Доброго времени суток!
А возможно ли как-то сделать, чтобы в РДП-сеансе были видны и токены подключенные к рдп-серверу непосредственно и токены, которые туда прокидываются с локальной машины? Сейчас можно выключать/включать службу, тогда видны соответственно, либо те либо другие. Но это не пользовательское дело, а нужно в одном приложении подписывать несколькими подписями, некоторые из которых у пользователя, а другие вставлены в "сервер".
Если не использовать службу в Кинотавре, а использовать старый вариант с добавлением криптопровайдера SYSTEM CSP через реестр, то это работает именно так как хочется, за тем исключением, что плагин госуслуг не видит ключи под криптопровайдером SYSTEM CSP, а он нужен... Под кинотавром со включенной службой локальных смарт-карт в этом смысле все отлично, но никак одновременно не получить доступ к прокинутым через РДП смарт-картам. Было бы здорово иметь в списке криптопровайдера где бы такие смарт-карты были доступны при включенной службе локальных смарт-карт.
P.S.: Если установить крипто-про, включить службу локальных смарт-карт, добавить в реестре SYSTEM CSP, то работает прямо как надо, но до первой перезагрузки службы крипто-про. ))
P.P.S.: Последняя сборка из тг-канала раннего доступа у меня вообще не отображает ключи... (

К сожалению, костыли с двумя пользователями невозможны. Это доменная среда, много пользователей. Взаимодействие с ключами происходит следующим образом. Вначале пользователь должен отправить запрос с использованием локального (вставлен в сервер) ключа, получить ответ, заполнить форму, подписать ее удаленным ключом и отправить используя опять локальный ключ. ) И вот от этой схемы пляшем. Плюсом к ней некоторые пользователи должны ходить на разные госплощадки с локальным ключом. Иметь бы в списке криптопровайдера, который каким-то образом "не замечал бы" запущенной службы локальных смарт-карт и было бы счастье. ) Либо счастье было бы возможно, если бы как-то плагин госуслуг заставить видеть ключи прописанные в личные с использованием провайдера SYSTEM CSP добавленного через реестр. Все остальное, что нужно вроде бы работает с ним корректно, только с ним проблема.
Про последние релизы понял, спасибо. Не знал что после Кинотавра группу еще раз переименовывали. Кстати, в разрезе пользователей в группе было бы здорово, чтобы использовалось не только прямое членство, но и косвенное, то есть группы вложенные в группы. Очень неудобно добавлять непосредственно пользователей в эту группу. Считаю, что туда должны быть добавлены группы, в которых уже мы добавляем и убираем пользователей. В общем, без косвенного членства это неудобно использовать. На Кинотавре я проверял, косвенное членство не работает.

Дистрибутив с вложенными группами скоро будет доступен.

Обещанная инструкция:

1. Устанавливаем службу хранения ключей и переключаем Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider в работу в ней.
   
2. Копируем раздел(и WOW6432Node, если нужна поддержка 32-х битных приложений) реестра
   HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
   и создаём новый провайдер, например Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider Default
   
3. Меняем для Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider Default CP Module Name на cpcspi.dll -- ключи будут храниться в памяти приложения.
   
4. Отлючаем перехываты (в том числе scardlocal) для rundll32.exe -- хост пользовательских экземпляров службы хранения ключей, создав подключ rundll32 в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude и добавив имя процесса FileName.
   

После перезагрузки Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider сможет обращаться к ключам терминального клиента, а Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider Default -- к ключам в сервере.

Для работы с плагином Госуслуг нужно модифицировать его ifc.cfg (Добавить новый криптопровайдер) в %appdata%\Rostelecom\IFCPlugin\3.1.1.0\x64

Отредактировано пользователем 14 апреля 2023 г. 18:33:22(UTC)  | Причина: Не указана