kondigor Опубликовано 27 Ноября 2013 Жалоба Поделиться Опубликовано 27 Ноября 2013 Разбираюсь с переносом контейнеров ключей администратора УКЦНа полигоне при первоначальной настройке УКЦ указал сохранение ключей в файл, в стандартный каталогC:\Program Files\InfoTeCS\ViPNet Administrator\KC\Admin_***X0002Вижу в нем 2 файла:adm-DC09-DA89-7F04-1556admkeyЗатем выполняю процедуру “Смена места хранения контейнера ключей администратора” (руководствео администратора УКЦ, стр. 252) - указываю перенести ключи в другую папку - типа c:\keyПосле этого файл admkey перемещается в c:\key, а файл adm-DC09-DA89-7F04-1556 остается на старом местеПри попытке переноса ключей админа УКЦ с eToken - в указанной папке на диске тоже создается один файл admkeyПодскажите плз, что именно содержится в каждом из файлов (adm-DC09-DA89-7F04-1556 и admkey)После первичной инициализации УКЦ в свойствах администратора на вкладке ключи виден только один путь к контейнеру ключей - вида C:/Program Files/InfoTeCS/ViPNet Administrator/KC/Admin_***X0002\adm-50F8-AA1C-3186-6657:.0B0B2EDB3C79938C (цифры в имени файла другие - т.к. это вторая попытка) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kondigor Опубликовано 27 Ноября 2013 Автор Жалоба Поделиться Опубликовано 27 Ноября 2013 После установки Vipnet Client на машину с Vipnet Administrator в настройках параметров безопасности, на вкладке Криптопровайдер видно 2 контейнера - один с именем adm-50F8-AA1C-3186-6657, другой - admkeyА после смены места хранения ключей администратора из УКЦ и перезапуска Vipnet Client - видно, что admkey переезжает по новому пути, а adm-50F8-AA1C-3186-6657 остается по старому - в C:/Program Files/InfoTeCS/ViPNet Administrator/KC/Admin_***X0002За что отвечает каждый из этих двух файлов? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 28 Ноября 2013 Жалоба Поделиться Опубликовано 28 Ноября 2013 В своё время тоже изучал и тестировал это:При процедуре первичной инициализации УКЦ для администратора УКЦ создаются:- Контейнер admkey. Содержит 2 ключа: Персональный ключ администратора (ПКА), зашифрованный на парольном ключе данного администратора, и Ключ защиты ключевого центра (КЗКЦ), зашифрованный на ПКА.- Контейнер adm-ХХХХХХХХХХХ. Содержит ключи подписи администратора УКЦ, зашифрованные на ПКА.Помимо этого, вне зависимости от способа хранения ключей администратора УКЦ, создаются мастер-ключи УКЦ (МК персональных ключей, МК ключей защиты, МК ключей обмена). Все эти мастер-ключи зашифрованы на КЗКЦ и предназначены для генерации ключей узлов и пользователей (персональных ключей, ключей защиты, ключей обмена). Мастер ключи хранятся в каталоге УКЦ в защищенном контейнере (файле). На токене их хранить невозможно.Исследование и тестирование УКЦ выявило, что если при первичной инициализации УКЦ было выбрано хранение ключей администратора УКЦ на токене, то контейнер ключей adm-ХХХХХХХХХХХ будет храниться только на этом токене и перенести его на другой токен или в файл – невозможно. Контейнер ключей Admkey можно переносить с токена на токен, с токена в файл (потом сделать копию этого файла и перенести на второй токен и т.п.) средствами самого УКЦ (функция Администраторы – Сменить – Ключевой носитель).Получается, что при хранении ключей администратора УКЦ на токене, сделать дубликат Admkey можно, а adm-ХХХХХХХХХХХ нельзя. И если токен выйдет из строя, то Заказчик потеряет ключ подписи администратора УКЦ (Уполномоченного лица УКЦ), которым подписываются все выпущенные в УКЦ ключи подписи пользователей (сертификаты). В такой ситуации при выпуске ключевых дистрибутивов УКЦ будет выдавать ошибку об отсутствии ключа и не сможет выпускать ключевые дистрибутивы для сетевых узлов.Если у Заказчика именно на токене хранятся ключи администратора УКЦ, то есть риск при выходе его из строя, потерять эти ключи.Если при первичной инициализации УКЦ было выбрано хранение ключей администратора УКЦ в файле, то контейнер ключей adm-ХХХХХХХХХХХ будет храниться только в этом файле и перенести его на токен – невозможно. Контейнер ключей Admkey можно переносить с файла на токен и обратно средствами самого УКЦ (функция Администраторы – Сменить – Ключевой носитель). Т.е. при задании в первоначальной установке хранения ключей администратора УКЦ в файле, мы можем потом сделать их резервные копии и снизить до нуля риск потери этих важных ключей. А после перенести Admkey на токен и обеспечить двухфакторную аутентификацию в УКЦ. Правда при этом adm-ХХХХХХХХХХХ так и останется храниться в файле. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kondigor Опубликовано 28 Ноября 2013 Автор Жалоба Поделиться Опубликовано 28 Ноября 2013 Поковыряв стенд, пришел к таким же результатамЕсли при инициализации УКЦ сохранить ключи на внешнем устройстве, то на токене видно 2 контейнера: adm-DC09-DA89-7F04-1556 и admkey. Причем увидеть эти контейнеры смог только после установки Vipnet Client на машину с Administrator - через Настройка параметров безопасности - Устройства.После выполнения процедуры “Смена места хранения контейнера ключей администратора” контейнер adm-DC09-DA89-7F04-1556 остался на токене.Войти в УКЦ по получившемуся файлу admkey в папке можно - но при попытке создать ключевой дистрибутив для нового пользователя - ошибка "Ключ не найден"Странно, что в документации нет предупреждения на этот счет Поскольку процесс уже пошел - сейчас скучно будет переставлять УКЦ и переинициализировать всех клиентов. И сознавать, что поломка токена будет фатальной - тоже скучно. Буду думать в сторону создания второй учетной записи администратора УКЦ - со своим токеном или файловым контейнером ключей. Есть ли грабли в таком варианте? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 29 Ноября 2013 Жалоба Поделиться Опубликовано 29 Ноября 2013 Поскольку процесс уже пошел - сейчас скучно будет переставлять УКЦ и переинициализировать всех клиентов. И сознавать, что поломка токена будет фатальной - тоже скучно. Буду думать в сторону создания второй учетной записи администратора УКЦ - со своим токеном или файловым контейнером ключей. Есть ли грабли в таком варианте?Грабли есть.В админгайде по ViPNet Administrator (УКЦ) v. 3.2 есть "Глава 7. Управление администраторами программы ViPNet Удостоверяющий и ключевой центр". Почитайте. Общий смысл - "Использование нескольких учетных записей администраторов программы ViPNet УКЦ не рекомендуется по ряду причин".Я тестировал. Но столкнулся ещё и с другими трудностями.Если первый администратор хранит свои ключи (admkey и adm-ХХХХХХ) на токене, то при создании второго администратора и выбора для хранения его ключей второго токена, воткнутого в комп, происходит ошибка:Тип события: ошибкаВремя: 19 июля 2013 г. 17:52:38Источник: CSPИдентификатор: 1110Сообщение: Ошибка импорта ключа в контейнер.Файл приложения:C:\Program Files\InfoTeCS\ViPNet Administrator\KC\KeyCenter.exeКонтейнер:1|1\2|{FAF4CB7A-F43B-4DB6-B61D-4FE0536CAC68}\3|{CA19A82D-D727-4113-A5CF-8D932E49B7C3}\4|1\5|300\6|300\7|16\008945ae \8|admkeyКод ошибки (Win): 29С выбором токена я не ошибался... именно пустой выбирал для второго администратора.Если местом хранения ключей второго администратора выбирать файл, то всё ОК. Создается второй администратор.Также всё ОК, если первый администратор, с помощью которого зашли в УКЦ, работает без токена (хранит ключи в файле), а для второго администратора при создании выбираем хранить ключи в токене. При этом всего один токен воткнут в комп. При двух воткнутых токенах (один с ключами, по не текущего админа и второй пустой) тоже всё нормально.Ошибка происходит только если в УКЦ зашел админ с ключами на токене и создается новый админ с ключами на другом токене.Тестировал на eToken Pro Java 72K. В Инфотекс писал (мы с ними партнерствуем всё же), но вразумительного ответа не было. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kondigor Опубликовано 29 Ноября 2013 Автор Жалоба Поделиться Опубликовано 29 Ноября 2013 Получил от суппорта обновленную документацию на УКЦ (которой нет ни на сайте, ни на сертифицированных дисках)И там в описании процедуры "Смена места хранения контейнера ключей администратора" появилось примечание:В процессе операции смены места хранения ключей администратора переносится только ключ защиты УКЦ. Контейнеры с ключами подписи из состава ключей администратора в переносе не участвуют. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kondigor Опубликовано 29 Ноября 2013 Автор Жалоба Поделиться Опубликовано 29 Ноября 2013 Читал...Да, там тоже есть оговорка - При необходимости организации многопользовательской работы можно создать дополнительные учетные записи администраторов программы ViPNet Удостоверяющий и ключевой центр. Однако данная возможность присутствует только для совместимости с ПО ViPNet предыдущих версий. Если УКЦ устанавливается впервые, а не в результате обновления УКЦ версии 3.1.x, не рекомендуется использовать больше одной учетной записи администратора УКЦИтого - чтобы сделать полноценный бэкап ключей админа УКЦ - придется отказаться от использования токенов вообще. Печально Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.