Тема от snussi

  • snussi
  • Посетитель
  • Неактивен

Вход на доменный RDP при помощи Рутокен и ГОСТ сертификатов

Добрый день, уважаемые коллеги.

В настоящий момент, у нас развернут домен и RDP, вход в который происходит при помощи RSA сертификатов, записанных на Рутокен ЭЦП. Сертификаты выдает свой самоподписанный УЦ, все работает (мы прописали корневой сертификат в домене) без дополнительного ПО (не считая драйверов Рутокен).

Мы попробовали средствами OpenSSL создать новый корневой сертификат с алгоритмами ГОСТ, на Рутокене при помощи https://ra.rutoken.ru/ создали ГОСТ сертификат, указали все требуемые дополнительные расширения сертификата, подписали своим корневым сертификатом.
Сам корневой сертификат прописали в домен.

При входе на сервер по логину-паролю, мы видим, что сертификат действительный, вся цепочка проходит проверку. Однако, при попытке входа по сертификату, появляется ошибка "Не найден действительный сертификат пользователя".

Правильно ли я понимаю, что для того, чтобы входить по сертификату пользователя, необходимо поставить КриптоПро WinLogon и без его установки сертификат не будет распознаваться Windows и, соответственно, вход будет невозможен, или мы что-то делаем не так и нужно внимательнее покопаться в настройках?
Повторюсь, с RSA сертификатом все работает именно так, как мы хотим.

Заранее спасибо за помощь!

С уважением, Василий.

Ответ от Аверченко Кирилл

  • Аверченко Кирилл
  • Техническая поддержка
  • Неактивен

Re: Вход на доменный RDP при помощи Рутокен и ГОСТ сертификатов

snussi, добрый день.
Да, вы все правильно поняли. Без КриптоПро или VipNet ГОСТ сертификаты не заработают. Так как, по-умолчанию, в Windows нет ГОСТ-криптопровайдеров.

Ответ от snussi

  • snussi
  • Посетитель
  • Неактивен

Re: Вход на доменный RDP при помощи Рутокен и ГОСТ сертификатов

Кирилл, добрый день.

Большое спасибо за ответ!

КриптоПро пробовали, но он требует установки на контроллер домена, выпуска сертификатов контроллера домена и тд, что выливается в достаточно приличные суммы.

Может быть Вы слышали о каких-нибудь реализациях на базе OpenSSL (под Linux-то все это работает, если мы даже сертификат можем выпустить).
В принципе, нам не нужно сертифицированное решение, мы просто хотим для авторизации пользователей уйти от RSA в сторону ГОСТ ключей, по крайней мере на первом этапе.
На первый взгляд, гугление приводит к старой статье на Хабре, где кто-то показал "рыбу" CSP на базе Microsoft Cryptographic Service Provider Development Kit, но может есть что-то более актуальное?

Кстати, сам криптопро на наших серверах RDP установлен (серверная версия), но при попытке использовать "его" winlogon при попытке входа просто пропадает возможность выбрать карту. Я это связываю с тем, что не установлена полноценная инфраструктура КриптоПро во всем домене, в частности на контроллерах домена...

Буду признателен за любую "наводку" по теме...

Ответ от Аверченко Кирилл

  • Аверченко Кирилл
  • Техническая поддержка
  • Неактивен

Re: Вход на доменный RDP при помощи Рутокен и ГОСТ сертификатов

Нет, кроме КриптоПро CSP и VipNet CSP больше никто не поддерживает ГОСТ, насколько мы знаем.
А чем не устраивают RSA ключи?

Ответ от snussi

  • snussi
  • Посетитель
  • Неактивен

Re: Вход на доменный RDP при помощи Рутокен и ГОСТ сертификатов

Технически RSA всем устраивают, и все работает из коробки. Но была идея попробовать перейти на ГОСТ, импортозамещение и все такое.

Спасибо большое за помощь, Кирилл!