Типовые ошибки при работе в Chromium GOST

В статье описаны возможные ошибки при работе Chromium GOST и варианты решения проблем.

1) Перезагрузка компьютера при входе на страницу lk.budget.gov.ru
Нужно обновить КриптоПРО CSP до версии КриптоПРО CSP 4.0.9944 или выше.

1а) Ошибка при открытии страницы https://lk.budget.gov.ru или https://lk2012.budget.gov.ru :

Этот сайт не может обеспечить безопасное соединение
На сайте lk2012.budget.gov.ru используется неподдерживаемый протокол.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Неподдерживаемый протокол
Клиент и сервер поддерживают разные версии протокола SSL или набора шифров

Варианты ошибок и решение проблемы:

1.1 Не установлен КрипоПРО CSP на рабочей станции.
Решение:
Установить КриптоПРО CSP 4.0.9944 или выше версия.
В первом сообщении темы, пункт «1.0 КриптоПРО CSP и ЭЦП Browser Plug-in»

1.2 Ошибка может возникать, когда антивирус подменяет сертификат сайта своим сертификатом
что приводит к ошибке при работе с сайтами, которые используют сертификаты с ГОСТ алгоритмами электронной подписи, ссылка на сообщение на сайте КриптоПРО
Чтобы проверить это откройте в Internet Explorer страницу https://cryptopro.ru , нажмите на пиктограмму замка (в конце адресной строки), потом на ссылку «Просмотр сертификатов» в появившемся окне.

Если на вкладке Общие в строке Кем выдан стоит значение в котором присутствует слово Kaspersky или название другого антивируса, то это значит, что антивирус подменяет сертификаты веб-сайтов своим сертификатом.

Необходимо отключить эту функцию антивируса (она обычно называется «Проверять защищенные соединения» или «https/ssl» фильтрация).

1.2.1 Может блокировать антивирус Касперский KES11, https соединения (или другой антивирус)
Решение для Касперского KES11:
Чтобы можно было зайти на защищённые соединения https://
Настройка
Общие параметры
Параметры сети

Можно отключить:
[ ] Проверять защищённые соединения
либо при включённой проверке,
настроить Доверенные домены
(в KES11.4 название — Доверенные адреса), добавить:
gov.ru
minfin.ru
1.2.2 Может блокировать антивирус Eset Nod32 Antivirus, https соединения
Eset Nod32 Antivirus — то же самое. Легко диагностируется описанным выше способом (сертификат, издатель)
Решается отключением сканирования :
Расширенные настройки — Интернет и электронная почта- SSL/TLS = отключить

2) Ошибка при открытии страницы https://lk.budget.gov.ru или https://lk2012.budget.gov.ru :

Не удается получить доступ к сайту
Веб-страница по адресу https://lk2012.budget.gov.ru/, возможно, временно недоступна или постоянно перемещена по новому адресу.
ERR_FAILED

Варианты ошибок и решение проблемы:

2.0 Временная Лицензия КриптоПРО на 3 месяца закончилась

2.1 Не установлен личный сертификат пользователя
Установить сертификат в хранилище сертификатов: Текущий пользователь — Личное

2.2 У сертификата пользователя, установленного в хранилище личное, закончился срок действия сертификата

2.3 У Контейнера закрытого ключа, закончился — Срок действия закрытого ключа, но срок действия сертификата ещё не закончился
Можно проверить и перевести системную дату назад в компьютере, на дату когда «Срок действия закрытого ключа» ещё не закончился,
Если не помогло, то лучше выполнить пункты 2.3.1 или 2.3.2

2.3.1 Можно пересоздать контейнер закрытого ключа, чтобы «Срок действия закрытого ключа» продлился.
Проверить дату окончания действия закрытого ключа через:
КриптоПРО CSP -> вкладка Сервис -> [ Протестировать ]
Выбрать ключевой контейнер пользователя -> [ Далее ]
Срок действия закрытого ключа

Если срок действия сертификата ещё не закончился, можно пересоздать контейнер закрытого ключа,
чтобы «Срок действия закрытого ключа» продлился.

Перед выгрузкой нужно перевести системную дату назад в компьютере,
на дату когда «Срок действия закрытого ключа» ещё не закончился,
иначе нельзя будет выгрузить такой контейнер.

Под пользователем с правами Администратора
В правом нижнем углу кликнуть правой кнопкой мыши по часам, в меню выбрать
[Настройка даты и времени]

Windows 7
[Изменить дату и время …]
Выбрать дату и нажать [ OK ]

Windows 10
Установить время автоматически (ОТКЛ)
Установка даты и времени в ручную
[ Изменить ]
Выбрать дату и нажать [ Изменить ]

После всех манипуляций с контейнерами, не забыть вернуть правильную дату.
Нужно будет выгрузить контейнер закрытого ключа в файл с расширением .pfx и затем восстановить контейнер из этого файла,
Новый восстановленный контейнер закрытого ключа будет без установленного сертификата в контейнере, поэтому потом нужно будет ещё установить сертификат в новый контейнер.


Выгрузить в виде файла с расширением .pfx

Пуск-КриптоПРО-Сертификаты пользователя
Личное -> Сертификаты
Правой кнопкой мыши на сертификате
Все задачи — Экспорт
Далее -> [x] Да, экспортировать закрытый ключ
-> Далее

Экспортировать все расширенные свойства
-> Далее
Задать пароль -> Далее
Задать Имя файла -> Далее
-> Готово


Для восстановления ключа из файла с расширением .pfx на флешку или в реестр

Нужно два раза кликнуть по файлу .pfx
-> Далее -> Далее
Ввести пароль, который был задан при создании файла .pfx

Пометить этот ключ как экспортируемый, что позволит сохранять архивную копию ключа и перемещать его

Включить все расширенные свойства
-> Далее
-> Далее
Выбрать флешку или реестр, куда восстановить контейнер закрытого ключа
(Имя нового контейнера может быть сгенерировано автоматически,
Например: «35417245-1369-4fb1-91dc-bdfa5cab4d81».)

Если требуется задать пароль для контейнера закрытого ключа
-> ОК


Установка сертификата в новый контейнер

через КриптоПРО CSP -> вкладка Сервис -> [ Установить личный сертификат]
выбрать сертификат через [ Обзор ], -> [ Далее ] -> [ Далее ]
выбрать новый созданный контейнер через [ Обзор ] (если искать автоматически может выбраться не тот контейнер)
[ Далее ]

Установить сертификат(цепочку сертификатов) в контейнер
Далее — Готово (Если спросит заменить, то нажать ДА)


!!! ВНИМАНИЕ !!! Не забыть вернуть правильную дату на компьютере.
2.3.2 Отключить в КриптоПРО контроль — Срок действия закрытого ключа

2.4 При входе на сайт Не появляется список сертификатов пользователей установленных в Личное
Не появляется список сертификатов пользователей установленных в Личное,
хотя сертификаты пользователя установлены в хранилище сертификатов: Текущий пользователь — Личное,
и не просрочены сами сертификаты и даты окончания закрытого ключа.
в Internet Explorer аналогичная ошибка может выглядеть,

Например, как:

Не удается отобразить эту страницу
Включите протоколы TLS 1.0, TLS 1.1 и TLS 1.2 в разделе «Дополнительные параметры» и снова попробуйте подключиться к веб-странице https://fzs.roskazna.ru . Если ошибка повторяется, возможно, этот сайт использует неподдерживаемый протокол или комплект шифров, например RC4, который не считается безопасным. Обратитесь к администратору сайта.

Решение:
Ошибка может быть связан с проблемами в крипропровайдере КриптоПРО CSP
1] Самое простое решение Восстановить КриптоПРО CSP
Панель управления — Удаление программы
Выбрать «КриптоПРО CSP» и нажать вверху кнопку [ Восстановить ]
Затем нужно Перезагрузить ПК
2] Можно попробовать восстановить связку КриптоПРО и браузера,
Выполнить в командном окне с правами Администратора, команды:

regsvr32 /u cpcng.dll
regsvr32 cpcng.dll

3] Когда не помогло Восстановление КриптоПРО и перерегистрация библиотеки cpcng.dll ,
можно Переустановить только КритпоПРО,


В случае неудачи (когда ошибка сохраняется), лучше всё переустановить.
Удалить все продукты Кода Безопасности и КриптоПРО с удалением следов в реестре и на диске, и установить заново.
По инструкции:
!Порядок полного удаления КриптоПро и Кода Безопасности.zip
ссылка для скачивания yadi.sk/d/PAjg5CRY8EqaQA

3) Ошибка при открытии страницы https://lk.budget.gov.ru или https://lk2012.budget.gov.ru :

HTTPS-прокси. Ошибка сертификата
Сертификат имеет неправильное назначение
Сертификат отозван
Время действия сертификата еще не наступило
Срок действия сертификата истёк

3.1 С 1 августа 2020 в Электронный бюджет нужно заходить через lk.budget.gov.ru
(вход в ЭБ через lk2012.budget.gov.ru — не работает)

3.2 В файле hosts для lk.budget.gov.ru ошибочно прописан IP адрес от lk2012.budget.gov.ru
Решение:
Нужно прописать правильный IP адрес 95.167.245.91 для lk.budget.gov.ru
или удалить все строки с lk.budget.gov.ru и lk2012.budget.gov.ru
(иногда в файле хост у пользователей можно встретить несколько строк lk.budget.gov.ru).
Откройте на редактирование файл hosts
c:\Windows\System32\drivers\etc\hosts
(правой кнопкой мыши Открыть, выбрать Блокнот)
Проверьте записи для lk.budget.gov.ru и lk2012.budget.gov.ru,
если есть удалите. После редактирования файла hosts в Блокноте, сохраните изменения нажав Ctrl+S или при закрытии окна Блокнота нажать на кнопку [ Сохранить ]


в командном окне cmd.exe
команда ping в интернет сети
ping lk.budget.gov.ru
должна показывать IP 95.167.245.91

ping lk2012.budget.gov.ru
должна показывать IP 94.25.27.229

(Для УФК и ОФК в сети ЗКВС другой IP адрес для lk.budget.gov.ru)

4) На странице https://lk.budget.gov.ru не отображается содержимое какого либо пункта ЭБ
Белый фон и ничего не происходит
Например на вкладке Рабочие места в разделе Казначейское сопровождение -> Лицевые счета, или ПИАО -> ПИАО

Chromium GOST не хочет использовать смешанный контент, когда на страницах https открывается http контент.
Если заходить в ЭБ используя Континент-TLS по http ссылке http://lk.budget.gov.ru такой ошибки не возникает.

Решение:
Для ПИАО можно зайти в ЭБ-ПИАО по другой ссылке https://lk.budget.gov.ru/piao
с помощью ярлыка «ЭБ ПИАО CG.lnk»


Для Лицевых счетов, требуется разрешить использовать смешанный контент в Chromium GOST Нужно в параметры запуска chrome.exe добавить ключ

--allow-running-insecure-content

и добавить lk.budget.gov.ru в список разрешённых доменов где можно использовать смешанный контент

Например, в свойствах ярлыка «ЭБ CG.lnk», добавить в конец через пробел ключ —allow-running-insecure-content

%UserProfile%\AppData\Local\Chromium\Application\chrome.exe -no-default-browser-check https://lk.budget.gov.ru/udu-webcenter --allow-running-insecure-content

Добавление lk.budget.gov.ru в список разрешённых доменов, где можно использовать смешанный контент
Открыть ссылку в Chromium GOST
Chrome://net-internals

Выбрать слева
Domain Security Policy

В разделе
Add HSTS domain

в поле Domain:
вставить
lk.budget.gov.ru
Чек бокс Include subdomains for STS оставить пустой
Include subdomains for STS [ ]
нажать Add

Add HSTS domain
Input a domain name to add it to the HSTS set:
Domain: lk.budget.gov.ru
Include subdomains for STS: [ ]

Можно было вставить budget.gov.ru и Отметить
Include subdomains for STS [ v ]
тогда это правило будет действовать например на lk.budget.gov.ru и buh2012.budget.gov.ru
но лучше указать конкретный домен

Проверить настроки домена можно в разделе
Query HSTS/PKP domain
в поле Domain:
вставить
lk.budget.gov.ru
и нажать Query

Результатом будет

Found:
static_sts_domain:
static_upgrade_mode: UNKNOWN
static_sts_include_subdomains:
static_sts_observed:
static_pkp_domain:
static_pkp_include_subdomains:
static_pkp_observed:
static_spki_hashes:
dynamic_sts_domain: lk.budget.gov.ru
dynamic_upgrade_mode: FORCE_HTTPS
dynamic_sts_include_subdomains: false
dynamic_sts_observed: 1597827354.378033
dynamic_sts_expiry: 1684227354.379606

Если нужно удалить доменную политику
в конце страницы, раздел:
Delete domain security policies
вставить
lk.budget.gov.ru
и нажать Delete

5) При входе в Электронный бюджет, ошибки на странице в Chromium GOST:

502 Bad Gateway

или

404 Not Found

The requested URL /oam/server/auth_cred_submit was not found.

Решение:

Можно — Удалить все данные о просмотренных страницах — Очистить историю

клавишами Ctrl+Shift+Delete
или
через прямую ссылку:
chrome://settings/clearBrowserData
или
В браузере Chromium GOST нажать вверху справа три вертикальные точки (вместо трёх точек может быть (!) ),
Дополнительные инструменты -> Удалить все данные о просмотренных страницах

Очистить историю -> вкладка Основные настройки
Временной диапазон — выбрать Всё время

  • История браузера
  • Файлы cookie и другие данные сайтов
  • Изображения и другие файлы, сохранённые в кеше

[Удалить данные]
Перезайти в браузер, и проверить вход в ЭБ

Источник: sedkazna.ru

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *