Инструкция
по установке и настройке средств защиты информации для
работы с Порталом СУФД.
Москва, 2016
Введение 5
Установка СКЗИ «КриптоПро» версии 3.6 6
(3.3.15.2, 3.3.15.6, 3.4.22.0, 3.5.2.0, 3.6.xx.xxx) 12
1. Работа с АПКШ Континент-АП производится в соответствии с «Программный комплекс "Континент-АП". Руководством пользователя». 17
2. Выдача сертификата ключа аутентификации АПКШ Континент-АП состоит из следующих этапов: 17
- формирование закрытого и открытого ключей аутентификации, файла запроса на получение сертификата аутентификации; 17
- передача запроса на получение сертификата ключа аутентификации на Сервере доступа УФК по г.Москве; 17
- получение и регистрация сертификатов в Программном комплексе Континент-АП; 17
- формирование закрытого и открытого (файла запроса на получение сертификата) ключей аутентификации. 17
- формирование ключей аутентификации производится на рабочей станции, определенной как абонентский пункт АПКШ «Континент-АП», с установленными на ней: 17
крипто-провайдером «КриптоПро CSP 3.6». 17
программным обеспечением «Континент-АП» версий: 3.3.15.6, 3.4.22.0, 3.5.6.0, 3.6.19.0, 3.6.19.47080. 17
3. Для формирования, закрытого и открытого ключей при использовании «Континент-АП» 17
версии 3.х необходимо: 17
- запустить «Континент-АП» (Пуск – Программы – Информзащита - Абонентский Пункт Континент – Программа Управления). 17
- нажать правой кнопкой мыши по значку «Континент-АП» находящегося в правом нижнем углу экрана 17
- вызвать меню «Сертификаты – Создать запрос на пользовательский сертификат». 17
- в появившемся окне «СКЗИ Континент-АП» заполнить поля: 17
поля Имя сотрудника, Организация, Подразделение, Примечание заполнить наименованием организации (длина поля – 64 символа). 17
поле Регион – Москва 17
поле Город – местонахождение организации 17
поле страна – RU 17
поле e-mail – рекомендуется указать свой существующий e-mail 17
17
в поле «Файлы для сохранения запроса на сертификат – электронная форма» указан путь к файлу, в который будет сохранен запрос на издание сертификата ключа аутентификации. 18
Данный файл (файл-запрос с расширением req) необходимо будет передать в УФК по г.Москва. 18
поле «Бумажная форма» отмечать не нужно. 18
4. Для генерации ключа нажать кнопку «ОК». 18
5. В появившемся окне «КриптоПро CSP» необходимо выбрать магнитный носитель для создаваемого ключевого контейнера и нажать кнопку «ОК» (в качестве носителя поддерживаются дискета “3,5”, Реестр ОС Windows, Touch Memory DS1993 – DS1996, Электронный ключ с интерфейсом USB, Сменный носитель с интерфейсом USB). 18
18
6. После нажатия клавиши «ОК», появится окно «КриптоПро CSP», в котором можно установить пароль на создаваемый ключевой контейнер (пароль должен содержать не менее 6-ти символов, пароль необходимо записать в книгу паролей). 18
Внимание: утерянный пароль на данный ключевой контейнер НЕ ВОССТАНАВЛИВАЕТСЯ! 18
18
19
7. Сформированный запрос на получение сертификата ключа аутентификации в данном случае находится на диске C:\Documents and Settings\SUFD\Мои документы\SUFD_13_06_2012__13_32_56_062.req (имя файла запроса будет отличаться от приведенного примера), контейнер с закрытой частью ключа будет находиться на выбранном ключевом носителе. 19
8. Изготовленный ключевой контейнер подлежит учету в соответствии с «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» введенной в действие приказом ФАПСИ от 13 июня 2001 г. № 152. 19
9. Отправка запроса на получение сертификата ключа аутентификации «Континент-АП». 19
Запрос на получение сертификата ключа авторизации (в данном примере это файл SUFD_13_06_2012__13_32_56_062.req) предоставляется в УФК по Москве на адрес ufk73_it@roskazna.ru. 19
В теме сообщения необходимо указать «Запрос на сертификат для «Континент-АП», в тексте сообщения указываются все реквизиты клиента (полное наименование, ИНН, КПП, л/с открытый в казначействе), а также, причина получения сертификата (начало обмена ЭД, плановая смена и др), наименование файла запроса и размер файла запроса в байтах, и версию используемого абонентского пункта. 19
10. Ввод полученного сертификата ключа шифрования «Континент-АП». 19
Сертификаты ключей аутентификации будут направляться по электронной почте на Ваш e-mail в ответ на присланный запрос. 19
Полученные файлы сертификатов сохраняются на ПЭВМ, на которой установлена программа «Континент-АП». 19
11. Для установки сертификатов необходимо нажать правой кнопки мыши по значку «Континент клиент» находящегося в правом нижнем углу экрана – выбрать меню «Сертификаты – Установить сертификат пользователя». 19
- подключение к сети Интернет имеется, но используется межсетевой экран Windows (брандмауэр Windows в Windows XP) или включена функция межсетевого экрана в таких антивирусах, как Касперский, Avast или Symantec, либо используются иные программные и(или) аппаратно-программные межсетевые экраны. 26
В настройках данных антивирусов или межсетевых экранов необходимо разрешить использование udp-портов 7500 (или как в настройках «Континент-АП) и 4433. 26
ПОРЯДОК формирования ключей аутентификации СКЗИ «Континент-АП», направления запроса на получение сертификата ключа аутентификации, выдачи сертификата………………………………………………………………………..15
Настройка Абонентского пункта……………………………………………..19
Введение
Для работы с порталом АСФК для ДУБП используются следующие средства защиты информации:
1) СКЗИ «КриптоПро CSP»
Инструкция по установке КриптоПро 3.6 приведена в разделе Установка КриптоПро.
2) Континент АП версии 3.5.68.0
Инструкция по установке и настройке Континент АП приведена в разделе Установка и настройка Континента АП.
Установка КриптоПро
У становка СКЗИ «КриптоПро» версии 3.6
Внимание! Перед установкой СКЗИ «КриптоПро» версии 3.6 с рабочего места должны быть удалены все более старые версии СКЗИ «КриптоПро»!
|
Для установки СКЗИ «КриптоПро» версии 3.6 необходимо запустить файл csp-win32-kc1-rus.msi c дистрибутива СКЗИ «КриптоПро». Запустится программа установки СКЗИ «КриптоПро CSP».
В окне приветствия программы установки нажмите кнопку «Далее».
В следующем окне программа установки предлагает ознакомиться с лицензионным соглашением. Прочитайте лицензионное соглашение, затем выберите пункт «Я принимаю условия лицензионного соглашения» и нажмите кнопку «Далее».
В следующем окне необходимо ввести данные о пользователе, ответственном за эксплуатацию СКЗИ (в поле «Пользователь:»), наименование организации (в поле «Организация:») и серийный номер лицензии на право использования СКЗИ «КриптоПро» (в поле «Серийный номер:»).
Серийный номер лицензии указан в карточке учета лицензии. Лицензия на право использование СКЗИ «КриптоПро» может быть предоставлена соответствующим отделом ОРСиБИ Управления Федерального казначейства по г.Москве или приобретена организацией самостоятельно.
После заполнения всех полей нажмите кнопку «Далее».
Внимание! Одна лицензия на право использования СКЗИ «КриптоПро» может использоваться только на одном рабочем месте!
Программа установки предложит выбрать вид установки. Выберите пункт «Выборочная» и нажмите кнопку «Далее».
В следующем окне программа установки предлагает выбрать устанавливаемые компоненты программы. Необходимо щелкнуть левой кнопкой мыши по пункту «Совместимость с КриптоПро CSP 3.6» и из контекстного меню выбрать пункт «Данный компонент будет установлен на локальный жесткий диск».
Затем нажмите кнопку «Далее».
В следующем окне программа установки предлагает выбрать библиотеки поддержки. Рекомендуется оставить по умолчанию. СКЗИ «КриптоПро» готово к установке.
Для начала установки нажмите кнопку «Установить».
Программа установки СКЗИ «КриптоПро» приступит к копированию файлов. Дождитесь окончания копирования.
Установка завершена! Нажмите кнопку «Готово» для выхода из программы установки.
Появится сообщение о потребности в перезагрузке компьютера. Нажмите кнопку «Да» для перезагрузки компьютера.
После установки СКЗИ «КриптоПро» и перезагрузки компьютера:
- в элементе управления Windows «Панель управления» появится новый элемент «КриптоПро CSP»;
- в меню «Все программы» главного меню Windows появится подменю «Крипто-Про», которое содержит пункты «КриптоПро CSP», «КриптоПро PKI», «Сертификаты», «Управление лицензиями КриптоПро PKI»;
Для корректной работы ключей, сформированных ранее на других версиях КриптоПро, необходимо удалить запомненные пароли в записях реестра ранее установленных версий КриптоПро:
Установка Континент-АП версии версий 3.x
(3.3.15.2, 3.3.15.6, 3.4.22.0, 3.5.2.0, 3.6.xx.xxx)
Аппаратно-программный комплекс шифрования (АПКШ) «Континент-АП» предназначен для безопасной передачи данных через общедоступные (незащищенные) сети. Защита данных обеспечивается криптографическими методами, вследствие чего через общедоступную сеть данные передаются в зашифрованном виде.
АПКШ «Континент» включает в свой состав компоненты, обеспечивающие удаленный доступ пользователей к ресурсам защищенной корпоративной сети с компьютеров, не входящих в защищаемые сегменты сети. На этих компьютерах устанавливается программный комплекс «Континент-АП», который для передачи данных соединяется с компьютером - сервером доступа, проверяющим полномочия на доступ и разрешающим доступ к ресурсам защищенной сети.
Перед установкой абонентского пункта убедитесь, что компьютер удовлетворяет всем требованиям, предъявляемым к аппаратному и программному обеспечению.
Внимание! Перед установкой Континент-АП версии 3.X.XX.XX с рабочего места должны быть удалены все более старые версии Континент-АП!
1. Требования к аппаратному и программному обеспечению:
Абонентский пункт предназначен для использования на компьютерах, оснащенных процессорами семейства INTEL X86 или совместимыми с ними.
Требования к конфигурации компьютеров приведены в Табл. 1.
Элемент
|
Минимально
|
Рекомендуется
|
Процессор
|
Celeron 300 МГц
|
Pentium IV 1,8 ГГц
|
Оперативная память
|
128 Мб
|
512 Мб
|
Жесткий диск (свободное пространство)
|
512 Мб
|
512 Мб
|
Операционная система
|
Windows 2000 Professional (SP4) или Windows XP Professional (SP2 и выше))
|
Установленное ПО
|
Крипто ПРО CSP версии 3.0
MS Internet Explorer версии 6.0 или выше
|
На компьютере должны быть установлены компоненты операционной системы, обеспечивающие работу с сетевыми протоколами TCP/IP.
Для установления соединения необходимо разрешить прохождение UDP трафика к серверу на порт 4433 и от севера к клиенту на порт 7500 (или на тот порт, который указан в настройках Континент-АП: Диспетчер устройств – Сетевые платы – Continent 3 PPP Adapter – Дополнительно – Порт UDP).
2. Установка Абонентского пункта
Войдите в систему с правами администратора компьютера.
Примечание:
Правами администратора компьютера обладает пользователь, входящий в локальную группу администраторов.
Завершите работу всех приложений, выполняющихся на компьютере.
Запустите на исполнение файл Setup.exe, находящийся в каталоге c дистрибутивом Абонентского пункта.
Программа установки начнет выполнение подготовительных действий, и на экране появится сообщение об этом.
Для корректной работы сетевого окружения установите «галку» на пункте «выборочная» установка, на следующем шаге после нажатия кнопки «далее», нажмите на «Межсетевой экран» и выберите пункт «Данный компонент будет недоступен»
После завершения подготовительных действий на экран будет выведен стартовый диалог мастера установки.
Нажмите кнопку «Далее>» для продолжения установки Абонентского пункта
На экране появится диалог, содержащий лицензионное соглашение на использование программного продукта.
Прочтите лицензионное соглашение и, если вы принимаете его условия, поставьте отметку в поле "Я принимаю условия лицензионного соглашения" и нажмите кнопку «Далее>».
Укажите IP адрес сервера доступа:
для подключения
я через Internet 31.173.43.178
или оставьте поле со значением по умолчанию 0.0.0.0 – для последующей настройки. 1
Нажмите кнопку «Далее>»
Нажмите кнопку «Установить»
ВНИМАНИЕ! ДЛЯ КОРРЕКТНОЙ РАБОТЫ ПРОГРАММЫ НЕОБХОДИМО ОТВЕТИТЬ ПОЛОЖИТЕЛЬНО НА ВСЕ ПРЕДУПРЕЖДЕНИЯ, КОТОРЫЕ МОГУТ ПОЯВИТЬСЯ В ПРОЦЕССЕ УСТАНОВКИ ДРАЙВЕРОВ!
После установки Абонентского пункта нажмите кнопку «Готово»
На экране появится запрос на перезагрузку компьютера.
Нажмите кнопку «Да» для немедленной перезагрузки компьютера и начала работы с Абонентским пунктом.
ПОРЯДОК формирования ключей аутентификации СКЗИ «Континент-АП», направления запроса на получение сертификата ключа аутентификации, выдачи сертификата.
1. Работа с АПКШ Континент-АП производится в соответствии с «Программный комплекс "Континент-АП". Руководством пользователя».
2. Выдача сертификата ключа аутентификации АПКШ Континент-АП состоит из следующих этапов:
- формирование закрытого и открытого ключей аутентификации, файла запроса на получение сертификата аутентификации;
- передача запроса на получение сертификата ключа аутентификации на Сервере доступа УФК по г.Москве;
- получение и регистрация сертификатов в Программном комплексе Континент-АП;
- формирование закрытого и открытого (файла запроса на получение сертификата) ключей аутентификации.
- формирование ключей аутентификации производится на рабочей станции, определенной как абонентский пункт АПКШ «Континент-АП», с установленными на ней:
крипто-провайдером «КриптоПро CSP 3.6».
программным обеспечением «Континент-АП» версий: 3.3.15.6, 3.4.22.0, 3.5.6.0, 3.6.19.0, 3.6.19.47080.
3. Для формирования, закрытого и открытого ключей при использовании «Континент-АП»
версии 3.х необходимо:
- запустить «Континент-АП» (Пуск – Программы – Информзащита - Абонентский Пункт Континент – Программа Управления).
- нажать правой кнопкой мыши по значку  «Континент-АП» находящегося в правом нижнем углу экрана
- вызвать меню «Сертификаты – Создать запрос на пользовательский сертификат».
- в появившемся окне «СКЗИ Континент-АП» заполнить поля:
поля  Имя сотрудника, Организация, Подразделение, Примечание заполнить наименованием организации (длина поля – 64 символа).
поле Регион – Москва
поле Город – местонахождение организации
поле страна – RU
поле e-mail – рекомендуется указать свой существующий e-mail
в поле «Файлы для сохранения запроса на сертификат – электронная форма» указан путь к файлу, в который будет сохранен запрос на издание сертификата ключа аутентификации.
Данный файл (файл-запрос с расширением req) необходимо будет передать в УФК по г.Москва.
поле «Бумажная форма» отмечать не нужно.
4. Для генерации ключа нажать кнопку «ОК».
5. В появившемся окне «КриптоПро CSP» необходимо выбрать магнитный носитель для создаваемого ключевого контейнера и нажать кнопку «ОК» (в качестве носителя поддерживаются дискета “3,5”, Реестр ОС Windows, Touch Memory DS1993 – DS1996, Электронный ключ с интерфейсом USB, Сменный носитель с интерфейсом USB).
Для использования мульти подключения (использования одного ключа и сертификата на многих компьютерах) рекомендуется использовать «Реестр ОС Windows». Копирование ключа Континента АП из реестра описана в инструкции «По переносу ключа Реестра с одной машины на другую».
6. После нажатия клавиши «ОК», появится окно «КриптоПро CSP», в котором можно установить пароль на создаваемый ключевой контейнер (пароль должен содержать не менее 6-ти символов, пароль необходимо записать в книгу паролей).
Внимание: утерянный пароль на данный ключевой контейнер НЕ ВОССТАНАВЛИВАЕТСЯ!
7. Сформированный запрос на получение сертификата ключа аутентификации в данном случае находится на диске C:\Documents and Settings\SUFD\Мои документы\SUFD_13_06_2012__13_32_56_062.req (имя файла запроса будет отличаться от приведенного примера), контейнер с закрытой частью ключа будет находиться на выбранном ключевом носителе.
8. Изготовленный ключевой контейнер подлежит учету в соответствии с «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» введенной в действие приказом ФАПСИ от 13 июня 2001 г. № 152.
9. Отправка запроса на получение сертификата ключа аутентификации «Континент-АП».
Запрос на получение сертификата ключа авторизации (в данном примере это файл SUFD_13_06_2012__13_32_56_062.req) предоставляется в УФК по Москве на адрес ufk73_it@roskazna.ru.
В теме сообщения необходимо указать «Запрос на сертификат для «Континент-АП», в тексте сообщения указываются все реквизиты клиента (полное наименование, ИНН, КПП, л/с открытый в казначействе), а также, причина получения сертификата (начало обмена ЭД, плановая смена и др), наименование файла запроса и размер файла запроса в байтах, и версию используемого абонентского пункта.
10. Ввод полученного сертификата ключа шифрования «Континент-АП».
Сертификаты ключей аутентификации будут направляться по электронной почте на Ваш e-mail в ответ на присланный запрос.
Полученные файлы сертификатов сохраняются на ПЭВМ, на которой установлена программа «Континент-АП».
11. Для установки сертификатов необходимо нажать правой кнопки мыши по значку «Континент клиент» находящегося в правом нижнем углу экрана – выбрать меню «Сертификаты – Установить сертификат пользователя».
В появившемся диалоговом окне выбрать файл USER.CER, нажать кнопку «Открыть».
Появится окно, в котором нужно выбрать ключевой носитель с ранее созданным ключевым контейнером для Континент-АП (нажать по нему левой кнопкой мыши, чтобы он выделился), нажать кнопку «ОК».
После этого должно появиться окно:
Если установить сертификат не удается, необходимо убедиться, что системная дата на ПЭВИ указана верно, после чего повторить установку сертификата пользователя.
3. Настройка Абонентского пункта
3.1. Установка Сертификатов.
Нажатием правой кнопки мыши по значку  «Континент клиент» находящегося в правом нижнем углу экрана – вызвать меню Сертификаты – Установить сертификат пользователя»
В появившемся диалоговом окне выбрать файл USER.CER, нажать кнопку «Открыть».
По запросу предъявить ключевой носитель с раннее созданным ключевым контейнером для Континент-АП, нажать кнопку «ОК».
3.2. Настройка Соединения Континент.
Нажатием правой кнопки мыши по значку «Континент клиент» находящегося в правом нижнем углу экрана – вызвать меню Настройка – СКЗИ Континент-АП.
На закладке «Общие» нажать кнопку «Другие»
Добавить «Номера телефонов» (указываются IP адреса серверов доступа)
через Internet 31.173.43.178
Нажать кнопку «ОК»
На закладке параметры отметить
«Отображать ход подключения»
«Запрашивать номер телефона» - для возможности выбора подключения (через модемный пул или через Интернет).
3.3. Установка защищенного соединения.
Установить соединение нажатием правой кнопки мыши по значку «Континент клиент» находящегося в правом нижнем углу экрана – вызвать меню Установить\Разорвать соединение – Установить соединение СКЗИ Континент АП
В появившемся диалоговом окне «Подключение к СКЗИ Континент-АП выбрать IP адрес сервера доступа для подключения 31.173.43.178 нажать кнопку «Вызов».
Выбрать сертификат пользователя, нажать кнопку «ОК».
Для удобства работы отметить пункт использовать данный сертификат при следующем подключении.
При первом подключении появится запрос о добавлении сертификата сервера доступа в список разрешенных, нажать кнопку «Да» (в дальнейшем такое сообщение выводится не будет).
При успешном подключении серый значок «Континент клиент» изменит свой цвет на синий 
Для отключения от защищаемой сети нажатием правой кнопки мыши по значку «Континент клиент» находящегося в правом нижнем углу экрана – вызвать меню Установить\Разорвать соединение – Разорвать соединение СКЗИ Континент-АП.
ВАЖНО: Для корректой работы с СУФД-порталом требуется наличие высокоскоростного подключения к сети Интернет. Следовательно, при подключении необходимо выбирать 31.173.43.178
Если Ваш компьютер оснащен 4-ядерным процессором, необходимо использовать «Континент-АП» только версии 3.3.15.6 и выше. Также замечена особенность некоторых моделей материнских фирмы Asus: даже если у вас 2-ядерный процессор, «Континент-АП» может распознавать его как 4-ядерный, при этом при попытке установить соединение характерно появление ошибки 629). В этом случае также рекомендуется использовать «Континент-АП» версии 3.3.15.6 и выше
Если соединение установить не удается (появляются ошибки 619 или 721), необходимо убедиться, что разрешено прохождение трафика от клиента до Сервера доступа. Проверить это можно с помощью утилиты ChannelChecker. Для этого необходимо запустить файл ChannelChecker.ехе. Откроется следующее окно:
Необходимо задать следующие значения:
Порт – оставить значение 7500 или указать тот порт, который указан в настройках Континент-АП: Диспетчер устройств – Сетевые платы – Continent 3 PPP Adapter – Дополнительно – Порт UDP).
Таймаут – значение 1 с можно оставить без изменения или указать большее, например, 5.
IP адрес сервера – указать 31.173.43.178
Порт сервера – значение 4433 оставить без изменения!
Нажать кнопку «Тест».
Если появится сообщение «Проверка связи успешно завершена», необходимо проверить настройки «Континент-АП».
Если появится сообщение «Таймаут истек», значит, возможны следующие причины:
- отсутствует подключение к сети Интеренет;
- подключение к сети Интернет имеется, но используется межсетевой экран Windows (брандмауэр Windows в Windows XP) или включена функция межсетевого экрана в таких антивирусах, как Касперский, Avast или Symantec, либо используются иные программные и(или) аппаратно-программные межсетевые экраны.
В настройках данных антивирусов или межсетевых экранов необходимо разрешить использование udp-портов 7500 (или как в настройках «Континент-АП) и 4433.
|
