[El Scorpio]

Цитата Outstanding:

Только сразу встает вопрос с разрешениями на такую папку... очевидно, что надо ставить чтение всем тем, кто будет использовать etoken. Еще наверно придется запретить удаление. »

Для сетевой папки (можно указать разрешения как на уровне NTFS, так и на уровне SMB) указать "ВСЕ: Чтение" и "Администраторы: Полный доступ"

Кстати, насчёт сетевых папок.
Используйте DFS с доменными именами, которые не привязаны к конкретному серверу.
Потому что иначе в случае переименования сервера или переноса списка отзывов на другой сервер вам придётся перевыпускать ВСЕ сертификаты, в которых было указано старое имя сервера.

Цитата Outstanding:

И 3-й сервер, который входит в такую структуру - это Шлюз удаленных рабочих столов на основе 2008 R2. Вобщем в результате развертывания хотелось бы увидеть следующее: Сотрудник подсоединяется из дома по RDP к шлюзу удаленных рабочих столов и проходит аутентификацию на основе Etoken, дальше уже по своему основному паролю заходит на другие ресурсы, куда у него есть доступ согласно политикам. »

Поскольку ПК пользователя, подключаясь к серверу по защищённому каналу, должен проверить сертификат сервера (во избежании ситуации "человек посередине"), ему тоже потребуется доступ к спискам отзывов сертификатов.
Таким образом также скорее всего потребуется указывать размещение по HTTP на официальном сервере организации.

[Outstanding]

Спасибо за ответ. Логика понятна. Думаю, по пунктам все ответы верны. Т.к в сертификате явно указаны ссылки на сами сертификаты и списки отзывов, то клиент тоже должен проверять эти списки и доверять цепочке. Просто достаточно почитать про принципы работы Certificate Chaining Engine. А по поводу того, как реализовать такую схему работы со шлюзом, частично есть в моей другой теме:
http://forum.oszone.net/thread-281228.html