Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline saratovv  
#1 Оставлено : 2 февраля 2024 г. 13:39:58(UTC)
saratovv

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.02.2024(UTC)
Сообщений: 3
Российская Федерация

На терм. сервере ‘поверх’ CryptoPro CSP 4.0 была установлена версия 5.0.11455. Пользователи по RDP заходят на сервер. У тех, у кого пробрасывается по rdp рутокен, в хранилище сертификатов 'Личные' на сервере добавляются сертификаты с 'чужих' рутокенов (других пользователей заходящих на сервер !!!) Когда пользователь использует плагин эл. правительства (госуслуги), он видит ‘чужой сертификат’, который в этот момент уже установился на сервере в 'личные' пользователя (без его участия !). Контейнер связанный с ‘чужим’ сертификатом недоступен (хотя как тогда из него установился сертификат), ведь контейнер находится на рутокене в компьютере другого пользователя. Что происходит? Кто виновник? Плагин ‘госуслуги’? Обновление на CryptoPro 5.0.11455? Помогите разобраться!
Offline alex_k  
#2 Оставлено : 2 февраля 2024 г. 13:45:31(UTC)
alex_k

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.02.2018(UTC)
Сообщений: 8
Российская Федерация
Откуда: Ленинград

Цитата:
Кто виновник?

Служба распространения сертификатов Windows.
Я сам с этим сталкиваюсь регулярно, правда, на десктопной ОС, а не на серверной.
Offline saratovv  
#3 Оставлено : 2 февраля 2024 г. 15:13:00(UTC)
saratovv

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.02.2024(UTC)
Сообщений: 3
Российская Федерация

Но почему сертификат устанавливается в чужой профиль?
Offline basid  
#4 Оставлено : 2 февраля 2024 г. 17:20:38(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,105

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 153 раз в 138 постах
Потому, что сертификат ЭП - общедоступная информация.
Offline alex_k  
#5 Оставлено : 2 февраля 2024 г. 18:35:51(UTC)
alex_k

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.02.2018(UTC)
Сообщений: 8
Российская Федерация
Откуда: Ленинград

Автор: saratovv Перейти к цитате
Но почему сертификат устанавливается в чужой профиль?

Пользователь А вошел в свой профиль. Воткнул рутокен. Сертификат автоматом добавился в хранилище "Личные" уровня пользователя.
Пользователь Б вошел в свой профиль. И видит у себя в хранилище "Личные" уровня пользователя сертификат пользователя А.

Это так выглядит? Я ничего не перепутал?

Такого я на десктопе, конечно, не встречал, но на сервере вполне может быть, допускаю.
Особенно, если есть какой-нибудь дефолтный профиль, который считывается при входе пользователя.
Такое, например, происходит со значками рабочего стола -- часть значков на рабочем столе -- как раз из дефолтного профиля.

Но так или иначе, автоматическое добавление сертификата в хранилище при подключении рутокена -- это дело рук службы, которую я упомянул выше. Если её остановить, добавление сертификата не происходит.

Насколько здесь замешан именно КриптоПро, я сказать затрудняюсь.
Я тут попрбовал в порядке эксперимента: на системе без КриптоПро подключился по rdp и воткнул рутокен.
На рутокене сертификат, который гарантированно прочитается без КриптоПро, то есть, ключ с алгоритмом RSA, созданный без КриптоПро.
Автоматическое добавление сертификата в хранилище не произошло.
Так что вполне возможно, что "виновен" действительно КриптоПро.

Ещё маленькое замечание о версиях.
Если я правильно понял, у Вас это началось после обновления 4.0 до 5.0. А у меня это и на CSP 4.0 есть без всяких обновлений.
Я искал, как это прекратить. И едиственный способ, который я нашел -- остановка службы.

Но если кто-то даст более квалифицированный ответ, я с интересом ознакомлюсь.



Offline saratovv  
#6 Оставлено : 3 февраля 2024 г. 17:37:38(UTC)
saratovv

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.02.2024(UTC)
Сообщений: 3
Российская Федерация

Пока точных условий появления чужого сертификата не выявил. Было примерно так. Обновил КриптоПро с 4.0 на 5.0. Работали пользователи A,B,C,D,E на сервере (на сайтах, с плагинами КриптоПро, госуслуги). В какой-то момент у А плагин 'госуслуг' показал +'чужой' сертификат E. Через определённое время (часы) у B та же ситуация... +сертификат E. И так далее... Из хранилища 'личные' удаляли 'чужие' сертификаты, но в процессе работы они с невыясненной закономерностью снова появляются. Просто зайти на сервер не достаточно, чтобы получить 'чужой' сертификат другого вошедшего. Причём 'чужие' сертификаты получают только те, кто использует рутокен (!). У тех, кто закрытые ключи хранит в реестре на сервере 'чужих' сертификатов не замечено. Спасибо Вам за подсказку про службу распространения сертификатов! По крайней мере понятно, кто добавляет сертификат. У меня ощущение, что в какой то момент, через какой то 'шлюз' A видит напрямую рутокен E или это сбои службы распространения сертификатов?
Попробовал отключать службу, но меняется вид сообщений для рутокена.
И потом, 'чужие' сертификаты могут быть предвестником серьёзных проблем.
Offline nickm  
#7 Оставлено : 3 февраля 2024 г. 20:57:41(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,387

Сказал(а) «Спасибо»: 577 раз
Поблагодарили: 403 раз в 382 постах
Автор: saratovv Перейти к цитате
Пока точных условий появления чужого сертификата не выявил.

А, плагин "КриптоПро", на странице тестирования, так же отображает:
Автор: saratovv Перейти к цитате
'чужой' сертификат E.

Скорее всего, проблема:
Автор: saratovv Перейти к цитате
Кто виновник? Плагин ‘госуслуги’?

Offline alex_k  
#8 Оставлено : 4 февраля 2024 г. 8:36:34(UTC)
alex_k

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.02.2018(UTC)
Сообщений: 8
Российская Федерация
Откуда: Ленинград

Автор: saratovv Перейти к цитате
Просто зайти на сервер не достаточно, чтобы получить 'чужой' сертификат другого вошедшего.

Сертификат добавляется, скажем так, в момент втыкания рутокена в порт USB.
Если к моменту входа на сервер рутокен уже воткнут в порт, то в остнастке управления сертификатами сертификата вроде бы не видно, но обновив список сертификатов, можно убедиться, что он всё-таки добавился.

Автор: saratovv Перейти к цитате

Причём 'чужие' сертификаты получают только те, кто использует рутокен (!). У тех, кто закрытые ключи хранит в реестре на сервере 'чужих' сертификатов не замечено.

Всё правильно. Это происходит именно с рутокенами. У меня есть, примеру, eToken, с ним такого эффекта не наблюдается.
Более того, на удаленной машине (куда я подключаюсь по rdp) даже нет драйверов на рутокен. Они мне там не нужны -- я там с eToken работаю. А рутокен, будучи подключен в порт локальной машины, пробрасывается по rdp и сертификаты добавляются в хранилище. Без всякого спроса. Brick wall

Автор: nickm Перейти к цитате

Скорее всего, проблема:
Автор: saratovv Перейти к цитате
Кто виновник? Плагин ‘госуслуги’?

Если плагин работает на уровне браузера, то вряд ли.
В моем случае достаточно зайти по rdp и воткнуть токен в порт.
Ещё нет ни браузера, ни плагина.
Хотя специально я это не проверял. Надо будет проверить.

Отредактировано пользователем 4 февраля 2024 г. 8:38:06(UTC)  | Причина: Не указана

Offline alex_k  
#9 Оставлено : 4 февраля 2024 г. 8:45:33(UTC)
alex_k

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.02.2018(UTC)
Сообщений: 8
Российская Федерация
Откуда: Ленинград

Автор: saratovv Перейти к цитате
У меня ощущение, что в какой то момент, через какой то 'шлюз' A видит напрямую рутокен E

В моем случае речь не идет о "чужих" сертификатах. А только о том, что сертификат добавляется в хранилище без ведома пользователя.

А в Вашем случае, поскольку это терминальный сервер, подозреваю, что сертификат добавляется не в профиль прямо вот локального пользователя, а в какой-то более общий профиль, который потом считывается для всех пользователей. А сами сертификаты становятся видны через какое-то время, скажем так, после "обновления списка".
Offline Данзан Лиджиев  
#10 Оставлено : 4 февраля 2024 г. 12:06:34(UTC)
Данзан Лиджиев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 07.05.2019(UTC)
Сообщений: 38
Российская Федерация

Поблагодарили: 6 раз в 5 постах
Добрый день,
автоматическая установка сертификатов связана с работой службы "распространения сертификата" вы можете ее отключить, для того чтобы отключить службу распространения сертификатов, откройте "Пуск" - "Панель управления" - ("Система и безопасность") - "Администрирование" - "Службы"
Выделите службу "Распространение сертификата" ("Certificate Propagation") далее два раза нажмите на нее мышкой и выберите Остановить или правой кнопкой мыши остановить.
Проверьте с отключенной службой "Распространение сертификата" должно помочь.

Также попробуйте обновить КриптоПро CSP до актуальной версии 5.0R3, тоже должно помочь без отключения службы "Распространение сертификата"
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.