руководство АДМИНИСТРАТОРА
по НАСТРОЙКЕ подключениЯ к ресурсам портала
ООО СК «АЛЬЯНС ЖИЗНЬ»
наименование документа
Москва, 2016
Содержание
Перечень сокращений 5
1 Требования по подключению к порталу Альянс-Жизнь 6
2 Подготовка АРМ пользователя 7
3 Установка программного обеспечения на АРМ пользователя 8
4 Получение сертификата пользователя в аккредитованном УЦ 18
5 Установка сертификатов 19
5.1 Установка сертификата пользователя 19
5.2 Установка корневого сертификата УЦ, выдавшего сертификат «Сервера Континент TLS» 20
6 Перечень возможных проблем с подключением через «Континент TLS VPN Клиент» и способы их решения 22
6.1 Ошибка сертификата 22
6.2 Ошибка 403. Доступ запрещен. Не найден актуальный список отозванных сертификатов 22
6.3 Пустое окно выбора сертификата 23
Перечень сокращений
АРМ
|
–
|
Автоматизированное рабочее место
|
ПО
|
–
|
Программное обеспечение
|
УЦ
|
–
|
Удостоверяющий центр
|
СКЗИ
|
–
|
Средство криптографической защиты информации
|
-
Требования по подключению к порталу Альянс-Жизнь
Для подключения к ресурсам портала ООО СК «Альянс Жизнь» необходимо выполнить следующие действия:
подготовить автоматизированное рабочее место (далее – АРМ) пользователя в соответствии с настоящим Руководством;
скачать и установить на АРМ пользователя средство криптографической защиты (далее – СКЗИ) «Континент TLS VPN Клиент» (версия 1.0);
получить в аккредитованном УЦ сертификат пользователя (открытый ключ) и токен (закрытый ключ);
установить полученный сертификат пользователя в локальное хранилище сертификатов Windows на АРМ пользователя;
скачать корневой сертификат (цепочку сертификатов) Удостоверяющего центра (далее – УЦ), выдавшего сертификат «Сервера Континент TLS», и установить его в локальное хранилище сертификатов Windows на АРМ пользователя.
-
Подготовка АРМ пользователя
Для обеспечения подключения к ресурсам портала Альянс-Жизнь требуется выделить АРМ пользователя, удовлетворяющее требованиям к СКЗИ «Континент TLS VPN Клиент», приведенным ниже.
При использовании СКЗИ «Континент TLS VPN Клиент» к АРМ пользователя предъявляются следующие требования:
операционная система: Microsoft Windows (XP, Vista, 7, 8);
процессор, оперативная память: в соответствии с требованиями операционной системы, установленной на АРМ;
жесткий диск (свободное пространство): 15 Мб;
веб-браузер: любой веб-браузер;
-
поддерживаемые ключевые носители:
USB-ключи eToken PRO (Java);
USB-ключи Rutoken S;
-
Установка программного обеспечения на АРМ пользователя
Для подключения к защищаемым ресурсам портала Альянс-Жизнь необходимо установить СКЗИ «Континент TLS VPN Клиент» на АРМ пользователя.
Внимание! Все действия по установке ПО, описанные в разделе Error: Reference source not foundвыполняются под учетной записью пользователя, входящего в группу локальных администраторов операционной системы.
Для установки СКЗИ «Континент TLS VPN Клиент» выполните следующие действия:
-
Загрузите дистрибутив СКЗИ «Континент TLS VPN Клиент» с сайта производителя (ftp://ftp.securitycode.ru/vendor-support/5.tls/1.0.920.0.rar).
Запустите установочный файл ContinentTLSSetup.exe. На экране отобразится окно выбора устанавливаемых компонентов (см. Рисунок 1).
Рисунок 1 – Окно выбора устанавливаемых компонентов Континент TLS VPN клиент
Для установки Windows Installer нажмите соответствующую ссылку левой кнопкой мыши и следуйте дальнейшим указаниям установщика. Выберите «Принимаю» на предложенное лицензионное соглашение, нажмите кнопку «Далее». По окончании установки нажмите кнопку «Завершить». В случае появления диалога о необходимости перезагрузки АРМ пользователя ответьте положительно, выполните перезагрузку АРМ. В случае если ПО Windows Installer уже установлено на АРМ пользователя, пункт меню данного компонента будет отмечен пиктограммой галочки. В таком случае перейдите к установке драйвера ключевого носителя (Rutoken или eToken, версия носителя указана на его корпусе).
Для установки драйвера носителя типа Rutoken активируйте ссылку Rutoken в едином меню установщика ПО «Континент TLS VPN Клиент». Запустится программа-установщик драйвера Rutoken. Нажмите кнопку «Далее», затем – кнопку «Установить». После завершения установки будет выведено сообщение об успешной установке драйверов. Нажмите кнопку «Готово». В случае появления диалога о необходимости перезагрузки АРМ пользователя ответьте отрицательно.
Для установки драйвера носителя типа eToken активируйте ссылку eToken в едином меню установщика ПО «Континент TLS VPN Клиент». Запустится программа-установщик драйвера eToken. Нажмите кнопку «Next». На экране появится диалог выбора языка, который будет использован в устанавливаемом ПО. На экране появится окно лицензионного соглашения. Выберите пункт «I accept the license agreement» и нажмите кнопку «Next». На экране появится диалог выбора пути установки компонентов устанавливаемого ПО. Оставьте путь установки по умолчанию либо измените на необходимый. Нажмите кнопку «Next». Начнется установка программы и драйверов. После завершения установки будет выведено сообщение об успешной установке драйверов. Нажмите кнопку «Finish». Окно установщика драйверов будет закрыто. В случае появления диалога о необходимости перезагрузки АРМ пользователя ответьте отрицательно.
Далее активируйте ссылку ««Континент TLS VPN Клиент» в едином меню установщика ПО «Континент TLS VPN Клиент». На экране отобразится стартовое окно мастера установки компонента (см. Рисунок 2).
Рисунок 2 – Приветственное окно «Установка Континент TLS Клиент»
Нажмите «Далее». На экране появится окно лицензионного соглашения. Поставьте отметку в поле «Я принимаю условия лицензионного соглашения» и нажмите кнопку «Далее».
На экране появится диалог выбора пути установки ПО «Континент TLS VPN Клиент». Оставьте путь установки по умолчанию. Нажмите кнопку «Далее» (см. Рисунок 3).
Рисунок 3 – Окно выбора папки установки ПО «Континент TLS VPN Клиент»
На экране появится диалог «Запуск конфигуратора». Установите отметку в поле «Запустить конфигуратор после завершения установки» (см. Рисунок 4).
Рисунок 4 – Окно запуска конфигуратора
Нажмите кнопку «Далее». На экране появится окно с сообщением о готовности к установке. Нажмите кнопку «Установить». Начнется установка компонента (см. Рисунок 5).
Рисунок 5 – Окно установки Континент TLS Клиент
На экране отобразится диалог настройки ПО «Континент TLS VPN Клиент» (см. Рисунок 6).
Рисунок 6 – Окно настройки Континент TLS Клиент
Для дальнейшей настройки ПО необходимо:
В разделе «Настройки «Континент TLS VPN Клиент» значение «Порт» оставить по умолчанию, равное 8080.
В разделе «Настройки защищаемого сервера» в поле «Адрес» задать имя сервера TLS (имя указывается без пробелов и прочих посторонних символов, в т. ч. перед и после).
В разделе «Настройки защищаемого сервера» в поле «Сертификат» указать файл сертификата сервера TLS1, скопированный в локальную директорию АРМ пользователя.
Если на АРМ пользователя не используется внешний прокси-сервер, нажать кнопку «ОК». В противном случае указать IP-адрес (не доменное имя) и порт используемого внешнего прокси-сервера организации. Нажать кнопку «ОК».
На экране отобразится диалог завершения установки ПО «Континент TLS VPN Клиент». Нажмите кнопку «Готово».
На экране отобразится диалог о необходимости перезагрузки АРМ пользователя. Нажмите кнопку «Да» (см. Рисунок 7).
Рисунок 7 – Окно с информацией о необходимости перезагрузки АРМ пользователя
После перезагрузки операционной системы настройте веб-обозреватель, выбранный для подключения к порталу Альянс-Жизнь. Настройка браузера зависит от используемого типа веб-обозревателя.
-
Настройка браузера Internet Explorer
Откройте свойства веб-обозревателя.
Перейдите на вкладку «Подключения».
Нажмите кнопку «Настройка сети».
В разделе «Прокси-сервер» задайте следующие поля (см. Рисунок 8):
Адрес: 127.0.0.1;
Порт: 8080.
Рисунок 8 – Окно настройки параметров локальной сети
Нажмите кнопку «ОК».
Перейдите на вкладку «Безопасность».
Выберите «Надежные узлы».
Нажмите кнопку «Сайты».
В окне «Надежные сайты» снимите отметку с поля «Для всех сайтов этой зоны требуется проверка серверов (https:)».
В поле «Добавить в зону следующий узел» укажите адрес сервера TLS в формате http://адрес сервера и нажмите кнопку «Добавить».
В окне «Надежные сайты» нажмите кнопку «Закрыть» (см. Рисунок 9).
Рисунок 9 – Окно настройки надежных сайтов
В окне «Свойства браузера» нажмите кнопку «ОК».
Настройка браузера Google Chrome
Откройте настройки веб-обозревателя.
Перейдите вниз окна настроек и активируйте ссылку «Показать дополнительные настройки».
Нажмите кнопку «Изменить настройки прокси-сервера».
Повторите действия, описанные в п. 4–12 пункта 16 (Настройка браузера Internet Explorer).
Настройка браузера Mozilla Firefox
Откройте меню «Инструменты» и выберите пункт «Настройки».
Перейдите в разделе «Дополнительные» на вкладку «Сеть».
В секции настроек «Соединение» нажмите кнопку «Настроить…».
В открывшемся окне параметров соединения установите значение «Ручная настройка сервиса прокси».
Задайте значение поля HTTP-прокси: 127.0.0.1. Порт: 8080.
Нажмите кнопку «ОК».
В окне «Настройки» нажмите кнопку «Ок».
Добавьте адрес сервера TLS в доверенные узлы аналогично п. 6–12 пункта 16 (Настройка браузера Internet Explorer).
Настройка браузера Opera
Откройте меню «Настройка\Общие настройки».
Перейдите на вкладку «Расширенные», выберите раздел настроек «Сеть».
Нажмите кнопку «Прокси-серверы…».
В открывшемся окне параметров соединения установите значение «Конфигурировать прокси-сервер вручную».
Для протокола HTTP задайте значения полей:
Прокси-сервер: 127.0.0.1;
Порт: 8080.
Добавьте адрес сервера TLS в доверенные узлы аналогично п. 6–12 пункта 16 (Настройка браузера Internet Explorer).
Обратите внимание, что некоторые из перечисленных браузеров (Google Chrome, Opera, Internet Explorer) используют общие системные настройки сети.
Таким образом, изменение настроек прокси в одном из указанных браузеров автоматически распространятся на все браузеры.
Возможно использование браузера с уже встроенными отдельными настройками, не влияющими на подключение в других браузерах. Примером таких обозревателей служит Mozilla Firefox, в настройках прокси которого необходимо прописать адрес и порт в соответствии с инструкцией. При этом остальные браузеры могут быть настроены для штатной работы в сети Интернет.
-
Получение сертификата пользователя в аккредитованном УЦ
Для получения персонального сертификата пользователю необходимо обратиться в аккредитованный удостоверяющий центр ЗАО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР», предоставляющий коммерческие услуги по выпуску сертификатов. Процедура получения персонального сертификата описана на сайте удостоверяющего центра (http://nwudc.ru).
-
Установка сертификатов
Полученный в аккредитованном УЦ сертификат пользователя необходимо установить в локальное хранилище сертификатов Windows.
-
Установка сертификата пользователя
Для установки сертификата пользователя в локальное хранилище сертификатов Windows с помощью консоли mmc необходимо выполнить следующие действия:
В меню «Пуск» – «Выполнить» введите команду «mmc». Загрузится Консоль управления.
В Консоли управления нажмите «Файл» – «Добавить или удалить оснастку».
В открывшемся окне из доступных оснасток выберите «Сертификаты», нажмите кнопку «Добавить», далее выберите пункт «Моей учетной записи пользователя», нажмите кнопку «Готово», затем – кнопку «ОК».
В корне Консоли управления появится ветка «Сертификаты – текущий пользователь». Раскройте ее двойным нажатием левой кнопки мыши (см. Рисунок 10).
Рисунок 10 – Окно сертификатов текущего пользователя
Правой кнопкой мыши нажмите на «Личное», далее «Все задачи» – «Импорт».
Появится окно Мастера импорта сертификатов. В Мастере выберите файл личного сертификата пользователя и завершите импорт.
