Статус: Новичок
Группы: Участники
Зарегистрирован: 03.12.2008(UTC)
Сообщений: 8
Откуда: Екатеринбург
|
Здравствуйте!
У нас достаточно много серверов на которые постоянно нужно устанавливать сертификаты пользователя.
Хотелось бы автоматизировать эту задач.
Побывали её решать следующим способом:
1. Копировали файлы самих сертификатов и ключи.
2. Копировали всю ветку с контейнерами крипто-про для данного пользователя на удалённый компьютер.
Иногда работало, но проблема в том, что владельцем ветки с контейнером должен быть сам пользователь.
И вот при установки прав на ветки реестра удалённо возникают разные необъяснимые коллапсы.
Очевидно, что этот способ не совсем правильный.
Не подскажете как возможно реализовать копирование сертификата и контейнера на удалённый компьютер?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732  Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
проще всего это сделать штатным средствами CSP, из панели управления - "Скопировать контейнер" и "Установить личный сертификат"
манипуляции с реестром действительно не совсем правильный способ.
если не хочется писать утилиту для автоматизации самим, можно воспользоваться csptest -ipsec.
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.12.2008(UTC)
Сообщений: 8
Откуда: Екатеринбург
|
Kirill Sobolev написал:проще всего это сделать штатным средствами CSP, из панели управления - "Скопировать контейнер" и "Установить личный сертификат"
манипуляции с реестром действительно не совсем правильный способ.
если не хочется писать утилиту для автоматизации самим, можно воспользоваться csptest -ipsec.
Эта утилита устанавливает сертификат и контейнер локально, а для удалённой установки ничего нельзя придумать? Просто заходить на сто с лишнем серверов и устанавливать сертификат пользователя весьма утомительно :)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
а как осуществляется удаленный доступ к серверам? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.12.2008(UTC)
Сообщений: 8
Откуда: Екатеринбург
|
Kirill Sobolev написал:а как осуществляется удаленный доступ к серверам? Они находятся в одной сети. Мы на них ходим с помощью RDP, но возможны и другие варианты. P.S. А, если с помощью PSEXEC удалённо запустить "csptest -ipsec", то тогда будет возможна установка контейнера и привязка к нему сертификата? Просто я не понимаю как с помощью неё можно установить контейнер :(
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.12.2008(UTC)
Сообщений: 8
Откуда: Екатеринбург
|
Кирил большое Вам спасибо! Вопрос решился, с помощью PSEXEC импортируем ветку реестра с контейнером на удалённую машину, а потом делаем привязку сертификата к этому контейнеру с помощью "csptest -ipsec -reg -key <...> -mycert <...>" Отредактировано пользователем 22 декабря 2008 г. 17:09:31(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.12.2008(UTC)
Сообщений: 8
Откуда: Екатеринбург
|
Kirill Sobolev написал:проще всего это сделать штатным средствами CSP, из панели управления - "Скопировать контейнер" и "Установить личный сертификат"
манипуляции с реестром действительно не совсем правильный способ.
если не хочется писать утилиту для автоматизации самим, можно воспользоваться csptest -ipsec.
Цитата:Вопрос решился, с помощью PSEXEC импортируем ветку реестра с контейнером на удалённую машину, а потом делаем привязку сертификата к этому контейнеру с помощью "csptest -ipsec -reg -key <...> -mycert <...>" Рано радовался Да сертификат таким способом устанавливается. Но вот пользоваться им после такой установки не возможно (: Пишет "Вставьте ключевой носитель" Вот как делаю (установка сертификата в личные компьютера): 1. Импортирую файл реестра с контейнером. Создаётся ветка реестра HKLM\SOFTWARE\Crypto Pro\Settings\Keys\containerName 2. Запускаю csptest -ipsec -Reg -key containerName -mycert c:\Certificate\certificateName.cer После этого он появляется в хранилище Компьютер\Личные, нормально открывается... Но вот, если допустим надо установить его в качестве сертификата сервера, он пишет "Вставьте ключевой носитель containerName". Тоже самое происходит, если через панель Крипто-Про находить контайнер по сертификату... P.S. Если устанавливать сертификат из контейнера с помошью "csptest -property -cinstall", то всё нормально... Но этот способ не всегда подходит.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 117
Откуда: Ставрополь
Поблагодарили: 1 раз в 1 постах
|
у меня ветка реестра немного иная HKLM\SOFTWARE\Crypto Pro\Settings\USERS\S-1-5-21-(много цифр)\Keys\containerName
Цифры обычноы для разных систем разные |
icq 318383
Инженер, Кордон |
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.12.2008(UTC)
Сообщений: 8
Откуда: Екатеринбург
|
Alexkurd написал:у меня ветка реестра немного иная HKLM\SOFTWARE\Crypto Pro\Settings\USERS\S-1-5-21-(много цифр)\Keys\containerName
Цифры обычноы для разных систем разные Эти цифры - SID пользователя. Но сейчас я говорю про контейнер компьютера.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.12.2008(UTC)
Сообщений: 8
Откуда: Екатеринбург
|
А может быть такое, что при использование сертификата (установленного в личные компьютера) Крипто-Про ищет контейнер у пользователя?
Попробовал написать установку сертификата и привязать его к контейнеру сам и получил такой же результат, как и при использование csptest -ipsec.
Причём если в панели Крипто-Про Посмотреть сертификат в контейнере и выбрать контейнер по сертификату, то он автоматом переключает "Введённое имя задаёт..." на пользователя, переключая самостоятельно на компьютер он естественно нормально отображает сертификат.
Но когда IIS обращается к сертификату, то Крипто-Про видать всё таки смотрит контейнер у пользователя.
В чём может быть проблема?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
