Monteur
Оставлено
:
12 мая 2022 г. 18:39:54(UTC)
Настраивали КриптоПро CSP c доступом к локальным смарт-картам по RDP, по этой статьеПровайдер “Crypto-Pro GOST R 34.10-2012 System CSP” установился, но пункте 4 указанной статьи, при выборе ЭЦП программа запрашивает лицензию на КриптоПро CSP. Лицензия есть, при работе с другими провайдерами запрос лицензии не происходит.
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Удаленный доступ в локальную машину с Rutoken lite через RDP
|
Сергей Александрович Оставлено | |
Требуется выполнить настройку таким образом, что бы пользователь для работы подключался к машине для сдачи отчетности. Использовались настройки с сайта Контур. В панели управление Рутокен – Служба смарт карт не запущена. Прошу написать эти настройки… | |
|
Максим Коллегин Оставлено | |
Банк для аутентификации использует JC-Webclient. При установке этого “ПО” на сервер, по умолчанию в RDP сессии, оно не пашет.
Сайт рутокена говорит нам, что чтобы JC-Webclient работал в терминальной сессии, он (JC-WebClient) должен быть запущен в контексте текущей сессии. Т.е. в пользовательской сессии открываем терминал и запускаем ручками JC-WebClient.exe -p 24738. Эта хренотень виснет на 127.0.0.1:24738 и вуаля – мы смогли зайти в Банк-клиент….
А теперь начинается геморрой: внезапно оказывается, что на нашем терминальном сервере работает не один а 5 бухгалтеров и у каждого есть пачка рутокенов и каждый хочет из своей сессии попасть в банк (рутокены разные, логины в банк тоже). И получается, что попасть в банк может только тот, кто первым запустил из терминала JC-WebClient, потому как 127.0.0.1 с#ка один на весь сервер! Грохнув процесс в первой сессии можно открыть его в любой другой и пользоваться там… Но это не выход: бухгалтеров не научишь пользоваться терминалом, искать запущенный процесс в диспетчере задач и выяснять какая с#ка уже запустила его и когда освободит…
Как быть? Как подружить эту хрень с RDP? Как вы понимаете тех. поддержка банка и рутокена не помогли.
P.S. Ключ конечно не rutoken, а алладиновский JaCarta. Пардон за невнимательность.
|
miandrru Оставлено | |
КриптоПро 5.0.12000 КС1 установлен и настроен по статье https://support.cryptopr…loklnym-smrt-krtm-po-rdp | |
Screenshot_1.png |
nickm Оставлено | |
Токен можно пробрасывать в RDP сессию с клиентского АРМ (1), но не использовать токен подключенный к серверу (2) из-под RDP сессии. | |
|
miandrru Оставлено | |
Автор: nickm Токен можно пробрасывать в RDP сессию с клиентского АРМ (1), но не использовать токен подключенный к серверу (2) из-под RDP сессии. В указанной статье речь идет как раз об использовании подключенных локально к серверу ключей в RDP сессиях | |
|
ivstark Оставлено | |
Как получилось у меня: Далее проделать это: 1. Под полными правами: закладка Сервис – Посмотреть сертификаты в контейнере, 2. Под полными правами: закладка Безопасность (Криптопровайдеры для 5 версии) – во втором выпадающем списке (256) выбрать “Crypto-Pro GOST R 34.10-2012 System CSP”. После этого в RDP сеансе перезапустить приложение, для которого нужна эцп (например, сбис плагин). Также п.1 проделать под каждым удалённым пользователем в rdp сеансе. Отредактировано пользователем 18 августа 2022 г. 14:04:47(UTC) | |
| |
1 пользователь поблагодарил ivstark за этот пост.|
access1961 Оставлено | |
Добрый день. При переходе на удаленку во весь рост встал вопрос проброса ключевой USB-флэшки в RDP-сессии. | |
|
Grey Оставлено | |
Добрый день. Пробросом на удаленную машину устройств занимается операционная система. То, что туда отображаются токены и смарт-карты, – заслуга службы WinScard, где данная функциональность реализована. Так что, раз вы просили не советовать использовать токены, могу только предложить скопировать ключ в пользовательскую ветку реестра удаленной машины. С уважением, | |
|
access1961 Оставлено | |
Большое спасибо за быстрый ответ. Как я понял, подобные проблемы есть у многих. Я все примерно так и представлял, Ваш ответ утвердил меня в моих подозрениях. Придется, видимо, все-таки переходить на токен. Подскажите, функция копирования ключевого носителя в КриптоПро мне в этом поможет? И как подготовить сам токен, если он б/у? | |
|
Grey Оставлено | |
Автор: access1961 Большое спасибо за быстрый ответ. Как я понял, подобные проблемы есть у многих. Я все примерно так и представлял, Ваш ответ утвердил меня в моих подозрениях. Придется, видимо, все-таки переходить на токен. Подскажите, функция копирования ключевого носителя в КриптоПро мне в этом поможет? И как подготовить сам токен, если он б/у? Для успеха должно быть выполнено три условия: 1) Ключ на флешке должен быть создан как экспортируемый. Это легко можете сейчас проверить, открыв Панель управления – КриптоПро CSP – Сервис – Копировать. Если панель даст выбрать контейнер, значит, всё ок. Если ключ неэкспортируемый, перенести его не получится. С уважением, | |
|
access1961 Оставлено | |
Спасибо большое за пояснения. В понедельник буду пробовать. | |
Skip to end of metadata
Created by , last modified on Jul 28, 2021
Go to start of metadata
- КриптоПро CSP
- КриптоПро CSP версии 5
- Для работы плагина выполните следующие шаги
- Описание принципов работы плагина
- Причина 1
- Причина 2
- Причина 3
- Причина 4
- Работа с внутренним криптоядром Рутокена через библиотеку PKCS#11
- Работа с внутренним криптоядром Рутокена с обеспечением защиты канала
- Хранение в защищенной файловой системе Рутокен
- Руководство по настройке
- Установка драйверов и ПО для работы с JaCarta PKI
- Установка пакетов КриптоПро CSP
- Настройка и диагностика КриптоПро CSP
- Работа с токеном JaCarta PKI
- Программное извлечение ключей
- Результаты
- Полезные ссылки
- Удаленная работа с токенами и смарт-картами
- Рутокен и Удаленный рабочий стол (RDP)
КриптоПро CSP
Рутокен используется для безопасного хранения ключей и сертификатов для квалифицированной электронной подписи (КЭП) в контейнерах КриптоПро CSP.