-
Установка корневого сертификата УЦ, выдавшего сертификат «Сервера Континент TLS»
Для установки корневого сертификата УЦ, выдавшего сертификат «Сервера Континент TLS» необходимо выполнить следующие действия:
Получите корневой сертификат УЦ, выдавшего сертификат «Сервера Континент TLS» (получается в ЗАО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР»).
В открытой Консоли управления нажмите «Файл» – «Добавить или удалить оснастку».
В открывшемся окне из доступных оснасток выберите «Сертификаты», нажмите на кнопку «Добавить», выберите пункт «Учетной записи компьютера» – «Далее», выберите пункт «Локальным компьютером», нажмите кнопку «Готово», затем – кнопку «ОК».
В корне Консоли управления появится ветка «Сертификаты (локальный компьютер)». Нажмите правой кнопкой мыши на папку «Доверенные корневые центры сертификации», далее «Все задачи» – «Импорт» (см. Рисунок 11).
Рисунок 11 – Окно Доверенные корневые центры сертификации
Появится окно Мастера импорта сертификатов. В Мастере выберите файл корневого сертификата УЦ и завершите импорт.
Закройте Консоль управления. На предложение сохранить параметры ответьте «Нет».
В случае если необходимо установить цепочку сертификатов УЦ, не закрывайте Консоль управления после импорта первого сертификата и повторите п. 3–4 для всех сертификатов цепочки. Затем выполните п. 5 раздела 5.2.
-
Перечень возможных проблем с подключением через «Континент TLS VPN Клиент» и способы их решения
-
Ошибка сертификата
Рисунок 12 – Ошибка сертификата
Откройте файл сертификата, перейдите на вкладку «Общие» и убедитесь, что срок действия сертификата уже наступил и еще не истек. В случае если это условие не выполнено, необходимо обратиться в УЦ для перевыпуска сертификата.
Откройте вкладку «Состав», нажмите на «Улучшенный ключ», убедитесь, что присутствует атрибут «Проверка подлинности клиента». В случае если это условие не выполнено, необходимо обратиться в УЦ для перевыпуска сертификата.
В случае если указанные выше условия выполнены, необходимо обратиться к администратору сервера Континент TLS ООО СК «Альянс-Жизнь» с сообщением о том, что корневой сертификат (цепочка сертификатов) Вашего УЦ не загружен на сервер TLS, приложив корневой сертификат (цепочку сертификатов) в архивном файле.
-
Ошибка 403. Доступ запрещен. Не найден актуальный список отозванных сертификатов
Данная ошибка свидетельствует о том, что «Континент TLS VPN Клиент» за отведенное время не смог загрузить список отозванных сертификатов УЦ, выдавшего сертификат защищаемого сервера. Можно установить данный список вручную, следуя приведенной ниже инструкции:
Скачайте актуальный список отозванных сертификатов по ссылке, указанной в сертификате защищаемого сервера (строка «Точки распространения списка отзыва…» на вкладке «Свойства» сертификата).
Далее необходимо установить данный список в локальное хранилище компьютера (действия выполняются под учетной записью пользователя, входящего в группу локальных администраторов операционной системы).
В меню «Пуск» – «Выполнить» наберите команду «mmc». Загрузится Консоль управления.
В Консоли управления перейдите в меню «Файл» – «Добавить или удалить оснастку».
В открывшемся окне из доступных оснасток выберите «Сертификаты», нажмите на кнопку «Добавить», далее выберите пункт «Учетной записи компьютера» – «Далее», выберите пункт «Локальным компьютером», нажмите кнопку «Готово».
В корне Консоли управления появится ветка «Сертификаты (локальный компьютер)». Нажмите правой кнопкой мыши на папку «Доверенные корневые центры сертификации», перейдите на «Все задачи» – «Импорт».
Появится окно Мастера импорта сертификатов. В Мастере выберите файл скачанного списка отозванных сертификатов и завершите импорт.
Если список отозванных сертификатов недоступен по ссылке из браузера, настроенного на подключение к порталу ООО СК «Альянс-Жизнь», необходимо разрешить данный узел на Вашем сетевом оборудовании. Обратитесь к системному администратору для выполнения данных настроек.
-
Пустое окно выбора сертификата
Данная ошибка свидетельствует о том, что сертификат пользователя не установлен в реестр Windows.
Инструкция по установке сертификата в реестр Windows изложена в подразделе Error: Reference source not found.
|
