Hem > kraftverk

Elektroniskt budgetcertifikat. Typiska misstag "Elektronisk budget


Ett av de vanligaste felen i AWP "Electronic Budget"-programmet är ett fel som uppstår vid anslutning till servern, som har ett indexnummer på 434. Det är ganska enkelt att lösa det, i de flesta fall hjälper bara 2 åtgärder:

1. TLS Continent bygguppdatering till den aktuella versionen. Till exempel var versionsnummer 920 instabilt och ofta slutade anslutningen med ett 434 "Destination server unavailable"-fel. Den aktuella versionen kan laddas ner från webbplatsen securitycode.ru.

2. Kontrollerar om adressen är korrekt angiven personligt konto för användaren av programmet "Elektronisk budget" på TLS-kontinenten, samt portnumret (8080). Strängen får inte innehålla mellanslag eller andra tecken varken i början eller slutet av strängen. Rätt adress skulle vara: lk.budget.gov.ru(som på bilden). Om du ställer in en proxyserver via en webbläsare måste den konfigureras därefter. Om du inte arbetar via en proxyserver ska kryssrutan i TLS-inställningarna inte vara markerad. Mer om det nedan.

Fel 434 "Destinationsservern är inte tillgänglig." Hur tar man bort?

Om ovanstående två alternativ för att lösa problem inte hjälpte dig (uppdatering av monteringen och korrekt stavning av adressen till ditt personliga konto), ligger problemet troligen i felaktig installation av certifieringsmyndighetens rotcertifikat eller proxyinställningarna i webbläsaren och den är också lösbar.

- Angående certifikat- Vissa användare, när de installerar programmet felaktigt, placera rotcertifikaten för CA och TLS i registret, medan enligt instruktionerna korrekt - i den lokala datorn. I det här fallet hjälper det att flytta certifikaten.

Om du väljer att sätta upp en proxyserver i webbläsaren - måste den aktiveras på rätt sätt. Du måste ange typen av proxy - HTTP och markera rutan att proxyservern kommer att användas för alla protokoll. Firefox webbläsarkonfigurationsexempel nedan.

Global adress: crl.roskazna.ru/crl/fk01.crl

Lokal adress (för UFC): crl.fsfk.local/crl/fk01.crl

En annan lösning på detta fel

Fel 404 Lösning: allt är dåligt med inställningarna. (Se ovan)

Fel 434 Lösning: Var först och främst uppmärksam på riktigheten av den angivna adressen (lk.budget.gov.ru/udu-webcenter), särskilt bokstaven "c" om adressen är kopierad någonstans ifrån. Kontrollera "TLS Continent" och webbläsarinställningar. (Allt över). I sällsynta fall blockerar brandväggen (uppfylls endast på en PC med comodo, avast) Själva porten ska inte öppnas i onödan, du behöver bara tillåta TLS Continent att fungera normalt. Så oturligt. Att starta om tjänsten "TLS Continent" hjälper ibland.

Fel 500: Fel på serversidan. Uppdaterar sidan i webbläsaren

Fel 502: Globalt problem relaterat till serverdrift

Du måste kontakta sys. administration. Lösning: starta om tjänsten "TLS Continent" Eller uppdatera sidan i webbläsaren helt enkelt.

Du måste kontakta registratorn för FC. Beslut:

Certifikatet som bifogas applikationen är inte installerat (skrev ovan), eller så har fel certifikat valts. I certifikatvalsfönstret till höger finns serienummer med vilka det är lätt att identifiera det erforderliga certifikatet. För att välja om certifikatet, efter ett fel, är det önskvärt att starta om tjänsten "TLS Continent"

- Fel 401Lösning: Kontrollera "TLS Continent"-inställningarna. Startar om tjänsten "TLS Continent".
- Fel 403Lösning: Du kan installera rotcertifikatet i den lokala lagringen (lokal dator) , kontrollera dessutom tillgängligheten för listan över återkallade certifikat fk01.crl, det är möjligt att sökvägen är blockerad av någon anledning.
Global adress:crl.roskazna.ru/crl/fk01.crl
Lokal adress (för UFK):crl.fsfk.local/crl/fk01.crl
En annan lösning på detta fel
- Fel 404Lösning: allt är dåligt med inställningarna. (Se ovan)
- Fel 434Lösning: Var först och främst uppmärksam på riktigheten av den angivna adressen (lk.budget.gov.ru/udu-webcenter), särskilt bokstaven "c", om adressen är kopierad någonstans ifrån. Kontrollera "TLS Continent" och webbläsarinställningar. (Allt över). I sällsynta fall blockerar brandväggen (uppfylls endast på en PC med comodo, avast) Själva porten ska inte öppnas i onödan, du behöver bara tillåta TLS Continent att fungera normalt. Så oturligt. Att starta om tjänsten "TLS Continent" hjälper ibland.
- Fel 500: Fel på serversidan. Uppdaterar sidan i webbläsaren
- Fel 502: Globalt problem relaterat till serverdrift
- Du måste kontakta sys. administration.
- Du måste kontakta registratorn för FC. Beslut:
Certifikatet som bifogas applikationen är inte installerat (skrev ovan), eller så har fel certifikat valts. I certifikatvalsfönstret till höger finns serienummer med vilka det är lätt att identifiera det erforderliga certifikatet. För att välja om certifikatet, efter ett fel, är det önskvärt att starta om tjänsten "TLS Continent"

Att sätta upp E-budgetarbetsstationen sker i flera steg, de är inte komplicerade, utan kräver omsorg. Vi gör allt enligt instruktionerna för att upprätta en elektronisk budget. Kort och rakt på sak...

Elektronisk budgetarbetsplatsinställning

Rotcertifikat e-budget

Skapa en nyckelmapp i Mina dokument för att lagra nedladdade certifikat i denna mapp:

På webbplatsen http://roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ i GIS-menyn -> Certification Authority -> Rotcertifikat, måste du ladda ner " Root Certificate (Qualified)" (se bild), eller om du fick en flash-enhet med certifikat, kopiera dem från mappen Certificates.

Certifikat Continent TLS VPN

Det andra certifikatet som du behöver ladda ner är Continent TLS VPN-certifikatet, men jag kunde inte hitta det på den nya roskazna-webbplatsen, så jag satte en länk från min sida. Ladda ner TLS VPN Continent-certifikatet till nyckelmappen, vi kommer att behöva det senare när vi konfigurerar TLS Continent-klientprogrammet.

Installera det nedladdade rotcertifikatet (kvalificerat) för att arbeta med den elektroniska budgeten.

I START-menyn -> Alla program -> CRYPTO-PRO -> kör programmet Certifikat.

Gå till objektet Certifikat som visas i bilden nedan:

Gå till menyn Åtgärd - Alla uppgifter - Importera, fönstret Certifikatimport-guiden visas - Nästa - Översikt - Hitta den nedladdade Rotcertifikat (kvalificerat) i vårt fall finns den i Mina dokument i nyckelmappen

Om allt görs korrekt, kommer rotcertifikatet för CA från Federal Treasury att visas i certifikatmappen.

Installation "Continent TLS Client" för arbete med elektronisk budget

Continent_tls_client_1.0.920.0 finns på internet.

Packa upp det nedladdade arkivet, gå till CD-mappen och kör ContinentTLSSetup.exe

Från objektet, klicka på Continent TLS Client KC2 och starta installationen.

Vi accepterar villkoren

Lämna som standard i målmappen

I startkonfiguratorfönstret, markera rutan Kör konfigurator efter att installationen är klar.

Under installationen visas fönstret Serviceinställningar:

Adress - ange lk.budget.gov.ru

Certifikat - välj det andra certifikatet som laddades ner tidigare i nyckelmappen.

Klicka på OK och slutför installationen, Klar.

Svara Nej på uppmaningen att starta om operativsystemet.

Installera det elektroniska signaturverktyget "Jinn-Client"

Du kan ladda ner programmet Jinn-Client på Internet.

