Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline IvanovSV76  
#1 Оставлено : 16 октября 2018 г. 9:22:39(UTC)
IvanovSV76

Статус: Участник

Группы: Участники
Зарегистрирован: 24.03.2014(UTC)
Сообщений: 12

Поблагодарили: 1 раз в 1 постах
Здравствуйте!
Ситуация: имеется набор компов в домене. На этих компах работает определенное количество пользователей, которые постоянно перемещаются с компа на комп. Привязать человека к компу, чтобы он работал только за ним НЕВОЗМОЖНО.
И все они пользуются ЭП.
Как средствами домена (т.е. скорее всего через GPO) сделать распространение сертификатов ЭП на все компы, дабы:
1) Пользователь садится со своим токеном за комп, и у него уже есть установленный в системе личный сертификат, без отдельной его установки. (все равно он же будет искать свой ключевой контейнер и найдет его на вставленном токене, а если не найдет, то информация об актуальных ключевых контейнерах должна тоже как-то распространяться.).
2) Дабы можно было массово удалять сертификаты у которых кончился срок.
Offline Константин Маслов  
#2 Оставлено : 16 октября 2018 г. 10:01:31(UTC)
Константин Маслов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.08.2014(UTC)
Сообщений: 271
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 34 раз в 33 постах
Автор: IvanovSV76 Перейти к цитате

1) Пользователь садится со своим токеном за комп, и у него уже есть установленный в системе личный сертификат, без отдельной его установки. (все равно он же будет искать свой ключевой контейнер и найдет его на вставленном токене, а если не найдет, то информация об актуальных ключевых контейнерах должна тоже как-то распространяться.).

Добрый день!

В Windows сертификаты при подключении токена устанавливаются автоматически.

Если установка автоматически не срабатывает. В комплекте с КриптоПро CSP устанавливается утилита csptest.exe
Для установки сертификата с токена
Цитата:
C:\Program Files\Crypto Pro\CSP\csptest.exe
параметр -absorb
absorbs all certs from containers with secret key linking

Отредактировано пользователем 16 октября 2018 г. 10:09:39(UTC)  | Причина: дополнение

Техническую поддержку оказываем на Портале технической поддержки.
Наша база знаний
Offline IvanovSV76  
#3 Оставлено : 16 октября 2018 г. 10:16:48(UTC)
IvanovSV76

Статус: Участник

Группы: Участники
Зарегистрирован: 24.03.2014(UTC)
Сообщений: 12

Поблагодарили: 1 раз в 1 постах
Автор: Константин Маслов Перейти к цитате
Автор: IvanovSV76 Перейти к цитате

В Windows сертификаты при подключении токена устанавливаются автоматически.

Токена (ключевого носителя) любого типа (токен, флешка)?
Просто кроме как в плагине от ЕСИА не видел, чтобы сертификат в 7-ке автоматом вставал.
А утилиту то надо получается все равно запускать. Или ее достаточно в автозагрузку повесить.

Offline Константин Маслов  
#4 Оставлено : 16 октября 2018 г. 18:01:33(UTC)
Константин Маслов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.08.2014(UTC)
Сообщений: 271
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 34 раз в 33 постах
Автор: IvanovSV76 Перейти к цитате
Токена (ключевого носителя) любого типа (токен, флешка)?
Просто кроме как в плагине от ЕСИА не видел, чтобы сертификат в 7-ке автоматом вставал.
А утилиту то надо получается все равно запускать. Или ее достаточно в автозагрузку повесить.

Для токена (ключевого носителя), не для флешки.
Техническую поддержку оказываем на Портале технической поддержки.
Наша база знаний
Offline IvanovSV76  
#5 Оставлено : 17 октября 2018 г. 9:02:28(UTC)
IvanovSV76

Статус: Участник

Группы: Участники
Зарегистрирован: 24.03.2014(UTC)
Сообщений: 12

Поблагодарили: 1 раз в 1 постах
Т.е. значит данный путь для меня мало пригоден, т.к. токенов на всех не хватает.
А средствами ГПО значит сертификаты не раскидать?
Offline Максим Коллегин  
#6 Оставлено : 17 октября 2018 г. 14:39:01(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Сертификаты со ссылками на ключ находятся в перемещаемом профиле пльзователя, но это касается только сертификатов, а насчёт секретных ключей: последние версии КриптоПро CSP в режиме службы хранения ключей могут использовать удалённую службу - сервис запущенный на доменом компьютере, на котором под учётными записями пользователей хранятся контейнеры.
RPC-канал желательно защищать с помощью КриптоПро TLS. Настройка нетривиальна, но если будет интерес - пишите, попробую помочь. Лучше на почту.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.