Инструкция по настройке континента ап

Post Views: 25 646

Инструкция по установке Континент АП

1. Итак начнем )) Инсталяхать континент АП версии 3.7 (последней сборки). Дистрибутив можно получить в казначействе по письму, а можно скачать в интернете, или на нашем сайте. Лицензионный ключ для программы не нужен. Поэтому в процессе установки и во время использования ни каких лицензий нам не потребуется.

2. Конечно же для установки надо нажать пункт «Я принимаю условия соглашения». Классика жанра, не правда ли?

3. Убирайте чек бокс на против пункта Брандмаэур. Чем это грозит в некоторых случаях?? Если вы при подключении континента обнаружите что «у меня пропал интернет». Первым делом вспоминайте, не забыли ли Вы убрать этот пункт в начале установке?

4. Тут проще. Можете сразу нажать кнопку «Далее >». Этот шаг установки показывает путь, куда будет установлена программа.

5. Тут обратите внимание. Есть 2 варианта пути.
1 — Вы знаете Адрес сервера доступа и вписываете его сразу в процессе установки. На примере Ставропольского края:
2100-SD-01.roskazna.ru
2100-SD-02.roskazna.ru
2100-SD-03.roskazna.ru
2 — Вы не знаете Адрес, тогда после того, как Вы установите программу, звоните в свое казначейство и спрашивайте этот адрес.

6. Ну как и везде )) ждем заполнения зеленой полоски до правого края.

7. Ну вот оно )) дождались. Готово!!! Жмем снова «Далее >».

8. Кажется все на этом. Жмем Готово ))) нооо … продолжение следует!!
Вам предложат поиграться. Но это после перезагрузки компьютера.

9. Заключительный этап! ))) Целимся, тыкаем в мишень. Ругаемся, расслабляемся. У каждого этот процесс вызывает свои эмоции. Особенно яркие они с ноутбука!!! Когда нет мышки ))))) Вспоминается фильм «Миссия невыполнима»

10. На этом все! Значок появится в нижнем правом углу где часики. Выглядит он так. Серый цвет — когда не подключен. В активном состоянии он «посинеет».

11. Помните? Я упоминал в 5 пункте о том, что если Вы сразу не указали адрес доступа, это можно сделать потом. Вот это именно наш слуай. И кстати, все управление этой программой через правую кнопку мышки на этом значке.

12. Вводите свой Адрес СД. В данном примере указан адрес для Ставропольского края. Для каждого региона он свой.

Установка программного обеспечения
Работа с сертификатами
Создание запроса на сертификат
Регистрация сертификатов
Список доверенных серверов доступа
Настройка подключений
Создание нового профиля подключения
Подключение к серверу доступа
Автоматическое подключение к серверу доступа
Разрыв соединения с сервером доступа

СКЗИ Континет АП  — специализированное программное обеспечения, предназначенное для установки на местах удаленных пользователей. Абонентский пункт (ап) отвечает за подключение к корпоративным ресурсам и обмен информацией в зашифрованном виде.

Установочный комплекс содержит 4 каталога:

1.  TS — установочные пакеты ПО абонентского пункта;
2. Sable — ПО для поддержки совместной работы с ПАК «Соболь»;
3. third_party — стороннее ПО, необходимое для работы абонентского пункта;
4. token_libs — стороннее ПО, необходимое для работы с ключевыми носителями.

Установка программного обеспечения

1. Для установки стороннего ПО, необходимого для работы абонентского пункта, нужно установить пакеты, находящиеся в каталоге third_party. Для этого перейдите в каталог third_party, далее перейдите в подкаталог с номером версии используемой ОС и выполните команду:

sudo dnf localinstall *.rpm --disablerepo=*

2. Для установки стороннего ПО, необходимого для работы с ключевыми носителями, нужно установить пакеты, находящиеся в каталоге token_libs. Для этого перейдите в каталог token_libs, далее перейдите в подкаталог с номером версии используемой ОС установите пакеты, содержащиеся в подкаталоге.

3. Если программное обеспечение абонентского пункта должно соответствовать среднему уровню безопасности, необходимо перейти в каталог Sable/v.3.0/, далее — в подкаталог с номером версии используемой операционной системы и установить пакет, содержащийся в подкаталоге.

4. Для установки абонентского пункта необходимо перейти в папку TS, далее в подкаталог с номером версии используемой операционной системы и установить пакет, соответствующий требуемому уровню безопасности.

Низкий уровень безопасности:

sudo dnf localinstall cts-3.7.6-70.ks1.redos7.1.x86_64.rpm --disablerepo=*

Средний уровень безопасности:

sudo dnf localinstall cts-3.7.6-70.ks2.redos7.1.x86_64.rpm --disablerepo=*

Для удаления программного обеспечение абонентского пункта выполните команду:

sudo dnf remove cts

sudo systemctl restart cts

Работа с сертификатами

Создание запроса на сертификат

Вызовите контекстное меню пиктограммы абонентского пункта, расположенной на панели задач, и активируйте команду «Настройка → Запросить новый сертификат…».

Заполните необходимые поля и нажмите кнопку «Далее».

Выберите поставщика служб шифрования данных и, если необходимо, задайте имя ключевого контейнера и нажмите кнопку «Далее».

Укажите нужные сведения и нажмите кнопку «Далее». На экране появится завершающее окно мастера запроса сертификата, содержащий введенные сведения. Проверьте указанные сведения и нажмите кнопку «Готово». Если версия ПО абонентского пункта соответствует низкому уровню безопасности, на экране появится окно, предназначенное для накопления энтропии.

Если версия ПО абонентского пункта соответствует среднему уровню безопасности, на экране появится окно выбора ключевого носителя.

Выберите ключевой носитель и нажмите кнопку «ОК». На экране появится окно задания пароля для доступа к ключевому контейнеру. Задайте пароль и нажмите кнопку «ОК».

После на экране появится сообщение об успешном завершении создания запроса. Нажмите кнопку «ОК» в окне сообщения, извлеките ключевой носитель и передайте файл запроса администратору.

Регистрация сертификатов

На основании запроса, администратор сервера доступа создает и передает пользователю в виде файлов user.cer, root.p7b и serv.cer сертификат пользователя, корневой сертификат и серверный сертификат.

Регистрация корневого сертификата может быть выполнена пользователем в режиме администратора. Для этого необходимо войти в режим администратора и ввести пароль суперпользователя. Вызовите контекстное меню пиктограммы абонентского пункта, расположенной на панели задач, и активируйте команду «Режим администратора → Параметры». Для входа в режим администратора введите пароль суперпользователя и на экране появится окно в соответствии с выбранным пунктом меню. Выберите в меню пункт «Сертификаты» и перейдите на вкладку «Корневые». На вкладке отобразятся зарегистрированные корневые сертификаты.

Для регистрации корневого сертификата нажмите кнопку «Добавить». На экране появится окно для выбора файла. Откройте нужную папку, выберите файл сертификата и нажмите кнопку «Открыть». Сертификат появится в списке.

Список доверенных серверов доступа

Для установления соединения сервер доступа, к которому осуществляется подключение, должен входить в список доверенных серверов.

Откройте окно настроек абонентского пункта, выберите меню «Сертификаты» и перейдите на вкладку «Серверные». Для регистрации серверного сертификата нажмите кнопку «Добавить». На экране появится окно для выбора файла. Откройте нужную папку, выберите файл сертификата и нажмите кнопку «Открыть».

Настройка подключений

Создание нового профиля подключения

Вызовите контекстное меню пиктограммы абонентского пункта, расположенной на панели задач, и активируйте команду «Настройка → Параметры». На экране появится окно в соответствии с выбранным пунктом меню. В меню «Профили» подключений выберите нужного пользователя. В нижней части окна нажмите кнопку «Новое подключение».

На вкладке «Общие» введите имя нового подключения, укажите нужные значения параметров и перейдите на вкладку «Аутентификация».

Укажите сертификат пользователя и имя связанного с ним ключевого контейнера. Для этого используйте кнопку «Обзор».

Перейдите на вкладку «Параметры», проверьте значения, установленные по умолчанию, и при необходимости введите нужные значения.

При необходимости использовать прокси-сервер перейдите на вкладку «Прокси» и выполните настройку. По умолчанию прокси-сервер не используется.

Для сохранения установленных значений параметров нажмите кнопку «Применить».

Подключение к серверу доступа

Вызовите контекстное меню пиктограммы абонентского пункта, расположенной на панели задач, и выберите команду «Подключить». На экране появится окно «Установить соединение».

В поле «Соединение» укажите профиль подключения. Введите пароль доступа к ключевому контейнеру и нажмите кнопку «Соединиться».

Автоматическое подключение к серверу доступа

Вызовите окно настроек абонентского пункта. Откройте меню «Профили подключений» и выберите в списке нужное подключение. Перейдите на вкладку «Параметры» и у параметра «Вариант активации подключения» установите значение «Автоматическое подключение после входа пользователя в систему».

Введите пароль ключевого контейнера и PIN-код ключевого носителя и нажмите кнопку «Применить».

Разрыв соединения с сервером доступа

Вызовите контекстное меню пиктограммы абонентского пункта, расположенной на панели задач. В контекстном меню активируйте команду «Разорвать. Соединение» с сервером доступа будет разорвано. При этом пиктограмма абонентского пункта на панели задач примет вид «Отключено».

Дата последнего изменения: 24.10.2023

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

[!] — Страница создана в связи невероятно «веселой» установкой данного ПО.

Про установку Континент АП версии 3.7

В связи с массовым переходом на КАП 3.7
(Бесполезные советы по установке.
Посвящается тем кто пробует установить КАП методом «Дальше-дальше-Ок-перезагрузка»)
Я сделал всё,что мог…. Вы держитесь здесь. (с)
Почему вы видите это здесь:
Большинство Все инструкции по установке КАП которые я встречал предлагают установку в графическом режиме, только в некоторых указано, что установка производится членом группы администраторов, про установку без криптопровайдера и из командной строки не говорится ничего

Ликбез: Запуск командной строки с правами администратора в Windows 7

Ликбез:

3 совета для Windows 10

не использовать
если используете рекомендуется отключить обновления
если не отключили обновление остаётся использовать последние версии ПО
17:21, 8 октября 2018 (MSK)17:21, 8 октября 2018 (MSK)17:21, 8 октября 2018 (MSK)17:21, 8 октября 2018 (MSK)17:21, 8 октября 2018 (MSK)~

ful пишет: Из нашего УФК сообщили, что Континент не работает с 2012 гостом на Крипто про. Для этого рекомендуют ставить Континент с встроенным криптопровайдером, чтоб через него, потом генерировать ключи по новому госту.

В связи с тем, что эта печальная новость подтверждена разработчиками и криптопровайдер понадобится таки для генерации ключей КАП по новому ГОСТ для минимизации глюков остаётся ставить Криптопро и Континент АП последних версий с криптопровайдером. На текущий момент это: 4.0.9955 и 3.7.7.651 соответственно.

Continent_AP_3.7.7.651.exe /S /NR /LANG=RU /DO=INSTALL /NMSE
Криптопро последней версии пофиг на «посторонний» криптопровайдер

КАП последней версии не имеет проблем с сертификатами с «неправильными» символами

17:21, 8 октября 2018 (MSK)17:21, 8 октября 2018 (MSK)17:21, 8 октября 2018 (MSK)17:21, 8 октября 2018 (MSK)17:21, 8 октября 2018 (MSK)~~

Установка в графическом режиме, даже из под пользователя группы администраторы приводит к ошибкам, связанным очевидно с правами доступа к реестру, диску С: и папке Program Files и не позволяет избавиться от криптопровайдера.

