Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро JCP, JavaTLS
»
Получение сертификата аккредитованного УЦ Крипто-Про для Java приложений
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.11.2023(UTC) Сообщений: 5  Откуда: г. Санкт-Петербург
|
Поясните пожалуйста как можно получить сертификат аккредитованного УЦ Крипто-Про для автоматизации обмена файлами с партнером, реализованного в виде Java приложения в среде Kubernetes на ОС семейства Linux. Технические вводные такие: - автоматизированная система, куда нет доступа сотрудников - OpenJDK 17 - приложение развертывается в контейнерной среде на ОС Linux - данные приложения хранятся в СУБД - приложение не использует локальные носители (диски) своего хоста Рассматриваем приобретение Крипто-Про JCP в качестве криптопровайдера для Java. Принципиально хотим избежать работы с приватными ключами с рабочих мест сотрудников. Java-приложение умеет хранить данные в защищенной зашифрованной БД. У приложения есть веб-интерфейс для работы сотрудников. Целевой сценарий такой: - администратор системы, в веб-интерфейсе, иницирует "создание сертификата" - приложение генерирует секретную часть ключа и файл заявки на сертификат, сохраняет их в защищенную БД. файл заявки на сертификат формата PKCS#10 скачивается на рабочее место администратора. - администратор системы запрашивает сертфиикат в УЦ Крипто-Про, предоставляя файл заявки на сертфикат - администратор системы загружает полученный сертификат формата X.509 в приложение, посредством веб-интерфейса Отредактировано пользователем 15 ноября 2023 г. 17:47:06(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
|
Обмен коммерческий? Тогда, насколько я понимаю, вы прямо попадаете в "лицензирование отдельных видов деятельности".
Плюс, то, что вы делаете очень похоже на КРИПТОПРО DSS и прочий HSM. Вряд ли вы сможете сертифицировать (не) ваши контейнеры и (какую-то) базу данных как (условно) "стойкое хранилище".
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.11.2023(UTC) Сообщений: 5 Откуда: г. Санкт-Петербург
|
Да, речь о взаимоотношениях коммерческих компаний, которые могут выставлять требования чтобы X.509 сертификаты были выданы определенными УЦ.
Развертывание решений на стэке технологий Microsoft нам недоступно, ищем решения для OS Linux в среде контейнерной оркестрации.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,963 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
|
Здравствуйте. Автор: Роман Ц.  как можно получить сертификат аккредитованного УЦ Крипто-Про В документации к УЦ 2.0 есть описание REST API для выполнения запросов и форматы ответов. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.11.2023(UTC) Сообщений: 5 Откуда: г. Санкт-Петербург
|
Подскажите, доступен ли этот REST API для обращений к УЦ Криптопро? (не ПО oт-premise, а к самому сервису УЦ предоставляемому компанией КриптоПро) В документации УЦ http://cpca.cryptopro.ru/dist.htm указано что есть "распределенная схема работы", где есть возможность обмена файлами формата PKCS#10. Доступно ли получение сертификата УЦ КриптоПро на основе файла заявки PKCS#10 без использования КриптоПро CSP? Опции визита в офис с заявлениями на бумаге вполне возможна. Мы решаем внутреннюю задачу автоматизации в коммерческих взаимоотношениях. Нам нужно развернуть наше ПО в облако и исключить взаимодействие сотрудников с закрытыми ключами, в т.ч. какие либо ручные операции с самими защищаемыми документами. При установке КриптоПро HSM как устроено получение сертификатов для него? Развертывание КриптоПро DSS для нас не вариант, ни рабочих мест, ни серверов на платформе Microsoft у нас не предполагается.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.11.2023(UTC) Сообщений: 5 Откуда: г. Санкт-Петербург
|
> Подскажите, доступен ли этот REST API для обращений к УЦ Криптопро?
Судя от отсутствию ответов, видимо нет. Что-ж, жаль, нам тогда придется искать другие решения.
Наш кейс требует развернуть СКЗИ на облако Linux/Kubernetes с динамическим масштабированием, с управлением ключами через стандартный PKI протокол, через скрипты автоматизации.
Решения с клиентами/серверами на Microsoft Windows, с ручным администрированием, с аппаратными ключами для нас неприемлемы.
В случае применения HSM он так же должен инициализироваться через стандартный PKI протокол, через скрипты автоматизации. Чтобы не было никаких ручных операций через клиентов.
Надеюсь вы услышите кейс клиентов и учтете это в своем продукте.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,963 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
|
Вопросы про УЦ лучше задать в разделе УЦ или на портале техподдержки. |
|
|
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро JCP, JavaTLS
»
Получение сертификата аккредитованного УЦ Крипто-Про для Java приложений
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
