CADES, он же КриптоПро ЭЦП Browser plug-in. Версия 1.2.8, актуальная на 19.03.2021. Требуется для подписания документов в СУФД, используется во многих системах электронного документооборота.
Распакованный CADES для Chrome/Opera/Edge/ЯБ — скачать | Распакованный CADES для Firefox — скачать |
Расширение для плагина госуслуг является компонентом системы электронного правительства, служащим для авторизации через ЕСИА с помощью электронной подписи на различных порталах, таких как Росреестр, gasu.gov.ru и torgi.gov.ru. Для работы этого расширения требуется установленный плагин. Версия 1.2.8, актуальная на 19.03.2021.
Распакованное расширение для плагина госуслуг для Chrome/Opera/Edge/ЯБ — скачать | Распакованное расширение для плагина госуслуг для Firefox — скачать |
Список необходимых расширений будет обновляться по мере надобности, в зависимости от ограничений, которые могут быть наложены администраторами домена.
Как установить распакованные расширения в Chrome и аналогичных браузерах
Под хромоподобными браузерами подразумеваются все, построенные на движке Chromium: Chrome, Opera, Яндекс Браузер, Chromium Gost, новый Edge и другие. Для установки нужно найти в меню браузера пункт «Расширения», включить режим разработчика и выбрать «Загрузить распакованное». Примерно так это выглядит в Chrome:
Браузер попросит указать папку с распакованным расширением. Разархивируйте скачанный файл и укажите браузеру соответствующую папку. Обратите внимание, что нужно указывать путь включая папку с версией, иначе появится ошибка «Файл манифеста отсутствует или недоступен для чтения. Не удалось загрузить манифест.» Пример:
Не нашёл подобной функции только в браузере Спутник, хотя она изначально там присутствовала.
Установка распакованных расширений в Firefox
В Firefox установка аналогична, за исключением того, что расширения в меню называются дополнениями. Быстро перейти можно с помощью горячих клавиш Ctrl+Shift+A, режим разработчика не потребуется:
Как самостоятельно получить распакованные расширения в Chrome/Firefox
Предположим, что у вас есть другие расширения, которые нужно установить, но вы столкнулись с проблемой недоступности официальных ресурсов для их загрузки. Если у вас есть другой компьютер с уже установленными расширениями, их можно скопировать следующим образом:
Для хромоподобных браузеров установленные расширения находятся по пути:
%userprofile%AppDataLocalGoogleChromeUser DataDefaultExtensionsрасширениеверсия
Если искать вручную, то %userprofile% — это папка вашего пользователя в директории c:users, AppData — скрытая. Название браузера в пути может изменяться в зависимости от версии. Расширения в папке Extensions названы по идентификаторам, которые можно найти в меню расширений в Chrome:
Эти папки и содержат распакованные расширения.
Для Firefox путь будет следующий:
%userprofile%AppDataRoamingMozillaFirefoxProfiles(крякозяблы)extensions
Настройка ЭЦП для госуслуг
Перед началом настройки убедитесь, что технические параметры соответствуют рекомендуемым.
Браузер Microsoft Internet Explorer версии 6.0 и выше.
Плагин портала Госуслуг, подходящий для используемой операционной системы.
При несоблюдении рекомендаций ответственность за корректную работу ЭЦП лежит на пользователе.
Настройка браузера Internet Explorer
- В меню «Сервис» выберите «Свойства обозревателя», затем перейдите на вкладку «Безопасность» в зону «Надежные узлы».
- Нажмите кнопку «Узлы» и введите в текстовое поле «Веб-узлы» gosuslugi.ru.
- Снимите галочку напротив пункта «Для всех узлов этой зоны требуется проверка серверов (https:)».
- После добавления адреса сайта перейдите на вкладку «Другой».
- В окне «Безопасность» выберите «Надежные узлы».
- На вкладке «Параметры безопасности – зона надежных узлов» установите значение «Включить» в пункте «Доступ к источникам данных за пределами домена».
- В «Параметры безопасности — зона надежных узлов» включите все пункты «Элементы ActiveX и модули подключения».
- Сохраните изменения, подтвердив действие нажатием кнопки «ОК».
- На вкладке «Конфиденциальность» измените уровень на «Низкий», отключите блокировку всплывающих окон и нажмите «ОК».
- На вкладке «Дополнительно» включите «SSL 1.0» и «TLS 1.0».
После выполнения вышеуказанных действий браузер готов к работе.
Установка и настройка плагина портала Госуслуг
- Скачайте плагин, перейдя по официальной ссылке https://esia.gosuslugi.ru/sia-web/plugin/upload/Index.spr.
- Убедитесь, что скачен плагин, соответствующий вашей ОС (доступны версии для Windows XP, Vista, 7, 8, 10, а также для Apple Mac OS X 10.8 и выше, Linux LSB .6/4.0 32-bit и 64-bit).
- Запустите загрузку и дождитесь ее окончания.
- Запустите установку плагина, затем перезапустите браузер.
Необходимый плагин установится и активируется практически без участия пользователя. Дополнительных настроек не потребуется.
Регистрация на портале Госуслуг
- На странице портала государственных услуг пройдите процедуру регистрации, нажав на кнопку «Личный кабинет — Регистрация».
- Выберите вариант регистрации — для юридического лица, физического лица либо индивидуального предпринимателя. Физическое лицо заполняет 4 пункта: «фамилия», «имя», «мобильный телефон», «электронная почта».
- Подтвердите e-mail и телефон, введя отправленный код.
- В личном кабинете отредактируйте персональные данные.
- Подтвердите введенную информацию и свою личность с помощью электронной подписи (ЭЦП). Также доступны два других варианта подтверждения — лично и через Почту России.
Если процедура идентификации прошла успешно, появится сообщение об окончании регистрации и подтверждении учетной записи.
Выбирая способ подтверждения, учтите, что все возможности портала будут доступны лишь при наличии ЭЦП. Поэтому рекомендуется приобрести подпись в удостоверяющем центре. Срок действия — 1 год, что позволит работать с порталом удаленно в течение 365 дней, избегая личного посещения различных ведомств.
Не работает электронная подпись на госуслугах
Если портал Госуслуги не распознает ЭЦП, сначала проверьте подпись на действительность. Для этого лучше перейти на актуальную версию портала по адресу gosuslugi.ru/pgu. В нижней части сайта нажмите на ссылку «Справочная информация». В открывшемся разделе выберите пункт «Электронная подпись». Затем выберите подходящий вариант проверки:
Проверка ЭП в документе форматом PKCS#7.
Проверка отсоединенной ЭП в формате PKCS#7.
Проверка отсоединенной ЭП в формате PKCS#7 по значению хэш-функции.
Внимание! Для проверки ЭЦП не требуется вход в учетную запись на Госуслугах. Проверка доступна для незарегистрированных пользователей.
Методы выяснения причин отказа в приеме подписи:
Проблема в браузере:
- Убедитесь, что браузер соответствует техническим требованиям.
- Обновите версию браузера, переустановите его, отключите дополнительные плагины и расширения.
- Попробуйте зайти на портал с другого браузера.
Проблема в операционной системе:
- Попробуйте войти на портал через другой компьютер.
- Временно отключите антивирус.
- Откатите систему к состоянию нескольких дней назад, когда вы успешно использовали ЭЦП.
Проблема в плагине Госуслуг:
- Переустановите плагин, убедившись, что он совместим с вашей операционной системой.
Проблема в ЭЦП:
- Проверьте целостность физического носителя.
- Проверьте срок годности ЭЦП.
Возможна также временная неисправность сайта Госуслуг, что часто происходит в последние дни сдачи отчетности и уплаты налогов.
Пользователи, приобретшие ЭЦП для госуслуг в нашем удостоверяющем центре, не испытывают трудностей с ее использованием. Мы предоставляем детальные консультации и сами выполняем все необходимые настройки. Закажите ЭЦП для сайта Госуслуг на нашем сайте через форму заказа или позвоните по телефону.
О плагине IFCP
Для доступа к Госуслугам с использованием сертификатов необходимо использовать КриптоПро версии 4r4 и выше для Linux.
Установка плагина для работы с порталом государственных услуг
Для аутентификации через ЕСИА esia.gosuslugi.ru выполните следующие действия:
1) Скачайте IFCP-плагин с сайта Госуслуг в формате «deb» — файл IFCPlugin-x86_64.deb ; https://ds-plugin.gosuslugi.ru/plugin/upload/Index.spr
sudo dpkg -i IFCPlugin-x86_64.deb
3) Добавьте расширение для Госуслуг в браузере chromium:
4) Для правильной работы плагина необходимо создать символические ссылки:
sudo ln -s /etc/opt/chrome/native-messaging-hosts/ru.rtlabs.ifcplugin.json /etc/chromium/native-messaging-hosts
Для браузера Mozilla Firefox:
sudo ln -s /opt/cprocsp/lib/amd64/libcppkcs11.so.4.0.4 /usr/lib/mozilla/plugins/lib/libcppkcs11.so
Примечание: версия libcppkcs11.so.4.0.Х может отличаться в зависимости от версии КриптоПро CSP.
Настройка конфигурационных файлов
5) Добавьте в конфигурационный файл IFCplugin /etc/ifc.cfg:
Для ifc плагина версии 3.0.4.0 — 3.0.7.0 замените конфигурационный файл на следующий:
log = < level = "DEBUG"; >config = < cert_from_registry = "false"; set_user_pin = "false"; >params = ( < name = "CPPKCS11_2001"; alias = "CPPKCS11_2001"; type = "pkcs11"; alg = "gost2001"; model = "CPPKCS 3"; lib_linux = "libcppkcs11.so"; >, < name = "CPPKCS11_2012_256"; alias = "CPPKCS11_2012_256"; type = "pkcs11"; alg = "gost2012_256"; model = "CPPKCS 3"; lib_linux = "libcppkcs11.so"; >, < name = "CPPKCS11_2012_512"; alias = "CPPKCS11_2012_512"; type = "pkcs11"; alg = "gost2012_512"; model = "CPPKCS 3"; lib_linux = "libcppkcs11.so"; >);
Можно воспользоваться готовым конфигурационным файлом от КриптоПро для ifcp плагина:
wget https://www.cryptopro.ru/sites/default/files/public/faq/ifcx64.cfg
sudo rm /etc/ifc.cfg
sudo cp ~/ifcx64.cfg /etc/ifc.cfg
/opt/cprocsp/bin/amd64/csptestf -absorb -certs -autoprov
6) В КриптоПро CSP для корректной работы pkcs11 настройка слотов должна быть явной:
Для этого в конфигурационный файл /etc/opt/cprocsp/config64.ini в разделе PKCS11 добавьте следующие строки:
# [PKCS11слот0] # ProvGOST = "Crypto-Pro GOST R 34.10-2001 KC1 CSP" # ProvRSA = "Microsoft Strong Cryptographic Provider" # reader = hdimage [PKCS11слот17] ProvGOST = "Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider" Firefox = 1 Chromium = 1 Reader = ""
А) Отсутствие сертификата в ключевом контейнере
Если после ввода PIN-кода браузер возвращает вас к окну выбора сертификата, убедитесь, что личный сертификат пользователя находится в ключевом контейнере. Это особенно важно для версии КриптоПро 4r4.
Для записи сертификата в контейнер можно использовать следующую команду:
/opt/cprocsp/bin/amd64/csptest -keys -cont 'Контейнер_ключей' -keytype exchange -impcert /tmp/Ваш_Сертификат.cer
Б) Плагин не работает у доменных пользователей
Проверьте права доступа к каталогам с логами (ifc, engine_logs) и к файлу логов /var/log/ifc/engine_logs/engine.log. Все пользователи должны иметь права на запись.
Подтверждение подлинности ЭП на сайте госуслуг
Этот сервис предназначен для подтверждения подлинности ЭП сертификатов в форматах X.509 и BASE64.
Можно подтвердить подлинность ЭП сертификата, выданного удостоверяющим центром, входящим в список аккредитованных удостоверяющих центров Министерства связи и массовых коммуникаций.
Руководство от КриптоПро
Как заставить плагин госуслуг работать для всех пользователей в терминальной среде
Более года все наши сотрудники работают исключительно в опубликованных приложениях, централизуя их через Parallels RAS. У нас также есть автоматический механизм публикации ЭЦП: когда авторизованный пользователь запускает сайт, например, таможни, в его HKCU записывается ЭЦП компании и запускается нужный плагин. Это прекрасно работает с КОНТУР, СБИС, КРИПТО-ПРО, но плагин госуслуг (IFCPlugin) пришлось дорабатывать, и к разработчикам остались вопросы…
Когда поступила заявка на установку нового плагина для чтения ЭЦП, я не ожидал ничего сложного. Для работы с ЭЦП у нас выделен отдельный RDS-хост, на котором уже установлено несколько плагинов, и все они прекрасно работают. Я скачал плагин госуслуг с официального сайта и установил его в машинном контексте из привилегированного шелла:
msiexec -i c:pathtofilemypackage.msi ALLUSERS=1
На первый взгляд, установка прошла успешно. В списке установленных программ на этом хосте появился «Плагин пользователя систем электронного правительства», под своей учетной записью я смог авторизоваться с помощью ЭЦП. Однако у других пользователей плагин не заработал, словно он не был установлен.
Где же он спрятался?
Плагин госуслуг, в отличие от других аналогичных решений, не сообщает о своем присутствии пользователю. Нет иконки в трее, нет группы в стартовом меню, и его не было в «Program Files». Так как под моей учетной записью работала авторизация в Chrome, использующая браузерный плагин, который требует наличие MessagingHost, я решил поискать этот процесс.
Каково же было мое удивление, когда я обнаружил этот процесс (ifc_chrome_host.exe) в своем $Env:APPDATA! Иными словами, инсталлятор плагина полностью игнорировал машинный контекст и установил приложение внутри моего профиля. Причем даже не в $Env:LOCALAPPDATA, а в часть профиля, подлежащую роумингу. У нас включен роуминг аппдаты, и мы считаем это правильным для нашего случая. Таким образом, IFCPlugin установился в мой профиль на файловом сервере, куда только я имею доступ, но зарегистрировался и свои классы в машинном контексте на RDS-хосте. Логично, что у других пользователей плагина фактически не было.
Пора дорабатывать
Открываем старую добрую Orca и изучаем структуру директорий установщика IFCPlugin.msi:
TARGETDIR = AppDataFolder. Чем руководствовались разработчики, мне непонятно. Меняем на ProgramFiles64Folder или ProgramFilesFolder, по вашему выбору.
Как видно, все, кроме классов, записывается в HKCU. Поскольку меня интересовало функционирование плагина для Google Chrome, я изменил ветку только у трёх отмеченных параметров на 2, что соответствует HKLM. Думаю, для Firefox это сработает так же.
Дополнительная корректировка
Устанавливаю заново. Плагин появляется в $Env:ProgramFiles, но у пользователей почему-то сразу падает процесс ifc_chrome_host.exe, хотя он уже запущен. Используем procmon для выяснения причины.
Оказывается, он пытается записывать логи в следующую директорию:
$Env:ProgramFilesRostelecomIFCPluginX.X.X.Xx32LOGS
Пользователи, по умолчанию, не имеют прав на запись в эту директорию. Исправляем это.
Заключение
Работает. Почему разработчики приняли такие решения и зачем это было сделано именно так, для меня остается загадкой.
Работает. Почему разработчики приняли такие решения и зачем это было сделано именно так, для меня остается загадкой.