Podpis kwalifikowany przez RDP

Czasami zdarza się konieczność wykonania podpisu kwalifikowanego na komputerze zdalnym. Może mieć to miejsce na przykład przy wysyłce dokumentów z programu Płatnik. Aby czytnik i karta działały w połączeniu terminalowym (RDP) muszą być spełnione następujące warunki (na przykładzie karty Szafir wydanej przez KIR):

  • Czytnik musi zostać podłączony poprawnie do stacji klienckiej np. Windows XP. Na tej stacji muszą zostać zainstalowane sterowniki czytnika. Czytnik musi być widoczny w managerze urządzeń i poprawnie działać na stacji roboczej (np. poprawnie informować o włożeniu/wyciągnięciu karty elektronicznej).
  • Na stacji klienckiej musi działać usługa systemowa „Karta Inteligentna” (Smartcard).
  • W kliencie RPD, w opcjach zaawansowanych musi być włączone przenoszenie lokalnego czytnika kart elektronicznych w sesji RDP (tzn. udostępnianie kart w nim włożonych dla aplikacji na serwerze terminalowym).
  • Na serwerze Terminalowym (RDP) musi być zainstalowane oprogramowanie CryptoCard Suite (najlepiej w wersji pobranej ze strony: http://www.cryptotech.com.pl/Produkty/CryptoCard_Suite,content.html)

Scenariusz funkcjonowania takiej konfiguracji wygląda następująco:

  • Aplikacja pracująca w sesji terminalowej na serwerze Windows Terminal Services (np. Płatnik), (której wizualizację użytkownik widzi w okienku Klienta RDP na stacji roboczej), chcąc skorzystać z karty elektronicznej uruchamia oprogramowanie middleware pochodzące od producenta karty (jeden z interfejsów API oprogramowania CryptoCard Suite w przypadku używania karty CryptoCard multiSIGN),
  • CC Suite pracuje na serwerze terminalowym (nie jest wymagana jego instalacja na stacji roboczej Klienta RDP),
  • CC Suite prosi system operacyjny o listę dostępnych dla niego czytników kart,
  • System udostępnia listę czytników PRZENOSZONYCH w sesji RDP ze stacji klienta RDP (czytników podłączonych do stacji klienta, na której uruchomiony jest w danej chwili RDP Klient, np. aplikacja Remote Desktop Connection),
  • Jeśli w czytniku na stacji Klienta włożona jest karta elektroniczna, to CC Suite (np. moduł Cryptotech CSP albo CryptoTech PKCS#11) pracujący na serwerze zobaczy włożoną kartę do czytnika kart i może rozpocząć dialog z tą kartą,
  • Aplikacja (np. Płatnik) przekazuje dla CC Suite serię poleceń (np. wykonania podpisu elektronicznego z użyciem karty CryptoCard multiSIGN), które są tłumaczone na stosowną sekwencję komend niskiego poziomu przekazywanych do czytnika kart dostępnego dla aplikacji pracujących w sesji terminalowej),
  • Komendy te są transparentnie przenoszone z serwera terminowego (z wnętrza sesji terminalowej danego użytkownika), przez kanał RDP,do klienta RDP pracującego na stacji roboczej użytkownika,
  • Klient RDP przekazuje te komendy do karty włożonej do czytnika podłączonego lokalnie do tej stacji roboczej,
  • Karta wykonuje zlecone zadania, np. generuje podpis elektroniczny „zlecony” jej przez aplikację (np. Płatnik) pracującą na serwerze terminalowym.
Na podstawie informacji ze strony: http://www.cryptotech.com.pl