Удаленная настройка компьютера для работы с сертификатом

Обновлено: 10.01.2025

Частенько появляются вопросы про просмотр хранилищ сертификатов на удалённых компьютерах из PowerShell. Встроенный провайдер CERT:\ не умеет такого. Командлетов для этой задачи тоже нет (хотя PowerShell вообще не содержит ни одного даже самого примитивного командлета для работы с сертификатами). Как быть и что делать? Ведь MMC умеет ходить по хранилищам удалённых компьютеров. Ответ на самом деле простой до безобразия, но о нём почти ничего не написано.

Как известно для особой работы с хранилищем сертификата (в смысле не только посмотреть, что там есть, но и добавить туда ещё сертификатов) мы используем класс X509Store. Сначала мы создаём соответствующий объект хранилища требуемого контекста (тип хранилища и название контейнера) и методом Open() открываем его. Но в списке конструкторов класса X509Store нет ничего похожего, что бы указывало на возможность указания другого компьютера. Чаще всего используется вот этот: X509Store(String, StoreLocation). В качестве первого параметра как правило указываем название контейнера, а в качестве второго указываем само хранилище — CurrentUser или LocalMachine. Однако, для этого конструктора есть один трюк: если к первому аргументу приписать имя компьютера, мы получим доступ к хранилищу удалённого компьютера и вот как это выглядит:

Примечание: второй аргумент в данном сценарии всегда должен быть LocalMachine, поскольку мы не имеем возможности подключаться к пользовательским хранилищам удалённых компьютеров.

1. Не помечать закрытый ключ компьютерных сертификатов как разрешённый для экспорта;
2. Зафиреволить наглухо все серверы в периметре;
3. Приобрести для этих серверов HSM (Hardware Security Module).

Первый метод самый дешёвый и простой. Он не требует каких-то специальных знаний от администратора. Второй относительно дешёв, но требует достаточно глубоких знаний от администратора, т.к. некорректно настроенный фиревол может привести к потере удалённого контроля над сервером. А третий прост примерно как и первый способ, но требует определённых капиталовложений (порядка нескольких килобаксов за единицу девайса). Об этом можно дискутировать долго и упорно, моя же задача здесь предельно проста: рассказать как решить задачу и поведать о возможных последствиях :-)

09.07.2020

Windows 10, Windows Server 2016, Групповые политики

комментариев 18

В этой статье мы покажем, как использовать доверенные SSL/TLS сертификаты для защиты RDP подключений к компьютерам и серверам Windows в домене Active Directory. Эти сертфикаты мы будем использовать вместо самоподписанных RDP сертификатов (у пользователей появляется предупреждение о невозможности проверки подлинности при подключению к RDP хосту с таким сертификатом). В этом примере мы настроим специальный шаблон для выпуска RDP сертификатов в Certificate Authority и настроим групповую политику для автоматического выпуска и привязки SSL/TLS сертификата к службе Remote Desktop Services.

Предупреждение о самоподписанном сертификате RDP

По умолчанию в Windows для защиты RDP сессии генерируется самоподписанный

сертификат. В результате при первом подключении к RDP/RDS серверу через клиента mstsc.exe, у пользователя появляется предупреждение:

При этом отпечаток RDP сертификата сохраняется на клиенте в параметре CertHash в ветке реестра с историей RDP подключений (HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\). Если вы скрыли уведомление о невозможности проверить подлинность RDP сервера, чтобы сбросить настройки, удалите ключ с отпечатком сертификата из реестра.

Несмотря на то, что для подключения используется самоподписанный сертификат, ваше RDP подключение защищено, а трафик зашифрован.

Создаем шаблон RDP сертификата в центре сертификации (CA)

Попробуем использовать для защиты RDP подключений доверенный SSL/TLS сертификат, выданный корпоративным центром сертификации. С помощью такого сертификата пользователь может выполнить проверку подлинности RDP сервера при подключении. Предположим, что у вас в домене уже развернут корпоративной центр сертификации (Microsoft Certificate Authority), в этом случае вы можете настроить автоматическую выдачу и подключение сертификатов всем компьютерам и серверам Windows в домене.

Н на вашем CA нужно создать новый тип шаблона сертификата для RDP/RDS серверов.

Настройка групповой политики для выдачи RDP сертификатов

Теперь нужно настроить доменную политику, которая будет автоматически назначать RDP сертификат компьютерам/серверам согласно настроенного шаблона.

Предполагается, что все компьютеры домена доверяют корпоративному центру сертификации, т.е. корневой сертификат через GPO добавлен в доверенные корневые центры сертификации.

1. Откройте консоль управления доменными групповыми политиками gpmc.msc, создайте новый объект GPO и назначьте его на OU с RDP/RDS серверами или компьютерами, для которых нужно автоматически выдавать TLS сертификаты для защиты RDP подключения;
2. Перейдите в раздел GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security. Включите политику Server Authentication Certificate Template. Укажите имя шаблона CA, который вы создали ранее (RDPTemplate);
   
3. Затем в этом же разделе GPO включите политику Require use of specific security layer for remote (RDP) connections и установите для нее значение SSL;
4. Для автоматического продления RDP сертификата, перейдите в раздел GPO Computer configuration -> Windows settings -> Security Settings -> Public Key Policies и включите политику Certificate Services Client – Auto-Enrollment Properties. Выберите опции “Renew expired certificates, update pending certificates and remove revoked certificates” и “Update certificates that use certificate templates”;
   
5. Если вы хотите, чтобы клиенты всегда проверяли сертификат RDP сервера, вам нужно настроить политику Configure Authentication for Client = Warn me if authentication fails (секция GPO Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Settings -> Remote Desktop Connection Client);
6. Если нужно, можете через политики файервола открыть входящий RDP порт TCP/UDP 3389;
7. Осталось обновить политики на клиенте, запустить консоль сертификатов компьютера (Certlm.msc), и проверить, что в разделе Personal -> Certificates появился сертификат для Remote Desktop Authentication, выданный вашим CA.

Если политики не применились, для диагностики GPO воспользуйтесь утилитой gpresult и этой статьей.

Для применения нового RDP сертификата, перезапустите службу Remote Desktop Services:

Get-Service TermService -ComputerName msk-dc01| Restart-Service –force –verbose

Также можете в консоли Certification Authority в секции Issued Certificates проверить, что по шаблону RDPTemplate был выдан сертификат определённому Windows компьютеру/серверу. Также проверьте значение Thumbprint сертификата:

Теперь сравните полученные данные с отпечатком сертификата, который используется службой Remote Desktop Service. Вы можете посмотреть значение отпечатка сертификата службы RDS в реестре (ветка HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations, параметр TemplateCertificate) или командой PowerShell: Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices|select SSLCertificateSHA1Hash

Теперь, при подключении к удаленном столу любого сервера или компьютера, на который действует эта политика, вы не увидите предупреждения о недоверенном RDP сертификате.

Подписываем RDP файл и добавляем отпечаток доверенного RDP сертификата

Если у вас отсутствует CA, но вы хотите, чтобы при подключении к RDP/RDS серверу у пользователей не появлялось предупреждения, вы можете добавить сертификат в доверенные на компьютерах пользователей.

Как описано выше получите значение отпечатка (Thumbprint) RDP сертификата:

Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices|select|select SSLCertificateSHA1Hash

Используйте этот отпечаток для подписывания .RDP файла с помощью RDPSign.exe:

rdpsign.exe /sha256 65A27B2987702281C1FAAC26D155D78DEB2B8EE2 "C:\Users\root\Desktop\rdp.rdp"

Теперь через GPO добавим этот отпечаток сертификата в доверенные у пользователей. Укажите отпечатки (через точку с запятою) в политике Specify SHA1 thumbprints of certificates representing trusted .rdp publishers (Указать отпечатки SHA1 сертификатов, представляющих доверенных издателей RDP) в секции Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Settings -> Remote Desktop Connection Client.

Чтобы работал прозрачных RDP вход без ввода пароля (RDP Single Sign On), нужно настроить политику Allow delegation defaults credential и указать в ней имена RDP/RDS серверов (см. статью).

При создании защищенного клиента или службы можно использовать сертификат в качестве учетных данных. Например, общий тип учетных данных — это сертификат X. 509, который создается с помощью X509CertificateInitiatorClientCredential.SetCertificate метода.

существует три разных типа хранилищ сертификатов, которые можно проверить с помощью консоли управления (mmc) в Windows systems:

Локальный компьютер. хранилище является локальным для устройства и является глобальным для всех пользователей на устройстве.

Текущий пользователь: хранилище является локальным по отношению к текущей учетной записи пользователя на устройстве.

Учетная запись службы. хранилище является локальным для определенной службы на устройстве.

Просмотр сертификатов в оснастке MMC

В следующей процедуре показано, как проверить магазины на локальном устройстве, чтобы найти соответствующий сертификат:

В меню Пуск выберите пункт выполнить и введите MMC.

Откроется консоль MMC.

В меню файл выберите команду Добавить или удалить оснастку.

Откроется окно Добавление или удаление оснасток .

В списке Доступные оснастки выберите Сертификаты, а затем щелкните добавить.

В окне оснастки "сертификаты " выберите учетная запись компьютера, а затем нажмите кнопку Далее.

При необходимости можно выбрать учетную запись пользователя для текущего пользователя или учетной записи службы для конкретной службы.

Если вы не являетесь администратором устройства, вы можете управлять сертификатами только для учетной записи пользователя.

В окне Выбор компьютера оставьте выбранным параметр локальный компьютер и нажмите кнопку Готово.

В окне Добавление или удаление оснастки нажмите кнопку ОК.

Необязательно. в меню файл выберите сохранить или Сохранить как , чтобы сохранить файл консоли MMC для последующего использования.

Чтобы просмотреть сертификаты в оснастке MMC, выберите корень консоли в левой области, а затем разверните узел Сертификаты (локальный компьютер).

Появится список каталогов для каждого типа сертификатов. Из каждого каталога сертификатов можно просматривать, экспортировать, импортировать и удалять свои сертификаты.

Просмотр сертификатов с помощью средства диспетчера сертификатов

Вы также можете просматривать, экспортировать, импортировать и удалять сертификаты с помощью средства диспетчера сертификатов.

Просмотр сертификатов для локального устройства

В меню Пуск выберите пункт выполнить , а затем введите certlm. msc.

Откроется средство диспетчера сертификатов для локального устройства.

Для просмотра сертификатов в разделе Сертификаты — локальный компьютер в левой области разверните каталог для типа сертификата, который нужно просмотреть.

Просмотр сертификатов для текущего пользователя

Выберите параметр Выполнить в меню Пуск, а затем введите certmgr.msc.

Отобразится инструмент диспетчера сертификатов для текущего пользователя.

Чтобы просмотреть сертификаты, в разделе Сертификаты — текущий пользователь в левой области разверните каталог для типа сертификата, который нужно просмотреть.

Из-за пандемии коронавируса многим приходится работать удалённо. Мы собрали инструкции, которые помогут вам быстро настроить наши программы на своём личном компьютере и работать из дома.

Подготовить компьютер

Перенести рабочее место домой можно разными способами.

1. Забрать домой рабочий компьютер. Чтобы удалённо подключаться к внутренним сервисам, попросите админа настроить вам OpenVPN. Например, в Контуре без OpenVPN нельзя ни зайти в почту, ни подписать электронные документы.
2. Настроить удалённый доступ к рабочему столу с домашнего компьютера. Сделать это можно с помощью программ типа TeamViewer. И не забудьте оставить офисный компьютер включённым, иначе ничего не получится.
3. Загрузить нужные программы на домашний компьютер.

Мы предлагаем инструкции на случай, если вам придётся работать с домашнего компьютера — это третий сценарий.

Перенести сертификат

Чтобы полноценно работать с сервисами Контура на домашнем компьютере, нужно перенести на него сертификат. Для этого скопируйте ключи электронной подписи (ЭП) с реестра на рабочем компьютере и перенесите их на съёмный носитель.

1. Перейдите по ссылке на профиль Диагностики «Копирования».
2. Вставьте в компьютер съёмный носитель, на который вы будете переносить сертификат.
3. Кликните на кнопку «Скопировать» напротив нужного сертификата. Если контейнер защищён паролем, то на экране должно появиться окно «Введите пароль для устройства с которого будет скопирован сертификат».
4. После этого вам нужно будет выбрать носитель, на который вы скопируете сертификат, и задать новое имя контейнеру.
5. Готово! Если вы всё сделали правильно, то система сообщит, что сертификат успешно скопирован из Реестра на ваш носитель.

Настроить вход по логину и паролю

Если вам не нужно подписывать отчёты, вы можете настроить вход в сервисы Контура по логину и паролю. В этом случае вы сможете, например, смотреть в Экстерне список отправленных документов и формировать новые, искать документы в Нормативе, считать выплаты сотрудникам и налоги в Бухгалтерии. Зайти в сервисы по логину и паролю можно с телефона или любого компьютера.

Настроить вход по логину и паролю можно даже в том случае, если у вас на компьютере нет действующего сертификата.

Перенести Экстерн на домашний компьютер

Если вам нужно отправлять отчёты с домашнего компьютера, нужно перенести на него сертификат. Для этого:

1. Скопируйте сертификаты на съёмный носитель, если они установлены в реестре компьютера.
2. С помощью веб-диска установите на домашний компьютер компоненты, нужные для работы Экстерна.
3. Установите на новый компьютер сертификаты.

Пользоваться веб-версией и приложением Диадока

В Диадоке можно работать через веб-версию, даже если обычно вы работали через модуль 1С или интеграционное решение.

Чтобы подписывать документы, настройте новое рабочее место:

домашнего компьютера (откройте ссылку с того компьютера, с которого хотите работать); или скопируйте сертификат, установленный в реестре на офисном компьютере.

Если вы все же хотите пользоваться на новом рабочем месте модулем Диадока для 1С, нужно, чтобы администратор организации перенес базу 1С, а затем установил и запустил модуль.

Можно воспользоваться и мобильным приложением: в нём всё настроено для удалённой работы. Для подписания документов потребуется сертификат, выпущенный по новой технологии электронной подписи. Остальные задачи можно выполнять, заходя по логину.

Перенести сертификат, чтобы работать в Бухгалтерии

Контур.Бухгалтерия тоже веб-сервис: войти в него можно с любого компьютера по логину-паролю. Если нужно подписывать документы, перенесите на домашний компьютер сертификат.

Пройти диагностику, чтобы работать в Контур.ОФД

Если вы еще не заходили в личный кабинет Контур.ОФД, воспользуйтесь инструкцией для первого входа по сертификату.

Если вы уже заходили по сертификату, настроили вход по логину-паролю, а теперь хотите зайти с другого компьютера, порядок действий такой:

.
1. Когда диагностика завершится, система подскажет, каких компонентов не хватает. Установите их. Поможет инструкция по настройке рабочего места.

У Контур.ОФД есть бесплатное мобильное приложение на iOS и Android. Если еще не заходили в личный кабинет, следуйте инструкции выше. Если уже заходили и настроили вход по логину и паролю, введите их при входе в мобильное приложение.

В личном кабинете Контур.ОФД можно регистрировать, перерегистрировать и снимать с учёта кассу. Если у вас подходит срок замены ФН, замените его и перерегистрируйте кассу в Контур.ОФД по инструкции.

Если у вас остались вопросы по настройке сервисов, пишите нашим специалистам техподдержки: онлайн-консультанты работают круглосуточно и обязательно вам помогут.

В случае, если у вас отсутствуют предустановленные криптопровайдеры, нажмите на ссылку «КриптоПРО 5.0» ниже для загрузки файла установки КриптоПРО на компьютер.

После окончания загрузки, откройте zip -архив с помощью соответствующей программы-архиватора (например, Win - RAR ). Внутри будет сам файл установки КриптоПРО. Запустите его и установите с параметрами по умолчанию. В процессе установки у Вас может появиться следующее окно:

Рис.1 – Установка КриптоПРО

Пропустите окно, нажав «Далее». Установка КриптоПРО завершена.

Подписи можно хранить в реестре компьютера, на обычных флеш-накопителях и на специальных usb -токенах. Список токенов, пин-коды и ссылки на ПО представлены в таблице ниже (Таблица 1).

Таблица 1 – Драйверы для защищенных носителей

Тип USB-носителя

Внешний вид USB-носителя

Ссылка на загрузку драйверов

ruToken

12345678

eToken

1234567890

JaCarta LT

1234567890

MS-Key

11111111

Esmart *

12345678

JaCarta LT Nano

JaCarta ГОСТ

JaCarta S/E

1234567890

Визуально определите ваш носитель.

Для работы с одним из этих носителей необходимо установить драйвер. Перейдите по соответствующей ссылке, скачайте драйвер и установите его на компьютер. Установку драйвера проводите с параметрами по умолчанию.

Для установки корневых сертификатов Вы можете воспользоваться автоматическим установщиком, который доступен для скачивания по данной ссылке

Для работы с электронной подписью в различных сервисах и ИС посредством браузера, необходимо установить дополнительное программное обеспечение, расширяющее возможности браузеров.

• Крипто-Про ЭЦП Browser plugin 2.0 - стандартный плагин КриптоПро ЭЦП Browser plug-in.

Перейдите по ссылке для скачивания установочного файла, после завершения загрузки запустите файл. Во всех окнах подтверждения жмите «Да» и дождитесь завершения установки.

• capicom2102.msi - стандартная библиотека CAPICOM от Microsoft.

Перейдите по ссылке для скачивания установочного файла, после завершения загрузки запустите файл. Примите лицензионное соглашение, во всех окнах подтверждения жмите «Далее» и дождитесь завершения установки.

Это важно: У некоторых площадок/порталов/сервисов есть собственные плагины, необходимые для работы с ЭП. Рекомендуется ознакомится с регламентом интересующей вас площадки перед началом работы. Например, для портала ГОСУСЛУГИ необходим этот плагин , а для ЭТП ГУП Татарстана криптографический плагин .

Internet Explorer

• Вариант 1. Откройте «Панель управления» - «Крупные значки» - «Свойства браузера».

• Вариант 2. Нажмите «Пуск» - нажмите на кнопку в виде шестеренки «Параметры» - в поле «Найти параметр» введите «Свойства браузера» - откройте найденный параметр.

Перед вами откроется окно, нажмите на вкладку «Безопасность». Нажмите на кнопку «Надёжные сайты» - «сайты».

Во вкладке «Безопасность», нажать кнопку «Другой», перед вами открывается окно, спуститесь по полосе прокрутки вниз списка. Нужно включить или разрешить все элементы ActiveX, после проделанных операций нажать «ОК».

Зайдите на вкладку «Конфиденциальность» и уберите галочку «Включить блокирование всплывающих окон». Далее нажмите «Ок» для сохранения всех настроек.

Откроется меню расширений, найдите CryptoPro Extension for CAdES Browser Plug-in и поставьте галочку напротив «Включить».

Яндекс.Браузер

Откроется меню дополнений, пролистав в самый низ найдите «CryptoPro Extension for CAdES Browser Plug-in» и нажмите кнопку «установить».

Откроется новая вкладка, где необходимо нажать кнопку «добавить в Яндекс.Браузер» и дождаться полной установки.

Microsoft Edge

В открывшемся окне найдите «CryptoPro Extension for CAdES Browser Plug-in» и переведите переключатель в активное положение.

В открывшемся окне нажмите «включить расширение».

Mozilla Firefox

В открывшемся окне найдите «Rutoken Plugin Adapter» и активируйте его.

В появившемся окне нажмите кнопку «Включить».

Opera

В строке поиска найдите «открыть страницу дополнений Opera».

В строке поиска найдите «CryptoPro Extension for CAdES Browser Plug-in» и выберите его.

В открывшемся окне нажмите кнопку «Add to Opera» и дождитесь полной установки.

Спутник

Откроется меню расширений, найдите CryptoPro Extension for CAdES Browser Plug-in и поставьте галочку напротив «Включено».

Читайте также:

  
• Как проверить бункер отработки тонера kyocera p6130
  
• Как установить oculus на компьютер
  
• Перечислите программные средства необходимые для работы компьютерных сетей
  
• Как заморозить видео в сони вегас про 16
  
• Нил деграсс тайсон является ли вселенная компьютерной симуляцией