Подключение и начало работы
Регламент закреплен в письмах Минфина о подключении пользователей к государственной системе. В первую очередь в организации необходимо выпустить приказ о назначении ответственных за работу в «ЭБ» лиц, определении сотрудников, уполномоченных на подготовку документации, размещаемой в подсистемах.
Вот пошаговая инструкция, как работать в электронном бюджете пользователям.
Шаг 1. Произвести полную диагностику и подготовку автоматизированных рабочих мест к работе с ГИИС «ЭБ» в соответствии с системными требованиями.
Шаг 2. Подготовить для каждого исполнителя квалифицированные ключи ЭЦП. Новые ключи получают только для тех, кто ранее не работал в ЕИС. Остальные используют ЭЦП, действующие в Единой информационной системе.
Шаг 3. Установить корневой и промежуточный сертификаты в хранилище компьютера.
Шаг 4. Проверить актуальность версии «КриптоПро CSP» (нужна не ниже 4.0).
Шаг 5. Установить ПО Windows Installer, все необходимые драйверы носителя информации сертификата пользователя, программы «Континент TLS VPN Клиент» и Jinn-Client.
Шаг 6. Установить ПО «eXtended Container» для отображения сертификатов, выданных по ГОСТ 2021.
Шаг 7. Оформить и отправить в ТОФК заявку на подключение по специальной унифицированной форме (письмо Минфина №21-03-04/61291 от 20.10.2021). К заявке необходимо приложить приказ о назначении ответственных лиц, файлы сертификатов ЭЦП, подписанное каждым ответственным сотрудником согласие на обработку персональных данных, заявку и доверенность на получение СКЗИ по форме, утвержденной Минфином (письмо №21-03-04/35490 от 17.06.2021).
Шаг 8. Дождаться результатов проверки переданного в ТОФК пакета документов с заявкой на подключение и при необходимости внести исправления и дополнения.
Шаг 9. После успешной проверки установить на рабочем месте СКЗИ, зарегистрировать новых исполнителей в ЕИС, установить новые сертификаты ключей ЭЦП и ввести данные ответственных сотрудников в систему «ЭБ» с одновременным определением ролей каждого исполнителя.
Шаг 10. Подключиться к системе «Электронный бюджет», войти в личный кабинет и начать работу в нем.
Чтобы войти в модуль Минфина «Бюджетное планирование», необходимо осуществить вход в личный кабинет «Электронного бюджета» по сертификату пользователя:
Установите корневой сертификат Минфина на персональный компьютер и войдите по сертификату и электронной подписи.
Что такое «электронный бюджет»
В постановлении правительства №658 от 30.06.2021 указано, что такое «Электронный бюджет» и для чего он нужен: программа разработана с целью увеличения прозрачности и открытости основной деятельности государственных органов и используется в управлении общественными финансами.
При помощи программы планирования ГИИС «Электронный бюджет» повышается качество менеджмента госорганов посредством внедрения информационно-коммуникационных технологий и создания единого информационного пространства в среде управления государственными, муниципальными, общественными финансами.
Концепция разработки создания ГИИС «Электронный бюджет» подтверждена в РП №1275-р от 20.07.2021. Регулирует порядок работы системы постановление правительства №658 от 30.06.2021.
Гиис «электронный бюджет» и гост р 34.10-2021
*NEW* Настройка ЭБ от пользователя FarWinter
QuickEB – Порядок быстрой настройки Электронного бюджета
Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ
QuickCG – Порядок быстрой настройки Chromium GOST
Типовые ошибки при работе в Chromium GOST
КриптоПро CSP считает недействительными сертификаты по ГОСТ 2021
Использование Chromium GOST позволяет избавиться от тараканов использования продуктов “Код безопасности” 😉
( использовать х32 версию браузера для ОС любой разрядности )
Chromium GOST не хочет использовать смешанный контент, когда на страницах https открывается http контент
Нужно в параметры запуска chrome.exe добавить ключ --allow-running-insecure-content
и добавить lk.budget.gov.ru в список разрешённых доменов где можно использовать смешанный контент Например в свойствах ярлыка “ЭБ CG.lnk” добавить в конец через пробел ключ
--allow-running-insecure-content
%UserProfile%AppDataLocalChromiumApplicationchrome.exe -no-default-browser-check https://lk.budget.gov.ru/udu-webcenter --allow-running-insecure-content
Добавление lk.budget.gov.ru в список разрешённых доменов, где можно использовать смешанный контент
Открыть ссылку в Chromium GOST
Chrome://net-internals
Выбрать слева
Domain Security Policy
В разделе
Add HSTS domain
в поле Domain:
вставить
lk.budget.gov.ru
Чек бокс Include subdomains for STS оставить пустой
Include subdomains for STS [ ]
нажать Add
Add HSTS domain
Input a domain name to add it to the HSTS set:
Domain: lk.budget.gov.ru
Include subdomains for STS: [ ]
Можно было вставить budget.gov.ru и Отметить
Include subdomains for STS [ v ]
тогда это правило будет действовать например на lk.budget.gov.ru и buh2021.budget.gov.ru но лучше указать конкретный домен
Проверить настроки домена можно в разделе
Query HSTS/PKP domain
в поле Domain:
вставить
lk.budget.gov.ru
и нажать Query
Результатом будетFound:static_sts_domain:static_upgrade_mode: UNKNOWNstatic_sts_include_subdomains:static_sts_observed:static_pkp_domain:static_pkp_include_subdomains:static_pkp_observed:static_spki_hashes:dynamic_sts_domain: lk.budget.gov.rudynamic_upgrade_mode: FORCE_HTTPSdynamic_sts_include_subdomains: falsedynamic_sts_observed: 1597827354.378033dynamic_sts_expiry: 1684227354.379606
Если нужно удалить доменную политику в конце страницы, раздел:
Delete domain security policies
вставить
lk.budget.gov.ru
и нажать Delete
Chromium GOST и DrWEB не открываются сайты
Помогает запуск с ключом –-no-sandbox. (для х64 версии)
Но лучше использовать х32 версию браузера
***
У кого Jinn не видит контейнер читаем подробности
При использовании сертификатов по ГОСТ Р 34.10-2021 в подсистемах ГИИС «Электронный бюджет», оператором которых является Федеральное казначейство, необходимо:
1. Для аутентификации пользователей на автоматизированном рабочем месте установить СКЗИ «Континент TLS-клиент». Версия 2» и провести настройку в соответствии с инструкцией, размещенной на официальном сайте Федерального казначейства в разделе ГИС – Электронный бюджет – Подключение к системе.
2. В качестве адреса TLS сервера ГИИС ЭБ и доступа в личный кабинет указывать адрес lk2021.budget.gov.ru. lk.budget.gov.ru (*)
(*) С 01.08.2020 lk2021 больше не доступен
======
Про Jinn Sign Extension Provider
I
Убедительная просьба админам разместить информацию о том, что Jinn Sign Extension Provider может не до конца установится, если использовать предложенную папку по умолчанию (папка в профиле пользователя)
Я час бился с проблемой, оказывается надо было изменить папку на C:Program FilesSecurity Code (если х64, то папку C:Program Files(х86)Security Code)
Я пока не понял причину, возможно из-за того что в имени пользователя используется кириллица
P.S. спасибо статье sbis.ru/help/auction/workplace/jinn_pl , так бы еще мучался неизвестно сколько
…..
слишком сложно написано
Просьба написать попроще, например что в пути установки не должно быть кириллицы, например имя пользователя написано по-русски (аля Юзер, Пользователь, Админ и прочее) и используется путь установки предложенный установщиком (в папку профиля пользователя)
II
ПРИМЕЧАНИЕ: Командную строку нужно запускать по правой кнопки мыши с выбором “Запуск от имени администратора”
=======
Jinn не видит контейнер
Размер имеет значение (с)
Британские учёные установили
При подписании в ЭБ косяк выявили, если название организации в сертификате ГОСТ 2021 превышает 127 символов, то jinn просто не видит контейнер с таким сертификатом. Решение – конвертация контейнера. Утилита конвертации контейнеров КриптоПро в PKCS#15 в приложении. Инструкция по использованию в архиве. Для работы на рабочем месте должен быть установлен КриптоПро CSP.
Инструкция по созданию носителя от пользователя 7449
УТИЛИТА КОНВЕРТАЦИИ КОНТЕЙНЕРА
ИНСТРУКЦИЯ ПО СОЗДАНИЮ НОСИТЕЛЯ
ДОПОЛНЕНИЕ
ОТВЕТ ТЕХПОДДЕРЖКИ УФК
Цитата:
Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2021 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки. Для конвертации контейнера PKCS#12 в PKCS#15 есть специальная утилита, для получения обращаться в ТОФК.
1. В компьютере вставлен съемный носитель с сертификатом PKCS#12.
2. Запускаем утилиту конвертации.
3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».
4. Выбираем нужный сертификат и нажимаем «Конвертировать».
5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».
6. В окне Крипто-ПРО повторно указываем пароль ранее и «ОК».
7. Конвертирование завершено успешно, на съемном носителе будет сертификат и ключ в контейнере PKCS#15.
При отсутствии сертификата в jinn плагине при подписании требуется обратиться в отдел ОРСИБИ вашего ТОФК для получения конвертера и инструкции по конвертации контейнера подписи из формата PKCS#12 в PKCS#15.
(Примечание: Ссылка на утилиту выше.)
======
Очень плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP
Вернул обратно на своём тестовом стенде КАП 3.7.651 с крипто-провайдером от КБ (куда ж теперь без него?)
На этапе подписи заявки в ЭБ при “поиске носителя” получаем: “Прекращена работа программы визуализации и подписи Jinn-Client”
До этого всё подписывало в ЭБ (Win 10.15063×64)
update: Ложка мёда в бочку дёгтя: проверяли на win7x32 sp1 такой проблемы нет.
=======
Плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP
Для правильной установки Континент TLS-клиент». Версия 2 придётся удалять КАП. Вычищать следы пребывание КБ CSP утилитой от кода безопасности тынц с параметрами -to из командной строки от администратора. Так же должен стоять криптопро. Тогда ТЛС клиент не будет пытаться установить или обновить свой криптопровайдер. Потом континент ап можно ставить обратно с его криптопровайдером, все работает. Не забываем удалить
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 1CryptDllImportPublicKeyInfoEx1.2.643.7.1.1.1.1
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftCryptographyOIDEncodingType 1CryptDllImportPublicKeyInfoEx1.2.643.7.1.1.1.1
из реестра.
======
СКЗИ «Континент TLS-клиент». Версия 2 “Доступ к конфигурационному файлу запрещен”
Британские учёные установили, ошибка СКЗИ «Континент TLS-клиент». Версия 2 “Доступ к конфигурационному файлу запрещен” таки связана с недостатком прав. Все установщики запускать через .ехе а не через .msi и от имени администратора. Если это не помогло. смотрим права на ветку реестра [HKEY_LOCAL_MACHINESOFTWARESecurityCode]
Цитата:
По логам на проблемной машине видно что идёт обращение к ветке [HKEY_LOCAL_MACHINESOFTWARESecurityCode], и не может получить доступ туда. Проверил права на ветку – кривые, нет права на запись. Можно выдать права, я полечил просто удалив ветку целиком (но у меня и были имитация установки на чистую, без других компонентов КБ). В общем случае, надо пробовать давать права на ветку Еще добавлю – сегодня под обычным пользователем пытался запустить Континент-TLS дал разрешения в реестре, но при запуске так же ошибку выдавал. Дал разрешение на чтение и запись до каталогов:
c:Program FilesSecurity Code
c:UsersPublicContinentTLSClient
Заработало и под обычным пользователем.
new
Обнаружил машину на которой даже после манипуляций с реестром, после установки TLS клиента всё равно вылетала ошибка по доступу. Вылечилось после следующих манипуляций:
1. Через панель управления удалить ВСЕ продукты КриптоПро и Кода Безопасности, перезагрузка
2. Удаление через cspclean (КП)и cspcleaner -to (КБ), перезагрузка,
3. Удаление следов в ProgramFiles, удаление веток [HKEY_LOCAL_MACHINESOFTWARESecurityCode] и [HKEY_LOCAL_MACHINESOFTWARESecurity Code], перезагрузка
4. Установка КриптоПро 4.0 R4 (4.0.9963), перезагрузка
5. Установка TLS клиента 2.0.1440.
После этого заработало. Замечу, что устанавливать клиент лучше через командную строку с параметрами /install /log log.txt. Если в результате установки появился только один log файл – то установка точно прошла с косяком и работать не будет. Если два файла – то скорее всего всё ок. Если три файла – то к TLS клиенту доставился еще и КБ CSP
=======
Если кто задумает “хочу установить все заново”
(взято с форума росказны)
Варианты установки программных продуктов
Вариант 1
Состав программных продуктов:
* КриптоПро CSP или Валидата CSP;
* Jinn-Client;
* TLS-клиент.
Выполните действия в следующем порядке:
1. Установите сторонний криптопровайдер (КриптоПро CSP или Валидата CSP).
2. Установите Jinn-Client. В состав данного продукта входит криптопровайдер “Код Безопасности CSP” версии 3.7, в котором необходимо отменить регистрацию. Загрузите и распакуйте архив по ссылке https://www.securitycode.ru/upload/docu … gScCSP.zip. Перейдите в папку, соответствующую данной платформе (x86 или x64) и запустите файл unreg_sc_37.reg.
3. Установите TLS-клиент. В состав данного продукта входит криптопровайдер “Код Безопасности CSP” версии 4.0, который не будет установлен. В такой ситуации используется сторонний криптопровайдер.
Вариант 2
Состав программных продуктов:
* КриптоПро CSP или Валидата CSP;
* TLS-клиент.
Выполните действия в следующем порядке:
1. Установите сторонний криптопровайдер (КриптоПро CSP или Валидата CSP).
2. Установите TLS-клиент. В состав данного продукта входит криптопровайдер “Код Безопасности CSP” версии 4.0, который не будет установлен. В такой ситуации используется сторонний криптопровайдер.
Вариант 3
Состав программных продуктов:
* Jinn-Client;
* TLS-клиент.
Выполните действия в следующем порядке:
1. Установите Jinn-Client. В состав данного продукта входит криптопровайдер “Код Безопасности CSP” версии 3.7. © КОМПАНИЯ “КОД БЕЗОПАСНОСТИ”
2. Удалите криптопровайдер “Код Безопасности CSP” версии 3.7.
3. Установите TLS-клиент. Он содержит криптопровайдер “Код Безопасности CSP” версии 4.0, который установится автоматически.
Вариант 4
Отсутствуют сторонние криптопровайдеры (КриптоПро CSP или Валидата CSP) и Jinn-Client.
В данном случае установите TLS-клиент. Он содержит криптопровайдер “Код Безопасности CSP” версия 4.0, который установится автоматически.
Исправление ошибок установки
При нарушении порядка установки выполните действия в следующем порядке:
1. Удалите все программные продукты, входящие в вариант установки.
2. После каждого удаления программного продукта выполните перезагрузку, если она требуется.
3. Установите программные продукты заново в соответствии с описанными вариантами установки.
=======
Для подписания в Электронном бюджете в Mozilla Firefox с помощью Jinn-client 1.0.3050.0, рекомендуется использовать версию от 52.9.0esr и выше, необходимо установленное в браузере расширение Jinn Sign Extension, а также установленный в Windows Jinn Sign Extension Provider версии 1.0.0.5. Во избежание появления в firefox ошибки при подписании:
Не удалось обработать
script
Document.GetElementByID(…).loadCertificates is not a function (TypeError)
необходимо в firefox выполнить следующее:
- В адресной строке firefox ввести about:config
- Установить параметры accessibility.delay_plugins = true; accessibility.delay_plugin_time = 90000
- В браузере включитьплагин Jinn-client (если версия firefox поддерживает плагин – например, как версия 52.9.0esr) и одновременно включить расширение Jinn-client.
Если такая ошибка появилась, то помимо указанных выше настроек необходимо при закрытом firefox удалить, а затем заново установить Jinn sign extension provider версии 1.0.0.5. (Перезагружать компьютер при этом необязательно, куки и кэш желательно удалить).
Так как для браузеров Mozilla Firefox и Google Chrome, в отличие от Internet Explorer 11, при подписании в Электронном бюджете используются ещё расширение Jinn-client и Jinn Sign Extension Provider, то при возникновении ошибок при подписании лучше всего после этого проверять подписание в настроенном для работы в Электронном бюджете Internet Explorer 11.
