Как решить проблему использования КриптоПро на терминальном сервере без дорогостоящей серверной лицензии?

Системный администратор
← На главную

Многие компании сталкиваются с проблемой использования квалифицированных электронных подписей (КЭП) ФНС на терминальных серверах. В частности, когда новые токены ФНС перестают содержать встроенную лицензию на криптопровайдер


КриптоПро CSP
, а стоимость серверной лицензии

КриптоПро CSP
оказывается непомерно высокой. Мы рассмотрим, почему возникает эта проблема и какие существуют пути её решения, от рекомендуемых до альтернативных.

Понимание основной проблемы: почему проброс токена не работает без КриптоПро на сервере?

Прежде всего, давайте выясним причину возникновения сложностей. Если мы используем


Win 2012R2
или любую другую версию

Windows Server
в качестве терминального сервера, и бухгалтеры работают в сеансах удаленного рабочего стола, то все приложения, включая те, что требуют электронную подпись (например, 1С, клиент-банки, порталы ФНС), запускаются и исполняются непосредственно на сервере. Для удобства пользователей можно организовать быстрое подключение к RDP с автоматическим вводом пароля, но это не меняет сути. В такой конфигурации даже если мы пробросим

Рутокен
с ключом ЭП с локального компьютера пользователя на терминальный сервер, само по себе это не решит проблему.

Почему? Потому что программное обеспечение, запущенное на сервере, нуждается в криптографическом провайдере для взаимодействия с этим токеном. Мы можем пробросить устройство, но для его использования требуется соответствующее ПО. Если на сервере не установлен


КриптоПро CSP
или другой совместимый криптопровайдер, то любое приложение, пытаясь выполнить криптографическую операцию (например, подписать документ), не сможет найти необходимый инструмент для работы с проброшенным ключом на токене.

Таким образом, наличие локальной лицензии


КриптоПро CSP
на компьютере пользователя помогает только в том случае, если криптографическая операция выполняется именно на клиентском ПК. Если же вся работа, включая подписание, происходит в терминальной сессии,

КриптоПро CSP
или его аналог обязательно должен быть установлен на самом терминальном сервере.

Рекомендуемые и проверенные решения

Существуют несколько подходов к решению данной проблемы, каждый из которых имеет свои преимущества и недостатки. Давайте разберем их по шагам.

  1. Приобретение серверной лицензии КриптоПро CSP

    Это самый прямой и рекомендуемый путь, если основная работа происходит в сеансах терминального сервера и требуется централизованное подписание. Серверная лицензия

    
    КриптоПро CSP
    
    устанавливается непосредственно на терминальный сервер, что позволяет всем пользователям, работающим в своих сеансах, без проблем использовать проброшенные токены и выполнять криптографические операции.

    Преимущества:

    • Простота реализации: После установки серверного
      
      КриптоПро CSP
      
      на сервер, проброс
      
      Рутокенов
      
      с клиентских ПК работает "из коробки" без дополнительных сложностей.
    • Централизованное управление: Все криптографические операции и настройки находятся на сервере.
    • Высокая совместимость: Большинство государственных сервисов и коммерческого ПО без проблем работают с
      
      КриптоПро CSP
      
      .
    • Безопасность: При правильной настройке и соблюдении правил хранения токенов, это безопасный способ работы.

    Недостатки:

    • Высокая стоимость: Это основной камень преткновения для многих компаний, так как цена серверной лицензии может быть значительной.

    Мы видим, что это

    
    штатный
    
    и
    
    правильный
    
    подход, несмотря на его стоимость. Отклонения от него часто приводят к более сложным и менее надежным схемам.

  2. Переход на тонкие клиенты или локальное подписание

    Этот подход предполагает изменение архитектуры работы с документами, требующими электронной подписи. Мы переносим процесс подписания с терминального сервера на локальные компьютеры пользователей.

