Заходимо в особистий кабінет на zakupki.gov.ru без Internet Explorer та інші корисні поради під час роботи з КриптоПро

У цій замітці я намагатимуся узагальнити досвід використання криптопровайдера КриптоПро для доступу до закритої частини офіційного сайту єдиної інформаційної системи у сфері закупівель (zakupki.gov.ru) та сайту держпослуг (gosuslugi.ru). Сам криптопровайтер став уже стандартом де-факто для держустанов, у його форматі видає ЕЦП, наприклад, центр посвідчення (УЦ) Федерального казначейства або УЦ МОЗ.

Насамперед мова піде про сайт zakupki.gov.ru. Особистий кабінет цього сайту доступний лише через HTTPS з використанням ГОСТ-алгоритмів шифрування. Довгий час HTTPS через ГОСТ працював лише в Internet Explorer, який цілком покладався на криптопровайдер. Розв'язка настала нещодавно, коли на сайті zakupki.gov.ru була припинена підтримка старих версій IE, у тому числі - IE8. Біда в тому, що IE8 – остання версія цього браузера, що підтримується в Windows XP, а державні установи, як правило, дуже консервативні щодо ліцензування. Таким чином, досить велика частина користувачів відразу виявилася "за бортом".

На щастя, компанія КриптоПро випускає спеціальне складання браузера Firefox під назвою КриптоПро Fox (CryptoFox), яка підтримує ГОСТ-алгоритми і працює, природно, тільки у зв'язці з відповідним криптопровайдером. Був час, коли розробка збирання майже повністю припинилася, проте зараз нові версії виходять регулярно. Остання збірка заснована на Firefox 45, можна завантажити, доступні версії під Windows, Linux і навіть Apple OS X.

За посиланням є англомовна версія браузера. Для її локалізації необхідно завантажити пакет із перекладом інтерфейсу. Зауважте, що версія пакета повинна відповідати версії самого браузера.

Після встановлення пакета потрібно відкрити нову вкладку, набрати там about:config, а в списку параметрів ввести general.useragent.locale і змінити його значення з en-US на ru-RU. Після перезапуску браузера інтерфейс буде російською мовою.

Тепер можна ставити в сховище "Довірені кореневі центри сертифікації" кореневий сертифікат УЦ Федерального казначейства, в сховищі "Особисті" - персональний сертифікат користувача, перезапускати браузер і заходити до особистого кабінету zakupki.gov.ru по 44-ФЗ.

На моєму робочому місці не встановлено чинних сертифікатів уповноважених осіб, тому доступ до особистого кабінету заборонено. Проте шифрування з'єднання у разі проводиться алгоритмом сімейства ГОСТ.

У разі доступу до закритої частини сайту по 223-ФЗ авторизація проходитиме через ЕСІА (тобто через сайт gosuslugi.ru). Тут ситуація спрощується, тому що цей сайт плагін для Firefox існує вже давно і розробляється Ростелекомом. При першому заході на сайт нам буде запропоновано завантажити плагін. Після встановлення плагін слід переключити в режим "Завжди вмикати" в налаштуваннях CryptoFox, інакше на сайті держпослуг не з'являтиметься вікно із запитом сертифіката.

На жаль, підпис документів на сайті zakupki.gov.ru реалізований через специфічний компонет sing.cab, який використовує технологію ActiveX. Природно, в CryptoPro цей компонент не буде працювати, тому чекатимемо переходу на більш поширену технологію. На щастя, підписання документа - це лише мала частина того, що повинен робити оператор під час роботи на zakupki.gov.ru, так що для повсякденних операцій CryptoFox можна використовувати.

Іноді потрібно зберегти копію закритого ключа на локальному комп'ютері. Це можна зробити, якщо ключ під час створення в УЦ позначений як вивантажуваний. Копіювання здійснюється за допомогою кнопки "Скопіювати" (яка несподіванка) в інтерфейсі аплету КриптоПро

У зчитувачі “Реєстр” ключі зберігаються у гілці

HKLM\SOFTWARE\Crypto Pro\Settings\Users\\Keys
для користувача та у гілки

HKLM\SOFTWARE\Crypto Pro\Settings\Keys
для комп'ютера загалом.

У разі 64-бітної ОС шляху будуть дещо іншими:

HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\\Keys
і

HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Keys

При роботі КриптоПро на термінальному сервері користувача може не вистачити прав на запис ключа в ці гілки, оскільки вони знаходяться не в профілі користувача. Цю ситуацію можна виправити призначенням відповідних прав на гілки через утиліту Regedit.

КриптоПро шукає контейнери ключів на дисках, які мають атрибут "знімний", тобто флеш-диск або, вибачте, дискета будуть вважатися контейнерами ключів, а мережевий диск або диск, прокинутий через RDP - ні. Це дозволяє зберігати ключі на образах дискет за принципом одного ключа - одна дискета і тим самим підвищити безпеку. Для створення віртуального дисководу можна застосувати утиліту

Нерідко користувачі стикаються з проблемою підтвердження особистих даних під час онлайн операцій – Cannot sign data. Error description: Об'єкт не підтримує властивість або метод “Sign”. Наприклад, така помилка відбувається на веб-сторінках офіційних організацій чи фінансових установ: zakupki.gov.ru, bus.gov.ru, ВТБ 24, ЄІС. Саме ця помилка виникає при спробі встановити ЕЦП або підтвердження особистих даних.

Причини помилки Sing

Повідомлення помилки вказує на проблеми з Sign.cab. Даний компонент застосовується для формування самого підпису і є дуже важливою складовою. Самих причин виникнення помилки може бути безліч. Джерелом можуть бути: не встановлений файл sign.cab, відсутні або застарілі кореневі сертифікати (КриптоПро, Контур) для ЕЦП, несумісність розрядності Windows з браузером, відсутність пакета.NET Framework та інші.

Помилка: Об'єкт не підтримує властивість або метод Sign

Як виправити помилку Cannot sign data

Для виправлення подібного збою на Windows 7/8/10 слід по черзі перевірити або виконати всі пункти, які будуть описані нижче. Ми зібрали всі найпоширеніші рішення, які наводяться на офіційних форумах держзакупівель, bus.gov.ru та інших спільнот.

Для початку перевіримо роботу сайту на іншому браузері. Якщо ви робите операції через спеціалізовану програму, тоді перевірте налаштування, де задайте інший браузер виходу до мережі.

Правильно перевстановлюємо Ланіт

Багато хто радить насамперед перевстановити відповідний ланіт – sign.cab. Краще завантажити його з того ресурсу, на якому відбувається збій (зверніться в супорт) або з іншого популярного джерела. Виберіть розрядність (x32, x64), яка відповідає вашій системі та браузеру (!), що дуже важливо для роботи в Internet Explorer. Розрядність відіграє важливу роль. Далі:

Також радимо ознайомитися з рішенням збою при встановленні ЕЦП – Error calling method on NPObject.

Також варто перевірити

Висновок

Найчастіше помилка "Об'єкт не підтримує властивість або метод Sign" є наслідком невідповідної розрядності при встановленні програмного забезпечення (ланіта, браузера, сертифікатів), тому уважно поставтеся до цього моменту. У будь-якому випадку, якщо ви не впораєтеся з помилкою, варто звернутися до супорт ресурсу, але як показує практика, відповідей там чекати можна дуже довго.

Цифровий підпис та електронні закупівлі

• Інформаційна безпека

Так сталося, що торік волею доль я влився в державну структуру. І відразу отримав завдання встановити електронні цифрові підписи в управлінні муніципального замовлення для участі в електронних торгах. До цього з ЕЦП у практичному застосуванні я ніколи раніше не стикався. А зовсім недавно, з 1 січня, запрацював портал zakupki.gov.ru, через який повинні проходити всі державні закупівлі.

