Установка и настройка СКЗИ «Континент TLS VPN Клиент»

Необходимость установки СКЗИ «Континент TLS VPN Клиент» для работы в Личном кабинете Электронного бюджета обусловлена использованием протокола «http» и возможностью эксплуатации браузеров, отличных от Internet Explorer.

В случае отсутствия дистрибутива необходимо обратиться в ОРСиБИ Федерального казначейства своего региона.

Рекомендуемая для работы с сертификатами на основе ГОСТ 2012 сборка СКЗИ «Континент TLS VPN Клиент» 2.0.1440.0.

Если на АРМ пользователя уже установлен Континент TLS Клиент предыдущей версии, то перед началом установки новой версии требуется выполнить следующие действия:

1. Перейти в Пуск > Панель управления > Программы > Программы и компоненты.

2. Удалить ПО Континент TLS-клиент.

3. Перезапустить АРМ. В процессе удаления появится окно с предложением перезапуска АРМ, необходимо нажать «Да».

Если на АРМ пользователя ранее был установлен криптопровайдер Код Безопасности CSP, который мог устанавливаться отдельно или был встроен в предыдущие версии каких-либо продуктов от производителя «Код Безопасности», то перед началом установки новой версии Континент TLS Клиента требуется удалить остаточные файлы криптопровайдера и очистить реестр специальной утилитой в соответствии со следующей инструкцией:

1. С помощью командной строки запустить утилиту очистки CSP «CspCleaner» с ключами to (Рисунок 51). Запуск должен производиться из директории, в которой находится данная утилита

Рисунок 51. Запуск утилиты очистки CSP

2. После удаления остаточных файлов криптопровайдера согласиться на перезагрузку АРМ.

3. В случае отсутствия дистрибутива утилиты очистки CSP необходимо обратиться в ОРСиБИ Федерального казначейства своего региона.

Установка и настройка Континент TLS Клиента должна производиться из-под учетной записи с правами администратора на клиентскую операционную систему Windows с установленными обновлениями.

Для установки СКЗИ «Континент TLS VPN Клиент» необходимо:

1. Запустить файл установки «Континент TLS-клиент.exe» (Рисунок 52).

Рисунок 52. Стартовое окно мастера установки СКЗИ «Континент TLS VPN Клиент»

2. Отметить чекбокс «Я принимаю условия лицензионного соглашения». Нажать кнопку «Установить».

Начнется процесс установки.

При успешной установке отобразится диалоговое окно «Установка завершена» (Рисунок 53).

Рисунок 53. Диалоговое окно завершения установки

3. Нажмите кнопку «Перезагрузить». АРМ перезагрузится.

В случае если на АРМ установлено какое-либо антивирусное ПО, оно может блокировать работу Континент TLS Клиента, поэтому после установки данного СКЗИ необходимо добавить Континент TLS Клиент в доверенное программное обеспечение антивируса и перезагрузить АРМ.

При первичной установке СКЗИ «Континент TLS VPN Клиент» на АРМ требуется выполнить регистрацию СКЗИ.

Во время первого запуска СКЗИ «Континент TLS VPN Клиент» отобразится диалоговое окно «Вы используете незарегистрированную версию программы» (Рисунок 54). При нажатии на кнопку «Продолжить без регистрации» пользователю будет предоставлен демонстрационный период эксплуатации СКЗИ продолжительностью 14 дней. По истечении данного срока, работа в TLS Клиенте будет невозможна.

Рисунок 54. Диалоговое окно о состоянии регистрации СКЗИ

В зависимости от способа доступа к системе (из сети ЗКВС или из сети Интернет) требуется выбрать тип регистрации.

В случае если доступ к системе производится из сети Интернет, необходимо:

1. В появившемся диалоговом окне нажать на кнопку «Зарегистрировать». Отобразится окно регистрации. Перейти в окно регистрации можно также из меню TLS Клиента, нажав на вкладку «Настройки». Перейти в раздел «Регистрация». Нажать на кнопку «Начать» под полем «Онлайн-регистрация» (Рисунок 55).

Рисунок 55. Вкладка «Настройки», раздел «Регистрация». Континент TLS Клиент

2. Заполнить все необходимые поля (Рисунок 56). Если адрес сервера регистрации не указан изначально, указать: «registration.securitycode.ru». Выбрать необходимый класс защиты.

Рисунок 56. Окно регистрации СКЗИ

3. Нажать кнопку «Готово».

В случае если доступ к системе производится из сети ЗКВС Федерального казначейства, необходимо осуществить офлайн-регистрацию.

Для этого на рабочем месте пользователя необходимо выполнить следующие действия:

1. Нажать комбинацию клавиш «WIN + R».

2. В зависимости от используемой на АРМ операционной системы в появившемся окне ввести строку:

– Для ОС Windows XP: %ALLUSERSPROFILE%\\ContinentTLSClient\\ и нажать кнопку «ОК»,

– Для ОС Windows 7 и выше: %PUBLIC%\\ContinentTLSClient\\ и нажать кнопку «ОК».

3. В открывшейся папке открыть на редактирование (с помощью Блокнота или Notepad++) файл PublicConfig.json.

Файл откроется со следующим содержимым:

{

"loggingConfig": {

"fileLogMaxSize": 3145728,

"fileLoggingDirectory": "C:\\Users\\Public\\ContinentTLSClient\\",

"fileLoggingEnabled": true,

"sessionLogsEnabled": false

},

"serialNumber": ""

}

4. Для регистрации необходимо заполнить поле serialNumber значением «test-50000».

Для настройки СКЗИ «Континент TLS VPN Клиент» необходимо:

1. Запустить СКЗИ «Континент TLS VPN Клиент» (Рисунок 57), нажав на соответствующий ярлык на рабочем столе.

Рисунок 57. Вкладка «Главная». Континент TLS Клиент

Откроется меню соединений – вкладка «Главная»

2. Нажать на кнопку «Добавить». Выбрать тип соединения «Ресурс» В окне добавления ресурса прописать следующие параметры:

Адрес: lk.budget.gov.ru.

Имя ресурса: lk.budget.gov.ru.

Удаленный порт: 443

Тип: Прокси

3. После введения параметров нажать кнопку «Сохранить». Окно соединений будет выглядеть следующим образом (Рисунок 58):

Рисунок 58. Вкладка «Главная». Настройка соединений. Континент TLS Клиент

4. Перейти во вкладку «Настройки». Выбрать раздел «Основные».

5. Необходимо отметить следующие чекбоксы:

5.1. Проверять сертификаты по CRL.

5.2. Скачивать CRL автоматически.

5.3. Запускать при старте системы.

5.4. При запуске свернуть в системный трей.

6. Нажать кнопку «Сохранить».

Окно основных настроек должно выглядеть следующим образом (Рисунок 59):

Рисунок 59. Вкладка «Настройки». Раздел «Основные». Континент TLS Клиент

7. Перейти в раздел «Внешний прокси».

8. Отметить чекбокс «Настраивать автоматически».

8.1. В случае если в организации используется прокси-сервер, после сохранения настроек его параметры определятся автоматически.

8.2. Если прокси-сервер не используется, после сохранения окно параметров останется пустым.

Окно настроек внешнего прокси должно выглядеть следующим образом (Рисунок 60):

Рисунок 60. Вкладка «Настройки». Раздел «Внешний прокси». Континент TLS Клиент

9. Перейти во вкладку «Управление сертификатами» (Рисунок 61). Выбрать раздел «Серверные сертификаты».

Рисунок 61. Вкладка «Управление сертификатами»

10. Нажать на кнопку «Импортировать». В открывшемся меню выбрать необходимый сертификат сервера, отметив в отображаемом формате файла «Все файлы» (Рисунок 62).

Рисунок 62. Выбор серверного сертификата

Пример окна серверных сертификатов представлен на рисунке 63.

Рисунок 63. Пример заполненного окна серверных сертификатов

11. Перейти в раздел «Пользовательские сертификаты» (Рисунок 64).

Рисунок 64. Вкладка «Управление сертификатами»

12. В случае если в окне пользовательских сертификатов отсутствуют требуемые сертификаты, необходимо произвести установку сертификата в криптоконтейнер на носителе с помощью криптопровайдера КриптоПро CSP. Для этого нужно выполнить следующие действия:

12.1. Открыть КриптоПро CSP и перейти во вкладку «Сервис» (Рисунок 65).

Рисунок 65. Вкладка «Сервис». КриптоПро CSP

12.2. Нажать на кнопку «Установить личный сертификат».

Рисунок 66. Расположение файла сертификата. КриптоПро CSP

12.3. В появившемся меню нажать на кнопку «Обзор…» (Рисунок 66).

Рисунок 67. Выбор сертификата. КриптоПро CSP

12.4. Выбрать необходимый сертификат. Нажать кнопку «Открыть» (Рисунок 67).

12.5. Дважды нажать кнопку «Далее».

Откроется окно выбора контейнера закрытого ключа (Рисунок 68)..

Рисунок 68. Выбор контейнера закрытого ключа. КриптоПро CSP

12.6. Отметить чекбокс «Найти контейнер автоматически». Контейнер должен находится на съемном носителе. Нажать кнопку «Далее».

Рисунок 69. Хранилище сертификатов. КриптоПро CSP

12.7. Отметить чекбокс «Установить сертификат в контейнер» (Рисунок 69). Нажать кнопку «Далее».

Отобразится окно завершения установки сертификата в контейнер (Рисунок 70).

Рисунок 70. Завершение установки сертификата в контейнер. КриптоПро CSP

12.8. Нажать кнопку «Готово»

13. Обновить окно пользовательских сертификатов в Континент TLS Клиенте (Рисунок 71).

Рисунок 71. Окно пользовательских сертификатов. Континент TLS Клиент

14. Перейти в раздел CDP и нажать кнопку «Скачать CRL» (Рисунок 72).

Рисунок 72. Окно CDP. Континент TLS Клиент

15. В правом нижнем окне рабочего стола нажать на значок «Континент TLS Клиента» правой кнопкой мыши и выбрать пункт «Сброс соединений».

2.13. Установка опционального ПО "eXtended Container"

Опциональное ПО "eXtended Container" (XC) требуется для корректного отображения в Jinn-Client сертификатов на носителях, выданных на основе ГОСТ 2012. Установка XC должна производиться строго из дистрибутива Jinn-Client после установки TLS Клиента.

Рекомендуемая для работы с сертификатами на основе ГОСТ 2012 сборка Версия XC 1.0.1.1.

Для установки опционального ПО "eXtended Container" необходимо:

1. В АРМ пользователя вставить носитель информации, содержащий дистрибутив СКЗИ «Программа доверенной визуализации подписи «Jinn-Client».

2. В составе дистрибутива СКЗИ «Программа доверенной визуализации подписи «Jinn-Client» осуществить запуск файла «xc.msi», находящегося в папке «Jinn» дистрибутива. На экране отобразится меню мастера установки опционального ПО "eXtended Container" (Рисунок 73).

Рисунок 73. Окно приветствия установщика опционального ПО "eXtended Container"

3. Для продолжения установки нажмите кнопку «Далее».

На экране отобразится диалог ввода лицензионного ключа (Рисунок 74), поставляемого вместе с дистрибутивом СКЗИ «Программа доверенной визуализации подписи «Jinn-Client» в электронном или бумажном виде.

Рисунок 74. Окно ввода лицензионного ключа

4. Введите лицензионный ключ и нажмите кнопку «Далее». Пользователю будет выведено информационное сообщение о готовности к установке опционального ПО "eXtended Container" (Рисунок 75).

Рисунок 75. Сообщение о готовности к установке "eXtended Container"

5. Нажмите кнопку «Установить». На экране отобразится диалог процесса установки опционального ПО "eXtended Container" (Рисунок 76).

Рисунок 76. Окно, информирующее пользователя о прогрессе установки опционального ПО "eXtended Container"

По завершению установки на экран будет выведен диалог об успешном завершении установки (Рисунок 77).

Рисунок 77. Сообщение об успешном завершении установки опционального ПО "eXtended Container"

6. Нажмите кнопку «Готово». После установки опционального ПО "eXtended Container" дополнительных действий в части настройки данного ПО не требуется.