Как пробросить эцп на виртуальную машину
Перейти к содержимому

Как пробросить эцп на виртуальную машину

  • автор:

Как пробросить эцп на виртуальную машину

По умолчанию в ESXi, начиная с версии 6.5, отключена функция проброса смарт-карт (устройств с драйвером CCID).

Не пробрасываются Рутокен Lite и Рутокены семейства ЭЦП. При этом, устройства, работающие на собственном драйвере (например, Рутокен S) пробрасываются корректно.

Для включения проброса CCID устройств необходимо добавить следующее значение в конфигурационный файл виртуальной машины:

Для включения проброса CCID-устройств воспользуйтесь одним из следующих способов:

1) Откройте Web Client vSphere

2) Выберите нужную виртуальную машину и проверьте, что она отключена

Обратите внимание, что редактировать настройки работающей виртуальной машины нельзя. В противном случае, все внесенные вами изменения не сохранятся

3) Нажмите правой кнопкой мыши на название виртуальной машины и выберите пункт "Edit Settings. "

4) Выберите вкладку "VM Options" — пункт меню "Advanced" — кнопка "Edit Configuration. "

5) В поле "Name" введите значение: "usb.generic.allowCCID", а в поле "Value": значение "TRUE" — нажмите кнопку "Add" — "OK"

6) После внесения изменения включите виртуальную машину и проверьте проброс Рутокен

1) Откройте VMWare ESXi

2) Выберите нужную виртуальную машину и проверьте, что она отключена

Обратите внимание, что редактировать настройки работающей виртуальной машины нельзя. В противном случае, все внесенные вами изменения не сохранятся

3) Нажмите правой кнопкой мыши на название виртуальной машины и выберите пункт "Edit Settings. "

4) Выберите вкладку "VM Options" — пункт меню "Advanced" — кнопка "Edit Configuration. "

5) В столбец "Key" введите значение: "usb.generic.allowCCID", а в столбец "Value": значение "TRUE" — нажмите кнопку "OK"

6) После внесения изменения включите виртуальную машину и проверьте проброс Рутокен

Выключите виртуальную машину

Обратите внимание, что редактировать файл .vmx во время работы виртуальной машины нельзя. В противном случае, все изменения, созданные вами, не сохранятся

Откройте конфигурационный файл виртуальной машины с расширением *.vmx и добавьте следующую строчку

Как пробросить эцп на виртуальную машину

Сообщение cobion » 21 июн 2016 16:05

Re: USB для Крипто Про в виртуальную машину.

Сообщение cobion » 23 июн 2016 07:38

Бог с ним с «пробросом» , решается банальным присоединением физического диска в виртуалку, так как ЭЦП на обычной флэшке записано. а не на Токене. Можно просто копирнуть содержимое на диск в виртуалку и импортировать ключи.

Теперь вопрос в другом, как унифицировать импорт ЭЦП для каждого пользователя в реестр своего профиля, если ферма состоит из 4-рех серверов и каждый узел сеансов должен иметь соответствующую ЭЦП.
На данный момент есть старые терминалки, где и работают пользователи и там уже импортированы некоторые ЭЦП.
Возможно ли как то экспортировать данные сведения об ЭЦП из реестра на новые узлы сеансов, да и как в дальнейшем поступить, либо пользователю приедтся четыре раза аутентифицироваться на каждом из узлов сеансов для того что бы можно было импортировать новую ЭЦП ?
Спасибо!

ЭЦП от ФНС, приключения с виртуалкой

Небольшие приключения приносит не экспортируемая ключ со флешкой от ФНС. Отсутствие возможности экспорта сделано, как говорят, исключительно для обеспечения безопасности. Однако в случаях, когда работа с ЭЦП нужна внутри виртуальной машины, а еще может быть на сервере виртуальном (вероятнее в ДЦ, где нет физического доступа) — задача становится крайне интересной, а вечер менее томным. Выходов из ситуаций по меньшей мере два:

  1. Использовать проброс флешки в удаленной сессии (смарт-карта в RDP), соответственно на дополнительных сотрудников покупаем и выписываем дополнительные флешки.
  2. Пробуем снять данные с флешки и подключить на сервере.

Первый вариант экономически не так приятен и, в случае чего, не дает нам сделать даже резервную копию ЭЦП. Поэтому мы переходим ко второму варианту. Для этого нам понадобится утилита для Рутокена — tokens.exe. После запуска утилиты мы сможем сделать копию данных с флешки и будет с чем работать дальше.

Далее нам как-то нужно добавить то, что мы скопировали, в КРИПТОПРО. Замечу, что речь пойдет о 5-ой версии. Здесь возникает маленькая проблема. Нам нужно либо эмулировать съемное устройство, либо искать вариант. Первое у меня не вышло — ни OSFMount, ни ImgDisk, ни VHD не помогли. А вот в новой КРИПТОПРО есть более интересный вариант носителя — Директория. Как только мы его включим и поместим наши ключики с директорию C:\Users\%username%\AppData\Local\Crypto Pro\MyECP.000, сможем увидеть и подключить нашу электронную подпись.

Пробрасываем USB–ключ в облако (Linux клиент — Linux сервер)

Заказчику потребовалось подключить USB–ключ для банковской системы к Linux–серверу в облаке, где он разворачивает свой разработанный продукт. Напрямую подключить USB–ключ к виртуальной машине нельзя — она работает в отказоустойчивом кластере и может быть смигрирована на любой из хост-серверов без даунтайма.

Давайте посмотрим, как реализовать проброс USB–ключа по сети в виртуальную машину с Linux в облаке Azure Pack Infrastructure от InfoboxCloud.

Раз подключить ключ к виртуальной машине нельзя — его нужно подключить к чему-то реальному. Есть аппаратные решения, например AnyWhere USB, но заказчик выбрал более универсальное решение: выделенный сервер в ЦОД Infobox (что для одного ключа получилось дешевле — аппаратные требования к выделенному серверу для такой задачи минимальны — можно использовать самый дешевый сервер с софтовым Raid).

Для проброса использовалось ПО USB Redirector (версия для Linux бесплатна). На выделенный сервер и в виртуальную машину в облаке была установлена Ubuntu 16.04 LTS и были применены все обновления.

Для установки USB Redirector потребуются исходные тексты ядра, установите их:

Теперь необходимо отключить обновления ядра ОС, так как они могут сломать работу USB Redirector (служба проброса после обновления ядра не будет запускаться до переустановки), если необходимо — их можно устанавливать вручную переустанавливая USB Redirector.

Установка и настройка USB Redirector на сервере с подключенным ключом USB

Скачайте USB Redirector:

Перейдите в папку с ним:

Разрешите запуск инсталлятора:

Если все прошло корректно, вы увидите сообщение об этом.

Добавьте службу проброса в автозагрузку, если ранее этого не произошло:

Подключив USB–ключ к выделенному серверу проверим какие USB–устройства доступны:

Есть 2 варианта расшарить устройство по сети.

В этом случае мы привязываемся к конкретному id устройства и порту, если включить usb-ключ в другой порт сервера — номер usb порта сменится и работать не будет.

В этом случае мы привязываемся только к id устройства. Теперь USB–устройство расшарено по сети.

Конечно делать его доступным для всех пользователей Интернет не правильно, поэтому добавим ограничения в firewall:

Где вместо *.*.*.* нужно написать адрес сервера, с которого разрешено подключение.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *