Электронный бюджет не дает выбрать сертификат. Типичные ошибки «Электронный бюджет. Электронный бюджет настройка рабочего места

Одна из самых распространенных ошибок программы АРМ "Электронный бюджет" - ошибка возникающая при подключению к серверу, имеющая индексный номер 434. Решить ее довольно просто, в большинстве случаев помогает всего 2 действия:

1. Обновление сборки Континент TLS до актуальной версии. Например, версия номер 920 работала нестабильно и часто соединение завершалось 434 ошибкой "Сервер назначения недоступен". Актуальную версию можно скачать с сайта securitycode.ru.

2. Проверка правильности ввода адреса личного кабинета пользователя программы "Электронный бюджет" в Континент TLS, а также номера порта (8080). В строке не должно стоять пробелов или каких-либо других символов ни в начале строки, ни в конце. Правильным будет адрес: lk.budget.gov.ru (как на фото). Если же вы настраиваете прокси-сервер через браузер - он должен быть настроен соответствующим образом. Если вы не работаете через прокси-сервер - галочка в настройках TLS стоять не должна. Об этом ниже.

Ошибка 434 "Сервер назначения недоступен". Как убрать?

Если два вышеперечисленных варианта решения проблем вам не помогли (обновление сборки и правильность написания адреса личного кабинета) - значит проблема скорее всего кроется в неправильной установке корневых сертификатов удостоверяющего центра или настройках прокси в браузере и она тоже решаема.

- Касаемо сертификатов - некоторые пользователи при неправильной установке программы ставят корневые сертификаты УЦ и TLS в Реестр, тогда как по инструкции правильно - в Локальный компьютер. В этом случае поможет перемещение сертификатов.

Если вы выбираете настройку прокси-сервера в браузере - она должна быть включена правильным образом. Надо указать тип прокси - HTTP и поставить галочку, что прокси-сервер будет использоваться для всех протоколов. Пример настройки браузера Firefox ниже.

Часто при использовании программного продукта для работы с Федеральным Казначейством Континент АП пользователи сталкиваются с ошибкой "Не найден корневой сертификат ". Причин для появления этой ошибки может быть несколько, мы в этой статье перечислим основные из них и узнаем что делать в таких случаях и как убрать ошибку. Обращаем ваше внимание, что информация актуальна на момент написания статьи, если перечисленные способы не помогут самостоятельно справиться с проблемой - вы всегда можете обратиться в отдел технической поддержки Казначейства или к разработчикам программы Континент АП.

Причины появления ошибки "Не найден корневой сертификат" в Континент АП

1. Не установлены корневые сертификаты удостоверяющего центра (УЦ) Федерального Казначейства. Обычно сотрудники УФК записывают их на флеш-диск вместе с личным сертификатом пользователя. Здесь надо проверить их наличие в доверенных корневых центрах сертификации. Для этого надо войти по пути: Пуск - Панель управления - Свойства Обозревателя - Вкладка "Содержание " - Пункт "Сертификаты " - Пункт "Доверенные корневые центры сертификации ", опустить ползунок в самый них и посмотреть - какие корневые сертификаты установлены с российским обозначением. Если все сделано правильно - вы должны видеть примерно такую картину:

Если у вас в списке нет этих сертификатов - их надо скачать и установить, описание процедуры ниже. Также можно проверить наличие установленных сертификатов в системе нажав клавиши Win (клавиша в нижнем ряду клавиатуры со значком Виндовс) +R и в появившемся окне набрать certmgr.msc, нажать Enter.

2. Корневые сертификаты УЦ были ошибочно или намеренно удалены . Опять же - скачать и установить сертификаты.

3. У корневых сертификатов истек срок действия . Очень редкая ошибка, КС выдаются на длительный срок - от 5 до 10 лет, однако иногда выпускаются другие версии. Устранение ошибки в этом случае то же самое - скачать и установить свежие корневые сертификаты.

4. Проблема с Crypto Pro . Часто обновленные версии программы Крипто Про не совсем правильно работают с программами и сертификатами Казначейства. Мы уже писали об этом, например, . Решение - переустановка Крипто Про на более новую или, наоборот, старую версию.

5. Ограниченные права пользователя . Ошибка Континент АП "Не найден корневой сертификат" была замечена в 10 версии Виндовс. Решение - дать пользователю полные права.

6. Неправильная работа программы Континент АП . Решение - полное удаление и установка актуальной версии программы Континент АП по имеющемуся на официальном сайте Руководству.

Ссылка на скачивание корневых сертификатов Казначейства

Скачать действующие корневые сертификаты удостоверяющего центра Казначейства можно с официального сайта по ссылке: roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/
Для корректной работы необходимо скачать и установить оба предлагаемых файла сертификатов:

1. Сертификат Головного удостоверяющего центра Минкомсвязи,
2. Сертификат Удостоверяющего центра Федерального казначейства.