На устройстве можно хранить до 15 ключевых контейнеров.
Для работы КриптоПро CSP с современными устройствами Рутокен не требуется дополнительных настроек. Все необходимые настройки выполняются автоматически при установке криптопровайдера.
Устройства Рутокен работают в семействах операционных систем Windows, Linux (включая отечественные) и macOS. Часть моделей семейства Рутокен ЭЦП работают в мобильных операционных системах Android, iOS и Sailfish OS RUS (переименованная в Аврору).
Совместимость подтверждается сертификатами совместимости.
В КриптоПро CSP 5.0 появился режим, в котором Рутокен выступает как средство формирования электронной подписи – «активный вычислитель». В данном режиме использование КЭП возможно практически во всех продуктах КриптоПро.
Рутокен – рекомендуемый ключевой носитель КЭП при работе с КриптоПро CSP всех версий.
Полезные знания и руководства:
КриптоПро CSP версии 5
В этой версии криптопровайдера поддерживается три режима работы с Рутокенами:
Работа с внутренним криптоядром Рутокена
В режиме «ФКН без защиты канала» ключи контейнера КриптоПро создаются сразу в защищенной памяти устройства.
Подписание документов теперь возможно и на неизвлекаемых аппаратных ключах. Этот режим предотвращает извлечение ключа в память компьютера в момент подписания.
С ключами и сертификатами в контейнерах, созданными в режиме “ФКН без защиты канала”, возможна работа практически во всех продуктах КриптоПро.
Поддерживаемые модели Рутокен
- Рутокен ЭЦП 2.0 2100;
- Рутокен ЭЦП 2.0 (micro);
- Рутокен ЭЦП 2.0 3000 (Type-C/micro);
- Рутокен ЭЦП 2.0 Flash/Touch;
- Рутокен ЭЦП Bluetooth;
- Рутокен ЭЦП PKI;
- Смарт-карты Рутокен ЭЦП 2.0 2100;
- Смарт-карты Рутокен ЭЦП SC.
Чтобы на токене был создан ключ в режиме “ФКН без защиты канала”, при генерации в окне выбора носителя надо выбирать режим работы: “Активный токен без защиты канала (rutoken_crypt_xxxx)”.
Работа с внутренним криптоядром Рутокена с обеспечением защиты канала
В КриптоПро CSP версии 5.0 реализован криптографический протокол SESPAKE, который так же поддерживается в сертифицированной модели Рутокен ЭЦП 2.0 3000.
Данный протокол позволяет провести аутентификацию, не передавая в открытом виде PIN-код Пользователя, и установить зашифрованный канал для обмена сообщениями между криптопровайдером и носителем.Для работы в режиме функционального ключевого носителя (ФКН) при генерации надо выбирать: “ФКН с защитой канала (rutoken_fkc_xxxxxxxx)”.
Хранение в защищенной файловой системе Рутокен
Как и в КриптоПро CSP версии 4.0, использование Рутокена в этом режиме позволяет обезопасить ключевую информацию от несанкционированного использования. Ключи и сертификаты надежно хранятся в защищенной файловой системе Рутокена.
Поддерживаемые модели Рутокен
- Рутокен ЭЦП 2.0 2100 (Type-C/micro)
- Рутокен S (micro)
- Рутокен Lite (micro)
- Рутокен ЭЦП Flash
- Рутокен ЭЦП 2.0 (micro)
- Рутокен ЭЦП 2.0 Touch
- Рутокен ЭЦП 2.0 3000 (Type-C/micro)
- Рутокен ЭЦП PKI
- Рутокен ЭЦП Bluetooth
- Смарт-карта Рутокен ЭЦП SC
- Смарт-карта Рутокен ЭЦП 2.0
Для генерации такого типа ключей надо выбирать режим работы: “CSP (rutoken_xxxx_xxxxxxxx)”.
- No labels
КриптоПро ЭЦП Browser plug-in предназначен для создания и проверки электронной подписи (ЭП) на веб-страницах и поддерживает работу с широким набором алгоритмов, как встроенных в операционную систему, так и доустановленных дополнительно.
Вниманию пользователей браузеров на основе ChromiumДля стабильной работы браузерного расширения рекомендуется обновить браузер до последней версии (104+). Причина описана на форуме.
Для работы плагина выполните следующие шаги
1 Установите криптопровайдер
Для создания и проверки электронных подписей по алгоритмам ГОСТ требуется обязательная установка криптопровайдера, поддерживающего ГОСТ (мы рекомендуем КриптоПро CSP).
Скачать КриптоПро CSP
2 Установите КриптоПро ЭЦП Browser plug-in
Приложение осуществляет взаимодействие веб-страниц в вашем браузере с криптопровайдером в операционной системе и предназначено для создания и проверки электронной подписи на веб-страницах. Рекомендуем воспользоваться инструкцией по установке
Скачать КриптоПро ЭЦП Browser plug-in
3 Проверьте работу установленного плагина
Чтобы убедиться, что всё установлено верно и все элементы системы надёжно взаимодействуют, мы создали специальную площадку для тестирования и проверки создания электронной подписи.
Проверить работу плагина
Описание принципов работы плагина
КриптоПро ЭЦП Browser plug-in легко встраивается и применим в любом из современных браузеров с поддержкой сценариев JavaScript:
- Яндекс.Браузер
- Internet Explorer
- Microsoft Edge (на базе Chromium версии 104+)
- Mozilla Firefox
- Google Chrome (в том числе Chromium-Gost. На базе Chromium версии 104+)
- Apple Safari
- Opera
Поддерживаемые операционные системы:
- Microsoft Windows (инструкция по установке);
- Linux (инструкция по установке);
- Apple MacOS (инструкция по установке).
КриптоПро ЭЦП Browser plug-in позволяет подписывать различные типы данных:
- электронный документ;
- данные веб-формы;
- файл, загруженный с компьютера пользователя;
- текстовое сообщение и т.п.
С точки зрения бизнес-функций, плагин позволяет использовать ЭП:
- на клиентских порталах;
- в системах интернет-банкинга;
- в электронных офисах с доступом через web и т.п.
Например: В онлайн-банке подтверждение операции по переводу средств усовершенствованной электронной цифровой подписью обеспечит гарантию того, что счетом распорядился владелец в конкретный (подтвержденный) момент времени и сертификат ключа подписи на момент совершения транзакции был действителен.
КриптоПро ЭЦП Browser plug-in позволяет создавать и проверять как обычную электронную подпись, так и усовершенствованную электронную подпись. Поскольку плагин является частью стандарта применения усовершенствованной электронной цифровой подписи, автоматически решаются задачи:
- доказательство момента подписи документа и действительности сертификата ключа подписи на этот момент;
- отсутствие необходимости сетевых (онлайн) обращений при проверке подписи;
- архивное хранение электронных документов.
Создание и проверка подписи происходят на стороне пользователя. При создании подписи с помощью КриптоПро ЭЦП Browser plug-in, электронная подпись может быть либо добавлена к подписываемым данным (присоединенная ЭП), либо создана отдельно (отделенная ЭП).
КриптоПро ЭЦП Browser plug-in распространяется бесплатно (лицензионное соглашение).
На нашем сайте доступна демо-страница для пробной работы с КриптоПро ЭЦП Browser plug-in. Полная инструкция по установке доступна по ссылке.
Скачать актуальную версию КриптоПро ЭЦП Browser plug-in:
- версия 2.0 для пользователей (автоматическая загрузка версии плагина, соответствующей Вашей ОС)
- Актуальная, развивающаяся версия.
- Поддерживает работу с алгоритмами ГОСТ Р 34.10/11-2012 (при использовании с КриптоПро CSP 4.0 и выше).
- Для Microsoft Windows совместима с КриптоПро CSP версии 3.6 R4 и выше, для других ОС – с КриптоПро CSP версии 4.0 и выше.
- Компоненты КриптоПро TSP Client 2.0 и КриптоПро OCSP Client 2.0, входящие в данную версию, не принимают лицензию от версий 1.x.
- Для работы в Firefox версии 52 и выше требуется дополнительно установить расширение для браузера.
- все версии для разработчиков (полный комплект дистрибутивов КриптоПро ЭЦП Browser plug-in).
Подробное описание КриптоПро ЭЦП Browser plug-in приведено в Руководстве разработчика КриптоПро ЭЦП SDK.
Страница для печати
Хранение ключей на токенах и смарт-картах обеспечивает дополнительную защиту от внешних и внутренних нарушителей, в том числе имеющих определенный уровень доступа к информационной системе и оборудованию.
Сегодня я расскажу, как мы защищаем ключи шифрования и электронной подписи в наших информационных системах, и сделаю это в подробном, хорошо проиллюстрированном руководстве по настройке SUSE Linux Enterprise Server 12 SP3 для работы с токеном Aladdin JaCarta PKI и КриптоПро CSP KC2 4.0.9944.
Опубликовать данное руководство побудило несколько причин:
Причина 1
Официальная документация на Aladdin-RD JaCarta больше адаптирована под операционные системы Astra Linux и ALT Linux, сертифицированные в Минобороны, ФСТЭК и ФСБ как средства защиты информации.
Причина 2
Лучшая инструкция по настройке взаимодействия с аппаратными носителями в Linux, которую удалось найти, была также от wiki.astralinux.ru — Работа с КриптоПро CSP
Причина 3
UPD 16.04.2019: В процессе настройки среды и оборудования выяснилось, что носитель, первым оказавшийся в распоряжении, был вовсе не JaCarta PKI Nano, как ожидалось, а устройство работающее в режиме SafeNet Authentication Client eToken PRO.
UPD 16.04.2019: Некогда Банку требовалось устройство, которое могло бы работать в той же инфраструктуре, что и eToken PRO (Java). В качестве такого устройства компания “ЗАО Аладдин Р.Д.” предложила токен JaCarta PRO, который был выбран банком. Однако на этапе формирования артикула и отгрузочных документов сотрудником компании была допущена ошибка. Вместо модели JaCarta PRO в артикул и отгрузочные документы случайно вписали JaCarta PKI.
UPD 16.04.2019: Благодарю компанию Аладдин Р.Д., за то что помогли разобраться и установить истину.
В этой ошибке нет никаких политических и скрытых смыслов, а только техническая ошибка сотрудника при подготовке документов. Токен JaCarta PRO является продуктом компании ЗАО “Аладдин Р.Д.”. Апплет, выполняющий функциональную часть, разработан компанией “ЗАО Аладдин Р.Д”.
Этот eToken PRO относился к партии, выпущенной до 1 декабря 2017 года.
После этой даты компания «Аладдин Р.Д.» прекратила продажу устройств eToken PRO (Java).
Забегая немного вперед, нужно сказать, что работа с ним настраивалась через соответствующие драйверы — SafenetAuthenticationClient-10.0.32-0.x86_64, которые можно получить только в поддержке Аладдин Р.Д. по отдельной online заявке.
В КриптоПро CSP для работы с этим токеном требовалось установить пакет cprocsp-rdr-emv-64 | EMV/Gemalto support module.
Данный токен определялся и откликался. При помощи утилиты SACTools из пакета SafenetAuthenticationClient можно было выполнить его инициализацию. Но при работе с СКЗИ он вел себя крайне странно и непредсказуемо.
Проявлялось это следующим образом, на команду:
csptest -keyset -cont '\\.\Aladdin R.D. JaCarta [SCR Interface] (205D325E5842) 00 00\alfa_shark' -check Выдавался ответ, что все хорошо:
[ErrorCode: 0x00000000]Но сразу после попытки зачитать ключи программно эта же проверка начинала выдавать ошибку:
[ErrorCode: 0x8009001a]Согласно перечню кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)
NTE_KEYSET_ENTRY_BAD
0x8009001A
Keyset as registered is invalid.«Невалидный набор ключей» — причина такого сообщения, возможно, кроется либо в старом чипе, прошивке и апплете Gemalto, либо в их драйверах для ОС, которые не поддерживают новые стандарты формирования ЭП и функции хэширования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
В таком состоянии токен блокировался. СКЗИ начинало показывать неактуальное состояние считывателя и ключевого контейнера. Перезапуск службы криптографического провайдера cprocsp, службы работы с токенами и смарт-картами pcscd и всей операционной системы не помогали, только повторная инициализация.
Справедливости ради требуется отметить, что SafeNet eToken PRO корректно работал с ключами ГОСТ Р 34.10-2001 в ОС Windows 7 и 10.
Можно было бы попробовать установить СКЗИ КриптоПро CSP 4.0 ФКН (Gemalto), но целевая задача — защитить наши ключи ЭП и шифрования с помощью сертифицированных ФСБ и ФСТЭК изделий семейства JaCarta, в которых поддерживаются новые стандарты.
Проблему удалось решить, взяв настоящий токен JaCarta PKI в (XL) обычном корпусе.
Но на попытки заставить работать Safenet eToken PRO времени было потрачено немало. Хотелось обратить на это внимание и, возможно, кого-то оградить от подобного.
Причина 4
Иногда самому требуется вернуться к старым статьям и инструкциям. Это удобно, когда информация размещена во внешнем источнике. Так что спасибо Хабру за предоставленную возможность.
Skip to end of metadata
Created by , last modified by Ксения Шаврова on Aug 19, 2022
Go to start of metadata
Рутокен используется для безопасного хранения ключей и сертификатов для квалифицированной электронной подписи (КЭП) в контейнерах КриптоПро CSP.
На устройстве объемом 64 Кб можно хранить до 15 ключевых контейнеров.
Для работы КриптоПро CSP с современными устройствами Рутокен не требуется дополнительных настроек. Все необходимые настройки выполняются автоматически при установке криптопровайдера.
Устройства Рутокен работают в семействах операционных систем Windows, Linux (включая отечественные) и macOS. Часть моделей семейства Рутокен ЭЦП работают в мобильных операционных системах Android, iOS и Sailfish OS RUS (переименованная в Аврору).
Совместимость подтверждается сертификатами совместимости.
В КриптоПро CSP 5.0 и новее появился режим, в котором Рутокен выступает как средство формирования электронной подписи – «активный вычислитель». В данном режиме использование КЭП возможно практически во всех продуктах КриптоПро.
Рутокен – рекомендуемый ключевой носитель КЭП при работе с КриптоПро CSP всех версий.
Режимы работы с Рутокенами, доступные в КриптоПро 5.0 R2
Работа с внутренним криптоядром Рутокена через библиотеку PKCS#11
Установка на Windows
- Если на компьютере с ОС Windows установлены Драйверы Рутокен, и производитсяпервичная установкаКриптоПро CSP 5.0 R2, то необходимая настройка системы будет выполнена автоматически.
- При обновлении программы с предыдущих версий КриптоПро CSP, нужно:
1) Установить актуальную версию «Драйверов Рутокен» (или библиотеку rtpkcs11ecp для Linux и macOS)
2) Запустить «КриптоПро CSP» с правами Администратора
3) Выбрать «Оборудование» – «Настроить считыватели» – «Считыватель смарт-карт PKCS#11»
Установка на Linux
Перед инсталляцией КриптоПро необходимо установить библиотеку rtpkcs11ecp.so. Доступна по ссылке https://www.rutoken.ru/support/download/pkcs/
- Если установка КриптоПро происходит скриптом install_gui.sh, то необходимо отметить пункт “Поддержка токенов и смарт-карт”.
- Если установка КриптоПро происходит скриптом install.sh, то после установки основных пакетов необходимо установить пакеты cprocsp-rdr-cryptoki и cprocsp-rdr-rutoken.
Поддерживаемые модели Рутокен
- Рутокен ЭЦП 3.0 3100
- Рутокен ЭЦП 3.0 3100 NFC
- Рутокен ЭЦП 2.0 2100
- Рутокен ЭЦП 2.0 (micro)
- Рутокен ЭЦП 2.0 3000 (Type-C/micro)
- Рутокен ЭЦП 2.0 Flash/Touch
- Рутокен ЭЦП Bluetooth
- Рутокен ЭЦП PKI
- Смарт-карты Рутокен ЭЦП 2.0 2100
- Смарт-карты Рутокен ЭЦП SC
- Смарт-карта Рутокен ЭЦП 3.0 NFC по контактному подключению
Работа теперь возможна через библиотеку rtpkcs11ecp. В этом режиме ключи создаются сразу в защищенной памяти устройства.
Этот режим предотвращает извлечение ключа в память компьютера в момент подписания.
Ключи и сертификаты, созданные в этом режиме полностью совместимы с ключами, созданными, например, через Рутокен Плагин.
При создании ключей необходимо выбирать считыватель PKCS#11.
Для работы со смарт-картой Рутокен ЭЦП 3.0 NFC по беспроводному каналу NFC, необходимо выбирать режим “Работа с внутренним криптоядром Рутокена с обеспечением защиты канала”.
Работа с внутренним криптоядром Рутокена с обеспечением защиты канала
В КриптоПро CSP версии 5.0 реализован криптографический протокол SESPAKE, который поддерживается во всех моделях линейки Рутокен ЭЦП 3.0 и в модели Рутокен ЭЦП 2.0 3000.
Данный протокол позволяет провести аутентификацию, не передавая в открытом виде PIN-код Пользователя, и установить зашифрованный канал для обмена сообщениями между криптопровайдером и носителем.Для работы в режиме функционального ключевого носителя (ФКН) при генерации надо выбирать: “ФКН с защитой канала (rutoken_fkc_xxxxxxxx)”.
Для работы с Рутокен ЭЦП 3.0 NFC по беспроводному каналу NFC, необходимо выбирать данный режим.
Хранение в защищенной файловой системе Рутокен
Как и в КриптоПро CSP версии 4.0, использование Рутокена в этом режиме позволяет обезопасить ключевую информацию от несанкционированного использования. Ключи и сертификаты надежно хранятся в защищенной файловой системе Рутокена.
Поддерживаемые модели Рутокен
- Рутокен ЭЦП 3.0 3100
- Рутокен ЭЦП 3.0 3100 NFC
- Рутокен ЭЦП 2.0 2100 (Type-C/micro)
- Рутокен S (micro)
- Рутокен Lite (micro)
- Рутокен ЭЦП Flash
- Рутокен ЭЦП 2.0 (micro)
- Рутокен ЭЦП 2.0 Touch
- Рутокен ЭЦП 2.0 3000 (Type-C/micro)
- Рутокен ЭЦП PKI
- Рутокен ЭЦП Bluetooth
- Смарт-карта Рутокен ЭЦП SC
- Смарт-карта Рутокен ЭЦП 2.0
- Смарт-карта Рутокен ЭЦП 3.0 NFC по контактному подключению
Для генерации такого типа ключей надо выбирать режим работы: “CSP (rutoken_xxxx_xxxxxxxx)”.
4. Прежний режим работы с внутренним криптоядром Рутокена
Данный режим по умолчанию отключен в этой версии криптопровайдера и оставлен для совместимости.
Этот режим не совместим с Рутокен ЭЦП 2.0 3000 и смарт-картой Рутокен ЭЦП 3.0 NFC.
Для включения этого режима необходимо выполнить следующие действия:
В операционной системе Windows
- Нажать «Запустить с правами администратора».
- Перейти на вкладку «Оборудование» и нажать кнопку «Настроить типы носителей…».
- В списке выбрать «Рутокен ECP» и нажать кнопку «Свойства».
- Перейти на вкладку «Настройки» и установить галочку «Включить режим совместимости со старыми ключами».
В операционной системе Linux
Запустить терминал и выполнить следующую команду:
sudo /opt/cprocsp/sbin/amd64/cpconfig -ini “\config\Parameters” -add long EnableNativeTokenCryptMode 1
В операционной системе macOS
Запустить терминал и выполнить следующую команду:
sudo /opt/cprocsp/sbin/cpconfig -ini ‘\config\Parameters’ -add long EnableNativeTokenCryptMode 1
В режиме «ФКН без защиты канала» ключи контейнера КриптоПро создаются сразу в защищенной памяти устройства.
Этот режим предотвращает извлечение ключа в память компьютера в момент подписания.
Ключи, созданные в этом режиме, частично совместимы с режимом считывателя PKCS#11.
С ключами и сертификатами в контейнерах, созданными в режиме “ФКН без защиты канала”, возможна работа практически во всех продуктах КриптоПро.
Поддерживаемые модели Рутокен
- Рутокен ЭЦП 2.0 2100
- Рутокен ЭЦП 2.0 (micro)
- Рутокен ЭЦП 2.0 Flash/Touch
- Рутокен ЭЦП Bluetooth
- Рутокен ЭЦП PKI
- Смарт-карты Рутокен ЭЦП 2.0 2100
- Смарт-карты Рутокен ЭЦП SC
Чтобы на токене был создан ключ в режиме “ФКН без защиты канала”, при генерации в окне выбора носителя надо выбирать режим работы: “Активный токен без защиты канала (rutoken_crypt_xxxx)”.
Полезные знания и руководства:
- No labels
Добрый день, при включении защиты LSA на рабочей станции при установленном CryptoPro 5.0 (разных версий, включая последнюю сборку) перестают работать сетевые подключения и RDP к целевому компьютеру.
В соответствии со статьей Microsoft https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection
For an LSA plug-in or driver to successfully load as a protected process, it must meet the following criteria:
Signature verification
Protected mode requires that any plug-in that is loaded into the LSA is digitally signed with a Microsoft signature. Therefore, any plug-ins that are unsigned or are not signed with a Microsoft signature will fail to load in LSA. Examples of these plug-ins are smart card drivers, cryptographic plug-ins, and password filters.
LSA plug-ins that are drivers, such as smart card drivers, need to be signed by using the WHQL Certification. For more information, see WHQL Release Signature.
LSA plug-ins that do not have a WHQL Certification process, must be signed by using the file signing service for LSA.
Recommended practices
Use the following list to thoroughly test that LSA protection is enabled before you broadly deploy the feature:
Identify all of the LSA plug-ins and drivers that are in use within your organization. This includes non-Microsoft drivers or plug-ins such as smart card drivers and cryptographic plug-ins, and any internally developed software that is used to enforce password filters or password change notifications.
Ensure that all of the LSA plug-ins are digitally signed with a Microsoft certificate so that the plug-in will not fail to load.
=======================
После включения аудита lsass.exe (до включения защиты LSA) в журнале есть следующие события (ID 3066):
Код:
Level,Date and Time,Source,Event ID,Task Category
Information,29.04.2022 16:04:47,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\cpmsi.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Crypto Pro\CSP\cpsuprt.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Crypto Pro\CSP\cpcspi.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Crypto Pro\CSP\cpcsp.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Windows\System32\cpcng.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Windows\System32\cpsspap.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\cpschan.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\cpkrb.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\cpadvai.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\detoured.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."
Information,29.04.2022 16:04:37,Microsoft-Windows-CodeIntegrity,3066,(1),"Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\lsass.exe) attempted to load \Device\HarddiskVolume4\Program Files\Common Files\Crypto Pro\AppCompat\cpcrypt.dll that did not meet the Microsoft signing level requirements or violated code integrity policy. However, due to code integrity auditing policy, the image was allowed to load."В первую очередь полагаю, что проблема в cpsspap.dll
Планируется ли решение? Для корпоративных сред использование дополнительной защиты LSA критично.
