Андрей Смирнов
Время чтения: ~19 мин.
Просмотров: 108

Тест контроля целостности не пройден в Континент АП 3.7

В связи с массовым переходом на КАП 3.7(Бесполезные советы по установке. ̶Посвящается тем кто пробует установить КАП методом «Дальше-дальше-Ок-перезагрузка»)Sapienti sat

ОБНОВИЛСЯ РАЗДЕЛ ПОСВЯЩЁННЫЙ РАСШАРИВНИЮ СОЕДИНЕНИЯ СМ В КОНЦЕ СТАТЬИ

Почему вы видите это здесь:Большинство Все инструкции по установке КАП которые я встречал предлагают установку в графическом режиме, только в некоторых указано, что установка производится членом группы администраторов, про установку без криптопровайдера и из командной строки не говорится ничего

Ликбез: Запуск командной строки с правами администратора в Windows 7

+++++++

Кому требуется бумажная форма запроса на сертификат КАП сделанный через КБ CSP, а при установленной галке «бумажная форма» выдаёт ошибку.

+++++++

======

Кто получил сертификаты по ГОСТ 2012 и имеет проблемы

«сертификат содержит не действительную подпись или поврежден», на корневом и промежуточном стоят кресты.

удаляем:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 1CryptDllImportPublicKeyInfoEx1.2.643.7.1.1.1.1  HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftCryptographyOIDEncodingType 1CryptDllImportPublicKeyInfoEx1.2.643.7.1.1.1.1

======

########

Те, с кого требуют поверх всего этого благолепия обеспечить работу ЭБ с сертификатами по ГОСТ 2012 пишут заявление об уходе. 🙁

########

~~~~~~~~~~~~~~~~~~~~~~~~~~

Про «Ошибка подписи ключа. Отказано в доступе» (из-за ключей сроком жизни больше 1,3 года)  смотреть здесь

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ngc.exe /b действительно пересчитывает хэш файлов при ошибках целостности файлов КАП

ngc.exe /b /s то же в тихом режиме без отображения окна

~~~~~~~~~~~~~~~~~~~~~~~~~~

ful пишет: Из нашего УФК сообщили, что Континент не работает с 2012 гостом на Крипто про. Для этого рекомендуют ставить Континент с встроенным криптопровайдером, чтоб через него, потом генерировать ключи по новому госту.

В связи с тем, что эта печальная новость подтверждена разработчиками и криптопровайдер понадобится таки для генерации ключей КАП по новому ГОСТ для минимизации глюков остаётся ставить Криптопро и Континент АП последних версий с криптопровайдером. На текущий момент это: сертифицированная 4.0.9963 (R4) и 3.7.7.651 соответственно.

