21 Установка и работа с СКЗИ Континент АП — РЕД ОС

Тест контроля целостности не пройден в Континент АП 3.7 В ПО Континент АП 3.7 и его модуле VPN Client довольно часто появляется ошибка, сопровождающаяся

Функция контроля целостности в Континент АП

Как известная, стабильная работа любой программы или программного комплекса не возможна без конгруэнтного взаимодействия всех её элементов. При нестабильной работе одного из таких элементов, его сбое или выходе из строя нормальная работа программы может быть нарушена.

Для воспрепятствования подобному в тело многих программ вшиваются инструменты, позволяющие проверить целостность данной программы. Система Континент АП также имеет функцию контроля целостности, позволяющую следить за неизменностью установленного на ПК её программного содержимого. Функция работает на основе сравнения содержимого ряда контрольных файлов с заранее заданным эталоном. В случае их несовпадения пользователь получает сообщение о не прохождении теста на контроль целостности, и предложение обратиться за помощью к системному администратору.

Проверка указанных контрольных сумм выполняется при:

  • При запуске ОС Виндовс;
  • При попытке подключения к серверу доступа;
  • После соответствующей команды оператора.Контроль целостности

Контрольные суммы для данного сравнения и пути к контрольным файлам обычно содержаться в файле integrity.xml.

Лого Континент АП

Как же решить возникшую проблему?

Читайте также: Ошибка Error CertEnroll – что предпринять.

Введение

Обслуживая государственные конторы всегда получаю больше всего сюрпризов. Только в этих конторах видишь программные продукты которые больше нигде не встретишь.

Решил рассказать о работе с такой замечательной программой как Континент АП. Программа предназначена для создания канала VPN по сертификату.

Работала эта программа без нареканий, но после того проходило обновление Windows программа стала выдавать ошибку.

Ошибка говорит о том что в файлах программы найдены изменения и она не может работать дальше. Выглядит сообщение следующим образом:

Ошибка контроля целосности.

Когда ошибка стала появляться часто и пользователи стали сильно нервничать задавая вопрос: «Почему раньше работал а теперь постоянные сбои?» решил вникнуть и разобраться в сути проблемы.

Что такое Континент АП 3.7?

Программное обеспечение «Континент-АП» предназначено для обеспечения безопасной передачи данных через общедоступные сети с помощью построения защищённой сети VPN. Защита передаваемых данных обеспечивается путём криптографического шифрования, что позволяет воспрепятствовать утечке данных в пользу третьих лиц.

Надёжность работа Континент-АП подтверждена различными сертификатами ФСБ России. Оно рекомендует функционал продукта для работы с казначейской службой, различными государственными и муниципальными органами.

Работа ПО «Континент-АП» устроена по принципу клиент-сервер. На компьютер клиента устанавливается программный комплекс «Континент-АП», который соединяется с нужным сервером. Последний проверяет полномочия клиента на доступ к ресурсам сети, и в случае положительного решения предоставляет указанный доступ.

Перед установкой свежей версии «Континент-АП»  (ныне это версия 3.7.7 и выше) на клиентском ПК должно быть установлена средство криптографической защиты информации (СКЗИ) «КриптоПро CSP» версии 4.0 и выше.

АПКШ "Континент"

Инсталляция на аппаратную платформу¶

При инсталляции ПО на аппаратную платформу используются два источника инсталляции:

  • CD-диск (входит в комплекте поставки оборудования)
  • USB Flash drive (так же входит в состав поставки)

Самый распространенный способ – это установка через USB Flash drive.В этом случае на носитель необходимо записать образ USB Flash drive из комплекта поставки.Образы находятся на CD-диске в директории SetupContinentFLASHIMAGES, имеют расширение .flash и записываются на USB Flash drive при помощи таких утилит как:

  • dd (Linux, BSD)
  • Win32DiskImager (Windows)
  • Rufus (Windows)
  • balenaEtcher (Windows, Linux, MacOS)

Примечание

Для распознавания файла образа в balenaEtcher необходимо изменить расширение с .flash на .img (cgw_release.flash -> cgw_release.img)

По факту каждый образ это raw image жесткого диска с двумя разделами.Первый раздел FAT размером 8 МБ. Предназначен для сохранения ключей администратора ЦУС или же конфигурации и ключей КШ.Второй раздел UFS (FreeBSD). Содержит необходимые для установки ПО файлы.Созданный таким образом USB Flash drive будет являться загрузочным устройством и позволит произвести установку ПО на аппаратную платформу АПКШ.

Каждый образ установочного ПО содержит требуемый функционал для конкретной реализации ПО:

  • arm_release.flash – АРМ ГК (Генерации Ключей)
  • cgw.aserv_release.flash – КШ-СД
  • cgw_release.flash – КШ
  • csw_release.flash – КК
  • ids_release.flash – ДА
  • ncc.aserv_release.flash – ЦУС-СД
  • ncc_release.flash – ЦУС

Внимание

При переустановке ПО на аппаратную платформу АПМДЗ «Соболь» будет выдавать предупреждение о том,что изменился загрузочный диск, на запрос о изменении загрузочного диска следует ответить «НЕТ»,в ином случае Соболь при загрузке уже с диска опять выдаст это предупреждение.Так же после переустановке ПО сбросится настройка «Время автоматического входа в систему»,следует установить этот параметр в значение, отличное от 0,иначе устройство будет требовать предъявление iButton при каждой загрузке.Пункт «Время автоматического входа в систему» может быть недоступен для редактирования,в этом случае необходимо создать пользователя AUTOLOAD в меню управления пользователям АПМДЗ «Соболь».

Системные требования Континент АП

На одном из компьютеров установлена Windows 10 Домашняя и в одной из контор, прочитав рекомендации на сайте, сказали что проблема в версии Windows.

В свое время я сильно озадачился версиями Windows и пришел к выводу что отличия версий только в доменом управлении, некоторыми функциями и элементами внешнего вида. В организации где не планируется и не будет использован Windows Server покупать профессиональные версии нет смысла. За название «Домашняя» отдельное спасибо маркетологам Windows, так как народ действительно думает что использовать такую версию можно только дома 🙂

На странице разработчика есть системные требования которые вы можете посмотреть. Лично у меня такие требования вызывают улыбку.

ООО А-Трейд ЕСПП 110297 (Шарапово д.1 Марушкинское): как вернуть деньги

В настоящее время Сеть переполнен гневными отзывами о работе интернет-магазина ООО А-Трейд (ЕСПП 110297),…

Далее Как организовать и проводить онлайн-встречи? 25.11.2020

Про установку Континент АП версии 3.7

ОБНОВИЛСЯ РАЗДЕЛ ПОСВЯЩЁННЫЙ РАСШАРИВНИЮ СОЕДИНЕНИЯ СМ В КОНЦЕ СТАТЬИ

Почему вы видите это здесь:
Большинство Все инструкции по установке КАП которые я встречал предлагают установку в графическом режиме, только в некоторых указано, что установка производится членом группы администраторов, про установку без криптопровайдера и из командной строки не говорится ничего

Кому требуется бумажная форма запроса на сертификат КАП сделанный через КБ CSP, а при установленной галке «бумажная форма» выдаёт ошибку.

если есть попробуйте удалить в реестре
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 0CryptDllFindOIDInfo1.2.643.2.1.3.1.2.1!3]

Кто получил сертификаты по ГОСТ 2012 и имеет проблемы

«сертификат содержит не действительную подпись или поврежден», на корневом и промежуточном стоят кресты.

Те, с кого требуют поверх всего этого благолепия обеспечить работу ЭБ с сертификатами по ГОСТ 2012 пишут заявление об уходе. 🙁

Про «Ошибка подписи ключа. Отказано в доступе » (из-за ключей сроком жизни больше 1,3 года) смотреть здесь

ngc.exe /b
действительно пересчитывает хэш файлов при ошибках целостности файлов КАП

ngc.exe /b /s то же в тихом режиме без отображения окна

ful пишет: Из нашего УФК сообщили, что Континент не работает с 2012 гостом на Крипто про. Для этого рекомендуют ставить Континент с встроенным криптопровайдером, чтоб через него, потом генерировать ключи по новому госту.

В связи с тем, что эта печальная новость подтверждена разработчиками и криптопровайдер понадобится таки для генерации ключей КАП по новому ГОСТ для минимизации глюков остаётся ставить Криптопро и Континент АП последних версий с криптопровайдером. На текущий момент это: сертифицированная 4.0.9963 (R4) и 3.7.7.651 соответственно.

Криптопро последней версии пофиг на «посторонний» криптопровайдер

КАП последней версии не имеет проблем с сертификатами с «неправильными» символами

Установка в графическом режиме, даже из под пользователя группы администраторы приводит к ошибкам, связанным очевидно с правами доступа к реестру, диску С: и папке Program Files и не позволяет избавиться от криптопровайдера.

Для любознательных: запускаем установщик с ключом /? читаем описание ключей командной строки 🙂

Установка КАП с криптопровайдером приводит к ошибке, для решения которой предлагают поковырять реестр, а этого лучше избежать.

Возникает ошибка подписи с применением КриптоПро 4.0.9842 + Континент АП 3.7.426 на порталах СУФД и ФЗС

Важно! Версия Крипто про должна быть не ниже v4.0.9944

Если в BIOS включен Secure Boot, то отключите его.

Об особенностях его отключения в ноутбуках HP рассказывает korfinotdel

В ноутбуках HP есть некоторая особенность. После изменения в Биосе нужно во время перезагрузки вводить код, который появляется на экране. Иначе изменения не сохранятся. Изначально я первым делом отключил Secure Boot (как я думал), потом начал устанавливать континент АП. Перепробовав все варианты, все посносил и начал разбираться более тщательно. И обратил внимание, что отключение secure boot при нажатии F10 не сохраняется. Уже потом прочитал про спецкод, проверил, что secure boot — disabled, и всё установилось без проблем.

Перед установкой удаляем предыдущие версии крипто-про и континент . Не экономим на количестве перезагрузок!

используйте утилиту очистки следов Континент-АП cspcleaner

Описание процесса удаления предыдущей версии КАП подробно от «Wmffre»

  1. Удалите установленный Континент-АП через «Установку и удаление программ»
  2. Запустите C:Program FilesSecurity CodeTerminal Stationcspcsp_uninst.exe (если есть)
  3. Далее удалите вручную через кнопку «Удалить» (если осталось) » Continent 3 MSE Filter » в свойствах «Подключение по локальной сети«
  4. Далее щелкните правой кнопкой мыши на значок «Мой компьютер» —> «Управление» —> левой кнопкой мыши выделите «Диспетчер устройств«, вверху выберете «Вид«, «Показать скрытые устройства» —> далее раскройте «Сетевые адаптеры» и удалите (если осталось) » Continent 3 PPP Device «
  5. Далее удалите КриптоПро CSP через утилиту удаления .
  6. Обязательно перезагрузитесь
  7. После перезагрузки установите КриптоПро CSP 4.0.9944
  8. Обязательно перезагрузитесь снова
  9. После перезагрузки установите Континент-АП 3.7.5 без сетевого экрана
  10. Обязательно перезагрузитесь
  11. После перезагрузки, если устанавливали криптопровайдер SecurityCode CSP, сделайте твик реестра (на x86 есть только первая ветвь реестра) для совместной работы КриптоПро CSP и SecurityCode CSP Криптопро последних версий не использует реестр.

Устанавливать Континент АП только из командной строки от имени администратора без межсетевого экрана и криптопровайдера

Перезагрузка
Прописываем сетевой адрес (или доменное имя) криптошлюза
===================
Про сетевой адрес и доменное имя
Внимание доменное имя здесь показано для примера!
В каждом регионе своё. Необходимо его пропинговать и получить IP адрес

Если вы прописали доменное имя, и нет соединения с сервером, убедитесь что оно успешно пингуется
Попробуйте вместо имени вписать IP и установить соединение

Чтобы не блокировалась локальная сеть — В свойствах своего сетевого подключения уберите чекбокс с Continent 3 MSE Filter

Будьте внимательны, при установке может проснуться Брандмауэр Windows, даже отключённый, необходимо дать в нём разрешения. Антивирус на время установки лучше выключить. Могут запрашиваться разрешения на установку драйверов — разрешаем

Запускать сам КАП потом тоже лучше от имени администратора.
Но, если установка делалась не из командной строки запуск КАП от имени администратора вам тоже не поможет — возникнут ошибки.

КАП 3.7 не распознаёт ключи сохранённые в реестре в реестре, и в некоторых случаях и не создаёт контейнер в реестре, хотя пишет, что создан. В связи с этим настоятельно рекомендуется создавать контейнер на флешке, откуда легко можно (и нужно!) сделать его копию.

Даже при отключённых обновлениях Windows периодически могут появляться ошибки целостности. Их можно попробовать обойти, обрезав файл c:Program FilesSecurity CodeTerminal Stationintegrity.xml как показано ниже, естественно предварительно сделав копию.

Пример файла integrity.xml Хеш (циферки) у каждого свои!


C:Program FilesSecurity CodeTerminal Stationngc.exe EBB64993D92299B11721C324F06299E06143BA7967EDF9C57BCFA546B5A41268

Далее запускаем ngs.exe чтобы убедиться, что проверка целостности проходит успешно.

Могут внезапно появиться ошибки типа «не найден модем»
В связи с тем, что автоматическое восстановление КАП 3.7 происходит в два этапа (удаление-перезагрузка-установка) и установка проходит уже не от администратора восстановление оказывается неэффективным, здесь поможет только удаление и установка КАП

Если вы обладатель «многолетнего» сертификата КАП не копируйте сертификат в контейнер, ибо Криптопро четвёртой версии считает что срок действия ключа не может превышать 15 месяцев, и возникает ошибка доступа к контейнеру. Если сертификата в контейнере нет срок не контролируется.

. ТОЛЬКО ДЛЯ РЕГИОНОВ ГДЕ КРИПТОПРОВАЙДЕР КОД БЕЗОПАСНОСТИ ИСПОЛЬЗУЕТСЯ ДЛЯ ГЕНЕРАЦИИ КЛЮЧА КОНТИНЕНТ-АП

Amana пишет: Установили Континент-АП по инструкции через командную строчку. Но почему-то не установился второй криптопровайдер (код безопасности), с помощью которого надо было сгенерировать ключ.

Это не «почему то», оно специально так задумывалось, чтобы избежать потом проблем с подписанием документов в СУФД и с заявками ФЗС.
Но если он вам точно нужен то при установке убираете ключ /NCSP
Обновить Криптопро до версии минимум 4.0.9944 Переустановите плагин Криптопро.

ПРИЧИНА. В хранилище ОС «Сертификаты — текущий пользователь -> Личное -> Сертификаты» есть сертификаты ЮЛ (от «Тензор» или «Контур-Экстерн»), содержащие недопустимые для Континент-АП (почему-то?) символы «,+; Если в названии организации есть кавычки, то по ошибке разработчиков КАП-3.7.5.474 обращает внимание на такие сертификаты и отказывается дальше искать и устанавливать континентовский сертификат пользователя.

РЕШЕНИЕ. Как вариант предлогаю выполнить следующее.

1. Из указанного выше хранилища сертификатов УДАЛИТЬ все просроченные cer ЮЛ, содержащие кавычки.

2. Обязательно проверить версию установленного «КриптоПро ЭЦП Browser plugin» — д.б. последняя на текущий момент 2.0. 13292 ! Если ниже — обновить до неё (прямая ссылка для скачивания с оф. сайта производителя — cryptopro.ru/products/cades/plugin/get_2_0 ).

3. Если остались действующие cer ЮЛ с кавычками — установить К-АП версии 3.7.5. 514 (прямая ссылка для скачивания — files.apksh.net/s/install/download?path=. ent_AP_3.7.5.514.exe ) через bat-файл БЕЗ брандмауэра и криптопровайдера Security Code во избежание дальнейших проблем с подписанием документов в СУФД («тихая» установка) следующего содержания:

После окончания ОБЯЗАТЕЛЬНО перезагрузить компьютер!

4. При настройке аутентификации НЕ ИМПОРТИРОВАТЬ сертификат пользователя К-АП, а ВЫБРАТЬ ИЗ СПИСКА (он не очищается при переустановке К-АП разных версий) и нажать «ОК». Проверить соединение (разумеется, предварительно настроив его по DNS имени вместо IP адреса).

Именно такими окольными путями удалось заставить работать К-АП_3.7.5. 514 под КриптоПро-4.0. 9842 даже под Windows 7 Home Basic и XP sp3!

Если всё же ничего не помогло — ставить К-АП_3.7.7. 651 (самый свежий на сегодня), скачав по прямой ссылке — files.apksh.net/s/install/download?path=. ent_AP_3.7.7.651.exe

ful пишет: Из нашего УФК сообщили, что Континент не работает с 2012 гостом на Крипто про. Для этого рекомендуют ставить Континент с встроенным криптопровайдером, чтоб через него, потом генерировать ключи по новому госту.

В связи с тем, что эта печальная новость подтверждена разработчиками и криптопровайдер понадобится таки для генерации ключей КАП по новому ГОСТ для минимизации глюков остаётся ставить Криптопро и Континент АП последних версий с криптопровайдером. На текущий момент это: 4.0.9955 и 3.7.7.651 соответственно.

Если всё пробовали и ничего не помогло:

Удаляем всё и пробуем ставить КриптоПро и Континент АП последних версий .На текущий момент это: 4.0.9955 и 3.7.7.651 соответственно.

Для Windows XP

Обход ограничений

Эксперименты проводить только убедившись в нормальном функционировании в штатном режиме
(***) Любителям виртуальных отчуждаемых носителей гуглить OsfMount

(****) Желающим расшарить соединение КАП гуглить HandyCash или 3proxy

Извините, но у вас недостаточно прав для комментирования

Комментарии

no_avatar.png

avatar1034.jpg

avatar883.jpg

При соединении К-АП сертификатом, изготовленном по Гост-2012 на криптопровайдер е «Код Безопасности CSP», может выйти сообщение об ошибке со стороны сервера (без кода).
Решение: ПКМ по иконке К-АП в трее -> Настройка аутентификации -> Континент-АП -> Сертификаты по умолчанию -> точку в «Использовать расширенный сертификат» -> выбрать серт К-АП из списка в строке справа.

P.S: если автор статьи посчитает информацию полезной и достоверной, то м.б. разрешит добавить её в текст статьи. 🙂

no_avatar.png

no_avatar.png

В связи с прекращающейся поддержкой Windows 7 в 2020 году имеется два компьютера на Windows 10 1909 Крипто ПРО 4.0.9971 и КАП 3.7.7.651
Проверка целостности отключена, соединение настроено и работает, но до первой перезагрузки.
После перезагрузки при попытке установить соединение КАП, вылезает ошибка крипто про «Вставьте рабочий ключевой носитель» где на выбор реестр, некие токены, диск D и флешка.

ibb.co/K0ZsBMq
cap-error.jpg

Контейнера сгенерированные на криптопровайдер е Крипто ПРО по 2001 госту, есть и на локальном D и на флешке, но не видятся. Помогает Установка сертификата пользователя через КАП. И соединение получается установить. Но опять же до перезагрузки. Как побороть? )

PS. Есть еще два других компьютера на таком же софте, где соединение не сбивается. Делалось все одинаково, но что не так с этими двумя, понять не могу..

источник

Федеральное казначейство

gerb-kazna.png

официальный сайт Казначейства России
www.roskazna.ru

Наш каталог продукции

У нас Вы найдете широкий ассортимент товаров в сегментах кассового, торгового, весового, банковского и офисного оборудования

Выполните исправление Континент АП 3.7

Хорошим вариантом, позволяющим избавиться от данной ошибки является запуск функции исправления Континент АП. Для этого понадобится запустить инсталлятор программы АП Континент, и в появившемся меню выбрать пункт «Исправить».

Опция исправления Континент АП

Данный инструмент хорошо справляется с отсутствующими или повреждёнными программными файлами, и отлично подойдёт при описываемой в статье дисфункции.

Строка инициализации¶

Строка инициализации используется для создания устройства в ПУ ЦУС, это способ сообщить ПУ ЦУС идентификационный номер устройства, а так же количество и тип сетевых интерфейсов.

Внимание

При ошибке в строке инициализации в дальнейшем будет невозможно загрузить конфигурацию на устройство, так что стоит быть предельно внимательным при ее вводе.

Строка инициализации для оборудования, поставляемого производителем приведена в Паспорте.Так же строку инициализации можно увидеть при инсталляции ПО (строка инициализации появляется после ввода идентификатора устройства.В некоторых случая строка инициализации может уйти за границы экрана, в этом случае необходимо нажать Scroll Lock и прокрутить экран вверх при помощи клавиш с указателями).

Внимание

Следует быть внимательным, при установке на виртуальную машину, поскольку в некоторых гипервизорах могут использоваться различные типы интерфейсов!К примеру в VirtualBox используются интерфейсы le. Так же стоит обратить внимание, если количество интерфейсов в строке инициализации отличается от фактического количества интерфейсов на аппаратной платформе, это может быть признаком выхода интерфейса из строя, и как следствие ОС не может его обнаружить.

Строка инициализации имеет простой и понятный формат, например:

000027103igb0*02BDigb1*02BDigb2*02BDffff
00002710 3 igb0*02BDigb1*02BDigb2*02BD ffff
  • 00002710 – идентификатор криптошлюза в HEX, длиной восемь символов, дополняется нулями в начале
  • 3 – количество сетевых интерфейсов устройства, далее и до конца строки идет перечисление интерфейсов и их режимов работы
  • igb0*02BDigb1*02BDigb2*02BD – наименование сетевых интерфейсов, как их определяет операционная система, режим работы (скорость, дуплекс), * отделяет интерфейсы
  • ffff – признак окончания строки инициализации

Интерфейсы и режим работы:

  • em0 (медь) – 02BD
  • igb (оптика) – 3001
  • igb (медь) – 02BD
  • ix (оптика 10G) – 0001
  • ixl (оптика криптоускоритель) – 2E801

Онлайн генератор строки инициализации

Как организовать и проводить онлайн-встречи?

Начиная с марта 2020 года большинство деловых переговоров и обучающих мероприятий проходят онлайн. Эксперты…

Далее Безлимитная переадресация вызова с прямого номера: что это в МТС 28.08.2020

Внимание! Изменение настроек доступа к СУФД-Порталу c использованием программного обеспечения Континент-АП

В соответствии с письмом Федерального казначейства от 24.08.2020 г. № 10-03-04/16773, в период с 29.08.2020 г. по 30.08.2020 г. (суббота-воскресенье) была проведена миграция базы данных СУФД-Портала в Центр обработки данных. В результате этих мероприятий изменился IP адрес для доступа к СУФД-Порталу c использованием программного обеспечения Континент-АП.

В связи с этим, начиная с 31.08.2020 г. (понедельник), доступ к СУФД-Порталу будет возможен только после выполнения следующих настроек:

Настройка доступа к СУФД-Порталу c использованием программного обеспечения Континент-АП.

На ваших рабочих местах в файле hosts (файл расположен по пути C:WindowsSystem32driversetc) необходимо найти две строки:

10.27.200.66 s2700w03.ufk27.roskazna.local s2700w03

10.27.200.66 sufd.s2700w03.ufk27.roskazna.local sufd

и заменить в них IP адрес 10.27.200.66 на 10.136.27.36.

Таким образом, у вас должно получиться:

10.136.27.36 s2700w03.ufk27.roskazna.local s2700w03

10.136.27.36 sufd.s2700w03.ufk27.roskazna.local sufd

Ссылка входа в СУФД-Портал останется прежней

Перед первым входом необходимо почистить кэш и куки браузера.

Источник

Безлимитная переадресация вызова с прямого номера: что это в МТС

Компания МТС постоянно вносит небольшие изменения в условия работы того или иного тарифного плана. Иногда…

Далее Для защиты нашего сообщества мы ограничиваем некоторые действия в Инстаграм: что делать? 12.08.2020

Рейтинг
( 1 оценка, среднее 5 из 5 )
Загрузка ...