Как работать с ключами Avest в терминальных сессиях + ссылка на криптопровайдер AvCSPBign 6.1.0.741
PachvaraPetrovna на ОнлайнерAvest AVBign и с чем его едят. Или как работать с ключами Avest в терминальных сессиях (RDP, RemApp).
UPD:
ссылка на криптопровайдер AvCSPBign 6.1.0.741
Avest AVbign + RDP
Так как на сайте http://www.avest.by про эти ключи информации чуть более, чем ничего, восполняем пробел. Не вдаюсь в технические детали, т.к. статья не более, чем информация для работающих с "тонкого клиента" сервиса терминалов (в офисе, или удаленно, через Интернет) по протоколу RDP (RDPs) непосредственно с десктопом или с приложениями RemAPP.Итак, в настоящее время Avest предлагает три типа носителей ключевой информации: AVtoken, AVpass и новый (?) продукт AVbign. Основное отличие ключа AVbign, определяющее его ценность для конечного юзера – соответствие стандартам SmartCard, применяемым в Microsoft Windows. Отсюда вытекает важнейшее свойство этого ключа – возможность проброса его через протокол RDP без дополнительного ПО (такого, как USB to RDP, FlexiHub и прочего) или аппаратно-программных USB-to-IP хабов. Ибо “USB to RDP” стоит хороших денег, а FlexiHub требует наличия интернета (т.к. подключение с клиента на сервер требует транзитного сервера FlexiHub, по аналогии с Teamviewer, что уже намекает на неполное соответствие требованиям безопасности, и не работает как сервис на серверных платформах.), а хаб – это дополнительная железяка и софт. AVpass и AVtoken не пробрасываются, правда для этого у Авеста есть некий софт AVserver (кажется так) - но он открыто не распространяется и с выходом продукта AVbign теряет свою необходимость.
Особая сфера применения этого свойства – терминальные серверы (Microsoft Terminal Services). Пример: 1С сервер, установленный на терминальном сервере, с ПО декларирования и "тонким клиентом", юзающего все это счастье.
С внедрением портала электронного декларирования юзеры, работающие в терминале (RDP, RemAPP), и имеющие до сих пор лишь локальные установки ПО декларирования (с криптопровайдерами Avest CSP, и ключами AVtoken и AVpass), столкнулись с проблемой автоматической выгрузки и подписи деклараций из 1С в портал декларирования, т.к. на 1С сервере не виден носитель ключевой информации. Локальная установка ключа в сервер не решает задачу множественного доступа, т.к. ключ виден только в сессии /admin , что простому пользователю недоступно. Это вкратце. Настройку RemApp тоже не рассказываю, майкрософт вам в помощь или в личку по отдельной, уже официальной программе.
На счастье, был обнаружен ключ AVbign, тщательно скрываемый Авестом, т.к. даже обращение в компанию вызывает вопросы типа «а зачем вам ?», что несколько странно. Надеюсь, Авест не подаст иск за раскрытие военной тайны. )) Фото ключа AVbign в сравнении с AVpass:
Для желающих получить красивый оранжевый ключик требуются действия:
1. Обращение в Авест и приобретение ключа (носителя). Заявка и реквизиты покупателя отправляются на welcome@avest.by На декабрь 2016 года стоимость носителя = 74,76BYN
2. Обращение в РУЦУ ГосСУОК и выполнение «Регистрации потребителя с выпуском сертификата открытого ключа без выдачи носителя ключевой информации». Формат заявки здесь: http://pki.by/ufiles/6.02.pdf , стоимость = 65,40BYN
3. С носителем информации (AVbign) и после оплаты услуги (2) едем по адресу: г.Минск, Машерова,5 для получения диска с ПО и цифровым сертификатом и обязательно – для регистрации носителя. По неведомым пока причинам, регистрация самостоятельно купленных ключей иногда не производится сразу, что приводит к ошибке при попытке обращения к носителю, а криптопровайдер радостно сообщает:
Если вы получили такую ошибку, посетите каб.122 (отдел криптозащиты) в здании налоговой инспекции (Машерова, 7), и попросите провести регистрацию. Это занимает около 5 минут и бесплатно.
Продолжим… Вместе с Актом оказания услуг, ГосСУОК выдаст вам компакт-диск с записанным ПО декларирования, цифровым сертификатом пользователя, корневыми сертификатами, патчами для Windows, и самое вкусное – драйвером и криптопровайдером AVbign. На сайте Авест этих файлов нет, хотя сам криптопровайдер лежит на сайте ГосСУОК в открытом виде, но драйвера нет и там. Т.е. с обновлениями криптопровайдера могут быть проблемы.
При подключении носитель определяется как Смарт-карта, но до установки драйвера выглядит «Неизвестная смарт-карта»
Дальнейшее подключение через RDP стандартное, на сервере должен быть разрешен проброс клиентом смарт-карт (локальной либо групповой политикой), у клиента в настройках стоять галочка.
Результат подключения по RDP – на сервере криптопровайдер «видит» носитель AVbign, как будто он подключен локально, без всякого внешнего софта или аппаратных USB-IP-хабов, только задействуя стандартные средства Windows.
Дальнейшую настройку связок ПО не рассматриваем, т.к. цель была – пробросить ключ.
Весь софт декларирования, включая автоматическую выгрузку деклараций из 1С, загрузка на портал декларирования и цифровая подпись работают корректно.
Источник: http://forum.onliner.by/viewtopic.php?t=1625473&p=92678440#p92678440