Меню Рубрики

Установка корневого сертификата для континента

Континент АП: не найден корневой сертификат. Что делать?


Часто при использовании программного продукта для работы с Федеральным Казначейством Континент АП пользователи сталкиваются с ошибкой «Не найден корневой сертификат«. Причин для появления этой ошибки может быть несколько, мы в этой статье перечислим основные из них и узнаем что делать в таких случаях и как убрать ошибку. Обращаем ваше внимание, что информация актуальна на момент написания статьи, если перечисленные способы не помогут самостоятельно справиться с проблемой — вы всегда можете обратиться в отдел технической поддержки Казначейства или к разработчикам программы Континент АП.

Причины появления ошибки «Не найден корневой сертификат» в Континент АП

1. Не установлены корневые сертификаты удостоверяющего центра (УЦ) Федерального Казначейства. Обычно сотрудники УФК записывают их на флеш-диск вместе с личным сертификатом пользователя. Здесь надо проверить их наличие в доверенных корневых центрах сертификации. Для этого надо войти по пути: Пуск — Панель управления — Свойства Обозревателя — Вкладка «Содержание» — Пункт «Сертификаты» — Пункт «Доверенные корневые центры сертификации«, опустить ползунок в самый них и посмотреть — какие корневые сертификаты установлены с российским обозначением. Если все сделано правильно — вы должны видеть примерно такую картину:

Если у вас в списке нет этих сертификатов — их надо скачать и установить, описание процедуры ниже. Также можно проверить наличие установленных сертификатов в системе нажав клавиши Win (клавиша в нижнем ряду клавиатуры со значком Виндовс) +R и в появившемся окне набрать certmgr.msc, нажать Enter.

2. Корневые сертификаты УЦ были ошибочно или намеренно удалены. Опять же — скачать и установить сертификаты.

3. У корневых сертификатов истек срок действия. Очень редкая ошибка, КС выдаются на длительный срок — от 5 до 10 лет, однако иногда выпускаются другие версии. Устранение ошибки в этом случае то же самое — скачать и установить свежие корневые сертификаты.

4. Проблема с Crypto Pro. Часто обновленные версии программы Крипто Про не совсем правильно работают с программами и сертификатами Казначейства. Мы уже писали об этом, например, здесь. Решение — переустановка Крипто Про на более новую или, наоборот, старую версию.

5. Ограниченные права пользователя. Ошибка Континент АП «Не найден корневой сертификат» была замечена в 10 версии Виндовс. Решение — дать пользователю полные права.

6. Неправильная работа программы Континент АП. Решение — полное удаление и установка актуальной версии программы Континент АП по имеющемуся на официальном сайте Руководству.

Ссылка на скачивание корневых сертификатов Казначейства

Скачать действующие корневые сертификаты удостоверяющего центра Казначейства можно с официального сайта по ссылке: roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/
Для корректной работы необходимо скачать и установить оба предлагаемых файла сертификатов:

1. Сертификат Головного удостоверяющего центра Минкомсвязи,
2. Сертификат Удостоверяющего центра Федерального казначейства.

Даты их выпуска могут меняться, как правило, выпускаются они на несколько лет.

Как установить

Перед установкой корневого сертификата УЦ вы должны убедиться, что у вас установлена программа Крипто-Про и её лицензия активна. По скачанному сертификату надо кликнуть правой кнопкой мыши, выбрать в меню Установить сертификат. Далее выбираете расположение хранилища — Пользователь или Локальный компьютер. Мы рекомендуем выбирать второй вариант. Жмете кнопку Далее. Выбираете Поместить сертификаты в следующее хранилище, нажимаете Обзор, кликаете на Доверенные корневые центры сертификации, нажимаете Ок, Далее и Готово. Появится предупреждающая проведение установки табличка:

Если вы все сделали правильно — появится сообщение о том, что импорт был успешно выполнен. Эту же процедуру надо проделать с установкой второго корневого сертификата. Можете скачать архив с актуальными на момент написания статьи Корневыми сертификатами по этой ссылке (формат .rar).

источник

Сертификат Континента АП.

В одной из своих статей я рассказывал как установить программу Континент АП на Windows 7. Дело в том, что эта программа использует в своей работе сертификаты, с помощью которых создается защищенное соединение и обмен данными с сервером доступа Континента АП. В этой статье я постараюсь рассказать как создать запрос на издание сертификата для Континента АП, а также как установить этот сертификат в программу.

Показывать буду как всегда с картинками, правда сделаны они были на компьютере, под управлением Windows XP. Итак приступим.

После установки Континента АП, у вас в трее должен появиться значёк «серый щит». Если кликнуть этот «щит» правой кнопкой мышки, то появится контекстное меню, как показано на картинке ниже:

Тут надо выбрать пункт меню «Сертификаты», а затем «Создать запрос на пользовательский сертификат». Откроется следующее окошко (рис.2):

Эту форму необходимо заполнить. Перед этим не забудьте вставить чистый ключевой носитель. Ведь после заполнения этой формы начнется генерация закрытых ключей, которая происходит на отторгаемый ключевой носитель. Это может быть, например, флешка. Если вы используете на своём компьютере программу Крипто ПРО 3.6 и выше, то там флешки включены по умолчанию. А если быть более точным, то «Все съёмные носители». Генерацию на ключевой носитель типа «Реестр» не рассматриваю, т.к. это запрещено в нашем УФК.

Итак, вернемся к заполнению формы (рис.2). Как можно видеть, она состоит как бы из двух блоков. Я их обвел желтым контуром. Если с верхним блоком все интуитивно понятно (надо заполнить все поля), то на нижнем остановлюсь подробнее. Сразу необходимо установить галку «бумажная форма». По умолчанию она не установлена. По кнопкам «Обзор» можно выбрать место для сохранения файлов. А их будет два. *.reg и *.html. Имена файлов можно отредактировать так, как вам будет удобно, не меняя, конечно же, расширения файлов.

По умолчанию программа предлагает сохранить под следующим именем: имя компьютера в сети (я обвёл синим контуром), дата и время создания запроса. Как видно из рисунка, запрос создавался 10.12.2015 в 9 часов 51 минуту 46 секунд на компьютере с именем «imyacompa». Последние 3 символа добавляются случайным образом. Они всегда состоят из трёх цифр и какой-то системы в их генерации я не заметил.

Читайте также:  Установка литых дисков на нексию

Стоит отметить, что если вы скачали у меня с сайта программу Континент АП версии 3.5.68.0, то скорее всего там старый шаблон печатной формы. После установки данной программы, вам необходимо поменять этот шаблон. Это актуально для нашего региона, а именно Челябинской области. Изменение шаблона печатной формы затронет только печатную форму в формате *.html, на *.req файл это не окажет никакого влияния.

Если у вас в регионе используется старый шаблон, то вы должны действовать в соответствии с рекомендациями для вашего региона. Скачать новый шаблон можно по следующей ссылке. Если же вы находитесь в нашем регионе, то перед генерацией ключей и запроса на сертификат, поменяйте шаблон в соответствии с инструкцией в приложенном файле.

Итак, определившись с именем файлов, можно запустить генерацию запроса на сертификат, нажав кнопку «ОК». Как уже было сказано выше, мы получим 2 файла *.req и *.html, а также закрытые ключи на флешке или любом другом носителе.

Дальше необходимо действовать в соответствии с порядком предоставления запросов на сертификат, который действует в вашем УФК. У нас мы распечатываем *.html файл на бумажном носителе, подписываем владельцем сертификата и руководителем организации. Затем передаем в казначейство бумажный экземпляр и *.req файл на съёмном носителе и взамен получаем сертификат.

