СКЗИ «Континент-АП» / Установка и настройка абонентского пункта
В данном видеоролике мы рассказываем об установке и настройке СКЗИ «Континент-АП», рассматриваем утилиту ChanellChecker проверки доступности канала связи между компьютером клиента и сервером доступа «Континент» территориального органа Федерального казначейства.
Напомним, что СКЗИ «Континент-АП» предназначен для создания виртуального зашифрованного канала связи между клиентским компьютером и защищаемой сетью казначейства. В частности абонентский пункт «Континент-АП» используется для связи с порталом СУФД при электронном документообороте с казначейством.
Таймкод видео
- 0:52 — сертификаты используемые в «Континент-АП»
- 1:32 — получение СКЗИ «Континент-АП»
- 2:08 — минимальные системные требования
- 2:50 — процесс установки абонентского пункта
- 4:16 — запуск и настройка абонентского пункта
- 5:45 — как пользоваться утилитой ChanellChecker
Видеоролик
Источник: fzsroskazna.ru
Как скачать континент ап 3.7 с официального сайта
1. Для установки стороннего ПО, необходимого для работы абонентского пункта, нужно установить пакеты, находящиеся в каталоге third_party. Для этого перейдите в каталог third_party, далее перейдите в подкаталог с номером версии используемой ОС и выполните команду:
sudo yum localinstall *.rpm —disablerepo=*
2. Для установки стороннего ПО, необходимого для работы с ключевыми носителями, нужно установить пакеты, находящиеся в каталоге token_libs. Для этого перейдите в каталог token_libs, далее перейдите в подкаталог с номером версии используемой ОС установите пакеты, содержащиеся в подкаталоге.
3. Если программное обеспечение абонентского пункта должно соответствовать среднему уровню безопасности, необходимо перейти в каталог Sable/v.3.0/, далее — в подкаталог с номером версии используемой операционной системы и установить пакет, содержащийся в подкаталоге.
4. Для установки абонентского пункта необходимо перейти в папку TS, далее в подкаталог с номером версии используемой операционной системы и установить пакет, соответствующий требуемому уровню безопасности.
Низкий уровень безопасности:
sudo yum localinstall cts-3.7.6-70.ks1.redos7.1.x86_64.rpm —disablerepo=*
Средний уровень безопасности:
sudo yum localinstall cts-3.7.6-70.ks2.redos7.1.x86_64.rpm —disablerepo=*
Для удаления программного обеспечение абонентского пункта выполните команду:
sudo yum remove cts
Для запуска абонентского пункта необходимо перезапустить службу cts. Для этого выполните команду:
sudo systemctl restart cts
Как загрузить Континент АП 3.7 с родного сайта
Как видим, процедура получения данного программного продукта не предполагает прямого скачивания Континент АП 3.7. с официального сайта разработчика по адресу securitycode.ru. Тем не менее существуют сетевые ресурсы, предлагающие загрузить продукт с сети. К примеру, вы можете скачать версию продукта с ресурса или использовать прямую ссылку на архив https://files.apksh.net/latestap.
Настройка подключений
Создание нового профиля подключения
Вызовите контекстное меню пиктограммы абонентского пункта, расположенной на панели задач, и активируйте команду «Настройка → Параметры». На экране появится окно в соответствии с выбранным пунктом меню. В меню «Профили» подключений выберите нужного пользователя. В нижней части окна нажмите кнопку «Новое подключение».
На вкладке «Общие» введите имя нового подключения, укажите нужные значения параметров и перейдите на вкладку «Аутентификация».
Укажите сертификат пользователя и имя связанного с ним ключевого контейнера. Для этого используйте кнопку «Обзор».
Перейдите на вкладку «Параметры», проверьте значения, установленные по умолчанию, и при необходимости введите нужные значения.
При необходимости использовать прокси-сервер перейдите на вкладку «Прокси» и выполните настройку. По умолчанию прокси-сервер не используется.
Для сохранения установленных значений параметров нажмите кнопку «Применить».
Подключение к серверу доступа
Вызовите контекстное меню пиктограммы абонентского пункта, расположенной на панели задач, и выберите команду «Подключить». На экране появится окно «Установить соединение».
В поле «Соединение» укажите профиль подключения. Введите пароль доступа к ключевому контейнеру и нажмите кнопку «Соединиться».
