Континент-АП - Региональный центр регистрации Управления

Инструкция по установке и настройке
абонентского пункта Континент-АП
Оглавление
1.
Введение .................................................................................................................................2
2.
Установка Континент-АП ........................................................................................................3
3.
Создание сертификата пользователя ...................................................................................5
3.1 Генерация закрытого ключа, формирование запроса и заявки на издание
сертификата ключа абонентского пункта ................................................................................5
3.2
Установка сертификата ...................................................................................................9
4.
Тестирование канала связи .................................................................................................11
5.
Настройка транспорта клиента СЭД ....................................... Error! Bookmark not defined.
1. Введение
Данное руководство предназначено для пользователей “Программный комплекс
“Континент-АП”. Версия 3” (далее по тексту – Абонентский пункт).
Абонентский пункт предназначен для безопасной передачи данных через
общедоступные (незащищенные) сети. Эта технология называется “виртуальная частная
сеть” (VPN). Защита данных обеспечивается криптографическими методами, вследствие
чего через общедоступную сеть данные передаются в зашифрованном виде.
Абонентский пункт обеспечивает удаленный доступ пользователей к ресурсам
защищенной системы электронного документооборота (далее - СЭД) с компьютеров, не
входящих в защищаемый сегмент сети. На этих компьютерах устанавливается
программный комплекс “Континент-АП”, который для передачи данных соединяется с
компьютером – сервером доступа, проверяющим полномочия на доступ и разрешающим
доступ к ресурсам защищенной сети СЭД.
Для взаимодействия Абонентского пункта и сервера доступа используются
следующие сертификаты:

сертификат пользователя – для аутентификации пользователя на сервер доступа;

сертификат корневого центра сертификации – для подтверждения подлинности
сертификата пользователя.
Что необходимо иметь
Перед тем как начать работу с ресурсами защищенной сети СЭД:

необходимо иметь установочный комплекс программного обеспечения
Абонентского пункта;

перед установкой Абонентского пункта необходимо убедиться, что на
компьютере установлен криптопровайдер КриптоПро CSP версии 3.0 или выше.
Что нужно сделать
1.
2.
3.
4.
5.
6.
Установите программное обеспечение Абонентского пункта.
Получите сертификаты, необходимые для работы. Для получения сертификата
пользователя потребуется создать файл запроса и предоставить его вместе с
заверенной бумажной формой запроса в УФК по Алтайскому краю (или Отделение
УФК по Алтайскому краю).
Зарегистрируйте получение сертификаты.
Установите соединение с сервером доступа.
Перенастройте транспорт клиента СЭД на работу через сервер доступа.
Проверьте связь с сервером СЭД ФК.
Если пробное соединение с сервером установлено успешно и подключение к СЭД
возможно, значит, все подготовительные действия выполнены правильно. С этого
момента Абонентский пункт готов к работе.
2. Установка Континент-АП
1. Войдите в систему с правами администратора компьютера.
2. Завершите работу всех приложений выполняемых на компьютере.
3. Запустите на исполнение файл Setup.exe, находящийся в каталоге с дистрибутивом
Абонентского пункта. Программа установки начнет выполнять подготовительные
действия, и на экране появится сообщение об этом. После завершения подготовительных
действий на экране будет выведен стартовый диалог мастера установки.
4. Нажмите кнопку ”Далее >” для продолжения установки. На экране появится диалог,
содержащий лицензионное соглашение на использование программного продукта.
5. Прочтите лицензионное соглашение, и, если вы принимаете его условия, поставьте
отметку в поле ”Я принимаю условия лицензионного соглашения” и нажмите кнопку
”Далее >”.
6. На экране появится диалог выбора папки для размещения файлов программы.
Нажмите кнопку ”Далее >”.
7. На экране появиться диалог для выбора вида установки.
Выберете “Выборочная” и нажмите кнопку ”Далее >”
Выберете тип установки без Межсетевого экрана
Нажмите кнопку ”Далее >”
8. На экране появится диалог для ввода IP-адреса сервера доступа.
Введите IP-адрес сервера доступа и нажмите кнопку ”Далее >”.
IP-адрес для доступа
178.23.146.3
9. На экране появится диалог с информацией о том, что программа установки готова
приступить к установке.
Нажмите кнопку “Установить” для начала установки.
Программа установки приступит к копированию файлов.
В процессе установки на экране будут проявляться сообщения о том, что
устанавливаемое программное обеспечение не тестировалось на совместимость
с операционной системой. В окне таких сообщений следует нажимать кнопку
”Все равно продолжить”.
По окончанию процесса копирования на экране проявится заключительное окно мастера
установки.
10. Нажмите кнопку “Готово”.
На экране появится запрос на перезагрузку компьютера.
Нажмите кнопку “Да” для немедленной перезагрузки компьютера и начала работы с
Абонентским пунктом.
После установки Абонентского пункта и перезагрузки компьютера:
 в элементах управления Windows “Панель управления \ Сетевые подключения”
появится новое сетевое подключение “СКЗИ “Континент-АП”;
 в меню “Все программы” главного меню Windows появится подменю “Информзащита
\ Абонентский Пункт Континент \ Программа управления”;
 на панели задач Windows появится пиктограмма Абонентского пункта.
11. Запустите на исполнение файл Install.bat, находящийся в каталоге с дистрибутивом
Абонентского пункта.
3. Создание сертификата пользователя
3.1 Генерация закрытого ключа, формирование запроса и заявки на издание
сертификата ключа абонентского пункта
Запрос на получение сертификата создается пользователем средствами Абонентского
пункта. Одновременно с запросом средствами криптопровайдера КриптоПро CSP
генерируется закрытый ключ пользователя. Запрос в виде файла сохраняется в указанную
пользователем папку, ключевой контейнер с закрытым ключом сохраняется на дискету.
Для создания запроса на получение сертификата:
1. Вызовите контекстное меню пиктограммы Абонентского пункта
,
расположенной на панели задач Windows.
2. В меню “Сертификаты” активируйте команду “Создать запрос на пользовательский
сертификат…”.
На экране появится диалоговое окно для создания запроса.
Все поля кроме e-mail обязательны для заполнения.
В поле «Описание» 00[пробел]пятизначный код УБП[пробел]официальное краткое наименование
организации
В поле «Организация» - официальное краткое наименование организации с
учетом ограничения в 64 символа, в поле «Подразделение» - наименование
структурного подразделения в организации.
Знаки препинания «. , : ; ! ? / \ ( ) _» и кавычки в заполняемых полях недопустимы.
3. Отметьте галочкой поле рядом с надписью «Бумажная форма». В полях
«Электронная форма» и «Бумажная форма» укажите путь для сохранения файла
запроса и файла заявки на сертификат.
4. Нажмите кнопку “OK”.
На экране появится диалог КриптоПро CSP с перечнем тех ключевых носителей, на
которых может быть сохранена ключевая информация.
5. В списке устройств выберите “Дисковод, А” и вставьте чистую ключевую дискету в
дисковод. Нажмите кнопку “OK”.
В качестве носителя поддерживаются дискета “3,5”, Реестр ОС Windows, Touch
Memory DS1993 – DS1996, Электронный ключ с интерфейсом USB, Сменный
носитель с интерфейсом USB
КриптоПро CSP приступит к созданию закрытого ключа сертификата пользователя.
Для генерации датчика случайных чисел нажимайте любую последовательность
клавиш клавиатуры или двигайте мышью, пока полоска Progress не достигнет
100%.
После успешного создания ключей и записи закрытого ключа на ключевую дискету
на экране появится диалог для назначения пароля доступа к ключевому
контейнеру.
В этом поле рекомендуется не вводить пароль и нажать кнопку “OK”.
6. На экране появится сообщение о завершении создания запроса.
7. Нажмите кнопку “OK” в окне сообщения.
Файл запроса имеет расширение *.req и находится в папке, указанной в пункте 2,
Файл бумажной формы запроса имеет расширение *.html и лежит в папке,
указанной в пункте 2.
Распечатайте, заполните и подпишите бумажную форму запроса (в двух
экземплярах).
Передается в адрес УФК по Алтайскому краю (Отделения УФК по Алтайскому краю)
следующие документы:
1) reg-файл на съёмном носителе;
2) заполненный и подписанный запрос на сертификат Континент-АП;
3) заверенную копию приказа о назначении ответственных лиц;
4) доверенностью на право получения сертификата в УФК по Алтайскому
краю.
При плановой смене запрос на изготовление сертификата ключа аутентификации
«Континент-АП» передается в адрес УФК по Алтайскому краю (Отделения УФК по
Алтайскому краю) с заверенной копией приказа о назначении ответственных лиц и
доверенностью на право получения сертификата, не позднее 10 дней до
окончания срока действия текущего сертификата (в соответствии с договором об
обмене электронными документами).
Изготовленный ключевой контейнер подлежит учету в соответствии с
«Инструкцией об организации и обеспечении безопасности хранения, обработки и
передачи по каналам связи с использованием средств криптографической защиты
информации с ограниченным доступом, не содержащей сведений, составляющих
государственную тайну» введенной в действие приказом ФАПСИ от от 13 июня
2001 г. № 152.
3.2
Установка сертификата
Пользователь Абонентского пункта получает от УФК по Алтайскому краю (или
Отделение УФК по Алтайскому краю) сертификат пользователя и сертификат корневого
центра сертификации. Эти сертификаты необходимо зарегистрировать в хранилище
сертификатов на компьютере, на котором установлен Абонентский пункт.
Перед тем, как приступить к регистрации сертификатов, предъявите ключевой
носитель (дискета) с закрытым ключом регистрируемого сертификата пользователя.
Для регистрации сертификатов:
1. Вызовите контекстное меню пиктограммы Абонентского пункта, расположенной на
панели задач Windows.
2. В меню “Сертификаты” активируйте команду “Установить сертификат
пользователя”.
На экране появится стандартное диалоговое окно Windows для работы с файлами.
3. Выберите файл сертификата пользователя (имя файла по умолчанию – user.cer) и
нажмите кнопку “Открыть” (файл находится на дискете).
На экране появится диалог выбора ключевого контейнера для чтения закрытого
ключа сертификата пользователя.
4. Выберите нужный ключевой контейнер и нажмите “OK”.
5. В том случае, если в хранилище сертификатов отсутствует корневой сертификат,
подтверждающий данный сертификат пользователя, на экране появится
соответствующие сообщение.
6. Для регистрации корневого сертификата нажмите кнопку “Да” в окне сообщения.
На экране появиться стандартное диалоговое окно Windows для работы с файлами.
7. Выберите файл корневого сертификата (имя файла по умолчанию – root.p7b).
Для того чтобы файл с корневым сертификатом отображался в списке файлов, в
поле “Тип файла” в раскрывающемся списке выберите значение “Хранилище PKCS
7(*.p7b)”.
Нажмите кнопку “Открыть”.
8. На экране появится сообщение системы безопасности Windows о том, что сейчас
будет произведена регистрация корневого сертификата, в котором описаны
последствия данного действия.
9. Нажмите кнопку “Да”.
Корневой сертификат будет зарегистрирован. На экране появится сообщение о
том, что регистрация сертификата пользователя завершена.
10. Нажмите кнопку “OK”.
4. Тестирование канала связи
Для правильного функционирования программному обеспечению Континент-АП
необходимы разрешающие правила фильтрации пакетов на Вашем межсетевом экране
(шлюзе) для следующих портов:
Протокол:
Направление:
Порт:
UDP
СД -> АП
4433
UDP
АП -> СД
7500
АП – абонентский пункт
СД – сервер доступа
Программа ChannelChecker используется для тестирования взаимодействия между
абонентским пунктом и сервером доступа. Программа имитирует работу абонентского
пункта, реализуя установку и разрыв PPP-соединения.
На компьютере, где планируется эксплуатация абонентского пункта Континент-АП,
запустите программу ChannelChecker.exe.
В появившемся (Рис 1) окне введите IP адрес сервера доступа 178.23.146.3
Рис 1
Нажмите кнопку «Тест» для начала процесса тестирования.
Если в результате тестирования соединение между АП и СД было успешно
установлено, отобразится сообщение (Рис 2) «Проверка успешно завершена».
Рис 2
Если за указанный в поле «Таймаут» отрезок времени ответ от СД не получен,
появится сообщение (Рис 3) «Таймаут истек»
Рис 3
В этом случае необходимо проверить настройки межсетевых экранов (шлюзов).