Континент тлс сертификат сервера не прошел проверку ошибка

crl не прошел проверку - такую ошибку стало выдавать у моих специалистов при входе в Электронный Бюджет. Лечится довольно просто, перезапуском службы Континент ТЛСа. Перезапускаем службу, перезаходим в ЭБ, выбираем нужный сертификат для входа и работаем дальше. Для тех кто не хочет делать это в ручную или незнает как перезапустить службу - в этой статье […]

На чтение 3 мин. Просмотров 646 Опубликовано 15.12.2019

crl не прошел проверку — такую ошибку стало выдавать у моих специалистов при входе в Электронный Бюджет.

Лечится довольно просто, перезапуском службы Континент ТЛСа.

Перезапускаем службу, перезаходим в ЭБ, выбираем нужный сертификат для входа и работаем дальше.

Для тех кто не хочет делать это в ручную или незнает как перезапустить службу — в этой статье есть сам батник (который можно скачать), а так же его содержимое.

Государственная интегрированная информационная система управления
общественными финансами «Электронный бюджет»

Подсистема обеспечения информационной безопасности подсистем

Инструкция по обновлению сертификата сервера TLS на автоматизированном рабочем месте пользователя системы «Электронный бюджет»

Содержание

  1. Содержание
  2. СПИСОК ТЕРМИНОВ И СОКРАЩЕНИЙ
  3. ОПИСАНИЕ ОПЕРАЦИЙ
  4. Копирование нового сертификата сервера TLS на АРМ пользователя
  5. Замена сертификата сервера TLS в ПО «Континент TLS Клиент»

Содержание

СПИСОК ТЕРМИНОВ И СОКРАЩЕНИЙ

В документе используются следующие термины и сокращения:

Текст заголовка Текст заголовка
АРМ автоматизированное рабочее место пользователя системы «Электронный бюджет»;
ОС операционная система;
Пользователь зарегистрированный в системе «Электронный бюджет» сотрудник организации, которому предоставлен доступ к определенным функциям в системе «Электронный бюджет», в соответствии с заявкой на подключение;
Система «Электронный бюджет» государственная интегрированная информационная система управления общественными финансами «Электронный бюджет»;

ОПИСАНИЕ ОПЕРАЦИЙ

Копирование нового сертификата сервера TLS на АРМ пользователя

Для копирования файла сертификата сервера TLS в локальную директорию АРМ пользователя необходимо:

    Открыть в веб-обозревателе официальный сайта Федерального казначейства, перейдя по адресу в сети Интернет: www.roskazna.ru

Замена сертификата сервера TLS в ПО «Континент TLS Клиент»

Внимание: Настройки внешнего прокси-сервера могут отличаться от настроек, приведенных в настоящей инструкции. Настройки внешнего прокси-сервера не изменяются в рамках работ по замене сертификата сервера TLS, и должны соответствовать настройкам, используемым в организации пользователя.

    Для замены сертификата сервера TLS в ПО «Континент TLS Клиент» на АРМ пользователя необходимо:

  1. Выполнить запуск диалога «Континент TLS Клиент: настройка сервиса». Для этого в меню «Пуск» ввести «Континент TLS клиент» и щелкнуть по найденному элементу.
  2. В разделе «Настройки защищаемого сервера» в поле «Сертификат» указать файл сертификата сервера TLS, скопированный в локальную директорию в п.4 раздела 2.1 настоящего Руководства.

Решение проблемы CRL не прошел проверку в Электронном бюджете состоит в том, что не установлены новые корневые сертификаты.

Для этого переходим на страницу http://crl.roskazna.ru/crl/ скачиваем все корневые сертификаты с расширение .crt с помощью Internet Explorer.

Устанавливаем скаченные корневые сертификаты в Доверенные корневые центры сертификации.

Источник

Содержание

  1. Федеральное казначейство
  2. Информация об истечении сроков действия сертификатов серверов «Континент TLS», используемых для подключения к сервисам lk.budget.gov.ru и lk.buh2012.budget.gov.ru
  3. Новый серверный сертификат для buh2012.budget.gov.ru/buh2012/
  4. Ошибка при подписании в buh2012.budget.gov.ru/buh2012
  5. Ошибка: не удалось установить tcp соединение с хостом lk2012.budget.gov.ru:443

Федеральное казначейство

официальный сайт Казначейства России
www.roskazna.ru

Информация об истечении сроков действия сертификатов серверов «Континент TLS», используемых для подключения к сервисам lk.budget.gov.ru и lk.buh2012.budget.gov.ru

УФК по Пензенской области информирует об истечении сроков действия сертификатов серверов «Континент TLS» (далее – Сертификаты «Континент TLS»), используемых для подключения к сервисам:

1) lk.budget.gov.ru – государственная интегрированная информационная система управления общественными финансами «Электронный бюджет» (далее – ГИИС «Электронный бюджет»), истечение срока сертификата: 14.07.2021;

2) lk.buh2012.budget.gov.ru – подсистема управления оплатой труда, подсистема управления нефинансовыми активами, модуль бюджетного учета подсистемы учета и отчетности ГИИС «Электронный бюджет», истечение срока сертификата: 17.07.2021.

В связи с изложенным необходимо внесения изменений в настройках программного обеспечения «Континент TLS Клиент» на автоматизированных рабочих местах пользователей.

Информация по настройке программного обеспечения «Континент TLS Клиент» и новые Сертификаты «Континент TLS VPN» размещены на официальном сайте Федерального казначейства в разделе «Электронный бюджет» по ссылке http://www.roskazna.gov.ru/gis/ehlektronnyj-byudzhet/.

Дополнительно информируем, что при невыполнении указанных настроек вход пользователей в ГИИС «Электронный бюджет» будет невозможен.

Источник

Новый серверный сертификат для buh2012.budget.gov.ru/buh2012/

  • Сообщений: 1927
  • Репутация: 45
  • Спасибо получено: 296

FarWinter пишет: Если не добавить в ресурсы buh2012.budget.gov.ru
то зайти по ссылке http не получится

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Zoran
  • —>
  • Не в сети
  • Сообщений: 25
  • Спасибо получено: 11

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Gimiboy
  • —>
  • Не в сети
  • Сообщений: 5
  • Спасибо получено: 0

finsem пишет: Не дает удалить сертификат lk2012, пишет — отказано в доступе.
Захожу в TLS Континент ПКМ под администратором уже- то же самое.
Ждать, пока завтра сам закончится?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • igor.kinma
  • —>
  • Не в сети
  • Сообщений: 5
  • Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Gvinpin
  • —>
  • Ушел
  • Сообщений: 1865
  • Репутация: 19
  • Спасибо получено: 229

igor.kinma пишет: после замены сертификата перестало пускать в lk2012.budget.gov.ru/ В континент TLS все нормально. Что еще нужно сделать кроме замены сертификата?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • FarWinter
  • —>
  • Не в сети
  • Сообщений: 251
  • Репутация: 1
  • Спасибо получено: 90

finsem пишет: Не дает удалить сертификат lk2012, пишет — отказано в доступе.
Захожу в TLS Континент ПКМ под администратором уже- то же самое.
Ждать, пока завтра сам закончится?

Если СЕРВЕРНЫЙ СЕРТИФИКАТ lk2012.budget.gov.ru.cer
был добавлен в хранилище ContinentTLSClientServer — Локальный компьютер,
через CT-TLS_Server_Certificates_User.exe удалить не получится, т.к. там lk2012.budget.gov.ru.cer удаляется сертификат только в хранилище пользователя.

При ошибке Отказано в доступе
Нужно удалять через оснастку КриптоПРО (Пуск — КРИПТО-ПРО — Сертификаты) или
в КонтинентTLS на вкладке СЕРВЕРНЫЕ СЕРТИФИКАТЫ — Открыть хранилище

Сертификаты Текущий пользователь — ContinentTLSClientServer — Сертификаты

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • FarWinter
  • —>
  • Не в сети
  • Сообщений: 251
  • Репутация: 1
  • Спасибо получено: 90

igor.kinma пишет: Всем привет. Подскажите пожалуйста после замены сертификата перестало пускать в lk2012.budget.gov.ru/ В континент TLS все нормально. Что еще нужно сделать кроме замены сертификата? Спасибо!

У меня не получилось заставить не войти в lk2012.budget.gov.ru/
Проверял через InternetExplorer и Mozilla Firefox 51×32

Нужно сделать Сброс соединений в КонтинентTLS
(внизу-справа в системном трее(Панель задач), на значке «Континент TLS-клиент» правой кнопкой мыши — Сброс соединений)
и после этого заходить в ЭБ.

Даже если новый сертификат federalnoe-kaznacheystvo.crt для lk2012.budget.gov.ru не добавлять,
то при входе на сайт появляется окно с предложением добавить его в хранилище.

Если у вас появляется ошибка

Континент TLS-клиент. Ошибка
Федеральное казначейство: Сертификат сервера не прошел проверку. Ошибка: Цепочка сертификатов недействительна

Значит у вас нет установленного нового корневого сертификата УЦ ФК (Действительного с 05.02.2020 по 05.02.2035)

его можно взять из сообщения sedkazna.ru/forum.html?view=topic&catid=9&id=1156#15874
Установка Корневых сертификатов ФК ГОСТ 2012

Можно установить вручную в «Локальный компьютер»-«Промежуточные центры сертификации» , скачав
Сертификат УЦ ФК размещенный на официальном сайте Федерального казначейства .

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Ошибка при подписании в buh2012.budget.gov.ru/buh2012

  • Сообщений: 29
  • Спасибо получено: 0
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Wmffre
  • —>
  • Не в сети
  • Сообщений: 612
  • Репутация: 23
  • Спасибо получено: 174
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • aeprotsyuk
  • Автор темы —>
  • Не в сети
  • Сообщений: 29
  • Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • FarWinter
  • —>
  • Не в сети
  • Сообщений: 251
  • Репутация: 1
  • Спасибо получено: 90

В Сообщении «Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ» sedkazna.ru/forum.html?view=topic&catid=9&id=1011#14064

4.3 Ошибка при подписании в Облачном портале 1C: Jinn-client Ошибка создания com-объекта
Ошибка при подписании в Облачном портале 1C на сайте buh2012.budget.gov.ru/buh2012/ : Jinn-client Ошибка создания com-объекта

Нужно добавить разрешения для ActiveX в настройках IE

и возможно нужна ещё перезагрузка компьютера (но это не точно),
чтобы применились разрешения для ActiveX в Internet Explorer

После этого Jinn Client заработал.

Решение:
Импорт настроек разрешения для ActiveX аналогичных для ЕИС-закупки и добавление http и https *.budget.gov.ru в надёжные сайты
Файл «Ошибка 1С, Jinn-client Ошибка создания com-объекта.zip» 2.95 Kb
можно скачать по ссылке:
yadi.sk/d/mHRxDNMy2v8ZnA
В нём файлы:
1.Установка настроек IE 11.0 (05.12.2019).reg
2.Добавление в Надёжные сайты http и https_budget.gov.ru.reg
«1C Облачный портал 2012.lnk» — запуск IE и вход на страницу => buh2012.budget.gov.ru/buh2012/
можно скопировать ярлык на рабочий стол

Если не помогло и ошибка осталась, то нужно сделать сброс настроек IE11, перезагрузится и заново установить настройки IE файлом «1.Установка настроек IE 11.0 (05.12.2019).reg»
Сброс настроек IE11:
Свойства браузера
Дополнительно
<Сброс>
[v] Удалить личные настройки
<Сброс>
. Обязательно — Перезагрузка компьютера
(Если у пользователя какие то настройки не сбрасываются, скорее всего, пользователь с правами — Опытный пользователь.
Нужно добавить этого пользователя в локальную группу Администраторы, сделать сброс настроек IE,
затем можно удалить пользователя из группы Администраторы)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Ошибка: не удалось установить tcp соединение с хостом lk2012.budget.gov.ru:443

  • Сообщений: 9
  • Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Alex67
  • —>
  • Не в сети
  • Сообщений: 1583
  • Репутация: 20
  • Спасибо получено: 399

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Maiv
  • Автор темы —>
  • Не в сети
  • Сообщений: 9
  • Спасибо получено: 0

То есть видео инструкции не актуальны? настраивать по «бумажным»?
Вот эта инструкция правильная? moscow.roskazna.gov.ru/upload/iblock/ba2. 31_01_2019_ver1_.doc
Или дайте пожалуйста ссылку на актуальную

В приведённой выше инструкции
9. Осуществить вход в Личный кабинет Электронного бюджета в зависимости от используемого ГОСТ.
9.1. При использовании ГОСТ Р 34.10-2001 точка входа: lk.budget.gov.ru/udu-webcenter .
9.2. При использовании ГОСТ Р 34.10-2012 точка входа: lk2012.budget.gov.ru/udu-webcenter .

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Alex67
  • —>
  • Не в сети
  • Сообщений: 1583
  • Репутация: 20
  • Спасибо получено: 399

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • FarWinter
  • —>
  • Не в сети
  • Сообщений: 251
  • Репутация: 1
  • Спасибо получено: 90

Maiv пишет: То есть видео инструкции не актуальны? настраивать по «бумажным»?
Или дайте пожалуйста ссылку на актуальную

QuickEB — Порядок быстрой настройки Электронного бюджета, ГОСТ 2012
Настройка ЭБ с использованием Континент TLS-клиент 2.0 и подписанием с помощью Jinn-Client
вход в ЭБ через http ссылку http://lk.budget.gov.ru/udu-webcenter
sedkazna.ru/forum.html?view=topic&catid=9&id=1011#14063

QuickCG — Порядок быстрой настройки Chromium GOST
Настройка браузера Chromium GOST для работы в Электронном бюджете
(Для Chromium GOST, Континент TLS-клиент не нужен .
Для подписания документов используется КриптоПРО ЭЦП Browser Plug-in )
вход в ЭБ через https ссылку https://lk.budget.gov.ru/udu-webcenter
sedkazna.ru/forum.html?view=topic&catid=9&id=1206#16364

С 1 августа 2020 — точка входа в ЭБ:
по сертификатам ГОСТ2012, после переезда серверов ЭБ в ЦОД Дубну
стала lk.budget.gov.ru
(на момент перехода из-за проблем при работе в ЭБ несколько раз снова включали lk2012.budget.gov.ru , затем отключали, на текущий момент точка входа lk2012 должна быть недоступна)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Maiv
  • Автор темы —>
  • Не в сети
  • Сообщений: 9
  • Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Gvinpin
  • —>
  • Ушел
  • Сообщений: 1865
  • Репутация: 19
  • Спасибо получено: 229

Maiv пишет: При входе из Мозилы по https выдает ошибку «При соединении с lk.budget.gov.ru произошла ошибка. Установка защищённого соединения с этим узлом не удалась: отсутствуют общие алгоритм(ы) шифрования. Код ошибки: SSL_ERROR_NO_CYPHER_OVERLAP»

Maiv пишет: Но на сайт lk.budget.gov.ru (https) захожу без проблем.

Maiv пишет: И в списке плагинов отсутствует плагин Cube system. Откуда его установить?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Maiv
  • Автор темы —>
  • Не в сети
  • Сообщений: 9
  • Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Gvinpin
  • —>
  • Ушел
  • Сообщений: 1865
  • Репутация: 19
  • Спасибо получено: 229

Maiv пишет: Но как раз http не работает подключение.

Maiv пишет: Насколько я понял, использование TLC-клиента обязательно.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Maiv
  • Автор темы —>
  • Не в сети
  • Сообщений: 9
  • Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Maiv
  • Автор темы —>
  • Не в сети
  • Сообщений: 9
  • Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • FarWinter
  • —>
  • Не в сети
  • Сообщений: 251
  • Репутация: 1
  • Спасибо получено: 90

Maiv пишет: В IE не открылось окно по работе с ЛС.
Нашел ветку, где это уже обсуждалось и помогло использование Хромиум + обновление CSP под W10 + изменение ярлыка (—allow-running-insecure-content) и добавить lk.budget.gov.ru в список разрешённых доменов где можно использовать смешанный контент
НЕ помогло — ошибка Не удается получить доступ к сайту
sedkazna.ru/forum.html?view=topic&defaul. id=9&id=1238&start=0
sedkazna.ru/97-giis-elektronnyj-byudzhet. st-r-34-10-2012.html
Что еще можно сделать?

1. Какая версия КриптоПРО у вас установлена ?

Приложите:
2. Скриншот Установленных программ: Панель управления — Удаление программ (отсортируйте по дате установке)

3. Скриншоты с настройками Континент TLS

4. Скриншоты экрана, когда появляется ошибка:
В IE11 с включённым Континент TLS по http ссылке http://lk.budget.gov.ru

В Chromium GOST с выключенным Континент TLS по https ссылке https://lk.budget.gov.ru

Для Chromium GOST нужно Удалить все данные о просмотренных страницах — Очистить историю и снова проверьте вход в ЭБ
sedkazna.ru/forum.html?view=topic&catid=9&id=1206#16365
пункт 5) При входе в Электронный бюджет, ошибки на странице в Chromium GOST

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Источник

Доброго времени суток!

Имеется:
ОС — Astra Linux CE 2.12.13 (Orel)
Континент АП 3.7.6-70

С помощью Континента АП в Linux был сгенерирован запрос на сертификат (криптопровайдер: Security Code), отправлен в казначейство.
В следствие чего был получен набор сертификатов:
root.p7b
server.cer
user.cer

В Континент АП в «Сертификаты» — «Серверные» был добавлен server.cer
В «Сертификаты» — «Корневые» добавлен root.p7b
А в настройке профиля подключения был указан пользовательский сертификат user.cer и соответствующий ему контейнер.
Адрес сервера доступа был скопирован с виндового Континента АП (где пользовательский сертификат генерился с помощью CryptoPro CSP)

При подключении Континента АП появляется окно, где нужно выбрать профиль, указать пароль от контейнера (внизу выводится наш пользовательский сертификат)

Нажимаю «Соединиться», начинает устанавливаться соединение с сервером доступа, проходит аутентификация и появляется окно с ошибкой подключения «Обнаружена потеря соединения: Сертификат сервера не прошёл проверку»
и окно с информацией о сервере доступа, где сказано «Сертификат сервера доступа недействителен или его подлинность не подтверждена. Подключение невозможно». (см. вложение)

При этом выводятся сведения о сервере доступа, так же можно просмотреть сам сертификат.
Этот сертификат не совпадает с имеющимся у нас серверным сертификатом ( наш сертификат server.cer — имя CA38_2012_2, период действия с 2 марта 2020 по 2 марта 2022, а получаемый при соединении сертификат казначейства имеет имя CA38_2012 и период действия с 13 февраля 2019 по 14 марта 2023 (у сертификатов root.p7b и server.cer эти данные совпадают).

В казначейство звонили — там сказали, что адрес сервера доступа верный. А сертификаты CA38_2012 и CA38_2012_2 по их словам «идентичны».
Тем не менее, подключение не происходит.

Что то не верно в настройках и наших действиях? Или версии Астры и Континента не совместимы?

Так же имеются еще странность в поведении Континента АП — при запуске «настройка» — «импортировать ключ» — в появившемся окне нужно выбрать ключевой контейнер, но его в списке нет, есть только ключевой носитель (при этом во время создания профиля в настройках и указания сертификата пользователя для подключения, контейнер виден и сертификат добавляется без проблем). Но при подключении Континент запрашивает пароль от контейнера нашего пользователя, на это ругани никакой нет.

Источник

УФК по г. Москве сообщает, что, в связи с истечением срока действия сертификата сервера «Континент TLS VPN», клиентам УФК по г. Москве необходимо произвести замену сертификата на новый не позднее 25.06.2018. В случае, если замена не будет произведена, вход в Электронный бюджет будет невозможен. Для смены сертификата необходимо скачать его на компьютер и указать в настройках программы Континент TLS. Для этого в Windows открыть меню «Пуск», далее «Все программы», далее «Код безопасности», далее «Client», далее «Настройка Континент TLS Клиента» и в поле сертификат указать новый сертификат. Вышеуказанные действия необходимо выполнять с правами администратора. Новый сертификат для скачивания и подробная инструкция по его замене будут доступны 22.06.2018 на сайте Федерального казначейства в разделе ГИС, подразделе Электронный бюджет, подразделе Подключение к системе.

Примечание:
Если после установки сертификата сервера при входе в Электронный бюджет lk.budget.gov.ru/udu-webcenter выдаётся ошибка 403 «Доступ запрещен, Не найден корневой сертификат», то необходимо установить два сертификата по ссылке: roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/
«Сертификат Головного удостоверяющего центра» —> в «Доверенные корневые центры сертификации»
«Сертификат Удостоверяющего центра Федерального казначейства» —> в «Промежуточные центры сертификации».

Внимание:
Настройки внешнего прокси-сервера могут отличаться от настроек, приведенных в настоящей инструкции. Настройки внешнего прокси-сервера не изменяются в рамках работ по замене сертификата сервера TLS, и должны соответствовать настройкам, используемым в организации пользователя.

Для замены сертификата сервера TLS в ПО «Континент TLS Клиент» на АРМ пользователя необходимо:

  • Выполнить запуск диалога «Континент TLS Клиент: настройка сервиса». Для этого в меню «Пуск» ввести «Континент TLS клиент» и щелкнуть по найденному элементу.
  • В разделе «Настройки защищаемого сервера» в поле «Сертификат» указать файл сертификата сервера TLS, вы можете скачать его здесь: Сертификат сервера «Континент TLS VPN».
    Выбор сертификата в диалоге «Континент TLS Клиент: настройка сервиса».
    Выбор сертификата в диалоге «Континент TLS Клиент: настройка сервиса».
  • Выбрав сертификат в локальной директории, нажать кнопку «ОК».
    Сохранение изменений в диалоге «Континент TLS Клиент: настройка сервиса».
    Сохранение изменений в диалоге «Континент TLS Клиент: настройка сервиса».
  • Если в рамках текущей сессии ОС осуществлялся вход в личный кабинет системы «Электронный бюджет», необходимо выполнить блокировку текущей сессии пользователя ОС с повторным входом.
Источник

Понравилась статья? Поделить с друзьями:

Читайте также:

  • Континент тлс ошибка регистрации
  • Континент тлс клиент ошибка
  • Континент ошибка е48 32
  • Континент ошибка 628 как исправить
  • Континент ап при проверке отношений доверия произошла системная ошибка

    • 0 0 голоса
    Рейтинг статьи
    Подписаться
    Уведомить о
    guest

    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии