Коллеги работающие в сфере гос. закупок уже успели испытать на себе обязательное требование правительства касательно использования носителей с электронно цифровой подписью ГОСТ Р 34.10-2012. Использование ЭЦП по новому ГОСТу является обязательным с 1 января 2019 года, и для работы на порталах zakupki.gov и gosuslugi.ru выпустить ЭЦП по ГОСТ 2001 уже невозможно, а после 1 января 2020 года поддержка ЭЦП по старому ГОСТ будет прекращена полностью.
Как часто это бывает гос. сайт к 1 января 2018 оказался готов но не полностью.
Для работы с ЭЦП по ГОСТ 2012 необходимо установить “плагин для работы
с порталом государственных услуг” версии 3.0.3.0 или 3.0.6.0, но в отличии от версии плагина 2.0.6.0 новые версии не поддерживают работу с UNC путями (это мы выяснили в процессе многочисленных нездоровых экспериментов с разными версиями плагинов), и если вы как и мы используете перемещаемые профили, то авторизация на сайте работать у вас не будет; причем работать она не будет ни в одном браузере: IE, Google Chrome, Mozilla Firefox и даже Crypto Fox.
Длительные переписки с поддержкой гос. услуг, крипто про и контур.экстерн к сожалению ничем не помогли, специалисты технической поддержки сайта государственных услуг так вообще оказались крайне не компетентны.
Собственно хватит слов займемся делом.
Для работы с сайтом гос. Услуг по ГОСТ 2012 с переносимыми профилями по сути необходимо сделать 3 действия.
- Полностью удалить плагин старой версии и вычистив остатки в системе.
- Установить плагин версии 3.0.6.0 для 32 битных систем, даже если вы используете 64 разрядную ОС, скопировав локально папку с плагином из appdata.
- Вручную отредактировать реестр.
Не забываем что для совершения следующих действий с IFCPlugin пользователю необходимо дать права локального администратора машины.
- Удаление плагина.
Удаляем плагин любым доступным способом: через установку удаление программ.
Через запуск msi той версии которая у вас установлена (версию можно посмотреть в
Надстройках IE или в папке профиля пользователя.
Пример:
contoso.com\dfs\Profiles\AppData\Roaming\Rostelecom\IFCPlugin\3.0.6.0)
С помощью wmic. CMD > wmic > product get name > product where name=”name of program” call uninstall > Y
Удаляем целиком папку “Rostelecom” из переносимого профиля. Пример:
\\contoso.com\dfs\Profiles\%UserName%\AppData\Roaming\Rostelecom
В реестре удаляем все остатки включающие в себя “IFCPlugin” из ветки “HKCU”.
Также желательно очистить кеш Internet Exprorer. Открываем IE, нажимаем Ctrl+Shift+Del, подтверждаем.
- Скачать и установить 32-bit IFCPlugin.msi плагин версии 3.0.6.0.
После установки необходимо скопировать папку из переносимого профиля пользователя локально на сервер например из:
\\contoso.com\dfs\Profiles\%UserName%\AppData\Roaming\Rostelecom
В
C:\Users\%UserName%\AppData\Roaming\Rostelecom
- Редактирование реестра.
Теперь самое интересное, необходимо найти в реестре все значения включающие в себя
\\contoso.com\dfs\Profiles\%UserName%\AppData\Roaming\Rostelecom
и поменять их на C:\Users\%UserName%\AppData\Roaming\Rostelecom
У вас должно получиться от 6 до 9 замен.
Все готово!
Коллеги, всех поздравляю, плагин для работы на сайтах с авторизацией через ESIA теперь работает.
- Автор данной идеи инженер с 10 летним опытом работы в телекоммуникациях Мирошкин Андрей.
Тестирование, мучения, и реализация:
- Автор данной статьи Карин Илия, системный администратор, повидавший еще не такие девиации в мире IT.
- И Лобков Кирилл, системный администратор, с широчайшим кругозором и опытом работы от монтажника СКС до Enterprise системного администратора.
P.S. Да это костыль, причем ужасный, я против подобного, но на момент написания данной статьи другого решения ни я ни мои коллеги найти не смогли, тех. поддержка так же ничего не предложила.
P.P.S. О наличии версии административной версии плагина которая устанавливается для всех пользователей мне известно, но с пол пинка она не заработала, точнее нам удавалось запустить пользователя с административным 64 битным плагином, но добиться стабильной работы и предсказуемого поведения не удалось, а саботировать работу всех пользователей на сервере терминалов затея плохая, лучше уж ручным трудом по одному. Если же у вас уже была установлена административная версия плагина, то потребуется чистка и других веток реестра.
Комментарии (29)
DickCancer
29.01.2019 13:26Я уже представляю всё это под Linux (ГосЛинукс). Импортозамещение обещает быть интересным.
Iliya_karin Автор
29.01.2019 13:52Ну на сайте у них даже есть версии плагина под deb, rpm и mac os, я с ужасом представляю что там происходит, но как есть, деваться то некуда.
DickCancer
29.01.2019 15:02От ихней тех.поддержи у меня даже борода посидела, на портале было сказано что поддерживается Win10, по факту ни чего не работало. Сталкивался несколько лет назад, интересно как сейчас они по расторопней стали или так же через два дня отвечают?
Iliya_karin Автор
29.01.2019 16:08Да все также причем первые 5 ответов это копи пасты ссылок на инструкцию и стандартные советы.
Gluzer
29.01.2019 16:08А если еще вспомнить браузер Спутник от Ростелекома с его Сталкером и Рекламоотводом, то вообще полный alles kaput…
pringle
29.01.2019 16:09А известно когда прекратиться работа плагина 2.0.6.0? У нас citrix xendesktop и описанный способ вряд ли сможет быть применён.
Кстати тоже бился с техподдержкой госуслуг — безрезультатно.
В цифровой подписи ifcplugin.msi есть упоминание конторы rtlabs.ru (возможно они разрабатывали данный плагин).
Возможно, кто-то из сотрудников данной компании читает хабр и сможет помочь с данной проблемой или обратит внимание разработчиков.Iliya_karin Автор
29.01.2019 16:13Плагин 2.0.6.0 впринципе не видит ключи по новому ГОСТ 2012, то бишь как только вам потребуется обновить текущему сотруднику ЭЦП или выпустить новому, вы столкнетесь с аналогичной проблемой.
Могу лишь рекомендовать поднять тестовую машину и по экспериментировать.
А я сейчас напишу письмо в rtlabs =)
gasoline_online
29.01.2019 19:36Использование ЭЦП по новому ГОСТу является обязательным с 1 января 2019 года
Ошибочное утверждение.Iliya_karin Автор
29.01.2019 19:37Не совсем уж и ошибочное.
С 1 января 2019 года в соответствии с выпиской из документа ФСБ России от 31.01.2014 № 149/7/1/3-58 «О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования», реализована возможность подписания пользователем ЕИС информации и документов электронной подписью с использованием квалифицированного сертификата, созданных в соответствии со стандартом ГОСТ Р 34.10-2012 в личных кабинетах заказчиков и иных лиц по 223-ФЗ, а также возможность приема из внешних систем информации и документов, подписанных электронной подписью с использованием квалифицированных сертификатов, в соответствии со стандартом ГОСТ Р 34.10-2012.
Таким образом, с 1 января 2019 года в личном кабинете 223-ФЗ в ЕИС подписание информации и документов будет осуществляться с использованием КриптоПро ЭЦП Browser plug-in версии 2.
Заказчикам и иным лицам, на которых распространяется действие Закона № 223-ФЗ, не установившим данный плагин до настоящего времени, необходимо установить его в соответствии с инструкцией, доступной по ссылке.
Для поддержки подписания документов с использованием квалифицированного сертификата, созданного в соответствии со стандартом ГОСТ Р 34.10-2012, пользователям необходимо использовать обновление версии «КриптоПро CSP» 4.0 (сборка 4.0.9944).
Важно! На основании письма Федеральной службы безопасности Российской Федерации от 07.09.2018 №149/7/6-363 возможность использования схемы электронной подписи по ГОСТ Р 34.10-2001 продлена, в связи с чем, пользователи, имеющие действующий сертификат электронной подписи, выпущенный в соответствии с ГОСТ Р 34.10-2001, смогут продолжить работу в ЕИС с использованием действующего сертификата до 31 декабря 2019 года, либо до окончания действия сертификата.wertex15
30.01.2019 20:27Получал ЭП 16 января 2019 года в УФК 2 штуки.
Плюс в вашем же сообщении указано:
возможность использования схемы электронной подписи по ГОСТ Р 34.10-2001 продлена
так что вполне себе ошибочно.Iliya_karin Автор
30.01.2019 21:36Не знаю как вы смогли выпустить ЭЦП по ГОСТ 2001, это по идее не законно.
В полемику насчёт ошибочности моего утверждения я вступать не стану, пусть будет так.Urvdmih
31.01.2019 11:36Выпуск эцп теперь делается напрямую через сайт УФК. Там возможность выбора ГОСТа не только не убрали, но по телефону советуют выбирать старый, мол с 2012 баги на сайте закупок всплывают рандомные.
Iliya_karin Автор
31.01.2019 16:35Не знаю не знаю, может если выпускать не для торгов по 223, а для чего то другого то и можно, но нам Контур совершенно однозначно дал понять что сейчас возможен выпуск ЭЦП только по ГОСТ2012.
