Встановлення засобу створення захищеного TLS-з'єднання «Континент TLS Клієнт
Програмне забезпечення Континент TLS VPN– система забезпечення захищеного віддаленого доступу до веб-застосунків з використанням алгоритмів шифрування ГОСТ. Континент TLS VPN здійснює криптографічний захист HTTP-трафіку на сеансовому рівні. Шифрування інформації проводиться у разі алгоритму ГОСТ 28147–89.
Ідентифікація та автентифікація віддалених користувачів
Ідентифікація та аутентифікація користувачів виконуються за сертифікатами відкритих ключівстандарту x.509v3 (ГОСТ Р 31.11-94, 34.10-2001). Континент TLS VPN перевіряє сертифікати ключів за списками відкликаних сертифікатів (CRL). Випуск сертифікатів здійснюється зовнішнім центром, що засвідчує.
У разі успішного проходження процедур автентифікації запит користувача перенаправляється за протоколом HTTP до захищеної мережі до відповідного веб-сервера. До кожної HTTP-сесії користувача додаються спеціальні ідентифікатори (ідентифікатор клієнта та ідентифікатор IP).
Криптографічний захист інформації, що передається
Континент TLS VPN здійснює криптографічний захист HTTP-трафіку на сеансовому рівні. Шифрування інформації проводиться у разі алгоритму ГОСТ 28147–89. Розрахунок хеш-функції виконується за алгоритмом ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012. Формування та перевірка електронного підпису здійснюються відповідно до алгоритму ГОСТ Р 34.10–2001, ГОСТ Р 34.10–2012.
Приховування серверів, що захищаються, і трансляція адрес
Континент TLS VPN проводить фільтрацію запитів та транслює адреси запитів до веб-серверів корпоративної мережі. Трансляція адрес здійснюється відповідно до правил, які встановлює адміністратор «Континент TLS VPN».
Відмовостійкість та масштабованість
Континент TLS VPN підтримує роботу у схемі високопродуктивного кластера з балансуванням навантаження (зовнішнім балансувальником). Підвищення стійкості до відмови досягається додаванням в кластер надлишкової ноди. При цьому нарощування елементів кластера, що балансує, може здійснюватися необмежено. Вихід з ладу елемента кластера не призводить до розриву з'єднань, оскільки навантаження рівномірно розподіляється між іншими елементами.
Моніторинг та реєстрація подій
Континент TLS VPN адміністратор завжди може отримати оперативну інформацію про поточний стан встановлених з'єднань і статистику його роботи. На сервері здійснюється журнал подій інформаційної безпеки. Всі події можуть пересилатися на вказаний сервер у форматі syslog для подальшого аналізу, що робить інтеграцію із SIEM-системами максимально простим.
Зручні інструменти керування
Поєднання локальних та віддалених засобів з веб-інтерфейсом та зручною графічною консоллю управління забезпечує гнучке настроювання Континент TLS VPN відповідно до вимог політик безпеки.
Підтримувані протоколи
Континент TLS VPN підтримує протоколи TLS v.1, TLS v.2.
Робота користувача через будь-який веб-браузер
Використовуючи програму Континент TLS VPN Клієнт, користувачі можуть отримати доступ до захищених ресурсів із будь-якого веб-браузера. Континент TLS VPN Клієнт є локальним проксі, перехоплює трафік браузера до веб-серверів і упаковує його в http-тунель. Завдяки цьому користувач може працювати з будь-яким веб-браузером, встановленим на пристрої.
Використання зручного для користувачів програмного клієнта
Використання зручного для користувачів програмного клієнта Як клієнт на пристрої користувача може бути використаний Континент TLS VPN Клієнт або КріптоПро CSP версії 3.6.1.
Установка засобів криптографічного захисту інформації, що використовуються для підключення до компонентів державної інтегрованої інформаційної системи управління громадськими фінансами « Електронний бюджет» Гаврик Костянтин Юрійович Відділ режиму секретності та безпеки інформації
ДОКУМЕНТИ 1. Посібник із встановлення та налаштування програмного забезпечення автоматизованого робочого місця користувача системи «Електронний бюджет». Посібник із встановлення доступний за адресою в Інтернеті: розділ «Електронний бюджет» - «Підключення до системи».
Для забезпечення роботи у ДІВС «Електронний бюджет» необхідно виконати такі кроки: 1. Завантажити та встановити кореневий сертифікат УЦ Федерального казначейства. 2. Завантажити сертифікат TLS сервера. Цей сертифікат встановлюється на кроці Встановити засіб створення захищеного TLS-з'єднання «КонтинентTLS Клієнт». 4. Встановити Засіб електронного підпису "Jinn-Client". 5. Встановити Модуль для роботи з електронним підписом Cubesign. 6. Встановити особистий сертифікат користувача у сховище «Особисте» (за потреби). 7. Здійснити вхід до приватного кабінету системи «Електронний бюджет».
Крок 1.1. Встановлення кореневого сертифікатаУЦ Федерального казначейства. Малюнок. Майстер імпорту сертифікатів. 1. Перейдіть на веб-браузер за адресою в Інтернеті*. 2. На пропозицію зберегти файл сертифіката «Корневий сертифікат (кваліфікований).cer» вибрати локальну директорію на АРМ користувача, до якої буде збережено файл. Зберегти файл сертифіката. 3. Через контекстне меню файлу (натиснути правою кнопкою миші по файлу) кореневий сертифікат УЦ Федерального казначейства вибрати пункт меню «Встановити». 4. На екрані з'явиться майстер імпорту сертифікатів: Натиснути кнопку "Далі". * Увійти до розділу «Підтверджуючий центр > Кореневі сертифікати». Активувати посилання "Корневий сертифікат (кваліфікований)". ». * www.roskazna.ru Увійти в розділ «Посвідчуючий центр > Кореневі сертифікати». Активувати посилання «Корневий сертифікат (кваліфікований)»."> 
Крок 1.2. Встановлення кореневого сертифікату УЦ Федерального казначейства. Малюнок. Вибір сховищ сертифікату. 5. У вікні «Сховище сертифіката» вибрати розміщення сертифіката вручну, вказавши поле «Помістити сертифікати до наступного сховища». 6. Натиснути на кнопку «Огляд…».
Крок 1.3. Встановлення кореневого сертифікату УЦ Федерального казначейства. Малюнок. Вибір сховищ сертифікату. Локальний комп'ютер. 7. Відзначити поле "Показувати фізичні сховища". 8. У вікні вибору сховища сертифікатів розкрити контейнер «Довірені кореневі центри сертифікації». 9. У контейнері «Довірені кореневі центри сертифікації» вибрати вкладений контейнер «Локальний комп'ютер». 10. Натиснути кнопку Ок.
Крок 1.4. Встановлення кореневого сертифікату УЦ Федерального казначейства. Малюнок. Вибір сховищ сертифікату. Встановлення. 11. Натиснути кнопку "Далі". »."> »."> »." title="(!LANG:Крок 1.4. Установка кореневого сертифіката УЦ Федерального казначейства. Малюнок. Вибір сховища сертифіката. Установка. 11. Натиснути кнопку «Далі>»."> title="Крок 1.4. Встановлення кореневого сертифікату УЦ Федерального казначейства. Малюнок. Вибір сховищ сертифікату. Встановлення. 11. Натиснути кнопку "Далі"."> !}
Крок 1.5. Встановлення кореневого сертифікату УЦ Федерального казначейства. Малюнок. Завершення установки. Малюнок. Успішний імпорт сертифіката. 12. Натиснути кнопку Готово. 13. У разі успішного імпорту сертифіката з'явиться діалог «Імпорт успішно виконано». 14. Натиснути кнопку "ОК".
Підключення до системи». 3. "title="(!LANG:Крок 2. Завантаження сертифіката сервера TLS. 1. Відкрити в веб-браузері офіційний сайт Федерального казначейства, перейшовши за адресою в мережі Інтернет: www.roskazna.ruwww.roskazna.ru 2. Перейти в розділ «Електронний бюджет > Підключення до системи» 3." class="link_thumb"> 9 !}Крок 2. Завантажити сертифікат сервера TLS. 1. Відкрити в веб-браузері офіційний сайт Федерального казначейства, перейшовши за адресою в мережі Інтернет: 2. Перейти до розділу «Електронний бюджет > Підключення до системи». 3. Активувати посилання «Посилання для завантаження сертифіката сервера Континент TLS VPN». 4. На пропозицію зберегти файл сертифіката "Федеральне казначейство__.cer" вибрати локальну директорію в АРМ користувача, в яку необхідно зберегти файл. 5. Зберегти файл сертифіката сервера TLS. Підключення до системи». 3. "> Підключення до системи». 3. Активувати посилання "Посилання для завантаження сертифіката сервера Континент TLS VPN". 4. На пропозицію зберегти файл сертифіката "Федеральне казначейство__.cer" вибрати локальну директорію в АРМ користувача, в яку необхідно зберегти файл. 5. Зберегти файл сертифіката сервера TLS."> Підключення до системи». 3. "title="(!LANG:Крок 2. Завантаження сертифіката сервера TLS. 1. Відкрити в веб-браузері офіційний сайт Федерального казначейства, перейшовши за адресою в мережі Інтернет: www.roskazna.ruwww.roskazna.ru 2. Перейти в розділ «Електронний бюджет > Підключення до системи» 3."> title="Крок 2. Завантажити сертифікат сервера TLS. 1. Відкрити в веб-браузері офіційний сайт Федерального казначейства, перейшовши за адресою в мережі Інтернет: www.roskazna.ruwww.roskazna.ru 2. Перейти до розділу «Електронний бюджет > Підключення до системи». 3."> !}
Крок 3.1. Встановлює засіб створення захищеного TLS-з'єднання «Континент TLS клієнт». Малюнок. Стартове вікно майстра установки ПЗ «Континент TLS Клієнт». 1. Активуйте посилання «Континент TLS Клієнт» у єдиному меню інсталятора ПЗ «Континент TLS Клієнт» На екрані з'явиться стартове вікно майстра установки компонента. 2. Натиснути кнопку "Далі". На екрані з'явиться вікно ліцензійної угоди.
Крок 3.2. Встановлює засіб створення захищеного TLS-з'єднання «Континент TLS клієнт». Малюнок. Вікно ліцензійної угоди «Континент TLS Клієнт». 3. Поставте позначку в полі «Я приймаю умови ліцензійної угоди» та натисніть кнопку «Далі». На екрані з'явиться вікно введення ліцензійного ключа.
Крок 3.3. Встановлює засіб створення захищеного TLS-з'єднання «Континент TLS клієнт». Малюнок. Вікно введення ліцензійного ключа ПЗ "Континент TLS Клієнт". 4. Введіть ліцензійний ключ та натисніть кнопку «Далі». На екрані з'явиться діалог вибору шляху встановлення програмного забезпечення «Континент TLS Клієнт».
Крок 3.4. Встановлює засіб створення захищеного TLS-з'єднання «Континент TLS клієнт». Малюнок. Вікно вибору шляху встановлення ПЗ «Континент TLS Клієнт». 5. Залишіть шлях встановлення за промовчанням. Натисніть кнопку "Далі". На екрані з'явиться діалог "Запуск конфігуратора".
Крок 3.5. Встановлює засіб створення захищеного TLS-з'єднання «Континент TLS клієнт». Малюнок. Вікно запуску конфігуратора ПЗ "Континент TLS Клієнт". 6. Встановіть позначку у полі «Запустити конфігуратор після завершення інсталяції». 7. Натисніть кнопку "Далі". На екрані з'явиться вікно з готовністю до установки.
Крок 3.7. Встановлює засіб створення захищеного TLS-з'єднання «Континент TLS клієнт». Малюнок. Налаштування ПЗ «Континент TLS Клієнт». 9. На екрані з'явиться діалог налаштування програмного забезпечення «Континент TLS Клієнт». 10. У розділі «Налаштування Континент TLS Клієнта» значення «Порт» залишити за замовчуванням, рівне У розділі «Налаштування сервера, що захищається» в полі «Адреса» задати ім'я сервера TLS: lk.budget.gov.ru. 12. У розділі «Налаштування сервера, що захищається» в полі «Сертифікат» вказати файл сертифіката сервера TLS, скопійований в локальну директорію на кроці Якщо в АРМ користувача не використовується зовнішній проксі-сервер, натиснути кнопку «ОК». 14. В іншому випадку, вказати адресу та порт зовнішнього проксі-сервера організації, що використовується.
Крок 3.9. Встановлює засіб створення захищеного TLS-з'єднання «Континент TLS клієнт». Малюнок. Діалог завершення установки ПЗ «Континент TLS Клієнт». 15. Натиснути кнопку Готово. 16. На екрані з'явиться діалог про необхідність перезавантаження АРМ користувача. 17. Натиснути кнопку "Ні".
Крок 4.1. Встановлення засобу електронного підпису "Jinn-Client". Малюнок. Меню єдиного інсталятора ПЗ «Jinn-Client» 1. У меню єдиного інсталятора ПЗ «Jinn-Client» активувати посилання «Jinn-Client». На екрані з'явиться діалог привітання інсталятора ПЗ «Jinn-Client».
Крок 4.2. Встановлення засобу електронного підпису "Jinn-Client". Малюнок. Вікно привітання інсталятора Jinn-Client 2. Натисніть кнопку «Далі», щоб продовжити інсталяцію. 3. У діалозі ліцензійної угоди, що з'явилася, відзначити пункт «Я приймаю умови ліцензійної угоди» і натиснути кнопку «Далі». 4. На екрані з'явиться діалогове вікно введення ліцензійного ключа. 5. Введіть ліцензійний ключ та натисніть кнопку «Далі».
Крок 4.5. Встановлення засобу електронного підпису "Jinn-Client". Малюнок. Повідомлення про готовність до установки Jinn-Client 8. Натисніть кнопку «Встановити». Після завершення встановлення на екран буде виведено діалог про успішне завершення. 9. Натисніть кнопку Готово. 10. На екрані з'явиться діалог про необхідність перезавантаження АРМ користувача. Натиснути кнопку "Ні".
Крок 5.1. Встановлення модуля для роботи з електронним підписом Cubesign. Малюнок. Діалог привітання установника модуля 1. У складі дистрибутива ПЗ «Jinn-Client» здійснити запуск файлу «Cubesign», що виконується. 2. На екрані з'явиться діалог привітання інсталятора модуля. Натиснути кнопку "Далі". 3. На екрані з'явиться вікно ліцензійної угоди. 4. Прийняти умови ліцензійної угоди, поставивши галочку у відповідному полі та натисніть «Далі». 5. На екрані з'явиться діалогове розташування файлів установки модуля. Встановіть компонент засобу підпису в папку, яка запропонувала за промовчанням, і натисніть «Далі». 7. Підтвердити початок установки, натиснувши кнопку "Встановити". 8. Дочекайтеся завершення процесу встановлення, натисніть Готово. Перезавантажте АРМ.
Крок 5.2. Встановлення модуля для роботи з електронним підписом Cubesign (за потреби). Малюнок. Дії для встановлення «Cubesign» у web-браузерах 9. У разі появи діалогу про блокування активного вмісту особистого кабінету, у верхньому правому куті натиснути кнопку «Дозволити…». 10. У спливаючому діалозі натиснути кнопку «Дозволити та запам'ятати». 11. У верхній частині вікна у попереджувальному повідомленні про незавантажений елемент управління активувати пропоноване посилання. 12. У діалоговому вікні збереження файлу натисніть кнопку «Зберегти файл». 13. Запустити збережений файл «cubesign.msi». 14. Перезапуск веб-браузера.
Крок 6.1. Встановлення особистого сертифіката користувача у сховище «Особисте» (за потреби). Малюнок. Майстер імпорту сертифікатів. 1. В контекстному меню файлу сертифіката користувача виберіть пункт меню «Встановити сертифікат». 2. На екрані з'явиться майстер імпорту сертифікатів. 3. Натиснути кнопку "Далі".
».">
Крок 6.2. Встановлення особистого сертифіката користувача у сховище «Особисте» (за потреби). Малюнок. Вибір сховищ сертифікату. 4. У вікні сховища сертифіката вибрати розташування сертифіката вручну, вказавши поле «Помістити сертифікати в наступне сховище». 5. Натиснути на кнопку «Огляд…».
Крок 6.4. Встановлення особистого сертифіката користувача у сховище «Особисте» (за потреби). Малюнок. Вибір сховищ сертифікату. Встановлення. 8. Натиснути кнопку "Далі". »."> »."> »." title="(!LANG:Крок 6.4. Встановлення особистого сертифіката користувача у сховище «Особисте» (за потреби). Малюнок. Вибір сховища сертифіката. Установка. 8. Натиснути кнопку «Далі> »."> title="Крок 6.4. Встановлення особистого сертифіката користувача у сховище «Особисте» (за потреби). Малюнок. Вибір сховищ сертифікату. Встановлення. 8. Натиснути кнопку "Далі"."> !}
Крок 6.5. Встановлення особистого сертифіката користувача у сховище «Особисте» (за потреби). Малюнок. Завершення установки. 9. Натиснути кнопку Готово. 10. У разі успішного імпорту сертифіката з'явиться діалог «Імпорт успішно виконано». 11. Натиснути кнопку "ОК".
Крок 7.1. Здійснити вхід до особистого кабінету системи «Електронний бюджет». Малюнок. Вибір сертифіката користувача 1. Вставте ключовий носій у роз'єм USB. 2. У браузері перейти за адресою: webcenter 3. На екрані з'явиться діалог вибору сертифіката. 4. Вибрати сховище сертифіката ( Сертифікати Windows) та в ньому сертифікат, який необхідно використовувати для входу в особистий кабінет. 5. Вказати пароль доступу до ключового носія та натиснути кнопку «ОК». 6. У разі успішного входу на екрані з'явиться головна сторінка особистого кабінету користувача системи «Електронний бюджет».
Для встановлення ПЗ «Континент TLS Клієнт» необхідно:
Рисунок 33. Стартове вікно майстра установки ПЗ «Континент TLS Клієнт».
Рисунок 34. Вікно ліцензійної угоди ПЗ «Континент TLS Клієнт».
3. Поставте позначку в полі «Я приймаю умови ліцензійної угоди» та натисніть кнопку «Далі». На екрані з'явиться вікно введення ліцензійного ключа, яке постачається з ПЗ «Континент TLS Клієнт» на паперовому або електронному носії.
Рисунок 35. Вікно введення ліцензійного ключа ПЗ "Континент TLS Клієнт".
4. Введіть ліцензійний ключ та натисніть кнопку «Далі». На екрані з'явиться діалог вибору шляху встановлення програмного забезпечення «Континент TLS Клієнт».
Рисунок 36. Вікно вибору шляху встановлення ПЗ «Континент TLS Клієнт».
5. Залишіть шлях установки за промовчанням. Натисніть кнопку "Далі". На екрані з'явиться діалог "Запуск конфігуратора".
Рисунок 37. Вікно запуску конфігуратора ПЗ "Континент TLS Клієнт".
6. Встановіть позначку у полі «Запустити конфігуратор після завершення інсталяції».
Рисунок 38. Вікно готовності до встановлення ПЗ «Континент TLS Клієнт».
8. Натисніть кнопку "Встановити". Почнеться встановлення компонента.
Рисунок 39. Процес встановлення ПЗ «Континент TLS Клієнт».
9. На екрані з'явиться діалог налаштування програмного забезпечення «Континент TLS Клієнт».
Рисунок 40. Налаштування ПЗ «Континент TLS Клієнт».
Для налаштування ПЗ необхідно:
a) У розділі «Параметри Континент TLS Клієнта» значення «Порт» залишити за замовчуванням 8080.
b) У розділі «Налаштування сервера, що захищається» в полі «Адреса» задати ім'я сервера TLS: lk.budget.gov.ru.
c) У розділі "Налаштування сервера, що захищається" в полі "Сертифікат" вказати файл сертифіката сервера TLS, скопійований в локальну директорію в п.3.1 цього Посібника.
Рисунок 41. Налаштування ПЗ «Континент TLS Клієнт». Вибір сертифіката.
d) Якщо АРМ користувача не використовує зовнішній проксі-сервер, натисніть кнопку «ОК».
e) В іншому випадку, вказати адресу та порт зовнішнього проксі-сервера організації, що використовується.
Рисунок 42. Налаштування сервісу ПЗ «Континент TLS Клієнт». Налаштування зовнішнього проксі-сервера.
f) Натисніть кнопку "ОК".
10. На екрані з'явиться діалог завершення інсталяції програмного забезпечення «Континент TLS Клієнт».
Рисунок 43. Діалог завершення установки ПЗ «Континент TLS Клієнт».
11. Натиснути кнопку Готово.
12. На екрані з'явиться діалог про необхідність перезавантаження АРМ користувача.
Рисунок 44. Діалог про необхідність перезавантаження АРМ Користувача.
13. Натиснути кнопку "Ні".
