Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы«<234
Опции
К последнему сообщению К первому непрочитанному
Offline russYAG  
#31 Оставлено : 25 марта 2023 г. 0:48:32(UTC)
russYAG

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.02.2023(UTC)
Сообщений: 3

Сказал(а) «Спасибо»: 4 раз
Доброго времени суток!
А возможно ли как-то сделать, чтобы в РДП-сеансе были видны и токены подключенные к рдп-серверу непосредственно и токены, которые туда прокидываются с локальной машины? Сейчас можно выключать/включать службу, тогда видны соответственно, либо те либо другие. Но это не пользовательское дело, а нужно в одном приложении подписывать несколькими подписями, некоторые из которых у пользователя, а другие вставлены в "сервер".
Если не использовать службу в Кинотавре, а использовать старый вариант с добавлением криптопровайдера SYSTEM CSP через реестр, то это работает именно так как хочется, за тем исключением, что плагин госуслуг не видит ключи под криптопровайдером SYSTEM CSP, а он нужен... Под кинотавром со включенной службой локальных смарт-карт в этом смысле все отлично, но никак одновременно не получить доступ к прокинутым через РДП смарт-картам. Было бы здорово иметь в списке криптопровайдера где бы такие смарт-карты были доступны при включенной службе локальных смарт-карт.
P.S.: Если установить крипто-про, включить службу локальных смарт-карт, добавить в реестре SYSTEM CSP, то работает прямо как надо, но до первой перезагрузки службы крипто-про. ))
P.P.S.: Последняя сборка из тг-канала раннего доступа у меня вообще не отображает ключи... (
Offline Максим Коллегин  
#32 Оставлено : 25 марта 2023 г. 8:36:39(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,395
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Сделать одновременно доступными локальные и удаленные смарт-карты кажется сложной задачей.
В вашем случае я бы рекомендовал завести двух пользователей, один будет в группе локальных смарт-карт, а другой нет. И запускать приложение под нужным пользователем.
Сборка из канала рабочая, скорее всего не добавили пользователя в группу ( она переименована в последних релизах )
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
russYAG оставлено 25.03.2023(UTC)
Offline russYAG  
#33 Оставлено : 25 марта 2023 г. 10:26:20(UTC)
russYAG

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.02.2023(UTC)
Сообщений: 3

Сказал(а) «Спасибо»: 4 раз
К сожалению, костыли с двумя пользователями невозможны. Это доменная среда, много пользователей. Взаимодействие с ключами происходит следующим образом. Вначале пользователь должен отправить запрос с использованием локального (вставлен в сервер) ключа, получить ответ, заполнить форму, подписать ее удаленным ключом и отправить используя опять локальный ключ. ) И вот от этой схемы пляшем. Плюсом к ней некоторые пользователи должны ходить на разные госплощадки с локальным ключом. Иметь бы в списке криптопровайдера, который каким-то образом "не замечал бы" запущенной службы локальных смарт-карт и было бы счастье. ) Либо счастье было бы возможно, если бы как-то плагин госуслуг заставить видеть ключи прописанные в личные с использованием провайдера SYSTEM CSP добавленного через реестр. Все остальное, что нужно вроде бы работает с ним корректно, только с ним проблема.
Про последние релизы понял, спасибо. Не знал что после Кинотавра группу еще раз переименовывали. Кстати, в разрезе пользователей в группе было бы здорово, чтобы использовалось не только прямое членство, но и косвенное, то есть группы вложенные в группы. Очень неудобно добавлять непосредственно пользователей в эту группу. Считаю, что туда должны быть добавлены группы, в которых уже мы добавляем и убираем пользователей. В общем, без косвенного членства это неудобно использовать. На Кинотавре я проверял, косвенное членство не работает.
Offline Максим Коллегин  
#34 Оставлено : 25 марта 2023 г. 15:10:25(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,395
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Вложенные группы попробуем поддержать.
А дополнительный криптопровайдер, думаю, получится настроить, напишу в ЛС в апреле.
Знания в базе знаний, поддержка в техподдержке
thanks 2 пользователей поблагодарили Максим Коллегин за этот пост.
russYAG оставлено 25.03.2023(UTC), nickm оставлено 25.03.2023(UTC)
Offline Максим Коллегин  
#35 Оставлено : 14 апреля 2023 г. 18:17:12(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,395
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Дистрибутив с вложенными группами скоро будет доступен.

Обещанная инструкция:

  1. Устанавливаем службу хранения ключей и переключаем Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider в работу в ней.
  2. Копируем раздел(и WOW6432Node, если нужна поддержка 32-х битных приложений) реестра
    HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
    и создаём новый провайдер, например Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider Default
  3. Меняем для Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider Default CP Module Name на cpcspi.dll -- ключи будут храниться в памяти приложения.
  4. Отлючаем перехываты (в том числе scardlocal) для rundll32.exe -- хост пользовательских экземпляров службы хранения ключей, создав подключ rundll32 в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude и добавив имя процесса FileName.

После перезагрузки Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider сможет обращаться к ключам терминального клиента, а Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider Default -- к ключам в сервере.

Для работы с плагином Госуслуг нужно модифицировать его ifc.cfg (Добавить новый криптопровайдер) в %appdata%\Rostelecom\IFCPlugin\3.1.1.0\x64

Отредактировано пользователем 14 апреля 2023 г. 18:33:22(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
thanks 2 пользователей поблагодарили Максим Коллегин за этот пост.
nickm оставлено 14.04.2023(UTC), russYAG оставлено 14.04.2023(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
4 Страницы«<234
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.