Континент-АП 3.7. Создание запроса и подключение к cert.1cfresh.com

I. Установка СКЗИ Континент-АП для создания защищённого соединения

1. Проверьте, что ваш компьютер отвечает системным требованиям:
   https://www.securitycode.ru/products/skzi-kontinent-ap/?tab=system
   Обратите внимание, что поддерживаются не все выпуски  ОС Windows:

   Где посмотреть параметры компьютера

   В Windows для просмотра параметров компьютера и версии ОС нужно кликнуть правой кнопкой мыши на иконке "Пуск" в левом нижнем углу экра и выбрать пункт "Система"
   

   1. Windows 10 x86/x64 (кроме выпусков Education Edition, Home Edition и Insider Preview)

   2. Windows 7 SP1 x86/x64 (кроме всех выпусков Starter и Home Edition)
      
      

2. Скачайте дистрибутив СКЗИ Континент-АП 3.7
   

   Windows: https://files.1c.ru/1cfresh/setup_SKZI_Continent_AP_windows.zip

   Новая версия Континент-АП 4

   https://files.1c.ru/1cfresh/setup_SKZI_Continent_AP_windows.zip

   Linux: https://files.1c.ru/1cfresh/setup_SKZI_Continent_AP_linix.zip

3. Подготовка к установке
   
   1. Рекомендуется сделать точку восстановления системы.
      Инструкция для Windows 10:  https://support.microsoft.com/ru-ru/windows/создание-точки-восстановления-системы-77e02e2a-3298-c869-9974-ef5658ea3be9

   2. В настройках BIOS необходимо отключить Secure Boot (оно же: перевести загрузку в Legacy-режим)

      Если не выполнить это действие есть риск потерять доступ к системе при проблемах во время установки ПО без возможности восстановления или вызвать некорректную работу периферийных устройств.
      В некоторых случаях после установки СКЗИ Континент-АП, если в bios не отключена опция Secure Boot, перестаёт работать мышь.
      Восстановить работоспособность можно только удалив СКЗИ Континент-АП (что не просто без использования мыши) или отключив Secure Boot в биосе.

4. Если установлен КриптоПро
   Для совместной работы с Континент-АП с КриптоПРО требуется чтобы КриптоПРО был установлен после Континент-АП и версия КриптоПРО была не ниже 4.0.9944.
   Если КриптоПРО уже установлен, то возможно его потребуется переустановить. Перед переустановкой требуется обязательно сделать точку восстановления системы, резервные копии личных сертификатов и копию серийного номера лицензии КриптоПРО.

5. Установка СКЗИ Континет-АП

   1. Запустите скачанный ранее ts_setup, нажмите "Далее"
      

   2. Примите лицензионное соглашение, нажмите «далее»
      

   3. Снимите флаг у пункта "Брандмауер", нажмите «далее»
      

   4. Путь по умолчанию НЕ меняйте, нажмите «далее»
      
      
      
   5. Не меняйте поля на этом шаге; установите уровень безопасности на значение низкий, нажмите «установить»
      
   6. В ходе установке согласитесь с установкой программного обеспечения
      
   7. Для завершения установки нажмите «далее» и перезагрузите компьютер
      
      
   8. После перезагрузки автоматически запустится ПО «Код Безопасности CSP».
      На этом шаге необходимо накопить энтропии для биологического датчика случайных чисел.
      
      Для этого жмите левой кнопкой мыши на появляющуюся в разных частях экрана мишень.
      Процесс необходимо повторять до тех пор, пока шкала накопления энтропии не заполнится до 100%.
      
      
      После завершения накопления энтропии установка ПО «Континент-АП» будет завершена.
      Теперь необходимо перейти к настройке параметров сетевого подключения.

II. Создание запроса на подключение нового пользователя к сервису cert.1cfresh.com

1. В системном трее (правый нижний угол) нажатием правой кнопкой мыши на ярлык VPN-клиенте Континент-АП  откройте контекстное меню, выберите пункт: "Сертификаты" → "Создать запрос на пользовательский сертификат"
   

2. Заполните все поля (Имя сотрудника, Описание, Организация, Город, Страна, e-mail).

   Важно!

   Поля необходимо заполнять корректно: если в поле ФИО будет что-то другое (к примеру: "бухгалтер"), сертификат не будет выпущен. Имя сотрудника должно быть в виде: Фамилия Имя Отчество
   или адрес электронной почты в запросе будет отличаться от того, с которого будет прислан запрос - сертификат не будет создан.
   Все поля кроме Регион и Описание необходимо заполнять корректно!

   Важно!

   Необходимо нажать кнопку  и убедиться что поле "Криптопровайдер" установлено в значение «Код Безопасности CSP».
   В противном случае запрос будет сформирован некорректно и сертификат не будет создан.
   

    
   Необходимо запомнить куда сохранился файл с сертификатом (поле "электронная форма"). Этот файл позже нужно будет прикрепить к письму с заявкой на выпуск сертификата
   По окончанию заполнения и проверки всех полей нажимаем «Ок».

3. На следующем шаге потребуется повторить накопление энтропии: нажимайте левой кнопкой мыши по появляющийся мишеням, пока процесс генерации не будет завершен.

   

4. После успешного формирования запроса необходимо ввести пароль от будущего сертификата и его подтверждение.
   Пароль надо запомнить - в случае его утери сертификат придётся выпускать заново.
   

   Важно!

   Пароль устанавливается на 5 месяцев.
   Если до истечения срока пароля его не сменить, потребуется перевыпускать сертификат.
   Срок действия пароля можно проверить срок действия просьба зайти в Пуск – Код Безопасности CSP – Выбрать нужный контейнер – Информация.
   

   Смена пароля производится по кнопке Изменить пароль: вводите старый пароль и вносите новый пароль, который важно запомнить.
   Рекомендуется поставить напоминание о необходимости сменить пароль, которое сработает через 4 - 4,5 месяца.

   

5. Зайдите в каталог, который был указан в п.II.2 данной инструкции.
   В нём найдите "Файл для сохранения запроса на сертификат" (имеет расширение .req) и отправьте его вложением к письму в службу поддержки сервиса на почту: support@cert.1cfresh.com используя следующий шаблон:

   Шаблон письма на выпуск сертификата

   Тема
   АФ. Абонент № Код_абонента. Запрос на выпуск сертификата Континент-АП

   Тело письма
   

   Прошу выдать сертификат для пользователя: ФИО_Пользователя
   

   Наименование абонента: Наименование_Абонента

   Важно!

   Письмо необходимо отправить с электронной почты пользователя, который при создании запрос (см. п.II.2).

6. Ожидайте ответа от службы поддержки сервиса.
   Среднее время обработки запроса на выпуск сертификата 2-3 рабочих дня.
   В ответном письме должен прийти файл с расширением .apcfg.

III. Установка сертификата пользователя

1. От службы поддержки сервиса в ответ на запрос придёт файл с расширением ".apcfg"
2. В системном трее (правый нижний угол) нажатием правой кнопкой мыши на ярлык VPN-клиенте Континент-АП  откройте контекстное меню, выберите "Создать соединение" → "Применение настроек из файла конфигурации"
   
3. Выберите полученный файл, укажите пароль для расшифровки файла, полученный от администратора сервиса и нажмите кнопку "Далее"
   
4. На следующей вкладке проверьте, что в поле "адрес подключения" указано vpn.cert.1cfresh.com. Нажмите кнопку "Далее".
   
5. (при необходимости) Выберите ключевой контейнер, который был сформирован для хранения ключа сертификата, если их несколько. Нажмите кнопку "Далее". 
   
6. Для проверки или изменения параметров подключения к сервису откройте настройку соединения в главном меню Континент АП.
   Пункт "Настройка соединения", в нём выберите соединение "vpn.cert.1cfresh.com"
   

7. В появившемся окне подключения проверьте что поля заполнены правильно:
   Адрес СД: vpn.cert.1cfresh.com:4433 (или vpn.cert.1cfresh.com)
   Режим защищенного соединения: Стандартное подключение (UDP)
   После успешного заполнения нажмите "ОК" для закрытия окна.

   
8. Через контекстное меню "Установить\разорвать соединение" → "Установить соединение vpn.cert.1cfresh.com".
   Должно появиться окно с запросом пароля, который был задан при формировании сертификата.
   Если соединение было успешно установлено - иконка VPN-клиента в системном трее изменится с серой на зелёную 
9. Откройте в браузере сайт cert.1cfresh.com
   Если все сделано правильно - вы увидите главную страницу сервиса:
   
10. Настройка защищённого соединения завершена. Можно приступать к установке платформы 1С.

IV. Установка тонкого клиента платформы 1С:Предприятие 8

Работа в облачных приложениях можно с помощью "Тонкого клиента" 1С или веб-браузера.
Рекомендуется установить Тонкий клиент и использовать в качестве основного варианта.
Скачать дистрибутив нужной версии можно с сайта: https://releases.1c.ru/project/Platform83
После выбора нужной версии в списке компонентов нужно выбрать "Тонкий клиент 1С:Предприятие (64-bit) для Windows" или "Тонкий клиент 1С:Предприятия для Windows", в зависимости от разрядности вашей операционной системы.

Разархивируйте скаченный файл и запустит  "setup.exe".

V. Проблемы и их способы их решения

1. После установки\переустановки Континент-АП перестала работать мышь\тачпэд ноутбука

   Решение: 8689 - Почему перестает работать мышь/клавиатура после установки/удаления TLSClient/"Континент-АП"? (securitycode.ru)
   
   

2. При запуске VPN-Клиент Континент-АП ошибка "Тест контроля целостности не пройден"

   
   Решение:

   1. Нажать кнопку "Пуск", ввести "cmd" или "Командная строка".
      На найденной в списке программе нажать правой кнопкой мыши и выбрать пункт "Запуск от имени администратора"
      
      
      Ввести команду для переход в каталог с установленным VPN-клиентом

      cd "C:\Program Files\Security Code\Terminal Station\"

      
      Далее выполнить комменду

      ngc.exe /b

      Будет выполнен пересчёт хэш-суммы системных файлов.
      
      После окончания выполнения процедуры контроля целостности нужно закрыть окно и запустить VPN-клиент Континент-АП: приложение должно запуститься без ошибок.
      Важно!
      Чтобы эта ошибка больше не появлялась, нужно отредактировать файл Integrity.xml.
      Для этого откройте Блокнот от имени администратора, в нем откройте файл C:\Program Files\Security Code\Terminal Station\Integrity.xml. В файле удалите все строки, оставив только:

      <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
      <integrity><catalog name="common"></catalog></integrity>

      Сохраните файл и перезапустите VPN клиент.

3. После установки\переустановки КАП перестал работать КриптоПро CSP

   Решение: Необходимо выполнить настройку совместимости Континент АП и КриптоПро CSP.
   
   1. В ветках реестра:
      Для 32х разрядной системы: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo\
      Для 64х разрядной системы:
      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo\
      • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo\
      Для значения OID [1.2.643.2.1.3.2.1!1] переименуйте параметр "Algid"=dword:0000801e в уникальное, например "Algid-"=dword:0000801e
      После внесения изменений перезагрузите компьютер.
   2. Удалить ветки реестра, если есть:
      1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
      2. HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
      3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.2.2.19
      4. HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.2.2.19

4. Континент-АП подключен но не удаётся подключиться к сервису и не открывается сайт https://cert.1cfresh.com/ в браузере

   Если была попытка обращения к адресу https://cert.1cfresh.com/ (в браузере или запуск приложения) до полной установки защищенного соединения с помощью Континент-АП,
   то операционная система на время запомнит некорректный адрес сервиса.
   Из-за этого даже после установки защищенного соединения некоторое время при попытке зайти в приложение будет возникать ошибка сетевого соединения с сервисом.
   Решение:
   1. Перезагрузить компьютер, установить защищенное соединение и только после этого заходить в приложения или на сайт https://cert.1cfresh.com/
   2. Нажать Пуск → ввести "Выполнить" (или нажать сочетание клавиш Win+R) и выполнить команду:

   ipconfig /flushdns

   После чего повторить попытку входа в приложение.