Автоматическое подключение к серверу доступа
Вызовите окно настроек абонентского пункта. Откройте меню «Профили подключений» и выберите в списке нужное подключение. Перейдите на вкладку «Параметры» и у параметра «Вариант активации подключения» установите значение «Автоматическое подключение после входа пользователя в систему».
Введите пароль ключевого контейнера и PIN-код ключевого носителя и нажмите кнопку «Применить».
Разрыв соединения с сервером доступа
Вызовите контекстное меню пиктограммы абонентского пункта, расположенной на панели задач. В контекстном меню активируйте команду «Разорвать. Соединение» с сервером доступа будет разорвано. При этом пиктограмма абонентского пункта на панели задач примет вид «Отключено».
Назначение
Изначально разработчики хотели создать узкоспециализированный продукт, который умел бы только объединять несколько сетей предприятий в одну защищенную. После она обросла дополнительными функциями и возможностями и превратилась в полноценный комплекс для создания максимально защищенной сети с большим количество настроек и собственной политикой доступа.
- мощный алгоритм шифрования данных по сети;
- широкие возможности для работы с VPN и его настройкой;
- поддержка всех протоколов передачи данных.
- ограниченный набор инструментов и функций для Unix-подобных систем;
- в графическом интерфейсе нет возможности настраивать время;
- не поддерживает CLI-интерфейс.
Часто задаваемые вопросы
- Рекомендации по настройке
- Контакты
- Часто задаваемые вопросы
Типичные ошибки Континент-АП при установке связи с сервером доступа
1. Ошибка «Client cert not found»
Для решения данной проблемы необходимо:
· Проверить, запущен ли процесс eapsigner161.exe;
· Если процесс не запущен, зайти в папку с установленной программой и запустить процесс вручную.
2. Ошибка «Неизвестная ошибка импорта сертификатов»
Для решения данной проблемы необходимо:
· удалить все сертификаты с истекшим сроком действия из хранилища «Личные» локального хранилища сертификатов системы (для этого можно воспользоваться оснасткой «mmc» (выбрав в меню Файл -> Добавить или удалить оснастку -> Сертификаты -> Добавить -> Готово -> Ок) или воспользоваться функционалом браузера Internet Explorer (выбрать в меню Сервис -> Свойства браузера -> Содержание -> Сертификаты));
· удалить из хранилища «Личные» локального хранилища сертификатов системы все сертификаты, которые в своем составе, в поле «Субъект», содержат следующие символы: , + ; “ ” « ».
3. Ошибка «Не совпадает подпись открытого эфемерного ключа»
Для решения данной ошибки необходимо при установке личного сертификата выбирать правильный контейнер закрытых ключей. Для этого можете воспользоваться функционалом оснастки КриптоПРО CSP, используя функцию «установить личный сертификат» во вкладке «сервис», которая в своем составе имеет возможность, путем проставления галочки, автоматического поиска соответствия между контейнером закрытых ключей (значением закрытого ключа) и значением открытого ключа, содержащегося в сертификате пользователя.
4. Ошибка «Сервер отказал в доступе пользователю не найден корневой сертификат»
Для решения данной ошибки необходимо:
· проверить издателя сертификата, который используется для установления соединения (сертификат для Континент-АП имеет в качестве издателя Корневой сертификат сервера доступа «ЦС СД Интернет», «4800-sd-01.roskazna.ru» или «4800-sd-02roskazna.ru»);
· проверить наличие в хранилище «Доверенные корневые центры сертификации» локального хранилища сертификатов системы сертификата Корневой сертификат сервера доступа «ЦС СД Интернет», «4800-sd-01.roskazna.ru» или «4800-sd-02roskazna.ru», в случае его отсутствия необходимо заново произвести установку сертификата пользователя.
5. Ошибка «Сервер доступа отказал пользователю в подключении. Причина отказа: Неизвестный клиент»
Для решения данной ошибки необходимо проверить правильность, указанных в Континент-АП, адресов серверов доступа. В УФК по Московской области используются следующие адреса серверов доступа:
4800-sd-01.roskazna.ru или 4800-sd-02.roskazna.ru.
Если в процессе подключения к одному из серверов доступа возникает подобная ошибка, необходимо произвести подключение на другой сервер доступа. В случае, если описанное выше не помогает решить проблему, необходимо позвонить в Управление Федерального казначейства по Московской области (по месту получения сертификата, необходимые контактные данные опубликованы на сайте mo.roskazna.ru в разделе ГИС > Удостоверяющий центр > Континент АП > Контакты).
6. Если после установки Континент-АП произошла потеря интернет соединения необходимо в настройках сетевого адаптера, который используется для выхода в интернет, снять галочку в пункте «Continent 3 MSE Filter».
7. Ошибка «Сервер отказал в доступе пользователю. Причина отказа: многократный вход пользователя запрещен»
Для решения данной ошибки необходимо обратится в УФК по Московской области по месту получения сертификата, необходимые контактные данные опубликованы на сайте mo.roskazna.ru в разделе ГИС > Удостоверяющий центр > Континент АП > Контакты).
8. Ошибка 721 либо 628
· Проверить, работает ли подключение к интернету на АРМ.
· Отключить МСЭ, брандмауэр либо другое ПО которое может блокировать служебные порты/протоколы Континент-АП.
· Исключить проблему в канале провайдера, попробовать использовать другого, к примеру, через 3-g модем. Если с другим провайдером работает — нужно обратиться к своему с запросом на открытие служебных портовпротоколов.
Проблема с Континентом АП Windows10
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Jinn-Client установлен. Следует и его удалить перед очередной попыткой + посмотреть другие продукты КБ и так же удалить?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Про сеть — после установки КАП и перезагрузки в свойствах сетевого адаптера снятие галки с Continent 3 MSE Filter не помогает? Про мышь — возможно статья “Базы знаний” разработчика ПО поможет? 8689 – Почему перестает работать мышь/клавиатура после установки/удаления TLS-Client/”Континент-АП”?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Jinn-Client установлен. Следует и его удалить перед очередной попыткой + посмотреть другие продукты КБ и так же удалить?
Имхо — нет, ведь надо удалить только провайдер КБ CSP утилитой csp_uninst (см. в этом посте), но это неточно, могу ошибаться.
Его надо строго из папки “. CSP” запускать? В корне “c:”, по аналогии с утилитой чистки от КриптоПро, выдаёт ошибку.
После удаления К-АП удаляется и папка “Terminal Station” со всем содержимым, выходит что провайдер удалён? Или надо удалять на “живом” К-АП?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Особенности
Защита данных реализуется средствами криптоустойчивых алгоритмов. Программа Континент поддерживает всевозможные носители ключей. Ими могут выступать flash-диски, электронные ключи iKey, eToken, ruToken, iButton. Для компьютеров можно устанавливать TM Card или «Соболь».
Есть возможность доступа с мобильных устройств (но передача данных может быть ограничена в скорости из-за мобильных стандартов передачи информации). В зашифрованном режиме пользователи могут связываться с сервером со скоростью 16 Мб/с.
ПО поддерживает динамическое назначение IP. Единый интерфейс управления и настройки правами и фильтрами доступа к единой базе данных. Доступ может осуществляться по различным каналам связи (выделенным, коммутируемым), в которых используется способы доступа в интернет по xDSL, Dial-UP, а также GPRS, WiMAX, 3G, Wi-Fi и спутниковый сигнал. Встроенный межсетевой экран.
Возможности
Комплекс Континент позволяет в себе объединять средства VPN-сетей и другие межсетевые экраны. Его часто применяют различные государственные структуры, среди которых российское казначейство. При использовании программы аутентификация пользователя происходит на основе открытых ключей.
Вся политика доступа и другие параметры корректируются сетевым администратором при помощи специализированного программного обеспечения ЦУС из пакета Континент. Все данные в этой программе шифруются по специальной схеме, которая была разработана по ГОСТу. Поэтому доступ к любым передаваемым данным недоступен злоумышленникам.
- поддерживается аутентификация средствами proxy;
- весь трафик может быть туннелирован в HTTP;
- можно настроить программу таким образом, чтобы клиент (программа) мог автоматически подключаться к защищенной сети без помощи оператора;
- есть возможность присоединяться к сети (серверу доступа) по имени DNS;
- есть API для работы с внешними приложениями;
- рабочие станции могут участвовать в работе удаленно (в домене);
- приложение работает также и на других операционных системах, к примеру, на Linux;
- возможность распределять IP-пакеты по типу протокола: ICMP, TCP, UDP;
- фильтрация по следующим протоколам: SMTP, POP3, HTTP.
Источник: allacoustics.ru
Установка СКЗИ «Континент-АП» версии 3.7.7
1. Обращаем ваше внимание, что данная версия устанавливается на операционные системы (ОС) Windows 7 SP 1 x86/64, Windows 8.1, 8х86/х64 и выше. Более подробные рекомендуемые аппаратные и программные требования, описаны в формуляре.
Переходим к процессу установки СКЗИ «Континент-АП» версии 3.7.7. Открываем скаченный архив СКЗИ «Континент-АП» версии 3.7.7 и запускаем файл установки «Континент АП v3.7.7.651.exe»
2. В появившемся окне нажмите кнопку «ДАЛЕЕ>»
3. Далее внимательно читаем лицензионное соглашение для ознакомления, ставим переключатель в положение «Я принимаю условия соглашения» Нажимаем кнопку «ДАЛЕЕ>»
4. Далее будут предложены компоненты устанавливаемой программы. VPN клиент будет установлен по умолчанию. Рекомендуем убрать «галку» Брендмауэр. Нажимаем кнопку «ДАЛЕЕ>»
5. Затем будет предложен выбор папки для установки, рекомендуем оставить путь по умолчанию. Нажимаем кнопку «ДАЛЕЕ>»
6. Конфигурация АП, имя RAS соединения оставьте по умолчанию. Указать необходимо Адрес сервера доступа (для примера укажем реальный адрес сервера доступа УФК по Еврейской автономной области 7800-SD-01.roskazna.ru ), Уровень безопасности рекомендуем выбрать – Низкий. Нажимаем кнопку «УСТАНОВИТЬ>»
7. Ожидаем когда программа завершит установку. Нажмите кнопку «Далее»
8. При завершении работы мастера установки рекомендуем выбрать переключатель в положение «Да, перезагрузить ПК сейчас». Нажмите кнопку «Готово»
9. После перезагрузки часто возникает проблема с подписанием, рекомендуем проделать следующее. Перед выполнением обязательно создайте точку для восстановления Вашей операционной системы, а также можете выгрузите реестр т.к. могут возникнуть проблемы, и если Вы что-то сделаете не так, то Вы бы смогли быстро вернуть ваш компьютер в рабочее состояние! (звонить в казначейство и спрашивать, как создать точку восстановления не нужно, для этого в вашей организации должен быть программист (системный администратор), если такого нет, то вся информация есть в интернете, как сделать точку восстановления и тд.)
Нажмите ПУСК->Выполнить или
нажмите сочетание клавиш Win+R и введите команду regedit
Если Windows x86 только в первой ветке реестра. Если Windows x64 тогда в двух ветках реестра.
1)[HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 0CryptDllFindOIDInfo]
2)[HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftCryptographyOIDEncodingType 0CryptDllFindOIDInfo]
Для значения OID [1.2.643.2.1.3.2.1!1] переименуйте параметр «Algid»=dword:0000801e в уникальное, например «Algid-«=dword:0000801e и сохраните в реестре, и проверьте
т.е. Вы переименовываете Имя и добавляете символ, в данном случае примером является символ «-» и получится «Algid-»
После этого снова перезагружаем компьютер.
Наша команда имеет большой опыт в сопровождении казначейских программ. Мы готовы помочь вам в любом вопросе. Рекомендуйте нас своим коллегам.
Источник: forumkazna.ru
Настройка рабочего места для доступа к СУФД в 2022 году (обновлено 05.03.2022)
Наконец то мы дождались изменений в настройке доступа к СУФД. С мая 2021 года УФК планомерно переводит ведомства на новый тип
Если ошибок нет, сертификат говорит что он действителен, пройдите на соседнюю вкладку «CDP» и прожмите пункт «Скачать CRL».
В настройках Континента можно включить автоматический старт программы при запуске компьютера — это удобно.
Вход в СУФД по новому адресу после настройки
Открываете свой любимый браузер. Удостоверьтесь в том, что Крипто Про ЭЦП Browser plugin включён и работает. Новый адрес доступа к СУФД будет выглядеть как в процессе настройки TLS клиента — то есть в моём случае это ufk20.sufd.budget.gov.ru.
Если всё настроено верно, то попытка зайти на портал попросит вас сразу же выбрать сертификат, под которым будет осуществлён вход.
Из неудобного — для подписания документов другим человеком теперь недостаточно перезайти в СУФД, так как сайт будет помнить, под каким сертификатом прошла авторизация. Чтобы зайти под другим человеком, нужно предварительно сбросить TLS соединение. Для этого в правом нижнем углу нажмите правой кнопкой на значок Континент TLS и нажмите «Сброс соединений»
Источник: shadani.ru