|
|
Ранг: Участник
Группа: Участники
Регистрация: 5/26/2009
Сообщений: 28
[Points]: 84
|
Здравствуйте!
Нам необходимо организовать публикаю и доступ к сертификатам и CRL.
Есть некоторое количество территориально распределённых филиалов. Есть центральный офис, где расположен УЦ. Каналы между центральным офисом и филиалами слабые.
Мы хотим организовать следующую схему PKI... В филиалах должна быть какая-то часть PKI, откуда будут доступны сертификаты и CRL. А в центральном офисе должен быть организован АРМ менеджера, который будет управлять публикацией в эту часть PKI, которые расположены в филиалах.
Полазив в Интернете я пришёл к выводу, что эта самая часть PKI может быть репозиторий (сетевой справочник). Использование Active Directory в качестве такого репозитория не представляется возможным. Нашёл информацию, что в качестве такого репозитория может использоваться каталог X.500 с использованием LDAP.
Но что представляет собой этот каталог X.500 с использованием LDAP?! Это какое-то программное обеспечение или что-то ещё?
Может быть есть ещё какие-то решения по организации такой схемы?
Заранее спасибо всем ответившим!
|
|
Ранг: Эксперт
Группа: Участники
Регистрация: 2/6/2008
Сообщений: 1,022
[Points]: 2,293
Откуда: Крипто-Про
|
а какой именно ldap вы хотите использовать? чем именно не устраивает AD?
у нас есть два варианта модуля экспорта в AD один из них при выпуске сертификата автоматически помещает его в специальную директорию в AD(для всех сертификатов директория одна), другой при выпуске сертификата прописывает его пользователю AD (в стандартное место для хранения сертификата этого пользователя).
Татьяна,
сотрудник отдела технического сопровождения компании Крипто-Про
|
|
Ранг: Участник
Группа: Участники
Регистрация: 5/26/2009
Сообщений: 28
[Points]: 84
|
Здравствуйте!
Я пока плохо представляю какой именно LDAP использовать... AD к сожалению не представляется возможным использовать (почему? Мне не известно.)
Мне интересно, что представялет из себя Каталог X.500 и как он организован и вообще как работает и может ли КриптоПро УЦ с ним взаимодействовать?
Заранее спасибо!
|
|
Ранг: Активный участник
Группа: Администраторы
Регистрация: 12/29/2007
Сообщений: 390
[Points]: 1,170
Откуда: КРИПТО-ПРО
|
X.500 - это стандарт глобального каталога. Стандарт X.500 представляет собой набор спецификаций, регламентирующих взаимодействие между различными атрибутами каталогов в распределенной сетевой среде и приложениях на разных программно-аппаратных платформах.
LDAP - это протокол.
Т.е. это набор описаний и требований.
Соответственно, есть различные программные реализации. К ним относятся, например, и MS AD от Microsoft и OpenLDAP и Directory Server от компании iPlanet и IDDS фирмы Innosoft и NDS eDirectory Server for NT от Novell и Global Directory Server от Critical Path и eTrust Directory от Computer Associates и DirX корпорации Siemens и Oracle Internet Directory и т.д.
Как видите, реализаций много...
С уважением,
КРИПТО-ПРО
|
|
Ранг: Участник
Группа: Участники
Регистрация: 5/26/2009
Сообщений: 28
[Points]: 84
|
Благодорю за подробное разъяснения и примеры реализаций!
Как я понимаю, то применительно к моей вышеописанной схеме можно ещё рассмотреть варианты:
1. с организацией FTP серверов в филиалах;
2. с организацией Web серверов в филиалах;
Как я понимаю, то в этих случаях применяется двухшаговый метод наполнения, т.е. УЦ публикует в какой-то каталог, а потом происходит копирование из каталога на серверы.
Поддерживает ли КриптоПро УЦ такие варианты?
Заранее спасибо за ответ!
|
|
Ранг: Активный участник
Группа: Администраторы
Регистрация: 12/29/2007
Сообщений: 390
[Points]: 1,170
Откуда: КРИПТО-ПРО
|
Думаю, что экономически целесообразнее рассмотреть следующий вариант:
В центральном офисе у Вас разворачивается ПАК "КриптоПро УЦ" с включенным доступом к веб-интерфейсу зарегистрированных пользователей и включенной опцией доступа к перечню сертификатов. Это все входит в предустановленные возможности "КриптоПро УЦ".
Менеджерам в филиалах Вы выдаете ключи и сертификаты.
Менеджеры в филиалах получают возможность доступа (через веб-интерфейс "КриптоПро УЦ") к списку всех сертификатов и CRL. Причем с возможностью фильтровать список сертификатов по различным параметрам и сохранение выборки в файлы на компьютер менеджера филиала.
Менеджеры филиалов в установленное регламентом время (например, один раз в сутки) заходит в свои АРМ (в веб-интерфейс "КриптоПро УЦ") и получает список или выборку из него и сохраняет на свой локальный диск.
Потом копирует файлы в организованный Web сервер или FTP сервер в своем филиале.
Как видите, не трубется организовать сервера каталогов, тратить на них деньги, а цель будет достигнута.
С уважением,
КРИПТО-ПРО
|
|
Ранг: Участник
Группа: Участники
Регистрация: 5/26/2009
Сообщений: 28
[Points]: 84
|
Благодорю за подробное описание решения с использованием КриптоПРо УЦ!
1. А вы не подскажете... умеют ли FTP или WEB сервера осуществлять синхронизацию (репликацию содержимого)?
2. Как на ваш взгляд... вместо нескольких менеджеров в филиалах, возможно организовать АРМ зарег. пользователя в центральном офисе. И что бы с этого АРМа производилось копирование сертификатов и СОС на FTP или WEB сервера филиалов?
Заранее Спасибо!
|
|
Ранг: Активный участник
Группа: Администраторы
Регистрация: 12/29/2007
Сообщений: 390
[Points]: 1,170
Откуда: КРИПТО-ПРО
|
1. Нет, не умеют т.к. зачем и с кем и чего сихнронизировать или реплицировать.
2. Конечно возможно!!!!
С уважением,
КРИПТО-ПРО
|
|
Ранг: Участник
Группа: Участники
Регистрация: 5/26/2009
Сообщений: 28
[Points]: 84
|
Спасибо за ответы!
Синхронизиовать (реплицировать) необходимо... В случае, если у нас один АРМ зарег. пользователя и с него осуществляется копирование на один FTP или WEB сервер, то чтобы содержимое других FTP или WEB серверов в других филиалах было одинаковым.
1. Если я правильно понял, то FTP или WEB серверы не умеют осуществлять синхронизацию (репликацию) своего содержимого между собой?
2. Тогда в этом случае, реализации Каталога Х.500 с LDAP имеют преимущество в плане возможности синхронизации (репликации)?
Заранее спасибо!
|
|
Ранг: Активный участник
Группа: Администраторы
Регистрация: 12/29/2007
Сообщений: 390
[Points]: 1,170
Откуда: КРИПТО-ПРО
|
Наверное. Это уже не относится к криптографической защите информации, тут мы не копенгагены :-)
С уважением,
КРИПТО-ПРО
|
|
Ранг: Участник
Группа: Участники
Регистрация: 5/26/2009
Сообщений: 28
[Points]: 84
|
Благодорю за помощь!
|
|
Ранг: Участник
Группа: Участники
Регистрация: 5/26/2009
Сообщений: 28
[Points]: 84
|
Если я правильно понял, то Программный комплекс КриптоПро УЦ не поддерживает автоматическую публикацию сертфикатов и СОС в FTP и WEB сервера?
А поддерживает ли Программный комплекс КриптоПро УЦ автоматическую публикцию сертификаты и СОС в LDAP каталоги?
Заранее спасибо!
|
|
Ранг: Активный участник
Группа: Администраторы
Регистрация: 12/29/2007
Сообщений: 390
[Points]: 1,170
Откуда: КРИПТО-ПРО
|
Нет, не правильно поняли.
ПАК "КриптоПро УЦ":
1. Не поддерживает автоматическую публикацию сертфикатов в FTP и WEB сервера.
2. Поддерживает автоматическую публикацию СОС в FTP и WEB сервера.
3. Поддерживает автоматическую публикацию СОС в MS AD. Как Вам уже несколько раз в предыдущих сообщениях разъяснялось, что MS AD построен по архитектуре LDAP-каталога, т.е. удовлетворяет спецификациям Х.500 и поддерживает протокол LDAP.
С уважением,
КРИПТО-ПРО
|
|
Ранг: Участник
Группа: Участники
Регистрация: 5/26/2009
Сообщений: 28
[Points]: 84
|
Ещё раз огромное Спасибо за подробные разъяснения!
|
|
|
Guest |