У цій статті я опишу, з якими проблемами зіткнувся на етапах налаштування та як їх подолав. Постараюся написати просто про складне – ЕЦП, криптографія, відкриті та закриті ключі. Певною мірою це стосується роботи на всіх авторизованих електронних майданчиках.

На прикладі реальної ситуації розглянемо всі етапи встановлення ЕЦП та налаштування робочого місця. Сподіваюся, мій матеріал допоможе тим, хто тільки-но починає роботу з ЕЦП, і зокрема з електронними закупівлями.

Цитата: “Статтею 16 Закону №94-ФЗ з 01.01.2011 передбачено введення в експлуатацію єдиного інформаційного ресурсу про державні та муніципальні закупівлі – офіційного сайту Російської Федерації (www.zakupki.gov.ru) у мережі Інтернет для розміщення інформації про розміщення замовлень на поставки товарів, виконання робіт, надання послуг для федеральних потреб, потреб суб'єктів Російської Федерації та муніципальних потреб”.

На словах, як завжди, все добре. А насправді все навпаки. Користувачі бояться нових технологій, тому для них перехід на ЕЦП має бути максимально безболісним. Вся робота з ЕЦП з боку користувача має виглядати так - вставив електронний ключ і почав роботу з порталом.

У моїй практиці був дуже цікавий момент, коли один знайомий мегаюзвір стверджував, що ЕЦП - це просто відсканований особистий підпис, який треба прикріплювати до документа як вкладення через будь-який поштовий клієнт при надсиланні листа.

Також у користувачів не повинно складатися враження, що носій, чи то Токен, дискета чи флешка – і є повноцінна ЕЦП. Без закритого ключа всередині та налаштування ключової зв'язки це просто схожі на флешку марні штучки.

Отже, зараз буде трохи термінології.

2. Качаємо та встановлюємо об'єкт Capicomверсії 2.1.0.2. Він необхідний для коректування роботи з майданчиками. Лежить він на сайті Microsoft - .

3. Якщо потрібно, ставимо драйверадля коректної роботи носіїв (токенов, смарт-карт). Їх можна знайти на офіційних веб-сайтах. У нас використовуються RuToken"и.

4. Встановлюємо кореневі сертифікати. Поміщаємо їх у сховище кореневих центрів сертифікації.

5. Створюємо зв'язку ключівчерез крипто-про. Робиться це досить просто. Запускаємо крипто-про, вибираємо "Сервіс -> встановити особистий сертифікат". Вказуємо відкритий ключ, вказуємо носій закритого ключа, вводимо пін-код, поміщаємо сертифікат у власну сховище.

Ось і все, ЕЦП налаштована. Вітаю! Але... залишилося ще зробити деякі маніпуляції з браузером. Браузер, до речі, для роботи з торговими майданчиками – тільки Internet Explorer.

По-перше, заносимо електронний майданчик у безпечні вузли, точно так як на скрині.

По-друге, для безпечних вузлів дозволяється використовувати всі ActiveX компоненти. Так, і до безпечних вузлів не додавайте небезпечні!

По-третє, дозволяйте всі надбудови, що вилітають на майданчиках, а то будуть різні проблеми виникати.

Як перевірити роботу ЕЦП?На електронному майданчику ММВБ є тестова сторінка, на якій можна перевірити працездатність ЕЦП, та зрозуміти, чого не вистачає для повноцінної роботи.

Тепер опишу один аспект, який відноситься до порталу zakupki.gov.ru. Існує компонент формування підпису Ланіт, без якого підписати що-небудь на порталі неможливо. Вискакує він як невідома надбудова на сайті, а при завантаженні називається sign.cab. Встановлюється просто, розпаковуємо cab-файл і запускаємо інсталятор. Просто! Однак цей нюанс дуже легко упустити. Качати звідси.

Також хочеться відзначити, що робота порталу поки що бажає кращого, вискакують різні помилки системні, з техпідтримкою зв'язатися дуже складно. Однак працювати з ним можна і потрібно, і сподіваюся, всі проблеми незабаром будуть усунені.

На сьогодні все. Сподіваюся, ця стаття допоможе вам розібратися в деяких аспектах роботи з електронними майданчиками та ЕЦП. Дякую всім, хто подужав.

Теги:

• ецп
• електронний цифровий підпис
• закупівлі в електронному вигляді

Компонент формування підпису не встановлений чи працює (працює некоректно).

1) Переконайтеся, що у верхній частині вікна або вкладки браузера не відображається повідомлення про запобігання запуску або встановлення надбудов (елементів ActiveX):

«Всі надбудови браузера Internet Explorer вимкнено. Натисніть тут для керування, вимкнення або видалення надбудов».

«Цей веб-сайт намагається встановити наступну надбудову … Якщо ви довіряєте цьому веб-сайту та цій надбудові і хочете встановити її, клацніть тут…»

«Для цього вузла потрібна наступна надбудова… Якщо ви довіряєте цьому веб-сайту та цій надбудові та дозволяєте її виконання, клацніть тут…»

«Параметри безпеки не дозволяють запускати елементи керування ActiveX на цій сторінці. Сторінка може відображатися неправильно. Натисніть тут, щоб вибрати параметри.»

"Запуск елементів ActiveX на цій веб-сторінці заборонено поточними параметрами безпеки".

«Цю програму заблоковано, тому що не вдається перевірити її видавця.»

«Internet Explorer заблокував елементи керування ActiveX.»

Якщо такі сповіщення є, відповідну дію необхідно дозволити.

Якщо браузер Internet Explorer 10 використовується, рекомендується додатково дозволити запуск непідписаних елементів ActiveX.

Для цього необхідно:

• у меню браузера вибрати пункт «Сервіс» — «Властивості браузера» (у разі, якщо меню не відображається за промовчанням, для його відображення необхідно натиснути на клавіатурі Alt). В результаті з'явиться вікно «Властивості браузера»;
• перейти на вкладку "Безпека";
• вибрати зону "Надійні сайти";
• у блоці «Рівень безпеки для цієї зони» натиснути кнопку «Інший». В результаті з'явиться вікно «Параметри безпеки»;
• у списку параметрів знайти пункт «Завантаження непідписаних елементів ActiveX» (блок Елементи ActiveX та модулі керування) та переключити цей параметр у положення «Увімкнути».

2) Переконайтеся, що запуск встановленого компонента формування підпису не блокується через недостатню довіру до веб-сайту bus.gov.ru.

Для цього вузол https://bus.gov.ru повинен бути доданий до зони «Надійні Вузли» (Властивості оглядача — Безпека — Надійні вузли — Вузли) і для цієї зони встановлені низькі обмеження безпеки (Властивості оглядача — Безпека — Надійні Вузли — Рівень безпеки для цієї зони — Інший — Скинути спеціальні параметри — На рівень — Низький — Скинути). В результаті в категорії «Елементи ActiveX та модулі підключення» у налаштуванні безпеки (Властивості браузера — Безпека — Надійні Вузли — Рівень безпеки для цієї зони — Інший) запуск модулів ActiveX повинен бути дозволений (усі пункти в цій категорії повинні бути встановлені в положення «Увімкнути » або «Пропонувати»).

Додатково: Необхідно дозволити встановлення та запуск елементів керування ActiveX, що має неприпустимий підпис: «Властивості браузера» — «Додатково» — «Безпека» — «Дозволяти встановлення або виконання програми, що має неприпустимий підпис».

3) В інших випадках необхідно встановити (перевстановити) компонент формування підпису sign.cab.

C:\Program Files\Lanit\

Шлях установки за замовчуванням:

C:\Program Files\Ланіт\Ланіт.Компонент формування підпису

Встановлення 64-розрядної версії компонента підпису доступне тільки в 64-розрядній ОС.
Коректна робота 64-розрядної версії компонента підпису можлива тільки при використанні 64-розрядної версії браузера Internet Explorer.

Установка 32-розрядної версії компонента підпису доступна в 32-розрядній і 64-розрядній версіях ОС. Коректна робота 32-розрядної версії компонента підпису можлива тільки при використанні 32-розрядної версії браузера Internet Explorer.

4) Якщо після цих дій помилка під час підписання продовжує виникати, переконайтеся, що розрядність браузера Internet Explorer, що запускається, збігається з встановленою версією компонента формування підпису.

Перевірити розрядність версії браузера IE, що запускається за замовчуванням, можна в «Довідка» — «Про програму» (у 64-x розрядній версії після вказівки номера версії має бути вказано «64-bit edition», якщо цієї вказівки немає — запускається 32-розрядна версія).

Також для коректної роботи компонента формування підпису необхідний пакет Microsoft .NET Framework версії 2.0 (для Windows XP) або 3.5 (для пізніших версій операційних систем Windows).

5) У поодиноких випадках, запуск компонента формування підпису може блокувати ПЗ антивірусного та проактивного захисту.

Помилка: "Неможливо завантажити модуль capicom.dll" Помилка: "Не встановлено об'єкт capicom"

Помилки з http://sberbank-ast.ru при вході Електронно Цифрового підпису)

Вирішення цих проблем за 5 хвилин. (вашій увазі надається два способи, ручний та автоматичний.) Якщо в автоматичному решімі після встановлення першого компонента помилка зберігається, використовуйте спосіб №2 з питань, що виникли, пишіть у комментаріях.

Автоматична реєстраціябібліотеки capicom_ 2.1.0.2Обов'язковий компонент для роботи з ЕЦП capicom_ 2.1.0.2_sdk capicom_dc_sdk.zip

Якщо після встановлення автоінсталятора у вас все одно виникає помилка на плащадках, що використовують бібліотеки capicom.dllвам необхідно видалити раніше встановлені бібліотеки, зайти до реєстру за допомогою команди regedit та видалити всі ключі з індексом capicom.dll Після цього перезавантажте робочу станцію і перейдіть до процедури ручної установки бібліотеки за нижче описаною схемою. Актуальна бібліотека на 10 січня 2012 року v2.1.0.2

Для інсталяції capicom.dll на Windows (XP) виконайте такі дії:

Ручна реєстрація інсталяції бібліотеки capicom_ 2.1.0.2скачати архів capicom_-dll_v2.1.0.2.zipпровести розпакування в C:WINDOWSsystem32(capicom.dll) . Після поміщення бібліотеки у потрібну директорію виконати у командному рядку C:\WINDOWS\system32\regsvr32 capicom.dll

Для установки CAPICOM.dll на Windows Vista, Windows 7, Windows 8, Windows 8.1виконайте наступні дії:

1. Завантажте файл capicom_-dll_v2.1.0.2.zip

2. Розпакуйте в каталог "C:\windows\syswow64"

3. Зареєструйте бібліотеку dll, для цього в командному рядку (Пуск – Виконати) введіть: c:\windows\syswow64\regsvr32.exe capicom.dll

4. Для створення сховища завантажте файл CreateOP

5. Розархівуйте файл createop_capicom.zipта скопіюйте файли з папки

6. Перейдіть до C:\WINDOWS\syswow64... і вставте скопійовані файли із заміною файлу

7. Запустіть файл CreateOP.bat (якщо у Вас не відображається розширення ".bat", то необхідно запустити файл, який відображається як "Пакетний файл MS-DOS")

8. Після запуску файлу, з'явиться вікно, натисніть в ньому ОК

9. У наступному вікні знову натисніть OK

Обов'язково всі доменні імена, з якими ви працюєте через capicom, повинні бути додані в довірені вузли у властивостях браузера!!! Якщо це не зробити, помилка: "Не вдалося завантажити модуль capicom.dll" і помилка: "Не встановлений об'єкт capicom" може з'являтися незалежно від наявності Capicom в системі.!!!