Пару днів назад попросили мене про одну дрібної послугу - налаштувати комп'ютер для роботи порталом ФСЗН. Природно, погодився: роботи там максимум на 15 хвилин. Досвід є, нюанси і основні підводні камені відомі, тому ніяких складнощів в цій роботі не очікував. Ох, як же я помилявся ...
Основних проблем при налаштуванні ПЗ для роботи з ФСЗН кілька:
- Несумісність різних версій криптопровайдера Avest, використовуваного для роботи з ключами ЕЦП. Справа в тому, що крім ФСЗН існує безліч інших організацій і установ, які також вимагають ЕЦП для роботи з їх ПО або порталами. Зокрема, Avest використовується при роботі з багатьма банками, для надання обов'язкової звітності в МНС, в Держкомстат, для роботи з порталом ЕСЧФ, для роботи з Белгосстраха, для роботи з біржами, для міжвідомчого документообігу і т.д. і т.п. В результаті в одній організації або в одного ІП використовується кілька різних електронних ключів і різні версії ПО для роботи з ними. Як правило, все це встановлюється на одному комп'ютері, при цьому потрібні різні версії Avest, які часто конфліктують між собою.
- Використання тільки браузера Internet Explorer. Здавалося б, використання веб-технологій має забезпечувати незалежність сервісів від застосовуваної клієнтом платформи. Як би не так! Більшість вищезгаданих порталів просто не працює ні з чим, окрім IE. Так що любителі Chrome, Opera, Firefox і інших браузерів «йдуть лісом». Не кажучи вже про користувачів Linux або власників техніки Apple. Більш того, не всі версії IE (а відповідно, не всі версії Windows) придатні для роботи з цими порталами. І це при тому, що надається через портали звітність обов'язкова для більшості юросіб.
- Необхідність детальної настройки властивостей IE, яка полягає, в основному, у відключенні більшості вбудованих в браузер засобів безпеки. А найчастіше також потрібно відключення або налаштування в сторону зменшення безпеки використовуваних антивірусів і файерволов.
Отже, принесений комп'ютер виявився ноутбуком Dell Inspiron 3452. Перше маленьке сумнів у тому, що все налаштується за 15 хвилин, ворухнулося тоді, коли на екрані з'явилася заставка завантажується Windows 10. Справа в тому, що на порталі ФСЗН чесно сказано буквально наступне:
Правда, роботу порталу з Windows 8 / 8.1 і IE 10 мені вже не раз вдавалося налаштувати, та й в інтернеті траплялися заяви різних людей, що у них і на Windows 10 все працює (так само як і заяви людей, у яких не працює).
Друге сумнів зашкреблося, коли виявилося, що програма для роботи з ЕЦП на комп'ютері вже встановлена, але ось тільки вона не працює: меню нечитабельним (замість російських букв знаки питання), при спробі входу видається таке ж нечитабельним повідомлення про помилку.
Подивившись, що на комп'ютері більше практично нічого не встановлено, вирішив піти по шляху найменшого опору і запропонував клієнтові встановити замість Windows 10 що-небудь постарше. Клієнт погодився, і я приступив до роботи.
На жаль, багатогодинні спроби встановити хоч якусь систему так і не увінчалися успіхом. Чи не радує достатком опцій BIOS проте дозволяла управляти настройками SecureBoot / UEFI / Legacy, щоб використовувати завантажувальний флешку. Завантаження починалася бадьоро, проте установка закінчувалася повідомленням про відсутність драйверів оптичного приводу. І справа не у відсутності самого оптичного приводу, і не в спробі установки з флешки, увіткненою в роз'єм USB 3.0 (фахівці знають, про що я), і не в самому дистрибутиві (їх перепробував кілька), і навіть не в версії операційної системи, так як спроба установки Windows 10 теж в підсумку закінчилася таким же повідомленням.
Використання сторонніх інструментів для управліннями розділами диска і спроби установки системи з-під іншої завантаженої з флешки ОС привели до того, що процес установки почав доходити до вибору розділу і настройки диска. Розділи легко створювалися, віддалялися, змінювалися, однак при цьому програма установки наполегливо повідомляла, що встановити Windows на даний жорсткий диск не можна, тому що завантаження з нього відключена в BIOS. Цього я зовсім не розумів, так як черговість завантаження була виставлена правильно, зміна типу диска GPT / MBR картини не міняла, варіанти завантаження UEFI / Legacy також нічого не міняли (тим більше, що розділів EFI вже не було на той час).
