Статус: Новичок
Группы: Участники
Зарегистрирован: 23.06.2016(UTC) Сообщений: 5 Откуда: СПБ
Сказал(а) «Спасибо»: 1 раз
|
Доброго времени суток Уважаемые коллеги. Кратко обрисую схему: В существующей инфраструктуре имеется исходный набор из трех терминальных серверов, данные сервера не объединены в ферму, без балансировщика и пользователи с тонких клиентов аутентифицируются на один из трех серверов. Профили пользователей перемещаемые, что позволяет "таскать" за собой свой профиль. Имеется некое ПО для которого используется ЭЦП и Крипто Про.В Windows Server 2008 R2 Крипто Про версии 3.6, а в WS 2012 R2 версия 3.9. Пользователи работают на тех терминалках, на которых импортированы ключи ЭЦП. На данный момент внедрена новая ферма (коллекция сеансов) с балансировщиком на платформе WS 2012 R2 состоящая из четырех виртуальных серверов одинаковой конфигурации, то есть пользователь пройдя аутентификацию по одному виртуальному имени фермы может зайти на любой из четырех узлов сеансов.Естественно что и ЭЦП должны быть импортированы на все четыре узла. Пока данная ферма не используется, хотелось бы ответить на несколько вопросов: 1.Возможно ли перенести все исходные ЭЦП на новую ферму более-менее прозрачно без тесного участия пользователей ? 2.Сохраняется ли информация о ключах и настройках ЭЦП в ключах реестра перемещаемого профиля ? 3.Если два вышеописанных варианта не помогут, существует ли некое специальное решение для Крипто Про при использовании в терминальных фермах , если да , то как юридически грамотно и быстро это можно это организовать, без повторного импорта ЭЦП, так как пользователей много и прерывать работу не очень бы хотелось ?
Спасибо!
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 715 раз в 620 постах
|
Доброе утро.
А секретные ключи хранятся на токенах у пользователей или на терминальных серверах? В первом случае всё будет работать из коробки с пробросом смарт-карт на сервер, для второго у нас есть другое решение ( но на базе предварительной версии CSP 4.0 ). |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.06.2016(UTC) Сообщений: 5 Откуда: СПБ
Сказал(а) «Спасибо»: 1 раз
|
Автор: maxdm Доброе утро.
А секретные ключи хранятся на токенах у пользователей или на терминальных серверах? В первом случае всё будет работать из коробки с пробросом смарт-карт на сервер, для второго у нас есть другое решение ( но на базе предварительной версии CSP 4.0 ). В том то и дело, что на терминальных серверах ключи импортированы через Крипто Про на сам сервер. Токены не используются. А что означает "но на базе предварительной версии CSP 4.0"-> то есть более старшие версии Крипто Про могут не поддерживаться и как это работает ? Спасибо.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 715 раз в 620 постах
|
Будут поддерживаться CSP 4.0 и выше. Ключи пользователей хранятся на выделенном сервере, аутентификация пользователей через AD. Все криптографические операции выполняются на криптосервере. Другими словами, получается Windows HSM по цене серверной лицензии CSP. Если не защищать трафик с помощью TLS, то лицензия нужна только на сервер. |
|
1 пользователь поблагодарил Максим Коллегин за этот пост.
|
iRoody оставлено 17.08.2016(UTC)
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.06.2016(UTC) Сообщений: 5 Откуда: СПБ
Сказал(а) «Спасибо»: 1 раз
|
Возможно ли где нибудь почитать мануал по данной схеме работы которую вы предлагаете и цена данного решения, как данное решение лицензируется, единоразово одной лицензией Windows HSM (операционка серверная своя, или надо докупать), или по количеству пользователей ? А что делать с уже купленными версиями Крипто Про + уже импортированные ключами, какова прозрачность перехода со тороны пользоватея ? Если не использовать данную схему, то возможно как то по другому перенести ключи и реестр на новый сервер, поддерживается ли такая схема ?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 715 раз в 620 постах
|
Лицензирование: достаточно лицензии на серверную версию CSP 4.0. Это особый режим использования CSP, соответственно железо и ОС - Ваши. Все ключи пользователей можно будет переместить на новый сервер. Это можно сделать экспортом ветки реестре с контейнерами. А в вышеприведенной схеме контейнеры пользователя оказываются только на одном сервере - упрощается управление и администрирование. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.06.2016(UTC) Сообщений: 5 Откуда: СПБ
Сказал(а) «Спасибо»: 1 раз
|
Спасибо! А можно узнать конкретнее ->какие ветки реестра необходимо экспортировать , что бы перенести все данные о ключах на другие сервера ? Только экспорт/импорт необходимо сделать, либо есть подводные камни, я так понимаю, что перемещаемые профиль не все необходимые ветки в реестре тянет за собой да ? Отредактировано пользователем 27 июня 2016 г. 17:55:54(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 715 раз в 620 постах
|
Ветка - Crypto Pro/Settings. Там хранятся контейнеры пользователей в подключат с SID пользователя. Каждый подключён защищён своим ACL, если импортировать по умолчанию под админом, до логина пользователей ( создания подветки ), то права установятся неверные. По хорошему нужно перед импортом запустить cpconfig, например, под каждым пользователем. А сертификаты и ссылки на ключи хранятся в перемещаемом профиле - должно работать при перемещении. |
|
1 пользователь поблагодарил Максим Коллегин за этот пост.
|
cobion оставлено 28.06.2016(UTC)
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.06.2016(UTC) Сообщений: 5 Откуда: СПБ
Сказал(а) «Спасибо»: 1 раз
|
Благодарю за содействие! Будем думать что нам выгоднее, но скорее экспорт/импорт.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.08.2016(UTC) Сообщений: 3 Откуда: Белгород Сказал(а) «Спасибо»: 1 раз
|
Автор: maxdm Будут поддерживаться CSP 4.0 и выше. Ключи пользователей хранятся на выделенном сервере, аутентификация пользователей через AD. Все криптографические операции выполняются на криптосервере. Другими словами, получается Windows HSM по цене серверной лицензии CSP. Если не защищать трафик с помощью TLS, то лицензия нужна только на сервер. Добрый день. Хотел узнать подробнее про данную фичу в 4.0. Серверная лицензия на КРИПТОПРО куплена и есть в наличии. На предприятии используется терминальная ферма серверов с СБИС-1С (Обработка). Несколько терминальных серверов с СБИС++. Очень не удобно каждый раз новый сертификат добавлять в реестр вручную на каждого бухгалтера на все сервера
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close