Центр сертификации AD Smart Card = Авторизация пользователя в домене / Хабр

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр Сертификаты

При попытке подписать документ в ms word/excel появляется сообщение: «не удается добавить подпись в документ. если для подписи используется смарт-карта, необходимо убедиться, что устройство для чтения смарт-карт установлено правильно»

1. Убедитесь, что для подписания в вашей версии Office требуется плагин КриптоПро Office Signature 2.0. Системные требования и отличия версий описаны на этой странице.
Подписание в MS Office 2007/2021/2021/2021/2021 можно произвести только при помощи плагина КриптоПро Office Signature с неистекшей лицензией. Чтобы проверить наличие лицензии, откройте меню «Пуск», выберите программу «КриптоПро PKI», в ней выделите «КриптоПро Office Signature» — справа появится информация о лицензии. При первичной установке плагина демо-версия лицензии действует 3 месяца, в дальнейшем лицензию необходимо приобретать.

​2. Убедитесь, что установлена последняя версия плагина КриптоПро Office Signature 2.0. Обновить плагин можно через диагностику УЦ или скачав дистрибутив с сайта КриптоПро.

3. Убедитесь, что в документе при подписании вы выбираете именно «Добавить цифровую подпись (КРИПТО-ПРО)». Подробнее с порядком подписания вы можете ознакомиться по ссылке.

4. Проверьте, что присутствует действующая лицензия КриптоПро CSP — локальная или встроенная в сертификат. Наличие локальной лицензии можно просмотреть в программе КриптоПро CSP: откройте «Пуск», выберите «Панель управления», найдите «КриптоПро CSP», в программе, на вкладке «Общие» в строке «Срок действия» будет указан срок действия лицензии. Наличие встроенной в сертификат лицензии можно просмотреть в открытом ключе сертификата: в программе КриптоПро CSP перейдите на вкладку «Сервис», нажмите кнопку «Просмотреть сертификаты в контейнере», нажмите «Обзор», выберите контейнер вашего сертификата, нажмите «Ок», затем «Далее» и «Свойства» — появится открытый ключ сертификата. Если на вкладке «Состав» будет поле «Ограниченная лицензия на КриптоПро CSP для использования с закрытым ключом данного сертификата», то у вашего сертификата есть встроенная лицензия (локальная лицензия не требуется).

5. Проверьте, что для подписи выбирается действующий сертификат (в окне подписания нажать «Изменить»).
Сертификат не должен быть для ЕГАИС для алкоголя, т.к. подписание таким сертификатом невозможно из-за встроенного СКЗИ, которое не используется в Office

6. Проверьте, что у вас подходящая для ОС версия КриптоПро CSP. Для этого пройдите диагностику УЦ и выполните рекомендуемые действия. Если нужно, портал Диагностики самостоятельно определит и предложит установить корректную версию.

7. Скопируйте сертификат в реестр и повторно попробуйте подписать документ. Инструкция по копированию контейнера с сертификатом доступна по этой ссылке

8. Создайте новый документ, сохраните и подпишите его. Если ошибка не появилась, то скопируйте в созданный документ нужную информацию, сохраните его и подпишите ещё раз.

9. Если ошибка сохранилась, запросите пользователю полные права на отдельные ветки реестра. Для этого нажмите «Пуск», найдите поисковую строку Windows (либо кнопку «Выполнить») и введите в нее команду «regedit». Откроется реестр вашего компьютера, перейдите по веткам: HKEY_LOCAL_MACHINESOFTWAREMicrosoftOffice15.0ClickToRunREGISTRYMACHINESoftware и HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftOffice15.0ClickToRunREGISTRYMACHINESoftware. Нажмите на папке «Software» правой кнопкой мыши и выберите «Разрешения», укажите пользователя, под которым осуществлен вход в учетную запись на компьютере и поставьте галочку в поле «Полный доступ».

Про сертификаты:  Как установить сертификат КриптоПро

10. Выполните действия из базы знаний КриптоПро Office Signature.

11. Если в Windows 10 при подписании также помимо ошибки смарт-карты появляется окно КриптоПро с сообщением «Вставьте ключевой носитель»:

  • Откройте любой документ Office, после чего зайдите в диспетчер задач (правой кнопкой мыши по часам на компьютере — кнопка «Диспетчер задач»). Найдите процесс запущенного файла Office, в его названии будет указана разрядность. Пример: Microsoft Office (32 бита). 
  • Кликните правой кнопкой мыши по кнопке «Пуск» и нажмите «Выполнить». В строке впишите «regedit» (без кавычек) и нажмите «ОК». Запустится редактор реестра (перед этим может возникнуть окно контроля учетных записей, в нем нужно нажать «Да».
  • Для 32-битной версии MS Office: 
    Откройте путь «HKEY_LOCAL_MACHINESOFTWAREMicrosoftOfficeClickToRunREGISTRYMACHINESoftwareMicrosoftAppVSubsystemVirtualRegistry», после чего в параметре PassThroughPaths добавьте еще одно значение «HKEY_LOCAL_MACHINESOFTWARECrypto Pro» (без кавычек).

    Для 64-битной версии MS Office: 
    Откройте путь «HKEY_LOCAL_MACHINESOFTWAREMicrosoftOfficeClickToRunREGISTRYMACHINESoftwareMicrosoftAppVSubsystemVirtualRegistry», после чего в параметре PassThroughPaths добавьте еще одно значение «HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto Pro» (без кавычек).

  • Откройте нужный файл Office и проверьте подписание по кнопке «Добавить электронную подпись (КриптоПро).

Если предложенные действия не помогли, свяжитесь с нами и сообщите:

Digicert ssl certificate checker

— еще один прекрасный инструмент, который позволит вам преобразовать DNS в IP адрес, узнать кто выдал сертификат, его серийный номер, длину ключа, алгоритм подписи, SSL-шифрование, поддерживаемое сервером и срок действия сертификата.

Free ssl server test

Производит

Globalsign ssl check

предоставляет очень подробную информацию о веб-сервере и SSL. Инструмент ставит баллы в зависимости от данных сертификата, поддержки протоколов, обмена ключами и надёжности шифра. Это незаменимый инструмент при настройке нового безопасного URL или проведении аудита. Обязательно попробуйте!

Howsmyssl


Этот инструмент отличается от остальных. Он позволяет проверить клиента (браузер) и получить оценку состояния по следующим параметрам:

Для проверки клиента, просто зайдите на

в браузере.

Qualys ssl labs

. Предоставляет очень подробную техническую информацию. Советую системным администраторам, аудиторам, инженерам по интернет-безопасности для выявления и наладки “слабых” параметров.

Ssl checker


Что действительно хорошо в

, так это то, что инструмент позволяет настроить напоминание (за 30 дней) об истечении срока действия сертификата. Это отлично, мне кажется, что бесплатно эту услугу больше нигде получить нельзя. Кроме того, инструмент позволяет выполнить базовую проверку таких параметров, как:

Ssl shopper

— подойдет для быстрой проверки типа сервера, срока действия, SAN и цепочки доверия. Вы сможете оперативно найти ошибку в цепочке сертификата или узнать, что он не работает должным образом. Инструмент отлично подходит для устранения неполадок в работе.

Symantec ssl toolbox

— очень важно проверить CSR перед отправкой для подписи запроса. Вы сможете удостовериться в том, что CSR содержит все требуемые параметры, например, CN, DN, O, OU, алгоритм и др.

Про сертификаты:  Эмаль для металла INTERTHANE 990 SILVER - Дом Краски

Проверка установки сертификата — после установки всегда полезно удостовериться в том, что сертификат действителен и содержит необходимую информацию. Этот онлайн инструмент позволит вам проверить CN, SAN, название организации, OU, город, серийный номер, тип применяемого алгоритма, длину ключа и подробности о цепочке сертификата.

Wormly web server tester

позволяет получить подробный обзор параметров ссылки. Обзор включает в себя данные о сертификате (CN, срок действия, цепочка сертификата), шифровании, длине открытого ключа, безопасности повторного согласования, протоколах типа SSLv3/v2, TLSv1/1.2.

Другие инструменты онлайн-проверки

Проверка уязвимости POODLE:

Проверка уязвимости FREAK:


Проверка уязвимости LogJam:

Проверка уязвимости SHA-1:

Я считаю, что перечислил все бесплатные онлайн-инструменты для проверки параметров SSL-сертификата и получения достоверной технической информации для проведения аудита и обеспечения безопасности веб-приложений. Если вам понравилось, поделитесь с друзьями.

P. S. Приглашаем в наше Хостинг Кафе. Работают и активно развиваются 6 сайтов для поиска хостинговых услуг:

Спасибо

за помощь с подготовкой публикации.

Проверяйте ssl, tls и шифрование

Проверка SSL необходима для обеспечения правильного отображения параметров сертификата. Существует множество способов проверки SSL-сертификатов. Проверка с помощью инструментов в сети позволяет получить полезную информацию, находящуюся ниже. Она также поможет вам выявить угрозы на ранних стадиях, а не после получения жалобы клиента.

Я получил ряд вопросов после своей последней публикации «Усиление защиты Apache. Гид по безопасности» о проверке TLS и SSL. В этой статье я расскажу вам о некоторых полезных инструментах для проверки SSL-сертификатов в сети.

Центр сертификации ad smart card = авторизация пользователя в домене

Добрый день!

Сегодня я расскажу как настроить авторизацию пользователя в домене при помощи смарт-карты.

Итак, начнём!

Первое, что нам необходимо — это наличие считывателя для смарт-карт и карты, а также желание помочь пользователям забыть о пароле.

Для тестирования использовались продукты компании ESMART группы компаний ISBC (esmart.ru):

Считыватель ACR 38U:

image

Считыватель ACR 39U:

image

Смарт-карта ESMART Token SC 64k:

image

Второе — это наличие домена.

Первоначально спроектируем инфраструктуру PKI. При планировании необходимо определить количество и иерархию Центров Сертификации.

Мы использовали двухуровневую иерархию PKI с двумя центрами ЦС. Схема выглядит так:

image

Установим ESMART PKI Client на подчиненный ЦС. Свежую версию клиента можно скачать с официального сайта.
Добавляем роль сервера Web Server IIS и оставим все значение по умолчанию (для начала).

Добавим все контролеры домена в группу безопасности Certificate Service DCOM Access. Это необходимо для того чтобы была возможность запрашивать сертификат пользователя.

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Теперь перейдем непосредственно к установке и настройке ЦС.

Добавляем роль сервера:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Сервер ЦС должен быть в домене, иначе у вас не будет активно пункт Enterprise (Предприятие):

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

На следующем шаге установки выбираем нужны пункт смотря какой ЦС устанавливаем:

Про сертификаты:  Регистрация на сайте. Фармцентр «Знание»

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Создаем закрытый ключ:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Выбираем необходимые настройки. Мы использовали алгоритм SHA-512 и длину ключа 2048:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Задаем имя отображаемое в сертификате:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Выбираем срок действия сертификата ЦС. Для корневого ЦС мы оставили срок 10 лет, для подчиненного 5 лет, для сертификатов пользователей 1 год:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Указываем, где будем хранить логи:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Далее в мастере оставим все по умолчанию:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр
Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр
Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Итак, после установки у нас доступна служба регистрации по адресу http(s)://IP адрес или DNS имя сервера ЦС/certsrv. Настроем https протокол на IIS. Для корректной работы службы выдаче сертификатов необходимо создать сертификат домена и указать его роли IIS для протокола https.

Открываем Сертификаты серера:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Нажимаем Создать сертификат домена:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Заполняем форму:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Выписанный сертификат появиться в списке сертификатов сервера. Его необходимо привязать к протоколу https. При привязке мы оставили доступ только через https:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр
Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Чтобы не было проблем с ActiveX, необходимо добавить ресурс в доверенные узлы. Добавляли его через GPO.

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Итак, пол дела сделано. Теперь необходимо настроить АРМ пользователей. Делать это будем через GPO.

Первое что необходимо сделать это задать параметр запуска службы «Политика удаления смарт-карты»:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Через GPO настроим интерактивный вход для пользователей. Включаем параметр «Интерактивный вход в систему: Требовать смарт-карту» и «Интерактивный вход в систему: Поведение при извлечении смарт-карты».

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Далее настроим шаблоны для выдачи сертификатов.

В оснастке Центр сертификации нажимает правой кнопкой на разделе «Шаблоны сертификатов» и создаем выдаваемые три шаблона.

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

По необходимости можно отредактировать шаблоны под нужды или требования компании. После изменения не забываем опубликовать шаблоны в домене.

Для того чтобы запрашивать сертификаты необходимо запросить сертификат Агента запроса сертификата. Для этого делаем запрос от имени Администратора домена или пользователя с делегированными правами.

Открываем оснастку сертификатов для локального пользователя, раздел Personal (Личные). В контекстном меню выберите All tasks – Request new certificate (Все задачи – Запросить новый сертификат). Нажмите Next. На следующем экране отметьте Enrollment Agent (Агент запроса сертификата) и нажмите Enroll (Запросить). После чего у администратора появиться новый сертификат:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

А теперь сделаем запрос пользовательского сертификата на смарт-карту.

В консоли Сертификаты (certmgr.msc) щелкаем правой кнопкой мыши на раздел Личное -> Дополнительные операции -> Зарегистрировать от имени… и запрашиваем новый сертификат. Выбираем в соответствии с какой политикой будет происходить запрос.

Укажем сертификат агента регистрации:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

В списке запросов указываем «Вход со смарт-картой»:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

В настройках необходимо указать криптографического провайдера:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Выбираем пользователя для которого будет выписан сертификат:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

Для выдачи сертификата вставляем смарт-карту и вводим PIN от карты:

Центр сертификации AD   Smart Card = Авторизация пользователя в домене / Хабр

После всех операций можно проверять карту на рабочей станции пользователя.

Аналогичный алгоритм можно использовать для настройки авторизации пользователя по etoken PRO (Java).

Спасибо что читали данную статью. Если есть вопросы задавайте, буду рад ответить!

Оцените статью
Мой сертификат
Добавить комментарий