Тут треба сказати про одну особливість експлуатованого ноутбука. Справа в тому, що замість звичайного вінчестера в ньому використовується твердотільний накопичувач. Причому це не SSD, що підключається через SATA-роз'єм, а eMMC - тобто це просто впаяти в плату мікросхема пам'яті на 32 ГБ з контролером. До речі, в цій моделі немає навіть можливості підключити звичайний вінчестер: відсік для нього є, а ось роз'єми для підключення відсутні. Загалом, я припустив, що справа саме в цій особливості ноутбука, і що установника Windows, можливо, потрібні якісь додаткові драйвери для установки на eMMC. Пошук цієї теми в інтернеті ні до чого не привів, а з урахуванням вже витраченого часу я почав шукати шляхи відновлення вихідного стану ноутбука.
Через деякий час пошуки увінчалися успіхом: на сайті виробника можна було скачати образ диска для відновлення заводських налаштувань ноутбука. Образ диска містив 64-бітну ОС Windows 10 Домашня і мав розмір близько 6 ГБ. Тим часом день вже підходив до другої години ночі. Поставивши файл на скачування, я вирішив все-таки відпочити.
Рано вранці з завантаженого образу була створена завантажувальна флешка і запущений процес відновлення. Він виявився досить тривалим і, до моєї радості, завершився цілком успішно. Час не засікав, але на все пішло близько 2 годин. На цей момент на руках було практично те ж, що і в самому початку: майже «порожній» ноутбук зі встановленою Windows 10, на якому треба налаштувати роботу з порталом ФСЗН.
"Не вдалося відобразити цю сторінку
Увімкніть TLS 1.0, TLS 1.1 і TLS 1.2 в додаткових параметрах і спробуйте виконати підключення до ...... .. »
Далі йшов метод перебору всіх можливих рішень цієї проблеми. Ці рішення я спробую перелічити нижче, адже кому-то вони можуть стати в нагоді і навіть допомогти. Треба сказати, що в багатьох випадках одне з наведених рішень допомагає досягти необхідного результату, в чому я також раніше неодноразово переконувався на практиці. Але, на жаль, не на цей раз.
Отже, перше, що може прийти в голову при погляді на повідомлення браузера, - включити відповідні версії TLS. Відразу скажу, що у випадку з ФСЗН це марно, так як він «заточений» тільки під TLS 1.0. Так що не витрачайте на це час.
Також не завадить перевірити правильність установки всіх сертифікатів, їх терміни дії, актуальність списків відкликаних сертифікатів (СОС) і т.п. Але, як правило, при наявності проблем з термінами дії сертифікатів не працює і ЕЦП, а в моєму випадку вона працювала.
Часта причина, по якій не відкривається https-сторінка порталу, - явна або неявна (при перевірці) блокування захищеного HTTP-протоколу антивірусом, файерволом або навіть вбудованим брандмауером Windows. Часто цим грішать різні версії антивіруса Avast, чув про проблеми з ESET NOD32 і антивірусом Касперського (сам не стикався). У цьому випадку допомагає тимчасове відключення антивіруса або зміна його налаштувань (виключення з перевірки https-протоколу, додавання сайту в список виключень, відключення перевірки 443-го порту в файервол і т.п.). Найнадійніше - відключити або навіть видалити всі антивіруси і фаєрволи на час роботи з порталом. Тобто мало того, що вас змушують займатися чимось не по своїй волі, так ще й без захисту. Ну ви зрозуміли…
Далі, якщо у вас 64-бітна Windows, то це не означає, що для роботи з порталом треба використовувати 64-бітну версію IE. Дуже часто портал відмовляється з нею працювати з невідомих причин. Нагадаю, шлях до 32-бітової версії «c: \ Program Files (x86) \ Internet Explorer \ iexplore.exe», до 64-бітної - «c: \ Program Files \ Internet Explorer \ iexplore.exe»
Деякі стверджують, що в 64-бітової версії їм допомагає достукатися до порталу установка прапорця «Включити 64-розрядні процеси для розширеного ...» на вкладі «Додатково» у властивостях браузера. У мене не спрацювало.
Проблема з порталом може полягати також в неправильній установці криптопровайдера або в конфлікті версій Avest. Для роботи з ФСЗН, який до цих пір надає ключі на звичайних флешках, а не бачило AvPass, AvToken або іншого більш захищеного варіанту, потрібно стара версія криптопровайдера Avest 5.1 (на сайті зараз пропонують 5.1.0.647). Іншим же програмам і порталам потрібні більш нові версії, як правило, вище 6.0, які вже не підтримують ключі на звичайних USB-носіях. Зазвичай рекомендації при необхідності установки різних версій Avest зводяться до одного: спочатку встановлюється Avest від ФСЗН як старіша, а потім інші. Але є у нас один (як мінімум) банк, який також досі використовує стару версію криптопровайдера і вимагає, щоб його ПО встановлювалося перш інших. Правда, у випадках неправильної установки і конфлікту версій не працює не тільки портал, а й саме ПО, що використовує ЕЦП.
З особливостями Avest пов'язані і багато інших проблем, про які можна було б написати цілу статтю, бо часто конфліктує він не тільки зі своїми «родичами», а й з іншим ПО. Наприклад, в деяких конфігураціях він запросто може призводити до неможливості роботи Skype (що можна вирішити, хоч і не очевидними методами). Однак я зараз про інше. Для нормальної роботи Avest потрібна попередня завантаження однієї або декількох бібліотек. Для цього при установці програми в реєстр прописується шлях до потрібної бібліотеці. Зокрема, при роботі з ФСЗН для 32-бітової версії програми в гілці реєстру HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows. а для 64-бітної в гілці HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ Windows NT \ CurrentVersion \ Windows в параметрі AppInit_DLLs прописується шлях до потрібної бібліотеці приблизно такого вигляду (але не обов'язково точно такий же): C: \ PROGRA
Як бачите, шлях прописаний із застосуванням коротких імен папок. Проблема в тому, що на деяких комп'ютерах використання коротких імен може бути відключено настройками системи. Зокрема, в Windows XP можна відключити короткі імена, розмістивши в гілці HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ FileSystem параметр Ntfsdisable8dot3NameCreation зі значенням 1. У цьому випадку потрібно замінити параметр на 0 або видалити параметр повністю, після чого перевстановити Avest. У більш пізніх версіях Windows можна використовувати символічні посилання. наприклад:
Також мені в деяких випадках допомагало прибирання повного шляху до файлу в реєстрі з залишенням там тільки імені файлу бібліотеки і додавання шляху до потрібної DLL в змінну оточення PATH без використання коротких імен папок. Детально розписувати процедуру редагування змінних оточення не буду: це досить просто, а хто не знає - в інтернеті повно інформації.
Є ще варіант відключення перевірки підпису завантажуваних бібліотек. Кажуть, теж в деяких випадках допомагає (мені не допоміг). Для відключення перевірки треба в гілку HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ Windows NT \ CurrentVersion \ Windows або HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows додати DWROD параметр RequireSignedAppInit_DLLs зі значенням 0.
Деякі люди на форумах стверджують, що замість IE для роботи з порталом ФСЗН можна використовувати інший браузер на движку IE, наприклад MyIE2 або більш свіжий Maxthon. Я спробував лише розширення IE Tab для браузера Chrome, що дозволяє в Chrome емулювати роботу IE різних версій, починаючи з 7-ї. Це також не допомогло.
Далі натрапив також на зовсім очевидний рада відключити в налаштуваннях BIOS функцію SecureBoot. Яким чином це впливає на роботу Avest або порталу ФСЗН - для мене загадка, але багато людей пишуть, що їм це допомогло. Мені нема.
До речі, на сайті Avest в списку підтримуваних операційних систем для Windows 10 вказані тільки два підтримуваних билда (build 10240, 10586). Судячи з повідомлень на форумах, у людей дійсно на різних білдах спостерігаються різну поведінку в роботі IE і порталу.
У підсумку я відмовився від подальшого «биття об стіну» і вирішив проблему простіше: встановив віртуальну машину Oracle VM VirtualBox з Windows XP, після чого на ній поставив все необхідне програмне забезпечення і налаштував роботу IE за ті 15-20 хвилин, що спочатку і планував. В цьому випадку ключі на звичайному USB-носії зіграли на благо, так як читав про проблеми з ключами AvPass на віртуалкою, що розгортаються в хост-системах під Windows 8 і новіше (на Windows 7 такі ключі працюють і в віруталке - перевірено на практиці).
Ось так за несприятливим збігом обставин і, можливо, власної криворукості і недалекоглядності (хоча, підозрюю, швидше за криворукості і безвідповідальності деяких розробників або жадібності їх замовників) замість кількох хвилин простою роботи я отримав півтори доби незабутніх вражень від рішень різних квестів. І хоча природна впертість довела таки до результату, сам шлях його досягнення плюс необхідність працювати в виртуалке мене не дуже радують. Але головне, клієнт задоволений.
На форумі Онлайнер в темах по МНС і ФСЗН я викладав готові виртуалки для VirtualBox, але давно.