Даты их выпуска могут меняться, как правило, выпускаются они на несколько лет.

Как установить

Перед установкой корневого сертификата УЦ вы должны убедиться, что у вас установлена программа Крипто-Про и её лицензия активна. По скачанному сертификату надо кликнуть правой кнопкой мыши, выбрать в меню Установить сертификат. Далее выбираете расположение хранилища - Пользователь или Локальный компьютер. Мы рекомендуем выбирать второй вариант. Жмете кнопку Далее. Выбираете Поместить сертификаты в следующее хранилище, нажимаете Обзор, кликаете на Доверенные корневые центры сертификации, нажимаете Ок, Далее и Готово. Появится предупреждающая проведение установки табличка:

Если вы все сделали правильно - появится сообщение о том, что импорт был успешно выполнен. Эту же процедуру надо проделать с установкой второго корневого сертификата. Можете скачать архив с актуальными на момент написания статьи Корневыми сертификатами по

Не так давно, ко мне стали обращаться бюджетные организации, а именно администрации сельских советов с просьбой помочь им настроить систему Электронный бюджет. Это очередной проект нашего, дай_им_всем_здоровья, правительства, в составе услуг проекта Электронного правительства РФ. Бабушки и тетеньки в деревнях и сельских советах обладая старенькими компами, и очень медленным интернетом. Присоединяйтесь к нашей группе в ВК! Времонте! Умная мастерская!

Они обязаны наравне со всеми, уметь устанавливать сие по инструкции и пользоваться. Иначе сроки. Кто-то ждет исполнения, вот работники сельских администраций и тянуться, к тем, кто может им в этом помочь. Штатного программиста, естественно у них нет. Ну да ладно все это лирика. Перейдем к делу. У людей на руках диск, видимо с дистрибутивами, и желание, чтобы у них заработал этот некий Электронный бюджет.

На диске в принципе все аккуратно разложено и не составило проблемы все это дело установить по инструкции. Инструкция кстати есть еще на самом сайте Росказны . Никаких проблем особых не составило следуя инструкции устанавливать набор программ, сертификатов и т.д. В итоге после последней перезагрузки и прописывании прокси в браузер (был выбран мозила). Попытка зайти на сайт http://lk.budget.gov.ru/ не увенчалась успехом. После выбора сертификата пользователя сайт стал ругаться: Не найден корневой сертификат. Хотя я лично его устанавливал, добавляя по инструкции в доверенные корневые сертификаты. Немного посидев и полистав инструкцию еще раз, обнаружил вот такой интересный момент, с которым я думаю могут столкнуться и другие люди.

А у меня упорно отображается в виде:

Как видим хранилища Локальный компьютер тут нет. Вот тут то и порылась собака. Ну ладно, видимо им там виднее, а мы пойдем в обход, добавив куда нужно. Для этого нажимаем Пуск и в строке Найти программы и службы набираем: certmgr.msc .

Открывается консоль управления Сертификатов системы. Идем в Доверенные корневые центры сертификации -> Локальный компьютер -> Правой кнопкой мышки по Сертификаты -> Все задачи -> Импорт .

Откроется Мастер импорта сертификатов. Жмем Далее -> Обзор -> и указываем путь к файлу корневого сертификата. Скачать его кстати, если вы вдруг не скачали по инструкции можно с сайта Росказны , выбрав квалифицированный.

Если же вы открыли certmgr.msc а у вас и там нет под ветки Локальный компьютер . Не расстраиваемся остался еще способ, нажимаем Пуск и в строке Найти программы и службы набираем: mmc. Если вы пользователь win 7 и выше, советую запустить mmc от имени администратора. Как это сделать я писал . В открывшейся консоли идем в меню Файл -> Добавить удалить оснастку . В списке доступные оснастки ищем Сертификаты . Последовательно добавляем оснастку для текущего пользователя и локального компьютера.

И вуаля, заходя на http://lk.budget.gov.ru/ удостоверяемся, что все работает. Ошибка с корневым сертификатом по крайней мере должна исчезнуть. Но вот то, что все заработает… я не могу обещать. Вообще советую заходить каждый раз через http://budget.gov.ru/ Потом Вход в верхнем правом углу, и на большую кнопку Вход в личный кабинет системы «Электронный бюджет». Ну и не пугаться на ошибки, и т.д. система в данный момент в тестовом режиме работает, и заходит в нее не с первого раза. Тыкаем мучаемся 🙂

Присоединяйтесь к нашей группе в ВК!

Очередной федеральный геморрой подкрался планово, и как всегда... За основу будет взята инструкция присланная по электронке (с просьбой "инкогнито") дополненная моей лирикой и заметками. Ибо у нас всё заработало. По аналогии с закупками в ⇒ Облако закинул всё, что вам может понадобится.

