vipnet pki client код активации
Как установить и зарегистрировать бесплатный криптопровайдер ViPNet CSP 4.2
Вы спрашиваете: Как установить и зарегистрировать бесплатный криптопровайдер ViPNet CSP 4.2?
КриптоПро является платным СКЗИ, ViPNet CSP – бесплатным. Мы поговорим об установке второго. Его последняя версия (4.2) также предоставляет пользователям возможность использовать созданные в нём ключи подписи для входа на интернет-порталы контролирующих органов. Эта возможность есть также и у КриптоПро.
Помимо этого, данный криптопровайдер поддерживается и персональными электронными ключами и смарт-картами JaCarta (эта возможность необходима тем, кто работает с ЕГАИС ).
Устанавливаем ViPNet CSP 4.2 пошагово:
1. Согласно разрядности операционной системы, установленной на Вашем компьютере, скачиваем дистрибутив с официального сайта Infotecs. (Разрядность для Windows можно найти по пути: Пуск – щелчок правой клавишей мыши по слову (Мой) Компьютер – Свойства)
2. Знакомимся с лицензионным соглашением, и соглашаемся с ним.
3. На этой же страничке ниже заполняем необходимую информацию (на электронный адрес, который Вы укажете, придет письмо с регистрационным кодом и ссылкой на загрузку файла).
4. Отправляем заявку, и ожидаем письма.
6. Нажав на ссылку, сохраняем файл.
7. Открыв загрузившийся файл, запускаем его.
8. Снова подписываем лицензионное соглашение.
9. Предварительно закрыв все остальные файлы на компьютере, ставим галочку «перезагрузить компьютер после завершения установки» (это важно, иначе программа не будет корректно работать), и нажимаем «Установить сейчас».
10. Видим сообщение, что VipNet успешно установлен.
11. После перезагрузки компьютера запускаем появившийся на рабочем столе значок VipNet CSP, и регистрируем программу.
12. Выбираем второй пункт – «Запрос на регистрацию».
13. Через Интернет (online).
14. Снова указываем данные: ФИО, адрес электронной почты и пришедший в письме код регистрации (серийный номер).
15. Поздравляем! Регистрация криптопровайдера успешно завершена! Теперь Вы можете отправить заявление на подключение к сервису «1С-Отчетность» или подключиться к ЕГАИС.
Вопросы и ответы: ViPNet PKI Client
Вопросы и ответы: ViPNet PKI Client
Не происходит сохранение ключей на Рутокен при выполнении процедуры плановой смены ключей администраторов ПАК ViPNet PKI Service
Причина: для взаимодействия с ПАК ViPNet PKI Service используется браузер Mozilla Firefox либо Microsoft Edge.
ViPNet PKI Client является одним из двух альтернативных СКЗИ, которые могут использоваться на терминале администрирования.
Применение PKI Client не влечет за собой расширение перечня браузеров, в которых гарантируется корректная работа веб-интерфейса HSM/PKI Service. Следует использовать браузер Microsoft Internet Explorer.
После установки «Континент-АП 3.7.7.651» пропадает TLS-соединение с ViPNet TLS шлюзом и возможность аутентификации пользователя (ViPNet PKI клиент перестает предлагать выбор сертификата пользователя для соединения, окно выбора не выходит).
Причина: конфликт со сторонним криптопровайдером.
В состав ПО ViPNet PKI Client входит обязательный для функционирования ПО компонент криптопровайдер ViPNet CSP, имеющий ряд ограничений по совместному использованию с КриптоПро CSP. В частности для выполнения криптографических операций в поддерживаемых приложениях, где требуется использовать криптопровайдер ViPNet CSP в программе ViPNet CSP в разделе «Дополнительно» должен быть активирован чек-бокс «Поддержка работы ViPNet CSP через Microsoft CryptoAPI», а также не должен быть установлен компонент ПО КриптоПро CSP «Совместимость с продуктами Microsoft». В состав СКЗИ «Континент-АП» (согласно информации, размещенной на официальном сайте производителя данного продукта) входит ПО «Код Безопасности CSP». Совместимость ПО ViPNet CSP и ПО «Код Безопасности CSP» не заявлена.
Сертификат не отображается в списке выбора, на вкладке «Сертификаты» статус отзыва сертификата не проверен. Сертификат проходит проверку на Госуслугах, он действителен
Причина: установка сертификатов и САС производилась бессистемно. Частично через оснастку ОС, частично из интерфейса ViPNet PKI Client.
Удаление сертификатов и САС через оснастку ОС и последующая установка полного комплекта из интерфейса ViPNet PKI Client.
В меню «Подпись» и «Шифрование» нет возможности выбрать нужный сертификат. Что нужно сделать, чтобы появилась возможность выбрать соответствующие сертификаты в указанных пунктах меню
Причина: в основе ViPNet PKI Client лежит криптопровайдер ViPNet CSP. Для корректной работы контейнеры должны быть сформированы средствами CSP. С контейнерами, созданными криптопровайдером КриптоПРО, ViPNetCSP работать не сможет, так как форматы контейнеров не совместимы.
Устанавливать сертификаты и САС следует не с помощью оснастки ОС, а из интерфейса ViPNet PKI Client. Сертификат в контейнер, созданный средствами стороннего криптопровайдера, при этом установить невозможно. Контейнер должен быть создан криптопровайдером ViPNet CSP.
Личный сертификат пользователя и сертификаты получателей установлены в системное хранилище. Цепочки сертификации верны
При запуске PKI Client не запускается служба регистрации событий, соответственно нет возможности подписать документ
Причина: учетная запись пользователя ОС не обладает правами администратора.
Для того чтобы ViPNet PKI Client функционировал, указанная служба в обязательном порядке должна быть запущена.
Следовательно, учетная запись пользователя ОС должна обладать соответствующими правами для запуска этой службы.
ViPNet PKI Client
ViPNet PKI Client — универсальный программный комплекс, разработанный компанией ИнфоТеКС. Предназначен для решения основных задач пользователя при работе с сервисами, использующими:
В состав ViPNet PKI Client входят следующие компоненты:
Сценарии использования
Преимущества
Управление сертификатами ключей проверки ЭП:
ИнфоТеКС оставляет за собой право без уведомления вносить изменения в поставляемую продукцию (характеристики, внешний вид, комплектность), не ухудшающие ее потребительских свойств.
Поддерживаются различные форматы ЭП: PKCS#7 (CMS), XMLDSig, CAdES-BES.
Предоставляется комплект для разработчиков веб-сервисов, обеспечивающий возможность вызова механизмов криптографической защиты информации ViPNet PKI Client.
Вопросы и ответы: ViPNet PKI Service
Вопросы и ответы: ViPNet PKI Service
Не происходит сохранение ключей на Рутокен при выполнении процедуры плановой смены ключей администраторов ПАК
Причина: для взаимодействия с ПАК используются PKI Client 1.3.1.1859 и браузер Mozilla Firefox либо Microsoft Edge.
Решение: ViPNet PKI Client является одним из двух альтернативных СКЗИ, которые могут использоваться на терминале администрирования. Применение PKI Client не влечет за собой расширение перечня браузеров, в которых гарантируется корректная работа веб-интерфейса HSM/PKI Service. Следует использовать браузер Microsoft Internet Explorer.
Версия: PKIS 1.0.3.885.
Есть ли возможность импорта ключей и сертификатов из хранилища КриптоПро JCP в PKI Service или все ключи должны непосредственно создаваться на PKIS через запрос на сертификат
Решение: интересующий сценарий не реализуем. Все ключи должны непосредственно создаваться на PKIS через запрос на сертификат.
При проведении мероприятий по вводу в эксплуатацию ViPNet PKI Service дошли до шага «Введите лицензию в действие» (стр. 39 Руководства администратора). При подключении к серверу подписи через веб-интерфейс администратором прикладного сервиса загружается зеленая страница, затем появляется окно: «Сообщение с веб-страницы: PKI Service не запущен»
Причина: на основе анализа логов установлено, что возникла проблема с доступом к виртуальному токену.
Решение: ВНИМАНИЕ! В результате выполнения предложенного ниже сценария ключи прикладного сервиса будут удалены, что приведет к невозможности расшифровать ключи пользователей PKI Service, если они есть.
1. Перевести HSM в сервисный режим работы.
2. Аутентифицироваться в HSM через веб-интерфейс от имени администратора безопасности (АБ) по порту 8443.
3. В разделе «Токены» выбрать токен. Выключить токен. Удалить токен.
4. После данных действий в HSM не должно быть создано ни одного виртуального токена.
5. Перезагрузить сервер.
6. После загрузки сервера аутентифицироваться в HSM через веб-интерфейс от имени АБ по порту 8443.
7. Создать новый виртуальный токен и связать его с существующим АПС.
8. Будет создан новый виртуальный токен с ID 101. Токен ассоциирован с АПС.
10. Перевести HSM в штатный режим работы.
11. Через 2–5 минут попытаться выполнить аутентификацию в PKI Service от имени администратора прикладного сервиса (АПС) через веб-интерфейс по порту 9443.
Для создания новых ключей администраторов инициализации можно использовать токен Rutoken S
Решение: эксплуатационной документацией ПАК ViPNet PKI Service не предусматривается возможность использования каких-либо токенов, отличных от Rutoken Lite.
Выписываем запрос на сертификат, в назначении ключа автоматом проставляется «Согласование ключей». Для работы с ЕБС необходимы следующие назначения: цифровая подпись, неотрекаемость, шифрование ключей, шифрование данных. Как убрать лишнее назначение
Причина: веб-интерфейс PKI Service для роли пользователя предназначен для тестовых и демонстрационных целей, возможность корректировать назначение ключа в веб-интерфейсе отсутствует.
Решение: при отправке REST-запроса POST/requests нужно указать явно параметр (через запятую без пробелов)
В процессе настройки ПАК столкнулся с невозможностью назначить сервис PKI сетевому интерфейсу. Сценарий следующий: для управления ПАК (по портам 8080 и 8443) назначается один интерфейс, для прикладного сервиса – другой. Каким образом это реализовать
Решение: штатно такой сценарий не предусмотрен и реализовать его в полной мере средствами только самого ПАК не удастся. На ПАК можно поднять дополнительный интерфейс (при этом критически важно не задавать для такого интерфейса шлюз — шлюз задается только для интерфейса ТА). Но при этом трафик на порты прикладного сервиса все равно будет ходить по интерфейсу, заданному в качестве интерфейса ТА. Если не ограничить трафик с помощью внешнего оборудования.
При попытке обновления ДСДР появляется сообщение «Неизвестная ошибка»
Причина: за диск с материалом ДСДР принят идущий в комплекте поставки диск с документацией и ПО. В документации в явном виде не отражен внешний вид и порядок получения ДСДР-диска.
Решение: получить ДСДР-диск у регулятора.
Не удается загрузить сертификат издателя
Причина: публичный ключ сертификата имеет следующий набор параметров:
Издание таких сертификатов преждевременно, поскольку большинство действующих сертифицированных средств ЭП на данный момент этот идентификатор не поддерживает.
Решение: переиздать сертификат с параметрами:
При проверке подписи с помощью PKI Service часть подписей определяется как невалидная со статусами: «Cтатус сертификата недействителен», «Статус подписи: ошибка». При проверке этих же подписей на сайте Госуслуги (https://www.gosuslugi.ru/pgu/eds) они считаются валидными
Причина: не загружена цепочка сертификации и САС.
Решение: загрузить цепочку сертификатов издателей и САС.
Были установлены два ПАК ViPNet PKI Service в конфигурации холодного резерва. Основной ПАК ViPNet PKI Service по невыясненной причине перешел в стартовый режим, было решено восстановить второй ПАК из резервной копии. При восстановлении не удалось авторизоваться АПС и развернуть РК PKIS
Причина: на основе анализа логов сделан вывод, что РК PKIS была сделана до того, как был создан пользователь PKIS и загружен его сертификат.
Решение: сценарий холодного резервирования не является штатным сценарием, предусмотренным эксплуатационной документацией, рекомендованной корректной схемы реализации такого сценария нет.
Технически достаточно снять актуальные РК HSM и РК PKIS с основного ПАК (так как он работоспособен) и восстановить резервный с их помощью.
Не удается авторизоваться через веб-интерфейс по портам 9443 8443 на ViPNet HSM PKIS
Причина: при выполнении перенастройки параметров ТА с дефолтного на оптический интерфейс произошел сбой.
Решение: в условиях эксплуатирующей организации проблема не может быть устранена. Требуется отправка ПАК в СЦ.
Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.