Меню
ГлавнаяПодарочные сертификаты

Не найден корневой сертификат. База знаний по установке и настройке программного обеспечения автоматизированного рабочего места пользователя системы «Электронный бюджет


управления общественными финансами «Электронный бюджет»

База знаний

по установке и настройке программного обеспечения автоматизированного рабочего места пользователя системы «Электронный бюджет»


аннотация.. 3

1.... Список терминов и сокращений.. 4

2.... Перечень возможных проблем с подключением... 5

3.... Варианты решения.. 6

3.1. Ошибка «403 Доступ запрещен «Не найден актуальный список отозванных сертификатов». 6

3.2. Ошибка «403 Доступ запрещен «Не найден корневой сертификат». 7

3.3. «Ошибка аутентификации: Учётная запись пользователя не найдена в системе. Обратитесь к Регистратору органа Федерального казначейства». 8

3.4. Ошибка «403 Доступ запрещен «Не выбран корректный сертификат клиента. Формат выбранного ключевого контейнера не поддерживается». 8

3.5. Ошибка «503 Сервер назначения недоступен». 8

Лист регистрации изменений.. 10

аннотация

Настоящий документ содержит перечень возможных проблем и способов их устранения при установке и настройке программного обеспечения автоматизированного рабочего места пользователя системы «Электронный бюджет».

2. Список терминов и сокращений

В документе используются следующие термины и сокращения:

АРМ – автоматизированное рабочее место пользователя системы «Электронный бюджет»;

ПО – программное обеспечение;

Система «Электронный бюджет» – государственная интегрированная информационная система управления общественными финансами «Электронный бюджет».

3. Перечень возможных проблем с подключением

Перечень возможных проблем при установке и настройке ПО приведен в таблице (Таблица 1).

Таблица 1. Перечень возможных проблем при установке и настройке ПО.

№ п /п

Описание ошибки

Раздел

Ошибка «403 Доступ запрещен «Не найден актуальный список отозванных сертификатов»

Ошибка «403 Доступ запрещен «Не найден корневой сертификат»

«Ошибка аутентификации: Учётная запись пользователя не найдена в системе. Обратитесь к Регистратору органа Федерального казначейства»

Ошибка «403 Доступ запрещен «Не выбран корректный сертификат клиента. Формат выбранного ключевого контейнера не поддерживается»

Ошибка «503 Сервер назначения недоступен»

В окне выбора сертификата пользователя отсутствует требуемый сертификат

4. Варианты решения

4.1. Ошибка «403 Доступ запрещен «Не найден актуальный список отозванных сертификатов»

4.2. Ошибка «403 Доступ запрещен «Не найден корневой сертификат»


4.3. «Ошибка аутентификации: Учётная запись пользователя не найдена в системе. Обратитесь к Регистратору органа Федерального казначейства»


4.4. Ошибка «403 Доступ запрещен «Не выбран корректный сертификат клиента. Формат выбранного ключевого контейнера не поддерживается»


4.5. Ошибка «503 Сервер назначения недоступен»


4.6. В окне выбора сертификата пользователя отсутствует требуемый сертификат


Лист регистрации изменений

Номер версии документа

Дата изменения (дд. мм. гггг)

Не так давно, ко мне стали обращаться бюджетные организации, а именно администрации сельских советов с просьбой помочь им настроить систему Электронный бюджет. Это очередной проект нашего, дай_им_всем_здоровья, правительства, в составе услуг проекта Электронного правительства РФ. Бабушки и тетеньки в деревнях и сельских советах обладая старенькими компами, и очень медленным интернетом.

Они обязаны наравне со всеми, уметь устанавливать сие по инструкции и пользоваться. Иначе сроки. Кто-то ждет исполнения, вот работники сельских администраций и тянуться, к тем, кто может им в этом помочь. Штатного программиста, естественно у них нет. Ну да ладно все это лирика. Перейдем к делу. У людей на руках диск, видимо с дистрибутивами, и желание, чтобы у них заработал этот некий Электронный бюджет.

