Система BS Client («Клиент-Банк») ОАО «МТС-Банк» Инструкция по подготовке к работе в системе 1 Оглавление Общие понятия ................................................................................................................................... 2 Требования к системе для работы с BS Client. ............................................................................ 4 Первоначальная загрузка необходимого ПО: .............................................................................. 4 1. Установка необходимого ПО для формирования рабочих секретных ключей и выпуска сертификатов открытых ключей подписи. ............................................................................................................. 4 1.1 Установка"КриптоПро CSP" версии 3.6 ................................................................................ 5 1.2 Установка драйвера для eToken................................................................................................ 9 1.2.1 Смена пароля для eToken ...................................................................................................... 12 2. Подготовка к входу в систему ДБО «Интернет-Клиент». .................................................... 14 3. Настройка параметров «Свойства обозревателя» Internet Explorer: ................................ 14 4. Первичный вход в систему. ....................................................................................................... 17 5. Установка компонентов системы. ............................................................................................ 19 6. Вход в Интернет клиент: ............................................................................................................ 23 7. Формирование рабочих ключей. ............................................................................................... 24 8. Установка выпущенного Удостоверяющим центром Банка рабочего сертификата открытого ключа ЭЦП и шифрования. ........................................................................................................................ 28 9. Плановая смена рабочих ключей ЭЦП. ................................................................................... 29 Общие понятия Для того чтобы получить доступ ко всем функциональным возможностям системы Интернет Клиент-Банк (ДБО BS-Client) Вам потребуется выполнить некоторую последовательность действий. А именно: 1. Выполнить установку программы «КриптоПро», которая позволит Вашему компьютеру взаимодействовать с электронными подписями (ЭП) Банка и Клиента. 2. Установить программу «eToken PCI Client» для того, чтобы Ваш компьютер получил возможность взаимодействовать с физическим устройством eToken, на котором будет храниться контейнер с секретным ключом ЭП. 3. Настроить браузер Internet Explorer с тем, чтобы настройки уровня безопасности для доверенных узлов не блокировали работу надстроек (плагинов к браузеру Internet Explorer) системы ДБО BS-Client. 4. Установить на компьютер программу BSS Internet Client (надстройки к браузеру Internet Explorer для ДБО BS-Client) 5. Используя сервис Интернет-Клиент (Платеж.) МТС-Банка (имя сервиса, логин и пароль внутри конверта) нужно сгенерировать контейнер с секретным рабочим ключом ЭП на устройстве eToken. 6. Доставить подписанный Бланк Сертификата открытого ключа ЭП в свое подразделение МТС-Банка. 7. Получить (принять) в программе ДБО BS-Client новый сертификат от Удостоверяющего центра. 2 После успешного получения нового сертификата должно появиться Сообщение о том, что Вы переведены на работу с новым комплектом ключей. Это сообщение будет означать, что Вам стали доступны все возможности по подписанию и отправке электронных документов в Банк. Программа ДБО BS-Client может работать только в браузере Internet Explorer. В зависимости от географического расположения подразделения, в котором Вы заключали договор расчетно-кассового обслуживания (РКО) в конверте на КАРТОЧКЕ ПОЛЬЗОВАТЕЛЯ ПОДСИСТЕМЫ «ИНТЕРНЕТ-КЛИЕНТ» будут указаны разные адреса доступа к сервисам. В Дальневосточном филиале и в Иркутском оперофисе Новосибирского филиала используются следующие адреса: буквы dv – означают Дальний Восток Все остальные подразделения к западу от Иркутска используют такие адреса: Сервис «Выписка-Онлайн» доступен для всех зарегистрированных пользователей по логину и паролю. Для работы с этим сервисом не требуется ключей. При этом можно использовать не только платформу PC, но и i-ось и Андроид. Для большей надежности Web-сервисы продублированы. То есть ресурсы cb.mtsbank.ru и dbo.mtsbank.ru содержат абсолютно одинаковую информацию. Так же как и содержимое ресурса cbdv.mtsbank.ru ничем не отличается от содержимого ресурса dbodv.mtsbank.ru Вы можете пользоваться любой парой адресов в пределах своего географического диапазона. В случае технических трудностей на одном из серверов, можно использовать сервис на альтернативном адресе. Следует иметь в виду, что ресурсы dbo.mtsbank.ru и dbodv.mtsbank.ru как правило, менее загружены. 3 Требования к системе для работы с BS Client. В соответствие с условиями Правил обмена электронными документами по системе «Клиент-Банк» в ПАО «МТС-Банк», клиент обязан оборудовать за свой счет автоматизированное рабочее место – АРМ «Клиент-Банк», в составе персонального компьютера с доступом к сети Интернет с операционной системой Microsoft Windows 7 и выше (при условии совместимости соответствующей версии ОС с сертифицированной версией СКЗИ), а так же следующими характеристиками: объем доступной памяти на жестком диске не менее 3 ГБ, наличием свободного USB-порта; программное обеспечение MS Internet Explorer версии 6.0 или выше; установленное и работающее лицензионное антивирусное ПО. Первоначальная загрузка необходимого ПО: Нужно перейти по ссылке http://cb.mtsbank.ru/download или http://cbdv.mtsbank.ru/download (в зависимости от того, что указано в таблице «Адреса доступа к сервисам» КАРТОЧКИ ПОЛЬЗОВАТЕЛЯ ПОДСИСТЕМЫ «ИНТЕРНЕТКЛИЕНТ») и скачать дистрибутив КриптоПРО и Etoken PKI Client. Если при попытке получить ссылку на скачивание КриптоПро Вы увидели сообщение Данных не найдено. Проверьте введенную информацию или обратитесь в обслуживающее Вас отделение банка это может означать, что был неправильно введен ИНН, или расчетный счет, или Вы попытались воспользоваться Web-сервисом не своего региона. После сохранения файлов на локальном диске Вашего компьютера, можно приступать к установке: 1. Установка необходимого ПО для формирования рабочих секретных ключей и выпуска сертификатов открытых ключей подписи. Установка СКЗИ "КриптоПро CSP" с модулем "КриптоПро TLS", включая настройку считывателей и ключевых носителей, должна производиться пользователем, имеющим права администратора на локальном компьютере. Перед установкой ПО, удалите все ранее установленные (устаревшие) версии данного программного обеспечения. Для этого используйте следующие пункты основного меню системы Windows: Пуск – Настройка – Панель Управления – Установка и удаление программ. 4 1.1 Установка"КриптоПро CSP" версии 3.6 Установка средства криптографической защиты информации (СКЗИ) "КриптоПро CSP" версии 3.6 с модулем поддержки сетевой аутентификации "КриптоПро TLS". Установить СКЗИ "КриптоПро CSP" с модулем "КриптоПро TLS" Вы сможете, скачав и сохранив необходимые файлы, из раздела «Первичная установка». Для начала установки программного обеспечения СКЗИ запустите файл CPCSP36_R3-kc1-rus.exe Следуйте инструкции: Необходимо выбрать «Я принимаю условия лицензионного соглашения» 5 В появившемся окне необходимо ввести Серийный номер из Акта приемапередачи (Приложение № 2 к Правилам обмена электронными документами) выданного вам вместе с конвертом. Программное обеспечение «КриптоПро CSP» распространяется с ограничением по времени использования (90 дней). Для использования «КриптоПро CSP» после окончания этого срока пользователь должен ввести серийный номер Лицензии Если Вы сразу не ввели серийный номер, то это можно сделать после установки следующим способом: Откройте «Панель Управления» компьютером, используя пункты основного меню системы Windows Пуск – Настройка – Панель Управления, и в окне панели управления выберите значок «КриптоПро CSP». В появившемся окне программы настройки СКЗИ «КриптоПро CSP» выберите пункт «КриптоПро PKI» 6 В открывшемся окне, используя пункты меню «Управление лицензиями» Кликните правой кнопкой мышки на «КриптоПро CSP» из появившегося меню выберете «Все задачи» => «Ввести серийный номер» введите серийный номер Лицензии Продолжая основную установку, выберете вид установки «Обычная» нажмите кнопку «Далее» 7 и Ничего не изменяя в следующим окне нажимаем кнопку «Установить» Нужно дождаться, пока программа произведет все необходимые действия 8 По окончании установки, закройте все открытые свои приложения и нажмите кнопку «ДА», после чего компьютер перезагрузится. 1.2 Установка драйвера для eToken В целях повышения эффективности противодействия хищениям вредоносными программами секретных ключей ЭЦП и шифрования, в качестве носителя ключа Вы будете использовать устройство USB-токен, гарантирующего информационную безопасность криптографического ключа, существенно затрудняющего возможность его копирования 9 или изменения (только с помощью персонального PIN кода). Данное устройство USB-токен Вы получили в соответствии с установленным в Банке Порядком. Перед скачиванием нужной версии eToken Вам необходимо уточнить разрядность вашей операционной системы, для этого нужно кликнуть по пиктограмме «Мой компьютер» правой кнопкой мыши, и выбрать пункт «Свойства». В появившемся окне можно будет увидеть тип системы. Внимание: Перед подключением USB- eToken к компьютеру необходимо установить драйвер, обеспечивающий работу с этим устройством хранения ключевой информации. Драйвер USB-токена (eToken-PKIClient-x32.msi для 32-х разрядной системы* или eToken-PKIClient-x64.msi для 64-х разрядной системы*) компании Aladdin доступен для скачивания http://cb.mtsbank.ru/download или http://cbdv.mtsbank.ru/download После скачивания дистрибутива, приступите к его установке: Выберите из списка русский язык «Russian» и нажмите кнопку «Next»: 10 Далее необходимо принять лицензионное соглашение: После принятия лицензионного соглашения необходимо указать директорию для установки программы, либо оставить ее по умолчанию и дождаться окончание установки. 11 После установки ПО необходимо выполнить перезагрузку Вашего компьютера. 1.2.1 Смена пароля для eToken После установки драйвера, вставьте eToken в USB разъем Вашего компьютера. При первом его подключении Вам будет предложено сменить PIN код Первоначальный пароль для eToken:1234567890 Новый пароль для eToken нужно вводить в английской раскладке клавиатуры! Длинна минимум 6 символов В комбинации символов обязательно должны присутствовать: цифра или спец символ, большие и маленькие буквы Число неправильных попыток ввода пароля = 15, если Вы превысите это количество, то устройство будет заблокировано, и процедуру генерации ключей нужно будет начинать заново, через менеджера счета Вашего подразделения Банка. Пароль (пин-код) востребован все время, пока устройство еТокен находится в эксплуатации. По этому, настоятельно рекомендуем не полагаться на память, а записать пароль на бумаге, и сохранить в недоступном для посторонних лиц месте. 12 . Если предложение о смене PIN кода не появлялось, Вам следует сменить его самостоятельно. Для этого откройте панель управления компьютером Пуск – Все программы – eToken PKI Client - Properties, и в открывшемся окне выберите опцию «Изменить пароль eToken». Первоначальный пароль для eToken: 1234567890 Новый пароль для eToken нужно вводить, переключив раскладку клавиатуры на английский язык! (Текущий язык: EN) Убедитесь, что НЕ включен режим Caps Lock Длина пароля – не менее 6 символов, в комбинации символов обязательно должны присутствовать: цифра или специальный символ, а также большие и маленькие буквы Пароль (пин-код) востребован все время, пока устройство еТокен находится в эксплуатации. По этому, настоятельно рекомендуем не полагаться на память, а записать пароль на бумаге, и сохранить в недоступном для посторонних лиц месте. Число неправильных попыток ввода пароля = 15, если Вы превысите это количество, то устройство будет заблокировано, и процедуру генерации ключей нужно будет начинать заново, через менеджера счета Вашего подразделения Банка. 13 2. Подготовка к входу в систему ДБО «Интернет-Клиент». Если у Вас Windows Vista: http://cb.mtsbank.ru/faq/uac/ или http://cbdv.mtsbank.ru/faq/uac/ Если у Вас Windows 7: http://cb.mtsbank.ru/faq/uac7/ или http://cbdv.mtsbank.ru/faq/uac7/ Если ОС «Windows Vista» и «Windows 7/8» необходимо, в соответствии с Вашей операционной системой, выполнить один из следующих пунктов: Для ОС Windows Vista. Выбираем «Пуск» – «Панель управления» – «Учётные записи пользователей» – «Включение или отключение контроля учётных записей». Снимаем галочку. Перезагружаем компьютер по требованию системы. Для ОС Windows 7/8. Выбираем «Пуск» – «Панель управления» – «Учётные записи пользователей» – «Изменение параметров контроля учётных записей». Ставим уровень на низкий (не уведомлять). Перезагружаем компьютер по требованию системы. 