• Защита информации
  • ИТ-поддержка
  • Подключение аппаратного USB-ключа лицензии 1С на удаленный сервер

    Рассмотрим решение следующей задачи:

    • Необходимо подключить основной аппаратный ключ 1С для работы конфигурации на удаленном сервере.

    Предлагаемое решение:

    • Установка и настройка туннеля от сервера до ПК с USB-ключом с помощью OpenVPN.
    • Установка и настройка ПО для подключения USB по сети.
    • Проверка работоспособности ключа с помощью сервера СЛК.

    Порядок действий:

    1. Установка и настройка OpenVPN

      Переходим на оф.сайт скачиваем дистрибутив на сервер (https://openvpn.net/community-downloads)

      Заметка:
      • Для более стабильной работы - версии на сервере и клиенте не должны отличаться
      • Устанавливать графический интерфейс не обязательно, достаточно настроить автозапуск службы.
      1. Отредактируем файл openssl-1.0.0.cnf
        • Открываем с помощью блокнота или notepad++.
        • Нас интересует строка: default_days = 3650 # how long to certify for
        • Она отвечает за время жизни сертификата. Если значение отличается - то указываем 3650 (10 лет). Сохраняем.
      2. Создаем самоподписанные сертификаты для серверной части:
        • Открываем консоль от имени администратора, переходим в папку cd “C:\Program Files\OpenVPN\easy-rsa.
        • Набираем vars, жмём enter, окно cmd не закрываем до полной генерации всех сертификатов.
        • После выполнения команды vars набираем clean-all и жмем enter.

          Clean-all выполняется всего один раз, эта команда стирает папку с ключами и сертификатами и/или создаёт заново необходимые для генерации файлы. Поэтому нужно быть крайне внимательным к этой команде.

        • Следующий этап создание – Root CA:

          Набираем build-ca и жмём enter, отвечаем на вопросы и переходим к созданию сертификата для сервера.
        • Вводим команду build-key-server имя_сертификата, снова отвечаем на вопросы. Поле common Name должно быть уникальным (это поле определяет имя сертификата) и не совпадать ни с одним другим сертификатом.
        • Вводим команду build-dh — генерация ключа Диффи Хельмана.
        • Перемещаем созданные сертификаты в папку C:\Program Files\OpenVPN\config
      3. Создаем конфигурационный файл openvpn-сервера:

        За основу можно взять C:\Program Files\OpenVPN\sample-config\server.ovpn и отредактировать как необходимо.

        Должно получится так:

        proto udp
        port 1194
        dev tun
        ca ca.crt
        cert server.crt
        key server.key
        dh dh1024.pem
        server 10.10.10.0 255.255.255.0
        ifconfig-pool-persist ipp.txt
        client-config-dir ccd
        keepalive 10 120
        cipher AES-128-CBC
        persist-key
        persist-tun
        status openvpn-status.log
        log openvpn.log
      4. Создание сертификата клиента:
        • Вводим команду build-key-pkcs12 <имя_сертификата> и отвечаем на вопросы - Y(да).
        • В строке Common Name; Name указываем <имя_сертификата>.
        • Созданные сертификаты и ключи к ним лежат в папке keys:

          Копируем файл <имя_сертификата>.p12
        • Перемещаем созданные сертификаты в папку C:\Program Files\OpenVPN\config на ПК клиента

        Создаем конфигурационный файл openvpn-клиента. За основу можно взять C:\Program Files\OpenVPN\sample-config\client.ovpn и отредактировать как необходимо вам

        Должно получится так :

        proto udp
        port 1194
        dev tun
        ca ca.crt
        cert server.crt
        key server.key
        dh dh1024.pem
        server 10.10.10.0 255.255.255.0
        ifconfig-pool-persist ipp.txt
        client-config-dir ccd
        keepalive 10 120
        cipher AES-128-CBC
        persist-key
        persist-tun
        status openvpn-status.log
        log openvpn.log
                                        
      5. Подключаем клиент

      Соединение с сервером установлено. Если возникли проблемы откройте файл лога для просмотра проблемы.

      Узнаем IP-адрес сервера и клиента внутри сети openvpn (cmd->ipconfig или в параметрах сетевого адаптера).

    2. Переходим к настройке подключения USB-устройства к удаленному серверу через локальную (openvpn) сеть
      1. Скачиваем ПО - USB over Network

        Ссылка на оф.сайт: http://www.usb-over-network.com/usb-over-network-download.html

        Серверная версия устанавливается там, где установлен аппаратный ключ (в нашем случае пк пользователя).

        Клиентская версия устанавливается там, где требуется наличие ключа (в нашем случае удаленный сервер).

      2. Настройка серверной версии USB over Network
        • Устанавливаем, запускаем.
        • Устанавливаем наш USB-ключ.
        • Нажимаем на нужный ключ - Connect.
      3. Настройка клиентской версии USB over Network
        • Устанавливаем драйверы для ключа.
        • Устанавливаем клиентскую версию USB over Network. Запускаем. Нажимаем add server.
        • Нажимаем на нужный ключ - Connect.
        • Вводим IP-адрес ПК внутри openvpn-туннеля, где установлен аппаратный ключ. Порт оставляем по-умолчанию.
        • При появлении нужного нам USB-ключа - нажимаем Connect.

      Наш аппаратный USB-ключ подключен и виден на сервере.

    3. Проверяем работу
      • Открываем консоль СЛК (в нашем случае СЛК 3.0).
      • В браузере вводим localhost:9099

        Подробная настройка СЛК присутствует в поставке конфигурации, либо на сайте «Центр лицензирования СЛК».

      • Основной аппаратный ключ стал активен.
      • Открываем конфигурацию - проверяем.
    Не нашли ответа на свой вопрос?
    Содержание