Gå till mappen Jinn-client - CD, kör setup.exe

Klicka på Jinn-klientlistan, installationen av programmet startar

Ignorera felet, klicka på Fortsätt, Nästa, acceptera avtalet och klicka på Nästa.

Ange den utfärdade licensnyckeln

Ställ in standardprogrammet, klicka på Nästa

Vi slutför installationen, svarar på frågan om att starta om operativsystemet nr

Installera modulen för att arbeta med den elektroniska signaturen "Cubesign"

Om du behöver ett arkiv med programmet, skriv i kommentarerna.

Kör installationsfilen cubesign.msi

Konfigurera webbläsaren Mozilla Firefox för att fungera med den elektroniska budgeten.

1. Öppna menyn "Verktyg" och välj "Inställningar".

2. Gå till avsnittet "Avancerat" på fliken "Nätverk".

3. I avsnittet "Anslutning"-inställningar klickar du på knappen "Konfigurera...".

4. Ställ in värdet i fönstret för anslutningsparametrar som öppnas

"Manuell konfiguration av proxytjänsten."

5. Ställ in värdena för HTTP-proxyfälten: 127.0.0.1; Hamn: 8080.

6. Tryck på OK-knappen.

7. Klicka på knappen "OK" i fönstret "Inställningar".

Logga in på det personliga kontot för den elektroniska budgeten

Ett fönster öppnas med valet av ett certifikat för att ange det personliga kontot för den elektroniska budgeten.

Vi väljer ett certifikat för att komma in på det personliga kontot för den elektroniska budgeten, om det finns ett lösenord för den privata delen av certifikatet, skriv och klicka på OK, varefter det personliga kontot för den elektroniska budgeten öppnas.

Ytterligare en federal hemorrojder smög upp som planerat, och som alltid ... Instruktionen som skickas via e-post (med en begäran "inkognito") kommer att tas som grund, kompletterad med mina texter och anteckningar. För vi har fått allt att fungera. I analogi med köp i ⇒ Moln kastade i allt du kan behöva.

Texter och tillägg är också viktiga, läs från pärm till pärm.

inledande . Vi har allt ställt in för att fungera genom Internet Explorer version 11 och antiviruset KES 10 är installerat. Efter ransomware-epidemin var vi tvungna att inaktivera brandväggen och nu arbetar vi genom Windows-brandväggen. Inga inställningar gjordes i "brandväggen", EB-2012 fungerar utan problem. Men jag kommer att visa inställningarna för KES 10 senare. Internet Explorer 11 kan laddas ner från ⇒ Yandex.

Låt oss gå...


Artikel #1 . Ta bort alla versioner av Jinn-Client och Continent TLS (om de har installerats tidigare). Starta om.

Text. Om du inte behöver någon "självskriven" avdelningsprogramvara rekommenderar jag att du även kör registret med verktyget ccleaner. Och rengör tills det ger ut "Inga fel". Om det finns VirtualBox - det kommer bara fel från den. Starta om.

Artikel #2 . Ta bort den utökade behållaren (om den har installerats tidigare). Starta om.

Text. Jag kom inte på hur jag skulle ta bort det, det förblev i systemet - detta påverkade inte det slutliga resultatet. I extrema fall kan du helt enkelt sedan lägga en ny ovanpå. Här kan vi behöva Microsoft Visual C ++-biblioteken (som jag lägger i en separat mapp).

Information. Vår finansavdelning var tyst den här gången, och jag sökte efter all programvara på egen hand och installerade den enligt instruktionerna från forumet. I slutändan är Extended Container inte från den "officiella" distributionen, utan version 1.0.2.2 (mapp "eXtendedContainer" i molnet).

Artikel #3 . Installera Mozilla Firefox 63.0.1 (32-bitars) webbläsare, du kan uppgradera över den gamla versionen.

Text. Objektet slutfört, men det fungerade inte, utan konfigurerat via Firefox SUFD flög iväg. Fick extra hemorrojder. Internet Explorer 11- vårt allt! Det finns fortfarande ett problem här. Firefox och Chrome uppdateras ständigt, men de slutliga säkerhetskraven har inte utformats, .. och tillägg kraschar och stängs av ... Firefox ESR genomgår också ett skede av globala förändringar ... Kort sagt, det är bättre att inte röra vid det .

Artikel #4 . Installera CRL för GOST-2012 (från admin till betrodda rötter på lokal dator). Du kan ladda ner färska från crl.roskazna.ru.

Efter information. Olika e-budgetcertifikat har olika vägar: crl.roskazna.ru och crl.roskazna.ru/crl/ . Om listan plötsligt visar sig vara försenad kan du försöka från en annan adress. Plötsligt läcker det.

Text. Det var inte nödvändigt, eftersom vi redan gjorde allt detta skit med ett misslyckat försök att installera Continent-AP 3.7.7.651 (datorn byggdes på serverhårdvara). Jag vet inte om resten, men vi rullade tillbaka till Continent-AP 3.6.90.4 och fortsätter att arbeta utan problem (kontinenter ⇒ ). Vi väntar på den normala versionen av Continent-AP 4.0.

Men med GOST-2001 i "Elektronisk budget" fanns det problem. Och det här stycket kommer att vara användbart både för allmän utveckling och för att lösa problemet ... Hur kan jag ta reda på var jag kan få tag i CRL (aka "Certificate Revocation List")?

Klicka två gånger i Utforskaren på det problematiska certifikatet. Gå till fliken "Composition" och välj raden "Revocation List Distribution Points (CRL)". Hämtar adresser... Vi startar vilken webbläsare som helst och kör in URL:en. Om "tom" på alla adresser, ja, dödfödda... :(

Det vi laddade ner måste tvingas in i systemet. Och så varje gång listan inte längre är relevant... I samma Explorer, dubbelklicka på den nedladdade filen och välj "Installera ...":

Och det mest intressanta är att nedladdningsvägarna är registrerade i TLS 2.0, men denna c[valpens mamma]a skriver att det inte finns något på den angivna adressen.

Och för information: Det visar sig att certifikat och privata nyckelbehållare är oberoende vad gäller livslängd från varandra. De där. certifikatet kan vara uppdaterat, men dokumentet kan inte längre signeras...

Artikel #5 . Vi installerar användarens personliga certifikat genom CryptoPro.

Artikel #6 . Logga in på CryptoPro och markera kryssrutorna "Kontrollera inte servercertifikatet för återkallelse" och "Kontrollera inte syftet med ditt eget certifikat" på fliken "TLS-inställningar".

Artikel #7 . Installera Continent TLS Client 2.0.1440. Starta om.

Text. Under installationsprocessen kan ett åtkomstfel uppstå ... Vi har redan gått igenom detta tidigare. Du måste låsa upp registergrenen (direkt under installationsprocessen), ändra rättigheterna för att ändra den. Som standard är ägaren av filialen "system", och programvaran installeras på uppdrag av användaren. Eftersom på datorer på den här nivån måste användare vara i "Administratörer" (verifierad av praxis), så ger vi åtkomst i enlighet med detta:

Om frågan uppstod, "Vad visas på bilden ovan?" ... Det är bättre att inte gå in själv, utan fråga en person som vet vad "Windows-registret" är och hur man arbetar med det.

Artikel #8 . Vi ställer in TLS Continent (se manualen på webbplatsen roskazna.ru, avsnittet "GIS-Electronic budget").

  • lk2012.budget.gov.ru
  • lk.budget.gov.ru

TLS-inställningar:

Artikel #9 . Registrera TLS Continent.

  • Win+R och skriv %PUBLIC%\\ContinentTLSClient\\
  • Hitta filen PublicConfig.json
  • Öppna anteckningsblocket för redigering
  • I parametern SerialNumber, infoga värdet " inom citattecken test-50 000"
  • Starta om TLS Continent.
Text. Du kan göra det lättare, det finns ingen uppvigling i detta - registrera dig officiellt. De kommer inte att be om pengar.

Artikel #10 . Vi avinstallerar programmet Extended Container via "Program och funktioner" i kontrollpanelen. Starta om.

Text. Jag slutförde inte detta objekt. Jag förstod inte varför den skulle tas bort, den stör inte alls.

Artikel #11 . Installera Jinn Client 1.0.3050 (serienummer krävs). Starta om.

Text. Treasury utfärdade version 1.0.1130.0 till oss, detta påverkade inte prestandan på något sätt. Vi tar följetongen från den gamla versionen av den tidigare utgivna distributionen.

Artikel #12 . Installera Extended Container från distributionen med Jinn Client (kräver ett separat serienummer).

Text. Jag har ingen aning om vilket serienummer du pratar om. Det fanns inte förut. Kanske betyder det det utfärdade numret i den färska distributionen. Till skillnad från Jinn finns det inga begränsningar för antalet installationer. Den nya Extended (version 1.0.2.2) installerades tidigare i ett försök att lösa problemet på egen hand.

Artikel #13 . Vi går till C:\Program Files\Secure Code\CSP\ och hitta filen csp_uninstal.exe. Vi startar den och tar bort kryptoleverantören från säkerhetskoden. Starta om.

Artikel #14 . Vi ska installera JinnSignExtensionProvider(för interoperabilitet med webbläsarna Chrome och Firefox).

Text. Jag missade också den här punkten, eftersom vi har Internet Explorer 11. Jag försökte inte det på Chrome, men Firefox fungerade inte.

Artikel #15 . Installera CadesPlugin (alias CryptoPro EDS Browser Plug-in).

Text. Du kan ladda ner ⇒. Laddar ner den senaste versionen. Vi registrerar webbplatsen "http://lk2012.budget.gov.ru" i plugininställningarna:


Artikel #16 . Konfigurera webbläsare:
  • Internet Explorer: lägg till på betrodda webbplatser - http://lk2012.budget.gov.ru och https://lk2012.budget.gov.ru
  • Firefox: lägg till tillägget JinnSignExtension.xpi och inaktivera den gamla proxyinställningen i nätverksinställningarna (inställd på "Ingen proxy")
  • Chrome: lägg till tillägget JinnSignExtension (dra mappen med tillägget till tilläggsinstallationsfönstret)
Text. Även i Internet Explorer måste du inaktivera proxy helt:


YTTERLIGARE något som inte stod i instruktionerna.

Skapa genvägar på skrivbordet för båda alternativen (GOST-2001 och GOST-2012) genom att skriva rader i objekten:

  • "C:\Program Files\Internet Explorer\iexplore.exe" http://lk.budget.gov.ru/udu-webcenter
  • "C:\Program Files\Internet Explorer\iexplore.exe" http://lk2012.budget.gov.ru/udu-webcenter
Och för säkerhets skull, i de egenskaper vi tillhandahåller för att köras på uppdrag av administratören:


Detta är nödvändigt för att webbläsaren inte ska hoppa till HTTPS-protokollet under drift.

Konfigurera antivirus. Nätverket rekommenderar att du inaktiverar antivirusprogrammet helt. Bra skämt, särskilt på en pengahanteringsdator. Föreslå inställningar för Kaspersky Endpoint Security 10. På andra antivirus måste du skapa liknande regler.

Stäng först av trafikkontrollen:


Sedan lägger vi till båda versionerna (x86 och x64) av Internet Explorer till undantagen för programkontroll:


Detta är naturligtvis inte korrekt, men det är det mindre onda av alla möjliga.

Nycklar måste konverteras. Laddar ner Privat nyckelkonverterare och det finns en fil i arkivet Readme.doc med monteringsanvisningar. För konvertering behövs inte en extra flash-enhet, vi gör allt på samma, vi lägger bara till filer med ett nytt nyckelformat. Transportören kommer att bli universell. Både nya och gamla nycklar konverteras utan problem.

Användarbyte har blivit mycket lättare. Nu behöver du inte starta om tjänsten, bara ändra certifikatet på raden "Default User Certificate" i TLS Continent-inställningarna.

Lycka till i din svåra kamp mot federala portaler!

Vi rekommenderar också

Läser in...Läser in...