Continent_AP_3.7.7.651.exe /S /NR /LANG=RU /DO=INSTALL /NMSE

Криптопро последней версии пофиг на «посторонний» криптопровайдер

КАП последней версии не имеет проблем с сертификатами с «неправильными» символами

~~~~~~~~~~~~~~~~~~~~~~~~~~~

Установка в графическом режиме, даже из под пользователя группы администраторы приводит к ошибкам, связанным очевидно с правами доступа к реестру, диску С: и папке Program Files и не позволяет избавиться от криптопровайдера.

Для любознательных: запускаем установщик с ключом /? читаем описание ключей командной строки 🙂

Установка КАП с криптопровайдером приводит к ошибке, для решения которой предлагают поковырять реестр, а этого лучше избежать.

Возникает ошибка подписи с применением КриптоПро 4.0.9842 + Континент АП 3.7.426 на порталах СУФД и ФЗС

======

Важно! Версия Крипто про должна быть не ниже v4.0.9944

Если в BIOS включен Secure Boot, то отключите его.

===

В ноутбуках HP есть некоторая особенность. После изменения в Биосе нужно во время перезагрузки вводить код, который появляется на экране. Иначе изменения не сохранятся. Изначально я первым делом отключил Secure Boot (как я думал), потом начал устанавливать континент АП. Перепробовав все варианты, все посносил и начал разбираться более тщательно. И обратил внимание, что отключение secure boot при нажатии F10 не сохраняется. Уже потом прочитал про спецкод, проверил, что secure boot — disabled, и всё установилось без проблем.

===

Перед установкой удаляем предыдущие версии крипто-про и континент. Не экономим на количестве перезагрузок!

используйте утилиту очистки следов Континент-АПcspcleaner 

(или reg файлы для очистки следов Континента) https://sedkazna.ru/forum.html?view=topic&defaultmenu=191&catid=6&id=12&start=465#8521

==============================================================================================

Описание процесса удаления предыдущей версии КАП подробно от «Wmffre»

post=8546 https://sedkazna.ru/forum.html?view=topic&catid=6&id=12&start=480#8546

  1. Удалите установленный Континент-АП через «Установку и удаление программ»
  2. Запустите C:Program FilesSecurity CodeTerminal Stationcspcsp_uninst.exe (если есть)
  3. Далее удалите вручную через кнопку «Удалить» (если осталось) «Continent 3 MSE Filter» в свойствах «Подключение по локальной сети«
  4. Далее щелкните правой кнопкой мыши на значок «Мой компьютер» —> «Управление» —> левой кнопкой мыши выделите «Диспетчер устройств«, вверху выберете «Вид«, «Показать скрытые устройства» —> далее раскройте «Сетевые адаптеры» и удалите (если осталось) «Continent 3 PPP Device«
  5. Далее удалите КриптоПро CSP через утилиту удаления .
  6. Обязательно перезагрузитесь
  7. После перезагрузки установите КриптоПро CSP 4.0.9944
  8. Обязательно перезагрузитесь снова
  9. После перезагрузки установите Континент-АП 3.7.5 без сетевого экрана
  10. Обязательно перезагрузитесь
  11. После перезагрузки, если устанавливали криптопровайдер SecurityCode CSP, сделайте твик реестра (на x86 есть только первая ветвь реестра) для совместной работы КриптоПро CSP и SecurityCode CSP      Криптопро последних версий не использует реестр.

==============================================================================================

=====

Устанавливать Континент АП только из командной строки от имени администратора без межсетевого экрана и криптопровайдера

Continent_AP_3.7.7.651.exe /S /NR /LANG=RU /DO=INSTALL /NMSE /NCSP

ПерезагрузкаПрописываем сетевой адрес (или доменное имя) криптошлюза===================Про сетевой адрес и доменное имяВнимание доменное имя здесь показано для примера!В каждом регионе своё. Необходимо его пропинговать и получить IP адрес

C:UsersAdmin>ping 3900-sd-01.roskazna.ru
Обмен пакетами с ufk72-sd.roskazna.ru [94.25.26.50] с 32 байтами данных: Ответ от 94.25.26.50: число байт=32 время=94мс TTL=51

===================Чтобы не блокировалась локальная сеть — В свойствах своего сетевого подключения уберите чекбокс с Continent 3 MSE Filter

Будьте внимательны, при установке может проснуться Брандмауэр Windows, даже отключённый, необходимо дать в нём разрешения. Антивирус на время установки лучше выключить. Могут запрашиваться разрешения на установку драйверов — разрешаем

Запускать сам КАП потом тоже лучше от имени администратора.Но, если установка делалась не из командной строки запуск КАП от имени администратора вам тоже не поможет — возникнут ошибки.

КАП 3.7 не распознаёт ключи сохранённые в реестре в реестре, и в некоторых случаях и не создаёт контейнер в реестре, хотя пишет, что создан. В связи с этим настоятельно рекомендуется создавать контейнер на флешке, откуда легко можно (и нужно!) сделать его копию.

Даже при отключённых обновлениях Windows периодически могут появляться ошибки целостности. Их можно попробовать обойти, обрезав файл c:Program FilesSecurity CodeTerminal Stationintegrity.xml как показано ниже, естественно предварительно сделав копию.

Пример файла integrity.xml Хеш (циферки) у каждого свои!

 <?xml version=»1.0″ encoding=»UTF-8″ standalone=»yes»<integrity><catalog><entry><file>C:Program FilesSecurity CodeTerminal Stationngc.exe</file><hash>EBB64993D92299B11721C324F06299E06143BA7967EDF9C57BCFA546B5A41268</hash></entry></catalog></integrity>

Далее запускаем ngs.exe чтобы убедиться, что проверка целостности проходит успешно.

Могут внезапно появиться ошибки типа «не найден модем»В связи с тем, что автоматическое восстановление КАП 3.7 происходит в два этапа (удаление-перезагрузка-установка) и установка проходит уже не от администратора восстановление оказывается неэффективным, здесь поможет только удаление и установка КАП

Если вы обладатель «многолетнего» сертификата КАП не копируйте сертификат в контейнер, ибо Криптопро четвёртой версии считает что срок действия ключа не может превышать 15 месяцев, и возникает ошибка доступа к контейнеру. Если сертификата в контейнере нет срок не контролируется.

!!!!!!!!!!!!! ТОЛЬКО ДЛЯ РЕГИОНОВ ГДЕ КРИПТОПРОВАЙДЕР КОД БЕЗОПАСНОСТИ ИСПОЛЬЗУЕТСЯ ДЛЯ ГЕНЕРАЦИИ КЛЮЧА КОНТИНЕНТ-АП

Amana пишет: Установили Континент-АП по инструкции через командную строчку. Но почему-то не установился второй криптопровайдер (код безопасности), с помощью которого надо было сгенерировать ключ.

Это не «почему то», оно специально так задумывалось, чтобы избежать потом проблем с подписанием документов в СУФД и с заявками ФЗС.Но если он вам точно нужен то при установке убираете ключ /NCSP Обновить Криптопро до версии минимум 4.0.9944 Переустановите плагин Криптопро.

!!!!!!!!!!!!!

+++

+++

-*-*-*-*-*-*-*-*-*

Alex_04 

«Неизвестная ошибка импорта сертификата» в Континент-АП_3.7.5.474.https://sedkazna.ru/forum.html?view=topic&catid=6&id=12&start=495#8617 ПРИЧИНА. В хранилище ОС «Сертификаты — текущий пользователь -> Личное -> Сертификаты» есть сертификаты ЮЛ (от «Тензор» или «Контур-Экстерн»), содержащие недопустимые для Континент-АП (почему-то?) символы «,+; Если в названии организации есть кавычки, то по ошибке разработчиков КАП-3.7.5.474 обращает внимание на такие сертификаты и отказывается дальше искать и устанавливать континентовский сертификат пользователя.РЕШЕНИЕ. Как вариант предлогаю выполнить следующее. 1. Из указанного выше хранилища сертификатов УДАЛИТЬ все просроченные cer ЮЛ, содержащие кавычки. 2. Обязательно проверить версию установленного «КриптоПро ЭЦП Browser plugin» — д.б. последняя на текущий момент 2.0.13292! Если ниже — обновить до неё (прямая ссылка для скачивания с оф. сайта производителя — cryptopro.ru/products/cades/plugin/get_2_0 ). 3. Если остались действующие cer ЮЛ с кавычками — установить К-АП версии 3.7.5.514 (прямая ссылка для скачивания — files.apksh.net/s/install/download?path=…ent_AP_3.7.5.514.exe ) через bat-файлБЕЗ брандмауэра и криптопровайдера Security Code во избежание дальнейших проблем с подписанием документов в СУФД («тихая» установка) следующего содержания:

@echo off  echo  Установка Континент-АП без МСЭ и провайдера КБ  echo  ----------------------------------------------  pause  Continent_AP_3.7.5.514.exe /S /NR /LANG=RU /DO=INSTALL /NMSE /NCSP  echo  ----------------------------------------------  pause  exit

После окончания ОБЯЗАТЕЛЬНО перезагрузить компьютер! 4. При настройке аутентификации НЕ ИМПОРТИРОВАТЬ сертификат пользователя К-АП, а ВЫБРАТЬ ИЗ СПИСКА (он не очищается при переустановке К-АП разных версий) и нажать «ОК». Проверить соединение (разумеется, предварительно настроив его по DNS имени вместо IP адреса). Именно такими окольными путями удалось заставить работать К-АП_3.7.5.514 под КриптоПро-4.0.9842 даже под Windows 7 Home Basic и XP sp3! Если всё же ничего не помогло — ставить К-АП_3.7.7.651 (самый свежий на сегодня), скачав по прямой ссылке — files.apksh.net/s/install/download?path=…ent_AP_3.7.7.651.exe

—*-*-*-*-*-*-*—*-*

