У цій замітці я намагатимуся узагальнити досвід використання криптопровайдера КриптоПро для доступу до закритої частини офіційного сайту єдиної інформаційної системи у сфері закупівель (zakupki.gov.ru) та сайту держпослуг (gosuslugi.ru). Сам криптопровайтер став уже стандартом де-факто для держустанов, у його форматі видає ЕЦП, наприклад, центр посвідчення (УЦ) Федерального казначейства або УЦ МОЗ.

Насамперед мова піде про сайт zakupki.gov.ru. Особистий кабінет цього сайту доступний лише через HTTPS з використанням ГОСТ-алгоритмів шифрування. Довгий час HTTPS через ГОСТ працював лише в Internet Explorer, який цілком покладався на криптопровайдер. Розв'язка настала нещодавно, коли на сайті zakupki.gov.ru була припинена підтримка старих версій IE, у тому числі - IE8. Біда в тому, що IE8 – остання версія цього браузера, що підтримується в Windows XP, а державні установи, як правило, дуже консервативні щодо ліцензування. Таким чином, досить велика частина користувачів відразу виявилася "за бортом".

На щастя, компанія КриптоПро випускає спеціальне складання браузера Firefox під назвою КриптоПро Fox (CryptoFox), яка підтримує ГОСТ-алгоритми і працює, природно, тільки у зв'язці з відповідним криптопровайдером. Був час, коли розробка збирання майже повністю припинилася, проте зараз нові версії виходять регулярно. Остання збірка заснована на Firefox 45, можна завантажити, доступні версії під Windows, Linux і навіть Apple OS X.

За посиланням є англомовна версія браузера. Для її локалізації необхідно завантажити пакет з перекладом інтерфейсу. Зауважте, що версія пакета повинна відповідати версії самого браузера.

Після встановлення пакета потрібно відкрити нову вкладку, набрати там about:config, а в списку параметрів ввести general.useragent.locale і змінити його значення з en-US на ru-RU. Після перезапуску браузера інтерфейс буде російською мовою.

Тепер можна ставити в сховище "Довірені кореневі центри сертифікації" кореневий сертифікат УЦ Федерального казначейства, у сховищі "Особисті" - персональний сертифікат користувача, перезапускати браузер і заходити в особистий кабінет zakupki.gov.ru по 44-ФЗ.

На моєму робочому місці не встановлено чинних сертифікатів уповноважених осіб, тому доступ до особистого кабінету заборонено. Проте шифрування з'єднання у разі проводиться алгоритмом сімейства ГОСТ.

У разі доступу до закритої частини сайту по 223-ФЗ авторизація проходитиме через ЕСІА (тобто через сайт gosuslugi.ru). Тут ситуація спрощується, тому що цей сайт плагін для Firefox існує вже давно і розробляється Ростелеком. При першому заході на сайт нам буде запропоновано завантажити плагін. Після встановлення плагін слід переключити в режим "Завжди вмикати" в налаштуваннях CryptoFox, інакше на сайті держпослуг не з'являтиметься вікно із запитом сертифіката.

На жаль, підпис документів на сайті zakupki.gov.ru реалізований через специфічний компонет sing.cab, який використовує технологію ActiveX. Природно, в CryptoPro цей компонент не буде працювати, тому чекатимемо переходу на більш поширену технологію. На щастя, підписання документа - це лише мала частина того, що повинен робити оператор під час роботи на zakupki.gov.ru, так що для повсякденних операцій CryptoFox можна використовувати.

Іноді потрібно зберегти копію закритого ключа на локальному комп'ютері. Це можна зробити, якщо ключ під час створення в УЦ позначений як вивантажуваний. Копіювання здійснюється за допомогою кнопки "Скопіювати" (яка несподіванка) в інтерфейсі аплету КриптоПро

Якщо два варіанти зберігання ключа на локальній машині - у зчитувачі Реєстр і на віртуальному знімному диску. В принципі, безпека зберігання ключа в обох випадках приблизно однакова, тому вибір засобу залишається за читачем.

У зчитувачі “Реєстр” ключі зберігаються у гілці

HKLM\SOFTWARE\Crypto Pro\Settings\Users\\Keys
для користувача та у гілки

HKLM\SOFTWARE\Crypto Pro\Settings\Keys
для комп'ютера загалом.

У разі 64-бітної ОС шляху будуть дещо іншими:

HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\\Keys
і

HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Keys

При роботі КриптоПро на термінальному сервері користувача може не вистачити прав на запис ключа в ці гілки, оскільки вони знаходяться не в профілі користувача. Цю ситуацію можна виправити призначенням відповідних прав на гілки через утиліту Regedit.

КриптоПро шукає контейнери ключів на дисках, які мають атрибут "знімний", тобто флеш-диск або, вибачте, дискета будуть вважатися контейнерами ключів, а мережевий диск або диск, прокинутий через RDP - ні. Це дозволяє зберігати ключі на образах дискет за принципом одного ключа - одна дискета і тим самим підвищити безпеку. Для створення віртуального дисководу можна застосувати утиліту ImDisk , В якої є версія і під 64-бітові ОС. Заявляється сумісність з Windows до 8.1, нормально працює і в Windows 10.

Існує ще утиліта, в якій можна створювати дисковод, видимий лише конкретним користувачем. На жаль, вона давно не розвивається, і, здається, не працюватиме на 64-бітних ОС через непідписаний драйвер.

Застосовуючи ці поради і не забуваючи про Становище ПКЗ-2005 , яке, втім, має рекомендаційний характер, можна дещо полегшити життя як операторам, які працюють на сайтах закупівель, так і собі.

Дуже і дуже часто, стикаюся з тим, що користувачі, змушені самостійно налаштовувати доступ по ЕЦП до сайту закупівлі гів, державних закупівель, мають цілу купу різних проблем. Бувають навіть настільки відчайдушні, у яких і Інструкції немає до налаштування цієї справи.

Закупівлі Неможливо відобразити сторінку

В інтернеті, якщо пошукати, можна знайти багато інструкцій, як і що налаштовувати, як і що робити при яких проблемах. Я б хотів Вам розповісти лише про можливість трохи спростити все це налаштування та підготовку. Як довго цей варіант ще працюватиме, сказати складно. Але я користуюся часто =Р. Бо це справді набагато простіше.

Варіант цей полягає в тому, щоб скористатися автоматичним налаштуванням через сайт Контуру. Заходимо власне на сам сайт. Шукаємо у правому верхньому кутку посилання Техпідтримкаі внизу ліворуч Встановлення сертифіката. Або переходимо відразу, за цим посиланням. Раджу все ж таки, для цих справ, користуватися IE. Тож зайшли на сайт. Вибрали посилання Налаштувати для роботи на порталах Держзакупівель та Держпослуг («zakupki.gov.ru»).

Тиснемо пкм і запустити цю надбудову для всіх вузлів, рази десь 4, поки не перестане з'являтися. Далі качаємо утиліту AddToTrustedяка замість нас, додасть всі необхідні сайти до списку безпечних і налаштує IE. Як скачалось запускаємо. І оновлюємо нашу сторінку або на F5 або за допомогою мишки 🙂 По суті, це і все налаштування, далі має сенс лише після перевірки системи натиснути кнопку вибрати компоненти для встановленняі прибрати, якщо немає необхідності, такі галочки допустимо як установка Mozilla Firefox.

AVAST блокує HTTPS і закупівлі не відкриваються

Навіщо я це все почав розповідати? Ну так, адже, як завжди, принесли ноутбук, з якого необхідно терміново вийти на сайт держзакупівель. Але при переході на 223 ФЗ вилітає наше улюблене Неможливо відобразити сторінку.Справа цього разу виявилася в антивірусі AVAST. Хоч він і підводить в черговий раз, але я люблю його 🙂 Після недавнього оновлення в ньому з'явилася функція Сканування HTTPS, яка і стала причиною блокування роботи порталу закупівель, та й я так підозрюю, що не лише його. Втім. поки, варто її вимкнути.

18 квітня 2017 о 23:30

Заходимо в особистий кабінет на zakupki.gov.ru без Internet Explorer та інші корисні поради під час роботи з КриптоПро

Системне адміністрування

За посиланням є англомовна версія браузера. Для її локалізації необхідно завантажити пакет із перекладом інтерфейсу. Зауважте, що версія пакета повинна відповідати версії самого браузера.

Тепер можна ставити в сховище "Довірені кореневі центри сертифікації" кореневий сертифікат УЦ Федерального казначейства, в сховищі "Особисті" - персональний сертифікат користувача, перезапускати браузер і заходити до особистого кабінету zakupki.gov.ru по 44-ФЗ.

У разі доступу до закритої частини сайту по 223-ФЗ авторизація проходитиме через ЕСІА (тобто через сайт gosuslugi.ru). Тут ситуація спрощується, тому що цей сайт плагін для Firefox існує вже давно і розробляється Ростелекомом. При першому заході на сайт нам буде запропоновано завантажити плагін. Після встановлення плагін слід переключити в режим "Завжди вмикати" в налаштуваннях CryptoFox, інакше на сайті держпослуг не з'являтиметься вікно із запитом сертифіката.

У зчитувачі “Реєстр” ключі зберігаються у гілці

HKLM\SOFTWARE\Crypto Pro\Settings\Users\\Keys
для користувача та у гілки

HKLM\SOFTWARE\Crypto Pro\Settings\Keys
для комп'ютера загалом.

У разі 64-бітної ОС шляху будуть дещо іншими:

HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\\Keys
і

HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Keys

18 квітня 2017 о 23:30

Заходимо в особистий кабінет на zakupki.gov.ru без Internet Explorer та інші корисні поради під час роботи з КриптоПро

У зчитувачі “Реєстр” ключі зберігаються у гілці

HKLM\SOFTWARE\Crypto Pro\Settings\Users\\Keys
для користувача та у гілки

HKLM\SOFTWARE\Crypto Pro\Settings\Keys
для комп'ютера загалом.

У разі 64-бітної ОС шляху будуть дещо іншими:

HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\\Keys
і

HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Keys

За своєю діяльності я займаюся айти аутсорсингом, тобто. обслуговую комп'ютери організації. Серед моїх клієнтів є кілька бюджетних установ.

І ось з минулого року їх усіх змусили спочатку зареєструватись на сайті zakupki.gov.ru і потім викласти план-графік розміщення замовлень. А з цього року ще й на сайті bus.gov.ru щоб викласти всю інформацію про установу.

Не будемо вдаватися до подробиць навіщо все це потрібно… Настав наказ зверху і треба його виконувати. Відразу скажу, що звичайні бухгалтери навряд чи самі змогли б розібратися і щось зробити, навіть за інструкцією, т.к. проблем багато і вирішити їх іноді не так просто. Отже, почнемо…

zakupki.gov.ru

Реєстрація на сайті відбувається за допомогою особистого сертифікату та закритих ключів виданих Федеральним казначейством на (!) дискеті і ніяк інакше, про флешки, мабуть, вони досі не знають. Найцікавіше, що ні всім установам видали особисті сертифікати, тобто. дискети з самої ЕЦП дали, а на сертифікати забили... Шляхом дуже довгих переговорів вдалося все ж таки випросити ці сертифікати.

Для роботи з цими сайтами нам знадобиться наступний софт:

— Crypto Pro 3.6 — якщо ос Windows 7, або версія 3.0 якщо Windows XP (Казначейство дає ліцензію лише на версію 3.0, при цьому майже у всіх установах на всіх комп'ютерах, крім того, де знаходиться програма для електронного документообігу — СЕД, стоїть Windows 7 , а налаштовувати закупки.гов.ру та СЕД на одній машині не можна, після цього перестане працювати ЕЦП.Виходів два: 1) купити ліцензію 3.6; 2) ставити на машину, де встановлена ХР. Ок... машину знайшли...ставимо крипто про.
— Ланіт.Компонент формування підпису — можна завантажити, в архіві (можна відкрити його 7zip'ом і чи winrar'ом) є файл установника, запускаємо його і, якщо є все, що потрібно, то успішно встановиться.
- Net Framework 2.0 + SP1 (Обов'язково!) - Завантажити можна з сайту, без фреймворку ви не зможете встановити компонент формування підпису.
— Internet Explorer 7.0 і вище… на 6-ій версії сайт також працюватиме, але підвисає дуже часто .

