В этой заметке я постараюсь обобщить опыт использования криптопровайдера КриптоПро для доступа к закрытой части официального сайта единой информационной системы в сфере закупок (zakupki.gov.ru) и сайта госуслуг (gosuslugi.ru). Сам криптопровайтер стал уже стандартом де-факто для госучреждений, в его формате выдает ЭЦП, например, удостоверяющий центр (УЦ) Федерального казначейства или УЦ Минздрава.
В первую очередь речь пойдет о сайте zakupki.gov.ru. Личный кабинет этого сайта доступен только через HTTPS с использованием ГОСТ-алгоритмов шифрования. Долгое время HTTPS через ГОСТ работал только в Internet Explorer, который целиком полагался на криптопровайдер. Развязка наступила не так давно, когда на сайте zakupki.gov.ru была прекращена поддержка старых версий IE, в том числе - IE8. Беда в том, что IE8 - последняя версия этого браузера, поддерживаемая в Windows XP, а государственные учреждения, как правило, очень консервативны в плане лицензирования. Таким образом, довольно большая часть пользователей в одночасье оказалась “за бортом”.
К счастью, компания КриптоПро выпускает специальную сборку браузера Firefox под названием КриптоПро Fox (CryptoFox), которая поддерживает ГОСТ-алгоритмы и работает, естественно, только в связке с соответствующим криптопровайдером. Было время, когда разработка сборки почти полностью прекратилась, однако сейчас новые версии выходят регулярно. Последняя сборка основана на Firefox 45, Скачать сборки можно
, доступны версии под Windows, Linux и даже Apple OS X.
По ссылке доступна англоязычная версия браузера. Для ее локализации необходимо скачать пакет с переводом интерфейса. Обратите внимание, что версия пакета должна соответствовать версии самого браузера.
После установки пакета нужно открыть новую вкладку, набрать там about:config, а в открывшемся списке параметров ввести general.useragent.locale и изменить его значение с en-US на ru-RU. После перезапуска браузера интерфейс будет на русском языке.
Теперь можно ставить в хранилище “Доверенные корневые центры сертификации” корневой сертификат УЦ Федерального казначейства, в хранилище “Личные” - персональный сертификат пользователя, перезапускать браузер и заходить в личный кабинет zakupki.gov.ru по 44-ФЗ.
На моем рабочем месте не установлено действующих сертификатов уполномоченных лиц, поэтому доступ в личный кабинет запрещен. Однако шифрование соединения в любом случае проводится алгоритмом семейства ГОСТ.
В случае доступа к закрытой части сайта по 223-ФЗ авторизация будет проходить через ЕСИА (то есть через сайт gosuslugi.ru). Здесь ситуация упрощается, потому что у этого сайта плагин для Firefox существует уже давно и разрабатывается Ростелекомом. При первом заходе на сайт нам будет предложено скачать плагин. После установки плагин следует переключить в режим “Всегда включать” в настройках CryptoFox, иначе на сайте госуслуг не будет появляться окно с запросом сертификата.
К сожалению, подпись документов на сайте zakupki.gov.ru реализована через специфичесий компонет sing.cab, который использует технологию ActiveX. Естественно, в CryptoPro этот компонент не будет работать, так что будем ждать перехода на более распространенную технологию. К счастью, подписание документа - это лишь малая часть того, что должен делать оператор во время работы на zakupki.gov.ru, так что для повседневных операций CryptoFox вполне можно использовать.
Иногда бывает необходимо сохранить копию закрытого ключа на локальном компьютере. Это возможно сделать, если ключ при создании в УЦ помечен как выгружаемый. Копирование производится с помощью кнопки “Скопировать” (какая неожиданность) в интерфейсе апплета КриптоПро
Если два варианта хранения ключа на локальной машине - в считывателе “Реестр” и на виртуальном съемном диске. В принципе, безопасность хранения ключа в обоих случаях примерно одинакова, так что выбор средства остается за читателем.
В считывателе “Реестр” ключи хранятся в ветви
HKLM\SOFTWARE\Crypto Pro\Settings\Users\\Keys
для пользователя и в ветви
HKLM\SOFTWARE\Crypto Pro\Settings\Keys
для компьютера в целом.
В случае 64-битной ОС пути будут немного другими:
HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\\Keys
и
HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Keys
При работе КриптоПро на терминальном сервере у пользователя может не хватить прав на запись ключа в эти ветви, поскольку они находятся не в профиле пользователя. Эту ситуацию можно исправить назначением соответствующих прав на ветви через утилиту Regedit.
КриптоПро ищет контейнеры ключей на дисках, которые имеют атрибут “съемный”, то есть флеш-диск или, прости господи, дискета будут считаться контейнерами ключей, а сетевой диск или диск, проброшенный через RDP - нет. Это позволяет хранить ключи на образах дискет по принципу один ключ - одна дискета и тем самым повысить безопасность. Для создания виртуального дисковода можно применить утилиту ImDisk , у которой есть версия и под 64-битные ОС. Заявляется совместимость с Windows вплоть до 8.1, нормально работает и в Windows 10.
Существует еще утилита , в которой можно создавать дисковод, видимый только конкретным пользователем. К сожалению, она давно не развивается, и, кажется не будет работать на 64-битных ОС из-за неподписанного драйвера.
Применяя эти советы и не забывая о Положении ПКЗ-2005 , которое, впрочем, носит рекомендательный характер, можно несколько облегчить жизнь как операторам, работающим на сайтах закупок, так и себе.
Со 2 июля 2018 года в личном кабинете заказчиков по Закону № 44-ФЗ при размещении сведений может возникать блокирующее сообщение: "Произошла ошибка при размещении, попробуйте еще раз: " signCadeBES" не определено." по причине некорректной настройки рабочего места. Для устранения блокирующего сообщения при публикации сведений рекомендуется произвести настройки рабочего места в соответствии с п. 6 Инструкции по установке и настройке компонента «КриптоПро ЭЦП Browser plug-in» , доступной по ссылке :
Во всплывающем окне в интернет-браузере Internet Explorer с запросом на разрешение надстройки необходимо разрешить запуск надстройки, нажав на кнопку "Разрешить". В случае корректной работы плагина при переходе на страницу откроется окно подтверждения доступа. В открывшемся окне подтверждения доступа нажмите кнопку "Да".
Инструкция по установке и настройке компонента «КриптоПро ЭЦП Browser plug-in» (извлечение)
5 Настройка плагина «КриптоПро ЭЦП Browser plug-in»
Для корректной работы пользователя в ЕИС в Интернет-браузере «Internet Explorer» с использованием плагина «КриптоПро ЭЦП Browser plug-in» необходимо:
- Добавить адрес Официального сайта ЕИС в список исключений и надежные узлы в настойках браузера.
- Попробовать работу в режиме совместимости (для «Internet Explorer» 10 версии и выше).
Подробное описание действий приведено в документе «Инструкция по настройке рабочего места».
Для всех браузеров необходимо добавить адрес Официального сайта ЕИС в список надёжных узлов плагина «КриптоПро ЭЦП Browser plug-in».
Чтобы проверить, что Официальный сайт ЕИС добавлен в список надежных узлов плагина, или добавить его в надежные узлы, откройте ярлык «Настройки КриптоПро ЭЦП Browser plug-in» с помощью необходимого Интернет-браузера.
Для этого нажмите правой кнопкой мышки ярлык «Настройки КриптоПро ЭЦП Browser plug-in» и в контекстном меню выберите пункт «Открыть с помощью», далее выберите наименование необходимого браузера (Рисунок 5).
Рисунок 5. Выбор Интернет-браузера в пункте контекстного меню «Открыть с помощью»
В открывшемся окне Интернет-браузера отобразится страница «Настройки КриптоПро ЭЦП Browser Plug-in» (Рисунок 6).
Рисунок 6. Страница настройки плагина «КриптоПро ЭЦП Browser Plug-in»
В Интернет-браузере «Internet Explorer» в сплывающем окне разрешите выполнение сценариев и элементов ActiveX, нажав на кнопку «Разрешите заблокированное содержимое» (см. Рисунок 6).
На странице настройки плагина в блоке «Список доверенных узлов» укажите в поле для ввода значений адрес Официального сайта ЕИС «http://zakupki.gov.ru» и нажмите на пиктограмму «».
Для сохранения добавленных узлов нажмите на кнопку «Сохранить» (Рисунок 7).
Рисунок 7. Страница настройки плагина «КриптоПро ЭЦП Browser Plug-in» с добавленным адресом Официального сайта ЕИС в список доверенных узлов
6 Проверка работы плагина «КриптоПро ЭЦП Browser plug-in»
Для проверки корректной работы плагина «КриптоПро ЭЦП Browser plug-in» в Интернет-браузере перейдите на страницу: https://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html.
В случае если плагин не был установлен или настроен, страница имеет вид представленный на рисунке ниже (Рисунок 8).
Рисунок 8. Страница проверки работы плагина «КриптоПро ЭЦП Browser plug-in». Плагин недоступен
В Интернет-браузере «Internet Explorer» в всплывающем окне разрешите запуска надстройки, нажав на кнопку «Разрешить» (Рисунок 9).
Рисунок 9. Окно Интернет-браузера «Internet Explorer 10». Всплывающее окно с запросом разрешения запуска надстройки
В случае корректной работы плагина при переходе на страницу откроется окно подтверждения доступа (Рисунок 10).
Рисунок 10. Окно подтверждения доступа
В открывшемся окне нажмите кнопку «Да», для отмены действия - «Нет».
Следуя указаниям на странице, выберите сертификат подписи, введите данные для проверки работы плагина и нажмите на кнопку «Подписать» (в случае необходимости) (Рисунок 11).
Рисунок 11. Страница проверки работы КриптоПро ЭЦП Browser plug-in. Плагин загружен, подпись сформирована успешно
Данное приложение автоматически устанавливает нужные параметры ПК в соответствие с требованиями площадок по работе с и .
Программа выполняет свою функцию, как для рабочего места Поставщика, так и для Заказчика.
Во время установки ПО самостоятельно определит разрядность вашей системы и установит соответствующие библиотеки. Компоненты КриптоПРО и драйвер устройства, также подберутся и установятся автоматически.
Пользователям не приходится иcкать и устанавливать в реестр корневые и отозванные сертификаты ЭТП, а также дополнительное ПО для конфигурации. Данная программа сделает всё без вашего участия. Вам останется только вставить носитель с ЭЦП в компьютер и приступить к работе с закупками!
On-line настройка рабочего места
Также вы можете воспользоваться on-line настройкой рабочего места с помощью сервиса нашего партнера СКБ-Контур. Для этого перейдите по ссылке ниже и просто следуйте инструкциям мастера настройки. Весь процесс займет не более 5-ти минут и потребует от вас минимум участия.
komdir
Инструкция описывает настройку рабочего места на сайте zakupki.gov.ru - Единой информационной системы в сфере закупок по 44-ФЗ.
1. Браузер для работы в zakupki.gov.ru
Чтобы попасть в личный кабинет сайта zakupki.gov.ru, необходимо использовать браузер Internet Explorer. Другие браузеры не поддерживаются сайтом Единой информационной системы в сфере закупок.2. Корневой сертификат zakupki.gov.ru
Необходимо скачать, распаковать архив.Нажимаем правой кнопкой мыши на файле сертификата -> Установить сертификат.
Откроется «Мастер импорта сертификатов» -> Далее.
В окне «Хранилище сертификатов», выбираем «Поместить все сертификаты в следующее хранилище» -> Обзор -> Доверенные корневые центры сертификации.
Готово.
3. Настройка браузера Internet Explorer для zakupki.gov.ru
Чтобы добавить сайт https://zakupki.gov.ru/ в список доверенных узлов необходимо:
Открыть Internet Explorer (в Windows 10 не Edge) -> нажать клавишу Alt -> В меню «Сервис» выбрать «Свойства браузера», выбрать вкладку «Безопасность» -> Надежные сайты -> Сайты.
Добавить сайт https://zakupki.gov.ru
Во вкладке Надежные сайты, нажимаем на кнопку Другой
В открывшемся окне изменяем следующие значения:
Блокировать всплывающие окна - Отключить
Доступ к источникам данных за пределами домена - Включить
Также в этом же окне в блоке Сценарии:
Активные сценарии - Включить
Включить фильтр XSS - Отключить
Выполнять сценарии приложений Java - Включить
Во вкладке Дополнительно, убрать галочку использовать Использовать SSL 3.0:
Нужна помощь с настройкой zakupki.gov.ru?
Обратитесь к нам и наши специалисты настроят вам площадку всего за 1 час.
4. Установка компонента для формирования подписи Ланит sign.cab
Скачать компонент для формирования подписи Ланит sign можно по этой ссылке .
Настройка рабочего места zakupki.gov.ru завершена.
5. Ошибки при работе с zakupki.gov.ru:
При попытке зайти в «Личный кабинет» zakupki.gov.ru не появляется окно выбора сертификата
Проверьте: Оформите заявку и работайте только по выгодным контрактам с минимальной конкуренцией!
Инструкция по настройке браузера
Microsoft
Internet
Explorer
для работы в системе ЕИС
1. Сбросить все настройки Internet Explorer по умолчанию
1.1. Вызывать меню диалога Свойства обозревателя (Сервис -> Свойства обозревателя либо Панель управления -> Свойства обозревателя ). На вкладке Дополнительно нажать кнопку Восстановить значения по умолчанию.
https://pandia.ru/text/78/224/images/image002_198.jpg" width="321" height="362 src=">
2. Настроить Microsoft Internet Explorer
2.1. Вызывать меню диалога Свойства обозревателя (Сервис -> Свойства обозревателя либо Панель управления -> Свойства обозревателя ).
2.2. На вкладке Дополнительно пометить все элементы в соответствии с рисунком:
https://pandia.ru/text/78/224/images/image004_137.jpg" width="416 height=314" height="314">
2.3. Для зоны Надежные узлы определить доверенные узлы. Для этого нажать кнопку “Узлы … ”
https://pandia.ru/text/78/224/images/image006_109.jpg" width="313 height=273" height="273">
2.4. Для зоны Надежные узлы определить возможность использования ActiveX компонент. Для этого нажать кнопку «Другой »
2.5. Сделать настройки в соответствии с приведенными на рисунке, после чего сохранить изменения:
После чего подтвердить внесенные изменения нажатием на кнопку ОК
2.6. На вкладке Конфиденциальность нажать на кнопку Параметры
В окне Параметры блокирования всплывающих окон добавить запись “*****” (без кавычек) и нажать кнопку Добавить. Эта настройка будет касаться всех серверов в домене ***** (в т. ч. eisreport. ***** и eis. *****)
После чего нажать кнопку Закрыть .
3. Установить ActiveX компоненты с сайта eis. ahml. ru
3.1. Зайти на сайт eis. ***** (для тестовой версии ЕИС - на сайт testeis. *****) и нажать ссылку ВХОД с использованием сертификатов
3.2. После процедуры аутидентификации, в окне Предупреждение системы безопасности для просмотра сертификата нажать на ссылку Издатель: Pivotal corporation
3.3. В окне Состав цифровой подписи нажать кнопку Просмотр сертификата
3.4. Окно Сертификат должно иметь следующий вид