Итак, запрос отправлен в УФК, мы получили сертификат. Кстати, между отправкой запроса и получением сертификата может пройти время, у всех по разному, но главное дождаться сертификата. Что же дальше? А дальше кликаем правой кнопкой мыши на «щите» Континента АП и делаем то, что показано на рисунке ниже:

А именно: идем опять на «Сертификаты», а потом «Установить сертификат пользователя». Стрелочки на рисунке 3 показывают, что надо делать. Перед этим вставьте ключевой носитель с закрытыми ключами, полученными в результате генерации, а также подготовьте полученный из УФК сертификат. Я его переписал на ключевой носитель, чтобы он всегда был под рукой. Вы можете поступить по своему: переписать его куда угодно, главное, чтобы при установке Вы смогли до него добраться. Кстати, вместе с пользовательским сертификатом, наше УФК выдает также и корневой сертификат Континента АП. Этот сертификат, при установке, должен быть расположен в том же каталоге, что и пользовательский. В общем, на рисунке ниже всё это показано:

Корневой сертификат Континента АП — это файл root. Этот сертификат нужен при установке Континента АП в первый раз. После установки пользовательского сертификата, программа устанавливает корневой, если он не установлен. В противном случае — ничего не делает. Но если в первый раз программа не найдет корневой, то будут проблемы. Поэтому лучше пусть будет всегда вместе с сертификатом пользователя в одном каталоге.

Здесь, рисунок 4, при установке надо выбирать, конечно же, сертификат пользователя. Он подчеркнут мною на картинке. А желтая папка — это закрытые ключи, полученные при генерации запроса. Там шесть файлов с расширением *.key. Кстати, ключи стандартные для программы Крипто Про 3.6. Ведь именно она генерирует эти ключи. Итак, выбрав сертификат пользователя, нажимаем кнопку «Открыть» и попадаем на следующую картинку:

Самая верхняя строчка — это как раз и есть ключевой контейнер с закрытыми ключами. А на этом этапе мы как раз и должны указать программе соответствующий нашему сертификату ключевой контейнер. А именно тот, который был сгенерирован при создании запроса на сертификат. Вообще, позволю себе небольшое отступление. Все ЭЦП, которые генерируются с помощью Крипто Про (вы ведь не думаете, что ключи генерирует Континент АП), состоят из двух частей:

  • закрытый ключ — это ключевой контейнер, получаемый при генерации;
  • открытый ключ — это сертификат, полученный из казначейства.

Эти части соединяются (опять же, с помощью Крипто Про) только в том случае, если они соответствуют друг другу. Не составляет труда сделать вывод: если одна из частей утеряна или повреждена, то перестаёт работать всё ЭЦП. И исправить эту ситуацию невозможно, кроме генерации новой ЭЦП. Есть способы сделать копию ЭЦП, но в этой статье я касаться этого не буду.

Итак, возвращаемся к «нашим баранам». На рисунке 5 надо обязательно кликнуть по верхней строчке с ключевым контейнером, а потом нажать «ОК». После того как всё это будет проделано, Вы получите следующее окно:

Ну тут только «ОК», других путей не дано. Поздравляю Вас, сертификат установлен. Настало время проверить его работоспособность. Для этого надо сделать так, как подсказывает нам следующая картинка:

ПКМ на «щите», идем «Установить/разорвать соединение» -> «Установить соединение Континент АП» и попадаем в следующее окно:

Нажмем туда, куда показывает красная стрелка (рис. 8). Если на предыдущих этапах Вы следовали этой инструкции, то у Вас выскочит как минимум один сертификат. Вы должны выбрать именно тот, который только что установили (см. рис 9):

Выбрав его, отметьте галочкой «всегда использовать данный сертификат при подключении». В этом случае Ваш Континент АП будет подключаться к серверу используя указанный сертификат. В противном случае (если галка не установлена), он будет предлагать выбрать сертификат при каждом подключении. Чтобы узнать правильно ли был выбран сертификат, можно воспользоваться кнопкой «Свойства». Она покажет всё о выбранном сертификате. В конце, как всегда кнопка «ОК». Начнется процесс подключения Континента АП к серверу доступа. Если все сделано правильно, то в результате вы увидите в трее, как «щит» сменил цвет с серого на синий:

Читайте также:  Установка задних динамиков в шниву

Если у Вас получилось то же, что и у меня, то я рад поздравить Вас с удачной установкой сертификата для континента АП. После того, как Вы подключились к серверу доступа, можете загружать СУФД и начинать в ней работать.

P.S. Ну и ещё: Я думаю, что я достаточно подробно тут всё изложил. Но все равно могут возникнуть какие-нибудь вопросы. В этом случае пишите их в комментариях ниже. Кстати, для зарегистрированных пользователей моего сайта, комментарии появляются сразу, без модерации.

И напоследок. Если вам понравилась эта статья и вы почерпнули из нее что-то новое для себя, то вы всегда можете выразить свою благодарность в денежном выражении. Сумма может быть любой. Это вас ни к чему не обязывает, все добровольно. Если вы всё же решили поддержать мой сайт, то нажмите на кнопку «Поблагодарить», которую вы можете видеть ниже. Вы будете перенаправлены на страницу моего сайта, где можно будет перечислить любую денежную сумму мне на кошелек. В этом случае вас ждет подарок. После успешного перевода денег, вы сможете его скачать.

источник

Инструкция по установке сертификата Континент-АП

Инструкция по установке сертификата Континент-АП.

Полученный в ОрФК транспортный сертификат необходимо скопировать в отдельный каталог Вашей рабочей станции.

Регистрация сертификатов производится в следующем порядке.

1. Наведите указатель мыши на пиктограмму Абонентского пункта (щит), расположенную на панели задач Windows, и нажмите правую клавишу мыши. На экране появится меню управления Абонентским пунктом. Выберите пункт меню “Установить сертификат пользователя”

2. Укажите путь к файлу сертификата user.

3. Нажмите на кнопку «Открыть». На экране появится диалог выбора ключевого контейнера сертификата пользователя. Выберите нужный ключевой контейнер, находящийся на соответствующем ключевом носителе.

4. Нажмите кнопку «ОК». В том случае, если в хранилище сертификатов на компьютере отсутствует корневой сертификат, подтверждающий зарегистрированный сертификат пользователя, на экране появится запрос на его установку.

5. Для регистрации корневого сертификата нажмите кнопку:

• «Да, автоматически» — в случае если корневой сертификат root. p7b хранится в одной папке с сертификатом пользователя. Будет выполнен автоматический поиск сертификата;

Примечание. Если корневой сертификат не будет найден, то пользователю будет предложено самостоятельно указать расположение корневого сертификата.

• «Да, вручную» — в случае если корневой сертификат и сертификат пользователя хранятся в разных папках. Пользователю будет предложено самостоятельно указать расположение корневого сертификата.

На экране появится сообщение системы безопасности Windows о том, что сейчас будет выполнена регистрация корневого сертификата.

6. На предупреждение системы безопасности ответьте «ДА». Корневой сертификат будет зарегистрирован. На экране появится сообщение о том, что регистрация сертификата пользователя завершена. Установка сертификатов завершена.

Проверка соединения СКЗИ «Континент-АП»

с сервером доступа органа ФК

1. Вызовите контекстное меню пиктограммы Абонентского пункта (Ярлык в форме Щита с аббревиатурой «АП»), расположенной на панели задач Windows.

2. В меню «Установить / разорвать соединение» активируйте команду «Установить соединение Континент-АП».

На экране появится диалог выбора сертификата:

В поле «Сертификат пользователя» в раскрывающемся списке выберите ваш сертификат. В поле «Использовать данный сертификат при следующем подключении» установите отметку, если требуется, чтобы выбранный сертификат всегда использовался при подключении к серверу доступа и данный диалог не появлялся на экране.

Если подключение к данному серверу доступа выполняется впервые, на экране появится сообщение, предлагающее добавить в списки разрешенных для подключения серверов имя сервера доступа и корневой сертификат центра сертификации.

На предложение ответьте «ДА». В случае успешного подключения к серверу доступа на панели задач Windows появится пиктограмма нового сетевого подключения. Во всплывающем информационном окне отобразятся сведения о подключении. Цвет пиктограммы «Щит» изменится с серого на голубой.

Для разрыва соединения с сервером доступа:

1. Вызовите контекстное меню пиктограммы Абонентского пункта, расположенной на панели задач Windows.

2. В меню «Установить / разорвать соединение» активируйте команду «Разорвать

Соединение с сервером доступа будет разорвано. Цвет пиктограммы «Щит» изменится с голубого на серый.

источник

Порядок получения сертификата электронной подписи Континент-АП

Внимание! У различных регионов УФК может быть свой подход по оформлению документов для получения сертификата ключа ЭП для СКЗИ Континент-АП. Перед использованием Порядка проконсультируйтесь пожалуйста с отделом УФК в котором ваше учреждение обслуживается.

Что такое СКЗИ «Континет-АП»?

Программный VPN клиент, позволяющий удаленному пользователя установить защищенное соединение с сервером доступа АПКШ «Континент».

В нашем случае, устанавливает защищенное соединение компьютера пользователя с сервером доступа УФК для функционирования СУФД (системы удаленного финансового документооборота).

Выдается и учитывается как средство криптографической защиты информации. Для получения в УФК необходимо предоставить письменное обращение.

«Континент-АП» — сертифицированное решение, имеет сертификаты: ФСТЭК России на соответствие уровням МСЭ 4 и НДВ 3, ФСБ России СКЗИ класс КС1, КС2 (с применением ПАК «Соболь»).

1. Назначение ответственных лиц.

Все начинается с распорядительных документов. Распорядительным документом, в данном случае, является приказ либо распоряжение о назначении ответственного лица на получение электронной подписи для СКЗИ Континент-АП. Необходимо решить на кого будут возлагаться полномочия по работе с данным программным обеспечением и издать приказ (распоряжение) согласно бланка.

Бланк редактируете под ваше учреждение, указываете правильное наименование УФК и назначаете ответственное лицо (или ряд лиц).

Во втором пункте документа возлагаете функции и обязанности Администратора СКЗИ Континент АП на назначенного сотрудника, с указанием его должности и подразделения.

Если документ издается впервые, то пункт 4 бланка необходимо удалить.

Для предоставления документа в казначейство, с утвержденного документа необходимо сделать копию и заверить ее в установленном порядке.

2. Генерация ключа электронной подписи.

Порядок генерации ключа электронной подписи в Континент-АП

1. Запускаем программу СКЗИ «Континент-АП», если она еще не запущена. Возле «часов» на вашем компьютере появится иконка в виде серого щита с черными буквами АП. Кликаем правой клавишей мыши, в появившемся контекстном меню заходим «Сертификаты — Создать запрос на пользовательский сертификат».

Читайте также:  Установка водяных счетчиков отзывы

2. В окне «СКЗИ Континент-АП» заполняем форму данными сотрудника указанного в приказе. Пример заполнения приведен ниже. Все поля должны быть заполнены. Обратите внимания на поля: «электронная форма» и «бумажная форма». По этим путям формируются файлы которые вам понадобятся в дальнейшем, поэтому или запоминайте пути или меняйте их на куда-нибудь поближе. В примере этот путь изменен на «c:\certificate\». После заполнения и проверки на правильность жмем «ОК».

3. В этом окне «Крипто ПРО CSP» указан носитель, на который будет записан контейнер ключа ЭП (закрытая часть). В данном случае, запись произойдет на флэшку обозначенную в системе буквой «F:». Т.е. это так настроен считыватель Крипто Про. Менять ничего не надо, это просто для информации. Жмем «ОК».

4. Тут понятно — необходимо задать пароль на использование ключа – вводим и подтверждаем, а главное запоминаем . Если пароль не нужен – просто жмем «ОК».

6. Находимо найти файлы, сформированные ранее. Два файла с расширениями: «html» и «req» (в данном примере они выглядят так Ivan_01_03_2012__11_25_07_578.html и Ivan_01_03_2012__11_25_07_578.req). Файл с расширением «html» открываем (двойным кликом) и распечатываем.

7. Файл с расширением «req» необходимо записать на флешку и доставить в казначейство.

8. Далее необходимо Заявку заполнить, подписать и заверить печатью. Все это подробно показано на примере. Обратите внимание на подписание документа руководителем учреждения, хотя поля на документе отсутствуют.

Заявку желательно заполнить в двух экземплярах либо сделать копию, чтобы один экземпляр вернулся к вам с отметкой о принятии оператором УЦ.

