, популярный (вследствие чего проще). Скачать его можно с официального сайта или по прямой ссылке.

Подготовленная корпоративная версия браузера

Без лишних рекламных ссылок и автоустановки Алисы (для Windows)

В процессе установке нет выбора устанавливаемых компонентов и опций, потому сразу после установки желательно:

  • Удалить лишние программы (Панель управления — Удаление программ):
    • Алиса
    • Кнопка Яндекс на панели задач
  • Убрать Яндекс.Браузер из автозагрузки (Яндекс.Браузер — Меню — настройки — Система — Открывать окна браузера вместе с запуском Windows — Никогда)
  • Отключить работу браузера в фоновом режиме (вызвать контекстное менб на значке браузера в трее, снять галочку Работать в фоне)
  • В момент второго/третьего запуска браузера он предложит и тут же перенесёт настройки с браузера по-умолчанию, следует отказаться от этого, если вы не планируете использовать его в качестве основного браузера для работы
Включение поддержки шифрования по ГОСТ в Яндекс.Браузере
Включение поддержки шифрования по ГОСТ в Яндекс.Браузере

Теперь надо включить ту возможность, ради которой был выбран этот браузер — поддержку государственных стандартов шифрования, т.к. эта возможность по-умолчанию отключена. Нужно перейти в Меню — Настройки — Системные — Подключаться к сайтам, использующим шифрование по ГОСТ.

Если вы работаете с несколькими ЭЦП, то важно знать, что одновременно можно работать только с одной ЭЦП. Выбор сертификата запоминается браузером и в случае необходимости зайти из под другой ЭЦП — следует перезапустить браузер.

На этом этапе у вас уже есть настроенное рабочее место и браузер через который можно работать.

При попытке перейти на сайт bus.gov.ru может вылезти ошибка, что протокол шифрования устарел. Это не проблема браузера, сайт и правда использует устаревший протокол. В таком случае необходимо согласится с возможным риском и добавить сайт в исключения, это поможет на какое-то время.

5. КриптоПро ЭЦП Browser plug-in (CADES)

Необходим для взаимодействия криптопровайдера с ЭЦП через сторонний (не Internet Explorer) браузер.

Оба компонента обязательны к установке: плагин и расширение в браузер

1. Плагин: официальный сайт, установщик: https://cryptopro.ru/products/cades/plugin/get_2_0

После установки, плагин попытается установить своё расширение в браузер. Если у него это не получилось или вы отказались, то ссылка на расширение ниже.

2. Расширение:

Расширение так же есть в качестве основных в Яндекс.браузере и его можно просто включить.

Расширение CAdES встроенное в Яндекс.Браузер

Магазин расширений для Chrome: https://chrome.google.com/webstore/detail/cryptopro-extension-for-c/iifchhfnnmpdbibifmljnfjhpififfog?hl=ru

Если не скачивается расширение и выдает ошибку, см. статью Не скачиваются расширения с Chrome Market

В случае ошибки «Превышено время ожидания от плагина» (обычно выскакивает при попытке опубликовать материал в bus.gov.ru) следует убедится, что установлена актуальная версия плагина (отключить установленную из каталога Opera и установить актуальную из каталога Chrome. В моём случае не работало на версии 1.2.7, а после установки 1.2.8 заработало.

6. Плагин Госуслуг для браузера

Необходим для авторизации в госуслугах (ЕСИА) через ЭЦП. Предложит себя скачать автоматически, если понадобится. Обязательно надо установить не только сам плагин, но и расширение в браузер:

  1. Официальный сайт, установщик: https://ds-plugin.gosuslugi.ru/plugin/upload/
  2. Магазин расширений для Chrome: https://chrome.google.com/webstore/detail/%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%80%D0%B5%D0%BD%D0%B8%D0%B5-%D0%B4%D0%BB%D1%8F-%D0%BF%D0%BB%D0%B0%D0%B3%D0%B8%D0%BD%D0%B0-%D0%B3%D0%BE/pbefkdcndngodfeigfdgiodgnmbgcfha?hl=ru

Если не скачивается расширение и выдает ошибку, см. статью Не скачиваются расширения с Chrome Market

7. Возможные проблемы

7.1 Ошибка ERR_SSL_VERSION_OR_CHIPER_MISMATCH

Ошибка ERR_SSL_VERSION_OR_CHIPER_MISMATCH
Ошибка ERR_SSL_VERSION_OR_CHIPER_MISMATCH в Яндекс.Браузере

Эта ошибка возникает при проблемах установки соединения по протоколу ГОСТ.

Решение: Обратить более пристальное внимание на пункты инструкции 1 и 4 и перезагрузить ПК

Если после этого не заработало, то может помочь:

Переустановка КриптоПРО, либо обновление до новой версии. Версия 4 легко обновляется до версии 5.0 (не 5 R2, 5 R3 и более новых, т.к. в них изменилась система лицензирования и ваша лицензия от версии 4 не подойдёт, а только до обычной). Скачать можно на официальном сайте (после регистрации).

В случае использования устаревших систем (Windows версий 7, 8, 8.1) в них может стоять Internet Explorer версии ниже 11. Если это так, то обновить до 11 версии. Скачать можно с официального сайта: 32bit, 64bit и перезагрузить ПК. Это может помочь, даже если вы не пользуетесь Internet Explorer’ом, а ошибка возникает в Яндекс Браузере.

7.2 Ошибка net::ERR_SSL_OBSOLETE_VERSION

Ошибка net::ERR_SSL_OBSOLETE_VERSION
Ошибка net::ERR_SSL_OBSOLETE_VERSION

Не является ошибкой. Некоторые сайты всё ещё используют устаревшую версию протокола шифрования TLS 1.0 или TLS 1.1. Яндекс.Браузер считает использование этих протоколов небезопасным и предупреждает об этом. Подробнее можно почитать тут.

Решение: Нажать на кнопку Открыть подробности и нажать на ссылку Перейти на сайт … (небезопасно)

7.3 Internet Explorer — Этот веб-сайт не защищён (Код ошибки: 0)

er - Этот веб-сайт не защищён (Код ошибки: 0)

Эта ошибка возникает при отсутствующих корневых сертификатах безопасности, следовательно выполните рекомендации раздела 1. После этого перезагрузить ПК, либо: зайти в свойства браузера, вкладка Содержание, Кнопка Очистить SSL и перезапустить браузер.

7.4 Влияние антивирусных программ

Во многих комплексных антивирусных программных продуктах (далее антивирус), помимо обычной проверки файлов на вирусы, реализована проверка сетевых данных. Т.к. подавляющая часть сайтов работает по зашифрованному протоколу HTTPS, то антивирус не сможет проверить содержимое этих данных — для этого ему нужно их расшифровать. Чтобы это сделать, в цепочку сертификатов при установке соединения с сайтом внедряется сертификат антивируса и обычные сайты открываются без проблем. Проблемы начинаются с государственных сайтов и сайтов использующих шифрование по ГОСТ (которое не признанно всемирно, поэтому не работает сразу везде). Из-за внедрения сертификата антивируса нарушается цепочка шифрования и сайт может не открыться, при этом могут появляться все вышеописанные ошибки о невозможности установить защищённое соединение. Поэтому, если вы сделали все вышеуказанные рекомендации, перезагрузили ПК и у вас всё равно ничего не заработало, то скорее всего дело в вашем антивирусе. Встроенный в Windows антивирус влияние не оказывает, а вот популярные продукты от Kaspersky, DrWeb, ESET Nod32, Avast и т.д. могут.

Подробнее как отключить проверку HTTPS трафика:

7.5 Выберите другую организацию (при авторизации через ЕСИА)

Для сайтов, у которых авторизация производится через ЕСИА (единую систему идентификации и авторизации) при выборе сертификата могут наблюдаться разнообразные ошибки авторизации в основном связанные с неправильным выбором сертификата для входа (к примеру, сообщение на ЕИС Закупки Выберите другую организацию при входе по 223-ФЗ, раздел V). Почти всегда это связано с закешированными данными об авторизации на сайте Госуслуги.

Решение: авторизоваться на сайте Госуслуги, нажать Выйти в личном кабинете (чтобы деавторизоваться), перезапустить браузер, зайти на интересующий сайт и авторизоваться в штатном режиме на интересующем вас сайте.

Если у вас остались вопросы, нашли ошибку — пишите комментарий!

Не можете настроить рабочее место по вышеприведённой инструкции? — Настрою за вас! Свяжитесь со мной

finderX.pro
Добавить комментарий