1. Общие сведения
Используемые сокращения
| АРМ | Автоматизированное рабочее место |
| ГОСТ | Государственный стандарт |
| ЕАС УОФ | Единая автоматизированная система управления общественными финансами в Ростовской области |
| ПО | Программное обеспечение |
| СЗИ | Средства защиты информации |
| СКЗИ | Средства криптографической защиты информации |
| УЦ | Удостоверяющий центр |
Установка и настройка ПО Континент TLS-клиент необходима в случае если для доступа к ЕАС УОФ используется:
Delphi («толстый») клиент;
веб-браузер не поддерживающий работу с криптографией по алгоритму ГОСТ 34.10-2012.
Браузеры с поддержкой криптографии по ГОСТ 34.10-2012 не требуют для работы ПО Континент TLS-клиент и работают через «КриптоПро ЭЦП Browser plug-in». ПО Континент TLS-клиент может потребоваться для формирования запросов сертификатов (см. п.3.4.3.).
Системные требования:
| Операционная система | Windows 10 86/x64 Windows 8.1 x86/x64 Windows 7 SP1 x86/x64 |
| Процессор и оперативная память | В соответствии с требованиями ОС, установленной на устройство |
| Жесткий диск(свободное пространство) | 150 Мбайт |
| Дополнительное ПО | Крипто ПРО CSP версии 4.0 R4 или выше |
2. Установка ПО Континент TLS-клиент
Важно! Изображения процесса установки могут отличатся в случае отличия версий устанавливаемого ПО.
Для начала установки необходимо запустить на выполнение файл Континент TLS-клиент.exe из дистрибутива (для данной операции требуются права администратора).
В случае необходимости сменить путь установки требуется нажать кнопку «Настройки».
Указать требуемый путь для установки ПО и нажать кнопку «Применить».
Прочитать лицензионное соглашение. Отметить пункт «Я принимаю условия лицензионного соглашения» и нажать кнопку «Установить»
Дождаться завершения установки.
После завершения установки необходимо перезагрузить АРМ.
3. Настройка
3.1. Запуск ПО Континент TLS-клиент
Запуск ПО Континент TLS-клиент осуществляется ярлыком на рабочем столе или из меню «Пуск→Все программы→Код Безопасности→ Континент TLS-клиент».
3.2. Регистрация приложения.
После запуска приложения на экране будет отображаться окно с предложением зарегистрировать ПО. Незарегистрированное ПО будет полнофункциональным в течение 14 дней с момента установки. После окончания 14 дней незарегистрированное ПО функционировать не будет.
3.2.1 Регистрация «on-line»
Нажать кнопку «Зарегистрировать»
Заполнить поля регистрационной формы: фамилия, имя, электронная почта, организация. Поля Адрес сервера регистрации и класс защиты оставить без изменений.
Нажать кнопку «Готово».
Регистрация может произойти не сразу.
В случае успешной регистрации приложения должно появиться оповещение.
3.2.2. Регистрация в режиме «off-line».
В случае если регистрация в режиме on-line завершается с ошибкой, необходимо зарегистрировать приложение в режиме «off-line».
Для этого необходимо в окне приложения Континент TLS-клиент перейти в настройки и выбрать пункт «Регистрация».
Нажать кнопку «Создание» в разделе «Офлайн-регистрация», заполнить поля регистрационной формы, нажать кнопку «Готово», сохранить файл с регистрационными данными и отправить его по адресу support@securitycode.ru.
После получения ответа с файлом регистрации, его необходимо импортировать через меню «Регистрация».
В случае успешной регистрации приложения должно появиться оповещение.
3.4. Импорт сертификатов
3.4.1. Импорт сертификата УЦ
Разархивировать файл CA_and_server_cert.zip.
Запустить оснастку Крипто-ПРО «Сертификаты» (для данной операции требуются права администратора).
Пуск → Все программы → КРИПТО-ПРО → Сертификаты
Выбрать «Сертификаты (локальный компьютер) → Доверенные корневые центры сертификации → Реестр → Сертификаты» или
«Сертификаты (локальный компьютер) → Доверенные корневые центры сертификации → Сертификаты».
Открыть нажатием правой кнопки мыши на ветке «Сертификаты» контекстное меню и выбрать «Импорт» из меню «Все задачи».
Нажать кнопку «Далее»
Нажать кнопку «Обзор», выбрать файл CA-MinfinRO.cer и нажать кнопку «Далее >».
Нажать кнопку «Далее >»
Нажать кнопку «Готово»
Дождаться уведомления об успешном импорте.
3.4.2. Импорт сертификата TLS сервера
В окне приложения Континент TLS-клиент выбрать пункт меню «Управление сертификатами»,перейти на вкладку «Серверные сертификаты» и нажать кнопку «Импортировать».
Выбрать в диалоговом окне файл сертификата minfintls.cer.
Убедиться в появлении в списке защищаемых серверов сервера minfintls.minfin.donland.ru
3.4.3. Создание файла запроса пользовательского сертификата.
В случае если для доступа к ЕАС УОФ используется только браузер, то запрос сертификата можно сформировать либо установив Континент TLS-клиент (для повседневной работы он не будет нужен) п. 3.4.3.1, либо с помощью ПО КриптоАРМ ГОСТ (скачать с сайта производителя (https://www.cryptopro.ru/products/partner/crypto-arm) п.3.4.3.2.
ПО КриптоАРМ ГОСТ является платным продуктом, полнофункциональная демо-версия работает 14 дней с момента установки.
3.4.3.1 Создание при помощи Континент TLS-клиент.
В окне приложения Континент TLS-клиент выбрать пункт меню «Управление сертификатами», перейти на вкладку «Пользовательские сертификаты» и нажать кнопку «Создать запрос».
Заполнить поля: Полное имя; электронная почта; организация; город.
Нажать кнопку «Далее».
Проверить содержимое поля Криптопровайдер. Должно быть выбрано значение «Сторонний криптопровайдер (ГОСТ Р 34.10-2012).
Нажать кнопку «Далее».
Заменить имя файла newreq на фамилию и инициалы владельца сертификата в английской транскрипции (например: ivanov_ii, petrov_pp и т. д.).
ВАЖНО! Необходимо запомнить путь расположения и имя файла, т.к. в дальнейшем файл необходимо направить в министерство финансов Ростовской области.
Нажать кнопку «Далее».
Проверить введенные данные и если все корректно, нажать кнопку «Готово».
Выбрать устройство хранения закрытого ключа (по умолчанию «Реестр», но закрытый ключ может быть сохранен на любом поддерживаемом криптопровайдером носителе) и нажать кнопку «ОК». Данное окно может не появляться, если в системе не зарегистрировано других носителей, кроме «Реестр».
Следовать инструкции на экране.
Придумать пароль для закрытого ключа и ввести его в поле «Новый пароль», и в поле «Подтверждение». Пароль должен содержать не менее 8 символов состоящих из заглавных и строчных букв, цифр и специальных символов (восклицательный знак, подчеркивание и т.д.). Пароль не должен содержать имен, дат рождения, кличек домашних животных и иной персонализированной информации.
Нажать кнопку «ОК»
Нажать кнопку «ОК»
Направить в министерство финансов Ростовской области:
REQ файл(ы) запроса на издание сертификата пользователя;
перечень лиц, доступ которых к ЕАС УОФ необходим для выполнения ими служебных (трудовых) обязанностей;
акт(ы) установки СЗИ и СКЗИ или подтверждение соответствия информационной системы участника требованиям защиты информации.
3.4.3.2 Создание при помощи КриптоАРМ ГОСТ.
Запустить приложение КриптоАРМ, перейти в меню «Сертификаты» и выбрать «Личные».
Нажать на кнопку создания запроса сертификата.
Выбрать «Создать запрос»
Заполнить поля запроса на вкладке «Сведения о владельце сертификата». Идентификатор CN – ФИО владельца сертификата.
Перейти на вкладку «Параметры ключа» и отметить параметры в соответствии с изображением ниже. В поле «Контейнер (будет создан новый)*» необходимо написать ФИО владельца сертификата в английской транскрипции (например Ivanov Ivan Ivanovich).
