Главная > Продукты > КриптоПро УЦ > Использование

КриптоПро УЦ - Использование

Тактико-технические характеристики комплекса

1.1. Структурная схема и базовый состав компонент
1.2. Операционная платформа компонент
1.3. Поддерживаемые на компонентах УЦ средства криптографической защиты информации
1.4. Размещение компонент
1.5. Подключение компонент
1.6. Протокол взаимодействия компонент
1.7. Ролевая модель
1.8. Инфраструктура удостоверяющих центров
1.9. Режимы функционирования
1.9.1. Регистрация пользователей
1.9.2. Изготовление ключей, формирование запросов на сертификаты и постановка их в очередь   на обработку

 

1.1. Структурная схема и базовый состав компонент

В базовый состав компонент ПАК "КриптоПро УЦ" входят:

  • Центр Сертификации "КриптоПро УЦ";
  • Центр Регистрации "КриптоПро УЦ"
  • АРМ пользователя (регистрации пользователя, зарегистрированного пользователя с ключевым доступом, зарегистрированного пользователя с маркерным доступом) (в составе Центра Регистрации);
  • АРМ администратора Центра Регистрации;
  • АРМ разбора конфликтных ситуаций.

Структурная схема компонент:

Структурная схема КриптоПро УЦ

Центр сертификации - серверный компонент, осуществляющий изготовление сертификатов ключей подписей пользователей, а также изготовление списка отозванных сертификатов. Действия по изготовлению сертификатов ключей подписей осуществляются по запросам от Центра Регистрации. Действия по изготовлению списка отозванных сертификатов Центр Сертификации осуществляются по установленному расписанию или по запросам от Центра Регистрации. Соответственно, Центр Сертификации взаимодействует с Центром Регистрации (Центрами Регистрации). Инициатором взаимодействия всегда выступает Центр Регистрации.

Центр Регистрации – серверный компонент, который осуществляет ведение баз данных учетных записей пользователей, изготовленных сертификатов ключей подписей, запросов на сертификаты и т.д. Центр Регистрации предоставляет интерфейс доступа к методам и объектам Удостоверяющего центра. Центр Регистрации принимает разного рода запросы с Автоматизированных рабочих мест администраторов Центра Регистрации (посредством реализации Интерфейса Внешних Приложений) и от Пользователей Удостоверяющего центра (посредством реализации веб-интерфейса Центра регистрации), обеспечивает их обработку и хранение, в случае соответствия запросов установленным политикам обработки - пересылает их в Центр Сертификации. Центров регистрации для одного Центра Сертификации может быть несколько.

Автоматизированное рабочее место (АРМ) администратора Центра Регистрации – компонент, который предназначен для выполнения операций: связанных с регистрацией пользователей, формированием закрытых ключей и запросов на сертификаты открытых ключей, обработкой запросов на сертификаты открытых ключей, получением изданных Центром Сертификации сертификатов, управлением (аннулированием, приостановлением и возобновлением действия) сертификатов и выполнением иных действий по выполнению целевых функций Удостоверяющего центра. АРМов администраторов для одного Центра Регистрации может быть несколько.

АРМ разбора конфликтных ситуаций - компонент, обеспечивающий выполнение процедур по подтверждению подлинности электронной цифровой подписи (электронной подписи) в электронных документах и установлению статуса сертификата открытого ключа на определенный момент времени. Итогом работы АРМ разбора конфликтных ситуаций является протокол, содержащий результаты выполненных проверок.

АРМ пользователя Удостоверяющего центра – веб-приложение (набор веб-страниц), размещенное на Центре Регистрации и предназначенное для регистрации пользователей, формирования ключей и запросов на сертификаты открытых ключей, получения изданных сертификатов и управления ими непосредственно с рабочего места Пользователя Удостоверяющего Центра.

 

1.2. Операционная платформа компонент для ПАК "КриптоПро УЦ" 1.5

 Для ПАК "КриптоПро УЦ" 1.5 вариантов исполнения 1 и 4 (уровень защиты – КС2)

  • Центр Сертификации "КриптоПро УЦ": Windows Server 2003 (x86), Windows Server 2008 (x86);
  • Центр Регистрации "КриптоПро УЦ": Windows Server 2003 (x86), Windows Server 2008 (x86 или x64), Windows Server 2008 R2;
  • АРМ администратора Центра Регистрации: Windows 2000 Professional, Windows 2000 Server, Windows XP (x86 или x64), Windows Server 2003 (x86 или x64), Windows Server 2008 (x86 или x64), Windows Server 2008R2, Windows 7 (x86 или x64);
  • АРМ разбора конфликтных ситуаций: Windows 2000 Professional, Windows 2000 Server, Windows XP (x86 или x64), Windows Server 2003 (x86 или x64), Windows Server 2008 (x86 или x64), Windows Server 2008R2, Windows 7 (x86 или x64);
  • АРМ пользователя (регистрации пользователя, зарегистрированного пользователя с ключевым доступом, зарегистрированного пользователя с маркерным доступом): Windows 9x/ME/NT4/2000/XP/2003/2008/2008R2/7;

Для ПАК "КриптоПро УЦ" 1.5 вариантов исполнения 2 и 3 (уровень защиты – КС3)

  • Центр Сертификации "КриптоПро УЦ": Windows Server 2003 (x86);
  • Центр Регистрации "КриптоПро УЦ": Windows Server 2003 (x86);
  • АРМ администратора Центра Регистрации: Windows XP (x86), Windows Server 2003 (x86);
  • АРМ разбора конфликтных ситуаций: Windows XP (x86), Windows Server 2003 (x86);
  • АРМ пользователя (регистрации пользователя, зарегистрированного пользователя с ключевым доступом, зарегистрированного пользователя с маркерным доступом): Windows 9x/ME/NT4/2000/XP/2003/2008/2008R2/7.

 

1.3. Поддерживаемые на компонентах УЦ средства криптографической защиты информации

Для ПАК "КриптоПро УЦ" 1.5 вариантов исполнения 1 и 4 (уровень защиты – КС2)

  • Центр Сертификации "КриптоПро УЦ": КриптоПро CSP 3.6 (ЖТЯИ.00050-02) варианта исполнения 2 (класс защиты КС2), для варианта исполнения 4 для хранения и использования закрытого ключа уполномоченного лица Удостоверяющего центра - ПАКМ "Атликс HSM" (класс защиты KB2);
  • Центр Регистрации "КриптоПро УЦ": КриптоПро CSP 3.6 (ЖТЯИ.00050-02) варианта исполнения 2 (класс защиты КС2);
  • АРМ администратора Центра Регистрации: КриптоПро CSP 3.6 (ЖТЯИ.00050-02) варианта исполнения 2 (класс защиты КС2);
  • АРМ разбора конфликтных ситуаций: КриптоПро CSP 3.6 (ЖТЯИ.00050-02) варианта исполнения 2 (класс защиты КС2);
  • АРМ пользователя (регистрации пользователя, зарегистрированного пользователя с ключевым доступом, зарегистрированного пользователя с маркерным доступом): сертифицированные ФСБ России версии КриптоПро CSP 2.0, 3.0, 3.6.

Для ПАК "КриптоПро УЦ" 1.5 вариантов исполнения 2 и 3 (уровень защиты – КС3)

  • Центр Сертификации "КриптоПро УЦ": КриптоПро CSP 3.6.1 (ЖТЯИ.00050-03) варианта исполнения 3 (класс защиты КС3) – эксплуатируется совместно с пакетом Secure Pack Rus 2.0; для варианта исполнения 3 для хранения и использования закрытого ключа уполномоченного лица Удостоверяющего центра - ПАКМ «Атликс HSM» (класс защиты KB2);
  • Центр Регистрации "КриптоПро УЦ": КриптоПро CSP 3.6.1 (ЖТЯИ.00050-03) варианта исполнения 3 (класс защиты КС3) - эксплуатируется совместно с пакетом Secure Pack Rus 2.0;
  • АРМ администратора Центра Регистрации: КриптоПро CSP 3.6.1 (ЖТЯИ.00050-03) варианта исполнения 3 (класс защиты КС3) - эксплуатируется совместно с пакетом Secure Pack Rus 2.0;
  • АРМ разбора конфликтных ситуаций: КриптоПро CSP 3.6 (ЖТЯИ.00050-03) варианта исполнения 3 (класс защиты КС3) - эксплуатируется совместно с пакетом Secure Pack Rus 2.0;
  • АРМ пользователя (регистрации пользователя, зарегистрированного пользователя с ключевым доступом, зарегистрированного пользователя с маркерным доступом): сертифицированные ФСБ России версии КриптоПро CSP 2.0, 3.0, 3.6.

 

1.4. Размещение компонент

При подключении компонент к линиям связи, выходящим за контролируемую зону Удостоверяющего Центра:

  • Центр Сертификации и Центр Регистрации размещаются на выделенных серверах;
  • На одном выделенном сервере может размещаться один или несколько Центров Регистрации;
  • АРМ администратора Центра Регистрации размещается на рабочем месте администратора Удостоверяющего Центра;
  • АРМ разбора конфликтных ситуаций размещается на рабочем месте ответственного сотрудника Удостоверяющего Центра;
  • Доступ к АРМ пользователя осуществляется с рабочих мест пользователей.

При отсутствии подключений компонент к линиям связи, выходящим за контролируемую зону Удостоверяющего Центра:

  • Все компоненты могут размещаться на одном выделенном сервере либо размещаются так же как при наличии подключений к линиям связи, выходящим за контролируемую зону Удостоверяющего Центра.

Допускается размещение компонент ПАК на территориально обособленных технологических площадках. В качестве каналов связи компонент могут использоваться публичные каналы связи (Интернет).

 

1.5. Подключение компонент

  • К одному Центру Сертификации может быть подключен один или несколько Центров Регистрации;
  • К одному Центру Регистрации может быть подключен один или несколько АРМов администратора Центра Регистрации;
  • Один АРМ администратора Центров Регистрации может быть подключен к одному или нескольким Центрам Регистрации.

 

1.6. Протокол взаимодействия компонент

Все компоненты ПАК "КриптоПро УЦ" 1.5 взаимодействуют друг с другом с использованием защищенного транспортного протокола Transport Layer Security (TLS) с двухсторонней аутентификацией.

Исключение составляет Web-приложение Центра Регистрации, реализующее АРМ регистрации пользователя и АРМ зарегистрированного пользователя с маркерным доступом. Данные АРМы взаимодействуют с Центром Регистрации по протоколу TLS с односторонней (серверной) аутентификацией.

Использование протокола TLS позволяет обеспечить:

  • аутентификацию взаимодействующих компонент;
  • целостность передаваемых данных;
  • конфиденциальность передаваемых данных.

 

1.7. Ролевая модель

ПАК "КриптоПро УЦ" 1.5 обеспечивает реализацию ролевой модели управления объектами комплекса.

Поддерживаются следующие предустановленные роли:

  • Администратор - администратор Центра Регистрации;
  • Оператор - оператор Центра Регистрации;
  • Пользователь Центра Регистрации - пользователь, имеющий действующий сертификат открытого ключа, содержащий идентификатор этой роли в области применения сертификата и информация о котором внесена в Базу Данных Центра Регистрации;
  • Временный сертификат - владелец временного сертификата пользователя Центра Регистрации;
  • Прошедший проверку - прошедший проверку пользователь, имеющий маркер доступа.

Состав ролей и права доступа для каждой роли могут изменятся и настраиваться в зависимости от принятой в организации модели управления.

 

1.8. Инфраструктура удостоверяющих центров

ПАК "КриптоПро УЦ" 1.5 обеспечивает построение инфраструктуры удостоверяющих центров по иерархической модели.

Политика выпуска сертификатов открытых ключей уполномоченных лиц подчиненных удостоверяющих центров определяется и настраивается политиками безопасности комплекса.

 

1.9. Режимы функционирования

    1.9.1. Регистрация пользователей

ПАК "КриптоПро УЦ" 1.5 поддерживает регистрацию пользователей в реестре пользователей удостоверяющего центра в двух режимах:

  • централизованный режим;
  • распределенный режим.

При централизованном режиме регистрации идентификация регистрируемых пользователей удостоверяющего центра осуществляется ответственным сотрудником удостоверяющего центра из группы администрирования при личном прибытии пользователя. В распределенном режиме регистрации допускается идентификация пользователя по месту его проживания (местонахождения) лицами, на которых возложена данная функция в соответствии с действующим законодательством Российской Федерации (нотариусами), при заверении им собственноручной подписи регистрируемого пользователя на заявлении о регистрации в бумажной форме.

    1.9.2. Изготовление ключей, формирование запросов на сертификаты и постановка их в очередь на обработку

ПАК "КриптоПро УЦ" 1.5 предоставляет программные средства изготовления ключей пользователей, формирования запросов на сертификаты и постановки их в очередь на обработку на рабочем месте пользователя и/или на рабочем месте ответственного сотрудника удостоверяющего центра из группы администрирования.

Формат запросов на сертификат определяется форматом криптографических сообщений стандарта RSA PKCS#10 (RFC 2986). Также допускается изготовление ключей и формирование запросов на сертификаты в программном обеспечении других производителей, с последующей их постановкой в очередь на обработку с рабочего места ответственного сотрудника удостоверяющего центра из группы администрирования с использованием компонента АРМ администратора Центра Регистрации. В этом случае, необходимо, что бы значения атрибутов запроса соответствовали политике безопасности, настроенной на ПАК "КриптоПро УЦ" 1.5.

 

Дополнительные программные комплексы (ПК), входящие в состав ПАК "КриптоПро УЦ" 1.5

В состав ПАК "КриптоПро УЦ" 1.5 входят следующие дополнительные программные комплексы:

  • Программный комплекс "Аналитическая отчетность";
  • Программный комплекс "Регламентные задания";
  • Утилита автономного формирования и использования ключей пользователя УЦ.

ПК "Аналитическая отчетность"

Дополнительный компонент, предназначенный для сбора информации о действиях, совершенных на Удостоверяющем Центре в определенный период, и автоматического составления отчетов об этих действиях.

Включает в себя:

  • КриптоПро УЦ. Сервер отчетов ЦР;
  • КриптоПро УЦ. АРМ генерации отчетов ЦР.

"КриптоПро УЦ. Сервер отчетов ЦР" предназначен для работы с базой данных Центра регистрации, сбора и обработки запрашиваемой АРМ генерации отчетов ЦР информации.

"КриптоПро УЦ. АРМ генерации отчетов ЦР" предоставляет удобный интерфейс для выполнения полного спектра действий по созданию различного вида отчетов и их дальнейшей обработке с целью публикации или архивного хранения.

КриптоПро УЦ. Сервер отчетов ЦР. Мастер создания отчётов

Кроме тех видов отчетов, которые устанавливаются в программном комплексе по умолчанию, существует возможность создавать свои собственные варианты отчетов.

ПК "Регламентные задания" 

Дополнительный компонент, предназначенный для выполнения задания переноса и публикации списков отозванных сертификатов (далее Задание переноса СОС) и задания рассылки писем-уведомлений об ошибках в работе.

Задание переноса СОС:

  1. копирует список отозванных сертификатов с заданного адреса в локальную или сетевую папку;
  2. устанавливает его в хранилище локального компьютера "Промежуточные Центры Сертификации" - "Список отзыва сертификатов";
  3. при необходимости может опубликовать СОС в Active Directory.

Таким образом, Задание переноса СОС помимо непосредственного переноса СОС, может использоваться для публикации СОС в Active Directory, либо для установки списков отзыва на сервер, где требуется, чтобы СОС был установлен в хранилище локального компьютера (например, для TSP-сервера  или OCSP-сервера).

Если при работе Задания переноса СОС возникают ошибки, можно настроить рассылку уведомлений об этом по указанным адресам e-mail. Непосредственно рассылкой писем занимается Задание для рассылки сообщений, которое по умолчанию входит в пакет заданий вместе с Заданием переноса СОС.

Утилита автономного формирования и использования ключей пользователя УЦ

 Данный программный компонент представляет собой приложение командной строки (cryptcp.exe) для работы с сертификатами, шифрования/расшифрования данных, создания/проверки цифровых подписей и хеширования данных, генерации ключей и создания запросов на сертификаты открытых ключей.