Как организовать работу сотрудников по ЭЦП?

Question

[Goold]

Поделитесь опытом! ну пожалуйста !
Как организована работа с большим количеством ЭЦП
Есть портал "технокад" и 26 человека которые должны заходить туда под ЭЦП, а выдает ЭЦП казначейство. И это только к одному порталу.

Очень сложно ходить и добавлять руками в реестр ЭЦП.

Нашел тему но там обсуждалось совсем другое , а зацепило следующее высказывание

"Уже более года все наши сотрудники работают только в опубликованных приложениях, а централизуем мы всё это через Parallels RAS. Есть у нас и автоматический механизм публикации ЭЦП: если авторизованный пользователь запускает сайт, допустим таможни, то предварительно в его HKCU пишется ЭЦП компании и запускается нужный плагин"

Может кто-то из вас уже проходил этот этап?

Comments

[hint000]

Есть портал "технокад" и 26 человека которые должны заходить туда под ЭЦП

Это тот самый Технокад, который творит непотребства и беспредел?
https://qna.habr.com/q/1046718

[Goold]

Да, но раньше у них был облачный сертификат , а теперь переводят на локальный. И тут началось )

Answer 1

[Василий]

не шарю, но исходя из своих ограниченных знаний, представляю что можно сделать автоматическую развёртку контейнеров с ключами в реестр пользователей.
https://ca.kontur.ru/faq/teh/kopiya-klyuchevogo-ko...
в конце пункт под названием: "Копирование контейнера из реестра другого пользователя"
Это как экспортировать один ключ из реестра в реестр другого юзера. Нужно вытащить один контейнер из реестра, затем написать скрипт на powershell, который будет запрашивать sid текущего пользователя(и разрядность системы, если у вас зоопарк), и подставлять его вместо sid предыдущего пользователя
и получившийся .reg файл запускать. А скрипт распространить можно через групповые политики. Через групповые же политики, распространить и сертификат к полученному контейнеру, там уже так шаманить не нужно.
Должно сработать в теоретической теории, по крайней мере пока что не вижу, почему не должно сработать.

Comments

[Армянское Радио]

Есть правда маааленькая проблема - перенос ключа ЭЦП с физического токена, который находится у пользователя, куда-то в облако, подрывает саму идею безопасной ЭЦП.

[Василий]

Армянское Радио, нужно ещё пароль увести (он ведь не собирается оставить её без пароля. Не собирается, да?)
А так да, но я исходил из того, что "Очень сложно ходить и добавлять руками в реестр ЭЦП.", то есть всего лишь предложил автоматизацию того, что человек и так хотел сделать. По красоте нужно раскидать эцп по 26 ключевым носителям и выдать каждому свой. На один носитель можно записать сразу несколько ключей к нескольким системам.

[Армянское Радио]

snaiper04ek, пароль является слабой защитой, поскольку, постольку если запароленный ключ уведут, возможности Евы по подбору этого пароля будут ограничены только ее фантазией и размером видеокарты

[Goold]

snaiper04ek, попробую идея хорошая. А по рдп никаких идей нет ?

[fpir]

Goold, а какие вам идеи про рдп? Ключ в реестре ползователя на сервере RDP, если хотите, даже сервере remoteAPP. Т.к приложение на сервере, то и реестр у него на сервере, и ключи оно там берёт. Всё работает легко и непринуждённо. Единственно, скопировать ключи с токена в реестр всёж придётся.

[Goold]

fpir, так это также придется зайти под каждым из 26 человек в реестр пользователя и добавлять ключи=)) правда сидя на жопе, а не бегая по этажам.

[fpir]

Goold, вроде да, криптопро запускается как обычная программа от того пользователя который залогинен или от того, который указан(запуск от имени..), сама она пользователей не умеет. Если не ошибаюсь. 26 пользователей автоматизировать - если такой вопрос возник -стоит только для челенжа.