В связи с прекращением работы старой версии портала ФСЗН с 1.10.2019 года информация в данной статье уже не актуальна, хотя приведенные в ней советы по-прежнему могут оказаться полезными. В блоге есть свежая статья с советами по работе с новой версией портала.
- Несовместимость разных версий криптопровайдера Avest, используемого для работы с ключами ЭЦП. Дело в том, что помимо ФСЗН существует множество других организаций и учреждений, которые также требуют ЭЦП для работы с их ПО или порталами. В частности, Avest используется при работе со многими банками, для предоставления обязательной отчетности в МНС, в Госкомстат, для работы с порталом ЭСЧФ, для работы с Белгосстрахом, для работы с биржами, для межведомственного документооборота и т.д., и т.п. В результате в одной организации или у одного ИП используется несколько разных электронных ключей и разные версии ПО для работы с ними. Как правило, все это устанавливается на одном компьютере, при этом требуются разные версии Avest, которые зачастую конфликтуют между собой.
- Использование только браузера Internet Explorer. Казалось бы, использование веб-технологий должно обеспечивать независимость предоставляемых сервисов от применяемой клиентом платформы. Как бы не так! Большинство вышеупомянутых порталов просто не работает ни с чем, кроме IE. Так что любители Chrome, Opera, Firefox и прочих браузеров «идут лесом». Не говоря уже о пользователях Linux или владельцах техники Apple. Более того, не все версии IE (а соответственно, не все версии Windows) пригодны для работы с этими порталами. И это при том, что предоставляемая через порталы отчетность обязательна для большинства юрлиц.
- Необходимость детальной настройки свойств IE, которая заключается, в основном, в отключении большинства встроенных в браузер средств безопасности. А зачастую также требуется отключение или настройка в сторону уменьшения безопасности используемых антивирусов и файерволов.
Итак, принесенный компьютер оказался ноутбуком Dell Inspiron 3452. Первое маленькое сомнение в том, что все настроится за 15 минут, шевельнулось тогда, когда на экране появилась заставка загружаемой Windows 10. Дело в том, что на портале ФСЗН честно сказано буквально следующее:
Установка программного комплекса «ВВОД ДПУ».
Портал Фонда не обеспечивает в полной мере авторизацию пользователей, использующих следующие версии программного обеспечения:
Windows 8, Internet Explorer 10
Windows 8, Internet Explorer 11
Windows 8.1, Internet Explorer 11
Windows Server 2012, Internet Explorer 11
Windows 10, MS Edge, Internet Explorer 11
Правда, работу портала с Windows 8/8.1 и IE 10 мне уже не раз удавалось настроить, да и в интернете попадались заявления разных людей, что у них и на Windows 10 все работает (равно как и заявления людей, у которых не работает).
Второе сомнение заскреблось, когда оказалось, что программа для работы с ЭЦП на компьютере уже установлена, но вот только она не работает: меню нечитаемое (вместо русских букв знаки вопроса), при попытке входа выдается такое же нечитаемое сообщение об ошибке.
Программный комплекс «Ввод ДПУ»
Посмотрев, что на компьютере больше практически ничего не установлено, решил пойти по пути наименьшего сопротивления и предложил клиенту установить вместо Windows 10 что-нибудь постарше. Клиент согласился, и я приступил к работе.
Увы, многочасовые попытки установить хоть какую-нибудь систему так и не увенчались успехом. Не радующая изобилием опций BIOS тем не менее позволяла управлять настройками SecureBoot/UEFI/Legacy, чтобы использовать загрузочную флешку. Загрузка начиналась бодро, однако установка заканчивалась сообщением об отсутствии драйверов оптического привода. И дело не в отсутствии самого оптического привода, и не в попытке установки с флешки, воткнутой в разъем USB 3.0 (специалисты знают, о чем я), и не в самом дистрибутиве (их перепробовал несколько), и даже не в версии операционной системы, так как попытка установки Windows 10 тоже в итоге закончилась таким же сообщением.