3. Настройка параметров «Свойства обозревателя» Internet Explorer: 3.1. Запускаем Internet Explorer – «Сервис» – «Свойства Обозревателя» «Безопасность» (Альтернативный вариант: Выбираем «Пуск» – «Панель управления» – «Свойства обозревателя» вкладка «Безопасность»). Выбираем зону «Интернет» и ставим уровень «средний» (рис. 1). Если уровни не отображаются, нажимаем на кнопку «По умолчанию» и ставим уровень «средний». В конце нажимаем «Применить», затем «ОК». 3.2. Запускаем Internet Explorer – «Сервис» – «Свойства Обозревателя» «Безопасность». Выбираем зону «Надежные узлы», ставим уровень «низкий». В конце нажимаем «Применить», затем «ОК». 14 3.3. Добавьте строчки https://cb.mtsbank.ru и https://dbo.mtsbank.ru или https://cbdv.mtsbank.ru и https://dbodv.mtsbank.ru в список надежных узлов. После чего, кликните по кнопке «Применить», затем «ОК». Так же проверьте, что бы active-x были включены: 15 1.4. Удаление временных файлов и «cookie» Для этого, либо зайдите в браузер Internet Explorer и в меню выберите «Сервис» – «Свойства обозревателя», либо нажмите «Пуск» – «Панель управления» – «Свойства обозревателя». Далее выберите вкладку «Общие» – «Удалить» поставить галочку на «Временные файлы Интернета и файлы «cookie» – кликнуть по кнопке «Удалить». В завершение, кликнуть по кнопке «ОК». 16 4. Первичный вход в систему. Вставьте eToken в порт компьютера. Откройте страницу на портале МТС-Банка по адресу, указанному в Вашей карточке пользователя подсистемы http://cb.mtsbank.ru или http://dbo.mtsbank.ru или http://cbdv.mtsbank.ru или http://dbodv.mtsbank.ru (в зависимости от географической принадлежности подразделения МТС-Банка) Дальневосточный филиал и Иркутский опер. офис Новосибирского филиала Все остальные подразделения МТС-Банка Можно открыть страницу, просто кликнув в одну из ссылок, или набрав текст в командной строке программы Internet Explorer 17 Открывать Интернет-Клиент следует только через браузер Internet Explorer. Другие браузеры не поддерживаются системой ДБО Интернет-Клиент. Если по умолчанию у вас стоит другой браузер, то исправить ситуацию можно следующим образом: Через последовательность «Пуск» – «Панель управления» – «Установка и удаление программ». Выбрать пункт «Выбор программ по умолчанию» – «Другая». Поставить точку на Internet Explorer. Нажать «OK». На открывшейся странице, кликните по кнопке «Войти», для входа в Интернет-Клиент Начнется переход на страницу Интернет клиента. В процессе отображения страницы Вам будет предложено произвести ряд установок, необходимых для работы компонентов 18 5. Установка компонентов системы. При первичном входе в систему «Интернет-Клиент» (а также при переустановке и установке на другой компьютер), устанавливаются компоненты ActiveX (для браузера Internet Explorer). Эти компоненты необходимы для корректной работы. Поэтому при предупреждениях, необходимо ВСЕГДА их устанавливать! При переходе на сайт вы увидите следующее: В процессе загрузки необходимых компонентов, браузер может спросить Вас о необходимости установки этих компонентов. При этом, всплывет сообщение с предупреждением об установке компонент: Нужно кликнуть по панели правой кнопкой мыши и выбрать меню «Запустить надстройку» («Загрузить» или «Выполнить»). В появившемся окне нажимаете кнопку выполнить. После выбора меню начнется загрузка необходимых компонентов 19 Далее появится окно установки Компонентов. Нужно кликнуть по кнопке «Установить» Появится выбор языка установки. Кликнуть «ОК» 20 Выбрать «Далее» Выбрать «Далее» После появления следующего сообщения нужно кликнуть «ОК» 21 В случае, если сообщения о необходимости установки компонент даже не появляются, а сразу выдается приглашение, воспользоваться системой «Выписка Он-Лайн», необходимо выполнить дополнительную настройку свойств Обозревателя: в пункте «Включить защиту памяти для снижения риска атаки из Интернета» нужно убрать галочку. После установки компонентов, галочку можно вернуть на место. 