- •Академия зла
- •1. Назначение, состав и возможности программного комплекса «КриптоПро уц»
- •Состав и назначение программных компонент Удостоверяющего Центра
- •Скзи КриптоПро csp
- •Средство сетевой аутентификации КриптоПро tls
- •Центр сертификации
- •Центр регистрации
- •Арм зарегистрированного пользователя
- •Арм удаленной регистрации пользователей
- •Арм разбора конфликтных ситуаций
- •Арм администратора
- •2. Принципы функционирования программного комплекса «КриптоПро уц» Типовая схема размещения и взаимодействия компонент Удостоверяющего Центра
- •Режимы работы Удостоверяющего центра Режимы регистрации пользователей Удостоверяющего Центра:
- •1. Сетевая (распределенная) регистрация
- •2. Распределенное управление ключами и сертификатами
- •Публикация списков отозванных сертификатов
- •Политики применения сертификатов открытых ключей
Арм администратора
Компонент АРМ Администратора ЦР предназначен для выполнения организационно-технических мероприятий, связанных с регистрацией пользователей, формированием служебных ключей и сертификатов пользователей и управления Центром регистрации. АРМ администратора функционирует в ОС Microsoft Windows 2000 Professional or Server. АРМ администратора взаимодействует с Центром регистрации по отдельному сегменту локальной сети с использованием защищенного сетевого протокола.
Программное обеспечение АРМа администратора является универсальным и используется для всех ролей привилегированных пользователей (администраторов и операторов).
К основным функция АРМ администратора относятся:
Обеспечение взаимодействия с ЦР.
Обеспечение возможности выбора администратором сертификата, с помощью которого будет осуществляться взаимодействие с ЦР.
Шифрование информации передаваемой ЦР с использованием протокола TLS с двусторонней аутентификацией;
Регистрация пользователей в Центре регистрации.
Генерация служебных ключей пользователей.
Организация просмотра информации из БД ЦР, относящейся к пользователю, зарегистрированному в системе.
Создание запросов на формирование сертификатов.
Обеспечение возможности получения пользователем нескольких сертификатов.
Вывод электронного сертификата открытого ключа пользователя на бумажный носитель.
Проверка состояния и обработка запросов на формирование сертификатов.
Проверка состояния и обработка запросов на отзыв сертификатов.
Просмотр протоколов работы ЦР.
Публикация списков отозванных сертификатов открытых ключей пользователей.
Вывод электронного сертификата открытого ключа Центра сертификации на бумажный носитель.
Сохранение списка отозванных сертификатов на магнитный носитель в виде файла.
Сохранение сертификата (цепочки сертификатов) Центра сертификации на магнитный носитель в виде файла.
2. Принципы функционирования программного комплекса «КриптоПро уц» Типовая схема размещения и взаимодействия компонент Удостоверяющего Центра
Рисунок 1. Типовая схема размещения компонент УЦ в сети предприятия
Для защиты закрытого ключа подписи Центра сертификации Удостоверяющего центра, необходимо все программно-аппаратные компоненты непосредственной взаимодействующие с ним выделить в защищенный сегмент локальной вычислительной сети (ЛВС) предприятия.
Такими компонентами является программно-аппаратное обеспечение Центра сертификации.
Непосредственно на ЦС необходимо разместить персональный межсетевой экран, обеспечивающий доступ к ЦС только по 80 и 443 порту.
Рекомендуемая схема организации защищенного сегмента ЛВС – с помощью сертифицированных межсетевых экранов, обеспечивающих организацию взаимодействия ЦС только с Центрами регистрации, входящими в состав Удостоверяющего Центра.
Центры регистрации рекомендуется разместить в так называемой демилитаризованной зоне (DMZ) сети ЛВС предприятия. Демилитаризованную зону также рекомендуется организовывать с помощью сертифицированных межсетевых экранов.
Схема взаимодействия компонент Удостоверяющего Центра приведена на рисунке 2.
Рисунок 2. Схема взаимодействия компонент УЦ