Возможно ли использовать несколько RuToken-сертификатов на Windows Server?

Рутокен, если включен в сервер физически, не будет работать если подключаться к нему через RDP.
Скопируйте подписи и разграничьте права

планируем поднимать RDP Windows Server

Без лицензии два коннекта. Лицензию не купить - M$ не продаст. Как собираетесь подключение лицензировать? Если "как раньше", то явно адресом ошиблись - тут не хакерский форум...

погуглил за вас (сам я не в теме но тоже интересна принципиальная возможность и концепция)
https://cryptopro.ru/forum2/default.aspx?g=posts&m...

Добрый день.
Это штатное поведение RDP Windows. Он намеренно пробрасывает локальные токены на удаленную машину и скрывает удаленные.
Подробнее: https://docs.microsoft.com/en-us/windows/security/...

У нас есть некоторый workaround, чтобы обойти эту систему: https://support.cryptopro.ru/index.php?/Knowledgeb...

Но я бы настоятельно рекомендовал попытаться перепридумать концепцию. Токены - персональные устройства, которые не предназначены для совместного (тем более одновременного!) использования несколькими пользователями.

Если у пользователей разные ключи, может, стоит их прописать в пользовательские ветки реестра на удаленной машине?

Создать две виртуалки. В каждую добавить свой ключ.

Если вы подключайтесь с машины из под windows или linux то rdp сеанс позволяет пробросить ключи до вашего сервера. Каждый пользователь будет видеть свой ключ. Если подключение через тонкий клиент то будет зависеть от именно тонго клиента. Например wtware позволяет это делать, про thinstation и другие не могу дать ответ.

UPD

Что выдал поисковик.
----------
Да, можно настроить проброс ключей «Рутокен» по протоколу RDP, но при определённых условиях. 3

Некоторые требования:

Токен должен быть подключён к локальному компьютеру. Работа с токенами, подключёнными к удалённой машине по протоколу RDP, невозможна. 3
В программе удалённого рабочего стола (RDP-клиента) должен быть включён проброс смарт-карт. 3
Для корректной работы модели «Рутокен S» драйверы «Рутокен» должны быть установлены и на терминале, и на сервере. 3
При одновременном подключении пользователей по протоколу RDP к удалённому компьютеру каждый пользователь работает только со своим «Рутокеном» и видит только свои ключи и сертификаты в Панели управления «Рутокен». 3
Для доменных систем в случае, если проброс смарт-карт включён, а работать с токеном не получается, нужно проверить настройки групповых политик сервера. Для этого необходимо перевести настройку «Не разрешать перенаправление устройства чтения смарт-карт» в состояние «Отключить». После изменения политики нужно перезагрузить сервер, чтобы изменения вступили в силу. 3

Если самостоятельно настроить проброс ключей «Рутокен» по протоколу RDP не удаётся, рекомендуется обратиться к специалисту.

RDP сессия не видит токены подключенные физически к серверу. Проги типа AnyDesk - видят. А ещё можно извлечь сертификат из токена в реестр. Тогда на удалёнке эта подпись будет видна. И можно будет каждую конкретную подпись установить каждому конкретному пользователю, а то и не одному. Но налоговая сейчас выдаёт не извлекаемые ЭЦП.
Зато RDP сессия прекрасно видит токен подключенный к той машины с которой происходит подключение. Вроде бы извлекаемую всё ещё можно получить в сторонних удостоверяющих центрах. Но это не точно. Правовая сторона извлечения же не извлекаемых ЭЦП, думаю, вполне очевидна.

Законодательно правильное решение -- каждому сотруднику выпустить ЭЦП на своё имя на свой личный токен. И наделить этих сотрудников правом подписи в том сервисе где будете использовать эту подпись. Пусть каждый с этим токеном работает со своей машины. А там, возможно, придёте к тому, что и сервер терминалов не нужен вовсе.

На виндовс сервер не будет работать обычная версия Криптопро. Туда нужно серверную. Стоит денег. И далеко не 2700 как за обычную.
На обычной, не серверной ОС, будет работать. Как из неё сделать терминальный сервер здесь рассматривать не будем

1. можно
2. получится ли у тс - сомнительно

Можно использовать несколько рутокенов на сервере в RDP, нужна кажется версия КриптоПро выше 5.13000, в ней есть указанные ниже настройки.

1) Включить функционал доступа к локальным смарт-картам. Для этого нужно запустить КриптоПро CSP, перейти на вкладку «Безопасность», выбрать раздел «Доступ к локальным смарт-картам через RDP» и нажать кнопку 2) «Включить службу локальных смарт-карт». Понадобятся права локального администратора. 2
Добавить пользователя в локальную группу «Пользователи локальных смарт-карт КриптоПро CSP» (CryptoPro Local Smartcard Users) или сделать его локальным администратором.

Развести сертификаты по пользователям просто - каждому локально (в своей RDP) установить только свой сертификат. Но если пользователи продвинутые, смогут сами себе поставить чужие. Я просто копирую ЭЦП в файл и раздаю права на свои папки каждому.

Rutoken не работает, если к серверу подкдючены по RDP. Но пробрвсывается по RDP автоматически с ПК пользователя на сервер. На сервере и ПК должна стоять софтина Rutoken Driver. Не забываем в утилите галочку регистрации сертификата сделать.

Варианты решения.
1. Скопировать ключ в реестр пользователям через КриптоПро на сервере. Бух ключи копируются без проблем. У них есть возможность экспорта контейнера обычно. Генерального нет.
2. Поставить на сервер Rutoken Driver. Ключ пользователя сам пробросится по RDP.
3. Даже закрытые ключи можно экспортировать. Я себе так ИП ключ вскрыл и перенес в реестр. Гуглите инет.

У меня 4 разных бух конторы на одном сервере работают. У каждого свои ключи.
У некоторых 1 ключ раскопирован между 7 бухами.