Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
тонкие клиенты + RDP + КриптоПро 4.0
Статус: Участник
Группы: Участники
Зарегистрирован: 28.12.2017(UTC) Сообщений: 15  Откуда: Волгоград Сказал(а) «Спасибо»: 4 раз
|
Добрый день, коллеги.
Заранее извиняюсь за возможный повтор темы, но, к сожалению, ответ на форуме не нашел.
Задача.
1.Тонкие клиенты, толстые клиенты соединяются с терминальным сервером на котором установлен КриптоПро CSP 4.0 (серверный).
2. Терминальное соединение устанавливается с использованием SecretNet 7.6 с предъявлением ключевого носителя на смарт-карте (которую разрешено пробрасывать в сессии).
3.После установления терминального соединения необходимо клиент должен подключиться к веб-ресурсу, защищенному ГОСТ-сертификатом с требованием сертификата клиента.
4. Сертификаты и ключи пользователи также хранят на той же смарт-карте (рутокене). И ДО первого обращения к веб-ресурсу устанавливают свой сертификат в "Личные".
5. При выборе веб-ресурса высвечивается ЕГО сертификат и он соединяется с веб-ресурсом.
Вопрос
Что нужно настроить, чтобы указанная схема была принята ФСБ как рабочая. Сомнения в том, что само терминальное соединение ведь не защищено. Или я не понимаю?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 28.12.2017(UTC) Сообщений: 15 Откуда: Волгоград Сказал(а) «Спасибо»: 4 раз
|
Нашел вот такую тему
"В сессии RDS можно задействовать один из трех механизмов безопасности, позволяющих защитить соединение между клиентов и сервером RDS Session Host:
RDP security layer – используется встроенное шифрование протокола RDP, является менее безопасным.
Negotiate – шифрование TLS 1.0 (SSL) будет использоваться в случае поддержки клиентом, если клиент его не поддерживает, будет использоваться обычный уровень безопасности RDP.
SSL – шифрование TLS 1.будет использоваться для аутентификации сервера и шифрования передаваемых данных между клиентом и сервером. Это наиболее безопасный режим.
Для обеспечения высокого уровня безопасности необходимо использовать шифрование SSL/TLS. Для этих целей необходимо иметь цифровой сертификат, он может быть самоподписанным либо выданным центром сертификации CA (что предпочтительнее).
В дополнении к уровню безопасности можно выбрать уровень шифрования соединения. Доступны следующие виды шифрования:
Low – используется 56 битное шифрование данных, отправляемых с клиента на сервер. Данные, передаваемые с сервера на клиент не шифруются.
Client Compatible – данный вид шифрования используется по умолчанию. В этом случае шифруется весь трафик между клиентом и сервером с максимальной длиной ключа, которую поддерживает клиент.
High – все данные передаваемые между клиентом и сервером в обе стороны шифруются 128 битным ключом
FIPS Compliant – все данные передаваемые между клиентом и сервером в обе стороны шифруются методом FIPS 140-1.
"
Но как настроить использование ГОСТ-алгоритмы с ГОСТ-сертификатом терминального сервера?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз
Поблагодарили: 706 раз в 614 постах
|
Устанавливаете ГОСТ сертификат, CSP и работаете. Terminal Server Gateway тоже поддерживается. И аутентификациям по сертификатам. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 28.12.2017(UTC) Сообщений: 15 Откуда: Волгоград Сказал(а) «Спасибо»: 4 раз
|
Я правильно понимаю:
1. выпускаем НАШ ГОСТ-сертификат с областью "Проверка подлинности сервера (1.3.6.1.5.5.7.3.1)"
2. устанавливаем корневые сертификаты для НАШЕГО сертификата
3. удаляем не-ГОСТ сертификат из ветки сертификатов локального компьютера (подветка "удаленный рабочий стол")
4. устанавливаем ручками (через КП CSP) НАШ сертификат в ветку сертификатов локального компьютера в подветку "удаленный рабочий стол"
5. welcome ...
все?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз
Поблагодарили: 706 раз в 614 постах
|
Примерно так, но удалять не обязательно.
На сервере терминалов есть интерфейс для задания SSL сертификата. В последних версиях это приходится делать через powershell. |
|
 1 пользователь поблагодарил Максим Коллегин за этот пост.
|
r_vlg оставлено 21.02.2018(UTC)
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 28.12.2017(UTC) Сообщений: 15 Откуда: Волгоград Сказал(а) «Спасибо»: 4 раз
|
Чтобы закончить тему 1. В 2003-2008 привязка ГОСТ-сертификата для настройки ssl в RDP - через mmc 2. В 2012 при использовании Шлюза - через диспетчер "Terminal Server Gateway" 3. В 2012 без Шлюза - описано тут, если удалят статью, то искать это: "WMIC /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash ="ОТПЕЧАТОК ИЗ СЕРТИФИКАТА"
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
тонкие клиенты + RDP + КриптоПро 4.0
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
