Актив директори, можно ли выдавать ЭЦП юзерам автоматически?

Question

[Виктор Таран]

Доброго времени суток.
Задача от заказчика: мануал сотрудникам и ИП клиентам как им подписывать Самоподписаным ЭЦП документы.

Задача: Самоподписаные эцп, для подписания WODR OUTLOOK PDF
Вопрос:
Можно ли использовать AD для автоматической выдачи этих сертификатов сотрудникам компании , дабы они просто могли подписывать в winword... outlook и вообще ничего для этого не делать ну или по минимуму ?
Сертификаты выдает АД и устанавливает их на комп?
Возможен ли вариант с доверительными сертификатами ( тут пока только да и нет)?

Самый простой способ сделать эцп для физ лиц самоподписаный разумеется (ман с установкой) сказал бы баш скрипт но это винда ;(. Тут я не силен.
Заранее спасибо.

Answer 1

[Максим Гришин]

Для выдачи - можно, для автовыдачи - нет, потому что пользователь - существо перемещающееся, и нужно будет за ним таскать ключи от сертификата. Комп свой закрытый ключ в реестр положил и больше ничего не надо, а пользователю будет достаточно пересесть, чтобы потерять свой сертификат. Потом следить за ними неудобно будет. В принципе всё равно можно, только за собственным файлом PFX пользователю придется следить самому, и импортировать его на каждый ПК, на котором он будет работать в вордах и оутлуках.

К подписи требуется доверие, а как его получить, если всё самоподписанное? Кто угодно снял подпись, изменил, переподписал, и у вас проблемы. Поэтому только AD CS, только хардкор :) (Любая служба PKI подойдет, но если уж есть у вас AD, его надо по максимуму использовать.)

Comments

[Виктор Таран]

Смысл всей возни именно доверительный сертификат выданный нашей компанией, по сути мы будем делать в первую очередь выдачу этих сертификатов ИПшникам которые с нами работают чтоб подписывать документы с их стороны, ну и не кисло быбло бы их подписывать и с нашей уж если мы их всеравно будем выдавать. ( платные опять же пока опускаю)

Так что если документ нашим же сотрудником будет переподписан ( от его лица) тут ничего страшного нет. ( от другого сотрудника один фиг не подпишет)

Пользователь таскается с комап на комп

, факт, но таки он вводит свои данные в виде логина и пароля, собственно последние это его трудность, их кроме него никто не знает, в чем именно проблема таскать его за собой? Опять же сертификаты имеют особенность кончаться, а следовательно и перевыпускаться.
В виндовс ведь для этого есть целый сервис, притом уже привязаный к учетке.
Насколько я понимаю сертификат не импортирует ся в ворд и аутлук , он устанавливается в ос, а ворд и аутлук и тд их тупо видят.

[Максим Гришин]

Сертификаты от пользователя хранятся в AD, а вот закрытые ключи от них - нет, они хранятся на том носителе, который указывает криптопровайдер, с которым выполняется генерация ключевой пары. У нас это Aktiv Co. RuToken CSP, установленный локально, соответственно, пара лежит на ключе, а ключ пользователь с собой таскает вместе с сертификатом. По умолчанию в шаблонах прописывается Microsoft Strong чего-то-там CSP, он ключи пишет в реестр того компа, с которого выполнен запрос на сертификат, раздел HKCU. По идее, если включить roaming profile в домене, класть профили вместе с реестром пользователя на шару, то можно с переносом сертификата и не париться, так как подтянется при загрузке профиля через сеть.

Подпись сертификата выполняется в момент выдачи, текущим сертификатом того ЦС, который выдал, так что с этим вам париться не надо - имеете ЦС, который выдает сертификаты, его серт публикуете, чтобы могли проверить выданные им сертификаты, публикуете от него CRL/OCSP (отдельно настраивать надо).

А так да, можно, только дорабатывать надо. ЕМНИП автоматическая выдача сертификатов пользователя недоступна, и это логично - верификацию пользователя должен выполнять администратор, а верификацию запроса на сертификат (особенно если его кривое применение стоит денег) - администратор центра сертификации. В конце концов, если у кого-то утек логин/пароль, сертификат станет доступен, и мало ли что атакующий натворит с его помощью, в том числе переподпишет документ от лица того сотрудника, в том числе получит себе новый сертификат для противоправных действий - из-за этого запросы на сертификат для задач отличных от client identification желательно проверять вручную - а тот ли человек запросил, не стояли ли за его спиной нехорошие люди, итд итп. То есть можно, но выдачу автоматизировать нельзя. Запросить - пожалуйста, создаете шаблон сертификата, разрешаете некоторой группе в AD на него read и enroll, рассылаете инструкцию по работе с оснасткой "сертификаты", проверяете, как она работает, потом шлеп-шлеп и в продакшн.

[Максим Гришин]

"пара лежит на ключе" - ключ это рутокен, СКЗИ с пин-кодом для доступа к ключевым парам лежащих на нем сертификатов. Нам нужен в том числе для авторизации извне сети, где недоступен перемещаемый профиль.