код работ по lts
Условные обозначения в табеле учета рабочего времени в 2021 году
Условные обозначения в табеле учета рабочего времени в 2021 году — это буквенные или цифровые символы, которые обозначают факт нахождения или отсутствия сотрудника на работе и причины отсутствия.
Если заработок сотрудников организации зависит от продолжительности отработанного времени, его необходимо фиксировать. Более того, статья 91 Трудового кодекса предписывает работодателю вести учет рабочего времени по каждому трудящемуся. Для этого предусмотрен специальный табель, и цифровые или буквенные обозначения в табеле учета рабочего времени используются в целях оптимизации оформления документации. Это важный документ, по нему производится расчет длительности труда гражданина, который необходимо оплачивать.
Как выглядит документ
Согласно статье 9 Федерального закона №402-ФЗ от 06.12.2011, с 2014 года коммерческие организации сами выбирают формы первичной документации. В нашем случае это Т-12 и Т-13, утвержденные Постановлением Госкомстата РФ №1от 05.01.2004. Первую ведут вручную, вторую — с применением средств автоматизации. Подробно об их заполнении мы уже рассказывали в отдельной статье о заполнении.
Бюджетные же учреждения должны использовать официально утвержденные регистры (о них подробнее узнайте из Приказа Минфина России от 30.03.2015 №52н).
В ячейках, соответствующих каждому дню месяца, ставятся буквы или цифры. Это код или обозначение в табеле учета рабочего времени Т-13 и Т-12 факта присутствия работника на рабочем месте или отсутствия (и его причины).
Эксперты КонсультантПлюс разобрали, как правильно заполнить табель учета рабочего времени в 2021 году. Используйте эти инструкции бесплатно.
Буквенные обозначения учета рабочего времени
В упомянутом Постановлении Госкомстата приводится не только сама форма, но и рекомендации по ее заполнению, включая коды в табеле учета рабочего времени Т-13 и Т-12. Рассмотрим их по графам.
В графе 4 необходимо пояснить, присутствовал ли сотрудник на месте в тот или иной день.
Здесь возможны такие варианты:
Если сотрудника на месте не было, то коды расскажут, по какой причине. Мы рассмотрим наиболее часто встречающиеся.
Вот расшифровка табеля учета рабочего времени 2021 года в виде таблицы из постановления Госкомстата:
Как обозначать декретный отпуск
Для обозначения такого отпуска используют коды Р, ОЖ в табеле, расшифровка их, как видно из таблицы, означает:
Другие коды
В учетном документе применяются и другие коды: в графах 5 и 6 подсчитывают суммы отработанных часов — здесь никаких условных знаков нет. А вот графа 7 содержит коды оплаты.
Они аналогичны тем, что используют в справке 2-НДФЛ. Они указаны в Приказе Минфина от 10.09.2015 №ММВ-7-11/387@.
Обозначение в Т-13 охватывает следующие виды доходов:
Тут стоит пояснить. Нередко возникает вопрос: как обозначается отпуск без сохранения заработной платы или простой по вине работника. Очевидно, что графа 7 останется пустой. Если з/п не выплачивают, то и отражать в ней нечего.
А буквенные и цифровые символы отпуска без сохранения заработка — ДО (16) или ОЗ (17), в зависимости от основания предоставления. РП (31) означает простой по вине работодателя. Таким образом, коды ДО и РП в табеле учета рабочего времени ставятся обязательно. Это же правило актуально для обозначения прогула, отстранения и иных подобных случаев.
В графы 10 и 12 заносят коды неявки, а в 11 и 13 — суммируют пропущенные часы или дни.
Форма рассчитана на 31 день. Для месяца, где 30 или 28 дней, отсутствующие дни необходимо отметить крестиком.
Эксперты КонсультантПлюс разобрали, как внести исправления в табель учета рабочего времени. Используйте эти инструкции бесплатно.
