Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Письмо Управления федерального казначейства по Архангельской области от 28 мая 2012 г. N 24-32-06/3748 О порядке получения (отзыва) сертификатов проверки электронной подписи в связи с плановой сменой, сменой реквизитов владельца электронной подписи
- Приложение 8. Инструкция по установке ППО "Континент-АП
Приложение 8. Инструкция по установке ППО "Континент-АП
Приложение 8
К письму Управления
Федерального казначейства
по Архангельской области
от 28 мая 2012 г. N 24-32-06/3748
Общие понятия
Изделие "Аппаратно-программный комплекс шифрования (АПКШ) "Континент".
Версия 3" предназначено для безопасной передачи данных через общедоступные (незащищенные) сети. Эта технология называется "виртуальная частная сеть" (VPN). Защита данных обеспечивается криптографическими методами, вследствие чего через общедоступную сеть данные передаются в зашифрованном виде.
Перед тем как начать работу с ресурсами защищенной корпоративной сети:
1. Удалить предыдущую версию ПО СКЗИ Крипто-Про CSP и Крипто-Про TLS (версия 2), а также "Континент-АП" версии 2.
2. Установить ПО СКЗИ Крипто-Про CSP, уровня КС1 или КС2, (Версия 3) (Установка ПО СКЗИ Крипто-Про TLS не требуется)
- ПО СКЗИ уровня защищенности КС1 используется при отсутствии на рабочей станции средства защиты от несанкционированного доступа (например, Электронный замок "Соболь",
- ПО СКЗИ уровня защищенности КС2 используется при использовании электронного замка "Соболь".
(Установочный комплект с документацией может быть предоставлен органом ФК, по месту открытия лицевого счета Клиента (записан на диск, либо на чистый flash-drive).
Разархивировать во вновь созданную папку полученный файл "Крипто_про_3.rar", в котором находятся:
Исполняемый файл СКЗИ Крипто-Про версии 3 уровень КС1-
- CryptoPRO\v3\windows.x86\KC1\CSPrus.msi,
Исполняемый файл СКЗИ Крипто-Про версии 3 уровень КС2 -
- CryptoPRO\v3\windows.x86\KC2\CSPrus.msi.
Исполняемый файл для установки драйверов для ЭЗ "Соболь", (при его наличии) -
- Sable\ ПО для электронного замка Соболь.msi
3. Получить и ввести лицензию на использование СКЗИ "Крипто-Про" версии 3.
3.1. Получить в органе ФК лицензию на право использования ПО СКЗИ "Крипто-Про" версии 3. (далее-Лицензия). Акт оформляется органом ФК.
3.2. Вернуть в орган ФК лицензию на право использования ПО СКЗИ "Крипто-Про" версии 2. Акт оформляет Клиент.
Лицензия передается на безвозмездной и возвратной основе, администратору безопасности Клиента, по доверенности (форма N М-2, утверждена постановлением Госкомстата России от 30.10.1997 N 71а).
Передача-прием Лицензий производится по акту приема-передачи объекта основных средств (Унифицированная форма N ОС-1, утверждена постановлением Госкомстата России от 21.01.2003 N 7), с оформлением органом ФК Карточки учета лицензий для СКЗИ. Акт и карточка оформляется в 2-х экземплярах, один из которых передается Клиенту, второй - остается на хранении в органе ФК.
При необходимости установки СКЗИ, ППО СЭД на дополнительные рабочие станции, орган ФК может выдать Клиенту дополнительные лицензии.
Использование одной лицензии на нескольких рабочих местах запрещается.
4. Установить программное обеспечение абонентского пункта из состава аппаратно-программного комплекса шифрования "Континент-К" версии не ниже 3.3.15.5. (Далее - Континент-АП)
РЕКОМЕНДУЕТСЯ ВЕРИЯ 3.5.68.0
(Установочный комплект с документацией может быть предоставлен органом ФК, по месту открытия лицевого счета Клиента (записан на диск, либо на чистый flash-drive).
4.1. Разархивировать полученный файл "Конитент-АП_3.3.15.05.rar", в котором находится исполняемый файл - Контитент-АП_3.3.15.05\ setup.exe
4.2. Установите отметку о принятии лицензионного соглашения и нажмите кнопку "Далее>".
4.3. На экране появится диалог выбора папки для размещения файлов программы: По умолчанию программа установки копирует файлы в каталог \ Program Files\ Infosec \ ClientContinent. Нажмите кнопку "Далее>" не меняя место расположения предложенного каталога установки.
ГАРАНТ:
Текст образца не приводится
4.4. В поле IP адрес сервера доступа введите 212.14.167.3 или 109.124.95.66 и нажмите кнопку "Далее>".(Данные адрес можно будет ввести позднее)
ГАРАНТ:
Текст образца не приводится
4.5. Нажмите на кнопку "Установить" для установки программы Континент-АП.
4.6. В следующих сообщениях нажимайте кнопку "Все равно продолжить" и продолжайте установку программного обеспечения, не обращая внимания на появляющиеся предупреждения (их может быть несколько).
ГАРАНТ:
Текст образца не приводится
4.7. После завершения установки нажмите кнопку "Готово" и перезагрузите компьютер, нажав на кнопку "Да".
ГАРАНТ:
Текст образца не приводится
5. Создание запроса на получение сертификата пользователя.
Запрос на получение сертификата создается пользователем средствами Абонентского пункта. Одновременно с запросом средствами криптопровайдера КриптоПро CSP генерируется закрытый ключ пользователя. Запрос в виде файла сохраняется в указанную пользователем папку, ключевой контейнер с закрытым ключом сохраняется на одном из ключевых носителей, указанных в настройках КриптоПро CSP.
Совет. Перед тем как приступить к созданию запроса, приготовьте чистый ключевой носитель для записи ключевого контейнера.
Для создания запроса на получение сертификата:
1. Вызовите контекстное меню пиктограммы Абонентского пункта (появляется при перезагрузке компьютера на панели задач Windows). Для этого нажмите правой клавишей мыши на пиктограмме "АП" и в меню "Сертификаты" активируйте команду "Создать запрос на пользовательский сертификат". На экране появится диалоговое окно для создания запроса.
ГАРАНТ:
Текст образца не приводится
2. Укажите достоверные сведения о себе в полях группы "Параметры сертификата пользователя".
Внимание! Текстовые поля "Имя сотрудника", "Организация" и "Подразделение" для заполнения обязательны. При отсутствии этих сведений создание сертификата пользователя невозможно. Рекомендуется заполнять все поля данного диалога
При заполнении реквизитов запроса необходимо обратить особое внимание:
1. На правильность указания имени клиента (в примере 2401_11111) в соответствии с территориальной принадлежностью Клиента к органу Федерального казначейства
2400 - код отделения в котором получателю средств, в том числе администратору поступлений, открыт лицевой счет получателя, если счет получателя администратору поступлений не открыт в Отделении, то такие администраторы поступлений указывают код Отделения на территории которого они находятся.
Если лицевой счет получателя средств, в том числе администратору поступлений, открыт в Управлении, то код будет 2400.
ХХХХХ - код бюджетополучателя по реестру получателей средств соответствующего бюджета.
Для администраторов поступлений, ХХХХХ соответствует коду администратора поступлений в СЭД, этот код можно увидеть в окне удаленные АРМ в столбце Код (Администрирование - Общее - Удаленные АРМ), или нажать левой кнопкой мыши на значок в графическом меню СЭД)
2. Наименование организации - допускается сокращенное наименование без кавычек, тире, подчеркиваний и т.п.
3. путь к файлу и имя сохраняемого файла запроса. Имя файла должно быть идентично наименованию имени клиента в запросе и файл должен иметь расширение *.req. (пример смотрите на рис. 1 в поле "Имя файла".
ГАРАНТ:
Текст образца не приводится
(рис. 2)
При необходимости задайте пароль на создаваемый ключевой контейнер. (Следует учесть, что после ввода пароля при создании ключевой дискеты, пароль будет запрашиваться каждый раз при обращении к ней. При пустом пароле - пароль запрашиваться не будет)
Обязательно поставьте галочку в поле "Запомнить пароль".
Нажмите ОК.
Программа создаст ключевой контейнер, разместит файл запроса с расширением *.req по указанному Вами пути, с указанным Вами именем, дата и время создания в имени файла проставляется автоматически, и при редактировании имени файла запроса менять не рекомендуется.
Заполненная форма должна выглядеть следующим образом: см. пример запроса для Клиента с кодом получателя бюджетных средств 55555 лицевой счет получателя которого открыт в Управлении.
ГАРАНТ:
Текст образца не приводится
Где 2400 - код Управления Федерального казначейства по Архангельской области, 55555- код получателя средств по реестру получателей средств соответствующего бюджета.
В поле "Организация" заносится полное наименование организации. Если наименование организации достаточно длинное, допустимы разумные сокращения. Запрещается использование кавычек, точек, двоеточий и т.п в качестве заполняемых параметров сертификата пользователя.
3. В группе "Файлы для сохранения запроса на сертификат" укажите значения следующих параметров: в поле "Электронная форма" укажите путь и имя файла с электронной формой запроса, в поле "Бумажная форма" укажите путь и имя файла с электронной формой заявки.
Распечатайте заявку в 2 экземплярах, подпишите руководителем организации, укажите номер и дату Приказа о наделении правом ЭЦП СЭД сотрудников организации, которым также назначен администратор безопасности организации.
После завершения заполнения параметров сертификата пользователя нажмите на кнопку ОК. На экране появится диалог КриптоПро CSP с перечнем тех ключевых носителей, на которых может быть сохранена ключевая информация. В списке "Устройства" выберите устройство для записи ключевой информации и предъявите ключевой носитель. Нажмите кнопку "ОК". КриптоПро CSP приступит к созданию закрытого ключа сертификата пользователя.
Передайте созданный файл запроса (в нашем примере файл: 2400_55555_02_12_2009__20_48_56_859.req) и два экземпляра заявки на бумажном носителе (в нашем примере распечатка файла: 2400_55555_02_12_2009__20_48_56_859.html) в отдел РСиБИ.
Клиенты, представляют в Управление:
- заверенную копию приказа о наделении правом ЭЦП СЭД и назначении администратора безопасности ППО СЭД, СКЗИ "Крипто-Про" ПП "Континент-АП".
заявки по почте или нарочно, а запросы в электронном виде, через ближайшее Отделение. До получения Управлением заявки на бумажном носителе, файлы запросов обрабатываться не будут.
После получения заявки, проверки правильности её оформления, Управление исполняет запрос и направляет один экземпляр заявки почтой Клиенту, с отметкой об исполнении, а сертификаты электронной почтой, либо на магнитном носителе, представителю Клиента.
После получения Клиентом транспортных сертификатов user.cer - личный сертификат пользователя, соответствующий закрытому ключу, root.p7b - корневой сертификат и crv00.cer - сертификат сервера доступа администратор безопасности Клиента устанавливает в хранилище сертификатов на компьютере, на котором установлен Абонентский пункт.
6. Получение транспортных сертификатов в органе ФК и их установка в Континент-АП
1. Регистрация сертификатов производится в следующем порядке.
Наведите указатель мыши на пиктограмму Абонентского пункта (щит), расположенную на панели задач Windows, и нажмите правую клавишу мыши. На экране появится меню управления Абонентским пунктом. Выберите пункт меню "Установить сертификат пользователя"
ГАРАНТ:
Текст образца не приводится
2. Укажите путь к файлу сертификата user.
3. Нажмите на кнопку "Открыть". На экране появится диалог выбора ключевого контейнера сертификата пользователя. Выберите нужный ключевой контейнер.
ГАРАНТ:
Текст образца не приводится
4. Нажмите кнопку "ОК". В том случае, если в хранилище сертификатов на компьютере отсутствует корневой сертификат, подтверждающий зарегистрированный сертификат пользователя, на экране появится запрос на его установку.
ГАРАНТ:
Текст образца не приводится
5. Для регистрации корневого сертификата нажмите кнопку:
- "Да, автоматически" - в случае если корневой сертификат root.p7b хранится в
одной папке с сертификатом пользователя. Будет выполнен автоматический
поиск сертификата;
Примечание. Если корневой сертификат не будет найден, то пользователю будет предложено самостоятельно указать расположение корневого сертификата.
- "Да, вручную" - в случае если корневой сертификат и сертификат пользователя хранятся в разных папках. Пользователю будет предложено самостоятельно указать расположение корневого сертификата.
На экране появится сообщение системы безопасности Windows о том, что сей-
час будет выполнена регистрация корневого сертификата.
ГАРАНТ:
Текст образца не приводится
6. На предупреждение системы безопасности ответьте "ДА". Корневой сертификат будет зарегистрирован. На экране появится сообщение о том, что регистрация сертификата пользователя завершена. Установка сертификатов завершена.
7. Проверка соединения Континента-АП с сервером доступа органа ФК
Для этого сначала проверьте наличие связи и возможность выхода во внешнюю сеть (установка связи через ADSL модем или обычный модем). При успешном установлении связи:
1. Командой ping в командной строке проверьте доступность внешнего интерфейса сервера доступа Управления.
Ping 212.14.167.3 (или 109.124.95.66 в соответствии с адресом в Континент-АП)), в случае неполучения ответа, выясните причины отсутствия открытых каналов связи. В случае получения ответа от указанного адреса, переходите к п. 2.
(Для клиентов работающих по коммутируемым каналам связи через модемный пул Управления доступен только адрес 212.14.167.3)
2. Вызовите контекстное меню пиктограммы Абонентского пункта (Ярлык в форме Щита с аббревиатурой "АП"), расположенной на панели задач Windows.
3. В меню "Установить / разорвать соединение" активируйте команду "Установить соединение Континент-АП".
ГАРАНТ:
Текст образца не приводится
На экране появится диалог выбора сертификата:
ГАРАНТ:
Текст образца не приводится
В поле "Сертификат пользователя" в раскрывающемся списке выберите ваш сертификат. В поле "Использовать данный сертификат при следующем подключении" установите отметку, если требуется, чтобы выбранный сертификат всегда использовался при подключении к серверу доступа и данный диалог не появлялся на экране.
Нажмите кнопку "ОК".
Если подключение к данному серверу доступа выполняется впервые, на экране появится сообщение, предлагающее добавить в списки разрешенных для подключения серверов имя сервера доступа и корневой сертификат центра сертификации.
ГАРАНТ:
Текст образца не приводится
На предложение ответьте "ДА". В случае успешного подключения к серверу доступа на панели задач Windows появится пиктограмма нового сетевого подключения. Во всплывающем информационном окне отобразятся сведения о подключении. Цвет пиктограммы "Щит" изменится на голубой
Для проверки работоспособности защищенного канала связи в командной строке наберите команду Ping внутренний адрес сервера доступа 10.24.54.2 (ping 10.24.54.2)
ГАРАНТ:
Текст образца не приводится
При получении ответа можно переходить, при необходимости, к проверке работоспособности ППО "СЭД".
При неполучении ответа от сервера доступа обратиться в отдел РСиБИ.
Для разрыва соединения с сервером доступа:
1. Вызовите контекстное меню пиктограммы Абонентского пункта, расположенной на панели задач Windows.
2. В меню "Установить / разорвать соединение" активируйте команду "Разорвать
соединение с "Континент-АП".
Соединение с сервером доступа будет разорвано. На панели Windows исчезнет пиктограмма сетевого подключения.
Если на пути зашифрованного трафика, передаваемого между абонентским пунктом и сервером доступа находятся межсетевые экраны или другое оборудованию, осуществляющее фильтрацию IP-пакетов, необходимо создать для них правила, разрешающие прохождение IP-пакетов по этому протоколу в обоих направлениях.
Протоколы и порты используемые АП и сервером доступа
|
Протокол/ порт |
Назначение |
Источник/получатель |
Примечания |
|
TCP/4439 |
Установка соединения между Абонентским пунктом и Сервером доступа |
Абонентский пункт / Сервер доступа |
АПКШ Континент 2.00.77 и более поздние версии |
|
UDP/4433 |
Обмен сообщениями между сервером доступа и абонентским пунктом |
Сервер доступа / Абонентский пункт |
АПКШ Континент 3.02.21 и более поздние версии |
|
UDP/7500 |
Обмен сообщениями между сервером доступа и абонентским пунктом |
Абонентский пункт / Сервер доступа |
АПКШ Континент 3.02.21 и более поздние версии |
8. После выполнения вышеуказанных процедур проведите проверку работоспособности транспортной системы СЭД.
Внимание!!!
При переходе на третью версию КриптоПро часто возникает ошибка подписания. Для ее устранения необходимо запустить КриптоПро ("Пуск"=>"Настройка"=>"Панель
Управления"=>"КриптоПро"). Перейти на закладку "Сервис", нажать кнопку "Удалить
запомненные пароли" (Рис. 1).
ГАРАНТ:
Текст образца не приводится
Рисунок 1. Удаление запомненных паролей
Поставить галку "Пользователя" и нажать кнопку "ОК" (Рис. 2).
ГАРАНТ:
Текст образца не приводится
Рисунок 2. Удаление запомненных паролей.
Контактные телефоны для справок и дополнительного согласования сроков выдачи сертификатов
46-26-17 Мурашева Оксана Анатольевна,
46-27-87 Телегин Евгений Иванович.
16-26-15 Жулябин Никита Васильевич.
Отдел РСиБИ, кабинет N 334