Qwertovsky
29.01.2019 19:51Как правильно создать такой вход на своем сервере?
Обычно сайт запрашивает один из установленных в системе или браузере персональных сертификатов пользователя. Потом на сервере достаем сертификат из запроса и проверяем. Какую роль играет плагин?
Возможно ли доверять сертификату, который был выпущен одним из тысяч УЦ и может быть уже отозван минуту назад?Iliya_karin Автор
29.01.2019 22:13Плагин нужен для того что бы браузер увидел сертификат записанный на носителе электронно цифровой подписи, на zakupki.gov обычного сертификата не хватит, нужна усиленная ЭЦП выпущенная сертифицированным УЦ.
На такой ЭП записаны персональные данные сотрудника (паспорт рф), выпускается она только при наличии доверенности от руководителя организации, с заверенными копиями снилс и паспорта.
По мимо этого требуется прикрепить лк сотрудника на сайте гос. услуг к организации используя учетку генерального директора либо администратора организации. Потом прописать роли сотрудника и права на закупках.
Проверка ЭП на соответсвие ее базе гос. услуг проходит как в момент авторизации так и при подписании электронных документов на закупках.
Доверять такой ЭП не просто можно, мы обязаны доверять ей по закону РФ, что бы вы понимали закупка того же угля/мазута для отопления на сумму 5-10-20 и более млрд. руб. будет подписываться именно такой ЭП.
wertex15
30.01.2019 20:31Подскажите, а какой кейс использования авторизации на сервере терминалов в ЕСИА?
Iliya_karin Автор
30.01.2019 21:39Что именно вы имеете ввиду?
Есть юзеры, они работают на сайте zakupki.gov размещают закупки, проводят все необходимые действия для проведения тендера. Авторизация там через esia, каждое действие и документ подписывается с ЭЦП.
iPrime
30.01.2019 21:02Вот честно, сколько работаю в ИТ, но вот реализация ЭЦП на сайтах гос. структур просто ужас какой-то. Я представляю с какой ненавистью смотрят пользователи на эти системы. В районах далеких от центров и не очень, где нет специалистов, как все это настроить, чтоб тупо работало? Еще обычно солянка, для разных систем и чтоб все работало на одном компьютере, вообще кошмар. zakupki.gov.ru через одно, сбербанк через другое, budget.gov.ru через третье. Где-то прокси надо, где-то vpn свой, где-то только работает через IE с его activex, для другой системы еще плагин такой-то, версия такая-то, в другой системе чтоб сменить пользователя надо убить процесс. Вот как весь этот винегрет называется? И вот когда все это на одном компе и что-то начинает глючить, туши свет, танцы с бубном, переустановка плагинов, чистка веток реестра, переустановкой сертификатов, ползание по форумам со стонами обычных пользователей — доколе…
Gluzer
30.01.2019 21:22Коллега, я в таком случае поступаю проще: пользователю KVM в руки, и под каждую задачу: zakupki, budget, АСТ ставлю отдельную машинку. Да, согласен, это совсем НЕ удобно, но это действенный способ оградить себя от проблем несовместимости этого «винегрета»
Iliya_karin Автор
30.01.2019 21:48Храни вас UEFI с BIOSом в придачу, квм юзерам и несколько машин, у меня тоже куча площадок и т.п. но я с ужасом представляю офис по вашей схеме, у меня человек 70-80 работает с разными гос. софтинками, тут или нужно поднимать vdi, Citrix desktop, или VMware Horizon, или как у меня куча терминалов и если юзеру нужно несколько не совместимых софтин, то у него несколько виртуальных рабочих столов и он одновременно залогинен где ему надо на одном виртуальном рабочем столе у него может быть 2008r2, да простит меня прогресс, на другом 2016, а на третьем windows 10, рабочие столы синхронизированы, папки профиля тоже, настройки почты, принтеры и т.п. также, hotkey и он на 2008r2 клац и через секунду уже на 2016.
iPrime
30.01.2019 22:13Что-то я не представляю это в каком-нибудь райцентре, в какой-нибудь бюджетной конторе (как пример, местной администрации покупающей уголь для местной котельной)… хорошо еще если там будет кто-то, кто хотя бы винду ставить умеет, да принтеры подключать.
Gluzer
30.01.2019 22:46Сейчас в местных администрациях каждый маломальский отдел старается стать муниципальным казенным учреждением: со своей кормушкой и ручным распилом.
Iliya_karin Автор
30.01.2019 21:40Что бы не говорили российский софт отвратителен, да и многие системы придуманы для усложнения схем бюрократии, фактической пользы нет, лишь миллионы лишних человеко часов.
DickCancer
Вся статья вызывает страдание и боль :)
Iliya_karin Автор
Да есть такое.
3 дня мучались с плагином, и неделю с тех. поддержкой.