Практический пример. Браузеры + сервисы + Ява + сертификаты + ключи. Аспекты использования. Текущая ситуация (конец марта 2016 г.). На текущий момент – Яндекс-браузер, Мозилла, Хром (чистый), Опера не работают с Явой, в своих последних версиях. Ставить старые версии браузеров и каким-то образом защищать их от обновления не рекомендуется. Потому что, например, Мозилла при просмотре версии в пункте "о программе" начинает автоматически без всяких вопросов и предупреждений обновляться на последнюю версию - которая не работает с Явой. Также Мозилла неудобна тем, что имеет свое хранилище сертификатов, для целей работы с веб-сервисами это неудобно, а остальные браузеры пользуются системным хранилищем сертификатов - это удобнее.
Интернет Эксплорер (ИЕ) 8-11 нормально работает с сервисами и Явой, если адреса веб-сервисов добавить в "параметры просмотра в режиме совместимости". Это все, что нужно сделать для успешной работы ИЕ с веб-сервисами.
Браузер Макстон (maxthon) последний 4.9.хххххх работает с КН, если переключить в ретро-режим в настройках (из ультра-режима) на данном сайте. Макстон предыдущей ветки 4.4.8.1000 работает нормально с сервисами, можно его и не обновлять с 4.4.8.1000 до 4.4.8.2000.
Макстон сам не обновляется с 4.4.8 на 4.9, что хорошо. Вообще это удивительно, что не сделан бессмысленный и беспощадный (да еще и автоматический) переход на новое. То есть для пользователей, у кого стоит старый макстон 4.4.8, оставлена предыдущая ветка развития, для тех, кому это надо.
Вообще браузер макстон выручает хорошо, почти всем нравится. Единственное - вход с выбором сертификатов немного неудобен, но пользователи постепенно привыкают.
Можно обновить макстон 4.4.8.1000 до 4.4.8.2000 (то есть нажать "обновить" в диалоге обновления, а не "отмена"), и ничего плохого при этом не будет. Макстон 4.4.8.2000 также будет заходить в КН. И при обновлении макстон не тянет никаких других китайских программ из интернета (было такое на него подозрение).
Появился макстон mx4.9.2.300-beta. Проблема необходимости переключения в ретрорежим осталась. Хорошо хоть в следующий раз именно на этом сайте уже не нужно переключаться снова в ретрорежим, браузер запоминает.
Макстон почему-то часто не заходит на pki.gov.kz. Решение - либо изменить строку идентификации браузера (настройки\продвинутые\прочие), причем приходится менять то на хром, то обратно на макстон. Очистить кэш браузера (настройка\очистить данные просмотра). Либо запустить секретное или изолированное окно макстона. Либо набирать адрес именно так -
www.pki.gov.kz. Если ничего не получается, то открыть сайт pki.gov.kz в 360браузере или хроме.
Регистрация в госзакупе 2016 проходит почему то только в связке хром+ncalayer. Дальше работать, в том числе подписывать, в госзакупе 2016 можно в макстоне или в 360браузере, но регистрация - только так. Наверное, в целях распространения этого ncalayer.
360браузер нормально работает почти везде, это по сути тот же хром, только остановленный на стадии, когда он еще работал с Явой. Обновляться он не будет никогда, компания его забросила, тем и удобен. Плохо только то, что управляющий интерфейс этого 360браузера (окна команд) у него только английский и китайский. В сети есть 8 версия 360браузера, похоже, она стала неудачной и переусложненной. Поэтому рекомендуется использовать 360browser7.5.2.110 (ищите поиском в интернете).
Для госзакупа обязательно ставить программу sign_workaround.exe, иначе не будет подписывать и работать вообще с ГЗ. Вход в госзакуп 2016 справа вверху кнопка "Вход", потом "госзакуп 2016".
Программу ncalayer ищите на pki.gov.kz (сейчас он лежит по адресу
http://www.pki.gov.kz/images/NCALayer.zip). sign_workaround ищите на госзакупе, сейчас он лежит по адресу
http://portal.goszakup.gov.kz/portal/up ... around.exe . Либо в справке, либо при подписании он будет в ссылке выходить, если нет в системе его. Кстати, это сейчас общий принцип - при заходе в какую-либо систему (банк-клиент, ГЗ и т.д.) - где-то сбоку или снизу должна быть ссылка на необходимое ПО.
Вообще смена ссылок в сервисах бывает, а иногда - весьма часто. Например, для ЭСФ для помощи (
https://esf.gov.kz:8443/esf-web/resourc ... m#cshid=41) ссылка менялась уже раза 4 с начала года. Универсальный алгоритм получения помощи в ЭСФ, не зависящий от ссылки (ярлычка), приведен ниже.
Некоторые для работы с сервисами ставят Амиго – я не рекомендую, он рано или поздно откажет, он же на хроме. Комета, Уран и прочие браузеры тоже не годятся.
В егове работает только связка хром+ncalayer, даже на стадии захода в егов. Но для КН эта связка не работает. И нигде не написано о том, что ncalayer работает только в егов и нужен только для него.
Кое куда можно зайти вообще без Явы в системе - например, на стат. Правда, подписать скорее всего без Явы не получится.
Отдельный блок вопросов - по сертификатам.
Как ставить нужные корневые сертификаты? Исследовал все способы, все сайты - ни один из них не дает правильных сертификатов, даже pki.gov.kz на лицевой странице.
Существует 2 варианта.
Вариант 1 - нужно настроить КН, даже если он уже настроен - и тогда сертификаты, которых не хватает, пропишутся сами (это будет видно, будет задаваться вопрос-диалог "готовится установка сертификата..."), а если ничего не прописывалось - тогда эти сертификаты уже были в системе самые новые. Причем сертификаты пропишутся автоматически в правильные места, а именно - в доверенные корневые ЦС (ДКЦС). Если сертификаты прописались в другое место (при ручной установке сертификата из файла так и бывает, если автоматически система выбрала куда) - то толку не будет. Вариант 2 - экспортировать потом эти новые сертификаты из тестовой системы и вручную ставить в клиентские системы. Причем надо ставить в правильные места - то есть не куда система сама автоматически ставит, а в доверенные корневые ЦС (ДКЦС). И тогда, если все сделали правильно - при заходе в госзакуп, стат и т.д., система не будет ругаться на недоверенные сайты, значок сайта будет выглядеть поприличнее, не будут задаваться вопросы да или нет, и прочие ненужные проблемы.
Есть еще сертификат ГЗ для прикрепления аттачей (
http://goszakup.gov.kz/app/uploads/java ... gov.kz.cer). Его надо тоже ставить в ДКЦС (trusted certificates).
В установочной папке программы NCALAYER есть подпапка CERTS с сертификатами. Если использовать упомянутые выше варианты 1,2, то эти certs абсолютно не нужны. Что выяснено тем же вышеупомянутым способом - добавлением сертификатов из подпапки certs в систему, куда перед этим уже установили все 6 сертификатов (в ДКЦС). Диалога "готовится установка сертификата...." не было - значит, такие сертификаты в системе уже есть (в ДКЦС). Если бы были такие же сертификаты, но более старые или истекшие - то были бы установлены новые сертификаты, и сохранены истекшие, и появился бы диалог "готовится...".
Если при заходе в КН все висит - пробуйте альтернативные входы в КН -https://cabinet.salyk.kz/sonoweb/?private=1, или
https://cabinet.salyk.kz. Однако по состоянию на конец марта 2016 КН уже сам перебрасывает при входе всегда на первую из указанных ссылок.
Исключения в Яву проще не прописывать руками, а копировать заранее подготовленный текстовый файлик exception.sites в C:\Users\1\AppData\LocalLow\Sun\Java\Deployment\security\exception.sites. Но похоже, исключения сейчас уже неактуальны. В КН, например, и без них уже заходит.
На текущий момент уже есть примеры освобождения от фатальной завязанности веб-сервиса на Яву. Это - БК Фортебанк (по сообщениям его клиентов). И все пока. Госсервисы пока отстают.
Ключи новые НУЦ которые RSA256 - чтобы их получить, если вообще уже были ключи уже НУЦ, то совсем необязательно бегать лично в ЦОН. Даже ТОО-шки могут продлить ключи дистанционно на егове. А некоторые пользователи вообще с начала года сами всегда обновляют все ключи НУЦ - причем дистанционно, через егов (там есть что-то типа "обновить ключи").
Но если ключей НУЦ не было раньше, то надо бежать в ЦОН, да еще и Вас там будут фотографировать на веб-камеру. Правда все это быстро. Менее чем за 10 мин получите ключи.
В госзакуп и стат не заходит вообще (раньше только ругалось, но проходило) без актуальных корневых сертификатов (КС).
Проще всего поставить (обновить) корневые, настроив КН - даже если он уже настроен. Дойдя до вставки ключа - прекратить. Тогда недостающие КС встанут в систему (появится диалог "добавление сертификата").
Нигде КС нормально не выложены. А если выложены - не встают правильно, а именно - в доверенные корневые ЦС.
Работники поддержки банков-клиентов выдают иногда весьма странные рекомендации. Например, поставить Яву х64 (64-битную), что на самом деле ничего не дает.
Еще раз - связка браузер х64+Ява х64 не работает абсолютно. Даже если и можно найти такой браузер (например, ИЕ х64 еще можно, для остальных браузеров это проблематично). Единственная работоспособная связка на текущий момент - браузер х32 (32-битный, х86) + Ява х32 (32-битная, х86).
Или вот, например, такое - поставить мозиллу и зайти с нее в БК. Или яндекс-браузер. (Оба уже давно нормально не работают с явой).
Итог - сейчас можно более-менее уверенно работать со следующей четверкой браузеров – ИЕ 8-11, макстон, 360браузер, хром+ncalayer. И их же и ставить клиентам и настраивать для работы с сервисами + Явой. Если не идет в одном браузере - пробуйте то же самое в другом (только из этого списка). Остальное - напрасная трата времени.