Настройка работы с порталом ФСЗН в Windows 10

By | 13.01.2017

Пару дней назад попросили меня об одной мелкой услуге – настроить компьютер для работы порталом ФСЗН. Естественно, согласился: работы там максимум на 15 минут. Опыт есть, нюансы и основные подводные камни известны, поэтому никаких сложностей в этой работе не ожидал. Ох, как же я ошибался…

Немного поясню для тех, кто не сталкивался с программами ФСЗН или прочими подобными. ФСЗН – Фонд социальной защиты населения Республики Беларусь, он же «пенсионный фонд». Все работодатели обязаны выплачивать в этот фонд взносы со своих работников, а также предоставлять различную отчетность. Для этого используется соответствующее программное обеспечение (ПО): несколько разных программ для формирования отчетности, программа для заверки документов электронной цифровой подписью (ЭЦП), программа Avest для работы с ключами ЭЦП, а также портал фонда, через который и предоставляется большинство отчетов.

Основных проблем при настройке ПО для работы с ФСЗН несколько:

  1. Несовместимость разных версий криптопровайдера Avest, используемого для работы с ключами ЭЦП. Дело в том, что помимо ФСЗН существует множество других организаций и учреждений, которые также требуют ЭЦП для работы с их ПО или порталами. В частности, Avest используется при работе со многими банками, для предоставления обязательной отчетности в МНС, в Госкомстат, для работы с порталом ЭСЧФ, для работы с Белгосстрахом, для работы с биржами, для межведомственного документооборота и т.д., и т.п. В результате в одной организации или у одного ИП используется несколько разных электронных ключей и разные версии ПО для работы с ними. Как правило, все это устанавливается на одном компьютере, при этом требуются разные версии Avest, которые зачастую конфликтуют между собой.
  2. Использование только браузера Internet Explorer. Казалось бы, использование веб-технологий должно обеспечивать независимость предоставляемых сервисов от применяемой клиентом платформы. Как бы не так! Большинство вышеупомянутых порталов просто не работает ни с чем, кроме IE. Так что любители Chrome, Opera, Firefox и прочих браузеров «идут лесом». Не говоря уже о пользователях Linux или владельцах техники Apple. Более того, не все версии IE (а соответственно, не все версии Windows) пригодны для работы с этими порталами. И это при том, что предоставляемая через порталы отчетность обязательна для большинства юрлиц.
  3. Необходимость детальной настройки свойств IE, которая заключается, в основном, в отключении большинства встроенных в браузер средств безопасности. А зачастую также требуется отключение или настройка в сторону уменьшения безопасности используемых антивирусов и файерволов.

Итак, принесенный компьютер оказался ноутбуком Dell Inspiron 3452. Первое маленькое сомнение в том, что все настроится за 15 минут, шевельнулось тогда, когда на экране появилась заставка загружаемой Windows 10. Дело в том, что на портале ФСЗН честно сказано буквально следующее:

Портал Фонда не обеспечивает в полной мере авторизацию пользователей, использующих следующие версии программного обеспечения:
Windows 8, Internet Explorer 10
Windows 8, Internet Explorer 11
Windows 8.1, Internet Explorer 11
Windows Server 2012, Internet Explorer 11
Windows 10, MS Edge, Internet Explorer 11

Правда, работу портала с Windows 8/8.1 и IE 10 мне уже не раз удавалось настроить, да и в интернете попадались заявления разных людей, что у них и на Windows 10 все работает (равно как и заявления людей, у которых не работает).

Второе сомнение заскреблось, когда оказалось, что программа для работы с ЭЦП на компьютере уже установлена, но вот только она не работает: меню нечитаемое (вместо русских букв знаки вопроса), при попытке входа выдается такое же нечитаемое сообщение об ошибке.

Посмотрев, что на компьютере больше практически ничего не установлено, решил пойти по пути наименьшего сопротивления и предложил клиенту установить вместо Windows 10 что-нибудь постарше. Клиент согласился, и я приступил к работе.

Увы, многочасовые попытки установить хоть какую-нибудь систему так и не увенчались успехом. Не радующая изобилием опций BIOS тем не менее позволяла управлять настройками SecureBoot/UEFI/Legacy, чтобы использовать загрузочную флешку. Загрузка начиналась бодро, однако установка заканчивалась сообщением об отсутствии драйверов оптического привода. И дело не в отсутствии самого оптического привода, и не в попытке установки с флешки, воткнутой в разъем USB 3.0 (специалисты знают, о чем я), и не в самом дистрибутиве (их перепробовал несколько), и даже не в версии операционной системы, так как попытка установки Windows 10 тоже в итоге закончилась таким же сообщением.

Использование сторонних инструментов для управлениями разделами диска и попытки установки системы из-под другой загруженной с флешки ОС привели к тому, что процесс установки начал доходить до выбора раздела и настройки диска. Разделы легко создавались, удалялись, менялись, однако при этом программа установки упорно сообщала, что установить Windows на данный жесткий диск нельзя, так как загрузка с него отключена в BIOS. Этого я совсем не понимал, так как очередность загрузки была выставлена правильно, смена типа диска GPT/MBR картины не меняла, варианты загрузки UEFI/Legacy также ничего не меняли (тем более, что разделов EFI уже не было к тому времени).

Здесь надо сказать об одной особенности эксплуатируемого ноутбука. Дело в том, что вместо обычного винчестера в нем используется твердотельный накопитель. Причем это не SSD, подключаемый через SATA-разъем, а eMMC – то есть это просто впаянная в плату микросхема памяти на 32 ГБ с контроллером. Кстати, в этой модели нет даже возможности подключить обычный винчестер: отсек для него есть, а вот разъемы для подключения отсутствуют. В общем, я предположил, что дело именно в этой особенности ноутбука, и что установщику Windows, возможно, требуются какие-то дополнительные драйверы для установки на eMMC. Поиск этой темы в интернете ни к чему не привел, а с учетом уже потраченного времени я начал искать пути восстановления исходного состояния ноутбука.

Через некоторое время поиски увенчались успехом: на сайте производителя можно было скачать образ диска для восстановления заводских настроек ноутбука. Образ диска содержал 64-битную ОС Windows 10 Домашняя и имел размер около 6 ГБ. Между тем день уже подходил ко второму часу ночи. Поставив файл на скачивание, я решил все-таки отдохнуть.

Рано утром из скачанного образа была создана загрузочная флешка и запущен процесс восстановления. Он оказался довольно продолжительным и, к моей радости, завершился вполне успешно. Время не засекал, но на все ушло около 2 часов. На этот момент на руках было практически то же, что и в самом начале: почти «пустой» ноутбук с установленной Windows 10, на котором надо настроить работу с порталом ФСЗН.

Установка ПО для работы с ЭЦП прошла легко и успешно. Avest установился автоматически, нужные сертификаты импортированы, ключи определяются, подпись работает. Настройка IE для работы с порталом ФСЗН тоже началась оптимистично: скрипт настройки запустился, настройки поменялись, сообщение на главной странице больше не пугало невозможностью работы и приглашало авторизоваться.

Вот только переход по ссылке для авторизации выдавал знакомое почти всем, кто сталкивался с ФСЗН и другими белорусскими государственными порталами, сообщение:

«Не удается отобразить эту страницу
Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах и повторите попытку подключения к……..»

Далее следовал метод перебора всех возможных решений этой проблемы. Эти решения я попробую перечислить ниже, ведь кому-то они могут пригодиться и даже помочь. Надо сказать, что во многих случаях одно из приведенных решений помогает достичь требуемого результата, в чем я также ранее неоднократно убеждался на практике. Но, увы, не на этот раз.

Итак, первое, что может прийти в голову при взгляде на сообщение браузера, – включить соответствующие версии TLS. Сразу скажу, что в случае с ФСЗН это бесполезно, так как он «заточен» только под TLS 1.0. Так что не тратьте на это время.

Можете для начала проверить вручную, все ли необходимые настройки сделаны. Описание настроек есть на портале. Как минимум, необходимо добавить адрес *.ssf.gov.by в надежные узлы, а для надежных узлов включить все разрешения на работу с ActiveX или просто установить уровень безопасности на низкий, после чего перезапустить браузер. SSL и TLS версии выше 1 должны быть отключены. Хотя если бы этих настроек не было, портал даже не предоставлял бы ссылки для перехода на страницу авторизации.

Также не помешает проверить правильность установки всех сертификатов, их сроки действия, актуальность списков отозванных сертификатов (СОС) и т.п. Но, как правило, при наличии проблем со сроками действия сертификатов не работает и ЭЦП, а в моем случае она работала.

Частая причина, по которой не открывается https-страница портала, – явная или неявная (при проверке) блокировка защищенного HTTP-протокола антивирусом, файерволом или даже встроенным брандмауэром Windows. Часто этим грешат разные версии антивируса Avast, слышал о проблемах с ESET NOD32 и антивирусом Касперского (сам не сталкивался). В этом случае помогает временное отключение антивируса или изменение его настроек (исключение из проверки https-протокола, добавление сайта в список исключений, отключение проверки 443-го порта в файерволе и т.п.). Самое надежное – отключить или даже удалить все антивирусы и файерволы на время работы с порталом. То есть мало того, что вас заставляют заниматься чем-то не по своей воле, так еще и без защиты. Ну, вы поняли…

Далее, если у вас 64-битная Windows, то это не значит, что для работы с порталом надо использовать 64-битную версию IE. Очень часто портал отказывается с ней работать по неизвестным причинам. Напомню, путь к 32-битной версии «c:\Program Files (x86)\Internet Explorer\iexplore.exe», к 64-битной – «c:\Program Files\Internet Explorer\iexplore.exe»

Некоторые утверждают, что в 64-битной версии им помогает достучаться до портала установка флажка «Включить 64-разрядные процессы для расширенного…» на вкладе «Дополнительно» в свойствах браузера. У меня не сработало.

Проблема с порталом может заключаться также в неправильной установке криптопровайдера или в конфликте версий Avest. Для работы с ФСЗН, который до сих пор предоставляет ключи на обычных флешках, а не виде AvPass, AvToken или другого более защищенного варианта, требуется старая версия криптопровайдера Avest 5.1 (на сайте сейчас предлагают 5.1.0.647). Другим же программам и порталам требуются более новые версии, как правило, выше 6.0, которые уже не поддерживают ключи на обычных USB-носителях. Обычно рекомендации при необходимости установки разных версий Avest сводятся к одному: сначала устанавливается Avest от ФСЗН как более старая, а потом остальные. Но есть у нас один (как минимум) банк, который также до сих пор использует старую версию криптопровайдера и требует, чтобы его ПО устанавливалось прежде остальных. Правда, в случаях неправильной установки и конфликта версий не работает не только портал, но и само ПО, использующее ЭЦП.

С особенностями Avest связаны и многие другие проблемы, о которых можно было бы написать целую статью, ибо зачастую конфликтует он не только со своими «родственниками», но и с другим ПО. Например, в некоторых конфигурациях он запросто может приводить к невозможности работы Skype (что решаемо, хоть и не очевидными методами). Однако я сейчас о другом. Для нормальной работы Avest требуется предварительная загрузка одной или нескольких библиотек. Для этого при установке программы в реестр прописывается путь к нужной библиотеке. В частности, при работе с ФСЗН для 32-битной версии программы в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, а для 64-битной в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows в параметре AppInit_DLLs прописывается путь к нужной библиотеке примерно такого вида (но не обязательно точно такой же): C:\PROGRA~2\COMMON~1\avest\AVESTC~1\AvSSPc.dll

Как видите, путь прописан с применением коротких имен папок. Проблема в том, что на некоторых компьютерах использование коротких имен может быть отключено настройками системы. В частности, в Windows XP можно отключить короткие имена, разместив в ветке HKEY_LOCAL_MACHINE\System\CurrentControlSet\FileSystem параметр Ntfsdisable8dot3NameCreation со значением 1. В этом случае нужно заменить параметр на 0 или удалить параметр полностью, после чего переустановить Avest. В более поздних версиях Windows можно использовать символьные ссылки. Например:

1. Определиться, где будет размещаться символическая ссылка (например, в папке C:\Users).
2. Запустить командную строку.
3. Выполнить команду:
mklink /D c:\Users\avcsp "c:\Program Files\Common Files\Avest\Avest CSP" (64-битная система)
или mklink /D c:\Users\avcsp "c:\Рrоgram Files (х86)\Соmmоn Filеs\Avеst\Avеst CSP" (32-битная система).
4. Открыть редактор реестра. В параметре AppInit_DLLs в соответствующей ветке реестра (см. выше) поменять путь на c:\Users\avcsp\AvSSPc.dll
5. Перезагрузить компьютер.

Также мне в некоторых случаях помогало убирание полного пути к файлу в реестре с оставлением там только имени файла библиотеки и добавление пути к нужной DLL в переменную окружения PATH без использования коротких имен папок. Подробно расписывать процедуру редактирования переменных окружения не буду: это довольно просто, а кто не знает – в интернете полно информации.

Есть еще вариант отключения проверки подписи загружаемых библиотек. Говорят, тоже в некоторых случаях помогает (мне не помог). Для отключения проверки надо в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows или HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows добавить DWROD параметр RequireSignedAppInit_DLLs со значением 0.

Некоторые люди на форумах утверждают, что вместо IE для работы с порталом ФСЗН можно использовать другой браузер на движке IE, например MyIE2 или более свежий Maxthon. Я попробовал лишь расширение IE Tab для браузера Chrome, позволяющее в Chrome эмулировать работу IE разных версий, начиная с 7-й. Это также не помогло.

Далее натолкнулся также на совсем не очевидный совет отключить в настройках BIOS функцию SecureBoot. Каким образом это влияет на работу Avest или портала ФСЗН – для меня загадка, но многие люди пишут, что им это помогло. Мне – нет.

Кстати, на сайте Avest в списке поддерживаемых операционных систем для Windows 10 указаны только два поддерживаемых билда (build 10240, 10586). Судя по сообщениям на форумах, у людей действительно на разных билдах наблюдаются разное поведение в работе IE и портала.

В итоге я отказался от дальнейшего «битья о стену» и решил проблему проще: установил виртуальную машину Oracle VM VirtualBox с Windows XP, после чего на ней поставил все необходимое ПО и настроил работу IE за те 15-20 минут, что изначально и планировал. В этом случае ключи на обычном USB-носителе сыграли во благо, так как читал о проблемах с ключами AvPass на виртуалках, разворачиваемых в хост-системах под Windows 8 и новее (на Windows 7 такие ключи работают и в вируталке – проверено на практике).

Вот так по неблагоприятному стечению обстоятельств и, возможно, собственной криворукости и недальновидности (хотя, подозреваю, скорее криворукости и безответственности некоторых разработчиков или жадности их заказчиков) вместо нескольких минут простой работы я получил полтора суток незабываемых впечатлений от решений разных квестов. И хотя природная упертость довела таки до результата, сам путь его достижения плюс необходимость работать в виртуалке меня не очень радуют. Но главное, клиент доволен.

P.S. На момент публикации статьи на портале ФСЗН висело уведомление о регламентных работах и его недоступности в течение как минимум часа. И это в разгар рабочего дня в преддверии конечной даты сдачи отчетов, когда тысячи организаций пытаются работать с порталом. Печально это все…

Share

Комментарии к записи “Настройка работы с порталом ФСЗН в Windows 10” (2)

  1. Compiller

    По поводу как влияет SecureBoot — имогу предположить:
    SecureBoot позволяет грузить в память только подписанные валидными с точки зрения производителей сертификатами драйвера. У Авеста таковой не подписан, точнее подписан, но не майкрософтовскими. Сумеете зашить сетрификат авеста в ваш UEFI BIOS — думаю SecureBoot отключать не придётся.
    Из-за похожего VirtualBox выше 4.3.12 не рекомендуется- там в более старших тоже запрретили грузить крякнутые и неподписанные DLL.

  2. Compiller

    На форуме онлайнера в темах по МНС и ФСЗН я выкладывал готовые виртуалки для VirtualBox, но давно.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *