Пара вопросов

Добрый день.

Приобрел рутокен ЭЦП Flash 4 Гб, планирую использовать для SSH и Bitlocker для начала. ОС Windows 7 x64.
Это мой первый опыт использования подобных вещей, просьба поправить меня если я где ошибаюсь или принимаю не оптимальное решение.

Первый шаг  - мне надо скачать и установить последние драйвера для Win x64 с вашего сайта.

Второй шаг - выбрать программу для управления ключами и сертификатами. Много читал и тут и в интернете, везде куча тонкостей. Наиболее простым и надежным мне показалось использовать программу XCA, она есть и под Windows.
Вопрос: какую библиотеку rtPKCS11ECP.dll мне использовать в этой программе: ту, что установилась с драйверами или скачать с вашего сайта отдельно ? Если отдельно, то какую версию: x86 или x64 ?

Третий шаг - инициализация токена. Пришел к выводу, что лучше всего сделать через панель управления токеном, которая поставилась вместе с драйверами.

Четвертый шаг - Создание ключей и сертификатов. Через XCA все создается без вопросов. PuttySC эти сертификаты видит. А вот через панель управления токеном сертификаты не видны. Пару раз мне как-то удавалось сделать так, чтобы они там появились, но я не смог выработать точную последовательность действий для этого.
Может быть в XCA нужно выставлять какие-нибудь особые параметры при генерации сертификата, чтобы он стал виден в панели управления токеном?
Т.к. сертификата нет в панели, соответственно я не могу использовать bitlocker.
Причем, если ключ и сертификат сгенерировать без использования токена, а потом их импортировать на токен через панель управления токеном, то сертифкат там отображается и можно поставить галку, чтобы заработал bitlocker.

Пятый вопрос - можно ли стандартными средствами сделать так, чтобы доступ к флеш-накопителю на рутокене осуществлялся по паролю/пин-коду? Через Bitlocker получилось (зашифровав раздел флешки сертификатом с токена), но вдруг есть более простое и/или надежное/элегантное решение.

Заранее благодарен за любые ответы, рекомендации и замечания.

(2015-03-10 15:01:46 отредактировано Алексей Несененко)

Re: Пара вопросов

Здравствуйте.

Начну с Вашего последнего вопроса.
К сожалению у нас нет штатного функционала ограничения доступа к флеш-части Рутокена по PIN-коду(паролю)

Защитить же флэш-часть Рутокена с помощью шифрования можно.
Это можно сделать используя Bitlocker или же используя TrueCrypt.

Далее по Вашим шагам-вопросам:

1 - правильно - надо установить драйвера Рутокен соответствующие разрядности Вашей ОС

2 - Если уж использовать функционал Windows, то можно обойтись без сторонних программ. Самоподписанные сертификаты можно создать средствами ОС - https://technet.microsoft.com/ru-ru/lib … 2147217396
Отдельно использовать библиотеку не нужно - достаточно той что устанавливается вместе с драйверами.

3 - инициализация Рутокена необходима если Вы хотите ПОЛНОСТЬЮ очистить его память от всей записанной ранее информации

4 - достаточно подробная инструкция по созданию самоподписанных сертификатов доступна по ссылке, которую я привел во втором пункте
Эти сертификаты будут видны через Панель управления Рутокен.


P.S. Тема битлокера и некоторые возникшие при этом вопросы уже обсуждалась на нашем форуме - https://forum.rutoken.ru/topic/2081/

Re: Пара вопросов

ответ на вопрос

Может быть в XCA нужно выставлять какие-нибудь особые параметры при генерации сертификата, чтобы он стал виден в панели управления токеном?

Для создания ключей и сертификатов совместимых с криптопровайдером в XCA пользуйтесь провайдером rtPKCS11.dll
(если будете rtPKCS11ECP пользоваться - сертификаты в панели управления видны не будут)

Re: Пара вопросов

огромное спасибо, все получилось