CSP 5.0.11455 'поверх' CSP 4.0 (сервер)- проблемы с RuToken (чужие сертиф.)

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

2 Страницы12 >

CSP 5.0.11455 'поверх' CSP 4.0 (сервер)- проблемы с RuToken (чужие сертиф.) - В хран. сертиф. 'личные' на сервере добавляются серт. с 'чужих' RuToken

Опции

Предыдущая тема Следующая тема

saratovv		#1 Оставлено : 2 февраля 2024 г. 13:39:58(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 02.02.2024(UTC) Сообщений: 3		На терм. сервере ‘поверх’ CryptoPro CSP 4.0 была установлена версия 5.0.11455. Пользователи по RDP заходят на сервер. У тех, у кого пробрасывается по rdp рутокен, в хранилище сертификатов 'Личные' на сервере добавляются сертификаты с 'чужих' рутокенов (других пользователей заходящих на сервер !!!) Когда пользователь использует плагин эл. правительства (госуслуги), он видит ‘чужой сертификат’, который в этот момент уже установился на сервере в 'личные' пользователя (без его участия !). Контейнер связанный с ‘чужим’ сертификатом недоступен (хотя как тогда из него установился сертификат), ведь контейнер находится на рутокене в компьютере другого пользователя. Что происходит? Кто виновник? Плагин ‘госуслуги’? Обновление на CryptoPro 5.0.11455? Помогите разобраться!


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

alex_k		#2 Оставлено : 2 февраля 2024 г. 13:45:31(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.02.2018(UTC) Сообщений: 8 Откуда: Ленинград		Цитата: Кто виновник? Служба распространения сертификатов Windows. Я сам с этим сталкиваюсь регулярно, правда, на десктопной ОС, а не на серверной.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

saratovv		#3 Оставлено : 2 февраля 2024 г. 15:13:00(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 02.02.2024(UTC) Сообщений: 3		Но почему сертификат устанавливается в чужой профиль?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

basid		#4 Оставлено : 2 февраля 2024 г. 17:20:38(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,045 Сказал(а) «Спасибо»: 7 раз Поблагодарили: 141 раз в 127 постах		Потому, что сертификат ЭП - общедоступная информация.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

alex_k		#5 Оставлено : 2 февраля 2024 г. 18:35:51(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.02.2018(UTC) Сообщений: 8 Откуда: Ленинград		Автор: saratovv Но почему сертификат устанавливается в чужой профиль? Пользователь А вошел в свой профиль. Воткнул рутокен. Сертификат автоматом добавился в хранилище "Личные" уровня пользователя. Пользователь Б вошел в свой профиль. И видит у себя в хранилище "Личные" уровня пользователя сертификат пользователя А. Это так выглядит? Я ничего не перепутал? Такого я на десктопе, конечно, не встречал, но на сервере вполне может быть, допускаю. Особенно, если есть какой-нибудь дефолтный профиль, который считывается при входе пользователя. Такое, например, происходит со значками рабочего стола -- часть значков на рабочем столе -- как раз из дефолтного профиля. Но так или иначе, автоматическое добавление сертификата в хранилище при подключении рутокена -- это дело рук службы, которую я упомянул выше. Если её остановить, добавление сертификата не происходит. Насколько здесь замешан именно КриптоПро, я сказать затрудняюсь. Я тут попрбовал в порядке эксперимента: на системе без КриптоПро подключился по rdp и воткнул рутокен. На рутокене сертификат, который гарантированно прочитается без КриптоПро, то есть, ключ с алгоритмом RSA, созданный без КриптоПро. Автоматическое добавление сертификата в хранилище не произошло. Так что вполне возможно, что "виновен" действительно КриптоПро. Ещё маленькое замечание о версиях. Если я правильно понял, у Вас это началось после обновления 4.0 до 5.0. А у меня это и на CSP 4.0 есть без всяких обновлений. Я искал, как это прекратить. И едиственный способ, который я нашел -- остановка службы. Но если кто-то даст более квалифицированный ответ, я с интересом ознакомлюсь.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

saratovv		#6 Оставлено : 3 февраля 2024 г. 17:37:38(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 02.02.2024(UTC) Сообщений: 3		Пока точных условий появления чужого сертификата не выявил. Было примерно так. Обновил КриптоПро с 4.0 на 5.0. Работали пользователи A,B,C,D,E на сервере (на сайтах, с плагинами КриптоПро, госуслуги). В какой-то момент у А плагин 'госуслуг' показал +'чужой' сертификат E. Через определённое время (часы) у B та же ситуация... +сертификат E. И так далее... Из хранилища 'личные' удаляли 'чужие' сертификаты, но в процессе работы они с невыясненной закономерностью снова появляются. Просто зайти на сервер не достаточно, чтобы получить 'чужой' сертификат другого вошедшего. Причём 'чужие' сертификаты получают только те, кто использует рутокен (!). У тех, кто закрытые ключи хранит в реестре на сервере 'чужих' сертификатов не замечено. Спасибо Вам за подсказку про службу распространения сертификатов! По крайней мере понятно, кто добавляет сертификат. У меня ощущение, что в какой то момент, через какой то 'шлюз' A видит напрямую рутокен E или это сбои службы распространения сертификатов? Попробовал отключать службу, но меняется вид сообщений для рутокена. И потом, 'чужие' сертификаты могут быть предвестником серьёзных проблем.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

nickm		#7 Оставлено : 3 февраля 2024 г. 20:57:41(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,844 Сказал(а) «Спасибо»: 455 раз Поблагодарили: 312 раз в 294 постах		Автор: saratovv Пока точных условий появления чужого сертификата не выявил. А, плагин "КриптоПро", на странице тестирования, так же отображает: Автор: saratovv 'чужой' сертификат E. Скорее всего, проблема: Автор: saratovv Кто виновник? Плагин ‘госуслуги’?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

alex_k		#8 Оставлено : 4 февраля 2024 г. 8:36:34(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.02.2018(UTC) Сообщений: 8 Откуда: Ленинград		Автор: saratovv Просто зайти на сервер не достаточно, чтобы получить 'чужой' сертификат другого вошедшего. Сертификат добавляется, скажем так, в момент втыкания рутокена в порт USB. Если к моменту входа на сервер рутокен уже воткнут в порт, то в остнастке управления сертификатами сертификата вроде бы не видно, но обновив список сертификатов, можно убедиться, что он всё-таки добавился. Автор: saratovv Причём 'чужие' сертификаты получают только те, кто использует рутокен (!). У тех, кто закрытые ключи хранит в реестре на сервере 'чужих' сертификатов не замечено. Всё правильно. Это происходит именно с рутокенами. У меня есть, примеру, eToken, с ним такого эффекта не наблюдается. Более того, на удаленной машине (куда я подключаюсь по rdp) даже нет драйверов на рутокен. Они мне там не нужны -- я там с eToken работаю. А рутокен, будучи подключен в порт локальной машины, пробрасывается по rdp и сертификаты добавляются в хранилище. Без всякого спроса. Автор: nickm Скорее всего, проблема: Автор: saratovv Кто виновник? Плагин ‘госуслуги’? Если плагин работает на уровне браузера, то вряд ли. В моем случае достаточно зайти по rdp и воткнуть токен в порт. Ещё нет ни браузера, ни плагина. Хотя специально я это не проверял. Надо будет проверить. Отредактировано пользователем 4 февраля 2024 г. 8:38:06(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

alex_k		#9 Оставлено : 4 февраля 2024 г. 8:45:33(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.02.2018(UTC) Сообщений: 8 Откуда: Ленинград		Автор: saratovv У меня ощущение, что в какой то момент, через какой то 'шлюз' A видит напрямую рутокен E В моем случае речь не идет о "чужих" сертификатах. А только о том, что сертификат добавляется в хранилище без ведома пользователя. А в Вашем случае, поскольку это терминальный сервер, подозреваю, что сертификат добавляется не в профиль прямо вот локального пользователя, а в какой-то более общий профиль, который потом считывается для всех пользователей. А сами сертификаты становятся видны через какое-то время, скажем так, после "обновления списка".


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Данзан Лиджиев		#10 Оставлено : 4 февраля 2024 г. 12:06:34(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 07.05.2019(UTC) Сообщений: 33 Поблагодарили: 4 раз в 3 постах		Добрый день, автоматическая установка сертификатов связана с работой службы "распространения сертификата" вы можете ее отключить, для того чтобы отключить службу распространения сертификатов, откройте "Пуск" - "Панель управления" - ("Система и безопасность") - "Администрирование" - "Службы" Выделите службу "Распространение сертификата" ("Certificate Propagation") далее два раза нажмите на нее мышкой и выберите Остановить или правой кнопкой мыши остановить. Проверьте с отключенной службой "Распространение сертификата" должно помочь. Также попробуйте обновить КриптоПро CSP до актуальной версии 5.0R3, тоже должно помочь без отключения службы "Распространение сертификата"
		Техническую поддержку оказываем тут. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

2 Страницы12 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close