На данный момент у нас установлены и работают центр сертификации и центр регистрации. Выпущены сертификаты для конечных пользователей системы (и для операторов-админов конечно тоже).
Теперь дальше - нам надо настроить свой Web-узел (со свой софтиной) для работы с Крипто-Про. Он расположен на отдельной машине, конечно. Никак не связанной с машинами ЦР и ЦС.

Что же нужно, чтобы настроить автономный Web-узел на отдельной машине для работы с Крипто-Про?

1. Есть ли уже готовая документация на эту тему? Там 19 документов из сотен страниц в каждом. Может уже в каком-то документе это УЖЕ расписано?
Если нет... Предполагаю, что надо устрановить криптопровайдер и корневой сертификат Крипто-Про с закрытым ключом в этот Web-узел.
Хотя кто его знает, как именно это у вас устроено - может над просто как-то указать где-то коннект к ЦР или ЦС или указать внешний центр сертификации...

2. Теперь с обратной стороны - сертификаты конечных пользователей системы. С ними должны приходить браузеры наших клиентов и приносить нам на Web-сервер в своих реквестах свои сертификаты. Как все эти сертификаты подцепить к нашему Web-узлу с нашей софтиной? Как Web-узел узнает ОБО ВСЕХ закрытых ключах? Как загрузить тысячи и тысячи клиентских сертификатов (и закрытых ключей в них) в Web-узел с нашей софтиной? Или это и не требуется - закрытые ключи просто раздаются по пользователям?

3. Если все-таки ЗАКРЫТЫЕ ключи передаются клиентам, чтобы их браузеры сами шифровали коннекты (каждый юзер со своим закрытым ключом) - какой в этом смысл? Для чего вообще передавать ЗАКРЫТЫЕ ключи пользователям? Ведь они приходят со своими реквестами на Web-сервер с открытым ключом - который подписан - это ключ Иванова, это ключ Петрова, это Сидорова. Или это как раз и нужно, чтобы не грузить тысячи и тысячи закрытых ключей на Web-сервер?

Привет. Попробую рассказать про цель. Может и правда так быстрее пойдет.

У нас есть софтина - это сайт на ASP.NET - и обязан он работать по ГОСТ-овскому шифрованию. Почему - думаю, вы понимаете. Там ходит важная информация. А важная информация в нашей стране должна быть видна уполномоченным государственным органам, и ровно никому иному (а посторонние не имеют начальной маски, выдаваемой при лицензировании - для них это обычный SSL, который впрочем тоже можно расшифровывать, но уже с тысячекратно большими усилиями).

Так вот, наш сайт на ASP.NET устроен так - мы выдаем народу секретные ключи. Народ заходит к нам на сайт из своих браузеров - и каждый наш юзверь имеет индивидуальный SSL по собственному закрытому ключу. В своей софтине на ASP.NET я вижу - кто зашел ко мне - Иванов, Петров или Сидоров - по сведениям из сертификата - ведь я забил эти имена Иванов-Петров-Сидоров - когда подписывал на своем центре сертификации их закрытые и отрытые ключи.

Эта флешка с ключами шифрования - это и есть собственно аутентификация в моей софтине. Никакого логина и прочей ерунды у нашей софтины быть не может в принципе. Есть ТОЛЬКО индивидуально зашифрованный SSL.

Это все сейчас работает у нас достаточно стабильно. На ИнтерПро. Но все это начальство требует расширить и углубить. Те, говоря, нашим программистским языком - масштабировать. И начальство, понимая, недостатки ИнтерПро - потребовало у нас переделать все на КриптоПро.

Похоже, начальство даже собирается купить у вас 250 тыс. лицензий на КриптоПро. Хотя, возможно это слухи - начальство ж нам, программистам, не докладывает ТОЧНО о своих планах. Но переделать свою софтину - мы должны по-любому. Чем и пытаемся заниматся. Но вот пока никак не разберемся как вашу софтину прикрутить к нашей задаче.

Есть мысль установить свою софтину прямо на машину с ЦС. Но это не особо удобно. Ведь задачи-то разные. И производительность должны быть нехилая. Те мы бы хотели одну машину оставить на енролмент сертификатов, а на отдельной машине чтоб уже крутился Web-узел с сайтом. Только вот как прикрутить его к ЦС/ЦР?

Это в принципе самое простое обьяснение, что нам требуется. На самом деле все гораздо сложнее. Есть куча АРМ-ов, которые грубо говоря набивают базу для юзеров (данные из которых юзера могут потом получать по своим реквестам через браузеры по TSL). Эти АРМы-это Win-приложения. Но это уже следующий этап. На первом этапе начальство требует от нас разобраться с блоком (сайт на узле IIS) <-> (ЦС/ЦР) <-> (юзера/браузеры/ключи).

Татьяна, ваши слова непонятны. Давайте попробуем уточнить ваш ответ.
-- на какой машине надо выпукать эти сертификаты? Есть три машины - ЦР, ЦС и будущий Web-сервер.
-- что имеется ввиду под словами "теми же утилитами" - при установке они ВСЕ использовались, и их даже не хватило - даже нотепадом дополнительно готовился файлик и что-то вписывалось в политики вручную. Какие ИМЕННО утилиты вы имеете ввиду? Я могу например сертификат сделать в ЛЮБОЙ утилите - например в АРМ Администратора для привелигированного пользователя. А в какой утилите ДОЛЖЕН его сделать?


Это еще более непонятная для меня фраза. На данный момент не удается даже выяcнить - какую вообще лицензию у нас сейчас оплатили (кстати как это посмотреть у проги?). Более того, для пробной инсталяции в тестовой зоне мне даже оплаченный ключ сейчас не дали. Это выглядит несколько глупо, но в больших структурах так бывает - для пробных инсталяций в тестовой или девелоперской зоне оплаченные ключи НЕ ДАЮТ. А дадут их потом и только админам боевой зоны.
Итак, могу ли я произвести пробную инсталяцию - оставив код лицензии в КриптоПро CSP 3.6 на данный момент пустым, те в триальном режиме? Или это окажется невозможным (как я уже видел, вы лицензированием органичиваете не сроки, а именно функциональные возможности проги - например когда я не смог разрешить администратору в политиках запрашивать сертификаты пользователей). Или все-таки получится сделать эту установку на триальной лицензии?


Непонятно. Машины с Web-сервером, ЦС и ЦР видны из интернета. Этого достаточно? Не по всем портам, конечно.
Что сказать сетевым админам на цискарях? Они какие-то порты дополнительно должны открыть?


Как из делать в АРМе - понятно и получается. Но непонятно ЧТО ИМЕННО отдавать конечным пользователям.Что должен включать ПАКЕТ конечного пользователя?
-- Наш корневой сертификат отдается без закрытого ключа. Так?
-- А клиентские сертификаты отдаются с закрытым ключом? Так?
-- И ваш дистрибутив CSP. Так?
Какие действия на клиенте? Мы должны будем четкую и понятную инструкцию нашим клиентам сделать.
Сначала ставим CSP, потом импортируем сертификаты на текущего пользователя - оба. Так? Перегружаются и тыкаются браузерами в наш сайт? Так?

Уважаемый, в других продуктах эти маски, выдаваемые при лицензировнии, в открытом виде идут в файловой системе. Если у вас другое мнение по поводу этих начальных векторок инициализации, выдаваемых индивидуально каждому, кто лицензируется на занятие криптографией - вы можете остаться при своем мнении.


Опять же, уважаемый, все ваши отсылки на документацию - некорректны. Как и она сама. Приведу только два примера.
1. В ней например никак не расписано, что лицензией ограничен определенный функционал проги. Можно сколько угодно тыкаться и и пытаться менять например права пользователей системы КриптоПро - http://www.ros-med.org/Licensies.gif - из этого ровно ничего не получится.
2. Как и ВООБЩЕ в вашей документации не описана технология применения КриптоПро на аавтономном сайте (тема этого топика). Нету такого документа ВООБЩЕ.


Это было бы актуально, если бы мы НЕ работали с несколькими аналогичными системами ДО вашей. Есть конкретика ВАШЕЙ системы - например то, что сертифкат конечного пользователя может быть выпушен ТОЛЬКО оператором, но НЕ администратором. Кому это придет в голову? А курсы - они только общие вопросы поднимают. Хотите, я вам прочитаю курсы по РКI?


Не думаю, что это устроит начальство, чтобы ключевые навыки - оставались за пределами нашей организации.


Конечно затянется, если вместо КОНКРЕТНЫХ ответов на КОНКРЕТНЫЕ заданные постом выше вопросы - будут поступать вот такие вот ответы.


Пожалуйста, еще раз ВНИМАТЕЛЬНО прочитайте КОНКРЕТНЫЕ вопросы, заданные выше.

Хорошо. Большое спасибо за конкретные ответы. Будем пробовать.

Ведь проще всего сказать начальству - "то что нам нужно - сделать невозможно", но мы все ОЧЕНЬ ЗАИНТЕРЕСОВАННЫЕ люди (думаю вы тоже) - поэтому будем пробовать развернуть вашу систему не ПРОСТО ТАК (в варианте описанном в документации - и как УЖЕ получилось), а именно так, как нам надо для наших задач.