Fzs roskazna ru настройка chromium gost

Обновлено: 02.07.2024

В статье описаны возможные ошибки при работе Chromium GOST и варианты решения проблем.

Варианты ошибок и решение проблемы:

Если на вкладке Общие в строке Кем выдан стоит значение в котором присутствует слово Kaspersky или название другого антивируса, то это значит, что антивирус подменяет сертификаты веб-сайтов своим сертификатом.

Варианты ошибок и решение проблемы:

2.0 Временная Лицензия КриптоПРО на 3 месяца закончилась

2.2 У сертификата пользователя, установленного в хранилище личное, закончился срок действия сертификата

Под пользователем с правами Администратора
В правом нижнем углу кликнуть правой кнопкой мыши по часам, в меню выбрать
[Настройка даты и времени]

Windows 10
Установить время автоматически (ОТКЛ)
Установка даты и времени в ручную
[ Изменить ]
Выбрать дату и нажать [ Изменить ]

После всех манипуляций с контейнерами, не забыть вернуть правильную дату.
Нужно будет выгрузить контейнер закрытого ключа в файл с расширением .pfx и затем восстановить контейнер из этого файла,
Новый восстановленный контейнер закрытого ключа будет без установленного сертификата в контейнере, поэтому потом нужно будет ещё установить сертификат в новый контейнер.

Выгрузить в виде файла с расширением .pfx

Экспортировать все расширенные свойства
-> Далее
Задать пароль -> Далее
Задать Имя файла -> Далее
-> Готово

Для восстановления ключа из файла с расширением .pfx на флешку или в реестр

Нужно два раза кликнуть по файлу .pfx
-> Далее -> Далее
Ввести пароль, который был задан при создании файла .pfx

Пометить этот ключ как экспортируемый, что позволит сохранять архивную копию ключа и перемещать его

Установка сертификата в новый контейнер

через КриптоПРО CSP -> вкладка Сервис -> [ Установить личный сертификат]
выбрать сертификат через [ Обзор ], -> [ Далее ] -> [ Далее ]
выбрать новый созданный контейнер через [ Обзор ] (если искать автоматически может выбраться не тот контейнер)
[ Далее ]

3] Когда не помогло Восстановление КриптоПРО и перерегистрация библиотеки cpcng.dll ,
можно Переустановить только КритпоПРО,

В случае неудачи (когда ошибка сохраняется), лучше всё переустановить.
Удалить все продукты Кода Безопасности и КриптоПРО с удалением следов в реестре и на диске, и установить заново.
По инструкции:
!Порядок полного удаления КриптоПро и Кода Безопасности.zip
ссылка для скачивания yadi.sk/d/PAjg5CRY8EqaQA

Для Лицевых счетов, требуется разрешить использовать смешанный контент в Chromium GOST Нужно в параметры запуска chrome.exe добавить ключ

Выбрать слева
Domain Security Policy

В разделе
Add HSTS domain

5) При входе в Электронный бюджет, ошибки на странице в Chromium GOST:

502 Bad Gateway

или

404 Not Found

The requested URL /oam/server/auth_cred_submit was not found.

клавишами Ctrl+Shift+Delete
или
через прямую ссылку:
chrome://settings/clearBrowserData
или
В браузере Chromium GOST нажать вверху справа три вертикальные точки (вместо трёх точек может быть (!) ),
Дополнительные инструменты -> Удалить все данные о просмотренных страницах

История браузера
Файлы cookie и другие данные сайтов
Изображения и другие файлы, сохранённые в кеше

[Удалить данные]
Перезайти в браузер, и проверить вход в ЭБ

Зайти на него можно через Internet Explorer. Настраивать свой компьютер для работы с порталом не требуется, необходим только плагин ЭЦП браузера и, конечно же, Крипто Про, куда без него. Если запрос сделан с помощью этого портала, то клиентам Федерального казначейства теперь вообще появляться в казначействе нет необходимости. Правда это только когда в документах, предоставленных ранее для получения сертификата, никаких изменений не произошло за те год и три месяца действия предыдущего сертификата.

