| ||||
| ||||
| Здравствуйте. Ситуация такая, есть центр сертификации (Windows Server 2003), на нём установлен демо КриптоПро 3. Есть клиентская машина Windows XP, установлен драйвер eToken 3.65, установлен демо КриптоПро 3, установлены считыватели и носители, установлено обновление от Aladdin для КриптоПро и есть токен eTokenPro 16k. Как мне сделать сертификат, чтобы я мог логиниться с помощью токена и подписывать документы? И так что я делал: в ЦС я сделал шаблон сертификата на основе шаблона "Пользователь со смарт-картой". Я сделал для нового шаблона, чтобы использовались только ГОСТовские криптопровайдеры (КриптоПро). На машине пользователя, вставляю токен, открываю оснастку сертификатов и в личном хранилище вызываю запрос на получение нового сертификата: из списка выбираю необходмый мне шаблон, открывается список провайдеров (Crypto-Pro GOST R 34.10-94 Cryptographics Service Provider и Crypto-Pro GOST R 34.10-94 KC1 CSP - кстати, в чём разница между ними??) я выбираю последний, указываю имя и там далее готово жму. Появяется "биологический датчик", я курсором мыши вожу, там выбиаю токен из списка, пины ввожу, ну в общем всё там делаю пошагово и... мне говориться, что сертификат успешно получен. Ура! Но! Если я открою утилиту от eToken и хочу посмотреть на содержимое токена, ну чтобы найти там сертификат, то к изумлению вижу, что там ничего нет! Или сама утилита не видит это. Зато, если в панели управления вызвать апплет КриптоПро, то там я легко могу просмотреть сертификат в контеньере. И при этом меня спрашивается из какого токена брать, я указываю и всё мне показывается сертификат. Но логон в систему не работает! Что не так я делаю?? Сразу ещё один вопрос. Если в шаблоне укажу использовать "eToken Base Cryptographics provider" и получу сертификат на основе этого, то работает АБСОЛЮТНО всё!! И сертификат виден во всех утилитах и всё всё всё. Но если с этим токеном пойду на другую машину, где стоит только драйвер токена, то он не будет работать, пока я на машину не поставлю КриптоПро CSP. Где связь??? Очень надеюсь на вашу помошь. Спасибо. | ||||
| Ответы: | ||||
| ||||
| http://www.cryptopro.ru/cryptopro/products/winlogon/default.htm А утилита Аллдина не предназначена для просмотра сертификатов Крипто-Про CSP. | ||||
| ||||
| Только что поставил, создал себе сертификат используя именно драйвер "КриптоПро для смарт-карт" и .... при входе в систему говорит, что "Запрашиваемый контейнер ключа не существует на этой смарт-карте". И сразу у меня вопрос дополнительный появился: я указал при создании сертификата, что использовать "КриптоПро для смарт-карт", а будет ли у меня теперь работать функции подписи документов? И ещё, если я теперь надумую покупать, то мне придётся платить и за КриптоПро CSP и за КриптоПро WinLogon? Или что только одно?? | ||||
| ||||
| Для подписи будет работать, если сертификат позволяет. Крипто-Про Winlogon нужно приобретать дополнительно. Настройка описана в документации (ее требует и KDC) | ||||
| ||||
| Спасибо за помощь! Документацию нашёл, действительно хорошо написано, надеюсь всё у меня получится, если сделаю как там сказано. Но у меня только ещё один вопрос встал: у меня есть корневой удостоверяющий центр и подчинённый УЦ. Мне нужно на оба УЦ ставить КриптоПро Winlogon или только на подчинённый УЦ?? | ||||
| ||||
| На УЦ ставить Winlogon не нужно. КриптоПро Winlogon KDC ставится на контроллер домена(того, в котором находится пользователь). (для него же выпускается ГОСТовый сертификат контроллера домена) КриптоПро Winlogon клиент ставится на клиентской машине, на которой планируется использование смарт-карты для входа в систему. | ||||
| ||||
| Всё понял! Огромное спасибо! | ||||
Константин