Авторизация в ESIA на сервере терминалов с ЭЦП по ГОСТ-2012

  • Tutorial
Добрый день, Хабровчане.

Коллеги работающие в сфере гос. закупок уже успели испытать на себе обязательное требование правительства касательно использования носителей с электронно цифровой подписью ГОСТ Р 34.10-2012. Использование ЭЦП по новому ГОСТу является обязательным с 1 января 2019 года, и для работы на порталах zakupki.gov и gosuslugi.ru выпустить ЭЦП по ГОСТ 2001 уже невозможно, а после 1 января 2020 года поддержка ЭЦП по старому ГОСТ будет прекращена полностью.

Как часто это бывает гос. сайт к 1 января 2018 оказался готов но не полностью.

Для работы с ЭЦП по ГОСТ 2012 необходимо установить “плагин для работы
с порталом государственных услуг” версии 3.0.3.0 или 3.0.6.0, но в отличии от версии плагина 2.0.6.0 новые версии не поддерживают работу с UNC путями (это мы выяснили в процессе многочисленных нездоровых экспериментов с разными версиями плагинов), и если вы как и мы используете перемещаемые профили, то авторизация на сайте работать у вас не будет; причем работать она не будет ни в одном браузере: IE, Google Chrome, Mozilla Firefox и даже Crypto Fox.

Длительные переписки с поддержкой гос. услуг, крипто про и контур.экстерн к сожалению ничем не помогли, специалисты технической поддержки сайта государственных услуг так вообще оказались крайне не компетентны.

Собственно хватит слов займемся делом.

Для работы с сайтом гос. Услуг по ГОСТ 2012 с переносимыми профилями по сути необходимо сделать 3 действия.

  • Полностью удалить плагин старой версии и вычистив остатки в системе.
  • Установить плагин версии 3.0.6.0 для 32 битных систем, даже если вы используете 64 разрядную ОС, скопировав локально папку с плагином из appdata.
  • Вручную отредактировать реестр.

Не забываем что для совершения следующих действий с IFCPlugin пользователю необходимо дать права локального администратора машины.

  • Удаление плагина.

Удаляем плагин любым доступным способом: через установку удаление программ.
Через запуск msi той версии которая у вас установлена (версию можно посмотреть в
Надстройках IE или в папке профиля пользователя.

Пример: contoso.com\dfs\Profiles\AppData\Roaming\Rostelecom\IFCPlugin\3.0.6.0)
С помощью wmic. CMD → wmic → product get name → product where name=”name of program” call uninstall → Y

Удаляем целиком папку “Rostelecom” из переносимого профиля. Пример: \\contoso.com\dfs\Profiles\%UserName%\AppData\Roaming\Rostelecom
В реестре удаляем все остатки включающие в себя “IFCPlugin” из ветки “HKCU”.

Также желательно очистить кеш Internet Exprorer. Открываем IE, нажимаем Ctrl+Shift+Del, подтверждаем.

  • Скачать и установить 32-bit IFCPlugin.msi плагин версии 3.0.6.0.

После установки необходимо скопировать папку из переносимого профиля пользователя локально на сервер например из:
\\contoso.com\dfs\Profiles\%UserName%\AppData\Roaming\Rostelecom
В
C:\Users\%UserName%\AppData\Roaming\Rostelecom

  • Редактирование реестра.

Теперь самое интересное, необходимо найти в реестре все значения включающие в себя \\contoso.com\dfs\Profiles\%UserName%\AppData\Roaming\Rostelecom и поменять их на C:\Users\%UserName%\AppData\Roaming\Rostelecom

У вас должно получиться от 6 до 9 замен.

Все готово!

Коллеги, всех поздравляю, плагин для работы на сайтах с авторизацией через ESIA теперь работает.

  • Автор данной идеи инженер с 10 летним опытом работы в телекоммуникациях Мирошкин Андрей.

Тестирование, мучения, и реализация:

  • Автор данной статьи Карин Илия, системный администратор, повидавший еще не такие девиации в мире IT.
  • И Лобков Кирилл, системный администратор, с широчайшим кругозором и опытом работы от монтажника СКС до Enterprise системного администратора.

P.S. Да это костыль, причем ужасный, я против подобного, но на момент написания данной статьи другого решения ни я ни мои коллеги найти не смогли, тех. поддержка так же ничего не предложила.

P.P.S. О наличии версии административной версии плагина которая устанавливается для всех пользователей мне известно, но с пол пинка она не заработала, точнее нам удавалось запустить пользователя с административным 64 битным плагином, но добиться стабильной работы и предсказуемого поведения не удалось, а саботировать работу всех пользователей на сервере терминалов затея плохая, лучше уж ручным трудом по одному. Если же у вас уже была установлена административная версия плагина, то потребуется чистка и других веток реестра.
Поделиться публикацией

Комментарии 36

  • НЛО прилетело и опубликовало эту надпись здесь
      0
      Да есть такое.
      3 дня мучались с плагином, и неделю с тех. поддержкой.
    • НЛО прилетело и опубликовало эту надпись здесь
        0
        Ну на сайте у них даже есть версии плагина под deb, rpm и mac os, я с ужасом представляю что там происходит, но как есть, деваться то некуда.
      • НЛО прилетело и опубликовало эту надпись здесь
          0
          Да все также причем первые 5 ответов это копи пасты ссылок на инструкцию и стандартные советы.
          +1
          А если еще вспомнить браузер Спутник от Ростелекома с его Сталкером и Рекламоотводом, то вообще полный alles kaput…
            0
            Да уж, но там денег отмыли и все норм, все довольны.
            0
            А известно когда прекратиться работа плагина 2.0.6.0? У нас citrix xendesktop и описанный способ вряд ли сможет быть применён.

            Кстати тоже бился с техподдержкой госуслуг — безрезультатно.

            В цифровой подписи ifcplugin.msi есть упоминание конторы rtlabs.ru (возможно они разрабатывали данный плагин).
            Возможно, кто-то из сотрудников данной компании читает хабр и сможет помочь с данной проблемой или обратит внимание разработчиков.
              0
              Плагин 2.0.6.0 впринципе не видит ключи по новому ГОСТ 2012, то бишь как только вам потребуется обновить текущему сотруднику ЭЦП или выпустить новому, вы столкнетесь с аналогичной проблемой.
              Могу лишь рекомендовать поднять тестовую машину и по экспериментировать.
              А я сейчас напишу письмо в rtlabs =)
              0
              Использование ЭЦП по новому ГОСТу является обязательным с 1 января 2019 года
              Ошибочное утверждение.
                0
                Не совсем уж и ошибочное.

                С 1 января 2019 года в соответствии с выпиской из документа ФСБ России от 31.01.2014 № 149/7/1/3-58 «О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования», реализована возможность подписания пользователем ЕИС информации и документов электронной подписью с использованием квалифицированного сертификата, созданных в соответствии со стандартом ГОСТ Р 34.10-2012 в личных кабинетах заказчиков и иных лиц по 223-ФЗ, а также возможность приема из внешних систем информации и документов, подписанных электронной подписью с использованием квалифицированных сертификатов, в соответствии со стандартом ГОСТ Р 34.10-2012.
                Таким образом, с 1 января 2019 года в личном кабинете 223-ФЗ в ЕИС подписание информации и документов будет осуществляться с использованием КриптоПро ЭЦП Browser plug-in версии 2.
                Заказчикам и иным лицам, на которых распространяется действие Закона № 223-ФЗ, не установившим данный плагин до настоящего времени, необходимо установить его в соответствии с инструкцией, доступной по ссылке.
                Для поддержки подписания документов с использованием квалифицированного сертификата, созданного в соответствии со стандартом ГОСТ Р 34.10-2012, пользователям необходимо использовать обновление версии «КриптоПро CSP» 4.0 (сборка 4.0.9944).
                Важно! На основании письма Федеральной службы безопасности Российской Федерации от 07.09.2018 №149/7/6-363 возможность использования схемы электронной подписи по ГОСТ Р 34.10-2001 продлена, в связи с чем, пользователи, имеющие действующий сертификат электронной подписи, выпущенный в соответствии с ГОСТ Р 34.10-2001, смогут продолжить работу в ЕИС с использованием действующего сертификата до 31 декабря 2019 года, либо до окончания действия сертификата.
                  0
                  Получал ЭП 16 января 2019 года в УФК 2 штуки.
                  Плюс в вашем же сообщении указано:
                  возможность использования схемы электронной подписи по ГОСТ Р 34.10-2001 продлена
                  так что вполне себе ошибочно.
                    0

                    Не знаю как вы смогли выпустить ЭЦП по ГОСТ 2001, это по идее не законно.
                    В полемику насчёт ошибочности моего утверждения я вступать не стану, пусть будет так.

                      0
                      Выпуск эцп теперь делается напрямую через сайт УФК. Там возможность выбора ГОСТа не только не убрали, но по телефону советуют выбирать старый, мол с 2012 баги на сайте закупок всплывают рандомные.
                        0
                        Не знаю не знаю, может если выпускать не для торгов по 223, а для чего то другого то и можно, но нам Контур совершенно однозначно дал понять что сейчас возможен выпуск ЭЦП только по ГОСТ2012.
                0
                Как правильно создать такой вход на своем сервере?
                Обычно сайт запрашивает один из установленных в системе или браузере персональных сертификатов пользователя. Потом на сервере достаем сертификат из запроса и проверяем. Какую роль играет плагин?
                Возможно ли доверять сертификату, который был выпущен одним из тысяч УЦ и может быть уже отозван минуту назад?
                  0
                  Плагин нужен для того что бы браузер увидел сертификат записанный на носителе электронно цифровой подписи, на zakupki.gov обычного сертификата не хватит, нужна усиленная ЭЦП выпущенная сертифицированным УЦ.
                  На такой ЭП записаны персональные данные сотрудника (паспорт рф), выпускается она только при наличии доверенности от руководителя организации, с заверенными копиями снилс и паспорта.
                  По мимо этого требуется прикрепить лк сотрудника на сайте гос. услуг к организации используя учетку генерального директора либо администратора организации. Потом прописать роли сотрудника и права на закупках.
                  Проверка ЭП на соответсвие ее базе гос. услуг проходит как в момент авторизации так и при подписании электронных документов на закупках.
                  Доверять такой ЭП не просто можно, мы обязаны доверять ей по закону РФ, что бы вы понимали закупка того же угля/мазута для отопления на сумму 5-10-20 и более млрд. руб. будет подписываться именно такой ЭП.
                  0
                  Подскажите, а какой кейс использования авторизации на сервере терминалов в ЕСИА?
                    0

                    Что именно вы имеете ввиду?
                    Есть юзеры, они работают на сайте zakupki.gov размещают закупки, проводят все необходимые действия для проведения тендера. Авторизация там через esia, каждое действие и документ подписывается с ЭЦП.

                      0
                      ГОСЫ… win7x64 IE11 КриптоПро 4.0 ЭП2001 Браузер плагин 2.0 Все работает без танцев с бубном.

                      Контора на аутсорсе. Участники закупок. Win7x64 КриптоПро 4.0 ЭП2001 Браузер плагин 2.0 Заходят и через ЕСИА и просто так. Опять таки без танцев с бубном.

                      Мне не понятно необходимость вышеописанного в статье.
                        0
                        Прочитайте еще раз статью, только внимательно.
                        Вы судя по всему многого не знаете, либо не было шанса поработать с чем то отличным от толстых клиентов.
                    0
                    Вот честно, сколько работаю в ИТ, но вот реализация ЭЦП на сайтах гос. структур просто ужас какой-то. Я представляю с какой ненавистью смотрят пользователи на эти системы. В районах далеких от центров и не очень, где нет специалистов, как все это настроить, чтоб тупо работало? Еще обычно солянка, для разных систем и чтоб все работало на одном компьютере, вообще кошмар. zakupki.gov.ru через одно, сбербанк через другое, budget.gov.ru через третье. Где-то прокси надо, где-то vpn свой, где-то только работает через IE с его activex, для другой системы еще плагин такой-то, версия такая-то, в другой системе чтоб сменить пользователя надо убить процесс. Вот как весь этот винегрет называется? И вот когда все это на одном компе и что-то начинает глючить, туши свет, танцы с бубном, переустановка плагинов, чистка веток реестра, переустановкой сертификатов, ползание по форумам со стонами обычных пользователей — доколе…
                      0
                      Коллега, я в таком случае поступаю проще: пользователю KVM в руки, и под каждую задачу: zakupki, budget, АСТ ставлю отдельную машинку. Да, согласен, это совсем НЕ удобно, но это действенный способ оградить себя от проблем несовместимости этого «винегрета»
                        0

                        Храни вас UEFI с BIOSом в придачу, квм юзерам и несколько машин, у меня тоже куча площадок и т.п. но я с ужасом представляю офис по вашей схеме, у меня человек 70-80 работает с разными гос. софтинками, тут или нужно поднимать vdi, Citrix desktop, или VMware Horizon, или как у меня куча терминалов и если юзеру нужно несколько не совместимых софтин, то у него несколько виртуальных рабочих столов и он одновременно залогинен где ему надо на одном виртуальном рабочем столе у него может быть 2008r2, да простит меня прогресс, на другом 2016, а на третьем windows 10, рабочие столы синхронизированы, папки профиля тоже, настройки почты, принтеры и т.п. также, hotkey и он на 2008r2 клац и через секунду уже на 2016.

                          0
                          Что-то я не представляю это в каком-нибудь райцентре, в какой-нибудь бюджетной конторе (как пример, местной администрации покупающей уголь для местной котельной)… хорошо еще если там будет кто-то, кто хотя бы винду ставить умеет, да принтеры подключать.
                            0
                            Сейчас в местных администрациях каждый маломальский отдел старается стать муниципальным казенным учреждением: со своей кормушкой и ручным распилом.
                              0
                              Эх, а мы тут о высоком, об ИТ и автоматизации.
                          0
                          Бюджетнику столько компов не дадут ))) там дефицит обычно
                          +1

                          Что бы не говорили российский софт отвратителен, да и многие системы придуманы для усложнения схем бюрократии, фактической пользы нет, лишь миллионы лишних человеко часов.

                            0
                            Еще и костылями прибит к ПО, чтоб ну хоть как-то работало…
                          0

                          А зачем дфс? Почему нельзя просто выделить локальный логический том для хранения контейнеров? Ну и права разграничить пользователям

                            0
                            Потому что тогда теряется смысл переносимых профилей.
                            Юзер должен получать свой профиль вне зависимости от того на какой терминальник он залогинился, а сами терминалы не должны засоряться лишними данными профилей юзеров локально.
                            0

                            А веселое сочетание КриптоПро 4 CSP и Vipnet 4 CSP, но без перемещаемых профилей — встречалось?
                            Не хочет запускаться :((

                              0
                              Благо миновало. Так что к сожалению подсказать ничего не могу.
                              0
                              Мы устанавливаем пакет с параметром INSTALLDIR
                              msiexec.exe -i IFCPlugin.msi INSTALLDIR="C:\temp\IFCPlugin"

                              и в реестр лезть не надо)

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                              Самое читаемое