Статус: Участник
Группы: Участники
Зарегистрирован: 26.05.2009(UTC)
Сообщений: 28
|
Здравствуйте!
Нам необходимо организовать публикаю и доступ к сертификатам и CRL.
Есть некоторое количество территориально распределённых филиалов. Есть центральный офис, где расположен УЦ. Каналы между центральным офисом и филиалами слабые.
Мы хотим организовать следующую схему PKI... В филиалах должна быть какая-то часть PKI, откуда будут доступны сертификаты и CRL. А в центральном офисе должен быть организован АРМ менеджера, который будет управлять публикацией в эту часть PKI, которые расположены в филиалах.
Полазив в Интернете я пришёл к выводу, что эта самая часть PKI может быть репозиторий (сетевой справочник). Использование Active Directory в качестве такого репозитория не представляется возможным. Нашёл информацию, что в качестве такого репозитория может использоваться каталог X.500 с использованием LDAP.
Но что представляет собой этот каталог X.500 с использованием LDAP?! Это какое-то программное обеспечение или что-то ещё?
Может быть есть ещё какие-то решения по организации такой схемы?
Заранее спасибо всем ответившим!
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
а какой именно ldap вы хотите использовать? чем именно не устраивает AD?
у нас есть два варианта модуля экспорта в AD один из них при выпуске сертификата автоматически помещает его в специальную директорию в AD(для всех сертификатов директория одна), другой при выпуске сертификата прописывает его пользователю AD (в стандартное место для хранения сертификата этого пользователя).
|
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.05.2009(UTC)
Сообщений: 28
|
Здравствуйте!
Я пока плохо представляю какой именно LDAP использовать... AD к сожалению не представляется возможным использовать (почему? Мне не известно.)
Мне интересно, что представялет из себя Каталог X.500 и как он организован и вообще как работает и может ли КриптоПро УЦ с ним взаимодействовать?
Заранее спасибо!
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
X.500 - это стандарт глобального каталога. Стандарт X.500 представляет собой набор спецификаций, регламентирующих взаимодействие между различными атрибутами каталогов в распределенной сетевой среде и приложениях на разных программно-аппаратных платформах.
LDAP - это протокол.
Т.е. это набор описаний и требований.
Соответственно, есть различные программные реализации. К ним относятся, например, и MS AD от Microsoft и OpenLDAP и Directory Server от компании iPlanet и IDDS фирмы Innosoft и NDS eDirectory Server for NT от Novell и Global Directory Server от Critical Path и eTrust Directory от Computer Associates и DirX корпорации Siemens и Oracle Internet Directory и т.д.
Как видите, реализаций много... |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.05.2009(UTC)
Сообщений: 28
|
Благодорю за подробное разъяснения и примеры реализаций!
Как я понимаю, то применительно к моей вышеописанной схеме можно ещё рассмотреть варианты:
1. с организацией FTP серверов в филиалах;
2. с организацией Web серверов в филиалах;
Как я понимаю, то в этих случаях применяется двухшаговый метод наполнения, т.е. УЦ публикует в какой-то каталог, а потом происходит копирование из каталога на серверы.
Поддерживает ли КриптоПро УЦ такие варианты?
Заранее спасибо за ответ!
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Думаю, что экономически целесообразнее рассмотреть следующий вариант:
В центральном офисе у Вас разворачивается ПАК "КриптоПро УЦ" с включенным доступом к веб-интерфейсу зарегистрированных пользователей и включенной опцией доступа к перечню сертификатов. Это все входит в предустановленные возможности "КриптоПро УЦ".
Менеджерам в филиалах Вы выдаете ключи и сертификаты.
Менеджеры в филиалах получают возможность доступа (через веб-интерфейс "КриптоПро УЦ") к списку всех сертификатов и CRL. Причем с возможностью фильтровать список сертификатов по различным параметрам и сохранение выборки в файлы на компьютер менеджера филиала.
Менеджеры филиалов в установленное регламентом время (например, один раз в сутки) заходит в свои АРМ (в веб-интерфейс "КриптоПро УЦ") и получает список или выборку из него и сохраняет на свой локальный диск.
Потом копирует файлы в организованный Web сервер или FTP сервер в своем филиале.
Как видите, не трубется организовать сервера каталогов, тратить на них деньги, а цель будет достигнута. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.05.2009(UTC)
Сообщений: 28
|
Благодорю за подробное описание решения с использованием КриптоПРо УЦ!
1. А вы не подскажете... умеют ли FTP или WEB сервера осуществлять синхронизацию (репликацию содержимого)?
2. Как на ваш взгляд... вместо нескольких менеджеров в филиалах, возможно организовать АРМ зарег. пользователя в центральном офисе. И что бы с этого АРМа производилось копирование сертификатов и СОС на FTP или WEB сервера филиалов?
Заранее Спасибо!
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
1. Нет, не умеют т.к. зачем и с кем и чего сихнронизировать или реплицировать.
2. Конечно возможно!!!! |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.05.2009(UTC)
Сообщений: 28
|
Спасибо за ответы!
Синхронизиовать (реплицировать) необходимо... В случае, если у нас один АРМ зарег. пользователя и с него осуществляется копирование на один FTP или WEB сервер, то чтобы содержимое других FTP или WEB серверов в других филиалах было одинаковым.
1. Если я правильно понял, то FTP или WEB серверы не умеют осуществлять синхронизацию (репликацию) своего содержимого между собой?
2. Тогда в этом случае, реализации Каталога Х.500 с LDAP имеют преимущество в плане возможности синхронизации (репликации)?
Заранее спасибо!
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Наверное. Это уже не относится к криптографической защите информации, тут мы не копенгагены :-) |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
