Интернет

Континент tls клиент не видит хранилище. Установка средства создания защищенного TLS-соединения «Континент TLS Клиент. Настройка Apache на использование клиентских сертификатов

07.10.2023

Программа континент TLS помогает пользователям получить защищенный доступ к определенным веб-ресурсам. Ключевая информация хранится в защищенном контейнере.

Использование

Пользователи корпоративной сети теперь могут получить удаленный и защищенный доступ к конкретным ресурсам в интернете. Во время установки соединения обеспечивается обоюдная аутентификация с сервером. Для получения доступа необходимо ввести в браузере адрес сайта. В итоге, клиент обрабатывает и отправляет запрос на сервер для создания защищенного соединения. Аутентификация обеспечивается на базе сертификатов ключей.

Возможности Клиента

Протокол соединения между сервером и Клиентом - TLSv1. Ресурс, по которому установлен защищенный контакт, должен содержать в имени сервера значение TLS. Если все сделано правильно, то на дисплее отобразится сертификат, который можно обновить, нажав соответствующую кнопку. Присутствует возможность автоматического запоминания логина и пароля при входе в систему. Стоит отметить, что если 5 раз подряд ввести недостоверную информацию в процессе авторизации, то система автоматически заблокируется. Повторно ввести данные можно будет только спустя 10 минут.

Ключевые особенности

  • программа полностью совместима со всеми версиями Windows;
  • в процессе использования обеспечивается надежная защита между корпоративными пользователями;
  • такой Клиент является оптимальным решением, когда происходит обмен данными и утечка информации недопустима;
  • для входа потребуется ввести данные (логин и пароль) и запустить сертифицированный ключ;
  • работа осуществляется только с серверами, которые поддерживают TLSv1 и TLSv1.2 протоколы.

Настройка АРМ Электронного бюджета происходит в несколько этапов, они не сложные, но требуют внимательности. Делаем все по инструкции по настройке электронного бюджета. Коротко и по делу…

Электронный бюджет настройка рабочего места

Корневой сертификат электронный бюджет

Создайте папку key в Моих документах, чтобы хранить в этой папке скаченные сертификаты:

На сайте http://roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ в меню ГИС -> Удостоверяющий центр -> Корневые сертификаты, необходимо скачать «Корневой сертификат (квалифицированный)» (см. рисунок), либо если вами была получена флешка с сертификатами скопируйте их с папки Сертификаты.

Сертификат Континент TLS VPN

Второй сертификат который необходимо скачать, это сертификат Континент TLS VPN, но я не смог найти на новом сайте roskazna, поэтому ставлю ссылку со своего сайта. Скачиваем сертификат Континент TLS VPN в папку key, он нам пригодиться позднее, когда будем настраивать программу Континент TLS клиент.

Устанавливаем скаченный Корневой сертификат (квалифицированный) для работы с электронным бюджетом.

В меню ПУСК -> Все программы -> КРИПТО-ПРО -> запустите программу Сертификаты.

Перейдите в пункт Сертификаты как показано на рисунке ниже:

Заходим в меню Действие - Все задачи - Импорт, появится окно Мастер импорта сертификатов - Далее - Обзор - Находим скаченный Корневой сертификат (квалифицированный) в нашем случае он находиться в Моих документах в папке key

Если все сделали правильно, то корневой сертификат УЦ Федерального казначейства появиться в папке сертификаты.

Установка «Континент TLS Клиент» для работы с электронным бюджетом

Continent_tls_client_1.0.920.0 можно найти в интернете.

Распаковываем скаченный архив, заходим в папку CD и запускаем ContinentTLSSetup.exe

Из пункта нажимаем на Континент TLS Клиент KC2 и запускаем установку.

Принимаем условия

В папке назначения оставляем по дефолту

В окне запуск конфигуратора, ставим галочку на Запустить конфигуратор после завершения установки.

При установке появиться окно Настройка сервиса:

Адрес - указываем lk.budget.gov.ru

Сертификат - выбираем второй сертификат скаченный ранее в папке key.

Нажимаем ОК и завершаем установку, Готово.

На запрос о перезагрузке операционной системы отвечаем Нет.

Установка средства электронной подписи «Jinn-Client»

Скачать программу Jinn-Client можно в интернете.

Заходим в папку Jinn-client - CD, запускаем setup.exe

Нажимаем из списка Jinn-Client, запускается установка программы

Не обращаем внимания на ошибку, нажимаем Продолжить, Далее, принимаем соглашение и нажимаем кнопку Далее.

Введите выданный лицензионный ключ

Устанавливаем программу по умолчанию, нажимаем Далее

Завершаем установку, на вопрос о перезагрузке операционной системы отвечаем Нет

Установка модуля для работы с электронной подписью «Cubesign»

Если будет нужен архив с программой, пишите в комментариях.

Запускаем установочный файл cubesign.msi

Настройка браузера Mozilla Firefox для работы с Электронным бюджетом.

1. Откройте меню «Инструменты» и выберите пункт «Настройки».

2. Перейти в раздел «Дополнительные» на вкладку «Сеть»

3. В секции настроек «Соединение» нажать кнопку «Настроить…».

4. В открывшемся окне параметров соединения установить значение

«Ручная настройка сервиса прокси».

5. Задать значения полей HTTP-прокси: 127.0.0.1; Порт: 8080.

6. Нажать кнопку «ОК».

7. В окне «Настройки» нажать кнопку «Ок».

Вход в личный кабинет Электронного бюджета

Откроется окно с выбором сертификата для входа в личный кабинет Электронного бюджета.

Выбираем сертификат для входа в Личный кабинет Электронного бюджета, если есть пароль на закрытую часть сертификата пишем и нажимаем ОК, после откроется Личный кабинет Электронного бюджета.

Для установки ПО «Континент TLS Клиент» необходимо:

Рисунок 33. Стартовое окно мастера установки ПО «Континент TLS Клиент».

Рисунок 34. Окно лицензионного соглашения ПО «Континент TLS Клиент».

3. Поставьте отметку в поле «Я принимаю условия лицензионного соглашения» и нажмите кнопку «Далее». На экране появится окно ввода лицензионного ключа, поставляемого с ПО «Континент TLS Клиент» на бумажном или электронном носителе.

Рисунок 35. Окно ввода лицензионного ключа ПО «Континент TLS Клиент».

4. Введите лицензионный ключ и нажмите кнопку «Далее». На экране появится диалог выбора пути установки ПО «Континент TLS Клиент».

Рисунок 36. Окно выбора пути установки ПО «Континент TLS Клиент».

5. Оставьте путь установки по умолчанию. Нажмите кнопку «Далее». На экране появится диалог «Запуск конфигуратора».

Рисунок 37. Окно запуска конфигуратора ПО «Континент TLS Клиент».

6. Установите отметку в поле «Запустить конфигуратор после завершения установки».

Рисунок 38. Окно готовности к установке ПО «Континент TLS Клиент».

8. Нажмите кнопку «Установить». Начнется установка компонента.

Рисунок 39. Процесс установки ПО «Континент TLS Клиент».

9. На экране отобразится диалог настройки ПО «Континент TLS Клиент».

Рисунок 40. Настройка ПО «Континент TLS Клиент».

Для настройки ПО необходимо:

a) В разделе «Настройки Континент TLS Клиента» значение «Порт» оставить по умолчанию, равное 8080.

b) В разделе «Настройки защищаемого сервера» в поле «Адрес» задать имя сервера TLS: lk.budget.gov.ru.

c) В разделе «Настройки защищаемого сервера» в поле «Сертификат» указать файл сертификата сервера TLS, скопированный в локальную директорию в п.3.1 настоящего Руководства.



Рисунок 41. Настройка ПО «Континент TLS Клиент». Выбор сертификата.

d) Если в АРМ пользователя не используется внешний прокси-сервер, нажать кнопку «ОК».

e) В противном случае, указать адрес и порт используемого внешнего прокси-сервера организации.