ВАЖНО! Если генерация запросов сертификатов для всех пользователей будет производиться на одном АРМ, то необходимо отмечать параметр «Пометить ключи как экспортируемые». Это необходимо для того, чтобы в последствие можно экспортировать закрытые ключи на другие АРМ.
Нажать кнопку «Готово».
Выбрать устройство хранения закрытого ключа (по умолчанию «Реестр», но закрытый ключ может быть сохранен на любом поддерживаемом криптопровайдером носителе) и нажать кнопку «ОК». Данное окно может не появляться, если в системе не зарегистрировано других носителей, кроме «Реестр».
Следовать инструкции на экране.
Придумать пароль для закрытого ключа и ввести его в поле «Новый пароль», и в поле «Подтверждение». Пароль должен содержать не менее 8 символов состоящих из заглавных и строчных букв, цифр и специальных символов (восклицательный знак, подчеркивание и т.д.). Пароль не должен содержать имен, дат рождения, кличек домашних животных и иной персонализированной информации.
Нажать кнопку «ОК»
Ввести пароль.
В меню сертификаты перейти в «Запросы».
Выделите сформированный запрос и нажмите кнопку «Перейти в каталог».
Заменить имя сформированного файла запроса сертификата на фамилию и инициалы владельца сертификата в английской транскрипции (например: ivanov_ii, petrov_pp и т. д.).
Направить в министерство финансов Ростовской области:
REQ файл(ы) запроса на издание сертификата пользователя;
перечень лиц, доступ которых к ЕАС УОФ необходим для выполнения ими служебных (трудовых) обязанностей;
акт(ы) установки СЗИ и СКЗИ или подтверждение соответствия информационной системы участника требованиям защиты информации.
3.4.4. Установка файла пользовательского сертификата
Полученный из министерства финансов Ростовской области файл сертификата (расширение файла CER) необходимо установить.
Для установки сертификата пользователя необходимо запустить панель управления КриптоПРО CSP.
Пуск → Все программы → КРИПТО-ПРО → Крипто Про CSP.
Выбрать вкладку «Сервис» и нажать кнопку «Установить личный сертификат».
Нажать кнопку «Обзор», выбрать файл сертификата пользователя полученный от министерства финансов Ростовской области и нажать кнопку «Далее >»
Нажать кнопку «Далее >».
Нажать кнопку «Обзор»
Выбрать контейнер закрытого ключа созданный в разделе 3.4.3 Настоящей инструкции и нажать «ОК»
Нажать кнопку «Далее >».
Нажать кнопку «Далее >».
Нажать кнопку «Готово»
Открыть окно приложения Континент TLS-клиент, меню «Управление сертификатами». Выбрать вкладку «Пользовательские сертификаты». Нажать кнопку «Обновить» и убедиться в том, что сертификат пользователя появился в списке «Пользовательские сертификаты защищенных ресурсов».
3.5. Настройка ресурсов
Открыть окно приложения Континент TLS-клиент, выбрать пункт меню «Главная», нажать кнопку «+ Добавить» и в выпадающем меню выбрать «Ресурс»
В открывшемся окне «Добавление ресурса» необходимо заполнить поля в соответствии с таблицей №1.
Нажать кнопку «Сохранить».
Повторит, добавив все требуемые ресурсы.