В остальных случаях присутствие заявителя или уполномоченного лица обязательно. Давайте разберем как раз этот случай, т.е. пусть клиент (заявитель) впервые обращается за сертификатом. Со своего рабочего места нужно зайти на портал по выше указанному адресу. Вот что мы там видим:

Необходимо нажать на кнопку, на которую указывает красная стрелка на рис. 1. Если у вас есть действующий сертификат, заметьте действующий, т. е. срок действия которого еще не истёк, то вы можете сформировать запрос, нажав на кнопку, на которую указывает синяя стрелка. Ну а мы жмем на "красную" и видим следующее окошко:

Первое, что тут нужно сделать это выбрать субьект РФ. Если выберите не свой, то ваш запрос уйдет в тот регион, который будет выбран. Заполните все поля, обведенные красной рамкой (рис. 2). Если сведения подаются будущим владельцем сертификата (заявителем), то галочку "Сведения подаются уполномоченным лицом" ставить не нужно. Жмем "Далее" и попадаем в следующее окно:

Сначала выбираем тип будущего сертификата. Я выбрал "сертификат физического лица", потому что к этому типу относятся сертификаты СУФД, ЕИС и ГМУ. Тем самым я сразу покажу, как сделать запрос на сертификат в этих трех системах.

"Сертификат юридического лица" - это, скорее всего, сертификат СМЭВ (рис. 3), а вот "сертификат юридического лица без ФИО", с таким я не сталкивался, поэтому ничего сказать о нем не могу.

Итак, после выбора типа сертификата (отметив нужный тип галочкой), становится доступной кнопка "Внести сведения". Нажмем на нее, как показано на рис. 3 и попадем в следующее окошко:

Тут многое нам знакомо по программе "АРМ генерации ключей". На рисунке 4 внутри синих стрелочек я сделал надписи о системах, в которых будут работать сертификаты, если поставить эти полномочия. Для СУФД выбираем ветку "АСФК", для работы на сайте ГМУ выбираем "Работа с ГМУ. Базовый OID". Как видно из рисунка для работы на сайте "Закупки" больше не нужны никакие полномочия, достаточно галочки "Аутентификация клиента", которую убрать мы не можем, потому что она нужна для всех типов сертификатов. Если заявитель работает во всех трех системах, то он может иметь один сертификат.

Полномочия ЕИС убрали потому, что теперь их раздает администратор организации, который, в свою очередь, назначается руководителем организации после автоматической регистрации его на сайте в качестве руководителя согласно ЕГРЮЛ.

По кнопке "Обзор" (рис 4), можно выбрать свой сертификат, который у вас есть, но срок действия его истек и вы не можете воспользоваться "синей стрелочкой" (рис. 1). В этом случае все поля (ФИО, СНИЛС, ИНН, Организация) заполнятся автоматически из вашего сертификата (рис. 4). Иначе придется их заполнять вручную.

С ними все понятно, нас интересуют два последних нижних поля. Это "Класс средства ЭП" и "Криптопровайдер CSP". Класс средства ЭП оставляйте как есть, КС1, а Криптопровайдер CSP с 1 января 2019 года нужно будет выбирать другой, в названии которого есть ГОСТ 2012. Пока тоже оставляйте как есть (рис. 4). Стоит отметить, что возможность выбора криптопровайдера присутствует только в Крипто Про 4.0.

С 1 января 2019 года генерацию запросов на сертификаты необходимо делать только по ГОСТ Р 34.10-2012, хотя допускается генерация запросов по ГОСТ Р 34.10-2001 для СУФД и электронного бюджета, правда только по 31 января 2019. Также необходимо помнить, что если вы используете в своей работе сертификаты, выданные по ГОСТ Р 34.10-2001, то Ваша КриптоПро должна быть пропатчена специальным патчем, который можете скачать с сайта КриптоПро.

