Вход | Регистрация


Информационные технологии :: Администрирование

Перемещаемые КЭП

Перемещаемые КЭП
Я
   zak555
 
18.05.18 - 12:08
добрый день!

есть терминальный сервер, на котором есть пользователь

часть пользователей являются ГБ и они отправляю отчётность из-под своей учётки
контейнер ключа и сертифкат установлены у ГБ в реестре

ГБ может заболеть или уйти

с помощью чего (кроме вручную) можно реализовать перемещение закрытой части ключа и сам сертификат от одного терминального пользователю другому?
 
 
   МимохожийОднако
 
1 - 18.05.18 - 12:10
Перенести сертификаты из реестра на флешку или общую папку
   zak555
 
2 - 18.05.18 - 12:13
(1) ну не сертификаты наверное, а контейнеры ?

но тогда надо зайт под пользователем и из контейнера установить сертифкат
   arsik
 
3 - 18.05.18 - 12:16
(2) Установи сертификат на сервер терминалов не в хранилище юзера, а в хранилище компа. Он буде доступен всем пользователям. И перенесите на флешку контейнер.
   mistеr
 
4 - 18.05.18 - 12:40
(0) Дополнительное хранилище сертификатов на флешке или железном токене в сейфе.
   zak555
 
5 - 18.05.18 - 13:46
(3) доступ должен быть у тех пользователей, кому разрешен он
   Йохохо
 
6 - 18.05.18 - 13:52
(5) закрытый в контейнере
   arsik
 
7 - 18.05.18 - 14:26
(5) Ну так сертификат то тут при чем? Без ключа в контейнере он бесполезен.
   zak555
 
8 - 18.05.18 - 15:03
(7) открытой частью шифруют
   Йохохо
 
9 - 18.05.18 - 15:18
(8) открытой проверяют подпись
   zak555
 
10 - 18.05.18 - 15:22
(9) как тогда налоговики расшифровывают сообщения, зашифрованные налогоплательщиками ?
 
 Рекламное место пустует
   Йохохо
 
11 - 18.05.18 - 15:24
(10) вот такое оно асимметричное шифрование. И они не расшифровывают, а проверяют подпись с помощью открытого ключа
   Aleksey
 
12 - 18.05.18 - 15:26
(5) ну так кому подключишь (установишь) тому и будет доступ. так что в чем проблема?
   zak555
 
13 - 18.05.18 - 15:27
(11 > И они не расшифровывают

налогоплательщик все отчёты, передаваемые в ифнс, шифрует

как без расшифровки инфс сможет прочитать xml ?
   Вафель
 
14 - 18.05.18 - 15:30
(13) расшифровывают открытм ключом
   Йохохо
 
15 - 18.05.18 - 15:30
(13) основная цель ЭЦП - подписать. Подпись идет секретным ключем, проверка известным всем открытым.. Шфирования нету в функциях, шифруется канал связи
   Гость из Мариуполя
 
16 - 18.05.18 - 16:05
Ну-у-у, ГБ меняются не так часто, можно и вручную поработать.

но если очень хочется автоматизировать этот процесс, то можно нужные ветки реестра у одного пользователя взять,  другому вставить.
в общем то в инете на эту тему есть, вот здесь не только про закрытые ключи, но и про сами сертификаты:
https://serveradmin.ru/perenos-konteynerov-zakryityih-klyuchey-i-sertifikatov-cryptopro/

а вот здесь скриптом пытали:
http://forum.oszone.net/thread-324769.html

так что направление есть, а вот рыть в этом направлении - тут уж сам :)
   zak555
 
17 - 18.05.18 - 16:28
(16) часто )
   Redkiy
 
18 - 18.05.18 - 16:46
(16) добавлю еще комментарий
Работая с реестром через утилиту psexec можно из под своего сеанса импортировать контейнеры любым пользователям.
Тут подробно
http://tmie.ru/index.php/ru/soft/bukhgalterskij/27-perenos-kriptopro-klyuchej-etsp-sertifikatov-s-odnogo-kompyutera-na-drugoj
   Звездец
 
19 - 18.05.18 - 16:49
а в чем проблема? доступны всем, а пароли только избранным
   Redkiy
 
20 - 18.05.18 - 16:52
(19) Что знают двое, знает и свинья (с)
   Звездец
 
21 - 18.05.18 - 16:54
(20) ну тогда и админ контейнер с паролем может увести
   Сияющий в темноте
 
22 - 18.05.18 - 22:45
При отправке отчетности вы выбираете сертификаты получателей и в них открытые ключи,которыми шифруетсч,чтобы только владелец закрытого ключа смог расщифровать,а закрытый ключ организации используется для подписания файла,чтобы на той стороне могли проверить подлинность документа при помощи открытого публичного ключа
   Garykom
 
23 - 18.05.18 - 23:05
Сделай свой "сервис" отправки отчетов.

Файлик отчета отправляется под юзерскими логин/паролем, далее сервис сверяет и если можно то сам подписывает и отправляет автоматически.

Т.е. контейнер ключ стоит не у пользователя а на сервере/сервисе под своей учеткой.
   xXeNoNx
 
24 - 19.05.18 - 06:50
(0) Мы реализовали так: есть учетка, специально для оптравки отчетности, учетные данные известны узкому кругу людей, которые отправляют отчетность.
Делаются бекапы реестра, после обновления ключей
   Партизан
 
25 - 19.05.18 - 08:39
(13), (14), (15) Операции подписания и шифрования разделены, а именно:
1. Чтобы отправить получателю неподписанное зашифрованное сообщение, отправитель ШИФРУЕТ его с помощью ОТКРЫТОГО ключа ПОЛУЧАТЕЛЯ. Получатель расшифровывает полученное сообщение с помощью СВОЕГО ЗАКРЫТОГО ключа. Расшифровать сообщение может только получатель.
2. Чтобы подписать свое сообщение, отправитель подписывает его с помощью своего ЗАКРЫТОГО ключа. Любое стороннее лицо может проверить подлинность подписи с помощью ОТКРЫТОГО ключа отправителя (подписанта).
3. Объединив операции из пунктов 1 и 2 получим обмен зашифрованными подписанными сообщениями, то есть то, как оно работает при обмене отчетности с ИФНС и прочими.


Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует