Настройка электронно-цифровой подписи для работы с государственными сайтами

В инструкции описана последовательность подготовки рабочего места для взаимодействия с государственными сайтами посредством электронно-цифровой подписи такими как госуслуги, ГМУ (bus.gov.ru), личный кабинет налогоплательщика (nalog.ru) и т.д.

В инструкции указаны ссылки на официальные источники файлов. В конце есть ссылка, где все необходимые файлы доступны для скачивания с этого сайта.

1. Установка корневых сертификатов

Скачивание корневых сертификатов с сайта федерального казначейства
Скачивание корневых сертификатов с сайта федерального казначейства

Все основные корневые сертификаты можно найти на сайте федерального казначейства в разделе ГИС — Удостоверяющий центр — Корневые сертификаты.

Нужно установить все действующие на текущий момент сертификаты (на вкладках 2021, 2020 и 2018 годов, на момент публикации инструкции). Вот прямые ссылки на них:

Процесс установки сертификатов довольно прост:

Открыть, нажать кнопку Установить сертификат, выбрать область установки сертификата (рекомендуется выбирать Локальный компьютер, так сертификат будет работать для всех пользователей в системе).

Установка сертификата в КриптоПро
Установка сертификата в КриптоПро

Выбрать хранилище сертификатов Доверенные центры корневой сертификации, наждать ОК, Далее, Готово.

Установка сертификатов корневых центров сертификации
Установка сертификатов корневых центров сертификации

Проделать эти операции для каждого из сертификатов.

2. Установка и запуск криптопровайдера КриптоПро CSP

Установить программу с прилагаемого дистрибутива, либо скачать её с официального сайта (требуется регистрация). Рекомендуемая для использования версия 4.0.9944 и выше.

Процесс установки не сложен — там нет необходимости в специфических настройках.

Запустить программу можно нажав на её ярлык в Пуск — Все программы — КРИПТО-ПРО — КриптоПро CSP, либо найдя ярлык запуска в Панели управления (Раздел Система и безопасность)

После установки программа будет работать в пробном, но полнофункциональном, режиме 3 месяца (при условии, что программа была установлена впервые), чего на первое время хватит.

Регистрация лицензии на КриптоПро
Регистрация лицензии на КриптоПро

Следует зарегистрировать программу (кнопка Ввод лицензии) используя выданный в казначействе документ: Учётная карточка лицензии на право использования электронной подписи. Нужный код находится в поле Серийный номер лицензии.

Учётная карточка лицензии на КриптоПро
Учётная карточка лицензии на КриптоПро

3. Установка личных сертификатов (своя ЭЦП)

Запустить КриптоПро, перейти на вкладку Сервис, нажать на кнопку Установить личный сертификат, выбрать файл сертификата, нажав кнопку Обзор (файл сертификата обычно находится на той же флэшке, на которой находится контейнер ЭЦП), нажать Далее (отобразятся сведения о сертификате), нажать Далее.

Установка личного сертификата в КриптоПро
Установка личного сертификата в КриптоПро

Отметить галочкой пункт Найти контейнер автоматически. В случае успеха, поле ниже заполнится, нажать Далее, обязательно отметить галочкой пункт Установить сертификат (цепочку сертификатов) в контейнер, так чтобы она приняла вид галочки, а не квадрата. Нажать Далее и Готово.

4. Установка и настройка браузера

Есть возможность работать с сайтами во встроенном в систему Windows браузере Intertnet Explorer (требуется последняя, 11 версия). Но у данного браузера есть определённые минусы включая то, что он больше не будет развиваться и поддерживаться, а соответственно и его поддержка государственными сайтами может быть прекращена в любой момент. На многих сайтах он уже отмечен как не рекомендуемый. Т.к. он не требует особой настройки его можно попробовать использовать как экстренный вариант, если с рекомендуемым ниже браузером что-то не получается.

Рекомендуется использовать для работы Яндекс.Браузер по нескольким причинам: активно разрабатывается и своевременно обновляется, имеет вшитую поддержку сайтов использующих шифрование ГОСТ, популярный (вследствие чего проще). Скачать его можно с официального сайта или по прямой ссылке.

В процессе установке нет выбора устанавливаемых компонентов и опций, потому сразу после установки желательно:

  • Удалить лишние программы (Панель управления — Удаление программ):
    • Алиса
    • Кнопка Яндекс на панели задач
  • Убрать Яндекс.Браузер из автозагрузки (Яндекс.Браузер — Меню — настройки — Система — Открывать окна браузера вместе с запуском Windows — Никогда)
  • Отключить работу браузера в фоновом режиме (вызвать контекстное менб на значке браузера в трее, снять галочку Работать в фоне)
  • В момент второго/третьего запуска браузера он предложит и тут же перенесёт настройки с браузера по-умолчанию, следует отказаться от этого, если вы не планируете использовать его в качестве основного браузера для работы
Включение поддержки шифрования по ГОСТ в Яндекс.Браузере
Включение поддержки шифрования по ГОСТ в Яндекс.Браузере

Теперь надо включить ту возможность, ради которой был выбран этот браузер — поддержку государственных стандартов шифрования, т.к. эта возможность по-умолчанию отключена. Нужно перейти в Меню — Настройки — Системные — Подключаться к сайтам, использующим шифрование по ГОСТ.

Если вы работаете с несколькими ЭЦП, то важно знать, что одновременно можно работать только с одной ЭЦП. Выбор сертификата запоминается браузером и в случае необходимости зайти из под другой ЭЦП — следует перезапустить браузер.

На этом этапе у вас уже есть настроенное рабочее место и браузер через который можно работать.

При попытке перейти на сайт bus.gov.ru может вылезти ошибка, что протокол шифрования устарел. Это не проблема браузера, сайт и правда использует устаревший протокол. В таком случае необходимо согласится с возможным риском и добавить сайт в исключения, это поможет на какое-то время.

5. КриптоПро ЭЦП Browser plug-in (CADES)

Необходим для взаимодействия криптопровайдера с ЭЦП через сторонний (не Internet Explorer) браузер. Обязателен к установке.

  1. Официальный сайт, установщик: https://cryptopro.ru/products/cades/plugin/get_2_0

После установки, плагин попытается установить своё расширение в браузер. Если у него это не получилось или вы отказались, то ссылка на расширение ниже. Расширение так же есть в качестве основных в Яндекс.браузере и его можно просто включить.

Расширение CAdES встроенное в Яндекс.Браузер
  1. Магазин расширений для Chrome: https://chrome.google.com/webstore/detail/cryptopro-extension-for-c/iifchhfnnmpdbibifmljnfjhpififfog?hl=ru

В случае ошибки «Превышено время ожидания от плагина» (обычно выскакивает при попытке опубликовать материал в bus.gov.ru) следует убедится, что установлена актуальная версия плагина (отключить установленную из каталога Opera и установить актуальную из каталога Chrome. В моём случае не работало на версии 1.2.7, а после установки 1.2.8 заработало.

6. Плагин Госуслуг для браузера

Необходим для авторизации в госуслугах (ЕСИА) через ЭЦП. Предложит себя скачать автоматически, если понадобится. Обязательно надо установить не только сам плагин, но и расширение в браузер:

  1. Официальный сайт, установщик: https://ds-plugin.gosuslugi.ru/plugin/upload/
  2. Магазин расширений для Chrome: https://chrome.google.com/webstore/detail/%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%80%D0%B5%D0%BD%D0%B8%D0%B5-%D0%B4%D0%BB%D1%8F-%D0%BF%D0%BB%D0%B0%D0%B3%D0%B8%D0%BD%D0%B0-%D0%B3%D0%BE/pbefkdcndngodfeigfdgiodgnmbgcfha?hl=ru

7. Возможные проблемы

(если что-то не работает)

Раздел в процессе написания

7.1 Ошибка ERR_SSL_VERSION_OR_CHIPER_MISMATCH

Ошибка ERR_SSL_VERSION_OR_CHIPER_MISMATCH
Ошибка ERR_SSL_VERSION_OR_CHIPER_MISMATCH в Яндекс.Браузере

Эта ошибка возникает при проблемах установки соединения по протоколу ГОСТ.

Решение: Обратить более пристальное внимание на пункты инструкции 1 и 4 и перезагрузить ПК

Если после этого не заработало, то может помочь:

Переустановка КриптоПРО, либо обновление до новой версии. Версия 4 легко обновляется до версии 5.0 (не 5 R2, 5 R3 и более новых, т.к. в них изменилась система лицензирования и ваша лицензия от версии 4 не подойдёт, а только до обычной). Скачать можно на официальном сайте (после регистрации).

В случае использования устаревших систем (Windows версий 7, 8, 8.1) в них может стоять Internet Explorer версии ниже 11. Если это так, то обновить до 11 версии. Скачать можно с официального сайта: 32bit, 64bit и перезагрузить ПК. Это может помочь, даже если вы не пользуетесь Internet Explorer’ом, а ошибка возникает в Яндекс Браузере.

7.2 Ошибка net::ERR_SSL_OBSOLETE_VERSION

Не является ошибкой. Некоторые сайты всё ещё используют устаревшую версию протокола шифрования TLS 1.0 или TLS 1.1. Яндекс.Браузер считает использование этих протоколов небезопасным и предупреждает об этом. Подробнее можно почитать тут.

Решение: Нажать на кнопку Открыть подробности и нажать на ссылку Перейти на сайт … (небезопасно)

7.3 Internet Explorer — Этот веб-сайт не защищён (Код ошибки: 0)

Эта ошибка возникает при отсутствующих корневых сертификатах безопасности, следовательно выполните рекомендации раздела 1. После этого перезагрузить ПК, либо: зайти в свойства браузера, вкладка Содержание, Кнопка Очистить SSL и перезапустить браузер.

Приложения к статье

Последнее обновление ссылок 2021-02-05

Оставьте комментарий

SQL - 75 | 0,403 сек. | 20.69 МБ