 ~~~~~~~~~~~~~~~~~~~~~~~~~~

ful пишет: Из нашего УФК сообщили, что Континент не работает с 2012 гостом на Крипто про. Для этого рекомендуют ставить Континент с встроенным криптопровайдером, чтоб через него, потом генерировать ключи по новому госту.

В связи с тем, что эта печальная новость подтверждена разработчиками и криптопровайдер понадобится таки для генерации ключей КАП по новому ГОСТ для минимизации глюков остаётся ставить Криптопро и Континент АП последних версий с криптопровайдером. На текущий момент это: 4.0.9955 и 3.7.7.651 соответственно.

Continent_AP_3.7.7.651.exe /S /NR /LANG=RU /DO=INSTALL /NMSE

~~~~~~~~~~~~~~~~~~~~~~~~~~~

+++

Если всё пробовали и ничего не помогло:Удаляем всё и пробуем ставить КриптоПро и Континент АП последних версий .На текущий момент это: 4.0.9955 и 3.7.7.651 соответственно.

======================================

Для Windows XP

(*) Как попробовать достать контейнер КАП из реестраcashbuzz.ru/hi-tech/1658-oshibka-podpisi…nent-ap-reshaem.html (**) Как обойти ошибку целостностиsufd.ufk20.ru/viewtopic.php?p=17 Обход ограничений

Эксперименты проводить только убедившись в нормальном функционировании в штатном режиме(***) Любителям виртуальных отчуждаемых носителей гуглить OsfMount

===============

  • Настройка 3proxy

Поднятие криптошлюза на базе Континент-АП 3.6 и PfSense

date.png 21 июля 2016 user.png kna

Как-то нашей больнице понадобилось создать защищённое соединение с МИАЦ, да не просто подключить один компьютер на пару часов, а так чтобы были подключены все компьютеры сети всегда. Для решения этой задачи соседние больницы уже давно используют аппаратный криптошлюз версии 3.6 и вообще не парятся, но сейчас он снят с производства и его нигде не достать, а новая версия не совместима с версией 3.6. Предлагают единственный выход покупать на каждого пользователя отдельно КРИПТО-ПРО + Континент АП 3.6 и получать целую кучу сертификатов. Это совсем не дело и я решил попробовать расшарить соединение Континента-АП, установленного на одном компьютере, т.е. создать как-бы криптошлюз на базе Континент-АП 3.6.

Вопреки некоторым сообщениям что это невозможно, не поддерживается и прочее, у меня всё-таки получилось. Делюсь:

Имеем системный блок с установленной Windows XP.

Устанавливаем КРИПТО-ПРО_3.6_R4, вводим заранее приобретенный лицензионный ключ.

Устанавливаем Континент АП 3.6.19.47080 с межсетевым экраном.

Установка защищённого канала связи с КГБУЗ «МИАЦ» МЗ ХК посредствам Континент-АП 3.6

Далее я буду указывать реальные IP и доменные адреса, использующиеся в настройке. Информация актуальна на 21 июля 2016 года.

При установке Континента-АП вводим IP-адрес сервера доступа: 188.72.75.210

На этот раз мне не понадобилось доустанавливать .NET для нормальной работы Контенента-АП, хотя в прошлый раз без этого он бил пакеты

Жмём кнопку Готово и перезагружаемся.

Теперь нужно добавить два сертификата: root.p7b и user.cer.

У меня имеется носитель JaCARTA с помощью которого будет проходить подключение. По вопросу получения файлов root.p7b и user.cer нужно обратиться в техподержку МИАЦ 8(4212)910-505. Запрос на сертификат делается из меню Континента-АП Сертификаты -> Создать запрос на пользовательский сертификат…

Заходим в меню Континента-АП: Сертификаты -> Установить сертификат пользователя, указываем файл user.cer. Выбираем ключевой контейнер на носителе JaCARTA, с помощью которого был сделан запрос на получение сертификата. Если всё верно, увидите сообщение:

success.jpg

Затем опять же в меню нажимаем Установить/разорвать соединение -> Установить соединение Континент-АП. Выбираем только что установленный сертификат, ставим галочку Всегда использовать данный сертификат при подключении.

