Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Avelnor  
#1 Оставлено : 3 июля 2008 г. 17:36:17(UTC)
Avelnor

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.07.2008(UTC)
Сообщений: 7

При тестировании работы КриптоПро в условиях многосерверной терминальной среды наткнулись на одну интересную особенность. Но сначала я представлю уважаемым участникам форума краткое описание нашего тестового стенда. Итак, мы имеем:
1. Два терминальных сервера на базе windows 2003 server. Назовем их А и Б.
2. На каждом сервере установлено ПО КриптоПро CSP КС1 3.0.3300.3 и настроены считыватели реестра.
Говоря о многосерверной среде, мы имеем в виду терминальную ферму, каждый сервер которой идентичен остальным. Таким образом достигается первое условие "прозрачности". Позволю себе небольшое отступление. Когда мы говорим о "прозрачности", то имеем в виду, что для пользователя нет никакой разницы, на каком сервере фермы он работает. Сегодня он может работать на одном сервере, завтра на другом и т.д. Второе условие "прозрачности" - наличие перемещаемого профиля пользователя, расположенного на сетевом ресурсе.
Теперь собственно описание особенности:
1. При первом входе в терминальный режим пользователь попадает на сервер А. Там он выполняет процедуру импорта в реестр личного сертификата и соответствующего ему закрытого ключа, расположенных на съемном носителе.
2. Запускаем оснастку просмотра сертификатов текущего пользователя и видим в его личном хранилище сертификат, которому соответствует закрытый ключ.
3. Запускаем КриптоПро CSP, запускаем мастер просмотра сертификатов в контейнере закрытого ключа и видим соответствующий контейнер. Т.е., убеждаемся, что КриптоПро видит импортированный в реестр сертификат.
4. Выходим из терминального режима и осуществляем повторный вход, при этом пользователь попадает на сервер Б.
5. Запускаем оснастку просмотра сертификатов текущего пользователя и видим в его личном хранилище сертификат, которому соответствует закрытый ключ.
6. Запускаем КриптоПро CSP, запускаем мастер просмотра сертификатов в контейнере закрытого ключа и не видим нужного контейнера. Т.е. КриптоПро не видит сертификат пользователя в реестре. А он там есть.

Баг ли это?
Offline Максим Коллегин  
#2 Оставлено : 3 июля 2008 г. 18:26:38(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Ключ пользователя хранится в ветке реестра - HKLM\Software\Crypto Pro\ - как раз для того, чтобы не попадал в перемещаемый профиль. С терминальным сервером удобнее использовать смарт-карты - они автоматически пробрасываются с клиента на сервер.
Знания в базе знаний, поддержка в техподдержке
Offline Avelnor  
#3 Оставлено : 4 июля 2008 г. 12:16:15(UTC)
Avelnor

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.07.2008(UTC)
Сообщений: 7

maxdm, может я и ошибаюсь, но в таком случае как объяснить тот факт, что, запустив оснастку сертификаты текущего пользователя на сервере Б, мы видим там его личный сертификат, которому соответствует закрытый ключ. ИМХО, это свидетельствует о том, что ключ все таки хранится в перемещаемом профиле. Но Крипто Про явно часть информации держит в реестре локальной машины. Возможно, это уникальный идентификатор безопасности, соответствующий пользователю.
Факт заключается в том, что в условиях многосерверной среды при использовании перемещаемого профиля мы не можем применять версию КС1 3.0.3300.3. Решение на основе смарт-карт в данный момент не интересует, т.к. при большом количестве пользователей это сулит большие финансовые и трудовые затраты при внедрении.
Но существует ли версия КриптоПро, позволяющая работать с перемещаемым профилем? Может, находится в разработке и планируется к выходу на рынок?
Offline Максим Коллегин  
#4 Оставлено : 4 июля 2008 г. 16:09:47(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Сертификаты хранится в CU ветке, ключи в LM.
Такую доработку CSP Вы можете заказать у нас, но при этом она НИКОГДА не сможет быть сертифицирована.
Знания в базе знаний, поддержка в техподдержке
Offline Avelnor  
#5 Оставлено : 4 июля 2008 г. 16:39:27(UTC)
Avelnor

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.07.2008(UTC)
Сообщений: 7

OK. Вполне вероятно, мы закажем требуемую доработку. Но для принятия решения необходимо знать стоимость и сроки выполнения.
Offline Максим Коллегин  
#6 Оставлено : 4 июля 2008 г. 17:03:39(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Обратитесь в коммерческий отдел.
Знания в базе знаний, поддержка в техподдержке
Offline Avelnor  
#7 Оставлено : 14 июля 2008 г. 10:36:41(UTC)
Avelnor

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.07.2008(UTC)
Сообщений: 7

Обращение в коммерческий отдел не дало никакого результата.
Offline Kure  
#8 Оставлено : 14 июля 2008 г. 13:02:55(UTC)
Kure

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 13.12.2007(UTC)
Сообщений: 111
Откуда: Крипто-Про

Поблагодарили: 33 раз в 10 постах
Ну почему же не дало.
Скорее всего сделать это можно и довольно просто.
На этой неделе напишем.
Offline Максим Коллегин  
#9 Оставлено : 15 июля 2008 г. 18:32:21(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Ответил в PM
Знания в базе знаний, поддержка в техподдержке
Offline Avelnor  
#10 Оставлено : 21 июля 2008 г. 11:30:54(UTC)
Avelnor

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.07.2008(UTC)
Сообщений: 7

Спасибо. Разрешите заодно поинтересоваться, где можно ознакомиться с информацией по лицензированию КриптоПро CSP 3.0 в терминальном режиме.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.