- Введение
- Проверьте данные сертификата
- Проверьте актуальность документов
- Выберите сервисный центр
- Заявка отправлена
- Openvpn, легкий перевыпуск корневого сертификата
- Внесение изменений в юридическое дело — сбербанк
- Генерация сертификата и личного ключа клиента
- Генерация файлов центра сертификации
- Защита rdp соединения при помощи ssl.
- Как подключить сертификат подписанный ad cs к rpd
- Особенности сберсертификатов
- Промсвязьбанк и ключ эцп
- Создание ключа и сертификата для сервера
- Установка сертификата на виртуальные машины
- Центр сертификации
- Списки отзыва и отзыв сертификатов
Введение
Openvpn работает по схеме шифрования с открытыми ключами. Каждый участник openvpn-сети имеет открытый (public) и закрытый (private) ключ. Открытый ключ можно найти в файле-сертификате с расширением .crt. Закрытый (private) ключ лежит в файле с расширением .key.
Я несколько лет назад прочитал отличную книгу по истории криптографии, поэтому тема мне знакома и здесь разжёвывать её сейчас не буду. (Найти книгу и привести название. “Книга шифров”?) Саймон Сингх: Книга шифров: Тайная история шифров и их расшифровки.
Если кратко, то сначала сервер и клиент обмениваются своими публичными ключами. Кстати, они несекретны и могут храниться открыто. Потом обеими сторонами проводится проверка полученных ключей на предмет легитимности, то есть срок действия, проверка подписи CA, проверка в списке отозванных ключей и т.д. Если всё отлично, то начинается обмен данными:
Третья сторона, имея на руках закрытые ключи обеих сторон, может на лету просматривать закриптованный трафик. Именно поэтому закрытый ключ чрезвычайно секретен и при подозрении на его кражу, должен быть отозван.
В идеальной конфигурации, для организации openvpn-сетки необходимо минимум два сервера. Один сервер, максимально защищённый от вторжений/не подключённый к интернету, имеет роль центра сертификации (CA) и не учавствует в организации удалённого доступа.
Центр сертификации представляет собой отдельную папку на винчестере, в которой лежат:
При необходимости автоматизации выдачи ключей и сертификатов, к этой папке прикручивают web-морду (в инете я видел готовые конструкции различной степени сложности). Обычный человек изредка сталкивается с этими конструкциями, например, при работе с банк-клиентами, так как шифрование с открытыми ключами широко используется в ИТ.
В моём случае нецелесообразно организовывать отдельный сервер-CA для редких генераций сертификатов и ключей для новых openvpn-серверов и клиентов. Поэтому папку центра сертификации я храню в секретном месте и, по мере необходимости, раскрываю крипто-контейнер на свободной машине, чтобы произвести необходимые процедуры.
Устанавливаем openvpn:
# aptitude install openvpn
Теперь надо сгенерировать несколько файлов, которые позволят нам быстро ввести в строй первый openvpn-сервер.
Одноразово создаём два файла центра сертификации, с помощью которых мы будем выдавать все прочие сертификаты и ключи для openvpn-серверов и клиентов:
ca.crt– главный CA сертификат, этот файл нужен всем клиентам и всем openvpn-серверам (и центру сертификации? Ясен пень. Хотя бы для последующей раздачи клиентам.). С помощью него договаривающиеся стороны (сервер и клиент) проверяют подписи полученных публичных ключей на предмет принадлежности нашей организации;ca.key– главный CA ключ. Этот файл нужен только центру сертификации, так как им подписываются все публичные ключи-сертификаты организации. Он не учавствует в обеспечении безопасного канала. Он нужен эпизодически только для выпуска ключей (шибко СЕКРЕТНЫЙ файл). Хочу заметить, что открытое хранение этого файла на openvpn-сервере позволит вероятному злоумышленнику украсть этот файл и выпустить произвольное количество ключей, с помощью которых можно будет беспрепятственно подключаться к нашим openvpn-серверам.
Одноразово делаем файл для дополнительной безопасности openvpn-канала:ta.key– TLS-ключ, который нужен и openvpn-клиентам и openvpn-серверам для пущей безопасности. Можно и без него, но он помогает блокировать DoS атаки и UDP флудинг на открытый порт сервера.
Ещё сделаем три файла для конкретного openvpn-сервера. Эти файлы необходимо сгенерировать для каждого openvpn-сервера в нашей сетке. В принципе, можно изменить имена этих файлов в соответствии с сетевыми именами openvpn-серверов. Но, как мне кажется, в целях унификации конфигурационного файла и прочих настроек, которые мы можем централизованно распространять на все openvpn-сервера, будет удобней не изменять имена этих файлов:
server.crt– сертификат сервера, нужен только серверу;server.key– ключ сервера, нужен только серверу (СЕКРЕТНЫЙ файл);dh1024.pem– ключ имени Диффи и Хельмана. Этот файл нужен только серверу. Наверное, используется на этапе предварительного обмена открытыми ключами (сертификатами).