Использование сторонних инструментов для управлениями разделами диска и попытки установки системы из-под другой загруженной с флешки ОС привели к тому, что процесс установки начал доходить до выбора раздела и настройки диска. Разделы легко создавались, удалялись, менялись, однако при этом программа установки упорно сообщала, что установить Windows на данный жесткий диск нельзя, так как загрузка с него отключена в BIOS. Этого я совсем не понимал, так как очередность загрузки была выставлена правильно, смена типа диска GPT/MBR картины не меняла, варианты загрузки UEFI/Legacy также ничего не меняли (тем более, что разделов EFI уже не было к тому времени).
Здесь надо сказать об одной особенности эксплуатируемого ноутбука. Дело в том, что вместо обычного винчестера в нем используется твердотельный накопитель. Причем это не SSD, подключаемый через SATA-разъем, а eMMC – то есть это просто впаянная в плату микросхема памяти на 32 ГБ с контроллером.
Кстати, в этой модели нет даже возможности подключить обычный винчестер: отсек для него есть, а вот разъемы для подключения отсутствуют. В общем, я предположил, что дело именно в этой особенности ноутбука, и что установщику Windows, возможно, требуются какие-то дополнительные драйверы для установки на eMMC. Поиск этой темы в интернете ни к чему не привел, а с учетом уже потраченного времени я начал искать пути восстановления исходного состояния ноутбука.
Через некоторое время поиски увенчались успехом: на сайте производителя можно было скачать образ диска для восстановления заводских настроек ноутбука. Образ диска содержал 64-битную ОС Windows 10 Домашняя и имел размер около 6 ГБ. Между тем день уже подходил ко второму часу ночи. Поставив файл на скачивание, я решил все-таки отдохнуть.
Рано утром из скачанного образа была создана загрузочная флешка и запущен процесс восстановления. Он оказался довольно продолжительным и, к моей радости, завершился вполне успешно. Время не засекал, но на все ушло около 2 часов. На этот момент на руках было практически то же, что и в самом начале: почти «пустой» ноутбук с установленной Windows 10, на котором надо настроить работу с порталом ФСЗН.
Установка ПО для работы с ЭЦП прошла легко и успешно. Avest установился автоматически, нужные сертификаты импортированы, ключи определяются, подпись работает. Настройка IE для работы с порталом ФСЗН тоже началась оптимистично: скрипт настройки запустился, настройки поменялись, сообщение на главной странице больше не пугало невозможностью работы и приглашало авторизоваться.
Вот только переход по ссылке для авторизации выдавал знакомое почти всем, кто сталкивался с ФСЗН и другими белорусскими государственными порталами, сообщение:
«Не удается отобразить эту страницу
Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах и повторите попытку подключения к……..»
Далее следовал метод перебора всех возможных решений этой проблемы. Эти решения я попробую перечислить ниже, ведь кому-то они могут пригодиться и даже помочь. Надо сказать, что во многих случаях одно из приведенных решений помогает достичь требуемого результата, в чем я также ранее неоднократно убеждался на практике. Но, увы, не на этот раз.
Итак, первое, что может прийти в голову при взгляде на сообщение браузера, – включить соответствующие версии TLS. Сразу скажу, что в случае с ФСЗН это бесполезно, так как он «заточен» только под TLS 1.0. Так что не тратьте на это время.
Можете для начала проверить вручную, все ли необходимые настройки сделаны. Описание настроек есть на портале. Как минимум, необходимо добавить адрес *.ssf.gov.by в надежные узлы, а для надежных узлов включить все разрешения на работу с ActiveX или просто установить уровень безопасности на низкий, после чего перезапустить браузер. SSL и TLS версии выше 1 должны быть отключены. Хотя если бы этих настроек не было, портал даже не предоставлял бы ссылки для перехода на страницу авторизации.
Также не помешает проверить правильность установки всех сертификатов, их сроки действия, актуальность списков отозванных сертификатов (СОС) и т.п. Но, как правило, при наличии проблем со сроками действия сертификатов не работает и ЭЦП, а в моем случае она работала.