Коды для Т-13
Госучреждения пользуются документом по ОКУД 0504421, и к нему Приказом Минфина России №52н от 30.03.2015 утверждены иные обозначения в табеле учета рабочего времени в 2021 году (форма 0504421): они отражены в таблице:
Коды для Табеля учета рабочего времени
Табель учета рабочего времени может иметь разную форму. Можно выбрать форму, утвержденную постановлением Госкомстата России от 05.01.2004 № 1 (формы Т-12, форма Т-13). Можно взять форму, утвержденную приказом Минфина России от 30.03.2015 № 52н. Можно разработать форму самостоятельно.
Сейчас формы первичных учетных документов из альбомов унифицированных форм первичной учетной документации, не являются обязательными к применению.
Коммерческие организации вправе разработать и утвердить свою собственную форму с собственными буквенными или цифровыми обозначениями. Бюджетные учреждения должны использовать формы, официально утвержденные Приказом Минфина России от 30.03.2015 № 52н.
На практике почти все используют формы, которые «зашиты» в бухгалтерские программы или есть в общем доступе в интернете. Это формы Т-12 и Т-13.
Формы табелей учета рабочего времени Т-12 и Т-13 утверждены Постановлением Госкомстата РФ №1 от 05.01.2004.
Коды учета рабочего времени
Код в табеле учета рабочего времени Т-13 и Т-12 обозначает, находился работник на рабочем месте или нет, если отсутствовал, то по какой причине.
Коды в табеле учета рабочего времени отличаются в зависимости от того, является организация бюджетной или коммерческой. То есть, для Т-12 и Т-13 применяют разные коды.
Постановлением Госкомстата РФ №1 от 05.01.2004 утверждены не только сами формы табелей, но и правила их табелей, включая коды учета рабочего времени.
Коды явки работника на рабочее место
Коды, которыми обозначают отсутствие на работе
Все коды учета рабочего времени в Табеле Т-12
| Наименование затрат времени | Код | |
|---|---|---|
| буквенный | цифровой | |
| Продолжительность работы в дневное время | Я | 01 |
| Продолжительность работы в ночное время | Н | 02 |
| Продолжительность работы в выходные и нерабочие праздничные дни | РП | 03 |
| Продолжительность сверхурочной работы | C | 04 |
| Продолжительность работы вахтовым методом | ВМ | 05 |
| Служебная командировка | К | 06 |
| Повышение квалификации с отрывом от работы | ПК | 07 |
| Повышение квалификации с отрывом от работы в другой местности | ПМ | 08 |
| Ежегодный основной оплачиваемый отпуск | ОТ | 09 |
| Ежегодный дополнительный оплачиваемый отпуск | ОД | 10 |
| Дополнительный оплачиваемый отпуск в связи с обучением с сохранением среднего заработка работникам, совмещающим работу с обучением | У | 11 |
| Сокращенная продолжительность рабочего времени для обучающихся без отрыва от производства с частичным сохранением заработной платы | УВ | 12 |
| Дополнительный отпуск в связи с обучением без сохранения заработной платы | УД | 13 |
| Отпуск по беременности и родам (отпуск в связи с усыновлением новорожденного ребенка) | Р | 14 |
| Отпуск по уходу за ребенком до достижения им возраста трех лет | ОЖ | 15 |
| Отпуск без сохранения заработной платы, предоставляемый работнику по разрешению работодателя | ДО | 16 |
| Отпуск без сохранения заработной платы в случаях, предусмотренных законодательством | ОЗ | 17 |
| Ежегодный дополнительный отпуск без сохранения заработной платы | ДБ | 18 |
| Временная нетрудоспособность (кроме случаев, предусмотренных кодом «Т») с назначением пособия согласно законодательству | Б | 19 |
| Временная нетрудоспособность без назначения пособия в случаях, предусмотренных законодательством | Т | 20 |
| Сокращенная продолжительность рабочего времени против нормальной продолжительности рабочего дня в случаях, предусмотренных законодательством | ЛЧ | 21 |
| Время вынужденного прогула в случаях признания увольнения, перевода на другую работу или отстранения от работы незаконными с восстановлением на прежней работе | ПВ | 22 |
| Невыходы на время исполнения государственных или общественных обязанностей согласно законодательству | Г | 23 |
| Прогулы | ПР | 24 |
| Продолжительность работы в режиме неполного рабочего времени по инициативе работодателя в случаях, предусмотренных законодательством | НС | 25 |
| Выходные дни(еженедельный отпуск) и нерабочие праздничные дни | В | 26 |
| Дополнительные выходные дни (оплачиваемые) | ОВ | 27 |
| Дополнительные выходные дни без сохранения заработной платы | НВ | 28 |
| Забастовка (при условиях и в порядке, предусмотренных законодательством) | ЗБ | 29 |
| Неявки по невыясненным причинам (до выяснения обстоятельств) | НН | 30 |
| Время простоя по вине работодателя | РП | 31 |
| Время простоя по причинам, не зависящим от работника и работодателя | НП | 32 |
| Время простоя по вине работника | ВП | 33 |
| Отстранение от работы (недопущение к работе) с оплатой (пособием) в соответствии с законодательством | НО | 34 |
| Отстранение от работы (недопущение к работе) по причинам, предусмотренным законодательством, без сохранения заработной платы | НБ | 35 |
| Время приостановки работы в случае задержки выплаты заработной платы | НЗ | 36 |
| Обозначение дней до вступления в должность или после освобождения с нее (увольнения, переводы и т. п.) | Х | 37 |
Коды для Табеля учета рабочего времени Т-13
Госучреждения применяют Приказ Минфина России от 30.03.2015 № 52н, где утверждены другие коды для Табеля учета рабочего времени.
| Тип | Код |
|---|---|
| Трудовая деятельность в нерабочие, выходные и праздничные дни | В |
| Трудовая деятельность, осуществляемая ночью | Н |
| Осуществление государственных обязанностей | Г |
| Ежегодный, очередной или дополнительный отпуск | О |
| Временная нетрудоспособность (включая нетрудоспособность, вызванную будущим материнством, и режим самоизоляции) | Б |
| Отпуск, предоставляемый в связи с необходимостью осуществления ухода за малолетним ребенком | ОР |
| Сверхурочная трудовая деятельность | С |
| Прогул | П |
| Отсутствие на месте осуществления трудовой деятельности, неявка на работу по причинам, остающимся невыясненными | НН |
| Служебная поездка, командировка | К |
| Отсутствие на работе, неявка с разрешения работодателя, администрации компании | А |
| Учебный допотпуск | ОУ |
| Выходные, предоставленные в связи с обучением | ВУ |
| Замещение в 1-3 классах | ЗН |
| Замещение, производимое в группах продленного дня | ЗП |
| Замещение, осуществляемое в 4-11 классах | ЗС |
| Трудовая деятельность, осуществляемая в нерабочие дни (праздники и на входных) | РП |
| Часы, фактически отработанные | Ф |
электронное издание
100 БУХГАЛТЕРСКИХ ВОПРОСОВ И ОТВЕТОВ ЭКСПЕРТОВ
Полезное издание с вопросами ваших коллег и подробными ответами
наших экспертов. Не совершайте чужих ошибок в своей работе!
Свежий выпуск издания доступен подписчикам бератора бесплатно.
5 причин, по которым я окончательно перешел с Windows 10 LTSB\LTSC на Windows 10 Pro
реклама
И даже встречались посты, где автор призывал к использованию версии Windows 10 Home, аргументируя это тем, что это самая минималистская версия, где вырезано все, что можно. И надо сказать, в этом есть доля здравого смысла.
реклама
Но у игрового ПК есть важные требования к Windows, в которых LTSB оказывается в пролете. И это будет первой причиной, по которой я отказался от использования корпоративных версий Windows 10.
Большинство игр прекрасно идет и на LTSB и LTSC, но иногда выходит новинка, не поиграть в которую никак нельзя. И как назло, моя версия Windows 10 слишком старая для нее. На этот раз такой игрой оказалась Horizon Zero Dawn. У меня игра просто вылетала с критической ошибкой. В версии игры 1.03, которая вот-вот вышла, разработчики добавили проверку на версию Windows 10, которая должна быть не менее 1809.
реклама
реклама
Поддержка новых версий процессоров не менее важна и появляется в актуальных версиях Windows 10. У версии LTSB, к примеру, в профилях энергопотребления не появляется профиль AMD Ryzen Balanced.
Про эти мелочи разработчики могут уже даже не упоминать, потому, что последняя версия Windows 10 стала стандартом для нового железа.
Windows 10 1903 в планировщик Windows внесли изменения, дающие прирост производительности процессорам AMD Ryzen в некоторых бенчмарках, в LTSC это появилось лишь спустя полтора года после выхода Windows 10 1903.
Развитие Windows 10 не стоит на месте и сейчас это уже совсем другая система, чем которая была в 2015 году. Постоянно добавляются новые функции и приятные мелочи, улучшающие работу и досуг за ПК.
После того, как попользуешься Pro версией Windows 10, на LTSB и LTSC начинает не хватать элементарных вещей, таких как, например, таймеры и будильники. Замещать отсутствующий функционал сторонними решениями можно, но пока найдешь тот же удобный будильник и таймер, приходится перелопатить кучу подозрительного и устаревшего софта.
Защитник Windows или Microsoft Defender не стоял на месте все эти пять лет и постепенно превратился в довольно качественный антивирус, который сделал ненужными сторонние продукты, особенно бесплатные.
Преимущества встроенного антивируса в том, что он не показывает вам рекламу, не ставит в систему корневые сертификаты и драйвера и не шпионит за вами.
При этом у LTSB версии функционал Microsoft Defender остался на уровне Windows 7 и не имеет защиты папок или защиты от шифровальщиков. Обновления актуальных антивирусных баз он, конечно, получает, но степень защиты в целом гораздо ниже.
LTSB и LTSC остаются версиями Windows 10 с многими ее недостатками. Особенно неприятно то, что багов не меньше, чем у обычных, Pro версий. Я сталкивался с несколькими багами, которые исправить мне не удалось. До Windows 7 по стабильности и надежности этим версиям все равно очень далеко.
Выводы
Вот таков был мой опыт с LTSB и LTSC версиями Windows 10, после которого я решил окончательно перейти на Pro версию. Тем более, что недостатки Pro версии, в частности, в плане контроля обновлений, можно легко компенсировать простейшими средствами, о чем я недавно писал в блоге про обновления Windows 10.
Примечание
При написании блога использовались пробные, 90-дневные версии LTSB и LTSC.
Пишите в комментарии, какой версией Windows пользуетесь вы и довольны ли вы ей?
LTSP: Терминальный сервер на Linux
Сейчас я расскажу вам о том, как можно сэкономить немалое количество времени и денег на вашей IT-инфраструктуре.
Как централизованно админить большое количество linux рабочих станций не разводя при этом хаос в вашей экосистеме.
И так, что же такое LTSP?
LTSP — Это терминальное решение на Linux.
Говоря «терминальное», я в первую очередь имею в виду не подключение к удаленному рабочему столу как в Windows. Я подразумеваю гораздо более гибкую и продвинутую систему доставки ПО, конфигов, домашенего каталога, да и самой операционной системы на клиентские рабочие станции с вашего терминального сервера.
В частности, LTSP — это совокупность преднастроенных программ и скриптов которые позволят вам без особого труда превратить вашу свежеустановленную Ubuntu, или другой дистрибутив, в полностью готовое к работе терминальное окружение. Которое будет загружаться на любых компьютерах в вашей сети и предоставлять пользователю полноценный интерфейс.
У LTSP есть несколько режимов работы:
Для того, чтобы понять в чем различие для начала нам нужно разобраться как LTSP работает.
Принцип работы
Допустим, у вас есть сервер и множество компьютеров (терминальных станций), которые вы раздаете пользователям, чтобы те за ними работали. Терминальные станции эти почти ничем не отличаются от обычных компьютеров, за исключением того, что их размеры обычно достаточно малы, для работы им не нужен жесткий диск и, кроме того, они могут быть довольно слабыми и дешевыми, на работе пользователей это не отражается (в режиме тонкого клиента). Стоит отметить, что в роли терминальной станции может выступать любой компьютер, который умеет загружаться по сети.
Как я уже сказал, на терминальных станциях вполне может и не быть жесткого диска, а соответственно никакой операционной системы на них не установленно, вся загрузка происходит c LTSP-сервера прямо по сети.
На терминальном сервере у вас установлена система, в ней же и хранятся все данные пользователей, конфиги, и ПО.
Когда пользователь включает свой компьютер, у него загружается операционная система с терминально сервера, он может в нее войти, поработать, отключиться. При этом все данные всегда остаются на терминальном сервере.
Теперь о режимах работы:
Итак, какой же режим нам выбрать? — все зависит от того, что вы хотите получить. Вы можете немного сэкономить используя на клиентах слабые станции вкупе с мощным сервером в режиме тонких клиентов. Или разгрузить терминальный сервер и локальную сеть, купив терминальные станции помощнее, переложив ответсвенность за выполнение программ на клиентов, заставив их, тем самым, работать в режиме толстого клиента.
Кроме того, режимы можно комбинировать и некоторые приложения можно заставлять работать иначе, чем все остальные. Например запускать «тяжелый» браузер с flash локально на клиентах, а офисные приложения запускать на самом сервере.
Плюсы и минусы
Давайте рассмотрим какие же плюсы мы имеем по сравнению со стандартными принципами построения ит инфраструктуры:
Устройство
Первое, что мы должны знать, это компоненты из которых состоит сервер:
Во вторых разберемся в том как он работает:
Их то мы и будем использовать для настройки нашего окружения.
Как устроена загрузка по сети?
Так же предельно важно понимать как устроена загрузка по сети, процесс загрузки выглядит примерно следующим образом:
LDM — это логон менеджер LXDE, который отвечает за авторизацию пользователей и начальный запуск окружения.
Когда пользователь логинится проиходит следующее:
Если вам нужна более подробная информация о загрузке Linux по сети, рекомендую обратиться к циклу статей Roshalsky, вот ссылка на первую.
Установка
Я опишу установку LTSP в режиме толстого клиента, как наиболее сложную и интересную.
Настройка в режиме тонкого клиента мало чем будет оличаться, за исключением того, что необходимое ПО вам придется устанавливать не в chroot, а в основную систему, и после этого вам не нужно будет пересобирать nbd-образ.
Маленькая оговорочка, для сервера лучше брать дистрибутивы посвежее, т.к. LTSP находится среди стандартных пакетов и обновляется вместе с дистрибутивом. Для гостевой ос лучше брать проверненную Ubuntu 14.04 LTS, т.к. если брать дистрибутив посвежее, потом начнутся проблемы, то загрузчик не станавливается, из-за переименования пакетов, то еще что.
UPD: Проверенно, с последней Ubuntu 16.04 LTS таких проблем не возникает.
Итак, приступим. Сначала устанавливаем ltsp-server-standalone :
Теперь с помощью ltsp-build-client мы установим клиентскую систему. LTSP поддерживает различные DE, но больше всего мне понравилось как работает LXDE. В отличии от Unity он потребляет совсем мало ресурсов и так-как работает на голых иксах, он почти полностью конфигурируется с помощью переменных среды, это очень удобно, так-как их можно указать в главном конфиге lts.conf.
В случае если опция не указана, будет использоваться тот же дистрибутив и/или архитектура, что и на серверной системе.
Эта же система и будет использоваться в дальнейшем всеми командами LTSP, в нее будет устанавливаться дополнительное ПО, из нее будут генериться загрузчик с ядром и nbd-образ системы. В принципе, ее, так же можно отдавать по nfs при должной настройке загрузчика.
После установки LTSP автоматически сгенерит из нее nbd-образ. Этот образ и будут загружить наши клиенты.
DHCP-сервер:
Но, так как я предполагаю, что у вас уже есть DHCP-сервер, предлагаю настроить его.
Теперь вам нужно добавить к вашему dhcp-серверу 2 опции:
Как это сделать, смотрите инструкции к вашему DHCP-серверу.
Вот, например инструкция как это сделать на оборудовании Mikrotik.
Установка ПО
Давайте же войдем в нашу гостевую систему:
Теперь установим vim:
Поддержку русского языка:
Последнюю версию Remmina:
Браузер Chromium c плагином PepperFlash (свежий flash от google)
Кстати, PepperFlash можно установить и запустить без Chromium, в Firefox:
Еще в Ubuntu 16.04 есть некая проблема, если не настроить xscreensaver, то через определенное время клиент покажет черный экран, из которого никак не выйти. Исправим это:
Установим xscreenasver, если он еще не установлен:
Если вы намерены блокировать экран с вводом пароля, не забудьте добавить следующую строку в ваш конфиг lts.conf:
Не забываем выйти из chroot и обновить наш nbd-образ:
Создание пользователей
Обычных пользователей терминального сервера можно создать стандартным способом:
Или через GUI если он установлен у вас на сервере
Также при желании можно создать локального администратора в клиентском образе:
Конфиг lts.conf
Вот мы и подобрались к самому главному конфигу
Находится он по адресу /var/lib/tftpboot/ltsp/i386/lts.conf и представляет ссобой нечто иное как описание глобальных переменных.
Конфиг поделен на секции, в секции Default описываются настройки общие для всех клиентов:
Также можно добавить секции для отдельных клиентов, на основе hostname, IP или MAC-адреса:
Вообще полный список опций вы можете найти на этой странице, или в
Итоги
В итоге мы получаем одновременно гибкую, безопасную и простую в администрировании систему.
Мы можем стандартными методами установливать любое ПО на нее, разграничивать права пользователей, править конфиги общие и для каждого юзера по отдельности, и не бояться за потерю данных.
К тому же, благодаря свободной лицензии все это достается вам абсолютно бесплатно.
LTSP можно использовать как в учебных заведениях, так и в обычных офисах, как для удаленного подключения к Windows, так и просто для обычной работы.
UPD: widestream в комментариях отписал, что успешно использует похожую схему для создания рендер-фермы.
Не секрет, что в нынешние времена для большинства сотрудников, сейчас, будет достаточно лишь браузера с базовым набором офисных програм на рабочем месте.
Шифрование TLS-трафика по алгоритмам ГОСТ-2012 c Stunnel
В этой статье я хочу показать, как настроить Stunnel на использование российских криптографических алгоритмов в протоколе TLS. В качестве бонуса покажу, как шифровать TLS-канал, используя алгоритмы ГОСТ, реализованные в криптоядре Рутокен ЭЦП 2.0.
Но для начала давайте вообще разберёмся для чего нужен Stunnel. В двух словах — это программа, на которую можно переложить всю логику шифрования трафика между сервером и клиентом. Делается это следующем образом: допустим у вас есть клиент и сервер, которые общаются между собой без использования шифрования, аутентификации и проверки целостности. Вы могли бы переписать клиент и сервер так, чтобы все исходящие и входящие сообщения передавались между собой с учётом всех этих моментов, но для чего такие сложности, если можно это просто переложить на плечи другому приложения? Для решения такой задачи как раз подойдёт Stunnel.
Вам нужно просто настроить клиент таким образом, чтобы весь свой трафик он передавал на клиентский Stunnel, в свою очередь, он устанавливает безопасное соединение с сервером, отправляя данные на серверный Stunnel. Stunnel на сервере расшифровывает пришедший трафик и перенаправляет данные на вход серверу. Вышесказанное проще осознать глядя на эту диаграмму
Стоит заметить, что на сервере не обязательно должен стоять именно Stunnel, для работы с криптографическими алгоритмами. Здорово, что есть готовые демонстрационные стенды, которые поддерживают российскую криптографию, список которых есть в презентации с РусКрипто’2019.
Нам нужны стабильно работающие серверы, осуществляющие двухстороннюю аутентификацию.
Мы выбрали серверы КриптоПро как наиболее надёжные с полной реализацией стандарта ГОСТ TLS. Спасибо им за это 🙂
Звучит достаточно просто, давайте попробуем организовать этот процесс.
Подготовительный шаг
OpenSSL для Windows можно взять отсюда, а для пользователей линукса — из репозиториев или собрать самому, скачав свежую версию отсюда. Также его можно взять из Rutoken SDK, из директории openssl\openssl-tool-1.1, этот архив нам будет полезен и дальше, т.к. в нём находится интересующий нас rtengine. Stunnel можно найти здесь. Для работы необходима версия >= 5.56.
