Подключение аппаратного USB-ключа лицензии 1С на удаленный сервер

Рассмотрим решение следующей задачи:

• Необходимо подключить основной аппаратный ключ 1С для работы конфигурации на удаленном сервере.

Предлагаемое решение:

• Установка и настройка туннеля от сервера до ПК с USB-ключом с помощью OpenVPN.
• Установка и настройка ПО для подключения USB по сети.
• Проверка работоспособности ключа с помощью сервера СЛК.

Порядок действий:

1. Установка и настройка OpenVPN

   Переходим на оф.сайт скачиваем дистрибутив на сервер (https://openvpn.net/community-downloads)

   
   Заметка:

   • Для более стабильной работы - версии на сервере и клиенте не должны отличаться
   • Устанавливать графический интерфейс не обязательно, достаточно настроить автозапуск службы.
   1. Отредактируем файл openssl-1.0.0.cnf
      • Открываем с помощью блокнота или notepad++.
      • Нас интересует строка: default_days = 3650 # how long to certify for
      • Она отвечает за время жизни сертификата. Если значение отличается - то указываем 3650 (10 лет). Сохраняем.
   2. Создаем самоподписанные сертификаты для серверной части:
      • Открываем консоль от имени администратора, переходим в папку cd “C:\Program Files\OpenVPN\easy-rsa.
      • Набираем vars, жмём enter, окно cmd не закрываем до полной генерации всех сертификатов.
      • После выполнения команды vars набираем clean-all и жмем enter.

        Clean-all выполняется всего один раз, эта команда стирает папку с ключами и сертификатами и/или создаёт заново необходимые для генерации файлы. Поэтому нужно быть крайне внимательным к этой команде.

      • Следующий этап создание – Root CA:

        Набираем build-ca и жмём enter, отвечаем на вопросы и переходим к созданию сертификата для сервера.
      • Вводим команду build-key-server имя_сертификата, снова отвечаем на вопросы. Поле common Name должно быть уникальным (это поле определяет имя сертификата) и не совпадать ни с одним другим сертификатом.
      • Вводим команду build-dh — генерация ключа Диффи Хельмана.
      • Перемещаем созданные сертификаты в папку C:\Program Files\OpenVPN\config
   3. Создаем конфигурационный файл openvpn-сервера:

      За основу можно взять C:\Program Files\OpenVPN\sample-config\server.ovpn и отредактировать как необходимо.

      Должно получится так:

      proto udp
      port 1194
      dev tun
      ca ca.crt
      cert server.crt
      key server.key
      dh dh1024.pem
      server 10.10.10.0 255.255.255.0
      ifconfig-pool-persist ipp.txt
      client-config-dir ccd
      keepalive 10 120
      cipher AES-128-CBC
      persist-key
      persist-tun
      status openvpn-status.log
      log openvpn.log

   4. Создание сертификата клиента:
      • Вводим команду build-key-pkcs12 <имя_сертификата> и отвечаем на вопросы - Y(да).
      • В строке Common Name; Name указываем <имя_сертификата>.

      • Созданные сертификаты и ключи к ним лежат в папке keys:

        Копируем файл <имя_сертификата>.p12
      • Перемещаем созданные сертификаты в папку C:\Program Files\OpenVPN\config на ПК клиента

      Создаем конфигурационный файл openvpn-клиента. За основу можно взять C:\Program Files\OpenVPN\sample-config\client.ovpn и отредактировать как необходимо вам

      Должно получится так :

      proto udp
      port 1194
      dev tun
      ca ca.crt
      cert server.crt
      key server.key
      dh dh1024.pem
      server 10.10.10.0 255.255.255.0
      ifconfig-pool-persist ipp.txt
      client-config-dir ccd
      keepalive 10 120
      cipher AES-128-CBC
      persist-key
      persist-tun
      status openvpn-status.log
      log openvpn.log
                                      

   5. Подключаем клиент

   Соединение с сервером установлено. Если возникли проблемы откройте файл лога для просмотра проблемы.

   Узнаем IP-адрес сервера и клиента внутри сети openvpn (cmd->ipconfig или в параметрах сетевого адаптера).

2. Переходим к настройке подключения USB-устройства к удаленному серверу через локальную (openvpn) сеть
   1. Скачиваем ПО - USB over Network

      Ссылка на оф.сайт: http://www.usb-over-network.com/usb-over-network-download.html

      

      Серверная версия устанавливается там, где установлен аппаратный ключ (в нашем случае пк пользователя).

      Клиентская версия устанавливается там, где требуется наличие ключа (в нашем случае удаленный сервер).

   2. Настройка серверной версии USB over Network
      • Устанавливаем, запускаем.
      • Устанавливаем наш USB-ключ.
      • Нажимаем на нужный ключ - Connect.
      
   3. Настройка клиентской версии USB over Network
      • Устанавливаем драйверы для ключа.
      • Устанавливаем клиентскую версию USB over Network. Запускаем. Нажимаем add server.
      • Нажимаем на нужный ключ - Connect.
      • Вводим IP-адрес ПК внутри openvpn-туннеля, где установлен аппаратный ключ. Порт оставляем по-умолчанию.
      • При появлении нужного нам USB-ключа - нажимаем Connect.
   

   Наш аппаратный USB-ключ подключен и виден на сервере.

3. Проверяем работу
   • Открываем консоль СЛК (в нашем случае СЛК 3.0).
   • В браузере вводим localhost:9099

     Подробная настройка СЛК присутствует в поставке конфигурации, либо на сайте «Центр лицензирования СЛК».

     
   • Основной аппаратный ключ стал активен.
   • Открываем конфигурацию - проверяем.