Подключение осуществляется при помощи программного обеспечения российского производства и отечественных протоколов шифрования.
Термины:
абонентский пункт - программное обеспечение для связи по защищённому каналу
запрос сертификата - создание закрытой части ключа у Вас, создание файла-запроса, отправка его в службу технической поддержки
установка сертификата - установка полученного сертификата в абонентский пункт.
Инструкция по установке СКЗИ «Континент-АП»
Общий порядок установки:
- Установка абнентского пункта
- Создание запроса на сертификат
- Получение сертификата и его установка в абонентский пункт
- Подключение к сети Минздрава РФ
Внимание!
- Если на компьютере используется UEFI с возможностью включения и отключения опции безопасной загрузки (Secure Boot), перед установкой АП данную опцию необходимо отключить. В противном случае установка АП завершится с ошибкой.
- При использовании абонентского пункта совместно с криптопровайдером "КриптоПро CSP" необходимо перед установкой абонентского пункта установить эти аппаратные и программные продукты согласно эксплуатационной документации на них.
Установка абонентского пункта
Для установки программного обеспечения:
- Войдите в систему с правами администратора компьютера.
2. Завершите работу всех приложений, выполняющихся на компьютере.
3. Скачайте файл ts_setup.exe и его, после соглашения с предупреждением о внесении изменений в компьютер, появися следующее окно:
4. Нажмите кнопку "Далее >" для продолжения установки.
На экране появится диалог "Лицензионное соглашение".
5. Прочтите лицензионное соглашение, поставьте отметку в поле "Я принимаю условия лицензионного соглашения" и нажмите кнопку "Далее >".
На экране появится диалог "Компоненты устанавливаемой программы".
6. Удалите установленную отметку у компонента "Брандмауэр", нажмите кнопку "Далее >":
7. На экране появится диалог "Выбор папки установки".Нажмите кнопку "Далее >":
8. На экране появится диалог "Конфигурация АП". Параметр "Имя RAS соедининия" отвечает за то, как будет назваться создаваемое подключение к сети Минздрава РФ. Введите вместо "Континент АП" желаемое наименование. Рекомендуемое значение: Минздрав РФ.
Адрес сервера доступа - введите: ap.rosminzdrav.ru
Уровень безопасности: низкий
Нажмите кнопку "Установить".
10. По окончании процесса копирования в верхней части диалога появится сообщение "Установка завершена", а кнопка "Далее >" станет активной.Нажмите кнопку "Далее >".
На экране появится заключительное окно мастера установки с запросом на перезагрузку компьютера.
Внимание! Работа установленных компонентов возможна только после перезагрузки компьютера.
Выберите вариант перезагрузки компьютера и нажмите кнопку "Готово", произойдет перезагрузка компьютера.
Для уровня безопасности "Низкий" после перезагрузки и автоматического запуска абонентского пункта появится диалоговое окно встроенного криптопровайдера "Код Безопасности CSP".
Следуйте указаниям, отображаемым в данном диалоге.
После установки абонентского пункта и перезагрузки компьютера:
– в элементе управления Windows "Панель управления \ Сетевые подключения" появится новое сетевое подключение "Континент-АП";
– в меню "Все программы" главного меню Windows появится подменю "Код Безопасности \ Континент АП 3.7", которое содержит пункты "VPN клиент", "Код Безопасности CSP", "Контроль целостности", "Брэндмауэр", "Удаление Континент АП";
– на панели задач Windows появится пиктограмма абонентского пункта.
Вы успешно установили программное обеспечение Континент-АП.
Вызов меню управления абонентским пунктом
Управление абонентским пунктом выполняется с помощью специального меню.
Для вызова меню управления абонентским пунктом:
– Наведите указатель мыши на пиктограмму абонентского пункта, расположенную на панели задач Windows, и нажмите правую кнопку мыши.
На экране появится меню управления абонентским пунктом.
Цвет пиктограммы абонентского пункта указывает на наличие или отсутствие соединения с сервером доступа:
Получение пользователем сертификатов
Для создания защищенного соединения между абонентским пунктом и сервером доступа пользователю абонентского пункта необходимо получить у администратора безопасности и зарегистрировать на своем компьютере следующие сертификаты:
– сертификат пользователя абонентского пункта;
– сертификат корневого центра сертификации, удостоверяющий сертификат пользователя.
Пояснение. Кроме сертификатов пользователь должен иметь ключевой носитель (USB-флеш накопитель), в котором содержится ключевой контейнер с закрытым ключом сертификата пользователя, и знать пароль доступа к нему. Пароль следует держать в секрете. Передавать ключевой носитель другому лицу нельзя.
Предусмотрены следующие варианты получения пользователем сертификатов:
– администратор безопасности передает пользователю абонентского пункта корневой и пользовательский сертификаты вместе с ключевым носителем, на котором хранится закрытый ключ сертификата пользователя. Администратор также сообщает пользователю пароль доступа к ключевому контейнеру, содержащему закрытый ключ сертификата пользователя.
От пользователя в этом случае не требуется никаких предварительных действий;
– по требованию администратора безопасности пользователь абонентского пункта создает на своем компьютере запрос на получение сертификата пользователя. Запрос создается средствами абонентского пункта. Одновременно с запросом будет создан закрытый ключ сертификата пользователя, при этом пользователь самостоятельно назначает пароль доступа к ключевому контейнеру. Созданный запрос на получение сертификата пользователь передает администратору безопасности, а закрытый ключ хранит у себя. На основании полученного от пользователя запроса администратор создает сертификат и передает его пользователю. При необходимости администратор также передает пользователю сертификат корневого центра сертификации.
После получения сертификатов пользователь должен выполнить процедуру регистрации сертификатов на компьютере.
Создание запроса на получение сертификата пользователя
Запрос на получение сертификата создается пользователем средствами абонентского пункта по требованию администратора безопасности. Одновременно с запросом средствами криптопровайдера генерируется закрытый ключ пользователя. Запрос в виде файла сохраняется в указанную пользователем папку, ключевой контейнер с закрытым ключом сохраняется на ключевом носителе, указанном в настройках.
Перед тем как приступить к созданию запроса, приготовьте ключевой носитель (USB-флеш накопитель) для записи ключевого контейнера.
Для создания запроса на получение сертификата:
1. Вызовите контекстное меню пиктограммы абонентского пункта, расположенной на панели задач Windows.
2. В меню "Сертификаты" активируйте команду "Создать запрос на
пользовательский сертификат".
На экране появится диалоговое окно для создания запроса.
3. В полях группы "Параметры сертификата пользователя" заполнить «Имя сотрудника» – указать Ф.И.О. пользователя; «Организация», «Подразделение» – указать «Минтруд России».
Внимание! Текстовые поля "Имя сотрудника", "Организация" и "Подразделение" для заполнения обязательны. При отсутствии этих сведений создание сертификата пользователя невозможно.
4. В группе "Файлы для сохранения запроса на сертификат" укажите значения
следующих параметров:
– в поле "Электронная форма" при необходимости измените путь и имя
файла с электронной формой запроса;
Примечание. По умолчанию запрос сохраняется в файле с расширением *.req и именем, содержащим имя текущего пользователя Windows, а также текущие время и дату.
Для изменения расположения или имени файла с электронной формой запроса нажмите кнопку "Обзор…", расположенную справа от соответствующего поля. В стандартном окне Windows, появившемся на экране, выполните следующие действия:
– укажите диск (папку) для создания файла;
– укажите имя файла запроса;
– нажмите кнопку "Сохранить".
5. Нажмите кнопку "OK".
Криптопровайдер приступит к созданию закрытого ключа. Необходимо выполнить следующие операции:
– сформировать закрытый ключ с помощью датчика случайных чисел;
– выбрать тип ключевого носителя (USB-флеш накопитель) для записи закрытого ключа;
– ввести пароль для ограничения доступа к ключевому контейнеру.
Следуйте указаниям, появляющимся на экране.
После завершения процедуры на экране появится сообщение о завершении создания запроса на сертификат.
6. Нажмите кнопку "OK" в окне сообщения для завершения процедуры создания запроса.
Сформированный зарос на получение сертификата необходимо направить по адресу dit@rosmintrud.ru
Регистрация сертификатов
Пользователь абонентского пункта получает от администратора безопасности сертификат пользователя и сертификат корневого центра сертификации. Эти сертификаты необходимо зарегистрировать в хранилище сертификатов на компьютере, на котором установлен абонентский пункт.
Перед тем как приступить к регистрации сертификатов, вставьте в компьютер ключевой носитель (USB-флешнакопитель) с закрытым ключом пользователя.
Для регистрации сертификатов:
1. Вызовите контекстное меню пиктограммы абонентского пункта, расположенной на панели задач Windows.
2. В меню "Сертификаты" активируйте команду "Установить сертификат пользователя".
На экране появится стандартное диалоговое окно Windows для работы с файлами.
3. Выберите файл сертификата user.cer и нажмите кнопку "Открыть".
На экране появится диалог выбора ключевого контейнера для чтения закрытого ключа сертификата пользователя.
4. Выберите нужный ключевой контейнер и нажмите кнопку "ОК".
Если ключевой носитель защищен PIN-кодом, появится запрос на его ввод.
Введите PIN-код.
На экране появится запрос пароля доступа к выбранному ключевому контейнеру.
Ниже на рисунке приведено окно запроса для " Код Безопасности CSP".
5. Заполните поля диалога и нажмите кнопку "ОК".
На экране появится запрос на установку корневого сертификата.
6. Для регистрации корневого сертификата нажмите кнопку:
"Да, автоматически". Будет выполнен автоматический поиск сертификата;
На экране появится сообщение системы безопасности Windows о том, что сейчас будет выполнена регистрация корневого сертификата.
7. Нажмите кнопку "Да".
На экране появится сообщение об успешном завершении импорта пользовательского сертификата.
8. Нажмите кнопку "ОК".
Установление соединения с сервером доступа
Для установления соединения с сервером доступа:
1. Вызовите контекстное меню пиктограммы абонентского пункта, расположенной на панели задач Windows.
2. В меню "Установить/разорвать соединение" активируйте команду с названием нужного подключения (по умолчанию "Континент-АП").
На экране появится диалог выбора сертификата.
3. В поле "Сертификат пользователя" в раскрывающемся списке выберите сертификат, соответствующий предъявленному закрытому ключу.
Пояснение. В данном списке указаны действительные сертификаты пользователя, для которых зарегистрирован корневой сертификат.
Нажмите кнопку "OK".
Если подключение к данному серверу доступа выполняется впервые, на экране появится запрос на добавление сервера доступа в списки разрешенных.
Примечание. Если подключение к данному серверу доступа выполняется не впервые и пароль доступа к ключевому контейнеру не был сохранен, на экране появится диалог для ввода пароля.
Перейдите к выполнению п. 5 данной процедуры.
4. Нажмите кнопку "Да".
Имена сервера доступа и корневого сертификата центра сертификации будут включены в списки разрешенных.
На экране появится диалог для ввода пароля доступа к ключевому контейнеру.
Примечание. Если ранее при вводе пароля доступа к данному ключевому контейнеру было
отмечено поле "Запомнить пароль", то этот диалог на экране не появится. Начнется
подключение к серверу доступа.
5. Заполните поля диалога:
– в поле "Пароль" введите пароль доступа к ключевому контейнеру;
– в поле "Запомнить пароль":
установите отметку, если требуется, чтобы введенный пароль был сохранен в реестре компьютера. В дальнейшем при обращении к этому ключевому контейнеру запрос на ввод пароля выводиться не будет;
не устанавливайте отметку, если требуется, чтобы запрос на ввод пароля выводился всякий раз при обращении к этому ключевому контейнеру.
6. Нажмите кнопку "OK".
В случае успешного подключения цвет пиктограммы абонентского пункта
изменится с серого на зеленый.
Если по истечении 30 секунд пароль не был введен, сервер доступа прерывает установление соединения и выдает сообщение об ошибке аутентификации абонентского пункта. При этом на экране остается диалог для ввода пароля к ключевому контейнеру. Диалог следует закрыть принудительно.
Разрыв соединения с сервером доступа
Для разрыва соединения с сервером доступа:
1. Вызовите контекстное меню пиктограммы абонентского пункта, расположенной на панели задач Windows.
2. В меню "Установить/разорвать соединение" активируйте команду "Разорвать соединение Континент-АП". Соединение с сервером доступа будет разорвано. На панели Windows исчезнет пиктограмма сетевого подключения.
Если вы дочитали до этого места и что-то не работает - можно поздравить Вас со званием Самый внимательный пользователь и предложить ещё немного увлекательного чтения про качественные программные продукты: https://sedkazna.ru/pro-ustanovku-kontinent-ap-versii-3-7