Меню

Континент TLS Система обеспечения защищенного удаленного доступа к веб приложениям с использованием алгоритмов шифрования ГОСТ

Континент TLS — Система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ

Континент TLS. Проблемы и решения

Необходимость обеспечения удаленного доступа к веб-приложениям с использованием алгоритмов ГОСТ. Удаленный доступ к веб-приложениям без использования сертифицированных российских средств шифрования с поддержкой ГОСТ к системам, содержащим персональные данные и другую конфиденциальную информацию, может привести к взысканиям со стороны проверяющих органов.

  • Сертифицированное ФСБ России решение для обеспечения защищенного удаленного доступа к веб-приложениям. Континент TLS VPN обеспечивает защиту трафика между удаленным пользователем и веб-приложением с использованием алгоритмов ГОСТ.

Высокие затраты на встраивание криптобиблиотек с поддержкой ГОСТ в веб-приложения. При встраивании криптобиблиотек в веб-приложения при каждом изменении кода необходимо проходить дорогостоящую и долгую процедуру контроля корректности встраивания.

  • Выделение механизмов шифрования на отдельное устройство перед веб-приложением. Континент TLS VPN реализован в виде отдельного устройства. Его использование не требует затрат на проведение процедуры корректности встраивания.

Высокая стоимость клиентского ПО для работы с веб-приложением по зашифрованному алгоритмами ГОСТ каналу. Для использования алгоритмов ГОСТ на рабочих станциях пользователей необходимо купить и развернуть криптобиблиотеки. Это существенно увеличивает стоимость внедрения системы в случае масштабного проекта по организации защищенного удаленного доступа.

    Низкая стоимость удаленного доступа на одного пользователя. «Континент TLS VPN клиент» распространяется бесплатно. Лицензируется только число одновременных подключений.

Высокие затраты на управление политикой удаленного доступа.Настройка прав и контроль доступа пользователей к корпоративным веб-приложениям требует высоких затрат.

  • Продвинутые механизмы контроля доступа. Интеграция «Континент TLS VPN сервер» с Active Directory и пользовательский портал приложений значительно сокращают затраты на управление доступом удаленных пользователей.

Континент TLS. Основные преимущества

Сценарии применения

Защита информации в госорганизациях

В ИС государственных органов обрабатывается огромное количество информации. Т.к. для злоумышленников эти данные представляют большую ценность, государство требует их обязательной защиты. Нарушение законодательства в области перс.данных влечет за собой административную и уголовную ответственность.

Защита персональных данных в соответствии с приказом ФСТЭК России № 21

Защита государственных информационных систем, систем персональных данных и значимых объектов критической информационной инфраструктуры в соответствии с требованиями приказов ФСТЭК № 17, 21, 31, 239

Ключевые возможности Континент TLS

— Криптографическая защита трафика по алгоритмам ГОСТ.

— Два режима аутентификации TLS: Анонимный TLS: Аутентификация сервера без необходимости аутентификации пользователя. Взаимная аутентификация сервера и пользователя.

— Разграничение прав доступа удаленных пользователей с помощью портала приложений.

— Туннелирование TCP-трафика через протокол TLS.

— Интеграция с Active Directory.

— Использование удобного для пользователей программного клиента: «Континент TLS VPN Клиент» и «КриптоПро CSP» 3.9/4.0.

— Работа пользователя через любой веб-браузер.

Источник



Континент tls клиент инструкция

Континент TLS VPN клиент 2.0.1440 необходим для работы с сертификатом электронной подписи ГОСТ Р 34.10-2012. Континент TLS VPN клиент 1.0.920.0 не работает с сертификами ГОСТ 2012.

Данный дистрибутив скачан с сайта производителя и имеет ограничение в работе 14 дней. При регистрации Континента через интернет это ограничение снимается. Приобретать лицензию на СКЗИ «Континент TLS VPN Клиент» не надо. Клиенты казначейства также могут получить данное СКЗИ в местном казначействе.

Континет TLS VPN клиент используется для работы с информационными системами:

  • 1. Электронный бюджет (Федеральное казачейство) budget.gov.ru
  • 2. ФГИС ЦС (Главгосэкспертиза) fgiscs.minstroyrf.ru

Сертификаты сервера «Континент TLS VPN» (lk2012.budget.gov.ru и lk.budget.gov.ru)

Инструкция по установке Континент TLS VPN клиент 2.0.1440

Перед установкой Континента ТЛС версии 2 необходимо удалить предыдущую версию Континента (если конечно она была установлена) через Пуск > Панель управления > Программы > Программы и компоненты. Потом перезагрузить компьютер.

Скачанный дистрибутив необходимо разархивировать и запустить файл «Континент TLS-клиент.exe»

Континент TLS-клиент.exe

Далее в появившемся окне отмечаем чекбокс «Я принимаю условия лицензионного соглашения» и нажимаем кнопку «Установить».

Континент TLS-клиент установить

После успешной установки предлагается перезагрузить компьютер — соглашаемся.

Континент TLS-клиент. Установка завершена

Далее необходимо зарегистрировать СКЗИ «Континент TLS VPN Клиент». При запуске незарегистрированной программы появится следующее окно.

Континент TLS VPN клиент 2.0.1440 Вы используете незарегистрированную версию программы

Если в течение 14 дней не зарегистрировать программу, то по окончании демонстрационного периода работа программы будет приостановлена.

Если не зарегистрировались сразу, то форму регистрации ищите в Континент TLS Клиент на вкладке «Настройки» > раздел «Регистрация» > кнопка «Начать» под полем «Онлайн-регистрация».

Континент TLS клиент регистрация

В открывшемся окне заполняем поля: Фамилия, Отчество, Электронная почта, в поле Адрес сервера регистрации (если не было указано) пишем «registration.securitycode.ru», нажимаем «Готово».

Континент TLS клиент регистрация

После успешной регистрации всплывает окно. Ограничение демонстрационного периода (14 дней) снято.

Континент TLS Клиент. Оповещение. Регистрация окончена

Для регистрации Континент TLS Клиент работникам казначейства (компьютер находится в локальной сети казначейства) необходимо внести изменения (выделены красным) в файл PublicConfig.json.

<
«loggingConfig»: <
«fileLogMaxSize»: 3145728,
«fileLoggingDirectory»: «C:\\Users\\Public\\ContinentTLSClient\\»,
«fileLoggingEnabled»: true,
«sessionLogsEnabled»: false
>,
«serialNumber»: « test-50000 »
>

Настройка СКЗИ «Континент TLS VPN Клиент» для работы в Электронном бюджете

Запускаем Континент TLS VPN Клиент (через меню пуск или иконку на рабочем столе). В открывшемся окне нажимаем «Главная» > «Добавить» > «Ресурс».

Читайте также:  Инструкция по применению Троксерутина

Настройка континента TLS VPN клиент

В окне добавления ресурса прописываем следующее:

  1. Если используете сертификат пользователя по ГОСТ 2012, то пишем:
    • Адрес: lk2012.budget.gov.ru
    • Имя ресурса: lk2012.budget.gov.ru
    • Удаленный порт: 443
    • Тип: Прокси
  2. Если используете сертификат пользователя по ГОСТ 2001, то пишем:
    • Адрес: lk.budget.gov.ru
    • Имя ресурса: lk.budget.gov.ru
    • Удаленный порт: 443
    • Тип: Прокси

Нажимаем «Сохранить». В соединениях отобразиться «lk2012.budget.gov.ru» или/и «lk.budget.gov.ru».

Континент TLS VPN Клиент. Добавление ресурса

Далее идем в раздел «Настройки» > «Основные». Ставим галочки в следующих чекбоксах:

  • Проверять сертификаты по CRL
  • Запускать при старте системы
  • Скачивать CRL автоматически
  • При запуске свернуть в системный трей

Получаем страницу с такими настройками. Нажимаем «Сохранить».

Континент TLS VPN Клиент. Настройки. Основные.

Следующий этап — настройка прокси. Раздел «Настройки» > «Внешний прокси» ставим галку «Настраивать автоматически» и сохраняем.

Континент TLS VPN Клиент. Настройка. Внешний прокси.

Следующий этап — настройка сертификатов. Идем на вкладку «Управление сертификатами» > раздел «Серверные сертификаты» > «Импортировать».

Континент TLS VPN Клиент. Серверные сертификаты. Континент TLS VPN Клиент. Серверные сертификаты. Загрузка.Если у вас нет серверных сертификатов, то качаем…
Сертификат сервера «Континент TLS VPN» ГОСТ Р 34.10-2012
Сертификат сервера «Континент TLS VPN» ГОСТ Р 34.10-2001

Континент TLS VPN Клиент. Серверные сертификаты.

В результате добавления сертификатов видим следующее.

Далее проверяем вкладку пользовательские сертификаты. Если вашего сертификата там нет, то его необходимо установить через КриптоПро. Инструкция по установке личного сертификата в КриптоПро тут. Если сертификат установлен, то видим следующее.

Континент TLS VPN Клиент. Пользовательские сертификаты.Идем на вкладку «Управление сертификатами» > раздел «CDP» > кнопка «Скачать CRL». Континент TLS клиент 2.0 скачать дистрибутив, настройка, сертификаты сервера, инструкция по установкеНа панели задач внизу справа нажать правой кнопкой мыши на значок «Континент TLS Клиента» и выбрать пункт «Сброс соединений».

Источник

Инструкция по установке Континент TLS-клиента

Контактные телефоны для получения электронной подписи:

— 79-07-93.

  • Если на компьютере установлен «КриптоПро CSP 4.0» (продукт платный, лицензия должна быть активна), установка ЭП происходит средствами «КриптоПро CSP». Если свободной лицензии нет переходите к шагу 3 этой инструкции.
    1. Вставьте носитель (флешку) с ЭП и запустите «КриптоПро CSP 4.0», перейдите во вкладку «Сервис» и нажмите кнопку «Посмотреть сертификаты в контейнере…».
    2. В открывшемся окне нажмите кнопку «Обзор…» и выберите носитель с ЭП ГУИТа.
    3. Появится окно «Сертификат для просмотра». Убедитесь в правильности выбранного сертификата и нажмите кнопку «Установить». После этого нужно нажать «Готово».
  • Если нет лицензии на «КриптоПро CSP 4.0», то для корректной работы ЭП в «Континент TLS-клиенте» необходимо выполнить следующие шаги:
    1. Зарегистрируйтесь на сайте КриптоПро. После регистрации на указанную вами почту придет письмо, перейдите по ссылке в письме.
    2. После авторизации скачайте «КриптоПро CSP 4.0».
    3. Пример установки «КриптоПро CSP 4.0» описан в инструкциии (в инструкции смотреть только порядок установки).
    4. Установленный вами «КриптоПро CSP 4.0» действителен 3 месяца (после истечения срока вы не сможете им пользоваться) и нужен для конвертации ЭП в подпись принимаемую «Континент TLS-клиентом».Для конвертации необходимо выполнить шаги с 1 по 21 (при появлении окна «Подтверждения» нажмите «Да», заполните обязательные поля в окне «Регистрации», и нажмите «Готово») в инструкции «[Конвертирование ЭП для работы в TLS-клиенте]».
    5. После конвертации и установки ЭП перейдите к шагу 4.2 этой инструкции
  • Скачайте «Континент TLS-клиент» и распакуйте содержимое архива в отдельную папку.
    1. Запустите установку «Континент TLS-клиента». В открывшемся окне установите галочку «Я принимаю условия лицензионного соглашения», нажмите «Установить». После установки перезагрузите компьютер.
    2. Запустите «Континент TLS-клиент» («Пуск» – «Код безопасности» – «Континент TLS-клиент»). Откроется окно «Подтверждение», нажмите «Да». В окне регистрации заполните обязательные поля. Выберите КС1. (Адрес сервера регистрации оставьте без изменений).
    3. Скачайте сертификаты ГУИТа и Минкомсвязи России . После этого в « Континент TLS-клиент е» от кройте вкладку «Управление сертификатами» – « Серверные сертификаты», нажмите кнопку «Импортировать» и добавьте скачанные сертификаты.
    4. Скачайте сертификаты отзывов ГУИТа и Минкомсвязи России. Перейдите во вкладку «CDP», нажмите «Импортировать CRL» и добавьте оба сертификата.
    5. В колонке «Статус» на вкладках « Серверные сертификаты» и «CDP» должно отобразится «Действителен».
    6. Во вкладке «Настройки» – «Основные» – «Сертификат пользователя по умолчанию» укажите установленный ранее сертификат пользователя, в «Предупреждать об истечении срока действия сертификата» укажите 14 дней, установите галочку на «При запуске свернуть в системный трей», укажите «срок действия CRL» равный 365 дням и «Период скачивания CRL» равный 1 часу. После чего нажмите «Сохранить».
    7. Далее перейдите на вкладку «Главная», нажмите кнопку «Добавить» – «Сервер». В поле «Адрес» введите адрес: 82.200.84.27 и «Имя сервера»: GUIT. Нажмите «Сохранить».
    8. Во вкладке «Главная» появится новое соединение с именем GUIT и запрос на обновление списка ресурсов TLS-сервера (в правом нижнем углу). Нажмите на него. После обновления на вкладке «Главная» отобразятся списки защищенных ресурсов.
  • Далее переходите в браузер (желательно Google Chrome или Mozilla Firefox). В адресной (не поисковой) строке браузера вводим адрес АИС: http://tls.dou.omskportal.ru

    Работа в АИС происходит как обычно.

    Читайте также:  Купить оптом Гель для унитаза Sanfor Speсial Black 750г

    Программа для удаленного доступа TeamViewer QuickSupport.

    Источник

    Подключение к СУФД через Континент TLS.

    Недавно клиенты Федерального казначейства по Челябинской области получили письмо «О переключении клиентов СУФД-портала на работу через TLS». В письме Федеральное казначейство информирует о том, что это переключение необходимо завершить до 31.05.2021 года.

    Я решил опубликовать небольшую статейку, касающуюся этой темы. Кстати, ниже в тексте, вы можете видеть заголовок этого письма:

    Континент TLS — это средство криптографической защиты информации (СКЗИ), которое выдает Федеральное казначейство по Челябинской области своим клиентам, для работы в системе «Электронный бюджет». Ну, и значит, теперь еще будут выдавать тем, кто работает в СУФД. С чем это связано, спросите вы? Могу только предположить, что это связано с тем, что теперь не нужно будет получать «транспортный сертификат» Континент-АП, достаточно будет личного сертификата клиента, с помощью которого производится подпись электронных документов в СУФД.

    Если у вас в организации настроено рабочее место для работы в «Электронном бюджете», то вам беспокоиться не о чем. С этого же рабочего места можно будет подключиться к СУФД. Для этого надо установить браузер с поддержкой ГОСТ-шифрования, например Chromium GOST и ввести адрес: https://ufk69.sufd.budget.gov.ru. Специально не стал делать этот адрес ссылкой, чтобы удобнее было его копировать. Для тех, у кого рабочее место для работы в «Электронном бюджете» не настроено и предназначена моя статья.

    Итак, приступим. Первое, что необходимо знать — это минимальные требования к компьютеру, на котором планируется работать в СУФД. Общее ППО клиентского уровня должно удовлетворять следующим требованиям:

    • Операционная система не ниже Microsoft Windows 7;
    • Крипто Про CSP browser plug-in версия 2 и выше;
    • Браузер, поддерживающий работу плагина Internet Explorer 11 или браузер Chromium GOST с ГОСТ-шифрованием;
    • «Крипто Про CSP» версия 4.0;
    • «Континент TLS клиент» версии 2.0.

    Если СКЗИ Континент TLS 2.0 не установлен, то его необходимо получить в казначействе. Письмо о выдаче СКЗИ можно скачать отсюда. После получения и установки Континента TLS, необходимо выполнить небольшие настройки:

    Открыть «Континент TLS-клиент». Запустить Континент TLS клиент можно с помощью ярлыка на рабочем столе или перейти в меню «Пуск» -> «Все программы» -> «Код безопасности» -> «Континент TLS-клиент». В меню Континент TLS-клиента необходимо нажать на «+ Добавить» и выбрать вкладку «Ресурс». В появившемся окне поля заполняются следующими значениями: Адрес — «ufk69.sufd.budget.gov.ru», Удаленный порт — «443». Всё проделанное иллюстрирует рисунок ниже:

    Перейти во вкладку «Управление сертификатами». Выбрать раздел «Серверные сертификаты». Нажать на кнопку «Импортировать». В открывшемся меню выбрать необходимый файл (скачать сертификат можно отсюда). Все проиллюстрировано на рисунке ниже:

    После проведения вышеуказанных процедур вход в СУФД-Портал осуществляется по ссылке: https://ufk69.sufd.budget.gov.ru. Конечно, не надо забывать, что в личное хранилище на рабочем компьютере уже должен быть установлен личный сертификат. Как это сделать, я рассказывал тут. После перехода на СУФД-портал должно открыться окно выбора сертификата.

    Если на рабочей станции в СУФД-Портале работают пользователи под разными учетными записями (руководитель, главный бухгалтер), то для переключения между пользователями необходимо сбросить TLS соединение и зайти заново. Для этого, выходим из СУФД-Портала. Закрываем браузер. Далее в правом нижнем углу нажимаем правой кнопкой на ярлык Континент TLS-клиента и в открывшемся меню выбираем «Сброс соединений». Это показано на следующем рисунке:

    Для удобства, клиентам УФК по Челябинской области, рекомендую скачать и установить необходимое ПО из этого архива. Содержимое архива устанавливается в два этапа:

    • Подкаталог 1 «Установка с правами администратора». Устанавливаем последовательно Континент TLS, КриптоПро браузер плагин и корневые сертификаты. Все программы запускаем от имени администратора;
    • Подкаталог 2 «Установка под пользователем». Запускаем автонастройку Континент TLS с помощью *.bat файла.

    Вот вроде и все, что хотелось рассказать. Отмечу, что если вы будете работать в СУФД через браузер Internet Explorer, то не забудьте добавить в список надежных узлов портал СУФД. Это можно сделать во вкладке «Безопасность». Выбираем «Надежные узлы» и нажимаем кнопку «Сайты». В появившемся окне вводим сайт «https://ufk69.sufd.budget.gov.ru» и нажимаем кнопку «Добавить». На этом все!

    И напоследок. Если вам понравилась эта статья и вы почерпнули из нее что-то новое для себя, то вы всегда можете выразить свою благодарность в денежном выражении. Сумма может быть любой. Это вас ни к чему не обязывает, все добровольно. Если вы всё же решили поддержать мой сайт, то нажмите на кнопку «Поблагодарить», которую вы можете видеть ниже. Вы будете перенаправлены на страницу моего сайта, где можно будет перечислить любую денежную сумму мне на кошелек. В этом случае вас ждет подарок. После успешного перевода денег, вы сможете его скачать.

    Источник

    Настройка рабочего места для доступа к СУФД в 2021 году.

    Наконец то мы дождались изменений в настройке доступа к СУФД. С мая 2021 года УФК планомерно переводит ведомства на новый тип авторизации на портале. Что изменилось?

    p, blockquote 1,0,0,0,0 —>

    Уходят в небытие забытые пароли, учётные записи и, самое главное, казначейство наконец избавляется от Континент АП 3.7. К сожалению, сама контора, разрабатывающая континент — никуда не делась, вместо неё теперь используется Континент TLS VPN клиент. Зато теперь больше не нужно перевыпускать транспортные сертификаты =).

    p, blockquote 2,0,0,0,0 —>

    Что нам понадобится для настройки

    1. Сертификат, полученный в казначействе на человека, указанного в карточке образцов подписей;
    2. Крипто Про CSP 4;
    3. Крипто Про ЭЦП Browser Plugin;
    4. Континент TLS VPN клиент;
    5. Почти любой современный браузер, но лучше всего подойдёт Chrome или Chromium Gost.
    5. Серверный сертификат казначейства, его можно скачать по ссылке;
    6. Нужно знать прошлый адрес доступа к СУФД, либо знать код ТОФК.

    p, blockquote 3,0,1,0,0 —>

    Подготовка к настройке

    1. Обязательно удаляем континент АП (если был), с обязательной перезагрузкой;
    2. Первым делом нужно поставить Крипто Про CSP 4, желательно версии R5. Можно скачать с официального сайта, пробный бесплатный период использования — 3 месяца. Потом покупать, либо просить у казначейства;
    3. Затем устанавливаем Континент TLS VPN клиент. Казначейство рекомендует версию 1.2, именно её можно получить сделав запрос в УФК, но я пользуюсь версией 2.0. Скачать Континент TLS VPN клиент 2.0 можно по ссылке;
    4. После установки Континент нужно зарегистрировать — это бесплатно. Достаточно просто вбить ФИО, организацию и электронную почту.
    5. Устанавливаем личный сертификат, полученный в казначействе. Если не умеете — см. статью Установка сертификатов Крипто Про в реестр.
    6. Устанавливаем CADES, он же Крипто Про ЭЦП Browser Plugin. Ссылка на его загрузку — Тык.

    p, blockquote 4,0,0,0,0 —>

    Настройка Континент TLS VPN клиента

    После установки всего и перезагрузки АРМ, запускаем наш TLS клиент. Его ярлык будет лежать на рабочем столе.

    p, blockquote 5,0,0,0,0 —>

    В меню Континент TLS-клиента необходимо нажать на «+ Добавить» и выбрать вкладку «Ресурс». В это поле вписываем адрес нашего суфд портала, но не старый адрес. Порт указываем 443.

    Новый адрес выглядит по принципу: ufkXX.sufd.budget.gov.ru, где XX — номер вашего ТОФК. Если не знаете номер — посмотрите на прошлую ссылку, по которой ранее ходили в СУФД. В моём случае старый адрес выглядел так: s2000w03.ufk20.roskazna.local. Делаем вывод, в моём случае, для моего региона, новый адрес доступа к СУФД будет выглядеть так — ufk20.sufd.budget.gov.ru.

    p, blockquote 7,1,0,0,0 —>

    Далее нам потребуется установить серверный сертификат. Напоминаю, что скачать его можно тут. Идём в раздел «Управление сертификатами» в континент TLS, выбираем пункт «Серверные сертификаты» и импортируем скачанный файлик.

    p, blockquote 8,0,0,0,0 —>

    Если на АРМ ранее не пользовались электронными подписями — будет ошибка типа «Не найден корневой сертификат, невозможно проверить цепочку сертификатов«. Скорее всего не установлены сертификаты минкомсвязи и удостоверяющего центра ФК.

    p, blockquote 9,0,0,0,0 —>

    Для удобства — вот ссылка на сертификат минкомсвязи. Его устанавливаете в Доверенные корневые центры сертификации. А вот ссылка на актуальные корневые сертификаты УФК, их устанавливаете в Промежуточные центры сертификации.

    p, blockquote 10,0,0,0,0 —>

    Если ошибок нет, сертификат говорит что он действителен, пройдите на соседнюю вкладку «CDP» и прожмите пункт «Скачать CRL».

    p, blockquote 11,0,0,1,0 —>

    В настройках Континента можно включить автоматический старт программы при запуске компьютера — это удобно.

    p, blockquote 12,0,0,0,0 —>

    Вход в СУФД по новому адресу после настройки

    Открываете свой любимый браузер. Удостоверьтесь в том, что Крипто Про ЭЦП Browser plugin включён и работает. Новый адрес доступа к СУФД будет выглядеть как в процессе настройки TLS клиента — то есть в моём случае это ufk20.sufd.budget.gov.ru.

    p, blockquote 13,0,0,0,0 —>

    Если всё настроено верно, то попытка зайти на портал попросит вас сразу же выбрать сертификат, под которым будет осуществлён вход.

    p, blockquote 14,0,0,0,0 —> p, blockquote 15,0,0,0,1 —>

    Из неудобного — для подписания документов другим человеком теперь недостаточно перезайти в СУФД, так как сайт будет помнить, под каким сертификатом прошла авторизация. Чтобы зайти под другим человеком, нужно предварительно сбросить TLS соединение. Для этого в правом нижнем углу нажмите правой кнопкой на значок Континент TLS и нажмите «Сброс соединений»

    Источник