    Как это работает:

    • Каждый бухгалтер работает на своем локальном ПК, где установлена его собственная лицензия
      
      КриптоПро CSP
      
      и подключен его
      
      Рутокен
      
      с ЭП.
    • Документы, требующие подписи, либо формируются на локальном ПК, либо выгружаются с терминального сервера на локальный ПК для подписания.
    • После подписания документ загружается обратно на терминальный сервер или отправляется по назначению.
    • К терминальному серверу пользователи подключаются для доступа к данным 1С или другим приложениям, которые не требуют прямой работы с ЭП.

    Преимущества:

    • Избегаем серверной лицензии: Используются более дешевые локальные лицензии
      
      КриптоПро CSP
      
      на каждый ПК.
    • Высокая безопасность: Ключ ЭП никогда не покидает локальный ПК пользователя.

    Недостатки:

    • Сложный рабочий процесс: Требует изменения привычной работы бухгалтеров, возможны задержки и ошибки при передаче документов между локальным ПК и терминальным сервером.
    • Дублирование ПО: На каждом клиентском ПК потребуется установка и обслуживание
      
      КриптоПро CSP
      
      .
    • Не подходит для всех сценариев: Некоторые приложения жестко требуют подписание внутри терминальной сессии.

    Мы должны тщательно проанализировать, насколько такой подход будет удобен для ваших пользователей и совместим с используемым ПО.

  3. Использование инфраструктуры виртуальных рабочих столов (VDI)

    Если возможности перейти на тонких клиентов нет, но вы хотите избежать серверной лицензии

    
    КриптоПро CSP
    
    , мы можем рассмотреть вариант с
    
    VDI (Virtual Desktop Infrastructure)
    
    .

    Как это работает:

    • Вместо одного терминального сервера, на котором работают все, мы создаем для каждого бухгалтера отдельную виртуальную машину.
    • На каждую такую виртуальную машину устанавливается операционная система
      
      Windows
      
      (например,
      
      Windows 10
      
      или
      
      Windows 11
      
      ) и локальная лицензия
      
      КриптоПро CSP
      
      .
    • Бухгалтеры подключаются к своей персональной виртуальной машине, которая по сути является полноценным рабочим местом.

    Преимущества:

    • Экономия на серверной лицензии: Вместо одной дорогой серверной лицензии покупается несколько более дешевых локальных.
    • Полная изоляция: Каждая ВМ изолирована, что повышает безопасность.
    • Гибкость: Возможность установки любого ПО, как на обычный ПК.
    • Знакомый рабочий процесс: Для пользователя работа почти не отличается от работы на обычном компьютере.

    Недостатки:

    • Высокие требования к оборудованию: Для запуска множества виртуальных машин требуется мощный сервер с большим объемом ОЗУ и быстрыми дисками.
    • Сложность администрирования: Увеличивается количество объектов для управления, хотя существуют простые способы управлять удалёнными подключениями, которые могут облегчить эту задачу.
    • Стоимость лицензий: Помимо локальных лицензий
      
      КриптоПро CSP
      
      , могут потребоваться лицензии на
      
      Windows
      
      для каждой ВМ и ПО для виртуализации.

    Мы видим, что это компромиссное решение, которое может быть оправдано для средних и крупных компаний, но может быть избыточным для мелких.

Альтернативные и экспериментальные подходы

Помимо основных решений, сообщество ищет обходные пути. Рассмотрим два таких подхода, один из которых достаточно экспериментален и сопряжен с рисками.

  1. Использование VipNet CSP в связке с КриптоПро CSP для перевыпуска ЭП ФНС

    Это достаточно сложный "хак", о котором активно говорят на форумах. Он основан на возможности сосуществования двух криптопровайдеров на одном компьютере.

    Как работает сосуществование КриптоПро CSP и VipNet CSP:

    Мы можем установить оба криптопровайдера на один компьютер. Для их корректной работы необходимо настроить

    
    VipNet CSP
    
    таким образом, чтобы он не конфликтовал с
    
    КриптоПро CSP
    
    при обработке стандартных вызовов
    
    CryptoAPI
    
    . Обычно это достигается отключением опции "Использовать CSP для запросов CryptoAPI" или аналогичной в настройках
    
    VipNet CSP
    
    . В этом случае
    
    VipNet Client
    
    будет взаимодействовать с
    
    VipNet CSP
    
    напрямую, а все остальные приложения, использующие стандартные вызовы
    
    CryptoAPI
    
    , будут обращаться к
    
    КриптоПро CSP
    
    .

    Теоретический процесс перевыпуска ЭП через Личный кабинет ФНС с использованием VipNet:

    1. Получение первичной КЭП: Мы получаем первую квалифицированную электронную подпись в ФНС. Она будет записана на
      
      Рутокен
      
      и будет работать с
      
      КриптоПро CSP
      
      .
    2. Авторизация в ЛК ФНС: Для удаленного перевыпуска мы авторизуемся в Личном кабинете ИП/ЮЛ на сайте ФНС с помощью действующей ЭЦП, работающей на
      
      КриптоПро CSP
      
      . Важно использовать авторизацию именно по ЭЦП, а не логину/паролю, чтобы получить доступ к функциям перевыпуска.
    3. Генерация запроса на новый сертификат: На локальном ПК, где установлены оба криптопровайдера, мы инициируем процесс генерации запроса на новый сертификат в ЛК ФНС. В этот момент мы пытаемся направить процесс генерации закрытого ключа на
      
      VipNet CSP
      
      .
    4. Подписание запроса: Сгенерированный запрос на новый сертификат необходимо подписать старой, действующей ЭЦП, которая работает с
      
      КриптоПро CSP
      
      .
    5. Получение и расшифровка сертификата: После одобрения ФНС нам придет новый сертификат. Возможно, для его расшифровки и установки потребуется снова
      
      КриптоПро CSP
      
      , а затем его можно будет подсунуть в
      
      VipNet CSP
      
      .

    Ограничения и сложности данного подхода:

    • Высокая сложность и нерекомендуемость: Этот метод очень чувствителен к настройкам и может привести к неработоспособности подписи. Разработчики и УЦ не рекомендуют такие "извращения".
    • Требование ФНС к токену: ФНС часто требует продления сертификата исключительно на тот же физический
      
      Рутокен
      
      , на котором хранится предыдущая подпись. Попытка использования другого токена будет отклонена.
    • Проблемы с аннулированием: Старый сертификат часто аннулируется сразу после успешной генерации запроса на новый, что создает риск остаться без действующей ЭП, если процесс с
      
      VipNet CSP
      
      пойдет не по плану.
    • Поле "Криптопровайдер" в сертификате: В новых сертификатах ФНС может присутствовать поле, указывающее "КриптоПро" как выпустивший криптопровайдер. Это может вызвать проблемы совместимости и непринятие такой подписи другими государственными или коммерческими сервисами, если она будет использоваться с
      
      VipNet CSP
      
      .
    • Сложности с экспортом/конвертацией ключа:
      
      КриптоПро CSP
      
      не позволяет просто так экспортировать закрытый ключ из своего контейнера в открытом виде для импорта в другой криптопровайдер. Для этого нужны специальные дорогостоящие утилиты и "танцы с бубном", что делает конвертацию готовой ЭП из
      
      КриптоПро CSP
      
      в
      
      VipNet CSP
      
      крайне затруднительной или невозможной.

    Мы настоятельно не рекомендуем этот путь, если у вас нет глубоких технических знаний и готовности к длительным экспериментам с высоким риском.

  2. Облачные электронные подписи

    Это современный подход, который набирает популярность. Мы можем рассмотреть использование облачных ЭП, предлагаемых некоторыми аккредитованными удостоверяющими центрами.

    Как это работает:

    • Закрытая часть ключа ЭП хранится на защищенных серверах Удостоверяющего Центра, а не на физическом
      
      Рутокене
      
      .
    • Подписание документов осуществляется через специальный веб-сервис или мобильное приложение УЦ, часто с подтверждением операции через смартфон — для этого подойдёт модуль интеграции с мобильным приложением «Госключ».

    Преимущества:

    • Нет необходимости в физических токенах: Устраняет проблему проброса токенов и их хранения.
    • Нет необходимости в КриптоПро CSP на сервере: Все криптографические операции выполняются на стороне УЦ.
    • Удобство использования: Доступ к подписи с любого устройства, подключенного к интернету.

    Недостатки:

    • Зависимость от УЦ: Вы полностью доверяете УЦ хранение вашего ключа.
    • Совместимость: Не все государственные или коммерческие сервисы поддерживают облачные ЭП. В частности, ФНС может иметь свои специфические требования к хранению ключа и процедуре подписания, которые могут не соответствовать облачным решениям.
    • Стоимость: Услуги по хранению облачной ЭП обычно платные.

    Мы рекомендуем уточнять совместимость облачной ЭП с конкретными государственными порталами и сервисами, которые вы используете. Для бесшовной отправки документов прямо из 1С есть интеграция 1С с сервисом «Госключ».

Важные организационные и технические аспекты

В дополнение к рассмотренным решениям, мы должны обратить внимание на несколько важных аспектов, которые обсуждались в теме и имеют значение для общей стабильности и безопасности.

  1. Актуальность операционной системы Windows Server 2012 R2

    Использование

    
    Windows Server 2012 R2
    
    в 2024 году является критическим риском для безопасности. Поддержка этой операционной системы от
    
    Microsoft
    
    официально прекратилась 10 октября 2023 года. Это означает, что:

    • Отсутствие обновлений безопасности: Система не получает патчи для новых уязвимостей, что делает её легкой мишенью для атак. В таких условиях крайне важно организовать защищенную систему резервного копирования.
    • Проблемы совместимости: Многие новые версии программного обеспечения, включая обновления 1С или клиент-банков, могут перестать поддерживать
      
      Windows Server 2012 R2
      
      .
    • Отказ в поддержке: В случае проблем, производители ПО могут отказать в поддержке, ссылаясь на устаревшую ОС.

    Мы настоятельно рекомендуем запланировать обновление вашего сервера до более современной и поддерживаемой версии, такой как

    
    Windows Server 2019
    
    или
    
    Windows Server 2022
    
    . Это не только повысит безопасность, но и решит потенциальные проблемы совместимости в будущем, а также откроет новые возможности администрирования, например, теневое подключение к сессии пользователя.

  2. Правильная организация работы с электронной подписью

    Независимо от выбранного решения, мы должны придерживаться лучших практик в работе с ЭП:

    • Персонализация: Каждому сотруднику, который нуждается в подписании документов, мы оформляем его личную квалифицированную электронную подпись.
    • Безопасное хранение токена:
      
      Рутокен
      
      с ключом ЭП должен храниться у пользователя, которому он выдан, в надежном месте (желательно в сейфе или персональном защищенном ящике).
    • Избегайте компрометации: Мы не передаем токены другим лицам и не вставляем их в общие серверы или ПК, к которым имеют доступ многие пользователи. Это существенно снижает риски компрометации ключа.
    • Машиночитаемая Доверенность (МЧД): Для работы сотрудников от имени юридического лица или ИП, помимо их личной ЭП, часто требуется оформление
      
      МЧД
      
      . Это современный и безопасный способ делегирования полномочий — решить эту задачу поможет модуль автоматизации ЭДО и работы с МЧД в 1С.

    Соблюдение этих правил обеспечит не только юридическую чистоту, но и высокий уровень безопасности ваших электронных документов.

В заключение, мы видим, что проблема использования


КриптоПро CSP
на терминальном сервере без дорогостоящей серверной лицензии имеет несколько решений. Каждое из них требует тщательного анализа стоимости, удобства для пользователей, совместимости с текущей инфраструктурой и уровня рисков. Мы рекомендуем начать с рассмотрения "правильных" подходов – серверной лицензии

КриптоПро CSP
или перехода на

VDI
– и только в крайнем случае обращаться к экспериментальным схемам, предварительно взвесив все их сложности и потенциальные угрозы.

← На главную