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Проблема с установкой сертификата на CSP4 выпущенного с помощью CSP5.
|
polkiloo Оставлено | |
Выпустил тестовый сертификат через https://www.cryptopro.ru/certsrv/certrqma.asp на win10 c установленным csp5. и CryptoPro CSP ver. 4.0.0.0.9963. возникает следующая ошибка: Error while importing pfx The object identifier is poorly formatted. | |
|
Александр Лавник Оставлено | |
Автор: polkiloo Выпустил тестовый сертификат через https://www.cryptopro.ru/certsrv/certrqma.asp на win10 c установленным csp5. и CryptoPro CSP ver. 4.0.0.0.9963. возникает следующая ошибка: Error while importing pfx The object identifier is poorly formatted. Здравствуйте. RSA пакет из состава дистрибутива КриптоПро CSP 4.0 установлен? | |
|
polkiloo Оставлено | |
Да, пакет установлен: Код: | |
|
polkiloo Оставлено | |
Параметры сертификат: Код: Отредактировано пользователем 26 мая 2021 г. 10:14:09(UTC) | |
|
Александр Лавник Оставлено | |
Автор: polkiloo Параметры сертификат: Код: Здравствуйте. КриптоПро CSP 4.0 не поддерживает провайдер Crypto-Pro Enhanced RSA and AES CSP. Какая у Вас конечная цель? | |
|
polkiloo Оставлено | |
Нужен сертификат для использования с алгоритмом RS256 и RS512. | |
|
Александр Лавник Оставлено | |
Автор: polkiloo Нужен сертификат для использования с алгоритмом RS256 и RS512. Здравствуйте. Если не хотите переходить на CSP 5.0 на Ubuntu, то попробуйте использовать криптопровайдер Crypto-Pro RSA CSP. | |
|
polkiloo Оставлено | |
Обнаружилась новая проблема при генерации ключевой пары. Код: | |
|
Александр Лавник Оставлено | |
Автор: polkiloo Обнаружилась новая проблема при генерации ключевой пары. Код: Если нет графики (например, работаете через ssh), то удалите пакет cprocsp-rdr-gui-gtk-64 и попробуйте еще раз. | |
|
polkiloo Оставлено | |
Зачем тогда нужен параметр silent? | |
|
Александр Лавник Оставлено | |
Автор: polkiloo Зачем тогда нужен параметр silent? Здравствуйте. Если у Вас нет аппаратного датчика случайных чисел или гаммы для генерации ключа, то флаг -silent тут явно лишний. Да, для Crypto-Pro RSA CSP нет поддержки sha 256. | |
Руководство по настройке
После установки токена JaCarta PKI в USB порт сервера и запуска системы проверяем, что новое устройство обнаружено и появилось в списке:
lsusb
В нашем случае это Bus 004 Device 003: ID 24dc:0101
Для диагностики считывателей можно воспользоваться утилитой pcsc-tools из проекта security:chipcard (software.opensuse.org).
Запускается командой:
pcsc_scan
Пока не установлены все необходимые пакеты, информация о токене не отобразится.
Установка драйверов и ПО для работы с JaCarta PKI
На странице Поддержки сайта «Аладдин Р.Д.» загружаем Документацию и программное обеспечение для работы только с JaCarta PKI
Согласно Руководству по внедрению «JaCarta для Linux» пункт 4.2., первым делом требуется установить пакеты pcsc-lite, ccid и libusb.
Для работы утилиты управления JaCarta необходимо установить следующие компоненты:
- PC/SC Lite — промежуточный слой для обеспечения доступа к смарт-картам по стандарту PC/SC, пакет pcsc-lite.
- Библиотеки ccid и libusb для работы с USB-ключами, смарт-картами и считывателями смарт-карт.
Выполняем проверку наличия этих пакетов и установку:
zypper search pcsc-lite
zypper search libusb
zypper install pcsc-lite
zypper search CCID
zypper install pcsc-ccid
zypper search CCID
zypper install libusb
В итоге пакет pcsc-lite был обновлен, CCID установлен, libusb никаких действия не требовалось.
Следующими двумя командами выполняем установку пакета с драйверами и программным обеспечением непосредственно для работы с JaCarta PKI:
zypper install idprotectclientlib-637.03-0.x86_64.rpm
zypper install idprotectclient-637.03-0.x86_64.rpm
Проверяем, что драйверы и ПО для JaCarta PKI установились:
zypper search idprotectclient
При попытках заставить работать SafeNet eToken PRO я нашел информацию, что предустановленный в SLES пакет openct — Library for Smart Card Readers может конфликтовать с pcsc-lite — PCSC Smart Cards Library, установку которого требует руководство Аладдин Р.Д.
zypper search openct
Поэтому пакет openct удаляем:
rpm -e openct
Теперь все необходимые драйверы и ПО для работы с токеном установлены.
Выполняем диагностику с помощью утилиты pcsc-tools и убеждаемся, что JaCarta определяется в операционной системе:
pcsc_scan
Установка пакетов КриптоПро CSP
При установке КриптоПро CSP по умолчанию нужные пакеты для работы с токенами и смарт-картами отсутствуют.
zypper search cprocsp
Выполняем установку в CSP компонента поддержки JaCarta components for CryptoPro CSP
zypper install cprocsp-rdr-jacarta-64-3.6.408.683-4.x86_64.rpm
Некоторые компоненты имеют зависимости. Так, например, если попытаться выполнить установку пакета поддержки SafeNet eToken PRO cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm — EMV/Gemalto support module, то получим сообщение о необходимости сначала установить базовый компонент CSP поддержки считывателей cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm — PC/SC components for CryptoPro CSP readers:
zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm
Loading repository data...
Reading installed packages...
Resolving package dependencies...
Problem: nothing provides cprocsp-rdr-pcsc-64 >= 4.0 needed by cprocsp-rdr-emv-64-4.0.9944-5.x86_64
Solution 1: do not install cprocsp-rdr-emv-64-4.0.9944-5.x86_64
Solution 2: break cprocsp-rdr-emv-64-4.0.9944-5.x86_64 by ignoring some of its dependencies
Choose from above solutions by number or cancel [1/2/c] (c): c
Устанавливаем базовые пакеты поддержки считывателей и ключевых носителей:
zypper install cprocsp-rdr-pcsc-64-4.0.9944-5.x86_64.rpm
zypper install lsb-cprocsp-pkcs11-64-4.0.9944-5.x86_64.rpm
Теперь можно установить модули для работы с остальными видами носителей и компонент GUI:
zypper install cprocsp-rdr-emv-64-4.0.9944-5.x86_64.rpm
zypper install cprocsp-rdr-novacard-64-4.0.9944-5.x86_64.rpm
zypper install cprocsp-rdr-mskey-64-4.0.9944-5.x86_64.rpm
zypper install cprocsp-rdr-gui-gtk-64-4.0.9944-5.x86_64.rpm
Проверяем итоговую конфигурацию КриптоПро CSP:
zypper search cprocsp
Loading repository data...
