По всей видимости это повышение устойчивости к утечек информации. Грубо говоря, это проксирование обращений через программу к серверам ФСС.
Выглядит, как очень плохой костыль. В принципе, ничего нового. И почему нельзя это было реализовать внутри программы тоже непонятно.
Давайте разбираться.
Содержание
Новость
18.06.2026 г в целях обеспечения требований к информационной безопасности информационных систем гос. органов в сервисах ЭЛН будет выполнен переход на криптографический протокол TLS (Transport Layer Security) с шифрованием по алгоритмам ГОСТ
Если Вы этого не сделали, то получите такую ошибку: Ошибка вызова сервиса передачи/получения данных. Received fatal alert: handshake_failure
Значит, что придется почитать, что за СФР Маршрутиризатор и настроиь его. Если у Вас не получается: то напишите мне через любой удобный способ со странице Контакты. Я беру недорого, делаю быстро и без лишних вопросов.
Общий принцип работы
Это не официальная информация, а моё понимание и представление. В логике разработчиков, что на каждой рабочей станции должен работать ФСС Маршрутиризатор. Я в этом вижу ряд неудоств. Во-первых, это куча времени на настройку каждого рабочего места. Во-вторых, это необходимо дополнительно сотрудникам, кто работает с СФР, объяснять и показывать, как запустить программу ФСС Маршрутиризатор и говорить, что его ни в коем случае нельзя закрывать.
Поэтому для себя я выбрал такую схему. В сети будет один сервер, к которому будут обращаться другие.
Визуально это выглядит вот так:
Подготовка
Поскольку, я буду делать это все на отдельной виртуальной машине внутри локальной сети – покажу пример именно такого сценария. Ваш сценарий может отличаться. Учтите это.
В процессе установки нам потребуется Java8, КриптоПро JCP, ФСС Маршрутиризатор. Ссылки для загрузки:
- Скачать дистрибутив можно по ссылке: https://lk-test.fss.ru/tls.html
- Скачать дистрибутив Java8 можно по ссылке: https://www.java.com/ru/download/
- Скачать КритоПро JCP / JCP 2.0 можно по ссылке: https://www.cryptopro.ru/products/csp/jcp
Установка СФР Маршрутизатор
Установка происходит стандартно, ничего не меняем.
После установки надо отредактировать файл fss_mo.ini
Открываем любым текстовым редактором файл C:\FssRouter\fss_mo.ini, удаляем содержимое и вставляем вот такое:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 |
-startup plugins/org.eclipse.equinox.launcher_1.4.0.v20161219-1356.jar --launcher.library plugins/org.eclipse.equinox.launcher.win32.win32.x86_64_1.1.500.v20170531-1133 -clearPersistedState -Dfile.encoding=UTF-8 -Dsun.jnu.encoding=UTF-8 -vmargs -DFile.encoding=UTF-8 -Dsun.jnu.encoding=UTF-8 -Djavax.net.ssl.trustStore=C:\FssRouter\gost.keystore -Djavax.net.ssl.trustStorePassword=changeit -Djavax.net.ssl.provider=ru.CryptoPro.JCP.JCP -Dssl.KeyManagerFactory.algorithm=GostX509 -Dssl.TrustManagerFactory.algorithm=GostX509 -Dssl.SocketFactory.provider=ru.CryptoPro.ssl.SSLSocketFactoryImpl -Dssl.ServerSocketFactory.provider=ru.CryptoPro.ssl.SSLServerSocketFactoryImpl -Djavax.net.ssl.provider=ru.CryptoPro.JCP.JCP -Djavax.net.ssl.trustStoreType=HDImageStore -Dtls_prohibit_disabled_validation=false -Dcom.sun.security.enableCRLDP=true -Dcom.ibm.security.enableCRLDP=true -Djava.security.properties="C:\FssRouter\jre\lib\security\java.security" -Djavax.net.debug=ssl:handshake -Dhttps.protocols=TLSv1.2 -Djdk.tls.client.protocols=TLSv1.2 |
Обратите внимание на строчки
-Djavax.net.ssl.trustStore=C:\FssRouter\gost.keystore
-Djava.security.properties="C:\FssRouter\jre\lib\security\java.security"
Если меняли пути установки – тут тоже требуется внести изменения.
Установка Java8
Для работы КриптоПро JCP требуется Java8.
Её необходимо скачать и установить на рабочую станцию, где мы устанавливает СФР Маршрутизатор.
Установка стандартная. Ничего не меняем. Перезагружаем комп/сервер (иначе будет ошибка, описана в траблшуте).
Установка КриптоПро JCP / JCP 2.0
Для этого не требуется лицензия Крипто-Про, достаточно зайти на сайт https://www.cryptopro.ru/products/csp/jcp
Перейти в раздел загрузки:
Далее необходимо войти (создать учетку) для загрузки. Это бесплатно. Выдыхаем.
Согласиться с Лиц. соглашением.
Далее на странице нужно найти: “КриптоПро JCP и JTLS R3 (2.0.40502 для Java 8)”
Далее распакуем архив jcp-2.0.40502и запустим файл setup.exe
Далее выбираем “Установить”, принимаем лиц. соглашение. На пункте “Выберите JRE” нужно указать jre от ФСС. Стандартно он по пути C:\FssRouter\jre
Выбор продуктов у нас должен выглядеть вот так:
На шаге серийный номер просто оставляем все пустое и пропускаем.
Запускаем процесс установки и ждем завершения.
Первый запуск
Запускаем программу ФСС Маршрутизатор. И первым делом необходимо указать порт через который к нам будут обращаться клиенты (ФСС МЧД, ФСС АРМ ЛПУ и т.д.).
Разработчик рекомендует 8080, но утверждает, что можно запустить на любом свободном порту. Не будем злить ФСС и оставим, как они рекомендуют. Далее надо актировать галочки сервисов, которые мы используем. В моем примере это ЭЛН.
Строчка ЭЛН: https://eln.sfr.gov.ru/ws-mo-crypto/FileOperationsLnService?wsdl
Полный список строчек находиться тут: https://lk-test.fss.ru/tls.html
И запускаем маршрутизатор. Если всё окей — будет такая картинка:
Для проверки можно попробовать открыть в браузере адрес http://localhost:8080/eln для ЭЛН
Примерная картинка будет вот такой:
Открываем порт для всех
Теперь, когда локально у нас настроен СФР Маршрутизатор можно открыть доступ для всех компьютеров в локальной сети и попробовать подключиться. Тут может инструкция отличаться, т.к. у Вас могут быть не штатные инструменты Firewall. Я опишу на штатном брандмауэре.
Правой кнопкой по “Правила для входящих подключений” → создать правило
Указываем правило для порта:
Указываем порт, который мы указали в настройках СФР Маршрутизатор
Разрешаем подключение
И указываем профили, оставим все галочки.
Имя укажем любое. Главное понимать, что это.
Что делать дальше?
В этом примере у нас два объекта: виртуальный сервер ФСС Маршрутизитор и компьютер с ФСС ЭЛП, где выпускают больничные листы для пациентов. После того, как мы открыли порт подключения 8080 на сервере – клиенты могут к нему обращаться.
В примере IP адрес сервера СФР Маршрутизатор имеет IP адрес 192.168.1.181
Для проверки связи, откроем браузер и попробуем перейти по ссылке http://192.168.1.181/eln
ФСС АРМ ЛПУ сначала его необходимо обновить до последний версии 2_01_27 (прямая ссылка на загрузку https://lk.fss.ru/fss_eln_setup_2_01_27_20260525_01_x64.exe). В принципе, тут ничего нового, если Вы не знаете как это делается то вот тут мой гайд: https://bite-byte.ru/programmy/fss/obnovlenie-fss-arm-lpu/. Процесс стандартный.
После обновления
Теперь возьмём, ФСС ЭЛН:
Запускаем программу. Переходим на вкладку Администрирование → Настройка сервисов СФР.
И меняем строчку (старая строчка) на http://192.168.1.181:8080/eln
Нажимаем на “Проверить соединение”, если всё успешно, то мы увидим вот такое сообщение:
Больше никаких изменений не требуется. И в работе врача ничего не меняется.
Мои мысли на этот счёт
Хочу описать важные моменты, которые мне сразу не понравились.
- Разработчик ФСС принуждает (может, и не специально) ставить нас СФР Маршрутиризатор на каждую рабочую станцию. Это ужасный геморрой и для системного администратора, и для врача. Попробуйте каждому объяснить, что теперь для выдачи больничного надо запускать две программы. Врачи не должны в этих технических моментах разбираться. Совсем. Они врачи – людей лечат. Итог этой мысли: возможно, идея то и здравая, но реализация хромает. Разработчик должен учитывать, что его конченый пользователь врач, а не bite-byte)))
- Чем у нас больше элементов тем выше вероятность поломки. Добавляется еще один продукт за которым требуется следить. Я не совсем понимаю почему нельзя это все было “вшить” в основную программу. Но видимо, там очень жесктие технические моменты, которые еще и идут в связке с требованием ФСБ и прочими структурами, кто отвечает за безопастность.
- Зная, что ФСС частенько после обновлений потом еще “шлифует” свой программный продукт – нас ждут баги, обновления и веселье.
Траблшут
Ошибка при выполнение установки JCP 2.0.40502
Текст ошибки:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
Can not install package JCryptoP. java.io.IOException: Failed to process C:\FssRouter\jre\lib\security\java.security at ru.CryptoPro.Install.PropertyTools.parseProperties(Unknown Source) at ru.CryptoPro.Install.cl_2.c(Unknown Source) at ru.CryptoPro.Install.SecurityProperties.addSecurityLinksInternal(Unknown Source) at ru.CryptoPro.Install.SecurityProperties.addSecurityLinks(Unknown Source) at ru.CryptoPro.Crypto.JCryptoPInstaller.install(Unknown Source) at ru.CryptoPro.Install.AbstractInstaller.b(Unknown Source) at ru.CryptoPro.Install.ShellInstaller.h(Unknown Source) at ru.CryptoPro.Install.ShellInstaller.makeAction(Unknown Source) at ru.CryptoPro.Install.ShellInstaller.makeActionNoEx(Unknown Source) at ru.CryptoPro.Install.VariantTwo.main(Unknown Source) ru.CryptoPro.Install.InstallError: Install error. at ru.CryptoPro.Install.AbstractInstaller.b(Unknown Source) at ru.CryptoPro.Install.ShellInstaller.h(Unknown Source) at ru.CryptoPro.Install.ShellInstaller.makeAction(Unknown Source) at ru.CryptoPro.Install.ShellInstaller.makeActionNoEx(Unknown Source) at ru.CryptoPro.Install.VariantTwo.main(Unknown Source) Error occurred during installing! |
Скриншот:
Решение: Я ставил Java и не перезагрузился. После перезагрузки ошибка ушла и процесс установки завершился.
При проверки связи с СФР — null
Траблшут от читателя Бонифация
При проверки связи с СФР вылезает ошибка: (0)null.
Решение:
в конфиге fss_mo.ini true заменить на false
В настройках КриптоПро JCP отключить галочки
Если мой материал был полезен, то можете угостить меня кофе ☕️





























Так зачем ставить на каждого клиента? Ставь на сервер с базой данных и будет тебе счастье. А клиентам подключение к маршрутизатору на сервере отдавай
Я в записи и пишу, что ставить на каждую РМ это чушь))
а запускать на сервере эту поделку сумашедшего все равно руками, так как автозапуска у него нет….
Привет. А что делать есть прога маршрутизатор с этими параметрами не хочет запускаться?
Привет!
Проверять все по инструкции)
Мне весь день пишут. Где забыли прописать JRE при установке, где конфиги не исправили, где ссылку не обновили.
Собстаенно нашел ответ. не указал правильную папку установки Далее выбираем “Установить”, принимаем лиц. соглашение. На пункте “Выберите JRE” нужно указать jre от ФСС. Стандартно он по пути
C:\FssRouter\jreСпасибо,тебе добрый человек!
А если пишет при указании любого порта что он занят
Никак не могу победить
Где то ошиблись в процессе установки
Столкнулся с такой проблемой при нажатии запуск маршрутизатора выдает сообщение ошибки. Пробовал разные порты
при повторном нажатии
Опыт сегодня показал, что ошиблись где-то ошиблись в процессе установки
bite-byte можешь помочь по удаленке? На платной основе
Добрый вечер!
Можете в телеграм написать?
Спасибо разобрался, в этом пункте была ошибка. Не указал правильно путь.
C:\ FssRouter\ jre
Ну вот все тут ошибаются. Надо что ль большим красным текстом выделить
Добавьте еще траблшутинг по ошибке «ERR_4030:Указанная Доверенность не найдена. Убедитесь в корректности указанного UUID…» Суть в том, чтобы не забыть вернуть рабочие, а НЕ ТЕСТОВЫЕ настройки в маршрутизатор ФСС, так как на тестовом походу не прописаны МЧД, и не забыть восстановить в ЕЛН предыдущий, а не тестовый сертификат СФР.
Вроде все правильно настроено, при проверке ошибка «Не удалось подключиться к сервису СФР. Ошибка 0(null)». У кого-нибудь встречалось?
Ага, встречал. Проверьте точно ли все галочки выбрали корректно при установке jcp-2.0.40502 и точно ли верный путь до JRE указали?
Установка по инструкции и путь до JRE точный. И на сервере еще установил, такая же ошибка.
А если в командной строчке выполнить
то что покажет?
Показало: curl: (52) Empty reply from server
Я сегодня разбирался у клиента с такой ошибкой. Помогло полностью удалить jcp, перезагрузить сервер, установить jcp. В этом случае была пропущена галочка TLS провайдер.
Если совсем никак не заводиться, то давайте спишемся в ТГ https://t.me/bite_byte, я постараюсь Вам помочь
Связи не было из-за провайдера, не пропускался шифрованный трафик, При смене маршрута через другой канал все заработало.
Было такое, номер порта по инструкции 8585 ставил, работало, на следующий день такая ошибка, изменил на 8080, после этого опять связь появилась
Сегодня все настроил, несколько ЛВН благополучно ушло в СФР, а через пару часов выходит ошибка «Не удалось подключиться к сервису СФР. Ошибка 0(null)».
Перезагрузили компьютер, опять все заработало, еще несколько ЛВН отправили.
Кто сталкивался проблемой при запуске маршрутизатора:
the fss_mo executeble launcher was unable to locate its companion shared library ?
Установка на windows 10
Все было установлено корректно по инструкции.
Ошибка возникает после замены ini файла.
Аналогичная проблема. Вы как нибудь победили?
Появилось подозрение на несовместимость разрядности.
Windows 7 — 64
СФР маршрутизатор — 32
Ставил на win 7 32 и АРМ 32
и win 10 64- АРМ 32. Проявилась такая ошибка
В общем, у меня дело в следующем было:
В «Руководство администратора АРМ ЛПУ_2_01_27» (именно 27) есть два варианта ini-файла. Для 32-разрядного мне подошел.
СФР маршрутизатор запустился и тест соединения с СФР прошел
Спасибо, поищу этот вариант.
Для Win 64- АРМ 64 все заработало как в статье. Спасибо большое
Да. Первые 4 строчки должны выглядеть как 2, там в конфиге затесался «перенос строки», если удалить ,все стартует.
—startup plugins/org.eclipse.equinox.launcher_1.4.0.v20161219—1356.jar
—launcher.library plugins/org.eclipse.equinox.launcher.win32.win32.x86_64_1.1.500.v20170531—1133
Спасибо вам огромное! Долго смотрел в конфиг и не заметил переноса строки.
Такая же проблема, Windows 10 и 7, после замены содержимого файла не запускается этот Маршрутизатор.
Путь к java верный C:\FssRouter\jre
Спасибо большое! Очень помогло!
Благодарю за статью! Очень помогло!
У меня вот такая ошибка:
java.net.sockettimeoutexception: read timed out
Все уже перепробовал и проверил
Добрый день.
Подскажите, пожалуйста.
Уже трижды по инструкции прошёлся по всем пунктам.
При указании любого порта вылетает ошибка, что он уже занят.
Путь установки jcp указан верно, ini файл для 64 винды тоже указан верно, Java8 установлена.
Не совсем пойму на счёт вот этого пункта -Djavax.net.ssl.trustStore=C:\FssRouter\gost.keystore
у меня нет такого файла в этой папке.
Привет.
Подскажите, пожалуйста.
На какую почту т\п можно писать, если ничего не помогает?
Всем добра. Подскажите кто ни будь реализовал автозапуск программы? Через планировщик или автозагрузку можно сделать запуск самой программы, но вот как сделать запуск самой службы маршрутизатора пока не допер.
ТриДваРаз
Друг, спасибо за статью — все заработало. Более кривого софта, чем этот элн, я не встречал.
Добрый день при запуске маршрутизатора все время выскакивает ошибка, что порт уже занят, проверяю по pid. Порт занят именно этой программой программу выключаю. Порт свободен, прописываю любой другойпорт в маршрутеиз, не запускается, пишет, что порт опять занят. В pid смотрю, появляется. Данный порт. Занят этим же процессом
спасибо разобрался
Дополните, что «Ошибка запуска маршрутизатора» может решаться запуском с правами администратора… если всё остальное сделано по инструкции
Вопрос, если это крутиться как я понимаю, на локальной машине, я так понямаю за это не отвечает СФР а теперь клиент ?