Инструкция
по установке и настройке средств защиты информации для
работы с Порталом СУФД.
Введение 4
Установка СКЗИ «КриптоПро» версии 3.6 5
1. Работа с АПКШ Континент-АП производится в соответствии с «Программный комплекс "Континент-АП". Руководством пользователя». 15
2. Выдача сертификата ключа аутентификации АПКШ Континент-АП состоит из следующих этапов: 15
- формирование закрытого и открытого ключей аутентификации, файла запроса на получение сертификата аутентификации; 15
- передача запроса на получение сертификата ключа аутентификации на Сервере доступа УФК по РСО-Алания; 15
- получение и регистрация сертификатов в Программном комплексе Континент-АП; 15
- формирование закрытого и открытого (файла запроса на получение сертификата) ключей аутентификации. 15
- формирование ключей аутентификации производится на рабочей станции, определенной как абонентский пункт АПКШ «Континент-АП», с установленными на ней: 15
крипто-провайдером «КриптоПро CSP 3.6». 15
программным обеспечением «Континент-АП» версий: 3.3.15.6, 3.4.22.0, 3.5.6.0, 3.6.19.0, 3.6.19.47080. 15
3. Для формирования, закрытого и открытого ключей при использовании «Континент-АП» 15
версии 3.х необходимо: 15
- запустить «Континент-АП» (Пуск – Программы – Информзащита - Абонентский Пункт Континент – Программа Управления). 15
- нажать правой кнопкой мыши по значку «Континент-АП» находящегося в правом нижнем углу экрана 15
- вызвать меню «Сертификаты – Создать запрос на пользовательский сертификат». 15
- в появившемся окне «СКЗИ Континент-АП» заполнить поля: 15
поля Имя сотрудника – указать Ф.И.О администратора информационной безопасности, назначенного приказом о наделении правом электронной подписи 15
Организация, Подразделение, Примечание заполнить наименованием организации (длина поля – 64 символа). 15
поле Регион – РСО-Алания 15
поле Город – местонахождение организации 15
поле страна – RU 15
поле e-mail – рекомендуется указать свой существующий e-mail 15
в поле «Файлы для сохранения запроса на сертификат – электронная форма» указан путь к файлу, в который будет сохранен запрос на издание сертификата ключа аутентификации. 15
Данный файл (файл-запрос с расширением req) необходимо будет передать в УФК по РСО-Алания. 15
поле «Бумажная форма» поставить галочку и выбрать путь для сохранения. 15
4. Для генерации ключа нажать кнопку «ОК». 15
5. В появившемся окне «КриптоПро CSP» необходимо выбрать магнитный носитель для создаваемого ключевого контейнера и нажать кнопку «ОК» (в качестве носителя поддерживаются дискета “3,5”, Touch Memory DS1993 – DS1996, Электронный ключ с интерфейсом USB, Сменный носитель с интерфейсом USB). 15
16
6. После нажатия клавиши «ОК», появится окно «КриптоПро CSP», в котором можно установить пароль на создаваемый ключевой контейнер (пароль должен содержать не менее 6-ти символов, пароль необходимо записать в книгу паролей). 16
Внимание: утерянный пароль на данный ключевой контейнер НЕ ВОССТАНАВЛИВАЕТСЯ! 16
16
16
7. Сформированный запрос на получение сертификата ключа аутентификации в данном случае находится на диске I, контейнер с закрытой частью ключа будет находиться на выбранном ключевом носителе. 16
8. Изготовленный ключевой контейнер подлежит учету в соответствии с «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» введенной в действие приказом ФАПСИ от 13 июня 2001 г. № 152. 16
9. Администратор информационной безопасности предоставляет в Управление Федерального казначейства по РСО-Алания req-файл и распечатанную формой заявки (с внесенными в нее реквизитами приказа и паспортными данными и печатью организации) для получения сертификатов. 16
10. Полученные файлы сертификатов сохраняются на ПЭВМ, на которой установлена программа «Континент-АП». 17
11. Для установки сертификатов необходимо нажать правой кнопки мыши по значку «Континент клиент» находящегося в правом нижнем углу экрана – выбрать меню «Сертификаты – Установить сертификат пользователя». 17
- подключение к сети Интернет имеется, но используется межсетевой экран Windows (брандмауэр Windows в Windows XP) или включена функция межсетевого экрана в таких антивирусах, как Касперский, Avast или Symantec, либо используются иные программные и(или) аппаратно-программные межсетевые экраны. 22
В настройках данных антивирусов или межсетевых экранов необходимо разрешить использование udp-портов 7500 (или как в настройках «Континент-АП) и 4433. 22
ПОРЯДОК формирования ключей аутентификации СКЗИ «Континент-АП», направления запроса на получение сертификата ключа аутентификации, выдачи сертификата………………………………………………………………………..15
Настройка Абонентского пункта……………………………………………..19
Введение
Для работы с порталом АСФК для ДУБП используются следующие средства защиты информации:
1) СКЗИ «КриптоПро CSP»
Инструкция по установке КриптоПро 3.6 приведена в разделе Установка КриптоПро.
2) Континент АП версии 3.5.68.0
Инструкция по установке и настройке Континент АП приведена в разделе Установка и настройка Континента АП.
Установка КриптоПро
Установка СКЗИ «КриптоПро» версии 3.6
Внимание! Перед установкой СКЗИ «КриптоПро» версии 3.6 с рабочего места должны быть удалены все более старые версии СКЗИ «КриптоПро»!
|
Для установки СКЗИ «КриптоПро» версии 3.6 необходимо запустить файл csp-win32-kc1-rus.msi c дистрибутива СКЗИ «КриптоПро». Запустится программа установки СКЗИ «КриптоПро CSP».
В окне приветствия программы установки нажмите кнопку «Далее».
В следующем окне программа установки предлагает ознакомиться с лицензионным соглашением. Прочитайте лицензионное соглашение, затем выберите пункт «Я принимаю условия лицензионного соглашения» и нажмите кнопку «Далее».
В следующем окне необходимо ввести данные о пользователе, ответственном за эксплуатацию СКЗИ (в поле «Пользователь:»), наименование организации (в поле «Организация:») и серийный номер лицензии на право использования СКЗИ «КриптоПро» (в поле «Серийный номер:»).
Серийный номер лицензии указан в карточке учета лицензии. Лицензия на право использование СКЗИ «КриптоПро» может быть предоставлена соответствующим отделом ОРСиБИ Управления Федерального казначейства по РСО-Алания или приобретена организацией самостоятельно.
После заполнения всех полей нажмите кнопку «Далее».
Внимание! Одна лицензия на право использования СКЗИ «КриптоПро» может использоваться только на одном рабочем месте!
Программа установки предложит выбрать вид установки. Выберите пункт «Выборочная» и нажмите кнопку «Далее».
В следующем окне программа установки предлагает выбрать устанавливаемые компоненты программы. Необходимо щелкнуть левой кнопкой мыши по пункту «Совместимость с КриптоПро CSP 3.6» и из контекстного меню выбрать пункт «Данный компонент будет установлен на локальный жесткий диск».
Затем нажмите кнопку «Далее».
В следующем окне программа установки предлагает выбрать библиотеки поддержки. Рекомендуется оставить по умолчанию. СКЗИ «КриптоПро» готово к установке.
Для начала установки нажмите кнопку «Установить».
Программа установки СКЗИ «КриптоПро» приступит к копированию файлов. Дождитесь окончания копирования.
Установка завершена! Нажмите кнопку «Готово» для выхода из программы установки.
Появится сообщение о потребности в перезагрузке компьютера. Нажмите кнопку «Да» для перезагрузки компьютера.
После установки СКЗИ «КриптоПро» и перезагрузки компьютера:
- в элементе управления Windows «Панель управления» появится новый элемент «КриптоПро CSP»;
- в меню «Все программы» главного меню Windows появится подменю «Крипто-Про», которое содержит пункты «КриптоПро CSP», «КриптоПро PKI», «Сертификаты», «Управление лицензиями КриптоПро PKI»;
Для корректной работы ключей, сформированных ранее на других версиях КриптоПро, необходимо удалить запомненные пароли в записях реестра ранее установленных версий КриптоПро:
Установка Континент-АП версии версий 3.x
Аппаратно-программный комплекс шифрования (АПКШ) «Континент-АП» предназначен для безопасной передачи данных через общедоступные (незащищенные) сети. Защита данных обеспечивается криптографическими методами, вследствие чего через общедоступную сеть данные передаются в зашифрованном виде.
АПКШ «Континент» включает в свой состав компоненты, обеспечивающие удаленный доступ пользователей к ресурсам защищенной корпоративной сети с компьютеров, не входящих в защищаемые сегменты сети. На этих компьютерах устанавливается программный комплекс «Континент-АП», который для передачи данных соединяется с компьютером - сервером доступа, проверяющим полномочия на доступ и разрешающим доступ к ресурсам защищенной сети.
Перед установкой абонентского пункта убедитесь, что компьютер удовлетворяет всем требованиям, предъявляемым к аппаратному и программному обеспечению.
Внимание! Перед установкой Континент-АП версии 3.X.XX.XX с рабочего места должны быть удалены все более старые версии Континент-АП!
1. Требования к аппаратному и программному обеспечению:
Абонентский пункт предназначен для использования на компьютерах, оснащенных процессорами семейства INTEL X86 или совместимыми с ними.
Требования к конфигурации компьютеров приведены в Табл. 1.
Элемент
|
Минимально
|
Рекомендуется
|
Процессор
|
Celeron 300 МГц
|
Pentium IV 1,8 ГГц
|
Оперативная память
|
128 Мб
|
512 Мб
|
Жесткий диск (свободное пространство)
|
512 Мб
|
512 Мб
|
Операционная система
|
Windows 2000 Professional (SP4) или Windows XP Professional (SP2 и выше))
|
Установленное ПО
|
Крипто ПРО CSP версии 3.0
MS Internet Explorer версии 6.0 или выше
|
На компьютере должны быть установлены компоненты операционной системы, обеспечивающие работу с сетевыми протоколами TCP/IP.
Для установления соединения необходимо разрешить прохождение UDP трафика к серверу на порт 4433 и от севера к клиенту на порт 7500 (или на тот порт, который указан в настройках Континент-АП: Диспетчер устройств – Сетевые платы – Continent 3 PPP Adapter – Дополнительно – Порт UDP).
2. Установка Абонентского пункта
Войдите в систему с правами администратора компьютера.
Примечание:
Правами администратора компьютера обладает пользователь, входящий в локальную группу администраторов.
Завершите работу всех приложений, выполняющихся на компьютере.
Запустите на исполнение файл Setup.exe, находящийся в каталоге c дистрибутивом Абонентского пункта.
Программа установки начнет выполнение подготовительных действий, и на экране появится сообщение об этом.
Для корректной работы сетевого окружения установите «галку» на пункте «выборочная» установка, на следующем шаге после нажатия кнопки «далее», нажмите на «Межсетевой экран» и выберите пункт «Данный компонент будет недоступен»
После завершения подготовительных действий на экран будет выведен стартовый диалог мастера установки.
Нажмите кнопку «Далее>» для продолжения установки Абонентского пункта
На экране появится диалог, содержащий лицензионное соглашение на использование программного продукта.
Прочтите лицензионное соглашение и, если вы принимаете его условия, поставьте отметку в поле "Я принимаю условия лицензионного соглашения" и нажмите кнопку «Далее>».
Укажите IP адрес сервера доступа:
для подключения
я через Internet 31.173.221.84
или оставьте поле со значением по умолчанию 0.0.0.0 – для последующей настройки. 1
Нажмите кнопку «Далее>»
Нажмите кнопку «Установить»
ВНИМАНИЕ! ДЛЯ КОРРЕКТНОЙ РАБОТЫ ПРОГРАММЫ НЕОБХОДИМО ОТВЕТИТЬ ПОЛОЖИТЕЛЬНО НА ВСЕ ПРЕДУПРЕЖДЕНИЯ, КОТОРЫЕ МОГУТ ПОЯВИТЬСЯ В ПРОЦЕССЕ УСТАНОВКИ ДРАЙВЕРОВ!
После установки Абонентского пункта нажмите кнопку «Готово»
На экране появится запрос на перезагрузку компьютера.
Нажмите кнопку «Да» для немедленной перезагрузки компьютера и начала работы с Абонентским пунктом.
ПОРЯДОК формирования ключей аутентификации СКЗИ «Континент-АП», направления запроса на получение сертификата ключа аутентификации, выдачи сертификата.
1. Работа с АПКШ Континент-АП производится в соответствии с «Программный комплекс "Континент-АП". Руководством пользователя».
2. Выдача сертификата ключа аутентификации АПКШ Континент-АП состоит из следующих этапов:
- формирование закрытого и открытого ключей аутентификации, файла запроса на получение сертификата аутентификации;
- передача запроса на получение сертификата ключа аутентификации на Сервере доступа УФК по РСО-Алания;
- получение и регистрация сертификатов в Программном комплексе Континент-АП;
- формирование закрытого и открытого (файла запроса на получение сертификата) ключей аутентификации.
- формирование ключей аутентификации производится на рабочей станции, определенной как абонентский пункт АПКШ «Континент-АП», с установленными на ней:
крипто-провайдером «КриптоПро CSP 3.6».
программным обеспечением «Континент-АП» версий: 3.3.15.6, 3.4.22.0, 3.5.6.0, 3.6.19.0, 3.6.19.47080.
3. Для формирования, закрытого и открытого ключей при использовании «Континент-АП»
версии 3.х необходимо:
- запустить «Континент-АП» (Пуск – Программы – Информзащита - Абонентский Пункт Континент – Программа Управления).
- нажать правой кнопкой мыши по значку «Континент-АП» находящегося в правом нижнем углу экрана
- вызвать меню «Сертификаты – Создать запрос на пользовательский сертификат».
- в появившемся окне «СКЗИ Континент-АП» заполнить поля:
поля Имя сотрудника – указать Ф.И.О администратора информационной безопасности, назначенного приказом о наделении правом электронной подписи
Организация, Подразделение, Примечание заполнить наименованием организации (длина поля – 64 символа).
поле Регион – РСО-Алания
поле Город – местонахождение организации
поле страна – RU
поле e-mail – рекомендуется указать свой существующий e-mail
в поле «Файлы для сохранения запроса на сертификат – электронная форма» указан путь к файлу, в который будет сохранен запрос на издание сертификата ключа аутентификации.
Данный файл (файл-запрос с расширением req) необходимо будет передать в УФК по РСО-Алания.
поле «Бумажная форма» поставить галочку и выбрать путь для сохранения.
4. Для генерации ключа нажать кнопку «ОК».
5. В появившемся окне «КриптоПро CSP» необходимо выбрать магнитный носитель для создаваемого ключевого контейнера и нажать кнопку «ОК» (в качестве носителя поддерживаются дискета “3,5”, Touch Memory DS1993 – DS1996, Электронный ключ с интерфейсом USB, Сменный носитель с интерфейсом USB).
6. После нажатия клавиши «ОК», появится окно «КриптоПро CSP», в котором можно установить пароль на создаваемый ключевой контейнер (пароль должен содержать не менее 6-ти символов, пароль необходимо записать в книгу паролей).
Внимание: утерянный пароль на данный ключевой контейнер НЕ ВОССТАНАВЛИВАЕТСЯ!
7. Сформированный запрос на получение сертификата ключа аутентификации в данном случае находится на диске I, контейнер с закрытой частью ключа будет находиться на выбранном ключевом носителе.
8. Изготовленный ключевой контейнер подлежит учету в соответствии с «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» введенной в действие приказом ФАПСИ от 13 июня 2001 г. № 152.
9. Администратор информационной безопасности предоставляет в Управление Федерального казначейства по РСО-Алания req-файл и распечатанную формой заявки (с внесенными в нее реквизитами приказа и паспортными данными и печатью организации) для получения сертификатов.
10. Полученные файлы сертификатов сохраняются на ПЭВМ, на которой установлена программа «Континент-АП».
11. Для установки сертификатов необходимо нажать правой кнопки мыши по значку «Континент клиент» находящегося в правом нижнем углу экрана – выбрать меню «Сертификаты – Установить сертификат пользователя».
В появившемся диалоговом окне выбрать файл USER.CER, нажать кнопку «Открыть».
Появится окно, в котором нужно выбрать ключевой носитель с ранее созданным ключевым контейнером для Континент-АП (нажать по нему левой кнопкой мыши, чтобы он выделился), нажать кнопку «ОК».
После этого должно появиться окно:
Если установить сертификат не удается, необходимо убедиться, что системная дата на ПЭВИ указана верно, после чего повторить установку сертификата пользователя.
3. Настройка Абонентского пункта
3.1. Установка Сертификатов.
Нажатием правой кнопки мыши по значку «Континент клиент» находящегося в правом нижнем углу экрана – вызвать меню Сертификаты – Установить сертификат пользователя»
В появившемся диалоговом окне выбрать файл USER.CER, нажать кнопку «Открыть».
По запросу предъявить ключевой носитель с раннее созданным ключевым контейнером для Континент-АП, нажать кнопку «ОК».
3.2. Настройка Соединения Континент.
Нажатием правой кнопки мыши по значку «Континент клиент» находящегося в правом нижнем углу экрана – вызвать меню Настройка – СКЗИ Континент-АП.
На закладке «Общие» нажать кнопку «Другие»
Добавить «Номера телефонов» (указываются IP адреса серверов доступа)
через Internet 31.173.221.84
Нажать кнопку «ОК»
На закладке параметры отметить
«Отображать ход подключения»
«Запрашивать номер телефона» - для возможности выбора подключения (через модемный пул или через Интернет).
3.3. Установка защищенного соединения.
Установить соединение нажатием правой кнопки мыши по значку «Континент клиент» находящегося в правом нижнем углу экрана – вызвать меню Установить\Разорвать соединение – Установить соединение СКЗИ Континент АП
В появившемся диалоговом окне «Подключение к СКЗИ Континент-АП выбрать IP адрес сервера доступа для подключения 31.173.221.84 нажать кнопку «Вызов».
Выбрать сертификат пользователя, нажать кнопку «ОК».
Для удобства работы отметить пункт использовать данный сертификат при следующем подключении.
При первом подключении появится запрос о добавлении сертификата сервера доступа в список разрешенных, нажать кнопку «Да» (в дальнейшем такое сообщение выводится не будет).
При успешном подключении серый значок «Континент клиент» изменит свой цвет на синий
Для отключения от защищаемой сети нажатием правой кнопки мыши по значку «Континент клиент» находящегося в правом нижнем углу экрана – вызвать меню Установить\Разорвать соединение – Разорвать соединение СКЗИ Континент-АП.
ВАЖНО: Для корректой работы с СУФД-порталом требуется наличие высокоскоростного подключения к сети Интернет. Следовательно, при подключении необходимо выбирать 78.25.64.180
- подключение к сети Интернет имеется, но используется межсетевой экран Windows (брандмауэр Windows в Windows XP) или включена функция межсетевого экрана в таких антивирусах, как Касперский, Avast или Symantec, либо используются иные программные и(или) аппаратно-программные межсетевые экраны.
В настройках данных антивирусов или межсетевых экранов необходимо разрешить использование udp-портов 7500 (или как в настройках «Континент-АП) и 4433.
|