Софт весь скачали, успішно встановили, переходимо до налаштування IE.

Відкриваємо Internet Explorer, заходимо на сайт http://zakupki.gov.ru

Відкриваємо Властивості браузера, вкладка Безпека та додаємо наш сайт у Надійні вузли.

Додавши сайти до списку надійних вузлів, тиснемо кнопку «Інший» і щоб не мучитися - дозволяємо все! Обов'язково потрібно дозволити доступ до джерел даних за межами домену. Дозволивши все, тиснемо ОК і переходимо на вкладку Додатково та відзначаємо галками SSL 2.0, TLS 1.0.

Тепер нам необхідно встановити сертифікат Федерального казначейства. Цей сертифікат є на сайті zakupki.gov.ru, але т.к. все робиться на відкатах і розпилах, то там ви зустрінете два сертифікати

Качаємо, звичайно ж, новий сертифікат. Відкриваєте архів, відкриваєте сам сертифікат, тиснете «Встановити сертифікат»
і додаєте його до розділу «Довірені кореневі центри сертифікації». Таку саму процедуру виконуєте з «Новим серверним сертифікатом zakupki.gov.ru».

Для тих хто не може визначити ці сертифікати на сайті державної закупівлі. даю наведення – меню «Інформація для замовників та постачальників» – «Посібник користувача та інструкції», там все є.

Тепер йдемо в панель управління комп'ютером і відкриваємо КриптоПро — вкладка «Сервіс» — кнопка «Встановити особистий сертифікат» — через огляд вибираємо сам сертифікат, у всіх він знаходився на дискеті, як контейнер вибираємо ту саму дискету на якій знаходиться ЕЦП, і далі встановлюємо сертифікат у контейнер у розділ Особисті.

ВСІ! Тепер можемо спокійно зайти на сайт закупки.гов.ру, вибрати особистий кабінет та авторизуватись на сайті.

bus.gov.ru

Потрапити на цей сайт можна, тільки якщо ви зареєструвалися на сайті закупівель. Процес простіший, тут уже потрібно додати тільки сайт до списку надійних вузлів. Після чого через посилання «Особистий кабінет» можна буде авторизуватись на сайті.

Обидва сайти дуже тупі і гальмовані, особливо bus.gov.ru, тільки в особистий кабінет можете потрапляти пів години-годину, а потім ще потрібно розмістити купу документів.

Тепер трохи про проблеми та їх вирішення…

1. заходьте на сайт закупівель, намагаєтеся потрапити до особистого кабінету, сайт довго висить і потім викидає повідомлення, що не може з'єднатися із сервером.
потрібно видалити сертифікати фк, завантажити з сайту нові та знову додати їх.

2. вам поміняли сертифікат і ви тепер не можете авторизуватись на сайті через держзакупівлі
потрібно на сайті держзакупівель зайти під логіном та паролем, які ви вказували при реєстрації, та зареєструвати з дискети новий сертифікат

3. намагаєтеся розмістити план графік, а ніде немає такого пункту меню
потрібно зайти в розділ Користувачі організації та відредагувати свій обліковий запис, додавши їй прав на розміщення плану-графіка

4. під час спроби підписати завантажений файл з'являється повідомлення «Can't Sign data»
ви не встановили компонент формування підпису Ланіт

5. намагаєтеся встановити ланіт і він пропонує встановити Microsoft net framework sp2, але після установки, все одно не можете встановити ланіт
качайте фремворк із сайту майкросовта та встановлюйте вручну

6. при спробі підписати завантажений файл з'являється повідомлення "Can't Sign data", але при цьому все встановлено
при спробі підписати файл, подивіться чи не з'явилася невелика спливаюча смужка в браузері з інформацією про заблокований компонент Active X, якщо така є, то натисніть на неї правою кнопкою миші і дозвольте запуск цього компонента.

поки все, якщо є питання — пишіть, разом розбиратимемося

Чи допомогла стаття? Підтримай блог - розкажи про нього на своїй сторінці у соціальній мережі.