Статус: Участник
Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 11
Откуда: Москва
|
Добрый день! Сталкивался ли кто-нибудь с ситуацией, когда машинка переезжает из домена в домен с сохранением всех ключей и подписей? Стоит задача перевести машинки. Использую для этого ADMT с сохранением SID. До этого момента переезжали простые пользователи (после логина - свой рабочий стол, документы, все-все настройки. Все здорово), но некоторые , кто работает с ЭЦП, говорили, что ЭЦП не принимались после миграции. Им приходилось перевыпускать свои сертификаты тестовые. Теперь же мне предстоит перевести бухгалтеров, где каждый компьютер увешан как новогодняя елочка ключами, сертификатами и токенами. Поэтому нужно быть во все оружии. Если у кого-то был опыт перезда - подскажите, если нет - какие могут быть проблемы? Ключи на токенах, как я понимаю, не пострадают. Терялся в основном реестр (хотя SIDы одни и те же) Нашел вот такую ветку - http://www.cryptopro.ru/....aspx?g=posts&t=4227Но хотелось бы быть уверенным. Постараюсь ответить на все уточняющие вопросы!
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 11
Откуда: Москва
|
Ключи привязываются к SID пользователя.
При переезде генерируется новый SID, а старый заносится в SIDHistory.
Соответственно сейчас тренеруюсь с восстановлением ключей с новым SIDом...
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
|
Если вам нужно сделать перенос ключей реестра при смене домена, тогда вам потребуется:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList в этой ветке реестра посмотрите SID пользователя в предыдущем домене.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\USERS\SID-пользователя\Keys для 64
HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS\SID-пользователя\Keys для 32
начиная с раздела SID-пользователя будете менять права до соответствующую ветку реестра до самих ключей (наследовать права не получится), как доберетесь до нужного ключа экспортируете ветку реестра, в ней замените SID-пользователя со старого на новый, импортируете и все будет работать.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 11
Откуда: Москва
|
Мясников Роман написал:
начиная с раздела SID-пользователя будете менять права до соответствующую ветку реестра до самих ключей (наследовать права не получится), как доберетесь до нужного ключа экспортируете ветку реестра, в ней замените SID-пользователя со старого на новый, импортируете и все будет работать.
Права изменять пока не потребовалось на тестовой машине - там я админ и импорт-экспорт прошел нормально. Я экспортировал ветки с ключами, заменил там SIDы и после ввода машины в новый домен - импортнул данные обратно. Ветка появилась с корректными правами, все ключи на месте. Но в Эксполорере при попытке просмотреть сертификаты - их не видно. Если сделать следующее - Открыть CryptoPro CSP - Сервис - просмотр сертификатов в контейнере - там видны все ключи из импортированной ветки реестра. Если каждый просмотреть и жмакнуть Установить (плюс установить корневой центр сертификации)- все нормально работает. Это так надо? или оно должно заводиться вообще без каких-либо лишних манипуляций? Сертификаты делал тестовые
|
|
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,383   Откуда: Москва Сказала «Спасибо»: 11 раз
Поблагодарили: 70 раз в 48 постах
|
Правильно, после переноса ключей -сертификаты нужно установить. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 11
Откуда: Москва
|
Большое спасибо!
В скором времени пойду на бухгалтеров :)
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2012(UTC)
Сообщений: 11
Откуда: ярославль
Сказал(а) «Спасибо»: 1 раз
|
товарищи у меня проблемка похожа на эту. выручайте. сертификат с ключом в реестре. нужно перенести на др. машину. експортирую из реестра всю папку юзера из
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\USERS\
экспортирую сам сертификат.
после импорта на др. машине, сертификат не находит key.
где косяк?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
|
Вам сначало надо найти ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Выбрать SID(имеет вид типа S-1-5-21-1993962763-492894223-1202660629-6195), и посмотреть ProfileImagePath, в конце строки найдете имя пользователя, которому принадлежит этот SID.
Потом найти ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS\SID_текущего_пользователя. И экспортировать.
Переносите на другой ПК ветку реестра в ней замените SID-пользователя со старого на новый, импортируете и все будет работать.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2012(UTC)
Сообщений: 11
Откуда: ярославль
Сказал(а) «Спасибо»: 1 раз
|
У меня получилось! всем спасибо!
Есть еще один вариант как это сделать. Через КриптоПро CSP. В оборудовании регестрирую свою флешку, как считыватель. затем в сервисах копирую контейнер на флешку. и несу на др. машину.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
