Статус: Участник
Группы: Участники
Зарегистрирован: 28.07.2020(UTC) Сообщений: 10
Сказал(а) «Спасибо»: 1 раз
|
Автор: Андрей * Автор: Zoltán ZiZi Как настроить CSP на сервере и сто нужно сделать, чтобы в браузере плагин увидел для себя этот криптопровайдер и смог прочитать подпись с usb-ключа?
Настраивать CSP и плагин - там, где контейнер -> на клиенте. Если бы было одно рабочее место, то можно было бы так сделать. Чем отличается CSP на одно рабочее место от CSP на сервере?
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
Цитата:Серверу не нужен доступ к ключам. Плагин в браузере на клиенте может получить доступ к usb-ключу с помощью криптопровайдера, который установлен на сервере? Нет, 1) API для доступа к криптопровайдеру на удаленном компьютере не предусмотрено, поэтому плагин может ображаться только к криптопровайдеру, установленному там же где и сам плагин; 2) считывание контейнера по сети небезопасно и также нет API для такой операции по HTTP(S). Цитата:У нас веб-приложение, один сервер и множество пользователей, у которых подписи на usb-ключах. Криптопровайдер на сервере имеет смысл если сервер будет проверять подпись документа либо если пользователи будут заходить на сервер по RDP. Для токенов RDP может автоматически пробрасывать устройство-токен на RDP сервер, для флешек нужно больше танцев с бубнами - например, флешку как общий ресурс, к которому доступ только у одного пользователя, но как говорилось выше это небезопасно. Если ключи на клиенте и веб-приложение, то приложению нет никакой пользы от криптопровайдера на сервере. Автор: Zoltán ZiZi Автор: Андрей * Настраивать CSP и плагин - там, где контейнер -> на клиенте. Если бы было одно рабочее место, то можно было бы так сделать. Чем отличается CSP на одно рабочее место от CSP на сервере? Стоимостью лицензии - самое очевидное. Дело в том что как раз на серверную операционную систему можно входить по RDP несколькими пользователями одновременно, а клиентская операционная система как правило ограничена одним пользователем. Также на серверах размещают приложения требующие многопроцессорной конфигурации железа, то есть на которых потенциально можно проводить большое количество криптографических операций в единицу времени, что отражается на цене лицензии. Возможно есть еще что-то, но в практике пока не сталкивался.
|
1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 28.07.2020(UTC) Сообщений: 10
Сказал(а) «Спасибо»: 1 раз
|
Выходит, что придется: либо все ключи с сертификатами вытаскивать из смарт-карт и хранить на сервере в HDImageStore (и связывать их со списком пользователей); либо использовать самоподписанные сертификаты (которые бесполезны за пределами организации); либо покупать множество лицензий на клиентские CSP; Неужели нет другого выхода? RDP явно не подходит. Отредактировано пользователем 6 августа 2020 г. 11:16:40(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,691 Сказал «Спасибо»: 500 раз Поблагодарили: 2046 раз в 1586 постах
|
Автор: Zoltán ZiZi Выходит, что придется: либо все ключи с сертификатами вытаскивать из смарт-карт и хранить на сервере в HDImageStore (и связывать их со списком пользователей); либо использовать самоподписанные сертификаты (которые бесполезны за пределами организации); либо покупать множество лицензий на клиентские CSP;
Неужели нет другого выхода? RDP явно не подходит. или встроенные лицензии в сертификаты, обратитесь в свой УЦ с вопросом о возможности такого сценария, тогда не нужно отдельно покупать лицензии на CSP |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close