Электронная подпись

Настройка программного обеспечения «Континент TLS VPN»

Настройка программного обеспечения «Континент TLS VPN»

«Континент TLS VPN» обеспечивает защищенный доступ удаленных пользователей по каналам связи общих сетей передачи данных. ПО может понадобиться для работы с порталами ФГИС ЦС и Главгосэкспертизы.

Установить ПО «Континент TLS VPN»

Для получения программного обеспечения «Континент TLS VPN Клиент» версии 2.0 пользователю ФГИС ЦС необходимо зарегистрироваться на сайте производителя ПО ООО «Код Безопасности». В разделе «Континент TLS-клиент» скачать демоверсию «Континент TLS-клиент 2.0».

Если у вас установлена предыдущая версия СКЗИ «Континент TLS VPN Клиент», ее необходимо удалить, после чего перезагрузить компьютер.

В случае возникновения ошибки при создании вектора энтропии проигнорируйте ее и продолжите настройку в соответствии с настоящей инструкцией, наличие вектора не критично для подключения и корректной работы во ФГИС ЦС.

  1. Поместите установочный диск в устройство чтения компакт-дисков и запустите файл «Континент TLS-клиент.exe».
  2. Ознакомьтесь с лицензионным соглашением. Установите флаг в поле «Я принимаю условия лицензионного соглашения» и нажмите «Установить».
  3. Нажмите «Настройки». Введите лицензионный ключ, который вы получили от ООО «Код Безопасности» для расширенной поддержки ключевых контейнеров.
  4. Оставьте адрес каталога для разворачивания компонента «Континент TLS-клиент в исполнении КС1» неизменным.
  5. Нажмите «Применить», затем «Установить». Начнется процесс установки. При успешной установке отобразится диалоговое окно «Установка завершена». Перезагрузите компьютер.
  6. Во время первого запуска «Континент TLS VPN Клиент» отобразится диалоговое окно «Вы используете незарегистрированную версию программы». При нажатии «Продолжить без регистрации» пользователю будет предоставлен демонстрационный период эксплуатации ПО продолжительностью 14 дней. По истечении этого срока работа в «Континент TLS VPN Клиент» будет невозможна.
  7. Для регистрации нажмите «Да».
  8. Заполните обязательные поля: фамилия, имя, электронная почта, адрес регистрации оставьте по умолчанию: egistration.securitycode.ru, переключатель оставьте в положении «КС1».

    Нажмите «Готово».

На указанную почту придет письмо об успешной регистрации.

ФГИС ЦС
Главгосэкспертиза

На портале ФГИС ЦС в разделе «База знаний» в подразделе «Обучающие материалы» скачайте сертификат сервера для ПО «Континент TLS VPN» (по ГОСТ Р 34.10-2012) и Сертификат Удостоверяющего Центра (по ГОСТ Р 34.10-2012). Cохраните их.

Добавить ресурс
Добавить сертификаты
Проверить установку
Настроить браузер
Проверить настройки прокси-сервера
  1. Запустите СКЗИ «Континент TLS VPN Клиент» версии 2.0, нажав ярлык на рабочем столе.
  2. В меню Континент TLS 2.0 на вкладке «Главная» нажмите «Добавить/Ресурс».
  3. В меню входа «Редактирование ресурса» добавьте:
    • Адрес: fgiscs-tls12.gge.ru
    • Имя ресурса: fgiscs-tls12.gge.ru
    • Удаленный порт: 8444
    • Тип: Туннель
  4. Нажмите «Сохранить».
  5. Перейдите на вкладку «Настройки». Выберете раздел «Основные» и отметьте пункты:
    • Проверять сертификаты по CRL
    • Скачивать CRL автоматически
    • Запускать при старте системы
    • При запуске свернуть в системный трей
  6. Нажмите «Сохранить».
  7. Перейдите в раздел «Внешний прокси» и отметьте «Настраивать автоматически».
    Если в организации используется прокси-сервер, после сохранения настроек его параметры определятся автоматически. Если прокси-сервер не используется, после сохранения окно параметров останется пустым. Окно настроек внешнего прокси должно выглядеть следующим образом.
  1. Перейдите в раздел «Управление сертификатами». Откройте вкладку «Серверные сертификаты». Нажмите «Импортировать».
  2. В открывшемся окне выберите сертификат сервера для ПО «Континент TLS VPN» по ГОСТ Р 34.10-2012, ранее скаченный на Портале ФГИС ЦС.
  3. Дважды нажмите сохраненный файл и установите сертификат, следуя шагам мастера.
  4. Нажмите «Установить сертификат».
  5. В окне «Мастер импорта сертификатов» нажмите «Далее».
  6. Отметьте флагом параметр «Автоматически выбирать хранилище на основе типа сертификата», нажмите «Далее».
  7. В окне «Завершение мастера импорта сертификатов» нажмите «Готово».
  8. В окне «Импорт успешно выполнен» нажмите «ОК».

Добавить сертификат УЦ

  1. По такой же схеме установите сертификат удостоверяющего центра по ГОСТ Р 34.10-2012.
  2. Нажмите «Установить сертификат».
  3. В окне «Мастер импорта сертификатов» нажмите «Далее».
  4. Отметьтее флагом параметр «Поместить все сертификаты в следующее хранилище», нажмите «Обзор».
  5. Выберите пункт «Доверенные корневые центры сертификации» и нажмите «ОК».
  6. В окне «Мастер импорта сертификатов» нажмите «Далее». Настройка перейдет к шагу «Завершение мастера импорта сертификатов», нажмите «Готово».
  7. В окне «Предупреждение системы безопасности» нажмите «Да».
  8. В окне «Импорт успешно выполнен» нажмите «ОК».
  9. Нажмите «ОК», чтобы закрыть окно «Сертификат».

    В «Континент TLS-клиент» появятся установленные серверные сертификаты.

  1. Перейдите в раздел «Пользовательские сертификаты». Если в нем нет нужного сертификата, нажмите «Импортировать».
  2. В окне установки нажмите «Обзор», выберите пользовательский сертификат на компьютере, нажмите «Далее».
  3. Без изменения параметров еще раз нажмите «Далее».
  4. Выберите носитель и криптоконтейнер. Нажмите «Далее», затем «Готово».
  5. Введите пароль на криптоконтейнер, если он есть. Нажмите «ОК».
  6. Обновите окно пользовательских сертификатов в «Континент TLS-клиент». В разделе «Пользовательские сертификаты» появится новый.
  7. Откройте добавленный сертификат пользователя, перейдите на вкладку «Путь сертификации». Убедитесь, что все сертификаты действительны и установлены в хранилище.

    Если все сертификаты действительны, нажмите «ОК» и перейдите к пункту 33. Если сертификат не установлен в хранилище и отмечен значком «х», выполните следующие пункты.
  8. Выберите сертификат, который не установлен в хранилище сертификатов и нажмите «Просмотр сертификата». Повторите шаги 17-24.

    Убедитесь, что все сертификаты действительны и установлены в хранилище.

Скачать CRL

  1. В «Континент TLS-клиент» откройте раздел CDP и нажмите «Скачать CRL».
  2. В области уведомлений нажмите значок «Континент TLS-клиент» правой кнопкой мыши и выберите пункт «Сброс соединений».
  3. В адресной строке браузера перейдите по ссылке https://fgiscstls12.gge.ru:8444. Появится окно с выбором сертификата.
  4. Выберите пользовательский сертификат и нажмите «ОК».
  5. На экране появится страница с сообщением «Ваше подключение не защищено». Настройте браузер.
  1. Откройте web-браузер, например, «Google Chrome».
  2. Введите адрес сервера https://fgiscs-tls.gge.ru:8443 в адресной строке web-браузера и нажмите клавишу «Enter».
  3. Убедитесь, что внешний носитель, содержащий пользовательскую электронную подпись, предварительно полученную в аккредитованном Удостоверяющем центре, подключен к компьютеру.
  4. На экране откроется окно «Континент TLS VPN», выберите хранилище, в котором хранится криптоконтейнер.
  5. Выберите действующий сертификат.
  6. Введите пароль криптоконтейнера (если такой существует), полученный в комплекте УКЭП, и нажмите «ОК».
  7. После этого значок «Континент TLS VPN» изменит свой цвет с красного («не подключен») на зеленый («подключен»). На экране браузера появится страница с сообщением «Ваше подключение не защищено». Чтобы обеспечить переход на Портал ФГИС ЦС и дальнейшую работу с ним нажмите кнопку «Дополнительные», затем нажмите ссылку «Перейти на сайт fgiscs-tls.gge.ru».
  8. Далее нажмите ссылку «Перейти на сайт fgiscs-tls.gge.ru» и войдите в личный кабинет ФГИС ЦС.
  1. Проверьте настройки прокси-сервера: нажмите «Пуск/Панель управления». Выберите раздел «Свойства web-браузера». Появится окно «Свойства: Интернет»
  2. Перейдите на вкладку «Подключения», затем нажмите «Настройка сети».
  3. Убедитесь, что в поле настройки «Использовать прокси-сервер для локальных подключений» установлен флаг.
  4. Проверьте значения: в поле «Адрес» должно быть установлено значение «127.0.0.1», в поле «Порт» — «8080» в случае, если в организации не используется прокси-сервер, или сетевой адрес и порт, если таковой используется.
  5. Дважды последовательно нажмите «ОК».

Предварительная настройка

Для доступа в личный кабинет ФГИС ЦС между АРМ пользователя и ресурсом https://fgiscs-tls.gge.ru:8443 должны быть открыты порты: tcp 80, tcp 443, tcp 8443. Чтобы проверить их, обратитесь к системному администратору.

Перед установкой ПО «Континент TLS VPN» проверьте наличие сетевого доступа. Для этого в командной строке последовательно выполните команды:

  • telnet fgiscs-tls.gge.ru 8443;
  • telnet fgiscs-tls.gge.ru 443;
  • telnet fgiscs-tls.gge.ru 80.

Установите клиент «Telnet». Нажмите кнопку «Пуск» и перейдите в раздел «Панель управления/Программы и компоненты/Включение или отключение компонентов Windows». В открывшемся окне отметьте флагом поле «Клиент Telnet», нажмите «ОК» и дождитесь установки. Признак успешного выполнения команды — наличие мигающего курсора в командной строке.

Для ресурса https://fgiscs-tls.gge.ru:8443 не должна производиться подмена сертификата сервера на промежуточном оборудовании между АРМ пользователя и конечным ресурсом.

Установка и работа с ПО «Континент TLS VPN» по протоколу RDP технически невозможна, по требованиям ФСБ России все действия должны выполняться исключительно локально.

Настроить защищенное соединение
Добавить сертификаты
Настроить Internet Explorer
  1. Перейдите на вкладку «Настройки соединений», в открытом окне нажмите «Удалить» и удалите настроенное подключение «lk.egrz.ru».
  2. Нажмите «Добавить соединение».
  3. Во всплывающем окне введите адрес сервера – «lk.egrz.ru», нажмите «Далее».
  4. Зайдите на сайт ГИС ЕГРЗ и скачайте архив «Инструкция. Сертификат. Континент TLS VPN Client».
  5. Распакуйте скачанный архив.
  6. Укажите скачанный сертификат сервера – lk.egrz.ru, нажав «Выбрать сертификат».
  7. В окне выбора сертификата, нажмите «Далее».
  8. В окне выбора CRL списка, оставьте поле «Адрес получения CRL» пустым и нажмите «Далее».
  9. Оставьте адрес получения CRL по умолчанию: http://uc1.iitrust.ru/uc/CA-IIT-NK1-2016.crl.
  10. В случае успешного выполнения предыдущих шагов, появится всплывающее окно, с уведомлением об успешном создании защищенного соединения. Нажмите «ОК».

    В окне «Настройки соединений», появится созданное соединение.
  11. Перейдите на вкладку «Настройки программы».
  12. После создания защищенного соединения обновите вектор, нажав «Новый вектор».
  13. Уберите флаг с пункта «Контролировать присутствие ключевого носителя».
  14. Поставьте флаг «Работа без внешнего прокси-сервера».
  1. Используйте средства Windows: нажмите «Пуск» - «Выполнить» и укажите команду certmgr.msc.
  2. Нажмите правой кнопкой мыши папку «Доверенные корневые центры сертификации» и выберите «Все задачи/Импорт».
  3. Нажмите «Обзор» и найдите корневой сертификат (root.cer) и сертификат lk.egrz.ru.cer.
  4. Импортируйте их, выбрав пункт «Поместить все сертификаты в следующее хранилище».
  5. Нажмите «Готово».
  6. В появившемся окне – «Предупреждение о безопасности», нажмите «Да».

Импорт будет успешно выполнен.

Обратите внимание, должно быть импортировано 2 сертификата - root.cer и lk.egrz.ru.cer.

Для добавления узла https://lk.egrz.ru/ в список надежных узлов выполните следующие действия.

  1. Запустите браузер Internet Explorer и зайдите в его настройки, нажав .
  2. В появившемся окне «Свойства браузера», выберите вкладку «Безопасность», выделите зону «Надежные узлы». Нажмите «Сайты».
  3. В поле «Добавить в зону следующий узел» введите адрес сайта – https://lk.egrz.ru/ и нажмите «Добавить».
  4. Закройте окно настройки «Надежные сайты». После этого в окне «Свойства браузера» примените внесенные изменения, нажав «ОК».
  5. Перейдите на вкладку «Подключения». Нажмите «Настройка сети».
  6. Проверьте, чтобы в адресе прокси-серверабыл указан адрес 127.0.0.1 и порт 8080.
  7. В адресной строке браузера введите https://lk.egrz.ru/ и нажмите «Enter». В случае успешного выполнения всех предыдущих шагов, вы войдете на указанный сайт с использованием защищенного соединения. Так же для проверки можно использовать адрес https://lk.egrz.ru/assets/img/foto.jpg.