Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline cobion  
#1 Оставлено : 24 июня 2016 г. 9:40:14(UTC)
cobion

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.06.2016(UTC)
Сообщений: 5
Откуда: СПБ

Сказал(а) «Спасибо»: 1 раз
Доброго времени суток Уважаемые коллеги.
Кратко обрисую схему:
В существующей инфраструктуре имеется исходный набор из трех терминальных серверов, данные сервера не объединены в ферму, без балансировщика и пользователи с тонких клиентов аутентифицируются на один из трех серверов. Профили пользователей перемещаемые, что позволяет "таскать" за собой свой профиль. Имеется некое ПО для которого используется ЭЦП и Крипто Про.В Windows Server 2008 R2 Крипто Про версии 3.6, а в WS 2012 R2 версия 3.9. Пользователи работают на тех терминалках, на которых импортированы ключи ЭЦП.
На данный момент внедрена новая ферма (коллекция сеансов) с балансировщиком на платформе WS 2012 R2 состоящая из четырех виртуальных серверов одинаковой конфигурации, то есть пользователь пройдя аутентификацию по одному виртуальному имени фермы может зайти на любой из четырех узлов сеансов.Естественно что и ЭЦП должны быть импортированы на все четыре узла.
Пока данная ферма не используется, хотелось бы ответить на несколько вопросов:
1.Возможно ли перенести все исходные ЭЦП на новую ферму более-менее прозрачно без тесного участия пользователей ?
2.Сохраняется ли информация о ключах и настройках ЭЦП в ключах реестра перемещаемого профиля ?
3.Если два вышеописанных варианта не помогут, существует ли некое специальное решение для Крипто Про при использовании в терминальных фермах , если да , то как юридически грамотно и быстро это можно это организовать, без повторного импорта ЭЦП, так как пользователей много и прерывать работу не очень бы хотелось ?

Спасибо!
Offline Максим Коллегин  
#2 Оставлено : 24 июня 2016 г. 10:15:06(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Доброе утро.

А секретные ключи хранятся на токенах у пользователей или на терминальных серверах?
В первом случае всё будет работать из коробки с пробросом смарт-карт на сервер, для второго у нас есть другое решение ( но на базе предварительной версии CSP 4.0 ).
Знания в базе знаний, поддержка в техподдержке
Offline cobion  
#3 Оставлено : 24 июня 2016 г. 14:33:54(UTC)
cobion

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.06.2016(UTC)
Сообщений: 5
Откуда: СПБ

Сказал(а) «Спасибо»: 1 раз
Автор: maxdm Перейти к цитате
Доброе утро.

А секретные ключи хранятся на токенах у пользователей или на терминальных серверах?
В первом случае всё будет работать из коробки с пробросом смарт-карт на сервер, для второго у нас есть другое решение ( но на базе предварительной версии CSP 4.0 ).


В том то и дело, что на терминальных серверах ключи импортированы через Крипто Про на сам сервер. Токены не используются.
А что означает "но на базе предварительной версии CSP 4.0"-> то есть более старшие версии Крипто Про могут не поддерживаться и как это работает ?

Спасибо.
Offline Максим Коллегин  
#4 Оставлено : 24 июня 2016 г. 18:42:49(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Будут поддерживаться CSP 4.0 и выше.
Ключи пользователей хранятся на выделенном сервере, аутентификация пользователей через AD. Все криптографические операции выполняются на криптосервере. Другими словами, получается Windows HSM по цене серверной лицензии CSP. Если не защищать трафик с помощью TLS, то лицензия нужна только на сервер.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
iRoody оставлено 17.08.2016(UTC)
Offline cobion  
#5 Оставлено : 24 июня 2016 г. 23:14:04(UTC)
cobion

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.06.2016(UTC)
Сообщений: 5
Откуда: СПБ

Сказал(а) «Спасибо»: 1 раз
Возможно ли где нибудь почитать мануал по данной схеме работы которую вы предлагаете и цена данного решения, как данное решение лицензируется, единоразово одной лицензией Windows HSM (операционка серверная своя, или надо докупать), или по количеству пользователей ?
А что делать с уже купленными версиями Крипто Про + уже импортированные ключами, какова прозрачность перехода со тороны пользоватея ?
Если не использовать данную схему, то возможно как то по другому перенести ключи и реестр на новый сервер, поддерживается ли такая схема ?
Offline Максим Коллегин  
#6 Оставлено : 27 июня 2016 г. 14:30:45(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Лицензирование: достаточно лицензии на серверную версию CSP 4.0.
Это особый режим использования CSP, соответственно железо и ОС - Ваши.
Все ключи пользователей можно будет переместить на новый сервер. Это можно сделать экспортом ветки реестре с контейнерами.
А в вышеприведенной схеме контейнеры пользователя оказываются только на одном сервере - упрощается управление и администрирование.
Знания в базе знаний, поддержка в техподдержке
Offline cobion  
#7 Оставлено : 27 июня 2016 г. 17:55:02(UTC)
cobion

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.06.2016(UTC)
Сообщений: 5
Откуда: СПБ

Сказал(а) «Спасибо»: 1 раз
Спасибо!
А можно узнать конкретнее ->какие ветки реестра необходимо экспортировать , что бы перенести все данные о ключах на другие сервера ? Только экспорт/импорт необходимо сделать, либо есть подводные камни, я так понимаю, что перемещаемые профиль не все необходимые ветки в реестре тянет за собой да ?

Отредактировано пользователем 27 июня 2016 г. 17:55:54(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#8 Оставлено : 27 июня 2016 г. 18:56:26(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Ветка - Crypto Pro/Settings.
Там хранятся контейнеры пользователей в подключат с SID пользователя.
Каждый подключён защищён своим ACL, если импортировать по умолчанию под админом, до логина пользователей ( создания подветки ), то права установятся неверные.
По хорошему нужно перед импортом запустить cpconfig, например, под каждым пользователем.
А сертификаты и ссылки на ключи хранятся в перемещаемом профиле - должно работать при перемещении.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
cobion оставлено 28.06.2016(UTC)
Offline cobion  
#9 Оставлено : 28 июня 2016 г. 9:29:02(UTC)
cobion

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.06.2016(UTC)
Сообщений: 5
Откуда: СПБ

Сказал(а) «Спасибо»: 1 раз
Благодарю за содействие! Будем думать что нам выгоднее, но скорее экспорт/импорт.
Offline iRoody  
#10 Оставлено : 17 августа 2016 г. 10:53:52(UTC)
iRoody

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.08.2016(UTC)
Сообщений: 3
Российская Федерация
Откуда: Белгород

Сказал(а) «Спасибо»: 1 раз
Автор: maxdm Перейти к цитате
Будут поддерживаться CSP 4.0 и выше.
Ключи пользователей хранятся на выделенном сервере, аутентификация пользователей через AD. Все криптографические операции выполняются на криптосервере. Другими словами, получается Windows HSM по цене серверной лицензии CSP. Если не защищать трафик с помощью TLS, то лицензия нужна только на сервер.


Добрый день. Хотел узнать подробнее про данную фичу в 4.0. Серверная лицензия на КРИПТОПРО куплена и есть в наличии.

На предприятии используется терминальная ферма серверов с СБИС-1С (Обработка). Несколько терминальных серверов с СБИС++.

Очень не удобно каждый раз новый сертификат добавлять в реестр вручную на каждого бухгалтера на все сервера
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.