Использование КриптоПро УЦ 1.5

1. Структурная схема и базовый состав компонент
2. Операционная платформа компонент
3. Поддерживаемые на компонентах УЦ средства криптографической защиты информации
4. Дополнительные программные комплексы

1. Структурная схема и базовый состав компонент

В базовый состав компонент ПАК "КриптоПро УЦ" входят:

  • Центр Сертификации "КриптоПро УЦ";
  • Центр Регистрации "КриптоПро УЦ"
  • АРМ пользователя: регистрации пользователя, зарегистрированного пользователя с ключевым доступом, зарегистрированного пользователя с маркерным доступом (в составе Центра Регистрации);
  • АРМ администратора Центра Регистрации;
  • АРМ разбора конфликтных ситуаций.

Структурная схема компонент

 

Все компоненты ПАК "КриптоПро УЦ" 1.5 взаимодействуют друг с другом с использованием защищенного транспортного протокола Transport Layer Security (TLS) с двухсторонней аутентификацией.

Центр сертификации - серверный компонент, осуществляющий изготовление сертификатов ключей подписей пользователей, а также изготовление списка отозванных сертификатов. Действия по изготовлению сертификатов ключей подписей он осуществляет по запросам от Центра Регистрации. Действия по изготовлению списка отозванных сертификатов Центр Сертификации осуществляет по установленному расписанию или по запросам от Центра Регистрации. Соответственно, Центр Сертификации взаимодействует с Центром Регистрации (Центрами Регистрации). Инициатором взаимодействия всегда выступает Центр Регистрации.

Центр Регистрации – серверный компонент, который осуществляет ведение баз данных учетных записей пользователей, изготовленных сертификатов ключей подписей, запросов на сертификаты и т.д. Центр Регистрации предоставляет интерфейс доступа к методам и объектам Удостоверяющего Центра. Центр Регистрации принимает разного рода запросы с Автоматизированных рабочих мест администраторов Центра Регистрации (посредством реализации Интерфейса Внешних Приложений) и от пользователей Удостоверяющего Центра (посредством реализации веб-интерфейса Центра Регистрации), обеспечивает их обработку и хранение, в случае соответствия запросов установленным политикам обработки - пересылает их на Центр Сертификации. Центров Регистрации для одного Центра Сертификации может быть несколько.

Автоматизированное рабочее место (АРМ) администратора Центра Регистрации – компонент, который предназначен для выполнения операций, связанных с регистрацией пользователей, формированием закрытых ключей и запросов на сертификаты открытых ключей, обработкой запросов на сертификаты открытых ключей, получением изданных Центром Сертификации сертификатов, управлением (аннулированием, приостановлением и возобновлением действия) сертификатов и выполнением иных действий по выполнению целевых функций Удостоверяющего Центра. АРМов администраторов для одного Центра Регистрации может быть несколько.

АРМ разбора конфликтных ситуаций - компонент, обеспечивающий выполнение процедур по подтверждению подлинности электронной цифровой подписи (электронной подписи) в электронных документах и установлению статуса сертификата открытого ключа на определенный момент времени. Итогом работы АРМ разбора конфликтных ситуаций является протокол, содержащий результаты выполненных проверок.

АРМ пользователя Удостоверяющего центра – веб-приложение (набор веб-страниц), размещенное на Центре Регистрации и предназначенное для регистрации пользователей, формирования ключей и запросов на сертификаты открытых ключей, получения изданных сертификатов и их управления непосредственно с рабочего места пользователя Удостоверяющего центра.

2. Операционная платформа компонент для ПАК "КриптоПро УЦ" 1.5

 Для ПАК «КриптоПро УЦ»1.5 вариантов исполнения 1 и 4 (уровень защиты – КС2):

  • Центр Сертификации «КриптоПро УЦ»: Windows Server 2003 (x86), Windows Server 2008 (x86);
  • Центр Регистрации «КриптоПро УЦ»: Windows Server 2003 (x86), Windows Server 2008 (x86 или x64), Windows Server 2008 R2;
  • АРМ администратора Центра Регистрации: Windows 2000 Professional, Windows 2000 Server, Windows XP (x86 или x64), Windows Server 2003 (x86 или x64), Windows Server 2008 (x86 или x64), Windows Server 2008 R2, Windows 7 (x86 или x64);
  • АРМ разбора конфликтных ситуаций: Windows 2000 Professional, Windows 2000 Server, Windows XP (x86 или x64), Windows Server 2003 (x86 или x64), Windows Server 2008 (x86 или x64), Windows Server 2008 R2, Windows 7 (x86 или x64);
  • АРМ пользователя (регистрации пользователя, зарегистрированного пользователя с ключевым доступом, зарегистрированного пользователя с маркерным доступом): Windows 9x/ME/NT4/2000/XP/2003/2008/2008R2/7.

Для ПАК «КриптоПро УЦ» 1.5 вариантов исполнения 2 и 3 (уровень защиты – КС3):

  • Центр Сертификации «КриптоПро УЦ»: Windows Server 2003 (x86);
  • Центр Регистрации «КриптоПро УЦ»: Windows Server 2003 (x86);
  • АРМ администратора Центра Регистрации: Windows XP (x86), Windows Server 2003 (x86);
  • АРМ разбора конфликтных ситуаций: Windows XP (x86), Windows Server 2003 (x86);
  • АРМ пользователя (регистрации пользователя, зарегистрированного пользователя с ключевым доступом, зарегистрированного пользователя с маркерным доступом): Windows 9x/ME/NT4/2000/XP/2003/2008/2008R2/7.