Reading installed packages...
S | Name | Summary | Type
---+-----------------------------+----------------------------------------------------+--------
i+ | cprocsp-curl-64 | CryptoPro Curl shared library and binaris. Build 9944. | package
i+ | cprocsp-rdr-emv-64 | EMV/Gemalto support module | package
i+ | cprocsp-rdr-gui-gtk-64 | GUI components for CryptoPro CSP readers. Build 9944. | package
i+ | cprocsp-rdr-jacarta-64 | JaCarta components for CryptoPro CSP. Build 683. | package
i+ | cprocsp-rdr-mskey-64 | Mskey support module | package
i+ | cprocsp-rdr-novacard-64 | Novacard support module | package
i+ | cprocsp-rdr-pcsc-64 | PC/SC components for CryptoPro CSP readers. Build 9944.| package
i+ | lsb-cprocsp-base | CryptoPro CSP directories and scripts. Build 9944. | package
i+ | lsb-cprocsp-ca-certs | CA certificates. Build 9944. | package
i+ | lsb-cprocsp-capilite-64 | CryptoAPI lite. Build 9944. | package
i+ | lsb-cprocsp-kc2-64 | CryptoPro CSP KC2. Build 9944. | package
i+ | lsb-cprocsp-pkcs11-64 | CryptoPro PKCS11. Build 9944. | package
i+ | lsb-cprocsp-rdr-64 | CryptoPro CSP readers. Build 9944. | package
Чтобы применить изменения, выполняем перезапуск службы криптографического провайдера и проверяем ее статус:
/etc/init.d/cprocsp restart
/etc/init.d/cprocsp status
Настройка и диагностика КриптоПро CSP
Проверим, видит ли криптографический провайдер наш токен и другие доступные типы носителей следующими командами:
/opt/cprocsp/bin/amd64/csptest -card -enum -v –v
/opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMREADERS | iconv -f cp1251
/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view -f cp1251
Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00 — это наш носитель.
Следуя инструкции КриптоПро CSP для Linux. Настройка, выполняем его регистрацию в криптографическом провайдере:
/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add "Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00"
В результате выполнения в конфигурационный файл /etc/opt/cprocsp/config64.ini
в раздел [KeyDevices\PCSC] будет добавлена запись:
[KeyDevices\PCSC\"Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00"\Default]
Чтобы выполнить требования Формуляра, Правил пользования и Руководства администратора безопасности КриптоПро CSP:
Использование СКЗИ «КриптоПро CSP» версии 4.0 с выключенным режимом усиленного контроля использования ключей не допускается. Включение данного режима описано в документах ЖТЯИ.00087-01 91 02. Руководство администратора безопасности.
Необходимо включить режим усиленного контроля использования ключей:
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long StrengthenedKeyUsageControl 1Проверяем, что режим включен:
cat /etc/opt/cprocsp/config64.ini | grep StrengthenedKeyUsageControl
Выполняем перезапуск службы криптографического провайдера:
/etc/init.d/cprocsp restart
/etc/init.d/cprocsp status
После перезапуска проверяем, что ошибок в работе провайдера с ключевыми носителями нет:
/opt/cprocsp/bin/amd64/csptest -keyset –verifycontext
/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum –unique
CSP (Type:80) v4.0.9017 KC2 Release Ver:4.0.9944 OS:Linux CPU:AMD64 FastCode:REA
AcquireContext: OK. HCRYPTPROV: 16052291
alfa_shark1 |SCARD\JACARTA_4E3900154029304C\CC00\E9F6
OK.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 4.560 sec
[ErrorCode: 0x00000000]
Работа с токеном JaCarta PKI
Запустим программу Xming (X11 forwarding) на своей станции, чтобы по SSH иметь возможность открывать и работать с графическими интерфейсами нужных утилит.
После установки IDProtectClient — программного обеспечения для работы с JaCarta PKI, на сервере в папке /usr/share/applications появились два файла:
Athena-IDProtectClient.desktop
Athena-IDProtectManager.desktop
Это ярлыки, в которых можно посмотреть параметры запуска утилит Exec=/usr/bin/SACTools
Запустим утилиту IDProtectPINTool.
С помощью нее задаются и меняются PIN-коды доступа к токену.
/usr/bin/IDProtectPINTool
При первой инициализации токена будет полезна ссылка, содержащая PIN-коды (пароли) ключевых носителей по умолчанию
Программа IDProtect_Manager позволяет просматривать информацию о токене и контейнере с ключами и сертификатом:
/usr/bin/IDProtect_Manager
Для доступа к контейнеру с ключами нужно ввести пароль:
Для работы с SafeNet Authentication Client eToken PRO существуют аналогичные программы — SafeNet Authentication Client Monitor и SafeNet Authentication Client Tools, которые запускаются так:
/usr/bin/SACMonitor
/usr/bin/SACTools
Выполнять операции непосредственно с ключевыми контейнерами удобнее в интерфейсе криптографического провайдера КриптоПро JavaCSP:
/jdk1.8.0_181/jre/bin/java ru.CryptoPro.JCP.ControlPane.MainControlPane
Для отображения информации о содержимом контейнера с ключами можно выполнить команду:
/opt/cprocsp/bin/amd64/csptest -keyset -cont '\\.\Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00\alfa_shark1' -infoДля диагностики контейнера используется эта же команда с ключом –check
/opt/cprocsp/bin/amd64/csptest -keyset -cont '\\.\Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00\alfa_shark' –checkПотребуется ввести пароль от контейнера:
Программное извлечение ключей
В общем виде пример извлечения закрытого ключа и сертификата открытого ключа из контейнера на токене с помощью КриптоПро Java CSP следующий:
import ru.CryptoPro.JCP.KeyStore.JCPPrivateKeyEntry;
import ru.CryptoPro.JCP.params.JCPProtectionParameter;
KeyStore keyStore = KeyStore.getInstance("Aladdin R.D. JaCarta [SCR Interface] (000000000000) 00 00", "JCSP");
keyStore.load(null, null);
JCPPrivateKeyEntry entry = null;
X509Certificate certificate = null;
PrivateKey privateKey = null;
try {
entry = (JCPPrivateKeyEntry) keyStore.getEntry(keyAlias,
new JCPProtectionParameter(pwd));
certificate = (X509Certificate) entry.getCertificate();
privateKey = entry.getPrivateKey();
} catch (UnrecoverableEntryException | NullPointerException e) {
LOGGER.log(Level.WARNING, PRIVATE_KEY_NOT_FOUND + keyAlias + ExceptionUtils.getFullStackTrace(e));
}
Если действовать так:
Key key = keyStore.getKey(keyAlias, pwd);
то криптографический провайдер будет пытаться в системе отобразить через консоль или GUI окно запрос на ввод пароля к контейнеру.
Результаты
Отторгаемый ключевой носитель-токен установлен во внутренний USB-порт сервера.
Само серверное оборудование опломбировано и размещается в помещении с ограниченным доступом.
Такие меры позволяют повысить уровень защиты наших информационных систем от кражи и компрометации ключей электронной подписи или шифрования, как удаленно по сети, так и физически.
Полезные ссылки
- Документация Aladdin-RD JaCarta
- wiki.astralinux.ru — Работа с КриптоПро CSP
- Перечень кодов ошибок объектной модели компонентов Microsoft COM Error Codes (Security and Setup)
- СКЗИ КриптоПро CSP 4.0 ФКН (Gemalto)
- Утилита диагностики считывателей pcsc-tools из проекта security:chipcard (software.opensuse.org)
- КриптоПро CSP для Linux. Настройка.
- Aladdin-RD PIN-коды (пароли) ключевых носителей по умолчанию
Удаленная работа с токенами и смарт-картами
Если устройство Рутокен подключено к вашему рабочему компьютеру, а для удаленного доступа к нему вы используете логин и пароль, то есть риск перехвата ваших учетных данных и PIN-кода Рутокена.
Это может стать причиной несанкционированного использования вашей электронной подписи. Если токен подключен к удаленной машине, то возможность отключить его физически от компьютера отсутствует.
Рутокен является персональным устройством и должен находиться у пользователя. Его удаленное использование противоречит самой идее применения аппаратных средств подписи и аутентификации.
Самым правильным является способ, когда ваш токен подключен к локальному компьютеру, а подключение производится через “Удаленный рабочий стол” (Remote Desktop Protocol, RDP).
Если же устройство Рутокен всё-таки нужно использовать удаленно, то для организации этого процесса существует несколько программ:
| Специальная сборка КриптоПро CSP 4.0.9973 | По RDP-подключению будет возможно работать с контейнерами “КриптоПро CSP”, хранящимися на Рутокенах, которые подключены к удаленной машине. Так как полноценная работа со смарт-картами по протоколу RDP невозможна, в “Панели управления Рутокен” сертификаты не отобразятся. Можно не обращать на это внимания. |
| TeamViewer | Одна из самых популярных программ для удаленного доступа, ее можно быстро загрузить и установить или сразу запустить, без установки, с этим сможет справиться даже не очень опытный пользователь. При запуске программы на экране отображается окно с ID и паролем для доступа к данному компьютеру. Также TeamViewer позволяет подключится к другому компьютеру после указания его ID и пароля. |
| RAdmin | Программа предназначена больше для системного администрирования, основной акцент сделан на безопасности. Программа состоит из двух компонентов: сервера и клиента. Требует установки, не опытному пользователю будет не просто с ней разобраться. Программа предназначена в основном для работы по IP адресу, что бывает не всегда удобно. Программа платная, но обладает бесплатным тестовым периодом. |
| LiteManager | Простая, но мощная по возможностям программа, состоит из двух частей. Первая – это Server который нужно установить или запустить на удаленном компьютере и Viewer, который позволяет управлять другим компьютером. Для работы программа требует больше навыков и опыта от пользователя. Сервер можно один раз установить и больше никаких действий от пользователя не нужно, ID будет всегда постоянный, его даже можно задать самому вручную, что очень удобно для запоминания. Версия LiteManager Free является бесплатной для личного и коммерческого использования. |
| Ammyy Admin | Программа в основном аналогична TeamViewer, но более простая. Присутствуют только основные режимы работы: просмотр и управление, передача файлов, чат. Программа может работать без установки. |
| NoMachine | Бесплатный удаленный рабочий стол на русском языке, доступный для Windows, macOS, Linux (в том числе и на ARM), iPhone/iPad и Android. |
Рутокен и Удаленный рабочий стол (RDP)
Возможно, эта информация будет интересна
Рутокен является персональным устройством и должен находиться у пользователя. Его удаленное использование противоречит самой идее применения аппаратных средств подписи и аутентификации.
Самым правильным является способ, когда ваш токен подключен к локальному компьютеру, а в программе терминального клиента (протокол RDP) настроен проброс смарт-карт.
Если же устройство Рутокен все-таки нужно использовать удаленно, в этой статье мы описали способы, как это сделать.
Если токен или смарт-карта подключены к локальному компьютеру, а в программе на локальном компьютере настроен проброс смарт-карт, токен будет работать.
Если токен или смарт-карта подключены к удаленному компьютеру и к нему пытаются обратиться удаленно, то такая схема не будет работать.
Убедитесь, что в программе удаленного рабочего стола включен проброс смарт-карт
При одновременном подключении пользователей по протоколу RDP, к удаленному компьютеру каждый пользователь работает только со своим Рутокеном и видит только свои ключи и сертификаты в Панели управлении Рутокен.
В рамках тестирования было проброшено 11 токенов с 11 разных компьютеров – в Панели управления Рутокен работа всех устройств одновременно была корректна.
Установка драйверов Рутокен через RDP возможна на операционных системах, начиная с Windows Vista.
На более ранних операционных системах будет выдаваться сообщение, что установка запущена через удаленное подключение, и драйверы Рутокен устанавливаться не будут.
Для доменных систем: если проброс смарт-карт включен и схема использования токена правильная, а работать с токеном всё равно не получается, проверьте настройки групповых политик сервера:
“Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Перенаправление устройств и ресурсов\Не разрешать перенаправление устройства чтения смарт-карт” переведите в состояние “Отключить”
При подключении к Citrix работа со смарт-картами и токенами, подключенными к удаленной машине, как и по протоколу RDP, невозможна.