Скачать rtengine можно из Rutoken SDK, он лежит в директории openssl\rtengine\bin. Закинуть его нужно туда, где хранятся все движки openssl. Узнать путь до них можно с помощью
Но просто переместить движок в нужную папку — мало, нужно ещё сконфигурировать сам openssl для работы с ним. Узнаём где лежит файл с конфигурацией openssl.cnf с помощью той же команды, что указана выше (под виндой stunnel идёт с собственной версией openssl, поэтому файл с конфигурацией лежит в path\to\stunnel\config\openssl.cnf
Давайте проверим, что rtengine подключился, для этого подключим токен и выведем список всех алгоритмов шифрования:
Напомню, что в Windows нужно проверять на openssl, который лежит рядом с stunnel
Если среди них будут присутствовать наши ГОСТы, значит всё настроено верно.
Настало время самого интересного: проверка установки соединения по ГОСТу с тестовыми серверами КриптоПро. Список данных серверов описан здесь (https://www.cryptopro.ru/products/csp/tc26tls). Каждый из этих серверов работает со своими алгоритмами для аутентификации и шифрования. Более того на портах 443, 1443, 2443,… запущены сервисы, которые воспринимают только определённые парамсеты. Так, например, по адресу http://tlsgost-256auth.cryptopro.ru происходит шифрование с аутентификацией с использованием алгоритмов GOST2012-GOST8912-GOST8912 и 256-битным ключом. Так же на порту 443 используется XchA-ParamSet, на порту 1443 — XchB-ParamSet, на порту 2443 — A-ParamSet и т.д.
Теперь, когда мы знаем, какой ключ нам нужен, давайте получим корневой сертификат от тестового сервера, выработаем ключи для работы и подпишем запрос на наш сертификат.
Простой способ (работает под Windows и Linux)
Через командную строку
Для того, чтобы получить корневой сертификат, зайдём на сайт тестового УЦ ООО «КРИПТО-ПРО». И нажмём на кнопку для получения сертификата. Отобразится новая вкладка, в которой нужно будет выбрать метод шифрования Base64 и нажать на кнопку «Загрузка сертификата ЦС». Полученный файл certnew.cer сохраняем.
Теперь генерируем ключи.
Стоит заметить, что сгенерированные на токене ключи не могут быть скопированы с токена. В этом состоит одно из основных преимуществ их использования.
Создадим запрос на сертификат:
Опять открываем сайт тестового УЦ, но на этот раз нажимаем на кнопку «Отправить готовый запрос PKCS#10 или PKCS#7 в кодировке Base64». Вставляем в поле содержимое нашего запроса, нажимаем на кнопку Выдать и загружаем сертификат user.crt в формате Base64. Полученный файл сохраняем
Остался последний вопрос: Для чего всё это. Зачем мы получали все эти сертификаты, ключи и запросы?
Дело в том, что они нужны протоколу TLS для двусторонней аутентификации. Работает это очень просто.
У нас есть сертификат сервера, и мы считаем его доверенным.
Наш клиент проверяет, что сервер, с которым мы работаем имеет аналогичный сертификат.
Сервер же хочет убедиться, что работает с пользователем, который ему известен. Для этого мы и создавали запрос на сертификат для работы через наши ключи.
Мы отправили этот запрос и сервер подписал её своей ЭЦП. Теперь мы можем каждый раз предъявлять этот сертификат, подписанный корневым УЦ, тем самым подтверждая, что мы — это мы.
Конфигурирование Stunnel
Осталось только правильно настроить наш туннель. Для этого создадим файл stunnel.conf с настройками Stunnel по умолчанию и напишем туда следующее:
Теперь, если всё сделано правильно, можно запустить Stunnel с нашей конфигурацией и подключиться к серверу:
Откроем браузер и зайдём по адресу localhost:8080. Если всё верно, то отобразится следующее:
Если же нет, то смотрим логи и используем отладчик, чтобы понять в чём же всё-таки проблема.
Если у вас остались какие-то вопросы, то милости просим в комментарии 🙂