На диске в принципе все аккуратно разложено и не составило проблемы все это дело установить по инструкции. Инструкция кстати есть еще на самом сайте Росказны . Никаких проблем особых не составило следуя инструкции устанавливать набор программ, сертификатов и т.д. В итоге после последней перезагрузки и прописывании прокси в браузер (был выбран мозила). Попытка зайти на сайт http://lk.budget.gov.ru/ не увенчалась успехом. После выбора сертификата пользователя сайт стал ругаться: Не найден корневой сертификат. Хотя я лично его устанавливал, добавляя по инструкции в доверенные корневые сертификаты. Немного посидев и полистав инструкцию еще раз, обнаружил вот такой интересный момент, с которым я думаю могут столкнуться и другие люди.

А у меня упорно отображается в виде:

Как видим хранилища Локальный компьютер тут нет. Вот тут то и порылась собака. Ну ладно, видимо им там виднее, а мы пойдем в обход, добавив куда нужно. Для этого нажимаем Пуск и в строке Найти программы и службы набираем: certmgr.msc .

Открывается консоль управления Сертификатов системы. Идем в Доверенные корневые центры сертификации -> Локальный компьютер -> Правой кнопкой мышки по Сертификаты -> Все задачи -> Импорт .

Откроется Мастер импорта сертификатов. Жмем Далее -> Обзор -> и указываем путь к файлу корневого сертификата. Скачать его кстати, если вы вдруг не скачали по инструкции можно с сайта Росказны , выбрав квалифицированный.

Если же вы открыли certmgr.msc а у вас и там нет под ветки Локальный компьютер . Не расстраиваемся остался еще способ, нажимаем Пуск и в строке Найти программы и службы набираем: mmc. Если вы пользователь win 7 и выше, советую запустить mmc от имени администратора. Как это сделать я писал . В открывшейся консоли идем в меню Файл -> Добавить удалить оснастку . В списке доступные оснастки ищем Сертификаты . Последовательно добавляем оснастку для текущего пользователя и локального компьютера.



И вуаля, заходя на http://lk.budget.gov.ru/ удостоверяемся, что все работает. Ошибка с корневым сертификатом по крайней мере должна исчезнуть. Но вот то, что все заработает… я не могу обещать. Вообще советую заходить каждый раз через http://budget.gov.ru/ Потом Вход в верхнем правом углу, и на большую кнопку Вход в личный кабинет системы «Электронный бюджет». Ну и не пугаться на ошибки, и т.д. система в данный момент в тестовом режиме работает, и заходит в нее не с первого раза. Тыкаем мучаемся 🙂

SSL-сертификаты Web-сайтов и их применение

Часть 2. Установка SSL-сертификатов для клиента и сервера и ограничение доступа к Web-сайту на стороне сервера

Серия контента:

Наиболее распространённой областью применения SSL-сертификатов является защита HTTP-трафика, для чего сертификат устанавливается на Web-сервер и используется для шифрования трафика между сервером и клиентом. Корпоративная почта и системы групповой работы, системы хранения документов и всевозможные Web-приложения - все они нуждаются в защите HTTP-трафика.

Поэтому защита внутренних ресурсов обычно начинается с внедрения корпоративных SSL-сертификатов. В данной статье описывается процесс установки сертификата для сайта, активации сертификата в Web-браузере клиента и ограничения круга пользователей, которым разрешается посещать Web-сайт.

Установка серверного сертификата

Часто используемые сокращения.

  • SSL - уровень защищенных сокетов (secure socket layer);
  • CA - удостоверяющий центр (center of authority);
  • CSR - запрос на сертификацию (certificate signing request);
  • CRL - список отозванных сертификатов (certificate revocation list);
  • PKCS - криптографические стандарты с открытым ключом (public-key cryptography standards);
  • CN - общие данные (common name).

Для того, чтобы к Web-сайту можно было обращаться по протоколу HTTPS, на нем должен быть установлен собственный сертификат. "Собственный" означает, что имя сайта, используемое клиентами для обращения к сайту, совпадает с именем, указанным в поле CN сертификата. Однако, так как по требованиям протокола SSL комбинация "адрес:порт" должна быть уникальной, то установить несколько различных виртуальных серверов (с различными сертификатами) на один порт 443 не получится, и для каждого сервера потребуется выделить отдельный порт и указать его при описании данного сервера.

Процесс создания SSL-сертификата для сервера описывался в предыдущей части статьи. Поэтому предполагается, что серверный сертификат уже создан и подписан в корпоративном СА, а также имеются файлы myfile.key и myfile.crt, соответствующие ключу и сертификату сайта. Но до того, как клиенты Web-сайта смогут начать ими пользоваться, эти файлы потребуется подключить к Web-серверу (в рамках данной статьи используется Wеб-сервер Apache) через конфигурационный файл виртуального сервера (или корневого сайта) как показано в листинге 1:

Листинг 1. Подключение SSL-сертификатов
SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite HIGH:MEDIUM:EXP:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM:+EXP SSLCertificateFile "/etc/ssl/certs/myfile.crt" SSLCertificateKeyFile "/etc/ssl/certs/myfile.key"

В листинге 1 приведены только параметры (директивы конфигурации Apache), относящиеся к SSL-сертификатам, поэтому для полноценной конфигурации потребуется указать и другие параметры. Указанные директивы записываются в блоке (для виртуального сервера) или в конфигурационном файле корневого сервера (для стандартного Web-сервера).

В данном примере выполняется включение SSL (1-ая строка), на 2-ой строке происходит отключение слабой и небезопасной версии 2.0 протокола SSL. Затем на 3-ей строке устанавливаются параметры защищенного соединения, которые могут использоваться (какой набор параметров будет выбран, зависит еще и от подключающегося клиента). На строках 4 и 5 указываются SSLCertificateFile и SSLCertificateKeyFile – пути к файлу c SSL-сертификатом и к файлу с ключом сертификата.

Для нормальной работы SSL необходимо, чтобы имя сервера, прописанное в директиве ServerName , совпадало с именем, указанным для поля CN в процессе создания сертификата. Если это правило не выполняется, то при обращении к сайту Web-браузер будет постоянно отображать страницу с предупреждением.

Важное примечание : проверяется именно директива ServerName , а не директива ServerAlias . Если для сервера необходимо указать несколько имен, то их можно прописать в директиве ServerAlias .

Установка сертификата в Web-браузер пользователя

Тем не менее при первой попытке войти на сайт, где установлен SSL-сертификат, подписанный корпоративным СА, все равно возникнет ошибка, так как Web-браузер будет утверждать, что возникла критическая ситуация и это поддельный сертификат. В Web-браузере Google Chrome будет отображена страница красного цвета во весь экран, а в Mozilla Firefox – желтого, при этом обе страницы будут предупреждать пользователя, что произошел критический сбой в системе безопасности, как показано на рисунках 1 и 2.





Web-браузеры выводят сообщения, изображенные на рисунках, так как не могут проверить, какая организация подписала данный сертификат. Как уже упоминалось в прошлой части, система CA – иерархическая, и сертификаты корневых СА распространяются вместе с Web-браузерами. В Google Chrome используется хранилище сертификатов Windows, и его список корневых сертификатов может измениться после установки пакета с обновлениями от Microsoft, а в Mozilla Firefox используется собственное хранилище сертификатов.

Поскольку данный сертификат подписан внутри самой организации, то её корневой сертификат у Web-браузера, конечно, отсутствует, и он считает, что произошла ошибка. Чтобы исправить эту ошибку, достаточно просто распространить на все компьютеры в локальной сети сертификат корпоративного СА (файл caserv.crt) ещё до того момента, как пользователи начнут обращаться к корпоративным Web-ресурсам по протоколу HTTPS. Этот сертификат потребуется установить в системное хранилище Windows и в хранилище Firefox (а если используется еще и Web-браузер Opera, то и в его собственное хранилище).

Процесс установки сертификата не представляет особой сложности, однако система несколько раз уточнит: действительно ли можно доверять этому издателю сертификатов. Также необходимо обратить внимание, куда именно будет установлен сертификат: он должен быть установлен в "Доверенные Корневые Центры Сертификации", а не в какую-либо другую группу.

Преобразование SSL-сертификата из одного формата в другой

Установка корневого сертификата на мобильное устройство (например, смартфон Nokia N95 8G) требует значительно больше усилий, так как смартфон не понимает текстовых сертификатов (формат PEM). Поэтому в данном разделе рассматривается процесс перекодирования сертификата из одного формата в другой.

Существуют два стандартных формата для хранения сертификатов - PEM (текстовый) и DER (двоичный). С точки зрения содержания они не отличаются друг от друга, но текстовый формат разработан так, чтобы его можно было просматривать в текстовых редакторах и без проблем пересылать по почте. Отличие между форматами состоит в степени их поддержки различными устройствами, так как формат PEM поддерживается далеко не всеми устройствами. Поэтому для установки корневого сертификата СА на устройство, которое не поддерживает формат PEM, его потребуется предварительно перекодировать.