Частая причина, по которой не открывается https-страница портала, – явная или неявная (при проверке) блокировка защищенного HTTP-протокола антивирусом, файерволом или даже встроенным брандмауэром Windows. Часто этим грешат разные версии антивируса Avast, слышал о проблемах с ESET NOD32 и антивирусом Касперского (сам не сталкивался). В этом случае помогает временное отключение антивируса или изменение его настроек (исключение из проверки https-протокола, добавление сайта в список исключений, отключение проверки 443-го порта в файерволе и т.п.). Самое надежное – отключить или даже удалить все антивирусы и файерволы на время работы с порталом. То есть мало того, что вас заставляют заниматься чем-то не по своей воле, так еще и без защиты. Ну, вы поняли…
Далее, если у вас 64-битная Windows, то это не значит, что для работы с порталом надо использовать 64-битную версию IE. Очень часто портал отказывается с ней работать по неизвестным причинам. Напомню, путь к 32-битной версии «c:Program Files (x86)Internet Exploreriexplore.exe», к 64-битной – «c:Program FilesInternet Exploreriexplore.exe»
Некоторые утверждают, что в 64-битной версии им помогает достучаться до портала установка флажка «Включить 64-разрядные процессы для расширенного…» на вкладе «Дополнительно» в свойствах браузера. У меня не сработало.
Проблема с порталом может заключаться также в неправильной установке криптопровайдера или в конфликте версий Avest. Для работы с ФСЗН, который до сих пор предоставляет ключи на обычных флешках, а не виде AvPass, AvToken или другого более защищенного варианта, требуется старая версия криптопровайдера Avest 5.1 (на сайте сейчас предлагают 5.1.0.647).
Другим же программам и порталам требуются более новые версии, как правило, выше 6.0, которые уже не поддерживают ключи на обычных USB-носителях. Обычно рекомендации при необходимости установки разных версий Avest сводятся к одному: сначала устанавливается Avest от ФСЗН как более старая, а потом остальные. Но есть у нас один (как минимум) банк, который также до сих пор использует старую версию криптопровайдера и требует, чтобы его ПО устанавливалось прежде остальных. Правда, в случаях неправильной установки и конфликта версий не работает не только портал, но и само ПО, использующее ЭЦП.
С особенностями Avest связаны и многие другие проблемы, о которых можно было бы написать целую статью, ибо зачастую конфликтует он не только со своими «родственниками», но и с другим ПО. Например, в некоторых конфигурациях он запросто может приводить к невозможности работы Skype (что решаемо, хоть и не очевидными методами). Однако я сейчас о другом. Для нормальной работы Avest требуется предварительная загрузка одной или нескольких библиотек. Для этого при установке программы в реестр прописывается путь к нужной библиотеке. В частности, при работе с ФСЗН для 32-битной версии программы в ветке реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows , а для 64-битной в ветке HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWindows в параметре AppInit_DLLs прописывается путь к нужной библиотеке примерно такого вида (но не обязательно точно такой же): C:PROGRA
Как видите, путь прописан с применением коротких имен папок. Проблема в том, что на некоторых компьютерах использование коротких имен может быть отключено настройками системы. В частности, в Windows XP можно отключить короткие имена, разместив в ветке HKEY_LOCAL_MACHINESystemCurrentControlSetFileSystem параметр Ntfsdisable8dot3NameCreation со значением 1. В этом случае нужно заменить параметр на 0 или удалить параметр полностью, после чего переустановить Avest. В более поздних версиях Windows можно использовать символьные ссылки. Например:
1. Определиться, где будет размещаться символическая ссылка (например, в папке C:Users ).
2. Запустить командную строку.
3. Выполнить команду:
mklink /D c:Usersavcsp «c:Program FilesCommon FilesAvestAvest CSP» (64-битная система)
или mklink /D c:Usersavcsp «c:Рrоgram Files (х86)Соmmоn FilеsAvеstAvеst CSP» (32-битная система).
4. Открыть редактор реестра. В параметре AppInit_DLLs в соответствующей ветке реестра (см. выше) поменять путь на c:UsersavcspAvSSPc.dll
5. Перезагрузить компьютер.
Также мне в некоторых случаях помогало убирание полного пути к файлу в реестре с оставлением там только имени файла библиотеки и добавление пути к нужной DLL в переменную окружения PATH без использования коротких имен папок. Подробно расписывать процедуру редактирования переменных окружения не буду: это довольно просто, а кто не знает – в интернете полно информации.
Есть еще вариант отключения проверки подписи загружаемых библиотек. Говорят, тоже в некоторых случаях помогает (мне не помог). Для отключения проверки надо в ветку HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWindows или HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows добавить DWROD параметр RequireSignedAppInit_DLLs со значением 0.
Некоторые люди на форумах утверждают, что вместо IE для работы с порталом ФСЗН можно использовать другой браузер на движке IE, например MyIE2 или более свежий Maxthon. Я попробовал лишь расширение IE Tab для браузера Chrome, позволяющее в Chrome эмулировать работу IE разных версий, начиная с 7-й. Это также не помогло.
Далее натолкнулся также на совсем не очевидный совет отключить в настройках BIOS функцию SecureBoot. Каким образом это влияет на работу Avest или портала ФСЗН – для меня загадка, но многие люди пишут, что им это помогло. Мне – нет.
Кстати, на сайте Avest в списке поддерживаемых операционных систем для Windows 10 указаны только два поддерживаемых билда (build 10240, 10586). Судя по сообщениям на форумах, у людей действительно на разных билдах наблюдаются разное поведение в работе IE и портала.
В итоге я отказался от дальнейшего «битья о стену» и решил проблему проще: установил виртуальную машину Oracle VM VirtualBox с Windows XP, после чего на ней поставил все необходимое ПО и настроил работу IE за те 15-20 минут, что изначально и планировал. В этом случае ключи на обычном USB-носителе сыграли во благо, так как читал о проблемах с ключами AvPass на виртуалках, разворачиваемых в хост-системах под Windows 8 и новее (на Windows 7 такие ключи работают и в вируталке – проверено на практике).
Вот так по неблагоприятному стечению обстоятельств и, возможно, собственной криворукости и недальновидности (хотя, подозреваю, скорее криворукости и безответственности некоторых разработчиков или жадности их заказчиков) вместо нескольких минут простой работы я получил полтора суток незабываемых впечатлений от решений разных квестов. И хотя природная упертость довела таки до результата, сам путь его достижения плюс необходимость работать в виртуалке меня не очень радуют. Но главное, клиент доволен.
P.S. На момент публикации статьи на портале ФСЗН висело уведомление о регламентных работах и его недоступности в течение как минимум часа. И это в разгар рабочего дня в преддверии конечной даты сдачи отчетов, когда тысячи организаций пытаются работать с порталом. Печально это все…
Комментарии к записи “ Настройка работы с порталом ФСЗН в Windows 10 ” (5)
По поводу как влияет SecureBoot — имогу предположить:
SecureBoot позволяет грузить в память только подписанные валидными с точки зрения производителей сертификатами драйвера. У Авеста таковой не подписан, точнее подписан, но не майкрософтовскими. Сумеете зашить сетрификат авеста в ваш UEFI BIOS — думаю SecureBoot отключать не придётся.
Из-за похожего VirtualBox выше 4.3.12 не рекомендуется- там в более старших тоже запрретили грузить крякнутые и неподписанные DLL.
На форуме онлайнера в темах по МНС и ФСЗН я выкладывал готовые виртуалки для VirtualBox, но давно.
Ставь Силикатный пронт
После двух бессонных ночей подобных мытарств я нашёл решение моей проблемы в этой статье. Им оказался «совет отключить в настройках BIOS функцию SecureBoot», который Автор упомянул-таки, несмотря на то, что расценил его как «совсем не очевидный».
Платформа: ноутбук HP Envy m6, Windows-8 64bit, Internet Explorer 10.
Благодарю Автора за подробное описание. Отдельное спасибо комментатору Compiller за разъяснение функциональности SecureBoot.
» если у вас 64-битная Windows, то это не значит, что для работы с порталом надо использовать 64-битную версию IE » помогло! Спасибо
Источник: onecomp.ru
Настройка портала ФСЗН в Минске
Установка программного обеспечения «Ввод ДПУ» для работы с Фондом Социальной Защиты Населения, установка сертификатов, настройка портала ФСЗН.
Стоимость установки и настройки ФСЗН
Установка программного обеспечения для работы с порталом Фонда социальной защиты населения.
Настройка портала ФСЗН, установка программы «Ввод ДПУ» (с выездом мастера)
Включает в себя:
Выезд мастера на дом / офис
Установку криптозащиты Avest (пакет криптографического ПО)
Установку личных сертификатов (основного и атрибутного) в персональный менеджер сертификатов ГосСУОК
Настройку интернет-браузера (Internet Explorer) для авторизации и работы с порталом ФСЗН
Установку программы для создания и заполнения форм отчётности «Ввод ДПУ 3.0»
Также возможно оказание услуги удалённо:
Настройка портала ФСЗН, установка программы «Ввод ДПУ» (удалённо по Интернету)
Сложности с настройкой корпоративного портала Фонда
Проблемы с входом на сайт фонда и отправкой отчётов, думается, были у каждого. Вопросы и сложности возникают даже у опытных программистов и специалистов, что говорить об обычных пользователях. Разобраться с настройкой и установкой криптограпровайдера, персонального менеджера, основного и атрибутного сертификатов это ещё полбеды.
Чтобы корректно работала подпись носителя ключевой информации (НКИ) необходимы также сертификаты удостоверяющего центра, подчинённый, корневой и сертификат республиканского УЦ. Более того к ним нужны ещё списки отзыва сертификатов (СОС) на каждый такой центр. А эти сертификаты постоянно устаревают и их нужно обновлять.
И как тут можно всё это знать и разобраться плательщику или даже бухгалтеру?
И это был только разогрев. Даже выполнив все эти требования, а также должным образом настроив браузер Internet Explorer 11, «Корпоративный портал Фонда» всё же может помахать Вам рукой. А всё потому, что Авест использует криптографию в своих продуктах, которую также использует любой современный ноутбук или компьютер «из коробки». Называется эта функция «Secure Boot», если она включена в BIOS(UEFI) вашего компьютера или ноутбука, то она будет блокировать криптографию Авест.
В результате чего вы получите такое окно:
А это мы ещё не говорили про антивирусы, такие, как Аваст, антивирус Касперского, которые также заблокируют вашему браузеру порты, используемые порталами. Пока вы их не выключите, то не сможете зайти на портал ФСЗН. Что уже говорить о компании Microsoft, которая всячески ставит палки в колёса браузеру Internet Explorer, а с последними обновлениями Windows 10 и в Windows 11, чтобы запустите IE11 придётся постараться.
Установка и настройка программы «Ввод ДПУ 3.0»
Сложности подостерегают нас везде, складывается впечатление, что делают это программисты специально, чтобы подвергать постоянным страданиям бедного бухгалтера. В любой момент ярлык для входа в программу Ввод ДПУ 3.0 может просто отказаться запускаться. В результате чего нужно скачивать дистрибутив с официального сайта и устанавливать в другой каталог, чтобы достать исполняемый файл dpu.exe и заменить повредившийся каким-то образом старый. Если установить по неосторожности установить Ввод ДПУ поверх в тот же каталог, то прощай база данных со всеми ранее введёнными данными.
Помощь в настройке ФСЗН
Чтобы облегчить, и без того нелёгкую, жизнь бухгалтеру наша компания предлагает Вам услуги по установке и настройке программного обеспечения для работы с порталом ФСЗН. Мастер с опытом работы в ИМНС в должности главного специалиста сектора информационного обеспечения гарантированно поможет с вашей проблемой в настройке портала Фонда Социальной Защиты Населения.
Выездная и удалённая настройка и установка ПО для ФСЗН
Большинство работ по установке и настройке программного обеспечения можно выполнить «по удалёнке». В том числе и настройку пакета ПО для работы с порталом ФСЗН. Благодаря этому у вас также появляется возможность материально сэкономить. Если всё же установку невозможно произвести из-за серьёзных проблем с операционной системой. Например, нужно переустанавливать Windows или же настраивать BIOS(UEFI) (отключать безопасную загрузку «Secure Boot»), то в таком случае мастеру необходимо будет уже выезжать к Вам.
Список работ по настройке фонда
Прежде всего мы осуществляем установку пакета Авест (криптопровайдер, персональный менеджер сертификатов, веб плагин AvCMXWebP и компонент AvCryptMailCOM). После этого производится установка ваших личных сертификатов — основного и атрибутного, а также обновляются все сертификаты, необходимых для правильной работы с электронно-цифровой подписью (ЭЦП).
После этого уже производится настройка Internet Explorer 11 для работы с порталом ФСЗН. В конце устанавливаем актуальную версию программного комплекса «Ввод ДПУ»
Источник: bug-s.net