Лирика и дополнения тоже имеют немаловажное значение, читайте от корки до корки.

Вводная . У нас всё настроено на работу через Internet Explorer версии 11 и стоит антивирус KES 10. После эпидемии шифровальщиков пришлось отключить "Сетевой экран" и теперь мы работаем через Брандмауэр Windows. В "огненной стене" никаких настроек не производилось, ЭБ-2012 работает без проблем. А вот настройки для KES 10 покажу позже. Internet Explorer 11 можно скачать у ⇒ Яндекса .

Итак, поехали...

Пункт №1 . Удалить все версии Jinn-Client и Continent TLS (если были установлены до этого). Перезагрузка.

Лирика . Если у вас не стоит какого-нибудь "самописного" ведомственного софта, рекомендую еще прогнать реестр утилитой Ccleaner . И чистить до тех пор, пока она не выдаст "Ошибок нет". Если стоит VirtualBox - останутся ошибки только от него. Перезагрузка.

Пункт №2 . Удалить Extended Container (если был установлен до этого). Перезагрузка.

Лирика . Я не разобрался как его удалить, остался он в системе - на конечный результат это не повлияло. В крайнем случае можно просто потом поставить свежий поверх. Вот тут нам могут понадобится библиотеки Microsoft Visual C++ (которые я положил в отдельную папку).

Информация . Наше Казначейство в этот раз промолчало, и я искал весь софт самостоятельно и ставил по инструкциям с форумов. В конечном итоге Extended Container стоит у нас не из "официального" дистрибутива, а версия 1.0.2.2 (папка "eXtendedContainer" в Облаке ).

Пункт №3 . Установить браузер Mozilla Firefox 63.0.1 (32-bit), можно обновить поверх старой версии.

Лирика . Пункт выполнил, но это не сработало, а вот настроенное через Firefox СУФД слетело. Получился лишний геморрой. Internet Explorer 11 - наше всё! Тут еще проблема в чём. Firefox и Chrome постоянно обновляются, а конечных требований к безопасности не сформировано,.. и расширения вылетают и отключаются... Firefox ESR тоже проходит этап глобальных изменений... Короче, лучше не трогать.

Пункт №4 . Установить CRL для ГОСТ-2012 (от админа в Доверенные корневые в Локальный компьютер). Скачать свежие можно с crl.roskazna.ru .

Для информации . В разных сертификатах Электронного бюджета указаны разные пути: crl.roskazna.ru и crl.roskazna.ru/crl/ . Если вдруг список окажется просроченным, то можно попробовать с другого адреса. Вдруг проканает.

Лирика . Это не понадобилось, ибо всю эту хрень мы уже проделывали с неудачной попыткой установки Континент-АП 3.7.7.651 (компьютер собран на серверном железе). Не знаю, как остальные, а мы откатились назад на Континент-АП 3.6.90.4 и продолжаем работать без проблем (Континенты ⇒ ). Ждём нормальную версию Континент-АП 4.0.

А вот с ГОСТ-2001 в "Электронном бюджете" возникли проблемы. И этот пункт будет полезен и для общего развития, и для решения проблемы... Как узнать откуда брать CRL (он же "Список отозванных сертификатов")?

Жамкаем дважды в Проводнике на проблемный сертификат. Переходим на вкладку "Состав" и выбираем строку "Точки распространения списка отзыва (CRL)". Получаем адреса... Запускаем любой интернет-браузер и вбиваем URL. Если "пусто" по всем адресам, ну чтож - мертворожденный... :(

То, что мы скачали нужно впихнуть в систему насильственно. И так каждый раз, когда список потеряет актуальность... В том же Проводнике двойной клик на скачанном файле и выбираем "Установить...":

И самое интересное, что пути скачивания прописаны в TLS 2.0, но эта c[мать щенка]а пишет, что по указанному адресу ничего нет.

И для информации : Оказывается сертификаты и контейнеры закрытого ключа независимы по сроку жизни друг от друга. Т.е. сертификат может быть актуальным, но подписать документ уже нельзя...

Пункт №5 . Устанавливаем личный сертификат пользователя через КриптоПро.

Пункт №6 . Зайти в КриптоПро и выставить на вкладке "Настройки TLS" чекбоксы "Не проверять сертификат сервера на отзыв" и "Не проверять назначение собственного сертификата".

Пункт №7 . Устанавливаем Континент TLS Client 2.0.1440. Перезагрузка.

Лирика . В процессе установки может возникнуть ошибка доступа... Это мы уже проходили ранее. Нужно разблокировать ветку реестра (прям в процессе установки), изменить права на её изменения. По умолчанию владельцем ветки является "система", а софт устанавливается от имени пользователя. Поскольку на компах такого уровня пользователи должны быть в "Администраторах" (проверено практикой), то и доступ даём соответственно:

Если возник вопрос "А что показано на картинке выше?"... Самим лучше не лезть, а попросить человека, который знает, что такое "Системный реестр Windows" и как с ним работать.

Пункт №8 . Производим настройку Континент TLS (см. руководство на сайте roskazna.ru, раздел "ГИС-Электронный бюджет").

lk2012.budget.gov.ru
lk.budget.gov.ru

Настройки TLS:

Пункт №9 . Регистрируем Континент TLS.

Win+R и набрать %PUBLIC%\\ContinentTLSClient\\
Найти файлик PublicConfig.json
Открыть Блокнотом на редактирование
В параметре SerialNumber вставить в кавычках значение "test-50000 "
Перезапустить Континент TLS.

Лирика . Можно поступить проще, никакой крамолы в этом нет - зарегистрироваться официально. Денег за это не попросят.

Пункт №10 . Удаляем программу Extended Container через "Программы и компоненты" в Панели управления. Перезагрузка.

Лирика . Этот пункт я не выполнял. Я не понял, зачем её удалять, она абсолютно не мешает.

Пункт №11 . Устанавливаем Jinn Client 1.0.3050 (требуется серийный номер). Перезагрузка.

Лирика . Нам Казначейство выдало версию 1.0.1130.0, на работоспособности это никак не сказалось. Серийник берем со старой версии ранее выданного дистрибутива.

Пункт №12 . Устанавливаем Extended Container из дистрибутива с Jinn Client (требуется отдельный серийный номер).

Лирика . О каком серийном номере идёт речь я без понятия. Раньше его не было. Возможно имеется в виду выданный номер в свежем дистрибутиве. В отличии от Jinn ограничений на количество установок нет. Новый Extended (версия 1.0.2.2) ставил ранее в попытке решить проблему самостоятельно.

Пункт №13 . Заходим в C:\Program Files\Secure Code\CSP\ и находим файлик csp_uninstal.exe . Запускаем его и удаляем криптопровайдер от Кода Безопасности. Перезагрузка.

Пункт №14 . Заходим Устанавливаем JinnSignExtensionProvider (для взаимодействия с браузерами Chrome и Firefox).

Лирика . Этот пункт тоже пропустил, ибо у нас Internet Explorer 11. На Chrome я не пробовал, а Firefox не заработал.

Пункт №15 . Устанавливаем CadesPlugin (он же - КриптоПро ЭЦП Browser Plug-in).

Лирика . Скачать можно ⇒ . Качаем самую последнюю версию. Прописываем сайт "http://lk2012.budget.gov.ru" в настройки плагина:

Пункт №16 . Настраиваем браузеры:

Internet Explorer : добавить в Надежные сайты - http://lk2012.budget.gov.ru и https://lk2012.budget.gov.ru
Firefox: добавить расширение JinnSignExtension.xpi и отключить в настройках сети старую настройку прокси (выставить "Без прокси")
Chrome: добавляем расширение JinnSignExtension (перетягиваем папку с расширением в окно установки расширений)

Лирика . Еще в Internet Explorer нужно отключить Proxy совсем:

ДАЛЕЕ то, чего не было в инструкции.

Создаём ярлыки на рабочем столе для обоих вариантов (ГОСТ-2001 и ГОСТ-2012) прописывая в объектах строки:

"C:\Program Files\Internet Explorer\iexplore.exe" http://lk.budget.gov.ru/udu-webcenter
"C:\Program Files\Internet Explorer\iexplore.exe" http://lk2012.budget.gov.ru/udu-webcenter

И на всякий случай в свойствах предусматриваем запуск от имени Администратора:

Это нужно для того, чтобы браузер не перескакивал во время работы на протокол HTTPS.

Настраиваем Антивирус . В сети рекомендуют отключать антивирус совсем. Отличная шутка, особенно на компьютере управляющем деньгами. Предлагаю настройки для Kaspersky Endpoint Security 10 . На других антивирусах нужно создать подобные правила.

Для начала отключаем проверку трафика:

Затем вносим в исключения контроля за программами обе версии (x86 и x64) Internet Explorer:

Конечно, это не правильно, но это меньшее зло из всех возможных.

Ключи конвертировать придётся. Качаем Конвертер закрытого ключа и там в архиве лежит файлик Readme.doc с инструкциями по установке. Для конвертации дополнительная флэшка не нужна, делаем всё на той же самой, просто добавятся файлы с новым форматом ключа. Носитель станет универсальным. Конвертируются без проблем как новые ключи, так и старые.

Смена пользователя стала намного проще. Теперь не надо перезапускать службу, достаточно просто поменять сертификат в строке "Сертификат пользователя по умолчанию" в настройках Континент TLS.

Удачи вам в нелёгкой борьбе с федеральными порталами!