Виртуализация USB устройств в сетях / Хабр

Что это?

SEH USB Dongleserver — это программно-аппаратный комплекс, позволяющий предоставлять сетевой доступ к USB-ключам (USB over IP, установленным в аппаратную часть комплекса. USB-устройство может быть подключено к любому рабочему месту сотрудника, будь то рабочий стол VDI, ПК или ноутбук.

Аналогично, при помощи SEH USB Dongleserver USB-ключ лицензии программного обеспечения может быть подключен к виртуальному серверу, что позволит перенести ваши программные комплексы в виртуальную среду без необходимости приобретения новых типов лицензий, поддерживающих виртуализацию.

Таким образом, можно сказать, что с помощью SEH USB Dongleserver можно «виртуализировать» USB-устройства и обеспечить удобную работу пользователей с ними из любой точки: как с рабочего места, так и из дома, без необходимости передавать им сами USB-устройства.

Области применения:

Преимущества использования:

Где хранится ключ в реестре

Все установленные на ПК закрытые ключи ЭЦП хранятся в отдельной папке, которая называется реестром. Для просмотра закрытого ключа нужно иметь права доступа администратора. Чтобы открыть реестр, нужно нажать Win R и в командной строке ввести certmgr.msc.

В новом окне откроются логические хранилища, где можно перейти к выбору сертификата. Расположены они по типам установки.

Чтобы посмотреть информацию об электронной подписи, нужно нажать «Открыть» на выбранном файле.

Использование командной строки

ImDisk Virtual Disk Driver предоставляет удобные возможности управления через командную строку. Не смотря на то, что действий здесь придется выполнять меньше, результат будет такой же, как и при использовании графического интерфейса.

Как скопировать сертификат в реестр

Процесс копирования закрытых ключей с флешки на ПК состоит из нескольких этапов: настройки считывателей, самого копирования и установки.

Как установить ключевую дискету без флоппи-дисковода

Как установить сертификат эцп в реестр

Перенос сертификата электронной цифровой подписи (ЭЦП) в реестр необходим в случае, если имеется виртуальная инфраструктура и подключение USB-носителя невозможно или если сертификатов подписи много и нужно работать с 5-ю и более ключами одновременно.

Также установка ЭЦП в реестр удобна при частых поездках и сменах офиса: снижается риск потери или порчи носителя. Скопировать сертификат с флешки можно несколькими способами, а весь процесс занимает всего несколько минут и не требует специальных навыков работы с ПК.

Копирование

Для копирования сертификата в реестр лучше воспользоваться программой КриптоПро. Пользователь запускает программу и нажимает «Запустить с правами администратора».

Затем переходим во вкладку «Сервис» и жмем «Скопировать».

Откроется окно «Контейнер закрытого ключа», в нем нажмите на кнопку «Обзор» и выберите сертификат, который необходимо скопировать.

В поле «Имя ключевого контейнера» имя отразится в нечитаемом формате. Это нормально.

Нужно нажать «ОК» и «Далее», после чего откроется окно для ввода пин-кода от USB-носителя.

Если пароль не менялся, то стандартный будет:

• для Рутокен для пользователя: 12345678;
• для Рутокен для администратора:87654321;
• для eToken: 1234567890.

После пин-кода нужно задать новое имя личного сертификата в реестре. В КриптоПро это сделать просто.

Теперь нужно переложить сертификаты в реестр.

Последний шаг — после копирования контейнера задаем новый пароль.

На этом процесс копирования закрытого ключа электронной подписи закончен.

Настройка считывателя

Для установки реестра в список считывателей ключевых носителей пользователь должен:

• запустить КриптоПро от имени администратора;

• через «Оборудование» нажать «Настроить считыватель»;

• в открывшемся новом окне нажать кнопку «Добавить»;

• затем в мастере установки выбрать, какой считыватель необходимо добавить (реестр, смарт-карту, диски и т.д.);

• последовательно нажать «Далее» и «Готово».

Для последующей корректной работы необходимо перезагрузить компьютер.

Ошибка при копировании сертификата

Устанавливать электронную подпись на компьютер просто, но иногда в процессе возникает ошибка копирования контейнера. Объясняется она отсутствием разрешения на экспорт ключа, т.к. при создании его не был указан соответствующий пункт. Чтобы скопировать сертификат с флешки и избежать ошибки нужно:

• Убедиться, что КриптоПро имеет действующую лицензию.
• Попробовать повторно установить закрытый ключ ЭЦП.
• Если в имени имеется строка, содержащая данные «_копия_a0b63dd8», то нужно провести копирование одним из способов, соответствующих типу носителя.
• При переносе ключа поставить галочку «Уникальные имена».

• Проверить, что КриптоПро запущена с правами администратора.

Если сертификат находится на USB-носителе или дискете, или на ПК, то копия делается так:

• При необходимости вводят пароль и повторяют процедуру копирования.

Если сертификат расположен на рутокене:

Повторное монтирование образа

К сожалению, после перезагрузки данный образ придется монтировать вручную заново. Делать это через графический интерфейс не очень удобно, по этому, если навыки обращения с компьютером позволяют — лучше это сделать через командную строку (с использованием bat файла или задания в Планировщике заданий). Про то, как использовать ImDisk Virtual Disk Driver через Командную строку будет написано ниже.

Для монтирования уже имеющегося образа, следует выполнить следующие действия:

1. Открываем Панель управления, а в ней — «ImDisk Virtual Disk Driver«.
   
2. Нажимаем на «Mount new virtual disk«.
   
3. Нажимаем на символ трех точек у пункта «Image file», и выбираем уже имеющийся файл образа.
   
4. После этого, оставляем все остальные значения по умолчанию, и нажимаем на кнопку «ОК», после чего произойдет монтирование образа, и он будет готов к работе.
   

Примеры кейсов

Кейс: Лицензионные и клиентские ключи 1С

Проблема: В связи с переводом пользователей на работу с виртуальными рабочими столами (VDI) и виртуализацией серверов 1С, может оперативно потребоваться обеспечение работы виртуальных серверов с физическими лицензионными USB-ключами 1C в компании.

Описание: Большинство компаний предпочитает размещать серверы 1С на выделенных физических серверах. По этой причине использование физических лицензионных USB-ключей не создаёт каких-либо проблем — ключ подключается в сервер и доступен серверу 1С как обычное USB-устройство. То же самое относится к ключам клиентских лицензий, необходимых для запуска клиента 1С на рабочем месте пользователя.

При внедрении виртуальных рабочих столов и наличия физического сервера 1С, проблем, обычно не возникает — сервер 1С может осуществлять выдачу клиентских лицензий при запуске клиента на рабочем месте пользователя.

В случае, когда принимается решение о виртуализации серверов 1С, возникает вопрос подключения USB-ключей к серверу 1С. В этом возможно приобретение электронных лицензий, но с ними могут возникать определенные сложности. К тому же — это потребует дополнительных затрат, в то время как лицензии 1С уже приобретены и находятся на USB-ключах.

Наконец, виртуализация серверов 1С позволяет использовать возможности сред виртуализации, позволяющих обеспечить отказоустойчивость (Fault Tolerance) и эффективное использование ресурсов (DRS), с применением технологии миграции виртуальной машины с одного хоста виртуализации на другой.

Для этого необходимо, чтобы вне зависимости от того, где находится виртуальный сервер, ему были доступны необходимые USB-ключи. Если USB-ключ будет подключен к какому-то конкретному хосту виртуализации — после миграции ключи могут оказаться недоступными, и работа сервера 1С, скорее всего, будет нарушена из-за отсутствия лицензии.

Решение: Серверы 1С переносятся в виртуальную среду. В виртуальной машине сервера 1С устанавливается программный клиент SEH, с помощью которого осуществляется подключение по сети USB-ключа, подсоединенного к SEH Dongle server (USB over IP).

В результате, USB-ключ виден в виртуальной машине как USB-устройство, подключённое к операционной системе. При этом виртуальную машину запросто можно мигрировать с одного хоста виртуализации на другой, без потери подключения USB-ключа и нарушения работы сервера 1С.

Клиентские ключи 1С присоединяются к другим виртуальным серверам таким же образом с помощью программного клиента SEH. Подключение к нескольким другим серверам осуществляется для того, чтобы распределить клиентские ключи на случай каких-либо возможных проблем с виртуальными машинами.

Итогом проведённых работ: клиент сможет полностью виртуализировать свою инфраструктуру 1С, обеспечить работу пользователей в виртуальных рабочих столах (VDI) с необходимыми приложениями. В дополнение в среду виртуализации переносятся серверы видеонаблюдения и СКУД.

Кейс: Доступ нескольких пользователей к банковским ключам ЭЦППроблема: В связи с тем, что организации, работающие с большим количеством банков и финансовых систем используют для доступа USB-ключи ЭЦП (RuToken, eToken и т.п.) — возникает необходимость обеспечить их работу сразу с несколькими пользователями. В том числе, возможность использования ключей в виртуальных рабочих столах.

Описание: Большинство компаний имеют счета в нескольких банках, при этом, для доступа к банк-клиентам требуется, чтобы сотрудник подключал к своему рабочему месту ключ электронной цифровой подписи (ЭЦП), с помощью которого осуществляется подписание документов и подтверждение операций.

Такие USB-ключи передаются ответственному сотруднику, а он использует их на своем рабочем месте. В худшем случае ключ может быть повреждён, утерян или, что еще опаснее, украден. Зачастую, у сотрудника может быть несколько ключей для работы с разными банками.

Сложности могут возникнуть, если подобный сотрудник заболел или находится в отпуске. Тогда, для продолжения работы организации требуется передать USB-ключи другому человеку и подготовить рабочее место для работы. Это занимает какое-то время, которого может и не быть, поскольку требуется выполнить срочные платежи.

В некоторых случаях, когда это разрешено, ключ может быть передан работнику для использования их за пределами организации, например, дома во время самоизоляции или удалённого режима работы. Но и даже при таком раскладе возникает неудобство: никто кроме этого сотрудника не в силах выполнить требуемые операции, а он по своим личным причинам может быть недоступен.

Решение: На рабочих местах пользователей устанавливается программный клиент SEH, с помощью которого происходит подключение USB-ключей ЭЦП в операционную систему. Физические ключи подсоединяются в устройство SEH Dongleserver, размещённые в серверном помещении компании.

SEH Dongleserver настраивается так, чтобы доступ к конкретному USB-ключу из программного клиента SEH возможно было получить при указании пароля, известный только администратору SEH. Этот пароль указывается в программном клиенте SEH на рабочем месте сотрудника. Без знания этого пароля подключить ключ невозможно!

За счет того, что все ключи находятся всегда в одном месте, есть возможность беспроблемно обеспечить работу другого ответственного сотрудника с необходимыми инструментами и банк-клиентами. Для этого требуется только установить необходимое криптографическое программное обеспечение и клиент SEH.

Работы проводятся непосредственно перед началом режима изоляции, связанной с эпидемией вируса COVID-19. С помощью данного решения удастся обеспечить удаленную работу с USB-ключами ЭЦП так, что не больше не потребуется передавать физические USB-ключи сотрудникам, а значит, для нормальной работы пользователям больше не нужно давать USB-устройства друг-другу, нарушая режим самоизоляции.

Бывают такие случаи, что на момент начала внедрения у клиентов уже может быть внедрена инфраструктура виртуальных рабочих столов на основе Citrix XenDesktop. Впрочем, это решение может работать и с любым другим решением VDI, например VMWare Horizon, а также и с ПК и ноутбуками, находящимися в офисе компании — достаточно организовать удалённое подключение сотрудника к его рабочему месту.

В рамках внедрения решения, в виртуальные рабочие столы устанавливается программный клиент SEH и пользователи, подключаются удалённо к своим рабочим столам. Помимо вышеперечисленного существует возможность подключить необходимые USB-ключи ЭЦП и работать с банк-клиентами без необходимости присутствия на своем рабочем месте в офисе.

Итог внедрения — сохранность и безопасность компании своих USB-носителей с ЭЦП и предоставление своим сотрудникам возможности удалённой работы в сложных и непредвиденных ситуациях, сохраняя непрерывность бизнес-процессов.

Создание и монтирование образа

1. Открываем Панель управления (владельцам Windows 10 следует прочитать этот материал в случае возникновения трудностей с открытием Панели управления).
2. Убеждаемся, что включен вид Панели задач «Крупные значки«, или «Мелкие значки«.
   
3. Открываем «ImDisk Virtual Disk Driver«.
   
4. В случае появления окна «Разрешить этому приложению вносить изменения на вашем устройстве?», нажимаем «Да».
   
5. В окне «ImDisk Virtual Disk Driver«, нажимаем на кнопку «Mount new…«.
   
6. В появившемся окне «Mount new virtual disk«, переходим к полю «Image file» и нажимаем на кнопку с тремя точками.
   
7. В появившемся окне переходим в нужную для сохранения образа директорию (например — C:Images), после чего в поле «Имя файла» пишем имя файла — например, Keys. После имени файла, через символ точки, следует дописать расширение img. Далее, следует нажать на кнопку «Открыть».
   
8. Появится окно с сообщением, что подобный файл не существует, и предложит его создать. Соглашаемся с предложением, нажав кнопку «Да».
   
9. Теперь выставляем остальные настройки:
   • Drive letter — устанавливаем букву диска для монтируемого образа
   • Size of virtual disk — размер создаваемого образа в виде цифрового значения и единицы измерения. В качестве примера поставлено значение 2 GB.
   • Device type — устанавливаем тип устройства. Для того, чтобы устройство воспринималось как съемный накопитель, ставим «Harddisk volume«.
   • Image file access — тип доступа к образу. Ставим значение «Virtual disk drive accesses image file directly«, для того, чтобы программа напрямую работала с образом на диске.

   Выставив все нужные настройки, нажимаем «ОК».
   

10. После нажатия на кнопку «ОК» будет создан новый образ, который будет смонтирован в систему под выбранной буквой диска. Поскольку образ только что созданный, то на нем не содержится никакой файловой системы, а значит для начала с ним работы, нужно его отформатировать в понятную для Windows файловую систему. По умолчанию, Windows сама предложит провести данную процедуру, но если этого не произошло, придется сделать это самому — зайдя в Проводник (или любой другой файловый менеджер), выбрать свежесмонтированный виртуальный диск, и попробовать открыть его. После этого должно появится сообщение с предложением провести форматирование диска. Нажимаем на кнопку «Форматировать диск».
    
    В следующем окне можно все оставить по умолчанию, и просто нажать на кнопку «Начать».
    
    В следующем окне можно все оставить по умолчанию, и просто нажать на кнопку «Начать».
    
    После этого, появится предупреждение о том, что все данные на диске будут безвозвратно потеряны — поскольку, на данном диске ничего нет, то смело нажимаем на кнопку «ОК», после чего непосредственно начнется сама процедура форматирования.
    
    По окончанию форматирования появится соответствующее окно, которое можно закрыть, нажав на кнопку «ОК», после чего закрыть предыдущее окошко, нажав на кнопку «Закрыть».
    
    По окончанию форматирования появится соответствующее окно, которое можно закрыть, нажав на кнопку «ОК», после чего закрыть предыдущее окошко, нажав на кнопку «Закрыть».
    
11. Теперь можно пользоваться свежесозданным виртуальным диском, как флешкой.

Установка

После копирования установить сертификат ЭЦП на компьютер с флешки в реестр можно 2 способами:

• через установку личных сертификатов;
• через просмотр сертификатов в контейнере.

Оба способа используют программу КриптоПро CSP.

Через просмотр сертификатов

Данный способ подходит в том случае, если имеется только папка вида *.000.

• Запустить КриптоПро.
• Через «Сервис» перейти на вкладку «Просмотреть сертификаты в контейнере».

• Затем выберите носитель через кнопку «Обзор» и в открывшемся окне выделите нужный реестр.

• В строке с именем контейнера должна быть информация о контейнере с закрытым ключом, если все верно, то нужно нажать «Ок».
• Затем в окне с информацией нужно нажать «Свойства».

• После проверки данных нажать кнопку «Установить».

• В открывшемся мастере импорта нужно выбрать хранилище. Для этого сначала ставят галочку напротив «Поместить все сертификаты в…» и нажимают «Обзор».

• Затем через папку «Личные» выбрать папку с носителем реестром и в строке «Название хранилища» нажать «Далее».

В завершении установки нужно лишь «Готово» в мастере установки.

Через раздел личных сертификатов

Как установить ЭЦП в реестр при условии, что на ключевом носителе имеется папка *.000 и файл .cer:

• Запустить КриптоПро и выбрать «Установить личный сертификат» через вкладку «Сервис».

• В мастере установки сертификатов нажать «Далее» и через «Обзор» выбрать расположение файла сертификата.

• В новом окне нужно выбрать «Мой компьютер» и далее вид съемного носителя, который содержит закрытый ключ. Затем нажать «Открыть»;

• Далее в соответствующей строке прописывают расположения файла сертификата.

• Затем нужно проверить данные сертификата, который необходимо установить, и нажать «Далее».
• Следующий шаг — это в новом окне выбор ключевого контейнера через кнопку «Обзор».

• В списке выбираем реестр, после чего нажимаем «Ок».
• В строке с именем ключевого контейнера должен автоматически прописаться контейнер с закрытым ключом. Нажать «Далее».
• Через «Обзор» выбираем хранилище сертификата.

• Через папку «Личные» выбираем папку «Реестр», а затем нажимаем «Далее».

Последний шаг — завершить установку нажатием кнопки «Готово».

Через несколько секунд система выдаст сообщение об успешном завершении установки сертификата электронной подписи.