Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline SLY_rus  
#1 Оставлено : 18 октября 2024 г. 19:41:27(UTC)
SLY_rus

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.10.2024(UTC)
Сообщений: 4

Добрый день.

Задача: надо подключить Рутокен 3.0 к системе на виртуальной машине (ВМ). В качестве ОС выступает Windows server 2019 с последними апдейтами.
План А: usbip. 80% предложенных вариантов с usbip не заработали, ключ в ВМ прилетает некорректно, или не прилетает вовсе. Linux-linux (сервер-клиент) работает, но целевое ПО сугубо windows-френдли. А вот Linux-windows или windows-windows пробросы никак нет. Неделю бились в 3 специалиста, давайте план Б.

План Б: втыкаем токен в физический хост с ovirt (РедВирт), пробрасываем его в ВМ через host-devices на этом же хосте. Видим токен в устройствах, радуемся. Ставим драйвера рутокен, видим-читаем контейнер из-под локальной консоли, счастье уже близко. Ставим крипто-про.... и облом. Токена в системе больше нет, ни в устройствах, ни в рутокен-панели.
Если установлена только рутокен-панель, то в устройствах видим картридеры, и сам токен. Панель говорит все ок.
s1.jpg (20kb) загружен 4 раз(а).
Если поставили 5.0.11455 что требуют разработчики ПО, то у нас нет токена и ошибка 31 с драйверами картридера.
s2.jpg (30kb) загружен 5 раз(а).
Если поставили 5.0.13000 , то в списке устройств картридеры снова нормальные, токен есть, но его видит рутокен-панель с ошибкой "Сертификат Минцифры не в рутах" и токен не видит криптопро-панель.

Вопросы: почему вдруг после установки криптопро 5.0.13000 рутокен-панель ругается на сертификат минцифры, а после удаления - уже нет.
Как заставить увидеть криптопро токен? Лучше, конечно, под версией 5.0.11455, чтобы потом еще не бодаться с разработчиками ПО.
Либо предложить третий вариант, как еще можно "неэкпортируемый ключ поместить в автоматизированную систему" ?

Отредактировано пользователем 18 октября 2024 г. 19:55:42(UTC)  | Причина: Не указана

Offline Русев Андрей  
#2 Оставлено : 21 октября 2024 г. 10:17:13(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,432

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 574 раз в 400 постах
Здравствуйте.
Крайне маловероятно, что установка КриптоПро CSP может влиять на Microsoft ccid-драйвер (Microsoft Usbccid Smartcard Reader (WUDF)). Скорее проблема-таки в виртуализации. Наверное, в этом можно убедиться, поэкспериментировав с перезагрузкой без установки КриптоПро CSP. В VMware (esxi / workstation) USB-токены пробрасываются без проблем: у нас такое решение работало годами.
Официальная техподдержка. Официальная база знаний.
Offline SLY_rus  
#3 Оставлено : 21 октября 2024 г. 13:51:06(UTC)
SLY_rus

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.10.2024(UTC)
Сообщений: 4

Андрей, спасибо за ответ.

Но нет, причинно-следственная связь налицо: я между этими состояниями легко гуляю с установкой-удалениями различных Криптопро.
Если удалить 5.0.11455 - то драйвера Microsoft ccid начинают работать. Устанавливаю обратно - пропадают.
А под 5.0.13000 стабильно не видится ключ только из-под самого криптопро, нет контейнеров\сертификатов.

На локальной машине первой проблемы нет, только на сервере. Вторую на локальном не проверял.
Offline nickm  
#4 Оставлено : 21 октября 2024 г. 14:18:34(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,387

Сказал(а) «Спасибо»: 577 раз
Поблагодарили: 403 раз в 382 постах
Автор: SLY_rus Перейти к цитате
А под 5.0.13000 стабильно не видится ключ только из-под самого криптопро, нет контейнеров\сертификатов.

А, из-под группы администраторов тоже?

Не связано ли это с группой терминальных пользователей, о, чём, примерно, говорилось здесь.
Offline SLY_rus  
#5 Оставлено : 21 октября 2024 г. 14:28:24(UTC)
SLY_rus

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.10.2024(UTC)
Сообщений: 4

Да, из-под администратора тоже самое.

Про "терминальные пользователи" маловероятно, сейчас работаю со сервером из-под локальной консоли виртуализации, не через rdp. Не должны распространяться ограничения RDP.
Offline Русев Андрей  
#6 Оставлено : 21 октября 2024 г. 14:51:21(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,432

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 574 раз в 400 постах
И всё же я бы искал другую причину, типа клиента Jacarta или чего-то такого: https://dev.rutoken.ru/display/KB/DM1006
Официальная техподдержка. Официальная база знаний.
Offline SLY_rus  
#7 Оставлено : 21 октября 2024 г. 17:53:47(UTC)
SLY_rus

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.10.2024(UTC)
Сообщений: 4

Сделал несколько тестов. Результат интересный.

На свежей пустой установленной windows 2019 с rtdrivers и криптопро 5.0.11455 всё видится. Как только запускаю обновление системы - после перезагрузки отваливаются драйвера Microsoft Usbccid Smartcard Reader (WUDF) (ошибка 31). Всё же ощущение, что Криптопро влияет на эти драйверы устройства каким-то образом, т.к. без установленного Криптопро либо без обновлений ОС устройство работает.

На свежей пустой установленной windows 2019 с rtdrivers и криптопро 5.0.13000, Криптопро не видит токен. При этом Рутокен токен и контейнер на устройстве видит. Устанавливать обновления думаю не целесообразно, результат будет тот же.

Явно есть зависимость от версии криптопро, а не внешнего ПО.

Отредактировано пользователем 21 октября 2024 г. 17:55:42(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#8 Оставлено : 7 ноября 2024 г. 10:57:34(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,395
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Вторая пробелема связана с этими изменениями:
начиная с 5R3, на серверные ОС Windows считыватели pcsc и pkcs#11 по умолчанию не устанавливаются при установке из CSPSetup.exe или .msi.
Используйте CryptoPro.exe или добавьте считыватели в cpanel.

Отредактировано пользователем 7 ноября 2024 г. 10:58:13(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
nickm оставлено 07.11.2024(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.