3. Подготовка документов для посещения ТОФК

  • Заверенная копия приказа (распоряжения) «О назначении ответственных лиц» для организации обмена электронными документами с использованием средств криптографической защиты информации Континент-АП.
  • Согласие на обработку персональных данных на назначенное ответственное лицо, если не предоставлялось ранее.
  • В случае подачи документов на получение сертификата Уполномоченным лицом необходимо предоставление доверенности или иного документа, подтверждающего право действовать от имени получателя сертификата.
  • Заявка на получение в удостоверяющем центре сертификата ключа абонентского пункта на каждого уполномоченного лица указанного в приказе, на бумажном носителе (пример заполнения Заявки)
  • Файл запроса в электронном виде (*.req), полученный при генерации ключа ЭП. Необходимо скопировать на носитель (флешку) и предоставить вместе с документами. Пример: Ivan_01_03_2012__11_25_07_578.req

Электронный носитель информации не должен содержать ключ ЭП в противном случае такие ключи ЭП будут считаться скомпрометированными и их придется отзывать!

Пример заполнения Заявки

Заявку желательно заполнить в двух экземплярах , чтобы один экземпляр вернулся к вам с отметкой оператора УЦ.

4. Получение и установка сертификата ЭП.

После предоставления всех перечисленных выше документов и файлов, будет изготовлен сертификат (открытая часть ключа ЭП). Об этом будет сообщено по телефону, на контактный номер учреждения. После чего, владельцу сертификата или уполномоченному лицу (доверенность), необходимо получить сертификат на бумажном носителе и в электронном виде (файлы user.cer и root.p7b на флешку).

Полученные файлы необходимо скопировать на компьютер где используется СКЗИ «Континет-АП». Рекомендую выделить для этого специальную папку, например «c:\certifikate».

Важно! Не устанавливайте файл сертификата user.cer в Крипто-Про иначе срок действия ключа сократится до 1 года 3 месяцев (обсуждение проблемы на форуме).

Порядок установки сертификата электронной подписи Континент-АП

1. Запускаем программу «Континент-АП», если она еще не запущена. Возле «часов» появится иконка в виде серого щита с черными буквами «АП». Кликаем правой клавишей мыши, в появившемся контекстном меню заходим «Сертификаты — Установить сертификат пользователя».

2. Находим папку в которую вы сохранили полученные файлы сертификатов ЭП (например c:\certifikate). Встаем на файл с именем «user.cer«, и жмем «Открыть».

3 .В открывшемся окне выбираем контейнер ключа (закрытая часть ключа) находящийся на флэшке или на дискете (у вас он естественно будет с другим именем). Встаем на него и жмем «ОК».

4. В этом окне вам предлагается установить корневой сертификат. Кликаем по кнопке с надписью «Да, вручную».

5. Выбираем, все в той же папке, но уже файл с именем «root.p7b«. Жмем «Открыть».

6. Компьютер спрашивает вашего разрешения установить корневой сертификат, советую ответить «Да» 🙂

5. Прекращение действия сертификата

Сертификат Континет-АП может прекратить свое действие по инициативе владельца сертификата либо по инициативе лица, действующего от имени Заявителя (руководитель) , на основании Заявления на изменение статуса сертификата:

  • в случае прекращения деятельности;
  • в случае лишения владельца сертификата полномочий;
  • в случае увольнения владельца сертификата;
  • в случае изменения сведений, включенных в сертификат (при этом в течение пяти рабочих дней представляется соответствующее Заявление на изменение статуса сертификата с последующим осуществлением смены сертификата);
  • в случае компрометации КЭП владельца сертификата;
  • выхода из строя ключевого носителя, содержащего КЭП владельца сертификата, при отсутствии учтенных резервных ключевых носителей КЭП;
  • в иных случаях по решению Заявителя.

Заявление на изменение статуса сертификата представляется в форме документа на бумажном носителе .

В случае представления Заявления на изменение статуса сертификата уполномоченным лицом повторное представление документа, подтверждающего его полномочия, не требуется при наличии в ТОФК актуальной версии данного документа.

Заявление на изменение статуса сертификата проверяется на предмет соответствия реквизитов, указанных в Заявлении на изменение статуса сертификата, данным Реестра сертификатов.

В случае выявления несоответствия реквизитов, Заявление на изменение статуса сертификата возвращается с указанием причин отказа.

Извините, но у вас недостаточно прав для комментирования

источник