Перекодирование сертификата из формата PEM в формат DER выполняется следующей командой:

# openssl x509 -in caserv.crt -out caserv.cer -inform PEM -outform DER

Расширение файла (.cer ) – это стандартное расширение для сертификатов формата DER. Этот формат поддерживается большим числом оборудований, в частности, упомянутым выше смартфоном Nokia N95 8G. Обратное преобразование из формата DER в формат PEM выполняется сходным образом:

# openssl x509 -in caserv.cer -out caserv.crt -inform DER -outform PEM

Для обратного преобразования в команде достаточно просто поменять порядок аргументов, но полученный таким образом PEM-файл не будет содержать текстовой части (содержимое сертификата, пригодное для просмотра человеком), поэтому для создания сертификата с заполненной текстовой частью используется другая команда:

# openssl x509 -in caserv.crt -out caserv.pem -text

Если же, наоборот, необходимо удалить из сертификата текстовую часть, то используется следующая команда:

# openssl x509 -in caserv.pem -out caserv.crt

Сертификат корпоративного СА, перекодированный в формат DER, переносится на смартфон и устанавливается способом, специфичным для конкретного мобильного устройства.

Установка SSL-соединения с Web-сайтом

После того, как сертификат корпоративного СА установлен в качестве корневого, Web-браузеры распознают сертификаты, подписанные им, и больше не выводят страниц с предупреждениями, а сразу устанавливают соединение с запрошенным ресурсом, как показано ниже.

При выполнении подключения к Web-сайту с установленным SSL-сертификатом дополнительно могут проверяться следующие параметры: дата начала и окончания срока действия сертификата. Если дата начала срока действия еще не наступила или наоборот, дата окончания срока действия уже прошла, то сертификат, независимо от наличия установленного корневого сертификата CA, будет объявлен ошибочным.

Также может быть проверено, не отозван ли данный сертификат. Как было упомянуто в предыдущей статье, система должна иметь возможность блокировки сертификатов, которые были выданы людям, на данный момент покинувшим организацию. Поэтому в сертификат можно добавить параметры, которые будут распознаваться Web-браузерами. На основании полученной информации Web-браузер сможет загрузить с указанного адреса CRL и проверить, не входит ли сертификат, используемый для подключения, в список отозванных. Если этот сертификат присутствует в списке отозванных, то соединение будет заблокировано.

Важное примечание : ссылка на CRL должна указываться и в параметре CRLDistributionPoint (как определено в новой версии стандарта), так и в параметре nsCaRevocationList - именно этот параметр считывается многими Web-браузерами, и при его отсутствии возникают сообщения об отсутствующем списке CRL и т.д.

Ограничение возможности подключения для нежелательных клиентов

Посторонние пользователи не должны иметь доступ к корпоративной Intranet-сети - это совершенно очевидно. Поэтому, чтобы иметь возможность управлять клиентскими подключениями с помощью серверного SSL-сертификата, в конфигурационный файл виртуального сервера необходимо добавить строки, приведенные в листинге 2.

Листинг 2. Добавление ограничений на подключение клиентов
SSLCertificateChainFile "/etc/ssl/rootca/caserv.crt" SSLCACertificateFile "/etc/ssl/rootca/caserv.crt" SSLCARevocationFile "/etc/ssl/rootca/cacrl.crl" SSLVerifyClient require

Параметры SSLCertificateChainFile и SSLCACertificateFile задают сертификат корпоративного СА, параметр SSLCARevocationFile определяет путь к CRL, а параметр SSLVerifyClient активирует проверку клиентского сертификата. В этом примере вводится самое простое ограничение: к сайту смогут подключиться только те пользователи, у которых на компьютерах установлен клиентский сертификат, подписанный корпоративным СА. При этом никаких дополнительных проверок выполняться не будет, если на клиентском компьютере, осуществляющем подключение к серверу, отсутствует клиентский сертификат, то в установке подключения будет отказано, как показано ниже.

Если простого условия о наличии SSL-сертификата, подписанного корпоративным СА недостаточно, то на основе параметра SSLRequire можно реализовать более сложные проверки, которые будут учитывать различные параметры сертификата.

Существует еще одна проблема, связанная с задачей организовать доступ к Web-ресурсу с контролем доступа по сертификатам, когда этот Web-сайт не обладает подобной функциональностью. Простым перенаправлением HTTP-запросов на страницу авторизации эту проблему не решить, так как клиент сможет заходить на Web-ресурс напрямую по его внутренним ссылкам, минуя страницу авторизации.

В данном случае может пригодиться такой прием, как «обратное проксирование», при котором, как и в случае обычного проксирования, есть некоторая программа, работающая на сервере и получающая запросы с одной стороны, а затем транслирующая их на другую. При этом достаточно установить защищенное соединение только с самим прокси-сервером, соединение между прокси-сервером и защищенным Web-сайтом может выполняться и без шифрования.

Заключение

C точки зрения организации безопасной ИТ-среды Web-ресурсы любой компании в первую очередь нуждаются в защите HTTP-трафика, причем, как правило, необходимо не только сгенерировать ключи для всех используемых серверов, но и организовать их разделение по портам, так как из-за требований протокола HTTPS на одном физическом сервере на одном и том же порту нельзя разместить несколько виртуальных Web-серверов с поддержкой HTTPS.

Дополнительно следует продумать вопрос, необходимо ли ограничить круг пользователей, которые будут иметь доступ к указанным Web-ресурсам. Если такая необходимость возникнет, то для всех пользователей потребуется сгенерировать клиентские SSL-сертификаты, обеспечить регулярное обновление CRL для отзыва аннулированных сертификатов и активировать поддержку CRL на Web-сайте, доступ к которому должен быть ограничен.

Распространенные ошибки при подключении к ГИИС

«Электронный бюджет »

При возникновении проблем с подключением к ГИИС «Электронный бюджет» необходимо проверить настройки:

1. вход в личный кабинет осуществляется по ссылкеhttp:// lk . budget . gov . ru / udu - webcenter ;

2. проверить настройки«Континент TLSVPNКлиент».

Открыть конфигуратор настроек (Пуск >Все программы > Код Безопасности >Client> Настройка Континент TLSклиента), «Порт»должно быть указано значение 8080 , «Адрес»-lk. Отметки «Использовать внешний прокси-сервер» не должно быть, если организация не использует внешний прокси, «Требовать поддержку RFC 5746» можно убрать.

После добавления сертификата Континента TLSв поле «Сертификат»должно быть указано «<»;

Рисунок 1. Настройка сервиса

3. проверить настройки обозревателя.

На примере браузера MozillaFireFox, запустить обозреватель, открыть параметры соединения (Главное менюбраузера «Инструменты»>«Настройки»> вкладка «Дополнительные»> вкладка «Сеть»> кнопка «Настроить»).Выбрать «Ручная настройка сервиса прокси», в поле «HTTP прокси»указать значение 127.0.0.1, «Порт»- 8080. Поставить отметку «Использовать этот прокси-сервер для всех протоколов».

Вполе«Не использовать прокси для» не должно быть указано значение 127.0.0.1.


Рисунок 2. Параметры соединения

Типичные ошибки при подключении к ГИИС

«Электронный бюджет »

Варианты решения: 1) Отключить антивирус. В случае решения проблемы – изменить параметры антивируса 2) Проверить настройки TLS и обозревателя.

2. 403 Доступ запрещен. Сертификат сервера отличается от заданного в настройках. Отличается длина сертификатов.

Решение: Проверить указанный в настройках TLS сертификат по наименованию в строке. Должно быть «<».

3. Не выдает окно выбора сертификата.

Решение: Убрать галочку «Требовать поддержку RFC 5746» если стоит. В противном случае проверить остальные настройки.

4. 403 Доступ запрещен. Не найден корневой сертификат.

Решение: Повторная установка сертификата УЦ Федерального казначейства (если был уже установлен).

Для WindowsXP:

Пуск >Выполнить>mmc>консоль>добавить или удалить оснастку>добавить «сертификаты»(Рис. 3) >моей учетной записи>Готово >ОК>развернуть список >открыть строку «доверенные корневые центры» - «сертификаты»>на пустом месте окна с сертификатами нажать правую кнопку мыши и выбрать (Рис. 4)>все задачи >импорт>


Рисунок 3


Рисунок 4

Для Windows 7:

Пуск >Выполнить>mmc>файл>добавить или удалить оснастку>добавить оснастку «сертификаты» (Рис. 5)>добавить>моей учетной записи>Готово>ОК>развернуть содержимое и встать на строку «доверенные корневые центры»- «сертификаты» (Рис. 6)>на пустом месте окна с сертификатами нажать правую кнопку мыши и выбрать>все задачи >импорт>выбрать нужный сертификат и установить.


Рисунок 5


Технический аспект подключения к компонентам
государственной интегрированной информационной
системы управления общественными финансами
«Электронный бюджет»
Гаврик Константин Юрьевич
Отдел режима секретности
и безопасности информации

ДОКУМЕНТЫ
1. Руководство по установке и настройке программного
обеспечения
автоматизированного
рабочего
места
пользователя системы «Электронный бюджет».
Руководство по установке доступно по адресу в Интернет:
http://www.roskazna.ru, раздел «Электронный бюджет» «Подключение к системе».

Для обеспечения работы в ГИИС «Электронный бюджет» нужно выполнить следующие шаги:

1. Скачать и установить корневой сертификат УЦ Федерального
казначейства.
2. Скачать сертификат сервера TLS. Этот сертификат устанавливается на
шаге 3.
3. Установить Средство создания защищенного TLS-соединения
«КонтинентTLS Клиент».
4. Установить Средство электронной подписи «Jinn-Client».
5. Установить Модуль для работы с электронной подписью «Cubesign».
6. Установить личный сертификат пользователя в хранилище «Личное» (при
необходимости).
7. Произвести вход в личный кабинет системы «Электронный бюджет».

Шаг 1.1. Установка корневого сертификата УЦ Федерального казначейства.

1.В веб-обозревателе перейти по
адресу в сети Интернет*.
2.На предложение сохранить
файл сертификата «Корневой
сертификат
(квалифицированный).cer»
выбрать локальную директорию
на АРМ пользователя, в которую
будет сохранен файл. Сохранить
файл сертификата.
3.Через контекстное меню файла
(нажать правой кнопкой мыши по
файлу) корневого сертификата
УЦ Федерального казначейства
выбрать пункт меню
«Установить».
4.На экране отобразится мастер
импорта сертификатов: Нажать
кнопку «Далее>».

* www.roskazna.ru Войти в раздел «Удостоверяющий центр > Корневые
сертификаты». Активировать ссылку «Корневой сертификат
(квалифицированный)».

Шаг 1.2. Установка корневого сертификата УЦ Федерального казначейства.

4. В окне «Хранилище
сертификата» выбрать
размещение сертификата

сертификаты в следующее
хранилище».
5. Нажать кнопку «Обзор…».

Шаг 1.3. Установка корневого сертификата УЦ Федерального казначейства.

6. Отметить поле «Показывать
физические хранилища».
7. В окне выбора хранилища
сертификатов раскрыть
контейнер «Доверенные
корневые центры
сертификации».
8. В контейнере «Доверенные
корневые центры сертификации»
выбрать вложенный контейнер
«Локальный компьютер».
9. Нажать кнопку «Ок».
Рисунок. Выбор хранилища сертификата. Локальный
компьютер.

Шаг 1.4. Установка корневого сертификата УЦ Федерального казначейства.

10. Нажать кнопку «Далее>».

Шаг 1.5. Установка корневого сертификата УЦ Федерального казначейства.

11. Нажать кнопку «Готово».
12. В случае успешного импорта

«Импорт успешно выполнен».
13. Нажать кнопку «ОК».

Рисунок. Успешный импорт сертификата.

Шаг 2. Загрузка сертификата сервера TLS.

1. Открыть в веб-обозревателе официальный сайт Федерального казначейства, перейдя по
адресу в сети Интернет: www.roskazna.ru
2. Перейти в раздел «Электронный бюджет > Подключение к системе».
3. Активировать ссылку «Ссылка для скачивания сертификата сервера
“Континент TLS VPN”».
4. На предложение сохранить файл сертификата «Федеральное казначейство__.cer» выбрать
локальную директорию в АРМ пользователя, в которую необходимо сохранить файл.
5. Сохранить файл сертификата сервера TLS.

10. Шаг 3.1. Установка средства создания защищенного TLS-соединения «Континент TLS клиент».