Рисунок 42. Настройка сервиса ПО «Континент TLS Клиент». Настройка внешнего прокси-сервера.

f) Нажать кнопку «ОК».

10. На экране отобразится диалог завершения установки ПО «Континент TLS Клиент».

Рисунок 43. Диалог завершения установки ПО «Континент TLS Клиент».

11. Нажать кнопку «Готово».

12. На экране отобразится диалог о необходимости перезагрузки АРМ пользователя.

Рисунок 44. Диалог о необходимости перезагрузки АРМ Пользователя.

13. Нажать кнопку «Нет».

Программное обеспечение Континент TLS VPN – система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ. Континент TLS VPN осуществляет криптографическую защиту HTTP-трафика на сеансовом уровне. Шифрование информации производится по алгоритму ГОСТ 28147–89.

Идентификация и аутентификация удаленных пользователей

Идентификация и аутентификация пользователей выполняются по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11–94, 34.10–2001). Континент TLS VPN производит проверку сертификатов ключей по спискам отозванных сертификатов (CRL). Выпуск сертификатов осуществляется внешним удостоверяющим центром.

В случае успешного прохождения процедур аутентификации запрос пользователя перенаправляется по протоколу HTTP в защищенную сеть к соответствующему веб-серверу. При этом к каждой HTTP-сессии пользователя добавляются специальные идентификаторы (идентификатор клиента и идентификатор IP).

Криптографическая защита передаваемой информации

Континент TLS VPN осуществляет криптографическую защиту HTTP-трафика на сеансовом уровне. Шифрование информации производится по алгоритму ГОСТ 28147–89. Расчет хэш-функции выполняется по алгоритму ГОСТ Р 34.11–94, ГОСТ Р 34.11–2012. Формирование и проверка электронной подписи осуществляются в соответствии с алгоритмом ГОСТ Р 34.10–2001, ГОСТ Р 34.10–2012.

Сокрытие защищаемых серверов и трансляция адресов

Континент TLS VPN производит фильтрацию запросов и транслирует адреса запросов к веб-серверам корпоративной сети. Трансляция адресов осуществляются в соответствии с правилами, которые устанавливает администратор «Континент TLS VPN».

Отказоустойчивость и масштабируемость

Континент TLS VPN поддерживает работу в схеме высокопроизводительного кластера с балансировкой нагрузки (внешним балансировщиком). Повышение отказоустойчивости достигается добавлением в кластер избыточной ноды. При этом наращивания элементов балансирующего кластера может осуществляться неограниченно. Выход из строя элемента кластера не приводит к разрыву соединений, поскольку нагрузка равномерно распределяется между остальными элементами.

Мониторинг и регистрация событий

В Континент TLS VPN администратор всегда может получить оперативную информацию о текущем состоянии установленных соединений и статистику его работы. На сервере осуществляется журналирование событий информационной безопасности. Все события могут пересылаться на указанный сервер в формате syslog для дальнейшего анализа, что делает интеграцию с SIEM-системами максимально простой.

Удобные инструменты управления

Сочетание локальных и удаленных средств с веб-интерфейсом и удобной графической консолью управления обеспечивает гибкую настройку Континент TLS VPN в соответствии с требованиями политик безопасности.

Поддерживаемые протоколы

Континент TLS VPN поддерживает протоколы TLS v.1, TLS v.2.

Работа пользователя через любой веб-браузер

Используя приложение Континент TLS VPN Клиент, пользователи могут получить доступ к защищенным ресурсам из любого веб-браузера. Континент TLS VPN Клиент является локальным прокси, перехватывает трафик браузера к защищаемым веб-серверам и упаковывает его в http-туннель. Благодаря этому пользователь может работать с любым веб-браузером, установленным на его устройстве.

Использование удобного для пользователей программного клиента

Использование удобного для пользователей программного клиента В качестве клиента на устройстве пользователя может быть использован Континент TLS VPN Клиент или КриптоПро CSP версии 3.6.1.