И ещё надо сгенерировать пару файлов для первого клиента. Обычно, имена этих файлов соответствуют имени клиента, указанному при генерации. Поэтому для удобства идентификации клиента, необходимо выработать систему присвоения имён, чтобы потом было проще ориентироваться в логах и прочих моментах.
Например, в моём случае, я раздаю людям готовые openvpn-комплекты для каждого из их компьютеров. Поэтому придумываю имя исходя из такого правила – idорганизации-idклиента-idмашины. И когда приходит время отозвать ключи определённого юзера, то в папке с выданными сертификатами, при обычной сортировке по имени файла, я увижу все сертификаты юзера идущими по порядку. Ну а в данном опусе, не заморачиваясь, укажу:
client.crt– сертификат клиента. Этот файл нужен клиенту для установки соединения с openvpn-сервером;client.key– ключ клиента, нужен только клиенту (СЕКРЕТНЫЙ файл).
Надо поподробней почитать мануал и выяснить конкретную роль каждого файла и этапы установки и работы канала.
Проверьте данные сертификата
Эти данные попадут сертификат.
Важно! Проверяйте данные внимательно, потому что если в данных будут ошибки, потребуется перевыпуск сертификата за отдельную плату (если у вас не подключена услуга “Сопровождение сертификата”).— Если название или адрес организации указаны неверно, нажмите ссылку «Обновить по данным ФНС» — мы автоматически актуализируем информацию в соответствии с данными в ЕГРЮЛ.
— Если ИНН, ОГРН или параметры сертификата указаны неверно — позвоните в ваш сервисный центр.— Если данные владельца указаны неверно, нажмите “Редактировать” и исправьте ошибки. Особое внимание обратите на реквизиты паспорта. Если срок действия паспорта закончился или получен новый паспорт, укажите реквизиты нового документа.
Также проверьте номер телефона, к которому будет привязан сертификат — на него придёт СМС с кодом подтверждения при выпуске сертификата, а также по этому телефону можно подтверждать доступ к заявке (другой способ — по сертификату с такими же ФИО, ИНН и СНИЛС).
Если сменился владелец сертификата, измените все данные. ФИО и дату рождения указывайте точно так же, как в паспорте: с буквами Ё, дефисами, пробелами и пр. Если у вас нет паспорта РФ, подойдёт временное удостоверение личности. Если вы иностранный гражданин, вместо паспорта РФ можете представить иностранный паспорт с нотариально заверенным переводом или вид на жительство в РФ (если нет иностранного паспорта). ФИО заполняйте русскими буквами, как в заверенном переводе. Поле “Серия” можно не заполнять, если в документе оно отсутствует. Укажите действующую электронную почту — туда будут приходить уведомления о статусе заявки и напоминания о продлении сертификата.
Когда все данные будут указаны верно, нажмите «Подтвердить данные»
Проверьте актуальность документов
Мы скопируем документы из старой заявки, если соответствующие данные не поменялись. Проверьте их ещё раз.
Дождитесь ответа ПФР и ФНС — мы автоматически проверяем СНИЛС и ИНН. Если ПФР подтвердит данные, скан СНИЛС не нужен.
Если ответ долго не приходит или в госсистемах нет ваших данных, нажмите “Восстановить документ”, чтоб скопировать документ из старой заявки, или загрузите фотографию или скан карточки СНИЛС и свидетельства ИНН заново.
Если данные владельца или организации изменились, вам нужно подтвердить изменения документами. Напротив документов, которые нужно представить, есть зеленые кнопки “Загрузить”.
Сделайте фотографии или цветные сканы этих документов. Технические требования к файлам:
- Качество картинки должно быть таким, чтобы текст легко можно было разобрать (примерно 200-400 dpi).
- Страницы не обрезаны, входят целиком.
- Размер до 10 МБ.
- Форматы jpg, png, gif, pdf, tif, bmp, heic.
Если вы используете не оригинал документа, а копию, она должна быть заверена по образцу:
Заверить копию может:
- руководитель или уполномоченное лицо организации/ИП, с которой заключен договор на выдачу сертификата, при наличии печати,
- нотариус,
- сервисный центр.
ИсключениеЕсли сертификат на руководителя юридического лица, ИП или физлицо, то на копии паспорта или другого документа, удостоверяющего личность, заверительная надпись не обязательна.
Важно! Нельзя фотографировать/сканировать копию заявления. Только оригинал. Не выбрасывайте заявление! Оно понадобится при получении сертификата.
Загрузите подготовленные сканы в нужные вкладки. Также вы можете загрузить дополнительные документы, кликнув на ссылку “Загрузить дополнительные документы” внизу страницы. У каждого опционального документа написано, в каких случаях он требуется.
После проверки/загрузки всех обязательных документов, станет активной кнопка “Продолжить” внизу страницы. Нажмите её.
Выберите сервисный центр
Чаще всего при продлении сертификата не нужен визит в сервисный центр, так как заявление на выдачу подписано действующим сертификатом. В этом случае шага выбора СЦ не будет — вы сразу можете приступить к выпуску сертификата (следующая инструкция, начинайте с п.7).
В остальных случаях (например, заявление не подписано сертификатом) нужно выбрать адрес сервисного центра, куда вам будет удобно подойти с оригиналами документов после одобрения заявки.
Чаще всего какой-то сервисный центр уже выбран — он отображается на зелёной плашке. Если он вам подходит — сразу нажмите кнопку “Отправить на проверку”. Если СЦ не подходит или не выбран, найдите удобный вам адрес в списке или на карте и кликните на него — он подсветится зелёным.
В списке и на карте показываются только точки в выбранном регионе/городе. Если вы хотите посмотреть точки в других регионах — поменяйте локацию.
После того, как вы выбрали удобный вам сервисный центр, нажмите кнопку «Отправить на проверку».
Заявка отправлена
Мы проверим заявку в течение 1–2 дней и сообщим вам результат. На странице написана пошаговая инструкция конкретно для вашего случая.
— Если вам нужно подойти в сервисный центр, то инструкция будет, например, такая:
На встречу для удостоверения личности и проверки документов должен прийти будущий владелец. Если сертификат выдаётся на сотрудника организации, то понадобится доверенность от руководителя.
— Если вы подписали заявление сертификатом и все данные прошли проверку в гос.системах (паспорт, СНИЛС ИНН для сертификатов для ИП и физлиц), то вам не нужно идти в сервисный центр, вы увидите вот такое сообщение. Дождитесь одобрения заявки и после этого приступайте к выпуску сертификата.
Заказать сертификат электронной подписи
Openvpn, легкий перевыпуск корневого сертификата
Доброго времени суток. Предыстория такова: десять лет назад мной была поднята инфраструктура сети салонов сотовой связи, распределенная по области. В качестве учетного решения использовалась система 1С: Предприятие 7.7 в режиме распределенной базы данных. Для обмена данными использовалась обычная сетевая папка windows, доступ к которой осуществлялся через туннель OpenVPN. И вот как-то неделю назад полностью остановился обмен информацией между центром и периферией. Почему-то сразу закралась мысль — неужели прошло десять лет (именно на этот срок делался корневой сертификат). Анализ логов подтвердил проблему, схема отлично себя зарекомендовала за эти десять лет, но пришел срок. И что же теперь, генерировать заново весь объем клиентских и серверных ключей/сертификатов??? Нет, можно поступить немного проще…
OpenSSL позволяем перевыпустить сертификат и подписать его старым приватным ключем, при этом сохраняется структура Modulus сертификата и новый сертификат успешно проверяет старые сертификаты клиентов.
Создаем новый сертификат:
openssl x509 -in ca.crt -days 36500 -out ca-new.crt -signkey ca.keyПолучаем ответ:
Getting Private keyи новый сертификат ca-new.crt
Выполним проверку сертификата клиента новым корневым сертификатом:
openssl verify -CAfile ca-new.crt client9.crtВсе хорошо:
client9.crt: OKСледующей командой можно посмотреть содержимое сертификата и убедиться что у нового и старого сертификата Modulus одинаков:
openssl x509 -noout -text -in ca-new.crtВсе вроде бы очень хорошо, рассылаем новый сертификат, предварительно переименовав его по образу старого с инструкцией пользователю куда его подложить (перезаписываем старый).
Перезапускаем службу на сервере и смотрим как подключатся клиенты. К сожалению не все клиенты это сделали успешно. У некоторых в логе получили:
Tue Mar 21 15:12:18 2021 VERIFY ERROR: depth=1, error=certificate signature failure: /C=RU...Вот здесь пришлось потерять несколько часов, в итоге выяснилось что на клиентских компьютерах также не срабатывает проверка сертификата клиента:
openssl verify -CAfile ca-new.crt client9.crtВерсия openssl (в составе OpenVPN ) оказалась старая и не хотела успешно проверять.
Соответственно у проблемных клиентов пришлось обновить OpenVPN до версии 2.3.3 (такая использовалась у меня, про другие ничего сказать не могу, но полагаю что более новые версии также будут вести себя положительно) и система отправлена в плавание еще на 10 лет.
Автор: sergling
Источник
Внесение изменений в юридическое дело — сбербанк
Кто может бесплатно внести изменения в юридическое дело в отделении банка?
Банк не списывает комиссию за внесение изменений со счетов:
1. Некоммерческих организаций (общественных организаций/объединений, фондов), уставными целями которых является поддержка ветеранов ВОВ или инвалидов
2. Бюджетных организаций (балансовые маски 401, 402, 403, 404)
3. Избирательных комиссий, Избирательных объединений/Фондов референдумов/Инициативных групп (балансовые маски 40202, 40206, 40301, 40704)
4. ГОЗ (балансовые маски 40825, 40506, 40606, 40706)
5. Со следующим целевым назначением:
Комиссия не спишется, если вы подключены к системам Сбербанк Бизнес и Сбербанк Корпор@ция.
Что будет если не представить обновление ИСК?
Клиент обязуется представлять в Банк сведения и документы, необходимые для выполнения Банком функций, установленных Федеральным законом от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и нормативных актов Банка России, в том числе, но не исключительно: достоверные сведения о себе, своих доверенных лицах, выгодоприобретателях и бенефициарных владельцах.
При непредставлении клиентом информации в рамках обновления ИСК, банк вправе полностью или частично приостановить операции клиента, а также отказать в совершении операций в случаях, установленных законодательством Российской Федерации
Генерация сертификата и личного ключа клиента
Генерация ключей происходит в папке /etc/openvpn/easy-rsa. Перед каждым сеансом генерации ключей не забываем загружать переменные в память:
# source ./vars
Генерируем безпарольный ключ клиента:
# ./build-key wks-1
или ключ с парольной защитой:
# ./build-key-pass ivan
или ключ в формате pkcs12 (таким пока не пользовался, но по слухам, его можно хранить в электронных хранилищах, например, в USB-токенах):
# ./build-key-pkcs12 sterva-on-wks-home
После данной процедуры клиенту передаются файлы:
- Сертификат сервера
ca.crt; - Приватный ключ клиента
wks-1.key; - Сертификат клиента (или правильнее сертификат к приватному ключу клиента?)
wks-1.crt; - TLS-ключ сервера
ta.key;
Файл настройки клиента, где должны быть указаны:
- адрес сервера;
- порт, который слушает openvpn сервер;
- использующийся шифр: BF-CBC или, например, AES-512-CBC.
Важно сохранить сертификаты клиентов (но не приватные ключи! клиентов) для возможности их последующего отзыва. Не забываем, что имя файла содержащего сертификат и имя сертификата могут отличаться. Естественно, проверить это соответствие можно простым просмотром файла.
Приватный ключ клиента должен держаться в секрете и быть, в идеале, в единственном экземпляре, так как им подписываются пакеты бегущие от клиента к серверу и тем самым удостоверяющие (поправка: подпись этих пакетов производится с помощью сертификата сервера), что к нашему серверу подсоединяется наш человек.
Генерация файлов центра сертификации
Загружаем переменные source ./vars (или . ./vars — символ точка – синоним команды source, которая выполняет указанный файл сценария.)
(разобраться с правами на файлы и папки и написать подробно)
Создаём приватный ключ и сертификат центра сертификации, на основе которых будут сертифицироваться прочие выдаваемые ключи:
# ./build-ca
Generating a 1024 bit RSA private key
............................................................
.........
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [RU]:
State or Province Name (full name) [MO]:
Locality Name (eg, city) [Moscow]:
Organization Name (eg, company) [M]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [L CA]:server-ca
Email Address [me ar) myhost [dot] mydomain]:
Поле “Common Name” обязательно к заполнению.
В /etc/openvpn/easy-rsa/keys теперь лежат сертификат центра сертификации ca.crt и приватный ключ центра сертификации ca.key.
Сертификат центра сертификации находится как на стороне сервера, так и на стороне клиента и учавствует в создании туннеля.
Приватный ключ центра сертификации чрезвычайно секретный и не должен попасть в чужие руки. В создании туннеля он не используется. Если я правильно понимаю, то приватным ключом центра сертификации подписываются ключи новых клиентов, поэтому файл ca.key желательно изымать из этой папки после окончания генерации ключей, затирая убитую копию shred’ом.
Защита rdp соединения при помощи ssl.
Протокол RDP с защитой на уровне сети (SSL), к сожалению, не получил широкого распространения среди системных администраторов, предпочитающих защищать терминальные соединения другим способом. Возможно это связано с кажущейся сложностью способа, однако это не так, в данном материале мы рассмотрим как просто и без затруднений организовать такую защиту.
Какие преимущества дает нам защита RDP при помощи SSL? Во первых надежное шифрование канала, проверку подлинности сервера на основании сертификата и проверку подлинности пользователя на уровне сети. Последняя возможность доступна начиная с Windows Server 2008.
Проверка подлинности на уровне сети производится до подключения к удаленному рабочему столу и отображения экрана входа в систему, это снижает нагрузку на сервер и значительно увеличивает его защиту от злоумышленников и вредоносных программ, а также снижает вероятность атак типа «отказ в обслуживании».
Для полноценного использования всех возможностей RDP через SSL клиентские ПК должны работать под управлением Windows XP SP3, Windows Vista или Windows 7 и использовать RDP клиент версии 6.0 или более поздней.
При использовании Windows Server 2003 SP1 и более поздних версий, будут доступны шифрование канала при помощи SSL (TLS 1.0) и проверка подлинности сервера, клиентские ПК должны иметь версию RDP клиента 5.2 или более позднюю.
В нашей статье мы будем рассматривать настройку терминального сервера на базе Windows Server 2008 R2, однако все сказанное будет справедливо и для Windows Server 2003 (за исключением отсутствующих возможностей).
Для успешной реализации данного решения в вашей сети должен находиться работающий центр сертификации, настройку которого мы рассматривали в предыдущей статье. Для доверия сертификатам выданным данным ЦС на терминальный сервер необходимо установить сертификат ЦС (или цепочку сертификатов) в хранилище Доверенные корневые центры сертификации.
Затем следует выполнить запрос сертификата подлинности сервера со следующими параметрами:
Как подключить сертификат подписанный ad cs к rpd
Привет. При подключении по RDP как правило выскакивает сообщение о том, что сертификат, который используется для проверки подлинности сервера – не заслуживает доверия из-за того, что он самоподписанный. Наверняка вы задавались вопросом – как сделать так, чтобы за место самоподписанного сертификата был сертификат, выданный вашим центром сертификации, ну или не вашим… В общем что бы был полноценный сертификат. Сегодня хочу показать, как это можно сделать.
Тут можно пойти двумя путями:
- Если у вас есть AD CS и нет особых требований к именам, указываемым в сертификате. В этом случае можно сделать полностью автоматическую выдачу сертификатов и их подключение. Это простой способ.
- Если у вас в домене нет центра сертификации Active Directory, или если у вас есть особые требования к Subject Name или Subject Alternative Name. В этом случае придется получать и подключать сертификат вручную. Понадобится подобный сценарий вам может, если, например вы выдаете сертификат для компьютера, находящегося в отказоустойчивом кластере, и соответственно вам нужно будет указать в качестве SAN или SN как имя кластера так и имя хоста.
Начнем с более простого сценария.
У вас уже должен быть установлен и настроен AD CS. Идем на компьютер где он установлен и создаем шаблон для сертификата, который будет использоваться при подключении по RDP. Для этого заходим в консоль Certification Authority и щелкаем правой кнопкой мыши на Ceritificate Templates, выбираем Manage.
В открывшемся окне щелкаем правой кнопкой мыши по шаблону компьютера и выбираем Duplicate Template.
В Compatibility, выбираем уровень CA и получателей, в зависимости от ваших нужд, я поставлю уровень CA и Certificate Recipient на уровень 2008R2.
Во вкладке General задаёмR понятное имя сертификату, например RDPTmpl, так же если хотите можете изменить время жизни и обновления сертификата, а также разрешить публикацию в AD. Я эти опции оставил как есть.
Во вкладке Subject Name по желанию можно выбрать Subject name format, например Common Name, так же обязательно оставьте, что бы публиковалось DNS имя в alternate subject name.
Идем во вкладку Sucurity – тут разрешаем Enroll и Autoenroll для группы компьютеров, для которых должен будет получаться сертификат.
Далее переходим во вкладку Extensions, выбираем Application Policy и жмем Edit.
Здесь нужно удалить Client Authorization, а так же по желанию можно заменить Server Authorization на политику для проверки подлинности RDP. Для этого жмем Add, далее New, в Object identifier вводим 1.3.6.1.4.1.311.54.1.2 и даем понятное имя политике, например Remote Desktop Authentication.
Выбираем созданную политику и удаляем из шаблона Client и Server Authorization.
Жмем ОК и закрываем консоль с шаблонами. Возвращаемся в консоль Certification Authority и снова жмем правой кнопкой по Certificate Templates и выбираем New -> Certificate Template to issue.
Выбираем созданный нами шаблон и жмем ОК.
Теперь идем в редактор групповой политики, создаем или правим существующий объект групповой политики, который прилинкован к OU в которой находятся компьютеры, которым необходимо получить сертификат. Идем в Computer configuration -> Administrative Templates -> Windows components -> Remote Desktop Services -> Security. Тут нам нужен параметр Server authentication certificate template.
Включаем его и указываем имя нашего шаблона (RDPTmpl).
Что бы сертификаты продлялись автоматически, идем в Computer configuration -> Windows settings -> Security Settings -> Public Key Policies. Тут включаем параметр Certificate Services Client – Auto-Enrollment Properties.
Всё дожидаемся, пока обновится групповая политика или обновляем ее сами (gpupdate /force), сервер должен будет получить сертификат, и при подключении по RDP будет использоваться именно этот сертификат. Проверить это можно подключившись к серверу не по доменному имени, а по IP адресу, например.
Если что, хранится этот сертификат в сертификатах компьютера, в личных сертификатах.
Теперь расскажу про то, что делать во втором случае. В общем и целом, сперва нам так, как и с первым случаем необходимо создать шаблон для сертификата. Тут всё точно так же, как и с первым случаем, за исключением вкладки Subject Name. В этот раз нужно выбрать Supply in the request. Так же, думаю лучше поставить галку, что бы при продлении бралась информация из существующего сертификата.
Далее нам необходимо получить сертификат для компьютера. Заходим на нужный нам компьютер. Запускаем консоль mmc, и добавляем оснастку сертификаты. Выбираем для учетной записи компьютера.
Щелкаем правой кнопкой по Личное и выбираем – запросить новый сертификат. На приветственном окне жмем далее. В окне выбора политики регистрации сертификатов оставляем Политику регистрации Active Direcotory.
В следующем окне выбираем созданный ранее шаблон. Он будет отмечен желтым треугольником. Жмем по ссылке правее этого треугольника.
Во вкладке объект указываем полное имя DN в качестве Subject Name (например CN = CL01.test.loc) и разные dns имена в качестве Alternate Subject Name.
Жмем далее, точнее кнопку Заявка, и дожидаемся окончания процесса.
Теперь нам необходимо каким-то образом подключить полученный сертификат к RDP. Тут опять же есть несколько способов.
Первый способ, на мой взгляд менее удобный, но он должен работать на всех системах:
Смотрим отпечаток в свойствах только что полученного сертификата.
Для упрощения его копирования можно воспользоваться командой powershell:
ls Cert:LocalMachineMy
Копируем нужный отпечаток, далее выполняем команду:
wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=”thumbprint”
Где thumbprint – ваш скопированный отпечаток.
Посмотреть отпечаток подключенного сертификата можно командой:
wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash
В случае, если у вас используется старая версия ОС, например Windows 2008R то можно воспользоваться более наглядным способом подключения. Это же касается и случаев, если у вас версия системы выше, чем 2021, и при этом установлены роли RDS.
Устанавливаем фичу Remote Desktop Services Tools. Если что она находится в Remote Server Administration Kit, Role Administration Tools.
Устанавливаем эти компоненты, после установки нужно будет перезагрузить сервер. После перезагрузки идем в Пуск – Администрирование – Службы удаленных рабочих столов – Конфигурация узла сеансов удаленных рабочих столов.
Заходим в свойства единственного подключения. Во вкладке общие можно выбрать необходимый нам сертификат. Выбираем ранее полученный сертификат.
Всё. Теперь при подключении по RDP будет использоваться правильный сертификат.
Особенности сберсертификатов
Одна из особенностей сберсертификатов в том, что ценная бумага подлежит аресту или конфискации, а также участвует в разделе имущества при разводе. Но это происходит только тогда, когда владелец поручает хранение сертификата Сбербанку. Когда бланк находится на руках у вкладчика, ее невозможно арестовать или конфисковать. В разделе имущества ценная бумага также не участвует.
Забрать начисленные по сертификату проценты вправе и лицо, не достигшее 18 лет, но только в двух случаях:
- если несовершеннолетний самостоятельно оформлял ценную бумагу;
- если родители или другие законные опекуны написали разрешение на выдачу средств.
Преимущество сертификатов по сравнению с традиционным вкладом в том, что по ценным бумагам можно было получить более высокий доход. При личном хранении бланк можно передавать другому человеку без нотариального заверения и других официальных разрешений.
Негативные черты сберегательных сертификатов Сбербанка РФ:
- При хранении дома возникает большой риск потерять средства. В ситуации, когда ценная бумага попадет в руки другому лицу, владелец утрачивает право на вложенные и накопленные средства. Мошенники могут свободно изъять деньги в отделении банка при предъявлении сертификата.
- Вложенные по программе сертификатов деньги не подлежат обязательному страхованию, как деньги во вкладах. Если финансовая организация обанкротится или потеряет лицензию на осуществление деятельности, средства не вернут владельцу.
Еще один весомый недостаток в том, что вернуть деньги по документу можно не во всех отделениях Сбербанка. Возможно, придется ехать в другую часть города только для того, чтобы обналичить сберсертификат.
Промсвязьбанк и ключ эцп
Чтобы не повторять свою длинную историю, пошлю лишь ссылку на первичное обращение в горячую линию:
https://www.my-sertif.ru/services/questions-answers/?questionId=3774576
Итак, вкратце, чтобы не терять время.
Промсвязьбанк выдал мне ключ ЭЦП, в письменном акте к которому указано, что он действует по 20 апреля 2021 г. включительно. При попытке войти в банк 20 апреля оказалось, что ЭЦП уже не действует.
Многократные обращения в банк по разным каналам с просьбой решить проблему оперативно не дали никакого конструктивного эффекта. Было такое впечатление, что в банке люди не умеют ни читать, ни думать. Просто пример: претензионный отдел перезванивает строго с номеров, на которые невозможны обратные звонки, причем абсолютно игнорирует информацию о том, КОГДА я могу принять звонок, и звонит в случайное время.
В горячей линии даже красиво написали, что “Сотрудники обслуживающего офиса уже неоднократно пытались с Вами связаться, но, к сожалению, в связи с разницей во времени дозвониться до Вас не удалось.” “Неоднократно” – это ровно 2 раза. У банка с самого начала была информация о том, в каком часовом поясе я находился в ходе развития данной ситуации. Один звонок был 23.04.2021 в 05:59, второй звонок был в 26.04.2021 в 02:12. Очевидно, люди не умеют либо читать, либо думать. Но не суть.
Перейдем к сути.
Сегодня я получил уже формальную отписку, в которой банк, разумеется, утверждает, что неправ везде я. Если оставить суть, то позицию клиента и банка можно выразить следующими двумя утверждениями.
Клиент: Вы выдали ключ. Вот письменный акт, выданный банком. Тут написано, что ключ действует до 20.04.2021 включительно. То есть, время суток не оговорено. То есть, до конца дня. Так почему же ключ не действовал 20.04.2021? Прошу срочно связаться со мной и дать мне возможность до 25.04 заплатить налоги, чтобы я не нарушил закон из-за вашей технической ошибки.
Банк: (ответ через 2 недели, 4 мая, когда все налоги уже просрочены): Клиент, вы сами дурак. Ключ-то действовал до 03 часов ночи, хоть мы нигде в акте об этом вам и не написали. Но это не наша проблема. Идите…. со своими претензиями. И надеемся на дальнейшее сотрудничество.
Так вот, дорогой банк. Пусть твои потенциальные клиенты сами своим рублём оценят по этой ситуации, кто есть кто.
А рассчитывать на дальнейшее сотрудничество с таким подходом к решению проблем – это смешно.
Создание ключа и сертификата для сервера
В Easy-RSA 3 все “по-взрослому”, сначала нам нужно создать запрос на сертификат:
./easyrsa gen-req ovpn-server nopassгде ovpn-server – имя вашего сервера, nopass означает, что закрытый ключ следует создать без пароля. При выполнении данной команды будет создан запрос на сертификат и сгенерирован закрытый ключ сервера ovpn-server.key, который будет располагаться в pki/private.
Для выпуска сертификата выполните:
./easyrsa sign-req server ovpn-serverОпция server обозначает выпуск сертификата для сервера. Для подтверждения выпуска вам нужно будет явно выразить свое согласие указав yes в ответ на соответствующий запрос, любый иные действия приведут к отмене действия. Затем потребуется ввести пароль закрытого ключа центра сертификации.
Выпущенные сертификаты будут располагаться в pki/issued.
Теперь скопируем необходимые сертификаты и ключи в конфигурационную директорию OpenVPN, предварительно создав там папку keys:
mkdir /etc/openvpn/keys
cp pki/ca.crt pki/dh.pem /etc/openvpn/keys
cp pki/private/ovpn-server.key pki/issued/ovpn-server.crt /etc/openvpn/keysДальнейшая настройка OpenVPN-сервера ничем не отличается от описанной нами ранее, и вы можете воспользоваться любой нашей инструкцией, смотрите блок Дополнительные материалы внизу статьи.
Установка сертификата на виртуальные машины
Для использования белого сертификата на виртуальных машинах необходимо:
Создадим новую групповую политику на уровне Organizational Unit, выделенного для компьютерных аккаунтов виртуальных машин фермы VDI.
Данная политика должна выполнить Startup Script ExportVDICert.bat на виртуальных машинах.
В указанном скрипте используются утилиты certutil и FindPrivateKey от Microsoft. Certutil является встроенной утилитой, FindPrivateKey предоставляется в качестве Samle tool для разработчиков и может быль скомпилирован самостоятельно. Скрипт необходимо расположить внутри политики.
Сертификат и утилиту FindPrivateKey необходимо разместить в сетевой папке, откуда скрипт будет забирать файлы для установки. Текст скрипта:
certutil -f -p "<certificate password>" -importpfx "<Path to pfx>" NoExport
c:
mkdir "c:TempCertSecurity"
cd "c:TempCertSecurity"
xcopy "<Path to FindPrivateKey.exe>" "c:TempCertSecurity"
FindPrivateKey.exe My LocalMachine -t "<thumbprint of certificate>" -a > tmp.txt
set /p myvar= < tmp.txt
del tmp.txt
del FindPrivateKey.exe
cd
rd "c:TempCertSecurity"
cacls.exe %myvar% /E /G "NETWORK SERVICE":R"
При помощи данного скрипта после перезагрузки виртуальной машины будет установлен новый сертификат и для него будут настроены права.
Следующая часть политики касается установки параметра SSLCertificateSHA1Hash. Необходимый ключ настраивается через Preferences Windows Settings Registry
Центр сертификации
Настройка вашего оборудования заключается в получении и установке сертификатов.
Для этого Вам необходима действующая учётная запись в домене Sigma.
1. Я не знаю, есть ли у меня учетная запись в домене Sigma. Как проверить её наличие?
Вы можете самостоятельно получить информацию о наличии учетной записи, используя портал «Сбердруг», выставить обращение по шаблону «Разблокировка/блокировка учетных записей» – «Уточнение статуса учетной записи».
2. У меня нет учетной записи в домене Sigma. Как мне её создать?
Для создания учетной записи в домене Sigma необходимо, используя портал «Сбердруг», выставить обращение на создание учетной записи в домене Sigma по шаблону «Программное обеспечение» – «Заявки на предоставление доступа к АС/ИР» – «Заявка на заведение учетной записи в домене» – «Заявка на доступ – Домен Sigma (пользователи Интернет)».
3. Не помню (не знаю) логин учетной записи в домене Sigma. Как его узнать?
Для уточнения логина в домене Sigma, используя портал «Сбердруг», Вам необходимо выставить обращение по шаблону «Разблокировка/блокировка учетных записей» – «Уточнение логина учетной записи» (выбрать проблему «Неизвестен логин» и указать домен «Sigma»).
4. Не помню (не знаю) пароль к учетной записи в домене Sigma. Как его узнать?
Данная проблема решается сбросом пароля на первоначальный (транспортный), для этого Вам необходимо, используя портал «Сбердруг», выставить обращение по шаблону «Разблокировка/блокировка учетных записей» – «Разблокировка учетной записи в Домене Sigma (@my-sertif.ru)».
5. Моя учетная запись в домене Sigma заблокирована. Как разблокировать?
Для разблокировки учетной записи в домене Sigma Вам необходимо, используя портал «Сбердруг», выставить обращение по шаблону «Разблокировка/блокировка учетных записей» – «Разблокировка учетной записи в Домене Sigma (@my-sertif.ru)».
6. Ввожу корректные логин/пароль учетной записи в домене SIGMA, но войти на портал PKI не удается. Что делать?
a. Проверить наличие учетной записи в домене Sigma (см. пункт №1)
b. У Вас нет учетной записи в домене Sigma, необходимо создать учетную запись (см. пункт №2)
c. Вы вводите некорректный пароль, необходимо сбросить пароль от учетной записи в домене Sigma на первоначальный (транспортный) (см. пункт №4)
d. Ваша учетная запись заблокирована, необходимо разблокировать учетную запись в домене Sigma (см. пункт №5)
Списки отзыва и отзыв сертификатов
Если вы используете OpenVPN для организации связи между офисами или доступа в интернет, то вряд ли у вас возникнет потребность в отзыве сертификата. Другое дело, если вы предоставляете удаленный доступ к корпоративной сети с домашних ПК сотрудников, подрядчикам или аутсорсерам.
Прежде всего создадим список отозванных сертификатов (CRL):
./easyrsa gen-crlЗатем создадим символьную ссылку на список в директории с ключами OpenVPN:
ln -s /etc/easy-rsa/pki/crl.pem /etc/openvpn/keys/И внесем в конфигурационный файл сервера OpenVPN следующую строку:
crl-verify keys/crl.pemПосле чего сервер OpenVPN потребуется перезапустить.
Теперь отзовем какой-либо сертификат:
./easyrsa revoke horns_and_hoovesГде horns_and_hooves – имя сертификата клиента (СN), после отзыва следует повторно опубликовать список отозванных сертификатов:
./easyrsa gen-crlПосмотреть список сертификатов можно командой:
cat pki/index.txt
Действующие сертификаты имеют статус V в начале строки, отозванные – R.
Как видим, работа с Easy-RSA 3 не представляет каких-либо сложностей и надеемся, что данная статья будет вам полезна.