Обратный звонок RedConnect
ИТ-поддержка

Подключение аппаратного USB-ключа лицензии 1С на удаленный сервер

Рассмотрим решение следующей задачи:

  • Необходимо подключить основной аппаратный ключ 1С для работы конфигурации на удаленном сервере.

Предлагаемое решение:

  • Установка и настройка туннеля от сервера до ПК с USB-ключом с помощью OpenVPN.
  • Установка и настройка ПО для подключения USB по сети.
  • Проверка работоспособности ключа с помощью сервера СЛК.

Порядок действий:

  1. Установка и настройка OpenVPN

    Переходим на оф.сайт скачиваем дистрибутив на сервер (https://openvpn.net/community-downloads)

    Переходим на оф.сайт скачиваем дистрибутив
    Заметка:
    • Для более стабильной работы - версии на сервере и клиенте не должны отличаться
    • Устанавливать графический интерфейс не обязательно, достаточно настроить автозапуск службы.
    1. Отредактируем файл openssl-1.0.0.cnf
      • Открываем с помощью блокнота или notepad++.
      • Нас интересует строка: default_days = 3650 # how long to certify for
      • Она отвечает за время жизни сертификата. Если значение отличается - то указываем 3650 (10 лет). Сохраняем.
    2. Создаем самоподписанные сертификаты для серверной части:
      • Открываем консоль от имени администратора, переходим в папку cd “C:\Program Files\OpenVPN\easy-rsa.
      • Набираем vars, жмём enter, окно cmd не закрываем до полной генерации всех сертификатов.
      • После выполнения команды vars набираем clean-all и жмем enter.

        Clean-all выполняется всего один раз, эта команда стирает папку с ключами и сертификатами и/или создаёт заново необходимые для генерации файлы. Поэтому нужно быть крайне внимательным к этой команде.

      • Следующий этап создание – Root CA:

        Набираем build-ca и жмём enter, отвечаем на вопросы и переходим к созданию сертификата для сервера.
      • Вводим команду build-key-server имя_сертификата, снова отвечаем на вопросы. Поле common Name должно быть уникальным (это поле определяет имя сертификата) и не совпадать ни с одним другим сертификатом.
      • Вводим команду build-dh — генерация ключа Диффи Хельмана.
      • Перемещаем созданные сертификаты в папку C:\Program Files\OpenVPN\config
    3. Создаем конфигурационный файл openvpn-сервера:

      За основу можно взять C:\Program Files\OpenVPN\sample-config\server.ovpn и отредактировать как необходимо.

      Должно получится так:

      proto udp
port 1194
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.10.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir ccd
keepalive 10 120
cipher AES-128-CBC
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
    4. Создание сертификата клиента:
      • Вводим команду build-key-pkcs12 <имя_сертификата> и отвечаем на вопросы - Y(да).
      • В строке Common Name; Name указываем <имя_сертификата>.

      • Созданные сертификаты и ключи к ним лежат в папке keys:

        Копируем файл <имя_сертификата>.p12
      • Перемещаем созданные сертификаты в папку C:\Program Files\OpenVPN\config на ПК клиента

      Создаем конфигурационный файл openvpn-клиента. За основу можно взять C:\Program Files\OpenVPN\sample-config\client.ovpn и отредактировать как необходимо вам

      Должно получится так :

      proto udp
port 1194
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.10.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir ccd
keepalive 10 120
cipher AES-128-CBC
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
    5. Подключаем клиент

    Соединение с сервером установлено. Если возникли проблемы откройте файл лога для просмотра проблемы.

    Узнаем IP-адрес сервера и клиента внутри сети openvpn (cmd->ipconfig или в параметрах сетевого адаптера).

  2. Переходим к настройке подключения USB-устройства к удаленному серверу через локальную (openvpn) сеть
    1. Скачиваем ПО - USB over Network

      Ссылка на оф.сайт: http://www.usb-over-network.com/usb-over-network-download.html

      USB over Network

      Серверная версия устанавливается там, где установлен аппаратный ключ (в нашем случае пк пользователя).

      Клиентская версия устанавливается там, где требуется наличие ключа (в нашем случае удаленный сервер).

    2. Настройка серверной версии USB over Network
      • Устанавливаем, запускаем.
      • Устанавливаем наш USB-ключ.
      • Нажимаем на нужный ключ - Connect.
      Настройка серверной версии USB over Network
    3. Настройка клиентской версии USB over Network
      • Устанавливаем драйверы для ключа.
      • Устанавливаем клиентскую версию USB over Network. Запускаем. Нажимаем add server.
      • Нажимаем на нужный ключ - Connect.
      • Вводим IP-адрес ПК внутри openvpn-туннеля, где установлен аппаратный ключ. Порт оставляем по-умолчанию.
      • При появлении нужного нам USB-ключа - нажимаем Connect.
    Настройка клиентской версии USB over Network

    Наш аппаратный USB-ключ подключен и виден на сервере.

  3. Проверяем работу
    • Открываем консоль СЛК (в нашем случае СЛК 3.0).
    • В браузере вводим localhost:9099

      Подробная настройка СЛК присутствует в поставке конфигурации, либо на сайте «Центр лицензирования СЛК».

      Проверка работы
    • Основной аппаратный ключ стал активен.
    • Открываем конфигурацию - проверяем.
Инструкции