22 6. Вход в Интернет клиент: Авторизуйтесь на сайте, введя логин и пароль с карточки пользователя подсистемы «Интернет-Клиент». Адреса сайтов также находятся в карточке пользователя подсистемы колонке таблицы «Интернет-Клиент» в табличной колонке «Интернет-Клиент(Платеж)»: Логин находится на первой странице Карточки пользователя подсистемы «Интернет-Клиент» Пароль находится на обратной стороне карточки, или на втором листе, находящемся в конверте пароль выделен жирным, увеличенным шрифтом «Реквизиты персонального пароля» ВАЖНО! Не пытайтесь ввести идентификатор пароля вместо пароля или логина. В процессе авторизации будут появляется сообщения об установке необходимых компонентов. Нужно кликать по появляющимся сообщениям для подтверждения согласия на установку. После установки очередной компоненты, система будет снова возвращаться на окно авторизации. Выполняйте поэтапный вход, до тех пор, пока сообщения не перестанут появляться. Для ввода логина и пароля с настольной клавиатуры, нужно поставить галочку в поле «Отключить безопасную авторизацию». В отсутствие галочки в поле «Отключить безопасную авторизацию», ввести логин и пароль, можно только с экранной клавиатуры. 23 7. Формирование рабочих ключей. После удачной авторизации. Появится окно с ФИО абонента. При первом входе, система предложит произвести начальную генерацию ключей. Для этого, необходимо кликнуть по строке с ФИО абонента и кликнуть по пиктограмме верхнем углу окна «Создать запрос на генерацию/перегенерацию» в левом Появится следующее окно: 24 Нужно кликнуть по кнопке «Сохранить запрос» Система выдаст окно с выбором ключевого носителя для нового комплекта ключей. В этом окне, необходимо выбрать из списка Ваш носитель USB-токен. Следует убедиться, что в строчке «Вставленный носитель» появились те же самые символы, что и на корпусе еТокена. После выбора носителя, нужно кликнуть кнопку «ОК». 25 После нажатия на кнопку «ОК» появится окно с Биологическим датчиком случайных чисел. Подвигайте мышкой или понажимайте кнопки на клавиатуре, пока синий пунктир не дойдет до правого края окна. Затем необходимо ввести PIN-код для еТокена: После генерации контейнера с секретным ключом появится окно с Актом признания открытого ключа Акт печатать НЕ НУЖНО а для проверки состояния Вашего запроса на перегенерацию, необходимо кликнуть по кнопке «Вернуться к списку криптопрофилей» 26 В списке Криптопрофилей, нужно проконтролировать, что Статус запроса получил состояние «Принят банком»: После этого остается дождаться, когда из Банка пришлют карточку с сертификатом открытого ключа (4 приложение к Правилам электронного обмена). Присоединенный к письму файл с карточкой в формате MSWord будет отправлен на Ваш адрес, указанный в 4 и 8 приложении к Правилам электронного обмена. В случае, если в заявлении на регистрацию подписанта в Удостоверяющем центре был указан несуществующий адрес эл. почты, или доступ к этому почтовому ящику потерян, Вам следует обратиться к менеджеру счета в то подразделение банка, где Вы обслуживаетесь. Карточку сертификата открытого ключа нужно распечатать в двух экземплярах, заверить печатью и подписью, после чего, передать менеджеру счета. Только после получения от Вас заверенных 4 приложений, Вам будет выпущен рабочий сертификат, который необходимо будет принять. 27 8. Установка выпущенного Удостоверяющим центром Банка рабочего сертификата открытого ключа ЭЦП и шифрования. Присланный сертификат рабочего ключа ЭЦП необходимо установить в систему. Для проверки наличия нового сертификата нужно зайти в меню «Сервис» «Безопасность» - «Профили». У профиля должен быть статус «получен новый сертификат». Необходимо выделить абонента, для которого получен сертификат, и нажать кнопку «Получить сертификат (Ключ)» . Далее, согласно сообщению, нужно будет установить ключевой носитель с новой ЭЦП. Если Вы генерировали новый ключ на тот же носитель, который получили в Банке, то переставлять ничего не потребуется. Необходимо ввести PIN-код, установленный Вами ранее. После успешной установки нового комплекта ключей будет выдано сообщение: «Вы переведены на работу с новым комплектом ключей». 28 9. Плановая смена рабочих ключей ЭЦП. Срок действия сертификата ключа подписи 1 год. За 30 дней до окончания срока действия подписи, на Ваш электронный адрес, указанный при регистрации, будут поступать сообщения о скором окончании срока действия Вашего секретного ключа. Кроме того при входе в систему «Интернет-Клиент» Вы увидите сообщение Для продолжения возможности использования ключа ЭЦП в системе ИнтернетКлиенту необходимо провести плановую смену сертификата ключа. Для формирования нового рабочего ключа воспользуйтесь инструкцией: http://cbdv.mtsbank.ru/faq/newkeyreq/ Внимание! В случае истечения срока действия ключа ЭЦП, самостоятельная плановая смена невозможна, и Вам следует опять получить технологический ключ для формирования рабочего, при желании ( и возможности, если носитель не утерян или не испорчен) предоставить USB-токен для формирования нового технологического ключа. 29