- •Академия зла
- •1. Назначение, состав и возможности программного комплекса «КриптоПро уц»
- •Состав и назначение программных компонент Удостоверяющего Центра
- •Скзи КриптоПро csp
- •Средство сетевой аутентификации КриптоПро tls
- •Центр сертификации
- •Центр регистрации
- •Арм зарегистрированного пользователя
- •Арм удаленной регистрации пользователей
- •Арм разбора конфликтных ситуаций
- •Арм администратора
- •2. Принципы функционирования программного комплекса «КриптоПро уц» Типовая схема размещения и взаимодействия компонент Удостоверяющего Центра
- •Режимы работы Удостоверяющего центра Режимы регистрации пользователей Удостоверяющего Центра:
- •1. Сетевая (распределенная) регистрация
- •2. Распределенное управление ключами и сертификатами
- •Публикация списков отозванных сертификатов
- •Политики применения сертификатов открытых ключей
Средство сетевой аутентификации КриптоПро tls
Модуль КриптоПро TLS разработан в соответствии с криптографическим интерфейсом корпорации Microsoft - Security Service Provider Interface (SSPI). Модуль КриптоПро TLS используется с СКЗИ КриптоПро CSP, реализующим российские криптографические алгоритмы. Он встраивается в системы Microsoft в качестве дополнения к стандартному модулю Schannel.
Центр сертификации
Центр сертификации – компонент подсистемы, предназначенный для формирования сертификатов открытых ключей пользователей и администраторов Удостоверяющего центра, списков отозванных сертификатов, хранения эталонной базы сертификатов и списков отозванных сертификатов.
ЦС взаимодействует только с Центром регистрации или несколькими Центрами регистрации по отдельному сегменту локальной сети с использованием защищенного сетевого протокола.
К функциям ЦС относятся:
Формирование сертификата пользователя по запросам центра регистрации.
Ведение базы данных сертификатов с предоставлением доступа к ней ограниченному кругу компонентов системы.
Изменение базы данных сертификатов по запросам от центра регистрации. Включает в себя выполнение следующих операций:
создание сертификата;
отзыв сертификата.
Обеспечение возможности начальной генерации сертификата, с помощью которого будет производиться подпись данных, передаваемых на ЦР.
Обеспечение уникальности следующей информации в сертификатах пользователей:
Открытый ключ сертификата;
Серийный номер сертификата.
Взаимодействие с центром регистрации.
Прием от ЦР информации, необходимой для выдачи сертификатов (запросы на сертификаты, команды на отзыв сертификатов);
Проверка наличия подписи данной информации на ключе ЦР;
Передача на ЦР изготовленных или запрашиваемых сертификатов;
Обработка переданных от ЦР запросов на сертификаты и выпуск сертификатов по этим запросам;
Шифрование информации, передаваемой между ЦС и ЦР в ходе сетевого взаимодействия по протоколу TLS (КриптоПро TLS).
Протоколирование работы ЦС, включающее фиксацию в текстовых файлах следующей информации:
Получение запроса на сертификат;
Формирование сертификата;
Формирование списка отозванных сертификатов;
Отзыв сертификата;
Отказ в выдачи сертификата;
Определение состояния запроса на сертификат;
Остановка службы Microsoft Certificate Services.
Центр регистрации
Центр регистрации – компонент УЦ, предназначенный для хранения регистрационных данных пользователей, запросов на сертификаты и сертификаты пользователей, предоставления интерфейса взаимодействия пользователей и Удостоверяющего центра. ЦР функционирует в операционной системе (ОС) Microsoft Windows 2000 Server и использует базу данных Microsoft SQL 2000 Server (Desktop Edition или Enterprise Edition). Microsoft SQL 2000 Server ЦР Desktop Edition (MSDE) устанавливается программой установки ПО Центра Регистрации. Центр Регистрации взаимодействует с Центром Сертификации по отдельному сегменту локальной сети с использованием защищенного сетевого протокола. Взаимодействие пользователей с Удостоверяющим центром обеспечивается за счет использования приложений (АРМ зарегистрированного пользователя, АРМ удаленной регистрации), предоставляемых Центром регистрации.
ЦР является единственной точкой входа (регистрации) пользователей в системе. Только зарегистрированный в ЦР пользователь может получить сертификат на свой открытый ключ в Удостоверяющем Центре.
К функциям ЦР относятся:
Обеспечение аутентификации приложений при обращении к ЦР.
Ведение БД, содержащей информацию о пользователях и пользовательских сертификатах. БД содержит следующую информацию:
Данные о пользователях, включающиеся в сертификаты открытых ключей;
Данные о пользователях, не включаемые в сертификаты открытых ключей;
Ключевая фраза пользователя, необходимая для его идентификации администратором;
Открытые ключи пользователей, зарегистрированных в системе;
Сертификаты пользователей, зарегистрированных в системе:
действующие;
отозванные;
с истекшим сроком действия сертификата;
с истекшим сроком действия закрытого ключа.
Запросы на сертификаты открытого ключа пользователя:
поступившие;
отвергнутые;
обработанные;
Запросы на отзыв сертификатов открытого ключа пользователя:
поступившие;
отвергнутые;
обработанные;
Управление шаблонами сертификатов, обеспечивающих определение области применения ключей и сертификатов открытых ключей пользователей:
Создание шаблонов;
Удаление;
Корректировка.
Обеспечение уникальности следующей информации в сертификатах пользователей:
Доменное имя пользователя.
Обеспечение выгрузки сертификатов в LDAP каталоги через COM-интерфейс с предоставлением возможности разработки дополнительных подключаемых модулей экспорта. Выгрузка сертификатов производится по мере их формирования.
Взаимодействие с ЦС и внешними приложениями.
Прием от приложения и передача на ЦС информации, необходимой для выдачи сертификатов (запросы на сертификаты, команды на отзыв сертификатов), подпись данной информации на ключе ЦР;
Прием от ЦС и передача приложению сформированных сертификатов;
Проверка подписи ЦС принимаемой от него информации;
Аутентификация и шифрование информации, передаваемой между ЦР и клиентским ПО с использованием протокола TLS (КриптоПро TLS).
Аутентификация приложения на ЦР с использованием ЭЦП приложения на существующем действующем сертификате.
Обеспечение доступа внешним приложениям через SOAP-интерфейс на базе HTTP(S).
Возможность одновременной работы нескольких ЦР и обеспечение уникальности ключей пользователей центров регистрации, взаимодействующих с одним и тем же ЦС.
Обеспечение выполнения ЦР в автоматическом режиме следующих задач:
Оповещение пользователей по электронной почте об истечении срока действия сертификатов.
Оповещение пользователей по электронной почте о необходимости замены ключей.
Оповещение администратора безопасности о возникновении следующих критических ситуаций:
Запрос на сертификат какого-либо пользователя не удовлетворен ЦС;
Пользователь пытается осуществить более трех запросов на сертификат в день;
Пользователь пытается осуществить более чем одну смену ключа сертификата в день.
Формирование списка отозванных сертификатов.
Протоколирование работы ЦР. Включает в себя фиксацию следующей информации в БД ЦР:
факты регистрации администраторов, пользователей и приложений в системе;
факты изготовления сертификатов;
факты отзыва сертификатов;
факты прохождения запросов на сертификаты и ответов на них.
Протоколирование работы ЦР выполняется в автоматическом режиме, подразумевая постоянную запись в журнал всех вышеперечисленных событий.