Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline lsvmo  
#1 Оставлено : 23 сентября 2019 г. 9:09:49(UTC)
lsvmo

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.09.2019(UTC)
Сообщений: 4

Добрый день.
Цель следующая:
два компьютера.
На одном сидит администратор, на другом работник.
У работника есть токен с закрытым контейнером и сертификат.
Нужно с компьютера администратора установить на компьютер работника сертификат и привязать его к закрытому контейнеру.
То есть работник приходит к администратору с токеном, администратор вставляет токен и настраивает на компьютере работника сертификат и связывает его с контейнером закрытого ключа на токене.
токен и сертификат будут использоваться на компьютере работника.
Варианты могут быть разные (может вообще уже есть готовое решение?). Рассматривается вариант, что есть две части программы, одна работает на компьютере администратора, другая на компьютере работника. Связываются по защищённому каналу. То есть информацию о контейнере можно получить на компьютере администратора и передать части программы, работающей у работника. И уже та часть, работая на компьютере работника, сможет сделать всё локально.
Вариант установки прямо на компьютере работника с втыканием токена на этот компьютер не рассматривается.
Нужно воткнуть токен в компьютер администратора и сделать так, чтобы у работника появилась возможность подписывать документы, вставляя токен у себя на компьютере.
Есть ли какие-то особенности связи контейнера и сертификата, которые не позволят это сделать?
Заранее спасибо за помощь.
Offline Анатолий Колкочев  
#2 Оставлено : 23 сентября 2019 г. 9:24:50(UTC)
Анатолий Колкочев

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 179

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 19 раз в 17 постах
Я, конечно, не спец (просто студент), но сделать это можно следующим образом:

При установке сертификата в "локальное" хранилище компьютера прописывается путь до контейнера закрытого ключа (например, '\\.\Aktiv Rutoken 00 00\cont 1'). Вы можете (скорее всего) вручную его изменить.

shott.png (113kb) загружен 8 раз(а).

Отредактировано пользователем 23 сентября 2019 г. 9:52:24(UTC)  | Причина: Не указана

Offline Анатолий Колкочев  
#3 Оставлено : 23 сентября 2019 г. 9:57:52(UTC)
Анатолий Колкочев

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 179

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 19 раз в 17 постах
И вообще это очень странно. Почему контейнером владеет ещё кто-то помимо его законного владельца?
Offline lsvmo  
#4 Оставлено : 23 сентября 2019 г. 10:06:23(UTC)
lsvmo

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.09.2019(UTC)
Сообщений: 4

Автор: Анатолий Колкочев Перейти к цитате
Я, конечно, не спец (просто студент), но сделать это можно следующим образом:

При установке сертификата в "локальное" хранилище компьютера прописывается путь до контейнера закрытого ключа (например, '\\.\Aktiv Rutoken 00 00\cont 1'). Вы можете (скорее всего) вручную его изменить.

shott.png (113kb) загружен 8 раз(а).

Сможет ли работник после этого у себя на компьютере сразу пользоваться токеном? То есть подписывать документы, вставляя токен у себя на компе (путь ведь при связке был указан на удалённый контейнер)?

Автор: Анатолий Колкочев Перейти к цитате
И вообще это очень странно. Почему контейнером владеет ещё кто-то помимо его законного владельца?

Контейнером владеть никто не будет. Токен втыкает и вводит пароль сам владелец контейнера. Задача программно установить на его комп сертификат с привязанным контейнером закрытого ключа, чтобы он у себя на компе смог это делать. Но токен при установке вставляется в комп администратора.
Сложная схема, но нужно, чтобы изначально всё настраивалось с компьютера администратора, а работник подошёл к своему компу и смог сразу подписать документ.

Offline Анатолий Колкочев  
#5 Оставлено : 23 сентября 2019 г. 10:11:01(UTC)
Анатолий Колкочев

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 179

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 19 раз в 17 постах
Автор: lsvmo Перейти к цитате
То есть работник приходит к администратору с токеном, администратор вставляет токен и настраивает на компьютере работника сертификат и связывает его с контейнером закрытого ключа на токене.


Просто если работник кому-то отдает свой токен, то это неправильно. Можно узнать название контейнера на машине пользователя, он Вам присылает его. Затем Вы устанавливаете "удаленно" сертификат в хранилище пользователя и прописываете путь к контейнеру
Offline two_oceans  
#6 Оставлено : 23 сентября 2019 г. 14:02:23(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 978
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 63 раз
Поблагодарили: 221 раз в 207 постах
Если Windows: Администратор удаленно включает службу "Распространение сертификатов" на компьютере пользователя, при необходимости удаленно ставит драйвер токена. Пользователь втыкает токен на компьютере пользователя, ждет минуту, за это время служба "Распространение сертификатов" автоматически все устанавливает и настраивает. Затем пользователь подписывает документы, вводя пин-код. Все.

Зачем изобретать велосипед. Вот если бы ключи были в реестре или на флешке, тогда да надо что-то писать, а с токенами все просто.

Отредактировано пользователем 23 сентября 2019 г. 14:03:56(UTC)  | Причина: Не указана

Offline lsvmo  
#7 Оставлено : 23 сентября 2019 г. 14:05:20(UTC)
lsvmo

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.09.2019(UTC)
Сообщений: 4

Автор: Анатолий Колкочев Перейти к цитате
Автор: lsvmo Перейти к цитате
То есть работник приходит к администратору с токеном, администратор вставляет токен и настраивает на компьютере работника сертификат и связывает его с контейнером закрытого ключа на токене.


Просто если работник кому-то отдает свой токен, то это неправильно. Можно узнать название контейнера на машине пользователя, он Вам присылает его. Затем Вы устанавливаете "удаленно" сертификат в хранилище пользователя и прописываете путь к контейнеру

Контейнер находится на токене. Первым действием должно идти такое, что работник приходит к администратору, там втыкает токен и программа устанавливает сертификат на компьютер работника и привязывает его к закрытому контейнеру на токене. Работник ничего не настраивает у себя на компе. Он сразу может подписывать документ.
Работник не отдаёт свой контейнер. Отношения доверенные, контейнер остаётся на токене и нигде не сохраняется. Просто так нужно для процесса.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.