Ошибка создания вектора энтропии

Сегодня солнечный день. Вы едете по дороге в вашу деревню, в которой живут все ваши друзья, ваша семья и ваша любимая собака. Прекрасный день! Неожиданно вы слышите ужасный, кошмарный вопль, разрывающий окрестности. Огромная отвратительная Гидра приближается к деревне, чтобы её уничтожить! Вы хватаете меч (конечно, у вас есть меч!) и стараетесь защитить всех, кого любите. Но есть небольшая проблема: у чудовища много голов, и когда вы отрубаете одну из них, быстро вырастает новая!

Кажется, что вы не можете победить в этой битве. Возможно, вы сможете играть с Гидрой достаточно долго, так чтобы вся деревня успела улететь от ужасной угрозы? Наконец, вы станете настоящий героем всего мира! Кому этого не хочется?

В роли Гидры выступает энтропия в ПО: это ваш враг, он вас измотает, но вы никогда не сможете полностью от него избавиться. Но с ним всё равно нужно бороться, чтобы ваши приложения (и коллеги) оставались здоровыми и вменяемыми.

Мы узнаем:

1. Что такое энтропия в ПО и как заметить её в своём коде.
2. Что является её возможными причинами и как сохранить энтропию на низком уровне.

Хватит болтовни, к делу!

Знай своего врага

Что такое энтропия и как она оказалась в моём приложении?

Иногда полезно выяснить этимологию используемых слов, особенно таких специфических, как энтропия. В перевод с греческого оно означает «трансформация». Изменение. Нечто, к чему вы должны привыкнуть как разработчик ПО.

Энтропия ссылается на второй закон термодинамики. Он гласит, что в закрытой изолированной системе количество хаоса со временем не уменьшается. Оно остаётся стабильным или растёт.
Идея энтропии в ПО возникла благодаря книге Object-Oriented Software Engineering. Чем больше меняется программа, тем больше в ней хаоса, её энтропия увеличивается.

Первое, что нужно уяснить нам, бедным разработчикам, это трагическая правда: мы можем бороться с количеством энтропии в наших программах, но никогда не сможем от неё избавиться.

Создайте лучшую команду (с вашим участием, разумеется!), лучшую среду, лучший менеджмент, лучшую культуру в компании, лучший проект. Что произойдёт со временем?

1. Вы будете каждое утро напевать «Это лучший проект!». Зелёный проект, который выглядит словно прекрасное поле, освещённое чудесным восходом.
2. Вы и команда будете добавлять всё больше возможностей. Поскольку вы лучшие из лучших, какое-то время всё выглядит отлично.
3. Пройдут месяцы или годы. Никто больше не хочет работать над проектом. Даже если он был хорошо спроектирован, технологии уже устарели, проект требует слишком много усилий и времени для понимания, он дорог в масштабировании. Слишком сложно построить его хорошую ментальную модель.

Как вы создали эту сложность? Вам просто нужно масштабировать проект. Большее количество элементов часто означает больше зависимостей и выше сложность. Я уже написал об этом подробную статью.

Если вы объясните это Лёхе, вашему коллеге-разработчику, то он ответит:

«Нифига! Ты дурак? Хаосу и беспорядку не место в моём прекрасном приложении! Моя репутация не будет запятнана какой-то чушью! Я хозяин своей судьбы! Если я не меняю свою программу, то сложность не будет расти, и в связи с этим доказательством противоречия, я заявляю, что ты ошибаешься, а я — лучший!»

Вы можете спокойно, убедительно и решительно объяснить Лёхе, что даже если не менять программу, то изменится всё вокруг неё. Если у тебя есть сторонние библиотеки, которые не обновляются, то будут проблемы с безопасностью. А если их обновить, это откроет дверь изменениям и энтропии.

Более того, если однажды вам понадобится изменить что-то в своём ПО спустя длительное время, то вы уже не будете помнить всех подробностей. И вам не поможет даже лучшая документация. Мир изменился, и то, что было верно вчера, уже может никогда не быть верным, как на технологическом уровне, так и на уровне бизнеса.

Подобные изменения разом привносят большое количество энтропии.

Так что вопрос не в избавлении от неё, а в замедлении. Это настоящее сражение, в которое брошены мы, разработчики.

Определение энтропии в ПО

Качество ПО

Как узнать, что в вашем приложении высокий уровень энтропии? Хорошим индикатором является качество кода.

Что это такое и как его измерить? Согласно книге Accelerate: The Science Behind Devops:

• Если увеличивается соотношение изменения/сбои, то качество снижается. Отслеживайте изменения, баги и сбои, сопоставляйте их друг с другом. Если каждое изменение приводит к новым багам или сбоям, то энтропия в вашей программе увеличивается.
• Важную роль играет субъективное восприятие проекта разработчиками. Если у всех есть ощущение, что становится всё сложнее масштабировать приложение, не ломая его, то наверняка энтропия высока. Однако это ощущение должно быть распространённым.
• Если команда тратит много времени на исправление багов или восстановление после сбоев, то наверняка энтропия свила гнездо в вашем приложении.

Если вы можете получить какую-то информацию о соотношении изменений и сбоев, и потратить время на исправление багов, то сможете придумать хороший график, чтобы убедить руководство в необходимости какого-то рефакторинга.

Демон сложности

Даже если у вас код максимального качества, сложность может легко возрастать, когда дело доходит до самих возможностей программы. Сам бизнес является источником необходимой сложности, от которой вы не сможете избавиться.

При избыточной сложности бизнеса разработчикам придётся потратить много сил, чтобы построить хорошую ментальную модель бизнеса компании. Поэтому они будут делать ошибки, пытаясь перевести бизнес-требования в код.

Давайте подробнее поговорим о сложности бизнеса: действительно ли нам нужны все эти сложные фичи, которые нам спускают?

Причина энтропии, и как с ней бороться

Водопад энтропии

Проблема

Более-менее очевидно, что основной причиной энтропии в ПО являются сами разработчики. Они ленивы, им не хватает квалификации, особенно Саньку, с которым вы работаете. Он задаёт столько вопросов!

Я категорически не согласен с таким мнением. По моему опыту, основной причиной энтропии является руководство, особенно в компаниях, придерживающихся водопадного стиля управления.

Как заметил Джеральд Вайнберг в книге The Secret of Consulting:

Даже если это чисто техническая проблема, её происхождение всегда можно отследить вплоть до действия или бездействия руководства.

Я знаю, что вы подумали: «Ты ошибаешься! Руководство не всегда отвечает за всё! Просто разработчикам удобно во всём обвинять начальство!»

Я не говорю, что во всём виновато руководство, но у него всегда есть какая-то доля ответственности. Разработчик сделал что-то плохое? Тебе нужно пересмотреть процедуру найма. Спецификации были плохо реализованы? Возможно, кто-то из руководство не знает, чего на самом деле хочет, поэтому и спецификации для него не имеют значения.

Поэтому так трудно быть руководителем! Чем выше ты в иерархии, тем труднее.

Как разработчики, насколько сильно вы влияете на принятие решений? Если на 100 %, то поздравляю, во всём виноваты вы. Если на 0 %, то вашей вины нет. Между этими полюсами лежит весь спектр влияния. И водопад не подразумевает его большого количества.

Используете Scrum, Kanban и покер планирования? Конечно, вы не применяете водопад! Вы применяете Agile так же, как ребёнок строит дом с помощью отвёртки.

Конечно, инструменты важны, но их значимость гораздо ниже значимости вашего образа мышления, которое необходимо для корректной разработки ПО. Процитирую манифест Agile:

Личности и взаимодействия важнее процессов и инструментов.

Применение Scrum не означает, что ты применяешь «Agile», особенно если у тебя отсутствует образ мышления, которому пытается научить эта методология.

При водопадном управлении кто-то выше вас принимает решение, уровнем выше другие люди принимают новые решения, и так далее.

На нижних уровнях иерархии находятся сотрудники, чьё проклятие заключается в следовании всем принятым решениям. Какова их задача? Производить, словно рабочие на сборочном конвейере автозавода. Им не нужно думать, они должны делать машины.

Плохие новости: являясь разработчиком, вы будете на дне иерархии.

Если кто-то наверху принимает решения относительно функций приложения, и у вас практически нет возможностей повлиять на процесс принятия решений, тогда добро пожаловать в водопад! К сожалению, чаще всего высшее руководство не видит, что в мире разработки ПО не существует фазы производства. Разработчики занимаются проектированием системы, а эта задача далека от конвейерной сборки кабины.

Почему? Потому что, в отличие от автомобиля, приложения постоянно меняются! Вам нужно корректно проектировать их, чтобы они работали, отвечали потребностям пользователей, чтобы приложения имели приемлемую производительность, чтобы они были масштабируемы и были устойчивы к изменениям, при этом сохраняя энтропию на низком уровне. Для этого вам нужно принимать много решений о том, как отражать бизнес-знания в вашем коде.

Если вы не влияете на сложность, которая спускается вам руководством, то придётся потратить много сил на управление ей в коде. Это будет считаться «необходимой» сложностью: той, которой нельзя избежать.

Возможный результат? Уровень энтропии может расти очень, очень быстро.

Возможное решение

В компании необходимо как можно активнее практиковать совместное принятие решений и ответственность.

Если вы узнали в описанной мной водопадной модели свою компанию, то вам нужно поговорить с теми, кто принимает решения:

• Приведите данные и сильные аргументы, почему и как можно упростить фичу X или Y. Объясните возможную цену разработки сложной фичи сейчас и в будущем.
• Объясните, почему разработка ПО в рамках Agile означает, что людям нужно работать вместе. Управленцы, дизайнеры, разработчики и все остальные должны быть частью процесса принятия решений в зависимости от бизнес-требований.
• Если ваше руководство автоматически отвергнет предложения, то вам нужно понять, почему оно это сделало. Задайте вопросы.
• Поговорите о том, что принимающие решения считают самым важным: о деньгах и времени. Покажите им, что образ мышления в стиле Agile (а не одни лишь инструменты) поможет сэкономить и то, и другое.

Однако трудно пытаться решить проблему, если вас об этом не просили. Многие руководители очень довольны водопадной моделью, и зачастую даже не знают, что следуют ей. Вам понадобится много дипломатии и такта.

Учитывая всё это, если вы чувствуете, что бизнес-решения добавляют слишком много сложности в ваше приложение, и что вы ничего не можете с этим сделать, даже попытавшись, то советую найти другую работу. Это изматывает — изо дня в день работать с высокой энтропией, а делать раздутый продукт удовольствия мало… или использовать его. Это может дать вам подсказку относительно успеха, который ожидает ваш продукт.

И последнее: то, что может выглядеть сложным на уровне бизнеса, можно упростить, если вы хорошо знаете бизнес-процессы. Это крайне важно. Поэтому узнавайте больше о деятельности своей компании, что здесь делают и что не делают, это поможет упростить фичи и кодовую базу.

По мере выражения своего архитектуры мы что-то объясняем компьютеру. А для этого нам нужно хорошо понимать то, что мы объясняем.

Дональд Кнут

Качество кода и технический долг

Проблема

Помимо «необходимой» сложности, привносимой бизнесом, энтропия в ПО тесно связана с качеством кода и техническим долгом.

Что такое технический долг? Попросту говоря, это упрощения (хаки), которые вы используете для экономии времени, зная, что позднее вам это может аукнуться. Особенно в тех случаях, если от этих хаков зависят другие фичи: вам придётся это исправлять с процентами, как и при настоящем долге, в виде сложностей и головной боли.

В зависимости от задачи вашего приложения, технический долг может быть более или менее приемлемым. Если программа должна прожить пару месяцев, то можно вообще не думать о техническом долге, энтропии или качестве. Просто соедините куски кода, и готово!

К примеру, это может быть временным решением, прежде чем создавать более сложное приложение с нуля. Или так можно быстро написать прототип, чтобы проиллюстрировать идею, а затем всё переписать или отказаться от концепции.

С другой стороны, обычно компании хотят разрабатывать более долгоживущие приложения. Это разумно: переписывание приложение может стоить очень дорого (особенно, если оно большое), и никто не гарантирует, что его уровень энтропии окажется ниже. Переписывание — занятие очень рискованное.

В подобных случаях вам нужно быть очень осторожными с техническим долгом и качеством кода. Это важная часть вашей работы как разработчика.

В известной книге The Pragmatic Programmer (в которой помимо много другого введён принцип DRY) приведена интересная аналогия технического долга. Здесь описано исследование, в котором сопоставлены разрушения городских зданий с… выбитыми в них окнами. Разбитое окно создаёт впечатление заброшенности, вдохновляя каждого хулигана в округе. В результате здания с разбитыми окнами подвергаются вандализму быстрее, чем здания с целыми окнами.

Технический долг — это упрощение или хак в вашем коде, разбитое окно. Когда другой разработчик, или даже вы сами в будущем, заметит это, то возникнет соблазн добавить ещё больше технического долга, потому что «здесь всё равно есть плохой код, так чего париться?»

Пример: вы написали обход для одного сложного бага, потому что не было времени его выискивать. Другой разработчик (или вы сами позднее) поверх этого обхода может написать другой код, решая другую проблему. Очень быстро нарастут слои обходных решений, в которых никто никогда не разберётся.

Решение

Во-первых, как узнать, что в коде есть технический долг?

Спросите себя:

• Я могу просто и логически объяснить, что делает код?
• Здесь используются корректные наименования? Они помогают объяснить, что делает код?
• Применяются ли длинные наименования с «and», вроде «deleteUserAndShutDown»? Это хороший признак того, что нужно разделить функцию, метод или какую-либо другую конструкцию.
• Есть ощущение, что какой-то код был добавлен из-за лени? Он нарушает логику и ухудшает понятность?

Чем больше будут расти ваши знания и опыт, чем больше вы будете любознательны и чаще будете проводить здоровые обсуждения с другими разработчиками, тем чаще вы станете замечать паттерны технического долга. Это код с душком.

Встречая такие паттерны, пожалуйста, не расценивайте их как разрешение добавлять ещё больше технического долга:

1. Увеличение технического долго приведёт к новым проблемам. Они вернутся и будут преследовать вас (и вашу команду) ещё сильнее.
2. Встретив технический долг, отрефакторьте его. Это лучший вариант. Если у вас нет времени или сил, просто добавьте комментарий //TODO: отрефакторить потому-то и потому-то. Сообщите о проблеме, не оставляйте её скрытой в кодовой базе.

Не забывайте, что рефакторить нужно параллельно с разработкой других фич, чтобы они соответствовали текущей архитектуре. Попросту говоря, исправление технического долга должно быть не самостоятельной задачей, а продолжающимся процессом, который может быть не связан с текущей задачей. Разрабатывая фичу, дайте себе право исправить встреченный технический долг.

Рефакторьте маленькие фрагменты кода за раз и часто прогоняйте тесты, чтобы убедиться, что система ведёт себя как ожидается.

Наконец, в ходе рефакторинга вам могут понадобиться хорошие аргументы:

1. Сначала, для себя. Легко подумать, что ваш коллега не умеет программировать и что вы знаете лучше других. Но если вы не видите конкретных выгод от рефакторинга, то не делайте этого. Возможно, всё дело лишь в вашем эго, и вы можете что-то испортить.
2. Если рефакторинг связан со стилем кода, значит, в вашей команде его ясно не определили. Проведите встречу и решите все вместе, какой стиль кода вы хотите принять. Это нужно будет где-то записать, чтобы все могли обращаться по мере надобности. Редактируйте соглашение в зависимости от потребностей команды. В противном случае ваш код наполнится комментариями вроде «мы используем табуляцию!!! НЕ ПРОБЕЛЫ!!!!!11!1!!!». Это бесполезный шум.
3. Наконец, если кто-то спросит вас, почему вы изменили его прекрасный код, у вас будут настоящие аргументы для объяснения своего решения.

Хорошие аргументы в будущем всегда играют положительную роль. Например, обёртывание сторонней библиотеки, чтобы она не стала причиной утечки в вашей кодовой базе. Если вы не понимаете, почему я говорю про утечку, то почитайте, что я писал об абстракциях.

Нам, людям, трудно даются прогнозы в средне- и долгосрочной перспективе. Поэтому не всегда просто рефакторить или «продавать» нечто с прицелом на неизвестное будущее.

Технический долг отражает дуализм между простым и правильным путями. Первый быстр и привлекателен, второй сделает ваш проект масштабируемым и лёгким в сопровождении. Вам понадобится самодисциплина, чтобы как можно чаще выбирать второй путь. Иначе будущее будет наполнено страданиями.

Если вы слишком устали, раздражены или полны других мыслей или эмоций, снижающих вашу мотивацию, чтобы придерживаться правильного пути, а не простого, то лучше пока не программируйте. Прогуляйтесь, поговорите с коллегами, сделайте перерыв. Вернитесь к коду со свежими мозгами.

Чаще всего технический долг добавляется при отладке. Если вы исправляете баг, добавляя обходное решение, то вы ничего не исправили. Баг остался, просто его труднее запустить и случайно найти. Исправлять баги нужно с помощью рефакторинга, изменения или полного удаления кода. Затем протестируйте код, чтобы удостовериться, что баг не возникнет снова.

Последнее: винить коллег за ошибки непродуктивно. Если будете плохо или саркастично высказываться о своей кодовой базе, это тоже не решит проблем, только ухудшит ситуацию. Не разрушайте командный дух. Вам нужно уменьшать энтропию в проекте, а не разрушать его устно.

Автоматизированные тесты

Проблема

Есть кое-что завораживающее меня в волшебном мире разработки ПО, особенно в стартапах: многие программисты до сих пор не хотят писать автоматизированные тесты.

Почему меня это завораживает? Во всех остальных сферах инжиниринга тестируют то, что делают, следуя строгому процессу. Когда строишь ракету, то необходимо протестировать множество систем, или ракета упадёт. То же самое относится к автомобилям, мостам, самолётам — чему угодно.

Экономия денег.

Простой пример: NASA тщательно тестирует свой код (см. правило 5).

Трудно найти руководителей или разработчиков, которые против тестов, но легко найти тех, кто против автоматизированных тестов. Эти люди предпочтут тратить время на ручное тестирование любых изменений, вместо того, чтобы один раз написать тесты.

Я тоже не без греха. Годами я занимался тем же самым.

Надеюсь, все согласны с тем, что компьютинг — это автоматизация для нас людей, которая экономит наше время и повышает нашу эффективность. Так почему бы не автоматизировать и тесты? Да, я считаю это целесообразным. Тестирование, как и рефакторинг, требует времени на написание кода (как и всё остальное), но экономит время, энергию и рассудок в средне- и долгосрочной перспективе.

Вот очень простой индикатор того, что у приложения может быть высокий уровень энтропии: если есть хорошие автоматизированные тесты, то уровень энтропии может быть низким. Если таких тестов нет, уровень энтропии является высоким.

Чем больше проект, тем сильнее будет последнее заявление.

Решение

Если ваши коллеги или лица, принимающие решения, не хотят слышать о тестировании, вам понадобятся сильны аргументы.

Вот конкретный пример. В одном банке из-за недостаточного тестирования было потеряно 1,3 млрд клиентских записей. И вам не нужно быть банком, чтобы иметь баги и терять данные. Достаточно сказать «нет» автоматизированным тестам.

Аргументы против тестов часто связаны со скоростью:

• «Тестирование замедляет всех и везде».
• «Мы стартап, у нас нет времени на тесты».
• «Тестирование для шимпанзе. Я знаю, что делаю, потому что у меня большой мозг».

Повторюсь, что, даже если вы потратите какое-то время на написание тестов (хотя я в этом и сомневаюсь), зато сэкономите много времени и энергии в будущем:

• Тесты покажут упущенные вами баги. Составьте их список, чтобы показать принимающим решения, какие проблемы могут возникнуть у компании без тестов.
• Все будут увереннее изменять приложение. Разработчики будут тратить меньше времени, спрашивая себя, не сломают ли их изменения что-нибудь другое.
• Не нужно тестировать вручную каждое изменение. Ручное тестирование — это настоящая потеря времени, и нужно всячески его минимизировать.
• Автоматические тесты покажут, есть ли какие-то системные проблемы в вашем коде. Например, если тесты трудно писать из-за обилия зависимостей. В таком случае исправляйте архитектуру!
• Тесты могут помочь понять, как должен работать ваш код. Подумайте о своих коллегах!

Тестирование даст вам ощущения контроля над вашим кодом, и поэтому уменьшит у всех стресс.
Я не утверждаю, что нужно всё проверять с помощью модульных тестов. Я не утверждаю, что покрытие должно быть стопроцентным. Я не утверждаю, что модульное тестирование лучше любого другого.

Я говорю, что вам нужно тестировать код, когда это целесообразно. Сэнди Метц хорошо рассказала об этом в своём выступлении.

Также полезно тестировать в ходе исправления багов, чтобы удостовериться, что баги не возникнут снова. Затем можете показать тест всем противникам и сказать, что этого бага могло бы не быть, если бы кто-нибудь с самого начала написал тест.

Если после этих аргументов ваша команда всё ещё не хочет писать тесты, то в причина может быть в том, что они просто не умеют. Вместо того, чтобы ругать их, вы можете:

• Заняться с коллегами совместным программированием, чтобы показать, чем полезны тесты и как легко их можно писать.
• Организовать встречу с командой и предложить какой-то базовый процесс тестирования, который вы сможете со временем адаптировать под ваши команды.

Если в команде есть начинающие разработчики, научите их искусству тестирования. Я часто встречаю точку зрения, что начинающих не нужно обучать тестированию. Это ошибка. Тесты должны считаться частью вашего кода, частью будущего, которое вы создаёте, а не чем-то опциональным, побочным.

Тесты — это клей, который позволяет всей системе чётко работать.

Тестирование ведёт к сбоям, а сбои ведут к пониманию.

Берт Рутан

Делитесь знаниями, чтобы избегать ошибок

Очень важно делиться знаниями с командой:

• Постоянное обучение сделает вашу работу более интересной и сложной.
• Это повысит ваши знания, а следовательно и ценность как разработчика.
• Если все будут делиться своими знаниями, то чьим-то уходом информация не пропадёт.

Это снизит энтропию в вашем проекте. Команда будет более мотивирована хорошо выполнить работу, все будут учиться друг у друга писать более качественный, более чистый код.

Как преуспеть в этом начинании?

Совместное программирование

Совместное программирование — это обмен опытом. Кто-то пишет код и показывает другому, как он это делает. А второй указывает на ошибки, даёт советы и подсказки.

Вот и всё! Если разработчики заинтересованы, то получается забавно.

Но, к сожалению, совместное программирование часто считают потерей времени.

Лёха, ваш коллега, выразил распространённое мнение об этом: «Два разраба будут кодить две разные фичи быстрее, чем одну, верно? К тому же тут один разрабатывает, а второй просто смотрит в экран. Потеря времени!».

Вы можете объяснить ему: мы хотим писать качественный код, а не много кода. Код нам не друг, он источник багов. Нам нужно бороться с энтропией, а не как можно быстрее писать код.

Если те, кто принимает решения, вас не поймут, ищите другую работу. Если вы этого не сделаете, то со временем получите пачку устаревших приложений, которые невозможно сопровождать. Добро пожаловать в ад!

Анализ кода

Это ещё один хороший способ делиться своими знаниями. Анализ кода может:

• Научить вас лучшим способам решения проблем.
• Помочь вам научить других тому, что вы знаете.
• Улучшить взаимодействие в команде.

Все должны анализировать чужой код, как их код должен анализироваться. Это верно и для опытных, и для начинающих. Анализ кода позволит находить баги и, что важнее, повысит навыки всей команды.

Вы жалуетесь на Коляна, начинающего разраба, потому что он ничего не знает про принцип единственной ответственности. В его коде бардак?

Всегда лучше учить, а не обвинять. Дайте ему хороший совет, подскажите полезные источники информации, поделитесь знанием и энтузиазмом.

Несколько советов по проведению анализа кода:

• Старайтесь избегать комментариев, полных негатива. «Думаешь, это решение лучше?» — так сказать лучше, чем «Не делай так! Дурак! Вот единственный хороший ответ!».
• Задавайте в комментариях вопросы, а не нагромождайте утверждения. Это покажет, что вы не всегда правы, что вы сомневаетесь, как и все остальные, и что ваше эго не раздуто до непомерной величины. «Думаешь, этот код получится расширить, если мы так сделаем?» вместо «Сделай так и так, потому что я босс и работаю уже 289 лет».

Эти подходы могут спровоцировать интересные дискуссии и здоровые обсуждения, что ещё больше повысит ценность вашей команды. Очевидно, что обсуждать нужно уважительно и конструктивно!

Делитесь знаниями

Делитесь с коллегами интересными статьями (вроде этой!) в любых мессенджерах и прочих каналах коммуникации.

Важно также экспериментировать с командой. Если вы считаете, что новая технология может решить одну из ваших проблем, проведите совместное программирование и проверьте эти возможности.

Не забудьте, что передача знаний — это забота и повышение эрудиции и опыта команды, в которой вы работаете, и хороший способ писать более качественный и чистый код. Это поможет держать уровень энтропии на минимальном уровне!

Держите Гидру энтропии подальше от своих проектов!

Тем, кто всё ещё думает, что первой причиной энтропии в ПО является лень, я возражу, что она никогда не бывает основной причиной. Почему ваши коллеги ленивы? Потому что кадровики наняли не тех? Или у них слишком силён стресс из-за сжатых сроков? Работа приносит им удовлетворение?

Поговорите с командой. Спросите, нравится ли им работать с вами. Интересуйтесь по-настоящему, какие они люди. Прислушайтесь к тому, что они скажут, к их отзывам, даже если вы не согласны с их мнениями.

Честно говоря, вам понадобится приличная порция эмпатии и открытости, чтобы эффективно работать с людьми. Обвинения и критика ничего никому не дадут. А указывать на лень — это обвинение.

Итак. Что вы для себя вынесли из этой статьи?

• Энтропия — это мера беспорядка в вашей системе. Избавиться от неё невозможно. А для удержания на стабильном уровне необходимо не только жаловаться, но и действовать.
• Снижение качества кода — хороший индикатор увеличения энтропии.
• Не только разработчики ответственны за высокую энтропию. Сложные и/или неясные фичи могут загнать уровень энтропии в небеса.
• Заботиться о качестве кода нужно активно, указывая на технический долг, а лучше исправляя его.
• Необходимо автоматическое тестирование, если вы хотите снизить энтропию в кодовой базе. На самом деле, фича должна считаться завершённой только после прохождения автоматизированных тестов.
• Создайте такую атмосферу, которая позволит легко делиться знаниями друг с другом с помощью совместного программирования, анализа кода или просто выкладывания ссылок на интересные источники информации (статьи, книги).

Идеального ПО не существует. Энтропия всегда будет частью нашей работы. Это не означает, что мы уже проиграли эту битву. Это означает, что снижение энтропии во всей кодовой базе — уже победа!

Полезные ссылки:

• The Pragmatic Programmer
• Software Entropy Explained: Causes, Effects, and Remedies
• Entropy in software
• Software Rot, Entropy and the Broken Window Theory

03 апр 2018 06:31 #7123
от EtranalOriole

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Проблема наблюдается при использовании сертификатов по ГОСТ Р34.10-2012 в подсистемах ГИИС «Электронный бюджет»

При использовании сертификатов по ГОСТ Р 34.10-2012 в подсистемах ГИИС «Электронный бюджет», оператором которых является Федеральное казначейство, необходимо:
1. Для аутентификации пользователей на автоматизированном рабочем месте установить СКЗИ «Континент TLS-клиент». Версия 2» и провести настройку в соответствии с инструкцией, размещенной на официальном сайте Федерального казначейства в разделе ГИС — Электронный бюджет — Подключение к системе.
2. В качестве адреса TLS сервера ГИИС ЭБ и доступа в личный кабинет указывать адрес lk2012.budget.gov.ru.

Другой вариант проблемы:

Размер имеет значение (с)

При подписании в ЭБ была выявлена проблема, если название организации в сертификате ГОСТ 2012 превышает 127 символов, то jinn просто не видит контейнер с таким сертификатом. Решение — конвертация контейнера. Утилита конвертации контейнеров КриптоПро в PKCS#15 в приложении. Инструкция по использованию в архиве. Для работы на рабочем месте должен быть установлен КриптоПро CSP.

Инструкция по созданию носителя от пользователя 7449

ДОПОЛНЕНИЕ

ОТВЕТ ТЕХПОДДЕРЖКИ УФК

Цитата: Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки. Для конвертации контейнера PKCS#12 в PKCS#15 есть специальная утилита, для получения обращаться в ТОФК.1. В компьютере вставлен съемный носитель с сертификатом PKCS#12.2. Запускаем утилиту конвертации.3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».4. Выбираем нужный сертификат и нажимаем «Конвертировать».5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».6. В окне Крипто-ПРО повторно указываем пароль ранее и «ОК».7. Конвертирование завершено успешно, на съемном носителе будет сертификат и ключ в контейнере PKCS#15.При отсутствии сертификата в jinn плагине при подписании требуется обратиться в отдел ОРСИБИ вашего ТОФК для получения конвертера и инструкции по конвертации контейнера подписи из формата PKCS#12 в PKCS#15.

Новый Jinn-client v.1.0.3050.0 не видит сертификат на USB

• Сообщений: 21
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

amrv пишет: Так как в реальной работе нет документов, требующих подписания в личном кабинете, На тестовой странице (опять же по встреченным на данном форуме ссылкам) вызываем Jinn-clienta и видим свою конвертированную подпись.
при обращении на тестовой странице вызова Jinn-clienta к этому USB носителю, сертификата по ГОСТ2001 не видно (виден только переконвертированный контейнер p15), хотя перечитав чуть ли не весь форум все утверждают, что новый Jinn-client нормально видит сертификаты по гост2001, и те сертификаты по гост2012, где название организации не больше 127 знаков!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• vvofk
• —>
• Не в сети

• Сообщений: 6
• Спасибо получено: 2

amrv пишет: Добрый всем день!
. Или если установлено ПО под гост2012 (c новым Jinn-client), то при использовании сертификата по гост2001, его тоже надо конвертировать, если название организации более 127 символов.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• amrv
• Автор темы —>
• Не в сети

• Сообщений: 21
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• amrv
• Автор темы —>
• Не в сети

• Сообщений: 21
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Wmffre
• —>
• Не в сети

• Сообщений: 599
• Репутация: 23
• Спасибо получено: 168

amrv пишет: Вы не правильно поняли мой текст, как раз ЭЦП по ГОСТ2001 года не конвертировали, ибо везде на форуме пишут, что новый JINN их прекрасно видит, на деле же оказывается, что это не так. Новый JINN не видит ЭЦП по ГОСТ2001, во всяком случае те, что имеют в названии организации более 127 символов

Если использовать Континент TLS Клиент 1.0.920.0 и Jinn-Client 1.0.3050.0, то для сертификата ГОСТ-2001 устанавливать eXtended Container не требуется, конвертировать контерйнер также не надо.

Если же используется Континент TLS Клиент 2.0.1440.0, то с ним устанавливается eXtended Container 1.0.2.2 (не пробовал — будет ли работать 2.0.1440.0 без eXtended Container). Соответственно контейнер ГОСТ-2001 также требуется конвертировать, если название организации больше 127 символов.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• amrv
• Автор темы —>
• Не в сети

• Сообщений: 21
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

amrv пишет: Вопрос, а нормально ли будет работать новый JINN с ЭЦП по ГОСТу 2001, если даже «заточенный» под работу с ГОСТом 2012 он вызывает проблемы?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• amrv
• Автор темы —>
• Не в сети

• Сообщений: 21
• Спасибо получено: 0

amrv пишет: Вопрос, а нормально ли будет работать новый JINN с ЭЦП по ГОСТу 2001, если даже «заточенный» под работу с ГОСТом 2012 он вызывает проблемы?

Собственно Jinn-client 1.0.3050 давно и успешно работает с ГОСТ-2001 (и недавно и успешно с ГОСТ-2012).
За «понимание» ГОСТ-2012 отвечает модуль eXtended Container, у которого проблема «127+» независимо от ГОСТа.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

amrv пишет: Почему же тогда при наличии на компьютере старой версии JINN ЭЦП по ГОСТ 2001, даже если в названии организации более 127 символов, видятся, а вот уже при установки новой версии JINN эти же ЭЦП без конвертации не видятся?

amrv пишет: Для чего лишний элемент в виде eXtended Container? Что мешает такой же успешной реализации под новый ГОСТ 2012, без лишних дополнительных продуктов? Ведь ещё классики говорили: чем проще, тем лучше!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

При подписании документа Jinn Client не видит сертификаты

• Сообщений: 29
• Спасибо получено: 0

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

aeprotsyuk пишет: При подписании документов в «Электронном бюджете» Jinn Client не видит установленные сертификаты по госту 2012. Сертификаты установлены и на флешке и на рутокене. На скриншоте показан сертификат (1 из 4 установленных) который работает, остальные — нет, хотя все установлены.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• hatabych
• —>
• Не в сети

• Сообщений: 30
• Спасибо получено: 3

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• aeprotsyuk
• Автор темы —>
• Не в сети

• Сообщений: 29
• Спасибо получено: 0

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• aeprotsyuk
• Автор темы —>
• Не в сети

• Сообщений: 29
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

aeprotsyuk пишет: установлены на рутокене и на флешке 4 сертификата с ключевыми парами разных людей, такое вообще будет работать? Потому что из всех сертификатов работает только один.

aeprotsyuk пишет: На один рутокен можно установить только 1 сертификат или можно несколько разных сертификатов (разных владельцев)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• aeprotsyuk
• Автор темы —>
• Не в сети

• Сообщений: 29
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

aeprotsyuk пишет: Подскажите тогда пожалуйста как на 1 носитель записать не сколько сертификатов и чтобы считывались при подписании?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

При подписании документа Jinn Client не видит сертификаты

• Сообщений: 1525
• Репутация: 20
• Спасибо получено: 381

ranger пишет: То есть даже с новым XC (версии 1.0.2.2) есть проблема с длиной названия организации или народ ставит древнюю версию от казны и получает гемор на свою голову?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• aeprotsyuk
• Автор темы —>
• Не в сети

• Сообщений: 29
• Спасибо получено: 0

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• makariesp
• —>
• Не в сети

• Сообщений: 6
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

makariesp пишет: Здравствуйте, та же проблема, при подписании в ЭБ видит флешку, но не видит подпись на ней. Длина наименования организации 90 символов. Что сделать? Установлен Jinn Client версии 1.0.943.0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• makariesp
• —>
• Не в сети

• Сообщений: 6
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

makariesp пишет: Сертификат новый 2012, Jinn Client был установлен ранее. А где взять другую версию, если проблема в этом?

Получить в ОРСиБИ вашего УФК.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• _Nik_
• —>
• Не в сети

• Сообщений: 24
• Спасибо получено: 2

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Andy24
• —>
• Не в сети

• Сообщений: 5
• Спасибо получено: 1

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Simius
• —>
• Не в сети

• Сообщений: 1
• Спасибо получено: 0

Добрый день!
При подписании документа Jinn не видит сертификат
prnt.sc/pqs6l9

Версия 1.0.3050.0
В названии 49 символов
Подскажите пожалуйста куда бежать)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Wmffre
• —>
• Не в сети

• Сообщений: 599
• Репутация: 23
• Спасибо получено: 168

Simius пишет: Добрый день!
При подписании документа Jinn не видит сертификат
prnt.sc/pqs6l9

Версия 1.0.3050.0
В названии 49 символов
Подскажите пожалуйста куда бежать)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• heorhee
• —>
• Ушел

• Сообщений: 18
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• danmadman
• —>
• Не в сети

• Сообщений: 129
• Спасибо получено: 10

aeprotsyuk пишет: Подскажите как узнать кол-во символов?

Открыть сертификат, на вкладке «Состав» в разделе «Субъект» найти наименование организации и посчитать все символы, включая кавычки, пробелы и знаки препинания.

А как Вы тогда поняли, что наименование организации одинаковое:

Наименование организации в 1-м и остальных сертификатах одинаковое?

если наименование организации в сертификате превышает 127 символов.

У меня так же не превышает, а Jinn не видит при подписании, приходится конвертировать.
Судя по этой теме, дело не в количестве символов. Имхо

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

danmadman пишет: Судя по этой теме, дело не в количестве символов.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• FarWinter
• —>
• Не в сети

• Сообщений: 188
• Репутация: 1
• Спасибо получено: 62

danmadman пишет: если наименование организации в сертификате превышает 127 символов.

У меня так же не превышает, а Jinn не видит при подписании, приходится конвертировать.
Судя по этой теме, дело не в количестве символов. Имхо

(В руководстве на настройке АРМ электронного бюджета от 23 августа 2019
на сайте roskazna.ru указан только xc.msi )
xc.msi — это для установки на 32х битные системы Windows
xc64.msi — это для установки на 64х битные системы Windows

4.1.1 Из-за кривого eXtendedContainer_1.0.2.2 установленного автоматически с Континент TLS 2.0
Решение:
В самом верху этого сообщения
Выполнить файл QuickEB_Lite.exe правой кнопкой мыши — Запуск от имени администратора
eXtendedContainer_1.0.2.2 — будет переустановлен

4.1.2 Из-за ручной установки xc.msi на 64х битную систему Windows
Не видит контейнеры ГОСТ 2012
Если ставили вручную XC 1.0.1.1 из дистрибутива Jinn-Client
И ошибочно установили xc.msi на 64х битную систему Windows
(В руководстве на настройке АРМ электронного бюджета от 23 августа 2019
на сайте roskazna.ru указан только xc.msi )
xc.msi — это для установки на 32х битные системы Windows
xc64.msi — это для установки на 64х битные системы Windows

Решение:
В самом верху этого сообщения
Выполнить файл QuickEB_Lite.exe правой кнопкой мыши — Запуск от имени администратора
eXtendedContainer_1.0.2.2 — будет установлен правильно.

4.1.3 Если название организации превышает 127 символов , то нужно использовать Конвертер для ГОСТ 2012
Конвертер для ГОСТ 2012
В случае, если название организации превышает 127 символов (В сертификате, вкладка Состав — Субъект — O=Название организации)
при подписании в ЭБ Jinn-Client не видит такие контейнера закрытых ключей в ГОСТ 2012
Нужно использовать конвертер (Если количество символов меньше или равно 127, то конвертер не нужен.)

Распаковать архив
Установить reg файл, кликнуть два раза на файле: SnHwAPIExp.reg и нажать ДА
Запускаем конвертер файл: Converter.exe
Если конвертер не запустился(ошибка при запуске — отсутствует MSVCP140.dll),
то нужно до установить библиотеку Microsoft Visual C++ 2015 файл vc_redist.x86.exe
и снова запустить файл Converter.exe

Выбрать контейнер на флешке,
нажать Конвертировать

Выбрать флешку, куда создавать новый контейнер (т.е. можно ту же флешку, где находится конвертируемый контейнер)
Ввести пароль (минимум 4 символа) (При подписании в ЭБ в окне Jinn-Client нужно будет вводить этот пароль)
Нажать Сохранить

На флешке, в корне, появятся два файла:
TE.cer — сертификат
TEcont.p15 — контейнер закрытого ключа, который увидит Jinn-Client при подписании в ЭБ
(Если, вместо флешки использовать Rutoken, то эти файлы стандартными средствами с рутокена не удалить,
только перезаписывать или форматировать рутокен,
через Панель управления рутокена их невидно)

На флешке получится создать только один такой контейнер, т.к. при конвертации другого контейнера на флешке
файлы TE.cer и TEcont.p15 будут перезаписываться

Проверка подписания в браузерах через Jinn-Client не заходя в Электронный бюджет в этом же сообщении:
«Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ»
пункт 5.0 Тестирование подписания через Jinn-Client

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• danmadman
• —>
• Не в сети

• Сообщений: 129
• Спасибо получено: 10

danmadman пишет: если наименование организации в сертификате превышает 127 символов.

У меня так же не превышает, а Jinn не видит при подписании, приходится конвертировать.
Судя по этой теме, дело не в количестве символов. Имхо

(В руководстве на настройке АРМ электронного бюджета от 23 августа 2019
на сайте roskazna.ru указан только xc.msi )
xc.msi — это для установки на 32х битные системы Windows
xc64.msi — это для установки на 64х битные системы Windows

4.1.1 Из-за кривого eXtendedContainer_1.0.2.2 установленного автоматически с Континент TLS 2.0
Решение:
В самом верху этого сообщения
Выполнить файл QuickEB_Lite.exe правой кнопкой мыши — Запуск от имени администратора
eXtendedContainer_1.0.2.2 — будет переустановлен

4.1.2 Из-за ручной установки xc.msi на 64х битную систему Windows
Не видит контейнеры ГОСТ 2012
Если ставили вручную XC 1.0.1.1 из дистрибутива Jinn-Client
И ошибочно установили xc.msi на 64х битную систему Windows
(В руководстве на настройке АРМ электронного бюджета от 23 августа 2019
на сайте roskazna.ru указан только xc.msi )
xc.msi — это для установки на 32х битные системы Windows
xc64.msi — это для установки на 64х битные системы Windows

Решение:
В самом верху этого сообщения
Выполнить файл QuickEB_Lite.exe правой кнопкой мыши — Запуск от имени администратора
eXtendedContainer_1.0.2.2 — будет установлен правильно.

4.1.3 Если название организации превышает 127 символов , то нужно использовать Конвертер для ГОСТ 2012
Конвертер для ГОСТ 2012
В случае, если название организации превышает 127 символов (В сертификате, вкладка Состав — Субъект — O=Название организации)
при подписании в ЭБ Jinn-Client не видит такие контейнера закрытых ключей в ГОСТ 2012
Нужно использовать конвертер (Если количество символов меньше или равно 127, то конвертер не нужен.)

Распаковать архив
Установить reg файл, кликнуть два раза на файле: SnHwAPIExp.reg и нажать ДА
Запускаем конвертер файл: Converter.exe
Если конвертер не запустился(ошибка при запуске — отсутствует MSVCP140.dll),
то нужно до установить библиотеку Microsoft Visual C++ 2015 файл vc_redist.x86.exe
и снова запустить файл Converter.exe

Выбрать контейнер на флешке,
нажать Конвертировать

Выбрать флешку, куда создавать новый контейнер (т.е. можно ту же флешку, где находится конвертируемый контейнер)
Ввести пароль (минимум 4 символа) (При подписании в ЭБ в окне Jinn-Client нужно будет вводить этот пароль)
Нажать Сохранить

На флешке, в корне, появятся два файла:
TE.cer — сертификат
TEcont.p15 — контейнер закрытого ключа, который увидит Jinn-Client при подписании в ЭБ
(Если, вместо флешки использовать Rutoken, то эти файлы стандартными средствами с рутокена не удалить,
только перезаписывать или форматировать рутокен,
через Панель управления рутокена их невидно)

На флешке получится создать только один такой контейнер, т.к. при конвертации другого контейнера на флешке
файлы TE.cer и TEcont.p15 будут перезаписываться

Проверка подписания в браузерах через Jinn-Client не заходя в Электронный бюджет в этом же сообщении:
«Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ»
пункт 5.0 Тестирование подписания через Jinn-Client

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Федеральное казначейство

официальный сайт Казначейства России
www.roskazna.ru

Информация об истечении сроков действия сертификатов серверов «Континент TLS», используемых для подключения к сервисам lk.budget.gov.ru и lk.buh2012.budget.gov.ru

УФК по Пензенской области информирует об истечении сроков действия сертификатов серверов «Континент TLS» (далее – Сертификаты «Континент TLS»), используемых для подключения к сервисам:

1) lk.budget.gov.ru – государственная интегрированная информационная система управления общественными финансами «Электронный бюджет» (далее – ГИИС «Электронный бюджет»), истечение срока сертификата: 14.07.2021;

2) lk.buh2012.budget.gov.ru – подсистема управления оплатой труда, подсистема управления нефинансовыми активами, модуль бюджетного учета подсистемы учета и отчетности ГИИС «Электронный бюджет», истечение срока сертификата: 17.07.2021.

В связи с изложенным необходимо внесения изменений в настройках программного обеспечения «Континент TLS Клиент» на автоматизированных рабочих местах пользователей.

Информация по настройке программного обеспечения «Континент TLS Клиент» и новые Сертификаты «Континент TLS VPN» размещены на официальном сайте Федерального казначейства в разделе «Электронный бюджет» по ссылке http://www.roskazna.gov.ru/gis/ehlektronnyj-byudzhet/.

Дополнительно информируем, что при невыполнении указанных настроек вход пользователей в ГИИС «Электронный бюджет» будет невозможен.

Источник

Новый серверный сертификат для buh2012.budget.gov.ru/buh2012/

• Сообщений: 1927
• Репутация: 45
• Спасибо получено: 296

FarWinter пишет: Если не добавить в ресурсы buh2012.budget.gov.ru
то зайти по ссылке http не получится

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Zoran
• —>
• Не в сети

• Сообщений: 25
• Спасибо получено: 11

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gimiboy
• —>
• Не в сети

• Сообщений: 5
• Спасибо получено: 0

finsem пишет: Не дает удалить сертификат lk2012, пишет — отказано в доступе.
Захожу в TLS Континент ПКМ под администратором уже- то же самое.
Ждать, пока завтра сам закончится?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• igor.kinma
• —>
• Не в сети

• Сообщений: 5
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1865
• Репутация: 19
• Спасибо получено: 229

igor.kinma пишет: после замены сертификата перестало пускать в lk2012.budget.gov.ru/ В континент TLS все нормально. Что еще нужно сделать кроме замены сертификата?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• FarWinter
• —>
• Не в сети

• Сообщений: 251
• Репутация: 1
• Спасибо получено: 90

finsem пишет: Не дает удалить сертификат lk2012, пишет — отказано в доступе.
Захожу в TLS Континент ПКМ под администратором уже- то же самое.
Ждать, пока завтра сам закончится?

Если СЕРВЕРНЫЙ СЕРТИФИКАТ lk2012.budget.gov.ru.cer
был добавлен в хранилище ContinentTLSClientServer — Локальный компьютер,
через CT-TLS_Server_Certificates_User.exe удалить не получится, т.к. там lk2012.budget.gov.ru.cer удаляется сертификат только в хранилище пользователя.

При ошибке Отказано в доступе
Нужно удалять через оснастку КриптоПРО (Пуск — КРИПТО-ПРО — Сертификаты) или
в КонтинентTLS на вкладке СЕРВЕРНЫЕ СЕРТИФИКАТЫ — Открыть хранилище

Сертификаты Текущий пользователь — ContinentTLSClientServer — Сертификаты

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• FarWinter
• —>
• Не в сети

• Сообщений: 251
• Репутация: 1
• Спасибо получено: 90

igor.kinma пишет: Всем привет. Подскажите пожалуйста после замены сертификата перестало пускать в lk2012.budget.gov.ru/ В континент TLS все нормально. Что еще нужно сделать кроме замены сертификата? Спасибо!

У меня не получилось заставить не войти в lk2012.budget.gov.ru/
Проверял через InternetExplorer и Mozilla Firefox 51×32

Нужно сделать Сброс соединений в КонтинентTLS
(внизу-справа в системном трее(Панель задач), на значке «Континент TLS-клиент» правой кнопкой мыши — Сброс соединений)
и после этого заходить в ЭБ.

Даже если новый сертификат federalnoe-kaznacheystvo.crt для lk2012.budget.gov.ru не добавлять,
то при входе на сайт появляется окно с предложением добавить его в хранилище.

Если у вас появляется ошибка

Континент TLS-клиент. Ошибка
Федеральное казначейство: Сертификат сервера не прошел проверку. Ошибка: Цепочка сертификатов недействительна

Значит у вас нет установленного нового корневого сертификата УЦ ФК (Действительного с 05.02.2020 по 05.02.2035)

его можно взять из сообщения sedkazna.ru/forum.html?view=topic&catid=9&id=1156#15874
Установка Корневых сертификатов ФК ГОСТ 2012

Можно установить вручную в «Локальный компьютер»-«Промежуточные центры сертификации» , скачав
Сертификат УЦ ФК размещенный на официальном сайте Федерального казначейства .

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Ошибка при подписании в buh2012.budget.gov.ru/buh2012

• Сообщений: 29
• Спасибо получено: 0

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Wmffre
• —>
• Не в сети

• Сообщений: 612
• Репутация: 23
• Спасибо получено: 174

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• aeprotsyuk
• Автор темы —>
• Не в сети

• Сообщений: 29
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• FarWinter
• —>
• Не в сети

• Сообщений: 251
• Репутация: 1
• Спасибо получено: 90

В Сообщении «Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ» sedkazna.ru/forum.html?view=topic&catid=9&id=1011#14064

4.3 Ошибка при подписании в Облачном портале 1C: Jinn-client Ошибка создания com-объекта
Ошибка при подписании в Облачном портале 1C на сайте buh2012.budget.gov.ru/buh2012/ : Jinn-client Ошибка создания com-объекта

Нужно добавить разрешения для ActiveX в настройках IE

и возможно нужна ещё перезагрузка компьютера (но это не точно),
чтобы применились разрешения для ActiveX в Internet Explorer

После этого Jinn Client заработал.

Решение:
Импорт настроек разрешения для ActiveX аналогичных для ЕИС-закупки и добавление http и https *.budget.gov.ru в надёжные сайты
Файл «Ошибка 1С, Jinn-client Ошибка создания com-объекта.zip» 2.95 Kb
можно скачать по ссылке:
yadi.sk/d/mHRxDNMy2v8ZnA
В нём файлы:
1.Установка настроек IE 11.0 (05.12.2019).reg
2.Добавление в Надёжные сайты http и https_budget.gov.ru.reg
«1C Облачный портал 2012.lnk» — запуск IE и вход на страницу => buh2012.budget.gov.ru/buh2012/
можно скопировать ярлык на рабочий стол

Если не помогло и ошибка осталась, то нужно сделать сброс настроек IE11, перезагрузится и заново установить настройки IE файлом «1.Установка настроек IE 11.0 (05.12.2019).reg»
Сброс настроек IE11:
Свойства браузера
Дополнительно
<Сброс>
[v] Удалить личные настройки
<Сброс>
. Обязательно — Перезагрузка компьютера
(Если у пользователя какие то настройки не сбрасываются, скорее всего, пользователь с правами — Опытный пользователь.
Нужно добавить этого пользователя в локальную группу Администраторы, сделать сброс настроек IE,
затем можно удалить пользователя из группы Администраторы)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Ошибка: не удалось установить tcp соединение с хостом lk2012.budget.gov.ru:443

• Сообщений: 9
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Alex67
• —>
• Не в сети

• Сообщений: 1583
• Репутация: 20
• Спасибо получено: 399

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Maiv
• Автор темы —>
• Не в сети

• Сообщений: 9
• Спасибо получено: 0

То есть видео инструкции не актуальны? настраивать по «бумажным»?
Вот эта инструкция правильная? moscow.roskazna.gov.ru/upload/iblock/ba2. 31_01_2019_ver1_.doc
Или дайте пожалуйста ссылку на актуальную

В приведённой выше инструкции
9. Осуществить вход в Личный кабинет Электронного бюджета в зависимости от используемого ГОСТ.
9.1. При использовании ГОСТ Р 34.10-2001 точка входа: lk.budget.gov.ru/udu-webcenter .
9.2. При использовании ГОСТ Р 34.10-2012 точка входа: lk2012.budget.gov.ru/udu-webcenter .

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Alex67
• —>
• Не в сети

• Сообщений: 1583
• Репутация: 20
• Спасибо получено: 399

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• FarWinter
• —>
• Не в сети

• Сообщений: 251
• Репутация: 1
• Спасибо получено: 90

Maiv пишет: То есть видео инструкции не актуальны? настраивать по «бумажным»?
Или дайте пожалуйста ссылку на актуальную

QuickEB — Порядок быстрой настройки Электронного бюджета, ГОСТ 2012
Настройка ЭБ с использованием Континент TLS-клиент 2.0 и подписанием с помощью Jinn-Client
вход в ЭБ через http ссылку http://lk.budget.gov.ru/udu-webcenter
sedkazna.ru/forum.html?view=topic&catid=9&id=1011#14063

QuickCG — Порядок быстрой настройки Chromium GOST
Настройка браузера Chromium GOST для работы в Электронном бюджете
(Для Chromium GOST, Континент TLS-клиент не нужен .
Для подписания документов используется КриптоПРО ЭЦП Browser Plug-in )
вход в ЭБ через https ссылку https://lk.budget.gov.ru/udu-webcenter
sedkazna.ru/forum.html?view=topic&catid=9&id=1206#16364

С 1 августа 2020 — точка входа в ЭБ:
по сертификатам ГОСТ2012, после переезда серверов ЭБ в ЦОД Дубну
стала lk.budget.gov.ru
(на момент перехода из-за проблем при работе в ЭБ несколько раз снова включали lk2012.budget.gov.ru , затем отключали, на текущий момент точка входа lk2012 должна быть недоступна)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Maiv
• Автор темы —>
• Не в сети

• Сообщений: 9
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1865
• Репутация: 19
• Спасибо получено: 229

Maiv пишет: При входе из Мозилы по https выдает ошибку «При соединении с lk.budget.gov.ru произошла ошибка. Установка защищённого соединения с этим узлом не удалась: отсутствуют общие алгоритм(ы) шифрования. Код ошибки: SSL_ERROR_NO_CYPHER_OVERLAP»

Maiv пишет: Но на сайт lk.budget.gov.ru (https) захожу без проблем.

Maiv пишет: И в списке плагинов отсутствует плагин Cube system. Откуда его установить?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Maiv
• Автор темы —>
• Не в сети

• Сообщений: 9
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1865
• Репутация: 19
• Спасибо получено: 229

Maiv пишет: Но как раз http не работает подключение.

Maiv пишет: Насколько я понял, использование TLC-клиента обязательно.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Maiv
• Автор темы —>
• Не в сети

• Сообщений: 9
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Maiv
• Автор темы —>
• Не в сети

• Сообщений: 9
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• FarWinter
• —>
• Не в сети

• Сообщений: 251
• Репутация: 1
• Спасибо получено: 90

Maiv пишет: В IE не открылось окно по работе с ЛС.
Нашел ветку, где это уже обсуждалось и помогло использование Хромиум + обновление CSP под W10 + изменение ярлыка (—allow-running-insecure-content) и добавить lk.budget.gov.ru в список разрешённых доменов где можно использовать смешанный контент
НЕ помогло — ошибка Не удается получить доступ к сайту
sedkazna.ru/forum.html?view=topic&defaul. id=9&id=1238&start=0
sedkazna.ru/97-giis-elektronnyj-byudzhet. st-r-34-10-2012.html
Что еще можно сделать?

1. Какая версия КриптоПРО у вас установлена ?

Приложите:
2. Скриншот Установленных программ: Панель управления — Удаление программ (отсортируйте по дате установке)

3. Скриншоты с настройками Континент TLS

4. Скриншоты экрана, когда появляется ошибка:
В IE11 с включённым Континент TLS по http ссылке http://lk.budget.gov.ru

В Chromium GOST с выключенным Континент TLS по https ссылке https://lk.budget.gov.ru

Для Chromium GOST нужно Удалить все данные о просмотренных страницах — Очистить историю и снова проверьте вход в ЭБ
sedkazna.ru/forum.html?view=topic&catid=9&id=1206#16365
пункт 5) При входе в Электронный бюджет, ошибки на странице в Chromium GOST

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Настроить рабочее место для портала ФГИС ЦС

Для работы на ФГИС ЦС сначала нужно зарегистрироваться на портале Госуслуг как физическое лицо, а затем с помощью усиленной квалифицированной подписи зарегистрировать компанию. ЭП обеспечит юридическую значимость данных, передаваемых в ФГИС ЦС.

Зарегистрируйтесь

Все действия на портале Госуслуг выполняет руководитель компании или представитель, имеющий право действовать без доверенности.

1. Авторизуйтесь на портале Госуслуг как физическое лицо.
2. Перейдите в регистрационную форму.
3. Вставьте ЭП в компьютер и нажмите «Продолжить». Данные будут отправлены на проверку в Федеральную налоговую службу. Страницу можно закрыть
4. Когда данные будут подтверждены, в личном кабинете физического лица на портале Госуслуг появится уведомление о результатах проверки.

При авторизации на ФГИС ЦС выберите «Вход с помощью электронной подписи».

Добавьте пользователей

1. Перейдите в список сотрудников и нажмите «Пригласить нового участника».
2. В открывшейся форме заполните обязательные поля: адреса электронной почты, ФИО.
3. Чтобы назначить сотрудника администратором, выберите параметр «Администраторы профиля организации». Нажмите «Пригласить».
4. На указанный адрес электронной почты будет отправлено письмо со ссылкой. Пользователь должен перейти по ней, чтобы присоединиться к организации.

Установите ПО

1. Убедитесь, что на компьютере:
   • установлено СКЗИ КриптоПро CSP. Если нет — установите;
   • отсутствуют старые версии ПО «Континент TLS VPN Клиент». Если есть — удалите их с помощью утилиты производителя (скачайте файл, распакуйте, запустите step5.cmd) и перезагрузите компьютер;
   • установлен корневой сертификат того УЦ, который выдал вам электронную подпись.
2. Проверьте , есть ли доступ к ресурсу https://fgiscs-tls.gge.ru по портам 80, 443 и 8444.

На указанную почту придет письмо об успешной регистрации.

Настройте «Континент TLS VPN Клиент»

1. На сайте поставщика СКЗИ https://skzi.infosec.ru/ зайдите в свой личный кабинет и в разделе «Техническая поддержка» скачайте файл конфигурации — fgiscs_conf.JSON.
2. Запустите приложение «Континент TLS VPN Клиент» версии 2.0, нажав ярлык на рабочем столе.
3. Перейдите в раздел «Настройки», кликните «Импортировать конфигурацию» и выберите файл fgiscs_conf.JSON.

Итог: конфигурация настроена, параметры соединения проверены. Установите сертификаты УЦ, сервера и пользователя.

Ваш компьютер готов к работе на портале ФГИС ЦС.

Ошибка создания вектора энтропии континент tls

Континент TLS VPN клиент 2.0.1440 необходим для работы с сертификатом электронной подписи ГОСТ Р 34.10-2012. Континент TLS VPN клиент 1.0.920.0 не работает с сертификами ГОСТ 2012.

Данный дистрибутив скачан с сайта производителя и имеет ограничение в работе 14 дней. При регистрации Континента через интернет это ограничение снимается. Приобретать лицензию на СКЗИ «Континент TLS VPN Клиент» не надо. Клиенты казначейства также могут получить данное СКЗИ в местном казначействе.

Континет TLS VPN клиент используется для работы с информационными системами:

• 1. Электронный бюджет (Федеральное казачейство) budget.gov.ru
• 2. ФГИС ЦС (Главгосэкспертиза) fgiscs.minstroyrf.ru

Сертификаты сервера «Континент TLS VPN» (lk2012.budget.gov.ru и lk.budget.gov.ru)

Инструкция по установке Континент TLS VPN клиент 2.0.1440

Перед установкой Континента ТЛС версии 2 необходимо удалить предыдущую версию Континента (если конечно она была установлена) через Пуск > Панель управления > Программы > Программы и компоненты. Потом перезагрузить компьютер.

Скачанный дистрибутив необходимо разархивировать и запустить файл «Континент TLS-клиент.exe»

Далее в появившемся окне отмечаем чекбокс «Я принимаю условия лицензионного соглашения» и нажимаем кнопку «Установить».

После успешной установки предлагается перезагрузить компьютер — соглашаемся.

Далее необходимо зарегистрировать СКЗИ «Континент TLS VPN Клиент». При запуске незарегистрированной программы появится следующее окно.

Если в течение 14 дней не зарегистрировать программу, то по окончании демонстрационного периода работа программы будет приостановлена.

Если не зарегистрировались сразу, то форму регистрации ищите в Континент TLS Клиент на вкладке «Настройки» > раздел «Регистрация» > кнопка «Начать» под полем «Онлайн-регистрация».

В открывшемся окне заполняем поля: Фамилия, Отчество, Электронная почта, в поле Адрес сервера регистрации (если не было указано) пишем «registration.securitycode.ru», нажимаем «Готово».

После успешной регистрации всплывает окно. Ограничение демонстрационного периода (14 дней) снято.

Для регистрации Континент TLS Клиент работникам казначейства (компьютер находится в локальной сети казначейства) необходимо внести изменения (выделены красным) в файл PublicConfig.json.

<
«loggingConfig»: <
«fileLogMaxSize»: 3145728,
«fileLoggingDirectory»: «C:UsersPublicContinentTLSClient»,
«fileLoggingEnabled»: true,
«sessionLogsEnabled»: false
>,
«serialNumber»: « test-50000 »
>

Настройка СКЗИ «Континент TLS VPN Клиент» для работы в Электронном бюджете

Запускаем Континент TLS VPN Клиент (через меню пуск или иконку на рабочем столе). В открывшемся окне нажимаем «Главная» > «Добавить» > «Ресурс».

В окне добавления ресурса прописываем следующее:

1. Если используете сертификат пользователя по ГОСТ 2012, то пишем:
   • Адрес: lk2012.budget.gov.ru
   • Имя ресурса: lk2012.budget.gov.ru
   • Удаленный порт: 443
   • Тип: Прокси
2. Если используете сертификат пользователя по ГОСТ 2001, то пишем:
   • Адрес: lk.budget.gov.ru
   • Имя ресурса: lk.budget.gov.ru
   • Удаленный порт: 443
   • Тип: Прокси

Нажимаем «Сохранить». В соединениях отобразиться «lk2012.budget.gov.ru» или/и «lk.budget.gov.ru».

Далее идем в раздел «Настройки» > «Основные». Ставим галочки в следующих чекбоксах:

• Проверять сертификаты по CRL
• Запускать при старте системы
• Скачивать CRL автоматически
• При запуске свернуть в системный трей

Получаем страницу с такими настройками. Нажимаем «Сохранить».

Следующий этап — настройка прокси. Раздел «Настройки» > «Внешний прокси» ставим галку «Настраивать автоматически» и сохраняем.

Следующий этап — настройка сертификатов. Идем на вкладку «Управление сертификатами» > раздел «Серверные сертификаты» > «Импортировать».

Если у вас нет серверных сертификатов, то качаем…
Сертификат сервера «Континент TLS VPN» ГОСТ Р 34.10-2012
Сертификат сервера «Континент TLS VPN» ГОСТ Р 34.10-2001

В результате добавления сертификатов видим следующее.

Далее проверяем вкладку пользовательские сертификаты. Если вашего сертификата там нет, то его необходимо установить через КриптоПро. Инструкция по установке личного сертификата в КриптоПро тут. Если сертификат установлен, то видим следующее.

Идем на вкладку «Управление сертификатами» > раздел «CDP» > кнопка «Скачать CRL». На панели задач внизу справа нажать правой кнопкой мыши на значок «Континент TLS Клиента» и выбрать пункт «Сброс соединений».

Ошибка создания вектора энтропии континент tls

Информация обновлена: 16.09.2019

Континент TLS VPN клиент 2.0.1440 необходим для работы с сертификатом электронной подписи ГОСТ Р 34.10-2012. Континент TLS VPN клиент 1.0.920.0 не работает с сертификами ГОСТ 2012.

Данный дистрибутив скачан с сайта производителя и имеет ограничение в работе 14 дней. При регистрации Континента через интернет это ограничение снимается. Приобретать лицензию на СКЗИ «Континент TLS VPN Клиент» не надо. Клиенты казначейства также могут получить данное СКЗИ в местном казначействе.

Континет TLS VPN клиент используется для работы с информационными системами:

• 1. Электронный бюджет (Федеральное казачейство) budget.gov.ru
• 2. ФГИС ЦС (Главгосэкспертиза) fgiscs.minstroyrf.ru

Сертификаты сервера «Континент TLS VPN» (lk2012.budget.gov.ru и lk.budget.gov.ru)

Инструкция по установке Континент TLS VPN клиент 2.0.1440

Перед установкой Континента ТЛС версии 2 необходимо удалить предыдущую версию Континента (если конечно она была установлена) через Пуск > Панель управления > Программы > Программы и компоненты. Потом перезагрузить компьютер.

Скачанный дистрибутив необходимо разархивировать и запустить файл «Континент TLS-клиент.exe»

Далее в появившемся окне отмечаем чекбокс «Я принимаю условия лицензионного соглашения» и нажимаем кнопку «Установить».

После успешной установки предлагается перезагрузить компьютер — соглашаемся.

Далее необходимо зарегистрировать СКЗИ «Континент TLS VPN Клиент». При запуске незарегистрированной программы появится следующее окно.

Если в течение 14 дней не зарегистрировать программу, то по окончании демонстрационного периода работа программы будет приостановлена.

Если не зарегистрировались сразу, то форму регистрации ищите в Континент TLS Клиент на вкладке «Настройки» > раздел «Регистрация» > кнопка «Начать» под полем «Онлайн-регистрация».

В открывшемся окне заполняем поля: Фамилия, Отчество, Электронная почта, в поле Адрес сервера регистрации (если не было указано) пишем «registration.securitycode.ru», нажимаем «Готово».

После успешной регистрации всплывает окно. Ограничение демонстрационного периода (14 дней) снято.

Для регистрации Континент TLS Клиент работникам казначейства (компьютер находится в локальной сети казначейства) необходимо внести изменения (выделены красным) в файл PublicConfig.json.

Настройка СКЗИ «Континент TLS VPN Клиент» для работы в Электронном бюджете

Запускаем Континент TLS VPN Клиент (через меню пуск или иконку на рабочем столе). В открывшемся окне нажимаем «Главная» > «Добавить» > «Ресурс».

В окне добавления ресурса прописываем следующее:

1. Если используете сертификат пользователя по ГОСТ 2012, то пишем:
2. Адрес: lk2012.budget.gov.ru
3. Имя ресурса: lk2012.budget.gov.ru
4. Удаленный порт: 443
5. Тип: Прокси
6. Если используете сертификат пользователя по ГОСТ 2001, то пишем:
7. Адрес: lk.budget.gov.ru
8. Имя ресурса: lk.budget.gov.ru
9. Удаленный порт: 443
10. Тип: Прокси

Нажимаем «Сохранить». В соединениях отобразиться «lk2012.budget.gov.ru» или/и «lk.budget.gov.ru».

Далее идем в раздел «Настройки» > «Основные». Ставим галочки в следующих чекбоксах:

• Проверять сертификаты по CRL
• Запускать при старте системы
• Скачивать CRL автоматически
• При запуске свернуть в системный трей

Получаем страницу с такими настройками. Нажимаем «Сохранить».

Следующий этап — настройка прокси. Раздел «Настройки» > «Внешний прокси» ставим галку «Настраивать автоматически» и сохраняем.

Следующий этап — настройка сертификатов. Идем на вкладку «Управление сертификатами» > раздел «Серверные сертификаты» > «Импортировать».

Если у вас нет серверных сертификатов, то качаем…
Сертификат сервера «Континент TLS VPN» ГОСТ Р 34.10-2012
Сертификат сервера «Континент TLS VPN» ГОСТ Р 34.10-2001

В результате добавления сертификатов видим следующее.

Далее проверяем вкладку пользовательские сертификаты. Если вашего сертификата там нет, то его необходимо установить через КриптоПро. Инструкция по установке личного сертификата в КриптоПро тут. Если сертификат установлен, то видим следующее.

Идем на вкладку «Управление сертификатами» > раздел «CDP» > кнопка «Скачать CRL». На панели задач внизу справа нажать правой кнопкой мыши на значок «Континент TLS Клиента» и выбрать пункт «Сброс соединений».

Инструкция обновлена 22.01.2020.

Эта инструкция предназначена для установки и настройки «Континент TLS-клиента» (далее – TLS-клиент) на рабочее место, на котором еще не установлен TLS-клиент и имеется лицензия КриптоПро CSP 4.0.

1. Проверка электронной подписи.

Для работы с АИС требуется электронная подпись (далее – ЭП). Если Вы еще не получали ЭП, обратитесь в Удостоверяющий центр (ГУИТ): http://uc.omskportal.ru. Инструкция по работе с сайтом ГУИТа. Проверьте ЭП:

1. 1.1. Подключите к компьютеру flash-накопитель (флешку) с ЭП;
2. 1.2. Проверьте, что следующие файлы расположены в корневом каталоге флешки (а не вложены в другую папку), и при необходимости перенесите их в корневой каталог:
3. Папка, содержащая в названии произвольные буквы и цифры, внутри которой находится 6 файлов (header.key, masks.key, masks2.key, name.key, primary.key, primary2.key) — контейнер ЭП;
4. Файл сертификата (с расширением файла .cer).
5. 1.3. Откройте сертификат ЭП (файл в формате .cer). В открывшемся сертификате проверьте, что в поле «Кем выдан» указано «ГУИТ Омской области», а в поле «Действителен» срок действия ЭП не истекает в ближайшее время (выделено красным). Также обратите внимание, когда выдана ЭП (первая дата).
6. 1.4. Если у ЭП истек срок действия или Вы не знаете пароль от ЭП, то обратитесь в ГУИТ для получения новой ЭП: http://uc.omskportal.ru.

1. 2.1. Запустите КриптоПро CSP.
2. 2.2. Если в поле «Срок действия» указано « Истек » или указана конкретная дата , то конвертируйте ЭП и настройте TLS-клиент, используя инструкцию Конвертирование ЭП для работы в TLS-клиенте.
3. 2.3. Если в поле «Срок действия» указано « Постоянная », то продолжите выполнять эту инструкцию.
4. 2.4. Запустите КриптоПро CSP и установите ЭП:
5. На вкладке «Сервис» нажмите кнопку «Установить личный сертификат».
6. В открывшемся окне нажмите кнопку «Обзор», выберите Ваш сертификат и нажмите «ОК» и «Далее».
   
7. После этого отобразится окно с сертификатом пользователя, нажмите кнопку «Далее».
8. Поставьте галочку «Найти контейнер автоматически», «Далее».
9. Поставьте галочку «Установить сертификат (цепочку сертификатов) в контейнер», «Далее».
   
10. Нажмите «Готово».
    
11. Введите пароль от Вашей ЭП, нажмите «Ок».

3. Установка и регистрация TLS-клиента.

1. 3.1. Скачайте «Континент TLS-клиент» по ссылке: http://obr55.ru/wp-content/uploads/2019/10/2.0.1440.0-release20.zip
2. 3.2. Запустите установку «Континент TLS-клиент». Установите галочку «Я принимаю условия лицензионного соглашения», нажмите «Установить». После установки перезагрузите компьютер.
3. 3.3. Запустите «Континент TLS-клиент» («Пуск» – «Код безопасности» – «Континент TLS-клиент»). Для продолжения настройки нажимайте на мишени, пока полоса загрузки не заполнится.
4. 3.4. Нажмите «Зарегистрировать».
5. 3.5. В окне регистрации заполните обязательные поля. Выберите КС1. Адрес сервера регистрации оставьте без изменений. Нажмите «Готово».

4. Настройка TLS-клиента.

Затем «Далее» — «Поместить все сертификаты в следующее хранилище» — «Обзор».

В открывшемся окне выберите « Промежуточные центры сертификации » и нажмите «Ок» — Далее — «Готово».

При появлении окна «Предупреждение безопасности» нажмите «Да».

Появится сообщение об успешном выполнении импорта.

1. 4.2. Скачайте серверный сертификат: Корневой сертификат аккредитованного УЦ Главного управления информационных технологий и связи Омской области (2012).
2. Откройте сертификат и нажмите «Установить сертификат». Затем «Далее» — «Поместить все сертификаты в следующее хранилище» — «Обзор». В открывшемся окне выберите « Доверенные корневые центры сертификации » и нажмите «Ок» — «Далее» — «Готово». (При появлении окна «Предупреждение безопасности» нажмите «Да»).

1. 4.3. Скачайте серверный сертификат: Головной сертификат УЦ Минкомсвязи России.
   Откройте сертификат и нажмите «Установить сертификат». Затем «Далее» — «Поместить все сертификаты в следующее хранилище» «Обзор». В открывшемся окне выберите « Доверенные корневые центры сертификации » и нажмите «Ок» — «Далее» — «Готово». (При появлении окна «Предупреждение безопасности» нажмите «Да»).

1. 4.4. На вкладке «Серверные сертификаты» TLS клиента по очереди импортируйте все загруженные серверные сертификаты (из пунктов 4.1-4.3) с помощью кнопки «Импортировать»:

1. В списке серверных сертификатов должны появиться 3 сертификата:
2. 4.5. Загрузите на компьютер следующие списки отзывов сертификатов :

• Список отозванных сертификатов аккредитованного УЦ ГУИТ Омской области
• Список отозванных сертификатов аккредитованного УЦ Главного управления информационных технологий и связи Омской области (2012)
• Список отозванных сертификатов для головного сертификата аккредитованного УЦ Минкомсвязи России

1. На вкладке «CDP» по очереди импортируйте все загруженные списки отзывов сертификатов, используя кнопку «Импортировать CRL».

1. 4.6. Если Вы используете электронную подпись, выданную иным Удостоверяющим центром (не ГУИТом), то Вам необходимо скачать корневые сертификаты (и сертификаты отзыва) с сайта этого Удостоверяющего центра, установить их и импортировать в TLS-клиент аналогично пунктам 4.1-4.5.

1. 4.7. Перейдите во вкладку «Настройки» – «Основные» – «Сертификат пользователя по умолчанию» и нажмите кнопку «Сброс». После этого нажмите на три точки и выберите ваш сертификат. Укажите «срок действия CRL» равный 365 дням и «Период скачивания CRL» равный 1 час. Нажмите кнопку «Сохранить».
2. 4.8. Далее перейдите на вкладку «Главная», нажмите кнопку «Добавить» — «Ресурс». В поле «Адрес» введите адрес одной из АИС:

• tls.dou.omskportal.ru — АИС «Комплектование» (для детских садов);
• tls.eoo.omskportal.ru — АИС «Зачисление» (для школ);
• tls.odo.omskportal.ru — АИС «Дополнительное образование».

Нажмите «Сохранить». Если требуется, повторите этот шаг для других АИС.

1. 4.9. Введите пароль Вашей ЭП, если программа запросит его.
2. 4.10. На вкладке «Главная» отобразятся списки подключенных защищенных ресурсов.

5. Проверка доступности АИСов. Откройте в браузере (Желательно Google Chrome или Mozilla Firefox). В адресной (не поисковой) строке браузера введите адрес АИС:

При появлении ошибок воспользуйтесь Инструкцией по устранению ошибок.
Если Вы не нашли решение в Инструкции по устранению ошибок, то можете обратиться в РИАЦ. Перед обращением скачайте и запустите программу удаленного доступа

Есть несколько проблемных ситуаций сосуществования программных продуктов Континент АП и Jinn Client.

Очень плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP
На этапе подписи заявки в ЭБ при «поиске носителя» получаем: «Прекращена работа программы визуализации и подписи Jinn-Client»
До этого всё подписывало в ЭБ (Win 10.15063×64)

На win7x32 sp1 такой проблемы нет.

Плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP

Для правильной установки Континент TLS-клиент». Версия 2 придётся удалять КАП. Вычищать следы пребывание КБ CSP утилитой от кода безопасности тынц с параметрами -to из командной строки от администратора. Так же должен стоять криптопро. Тогда ТЛС клиент не будет пытаться установить или обновить свой криптопровайдер. Потом континент ап можно ставить обратно с его криптопровайдером, все работает. Не забываем удалить
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 1CryptDllImportPublicKeyInfoEx1.2.643.7.1.1.1.1
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftCryptographyOIDEncodingType 1CryptDllImportPublicKeyInfoEx1.2.643.7.1.1.1.1
из реестра.

СКЗИ «Континент TLS-клиент». Версия 2 «Доступ к конфигурационному файлу запрещен»

Британские учёные установили, ошибка СКЗИ «Континент TLS-клиент». Версия 2 «Доступ к конфигурационному файлу запрещен» таки связана с недостатком прав. Все установщики запускать через .ехе а не через .msi и от имени администратора. Если это не помогло. смотрим права на ветку реестра [HKEY_LOCAL_MACHINESOFTWARESecurityCode]

По логам на проблемной машине видно что идёт обращение к ветке [HKEY_LOCAL_MACHINESOFTWARESecurityCode], и не может получить доступ туда. Проверил права на ветку — кривые, нет права на запись. Можно выдать права, я полечил просто удалив ветку целиком (но у меня и были имитация установки на чистую, без других компонентов КБ). В общем случае, надо пробовать давать права на ветку Еще добавлю — сегодня под обычным пользователем пытался запустить Континент-TLS дал разрешения в реестре, но при запуске так же ошибку выдавал. Дал разрешение на чтение и запись до каталогов:
c:Program FilesSecurity Code
c:UsersPublicContinentTLSClient
Заработало и под обычным пользователем.

источники:

http://elektronnayapodpis.info/kontinent-tls-klient-2-0-skachat/

http://new-home-sochi.ru/oshibka-sozdanija-vektora-jentropii-kontinent-tls/

Проблема наблюдается при использовании сертификатов по ГОСТ Р34.10-2012 в подсистемах ГИИС «Электронный бюджет»

При использовании сертификатов по ГОСТ Р 34.10-2012 в подсистемах ГИИС «Электронный бюджет», оператором которых является Федеральное казначейство, необходимо:
1. Для аутентификации пользователей на автоматизированном рабочем месте установить СКЗИ «Континент TLS-клиент». Версия 2» и провести настройку в соответствии с инструкцией, размещенной на официальном сайте Федерального казначейства в разделе ГИС — Электронный бюджет — Подключение к системе.
2. В качестве адреса TLS сервера ГИИС ЭБ и доступа в личный кабинет указывать адрес lk2012.budget.gov.ru.

Другой вариант проблемы:

Размер имеет значение (с)

При подписании в ЭБ была выявлена проблема, если название организации в сертификате ГОСТ 2012 превышает 127 символов, то jinn просто не видит контейнер с таким сертификатом. Решение — конвертация контейнера. Утилита конвертации контейнеров КриптоПро в PKCS#15 в приложении. Инструкция по использованию в архиве. Для работы на рабочем месте должен быть установлен КриптоПро CSP.

Инструкция по созданию носителя от пользователя 7449

ДОПОЛНЕНИЕ

ОТВЕТ ТЕХПОДДЕРЖКИ УФК

Цитата: Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки. Для конвертации контейнера PKCS#12 в PKCS#15 есть специальная утилита, для получения обращаться в ТОФК.1. В компьютере вставлен съемный носитель с сертификатом PKCS#12.2. Запускаем утилиту конвертации.3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».4. Выбираем нужный сертификат и нажимаем «Конвертировать».5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».6. В окне Крипто-ПРО повторно указываем пароль ранее и «ОК».7. Конвертирование завершено успешно, на съемном носителе будет сертификат и ключ в контейнере PKCS#15.При отсутствии сертификата в jinn плагине при подписании требуется обратиться в отдел ОРСИБИ вашего ТОФК для получения конвертера и инструкции по конвертации контейнера подписи из формата PKCS#12 в PKCS#15.

Новый Jinn-client v.1.0.3050.0 не видит сертификат на USB

• Сообщений: 21
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

amrv пишет: Так как в реальной работе нет документов, требующих подписания в личном кабинете, На тестовой странице (опять же по встреченным на данном форуме ссылкам) вызываем Jinn-clienta и видим свою конвертированную подпись.
при обращении на тестовой странице вызова Jinn-clienta к этому USB носителю, сертификата по ГОСТ2001 не видно (виден только переконвертированный контейнер p15), хотя перечитав чуть ли не весь форум все утверждают, что новый Jinn-client нормально видит сертификаты по гост2001, и те сертификаты по гост2012, где название организации не больше 127 знаков!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• vvofk
• —>
• Не в сети

• Сообщений: 6
• Спасибо получено: 2

amrv пишет: Добрый всем день!
. Или если установлено ПО под гост2012 (c новым Jinn-client), то при использовании сертификата по гост2001, его тоже надо конвертировать, если название организации более 127 символов.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• amrv
• Автор темы —>
• Не в сети

• Сообщений: 21
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• amrv
• Автор темы —>
• Не в сети

• Сообщений: 21
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Wmffre
• —>
• Не в сети

• Сообщений: 599
• Репутация: 23
• Спасибо получено: 168

amrv пишет: Вы не правильно поняли мой текст, как раз ЭЦП по ГОСТ2001 года не конвертировали, ибо везде на форуме пишут, что новый JINN их прекрасно видит, на деле же оказывается, что это не так. Новый JINN не видит ЭЦП по ГОСТ2001, во всяком случае те, что имеют в названии организации более 127 символов

Если использовать Континент TLS Клиент 1.0.920.0 и Jinn-Client 1.0.3050.0, то для сертификата ГОСТ-2001 устанавливать eXtended Container не требуется, конвертировать контерйнер также не надо.

Если же используется Континент TLS Клиент 2.0.1440.0, то с ним устанавливается eXtended Container 1.0.2.2 (не пробовал — будет ли работать 2.0.1440.0 без eXtended Container). Соответственно контейнер ГОСТ-2001 также требуется конвертировать, если название организации больше 127 символов.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• amrv
• Автор темы —>
• Не в сети

• Сообщений: 21
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

amrv пишет: Вопрос, а нормально ли будет работать новый JINN с ЭЦП по ГОСТу 2001, если даже «заточенный» под работу с ГОСТом 2012 он вызывает проблемы?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• amrv
• Автор темы —>
• Не в сети

• Сообщений: 21
• Спасибо получено: 0

amrv пишет: Вопрос, а нормально ли будет работать новый JINN с ЭЦП по ГОСТу 2001, если даже «заточенный» под работу с ГОСТом 2012 он вызывает проблемы?

Собственно Jinn-client 1.0.3050 давно и успешно работает с ГОСТ-2001 (и недавно и успешно с ГОСТ-2012).
За «понимание» ГОСТ-2012 отвечает модуль eXtended Container, у которого проблема «127+» независимо от ГОСТа.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

amrv пишет: Почему же тогда при наличии на компьютере старой версии JINN ЭЦП по ГОСТ 2001, даже если в названии организации более 127 символов, видятся, а вот уже при установки новой версии JINN эти же ЭЦП без конвертации не видятся?

amrv пишет: Для чего лишний элемент в виде eXtended Container? Что мешает такой же успешной реализации под новый ГОСТ 2012, без лишних дополнительных продуктов? Ведь ещё классики говорили: чем проще, тем лучше!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Сообщений: 29
• Спасибо получено: 0

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

aeprotsyuk пишет: При подписании документов в «Электронном бюджете» Jinn Client не видит установленные сертификаты по госту 2012. Сертификаты установлены и на флешке и на рутокене. На скриншоте показан сертификат (1 из 4 установленных) который работает, остальные — нет, хотя все установлены.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• hatabych
• —>
• Не в сети

• Сообщений: 30
• Спасибо получено: 3

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• aeprotsyuk
• Автор темы —>
• Не в сети

• Сообщений: 29
• Спасибо получено: 0

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• aeprotsyuk
• Автор темы —>
• Не в сети

• Сообщений: 29
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

aeprotsyuk пишет: установлены на рутокене и на флешке 4 сертификата с ключевыми парами разных людей, такое вообще будет работать? Потому что из всех сертификатов работает только один.

aeprotsyuk пишет: На один рутокен можно установить только 1 сертификат или можно несколько разных сертификатов (разных владельцев)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• aeprotsyuk
• Автор темы —>
• Не в сети

• Сообщений: 29
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

aeprotsyuk пишет: Подскажите тогда пожалуйста как на 1 носитель записать не сколько сертификатов и чтобы считывались при подписании?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

При подписании документа Jinn Client не видит сертификаты

• Сообщений: 1525
• Репутация: 20
• Спасибо получено: 381

ranger пишет: То есть даже с новым XC (версии 1.0.2.2) есть проблема с длиной названия организации или народ ставит древнюю версию от казны и получает гемор на свою голову?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• aeprotsyuk
• Автор темы —>
• Не в сети

• Сообщений: 29
• Спасибо получено: 0

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• makariesp
• —>
• Не в сети

• Сообщений: 6
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

makariesp пишет: Здравствуйте, та же проблема, при подписании в ЭБ видит флешку, но не видит подпись на ней. Длина наименования организации 90 символов. Что сделать? Установлен Jinn Client версии 1.0.943.0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• makariesp
• —>
• Не в сети

• Сообщений: 6
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

makariesp пишет: Сертификат новый 2012, Jinn Client был установлен ранее. А где взять другую версию, если проблема в этом?

Получить в ОРСиБИ вашего УФК.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• _Nik_
• —>
• Не в сети

• Сообщений: 24
• Спасибо получено: 2

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Andy24
• —>
• Не в сети

• Сообщений: 5
• Спасибо получено: 1

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Simius
• —>
• Не в сети

• Сообщений: 1
• Спасибо получено: 0

Добрый день!
При подписании документа Jinn не видит сертификат
prnt.sc/pqs6l9

Версия 1.0.3050.0
В названии 49 символов
Подскажите пожалуйста куда бежать)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Wmffre
• —>
• Не в сети

• Сообщений: 599
• Репутация: 23
• Спасибо получено: 168

Simius пишет: Добрый день!
При подписании документа Jinn не видит сертификат
prnt.sc/pqs6l9

Версия 1.0.3050.0
В названии 49 символов
Подскажите пожалуйста куда бежать)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• heorhee
• —>
• Ушел

• Сообщений: 18
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• danmadman
• —>
• Не в сети

• Сообщений: 129
• Спасибо получено: 10

aeprotsyuk пишет: Подскажите как узнать кол-во символов?

Открыть сертификат, на вкладке «Состав» в разделе «Субъект» найти наименование организации и посчитать все символы, включая кавычки, пробелы и знаки препинания.

А как Вы тогда поняли, что наименование организации одинаковое:

Наименование организации в 1-м и остальных сертификатах одинаковое?

если наименование организации в сертификате превышает 127 символов.

У меня так же не превышает, а Jinn не видит при подписании, приходится конвертировать.
Судя по этой теме, дело не в количестве символов. Имхо

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Gvinpin
• —>
• Ушел

• Сообщений: 1805
• Репутация: 19
• Спасибо получено: 218

danmadman пишет: Судя по этой теме, дело не в количестве символов.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• FarWinter
• —>
• Не в сети

• Сообщений: 188
• Репутация: 1
• Спасибо получено: 62

danmadman пишет: если наименование организации в сертификате превышает 127 символов.

У меня так же не превышает, а Jinn не видит при подписании, приходится конвертировать.
Судя по этой теме, дело не в количестве символов. Имхо

(В руководстве на настройке АРМ электронного бюджета от 23 августа 2019
на сайте roskazna.ru указан только xc.msi )
xc.msi — это для установки на 32х битные системы Windows
xc64.msi — это для установки на 64х битные системы Windows

4.1.1 Из-за кривого eXtendedContainer_1.0.2.2 установленного автоматически с Континент TLS 2.0
Решение:
В самом верху этого сообщения
Выполнить файл QuickEB_Lite.exe правой кнопкой мыши — Запуск от имени администратора
eXtendedContainer_1.0.2.2 — будет переустановлен

4.1.2 Из-за ручной установки xc.msi на 64х битную систему Windows
Не видит контейнеры ГОСТ 2012
Если ставили вручную XC 1.0.1.1 из дистрибутива Jinn-Client
И ошибочно установили xc.msi на 64х битную систему Windows
(В руководстве на настройке АРМ электронного бюджета от 23 августа 2019
на сайте roskazna.ru указан только xc.msi )
xc.msi — это для установки на 32х битные системы Windows
xc64.msi — это для установки на 64х битные системы Windows

Решение:
В самом верху этого сообщения
Выполнить файл QuickEB_Lite.exe правой кнопкой мыши — Запуск от имени администратора
eXtendedContainer_1.0.2.2 — будет установлен правильно.

4.1.3 Если название организации превышает 127 символов , то нужно использовать Конвертер для ГОСТ 2012
Конвертер для ГОСТ 2012
В случае, если название организации превышает 127 символов (В сертификате, вкладка Состав — Субъект — O=Название организации)
при подписании в ЭБ Jinn-Client не видит такие контейнера закрытых ключей в ГОСТ 2012
Нужно использовать конвертер (Если количество символов меньше или равно 127, то конвертер не нужен.)

Распаковать архив
Установить reg файл, кликнуть два раза на файле: SnHwAPIExp.reg и нажать ДА
Запускаем конвертер файл: Converter.exe
Если конвертер не запустился(ошибка при запуске — отсутствует MSVCP140.dll),
то нужно до установить библиотеку Microsoft Visual C++ 2015 файл vc_redist.x86.exe
и снова запустить файл Converter.exe

Выбрать контейнер на флешке,
нажать Конвертировать

Выбрать флешку, куда создавать новый контейнер (т.е. можно ту же флешку, где находится конвертируемый контейнер)
Ввести пароль (минимум 4 символа) (При подписании в ЭБ в окне Jinn-Client нужно будет вводить этот пароль)
Нажать Сохранить

На флешке, в корне, появятся два файла:
TE.cer — сертификат
TEcont.p15 — контейнер закрытого ключа, который увидит Jinn-Client при подписании в ЭБ
(Если, вместо флешки использовать Rutoken, то эти файлы стандартными средствами с рутокена не удалить,
только перезаписывать или форматировать рутокен,
через Панель управления рутокена их невидно)

На флешке получится создать только один такой контейнер, т.к. при конвертации другого контейнера на флешке
файлы TE.cer и TEcont.p15 будут перезаписываться

Проверка подписания в браузерах через Jinn-Client не заходя в Электронный бюджет в этом же сообщении:
«Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ»
пункт 5.0 Тестирование подписания через Jinn-Client

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• danmadman
• —>
• Не в сети

• Сообщений: 129
• Спасибо получено: 10

danmadman пишет: если наименование организации в сертификате превышает 127 символов.

У меня так же не превышает, а Jinn не видит при подписании, приходится конвертировать.
Судя по этой теме, дело не в количестве символов. Имхо

(В руководстве на настройке АРМ электронного бюджета от 23 августа 2019
на сайте roskazna.ru указан только xc.msi )
xc.msi — это для установки на 32х битные системы Windows
xc64.msi — это для установки на 64х битные системы Windows

4.1.1 Из-за кривого eXtendedContainer_1.0.2.2 установленного автоматически с Континент TLS 2.0
Решение:
В самом верху этого сообщения
Выполнить файл QuickEB_Lite.exe правой кнопкой мыши — Запуск от имени администратора
eXtendedContainer_1.0.2.2 — будет переустановлен

4.1.2 Из-за ручной установки xc.msi на 64х битную систему Windows
Не видит контейнеры ГОСТ 2012
Если ставили вручную XC 1.0.1.1 из дистрибутива Jinn-Client
И ошибочно установили xc.msi на 64х битную систему Windows
(В руководстве на настройке АРМ электронного бюджета от 23 августа 2019
на сайте roskazna.ru указан только xc.msi )
xc.msi — это для установки на 32х битные системы Windows
xc64.msi — это для установки на 64х битные системы Windows

Решение:
В самом верху этого сообщения
Выполнить файл QuickEB_Lite.exe правой кнопкой мыши — Запуск от имени администратора
eXtendedContainer_1.0.2.2 — будет установлен правильно.

4.1.3 Если название организации превышает 127 символов , то нужно использовать Конвертер для ГОСТ 2012
Конвертер для ГОСТ 2012
В случае, если название организации превышает 127 символов (В сертификате, вкладка Состав — Субъект — O=Название организации)
при подписании в ЭБ Jinn-Client не видит такие контейнера закрытых ключей в ГОСТ 2012
Нужно использовать конвертер (Если количество символов меньше или равно 127, то конвертер не нужен.)

Распаковать архив
Установить reg файл, кликнуть два раза на файле: SnHwAPIExp.reg и нажать ДА
Запускаем конвертер файл: Converter.exe
Если конвертер не запустился(ошибка при запуске — отсутствует MSVCP140.dll),
то нужно до установить библиотеку Microsoft Visual C++ 2015 файл vc_redist.x86.exe
и снова запустить файл Converter.exe

Выбрать контейнер на флешке,
нажать Конвертировать

Выбрать флешку, куда создавать новый контейнер (т.е. можно ту же флешку, где находится конвертируемый контейнер)
Ввести пароль (минимум 4 символа) (При подписании в ЭБ в окне Jinn-Client нужно будет вводить этот пароль)
Нажать Сохранить

На флешке, в корне, появятся два файла:
TE.cer — сертификат
TEcont.p15 — контейнер закрытого ключа, который увидит Jinn-Client при подписании в ЭБ
(Если, вместо флешки использовать Rutoken, то эти файлы стандартными средствами с рутокена не удалить,
только перезаписывать или форматировать рутокен,
через Панель управления рутокена их невидно)

На флешке получится создать только один такой контейнер, т.к. при конвертации другого контейнера на флешке
файлы TE.cer и TEcont.p15 будут перезаписываться

Проверка подписания в браузерах через Jinn-Client не заходя в Электронный бюджет в этом же сообщении:
«Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ»
пункт 5.0 Тестирование подписания через Jinn-Client

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Всем добрый день! Я часто работаю с бюджетниками, помогаю им с настройкой АРМ в различных системах, порталах, ЭТП. И вот буквально несколько дней назад увидел ошибку на рабочем месте ГИИС Электронный бюджет, которую ранее видеть не доводилось:

«УФОС: Ошибка построения диалога подписания. Не установлены средства подписи (Jinn-клиент или плагин КриптоПро)».

Данная ошибка возникала в момент подписания любого документа внутри системы ГИИС ЭБ.

Решение проблемы в ГИИС ЭБ «не установлены средства подписи Jinn-клиент или плагин КриптоПро»

В организации работают в электронном бюджете почти каждый день, потому версию «не установлен Jinn — клиент», который и отвечает, собственно, за формирования электронной подписи в электронном бюджете, я сходу отверг. Если вы не установили Jinn-клиент, то такую ошибку тоже рискуете увидеть.

Кстати, крипто-плагин был так же установлен. Я проверил Firefox, и он там был. Обратите внимание, что я сказал, что в ГИИС Электронный бюджет лично я работаю в браузере Firefox. А не в Internet explorer! Да, вы не ослышались. В электронном бюджете можно работать и подписывать документы в браузере firefox. 

Ну а проблема оказалась несколько банальной. Дело в том, что и указанный крипто-плагин, и корневые сертификаты УФК, и даже сам КриптоПро частенько обновляются! Да и настройки Firefox для работы с электронной подписью бывает, слетают, сбиваются. Потому, поскольку я лентяй, мне захотелось всё сделать быстро и автоматически.  

Для этой цели, как обычно, я воспользовался сервисом автоматической проверки и настройки ЭТП и ГОС. ПОРТАЛОВ от СКБ Контур. ⏩Посмотреть как им пользоваться Вот и всё решение этой проблемы.🙂 Конечно, обновить указанный плагин можно было и вручную, но я люблю сервис.

После этого я зашёл в ЭБ (https://lk.budget.gov.ru) И документы стали успешно подписываться. Кстати, электронный бюджет готовят к грандиозному переезду на другие адреса и модули… Видать, опять начнутся вопли и страдания по настройкам. Хотя пока что вход через lk.budget.gov.ru тоже работает.