Ошибка входа. Бюджетное планирование — электронный бюджет (вход по сертификату)

Проблема

При попытке войти в личный кабинет ГИИС «Электронный бюджет» появляется сообщение об ошибке:

Не удается отобразить эту страницу

Включите протоколы TLS 1.0, TLS 1.1 и TLS 1.2 в разделе «Дополнительные параметры» и снова попробуйте подключиться к веб-странице https://ssl.budgetplan.minfin.ru . Если не удается устранить ошибку, обратитесь к администратору веб-сайта.

Решение

Необходимо проверить настройки рабочего места согласно документу .

В инструкции не сказано о нескольких нюансах:

1. Необходимо установить КриптоПро ЭЦП Browser plug-in и проверить его работу на демо-странице .
2. Необходимо в настройках антивируса отключить фильтрацию протокола SSL/TLS, другими словами, для искомого сайта следует сделать исключение проверки защищенного соединения. В разных антивирусах может называться по разному. Например в Kaspersky Free нужно перейти «Настройка>Дополнительно>Сеть>Не проверять защищенные соединения» .

Распространенные ошибки при подключении к ГИИС

«Электронный бюджет »

При возникновении проблем с подключением к ГИИС «Электронный бюджет» необходимо проверить настройки:

1. вход в личный кабинет осуществляется по ссылкеhttp:// lk . budget . gov . ru / udu - webcenter ;

2. проверить настройки«Континент TLSVPNКлиент».

Открыть конфигуратор настроек (Пуск >Все программы > Код Безопасности >Client> Настройка Континент TLSклиента), «Порт»должно быть указано значение 8080 , «Адрес»-lk. Отметки «Использовать внешний прокси-сервер» не должно быть, если организация не использует внешний прокси, «Требовать поддержку RFC 5746» можно убрать.

После добавления сертификата Континента TLSв поле «Сертификат»должно быть указано «<»;

Рисунок 1. Настройка сервиса

3. проверить настройки обозревателя.

На примере браузера MozillaFireFox, запустить обозреватель, открыть параметры соединения (Главное менюбраузера «Инструменты»>«Настройки»> вкладка «Дополнительные»> вкладка «Сеть»> кнопка «Настроить»).Выбрать «Ручная настройка сервиса прокси», в поле «HTTP прокси»указать значение 127.0.0.1, «Порт»- 8080. Поставить отметку «Использовать этот прокси-сервер для всех протоколов».

Вполе«Не использовать прокси для» не должно быть указано значение 127.0.0.1.

Рисунок 2. Параметры соединения

Типичные ошибки при подключении к ГИИС

«Электронный бюджет »

Варианты решения: 1) Отключить антивирус. В случае решения проблемы – изменить параметры антивируса 2) Проверить настройки TLS и обозревателя.

2. 403 Доступ запрещен. Сертификат сервера отличается от заданного в настройках. Отличается длина сертификатов.

Решение: Проверить указанный в настройках TLS сертификат по наименованию в строке. Должно быть «<».

3. Не выдает окно выбора сертификата.

Решение: Убрать галочку «Требовать поддержку RFC 5746» если стоит. В противном случае проверить остальные настройки.

4. 403 Доступ запрещен. Не найден корневой сертификат.

Решение: Повторная установка сертификата УЦ Федерального казначейства (если был уже установлен).

Для WindowsXP:

Пуск >Выполнить>mmc>консоль>добавить или удалить оснастку>добавить «сертификаты»(Рис. 3) >моей учетной записи>Готово >ОК>развернуть список >открыть строку «доверенные корневые центры» - «сертификаты»>на пустом месте окна с сертификатами нажать правую кнопку мыши и выбрать (Рис. 4)>все задачи >импорт>

Рисунок 3

Рисунок 4

Для Windows 7:

Пуск >Выполнить>mmc>файл>добавить или удалить оснастку>добавить оснастку «сертификаты» (Рис. 5)>добавить>моей учетной записи>Готово>ОК>развернуть содержимое и встать на строку «доверенные корневые центры»- «сертификаты» (Рис. 6)>на пустом месте окна с сертификатами нажать правую кнопку мыши и выбрать>все задачи >импорт>выбрать нужный сертификат и установить.

Рисунок 5

Что такое «Электронный бюджет» и как он связан с нацпроектами

Система «Электронный бюджет» — это единая система управления государственными и муниципальными финансами, оператором которой является Минфин. В этой системе все участники бюджетного процесса (более 10 тыс. организаций) ведут работу по формированию бюджета страны, выполнению госзаданий, смет и др. Через «Электронный бюджет» заключаются все соглашения на предоставление субсидий.

В «Электронным бюджете» создана отдельная подсистема по управлению национальными проектами, реализуемыми в соответствии с майским указом президента до 2024 года. Стоимость реализации всех нацпроектов оценивается в 25,7 трлн руб. с 2019 по 2024 год (.pdf). Из них 13,2 трлн возьмет на себя федеральный бюджет, за 4,9 трлн руб. будут отвечать региональные власти. При этом в основном региональные полномочия будут обеспечены финансированием из федерального бюджета (порядка 95%).

Чиновники жалуются на зависание и сбои

По каждому нацпроекту федеральные и региональные чиновники должны заносить в систему от нескольких сотен до нескольких тысяч показателей, поясняет РБК федеральный чиновник. «Редактура одной контрольной точки может занимать до получаса — система медленно реагирует, зависает, выдает ошибку», — сказал он.

«Для редактирования одной контрольный точки в среднем требуется от семи до десяти кликов. Таким образом, среднее время редактирования одной контрольной точки может достигать от нескольких минут до получаса. В случае необходимости корректировки федерального проекта на технический процесс в среднем может потребоваться около 54 человеко-часов», — описал чиновник процесс работы в системе.

Корректировка 350-400 контрольных точек одного федерального проекта может потребовать работы трех специалистов в течение нескольких дней, привел пример федеральный чиновник. По его словам, «система особенно тормозит в середине рабочего дня: реакция на один клик может занимать до пятнадцати минут».

Технические сбои фиксируют и региональные чиновники. «Технические сбои в системе действительно есть. Мы с ними сталкиваемся в работе и находимся на постоянной связи с Федеральным казначейством по вопросам их устранения», — рассказал РБК и.о. министра финансов Челябинской области Андрей Пшеницын. «С этого года через нее [систему] стала проходить информация по финансированию нацпроектов. Поэтому, безусловно, она требует постоянной настройки», — добавил он. По словам Пшеницына, проблемы возникают с доступом в систему, регистрацией пользователей, вводом информации, корректностью ее обработки.

«Часто длительное ожидание отклика системы заканчивается ошибкой, после чего в большинстве случаев необходимо перезаходить и начинать новую сессию», — соглашается федеральный чиновник.

Пресс-служба Минтруда подтвердила РБК информацию о сбоях, отметив, что они не повлияли на работу ведомства, служба технической поддержки оперативно обрабатывала сообщения о сбоях.

В пресс-службе Минкомсвязи РБК сообщили, что сотрудники министерства регулярно сталкиваются с различными проблемами в работе с «Электронным бюджетом». «Периодически возникают новые виды ошибок. Все это приводит к вынужденным простоям, к потере сотрудниками времени, которое они могли бы потратить гораздо эффективнее. Но надо отметить, что техподдержка системы стала помогать охотнее и быстрее, чем раньше», — сообщили в Минкомсвязи.

В Минфине Татарстана, Башкортостана и Республики Крым сообщили, что не сталкивались со сбоями в работе системы. При подготовке материала РБК направил запросы в пресс-службы министерств финансов Московской, Свердловской, Ленинградской, Новосибирской областей, а также в министерства финансов Хабаровского края, Республики Марий Эл. Также РБК направил запросы во все министерства, участвующие в реализации нацпроектов.

Минфин ссылается на недостаток опыта у пользователей

Минфин фиксирует все ошибки, возникающие при работе подсистемы «Электронного бюджета», сообщили РБК в ведомстве. «Учитывая, что системе менее полугода, а в ней в режиме онлайн работают более 12 тыс. пользователей, ошибки случаются, это неизбежно», — отметили в Минфине, добавив, что неполадки в среднем устраняются в срок не более 18 часов.

Информационная система всегда требует большой работы на первоначальном этапе формирования данных, подчеркнули в министерстве. Но подавляющее большинство обращений — это заявки на консультацию от пользователей, которые впервые столкнулись с работой системы такого класса (электронный документооборот, единое облако, множество встроенных в систему контролей, справочников), что само по себе воспринимается как сложность в работе, полагают в Минфине. «Ошибки в работе системы составляют небольшую долю», — утверждают в ведомстве.

«За более чем шестилетнюю историю функционирования системы «Электронный бюджет» не было ни одного случая срыва сроков или торможения процесса формирования или исполнения бюджета», — напомнили в Минфине. Для совершенствования работы системы Минфин регулярно проводит работу по оптимизации кода программы, нагрузочные тестирования, балансирует нагрузку на сервера.

За разработку системы отвечала структура «Ростеха»

Контракт на разработку программного обеспечения системы был заключен с АО «Государственный научный инновационный внедренческий центр (ГНИВЦ)», рассказали РБК в Минфине. Компания занималась также разработкой ИТ-системы Федеральной налоговой службы. Цена контракта составила 299,7 млн руб., срок выполнения работ по контракту — 10 декабря 2019 года. «Оплата производится поэтапно в соответствии с условиями контракта по мере сдачи», — добавили в ведомстве.

Субподрядчиком ГНИВЦ является «БАРС Груп» — дочерняя компания ГК «Ростех». Именно она ведет разработку подсистемы «Электронного бюджета» для контроля за исполнением нацпроектов, следует из пресс-релиза компании.

Представитель «БАРС Груп» отказался от комментариев. Источник РБК, близкий к компании, утверждает, что система работает без сбоев. «Внедрение любой новой системы сопровождается вопросами и необходимостью консультировать потребителей этой системы. К компании поступают заявки на техническую поддержку, но они решаются в рабочем порядке», — говорит собеседник РБК.

Новая серия увлекательных приключений с любимым СЭД budget.gov.ru. Ошибка validation failed or not avaliable yet. При подписании документа при выборе подписи не видны подписи в Континент TLS или Jinn-Client. Но они есть в сертификатах виндовс и при выборе их ЭБ показывает вам иероглифы и смеются вам в лицо, и jinn client при подписи уходи в бесконечный цикл.

На флэшке вообще не видит.
Jinn-Client пишет иероглифами про тебя гадости.

Вы думали проблемы наконец-то кончились? А они только начались. Вы перешли на настроили континент TLS и КриптоПро и ходите уже в личный кабинет по адресу lk2012.budget.gov.ru .

Начнем с — validation failed or not avaliable yet.

Ошибка достаточно проста и бывает не всегда, касается она приблуды под названием — eXtended Container. Она видимо ставится в комплекте с Континент TLS клиент 2.0.14, но не в том виде который ожидает Jinn-Client. Идем в установку и удаление программ, находим eXtanded Container 1.0.2.2 или подобное. Ставим eXtanded Container 1.0.2.2 из набора того Джин клиента что у вас стоит, там же должен быть ключ.

Если нет ключа возможно этот пройдет. Клац.

лицензионный ключ E6FV-00BC-CLDE-00BC-0A49-0000-0009

В программах и компонентах будет что-то типа XC. Тогда ошибка validation failed or not avaliable yet возможно исчезнет.

Jinn-Client показывает иероглифы при подписи и виснет или нет подписей в списке на флешке.

Эта проблема касается только подписей по ГОСТ 2012 и происходит в lk2012.budget.gov.ru . Насколько я понял связанно это с тем что казначейство выдало подписи по гост 2012, но не совсем те. Возможно в следующий раз проблема уже не проявится.

Вы кстати знаете где смотреть какой ГОСТ у вашей подписи?

Так выглядит подпись с ГОСТ2012, очевидно для 2001 в этой секции будет ГОСТ 2001

Но сейчас надо что-то делать. Решительно качаем конвертер для подписей там есть инструкции. Если не доверяем мне идем на сайт читаем, качаем. Ставить ничего не надо. Распаковываем архив, запускаем.exe файл. Если в крипто про подписи установлены верно в появившимся окне будет выбор из всех подписей с пометками кто какого госта (если есть проблемы с КриптоПРО рекомендую ).

Важно, при конвертации с вас спросят поставить пароль даже если его не было. Отказаться нельзя, сойдет хоть пробел. Жмем далее и выбираем на какую флешку хоронить подпись. Появятся два файла с названием TE.cer и TEcont.p15. Переименовывать их нельзя и как следствие на одну флэху две подписи не запихать. Если кто знает как это провернуть буду благодарен за ответ в комментах.

Ну и при подписании документа не забываем в Jinn Client выставить свой пароль в поле — Пароль криптоконтейнера. Насчет галки «запомнить» не уверен, потому что черт ее знает где ее потом отжать если что.

Вот они, внизу.

Собственно на этом все, на этом Jinn Client должен перестать вам показывать иероглифы. Радуемся жизни и ждем новых подстав от майора Пейна.

Очередной федеральный геморрой подкрался планово, и как всегда... За основу будет взята инструкция присланная по электронке (с просьбой "инкогнито") дополненная моей лирикой и заметками. Ибо у нас всё заработало. По аналогии с закупками в ⇒ Облако закинул всё, что вам может понадобится.

Лирика и дополнения тоже имеют немаловажное значение, читайте от корки до корки.

Вводная . У нас всё настроено на работу через Internet Explorer версии 11 и стоит антивирус KES 10. После эпидемии шифровальщиков пришлось отключить "Сетевой экран" и теперь мы работаем через Брандмауэр Windows. В "огненной стене" никаких настроек не производилось, ЭБ-2012 работает без проблем. А вот настройки для KES 10 покажу позже. Internet Explorer 11 можно скачать у ⇒ Яндекса .

Итак, поехали...

Пункт №1 . Удалить все версии Jinn-Client и Continent TLS (если были установлены до этого). Перезагрузка.

Лирика . Если у вас не стоит какого-нибудь "самописного" ведомственного софта, рекомендую еще прогнать реестр утилитой Ccleaner . И чистить до тех пор, пока она не выдаст "Ошибок нет". Если стоит VirtualBox - останутся ошибки только от него. Перезагрузка.

Пункт №2 . Удалить Extended Container (если был установлен до этого). Перезагрузка.

Лирика . Я не разобрался как его удалить, остался он в системе - на конечный результат это не повлияло. В крайнем случае можно просто потом поставить свежий поверх. Вот тут нам могут понадобится библиотеки Microsoft Visual C++ (которые я положил в отдельную папку).

Информация . Наше Казначейство в этот раз промолчало, и я искал весь софт самостоятельно и ставил по инструкциям с форумов. В конечном итоге Extended Container стоит у нас не из "официального" дистрибутива, а версия 1.0.2.2 (папка "eXtendedContainer" в Облаке ).

Пункт №3 . Установить браузер Mozilla Firefox 63.0.1 (32-bit), можно обновить поверх старой версии.

Лирика . Пункт выполнил, но это не сработало, а вот настроенное через Firefox СУФД слетело. Получился лишний геморрой. Internet Explorer 11 - наше всё! Тут еще проблема в чём. Firefox и Chrome постоянно обновляются, а конечных требований к безопасности не сформировано,.. и расширения вылетают и отключаются... Firefox ESR тоже проходит этап глобальных изменений... Короче, лучше не трогать.

Пункт №4 . Установить CRL для ГОСТ-2012 (от админа в Доверенные корневые в Локальный компьютер). Скачать свежие можно с crl.roskazna.ru .

Для информации . В разных сертификатах Электронного бюджета указаны разные пути: crl.roskazna.ru и crl.roskazna.ru/crl/ . Если вдруг список окажется просроченным, то можно попробовать с другого адреса. Вдруг проканает.

Лирика . Это не понадобилось, ибо всю эту хрень мы уже проделывали с неудачной попыткой установки Континент-АП 3.7.7.651 (компьютер собран на серверном железе). Не знаю, как остальные, а мы откатились назад на Континент-АП 3.6.90.4 и продолжаем работать без проблем (Континенты ⇒ ). Ждём нормальную версию Континент-АП 4.0.

А вот с ГОСТ-2001 в "Электронном бюджете" возникли проблемы. И этот пункт будет полезен и для общего развития, и для решения проблемы... Как узнать откуда брать CRL (он же "Список отозванных сертификатов")?

Жамкаем дважды в Проводнике на проблемный сертификат. Переходим на вкладку "Состав" и выбираем строку "Точки распространения списка отзыва (CRL)". Получаем адреса... Запускаем любой интернет-браузер и вбиваем URL. Если "пусто" по всем адресам, ну чтож - мертворожденный... :(

То, что мы скачали нужно впихнуть в систему насильственно. И так каждый раз, когда список потеряет актуальность... В том же Проводнике двойной клик на скачанном файле и выбираем "Установить...":

И самое интересное, что пути скачивания прописаны в TLS 2.0, но эта c[мать щенка]а пишет, что по указанному адресу ничего нет.

И для информации : Оказывается сертификаты и контейнеры закрытого ключа независимы по сроку жизни друг от друга. Т.е. сертификат может быть актуальным, но подписать документ уже нельзя...

Пункт №5 . Устанавливаем личный сертификат пользователя через КриптоПро.

Пункт №6 . Зайти в КриптоПро и выставить на вкладке "Настройки TLS" чекбоксы "Не проверять сертификат сервера на отзыв" и "Не проверять назначение собственного сертификата".

Пункт №7 . Устанавливаем Континент TLS Client 2.0.1440. Перезагрузка.

Лирика . В процессе установки может возникнуть ошибка доступа... Это мы уже проходили ранее. Нужно разблокировать ветку реестра (прям в процессе установки), изменить права на её изменения. По умолчанию владельцем ветки является "система", а софт устанавливается от имени пользователя. Поскольку на компах такого уровня пользователи должны быть в "Администраторах" (проверено практикой), то и доступ даём соответственно:

Если возник вопрос "А что показано на картинке выше?"... Самим лучше не лезть, а попросить человека, который знает, что такое "Системный реестр Windows" и как с ним работать.

Пункт №8 . Производим настройку Континент TLS (см. руководство на сайте roskazna.ru, раздел "ГИС-Электронный бюджет").

• lk2012.budget.gov.ru
• lk.budget.gov.ru

Настройки TLS:

Пункт №9 . Регистрируем Континент TLS.

• Win+R и набрать %PUBLIC%\\ContinentTLSClient\\
• Найти файлик PublicConfig.json
• Открыть Блокнотом на редактирование
• В параметре SerialNumber вставить в кавычках значение "test-50000 "
• Перезапустить Континент TLS.

Лирика . Можно поступить проще, никакой крамолы в этом нет - зарегистрироваться официально. Денег за это не попросят.

Пункт №10 . Удаляем программу Extended Container через "Программы и компоненты" в Панели управления. Перезагрузка.

Лирика . Этот пункт я не выполнял. Я не понял, зачем её удалять, она абсолютно не мешает.

Пункт №11 . Устанавливаем Jinn Client 1.0.3050 (требуется серийный номер). Перезагрузка.

Лирика . Нам Казначейство выдало версию 1.0.1130.0, на работоспособности это никак не сказалось. Серийник берем со старой версии ранее выданного дистрибутива.

Пункт №12 . Устанавливаем Extended Container из дистрибутива с Jinn Client (требуется отдельный серийный номер).

Лирика . О каком серийном номере идёт речь я без понятия. Раньше его не было. Возможно имеется в виду выданный номер в свежем дистрибутиве. В отличии от Jinn ограничений на количество установок нет. Новый Extended (версия 1.0.2.2) ставил ранее в попытке решить проблему самостоятельно.

Пункт №13 . Заходим в C:\Program Files\Secure Code\CSP\ и находим файлик csp_uninstal.exe . Запускаем его и удаляем криптопровайдер от Кода Безопасности. Перезагрузка.

Пункт №14 . Заходим Устанавливаем JinnSignExtensionProvider (для взаимодействия с браузерами Chrome и Firefox).

Лирика . Этот пункт тоже пропустил, ибо у нас Internet Explorer 11. На Chrome я не пробовал, а Firefox не заработал.

Пункт №15 . Устанавливаем CadesPlugin (он же - КриптоПро ЭЦП Browser Plug-in).

Лирика . Скачать можно ⇒ . Качаем самую последнюю версию. Прописываем сайт "http://lk2012.budget.gov.ru" в настройки плагина:

Пункт №16 . Настраиваем браузеры:

• Internet Explorer : добавить в Надежные сайты - http://lk2012.budget.gov.ru и https://lk2012.budget.gov.ru
• Firefox: добавить расширение JinnSignExtension.xpi и отключить в настройках сети старую настройку прокси (выставить "Без прокси")
• Chrome: добавляем расширение JinnSignExtension (перетягиваем папку с расширением в окно установки расширений)

Лирика . Еще в Internet Explorer нужно отключить Proxy совсем:

ДАЛЕЕ то, чего не было в инструкции.

Создаём ярлыки на рабочем столе для обоих вариантов (ГОСТ-2001 и ГОСТ-2012) прописывая в объектах строки:

• "C:\Program Files\Internet Explorer\iexplore.exe" http://lk.budget.gov.ru/udu-webcenter
• "C:\Program Files\Internet Explorer\iexplore.exe" http://lk2012.budget.gov.ru/udu-webcenter

И на всякий случай в свойствах предусматриваем запуск от имени Администратора:

Это нужно для того, чтобы браузер не перескакивал во время работы на протокол HTTPS.

Настраиваем Антивирус . В сети рекомендуют отключать антивирус совсем. Отличная шутка, особенно на компьютере управляющем деньгами. Предлагаю настройки для Kaspersky Endpoint Security 10 . На других антивирусах нужно создать подобные правила.

Для начала отключаем проверку трафика:

Затем вносим в исключения контроля за программами обе версии (x86 и x64) Internet Explorer:

Конечно, это не правильно, но это меньшее зло из всех возможных.

Ключи конвертировать придётся. Качаем Конвертер закрытого ключа и там в архиве лежит файлик Readme.doc с инструкциями по установке. Для конвертации дополнительная флэшка не нужна, делаем всё на той же самой, просто добавятся файлы с новым форматом ключа. Носитель станет универсальным. Конвертируются без проблем как новые ключи, так и старые.

Смена пользователя стала намного проще. Теперь не надо перезапускать службу, достаточно просто поменять сертификат в строке "Сертификат пользователя по умолчанию" в настройках Континент TLS.

Удачи вам в нелёгкой борьбе с федеральными порталами!