Для любознательных: запускаем установщик с ключом /? читаем описание ключей командной строки 

Установка КАП с криптопровайдером приводит к ошибке, для решения которой предлагают поковырять реестр, а этого лучше избежать.

Возникает ошибка подписи с применением КриптоПро 4.0.9842 + Континент АП 3.7.426 на порталах СУФД и ФЗС

Важно! Версия Крипто про должна быть не ниже v4.0.9944

Если в BIOS включен Secure Boot, то отключите его.

Перед установкой удаляем предыдущие версии крипто-про и континент. Не экономим на количестве перезагрузок!

используйте утилиту очистки следов Континент-АП cspcleaner

или reg файлы для очистки следов Континента

Описание процесса удаления предыдущей версии КАП подробно от «Wmffre»

post=8546

Удалите установленный Континент-АП через «Установку и удаление программ»
Запустите C:\Program Files\Security Code\Terminal Station\csp\csp_uninst.exe (если есть)
Далее удалите вручную через кнопку «Удалить» (если осталось) «Continent 3 MSE Filter» в свойствах «Подключение по локальной сети»
Далее щелкните правой кнопкой мыши на значок «Мой компьютер» —> «Управление» —> левой кнопкой мыши выделите «Диспетчер устройств», вверху выберете «Вид», «Показать скрытые устройства» —> далее раскройте «Сетевые адаптеры» и удалите (если осталось) «Continent 3 PPP Device»
Далее удалите КриптоПро CSP через утилиту удаления.
Обязательно перезагрузитесь
После перезагрузки установите КриптоПро CSP 4.0.9944
Обязательно перезагрузитесь снова
После перезагрузки установите Континент-АП 3.7.5 без сетевого экрана
Обязательно перезагрузитесь
После перезагрузки, если устанавливали криптопровайдер SecurityCode CSP, сделайте твик реестра (на x86 есть только первая ветвь реестра) для совместной работы КриптоПро CSP и SecurityCode CSP Криптопро последних версий не использует реестр.

Устанавливать Континент АП только из командной строки от имени администратора без межсетевого экрана и криптопровайдера

Continent_AP_3.7.7.651.exe /S /NR /LANG=RU /DO=INSTALL /NMSE /NCSP

Перезагрузка
Прописываем сетевой адрес (или доменное имя) криптошлюза

Про сетевой адрес и доменное имя
Внимание доменное имя здесь показано для примера!
В каждом регионе своё. Необходимо его пропинговать и получить IP адрес

Если вы прописали доменное имя, и нет соединения с сервером, убедитесь что оно успешно пингуется
Попробуйте вместо имени вписать IP и установить соединение

C:\Users\Admin>ping ufk72-sd.roskazna.ru
Обмен пакетами с ufk72-sd.roskazna.ru [94.25.26.50] с 32 байтами данных:
Ответ от 94.25.26.50: число байт=32 время=94мс TTL=51

Чтобы не блокировалась локальная сеть — В свойствах своего сетевого подключения уберите чекбокс с Continent 3 MSE Filter

Будьте внимательны, при установке может проснуться Брандмауэр Windows, даже отключённый, необходимо дать в нём разрешения. Антивирус на время установки лучше выключить. Могут запрашиваться разрешения на установку драйверов — разрешаем

Запускать сам КАП потом тоже лучше от имени администратора.
Но, если установка делалась не из командной строки запуск КАП от имени администратора вам тоже не поможет — возникнут ошибки.

КАП 3.7 не распознаёт ключи сохранённые в реестре в реестре, и в некоторых случаях и не создаёт контейнер в реестре, хотя пишет, что создан. В связи с этим настоятельно рекомендуется создавать контейнер на флешке, откуда легко можно (и нужно!) сделать его копию.

Даже при отключённых обновлениях Windows периодически могут появляться ошибки целостности. Их можно попробовать обойти, обрезав файл

c:\Program Files\Security Code\Terminal Station\integrity.xml 

как показано ниже, естественно предварительно сделав копию.

Пример файла integrity.xml Хеш (циферки) у каждого свои!

 <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<integrity><catalog name="common"><entry name="ngc.exe"><file>C:\Program Files\Security Code\Terminal Station\ngc.exe</file>
<hash>EBB64993D92299B11721C324F06299E06143BA7967EDF9C57BCFA546B5A41268</hash></entry></catalog></integrity>

Далее запускаем ngs.exe чтобы убедиться, что проверка целостности проходит успешно.

Могут внезапно появиться ошибки типа «не найден модем»
В связи с тем, что автоматическое восстановление КАП 3.7 происходит в два этапа (удаление-перезагрузка-установка) и установка проходит уже не от администратора восстановление оказывается неэффективным, здесь поможет только удаление и установка КАП

Если вы обладатель «многолетнего» сертификата КАП не копируйте сертификат в контейнер, ибо Криптопро четвёртой версии считает что срок действия ключа не может превышать 15 месяцев, и возникает ошибка доступа к контейнеру. Если сертификата в контейнере нет срок не контролируется.

!!ТОЛЬКО ДЛЯ РЕГИОНОВ ГДЕ КРИПТОПРОВАЙДЕР КОД БЕЗОПАСНОСТИ ИСПОЛЬЗУЕТСЯ ДЛЯ ГЕНЕРАЦИИ КЛЮЧА КОНТИНЕНТ-АП

Amana пишет: Установили Континент-АП по инструкции через командную строчку. Но почему-то не установился второй криптопровайдер (код безопасности), с помощью которого надо было сгенерировать ключ.
Это не «почему то», оно специально так задумывалось, чтобы избежать потом проблем с подписанием документов в СУФД и с заявками ФЗС.
Но если он вам точно нужен то при установке убираете ключ /NCSP
Обновить Криптопро до версии минимум 4.0.9944 Переустановите плагин Криптопро.

!!!!!!!!!!!!!

+++

GraySlay 31.08.2018 12:14

пожелание здоровья разработчикам и распостранителям — непереводимая игра слов
Топикстартер, будьте так любезны, разместите информацию о том, что версия КАП 3.7.5, радостно втюхиваемая казной, откажется импортировать сертификат КАП, в случае если у пользователя куча ЭЦП, например, ЭЦП от Контура или СБИС.
+++

-*-*-*-*-*-*-*-*-*

Alex_04

«Неизвестная ошибка импорта сертификата» в Континент-АП_3.7.5.474.

Форум решения

ПРИЧИНА. В хранилище ОС «Сертификаты — текущий пользователь -> Личное -> Сертификаты» есть сертификаты ЮЛ (от «Тензор» или «Контур-Экстерн»), содержащие недопустимые для Континент-АП (почему-то?) символы «,+; Если в названии организации есть кавычки, то по ошибке разработчиков КАП-3.7.5.474 обращает внимание на такие сертификаты и отказывается дальше искать и устанавливать континентовский сертификат пользователя.

РЕШЕНИЕ. Как вариант предлагаю выполнить следующее.

1. Из указанного выше хранилища сертификатов УДАЛИТЬ все просроченные cer ЮЛ, содержащие кавычки.

2. Обязательно проверить версию установленного «КриптоПро ЭЦП Browser plugin» — д.б. последняя на текущий момент 2.0.13292! Если ниже — обновить до неё (прямая ссылка для скачивания с оф. сайта производителя — cryptopro.ru/products/cades/plugin/get_2_0 ).

3. Если остались действующие cer ЮЛ с кавычками — установить К-АП версии 3.7.5.514 (прямая ссылка для скачивания — AP_3.7.5.514.exe ) через bat-файл БЕЗ брандмауэра и криптопровайдера Security Code во избежание дальнейших проблем с подписанием документов в СУФД («тихая» установка) следующего содержания:

@echo off
echo  Установка Континент-АП без МСЭ и провайдера КБ
echo  ----------------------------------------------
pause
Continent_AP_3.7.5.514.exe /S /NR /LANG=RU /DO=INSTALL /NMSE /NCSP
echo  ----------------------------------------------
pause
exit

После окончания ОБЯЗАТЕЛЬНО перезагрузить компьютер!

4. При настройке аутентификации НЕ ИМПОРТИРОВАТЬ сертификат пользователя К-АП, а ВЫБРАТЬ ИЗ СПИСКА (он не очищается при переустановке К-АП разных версий) и нажать «ОК». Проверить соединение (разумеется, предварительно настроив его по DNS имени вместо IP адреса).

Именно такими окольными путями удалось заставить работать К-АП_3.7.5.514 под КриптоПро-4.0.9842 даже под Windows 7 Home Basic и XP sp3!

Если всё же ничего не помогло — ставить К-АП_3.7.7.651 (самый свежий на сегодня), скачав по прямой ссылке — AP_3.7.7.651.exe
—*-*-*-*-*-*-*—*-*

ful пишет: Из нашего УФК сообщили, что Континент не работает с 2012 гостом на Крипто про. Для этого рекомендуют ставить Континент с встроенным криптопровайдером, чтоб через него, потом генерировать ключи по новому госту.

В связи с тем, что эта печальная новость подтверждена разработчиками и криптопровайдер понадобится таки для генерации ключей КАП по новому ГОСТ для минимизации глюков остаётся ставить Криптопро и Континент АП последних версий с криптопровайдером. На текущий момент это: 4.0.9955 и 3.7.7.651 соответственно.

Continent_AP_3.7.7.651.exe /S /NR /LANG=RU /DO=INSTALL /NMSE

+++

Если всё пробовали и ничего не помогло:
Удаляем всё и пробуем ставить КриптоПро и Континент АП последних версий .
На текущий момент это: 4.0.9955 и 3.7.7.651 соответственно.

Для Windows XP

x3n0b4t3 24.08.2018 14:44

Для тех, кто все еще использует Windows XP и устанавливает версию 3.7.7: может возникнуть проблема с отсутствием модема, не решаемая переустановкой.
В диспетчере устройств будет не работающее «Continent 3 PPP Device», при попытке задействовать ругается на драйвер.
Подложил файл драйвера от предыдущей версии (в моем случае от 3.7.2) — cont3ppp.sys в C:\Windows\system32\drivers\, его же нужно исключить из integrity.xml, иначе не пройдет проверку целостности. Потом пересоздаем подключение.
(*) cont3ppp.sys от 3.7.5 тоже подойдёт
От версии 3.7.2

(*) Как попробовать достать контейнер КАП из реестра
(**) Как обойти ошибку целостности

Обход ограничений

Эксперименты проводить только убедившись в нормальном функционировании в штатном режиме
(***) Любителям виртуальных отчуждаемых носителей гуглить OsfMount

Helen 28.08.2018 10:17

А если флешку под этот серт. жалко, можно создать логический диск (или использовать имеющийся). КриптоПро считает его типа съемным. Можно скопировать контейнер на него. У меня работает.
и еще — в настройках аутентификации надо ставить «использовать расширенный сертификат»

(****) Желающим расшарить соединение КАП гуглить HandyCash или 3proxy

Настройка 3proxy
Настройка HandyCash

Ошибки и их решения

• 4701 — «Континент-АП». Ошибка 0x80092004

Проблема
При подключении «Континент-АП» выдает ошибку «Не найдены цепочки сертификатов в хранилище «_», присланном сервером 0x80092004 (ОБъект или свойство не найдено).

Симптомы
Установлен Континент-АП, криптопровайдер. Используется криптопровайдер CSP.

Решение
Возможно, при установке «Континент-АП» был выбран физический ДСЧ, но ПАК «Соболь» на ПК отсутствует. Необходимо переустановить Континент-АП и выбрать биологический датчик случайных чисел.

ИСТОЧНИК:

• Про установку Континент АП версии 3.7
• Установка Континент АП
• Настройка Континент АП