Итак, все поля заполнены, всё внимательно проверено, нет ли где ошибок, вставлен ключевой носитель для генерации на него ключей, жмем кнопку "Сохранить и сформировать запрос на сертификат" (рис. 4). После этого будут появляться стандартные окна генерации ключей, о которых я не раз упоминал в предыдущих своих статьях. Здесь я останавливаться на этом не буду. После всего этого вы попадете в следующее окно:

Первое, что бросается в глаза (рис. 5), это номер запроса. В АРМ генерации ключей такого не было. Итак, тут мы видим, что запрос на сертификат создан и присутствует в виде *.req файла. Кстати, его теперь в казначейство предоставлять не надо, он и так к ним попадет. Нужно записать только номер запроса. Но это я отвлекся, о нем будет дальше.

Итак, жмем кнопку "Внести сведения" (рис. 5) для того, чтобы сформировать документы для получения сертификата и попадаем в следующее окно:

Как видно из рис. 6, тут нужно заполнить паспортные данные и прикрепить согласие на обработку персональных данных и, если необходимо, то и документ организации, подтверждающий полномочия или доверенность на право действовать от лица организации. Хорошо, если эти документы заранее распечатаны, подписаны и отсканированы. Заметьте, копию паспорта тут не приложишь. Кстати, образцы документов можно скачать у меня с сайта, вот отсюда.

Если поставить галочку "Сведения подаются уполномоченным лицом" (рис. 2), то рисунок 6 изменится, там добавятся два дополнительных документа, которые обязательны для заполнения. На рис. 14 эти поля обведены красной рамкой. Итак, все сделано, жмем "Сохранить":

Запрос на сертификат создан, документы на получения сертификата добавлены и сохранены в системе, осталось сформировать заявление. Жмем соответствующую кнопку (рис. 7) и нам открывается само заявление:

На рисунках выше, заявление представлено в виде трех картинок, где я обвел красной рамкой те поля, на которые обращают свое внимание в Федеральном казначействе. Некоторые поля в заявлении можно редактировать, там все интуитивно понятно. Когда все будет сделано и форма будет сформирована, то ее можно будет распечатать:

Жмем "Печать" (рис. 9), на бумажном экземпляре заполняем все поля, указанные на рис. 8 и сканируем заполненный документ, чтобы потом прикрепить его в систему по кнопке "Обзор" (рис. 10). Все документы предоставлены и теперь становится доступной кнопка "Подать запрос" (рис. 11). Нажмем на нее и увидим следующее:

Тут все понятно, если не уверены, то не нажимайте кнопку "Да" (рис. 12), а если нажмете, то попадете в окно (рис. 13), где можно будет распечатать памятку по предоставлению комплекта документов в Удостоверяющий центр Федерального казначейства. На мой взгляд, важным тут является номер запроса, потеряв который или забыв, вы не получите сертификат. К этому надо относиться серьезно, иначе всю работу, о которой я рассказывал в этой статье, вам придётся проделать заново.

На этом все, берёте комплект документов, предусмотренный пунктом 5.5 Регламента и распечатанный или записанный где-нибудь номер запроса и приходите в свой территориальный орган Федерального казначейства (рис. 13). Удачи!

P.S. Извините, забыл упомянуть один очень важный момент. Для того, чтобы воспользоваться "синей стрелочкой" (рис. 1), т.е. чтобы войти по сертификату для создания запроса, необходимо не только иметь сертификат, срок действия которого не истек, но и чтобы этот сертификат был загружен в личное хранилище сертификатов с привязкой к ключевому контейнеру . Как привязать сертификат к ключевому контейнеру, читайте в моей статье. Если этого не сделать, то IE "скажет", что не может отобразить страницу.

И ещё одно немаловажное замечание. Если вы для создания запроса вошли по сертификату, то такой запрос подается только от имени владельца сертификата. Ни какого уполномоченного лица быть не может. Это, по моему, ясно и логично.

И напоследок. Если вам понравилась эта статья и вы почерпнули из нее что-то новое для себя, то вы всегда можете выразить свою благодарность в денежном выражении. Сумма может быть любой. Это вас ни к чему не обязывает, все добровольно. Если вы всё же решили поддержать мой сайт, то нажмите на кнопку "Поблагодарить", которую вы можете видеть ниже. Вы будете перенаправлены на страницу моего сайта, где можно будет перечислить любую денежную сумму мне на кошелек. В этом случае вас ждет подарок. После успешного перевода денег, вы сможете его скачать.

Браузер chromium-gost — веб-браузер с открытым исходным кодом на основе Chromium с поддержкой криптографических алгоритмов ГОСТ (в соответствии с методическими рекомендациями ТК 26) при установке защищённых соединений через интерфейс msspi.

Основной задачей проекта является техническая демонстрация возможности встраивания ГОСТ в браузер с открытым исходным кодом Chromium. Данное технологическое решение может помочь разработчикам адаптировать браузер при встраивании поддержки ГОСТ.

Компания КриптоПро не является правообладателем браузера chromium-gost и не отвечает за его функционирование и поддержку на регулярной основе, продукт развивает и поддерживает сообщество разработчиков на безвозмездной и добровольной основе, среди которых важную роль составляют специалисты КриптоПро.

Браузер chromium-gost доступен для операционных систем Windows, Linux и MacOS.

Требования к системе

Для работы с алгоритмами ГОСТ требуется наличие в системе криптопровайдера, поддерживающего работу с российской криптографией.

В качестве криптопровайдера мы рекомендуем использовать КриптоПро CSP. Для работы с защищёнными соединениями не требуется покупка лицензии КриптоПро CSP, кроме того КриптоПро CSP имеет ознакомительный период с работой всех функций программы, включая работу с долговременными ключами и подписями на их основе. Для скачивания КриптоПро CSP достаточно пройти простую процедуру регистрации на сайте.

Проверка работоспособности

Сертификат сайта должен выглядеть следующим образом, что подтверждает установку защищённого соединения по алгоритмам ГОСТ:

Альтернативный вариант проверки — через панель разработчика:
- Находясь в браузере, нажмите F12, откроется панель разработчика браузера
- Перейдите на вкладку Security

Если у вас показывается другой сертификат (примеры ниже), то попробуйте переустановить криптопровайдер и перезапустить браузер chromium-gost.

Или в альтернативном варианте проверки — если соединение не по ГОСТ:

Принцип работы

Оригинальная реализация Chromium при установке защищённых соединений использует библиотеку BoringSSL, которая не поддерживает криптографические алгоритмы ГОСТ. Для обеспечения работы ГОСТ-алгоритмов используется интерфейс msspi, который может поддерживать соответствующие алгоритмы, используя установленный в систему криптопровайдер.

При запуске браузера определяется наличие технической возможности работы криптографических алгоритмов ГОСТ через интерфейс msspi. В случае успеха при установке очередного защищённого соединения помимо оригинальных идентификаторов алгоритмов в пакете будут отправлены идентификаторы алгоритмов ГОСТ.

Если сайт поддерживает работу по ГОСТ, он может отреагировать на наличие этих идентификаторов предложением работы на ГОСТ-алгоритмах. Тогда защищённое соединение в рамках BoringSSL установлено не будет, так как BoringSSL не поддерживает ГОСТ, но поступит сигнал о соответствующей ошибке.

В случае возникновения подобного сигнала для данного сайта происходит переключение в режим работы интерфейса msspi. Если защищённое соединение успешно устанавливается через интерфейс msspi, сайт отмечается поддерживающим алгоритмы ГОСТ и все последующие с ним соединения будут использовать интерфейс msspi.

Для пользователя данный алгоритм работы остаётся прозрачен, так как Chromium автоматически устанавливает повторное соединение через интерфейс msspi.

Читайте также: