Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Роман Ц.  
#1 Оставлено : 15 ноября 2023 г. 17:43:02(UTC)
Роман Ц.

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.11.2023(UTC)
Сообщений: 5
Российская Федерация
Откуда: г. Санкт-Петербург

Поясните пожалуйста как можно получить сертификат аккредитованного УЦ Крипто-Про для автоматизации обмена файлами с партнером, реализованного в виде Java приложения в среде Kubernetes на ОС семейства Linux.
Технические вводные такие:
- автоматизированная система, куда нет доступа сотрудников
- OpenJDK 17
- приложение развертывается в контейнерной среде на ОС Linux
- данные приложения хранятся в СУБД
- приложение не использует локальные носители (диски) своего хоста

Рассматриваем приобретение Крипто-Про JCP в качестве криптопровайдера для Java.
Принципиально хотим избежать работы с приватными ключами с рабочих мест сотрудников.
Java-приложение умеет хранить данные в защищенной зашифрованной БД.
У приложения есть веб-интерфейс для работы сотрудников.

Целевой сценарий такой:
- администратор системы, в веб-интерфейсе, иницирует "создание сертификата"
- приложение генерирует секретную часть ключа и файл заявки на сертификат, сохраняет их в защищенную БД. файл заявки на сертификат формата PKCS#10 скачивается на рабочее место администратора.
- администратор системы запрашивает сертфиикат в УЦ Крипто-Про, предоставляя файл заявки на сертфикат
- администратор системы загружает полученный сертификат формата X.509 в приложение, посредством веб-интерфейса

Отредактировано пользователем 15 ноября 2023 г. 17:47:06(UTC)  | Причина: Не указана

Online basid  
#2 Оставлено : 15 ноября 2023 г. 18:59:34(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
Обмен коммерческий? Тогда, насколько я понимаю, вы прямо попадаете в "лицензирование отдельных видов деятельности".
Плюс, то, что вы делаете очень похоже на КРИПТОПРО DSS и прочий HSM. Вряд ли вы сможете сертифицировать (не) ваши контейнеры и (какую-то) базу данных как (условно) "стойкое хранилище".
Offline Роман Ц.  
#3 Оставлено : 15 ноября 2023 г. 20:21:24(UTC)
Роман Ц.

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.11.2023(UTC)
Сообщений: 5
Российская Федерация
Откуда: г. Санкт-Петербург

Да, речь о взаимоотношениях коммерческих компаний, которые могут выставлять требования чтобы X.509 сертификаты были выданы определенными УЦ.
Развертывание решений на стэке технологий Microsoft нам недоступно, ищем решения для OS Linux в среде контейнерной оркестрации.
Offline Евгений Афанасьев  
#4 Оставлено : 16 ноября 2023 г. 9:41:33(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,963
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Здравствуйте.
Автор: Роман Ц. Перейти к цитате
как можно получить сертификат аккредитованного УЦ Крипто-Про

В документации к УЦ 2.0 есть описание REST API для выполнения запросов и форматы ответов.

Offline Роман Ц.  
#5 Оставлено : 16 ноября 2023 г. 13:37:42(UTC)
Роман Ц.

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.11.2023(UTC)
Сообщений: 5
Российская Федерация
Откуда: г. Санкт-Петербург

Подскажите, доступен ли этот REST API для обращений к УЦ Криптопро?
(не ПО oт-premise, а к самому сервису УЦ предоставляемому компанией КриптоПро)

В документации УЦ http://cpca.cryptopro.ru/dist.htm
указано что есть "распределенная схема работы", где есть возможность обмена файлами формата PKCS#10.

Доступно ли получение сертификата УЦ КриптоПро на основе файла заявки PKCS#10 без использования КриптоПро CSP? Опции визита в офис с заявлениями на бумаге вполне возможна.

Мы решаем внутреннюю задачу автоматизации в коммерческих взаимоотношениях.
Нам нужно развернуть наше ПО в облако и исключить взаимодействие сотрудников с закрытыми ключами, в т.ч. какие либо ручные операции с самими защищаемыми документами.

При установке КриптоПро HSM как устроено получение сертификатов для него?
Развертывание КриптоПро DSS для нас не вариант, ни рабочих мест, ни серверов на платформе Microsoft у нас не предполагается.
Offline Роман Ц.  
#6 Оставлено : 4 декабря 2023 г. 13:02:08(UTC)
Роман Ц.

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.11.2023(UTC)
Сообщений: 5
Российская Федерация
Откуда: г. Санкт-Петербург

> Подскажите, доступен ли этот REST API для обращений к УЦ Криптопро?

Судя от отсутствию ответов, видимо нет. Что-ж, жаль, нам тогда придется искать другие решения.
Наш кейс требует развернуть СКЗИ на облако Linux/Kubernetes с динамическим масштабированием, с управлением ключами через стандартный PKI протокол, через скрипты автоматизации.
Решения с клиентами/серверами на Microsoft Windows, с ручным администрированием, с аппаратными ключами для нас неприемлемы.
В случае применения HSM он так же должен инициализироваться через стандартный PKI протокол, через скрипты автоматизации. Чтобы не было никаких ручных операций через клиентов.
Надеюсь вы услышите кейс клиентов и учтете это в своем продукте.
Offline Евгений Афанасьев  
#7 Оставлено : 4 декабря 2023 г. 13:54:58(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,963
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Вопросы про УЦ лучше задать в разделе УЦ или на портале техподдержки.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.