Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline two_oceans  
#11 Оставлено : 3 ноября 2020 г. 8:33:14(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Цитата:
Разве не противоречие? Зачем устанавливать в хранилище локального компьютера?
Все логично. Для режима компьютера реестр НЕ работает, для режима пользователя реестр работает. Вопрос как сделать чтобы для режима компьютера работало. Хранилище компьютера замечательно для подписания какой-то в службе или для автоустановки сертификата (службой "Распространение сертификатов") всем пользователям сервера (к сожалению, служба не контролирует доступен ли ключ фактически конкретному пользователю).
Автор: Alexey1983 Перейти к цитате
как установить ЭЦП в реестр на сервере на компьютер, а не на пользователя?
Попробовал скопировать в реестр при выборе режима "компьютера" и посмотреть где в реестре это появится. Итак, ветка "для всех пользователей" нашлась. Поясню: обычно в той ветке реестра, в которой КриптоПро CSP хранит ключи в правах доступа выставлена строгая изоляция ключей одного пользователя от ключей другого, но разрешен доступ "системы". В ветке "для всех пользователей" по умолчанию доступ у "Администраторы" и "Система". Таким образом, изначально приложению потребуются права администратора чтобы прочитать ключ из реестра в режиме компьютера.

Затем установил сертификат в хранилище "Личные" компьютера и через "Управление закрытыми ключами..." в оснастке "Сертификаты" дал доступ конкретному пользователю к конкретному контейнеру - в реестре добавились права на ветку с контейнером этому пользователю. Проверить видимость от этого пользователя правда нечем - панель управления КриптоПро не дает выбрать режим компьютера без запуска с правами администратора, а с правами администратора доступ заведомо есть.

Как вариант, если надо чтобы только служба считала контейнер в реестре без автоустановки всем пользователям, надо именно под тем пользователем, от которого работает служба, установить ключ в реестр в режиме пользователя и в хранилище пользователя. В графическом режиме это не всегда возможно (пользователь только для входа службы, например), но есть утилиты для установки из командной строки (через runas/psexec/планировщик).

Отредактировано пользователем 3 ноября 2020 г. 8:39:42(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.