Есть Win 2012R2 используется в качестве терминального сервера, на нем работает несколько бухгалтеров, сейчас в самом сервере стоят токены с подписью выданной ФНС (в которой еще есть встроенная лицензия на Крипто-ПРО), все работает без всяких проблем, НО в следующем месяце будут получать новые подписи, соответственно в них уже не будет встроенной лицензии. Серверная лицензия стоит 70 тысяч, мягко говоря не мало для мелкой конторы, сервер сам стоит дешевле. Вопрос - кто как решает этот вопрос, можно ли токены перенести на пользовательские ПК и как то их мапить в сеансе терминала ?

https://dev.rutoken.ru/display/KB/RU1003

(1) да это я когда-то смотрел, видимо придется покупать локальные лицензии на крипто-про (вот еще интересное лоббирование этой конторы, когда есть бесплатный ВИП-Нет), делать проброс портов и смотреть как это будет работать. В терминале что было удобно любой бух мог работать с любой подписью.

(2) ты не понял:) пробросить рутокен проблем нет.
Но кто и с помощью чего будет работать на сервере с этим проброшенным рутокеном.
Думаешь, 1С сможет работать на сервере с проброшенным рутокеном без Крипто-Про? От того, что ты приобретешь локальные лицензии на пользовательские компы, на сервере они (лицензии) не появятся и туда они не пробросятся вместе с рутокеном.
Вот если бы ты работал тонким клиентом, тогда да. Тогда на пользовательском компе можно было бы и подписывать.
А у тебя же терминальный сервер, не тонкий клиент. Туда мало просто пробросить устройство. Нужно, чтобы  это устройство что-то на сервере приняло и могло с ним работать.
Обрати внимание, как хитро разработчики по ссылке в (1) говорят - утилита администрирования рутокена на сервере видит все проброшенные рутокены.
Видишь, кто там на сервере у них эти проброшенные рутокены "встречает"? Утилита администрирования. А у тебя кто встречает, если крипто-про на сервере нету?

(3) короче замкунтый круг, ну проброшу я смарт карту на сервер, а по факту какое ПО должно обрабатывать ключ - опять же КРИПТО-ПРО получается.

(4) Во-во. :)
вывод - или тонкий клиент вместо терминала (и пользовательская лицензия на компе пользователя), или серверная лицензия на сервере.

(0) >Серверная лицензия стоит 70 тысяч, мягко говоря не мало для мелкой конторы

Увольте директора, сразу найдутся деньги от сэкономленной зарплаты.

>Win 2012R2 используется в качестве терминального сервера

вот после этого (сейчас напоминаю 2024 год!) дальше можно уже не читать

(0)  "НО в следующем месяце будут получать новые подписи"
И вот тут у меня возникло предложение к тебе.
Если ПО ФНС работает по нормальному, по человечески через виндовый api, то ему должно быть по барабану, какой криптопровайдер установлен на компе, где ты генеришь запрос на новый сертификат. Стандартно через API к любому криптопровайдеру можно обращаться, хоть крипто-про, хоть vipnet.
Предлагаю тебе установить на компе vipnet.
Сейчас ЭП продлевается через личный кабинет (по крайней мере у меня, как у ИП, я буквально вчера продлил себе ЭП безо всяких походов в ФНС за какие то 5 минут).
И попробовать сгенерить новую ЭП на этом компе в личном кабинете ЮЛ. На vipnete.

ps: подумал.. перечитал.. ан нет.. не все так просто. чтобы сгенерировать запрос на новую ЭП, его нужно подписать старой ЭП.
То есть крипто-про все-таки нужен. ну тут нужно играться. включать отключать api в vipnet.
Жаль. Идея была любопытной - сгенерировать в ЛК запрос на новый сертификат  с помощью vipnet.
Я бы поигрался, но мне не с чем работать. Дело в том, при генерации новой старая ЭП автоматически отзывается. А я себе только вчера сгенерировал новую ЭП. Где ты был вчера? Я бы поигрался с vipnetом.

(7) Смешной вы...че каждый год нужно ставить новую ось, переносить настройки и т.д. и т.п. - если оно все работает и выполняет поставленные задачи ? Автоматизация ради автоматизации ?

