Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
|
Доброго времени суток.
Возник довольно интересный вопрос по поводу взаимодействия УЦ и eToken.
Microsoft программно отключает подключение смарт-карт удаленно (то есть представим что ключи etoken торчат в сервере), иными словами остаили ключи, подключаемся через RDP и ничего мы не увидим, вот такие особенности терминальной сессии. Подключение возможно локально на машину с которой осуществляется вход. НО насколько я понял КС2 ограничивает проброс по RDP связи таковой, хотя например через само CSP прекрасно вижу ключи. А не видит он их соответственно когда например АРМ админа подключается к ЦР. Как тут быть?
Пытался решить проблему с помощью Dameware, НО и тут есть беда. Когда происходит считывание, то подключается обнаружение интерактивных служб, эту службу если отключить то тем более недостучишься...Так вот беда в том, что при просмотре сообщения создается новый рабочий стол, который невозможно отобразить через dameware. Замкнутый круг... Какие могут быть варианты решения? Не бегать же каждый раз далеко до серверов??
Немного инфы:
Сервера: Windows 2008 R2 SP1 (один под ЦС другой под ЦР), АРМ админ-Windows 7.
Крипто Про 3.6 КС2.
eToken Java.
И еще вопрос по поводу наличия аппартаного датчика случайных чисел. Что если использовать систему без него? Обязательно это из-за требований по сертификации?
Спасибо.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 01.08.2011(UTC)
Сообщений: 674
Откуда: Москва
Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 38 раз в 36 постах
|
Цитата:Какие могут быть варианты решения? Не бегать же каждый раз далеко до серверов?? Перемести контейнеры на другие носители(флешку, или реестр). Цитата:И еще вопрос по поводу наличия аппартаного датчика случайных чисел. Что если использовать систему без него? Обязательно это из-за требований по сертификации? Присутствие наличия аппаратного дсч являются одной из составляющих варианта исполнения.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
|
Цитата:Перемести контейнеры на другие носители(флешку, или реестр). Пробовал, но почему-то не хочет видеть данные считыватели крипто-про. То есть даже выбор такого считывателя не предоставляется в окне. да и перемещение на флешку или реестр не является надежным способом хранения закрытого ключа. Цитата:Присутствие наличия аппаратного дсч являются одной из составляющих варианта исполнения. Так а каковы последствия если будем использовать без него? И кстати тогда зачем предоставляется возможность установки биологического датчика? Отредактировано пользователем 14 декабря 2012 г. 13:11:44(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 01.08.2011(UTC)
Сообщений: 674
Откуда: Москва
Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 38 раз в 36 постах
|
Цитата:Пробовал, но почему-то не хочет видеть данные считыватели крипто-про. А не пробовали после переустановить личный сертификат? Цитата:да и перемещение на флешку или реестр не является надежным способом хранения закрытого ключа. удобней или надежней, вам решать.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
|
Цитата:А не пробовали после переустановить личный сертификат? Естественно пробовал. Старый удалял, но привязка все равно почему-то сохраняется именно на токен, иными словами он требует именно тот токен и ничего больше. Поэтому и выводит соответствующие считывали, а как извстно через RDP этого не сделать. Вопрос еще, а данный сертификат он будет каждый раз запрашивать при подключении арм админа или только если новая сессия начинается? То есть например я хочу сам на пользователя сделать сертификат или зарегистрировать его. Будет ли ЦР опять требовать ввода пароля на контейнер или же нет? Цитата:удобней или надежней, вам решать. тогда придется все равно генерить заново...
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 01.08.2011(UTC)
Сообщений: 674
Откуда: Москва
Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 38 раз в 36 постах
|
Цитата:Старый удалял, но привязка все равно почему-то сохраняется именно на токен нужно удалить запомненные пароли и переустановить личный сертификат через криптопро csp, с привязкой к новомоу носителю. Цитата:а данный сертификат он будет каждый раз запрашивать при подключении арм админа или только если новая сессия начинается? запросить только при подключении Цитата:тогда придется все равно генерить заново... по желанию конечно, но не обязательно
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
|
Цитата:нужно удалить запомненные пароли и переустановить личный сертификат через криптопро csp, с привязкой к новомоу носителю. Честно так и делал, и как только не извращался даже с виртуальными приводами. Ни в какую не хочет. Надеюсь на следующей неделе что-то получится когда совсем плотно разобраться надо будет.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 01.08.2011(UTC)
Сообщений: 674
Откуда: Москва
Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 38 раз в 36 постах
|
Цитата:Честно так и делал, если делали все правильно, то при подключении не было подобных вещей Цитата:... но привязка все равно почему-то сохраняется именно на токен, иными словами он требует именно тот токен и ничего больше...
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 81
Откуда: Moscow
Сказал(а) «Спасибо»: 4 раз
|
Кое-как сделал то, что проверка на соединение с ЦС проходит по новому сертификату, чистил ну вообще все хранилище что на локальном компе что на текущем пользователе. Итог?
Как только идет запрос на сертификат нового пользователя с арм админа, то все опять как обычно требует токен хоть ты тресни...
не знаю даже что еще попробовать...
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 01.08.2011(UTC)
Сообщений: 674
Откуда: Москва
Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 38 раз в 36 постах
|
Цитата:Как только идет запрос на сертификат нового пользователя с арм админа, то все опять как обычно требует токен хоть ты тресни может он предлогает выбрать носитель, куда будет сгенерирован запрос?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
