Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline web115  
#1 Оставлено : 28 января 2016 г. 13:50:57(UTC)
web115

Статус: Участник

Группы: Участники
Зарегистрирован: 30.10.2013(UTC)
Сообщений: 11

Сказал(а) «Спасибо»: 3 раз
Добрый день. Есть такая проблема:
В организации большое число пользователей, которые будет использовать одну (или много) эцп. Необходимо как-то реализовать копирование эцп в реестр и связь открытого ключа с закрытым без отвлечения пользователей от работы. Может есть какая-нибудь возможность реализовать это групповыми политиками или скриптами? Была идея копировать ветку реестра через политики, но в пути есть sid пользователя (HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\"Sid пользователя"\Keys\"имя ключа в реестре"). Так же пробовал через экспорт в pfx и установку через certutil, но что-то не пойму как скопировать закрытый сертификат в реестр и связать его с открытым.
Может кто-нибудь реализовал такое... Или натолкните на мысль с помощью чего это возможно реализовать и возможно ли вообще... Brick wall
Offline basid  
#2 Оставлено : 29 января 2016 г. 4:44:27(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
PsGetSid, reg /?
Offline web115  
#3 Оставлено : 29 января 2016 г. 10:43:08(UTC)
web115

Статус: Участник

Группы: Участники
Зарегистрирован: 30.10.2013(UTC)
Сообщений: 11

Сказал(а) «Спасибо»: 3 раз
т.е. у каждого пользователя нужно узнать sid, узнать имя компа, в нужном reg файле внести изменения, после этого только добавить запись в реестр. Даже если все делать скриптами получается какая-то жесть. Быстрее руками будет (если я все правильно понял)... Более универсальных способов нет? Может как-то можно прокатать политиками pfx файлик с закрытым ключом и привязать к нему личный сертификат?
Offline Андрей Писарев  
#4 Оставлено : 29 января 2016 г. 13:04:28(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,342
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Автор: web115 Перейти к цитате
т.е. у каждого пользователя нужно узнать sid, узнать имя компа, в нужном reg файле внести изменения, после этого только добавить запись в реестр. Даже если все делать скриптами получается какая-то жесть. Быстрее руками будет (если я все правильно понял)... Более универсальных способов нет? Может как-то можно прокатать политиками pfx файлик с закрытым ключом и привязать к нему личный сертификат?



Цитата:

certutil –f –p [certificate_password] –importpfx C:\[certificate_path_and_name].pfx
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#5 Оставлено : 29 января 2016 г. 13:08:07(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,342
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Хотя нет, не вышло на моем ПК, кроме появления диалога на ввод пароля к новому контейнеру:
Цитата:

CertUtil: -importPFX команда НЕ ВЫПОЛНЕНА: 0x8009000b (-2146893813)
CertUtil: Ключ не может быть использован в указанном состоянии.


Установка вручную - без ошибок.
Техническую поддержку оказываем тут
Наша база знаний
Offline web115  
#6 Оставлено : 29 января 2016 г. 14:00:38(UTC)
web115

Статус: Участник

Группы: Участники
Зарегистрирован: 30.10.2013(UTC)
Сообщений: 11

Сказал(а) «Спасибо»: 3 раз
то же самое + требует прав админа
Offline Андрей Писарев  
#7 Оставлено : 29 января 2016 г. 14:13:55(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,342
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
cryptio.exe -e -c \\.\registry\SrcTempContainer -p 123456 -f C:\rtests\data\cont.cpa -s password
cryptio.exe -i -c \\.\registry\DestTempContainer -p 654321 -f C:\rtests\data\cont.cpa -s password


cryptio.zip (51kb) загружен 129 раз(а).

Техническую поддержку оказываем тут
Наша база знаний
thanks 2 пользователей поблагодарили Андрей * за этот пост.
web115 оставлено 29.01.2016(UTC), Mike N оставлено 28.01.2019(UTC)
Offline web115  
#8 Оставлено : 29 января 2016 г. 15:28:03(UTC)
web115

Статус: Участник

Группы: Участники
Зарегистрирован: 30.10.2013(UTC)
Сообщений: 11

Сказал(а) «Спасибо»: 3 раз
С этим разобрался, спасибо. Только вот как теперь связать контейнер закрытого ключа с личным сертификатом?

Отредактировано пользователем 29 января 2016 г. 15:30:25(UTC)  | Причина: Не указана

Offline basid  
#9 Оставлено : 29 января 2016 г. 17:13:59(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
Автор: web115 Перейти к цитате
Даже если все делать скриптами получается какая-то жесть. Быстрее руками будет (если я все правильно понял)...
Руками придётся или отрывать задницу от стула или цепляться дистанционно. И в том и в другом случае придётся "выгонять" пользователя.
А так - да: не надо автоматизировать разовые/редкие задачи. Или потратите больше времени, чем сделать руками или сломается, а все уже давно и прочно забыли что и как.

Offline web115  
#10 Оставлено : 29 января 2016 г. 17:56:03(UTC)
web115

Статус: Участник

Группы: Участники
Зарегистрирован: 30.10.2013(UTC)
Сообщений: 11

Сказал(а) «Спасибо»: 3 раз
Проблема в том, что эти задачи не разовые и не редкие.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.