Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.0
»
КриптоПро + терминальные серверы + перемещаемый профиль
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.07.2008(UTC)
Сообщений: 7
|
При тестировании работы КриптоПро в условиях многосерверной терминальной среды наткнулись на одну интересную особенность. Но сначала я представлю уважаемым участникам форума краткое описание нашего тестового стенда. Итак, мы имеем:
1. Два терминальных сервера на базе windows 2003 server. Назовем их А и Б.
2. На каждом сервере установлено ПО КриптоПро CSP КС1 3.0.3300.3 и настроены считыватели реестра.
Говоря о многосерверной среде, мы имеем в виду терминальную ферму, каждый сервер которой идентичен остальным. Таким образом достигается первое условие "прозрачности". Позволю себе небольшое отступление. Когда мы говорим о "прозрачности", то имеем в виду, что для пользователя нет никакой разницы, на каком сервере фермы он работает. Сегодня он может работать на одном сервере, завтра на другом и т.д. Второе условие "прозрачности" - наличие перемещаемого профиля пользователя, расположенного на сетевом ресурсе.
Теперь собственно описание особенности:
1. При первом входе в терминальный режим пользователь попадает на сервер А. Там он выполняет процедуру импорта в реестр личного сертификата и соответствующего ему закрытого ключа, расположенных на съемном носителе.
2. Запускаем оснастку просмотра сертификатов текущего пользователя и видим в его личном хранилище сертификат, которому соответствует закрытый ключ.
3. Запускаем КриптоПро CSP, запускаем мастер просмотра сертификатов в контейнере закрытого ключа и видим соответствующий контейнер. Т.е., убеждаемся, что КриптоПро видит импортированный в реестр сертификат.
4. Выходим из терминального режима и осуществляем повторный вход, при этом пользователь попадает на сервер Б.
5. Запускаем оснастку просмотра сертификатов текущего пользователя и видим в его личном хранилище сертификат, которому соответствует закрытый ключ.
6. Запускаем КриптоПро CSP, запускаем мастер просмотра сертификатов в контейнере закрытого ключа и не видим нужного контейнера. Т.е. КриптоПро не видит сертификат пользователя в реестре. А он там есть.
Баг ли это?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,417  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 729 раз в 630 постах
|
Ключ пользователя хранится в ветке реестра - HKLM\Software\Crypto Pro\ - как раз для того, чтобы не попадал в перемещаемый профиль. С терминальным сервером удобнее использовать смарт-карты - они автоматически пробрасываются с клиента на сервер. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.07.2008(UTC)
Сообщений: 7
|
maxdm, может я и ошибаюсь, но в таком случае как объяснить тот факт, что, запустив оснастку сертификаты текущего пользователя на сервере Б, мы видим там его личный сертификат, которому соответствует закрытый ключ. ИМХО, это свидетельствует о том, что ключ все таки хранится в перемещаемом профиле. Но Крипто Про явно часть информации держит в реестре локальной машины. Возможно, это уникальный идентификатор безопасности, соответствующий пользователю.
Факт заключается в том, что в условиях многосерверной среды при использовании перемещаемого профиля мы не можем применять версию КС1 3.0.3300.3. Решение на основе смарт-карт в данный момент не интересует, т.к. при большом количестве пользователей это сулит большие финансовые и трудовые затраты при внедрении.
Но существует ли версия КриптоПро, позволяющая работать с перемещаемым профилем? Может, находится в разработке и планируется к выходу на рынок?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,417 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 729 раз в 630 постах
|
Сертификаты хранится в CU ветке, ключи в LM.
Такую доработку CSP Вы можете заказать у нас, но при этом она НИКОГДА не сможет быть сертифицирована. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.07.2008(UTC)
Сообщений: 7
|
OK. Вполне вероятно, мы закажем требуемую доработку. Но для принятия решения необходимо знать стоимость и сроки выполнения.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,417 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 729 раз в 630 постах
|
Обратитесь в коммерческий отдел. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.07.2008(UTC)
Сообщений: 7
|
Обращение в коммерческий отдел не дало никакого результата.
|
|
|
|
|
|
Статус: Администратор
Группы: Администраторы, Участники
Зарегистрирован: 13.12.2007(UTC)
Сообщений: 111
Откуда: Крипто-Про
Поблагодарили: 33 раз в 10 постах
|
Ну почему же не дало.
Скорее всего сделать это можно и довольно просто.
На этой неделе напишем.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,417 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 729 раз в 630 постах
|
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.07.2008(UTC)
Сообщений: 7
|
Спасибо. Разрешите заодно поинтересоваться, где можно ознакомиться с информацией по лицензированию КриптоПро CSP 3.0 в терминальном режиме.
|
|
|
|
|
|
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.0
»
КриптоПро + терминальные серверы + перемещаемый профиль
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