При появлении сообщения

question1.jpg

нажимаем Да.

Ещё на каком-то этапе Континент-АП попросит ввести файл root.p7b. Я его уже раньше вводил, поэтому сейчас он меня об этом не просил.

По итогу значок Континента-АП должен посинеть, что символизирует успешную установку соединения.

Как обойтись без использования съемного носителя и записать сертификат в реестр описано тут

Первый этап завершен, результатом явилось открытие в браузере адресов:

  • http://192.168.10.8/ — ЕИС Демография
  • http://10.30.1.16/ — Видеоматериалы совещаний

Раздача соединения Континент-АП 3.6

Лучше сделать IP-адрес компьютера статическим, например, 192.168.0.251. Так как компьютеры у меня получают адреса по DHCP, то я, пожалуй, настрою для данного MAC-адреса сетевой карты свой заразервированный IP. Для этого захожу в PfSense в меню Status -> DHCP leases, нахожу этот компьютер по настоящему IP-адресу

pfs-1.jpg

и переназначаю его

pfs-2.jpg

Жмём Save, затем Apply Changes.

Чтобы изменения вступили в силу нужно разорвать и вновь установить соединение на компьютере с Континентом-АП.

После этого заходим в Панель управления -> Сетевые подключения -> Континент-АП -> Свойства -> вкладка Дополнительно

В разделе Общий доступ к подключению к Интернету устанавливаем галочку напротив Разрешить другим пользователям сети использовать подключение к Интернету данного компьютера. Остальные две галочки должны быть сняты.

prop1.jpg

Нажимаем OK.

Теперь заходим в Панель управления -> Сетевые подключения -> Подключение по локальной сети -> Свойства -> свойства Протокола Интернета (TCP/IP)

prop2.jpg

Видим что без какого-либо предупреждения IP-адрес стал совершенно другим, да ещё и статическим! Исправляем это недоразумение на получение IP и DNS автоматически.

Если этого не сделать, то Континент-АП напрочь откажется подключаться, выдавая ошибку 619: Не удаётся подключиться к удаленному компьютеруerror1.jpg

Пробуем подключться с помощью Континент-АП. Если значок посинел, и в браузере открываются адреса http://192.168.10.8/ и http://10.30.1.16/, то всё прошло успешно.

Однако, на других компьютерах сети эти адреса не открываются. Всё потому что нужно задать маршрут чтобы при обращении компьютеров к сетям 192.168.10.0/24 и 10.30.0.0/16 соединение шло не через прокси, а через шлюз Континента-АП с IP-адресом 192.168.0.251.

Для этого заходим в PfSense -> System -> Routing и создаём новый шлюз

pfs-3.jpg

Указываем:

  • Interface: LAN
  • Name: Любое информативное название
  • Gateway: IP-адрес нашего компьютера с Континент-АП

Нажимаем Save, затем Apply Changes.

pfs-4.jpg

Далее заходим во вкладку Routes и создаём два маршрута (192.168.10.0/24 и 10.30.0.0/16 через шлюз 192.168.0.251):

pfs-5.jpg

Не забываем нажимать Apply Changes.

Таким образом, мы создали правила маршрутизации, однако, маршрутизация получится ассиметричная и RDP-соединение будет постоянно слетать. Для этого идем в System -> Advanced -> Firewall and NAT и устанавливаем галочку Bypass firewall rules for traffic on the same interface

Теперь с любого компьютера в сети сайты

  • http://192.168.10.8/ — ЕИС Демография
  • http://10.30.1.16/ — Видеоматериалы совещаний

должны быть доступны.

Добавление DNS сервера МИАЦ

Для обращения к ресурсам КГБУЗ МИАЦ по именам, нужно добавить их DNS сервер в настройки pfSense.

Для начала попробуем его пропинговать: ping 192.168.10.10

Если в ответ получаем что-то вроде Превышен срок жизни (TTL) при передаче пакета., то звоним в МИАЦ по телефону 8(4212)910-191 и говорим что не пингуется ваш DNS-сервер. Они должны добавить какое-то правило для Вашего сертификата и пинг пойдёт.