Таблица №1
| № п/п | Адрес | Имя ресурса | Удаленный порт | Тип | Описание |
| 1 | minfintls.minfin.donland.ru | AZK FIN | 2555 | Туннель | АКЦ Финансы текущего года |
| 2 | minfintls.minfin.donland.ru | AZK PLAN | 2777 | Туннель | АКЦ Планирование текущего года |
| 3 | minfintls.minfin.donland.ru | AZK_2013 | 2013 | Туннель | АКЦ Финансы 2013 год |
| 4 | minfintls.minfin.donland.ru | AZK_2014 | 2014 | Туннель | АКЦ Финансы 2014 год |
| 5 | minfintls.minfin.donland.ru | AZK_2015 | 2015 | Туннель | АКЦ Финансы 2015 год |
| 6 | minfintls.minfin.donland.ru | AZK_2016 | 2016 | Туннель | АКЦ Финансы 2016 год |
| 7 | minfintls.minfin.donland.ru | AZK_2017 | 2017 | Туннель | АКЦ Финансы 2017 год |
| 8 | minfintls.minfin.donland.ru | AZK_2018 | 2018 | Туннель | АКЦ Финансы 2018 год |
| 9 | minfintls.minfin.donland.ru | AZK_2019 | 2019 | Туннель | АКЦ Финансы 2019 год |
| 10 | minfintls.minfin.donland.ru | AZK_2020 | 2020 | Туннель | АКЦ Финансы 2020 год |
| 11 | fin.minfintls.minfin.donland.ru | AZK_WEB_FIN | 3555 | Прокси* | Веб версия АЦК Финансы текущего года |
| 12 | plan.minfintls.minfin.donland.ru | AZK_WEB_PLAN | 3777 | Прокси* | Веб версия АЦК Планирование текущего года |
| 13 | fin2015.minfintls.minfin.donland.ru | AZK_WEB_2015 | 2115 | Прокси* | Веб версия АЦК Финансы 2015 года |
| 14 | fin2016.minfintls.minfin.donland.ru | AZK_WEB_2016 | 2116 | Прокси* | Веб версия АЦК Финансы 2016 года |
| 15 | fin2017.minfintls.minfin.donland.ru | AZK_WEB_2017 | 2117 | Прокси* | Веб версия АЦК Финансы 2017 года |
| 16 | fin2018.minfintls.minfin.donland.ru | AZK_WEB_2018 | 2118 | Прокси* | Веб версия АЦК Финансы 2018 года |
| 17 | fin2019.minfintls.minfin.donland.ru | AZK_WEB_2019 | 2119 | Прокси* | Веб версия АЦК Финансы 2019 года |
| 18 | fin2020.minfintls.minfin.donland.ru | AZK_WEB_2020 | 2120 | Прокси* | Веб версия АЦК Финансы 2020 года |
* Создавать ресурсы для доступа к Веб версии АЦК необходимо только в том случае, если используются браузеры, не поддерживающие работу с криптографией по алгоритму ГОСТ 34.10-2012.
3.6. Настройка автозапуска и CRL
3.6.1. Настройка CRL
Список отзыва сертификатов (CRL) публикуется в сети КСТС (757) по адресу http://crl.minfintls.minfin.donland.ru/filelist/MinFinRO-CA.crl
Для разрешения имени crl.minfintls.minfin.donland.ru необходимо внести информацию в файл hosts операционной системы (для данной операции требуются права администратора).
Необходимо открыть в текстовом редакторе блокнот (notepad) файл hosts. Он расположен на диске с установленной операционной системой по пути С:\Windows\System32\drivers\etc (имя диска может отличаться в зависимости от установки операционной системы).
В конец файла hosts необходимо добавить строки:
# CRL MinfinRO-CA в сети КСТС (сеть 757).
192.168.14.2 crl.minfintls.minfin.donland.ru
Открыть окно приложения Континент TLS-клиент, выбрать пункт меню «Настройки» и в меню настроек выбрать «Основные».
Убедиться, что включен чекбокс «Проверять сертификаты по CRL».
3.6.2. Отключение проверки CRL
Внимание! Отключение проверки CRL необходимо выполнять только в том случает, если нет возможности выполнить настройку загрузки CRL по п.3.6.1.
Открыть окно приложения Континент TLS-клиент, выбрать пункт меню «Настройки» и в меню настроек выбрать «Основные».
В окне настроек необходимо снять отметку с пункта «Проверять сертификаты по CRL».
Согласиться с предупреждением.
3.6.3. Настройка автозапуска
Открыть окно приложения Континент TLS-клиент, выбрать пункт меню «Настройки» и в меню настроек выбрать «Основные».
В случае необходимости автоматического запуска приложения Континент TLS-клиент при запуске Windows необходимо отметить пункты «Запускать при старте системы» и «При запуске свернуть в системный трей». (Если эти пункты не видны на экране, необходимо колесом мыши прокрутить страницу вниз.)
Нажать кнопку «Сохранить».
