Для использования ЭЦП по RDP нужно пробросить смарт-карты в сессию пользователя на удалённом рабочем столе.
Стандартный клиент для Windows умеет это делать, однако, почти все клиенты под Mac/Linux не могут этого делать. Существует клиент FreeRDP, который может подключать смарт-карты через виртуальный канал rdpdr. В Ubuntu начиная с версии 11.04 его интерфейс по имени Remmina встроен по-умолчанию.
Также существует железное решение проблемы - USB-концентраторы Digi AnywhereUSB, которые позволяют через IP протокол подключить любое USB устройство в сессию пользователя. В статье http://www.insotel.ru/article.php?id=16 дано более подробное описание работы концентраторов Digi Anywhere USB.
-
-
Обсуждения на сайте Альта-Софт
-
ЭД через RDP из Mac/Linux
Модераторы: Renat, Gala, alta_olg, Lemur, expert
-
Yevgenij78
- Постоянный участник
- Сообщения: 26
- На форуме: c 11 ноя 2010
Сказал: 0 ед.
Получил: 0 ед.
Получил: 0 ед.
Re: ЭД через RDP из Mac/Linux
На днях как раз тоже озадачился этой темой.
FreeRDP это решение явно нетривиальное. Достаточно взглянуть на руководство по установке (файл readme.txt):
https://github.com/FreeRDP/FreeRDP/tree ... client/Mac
Т.е. без помощи специалиста такое ни один декларант проделать наверняка не сможет.
Решение AnywhereUSB для большинства случаев тоже не подойдет из-за бюджета. Ради 1-3 рабочих мест покупка устройства покажется нерентабельной - проще найти рабочие станции РС для ЭД. Да и в больших компаниях тоже спорное решение. Если работаем удаленно, то логичнее, чтобы носитель с ЭЦП был при сотруднике, а не где-то стационарно прокинут на сервер. Кстати, с локально подключенными ключами на терминальном сервере работать не получится, т.к. клиентам подключенным эти ключи доступны не будут. Или у кого-то получилось такую схему реализовать? Разве что вариант с настройкой на сервере же службы отправки ЭД соощений. Но тогда мы упираемся в лимит в 8 еТокенов плюс десяток РуТокенов, что для большой компании, потянувшей бюджет на покупку AnywhereUSB может быть очень сильно ограничивающим.
FreeRDP это решение явно нетривиальное. Достаточно взглянуть на руководство по установке (файл readme.txt):
https://github.com/FreeRDP/FreeRDP/tree ... client/Mac
Т.е. без помощи специалиста такое ни один декларант проделать наверняка не сможет.
Решение AnywhereUSB для большинства случаев тоже не подойдет из-за бюджета. Ради 1-3 рабочих мест покупка устройства покажется нерентабельной - проще найти рабочие станции РС для ЭД. Да и в больших компаниях тоже спорное решение. Если работаем удаленно, то логичнее, чтобы носитель с ЭЦП был при сотруднике, а не где-то стационарно прокинут на сервер. Кстати, с локально подключенными ключами на терминальном сервере работать не получится, т.к. клиентам подключенным эти ключи доступны не будут. Или у кого-то получилось такую схему реализовать? Разве что вариант с настройкой на сервере же службы отправки ЭД соощений. Но тогда мы упираемся в лимит в 8 еТокенов плюс десяток РуТокенов, что для большой компании, потянувшей бюджет на покупку AnywhereUSB может быть очень сильно ограничивающим.
Re: ЭД через RDP из Mac/Linux
Почему бы не заказать ключи на дискетках, сделать образы и монтировать их на удаленной машине?
Последний раз редактировалось dobeerman Пт мар 29, 2013 10:43, всего редактировалось 1 раз.
Re: ЭД через RDP из Mac/Linux
Образы, естественно, будут работать. Я предложил более-менее законные способы решения проблемы. Тем более есть вероятность что когда-нибудь полностью перейдёт на ЭЦП на защищенных носителях сделают ключи неэкспортируемыми.
Re: ЭД через RDP из Mac/Linux
а чем наш метод незаконен?gorkin писал(а):Я предложил более-менее законные способы решения проблемы.
-
Ranger_Z
- Эксперт
- Сообщения: 1072
- На форуме: c 28 ноя 2007
- Откуда: МКС
Сказал: 5 ед.
Получил: 125 ед.
Получил: 125 ед.
Re: ЭД через RDP из Mac/Linux
Копирование вообще то запрещено.
Re: ЭД через RDP из Mac/Linux
А ведь как удобно...Ranger_Z писал(а):Копирование вообще то запрещено.
Ок. Буду думать как пробросить.
Re: ЭД через RDP из Mac/Linux
Решил серьёзно порыться в теме.
Во-первых, сертификаты, выданные для работы по системе ЭД являются квалифицированными, т.к. на сайте таможни в разделе Электронное представление сведений http://www.customs.ru/index.php?option= ... temid=2148 лежит документ Электронная цифровая подпись. Правила формирования и обработки в электронных документах и сообщениях.
В данном документе содержатся такие строчки:
Правовое регулирование отношений в области использования ЭЦП
осуществляется в соответствии с Федеральным законом от 10 января 2002 г. № 1-ФЗ
«Об электронной цифровой подписи».
При этом в законе об ЭЦП 63-ФЗ:
Статья 19. Заключительные положения
1. Сертификаты ключей подписей, выданные в соответствии с Федеральным законом от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи", признаются квалифицированными сертификатами в соответствии с настоящим Федеральным законом.
Для квалифицированных сертификатов:
Статья 17. Квалифицированный сертификат
1. Квалифицированный сертификат подлежит созданию с использованием средств аккредитованного удостоверяющего центра.
Вряд ли вы обладаете средствами аккредитованного УЦ.
6. Владелец квалифицированного сертификата обязан:
1) не использовать ключ электронной подписи и немедленно обратиться в аккредитованный удостоверяющий центр, выдавший квалифицированный сертификат, для прекращения действия этого сертификата при наличии оснований полагать, что конфиденциальность ключа электронной подписи нарушена;
2) использовать квалифицированную электронную подпись в соответствии с ограничениями, содержащимися в квалифицированном сертификате (если такие ограничения установлены).
Ну и ещё чуток (опять из файла с сайта таможни):
Закрытый (секретный) ключ позволяет сформировать ЭЦП от лица владельца
подписи. Он должен быть доступен только владельцу подписи, и храниться в тайне от
посторонних.
Как можно хранить в тайне от посторонних ключ, который раскопировали и пораздавали?
Во-первых, сертификаты, выданные для работы по системе ЭД являются квалифицированными, т.к. на сайте таможни в разделе Электронное представление сведений http://www.customs.ru/index.php?option= ... temid=2148 лежит документ Электронная цифровая подпись. Правила формирования и обработки в электронных документах и сообщениях.
В данном документе содержатся такие строчки:
Правовое регулирование отношений в области использования ЭЦП
осуществляется в соответствии с Федеральным законом от 10 января 2002 г. № 1-ФЗ
«Об электронной цифровой подписи».
При этом в законе об ЭЦП 63-ФЗ:
Статья 19. Заключительные положения
1. Сертификаты ключей подписей, выданные в соответствии с Федеральным законом от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи", признаются квалифицированными сертификатами в соответствии с настоящим Федеральным законом.
Для квалифицированных сертификатов:
Статья 17. Квалифицированный сертификат
1. Квалифицированный сертификат подлежит созданию с использованием средств аккредитованного удостоверяющего центра.
Вряд ли вы обладаете средствами аккредитованного УЦ.
6. Владелец квалифицированного сертификата обязан:
1) не использовать ключ электронной подписи и немедленно обратиться в аккредитованный удостоверяющий центр, выдавший квалифицированный сертификат, для прекращения действия этого сертификата при наличии оснований полагать, что конфиденциальность ключа электронной подписи нарушена;
2) использовать квалифицированную электронную подпись в соответствии с ограничениями, содержащимися в квалифицированном сертификате (если такие ограничения установлены).
Ну и ещё чуток (опять из файла с сайта таможни):
Закрытый (секретный) ключ позволяет сформировать ЭЦП от лица владельца
подписи. Он должен быть доступен только владельцу подписи, и храниться в тайне от
посторонних.
Как можно хранить в тайне от посторонних ключ, который раскопировали и пораздавали?
Re: ЭД через RDP из Mac/Linux
Так же по теме стоит отметить, что на сайта Алладина, который выпускает еТокены четко написано, что еТокены не работают в сессиях RDP.
-
aiki
- Дед
- Сообщения: 302
- На форуме: c 14 апр 2010
- Откуда: СП "Интегра", Ижевск
Сказал: 7 ед.
Получил: 74 ед.
Получил: 74 ед.
Re: ЭД через RDP из Mac/Linux
Все отлично работаетKoteneff писал(а):Так же по теме стоит отметить, что на сайта Алладина, который выпускает еТокены четко написано, что еТокены не работают в сессиях RDP.
Re: ЭД через RDP из Mac/Linux
Etoken'ы работают в сессиях RDP если они проброшены с клиентов, если они стоят на сервере - не работают.
-
aiki
- Дед
- Сообщения: 302
- На форуме: c 14 апр 2010
- Откуда: СП "Интегра", Ижевск
Сказал: 7 ед.
Получил: 74 ед.
Получил: 74 ед.
Re: ЭД через RDP из Mac/Linux
совершенно верно. Так как схема с установкой ключа на сервер выбивается из концепции смарт-карт устройств и ЭП в частности.gorkin писал(а):Etoken'ы работают в сессиях RDP если они проброшены с клиентов, если они стоят на сервере - не работают.