База знаний
КриптоПро CSP c доступом к локальным смарт-картам по RDP
Опубликовано Наталья Мовчан on 2020-03-30 13:43

Текущие сертифицированные версии КриптоПро CSP не поддерживают работу с локальными смарт-картами(смарт-картами, вставленными в машину, к которой подключаемся) в RDP-сессии, настроек, позволяющих решить эту задачу Microsoft не предоставляет.

Нами подготовлена и выложена предварительная версия КриптоПро CSP 4.0 с поддержкой функционала доступа к локальным смарт-картам по RDP.

Данная версия реализовывает работу с локальными смарт-картами при подключении по RDP для новых криптопровайдеров:

Crypto-Pro GOST R 34.10-2001 System CSP

Crypto-Pro GOST R 34.10-2012 System CSP

Crypto-Pro GOST R 34.10-2012 Strong System CSP

Учётная запись, которая обращается к локальным смарткартам, должна входить в локальную группу администраторов или «Привилегированные пользователи КриптоПро CSP» (CryptoPro CSP Power Users), которую можно создать при необходимости.

Для работы с данными провайдерами необходимо:

1)использовать CSP версии КС1 с хранением ключей в памяти приложений, но доустановить службу хранения ключей с помощью панели управления CSP или команды:

msiexec /i {407E5BA7-6406-40BF-A4DC-3654B8F584C1} ADDLOCAL=cpcspr1

2) применить reg-файл, создающий специальный криптопровайдер и модифицирующий параметры службы хранения ключей. В частности, для

Crypto-Pro GOST R 34.10-2012 System CSP:

 

Windows Registry Editor Version 5.00

 

;Register new CSP with SCARD media and system service endpoint

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Crypto-Pro GOST R 34.10-2012 System CSP]

"CP Module Entry Point"="DllStartServer"

"CP Module Name"="cpcspr.dll"

"Image Path"="C:\\Program Files\\Crypto Pro\\CSP\\cpcsp.dll"

"ImpType"=dword:00000008

"ProductCode"="{407E5BA7-6406-40BF-A4DC-3654B8F584C1}"

"CP Service Name"="CryptoPro CSP Service 0"

"CP Service UUID"="6E57FEEE-08E0-46ad-98C6-266B632C03FE"

"SigInFile"=dword:00000001

"Media"="SCARD"

"Type"=dword:00000050

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults\Provider\Crypto-Pro GOST R 34.10-2012 System CSP]

"CP Module Entry Point"="DllStartServer"

"CP Module Name"="cpcspr.dll"

"Image Path"="C:\\Program Files (x86)\\Crypto Pro\\CSP\\cpcsp.dll"

"ImpType"=dword:00000008

"ProductCode"="{407E5BA7-6406-40BF-A4DC-3654B8F584C1}"

"CP Service Name"="CryptoPro CSP Service 0"

"CP Service UUID"="6E57FEEE-08E0-46ad-98C6-266B632C03FE"

"SigInFile"=dword:00000001

"Media"="SCARD"

"Type"=dword:00000050

 

;Set service no impersonate

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cpcsp\Parameters]

"NoImpersonate"=dword:00000001

 

;Disable pin cache

[HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters]

"AuthPositions"=dword:00000020

 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters]

"AuthPositions"=dword:00000020

 

3)Перезапустить службу:

net stop cpcsp && net start cpcsp

4)Переустановить сертификаты, необходимые для работы по RDP, с привязкой к закрытому ключу на локальной смарт-карте.

5)Выключить  службу распространения сертификатов CertPropSvc. (В противном случае сертификаты придется переустанавливать снова)

Важно!

Для работы с  контейнерами через панель КриптоПро CSP нужно в выпадающем списке указывать нужный провайдер.

Не все программные продукты умеют работать с новыми провайдерами. В частности, Инструменты КриптоПро и КриптоАРМ пока не поддерживают их, но мы работаем над этим и в ближайшее время данная поддержка будет доработана.

Данная статья будет дополняться.

 

(15 плюсик(ов))
Класс!
Не очень :(

Коментарии (0)