Форум Рутокен — Вход на доменный RDP при помощи Рутокен и ГОСТ сертификатов

Re: Вход на доменный RDP при помощи Рутокен и ГОСТ сертификатов

null@example.com (snussi) — Fri, 02 Feb 2024 06:46:03 +0000

Технически RSA всем устраивают, и все работает из коробки. Но была идея попробовать перейти на ГОСТ, импортозамещение и все такое.

Спасибо большое за помощь, Кирилл!

Re: Вход на доменный RDP при помощи Рутокен и ГОСТ сертификатов

null@example.com (Аверченко Кирилл) — Fri, 02 Feb 2024 06:13:43 +0000

Нет, кроме КриптоПро CSP и VipNet CSP больше никто не поддерживает ГОСТ, насколько мы знаем.
А чем не устраивают RSA ключи?

Re: Вход на доменный RDP при помощи Рутокен и ГОСТ сертификатов

null@example.com (snussi) — Thu, 01 Feb 2024 12:40:42 +0000

Кирилл, добрый день.

Большое спасибо за ответ!

КриптоПро пробовали, но он требует установки на контроллер домена, выпуска сертификатов контроллера домена и тд, что выливается в достаточно приличные суммы.

Может быть Вы слышали о каких-нибудь реализациях на базе OpenSSL (под Linux-то все это работает, если мы даже сертификат можем выпустить).
В принципе, нам не нужно сертифицированное решение, мы просто хотим для авторизации пользователей уйти от RSA в сторону ГОСТ ключей, по крайней мере на первом этапе.
На первый взгляд, гугление приводит к старой статье на Хабре, где кто-то показал "рыбу" CSP на базе Microsoft Cryptographic Service Provider Development Kit, но может есть что-то более актуальное?

Кстати, сам криптопро на наших серверах RDP установлен (серверная версия), но при попытке использовать "его" winlogon при попытке входа просто пропадает возможность выбрать карту. Я это связываю с тем, что не установлена полноценная инфраструктура КриптоПро во всем домене, в частности на контроллерах домена...

Буду признателен за любую "наводку" по теме...

Re: Вход на доменный RDP при помощи Рутокен и ГОСТ сертификатов

null@example.com (Аверченко Кирилл) — Thu, 01 Feb 2024 10:49:58 +0000

snussi, добрый день.
Да, вы все правильно поняли. Без КриптоПро или VipNet ГОСТ сертификаты не заработают. Так как, по-умолчанию, в Windows нет ГОСТ-криптопровайдеров.

Вход на доменный RDP при помощи Рутокен и ГОСТ сертификатов

null@example.com (snussi) — Thu, 01 Feb 2024 10:18:18 +0000

Добрый день, уважаемые коллеги.

В настоящий момент, у нас развернут домен и RDP, вход в который происходит при помощи RSA сертификатов, записанных на Рутокен ЭЦП. Сертификаты выдает свой самоподписанный УЦ, все работает (мы прописали корневой сертификат в домене) без дополнительного ПО (не считая драйверов Рутокен).

Мы попробовали средствами OpenSSL создать новый корневой сертификат с алгоритмами ГОСТ, на Рутокене при помощи https://ra.rutoken.ru/ создали ГОСТ сертификат, указали все требуемые дополнительные расширения сертификата, подписали своим корневым сертификатом.
Сам корневой сертификат прописали в домен.

При входе на сервер по логину-паролю, мы видим, что сертификат действительный, вся цепочка проходит проверку. Однако, при попытке входа по сертификату, появляется ошибка "Не найден действительный сертификат пользователя".

Правильно ли я понимаю, что для того, чтобы входить по сертификату пользователя, необходимо поставить КриптоПро WinLogon и без его установки сертификат не будет распознаваться Windows и, соответственно, вход будет невозможен, или мы что-то делаем не так и нужно внимательнее покопаться в настройках?
Повторюсь, с RSA сертификатом все работает именно так, как мы хотим.

Заранее спасибо за помощь!

С уважением, Василий.