Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Alexey1983  
#1 Оставлено : 28 октября 2020 г. 10:39:21(UTC)
Alexey1983

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 5
Российская Федерация

Здравствуйте.

На сервер (Windiws 2012 r2) установлен КриптоПро 4.0 серверная лицензия.
Установил ключ, скопировал в реестр (ключ должен быть именно в реестре, т.к. его оттуда читает Бизнес Про).

Пытаюсь протестировать. Поставил в хром плагин, зашёл на страничку проверки на сайте крипто-про. На страничке виден сертификат из реестра - но при попытке подписать, требует воткнуть физический ключ, из реестра не читает.

Подскажите, как сделать, чтобы читало из реестра. Спасибо.
Offline Андрей *  
#2 Оставлено : 28 октября 2020 г. 10:46:36(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,889
Мужчина
Российская Федерация

Сказал «Спасибо»: 363 раз
Поблагодарили: 1431 раз в 1105 постах
Здравствуйте.

Сертификат сейчас имеет ссылку на контейнер, который на внешнем носителе.
Необходимо переустановить сертификат
Панель управления КриптоПРО CSP, вкладка Сервис

а) Установить личный сертификат - указать .cer,
выбрать опцию автопоиска контейнера (флешку отключить от сервера) - должен найтись контейнер в реестре...

б) установить сертификат из контейнера, который в реестре - через просмотр сертификата в контейнере\Обзор...
Техническую поддержку оказываем тут
Наша база знаний
Offline Alexey1983  
#3 Оставлено : 28 октября 2020 г. 11:07:16(UTC)
Alexey1983

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 5
Российская Федерация

Да, я с самого начала устанавливал сертификат из контейнера в реестре. Но, по-прежнему, не работает.
Offline two_oceans  
#4 Оставлено : 28 октября 2020 г. 12:32:36(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,153
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 76 раз
Поблагодарили: 264 раз в 248 постах
Возможно имя контейнера в реестре совпадает с именем на токене и был запомнен пароль?
Еще вариант - токен был вставлен когда устанавливали привязку к контейнеру в реестре, в этом случае служба "Распространение сертификатов" могла переписать привязку на токен. Эта медвежья услуга делается совершенно без каких-то уведомлений.

Попробуйте указать для копии в реестре другое имя (скопировать еще раз, старую копию удалить), вытащить токен, остановить службу "Распространение сертификатов" и вообще закрыть ПО токена около часов, потом снова привязать к реестру. У меня было такое на одном компьютере, но там мне показалось после часа мучений что проще сделать копию в реестр на другом компьютере (где не просит токена) и оставить токен там, где просит токен. К сожалению, проблема не ограничивается токенами, так что свалить все на службу не выходит, см. ниже.

Поэтому действительно интересно как очистить список контейнеров, которые "помнит" КриптоПро. Раньше (на 3.6) помогала кнопка сброса запомненных паролей, но на 4.0 эффекта нет (видимо пароли забывает, но имя остается в списке), приходится просто придумывать новое имя контейнера.

Поясню, что я имею ввиду, на примере: 21 числа генерировал контейнер для запроса сертификата в УЦ ФК. Ну там простая схема именования контейнера "Фамилия имя отчество месяцчислоденьчасминутасекунда", потому имя папки автоматически формируется Криптопро CSP от первых 8 символов (то есть фамилии кириллицей), поэтому, во-первых, выходит абракадабра "fwcbjsby.000" (ни разу не похожая на фамилию), во-вторых, каждый год имя одно и тоже. Потом искать на флешке какая папка какого года и какому пользователю соответствует - то еще удовольствие. Поэтому я решил попробовать переименовать папку как "код_пользователя+код_даты_месяца_года+00.000" вышло "01c6xl00.000". КриптоПро CSP увидел эту папку, показал то же дружественное имя, но при установке сертификата выяснилось, что КриптоПро CSP "контейнер, соответсвующий сертификату" уже заполнен и криптопровайдер как заведенный просит предъявить папку именно со старым именем "fwcbjsby.000", выбор контейнера с другим FQCN не катит. Сменил пару цифр в имени контейнера - вместо секунд вписал год и все прекрасно установилось. Вывод в том, что КриптоПро CSP за какой-то надобностью запомнил при генерации (так как больше к контейнеру до установки сертификата не обращались) соответствие дружественного имени и FQCN имени.

Для ясности я еще прошерстил запрос на сертификат и сам сертификат - имени контейнера в них не обнаружилось. Удалял запрос из хранилища, тоже эффекта не было. Выходит, дело в CSP и только в нем.

Было замечательно если бы сотрудники КриптоПро пояснили как удалить такое соответствие. Полагаю, в случае токена также может быть именно такая упертость.

Отредактировано пользователем 28 октября 2020 г. 13:13:39(UTC)  | Причина: Не указана

Offline Alexey1983  
#5 Оставлено : 28 октября 2020 г. 15:09:35(UTC)
Alexey1983

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 5
Российская Федерация

Нет, имя не совпадает. Стандартное имя - абракадабра, я при копировании, как обычно, заменил на ФИО + период действия.
Offline Андрей *  
#6 Оставлено : 28 октября 2020 г. 16:31:09(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,889
Мужчина
Российская Федерация

Сказал «Спасибо»: 363 раз
Поблагодарили: 1431 раз в 1105 постах
Автор: Alexey1983 Перейти к цитате
Да, я с самого начала устанавливал сертификат из контейнера в реестре. Но, по-прежнему, не работает.


Сервис\Протестировать\Обзор - сертификат ссылается на какой контейнер? Не в реестре?
Попробуйте переустановить, автопоиск включали - нашёлся контейнер в реестре (\\registry\\...)?
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#7 Оставлено : 29 октября 2020 г. 6:44:22(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,153
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 76 раз
Поблагодарили: 264 раз в 248 постах
Так, кажется нашел список соответствий имен. Многоточие замените на Ваш SID пользователя.
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\S-1-5-21-...\KeyDevices\passwords]
Проще вообще все там очистить если пин-коды известны. Если же действовать мягче, поищите подразделы соответствующие дружественному имени ключа и какое там значение параметра "shortcut". Ну и убрать ту изначальную абракадабру из списка.

Судя по моему списку... кнопка очистки пароля и правда не убирает кучу уже ненужных shortcut.

Отредактировано пользователем 29 октября 2020 г. 6:55:40(UTC)  | Причина: Не указана

Offline Alexey1983  
#8 Оставлено : 29 октября 2020 г. 11:21:36(UTC)
Alexey1983

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 5
Российская Федерация

Цитата:
Сервис\Протестировать\Обзор - сертификат ссылается на какой контейнер? Не в реестре?


Да, он видит сертификат в реестре

Цитата:
Попробуйте переустановить, автопоиск включали - нашёлся контейнер в реестре (\\registry\\...)?


Да, адрес контейнера выглядит именно так - \\registry\\...
Offline Alexey1983  
#9 Оставлено : 2 ноября 2020 г. 11:38:29(UTC)
Alexey1983

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 5
Российская Федерация

Поэкспериментировал на клиентской машине, и получилось, что ключ, установленный в реестр, не работает, когда мы выбираем контейнер компьютера (и в хранилище компьютер же потом устанавливаем личный сертификат). А вот когда делаем всё то же самое, но на пользователя - всё прекрасно работает.

Так что, думаю, вопрс можно переформулировать так - как установить ЭЦП в реестр на сервере на компьютер, а не на пользователя?
Offline Андрей *  
#10 Оставлено : 2 ноября 2020 г. 11:45:52(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,889
Мужчина
Российская Федерация

Сказал «Спасибо»: 363 раз
Поблагодарили: 1431 раз в 1105 постах
Автор: Alexey1983 Перейти к цитате
Поэкспериментировал на клиентской машине, и получилось, что ключ, установленный в реестр, не работает, когда мы выбираем контейнер компьютера (и в хранилище компьютер же потом устанавливаем личный сертификат). А вот когда делаем всё то же самое, но на пользователя - всё прекрасно работает.

Так что, думаю, вопрс можно переформулировать так - как установить ЭЦП в реестр на сервере на компьютер, а не на пользователя?



Разве не противоречие?
Зачем устанавливать в хранилище локального компьютера?
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#11 Оставлено : 3 ноября 2020 г. 8:33:14(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,153
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 76 раз
Поблагодарили: 264 раз в 248 постах
Цитата:
Разве не противоречие? Зачем устанавливать в хранилище локального компьютера?
Все логично. Для режима компьютера реестр НЕ работает, для режима пользователя реестр работает. Вопрос как сделать чтобы для режима компьютера работало. Хранилище компьютера замечательно для подписания какой-то в службе или для автоустановки сертификата (службой "Распространение сертификатов") всем пользователям сервера (к сожалению, служба не контролирует доступен ли ключ фактически конкретному пользователю).
Автор: Alexey1983 Перейти к цитате
как установить ЭЦП в реестр на сервере на компьютер, а не на пользователя?
Попробовал скопировать в реестр при выборе режима "компьютера" и посмотреть где в реестре это появится. Итак, ветка "для всех пользователей" нашлась. Поясню: обычно в той ветке реестра, в которой КриптоПро CSP хранит ключи в правах доступа выставлена строгая изоляция ключей одного пользователя от ключей другого, но разрешен доступ "системы". В ветке "для всех пользователей" по умолчанию доступ у "Администраторы" и "Система". Таким образом, изначально приложению потребуются права администратора чтобы прочитать ключ из реестра в режиме компьютера.

Затем установил сертификат в хранилище "Личные" компьютера и через "Управление закрытыми ключами..." в оснастке "Сертификаты" дал доступ конкретному пользователю к конкретному контейнеру - в реестре добавились права на ветку с контейнером этому пользователю. Проверить видимость от этого пользователя правда нечем - панель управления КриптоПро не дает выбрать режим компьютера без запуска с правами администратора, а с правами администратора доступ заведомо есть.

Как вариант, если надо чтобы только служба считала контейнер в реестре без автоустановки всем пользователям, надо именно под тем пользователем, от которого работает служба, установить ключ в реестр в режиме пользователя и в хранилище пользователя. В графическом режиме это не всегда возможно (пользователь только для входа службы, например), но есть утилиты для установки из командной строки (через runas/psexec/планировщик).

Отредактировано пользователем 3 ноября 2020 г. 8:39:42(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.