1.Активируйте ссылку «Континент
TLS Клиент» в едином меню
установщика ПО «Континент TLS
Клиент» На экране отобразится
стартовое окно мастера
установки компонента.
2.Нажать кнопку «Далее». На
экране появится окно
лицензионного соглашения.
Рисунок. Стартовое окно мастера установки ПО
«Континент TLS Клиент».

11. Шаг 3.2. Установка средства создания защищенного TLS-соединения «Континент TLS клиент».

3. Поставьте отметку в поле «Я
принимаю условия
лицензионного соглашения» и
нажмите кнопку «Далее». На
экране появится окно ввода
лицензионного ключа.
Рисунок. Окно лицензионного соглашения ПО «Континент
TLS Клиент».

12. Шаг 3.3. Установка средства создания защищенного TLS-соединения «Континент TLS клиент».

4. Введите лицензионный ключ и
нажмите кнопку «Далее». На
экране появится диалог выбора
пути установки ПО «Континент
TLS Клиент».
Рисунок. Окно ввода лицензионного ключа ПО
«Континент TLS Клиент».

13. Шаг 3.4. Установка средства создания защищенного TLS-соединения «Континент TLS клиент».

5. Оставьте путь установки по
умолчанию. Нажмите кнопку
«Далее». На экране появится
диалог «Запуск конфигуратора».
Рисунок. Окно выбора пути установки ПО «Континент TLS
Клиент».

14. Шаг 3.5. Установка средства создания защищенного TLS-соединения «Континент TLS клиент».

6. Установите отметку в поле
«Запустить конфигуратор после
завершения установки».
7. Нажмите кнопку «Далее». На
экране появится окно с
сообщением о готовности к
установке.
Рисунок. Окно запуска конфигуратора ПО «Континент TLS
Клиент».

15. Шаг 3.6. Установка средства создания защищенного TLS-соединения «Континент TLS клиент».

8. Нажмите кнопку «Установить».
Начнется установка компонента.
Рисунок. Окно готовности к установке ПО «Континент TLS
Клиент».

16. Шаг 3.7. Установка средства создания защищенного TLS-соединения «Континент TLS клиент».

9. На экране отобразится диалог
настройки ПО «Континент TLS
Клиент».
10. В разделе «Настройки Континент
TLS Клиента» значение «Порт»
оставить по умолчанию, равное
8080.
11. В разделе «Настройки
защищаемого сервера» в поле
«Адрес» задать имя сервера TLS:
lk.budget.gov.ru.
12. В разделе «Настройки
защищаемого сервера» в поле
«Сертификат» указать файл
сертификата сервера TLS,
скопированный в локальную
директорию на шаге 2.
13. Если в АРМ пользователя не
используется внешний проксисервер, нажать кнопку «ОК».
14. В противном случае, указать
адрес и порт используемого
внешнего прокси-сервера
организации.
Рисунок. Настройка ПО «Континент TLS Клиент».

17. Шаг 3.9. Установка средства создания защищенного TLS-соединения «Континент TLS клиент».

11. Нажать кнопку «Готово».
12. На экране отобразится диалог о

пользователя.
13. Нажать кнопку «Нет».
Рисунок. Диалог завершения установки ПО
«Континент TLS Клиент».

18. Шаг 4.1. Установка средства электронной подписи «Jinn-Client».

1. В меню единого установщика ПО
«Jinn-Client» активировать ссылку
«Jinn-Client». На экране отобразится
диалог приветствия установщика ПО
«Jinn-Client».
Рисунок. Меню единого установщика ПО «Jinn-Client»

19. Шаг 4.2. Установка средства электронной подписи «Jinn-Client».

2. Для продолжения установки
нажмите кнопку «Далее».
3. В появившемся диалоге
лицензионного соглашения отметить
пункт «Я принимаю условия
лицензионного соглашения» и
нажать кнопку «Далее».
4. На экране отобразится диалог
ввода лицензионного ключа.
5. Введите лицензионный ключ и
нажмите кнопку «Далее».
Рисунок. Окно приветствия установщика Jinn-Client

20. Шаг 4.3. Установка средства электронной подписи «Jinn-Client».

6. Оставьте путь установки по
умолчанию либо измените на
требуемый. Нажмите кнопку
«Далее».
Рисунок. Окно выбора пути установки Jinn-Client

21. Шаг 4.4. Установка средства электронной подписи «Jinn-Client».

7. В диалоге настройки параметров
Jinn-Client ничего не изменяя
нажмите кнопку «Далее».
Рисунок. Окно настройки параметров Jinn-Client

22. Шаг 4.5. Установка средства электронной подписи «Jinn-Client».

8. Нажмите кнопку «Установить». По
завершению установки на экран
будет выведен диалог об успешном
завершении.
9. Нажмите кнопку «Готово».
10. На экране отобразится диалог о
необходимости перезагрузки АРМ
пользователя. Нажать кнопку «Нет».
Рисунок. Сообщение о готовности к установке JinnClient

23. Шаг 5.1. Установка модуля для работы с электронной подписью «Cubesign».

1. В составе дистрибутива ПО «JinnClient» осуществить запуск
исполняемого файла «Cubesign».
2. На экране отобразится диалог
приветствия установщика модуля.
Нажать кнопку «Далее».
3. На экране отобразится окно
лицензионного соглашения.
4. Принять условия лицензионного
соглашения поставив галочку в
соответствующем поле и нажмите
«Далее».
5. На экране отобразится диалог
расположения файлов установки
модуля. Установить компонент
средства подписи в папку
предложенную по умолчанию и
нажмите «Далее».
7. Подтвердить начало установки,
нажав кнопку «Установить».
8. Дождитесь окончания процесса
установки, нажмите «Готово».
Перезагрузите АРМ.
Рисунок. Диалог приветствия установщика модуля

24. Шаг 5.2. Установка модуля для работы с электронной подписью «Cubesign» (при необходимости).

9. В случае появления диалога о
блокировке активного
содержимого личного кабинета,
в правом верхнем углу нажать
кнопку «Разрешить…».
10. Во всплывающем диалоге
нажать кнопку «Разрешить и
запомнить».
11. В верхней части окна в
предупреждающем сообщении о
незагруженном элементе
управления активировать
предлагаемую ссылку.
12. В диалоге сохранения файла
нажать кнопку «Сохранить
файл».
13. Выполнить запуск
сохраненного файла
«cubesign.msi».
14. Выполнить перезапуск вебобозревателя
Рисунок. Действия для установки «Cubesign» в webобозревателях

25. Шаг 6.1. Установка личного сертификата пользователя в хранилище «Личное» (при необходимости).

1. Через контекстное меню файла
сертификата пользователя выбрать
пункт меню «Установить
сертификат».
2. На экране отобразится мастер
импорта сертификатов.
3. Нажать кнопку «Далее>».
Рисунок. Мастер импорта сертификатов.

26. Шаг 6.2. Установка личного сертификата пользователя в хранилище «Личное» (при необходимости).

4. В окне «Хранилище сертификата»
выбрать размещение сертификата
вручную, указав поле «Поместить
сертификаты в следующее
хранилище».
5. Нажать кнопку «Обзор…».
Рисунок. Выбор хранилища сертификата.

27. Шаг 6.3. Установка личного сертификата пользователя в хранилище «Личное» (при необходимости).

6. В окне выбора хранилища
сертификатов выбрать контейнер
«Личное».
7. Нажать кнопку «ОК».
Рисунок. Выбор хранилища сертификата. Личное.

28. Шаг 6.4. Установка личного сертификата пользователя в хранилище «Личное» (при необходимости).

8. Нажать кнопку «Далее>».
Рисунок. Выбор хранилища сертификата. Установка.

29. Шаг 6.5. Установка личного сертификата пользователя в хранилище «Личное» (при необходимости).

9. Нажать кнопку «Готово».
10. В случае успешного импорта
сертификата отобразится диалог
«Импорт успешно выполнен».
11. Нажать кнопку «ОК».
Рисунок. Завершение установки.

30. Шаг 7.1. Произвести вход в личный кабинет системы «Электронный бюджет».

1. Вставить ключевой
носитель в USB разъем.
2. В веб-обозревателе
перейти по адресу:
http://lk.budget.gov.ru/uduwebcenter
3. На экране отобразится
диалог выбора сертификата.
4. Выбрать хранилище
сертификата (Сертификаты
Windows) и в нем сертификат,
который необходимо
использовать для входа в
личный кабинет.
5. Указать пароль доступа к
ключевому носителю и нажать
кнопку «ОК».
6. В случае успешного входа,
на экране отобразится
главная страница личного
кабинета пользователя
системы «Электронный
бюджет».
Рисунок. Выбор сертификата пользователя