3. Поддерживаемые на компонентах УЦ средства криптографической защиты информации

Для ПАК «КриптоПро УЦ»1.5 вариантов исполнения 1 и 4 (уровень защиты – КС2):

  • Центр Сертификации «КриптоПро УЦ»: КриптоПро CSP 3.6 (ЖТЯИ.00050-02) варианта исполнения 2 (класс защиты КС2), для варианта исполнения 4 для хранения и использования закрытого ключа уполномоченного лица Удостоверяющего Центра - ПАКМ «Атликс HSM» (класс защиты KB2);
  • Центр Регистрации «КриптоПро УЦ»: КриптоПро CSP 3.6 (ЖТЯИ.00050-02) варианта исполнения 2 (класс защиты КС2);
  • АРМ администратора Центра Регистрации: КриптоПро CSP 3.6 (ЖТЯИ.00050-02) варианта исполнения 2 (класс защиты КС2);
  • АРМ разбора конфликтных ситуаций: КриптоПро CSP 3.6 (ЖТЯИ.00050-02) варианта исполнения 2 (класс защиты КС2);
  • АРМ пользователя (регистрации пользователя, зарегистрированного пользователя с ключевым доступом, зарегистрированного пользователя с маркерным доступом): сертифицированные ФСБ России версии КриптоПро CSP 2.0, 3.0 и 3.6.

Для ПАК «КриптоПро УЦ»1.5 вариантов исполнения 2 и 3 (уровень защиты – КС3):

  • Центр Сертификации «КриптоПро УЦ»: КриптоПро CSP 3.6.1 (ЖТЯИ.00050-03) варианта исполнения 3 (класс защиты КС3) – эксплуатируется совместно с пакетом Secure Pack Rus 2.0; для варианта исполнения 3 для хранения и использования закрытого ключа уполномоченного лица Удостоверяющего Центра - ПАКМ «Атликс HSM» (класс защиты KB2);
  • Центр Регистрации «КриптоПро УЦ»: КриптоПро CSP 3.6.1 (ЖТЯИ.00050-03) варианта исполнения 3 (класс защиты КС3) - эксплуатируется совместно с пакетом Secure Pack Rus 2.0;
  • АРМ администратора Центра Регистрации: КриптоПро CSP 3.6.1 (ЖТЯИ.00050-03) варианта исполнения 3 (класс защиты КС3) - эксплуатируется совместно с пакетом Secure Pack Rus 2.0;
  • АРМ разбора конфликтных ситуаций: КриптоПро CSP 3.6 (ЖТЯИ.00050-03) варианта исполнения 3 (класс защиты КС3) - эксплуатируется совместно с пакетом Secure Pack Rus 2.0;
  • АРМ пользователя (регистрации пользователя, зарегистрированного пользователя с ключевым доступом, зарегистрированного пользователя с маркерным доступом): сертифицированные ФСБ России версии КриптоПро CSP 2.0, 3.0 и 3.6.

4. Дополнительные программные комплексы (ПК), входящие в состав ПАК "КриптоПро УЦ" 1.5

В состав ПАК "КриптоПро УЦ" 1.5 входят следующие дополнительные программные комплексы:

ПК "Аналитическая отчетность"

Дополнительный компонент, предназначенный для сбора информации о действиях, совершенных на Удостоверяющем центре в определенный период, и автоматического составления отчетов об этих действиях.

Включает в себя:

  • КриптоПро УЦ. Сервер отчетов ЦР;
  • КриптоПро УЦ. АРМ генерации отчетов ЦР.

"КриптоПро УЦ. Сервер отчетов ЦР" предназначен для работы с базой данных Центра Регистрации, сбора и обработки запрашиваемой АРМ генерации отчетов ЦР информации.

"КриптоПро УЦ. АРМ генерации отчетов ЦР" предоставляет удобный интерфейс для выполнения полного спектра действий по созданию различного вида отчетов и их дальнейшей обработке с целью публикации или архивного хранения.

Кроме тех видов отчетов, которые устанавливаются в программном комплексе по умолчанию, существует возможность создавать свои собственные варианты отчетов.

ПК "Регламентные задания"

Дополнительный компонент, предназначенный для выполнения задания переноса и публикации списков отозванных сертификатов (далее Задание переноса СОС) и задания рассылки писем-уведомлений об ошибках в работе.

Задание переноса СОС:

  1. копирует список отозванных сертификатов с заданного адреса в локальную или сетевую папку;
  2. устанавливает его в хранилище локального компьютера "Промежуточные Центры Сертификации" - "Список отзыва сертификатов";
  3. при необходимости может опубликовать СОС в Active Directory.

Таким образом, Задание переноса СОС, помимо непосредственного переноса СОС, может использоваться для публикации СОС в Active Directory, либо для установки списков отзыва на сервер, где требуется, чтобы СОС был установлен в хранилище локального компьютера (например, для TSP-сервера  или OCSP-сервера).

Если при работе Задания переноса СОС возникают ошибки, можно настроить рассылку уведомлений об этом по указанным адресам e-mail. Непосредственно рассылкой писем занимается Задание для рассылки сообщений, которое по умолчанию входит в пакет заданий вместе с Заданием переноса СОС.

Утилита автономного формирования и использования ключей пользователя УЦ

Данный программный компонент представляет собой приложение командной строки (cryptcp.exe) для работы с сертификатами, шифрования/расшифрования данных, создания/проверки цифровых подписей и хеширования данных, генерации ключей и создания запросов на сертификаты открытых ключей.