Шифрование дисков средствами BitLocker используя смарт ключ Rutoken lite.

Данная инструкция подходит и для других типов смарт карт, но при создании сертификата нужно будет использовать подходящий вариант криптопровайдера.

Перед генерацией сертификатов производим необходимые изменения в системе.

Добавляем в реестр следующие изменения:

Запускаем Regedit.exe

Устанавливаем значение параметра равным "1"

• [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE]
• "SelfSignedCertificates"=dword:00000001

Устанавливаем значение параметра равным "1"

• [HKEY_LOCAL_MACHINE\SOFTWARE\Aktiv Co.\Rutoken\rtCSP\PP_USERCERT_STORE]

Редактируем групповую политику gpedit.msc

• Конфигурация компьютера\Административные шаблоны\Компоненты Windows\....Шифрование диска BitLocker
• Проверить согласованность правил использования сертификатов смарт-карт
• Изменить параметр политики 
• Включить

Если не произвести данные изменения, то при попытке использования даже правильно созданного сертификата вы получите ошибку

"Смарт-карта не может выполнить запрошенную операцию либо операция требует другой смарт-карты"

Используем один из двух вариантов создания сертификатов.

Вариант создания файла параметров сертификата для шифрования диска через командную строку для крипто провайдера Aktiv ruToken CSP v1.0

1.      Откройте блокнот или другой текстовый редактор.

2.      Скопируйте и вставьте в файл следующую информацию. В случае использования другого крипто провайдера отредактируйте запрос.

 [NewRequest]

Subject = "CN=BitLocker"

KeyLength = 2048

ProviderName = "Aktiv ruToken CSP v1.0"

KeySpec = "AT_KEYEXCHANGE"

KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"

KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"

RequestType = Cert

SMIME = FALSE

[EnhancedKeyUsageExtension]

OID=1.3.6.1.4.1.311.67.1.1

3.      Сохраните файл с именем blcert.txt.

Создаем файл параметров сертификата для восстановления диска

1.      Откройте блокнот или другой текстовый редактор.

2.      Скопируйте и вставьте в файл следующую информацию. В случае использования другого крипто провайдера отредактируйте запрос.

 [NewRequest]

Subject = "CN=BitLocker DRA"

KeyLength = 2048

ProviderName = "Aktiv ruToken CSP v1.0"

Exportable = TRUE

ExportableEncrypted = FALSE

KeySpec = "AT_KEYEXCHANGE"

KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"

KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"

RequestType = Cert

SMIME = FALSE

[EnhancedKeyUsageExtension]

OID=1.3.6.1.4.1.311.67.1.2

3.      Сохраните файл с именем bldracert.txt.

 

Используем Certreq для создания сертификатов

• Откройте командную строку «cmd». Перейдите в место расположения файлов запросов.
• Чтобы создать сертификат для шифрования диска, введите certreq –new blcert.txt.
• Чтобы создать сертификат для диска восстановления, введите команду certreq –new bldracert.txt.
• Подтвердите сохранение введя свой пин код. В дальнейшем этот пин код будет использоваться при открытии раздела.

Вариант создания сертификата через оснастку «Управление сертификатами шифрования файлов»

Используем в качестве примера Windows 10 Pro x64, со всеми установленными обновлениями:

• Открываем "Панель управления"-> Строка поиска-> "Управление сертификатами шифрования файлов"

Откроется мастер создания сертификатов.

• "Управление сертификатами шифрования файлов" -> "Далее"
• "Выберите или создайте сертификат шифрования файлов" -> "Создать новый сертификат" -> "Далее"
• "Какой тип сертификата вы хотите создать?" -> "Самозаверяющий сертификат на смарт-карте" -> "Далее"
• "Выберите устройство чтения смарт-карт" -> "ваш Rutoken …" -> "OK"

Теперь вы можете щелкнуть правой кнопкой мыши на одном из ваших дисков и выбрать "включить BitLocker". Выберите опцию "использовать мою смарт-карту для разблокировки диска" и завершите работу мастера.

Либо откройте оснастку в панели управления «Управление BitLocker» и следуйте шагам мастера.