Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline iva77_ru  
#1 Оставлено : 14 мая 2021 г. 14:52:21(UTC)
iva77_ru

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.12.2019(UTC)
Сообщений: 6
Российская Федерация
Откуда: Москва

На win 2008 r2 cтоит серверная крипто-про csp 4.0.*
Можно ли на сервере установить сертификаты ЭЦП в личные (локальный компьютер), так, чтобы все пользователи могли использовать их для подписания/шифрования?
Offline two_oceans  
#2 Оставлено : 17 мая 2021 г. 7:12:33(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Добрый день.
Уточню, закрытый ключ обязательно используется при подписании и расшифровании, а при шифровании может не использоваться (шифрование с эфемерным ключом).

К вопросу: да, со стороны криптопровайдера такая техническая возможность дать доступ нескольким пользователям к сертификату в хранилище компьютера есть. Сможет ли программа, в которой подписываете, найти сертификат в хранилище компьютера - другой вопрос. С точки зрения безопасности конечно лучше выбрать конкретных пользователей кому предоставлен доступ, во избежание различных атак на служебных пользователей. Проблема, насколько помню, была только с некоторыми нововведениями на последних серверных ОС (виртуальные учетные записи для служб не разграничиваются).

Обратите внимание, что если включена служба "Распространение сертификатов" (на win 2008 r2), то сертификат и привязка из хранилища компьютера будут скопированы каждому пользователю (при входе), независимо от того, есть ли у пользователя фактический доступ к контейнеру. Пользователи, не имеющие доступа смогут выбрать сертификат, но получат ошибку при попытке подписания.

Процесс установки примерно такой же как и при установке сертификата для пользователя, нюансы такие:
1) устанавливать нужно под пользователем с правами администратора;
2) запустить панель управления КриптоПро с правами администратора (это разблокирует выбор варианта "компьютер");
3) установить сертификат выбрав хранилище "компьютера" и привязав к контейнеру "компьютера" (флешки, токены, несистемные разделы диска одинаково видны и в режиме пользователя и в режиме компьютера - копировать контейнер не нужно, реестр и считыватель директория - может требоваться копирование контейнера);
4) через оснастку Сертификаты (опять же с правами администратора) находите нужный сертификат в хранилище компьютера Личные - правой кнопкой мыши - управление закрытыми ключами - выбираете нужных пользователей и даете им полный доступ.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.