Коллеги, добрый день. Есть у кого-нибудь опыт работы с электронной подписью в VPN соединении через веб-клиент в браузере IE к опубликованному на веб-сервере IIS базе 1С:ДО. Сертификаты на флешках. Сертификация через Microsoft Enhanced Cryptographic Provider. Проблема в том, что ключ не виден, расширения работы с файлами и криптографией не устанавливаются. Если подключаться с той же машины к публично опубликованной базе на веб-сервере apache, то расширения устанавливаются. Но нужно именно VPN и IIS чтобы сертификаты проверялись и были видны. Нужен опыт либо совет как локализовать проблему, либо решить. Спасибо. (На партнерском форуме 1С ответа не нашел)
Ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
(1)
Без этого IE с ЭЦП корректно не работает даже без VPN (проверено на Контур-Экстерн, Госуслуги, Госзакупки и т.д.)
опыт работы с электронной подписью в VPN соединении через веб-клиент в браузере IE
Поскольку речь идет о связке IE+криптография, то я бы обязательно озаботился тем, чтобы адрес веб-сервера был добавлен в перечень надежных узлов IE на клиентских ПК: "Свойства браузера" - "Безопасность" - "Надежные узлы" - "Узлы" - "Добавить".
Без этого IE с ЭЦП корректно не работает даже без VPN (проверено на Контур-Экстерн, Госуслуги, Госзакупки и т.д.)
Если разбираться с нуля, можно начать со следующих ссылок:
1) Общие сведения о
2) Криптопровайдеры. API для работы с криптосервисами Windows, (две страницы).
3) Концепция CryptoAPI, .
После изучения темы по CryptoAPI, начинайте копать тему по eToken.
драйверы для данного токена?
Для работы с «eToken» используется утилита «eToken PKI Client». Загрузить установочный файл можно с .
И у вас какой-то усложненный вариант решения проблемы.
1) Если подключаться с той же машины к публично опубликованной базе на веб-сервере apache, то расширения устанавливаются.
2) Теперь нужно проверить работу на соседнем компьютере (без vpn, в локальной сети)
3) а уж потом разбираться с vpn
1) Общие сведения о
2) Криптопровайдеры. API для работы с криптосервисами Windows, (две страницы).
3) Концепция CryptoAPI, .
После изучения темы по CryptoAPI, начинайте копать тему по eToken.
драйверы для данного токена?
Для работы с «eToken» используется утилита «eToken PKI Client». Загрузить установочный файл можно с .
И у вас какой-то усложненный вариант решения проблемы.
1) Если подключаться с той же машины к публично опубликованной базе на веб-сервере apache, то расширения устанавливаются.
2) Теперь нужно проверить работу на соседнем компьютере (без vpn, в локальной сети)
3) а уж потом разбираться с vpn
(2) спасибо, за информацию, но тема ещё не закрыта:
1) аппаратный ключ на eToken вставленный в ПК
веб-клиент + VPN = не виден
тонкий-клиент + VPN = не виден
тонкий клиент в сети = не виден
(Примечание: тут попробуем совет установить утилиту «eToken PKI Client» написал админу)
2) программный ключ (установлен на ПК)
тонкий клиент + VPN = виден
веб-клиент + VPN = не виден
может ещё есть опыт у кого, или рабочая схема с использованием VPN и IIS в связке, возможно в IIS проблема, что он доступ к публикации даёт, но расширения работы с файлами и криптографией как-то блокирует?
1) аппаратный ключ на eToken вставленный в ПК
веб-клиент + VPN = не виден
тонкий-клиент + VPN = не виден
тонкий клиент в сети = не виден
(Примечание: тут попробуем совет установить утилиту «eToken PKI Client» написал админу)
2) программный ключ (установлен на ПК)
тонкий клиент + VPN = виден
веб-клиент + VPN = не виден
может ещё есть опыт у кого, или рабочая схема с использованием VPN и IIS в связке, возможно в IIS проблема, что он доступ к публикации даёт, но расширения работы с файлами и криптографией как-то блокирует?
(3)
Или имеется в виду программная лицензия 1С:Предприятие?
программный ключ (установлен на ПК)
Что за "программный ключ"? Что-то связанное с ЭЦП (если это - вопрос дилетанта, то прошу извинить: до сих пор имел дело в основном с КриптоПро)?
Или имеется в виду программная лицензия 1С:Предприятие?
аппаратный ключ на eToken вставленный в ПК
В принципе, тот же вопрос. Хотя аппаратная лицензия 1С поставляется на HASP, а не на eToken.
Условия:
-Пользователь – доменная учетная запись,
-Ноутбук – включен в домен,
-Пользователь регистрируется на ноутбуке используя кешированную доменную учетную запись,
-Пользователь запускает клиента VPN, регистрируется на сервере VPN, устанавливается защищенное соединение с КВС предприятия,
-Ноутбук получает адрес в IP сети, которая маршрутизируется в сети КВС Предприятия без ограничения по TCP/UDP портам,
-Сквозной регистрации в домене, при подключении через VPN к внутренним сервисам Предприятия, НЕТ.
Ответ 1С:
То, что вы называете "кешированная учетная запись" используется только для того, чтобы иметь возможность локально аутентифицироваться под доменной учетной записью на компьютере временно отключенном от домена.
Для работы сквозной Windows-аутентифкации необходимо, чтобы компьютер был подключен к домену. (Из комментария вашего специалиста).
>>> Сквозной регистрации в домене, при подключении через VPN к внутренним сервисам Предприятия, НЕТ.
ОТВЕТ: Можно заключить, что это не так - при подключении через VPN компьютер не регистрируется в домене. Таким образом сквозная Windows-аутентификация в такой конфигурации сети работать не может.
>>>Как можно организовать «подключиться к контроллеру домена для получения токена». Что именно требуется сделать?
ОТВЕТ: С этим вопросом Вам нужно обратиться к вашим сетевым администраторам.
Получается проблема в организации сети.... Но это типа безопасность VV. Вообщем какой-то замкнутый круг.
-Пользователь – доменная учетная запись,
-Ноутбук – включен в домен,
-Пользователь регистрируется на ноутбуке используя кешированную доменную учетную запись,
-Пользователь запускает клиента VPN, регистрируется на сервере VPN, устанавливается защищенное соединение с КВС предприятия,
-Ноутбук получает адрес в IP сети, которая маршрутизируется в сети КВС Предприятия без ограничения по TCP/UDP портам,
-Сквозной регистрации в домене, при подключении через VPN к внутренним сервисам Предприятия, НЕТ.
Ответ 1С:
То, что вы называете "кешированная учетная запись" используется только для того, чтобы иметь возможность локально аутентифицироваться под доменной учетной записью на компьютере временно отключенном от домена.
Для работы сквозной Windows-аутентифкации необходимо, чтобы компьютер был подключен к домену. (Из комментария вашего специалиста).
>>> Сквозной регистрации в домене, при подключении через VPN к внутренним сервисам Предприятия, НЕТ.
ОТВЕТ: Можно заключить, что это не так - при подключении через VPN компьютер не регистрируется в домене. Таким образом сквозная Windows-аутентификация в такой конфигурации сети работать не может.
>>>Как можно организовать «подключиться к контроллеру домена для получения токена». Что именно требуется сделать?
ОТВЕТ: С этим вопросом Вам нужно обратиться к вашим сетевым администраторам.
Получается проблема в организации сети.... Но это типа безопасность VV. Вообщем какой-то замкнутый круг.
возможно днс не отрабатывает
можно конечно попробовать в hosts прописать сервер, но запускаться всё равно от имени доменного юзера придётся
можно конечно попробовать в hosts прописать сервер, но запускаться всё равно от имени доменного юзера придётся
нужен опыт конторы может оборонки или госучереждения где веб-публикация и электронное подписание сотрудниками удаленными, возьмем опыт на вооружение, это наверное и будет решением. Есть такие?
(9)
(11)
А дальше смотреть - предлагается ли выбор контейнера при создании ключей? Если да - просто выбирать eToken (в названии должно присутствовать что-то типа "Aladdin Token").
А если такого нет... то по MS криптографии не подскажу, возможно, она вообще не поддерживает размещение ключей на eToken.
Может, вам тоже перейти на алгоритмы ГОСТ? КриптоПро не такая уж и дорогая, и там все несложно - можно генерировать ключи и сертификаты в командной строке входящей в поставку утилитой csptest.exe
нужен опыт конторы может оборонки или госучереждения
Вот это - напрасные ожидания: госконторам запрещено пользоваться буржуйской криптографией, для них обязательным является использование отечественных алгоритмов: ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012
(11)
как правильно создать и сделать видимым сертификат на флешке Microsoft Enhanced Cryptographic Provider, eToken?
Ну, как говорилось выше, для начала поставить драйвера eToken - это обязательно.
А дальше смотреть - предлагается ли выбор контейнера при создании ключей? Если да - просто выбирать eToken (в названии должно присутствовать что-то типа "Aladdin Token").
А если такого нет... то по MS криптографии не подскажу, возможно, она вообще не поддерживает размещение ключей на eToken.
Может, вам тоже перейти на алгоритмы ГОСТ? КриптоПро не такая уж и дорогая, и там все несложно - можно генерировать ключи и сертификаты в командной строке входящей в поставку утилитой csptest.exe
Внимание! Тема сдана в архив
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот