Авторизация в ESIA на сервере терминалов с ЭЦП по ГОСТ-2012

Системное администрированиеInternet Explorer
Tutorial
Добрый день, Хабровчане.

Коллеги работающие в сфере гос. закупок уже успели испытать на себе обязательное требование правительства касательно использования носителей с электронно цифровой подписью ГОСТ Р 34.10-2012. Использование ЭЦП по новому ГОСТу является обязательным с 1 января 2019 года, и для работы на порталах zakupki.gov и gosuslugi.ru выпустить ЭЦП по ГОСТ 2001 уже невозможно, а после 1 января 2020 года поддержка ЭЦП по старому ГОСТ будет прекращена полностью.

Как часто это бывает гос. сайт к 1 января 2018 оказался готов но не полностью.

Для работы с ЭЦП по ГОСТ 2012 необходимо установить “плагин для работы
с порталом государственных услуг” версии 3.0.3.0 или 3.0.6.0, но в отличии от версии плагина 2.0.6.0 новые версии не поддерживают работу с UNC путями (это мы выяснили в процессе многочисленных нездоровых экспериментов с разными версиями плагинов), и если вы как и мы используете перемещаемые профили, то авторизация на сайте работать у вас не будет; причем работать она не будет ни в одном браузере: IE, Google Chrome, Mozilla Firefox и даже Crypto Fox.

Длительные переписки с поддержкой гос. услуг, крипто про и контур.экстерн к сожалению ничем не помогли, специалисты технической поддержки сайта государственных услуг так вообще оказались крайне не компетентны.

Собственно хватит слов займемся делом.

Для работы с сайтом гос. Услуг по ГОСТ 2012 с переносимыми профилями по сути необходимо сделать 3 действия.

  • Полностью удалить плагин старой версии и вычистив остатки в системе.
  • Установить плагин версии 3.0.6.0 для 32 битных систем, даже если вы используете 64 разрядную ОС, скопировав локально папку с плагином из appdata.
  • Вручную отредактировать реестр.

Не забываем что для совершения следующих действий с IFCPlugin пользователю необходимо дать права локального администратора машины.

  • Удаление плагина.

Удаляем плагин любым доступным способом: через установку удаление программ.
Через запуск msi той версии которая у вас установлена (версию можно посмотреть в
Надстройках IE или в папке профиля пользователя.

Пример: contoso.com\dfs\Profiles\AppData\Roaming\Rostelecom\IFCPlugin\3.0.6.0)
С помощью wmic. CMD → wmic → product get name → product where name=”name of program” call uninstall → Y

Удаляем целиком папку “Rostelecom” из переносимого профиля. Пример: \\contoso.com\dfs\Profiles\%UserName%\AppData\Roaming\Rostelecom
В реестре удаляем все остатки включающие в себя “IFCPlugin” из ветки “HKCU”.

Также желательно очистить кеш Internet Exprorer. Открываем IE, нажимаем Ctrl+Shift+Del, подтверждаем.

  • Скачать и установить 32-bit IFCPlugin.msi плагин версии 3.0.6.0.

После установки необходимо скопировать папку из переносимого профиля пользователя локально на сервер например из:
\\contoso.com\dfs\Profiles\%UserName%\AppData\Roaming\Rostelecom
В
C:\Users\%UserName%\AppData\Roaming\Rostelecom

  • Редактирование реестра.

Теперь самое интересное, необходимо найти в реестре все значения включающие в себя \\contoso.com\dfs\Profiles\%UserName%\AppData\Roaming\Rostelecom и поменять их на C:\Users\%UserName%\AppData\Roaming\Rostelecom

У вас должно получиться от 6 до 9 замен.

Все готово!

Коллеги, всех поздравляю, плагин для работы на сайтах с авторизацией через ESIA теперь работает.

  • Автор данной идеи инженер с 10 летним опытом работы в телекоммуникациях Мирошкин Андрей.

Тестирование, мучения, и реализация:

  • Автор данной статьи Карин Илия, системный администратор, повидавший еще не такие девиации в мире IT.
  • И Лобков Кирилл, системный администратор, с широчайшим кругозором и опытом работы от монтажника СКС до Enterprise системного администратора.

P.S. Да это костыль, причем ужасный, я против подобного, но на момент написания данной статьи другого решения ни я ни мои коллеги найти не смогли, тех. поддержка так же ничего не предложила.

P.P.S. О наличии версии административной версии плагина которая устанавливается для всех пользователей мне известно, но с пол пинка она не заработала, точнее нам удавалось запустить пользователя с административным 64 битным плагином, но добиться стабильной работы и предсказуемого поведения не удалось, а саботировать работу всех пользователей на сервере терминалов затея плохая, лучше уж ручным трудом по одному. Если же у вас уже была установлена административная версия плагина, то потребуется чистка и других веток реестра.
Теги:gosuslugigosuslugi.ruifcpluginzakupki.gov.ruterminal serverprofilewindowswindows server
Хабы: Системное администрирование Internet Explorer
+24
8,8k 22
Комментарии 36

Похожие публикации

Системный администратор с желанием учиться devops
до 130 000 ₽ИК «Септем Капитал»Москва
Системный администратор
от 60 000 ₽НПП «БИЗНЕС СВЯЗЬ ХОЛДИНГ»МоскваМожно удаленно
Инженер-администратор Linux
от 52 000 ₽ITM ХолдингЕкатеринбург
Разработчик MS SQL
от 160 000 ₽ТакскомМосква
Системный администратор Linux DevOps
от 100 000 до 150 000 ₽X-KeeperКрасногорскМожно удаленно

Лучшие публикации за сутки