Теперь заходим в pfSense -> Services ->DNS Resolver и в самом конце в разделе Domain Overrides создаём новую запись:

  • Domain: medkhv.ru  -домен МИАЦа
  • IP address: 192.168.10.10  -адрес DNS-сервера в МИАЦ

Для проверки заходим в pfSense -> Diagnostics -> DNS Lookup в пробуем medts.medkhv.ru

Ответ должен быть примерно такой (иногда срабатывает не с первого раза):

cap.jpg

Теоретически должно работать RDP-соединение с медиалогом на всех компьютерах.

Если не работает

То запускаем cmd и выполняем команду nslookup medts.medkhv.ru:

Если выдаёт

1.jpg

то значит, что он пытается разрешить имя с помощью DNS-сервера 192.168.0.250 (у меня это DNS контроллера домена). Поэтому нужно сделать перенаправление на прокси сервер pfSense 192.168.0.254, который, в свою очередь, перенаправит на МИАЦевский DNS 192.168.10.10.

Контроллер домена у меня построен на SerNet Samba 4, и для настройки форвардинга нужно редактировать файл smb.conf:

Открываем консоль, идём в папку /opt/samba/etc и выполняем команду nano smb.conf

дописываем строку в раздел [global]: dns forwarder = 192.168.0.254 и сохраняемся. Перезагружаем контроллер домена. Теперь nslookup medts.medkhv.ru показывает следующее:

2.jpg

Не заслуживающий доверия ответ — это значит что DNS-сервер 192.168.0.250 не сам знает, а спросил у другого. Теперь должно всё работать.

P.S.: Ещё пара команд

(Просмотрено 3 875 раз, 6 раз за сегодня) Вы можете оставить комментарий, или Трекбэк с вашего сайта.

РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ

по установке и настройке

СКЗИ «Континент-АП»

версии 3.7.5.474

В  В  В  В  В  В  В  В  В  В  В  В  В  В  В  В  В  В  В  В  В  В  В  В 

Ограничения на поддержку аппаратных и программных средств

СКЗИ «Континент-АП» версии 3.7.5 (далее — АП) имеет следующие ограничения на поддержку аппаратных и программных средств:

1

Ключевые устройства

АП

  • Дискета 3,5“ USB-Flash накопитель USB-ключ eToken Pro (Java) Смарт-карта eToken Pro (Java) с USB-считывателем Athena ASEDrive IIIe USB V2 RuToken S/ ЭЦП Secret Net Card/ Secret Net Touch Memory Card iButton DS1994/ DS1995/ DS1996

2

Операционная система

АП

  • Windows XP Professional SP3 x86 Windows Server 2003 SP2 x86/x64 Windows Server 2003 R2 SP2 x86/x64 Windows Vista SP2 x86/x64 (кроме всех выпусков Starter и Home Edition) Windows Server 2008 SP2 x86/x64 Windows 7 SP1 x86/x64 (кроме всех выпусков Starter и Home Edition) Windows 8 x86/x64 Windows 8.1 x86/x64 Windows Server 2012 R2 x64, Windows 10

3

Предыдущие версии СКЗИ «Континент-АП»

Обновление предыдущих версий АП

3.5.71.0, 3.6.90.4, 3.7.1.1122, 3.7.2.1141

4

CSP “КриптоПро»

4.0

Перед установкой АП установите ПО КриптоПро CSP 4.0.

Установка СКЗИ «Континент-АП»

1. Открыть папку с дистрибутивом «Континента-АП»

2. Запустить программу установки СКЗИ «Континент-АП» ts_setup. exe (рис.1).

img1_4.png

рис.1

3. В появившемся окне нажать «Далее» (рис.2).

img2_2.png

В  рис.2

4. Как показано на (рис.3), принять условия лицензионного соглашения и нажать «Далее».

img3_3.png

В  рис.3

5. В появившемся окне необходимо исключить установку Брандмауэра (снять метку) и нажать «Далее» (рис.4).

img4_2.png

В  рис. 4

6. В окне (рис.5) нажать кнопку далее.В 

img5_2.png

В  рис.5

7. ВВ  открывшемсяВ  окнеВ  необходимоВ  ввестиВ  IP-адресВ  сервераВ  доступа на выбор (не через запятую) – 0200-SD-01.roskazna. ru,В  0200-SD-02.roskazna. ru или 0200-SD-03.roskazna. ru, как показано на (рис.7), и нажать «Далее».

img6_0.png

В  рис.7

9. Дождаться завершения установки программы (рис.8) и нажать «Далее».

img7.png

В  рис.8

10. Нажать «Готово» (рис.9) и перезагрузить компьютер.

img8.png

В  рис.9

11. После перезагрузки компьютера появляется окно настройки биологического датчика случайных чисел (рис.10). Необходимо нажимать мышью в центр мишеней до завершения процесса настройки.

img9_0.png

В  рис.10

12. По окончанию процесса настройки биологического датчика случайных чисел в правой нижней части монитора появится значок Программы управления Континент АП (рис.11).

img10_1.jpg

В  рис.11

13. После этого для проверки настроек соединения с сервером доступа необходимо нажать правой кнопкой мыши на значок Континент АП в правой нижней части экрана и выбрать «Настройка соединения -> Континент АП

В  рис.12

14. В появившемся окне перепроверяем введенные на этапе установки программы сведения по адресу сервера доступа Континент (см. п.7)

В  рис. 14

16. В открывшемся окне выбрать «Добавить» в «Доверенные центры сертификации» (рис. 15).

img14_1.png

В  рис. 15В 

17. В появившемся окне необходимо в правом нижнем углу выбрать вариант «Все файлы» и перейти на диск, на котором находятся транспортный ключ для соединения по Континент АП и выданные к нему сертификаты. После этого необходимо выбрать файл Root. p7b (рис.16) и нажать «Открыть».

img15_0.png

рис. 16

Данный файл «Root. p7b» предварительно должен быть установлен в Доверенные корневые центры сертификации хранилища Локального компьютера.

18. После выполнения указанных мероприятий в графе «Доверенные центры сертификации» должна появиться запись о корневом сертификате. Варианты: CA-2018, Root 2017, УФК по РБ 2018 (рис. 17).

Если запись не появляется в связи с «Вылетом программы», переходим к следующему этапу

img16_0.png

В  рис. 17

19. Предварительно сертификат «User. cer» необходимо установить через КриптоПро в хранилище «Личные» согласно рекомендациям по установке личного сертификата, размещенным на сайте УФК по Республике Бурятия, и, на всякий случай, вручную добавить сертификат в «Личные»

В окне Континент АП «Настройка аутентификации», отмечаем запись «Использовать сертификат пользователя» и (рис.18)

img17.png

В  рис.18

20. После этого из выпадающего списка выбираем сертификат, выданный для соединения через Континент-АП (в свойствах издателем могут быть CA-2018, Root 2017, УФК по РБ 2018), и нажимаем «Открыть» (рис.19).

img18.png

В  рис.19

21. Следующим этапом будет являться проверка установления соединения. Необходимо нажать правой кнопкой мыши на значок Континент АП в правой нижней части экрана и выбрать «Установить/разорвать соединение -> Установить соединение Континент АП (рис.20).

img19.png

В  рис.20

22 При успешном соединении должно появиться всплывающее окно с предложением добавить сервер доступа в список разрешенных. На предложение соглашаемся (рис.21).

img20_0.jpg

В  рис.21

23. Также может появиться сообщение об определении расположения сети. Необходимо выбрать «Сеть предприятия»В  (рис.22).

img21_0.png

В  рис.22

24. После изменения расположения сети закрываем окно через кнопку «Закрыть» (рис. 23).

img22_0.png

рис.23

25. Свидетельством об успешном соединении является изменение цвета значка Континент АП с серого на сине-зеленый (рис.24).

img23.png

рис.24

26. После установления соединения пробуем войти на ресурс СУФД Управления через браузер с вводом в адресную строку браузера адреса СУФД 10.2.200.12:28081В  (рис.25).

img24.png

В  рис.25

Соединение установлено, можно работать в СУФД!

Для добавления IP-адреса сервера доступа необходимо запустить приложение под правами Администратора. Для этого нужно сначала выйти из него, а потом открыть его местоположение (C:Program FilesSecurity CodeTerminal Stationvpn), нажать правой клавишей мыши на файл AP_Mgr. exe и выбрать «Запуск от имени администратора» (Рис. №25).

img25.png

Рис. №25

Для добавления нового соединения необходимо нажать правой кнопкой мыши на значок Континент АП в правой нижней части экрана и выбрать Создать соединение -> Ручная настройка….

img26.png

Рис. №26

В появившемся окне вводим наименование соединения и дополнительный адрес сервера доступа (адреса указаны в пункте 7 настоящих рекомендаций) и нажимаем на кнопку «Создать»

img27.png

Рис №27

Подтверждением создания нового соединения будет появление окна со следующим содержимым

img28.png

Рис. №28

Проверяем наличие нового соединения, нажав правой кнопкой мыши на значок Континент АП в правой нижней части экрана и выбрав «Установить/разорвать соединение»

img29.png

Рис. №29

Отсутствие сети. Решение проблемы

В случае, если после установки Континент АП пропадает доступ к сети – нет возможности зайти в сетевые папки, отсутствует доступ в интернет,В  необходимо осуществить следующие настройки:

Через панель управления заходим в Центр управления сетями и общим доступом (скриншот актуален для Windows 7 и Windows 10)

img30_0.png

Рис. 30

Далее выбираем в левой стороне появившегося окна Центра управления сетями и общим доступом «Изменение параметров адаптера»

img31.png

Рис.31

Выбираем «Подключение по локальной сети» (если используется кабельное соединение) или «Беспроводное сетевое соединение» (если используется беспроводное подключение.

img32_0.png

Рис.32

В свойствах сетевого соединения деактивируем (снимает галку) с параметра «Continent 3 MSE Filter и сохраняемся через кнопку «ОК».

img33.png

Рис.33

После этого соединение с сетью и интернетом должно появиться.

Протоколы и порты

В  Если на пути зашифрованного трафика, передаваемого между абонентским пунктом и сервером доступа находятся межсетевые экраны или другое оборудование, осуществляющее фильтрацию IP-пакетов, необходимо создать для них правила, разрешающие прохождение IP-пакетов в обоих направлениях по указанным в таблице протоколам и портам:

Назначение

Источник/получатель

Примечание

UDP/4433

Обмен сообщениями между сервером доступа и абонентским пунктом.

Сервер доступа / Абонентский пункт

Номер порта по умолчанию; изменяется в программе управления сервером доступа.

АПКШ «Континент»

UDP/7500

Обмен сообщениями между сервером доступа и абонентским пунктом.

Абонентский пункт / Сервер доступа

Номер порта по умолчанию; изменяется в настройках виртуального адаптера Continent 3 PPP Adapter.

АПКШ «Континент»

Важно!

При наличии в организации межсетевого экрана или прокси-сервера в список разрешенных адресов соединений вносятся IP-адреса серверов доступа АПКШ «Континент», полученныхВ  на основании данных команды «ping (адрес сервера доступа)

Например: ping 0200-SD-01.roskazna. ru

Адреса сервера доступа УФК: 0200-SD-01.roskazna. ru,В  0200-SD-02.roskazna. ru, 0200-SD-03.roskazna. ru

</span>Пожаловаться<center>Подпишитесь на рассылку:</center><center>

Проекты по теме:

<center> Поиск</center><center> Вики</center><center> Архив</center><center> Мир</center><center> Наука</center>Используемые источники:

  • https://sedkazna.ru/pro-ustanovku-kontinent-ap-versii-3-7
  • https://knasys.ru/поднятие-криптошлюза-на-базе-контине/
  • https://pandia.ru/text/82/561/95965.php

Рейтинг автора
5
Подборку подготовил
Максим Уваров
Наш эксперт
Написано статей
171
Ссылка на основную публикацию
Похожие публикации