3.7. Настройка файла hosts
Для разрешения имени minfintls.minfin.donland.ru необходимо внести информацию в файл hosts операционной системы (для данной операции требуются права администратора).
Необходимо открыть в текстовом редакторе блокнот (notepad) файл hosts. Он расположен на диске с установленной операционной системой по пути С:\Windows\System32\drivers\etc (имя диска может отличаться в зависимости от установки операционной системы).
В конец файла hosts необходимо добавить строки.
#Для доступа через сеть КСТС (сеть 757).
192.168.14.3 minfintls.minfin.donland.ru
192.168.14.3 fin.minfintls.minfin.donland.ru
192.168.14.3 plan.minfintls.minfin.donland.ru
192.168.14.3 fin2015.minfintls.minfin.donland.ru
192.168.14.3 fin2016.minfintls.minfin.donland.ru
192.168.14.3 fin2017.minfintls.minfin.donland.ru
192.168.14.3 fin2018.minfintls.minfin.donland.ru
192.168.14.3 fin2019.minfintls.minfin.donland.ru
192.168.14.3 fin2020.minfintls.minfin.donland.ru
3.8. Настройка клиентских приложений ЕАС УОФ
3.8.1. АЦК Финансы
Необходимо открыть в приложении блокнот расположенный в каталоге с установленным приложением АКЦ Финансы файл Azk2Clnt.ini и внести в него следующие изменения:
URL=http://192.168.14.2:2555/exec
заменить на
URL=http://minfintls.minfin.donland.ru:2555/exec
3.8.2. АЦК Планирование
Необходимо открыть в приложении блокнот расположенный в каталоге с установленным приложением АКЦ Планирование файл Azk2Clnt.ini и внести в него следующие изменения:
URL=http://192.168.14.2:2777/exec
заменить на
URL=http://minfintls.minfin.donland.ru:2777/exec
3.8.3. АКЦ Финансы прошлых лет
Файл Azk2Clnt.ini меняется аналогично 3.8.1. Например: Для АЦК Финансы 2019 года:
URL=http://192.168.14.2:2019/exec
заменить на
URL=http://minfintls.minfin.donland.ru:2019/exec
3.8.4. Веб-приложения АЦК
Адреса ресурсов для доступа через браузеры без поддержки ГОСТ (через Континент TLS-клиент):
| АЦК Финансы | https://fin.minfintls.minfin.donland.ru/azk/login.jsp |
| АЦК Планирование | https://plan.minfintls.minfin.donland.ru/azk/login.jsp |
| АЦК Финансы 2020 | https://fin2020.minfintls.minfin.donland.ru/azk/login.jsp |
| АЦК Финансы 2019 | https://fin2019.minfintls.minfin.donland.ru/azk/login.jsp |
| АЦК Финансы 2018 | https://fin2018.minfintls.minfin.donland.ru/azk/login.jsp |
| АЦК Финансы 2017 | https://fin2017.minfintls.minfin.donland.ru/azk/login.jsp |
| АЦК Финансы 2016 | https://fin2016.minfintls.minfin.donland.ru/azk/login.jsp |
| АЦК Финансы 2015 | https://fin2015.minfintls.minfin.donland.ru/azk/login.jsp |
Адреса ресурсов для доступа через браузеры с поддержкой ГОСТ:
| АЦК Финансы | https://minfintls.minfin.donland.ru:3555/azk/login.jsp |
| АЦК Планирование | https://minfintls.minfin.donland.ru:3777/azk/login.jsp |
| АЦК Финансы 2020 | https://minfintls.minfin.donland.ru:2120/azk/login.jsp |
| АЦК Финансы 2019 | https://minfintls.minfin.donland.ru:2119/azk/login.jsp |
| АЦК Финансы 2018 | https://minfintls.minfin.donland.ru:2118/azk/login.jsp |
| АЦК Финансы 2017 | https://minfintls.minfin.donland.ru:2117/azk/login.jsp |
| АЦК Финансы 2016 | https://minfintls.minfin.donland.ru:2116/azk/login.jsp |
| АЦК Финансы 2015 | https://minfintls.minfin.donland.ru:2115/azk/login.jsp |
