Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Zoltán ZiZi  
#11 Оставлено : 5 августа 2020 г. 18:16:13(UTC)
Zoltán ZiZi

Статус: Участник

Группы: Участники
Зарегистрирован: 28.07.2020(UTC)
Сообщений: 10

Сказал(а) «Спасибо»: 1 раз
Автор: Андрей * Перейти к цитате
Автор: Zoltán ZiZi Перейти к цитате

Как настроить CSP на сервере и сто нужно сделать, чтобы в браузере плагин увидел для себя этот криптопровайдер и смог прочитать подпись с usb-ключа?


Настраивать CSP и плагин - там, где контейнер -> на клиенте.


Если бы было одно рабочее место, то можно было бы так сделать.

Чем отличается CSP на одно рабочее место от CSP на сервере?
Offline two_oceans  
#12 Оставлено : 6 августа 2020 г. 7:05:46(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Цитата:
Серверу не нужен доступ к ключам.
Плагин в браузере на клиенте может получить доступ к usb-ключу с помощью криптопровайдера, который установлен на сервере?
Нет, 1) API для доступа к криптопровайдеру на удаленном компьютере не предусмотрено, поэтому плагин может ображаться только к криптопровайдеру, установленному там же где и сам плагин; 2) считывание контейнера по сети небезопасно и также нет API для такой операции по HTTP(S).
Цитата:
У нас веб-приложение, один сервер и множество пользователей, у которых подписи на usb-ключах.
Криптопровайдер на сервере имеет смысл если сервер будет проверять подпись документа либо если пользователи будут заходить на сервер по RDP. Для токенов RDP может автоматически пробрасывать устройство-токен на RDP сервер, для флешек нужно больше танцев с бубнами - например, флешку как общий ресурс, к которому доступ только у одного пользователя, но как говорилось выше это небезопасно. Если ключи на клиенте и веб-приложение, то приложению нет никакой пользы от криптопровайдера на сервере.
Автор: Zoltán ZiZi Перейти к цитате
Автор: Андрей * Перейти к цитате
Настраивать CSP и плагин - там, где контейнер -> на клиенте.

Если бы было одно рабочее место, то можно было бы так сделать.
Чем отличается CSP на одно рабочее место от CSP на сервере?
Стоимостью лицензии - самое очевидное. Дело в том что как раз на серверную операционную систему можно входить по RDP несколькими пользователями одновременно, а клиентская операционная система как правило ограничена одним пользователем. Также на серверах размещают приложения требующие многопроцессорной конфигурации железа, то есть на которых потенциально можно проводить большое количество криптографических операций в единицу времени, что отражается на цене лицензии. Возможно есть еще что-то, но в практике пока не сталкивался.

thanks 1 пользователь поблагодарил two_oceans за этот пост.
Zoltán ZiZi оставлено 06.08.2020(UTC)
Offline Zoltán ZiZi  
#13 Оставлено : 6 августа 2020 г. 11:15:36(UTC)
Zoltán ZiZi

Статус: Участник

Группы: Участники
Зарегистрирован: 28.07.2020(UTC)
Сообщений: 10

Сказал(а) «Спасибо»: 1 раз
Выходит, что придется:
либо все ключи с сертификатами вытаскивать из смарт-карт и хранить на сервере в HDImageStore (и связывать их со списком пользователей);
либо использовать самоподписанные сертификаты (которые бесполезны за пределами организации);
либо покупать множество лицензий на клиентские CSP;

Неужели нет другого выхода?
RDP явно не подходит.

Отредактировано пользователем 6 августа 2020 г. 11:16:40(UTC)  | Причина: Не указана

Online Андрей *  
#14 Оставлено : 6 августа 2020 г. 11:20:20(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2035 раз в 1579 постах
Автор: Zoltán ZiZi Перейти к цитате
Выходит, что придется:
либо все ключи с сертификатами вытаскивать из смарт-карт и хранить на сервере в HDImageStore (и связывать их со списком пользователей);
либо использовать самоподписанные сертификаты (которые бесполезны за пределами организации);
либо покупать множество лицензий на клиентские CSP;

Неужели нет другого выхода?
RDP явно не подходит.


или встроенные лицензии в сертификаты, обратитесь в свой УЦ с вопросом о возможности такого сценария,
тогда не нужно отдельно покупать лицензии на CSP
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.