(9) дада
https://learn.microsoft.com/en-us/lifecycle/announcements/windows-server-2012-r2-end-of-support

Смысл в том что надо переходить на новую ось когда поддержка старой заканчивается и в новой уже все баги пофиксены но поддержка еще долго

Можно поставить Linux,там понятия сервер нету.
Ну или всех засунуть в виртуальные машины,тогда,конечно,на каждую нужно будет купить крипто-про,но это же не сервер.
Более того,можно все подписи на одну машину и подключаться к ней только для подписывания.

(7) У нас 2003 сервер до сих пор работает терминальным сервером для бездисковых RDP-терминалов. В лучшие времена на 4 гигабайтах сидело до 40 семерочников. Сейчас осталось примерно 10. Проблем нет.

(8) ты с подписью в ЛК физлица не путаешь? Там не УКЭП.
В ЛК ИП вижу такое:


В инспекции тебе запишут подпись под КриптоПро

Первую КЭП получить из ФНС под КриптоПРО
Затем можно перевыпустить удаленно на VipNet - да это такой хак

(14)+ Но не рекомендую так извращаться
Мало того что надо сгенерировать новый запрос (с закрытой частью ключа) в vipnet, затем его отправить в ЛК ФНС с подписью текущим ключом криптопро
Чтобы в ответ пришел сертификат, который надо расшифровать криптопро и подсунуть в випнет

Так еще и потом могут быть проблемы на разных сервисах, где могут не принимать такой ключ/сертификат с випнет

(9) мне тоже не нравится. Но, к сожалению, MS и разработчики софта под винду все больше идут по пути эппла. Дело вовсю воняет тем, что в скором времени через год после снятия с поддержки вы ни одну актуальную версию софта на старой винде не запустите. Пока еще такого нет, но движение в этом направлении очень заметно хотя бы по браузерам.

(16) Это не только с софтом
С техникой точно так же
После окончания гарантии последнего проданного устройства, через 3 года запчастей новых уже не найти

(17) почему? На автомобили есть запчасти даже на машины 90-х годов. На телефоны тоже - не оригинал, так китайские корпуса, динамики, аккумуляторы и все прочее. У меня аппарат Xiaomi Mi6, купленный в 17 году. Уже давно не выходят обновки, он на Android 9, но железо все в доступности - аккумуляторы, дисплеи.

(18) Исключения когда железка была выпущена огромной серией
И куча запчастей осталась на складах как новых так и с разборок бу.

(18) На современные китайские авто, которые меняются постоянно не то что запчасти хрен найдешь. Там даже с каталогами по vin проблема.

(0) пиши в лычку

(20) ну с китайцами и частично с праворукими японцами это отдельный разговор. Тут, что называется, сам себе злобный буратино если это купил и предварительно не пробил ситуацию с зч, по каким-то маркам она лучше, по каким-то вообще никак. И я думаю, это касается в принципе любой редкой техники. Но с более, так скажем, распространенными в мире марками все нормально. На каризму 98 года привозили даже запчасти.

(22) Имхо сейчас сидеть на 2012 винде и ниже это уже отсталость.
Хотя бы 2016 или лучше 2019.
Если сидят ниже вероятно железо старье совсем уже.

(13) хм.. Я так и знал,  я ждал этого вопроса.  Кто-нибудь должен был его задать. :) Отвечаю -   Нет, я ничего не путаю. Я вчера получил ЭП в ЛК ИП на ИП. За 5 минут. Никаких физлиц. И безо всяких "В инспекции тебе запишут подпись под КриптоПро". Никаких походов в инспекцию. Ноги надо беречь.

И картинка у тебя какая-то.. не такая. :)
У меня начальная картинка вот такая:

да собственно вот вся история, сам смотри, я насчет вчера и пяти минут никого не обманывал, в реальности даже меньше.:

(13) Рассказываю, в чем фишка - авторизоваться в ЛК ИП надо не через логин/пароль (и не типа госуслуги).

Авторизоваться в ЛК ИП надо через ЭЦП. И тогда ты удивишься - у тебя откроются глаза, как видоизменяется личный кабинет. Становятся доступными функции, которые ты можешь совершать в личном кабинете только используя ЭЦП. В том числе и запрос на изготовление(перевыпуск) нового сертификата. У тебя же ЭЦП, как у ИП, имеется? Ну вот и авторизуйся через эту ЭЦП, а не через логин/пароль.

Ну, да, все верно. Если нет никакой ЭЦП или есть ЭЦП ФизЛица от коммерческого УЦ, то придется сходить в ФНС для получения КЭП. Потом, продлять ее можно уже сидя дома и авторизуясь по ней. Единственное, если "упустите" срок ее действия, и не успеете продлить, пока она еще действует, то все, "лафа продления без визита" заканчивается, и придется опять ноги мучать походом в ФНС.

(26) Да, вспомнил что там авторизоваться можно по-разному. Но для каких-то функций подпись запрашивалась собственно на этапе подписи, поэтому считал, внешний вид ЛК не зависит от способа авторизации.

Сейчас по ЭЦП похоже не авторизуюсь как раз из-за отсутствия КриптоПро. Единственная функция из-за которой пришлось делать УКЭП - уведомления ЕНС, теперь их можно и без УКЭП.

(27) И вот в момент продления чисто теоретически можно использовать любой софт (криптопровайдер) который поддерживает ГОСТ криптографию (ГОСТ Р 34.11-2012 вроде последний)
Хоть свою реализацию на основе openssl

Еще раз про ключ ЭП через RDP. Есть ли реальный способ ?
Рутокен и RDP

(29) ага, я тоже сначала в (8) об этом говорил. А потом добавил к (8) постскриптум :)

Не все так просто
"момент продления", как ты его обозвал :), состоит из нескольких этапов. Этап подачи заявления, этап генерации ключа, этап скачивания сертификата.
Так вот заявление нужно подписывать  ЭЦП, уведомления тоже нужно подписывать старой ЭЦП. То есть на некоторых этапах понадобится ныне действующая ЭП (и соответственно, Крипто-Про). Да даже чтобы авторизоваться по ЭЦП в ЛК.

На vipnete можно сделать только непосредственно сам этап генерации ключа.

И вот тут возникают нюансы.
Придется ставить на комп два криптопровайдера и по очереди их включать/включать. То есть на всех этапах (начиная с авторизации в ЛК) нам нужен крипто-про, и только на этапе непосредственно генерации нужен другой криптопровайдер (vipnet). То есть нужно разобраться, какие службы и останавливать/запускать их.
И еще все усугубляется тем, что, во-первых, прежний сертификат сразу же аннулируется, причем перед получением нового, ну и  во-вторых - ФНС продлевает сертификат только и исключительно на тот же рутокен, на котором установлен предыдущий. Я попробовал при генерации подсунуть другой рутокен - фигвам (индейское жилище) мне русским языком так и написали - продлеваем только на тот же самый рутокен.
Поэтому чисто теоретически можно все, но нужно поиграться. А мне сейчас новенький свежеизготовленный сертификат аннулировать неохота. Вот в 2025 году и поиграюсь. А то непонятно, как на один и тот же рутокен станут и крипто-про и vipnet, ну и если вдруг аннулируют, а новый сгенерировать не получится, то придется топать пешком. Собственно говоря, я рискую в самом плохом случае угробить рутокен да сходить в налоговую пешком, но сейчас очень неохота куда-то топать.

Ну и сначала нужно разобраться, как включать/выключать криптопровайдеры по очереди, причем "не выходя из ЛК ИП". Сможешь разобраться с этим вопросом - подскажи, буду благодарен.

(31) "работа на одном компьютере и КриптоПро CSP и VipNet CSP"

(32)+
Простое переключение криптопровайдера не поможет
Надо будет как то вмешиваться, чтобы запуск мастера сработал на випнет, но в конце подписал файлик криптопро, перед отправкой
https://support.kontur.ru/ca/45132-perevypusk_sertifikata_kep_v_fns

(30) Ну а что ты хотел этими ссылками сказать?
Там везде речь идет о крипто-про на сервере, автор же русским языком написал - серверная лицензия крипто-про для него не вариант, денег нету.
Убери из тех веток упоминание о крипто-про на сервере и.. ветки превратятся.. превратятся ветки.. в пшик..

Вообще всё у всех работает можно сказать штатно, из коробки. При наличии серверной лицензии крипто-про.
Пользователь приходит на работу, включает свой пользовательский комп, втыкает в него свой рутокен со своей ЭП, подключается к серверу. Рутокен с пользовательского компа пробрасывается на сервер в его сеансе, там замечательно видится и обрабатывается серверным крипто-про. ФсЁ. Работай - не хочу. Более того - у многих сервера за тридевять земель, туда просто физически невозможно воткнуть рутокен в сервер, поэтому рутокен можно воткнуть только и исключительно в комп пользователя.
Всё у всех так и работает.

Проблемы только у таких, как вообще анекдот - настроить проброс чего-либо (в том числе рутокена) с компа пользователя на сервер, при этом не имея доступа к компу пользователя :)))
да еще у таких крохоборов, как автор или гений 1с - то есть у тех, кто жмотится на серверную лицензию крипто-про, пытается сэкономить на хлебных крошках. Да еще у таких, которые пытаются воткнуть рутокен в сервер и тут же скомпрометировать его - то есть дать доступ к этой ЭП всем. Всем пользюкам этого сервера. :)

Нет уж, работайте как должно: на сервере должна быть серверная лицензия крипто-про, рутокен должен храниться (желательно в сейфе) у пользователя, чья ЭП на рутокене, втыкаться только им собственноручно только в свой пользовательский комп, всем прочим страждущим оформляйте их личные персональные ЭП и их личные персональные МЧД.
И всё замечательно работает. У всех.

А подобные ветки возникают только у крохоборов, у нарушителей (компрометация ключа) да еще в анекдотических случаях.

(32) Да это сочетание "КриптоПро CSP и VipNet CSP" у меня работает у сотен пользователей в нашем городе. У всех бюджетников. Потому что у них корпоративная сеть построена на Vipnet Client, а все остальное - на крипто-про. Более того - система АЦК Финансы прямо подразумевает одновременное использование двух криптопровайдеров - для подключения по закрытой сети идет через Vipnet Client (разумеется при этом  используется VipNet CSP) а подписание заявок на оплату расходов подписывают ЭП, выпущенными УФК (разумеется, это уже  Крипто-Про).
И не надо лазить ни в какие реестры. У VipNet CSP прямо в настройках можно отключить API. Тупо снять галочку.  Фишка в том, что Vipnet Client взаимодействует с VipNet CSP  не через API, а непосредственно. А все вызовы через API обрабатываются КриптоПро CSP.
Вот даже сейчас у меня на компе установлены оба криптопровайдера: Крипто-Про CSP 5.0.12800
и Vipnet CSP. С Крипто-Про позавчера сделал новую ЭП, а Vipnet CSP вот с такими настройкам ни капельки этому не мешает. Живет себе на компе и используется для других нужд.

(33) во-во. Оно самое. Ладно, будет время (сдадим отчетность) поиграюсь, если получится сгенерировать через Vipnet, расскажу.

(35) + "и используется для других нужд."
В частности, я делаю конвертацию ЭП (контейнеров закрытого ключа) из формата Vipnet CSP  в формат Крипто-Про CSP.

То есть из vipneta в криптопро я подпись сконвертировать могу. Вот обратно нет.
А так было бы вообще замечательно - переконвертировал из криптопро в vipnet и работай дальше с vipnet. Но я над этим еще поработаю :) Это другой вариант решения проблемы - не генерировать с помощью разных криптопровайдеров, а конвертировать готовую ЭП.

(37) Да КриптоПро не дает просто так закрытый ключ из своего контейнера вытащить
Можно только путем долгих танцев с бубном и сторонней платной утилитой

(38)+ И даже если вытащишь там внутри новых сертов добавили поле "Криптопровайдер"
Вот если оно пустое то можно на другой перенести, но некоторые сервисы такое не примут
По дефолту там заполнено "КриптоПро"